CN107317818B - 一种基于dns劫持技术的网络曾联探测方法 - Google Patents

一种基于dns劫持技术的网络曾联探测方法 Download PDF

Info

Publication number
CN107317818B
CN107317818B CN201710560987.6A CN201710560987A CN107317818B CN 107317818 B CN107317818 B CN 107317818B CN 201710560987 A CN201710560987 A CN 201710560987A CN 107317818 B CN107317818 B CN 107317818B
Authority
CN
China
Prior art keywords
terminal equipment
gateway
request
internet
dns
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710560987.6A
Other languages
English (en)
Other versions
CN107317818A (zh
Inventor
傅如毅
沈立
金张强
吴建峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Yuanwang Information Co ltd
Original Assignee
Zhejiang Yuanwang Information Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Yuanwang Information Co ltd filed Critical Zhejiang Yuanwang Information Co ltd
Priority to CN201710560987.6A priority Critical patent/CN107317818B/zh
Publication of CN107317818A publication Critical patent/CN107317818A/zh
Application granted granted Critical
Publication of CN107317818B publication Critical patent/CN107317818B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于DNS劫持技术的网络曾联探测方法,通过在网关上旁路一网关硬件,通过网关硬件对网关上的数据进行监听并镜像,并对镜像后的数据进行分析,一旦发现包含HTTP协议的数据流就进行劫持,并针对HTTP协议请求包伪造相对应的HTTP响应包,发送给请求互联网连接的终端设备,只要终端设备运行HTTP响应包,网关硬件就能接收到DNS解析请求并进行响应,返回一个指定的欺骗服务器上的IP地址,终端设备发起该IP地址的请求时,欺骗服务器就能获取该终端设备之前留下的互联网访问数据并记录,欺骗服务器通过分析历史访问数据就能判断该终端设备是否曾联及其曾联的时间节点。本发明采取了被动监听的手段,能最大限度的提高检测的准确性。

Description

一种基于DNS劫持技术的网络曾联探测方法
【技术领域】
本发明涉及网络安全的技术领域,特别涉及一种基于DNS劫持技术的网络曾联探测方法。
【背景技术】
互联网信息的飞速发展,给人们的生活带来方便快捷,但也随着信息化发展的不断深入,政府机关及企事业单位的内网面临的安全挑战也越来越严峻。据近些年安全事件统计情况发现,内网上各类违规接入、非法互联、信息泄露等行为愈演愈烈,埋下了众多安全隐患,尤其是内外网互联网行为,严重的甚至可能导致内网被互联网黑客、境外情报机构等直接入侵破坏,发生不可逆转的危害。对于互联网曾联,一直没有行之有效的检测方法。曾连互联网探测的关键点在于,发生曾连动作的行为在过去,而不在当前时刻。连接互联网留下的些许痕迹也因为当前设备处于正常内网或许可网络范围内而无法被捕获。为了解决以上问题,加强网络信息安全,有必要提出一种基于DNS劫持技术的网络曾联探测方法。
【发明内容】
本发明的目的在于克服上述现有技术的不足,提供一种基于DNS劫持技术的网络曾联探测方法,其旨在解决现有技术中对于互联网曾联,一直没有行之有效的检测方法,降低了信息的安全性的技术问题。
为实现上述目的,本发明提出了一种基于DNS劫持技术的网络曾联探测方法,包括如下步骤:
S1)、在网关上旁路一网关硬件,通过网关硬件监听并镜像所有的内网数据;
S2)、网关硬件分析镜像后包含HTTP协议的数据流,并对HTTP协议请求包进行劫持;
S3)、网关硬件伪造一个与被劫持的HTTP协议请求包相对应的HTTP响应包,并发送给被劫持的终端设备;
S4)、终端设备接收到伪造的HTTP响应包,并执行HTTP响应包上的相关脚本,在内网发起对互联网域名的DNS解析请求;
S5)、网关硬件收到内网有相应的互联网域名DNS解析请求时,对相关DNS解析请求进行响应,返回一个指定的IP地址;
S6)、终端设备在收到DNS解析请求返回的IP地址后,发起对相应互联网域名的请求;
S7)、欺骗服务器收到终端设备针对互联网域名的连接请求后,获取终端设备上相关互联网域名以前留下的互联网访问数据,并记录在欺骗服务器上;
S8)、欺骗服务器根据获取的终端设备中的互联网访问数据更改时间,就能够判断对应IP地址的终端设备是否曾经互联过互联网。
作为优选,所述的步骤S5中的IP地址指向搭建在内网上的欺骗服务器。
作为优选,所述的欺骗服务器能接受相关互联网域名的请求,所述的互联网域名包括“baidu.com”、“soso.com”、“yahoo.cn”。
作为优选,所述的步骤S8中欺骗服务器还能够根据互联网访问数据更改时间来判断曾联发生的时间节点。
本发明的有益效果:与现有技术相比,本发明提供的一种基于DNS劫持技术的网络曾联探测方法,通过在网关上旁路一网关硬件,通过网关硬件对网关上的数据进行监听并镜像,并由网关硬件对镜像后的数据进行分析,一旦发现包含HTTP协议的数据流就进行劫持,并针对HTTP协议请求包伪造相对应的HTTP响应包,发送给请求互联网连接的终端设备,只要终端设备运行HTTP响应包,并执行HTTP响应包上的相关脚本,网关硬件就能接收到DNS解析请求并进行响应,返回一个指定的欺骗服务器上的IP地址,终端设备发起该IP地址的请求时,欺骗服务器就能获取该终端设备之前留下的互联网访问数据并记录,欺骗服务器通过分析历史访问数据就能判断该终端设备是否曾联及其曾联的时间节点。本发明一种基于DNS劫持技术的网络曾联探测方法采取了被动监听的手段,最大限度的减少了探测给正常网络通讯的影响,并且最终数据采集的连接发起方为被检测终端设备,能最大限度的提高检测的准确性。
本发明的特征及优点将通过实施例结合附图进行详细说明。
【附图说明】
图1是本发明实施例一种基于DNS劫持技术的网络曾联探测方法的流程图。
【具体实施方式】
为使本发明的目的、技术方案和优点更加清楚明了,下面通过附图及实施例,对本发明进行进一步详细说明。但是应该理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
参阅图1,本发明实施例提供一种基于DNS劫持技术的网络曾联探测方法,包括如下步骤:
S1)、在网关上旁路一网关硬件,通过网关硬件监听并镜像所有的内网数据。
S2)、网关硬件分析镜像后包含HTTP协议的数据流,并对HTTP协议请求包进行劫持。
S3)、网关硬件伪造一个与被劫持的HTTP协议请求包相对应的HTTP响应包,并发送给被劫持的终端设备。
S4)、终端设备接收到伪造的HTTP响应包,并执行HTTP响应包上的相关脚本,在内网发起对互联网域名的DNS解析请求。
S5)、网关硬件收到内网有相应的互联网域名DNS解析请求时,对相关DNS解析请求进行响应,返回一个指定的IP地址,所述的IP地址指向搭建在内网上的欺骗服务器,欺骗服务器能接受相关互联网域名的请求。
在本发明实施例中,所述的互联网域名包括“baidu.com”、“soso.com”、“yahoo.cn”等,并不仅限于以上互联网域名。
S6)、终端设备在收到DNS解析请求返回的IP地址后,发起对相应互联网域名的请求。
S7)、欺骗服务器收到终端设备针对互联网域名的连接请求后,获取终端设备上相关互联网域名以前留下的互联网访问数据,并记录在欺骗服务器上。
S8)、欺骗服务器根据获取的终端设备中的互联网访问数据更改时间,就能够判断对应IP地址的终端设备是否曾经互联过互联网,欺骗服务器还能够根据互联网访问数据更改时间来判断曾联发生的时间节点。
本发明一种基于DNS劫持技术的网络曾联探测方法,通过在网关上旁路一网关硬件,通过网关硬件对网关上的数据进行监听并镜像,并由网关硬件对镜像后的数据进行分析,一旦发现包含HTTP协议的数据流就进行劫持,并针对HTTP协议请求包伪造相对应的HTTP响应包,发送给请求互联网连接的终端设备,只要终端设备运行HTTP响应包,并执行HTTP响应包上的相关脚本,网关硬件就能接收到DNS解析请求并进行响应,返回一个指定的欺骗服务器上的IP地址,终端设备发起该IP地址的请求时,欺骗服务器就能获取该终端设备之前留下的互联网访问数据并记录,欺骗服务器通过分析历史访问数据就能判断该终端设备是否曾联及其曾联的时间节点。本发明一种基于DNS劫持技术的网络曾联探测方法采取了被动监听的手段,最大限度的减少了探测给正常网络通讯的影响,并且最终数据采集的连接发起方为被检测终端设备,能最大限度的提高检测的准确性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换或改进等,均应包含在本发明的保护范围之内。

Claims (4)

1.一种基于DNS劫持技术的网络曾联探测方法,其特征在于:包括如下步骤:
S1)、在网关上旁路一网关硬件,通过网关硬件监听并镜像所有的内网数据;
S2)、网关硬件分析镜像后包含HTTP协议的数据流,并对HTTP协议请求包进行劫持;
S3)、网关硬件伪造一个与被劫持的HTTP协议请求包相对应的HTTP响应包,并发送给被劫持的终端设备;
S4)、终端设备接收到伪造的HTTP响应包,并执行HTTP响应包上的相关脚本,在内网发起对互联网域名的DNS解析请求;
S5)、网关硬件收到内网有相应的互联网域名DNS解析请求时,对相关DNS解析请求进行响应,返回一个指定的IP地址;
S6)、终端设备在收到DNS解析请求返回的IP地址后,发起对相应互联网域名的请求;
S7)、欺骗服务器收到终端设备针对互联网域名的连接请求后,获取终端设备上相关互联网域名以前留下的互联网访问数据,并记录在欺骗服务器上;
S8)、欺骗服务器根据获取的终端设备中的互联网访问数据更改时间,就能够判断对应IP地址的终端设备是否曾经互联过互联网。
2.如权利要求1所述的一种基于DNS劫持技术的网络曾联探测方法,其特征在于:所述的步骤S5中的IP地址指向搭建在内网上的欺骗服务器。
3.如权利要求2所述的一种基于DNS劫持技术的网络曾联探测方法,其特征在于:所述的欺骗服务器能接受相关互联网域名的请求,所述的互联网域名包括“baidu.com”、“soso.com”、“yahoo.cn”。
4.如权利要求1所述的一种基于DNS劫持技术的网络曾联探测方法,其特征在于:所述的步骤S8中欺骗服务器还能够根据互联网访问数据更改时间来判断曾联发生的时间节点。
CN201710560987.6A 2017-07-11 2017-07-11 一种基于dns劫持技术的网络曾联探测方法 Active CN107317818B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710560987.6A CN107317818B (zh) 2017-07-11 2017-07-11 一种基于dns劫持技术的网络曾联探测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710560987.6A CN107317818B (zh) 2017-07-11 2017-07-11 一种基于dns劫持技术的网络曾联探测方法

Publications (2)

Publication Number Publication Date
CN107317818A CN107317818A (zh) 2017-11-03
CN107317818B true CN107317818B (zh) 2020-11-06

Family

ID=60178421

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710560987.6A Active CN107317818B (zh) 2017-07-11 2017-07-11 一种基于dns劫持技术的网络曾联探测方法

Country Status (1)

Country Link
CN (1) CN107317818B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111917682B (zh) * 2019-05-07 2023-01-24 阿里巴巴集团控股有限公司 访问行为识别方法、性能检测方法、装置、设备和系统
CN112311724B (zh) * 2019-07-26 2023-06-20 贵州白山云科技股份有限公司 一种定位http劫持的方法、装置、介质及设备
CN111970234A (zh) * 2020-06-30 2020-11-20 浙江远望信息股份有限公司 一种基于Cookie的NAT私网接入违规外联设备的取证方法
CN112637175B (zh) * 2020-12-17 2021-08-20 山东云天安全技术有限公司 一种用于工业物联网的防御方法及装置
CN113301592B (zh) * 2021-05-28 2023-04-07 深圳市吉祥腾达科技有限公司 一种路由器优化苹果手机上网体验的网络检测方法
CN113472761B (zh) * 2021-06-22 2023-04-18 杭州默安科技有限公司 一种网站欺骗方法和系统
CN116155549B (zh) * 2022-12-23 2023-12-29 武汉雨滴科技有限公司 终端外联检测方法、装置、电子设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103001825A (zh) * 2012-11-15 2013-03-27 中国科学院计算机网络信息中心 Dns流量异常的检测方法和系统
CN104092787A (zh) * 2014-06-24 2014-10-08 腾讯科技(深圳)有限公司 基于dns的网络访问方法和系统
CN106375318A (zh) * 2016-09-01 2017-02-01 北京神州绿盟信息安全科技股份有限公司 一种网络访问控制系统和方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102594877B (zh) * 2012-01-19 2015-08-12 网宿科技股份有限公司 结合重定向下载请求和代理服务加速网络服务的方法、系统
CN104079534B (zh) * 2013-03-27 2017-11-03 中国移动通信集团北京有限公司 一种http缓存实现方法和系统
CN104468866B (zh) * 2014-12-26 2017-11-21 陈晨 一种无线局域网中多网关终端快速漫游方法
JP2016162080A (ja) * 2015-02-27 2016-09-05 富士通株式会社 ネットワーク切替方法、ネットワーク切替プログラム、及び情報処理装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103001825A (zh) * 2012-11-15 2013-03-27 中国科学院计算机网络信息中心 Dns流量异常的检测方法和系统
CN104092787A (zh) * 2014-06-24 2014-10-08 腾讯科技(深圳)有限公司 基于dns的网络访问方法和系统
CN106375318A (zh) * 2016-09-01 2017-02-01 北京神州绿盟信息安全科技股份有限公司 一种网络访问控制系统和方法

Also Published As

Publication number Publication date
CN107317818A (zh) 2017-11-03

Similar Documents

Publication Publication Date Title
CN107317818B (zh) 一种基于dns劫持技术的网络曾联探测方法
US9462009B1 (en) Detecting risky domains
CN112468360A (zh) 一种基于指纹的资产发现识别和检测方法及系统
US8392963B2 (en) Techniques for tracking actual users in web application security systems
CN103067385B (zh) 防御会话劫持攻击的方法和防火墙
CN103297433B (zh) 基于网络数据流的http僵尸网络检测方法及系统
CN107276979B (zh) 一种自动检测终端设备内外网互联行为的方法
CN103888459B (zh) 网络内网入侵的检测方法及装置
CN105930727A (zh) 基于Web的爬虫识别算法
CN105681133A (zh) 一种检测dns服务器是否防网络攻击的方法
CN109474575A (zh) 一种dns隧道的检测方法及装置
CN106302501A (zh) 一种实时发现跨网络通信行为的方法
CN108270778B (zh) 一种dns域名异常访问检测方法及装置
WO2017063274A1 (zh) 一种恶意跳转及恶意嵌套类不良网站的自动判定方法
CN105635064B (zh) Csrf攻击检测方法及装置
CN103152325B (zh) 防止通过共享方式访问互联网的方法及装置
CN107172006B (zh) 检测无线网络恶意性的方法及装置
CN112311722B (zh) 一种访问控制方法、装置、设备及计算机可读存储介质
CN113765912A (zh) 一种分布式防火墙装置及其检测方法
JP2002297543A (ja) 不正ログイン検出装置
CN112231679B (zh) 一种终端设备验证方法、装置及存储介质
CN103685298A (zh) 一种基于深度包检测的ssl中间人攻击发现方法
CN106534141A (zh) 一种防止域名服务器被攻击的方法、系统及防火墙
CN104038474A (zh) 互联网访问的检测方法及装置
CN107241461B (zh) Mac地址获取方法、网关设备、网络认证设备及网络系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant