CN108156167A - 一种移动端dns防劫持的方法 - Google Patents

一种移动端dns防劫持的方法 Download PDF

Info

Publication number
CN108156167A
CN108156167A CN201711479674.4A CN201711479674A CN108156167A CN 108156167 A CN108156167 A CN 108156167A CN 201711479674 A CN201711479674 A CN 201711479674A CN 108156167 A CN108156167 A CN 108156167A
Authority
CN
China
Prior art keywords
domain name
app
resolution table
dns
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711479674.4A
Other languages
English (en)
Other versions
CN108156167B (zh
Inventor
邱扬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kuwo Technology Co Ltd
Original Assignee
Beijing Kuwo Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kuwo Technology Co Ltd filed Critical Beijing Kuwo Technology Co Ltd
Priority to CN201711479674.4A priority Critical patent/CN108156167B/zh
Publication of CN108156167A publication Critical patent/CN108156167A/zh
Application granted granted Critical
Publication of CN108156167B publication Critical patent/CN108156167B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • H04L45/7453Address table lookup; Address filtering using hashing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种移动端DNS防劫持的方法,App启动后,向域名路由router发出DNS请求,App和域名路由router间启动长连接,并带入位置信息,App等待接收解析表,域名路由router接收App发出的请求域名解析表,该请求中带入位置信息,如果请求成功,则发送域名解析表给App,App接收解析表并转换为本地域名解析表,如果转换失败则不更新本地域名解析表,如果转换成功,则计算hash值,将hash值与当前的本地域名解析表的hash值对比,不相同则更新本地域名解析表,相同则不更新本地域名解析表。本发明,对移动端的DNS请求进行保护,防止DNS劫持的发生,保证域名解析的准确性、可靠性,提高数据安全性。

Description

一种移动端DNS防劫持的方法
技术领域
本发明涉及DNS保护技术领域,具体说是一种移动端DNS防劫持的方法。
背景技术
DNS(Domain Name System,域名系统)劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能访问或访问的是假网址。
由于域名劫持往往只能在特定的被劫持的网络范围内进行,所以在此范围外的域名服务器(DNS)能够返回正常的IP地址,高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。
如果知道该域名的真实IP地址,则可以直接用此IP代替域名后进行访问。比如访问百度域名,可以把访问改为202.108.22.5,从而绕开域名劫持 。
DNS劫持(DNS钓鱼攻击)十分凶猛且不容易被用户感知,曾导致巴西最大银行巴西银行近1%客户受到攻击而导致账户被盗。黑客利用宽带路由器的缺陷对用户DNS进行篡改——用户只要浏览一下黑客所掌控的WEB页面,其宽带路由器的DNS就会被黑客篡改,因为该WEB页面设有特别的恶意代码,所以可以成功躲过安全软件检测,导致大量用户被DNS钓鱼诈骗。
其实,DNS劫持并不是什么新鲜事物,也并非无法预防,百度被黑事件的发生再次揭示了全球DNS体系的脆弱性,并说明互联网厂商如果仅有针对自身信息系统的安全预案,就不足以快速应对全面而复杂的威胁。因此,互联网公司应采取以下措施:
1、互联网公司准备两个以上的域名,一旦黑客进行DNS攻击,用户还可以访问另一个域名。
2、互联网应该对应急预案进行进一步修正,强化对域名服务商的协调流程。
3、域名注册商和代理机构特定时期可能成为集中攻击目标,需要加以防范。
4、国内有关机构之间应该快速建立与境外有关机构的协调和沟通,协助国内企业实现对此事件的快速及时的处理。
随着便携手持设备的普及(手机、平板电脑等),移动端的DNS劫持情况在逐渐增多,对便携手持设备用户的隐私、金融安全等都造成巨大的影响。例如:平时正常的页面突然多了一些小广告,这很可能是移动端DNS劫持导致的问题。
由于移动端的智能系统(iOS,安卓等)的特殊性,即便熟悉电脑的用户也不一定能熟悉移动端的智能系统的设置,导致移动端DNS劫持难以察觉或难以修复(例如:如果通过设置静态IP以指定可靠的DNS,通常需要8到9个操作步骤才能完成,一般用户难以处理),给人以无从下手的感觉,用户急需解决这一问题。
发明内容
针对现有技术中存在的缺陷,本发明的目的在于提供一种移动端DNS防劫持的方法,对移动端的DNS请求进行保护,防止DNS劫持的发生,保证域名解析的准确性、可靠性,提高数据安全性。
为达到以上目的,本发明采取的技术方案是:
一种移动端DNS防劫持的方法,其特征在于,包括如下步骤:
安装于移动端的App启动后,向域名路由router发出DNS请求,
App和域名路由router间启动长连接,并带入位置信息,
当启动长连接成功,App等待接收解析表,所述解析表指域名解析表,
域名路由router接收App发出的请求域名解析表,该请求中带入位置信息,如果请求成功,则发送域名解析表给App,
App接收解析表并转换为本地域名解析表,如果转换失败则不更新本地域名解析表,如果转换成功,则计算hash值,
将hash值与当前的本地域名解析表的hash值对比,不相同则更新本地域名解析表,相同则不更新本地域名解析表。
在上述技术方案的基础上,如果启动长连接不成功,则开始重试,如果重试超过3次,则报错并结束。
在上述技术方案的基础上,App发出请求域名解析表时,带入原始域名,
域名路由router将该请求带入域名解析层DNSMapper,
域名解析层DNSMapper维护一份匹配字典DNSMapping,
请求带入域名解析层DNSMapper后,在匹配字典DNSMapping中查询匹配数据,
如果查询解析成功则返回匹配数据,否则返回原始数据,
域名路由router将域名解析层DNSMapper返回的数据作为输出结果。
在上述技术方案的基础上,在App中设置一解析验证器validator,
当出现域名解析请求失败的情况时,调用解析验证器validator,
解析验证器validator内置一可靠的DNS服务器的IP地址,
如果经过可靠的DNS服务器的IP地址解析出的结果,和当前DNS服务器解析出的结果不同,则解析验证器validator调用本地域名解析表并尝试更新本地域名解析表。
本发明所述的移动端DNS防劫持的方法,对移动端的DNS请求进行保护,防止DNS劫持的发生,保证域名解析的准确性、可靠性,提高数据安全性。
附图说明
本发明有如下附图:
图1 本发明的流程图。
图2 域名查询解析流程图。
具体实施方式
以下结合附图对本发明作进一步详细说明。
如图1所示,本发明所述的移动端DNS防劫持的方法,包括如下步骤:
安装于移动端的App启动后,向域名路由router发出DNS请求,
App和域名路由router间启动长连接,并带入位置信息,
当启动长连接成功,App等待接收解析表,所述解析表指域名解析表,
域名路由router接收App发出的请求域名解析表,该请求中带入位置信息,如果请求成功,则发送域名解析表给App,
App接收解析表并转换为本地域名解析表,如果转换失败则不更新本地域名解析表,如果转换成功,则计算hash值,
将hash值与当前的本地域名解析表的hash值对比,不相同则更新本地域名解析表,相同则不更新本地域名解析表。
通过本地域名解析表对域名的解析,替代DNS服务器对域名的解析,实现移动端DNS防劫持。
在上述技术方案的基础上,如果启动长连接不成功,则开始重试,如果重试超过3次,则报错并结束。长连接是为了实时保持App路由表的正确性,使App每时每刻都保持在正确的解析当中。
在上述技术方案的基础上,如图2所示,App发出请求域名解析表时,带入原始域名,
域名路由router将该请求带入域名解析层DNSMapper,
域名解析层DNSMapper维护一份匹配字典DNSMapping,
请求带入域名解析层DNSMapper后,在匹配字典DNSMapping中查询匹配数据,
如果查询解析成功则返回匹配数据,否则返回原始数据,
域名路由router将域名解析层DNSMapper返回的数据作为输出结果。
在上述技术方案的基础上,在App中设置一解析验证器validator,
当出现域名解析请求失败的情况时,调用解析验证器validator,
解析验证器validator内置一可靠的DNS服务器的IP地址,
如果经过可靠的DNS服务器的IP地址解析出的结果,和当前DNS服务器解析出的结果不同,则解析验证器validator调用本地域名解析表并尝试更新本地域名解析表。
本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。

Claims (4)

1.一种移动端DNS防劫持的方法,其特征在于,包括如下步骤:
安装于移动端的App启动后,向域名路由router发出DNS请求,
App和域名路由router间启动长连接,并带入位置信息,
当启动长连接成功,App等待接收解析表,所述解析表指域名解析表,
域名路由router接收App发出的请求域名解析表,该请求中带入位置信息,如果请求成功,则发送域名解析表给App,
App接收解析表并转换为本地域名解析表,如果转换失败则不更新本地域名解析表,如果转换成功,则计算hash值,
将hash值与当前的本地域名解析表的hash值对比,不相同则更新本地域名解析表,相同则不更新本地域名解析表。
2.如权利要求1所述的移动端DNS防劫持的方法,其特征在于:如果启动长连接不成功,则开始重试,如果重试超过3次,则报错并结束。
3.如权利要求1所述的移动端DNS防劫持的方法,其特征在于:App发出请求域名解析表时,带入原始域名,
域名路由router将该请求带入域名解析层DNSMapper,
域名解析层DNSMapper维护一份匹配字典DNSMapping,
请求带入域名解析层DNSMapper后,在匹配字典DNSMapping中查询匹配数据,
如果查询解析成功则返回匹配数据,否则返回原始数据,
域名路由router将域名解析层DNSMapper返回的数据作为输出结果。
4.如权利要求1所述的移动端DNS防劫持的方法,其特征在于:在App中设置一解析验证器validator,
当出现域名解析请求失败的情况时,调用解析验证器validator,
解析验证器validator内置一可靠的DNS服务器的IP地址,
如果经过可靠的DNS服务器的IP地址解析出的结果,和当前DNS服务器解析出的结果不同,则解析验证器validator调用本地域名解析表并尝试更新本地域名解析表。
CN201711479674.4A 2017-12-29 2017-12-29 一种移动端dns防劫持的方法 Active CN108156167B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711479674.4A CN108156167B (zh) 2017-12-29 2017-12-29 一种移动端dns防劫持的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711479674.4A CN108156167B (zh) 2017-12-29 2017-12-29 一种移动端dns防劫持的方法

Publications (2)

Publication Number Publication Date
CN108156167A true CN108156167A (zh) 2018-06-12
CN108156167B CN108156167B (zh) 2021-02-02

Family

ID=62460110

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711479674.4A Active CN108156167B (zh) 2017-12-29 2017-12-29 一种移动端dns防劫持的方法

Country Status (1)

Country Link
CN (1) CN108156167B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105871912A (zh) * 2016-06-03 2016-08-17 腾讯科技(深圳)有限公司 一种域名劫持的探测方法和服务器以及移动终端
CN106161669A (zh) * 2015-04-28 2016-11-23 阿里巴巴集团控股有限公司 一种快速域名解析方法和系统、及其终端和服务器
US9628436B1 (en) * 2014-04-04 2017-04-18 8X8, Inc. User-configurable dynamic DNS mapping for virtual services
CN106790083A (zh) * 2016-12-22 2017-05-31 掌阅科技股份有限公司 Dns劫持的检测方法、装置和移动终端

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9628436B1 (en) * 2014-04-04 2017-04-18 8X8, Inc. User-configurable dynamic DNS mapping for virtual services
CN106161669A (zh) * 2015-04-28 2016-11-23 阿里巴巴集团控股有限公司 一种快速域名解析方法和系统、及其终端和服务器
CN105871912A (zh) * 2016-06-03 2016-08-17 腾讯科技(深圳)有限公司 一种域名劫持的探测方法和服务器以及移动终端
CN106790083A (zh) * 2016-12-22 2017-05-31 掌阅科技股份有限公司 Dns劫持的检测方法、装置和移动终端

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
MUSIC4KID: "《A DNS Mapping engine for iOS client》", 《GITHUB》 *
WEIXIN_33716941: "《DNS Mapping》", 《CSDN》 *

Also Published As

Publication number Publication date
CN108156167B (zh) 2021-02-02

Similar Documents

Publication Publication Date Title
US8533581B2 (en) Optimizing security seals on web pages
EP3284245B1 (en) Remote purge of dns cache
CN110830458A (zh) 域名访问方法、系统和设备
CN102685074B (zh) 防御网络钓鱼的网络通信系统及方法
CN108989355B (zh) 一种漏洞检测方法和装置
US20130318170A1 (en) System for detecting the presence of rogue domain name service providers through passive monitoring
CN107295116B (zh) 一种域名解析方法、装置及系统
CN104168339A (zh) 防止域名劫持的方法及设备
WO2020228038A1 (zh) 域名处理方法、装置、电子设备以及存储介质
CN105187430A (zh) 一种反向代理服务器、反向代理系统和方法
CN103916490A (zh) 一种域名系统dns防篡改方法及装置
CN105635064B (zh) Csrf攻击检测方法及装置
CN111431753A (zh) 一种资产信息更新方法、装置、设备及存储介质
US11943196B2 (en) Detection of domain hijacking during DNS lookup
US20200137044A1 (en) System, server and method
CN106209907B (zh) 一种检测恶意攻击的方法及装置
CN109660552A (zh) 一种将地址跳变和WAF技术相结合的Web防御方法
US8407802B2 (en) Method and system for providing security seals on web pages
US20140101314A1 (en) Method and apparatus for connecting to server using trusted ip address of domain
US20220270085A1 (en) Destination addressing associated with a distributed ledger
WO2020212784A1 (en) Destination addressing associated with a distributed ledger
CN111988447A (zh) 网络安全防护方法及dns递归服务器
US20200076793A1 (en) Management device, management system, and non-transitory computer readable medium
US10771507B2 (en) Secure communication method of IMS system based on key file
CN112929388B (zh) 网络身份跨设备应用快速认证方法和系统、用户代理设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant