[发明专利]一种基于距离测量的DNS劫持检测方法

权利要求书

1.一种基于距离测量的DNS劫持检测方法，其特征在于包括以下步骤：

抓取数据包：通过被动抓包方法获取监控节点DNS请求成功的数据包；

确定基准TTL值：通过测距方法测量模拟节点到DNS服务器的距离记为TTL；

获取实测TTL’值：模拟用户侧向DNS服务器请求解析域名，通过控制模拟DNS请求报文的TTL值从1依次递增，直到收到响应报文，获取对应的TTL值作为实测TTL’值；

劫持判定：比较实测TTL值与基准TTL’值之间的大小，如果TTL值＜TTL’值，则该请求域名被劫持，反之则未被劫持。

2.根据权利要求1所述的一种基于距离测量的DNS劫持检测方法，其特征在于：所述的抓取数据包步骤具体包括：

S01：启动抓包模块，选择网卡并在选择的网卡上持续采集数据包，将采集的数据包递交给数据处理模块，重复上述步骤直至抓包结束：

S02：数据处理模块读取抓包模块递交的数据包，并解析相关报文结构，根据报文解析结果识别DNS成功响应的数据包。

3.根据权利要求1所述的一种基于距离测量的DNS劫持检测方法，其特征在于：所述的确定基准TTL’值步骤具体包括以下子步骤：

S01：从DNS成功响应的数据包中提取源IP-Port和DNS请求字段；

S02：通过发送ICMP报文或TCP报文，控制TTL值从1线性增长，测量到达DNS服务器的最小距离TTL值记为TTL。

4.根据权利要求3所述的一种基于距离测量的DNS劫持检测方法，其特征在于：所述的源IP-Port是DNS服务器地址和端口，DNS请求字段是用户发起DNS请求报文中需要解析的内容。

5.根据权利要求1所述的一种基于距离测量的DNS劫持检测方法，其特征在于：所述的获取实测TTL’值步骤包括：发送DNS请求报文，控制TTL值从1线性增长，测量第一次接收到成功相应报文时的TTL值，标记为TTL’。

6.根据权利要求1所述的一种基于距离测量的DNS劫持检测方法，其特征在于：所述步骤确定基准TTL值中的测距方法是利用ICMP协议测量模拟节点到DNS服务器的距离，即报文到达DNS服务器所需的最小TTL值。