[发明专利]一种基于距离测量的DNS劫持检测方法

说明书

技术领域

本发明涉及计算机网络领域，具体涉及一种基于距离测量的DNS劫持检测方法。

背景技术

DNS劫持又称域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能反应或访问的是假网址。DNS(域名系统)的作用是把网络地址(域名，以一个字符串的形式)对应到真实的计算机能够识别的网络地址(IP地址)，以便计算机能够进一步通信，传递网址和内容等。由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的域名服务器(DNS)能够返回正常的IP地址，高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施封锁正常DNS的IP。

DNS劫持一般发生在用户侧倒DNS服务器中间链路的某个节点。劫持者距离用户侧相对较近，模拟DNS服务器响应用户侧请求， 利用时间差欺骗用户，实现DNS 劫持目的。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于距离测量的DNS劫持检测方法，IP协议的TTL字段用于控制数据包在网络中允许通过的路由跳数，路由器在转发数据包之前先将TTL值减1，如果等于0，则丢弃不转发。因此，本发明利用该特性控制数据包在网络中的可达距离来检测DNS是否被劫持。

本发明的目的是通过以下技术方案来实现的：

一种基于距离测量的DNS劫持检测方法，包括以下步骤：

抓取数据包：通过被动抓包方法获取监控节点DNS请求成功的数据包；

确定基准TTL值：通过测距方法测量模拟节点到DNS服务器的距离记为TTL；

获取实测TTL’值：模拟用户侧向DNS服务器请求解析域名，通过控制模拟DNS请求报文的TTL值从1依次递增，直到收到响应报文，获取对应的TTL值作为实测TTL’值；

劫持判定：比较实测TTL值与基准TTL’值之间的大小，如果TTL值＜TTL’值，则该请求域名被劫持，反之则未被劫持。

进一步的，所述的抓取数据包步骤具体包括：

S01：启动抓包模块，选择网卡并在选择的网卡上持续采集数据包，将采集的数据包递交给数据处理模块，重复上述步骤直至抓包结束：

S02：数据处理模块读取抓包模块递交的数据包，并解析相关报文结构，根据报文解析结果识别DNS成功响应的数据包。

进一步的，所述的确定基准TTL’值步骤具体包括以下子步骤：

S01：从DNS成功响应的数据包中提取源IP-Port和DNS请求字段；

S02：通过发送ICMP报文或TCP报文，控制TTL值从1线性增长，测量到达DNS服务器的最小距离TTL值记为TTL。

进一步的，所述的源IP-Port是DNS服务器地址和端口，DNS请求字段是用户发起DNS请求报文中需要解析的内容。

进一步的，所述的获取实测TTL’值步骤包括：发送DNS请求报文，控制TTL值从1线性增长，测量第一次接收到成功相应报文时的TTL值，标记为TTL’。

进一步的，所述步骤确定基准TTL值中的测距方法是利用ICMP协议测量模拟节点到DNS服务器的距离，即报文到达DNS服务器所需的最小TTL值。

本发明的有益效果是：本发明通过对比实测TTL值与报文到达DNS服务器所需的最小TTL值TTL’之间的大小关系，从而判断出DNS是否被劫持，该方法判断依据简单且判断结果精准无误。

附图说明

图1是本发明抓取数据包的流程图；

图2是本发明整体流程图。

具体实施方式

下面结合附图进一步详细描述本发明的技术方案，但本发明的保护范围不局限于以下所述。

如图1-2所示，

一种基于距离测量的DNS劫持检测方法，包括以下步骤：

抓取数据包：通过被动抓包方法获取监控节点DNS请求成功的数据包；

确定基准TTL值：通过测距方法测量模拟节点到DNS服务器的距离记为TTL；

获取实测TTL’值：模拟用户侧向DNS服务器请求解析域名，通过控制模拟DNS请求报文的TTL值从1依次递增，直到收到响应报文，获取对应的TTL值作为实测TTL’值；

劫持判定：比较实测TTL值与基准TTL’值之间的大小，如果TTL值＜TTL’值，则该请求域名被劫持，反之则未被劫持。