[发明专利]一种基于DNS劫持技术的网络曾联探测方法

权利要求书

1.一种基于DNS劫持技术的网络曾联探测方法，其特征在于：包括如下步骤：

S1)、在网关上旁路一网关硬件，通过网关硬件监听并镜像所有的内网数据；

S2)、网关硬件分析镜像后包含HTTP协议的数据流，并对HTTP协议请求包进行劫持；

S3)、网关硬件伪造一个与被劫持的HTTP协议请求包相对应的HTTP响应包，并发送给被劫持的终端设备；

S4)、终端设备接收到伪造的HTTP响应包，并执行HTTP响应包上的相关脚本，在内网发起对互联网域名的DNS解析请求；

S5)、网关硬件收到内网有相应的互联网域名DNS解析请求时，对相关DNS解析请求进行响应，返回一个指定的IP地址；

S6)、终端设备在收到DNS解析请求返回的IP地址后，发起对相应互联网域名的请求；

S7)、欺骗服务器收到终端设备针对互联网域名的连接请求后，获取终端设备上相关互联网域名以前留下的互联网访问数据，并记录在欺骗服务器上；

S8)、欺骗服务器根据获取的终端设备中的互联网访问数据更改时间，就能够判断对应IP地址的终端设备是否曾经互联过互联网。

2.如权利要求1所述的一种基于DNS劫持技术的网络曾联探测方法，其特征在于：所述的步骤S5中的IP地址指向搭建在内网上的欺骗服务器。

3.如权利要求2所述的一种基于DNS劫持技术的网络曾联探测方法，其特征在于：所述的欺骗服务器能接受相关互联网域名的请求，所述的互联网域名包括“baidu.com”、“soso.com”、“yahoo.cn”。

4.如权利要求1所述的一种基于DNS劫持技术的网络曾联探测方法，其特征在于：所述的步骤S8中欺骗服务器还能够根据互联网访问数据更改时间来判断曾联发生的时间节点。