[发明专利]一种基于DNS劫持技术的网络曾联探测方法

说明书

本发明公开了一种基于DNS劫持技术的网络曾联探测方法，通过在网关上旁路一网关硬件，通过网关硬件对网关上的数据进行监听并镜像，并对镜像后的数据进行分析，一旦发现包含HTTP协议的数据流就进行劫持，并针对HTTP协议请求包伪造相对应的HTTP响应包，发送给请求互联网连接的终端设备，只要终端设备运行HTTP响应包，网关硬件就能接收到DNS解析请求并进行响应，返回一个指定的欺骗服务器上的IP地址，终端设备发起该IP地址的请求时，欺骗服务器就能获取该终端设备之前留下的互联网访问数据并记录，欺骗服务器通过分析历史访问数据就能判断该终端设备是否曾联及其曾联的时间节点。本发明采取了被动监听的手段，能最大限度的提高检测的准确性。

【技术领域】

本发明涉及网络安全的技术领域，特别涉及一种基于DNS劫持技术的网络曾联探测方法。

【背景技术】

互联网信息的飞速发展，给人们的生活带来方便快捷，但也随着信息化发展的不断深入，政府机关及企事业单位的内网面临的安全挑战也越来越严峻。据近些年安全事件统计情况发现，内网上各类违规接入、非法互联、信息泄露等行为愈演愈烈，埋下了众多安全隐患，尤其是内外网互联网行为，严重的甚至可能导致内网被互联网黑客、境外情报机构等直接入侵破坏，发生不可逆转的危害。对于互联网曾联，一直没有行之有效的检测方法。曾连互联网探测的关键点在于，发生曾连动作的行为在过去，而不在当前时刻。连接互联网留下的些许痕迹也因为当前设备处于正常内网或许可网络范围内而无法被捕获。为了解决以上问题，加强网络信息安全，有必要提出一种基于DNS劫持技术的网络曾联探测方法。

【发明内容】

本发明的目的在于克服上述现有技术的不足，提供一种基于DNS劫持技术的网络曾联探测方法，其旨在解决现有技术中对于互联网曾联，一直没有行之有效的检测方法，降低了信息的安全性的技术问题。

为实现上述目的，本发明提出了一种基于DNS劫持技术的网络曾联探测方法，包括如下步骤：

S1)、在网关上旁路一网关硬件，通过网关硬件监听并镜像所有的内网数据；

S2)、网关硬件分析镜像后包含HTTP协议的数据流，并对HTTP协议请求包进行劫持；

S3)、网关硬件伪造一个与被劫持的HTTP协议请求包相对应的HTTP响应包，并发送给被劫持的终端设备；

S4)、终端设备接收到伪造的HTTP响应包，并执行HTTP响应包上的相关脚本，在内网发起对互联网域名的DNS解析请求；

S5)、网关硬件收到内网有相应的互联网域名DNS解析请求时，对相关DNS解析请求进行响应，返回一个指定的IP地址；

S6)、终端设备在收到DNS解析请求返回的IP地址后，发起对相应互联网域名的请求；

S7)、欺骗服务器收到终端设备针对互联网域名的连接请求后，获取终端设备上相关互联网域名以前留下的互联网访问数据，并记录在欺骗服务器上；

S8)、欺骗服务器根据获取的终端设备中的互联网访问数据更改时间，就能够判断对应IP地址的终端设备是否曾经互联过互联网。

作为优选，所述的步骤S5中的IP地址指向搭建在内网上的欺骗服务器。

作为优选，所述的欺骗服务器能接受相关互联网域名的请求，所述的互联网域名包括“baidu.com”、“soso.com”、“yahoo.cn”。

作为优选，所述的步骤S8中欺骗服务器还能够根据互联网访问数据更改时间来判断曾联发生的时间节点。