[发明专利]一种DNS劫持的检测方法和装置

说明书

本发明涉及网络安全技术领域，具体涉及一种DNS劫持的检测方法和装置，方法包括：随机生成一个不存在的虚假域名作为测试主域名；基于测试主域名生成多个测试子域名，进而形成第一测试子域名集合；使用第一测试子域名集合向第一DNS服务器发起批量DNS解析请求，第一DNS服务器为真实DNS服务器；检查DNS响应结果，并根据第一测试子域名集合中的各测试子域名是否得到解析，判断是否存在DNS劫持；如果有测试子域名得到解析，则存在DNS劫持，并确定DNS劫持的关键字。本发明通过主动DNS请求探测，使用大量虚假子域名来进行批量探测，不仅可快速、准确地检测出是否存在DNS劫持，还可识别出DNS劫持的匹配关键字。

【技术领域】

本发明属于网络安全技术领域，具体涉及一种DNS劫持的检测方法和装置。

【背景技术】

域名系统(DomainNameSystem，简写为DNS)是一个层次树状结构的联机分布式数据库系统，由以下几种角色组成：DNS客户端、转发DNS服务器、解析DNS服务器、权威域名服务器，如图1所示；其中，解析DNS服务器也叫做递归DNS服务器。

DNS客户端，是指进行DNS请求的程序，如浏览器、操作系统、dig命令工具等，它负责发起DNS请求，发起DNS请求的对象是一个转发DNS服务器或者一个解析DNS服务器。

转发DNS服务器，是指本身不负责解析域名到IP地址，而是把DNS请求转发给另外一个转发DNS服务器或者解析DNS服务器。一个典型的关于转发DNS服务器的场景是，家庭用的路由器往往会设置DNS服务器的地址为192.168.1.1，这里的DNS服务器就是转发DNS服务器。其中，转发DNS服务器一般使用dnsmasq工具搭建。

解析DNS服务器，是负责解析域名的DNS服务器，它会执行递归查找操作来解析一个目标域名，同时本身也对DNS记录进行缓存；其中，解析DNS服务器一般使用BIND工具软件来搭建。

权威域名服务器，是负责对某一个域名Zone进行维护的，该域名Zone内部所有的子域名相关记录都由此服务器来定义和维护。此域名系统组成了一个树形的结构，根域名服务器位于顶部，其次是顶级域名服务器(或一级域名服务器)，然后是二级域名服务器，依次类推，如图2所示。其中，权威域名DNS服务器一般使用BIND工具软件来搭建，此软件也可以搭建解析DNS服务器。

DNS劫持又称为域名劫持，是指修改域名的DNS记录，让DNS客户端得到错误的DNS解析结果。最常见的DNS记录就是A记录，也就是域名到IP地址的记录，最常见的DNS劫持是修改某个域名所对应的IP地址，把客户端的流量引导到错误的IP地址上。DNS劫持的方法有很多，以一个典型的浏览器访问网站的场景为例，可以发生DNS劫持的地方有主机hosts文件修改、网络驱动程序修改网络报文、网络设备修改DNS报文、DNS服务器缓存污染等等。

常见的发生在网络中的DNS劫持方法是DNS服务器缓存污染，可发生在转发DNS服务器或者解析DNS服务器上；另一种比较常见的DNS劫持方法是直接做DNS报文修改，可以是修改DNS请求报文，也可以是修改DNS响应报文。DNS劫持是有针对性的目标的，这里关于如何匹配目标域名，一般有两种方式，一是精确匹配完整的目标域名；二是关键字匹配，即提供匹配关键字，只要在域名中匹配到了关键字就认为此域名匹配。