[发明专利]一种DNS旁路抢答设备识别及溯源方法

说明书

本发明提供一种DNS旁路抢答设备的识别及溯源方法，具体为：监控终端主机的DNS服务器配置，对所述DNS服务器进行低频持久测量，掌握所述DNS服务器的路由特征；对所述终端主机收到的DNS服务器报文进行TTL长度检查，对不合规范的回复进行处理。其解决了现有DNS抢答防护多采用被动防护，存在较大安全隐患，现有的主动防护技术由于无法识别运营商的友好DNS抢答、对长期黑客渗透攻击无法识别、并不能对黑客攻击的发生点进行溯源、难以对路由器漏洞进行修补的技术问题。本发明可广泛应用于DNS抢答防御中。

技术领域

本发明涉及一种网络安全技术，特别是涉及一种适用于C端的基于距离测量的DNS旁路抢答设备识别及溯源方法。

背景技术

DNS是互联网的入口，DNS请求发生在用户访问互联网的第一环节。正常情况下用户终端应该使用ISP提供的官方DNS，由官方DNS服务器进行域名解析，并将解析结果发送给用户，用户根据解析结果访问网络资源。但是特殊情况下黑客可以利用技术手段，非法接入用户访问DNS的路由链路中，通过镜像端口获取用户的流量，提取用户的DNS请求报文，伪造DNS回复进行DNS抢答，诱使用户访问错误的网络资源，进而诱使用户访问钓鱼网站进行诈骗或者植入木马文件，实现对用户主机的渗透攻击。

DNS抢答主要有两种实现方法：串联抢答和旁路抢答，分别通过接入路由链路、镜像端口转发的方式获取用户的DNS请求流量，提取DNS服务器IP、待解析域名等信息，伪造DNS回复实现抢答。由于串联接入路由链路的难度较大以及公共DNS服务器的防护手段越来越完善，黑客更多选择通过旁路抢答的方式来进行抢答攻击，即通过流量分析，对用户的DNS请求进行长期的监测，针对性的伪造回复报文。

现有的DNS抢答防护机制大多通过被动防御的方法，即用户访问到错误资源后再进行告警防护，但通常此时用户已经被完成了攻击行为，存在安全隐患。现有的主动防御方法存在较多问题：如无法识别运营商的友好DNS抢答，极大影响用户网络访问质量；对长期的黑客渗透攻击无法识别；同时，现有的防护机制并不能对黑客攻击的发生点进行溯源，难以对路由器漏洞进行修补。

发明内容

本发明针对现有DNS抢答防护多采用被动防护，存在较大安全隐患，现有的主动防护技术由于无法识别运营商的友好DNS抢答、对长期黑客渗透攻击无法识别、并不能对黑客攻击的发生点进行溯源、难以对路由器漏洞进行修补的技术问题，提供一种适用于C端的基于距离测量技术来识别进行DNS抢答的非法旁路设备、并针对该旁路设备进行路径溯源、找到可能存在流量异常的路由的DNS旁路抢答设备的识别及溯源方法。

为此，本发明的技术方案是，一种DNS旁路抢答设备的识别及溯源方法，具体步骤为：

1.1)监控终端主机的DNS服务器配置，对所述DNS服务器进行低频持久测量，掌握所述DNS服务器的路由特征；

1.2)对所述终端主机收到的DNS服务器报文进行TTL长度检查，将不合规范的回复进行剔除。

优选的，具体实施步骤如下：

2.1)将终端主机配置的默认DNS服务器作为目标DNS服务器，获取目标DNS服务器的IP地址；

2.2)获取第三方可信源与目标DNS服务器之间的路径长度；

2.3)采用从第三方可信源向目标DNS服务器发送DNS请求报文的方法进行响应TTL值查询，在收到目标DNS服务器的响应报文之后，从获得的响应报文中提取出响应TTL值；

2.4)获取目标DNS服务器系统默认响应报文的TTL值；

2.5)对终端主机到目标DNS服务器进行距离测量，获得实际距离s；

2.6)从终端主机向目标DNS服务器发送相同的DNS请求报文，在获得DNS响应报文之后，提取出该响应报文中的TTL’值；