一種互聯(lián)網(wǎng)瀏覽器中安全的域名解析方法
【專利摘要】本發(fā)明的互聯(lián)網(wǎng)瀏覽器中安全的域名解析方法�,包括:a)配置N個域名解析服務(wù)器;b)發(fā)送解析請求����;c)域名進(jìn)行解析;d)對接收到的返回包記錄����,記其數(shù)量為M�;e)判斷M=0是否成立,如成立��,則瀏覽行為沒有完成�;如不成立,表明存在返回包��;f)當(dāng)用戶刷新時���,執(zhí)行步驟c)����;若改為瀏覽其他網(wǎng)頁,執(zhí)行步驟b)���;g)取重復(fù)次數(shù)最多的IP��,同時其次數(shù)為X�;h)判斷X>N/2是否成立���,如果成立���,則表IP為安全地址;如果不成立�����,本次瀏覽受到了DNS攻擊�����。本發(fā)明的瀏覽器域名解析方法����,保證了用戶原本輸入的域名能夠正確指向?qū)?yīng)的網(wǎng)站或服務(wù),解決DNS域名解析過程中攻擊的問題?��?蓪卧斓腎P地址進(jìn)行過濾���,保留正確的IP地址。
【專利說明】-種互聯(lián)網(wǎng)瀏覽器中安全的域名解析方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種互聯(lián)網(wǎng)瀏覽器中安全的域名解析方法�����,更具體的說�����,尤其涉及一 種采用多個域名解析服務(wù)器進(jìn)行投票來保證解析出的IP地址具有較高安全性的域名解析 方法�����。
【背景技術(shù)】
[0002] DNS (Domain Name System)是"域名系統(tǒng)"的英文縮寫��,是一種分層結(jié)構(gòu)的計算機(jī) 和網(wǎng)絡(luò)服務(wù)命名系統(tǒng)���,它的主要功能是將IP地址轉(zhuǎn)換為規(guī)定的字符串,或者將規(guī)定的字符 串轉(zhuǎn)換為IP地址��,規(guī)定的字符串稱之為域名。域名解析是指用人們友好而又容易記住的域 名代替枯燥而難記的IP地址來定位網(wǎng)絡(luò)中相應(yīng)的計算機(jī)或相應(yīng)的服務(wù)��。因為在互聯(lián)網(wǎng)中 的任何服務(wù)或計算機(jī)都有自己相應(yīng)的IP地址來相互區(qū)分���,客戶訪問這些計算機(jī)或服務(wù)時���, 如果分別記憶并使用相應(yīng)的IP地址是比較困難且不太方便的。因此�,域名解析的過程就相 當(dāng)于翻譯的過程,即���,將方便記憶的域名翻譯成互聯(lián)網(wǎng)識別的對應(yīng)的IP地址���。而建立這些 域名與IP地址之間關(guān)系表,以及如何進(jìn)行識別和翻譯����,則是通過DNS系統(tǒng)完成。所以����,當(dāng)用 戶上網(wǎng)時所輸入的網(wǎng)址,通過域名解析系統(tǒng)解析并找到該網(wǎng)址(也就是域名)所對應(yīng)的IP地 址����,然后用戶連接到此IP地址才能上網(wǎng)���。當(dāng)然,域名解析的過程對于上網(wǎng)用戶來說是透明 的����,用戶訪問的域名其實最終指向的是IP地址。
[0003] 隨著DNS域名解析成為互聯(lián)網(wǎng)最基本的服務(wù)�,其自身的安全問題也越來越受到黑 客們的關(guān)注,他們已經(jīng)掌握了對DNS域名解析過程造成安全威脅的若干手段�����。比較常見的 對域名解析過程的安全攻擊主要有以下幾種: DNS ID欺騙攻擊��。該攻擊方式是在交換機(jī)搭建的網(wǎng)絡(luò)環(huán)境下���,欺騙者首先向攻擊目標(biāo) 實施ARP欺騙�,通過相關(guān)掃描工具監(jiān)聽目的DNS請求包�����,獲得相應(yīng)的ID及端口號���,然后立即 向攻擊目標(biāo)發(fā)送偽造的DNS應(yīng)答包���。用戶收到偽造的DNS應(yīng)答包后認(rèn)為已經(jīng)完成了 DNS域 名解析過程,而正確的DNS應(yīng)答包由于晚于偽造的DNS應(yīng)答包而被用戶丟棄�。然后用戶通 過偽造的DNS應(yīng)答包返回的IP地址繼續(xù)上網(wǎng)行為,而這里的IP地址很可能被指向了惡意 的網(wǎng)站從而對用戶產(chǎn)生進(jìn)一步的安全威脅���。
[0004] DNS緩存投毒攻擊���。在上述的攻擊過程中,如果得不到ID和端口號的情況下不可 能完成DNS欺騙攻擊���,但是目前很多DNS服務(wù)器端口號都是固定的��,因此只需一個DNS請 求���,就可以從反饋中得到端口號,然后通過發(fā)送大量不同ID號的DNS應(yīng)答包來猜測攻擊目 標(biāo)的真實ID����,從而使DNS緩存投毒攻擊成為可能。攻擊過程和前述方法類似���,只是在返回 過程中反饋大量偽造的不同ID號的DNS應(yīng)答包��,通過概率進(jìn)行攻擊����,使得用戶通過偽造的 DNS應(yīng)答包返回的IP地址繼續(xù)上網(wǎng)行為。
[0005] 從以上攻擊行為可以看出����,對用戶造成威脅的最根本原因是由于返回了偽造的IP 地址,從而使用戶原本輸入的正確的域名指向了攻擊者偽造的惡意網(wǎng)站��,對用戶的進(jìn)一步 安全造成威脅��。因此���,在用戶采用互聯(lián)網(wǎng)瀏覽器中����,如何能夠判讀出返回的IP地址是否偽 造���,即�����,用戶原本輸入的域名是否被正確指向的對應(yīng)的網(wǎng)站或服務(wù)�,成為解決DNS域名解析 過程中攻擊的關(guān)鍵問題���。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明為了克服上述技術(shù)問題的缺點����,提供了一種互聯(lián)網(wǎng)瀏覽器中安全的域名解 析方法���。
[0007] 本發(fā)明的互聯(lián)網(wǎng)瀏覽器中安全的域名解析方法���,其特別之處在于,通過以下步驟 來實現(xiàn):a).配置多個域名解析服務(wù)器����,在傳統(tǒng)的原始瀏覽器中增加域名解析服務(wù)器配置 模塊,利用配置模塊為瀏覽器配置N個域名解析服務(wù)器地址�����;b).發(fā)送解析請求���,用戶輸入 網(wǎng)站域名并點擊搜索后��,向步驟a)中配置的N個域名解析服務(wù)器發(fā)送域名解析請求��,同時 啟動計時器R開始計時��;c).域名解析����,N個域名解析服務(wù)器對接收到的域名進(jìn)行解析,并 將解析后的結(jié)果反饋至瀏覽器�;d).接收返回包,從計時器R計時開始至觸發(fā)時間T內(nèi)���,對 接收到的N個域名解析服務(wù)器返回包的數(shù)量和內(nèi)容進(jìn)行記錄�,設(shè)接收到的返回包的數(shù)量為 Μ ;如果超過觸發(fā)時間T���,瀏覽器不再接收返回包��,即使接收到了返回包���,也會將超過觸發(fā)時 間Τ接收的返回包丟棄;e).網(wǎng)絡(luò)環(huán)境判斷����,判斷Μ=0是否成立�,如果成立�����,則表明這次瀏覽 行為因網(wǎng)絡(luò)環(huán)境因數(shù)沒有完成�����,彈出"本次瀏覽因網(wǎng)絡(luò)環(huán)境中止�����,請重新刷新頁面"�����,執(zhí)行 步驟f);如果不成立�����,表明存在域名解析服務(wù)器的返回包��,執(zhí)行步驟g) ;f).當(dāng)用戶點擊瀏 覽器上的刷新時�����,重新向域名解析服務(wù)器發(fā)送請求�����,執(zhí)行步驟c);若用戶不想瀏覽原網(wǎng)頁 而改為瀏覽其他網(wǎng)頁��,則執(zhí)行步驟b) ;g). IP地址解析�����,從Μ個數(shù)據(jù)包中解析出域名所對應(yīng) 的IP地址�����,對Μ個IP地址進(jìn)行循環(huán)比較�,記錄所有IP重復(fù)的次數(shù);取重復(fù)次數(shù)最多的ΙΡ��, 同時記重復(fù)最多的IP的次數(shù)為X;執(zhí)行步驟h) ;h).判斷是否存在可安全訪問的地址�����,判 斷X > N/2是否成立�����,如果成立,則表明具有最多重復(fù)次數(shù)的IP為安全地址�����,瀏覽器指向該 IP���,用戶繼續(xù)瀏覽網(wǎng)頁;如果不成立��,則表明X < N/2,本次瀏覽受到了 DNS攻擊�����,執(zhí)行步驟 i) ;i).停止瀏覽器訪問���,彈出"本次瀏覽因 DNS攻擊中止�,請重新刷新頁面"�,停止瀏覽器對 網(wǎng)絡(luò)上任何服務(wù)器的訪問;當(dāng)用戶點擊刷新時�,重新向域名解析服務(wù)器發(fā)送請求,執(zhí)行步驟 c);若用戶不想瀏覽原網(wǎng)頁而改為瀏覽其他網(wǎng)頁�,則執(zhí)行步驟b)。
[0008] 本發(fā)明的互聯(lián)網(wǎng)瀏覽器中安全的域名解析方法,步驟a)中所述的域名解析服務(wù) 器的數(shù)目N取大于等于3且小于等于10的整數(shù)����。
[0009] 本發(fā)明的互聯(lián)網(wǎng)瀏覽器中安全的域名解析方法,步驟a)中配置的N個域名解析服 務(wù)器應(yīng)包含至少一個國外的DNS服務(wù)器��、至少一個省外的DNS服務(wù)器以及至少一個當(dāng)?shù)氐?DNS服務(wù)器�����。
[0010] 本發(fā)明的互聯(lián)網(wǎng)瀏覽器中安全的域名解析方法�,步驟d)中觸發(fā)時間T的取值范圍 滿足:100ms 彡 T 彡 3000ms。
[0011] 本發(fā)明的有益效果是:本發(fā)明的瀏覽器域名解析方法�����,首先為瀏覽器配置多個域 名解析服務(wù)器地址��,多個域名解析服務(wù)器同時對用于輸入的域名進(jìn)行解析�,通過對觸發(fā)時 間T內(nèi)接收的返回包進(jìn)行處理,只有當(dāng)解析出的重復(fù)次數(shù)最多的IP地址的數(shù)量超過所有參 與地址解析的服務(wù)器數(shù)目的一半時��,才認(rèn)為重復(fù)次數(shù)最多的IP地址為安全地址����,可進(jìn)行安 全訪問��;否則����,則認(rèn)為受到DNS攻擊而不能安全訪問�。
[0012] N個域名解析服務(wù)器應(yīng)包含至少一個國外的DNS服務(wù)器、至少一個省外的DNS服務(wù) 器以及至少一個當(dāng)?shù)氐腄NS服務(wù)器���,有效降低了所配置的多個域名解析服務(wù)器同時受到攻 擊的可能性����,即使其中一個或多個受到攻擊����,也可利用其它的服務(wù)器解析出安全的的IP地 址�,完成上網(wǎng)作業(yè)。計時器的觸發(fā)時間T滿足:100ms彡T彡3000ms���,可根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)行 適應(yīng)性選取��。
[0013] 本發(fā)明的域名解析方法�����,能夠在用戶使用瀏覽器瀏覽網(wǎng)頁時提供一個安全的域名 解析方法�����,通過本發(fā)明所述方法可對DNS域名解析過程中是否收到攻擊做出判斷����,保證了 用戶原本輸入的域名能夠被正確指向?qū)?yīng)的網(wǎng)站或服務(wù),解決DNS域名解析過程中攻擊的 問題��。同時����,該方法在部分情況下可對偽造的IP地址進(jìn)行過濾,保留正確的IP地址���,從而 使用戶得到正確的網(wǎng)站IP�����。在該方法無法判斷出正確的IP地址情況下���,也可以提示用戶, 并中止用戶網(wǎng)絡(luò)瀏覽行為��,可防止用戶相關(guān)信息被進(jìn)一步泄露,保證了用戶上網(wǎng)瀏覽的安 全性���。
【專利附圖】
【附圖說明】
[0014] 圖1為本發(fā)明的互聯(lián)網(wǎng)瀏覽器中安全的域名解析方法的流程圖�。
【具體實施方式】
[0015] 下面結(jié)合附圖與實施例對本發(fā)明作進(jìn)一步說明����。
[0016] 如圖1所示,給出了本發(fā)明的互聯(lián)網(wǎng)瀏覽器中安全的域名解析方法的流程圖��,其 通過以下步驟來實現(xiàn): a).配置多個域名解析服務(wù)器����,在傳統(tǒng)的原始瀏覽器中增加域名解析服務(wù)器配置模塊, 利用配置模塊為瀏覽器配置N個域名解析服務(wù)器地址��; 該步驟中�����,由于Openbrowser瀏覽器原來只能引用操作系統(tǒng)本身的DNS服務(wù)器地址進(jìn) 行域名解析�����,而windows操作系統(tǒng)本身只能一次用一個DNS服務(wù)器地址��;因此應(yīng)通過增加域 名解析服務(wù)器配置模塊����,使得瀏覽器本身可以配置自己的DNS服務(wù)器。
[0017] 所述配置的域名解析服務(wù)器的數(shù)目N取大于等于3且小于等于10的整數(shù)�,如包含 至少一個國外的DNS服務(wù)器、至少一個省外的DNS服務(wù)器以及至少一個當(dāng)?shù)氐腄NS服務(wù)器����。
[0018] b).發(fā)送解析請求,用戶輸入網(wǎng)站域名并點擊搜索后����,向步驟a)中配置的N個域名 解析服務(wù)器發(fā)送域名解析請求,同時啟動計時器R開始計時�����; c) .域名解析��,N個域名解析服務(wù)器對接收到的域名進(jìn)行解析�����,并將解析后的結(jié)果反饋 至瀏覽器��; d) .接收返回包,從計時器R計時開始至觸發(fā)時間T內(nèi)����,對接收到的N個域名解析服務(wù) 器返回包的數(shù)量和內(nèi)容進(jìn)行記錄,設(shè)接收到的返回包的數(shù)量為Μ ;如果超過觸發(fā)時間T��,瀏 覽器不再接收返回包����,即使接收到了返回包,也會將超過觸發(fā)時間Τ接收的返回包丟棄����; 該步驟中,觸發(fā)時間Τ的取值范圍滿足:100ms彡Τ彡3000ms ;時間Τ根據(jù)網(wǎng)絡(luò)情況不 同進(jìn)行選取��,網(wǎng)絡(luò)環(huán)境越差��,T的取值應(yīng)越大�����。
[0019] e).網(wǎng)絡(luò)環(huán)境判斷�,判斷M=0是否成立�����,如果成立,則表明這次瀏覽行為因網(wǎng)絡(luò)環(huán) 境因數(shù)沒有完成���,彈出"本次瀏覽因網(wǎng)絡(luò)環(huán)境中止�,請重新刷新頁面"��,執(zhí)行步驟f);如果 不成立����,表明存在域名解析服務(wù)器的返回包,執(zhí)行步驟g); f).當(dāng)用戶點擊瀏覽器上的刷新時���,重新向域名解析服務(wù)器發(fā)送請求����,執(zhí)行步驟c);若 用戶不想瀏覽原網(wǎng)頁而改為瀏覽其他網(wǎng)頁���,則執(zhí)行步驟b); g) . IP地址解析��,從Μ個數(shù)據(jù)包中解析出域名所對應(yīng)的IP地址����,對Μ個IP地址進(jìn)行循 環(huán)比較,記錄所有IP重復(fù)的次數(shù)�;取重復(fù)次數(shù)最多的IP,同時記重復(fù)最多的IP的次數(shù)為X ; 執(zhí)行步驟h); h) .判斷是否存在可安全訪問的地址�����,判斷X > N/2是否成立�,如果成立,則表明具有 最多重復(fù)次數(shù)的IP為安全地址��,瀏覽器指向該IP��,用戶繼續(xù)瀏覽網(wǎng)頁�����;如果不成立���,則表明 X < N/2,本次瀏覽受到了 DNS攻擊�����,執(zhí)行步驟i); i) .停止瀏覽器訪問���,彈出"本次瀏覽因 DNS攻擊中止,請重新刷新頁面"���,停止瀏覽器 對網(wǎng)絡(luò)上任何服務(wù)器的訪問���;當(dāng)用戶點擊刷新時,重新向域名解析服務(wù)器發(fā)送請求����,執(zhí)行步 驟c);若用戶不想瀏覽原網(wǎng)頁而改為瀏覽其他網(wǎng)頁,則執(zhí)行步驟b)���。
[0020] 作為一個具體的實施例:在步驟a)中配置5個DNS服務(wù)器地址��,配置的DNS地址 有:202. 102. 154. 3, 202. 102. 152. 3, 202. 96. 128. 86, 202. 103. 224. 68,8. 8. 8. 8��。這 5 個DNS 服務(wù)器地址中�,202. 102. 154. 3和202. 102. 152. 3是位于濟(jì)南的兩個域名解析服務(wù)器地址���, 202. 96. 128. 86和202. 103. 224. 68是兩個省外但出于國內(nèi)的DNS服務(wù)器地址�����,分別位于廣 東和廣西���,8. 8. 8. 8是位于國外(美國)的DNS服務(wù)器地址�。用戶在輸入想要瀏覽的網(wǎng)址后��, 例如輸入"www. baidu. com"����,域名解析服務(wù)器配置模塊分別向已經(jīng)配置好的5個DNS發(fā)送 域名解析請求。步驟d)中觸發(fā)時間T設(shè)置為800ms��。在模擬的10次DNS攻擊中���,本實施例 的瀏覽器都能夠?qū)糇龀雠袛?����,而且?次都能成功對偽造的IP地址進(jìn)行過濾����,保留正 確的IP地址�����,從而使用戶得到正確的網(wǎng)站IP。在本實施例無法判斷出正確的IP地址情況 的3次攻擊情況下�����,都提示用戶���,并終止用戶進(jìn)一步的網(wǎng)絡(luò)瀏覽行為,從而防止用戶相關(guān)信 息被進(jìn)一步泄露��,保護(hù)了用戶的上網(wǎng)瀏覽的安全�。
[0021] 通過使用本發(fā)明所述的方法,能夠在用戶使用該瀏覽器瀏覽網(wǎng)頁時提供一個安全 的域名解析方法��,通過本實施例得瀏覽器能夠針對DNS域名解析過程中是否收到攻擊做出 判斷���,從而保證用戶原本輸入的域名能夠被正確指向的對應(yīng)的網(wǎng)站或服務(wù)����,解決DNS域名 解析過程中攻擊的關(guān)鍵問題����。
【權(quán)利要求】
1. 一種互聯(lián)網(wǎng)瀏覽器中安全的域名解析方法,其特征在于�,通過以下步驟來實現(xiàn): a) .配置多個域名解析服務(wù)器���,在傳統(tǒng)的原始瀏覽器中增加域名解析服務(wù)器配置模塊, 利用配置模塊為瀏覽器配置N個域名解析服務(wù)器地址�; b) .發(fā)送解析請求,用戶輸入網(wǎng)站域名并點擊搜索后���,向步驟a)中配置的N個域名解析 服務(wù)器發(fā)送域名解析請求��,同時啟動計時器R開始計時��; c) .域名解析�,N個域名解析服務(wù)器對接收到的域名進(jìn)行解析�,并將解析后的結(jié)果反饋 至瀏覽器; d) .接收返回包�,從計時器R計時開始至觸發(fā)時間T內(nèi),對接收到的N個域名解析服務(wù) 器返回包的數(shù)量和內(nèi)容進(jìn)行記錄���,設(shè)接收到的返回包的數(shù)量為Μ ;如果超過觸發(fā)時間T�����,瀏 覽器不再接收返回包�,即使接收到了返回包�,也會將超過觸發(fā)時間Τ接收的返回包丟棄�����; e) .網(wǎng)絡(luò)環(huán)境判斷���,判斷Μ=0是否成立,如果成立����,則表明這次瀏覽行為因網(wǎng)絡(luò)環(huán)境因 數(shù)沒有完成�,彈出"本次瀏覽因網(wǎng)絡(luò)環(huán)境中止,請重新刷新頁面"�����,執(zhí)行步驟f);如果不成 立�����,表明存在域名解析服務(wù)器的返回包�����,執(zhí)行步驟g); f) .當(dāng)用戶點擊瀏覽器上的刷新時���,重新向域名解析服務(wù)器發(fā)送請求��,執(zhí)行步驟c);若 用戶不想瀏覽原網(wǎng)頁而改為瀏覽其他網(wǎng)頁�,則執(zhí)行步驟b); g) . IP地址解析,從Μ個數(shù)據(jù)包中解析出域名所對應(yīng)的IP地址��,對Μ個IP地址進(jìn)行循 環(huán)比較����,記錄所有IP重復(fù)的次數(shù);取重復(fù)次數(shù)最多的IP��,同時記重復(fù)最多的IP的次數(shù)為X ; 執(zhí)行步驟h); h) .判斷是否存在可安全訪問的地址�,判斷X > N/2是否成立,如果成立����,則表明具有 最多重復(fù)次數(shù)的IP為安全地址,瀏覽器指向該IP�����,用戶繼續(xù)瀏覽網(wǎng)頁���;如果不成立���,則表明 X < N/2,本次瀏覽受到了 DNS攻擊�,執(zhí)行步驟i); i) .停止瀏覽器訪問�,彈出"本次瀏覽因 DNS攻擊中止,請重新刷新頁面"��,停止瀏覽器 對網(wǎng)絡(luò)上任何服務(wù)器的訪問����;當(dāng)用戶點擊刷新時,重新向域名解析服務(wù)器發(fā)送請求���,執(zhí)行步 驟c);若用戶不想瀏覽原網(wǎng)頁而改為瀏覽其他網(wǎng)頁,則執(zhí)行步驟b)����。
2. 根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)瀏覽器中安全的域名解析方法,其特征在于:步驟a) 中所述的域名解析服務(wù)器的數(shù)目N取大于等于3且小于等于10的整數(shù)��。
3. 根據(jù)權(quán)利要求1或2所述的互聯(lián)網(wǎng)瀏覽器中安全的域名解析方法����,其特征在于:步 驟a)中配置的N個域名解析服務(wù)器應(yīng)包含至少一個國外的DNS服務(wù)器、至少一個省外的 DNS服務(wù)器以及至少一個當(dāng)?shù)氐腄NS服務(wù)器。
4. 根據(jù)權(quán)利要求1或2所述的互聯(lián)網(wǎng)瀏覽器中安全的域名解析方法�,其特征在于:步 驟d)中觸發(fā)時間T的取值范圍滿足:100ms彡T彡3000ms。
【文檔編號】H04L29/12GK104104689SQ201410371984
【公開日】2014年10月15日 申請日期:2014年7月31日 優(yōu)先權(quán)日:2014年7月31日
【發(fā)明者】張瑋, 顧衛(wèi)東, 張新常, 史慧玲, 王魯, 孫萌 申請人:山東省計算中心(國家超級計算濟(jì)南中心)