[发明专利]检测网络中的域名非法监听的方法与系统

说明书

本发明公开涉及检测网络中的域名非法监听的方法和系统。根据本发明的检测网络中的域名非法监听的方法包括：在网络的中心控制器处基于网络中的客户端的标识符使用伪随机算法生成检测专用域名的基础域名前缀，其中所述基础域名前缀对于网络中的所有客户端是唯一的；将检测任务指令发送给所述客户端，所述检测任务指令包括基础域名前缀和域名解析次数；响应于接收到检测任务指令，在客户端处生成域名解析请求，所述域名解析请求包括基于检测任务指令中包括的基础域名前缀和域名解析次数生成的域名，并且所生成的域名对于网络是唯一的；响应于接收到来自客户端的域名解析请求，在网络的检测DNS服务器处分析接收到的域名解析请求并存储分析结果。

技术领域

本发明公开通常涉及数据通信领域，并且更具体而言，涉及检测网络中的域名非法监听的方法与系统。

背景技术

互联网采用域名来代替IP地址(IPv4或IPv6地址)标识站点地址。例如，使用www.baidu.com来代替百度的IP地址202.108.22.5。域名资源是互联网的基础资源。域名解析就是域名到IP地址的转换过程，从而方便记忆和使用。域名系统(DNS)是互联网的关键组成部分，为大多数互联网应用提供基础服务，是互联网的核心服务之一，发挥中枢神经的作用。一般地，DNS服务是由网络运营商提供，在用户接入网络时，由网络给用户终端配置自动发配置DNS服务器(即，递归缓存服务器)的IPv4或IPv6地址。用户在访问网站或者应用平台时，一般首先通过DNS解析目的服务器域名的IPv4/IPv6地址。由于DNS信息的重要性和敏感性，经常发生用户的DNS解析在未经授权的情况求被三方进行监听并进行重放攻击，从而对于用户的信息隐私安全造成了伤害，也对于运营商的网络安全造成了威胁。网络运营商为了检测第三方的监听服务通常采用深度报文检测(DPI)方式，但DPI方式需要从海量的数据包进行逐个解析分析，处理成本高；其次，第三方进行监听的解析数据通常是加密的，DPI没法将其从普通数据流流中分离出来，也没法识别出第三方服务器的IP地址。

由于域名体现了用户的访问的互联网资源的目的地，而且域名系统本身具有脆弱性，在解析过程中，经常发生用户的DNS解析请求在未授权的情况被第三方进行监听和重放(Replay)解析。重放攻击是第三方常用的手段，第三方非法监听到合法用户的解析请求后，将解析请求重新发送给授权服务器。这对于用户的信息安全造成了伤害，也对于运营商的网络信息安全提出了挑战，因此迫切需要检测出这些监听用户域名解析的第三方在网络中的位置。

因此，现有技术中存在对能够检测网络中的域名非法监听的技术的需求。

发明内容

本公开的一个目的是提供一种检测网络中的域名非法监听的方法和系统，以便提高用户网络访问的安全性，保证用户和业务方不易遭受损失。

本发明在不采用DPI方法的情况下，通过布放分布式的监测节点，端到端检测网络中用户DNS解析过程是否被非授权监听和重放的情况，并发现非授权监听的第三方服务器的IP地址，为后续的责任追溯提供支持。

本发明仿真用户的DNS解析过程，从分布在网络中的多个检测客户端发送系列检测专用域名解析，并“引诱”第三方跟踪和解析测试域名，从而在检测接收服务器上留下其行为痕迹。

为了实现上述目的，根据本发明的一个方面提供了一种检测网络中的域名非法监听的方法，包括：在网络的中心控制器处基于网络中的客户端的标识符使用伪随机算法生成检测专用域名的基础域名前缀，其中所述基础域名前缀对于网络中的所有客户端是唯一的；将检测任务指令发送给所述客户端，所述检测任务指令包括基础域名前缀和域名解析次数；响应于接收到检测任务指令，在客户端处生成域名解析请求，其中所述域名解析请求包括基于检测任务指令中包括的基础域名前缀和域名解析次数生成的域名，并且其中所生成的域名对于网络是唯一的；响应于接收到来自客户端的域名解析请求，在网络的检测DNS服务器处分析接收到的域名解析请求并存储分析结果。