一種基于多維度優(yōu)化的快速DoH服務(wù)測量方法及工具技術(shù)

技術(shù)編號：40675743 閱讀：15 留言：0更新日期：2024-03-18 19:13

本發(fā)明專利技術(shù)公開了一種基于多維度優(yōu)化的快速DoH服務(wù)測量方法及工具。本方法為：1)對目標網(wǎng)絡(luò)進行掃描，獲取探測目標；2)申請公開域名作為基域名，并基于基域名選定一子域名作為探測子域名；然后基于探測子域名為每一所述探測目標分配唯一性子域名；3)選取或部署一DNS權(quán)威服務(wù)器作為自有權(quán)威服務(wù)器；將基域名部署到自有權(quán)威服務(wù)器上，基于各唯一性子域名為每一探測目標配置一通配符子域名；4)在另一DNS服務(wù)器上部署探測工具，向每一探測目標發(fā)送為其分配的唯一性子域名，并收集返回結(jié)果；5)根據(jù)所收集的返回結(jié)果以及自有權(quán)威服務(wù)器上的日志，識別每一探測目標的DoH服務(wù)質(zhì)量。通過本發(fā)明專利技術(shù)可一次主動探測過程即可完成測量。

全部詳細技術(shù)資料下載

【技術(shù)實現(xiàn)步驟摘要】

本專利技術(shù)涉及計算機科學的，尤其涉及一種基于多維度優(yōu)化的快速doh服務(wù)測量方法及工具。

技術(shù)介紹

1、dns服務(wù)系統(tǒng)是當前互聯(lián)網(wǎng)互聯(lián)互通的基石。dns解析服務(wù)實現(xiàn)域名和ip地址的轉(zhuǎn)換，該服務(wù)通常通過向解析服務(wù)器發(fā)起相關(guān)請求來實現(xiàn)。從組成構(gòu)件的角度來講，dns的生態(tài)包括用戶端、解析器、根服務(wù)器和權(quán)威服務(wù)器等角色。dns的解析請求由用戶端發(fā)起，向解析器發(fā)送dns查詢報文(query報文)進行遞歸查詢。收到query報文的解析器根據(jù)設(shè)置的不同存在兩種處理方式，一種情況是進行迭代查詢，另一種是向其他解析器轉(zhuǎn)發(fā)query報文繼續(xù)進行遞歸查詢。在迭代查詢的過程中，解析器首先向根服務(wù)器發(fā)送域名請求，在沒有收到指定查詢記錄的情況下，會根據(jù)返回的ns記錄一級接一級的向下層的權(quán)威服務(wù)器繼續(xù)查詢。

2、在傳統(tǒng)的請求方式中明文的解析請求可以被第三方網(wǎng)絡(luò)監(jiān)聽者輕易捕獲，用于服務(wù)推薦或者審查的目的。因此，為了更好的保護用戶隱私，提出了多種加密的dns解析通信方式，例如dot、doh、doq等。出于保護通信安全和用戶隱私的目的，多種doe(dns?overencryption)方法被提出?，F(xiàn)有的著名dns加密方法包括dot、doh和doq。dot方法是基于tls協(xié)議進行的加密，doh是基于https協(xié)議進行的加密，doq是基于quic協(xié)議進行的加密。doe方法可以有效防護針對線路的dns劫持方法。基于線路的dns劫持方法通常配合bgp劫持，將流經(jīng)相應(yīng)路由器的流量導向攻擊者指定的設(shè)備，然后在該設(shè)備上篩選dns流量并對查詢內(nèi)容做出虛假的回應(yīng)以實施劫持

3、在上述提到的多種doe方法中，doh方法最受人關(guān)注，因為其在加密信道的基礎(chǔ)上，通過與正常的web服務(wù)通過公用端口的方式來更好的提供隱匿dns服務(wù)。在近些年中，有些研究提出了不依賴于公共列表而在野外發(fā)現(xiàn)開放doh的方法。實驗結(jié)果表明，這些方法可以有效的測量doh服務(wù)。識別野外的doh服務(wù)具有多重意義：第一，測量doh服務(wù)可以發(fā)現(xiàn)dns服務(wù)資源，這些解析服務(wù)資源可以為其他用戶提供服務(wù)；第二，測量doh服務(wù)可以評估現(xiàn)有doh的發(fā)展狀況，評估現(xiàn)有doh服務(wù)的依賴性和真實性，同時為部署自有的doh服務(wù)器提供參考；第三，測量doh服務(wù)對于識別潛在的惡意服務(wù)，現(xiàn)階段部分惡意的服務(wù)例如c&c通信通過正常的doh服務(wù)器進行中轉(zhuǎn)，因此測量doh服務(wù)可以為進一步識別惡意流量提供基礎(chǔ)。因此，測量doh服務(wù)具有重要的意義。

4、在doh測量方面，曾經(jīng)有研究提出了一種基于域名的doh探測方法，在2022年發(fā)現(xiàn)了5715個doh服務(wù)器。雖然在請求時附加了域名并且結(jié)合了多種應(yīng)用(application)和路徑(path)等http字段，該研究同時指出87.4％的機器僅通過ip的方法即可訪問，而剩下的12.6％機器可以同時通過ip和域名訪問。還有研究提出了一種高效的三階段doh探測方法，在2022年成功識別了4354個doh服務(wù)器。

5、雖然上述提及的方法可以有效發(fā)現(xiàn)現(xiàn)有的doh服務(wù)，但是上述方法在探測效率上仍存在問題：第一是測量過程中需要多階段收集數(shù)據(jù)，并且在實際的doh探測過程中消耗較多的時間；第二是在發(fā)包量上需要發(fā)送較多的無效數(shù)據(jù)包，增加網(wǎng)絡(luò)運行的成本。

技術(shù)實現(xiàn)思路

1、為解決上述問題，本專利技術(shù)的目的在于提供一種基于多維度優(yōu)化的快速doh服務(wù)測量方法及工具。本專利技術(shù)基于三個維度對doh的服務(wù)進行了優(yōu)化，首先在策略層面提出了基于多字段過濾的方法，通過對實時握手的字段內(nèi)容進行過濾，對大概率不提供doh服務(wù)的主機進行篩選；其次，在實現(xiàn)層面基于golang語言進行編寫，利用golang的優(yōu)越線程調(diào)度機制優(yōu)化對多目標的探測；最后，在機制層面，引入了通配符域名機制，將doh服務(wù)的可用性測量、真實性測量和依賴性測量通過一次主動探測過程即可完成。

2、為達到上述目的，本專利技術(shù)采用的具體技術(shù)方案是：

3、一種基于多維度優(yōu)化的快速doh服務(wù)測量方法，其步驟包括：

4、1)使用端口掃描工具例如zmap對目標網(wǎng)絡(luò)內(nèi)的443端口進行掃描，尋找端口開放的主機作為探測目標。

5、2)從互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)處(icann)申請公開域名(以下稱為基域名)，并基于該域名選定一個合適的子域名確定為探測子域名(以下稱為探測基域名)，基于探測基域名為步驟1)中開放端口的探測目標分配唯一性子域名(以下稱為唯一性子域名)。

6、3)將基域名部署到自己可控的dns權(quán)威服務(wù)器上(以下稱為自有權(quán)威服務(wù)器)，對所有的唯一性子域名求并集，并基于該結(jié)果在自有權(quán)威服務(wù)器的zonefile文件中配置通配符子域名。

7、4)使用探測工具在不同于步驟2)所提到自有權(quán)威服務(wù)器的另一個服務(wù)器上運行，針對步驟1中的開放端口主機發(fā)送為每個主機分配的唯一性子域名，并對返回的數(shù)據(jù)包進行解析做為返回結(jié)果。

8、5)收集步驟3)中探測工具的探測結(jié)果以及自有權(quán)威服務(wù)器上的日志，進行可用性、依賴性和真實性的分析，具體分析方法見下述內(nèi)容。

9、進一步地，在通配符域名配置中，需要為每個探測目標配置唯一性子域名；在分配好域名之后，需要開發(fā)相關(guān)的探測工具，將探測目標及對應(yīng)的唯一性子域名輸入到探測工具中進行主動探測；在主動探測時需要收集探測工具的輸出結(jié)果，以及自有權(quán)威服務(wù)器上的日志文件；在收集到兩方面的數(shù)據(jù)之后，進行可用性、關(guān)聯(lián)性和依賴性的分析。

10、進一步地，通過以下步驟為每個探測目標配置唯一性子域名：將探測目標的地址轉(zhuǎn)化為字符串并且拼接到探測基域名上，將拼接后的完整域名作為完整域名(fqdn)分配給該探測目標。

11、進一步地，通過以下步驟對自有權(quán)威服務(wù)器進行配置：將所有的這些子域名映射到一個通配符域名記錄上，具體來講對所有分配的唯一性子域名求并集，即得到一個通配符域名可以涵蓋所有唯一性子域名。將得到的通配符域名配置到自有權(quán)威服務(wù)器的zonefile中，并為該域名映射一個私有地址，例如127.0.0.1，該通配符域名和該自有地址即作為zonefile中一條有效的資源記錄。

12、進一步地，通過以下步驟構(gòu)建主動探測工具：

13、1)基于握手過程中的協(xié)議握手環(huán)節(jié)的多個策略對每一探測目標是否提供doh服務(wù)進行實時判斷，這些策略按照串行順序依次進行過濾。在符合不提供doh服務(wù)的特征時，及時終止與當前探測目標的會話，不再進行下一步的探測；本文檔來自技高網(wǎng)...

【技術(shù)保護點】

1.一種基于多維度優(yōu)化的快速DoH服務(wù)測量方法，其步驟包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，為所述探測目標配置唯一性子域名的方法為：將每一探測目標的地址轉(zhuǎn)化為字符串并拼接到所述探測基域名上，將拼接后的完整域名作為對應(yīng)探測目標的唯一性子域名。

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，步驟3)中，對所述自有權(quán)威服務(wù)器進行配置的方法為：對各探測目標的唯一性子域名求并集，得到一個涵蓋各所述唯一性子域名的通配符域名；將所述通配符子域名配置到自有權(quán)威服務(wù)器的Zonefile文件中，并為所述通配符子域名映射一個私有地址，將所述通配符子域名和該私有地址作為Zonefile文件中一條有效的資源記錄。

4.根據(jù)權(quán)利要求1或2或3所述的方法，其特征在于，構(gòu)建所述探測工具的方法為：

5.根據(jù)權(quán)利要求1或2或3所述的方法，其特征在于，識別DoH服務(wù)的可用性的方法為：判斷每一探測目標A的返回結(jié)果中是否給出DNS回復狀態(tài)為NOERROR的報文，若是則判定該探測目標A的DoH服務(wù)可用；或者判斷所述自有權(quán)威服務(wù)器的請求記錄日志中是否有用戶請求了為該探測

6.根據(jù)權(quán)利要求1或2或3所述的方法，其特征在于，識別DoH服務(wù)的真實性的方法為：首先對每一探測目標A的返回結(jié)果進行解析，得到請求該探測目標A的資源記錄，然后對資源記錄進行判斷，若是與所述自有權(quán)威服務(wù)器的域名管理文件中所配置的資源記錄一致，若一致則判斷該探測目標A的DoH服務(wù)是真實的，否則該探測目標A的DoH服務(wù)是被劫持的。

7.根據(jù)權(quán)利要求1或2或3所述的方法，其特征在于，識別DoH服務(wù)的依賴性的方法為：首先對所述自有權(quán)威服務(wù)器記錄條目中的請求域名進行拆解，然后將探測目標A的唯一性子域名對應(yīng)的IP地址與后端記錄到請求該唯一性子域名的IP地址進行對比，如果一致則判定該探測目標A承載的是直接DoH服務(wù)，否則是間接DoH服務(wù)器。

8.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述探測工具中設(shè)有每一探測目標及其對應(yīng)的唯一性子域名，用于對所述探測目標進行主動探測。

9.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述策略包括但不限于安全協(xié)議傳輸層的使用版本、應(yīng)用層協(xié)議字段、服務(wù)身份識別字段和是否為自簽名證書。

10.一種基于多維度優(yōu)化的快速DoH服務(wù)測量工具，其特征在于，包括輸入解析模塊、線程調(diào)度模塊、網(wǎng)絡(luò)連接模塊、策略過濾模塊和信息輸出模塊；

...

【技術(shù)特征摘要】

1.一種基于多維度優(yōu)化的快速doh服務(wù)測量方法，其步驟包括：

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，步驟3)中，對所述自有權(quán)威服務(wù)器進行配置的方法為：對各探測目標的唯一性子域名求并集，得到一個涵蓋各所述唯一性子域名的通配符域名；將所述通配符子域名配置到自有權(quán)威服務(wù)器的zonefile文件中，并為所述通配符子域名映射一個私有地址，將所述通配符子域名和該私有地址作為zonefile文件中一條有效的資源記錄。

4.根據(jù)權(quán)利要求1或2或3所述的方法，其特征在于，構(gòu)建所述探測工具的方法為：

5.根據(jù)權(quán)利要求1或2或3所述的方法，其特征在于，識別doh服務(wù)的可用性的方法為：判斷每一探測目標a的返回結(jié)果中是否給出dns回復狀態(tài)為noerror的報文，若是則判定該探測目標a的doh服務(wù)可用；或者判斷所述自有權(quán)威服務(wù)器的請求記錄日志中是否有用戶請求了為該探測目標a分配的探測子域名，若存在該探測子域名則判定該探測目標a的doh服務(wù)可用。

6...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：董聰，李城龍，楊家海，焦浩然，董恩煥，尹霞，
申請(專利權(quán))人：北京中關(guān)村實驗室，
類型：發(fā)明
國別省市：

全部詳細技術(shù)資料下載我是這個專利的主人

相關(guān)技術(shù)

網(wǎng)友詢問留言已有0條評論

還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。

發(fā)布您的意見

相關(guān)領(lǐng)域技術(shù)