本發明公開一種檢測DNS欺騙攻擊的方法、設備、存儲介質，應用于客戶端，包括以下步驟：步驟S1、獲取由服務端發送的密文；所述密文包括經第一密鑰加密的IP地址；步驟S2、調用第二密鑰解密所述密文，判斷所述第二密鑰對所述密文是否解密成功；若所述第二密鑰對所述密文解密失敗，則執行步驟S4；若所述第二密鑰對所述密文解密成功，得到已解密的IP地址，執行步驟S3；步驟S3、獲取本地IP地址，判斷所述本地IP地址與所述已解密的IP地址是否一致，若一致則所述IP地址合法，執行指定業務操作；若不一致，則執行步驟S4；步驟S4、所述IP為非法的IP地址，客戶端拒絕服務。本發明可驗證DNS的合法性，避免非法的DNS欺騙攻擊導致用戶信息泄露的問題。

技術領域

本發明涉及信息處理技術領域，尤其涉及一種檢測DNS欺騙攻擊的方法、設備、存儲介質。

背景技術

DNS(Domain?Name?System，域名系統)是互聯網的一項服務，作為域名和IP地址相互映射的一個分布式數據庫，能夠使人更方便地訪問互聯網。客戶端通過域名與服務端通訊，均需要請求公共的DNS解析服務器，將域名轉換為網絡通訊IP，客戶端根據IP地址基于TCP或者UDP協議與服務端建立通訊。惡意攻擊者可以冒充公共的DNS解析服務器，向客戶端返回非法的IP，實施中間人攻擊，客戶端難以判斷返回IP的合法性，連接非法IP通訊，導致客戶端信息泄露。

現有的驗證DNS方法一般是依賴系統或者硬件，如系統改用非默認端口與DNS解析服務器通訊、路由器過濾可疑的DNS響應、防火墻攔截DNS搶答等。但上述方法只能減少DNS攻擊，無法做到完全防止DNS欺騙。

發明內容

為了克服現有技術的不足，本發明的目的之一在于一種檢測DNS欺騙攻擊的方法，驗證DNS的合法性，避免非法的DNS欺騙攻擊導致用戶信息泄露的問題。

本發明的目的之二在于提供一種設備，執行一種檢測DNS欺騙攻擊的方法步驟，驗證DNS的合法性，避免非法的DNS欺騙攻擊導致用戶信息泄露的問題。

本發明的目的之三在于提供一種存儲介質，執行一種檢測DNS欺騙攻擊的方法步驟，驗證DNS的合法性，避免非法的DNS欺騙攻擊導致用戶信息泄露的問題。

本發明的目的之一采用如下技術方案實現：

一種檢測DNS欺騙攻擊的方法，應用于客戶端，包括以下步驟：

步驟S1、獲取由服務端發送的密文；所述密文包括經第一密鑰加密的IP地址；

步驟S2、調用第二密鑰解密所述密文，判斷所述第二密鑰對所述密文是否解密成功；若所述第二密鑰對所述密文解密失敗，則執行步驟S4；若所述第二密鑰對所述密文解密成功，得到已解密的IP地址，執行步驟S3；

步驟S3、獲取本地IP地址，判斷所述本地IP地址與所述已解密的IP地址是否一致，若一致則所述IP地址合法，執行指定業務操作；若不一致，則執行步驟S4；

步驟S4、所述IP地址為非法的IP地址，客戶端拒絕服務。

進一步地，所述步驟S2中判斷所述第二密鑰對所述IP地址是否解密成功包括以下步驟：

步驟S21、判斷所述第二密鑰對所述密文的解密結果是否為IP字符，若所述第二密鑰對所述密文的解密結果為IP字符，則第二密鑰對所述密文解密成功；若所述第二密鑰對所述密文的解密結果不是IP字符，則第二密鑰對所述密文解密失敗。

進一步地，所述步驟S3中獲取本地IP地址為通過調用本地系統函數，獲取本地DNS解析服務器的IP地址。

進一步地，還包括以下：步驟S0、向服務端請求合法的IP地址。

進一步地，所述密文還包括校驗信息，所述校驗信息包括服務端的身份信息，供所述客戶端驗證。