CN101834911B - 域名劫持的防御方法和网络出口设备 - Google Patents
域名劫持的防御方法和网络出口设备 Download PDFInfo
- Publication number
- CN101834911B CN101834911B CN 201010139416 CN201010139416A CN101834911B CN 101834911 B CN101834911 B CN 101834911B CN 201010139416 CN201010139416 CN 201010139416 CN 201010139416 A CN201010139416 A CN 201010139416A CN 101834911 B CN101834911 B CN 101834911B
- Authority
- CN
- China
- Prior art keywords
- domain name
- address
- information
- stored
- network gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明提供一种域名劫持的防御方法,适用于客户端与DNS服务器之间设置有网络出口设备的网络环境,或者适用于NS与DNS服务器之间设置有网络出口设备的网络环境,所述网络出口设备中配置有域名与NS信息之间的对应关系,所述方法包括:网络出口设备向DNS服务器请求与指定域名对应的NS信息;所述网络出口设备获得DNS服务器返回的NS信息;所述网络出口设备如果发现所述返回的NS信息与已经存储的与指定域名对应的NS信息不同,则再判断是否可能发生了域名劫持,如果是,则进行报警处理或防御处理,否则,将所述已经存储的与指定域名对应的NS信息更新为所述返回的NS信息。本发明还提供一种网络出口设备。本发明可以避免因发生域名劫持而影响客户端。
Description
技术领域
本发明涉及域名解析技术,尤其涉及域名劫持的防御方法和网络出口设备。
背景技术
目前,人们通常使用域名(例如www.XXX.com)访问网络。而网络中的实体之间一般通过IP地址进行互相识别。为保证人们通过域名能够访问网络,网络需要将域名转换为某个或某些实体的IP地址,一般将这种转换工作称为域名解析。域名解析可以由专用的服务器来完成,一般将完成域名解析工作的服务器称为域名系统(DNS,Domain Name System)服务器。
下面结合图1,简单介绍域名解析的过程。如图1所示,客户端向DNS服务器发出携带有域名的请求消息(步骤1),DNS服务器查找与所述域名对应的名字服务器(NS,Name Sever)的信息,向与所述域名对应的NS发出携带有所述域名的请求消息(步骤2),NS查找与所述域名对应的IP地址,向DNS服务器返回携带所述IP地址的响应消息(步骤3),DNS服务器向客户端返回携带所述IP地址的响应消息(步骤4)。
在实际应用中,有可能会发生域名劫持现象。如图2所示,DNS服务器存储了某个域名与非法的NS的信息的对应关系,当有客户端请求解析这个域名时(步骤1),DNS服务器根据这个域名与非法的NS的信息的对应关系,向非法的NS请求与这个域名对应的IP地址(步骤2’),非法的NS向DNS服务器返回非法的IP地址(步骤3’),DNS服务器向客户端返回非法的IP地址(步骤4’)。客户端获得非法的IP地址后,会访问到非法网站。
为避免域名劫持对客户端的影响,有的管理员在DNS服务器中配置域名与对应的IP地址之间的对应关系,当有客户端请求解析域名时,DNS服务器不需要向NS请求IP地址,而是直接将请求解析的域名对应的IP地址返回给客户端。
然而,目前的域名、IP地址的数量已经非常多,管理员在DNS服务器中维护大量的域名、IP地址所付出的代价会特别大,而且还存在配置错误、更新信息不及时的情况,所以,在DNS服务器中维护域名与IP地址的对应关系的方案的可用性不高。
发明内容
本发明提供域名劫持的防御方法和网络出口设备,用以避免域名劫持对客户端的影响,并且具有可用性。
本发明提供一种域名劫持的防御方法,适用于客户端与DNS服务器之间设置有网络出口设备的网络环境,或者适用于NS与DNS服务器之间设置有网络出口设备的网络环境,所述网络出口设备中配置有域名与NS信息之间的对应关系,所述方法包括:网络出口设备向DNS服务器请求与指定域名对应的NS信息;所述网络出口设备获得DNS服务器返回的NS信息;所述网络出口设备如果发现所述返回的NS信息与已经存储的与指定域名对应的NS信息不同,则再判断是否可能发生了域名劫持,如果是,则进行报警处理或防御处理,否则,将所述已经存储的与指定域名对应的NS信息更新为所述返回的NS信息。
本发明还提供一种网络出口设备,设置在客户端与DNS服务器之间,或者设置在NS与DNS服务器之间,所述网络出口设备包括:存储单元,用于存储域名与NS信息之间的对应关系;请求单元,用于向DNS服务器请求与指定域名对应的NS信息;获得单元,用于获得DNS服务器返回的NS信息;判断单元,用于判断所述返回的NS信息与所述存储单元已经存储的与指定域名对应的NS信息是否相同;报警单元,用于进行报警处理;防御单元,用于进行防御处理;更新单元,用于更新所述存储单元存储的信息;如果所述判断单元确定所述返回的NS信息与所述存储单元已经存储的与指定域名对应的NS信息不同,则再判断是否可能发生了域名劫持,如果是,则所述报警单元进行报警处理或者所述防御单元进行防御处理,否则,所述更新单元将所述存储单元已经存储的与指定域名对应的NS信息更新为所述返回的NS信息。
在本发明中,设置在客户端与DNS服务器之间或NS与DNS服务器之间的网络出口设备中配置有域名与NS信息之间的对应关系,网络出口设备如果发现从DNS服务器获得的NS信息与已经存储的NS信息不同,那么就判断是否可能发生了域名劫持,如果确定可能发生了域名劫持,那么就进行报警或防御处理,否则,更新NS信息。这样,客户端在请求解析域名时,网络出口设备就可以根据是否可能发生了域名劫持,而采取不同的处理方式,避免了因发生域名劫持而影响客户端。另外,本发明主要要求网络出口设备具备上述处理能力,不需要在DNS服务器中配置和维护大量的域名与IP地址的对应关系,所以,本发明相对于现有技术具有可用性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中的域名解析过程的示意图;
图2为现有技术中的域名劫持的示意图;
图3为本发明应用的网络环境示意图;
图4为本发明的一种域名劫持的防御方法的流程图;
图5为本发明的一种网络出口设备的逻辑结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本领域技术人员清楚的理解本发明,首先对本发明应用的网络环境和涉及的一些技术要点进行说明。
如图3所示,在客户端与DNS服务器之间或者在NS与DNS服务器之间设置有网络出口设备。如果在客户端与DNS服务器之间设置网络出口设备,那么网络出口设备可以设置在客户端所在的局域网的出口。如果在NS与DNS服务器之间设置网络出口设备,那么网络出口设备可以设置在NS所在的局域网的出口。
网络出口设备可以具有防火墙的功能,也可以具有网关的功能,还可以同时具有防火墙和网关的功能。
如果网络出口设备设置在客户端与DNS服务器之间,那么网络出口设备可以传递客户端与DNS服务器之间的消息。同样,如果网络出口设备设置在NS与DNS服务器之间,那么网络出口设备可以传递NS与DNS服务器之间的消息。另外,网络出口设备可以主动请求DNS服务器解析域名,可以主动请求DNS服务器返回与指定域名对应的NS信息,也可以主动请求存储whois信息的设备提供与指定域名对应的whois信息。
在实际应用中,NS信息可以包括NS的名称和NS的IP地址,whois信息属于注册信息,包括NS的名称、注册的起止时间等信息。
网络出口设备中可以配置有多个DNS服务器的IP地址,这样,网络出口设备可以根据这些IP地址,请求多个DNS服务器解析域名,也可以请求多个DNS服务器返回的与指定域名对应的NS信息。在实际应用中,网络可以被划分为多个区域,一个区域部署有至少一个DNS服务器,如果网络出口设备中配置有多个区域的DNS服务器的IP地址,那么网络出口设备就可以根据这些IP地址,请求多个区域的DNS服务器解析域名或返回与指定域名对应的NS信息。
网络出口设备中可以配置域名与NS信息之间的对应关系。网络出口设备可以向DNS服务器请求与指定域名对应的NS信息。网络出口设备在获得DNS服务器返回的与指定域名对应的NS信息后,可以检查之前是否已经存储所述指定域名与NS信息之间的对应关系。如果之前已经存储过所述指定域名与NS信息之间的对应关系,那么再判断DNS服务器返回的NS信息与已经存储的所述指定域名对应的NS信息是否相同,如果相同,则说明所述指定域名对应的NS信息没有变化,如果不相同,则再判断是否发生了域名劫持,如果确定可能发生了域名劫持,则采取相应的处理措施,例如进行报警处理或防御处理,如果确定没有发生域名劫持,那么说明NS信息确实有变化,这样就需要更新存储的NS信息,即,将已经存储的所述指定域名对应的NS信息更新为DNS服务器返回的NS信息。如果网络出口设备之前没有存储过所述指定域名与NS信息之间的对应关系,那么网络出口设备可以建立所述指定域名与DNS服务器返回的NS信息之间的对应关系。
网络出口设备可以在多种时机主动向DNS服务器请求指定域名对应的NS信息。例如,网络出口设备在发现所述指定域名对应的IP地址发生变化后,为证实是否发生了域名劫持,主动向DNS服务器请求指定域名对应的NS信息。再例如,网络出口设备可以周期性的向DNS服务器请求指定域名对应的NS信息,这个周期可以在DNS服务器向上级DNS服务器确定NS信息是否发生变化的周期的基础上进行设置,例如,网络出口设备向DNS服务器请求指定域名对应的NS信息的周期可以设置为24至48小时。
网络出口设备中还可以配置域名与whois信息之间的对应关系。网络出口设备在确定与指定域名对应的NS信息发生变化后,可以向存储whois信息的设备请求与指定域名对应的whois信息。网络出口设备在获得whois信息返回的与指定域名对应的whois信息后,可以通过判断返回的whois信息与已经存储的指定域名对应的whois信息之间的异同以及NS信息的变化情况,判断是否可能发生了域名劫持。如果确定可能发生了域名劫持,那么采取相应的处理措施,例如进行报警处理或防御处理,如果确定没有发生域名劫持,那么说明whois信息确实有变化,这样就需要更新存储的whois信息,即,将已经存储的所述指定域名对应的whois信息更新为DNS服务器返回的whois信息。
网络出口设备中还可以配置域名与IP地址之间的对应关系。网络出口设备获得DNS服务器返回的与某个域名对应的IP地址后,如果之前没有存储这个域名与对应的IP地址之间的对应关系,那么就建立这个域名与返回的IP地址之间的对应关系。如果之前已经存储了这个域名与对应的IP地址之间的对应关系,那么再判断DNS服务器返回的IP地址与已经存储的这个域名对应的IP地址是否一致,如果一致,则说明这个域名对应的IP地址没有发生变化,否则,说明这个域名对应的IP地址发生变化,此时,还需要进一步判断这种变化是否是合法变化。在实际应用中,网络出口设备可以采用多种方式来判断是否是合法变化。例如,基于多个区域的DNS服务器一般不会同时遭到攻击的特性,网络出口设备向多个区域的DNS服务器请求解析这个域名。如果这些区域的DNS服务器返回的IP地址与上述返回的IP地址一致,那么可以确定上述IP地址变化是合法变化。如果这些区域的DNS服务器返回的IP地址与已经存储的这个域名对应的IP地址相同,那么可以确定上述IP地址变化是非法变化。此时,网络出口设备可以向使用网络出口设备的管理员或者向返回非法IP地址的DNS服务器发出警告,以使返回非法IP地址的DNS服务器尽快将非法IP地址修改为正确的IP地址。
网络出口设备可以周期性的请求多个DNS服务器解析域名。在每次获得多个DNS服务器返回的对应某个域名的IP地址后,将返回的IP地址与之前保存的IP地址进行比较,如果完全一致,则可以不必修改之前保存的这个域名与IP地址的对应关系,如果不完全一致,则可以有多种处理方式。例如,网络出口设备再向与之前请求过的多个DNS服务器不同的多个DNS服务器请求解析这个域名,如果当前返回的IP地址与之前返回的IP地址完全一致,则说明这个域名对应的IP地址极有可能发生了变化,所以,将之前保存的这个域名对应的IP地址修改为返回的IP地址,如果当前返回的IP地址与之前返回的IP地址也不一致,则说明一定有DNS服务器受到了攻击,此时,可以判断返回的IP地址中哪个IP地址的数量最多,如果某个IP地址的数量最多,且返回这个IP地址的DNS服务器又是分别部署在不同区域的DNS服务器,则将之前保存的这个域名对应的IP地址修改为上述数量最多的IP地址。再例如,如果返回的IP地址与之前保存的IP地址不完全一致,则可以仍然将之前保存的IP地址作为这个域名对应的IP地址,不必修改之前保存的这个域名对应的IP地址,也不必再向多个DNS服务器请求解析这个域名。
网络出口设备也可以在客户端发出解析某个域名的请求后,再向DNS服务器请求解析这个域名。具体的,网络出口设备在获得客户端发出的解析某个域名的请求后,如果发现没有保存这个域名与IP地址的对应关系,那么可以向多个DNS服务器请求解析这个域名。网络出口设备在获得多个DNS服务器返回的与这个域名对应的IP地址后,如果确定返回的这些IP地址完全一致,那么可以将与这个域名对应的IP地址返回给客户端,并且还可以保存这个域名与这个IP地址的对应关系。另外,网络出口设备在获得客户端发出的解析某个域名的请求后,即使发现没有保存这个域名与IP地址的对应关系,也可以不必一定向多个DNS服务器请求解析这个域名,而是按照现有的处理方式,只向一个DNS服务器请求解析这个域名。在具体实现时,网络出口设备中可以配置需要向多个DNS服务器请求解析域名的客户端的端口号或IP地址,网络出口设备在获得客户端发出的解析某个域名的请求后,如果发现没有保存这个域名与IP地址的对应关系,那么再判断发出请求的客户端的端口号或IP地址是否是上述配置的端口号或IP地址,如果是,则向多个DNS服务器请求解析这个域名,否则,只向一个DNS服务器请求解析这个域名。
在本发明中,网络出口设备如果在发现某个域名对应的IP地址和/或NS信息发生变化的情况下,或者在确定发生域名劫持的情况下,获得客户端发出的解析这个域名的请求,那么仍然可以将之前保存的这个域名对应的IP地址返回给客户端。这是因为,网络服务商在将提供服务的服务器的IP地址(即域名对应的IP地址)和/或NS进行合法修改时,一般都会将原有的服务器和/或NS再沿用一段时间(也可以称为过渡期),所以,即使某个域名对应的IP地址和/或NS发生合法改变,将之前保存的这个域名对应的IP地址返回给客户端也仍然会保证客户端获得正确的IP地址,从而使客户端访问到正确的IP地址对应的网络实体。需要说明的是,如果网络出口设备发现与指定域名对应的IP地址发生变化,那么网络出口设备可以在一定时间内(例如7天或14天)多次向DNS服务器请求解析所述指定域名,如果每次获得的IP地址都一致,则说明IP地址的改变是合法的,这种情况下,网络出口设备可以更新IP地址,并为请求解析所述指定域名的客户端提供更新后的IP地址,以保证过渡期后,客户端仍然可以访问正确的IP地址对应的网络实体。
需要说明的是,在本发明中,网络出口设备可以在确认某个域名对应的IP地址发生变化后,再向DNS服务器请求这个域名对应的NS信息,如果发现返回的NS信息与之前保存的这个域名对应的NS信息不一致,那么再向存储whois信息的设备请求这个域名对应的whois信息,之后,结合NS信息的变化情况和whois信息的变化情况确定是否发生了域名劫持。前面提到过,网络出口设备在确认某个域名对应的IP地址是否发生变化时,可以向多个DNS服务器请求解析这个域名。如果这些DNS服务器返回的所有IP地址都与之前保存的这个域名对应的IP地址不一致,那么可以确认这个域名对应的IP地址发生了变化。如果这些DNS服务器返回的所有IP地址中,至少有一个IP地址与之前保存的这个域名对应的IP地址一致,那么可以确认这个域名对应的IP地址没有变化。
下面结合图4,介绍本发明的一种域名劫持的防御方法。如图4所示,这种方法包括:
S401:网络出口设备向DNS服务器请求与指定域名对应的NS信息。
前面提到过,网络出口设备可以在多种时机向DNS服务器请求与指定域名对应的NS信息。例如,在确定所述指定域名对应的IP地址发生变化时,向DNS服务器请求与所述指定域名对应的NS信息。例如,周期性的主动向DNS服务器请求与指定域名对应的NS信息。
网络出口设备在向DNS服务器请求与指定域名对应的NS信息时,可以向DNS服务器发出请求消息,请求消息中携带指定域名。
S402:所述网络出口设备获得DNS服务器返回的NS信息。
DNS服务器收到网络出口设备发出的请求消息后,可以向网络出口设备返回响应消息,响应消息中可以携带指定域名对应的NS信息,这样,网络出口设备就是收到了DNS服务器返回的NS信息。
S403:所述网络出口设备如果发现所述返回的NS信息与已经存储的与指定域名对应的NS信息不同,则再判断是否可能发生了域名劫持,如果是,则进行报警处理或防御处理,否则,将所述已经存储的与指定域名对应的NS信息更新为所述返回的NS信息。
网络出口设备在获得DNS服务器返回的NS信息后,可以判断返回的NS信息与已经存储的指定域名对应的NS信息是否相同。
如果返回的NS信息与已经存储的指定域名对应的NS信息相同,则可以确定没有发生域名劫持。如果网络出口设备是在确定指定域名对应的IP地址发生变化时向DNS服务器请求解析指定域名的,且之前只向一个DNS服务器请求解析指定域名,那么此时,网络出口设备可以向多个DNS服务器请求解析指定域名。如果多个DNS服务器返回的IP地址与已经存储的IP地址一致,那么说明之前返回IP地址的DNS服务器返回的是非法IP地址,这种情况下,可以向使用网络出口设备的管理员或者之前返回IP地址的DNS服务器发出警告。如果多个DNS服务器返回的IP地址与之前返回的IP地址一致,那么说明指定域名对应的IP地址发生了合法改变,这种情况下,网络出口设备可以将已经存储的指定域名对应的IP地址更新为之前返回的IP地址。如果返回的NS信息与已经存储的指定域名对应的NS信息不相同,那么网络出口设备可以再结合指定域名对应的whois信息是否发生变化,来判断是否可能发生了域名劫持。
具体的,网络出口设备中还可以配置有域名与whois信息之间的对应关系。网络出口设备在发现DNS服务器返回的NS信息与已经存储的指定域名对应的NS信息不同后,在判断是否可能发生了域名劫持之前,可以向存储whois信息的设备请求与指定域名对应的whois信息。网络出口设备获得存储whois信息的设备返回的whois信息。网络出口设备根据返回的whois信息与已经存储的与指定域名对应的whois信息的异同以及NS信息的变化,判断是否可能发生了域名劫持。
前面提到过,NS信息可以包括NS的名称和NS的IP地址。DNS服务器返回的NS信息与已经存储的与指定域名对应的NS信息不同可以是指:返回的NS的名称与已经存储的与指定域名对应的NS的名称不同,返回的NS的IP地址与已经存储的与指定域名对应的NS的IP地址相同;或者,返回的NS的IP地址与已经存储的与指定域名对应的NS的IP地址不同,返回的NS的名称与已经存储的与指定域名对应的NS的名称相同;或者,返回的NS的名称与已经存储的与指定域名对应的NS的名称不同,返回的NS的IP地址与已经存储的与指定域名对应的NS的IP地址不同。
网络出口设备可以根据whois信息和NS信息的以下几种变化情形,判断是否可能发生了域名劫持:
1.whois信息不变,NS的名称不变,NS的IP地址发生变化,域名对应的IP地址发生变化,则确定可能发生了域名劫持,此时,可以向管理员发出NS的IP地址发生变化的警告或向管理员提示可能发生了域名劫持,即,进行警告处理。
2.whois信息不变,NS的名称发生变化,NS的IP地址不变,域名对应的IP地址发生变化,则确定没有发生域名劫持。
3.whois信息不变,NS的名称发生变化,NS的IP地址发生变化,域名对应的IP地址发生变化,则确定可能发生了域名劫持,此时,可以向管理员提示可能发生了域名劫持,即,进行警告处理。
4.whois信息发生变化,NS的名称不变,NS的IP地址不变,域名对应的IP地址发生变化,则确定没有发生域名劫持。
5.whois信息发生变化,NS的名称不变,NS的IP地址发生变化,域名对应的IP地址发生变化,则确定可能发生了域名劫持,此时,可以向管理员发出NS的IP地址发生变化的警告或向管理员提示可能发生了域名劫持,即,进行警告处理。
6.whois信息发生变化,NS的名称发生变化,NS的IP地址不变,域名对应的IP地址发生变化,则确定没有发生域名劫持。
7.whois信息发生变化,NS的名称发生变化,NS的IP地址发生变化,域名对应的IP地址发生变化,则确定可能发生了域名劫持,此时,可以向管理员提示可能发生了域名劫持,即,进行警告处理。
由上述几种情形可知,如果NS的IP地址发生变化,那么就有可能发生了域名劫持。
另外,如果whois信息不变,NS的名称不变,NS的IP地址不变,域名对应的IP地址发生变化,则可以确定没有发生域名劫持。
前面提到过,网络出口设备中还可以配置有域名与IP地址之间的对应关系。设置在客户端与DNS服务器之间的网络出口设备在判断可能发生了域名劫持的情况下,如果有客户端请求解析指定域名,那么网络出口设备可以将已经存储的与指定域名对应的IP地址返回给客户端,即,进行防御处理。
对应于图4所示的方法,本发明还提供一种网络出口设备。如图5所示,这种网络出口设备包括:存储单元501,用于存储域名与NS信息之间的对应关系;请求单元502,用于向DNS服务器请求与指定域名对应的NS信息;获得单元503,用于获得DNS服务器返回的NS信息;判断单元504,用于判断所述返回的NS信息与存储单元501已经存储的与指定域名对应的NS信息是否相同;报警单元505,用于进行报警处理;防御单元506,用于进行防御处理;更新单元507,用于更新所述存储单元501存储的信息;如果判断单元504确定所述返回的NS信息与存储单元501已经存储的与指定域名对应的NS信息不同,则再判断是否可能发生了域名劫持,如果是,则报警单元505进行报警处理或者防御单元506进行防御处理,否则,更新单元507将存储单元501已经存储的与指定域名对应的NS信息更新为所述返回的NS信息。
存储单元还可以存储域名与whois信息之间的对应关系。
在判断单元504判断是否可能发生了域名劫持之前,请求单元502可以向存储whois信息的设备请求与所述指定域名对应的whois信息,获得单元503获得所述存储whois信息的设备返回的whois信息;判断单元504根据返回的whois信息与存储单元501已经存储的与所述指定域名对应的whois信息的异同以及NS信息的变化,判断是否可能发生了域名劫持。
NS信息可以包括NS的名称和NS的IP地址。返回的NS信息与存储单元501已经存储的与指定域名对应的NS信息不同可以是指:返回的NS的名称与存储单元501已经存储的与指定域名对应的NS的名称不同,返回的NS的IP地址与存储单元501已经存储的与指定域名对应的NS的IP地址相同;或者,返回的NS的IP地址与存储单元501已经存储的与指定域名对应的NS的IP地址不同,返回的NS的名称与存储单元501已经存储的与指定域名对应的NS的名称相同;或者,返回的NS的名称与存储单元501已经存储的与指定域名对应的NS的名称不同,返回的NS的IP地址与存储单元501已经存储的与指定域名对应的NS的IP地址不同。
报警单元505具体可以用于向管理网络出口设备的管理员提示可能发生了域名劫持。
存储单元501存储有域名与IP地址之间的对应关系。
如果网络出口设备设置在客户端与DNS服务器之间,且防御单元506收到客户端发出的解析所述指定域名的请求,则防御单元506可以将存储单元501已经存储的与所述指定域名对应的IP地址返回给客户端。
在请求单元502向DNS服务器请求与所述指定域名对应的NS信息之前,请求单元502可以向DNS服务器请求与所述指定域名对应的IP地址,获得单元503获得DNS服务器返回的IP地址,判断单元504判断所述返回的IP地址与存储单元501已经存储的与指定域名对应的IP地址是否相同,如果不同,则请求单元502可以向DNS服务器请求与所述指定域名对应的NS信息。
由于图5所示的网络出口设备与图4所示的方法相对应,所以,图5所示的网络出口设备中的各个单元的功能以及相互配合关系可以参见上述方法实施例中的相关描述,这里不再赘述。
综上所述,在本发明中,设置在客户端与DNS服务器之间或NS与DNS服务器之间的网络出口设备中配置有域名与NS信息之间的对应关系,网络出口设备如果发现从DNS服务器获得的NS信息与已经存储的NS信息不同,那么就判断是否可能发生了域名劫持,如果确定可能发生了域名劫持,那么就进行报警或防御处理,否则,更新NS信息。这样,客户端在请求解析域名时,网络出口设备就可以根据是否可能发生了域名劫持,而采取不同的处理方式,避免了因发生域名劫持而影响客户端。另外,本发明主要要求网络出口设备具备上述处理能力,不需要在DNS服务器中配置和维护大量的域名与IP地址的对应关系,所以,本发明相对于现有技术具有可用性。
在本发明中,在网络出口设备发现某个域名对应的NS信息发生变化或者确定发生了域名劫持后,如果有客户端请求解析这个域名,那么网络出口设备可以将已经存储的这个域名对应的IP地址返回给客户端,这样,即使发生了域名劫持或者网络服务商正常变更了NS,那么仍然可以保证客户端通过合法的IP地址获得服务。
在本发明中,在网络出口设备判断是否发生了域名劫持期间,如果有客户端请求解析这个域名,那么网络出口设备可以将已经存储的这个域名对应的IP地址返回给客户端,这样,维护域名与NS信息之间的对应关系的过程与域名解析过程可以并行处理,不会因为维护对应关系而影响客户端。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (18)
1.一种域名劫持的防御方法,其特征在于,适用于客户端与域名系统DNS服务器之间设置有网络出口设备的网络环境,或者适用于名字服务器NS与DNS服务器之间设置有网络出口设备的网络环境,所述网络出口设备中配置有域名与NS信息之间的对应关系,所述方法包括:
网络出口设备向DNS服务器请求与指定域名对应的NS信息;
所述网络出口设备获得DNS服务器返回的NS信息;
所述网络出口设备如果发现所述返回的NS信息与已经存储的与指定域名对应的NS信息不同,则再判断是否可能发生了域名劫持,如果可能发生了域名劫持,则进行报警处理或防御处理,如果确定没有发生域名劫持,将所述已经存储的与指定域名对应的NS信息更新为所述返回的NS信息。
2.如权利要求1所述的方法,其特征在于,所述网络出口设备中还配置有域名与whois信息之间的对应关系;
在所述网络出口设备在判断是否可能发生了域名劫持之前,所述方法还包括:
所述网络出口设备向存储whois信息的设备请求与所述指定域名对应的whois信息;
所述网络出口设备获得所述存储whois信息的设备返回的whois信息;
所述网络出口设备如果发现所述返回的NS信息与已经存储的与指定域名对应的NS信息不同,则再判断是否可能发生了域名劫持包括:
所述网络出口设备根据返回的whois信息与已经存储的与所述指定域名对应的whois信息的异同以及NS信息的变化,判断是否可能发生了域名劫持。
3.如权利要求2所述的方法,其特征在于,所述NS信息包括NS的名称和NS的IP地址;
所述返回的NS信息与已经存储的与指定域名对应的NS信息不同是指:
返回的NS的名称与已经存储的与指定域名对应的NS的名称不同,返回的NS的IP地址与已经存储的与指定域名对应的NS的IP地址相同;或者,
返回的NS的IP地址与已经存储的与指定域名对应的NS的IP地址不同,返回的NS的名称与已经存储的与指定域名对应的NS的名称相同;或者,
返回的NS的名称与已经存储的与指定域名对应的NS的名称不同,返回的NS的IP地址与已经存储的与指定域名对应的NS的IP地址不同。
4.如权利要求3所述的方法,其特征在于,如果返回的NS的IP地址与已经存储的与指定域名对应的NS的IP地址不同,返回的NS的名称与已经存储的与指定域名对应的NS的名称相同,返回的whois信息与已经存储的与所述指定域名对应的whois信息相同,返回的域名对应的IP地址发生变化则确定可能发生了域名劫持。
5.如权利要求3所述的方法,其特征在于,如果返回的NS的名称与已经存储的与指定域名对应的NS的名称不同,返回的NS的IP地址与已经存储的与指定域名对应的NS的IP地址相同,返回的whois信息与已经存储的与所述指定域名对应的whois信息相同,返回的域名对应的IP地址发生变化则确定没有发生域名劫持。
6.如权利要求3所述的方法,其特征在于,如果返回的NS的名称与已经存储的与指定域名对应的NS的名称不同,返回的NS的IP地址与已经存储的与指定域名对应的NS的IP地址不同,返回的whois信息与已经存储的与所述指定域名对应的whois信息相同,返回的域名对应的IP地址发生变化则确定可能发生了域名劫持。
7.如权利要求3所述的方法,其特征在于,如果返回的NS的IP地址与已经存储的与指定域名对应的NS的IP地址不同,返回的NS的名称与已经存储的与指定域名对应的NS的名称相同,返回的whois信息与已经存储的与所述指定域名对应的whois信息不同,返回的域名对应的IP地址发生变化则确定可能发生了域名劫持。
8.如权利要求3所述的方法,其特征在于,如果返回的NS的名称与已经存储的与指定域名对应的NS的名称不同,返回的NS的IP地址与已经存储的与指定域名对应的NS的IP地址相同,返回的whois信息与已经存储的与所述指定域名对应的whois信息不同,返回的域名对应的IP地址发生变化则确定没有发生域名劫持。
9.如权利要求3所述的方法,其特征在于,如果返回的NS的名称与已经存储的与指定域名对应的NS的名称不同,返回的NS的IP地址与已经存储的与指定域名对应的NS的IP地址不同,返回的whois信息与已经存储的与所述指定域名对应的whois信息不同,返回的域名对应的IP地址发生变化则确定可能发生了域名劫持。
10.如权利要求4、6、7或9所述的方法,其特征在于,所述网络出口设备按照下述方式进行报警处理:向管理所述网络出口设备的管理员提示可能发生了域名劫持。
11.如权利要求4、6、7或9所述的方法,其特征在于,所述网络出口设备中配置有域名与IP地址之间的对应关系;
如果所述网络出口设备设置在客户端与DNS服务器之间,则所述网络出口设备按照下述方式进行防御处理:如果有客户端请求解析所述指定域名,则所述网络出口设备将已经存储的与所述指定域名对应的IP地址返回给客户端。
12.如权利要求1-9任意一项所述的方法,其特征在于,所述网络出口设备中配置有域名与IP地址之间的对应关系;
所述方法还包括:
所述网络出口设备向DNS服务器请求与所述指定域名对应的IP地址;
所述网络出口设备获得DNS服务器返回的IP地址;
所述网络出口设备如果发现所述返回的IP地址与已经存储的与指定域名对应的IP地址不同,则向DNS服务器请求与所述指定域名对应的NS信息。
13.一种网络出口设备,其特征在于,设置在客户端与DNS服务器之间,或者设置在NS与DNS服务器之间,所述网络出口设备包括:
存储单元,用于存储域名与NS信息之间的对应关系;
请求单元,用于向DNS服务器请求与指定域名对应的NS信息;
获得单元,用于获得DNS服务器返回的NS信息;
判断单元,用于判断所述返回的NS信息与所述存储单元已经存储的与指定域名对应的NS信息是否相同;
报警单元,用于进行报警处理;
防御单元,用于进行防御处理;
更新单元,用于更新所述存储单元存储的信息;
如果所述判断单元确定所述返回的NS信息与所述存储单元已经存储的与指定域名对应的NS信息不同,则再判断是否可能发生了域名劫持,如果可能发生了域名劫持,则所述报警单元进行报警处理或者所述防御单元进行防御处理,如果确定没有发生域名劫持,所述更新单元将所述存储单元已经存储的与指定域名对应的NS信息更新为所述返回的NS信息。
14.如权利要求13所述的网络出口设备,其特征在于,所述存储单元还存储域名与whois信息之间的对应关系;
在所述判断单元判断是否可能发生了域名劫持之前,所述请求单元向存储whois信息的设备请求与所述指定域名对应的whois信息,所述获得单元获得所述存储whois信息的设备返回的whois信息;
所述判断单元,具体用于根据返回的whois信息与所述存储单元已经存储的与所述指定域名对应的whois信息的异同以及NS信息的变化,判断是否可能发生了域名劫持。
15.如权利要求13所述的网络出口设备,其特征在于,所述NS信息包括NS的名称和NS的IP地址;
所述返回的NS信息与所述存储单元已经存储的与指定域名对应的NS信息不同是指:
返回的NS的名称与所述存储单元已经存储的与指定域名对应的NS的名称不同,返回的NS的IP地址与所述存储单元已经存储的与指定域名对应的NS的IP地址相同;或者,
返回的NS的IP地址与所述存储单元已经存储的与指定域名对应的NS的IP地址不同,返回的NS的名称与所述存储单元已经存储的与指定域名对应的NS的名称相同;或者,
返回的NS的名称与所述存储单元已经存储的与指定域名对应的NS的名称不同,返回的NS的IP地址与所述存储单元已经存储的与指定域名对应的NS的IP地址不同。
16.如权利要求13-15所述的网络出口设备,其特征在于,所述报警单元具体用于向管理所述网络出口设备的管理员提示可能发生了域名劫持。
17.如权利要求13-15所述的网络出口设备,其特征在于,所述存储单元存储有域名与IP地址之间的对应关系;
如果所述网络出口设备设置在客户端与DNS服务器之间,且所述防御单元收到客户端发出的解析所述指定域名的请求,则所述防御单元将所述存储单元已经存储的与所述指定域名对应的IP地址返回给客户端。
18.如权利要求13-15所述的网络出口设备,其特征在于,所述存储单元存储有域名与IP地址之间的对应关系;
在所述请求单元向DNS服务器请求与所述指定域名对应的NS信息之前,所述请求单元向DNS服务器请求与所述指定域名对应的IP地址,所述获得单元获得DNS服务器返回的IP地址,所述判断单元判断所述返回的IP地址与所述存储单元已经存储的与指定域名对应的IP地址是否相同,如果不同,则所述请求单元向DNS服务器请求与所述指定域名对应的NS信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010139416 CN101834911B (zh) | 2010-03-31 | 2010-03-31 | 域名劫持的防御方法和网络出口设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010139416 CN101834911B (zh) | 2010-03-31 | 2010-03-31 | 域名劫持的防御方法和网络出口设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101834911A CN101834911A (zh) | 2010-09-15 |
| CN101834911B true CN101834911B (zh) | 2013-04-24 |
Family
ID=42718840
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010139416 Expired - Fee Related CN101834911B (zh) | 2010-03-31 | 2010-03-31 | 域名劫持的防御方法和网络出口设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101834911B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255778A (zh) * | 2011-09-06 | 2011-11-23 | 网宿科技股份有限公司 | 一种防劫持的域名授权监控系统 |
| CN104348669B (zh) * | 2013-07-23 | 2019-04-23 | 深圳市腾讯计算机系统有限公司 | 一种域名劫持探测方法、系统及装置 |
| CN103561120B (zh) * | 2013-10-08 | 2017-06-06 | 北京奇虎科技有限公司 | 检测可疑dns的方法、装置和可疑dns的处理方法、系统 |
| CN103763406A (zh) * | 2014-01-24 | 2014-04-30 | 互联网域名系统北京市工程研究中心有限公司 | Dns全局监控方法及其系统 |
| CN103825895B (zh) * | 2014-02-24 | 2019-06-25 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
| CN103905273B (zh) * | 2014-03-25 | 2017-06-20 | 百度在线网络技术(北京)有限公司 | Dns劫持的监测方法和装置 |
| CN104113447B (zh) * | 2014-07-10 | 2017-11-10 | 北京蓝汛通信技术有限责任公司 | 监测域名解析污染的方法、装置及系统 |
| CN104135471B (zh) * | 2014-07-14 | 2018-01-23 | 嘉兴市辰翔信息科技有限公司 | Dns防劫持通信方法 |
| CN104468860B (zh) * | 2014-12-04 | 2018-06-26 | 北京奇虎科技有限公司 | 域名解析服务器危险性的识别方法和装置 |
| CN105872119A (zh) * | 2015-12-10 | 2016-08-17 | 乐视云计算有限公司 | 域名解析系统的实现方法及装置 |
| CN105610867B (zh) * | 2016-03-01 | 2019-07-02 | 阿继琛 | 一种dns防劫持方法和装置 |
| CN105681358A (zh) * | 2016-03-31 | 2016-06-15 | 北京奇虎科技有限公司 | 检测域名劫持的方法、装置和系统 |
| CN105871912A (zh) * | 2016-06-03 | 2016-08-17 | 腾讯科技(深圳)有限公司 | 一种域名劫持的探测方法和服务器以及移动终端 |
| CN107172096A (zh) * | 2017-07-06 | 2017-09-15 | 苏州蜗牛数字科技股份有限公司 | 一种防止dns截持的方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483675A (zh) * | 2008-01-11 | 2009-07-15 | 华为技术有限公司 | 一种网络设备查找方法和网络设备 |
| CN101640679A (zh) * | 2009-04-13 | 2010-02-03 | 山石网科通信技术(北京)有限公司 | 域名解析代理方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1729673A (zh) * | 2002-12-20 | 2006-02-01 | 皇家飞利浦电子股份有限公司 | 用于在多机种ip网络中的客户机与服务器之间建立通信的系统和方法 |
-
2010
- 2010-03-31 CN CN 201010139416 patent/CN101834911B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483675A (zh) * | 2008-01-11 | 2009-07-15 | 华为技术有限公司 | 一种网络设备查找方法和网络设备 |
| CN101640679A (zh) * | 2009-04-13 | 2010-02-03 | 山石网科通信技术(北京)有限公司 | 域名解析代理方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101834911A (zh) | 2010-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101834911B (zh) | 域名劫持的防御方法和网络出口设备 | |
| CN101827136B (zh) | 域名系统服务器缓存感染的防御方法和网络出口设备 | |
| US8020045B2 (en) | Root cause analysis method, apparatus, and program for IT apparatuses from which event information is not obtained | |
| US8719937B2 (en) | Methods and systems for network attack detection and prevention through redirection | |
| US8800044B2 (en) | Storing and accessing threat information for use in predictive modeling in a network security service | |
| CN109067930B (zh) | 域名接入方法、域名解析方法、服务器、终端及存储介质 | |
| US10225231B2 (en) | Method and server of remote information query | |
| US20120297478A1 (en) | Method and system for preventing dns cache poisoning | |
| CN103685575A (zh) | 一种基于云架构的网站安全监控方法 | |
| CN109474575A (zh) | 一种dns隧道的检测方法及装置 | |
| CN111885086B (zh) | 恶意软件心跳检测方法、装置、设备及可读存储介质 | |
| CN110677384B (zh) | 钓鱼网站的检测方法及装置、存储介质、电子装置 | |
| CN104219200A (zh) | 一种防范dns缓存攻击的装置和方法 | |
| CN108270778B (zh) | 一种dns域名异常访问检测方法及装置 | |
| CN105025025A (zh) | 一种基于云平台的域名主动检测方法和系统 | |
| WO2017067443A1 (zh) | 一种安全域名系统及其故障处理方法 | |
| CN105681358A (zh) | 检测域名劫持的方法、装置和系统 | |
| CN110572390A (zh) | 检测域名劫持的方法、装置、计算机设备和存储介质 | |
| CN110855636B (zh) | 一种dns劫持的检测方法和装置 | |
| CN1750480A (zh) | 一种内网计算机非法外联的检测方法 | |
| CN111683162B (zh) | 一种基于流量识别的ip地址管理方法 | |
| CN113691491A (zh) | 域名系统中恶意域名的检测方法与检测装置 | |
| CN102223422A (zh) | 一种dns报文处理方法及网络安全设备 | |
| US20170187730A1 (en) | Security indicator linkage determination | |
| CN106790071B (zh) | 一种dns全流量劫持风险的检测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130424 Termination date: 20190331 |