CN105025025B - 一种基于云平台的域名主动检测方法和系统 - Google Patents
一种基于云平台的域名主动检测方法和系统 Download PDFInfo
- Publication number
- CN105025025B CN105025025B CN201510435008.5A CN201510435008A CN105025025B CN 105025025 B CN105025025 B CN 105025025B CN 201510435008 A CN201510435008 A CN 201510435008A CN 105025025 B CN105025025 B CN 105025025B
- Authority
- CN
- China
- Prior art keywords
- domain name
- server
- message
- record
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000001514 detection method Methods 0.000 claims abstract description 63
- 238000012545 processing Methods 0.000 claims abstract description 13
- 230000009471 action Effects 0.000 claims abstract description 4
- 230000004044 response Effects 0.000 claims description 36
- 238000013475 authorization Methods 0.000 claims description 15
- 239000000284 extract Substances 0.000 claims description 9
- 238000013507 mapping Methods 0.000 claims description 9
- 239000000523 sample Substances 0.000 claims description 8
- 238000007405 data analysis Methods 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 3
- 235000013399 edible fruits Nutrition 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 3
- 238000012544 monitoring process Methods 0.000 claims description 2
- 238000007689 inspection Methods 0.000 claims 1
- 230000008569 process Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000010191 image analysis Methods 0.000 description 1
- 239000002574 poison Substances 0.000 description 1
- 231100000614 poison Toxicity 0.000 description 1
- 230000006641 stabilisation Effects 0.000 description 1
- 238000011105 stabilization Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于云平台的域名主动检测方法和系统,该方法包括:(1)将各处理微引擎注册到云平台上,初始化微引擎配置参数;(2)配置并生成域名检测任务,并将其发送到云平台;(3)调度所述域名检测任务到指定的微引擎程序,执行完成后将任务执行结果以文本方式存储到FTP服务器中;(4)从FTP服务器中获取执行结果文件,并将解析后的所述执行结果文件存储到数据库中。针对该方法构建了一种主动检测的系统,本发明运用云平台资源在各地域个运营商进行域名安全主动检测,能够高效完成Ipv4段DNS服务器判定。
Description
技术领域
本发明涉及一种主动检测方法和系统,具体涉及一种基于云平台的域名主动检测方法和系统。
背景技术
域名系统是互联网的关键组成部分,域名资源是互联网的基础资源,域名服务是互联网的核心服务之一,为大多数互联网应用提供基础服务,发挥中枢神经的作用。伴随着互联网的发展,各种互联网服务层出不穷,数亿量级的域名已被申请注册,随之而来域名服务设施也越来越多,但由于域名系统本身的脆弱性,其常常被网络攻击以及恶意利用,造成域名无法正确解析,例如利用其漏洞进行缓存投毒造成部分域名解析错误,对其进行DDoS攻击使得其服务异常而造成大范围用户访问互联网异常等,严重影响互联网服务的稳定性。因此,如何检测域名系统运行情况和安全状态是域名服务安全稳定运行保障中一个重要环节,对于维护互联网安全,促进其健康发展具有重要意义。
在域名安全检测方面目前主要的方法有主动域名检测和被动域名检测两种方式,被动检测在域名系统服务器旁侧来对获取的DNS访问流量数据进行分析处理,记录实际域名访问情况,目前在该方面主要采用两种方式:一种为对域名服务器日志进行分析,一种为镜像方式将域名服务器数据进行镜像分析。主动域名检测主要可对域名解析服务器进行探测,获取某域名的相关解析数据以及其它服务器状态数据,目前在对缓存递归服务器、权威服务器等方面都有一些主动探测方法和工具,以单点探测为主,它不能反映全局域名及域名服务器解析情况,且各自工具功能相对较单一、资源复用率低、探测资源不足、系统检测性能不足等问题,另外对于一些域名服务器进行了访问IP的限制,因此单点探测也无法保障可对所有域名都能进行成功探测,分布式多点探测目前也多以部署多个单点探测来完成,对于一些特定特征及DNSSEC技术应用、CDN导致域名探测问题等方面也未涉及。
发明内容
为了克服上述现有技术的不足,本发明提供一种基于云平台的域名主动检测方法和系统,本发明能够高效完成Ipv4段DNS服务器判定,对关键域名劫持事件进行主动检测。
为了实现上述发明目的,本发明采取如下技术方案:
一种基于云平台的域名主动检测方法,所述方法包括如下步骤:
(1)将各处理微引擎注册到云平台上,初始化微引擎配置参数;
(2)配置并生成域名检测任务,并将其发送到云平台;
(3)调度所述域名检测任务到指定的微引擎程序,执行完成后将任务执行结果以文本方式存储到FTP服务器中;
(4)从FTP服务器中获取执行结果文件,并将解析后的所述执行结果文件存储到数据库中。
优选的,所述步骤(1)中,所述配置参数包括检测的目标服务器地址和检测的域名。
优选的,所述步骤(2)中,所述配置域名检测任务包括配置任务执行的周期、任务执行节点所需的地域及运营商资源信息。
优选的,所述步骤(3)中,当所述域名检测任务为域名服务设施运行状态检测任务时,对全IPv4段地址依据地域及运营商进行DNS服务类型、提供服务情况以及服务质量进行检测,包括如下步骤:
步骤401、设置要探测的IPv4段列表IPLIST,以及所需要探测的地域及运营商信息;所述IPLIST包括IP1、IP2…;
步骤402、将该任务下发到指定地域及运营商的云平台节点上;
步骤403、组织DNS报文序列SQ,所述SQ包括DNS1报文、DNS2报文、DNS3报文、DNS4报文和DNS5报文,其中DNS1报文为基于UDP的标准A类型请求,请求的域名为a.root-servers.net;DNS2报文为基于UDP的标准A类型请求,请求的域名为a.dns.cn;DNS3报文为基于UDP的标准CNAME类型请求,请求的域名为www.xxx.com;DNS4报文为基于TCP的标准A类型请求,请求的域名为a.root-servers.net;DNS5报文为基于UDP的DNSSEC请求;
所述标准A类型请求为域名的IP请求类型;
步骤404、开启线程监听UDP的53端口,等待获取反馈的DNS应答报文;
步骤405、按照IPv4段列表信息依次向其中的IPv4服务器地址IP1、IP2…的53端口发送SQ中的DNS1报文,控制每秒的发送速率不超过10000PPS;
步骤406、在监听线程获取DNS应答报文,分析其报文应答域中的解析记录是否为a.root-servers.net的解析A记录以及报文目的IP是否在IPLIST中,如果满足以上条件则该IP为DNS服务器;
步骤407、向已确定DNS服务器IP依次发送SQ中的DNS2、DNS3报文,分析其报文应答域中的解析记录是否正确获得相应的记录,若均获得正确应答记录则为递归服务器,若应答标记字段中权威记录标识取值为1或RCODE字段全部标记REFUSED则该IP为权威服务器;
步骤408、向DNS服务器发送SQ中的DNS4报文,分析其报文应答情况,若获取正确应答则该服务器支持TCP,否则不支持;
步骤409、向DNS服务器发送SQ中的DNS5报文,分析其报文应答中RRSIG记录情况,若正确获取则该服务器支持DNSSEC,否则不支持;
步骤410、向DNS服务器发送SQ中的DNS2报文数次,获取反馈的延迟时间及成功次数,计算平均延迟及响应成功率;
步骤411、在完成向全部IPLIST中IP发送报文后等待10秒结束微引擎处理。
优选的,所述步骤(3)中,当所述检测任务为关键域名劫持事件检测任务时,获取该域名的授权服务器,再从该服务器上获取对应的解析资源,依据解析资源进行劫持检测,包括如下步骤:
步骤501、从根域名服务器a.root-servers.net逐级获取待检域名DOMAIN的权威记录,最终获取该域名的授权服务器IP地址;
步骤502、在各地域各运营商的处理节点向所述授权服务器进行针对待检域名的A类型请求;
步骤503、获取应答域中的各解析A记录,形成针对待检域名的解析IP列表VLIST;
步骤504、向待检DNS服务器进行待检域名的A类型请求,获取其解析IP结果,并与VLIST中的记录进行比对,若不存在该IP则进行劫持事件记录,所述劫持事件记录包括DNS服务器IP地址、域名、解析值以及依据的VLIST。
优选的,所述步骤(3)中,当所述检测任务为使用了CDN服务的域名检测任务时,利用域名资源数据分析利用字符、聚类的特性获取CDN域名列表,并利用该列表进行检测,包括如下步骤:
步骤601、从域名资源数据中的CNAME记录进行二级域名提取,形成二级域名映射表,所述映射表中包括请求的二级域名、CNMAE以及应答的二级域名;
步骤602、对应答的二级域名中包含‘CDN’字符的进行提取加入到CDN服务域名列表CDNLIST中;
步骤603、对应答的二级域名进行聚类分析,获取不同请求二级域名映射到相同二级域名的记录,提取该域名加入到CDN服务域名列表CDNLIST中;
步骤604、向DNS服务器请求待检域名的A类型记录,获取该域名的应答记录,检查首条应答记录是否为CNAME记录,若不为CNAME记录则丢弃;若为CNAME记录,则提取解析值的二级域名并与CDNLIST进行匹配,匹配成功的则为使用了CDN的域名,否则不是。
优选的,一种基于云平台的域名主动监测系统,所述系统包括:
微引擎管理模块,用于将各处理微引擎注册到云平台上,初始化微引擎配置参数;
任务生成模块,用于配置并生成域名检测任务,并将其发送到云平台;
云平台,用于调度所述域名检测任务到指定的微引擎程序,执行完成后将任务执行结果以文本方式存储到FTP服务器中;
结果处理模块,用于从FTP服务器中获取执行结果文件,并将解析后的所述执行结果文件存储到数据库中。
优选的,所述系统还包括微引擎库,所述微引擎库中包括:
服务状态检测微引擎,用于对全IPv4段地址依据地域及运营商进行DNS服务类型、提供服务情况以及服务质量进行检测;
关键域名劫持事件微引擎,用于获取该域名的授权服务器,再从该服务器上获取对应的解析资源,依据解析资源进行劫持检测;
使用CDN服务的域名检测微引擎,用于利用域名资源数据分析利用字符、聚类的特性获取CDN域名列表,并利用该列表进行检测;
域名服务器信息采集微引擎,用于对待检域名服务器进行探测,提取特征指纹,分析域名服务器基本状况;
缓存记录检测微引擎,用于对DNS缓存服务器进行主动探测,发现域名记录在各缓存服务器上当前资源信息,包括域名解析值、TTL信息,进而获取该域名的全局缓存记录,为异常事件的发现提供基础数据支持;
权威记录检测微引擎,用于对DNS权威服务器进行主动探测。
与现有技术相比,本发明的有益效果在于:
本发明运用云平台资源在各地域个运营商进行域名安全主动检测,能够高效完成Ipv4段DNS服务器判定,单节点10Mbps带宽检测完成Ipv4段需要时间短,对关键域名劫持事件进行主动检测,对使用了CDN服务的域名进行检测,掌握数百CDN服务商域名。
附图说明
图1是本发明提供的一种基于云平台的域名主动检测方法流程图
图2是本发明提供的一种基于云平台的域名主动检测系统结构图
具体实施方式
下面结合附图对本发明作进一步详细说明。
如图1所示,一种基于云平台的域名主动检测方法,具体的实施步骤如下:
(1)将各处理微引擎注册到云平台中,之后选择需要使用的微引擎,初始化其配置参数,配置参数包括检测的目标服务器地址、检测的域名等;
(2)配置域名检测任务,配置任务包括选择执行的周期、执行节点所需的地域及运营商资源信息等;
(3)将配置好的任务下发到云平台,由云平台进行调度执行该任务,运行微引擎程序进行处理,执行完成后将任务执行结果以文本方式存储到FTP服务器中;
(4)从FTP服务器中获取执行结果,将解析后的执行结果存储到数据库中。
上述过程中步骤(3)微引擎程序的处理过程为域名安全主动检测的关键步骤,不同微引擎程序的处理流程不同,以下分别对域名服务设施运行状态检测方法、关键域名劫持事件检测方法、使用了CDN服务的域名检测方法的具体实施步骤进行描述。
域名服务设施运行状态检测需要对全IPv4段地址依据地域及运营商进行DNS服务类型、提供服务情况以及服务质量进行检测,具体实施步骤如下:
步骤S201、配置域名服务器信息采集微引擎,设置要探测的IPv4段列表IPLIST,包括所需要探测的地域及运营商信息<IP1,IP2,Province,ISP>;
步骤S202、将该任务下发到指定地域及运营商的云平台节点上,待调度到该任务时开始执行;
步骤S203、组织DNS报文序列SQ<DNS1DNS2DNS3DNS4DNS5…>,其中DNS1报文为基于UDP的标准A类型请求,请求的域名为a.root-servers.net;DNS2报文为基于UDP的标准A类型请求,请求的域名为a.dns.cn;DNS3报文为基于UDP的标准CNMAE类型请求,请求的域名为www.xxx.com;DNS4报文为基于TCP的标准A类型请求,请求的域名为a.root-servers.net;DNS5报文为基于UDP的DNSSEC请求,还可加入其它类型的DNS报文到该序列SQ中;
其中标准A类型请求为域名的IP请求类型;
步骤S204、开启线程监听UDP53端口,等待获取反馈的DNS应答报文;
步骤S205、按照IPv4段列表信息依次向其中的IPv4服务器地址IP1、IP2…等的53端口发送SQ中的DNS1报文,控制每秒的发送速率不超过10000PPS;
步骤S206、在监听线程获取DNS应答报文,分析其报文应答域中的解析记录是否为a.root-servers.net的解析A记录、报文目的IP是否包含在IPLIST中,如果满足以上条件则该IP为DNS服务器;
步骤S207、向已确定DNS服务器IP依次发送SQ中的DNS2、DNS3报文,分析其报文应答域中的解析记录是否正确获得相应的记录,如果均获得正确应答记录则为递归服务器,如果应答标记字段中AA(权威记录标识)是否取值为1或RCODE字段标记全部REFUSED则该IP为权威服务器;
步骤S208、向DNS服务器发送SQ中的DNS4报文,分析其报文应答情况,如果获取正确应答则该服务器支持TCP,否则不支持;
步骤S209、向DNS服务器发送SQ中的DNS5报文,分析其报文应答中RRSIG记录情况,如果正确获取则该服务器支持DNSSEC,否则不支持;
步骤S210、向DNS服务器发送SQ中的DNS2报文数次,获取反馈的延迟时间及成功次数,计算平均延迟及响应成功率;
步骤S211、在完成向全部IPLIST中IP发送报文后等待10秒结束微引擎处理;
关键域名劫持事件检测需要获取该域名的授权服务器,再从该服务器上获取对应的解析资源,依据解析资源进行劫持检测,具体实施步骤如下:
步骤S301、从根域名服务器a.root-servers.net逐级获取待检域名DOMAIN的权威NS记录(DNS的授权服务器解析记录),最终获取其授权服务器IP地址;
步骤S302、在各地域各运营商的处理节点向该授权服务器进行针对待检域名的A类型请求;
步骤S303、获取应答域中的各解析A记录,形成针对待检域名的解析IP列表VLIST,依据其进行后续步骤的检测;
步骤S304、向待检DNS服务器进行待检域名的A类型请求,获取其解析IP结果,并与VLIST中的记录进行比对,如果不存在该IP则进行劫持事件记录<DNS服务器的IP地址、域名、解析值、依据VLIST>;
使用了CDN服务的域名检测首先利用域名资源数据分析利用字符、聚类等特性获取CDN域名列表,之后利用该列表进行检测,具体实施步骤如下:
步骤S401、从域名资源数据中的CNAME记录进行二级域名提取,形成二级域名映射表<请求的二级域名、CNMAE、应答的二级域名>;
步骤S402、对应答的二级域名中包含‘CDN’字符的进行提取加入到CDN服务域名列表CDNLIST中;
步骤S403、对应答的二级域名进行聚类分析,获取不同请求二级域名映射到相同二级域名的记录,提取该域名加入到CDN服务域名列表CDNLIST中;
步骤S404、CDNLIST进行人工干预调整;
步骤S405、向DNS服务器请求待检域名的A类型记录,获取该域名的应答记录,检查首条应答记录是否为CNAME记录,如果不为CNAME记录则丢弃;如果为CNAME记录,提取解析值的二级域名并与CDNLIST进行匹配,匹配成功的则为使用了CDN的域名,否则不是。
如图2所示,一种基于云平台的域名主动检测系统,该系统包括:
微引擎管理模块,用于将各处理微引擎注册到云平台上,初始化微引擎配置参数;
任务生成模块,用于配置并生成域名检测任务,并将其发送到云平台;
云平台,用于调度所述域名检测任务到指定的微引擎程序,执行完成后将任务执行结果以文本方式存储到FTP服务器中;
结果处理模块,用于从FTP服务器中获取执行结果文件,并将解析后的所述执行结果文件存储到数据库中。
微引擎模块,其中包括:
服务状态检测微引擎,用于对全IPv4段地址依据地域及运营商进行DNS服务类型、提供服务情况以及服务质量进行检测;
关键域名劫持事件微引擎,用于获取该域名的授权服务器,再从该服务器上获取对应的解析资源,依据解析资源进行劫持检测;
使用CDN服务的域名检测微引擎,用于利用域名资源数据分析利用字符、聚类的特性获取CDN域名列表,并利用该列表进行检测;
域名服务器信息采集微引擎,用于对待检域名服务器进行探测,提取特征指纹,分析域名服务器基本状况;
缓存记录检测微引擎,用于对DNS缓存服务器进行主动探测,发现域名记录在各缓存服务器上当前资源信息,包括域名解析值、TTL信息,进而获取该域名的全局缓存记录,为异常事件的发现提供基础数据支持;
权威记录检测微引擎,用于对DNS权威服务器进行主动探测。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求范围当中。
Claims (4)
1.一种基于云平台的域名主动检测方法,其特征在于,所述方法包括如下步骤:
(1)将各处理微引擎注册到云平台上,初始化微引擎配置参数;
(2)配置并生成域名检测任务,并将其发送到云平台;
(3)调度所述域名检测任务到指定的微引擎程序,执行完成后将任务执行结果以文本方式存储到FTP服务器中;
(4)从FTP服务器中获取执行结果文件,并将解析后的所述执行结果文件存储到数据库中;
所述步骤(1)中,所述配置参数包括检测的目标服务器地址和检测的域名;
所述步骤(2)中,所述配置域名检测任务包括配置任务执行的周期、任务执行节点
所需的地域及运营商资源信息;
所述步骤(3)中,当所述域名检测任务为域名服务设施运行状态检测任务时,对全IPv4段地址依据地域及运营商进行DNS服务类型、提供服务情况以及服务质量进行检测,包括如下步骤:
步骤401、设置要探测的IPv4段列表IPLIST,以及所需要探测的地域及运营商信息;所述IPLIST包括IP1、IP2…;
步骤402、将该任务下发到指定地域及运营商的云平台节点上;
步骤403、组织DNS报文序列SQ,所述SQ包括DNS1报文、DNS2报文、DNS3报文、DNS4报文和DNS5报文,其中DNS1报文为基于UDP的标准A类型请求,请求的域名为a.root-servers.net;DNS2报文为基于UDP的标准A类型请求,请求的域名为a.dns.cn;DNS3报文为基于UDP的标准CNAME类型请求,请求的域名为www.xxx.com;DNS4报文为基于TCP的标准A类型请求,请求的域名为a.root-servers.net;DNS5报文为基于UDP的DNSSEC请求;
所述标准A类型请求为域名的IP请求类型;
步骤404、开启线程监听UDP的53端口,等待获取反馈的DNS应答报文;
步骤405、按照IPv4段列表信息依次向其中的IPv4服务器地址IP1、IP2…的53端口发送SQ中的DNS1报文,控制每秒的发送速率不超过10000PPS;
步骤406、在监听线程获取DNS应答报文,分析其报文应答域中的解析记录是否为a.root-servers.net的解析A记录以及报文目的IP是否在IPLIST中,如果满足步骤401到步骤406则该IP为DNS服务器;
步骤407、向已确定DNS服务器IP依次发送SQ中的DNS2、DNS3报文,分析其报文应答域中的解析记录是否正确获得相应的记录,若均获得正确应答记录则为递归服务器,若应答标记字段中权威记录标识取值为1或RCODE字段全部标记REFUSED则该IP为权威服务器;
步骤408、向DNS服务器发送SQ中的DNS4报文,分析其报文应答情况,若获取正确应答则该服务器支持TCP,否则不支持;
步骤409、向DNS服务器发送SQ中的DNS5报文,分析其报文应答中RRSIG记录情况,若正确获取则该服务器支持DNSSEC,否则不支持;
步骤410、向DNS服务器发送SQ中的DNS2报文数次,获取反馈的延迟时间及成功次数,计算平均延迟及响应成功率;
步骤411、在完成向全部IPLIST中IP发送报文后等待10秒结束微引擎处理。
2.根据权利要求1所述检测方法,其特征在于,所述步骤(3)中,当所述检测任务为关键域名劫持事件检测任务时,获取所述关键域名的授权服务器,再从所述授权服务器上获取对应的解析资源,依据解析资源进行劫持检测,包括如下步骤:
步骤501、从根域名服务器a.root-servers.net逐级获取待检域名DOMAIN的权威记录,最终获取所述关键域名的授权服务器IP地址;
步骤502、在各地域各运营商的处理节点向所述授权服务器进行针对待检域名的A类型请求;
步骤503、获取应答域中的各解析A记录,形成针对待检域名的解析IP列表VLIST;
步骤504、向待检DNS服务器进行待检域名的A类型请求,获取其解析IP结果,并与VLIST中的记录进行比对,若不存在该IP则进行劫持事件记录,所述劫持事件记录包括DNS服务器IP地址、域名、解析值以及依据的VLIST。
3.根据权利要求1所述检测方法,其特征在于,所述步骤(3)中,当所述检测任务为使用了CDN服务的域名检测任务时,利用域名资源数据分析利用字符、聚类的特性获取CDN域名列表,并利用所述CDN域名列表进行检测,包括如下步骤:
步骤601、从域名资源数据中的CNAME记录进行二级域名提取,形成二级域名映射表,所述映射表中包括请求的二级域名、CNMAE以及应答的二级域名;
步骤602、对应答的二级域名中包含‘CDN’字符的进行提取加入到CDN服务域名列表CDNLIST中;
步骤603、对应答的二级域名进行聚类分析,获取不同请求二级域名映射到相同二级域名的记录,提取所述二级域名加入到CDN服务域名列表CDNLIST中;
步骤604、向DNS服务器请求待检域名的A类型记录,获取所述待检域名的应答记录,检查首条应答记录是否为CNAME记录,若不为CNAME记录则丢弃;若为CNAME记录,则提取解析值的二级域名并与CDNLIST进行匹配,匹配成功的则为使用了CDN的域名,否则不是。
4.一种基于云平台的域名主动监测系统,其特征在于,所述系统包括:
微引擎管理模块,用于将各处理微引擎注册到云平台上,初始化微引擎配置参数;
任务生成模块,用于配置并生成域名检测任务,并将其发送到云平台;
云平台,用于调度所述域名检测任务到指定的微引擎程序,执行完成后将任务执行结果以文本方式存储到FTP服务器中;
结果处理模块,用于从FTP服务器中获取执行结果文件,并将解析后的所述执行结果文件存储到数据库中;
所述系统还包括微引擎库,所述微引擎库中包括:
服务状态检测微引擎,用于对全IPv4段地址依据地域及运营商进行DNS服务类型、提供服务情况以及服务质量进行检测;
关键域名劫持事件微引擎,用于获取所述关键域名的授权服务器,再从所述授权服务器上获取对应的解析资源,依据解析资源进行劫持检测;
使用CDN服务的域名检测微引擎,用于利用域名资源数据分析利用字符、聚类的特性获取CDN域名列表,并利用所述CDN域名列表进行检测;
域名服务器信息采集微引擎,用于对待检域名服务器进行探测,提取特征指纹,分析域名服务器基本状况;
缓存记录检测微引擎,用于对DNS缓存服务器进行主动探测,发现域名记录在各缓存服务器上当前资源信息,包括域名解析值、TTL信息,进而获取所述域名的全局缓存记录,为异常事件的发现提供基础数据支持;
权威记录检测微引擎,用于对DNS权威服务器进行主动探测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510435008.5A CN105025025B (zh) | 2015-07-22 | 2015-07-22 | 一种基于云平台的域名主动检测方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510435008.5A CN105025025B (zh) | 2015-07-22 | 2015-07-22 | 一种基于云平台的域名主动检测方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105025025A CN105025025A (zh) | 2015-11-04 |
CN105025025B true CN105025025B (zh) | 2019-09-27 |
Family
ID=54414730
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510435008.5A Expired - Fee Related CN105025025B (zh) | 2015-07-22 | 2015-07-22 | 一种基于云平台的域名主动检测方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105025025B (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107040546B (zh) * | 2017-05-26 | 2020-03-03 | 浙江鹏信信息科技股份有限公司 | 一种域名劫持检测与联动处置方法及系统 |
CN107147662B (zh) * | 2017-06-01 | 2020-07-21 | 北京云端智度科技有限公司 | 域名劫持发现的方法 |
CN107528825A (zh) * | 2017-07-06 | 2017-12-29 | 努比亚技术有限公司 | 一种资源下载方法、终端及计算机可读存储介质 |
CN109040052B (zh) * | 2018-07-26 | 2021-06-15 | 平安科技(深圳)有限公司 | 一种信息处理方法、终端及计算机可读介质 |
CN109361712B (zh) * | 2018-12-17 | 2021-08-24 | 北京天融信网络安全技术有限公司 | 一种信息处理方法及信息处理装置 |
CN109547585A (zh) * | 2019-01-14 | 2019-03-29 | 中国雄安集团数字城市科技有限公司 | 一种基于边缘计算云的快速切换的方法 |
CN114006709B (zh) * | 2020-07-16 | 2022-12-16 | 四川大学 | 一种基于主动和被动探测的恶意域名服务器检测方法 |
CN112291343B (zh) * | 2020-10-28 | 2022-11-22 | 成都知道创宇信息技术有限公司 | 信息获取方法、装置及电子设备 |
CN112995360B (zh) * | 2021-04-30 | 2021-07-30 | 新华三技术有限公司 | 一种域名检测方法、装置、dga服务设备及存储介质 |
CN113381904B (zh) * | 2021-05-19 | 2022-06-21 | 上海交通大学 | 轻量级的cdn节点快速检测系统及方法 |
CN114168945A (zh) * | 2021-12-09 | 2022-03-11 | 绿盟科技集团股份有限公司 | 一种检测子域名潜在风险的方法及装置 |
CN116806033A (zh) * | 2023-07-26 | 2023-09-26 | 福建万物易联网络科技有限公司 | 移动应用IPv6支持度检测方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102868669A (zh) * | 2011-07-08 | 2013-01-09 | 上海寰雷信息技术有限公司 | 一种针对不断变化前缀域名攻击的防护方法及装置 |
CN104052755A (zh) * | 2014-06-26 | 2014-09-17 | 国家计算机网络与信息安全管理中心 | 基于云平台的dns欺骗攻击探测及定位的系统和方法 |
CN104468860A (zh) * | 2014-12-04 | 2015-03-25 | 北京奇虎科技有限公司 | 域名解析服务器危险性的识别方法和装置 |
-
2015
- 2015-07-22 CN CN201510435008.5A patent/CN105025025B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102868669A (zh) * | 2011-07-08 | 2013-01-09 | 上海寰雷信息技术有限公司 | 一种针对不断变化前缀域名攻击的防护方法及装置 |
CN104052755A (zh) * | 2014-06-26 | 2014-09-17 | 国家计算机网络与信息安全管理中心 | 基于云平台的dns欺骗攻击探测及定位的系统和方法 |
CN104468860A (zh) * | 2014-12-04 | 2015-03-25 | 北京奇虎科技有限公司 | 域名解析服务器危险性的识别方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN105025025A (zh) | 2015-11-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105025025B (zh) | 一种基于云平台的域名主动检测方法和系统 | |
CN109951500B (zh) | 网络攻击检测方法及装置 | |
Zhang et al. | A survey on latest botnet attack and defense | |
US8392963B2 (en) | Techniques for tracking actual users in web application security systems | |
CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
Yin et al. | ConnSpoiler: Disrupting C&C communication of IoT-based botnet through fast detection of anomalous domain queries | |
US20190173904A1 (en) | Entity Group Behavior Profiling | |
US8990936B2 (en) | Method and device for detecting flood attacks | |
Born et al. | Detecting dns tunnels using character frequency analysis | |
Bermudez et al. | Dns to the rescue: Discerning content and services in a tangled web | |
KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
US8561187B1 (en) | System and method for prosecuting dangerous IP addresses on the internet | |
JP6315640B2 (ja) | 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム | |
EP3264720A1 (en) | Using dns communications to filter domain names | |
EP3570504B1 (en) | Attack countermeasure determination device, attack countermeasure determination method, and attack countermeasure determination program | |
US10511618B2 (en) | Website information extraction device, system website information extraction method, and website information extraction program | |
CN110430191A (zh) | 调度数据网中基于协议识别的安全预警方法及装置 | |
CN109428857B (zh) | 一种恶意探测行为的检测方法和装置 | |
CN111404912A (zh) | 基于ip白名单的域名检测方法及装置 | |
CN110324295A (zh) | 一种域名系统泛洪攻击的防御方法和装置 | |
KR101127246B1 (ko) | Ip 주소를 공유하는 단말을 검출하는 방법 및 그 장치 | |
Yu et al. | Behavior Analysis based DNS Tunneling Detection and Classification with Big Data Technologies. | |
CN103916379A (zh) | 一种基于高频统计的cc攻击识别方法及系统 | |
CN107360198A (zh) | 可疑域名检测方法及系统 | |
Tatang et al. | A study of newly observed hostnames and DNS tunneling in the wild |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190927 |