CN107135236A - 一种目标域名劫持的检测方法和系统 - Google Patents
一种目标域名劫持的检测方法和系统 Download PDFInfo
- Publication number
- CN107135236A CN107135236A CN201710546378.5A CN201710546378A CN107135236A CN 107135236 A CN107135236 A CN 107135236A CN 201710546378 A CN201710546378 A CN 201710546378A CN 107135236 A CN107135236 A CN 107135236A
- Authority
- CN
- China
- Prior art keywords
- domain name
- analysis result
- client
- target domain
- isp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种目标域名劫持的检测方法和系统。所述方法包括:服务器端采用向所述目标域名的权威DNS服务器发出域名解析请求并接收权威DNS服务器返回的所述目标域名的至少一个解析结果的方式建立标准解析结果列表;服务器端将目标域名分发给多个指定客户端来执行目标域名解析探测任务,每个客户端将收到的所述目标域名发送给为该客户端配置的LDNS服务器请求域名解析、将收到的解析结果上报给服务器端;服务器端将接收的作为探测任务的每个解析结果与所述标准解析结果列表记录的标准解析结果进行比较,从而确定为所述客户端配置的LDNS服务器是否存在劫持行为。
Description
技术领域
本发明涉及网络信息安全领域,具体而言,涉及一种目标域名劫持的检测方法和系统。
背景技术
随着互联网行业的发展,网络已经成为人们生活的一部分,例如通过网络来进行购物、看电影、看新闻、发表文学作品等等。人们使用网络时首先需要登录某个网站域名才能进入想要去的地方,例如登录淘宝网去购物、登录新浪网去看新闻等等。网络给人们的生活带来了极大的方便,但同时网络信息安全也日益成为一个影响用户上网体验的严重问题。
域名劫持是网络信息安全的众多问题之一。域名劫持是互联网攻击的一种方式,通过攻击域名系统(DNS)服务器,或伪造DNS服务器的方法在劫持的网络范围内拦截终端发送的域名解析请求,对域名解析请求中请求的域名进行分析,并向终端返回伪造的IP(InternetProtocol,网络之间互连的协议)地址,使用户被引到假冒的网站进行登录等操作进而可能导致泄露隐私数据;或者拦截了终端发送的域名解析请求后什么也不做使得请求失去响应,使用户无法访问目标网站。
因此,当客户端访问网站域名发生异常情况时,这就要求第一时间能够发现是否发生了域名劫持或其他原因。目前,大多数域名启用了智能DNS(智能DNS:智能域名系统,针对不同线路、不同地区返回不同的域名解析结果),对某个域名的解析是利用各地各运营商LDNS(本地域名系统(Local DNS),提供传统的域名解析服务)查询得到的结果,而能够在LDNS服务器上查询到的结果一般都是根据TTL(生存时间(Time To Live),域名解析结果在DNS服务器中存留的时间)规则预先缓存的。现有的域名劫持方法常常是以这种非实时性获得的解析结果进行对比来识别是否发生了域名劫持,这样的操作会存在一定的错误判断。另外,在通过比对来识别是否发生域名劫持时,作为参考标准的域名解析结果的准确性和实时性是非常重要的,但根据目前已知的方法,实时性获得作为参考标准的域名解析结果比较差强人意,其准确性也因此相对不够理想。
另外,随着智能移动终端的发展,提供安卓系统或IOS系统的第三方应用的服务商也越来越多,但很多第三方应用服务商在提供其APP产品下载服务时,出于各种考虑因素,会把其APP产品下载服务托管给专门提供云服务运营的第三方服务商,例如将APP产品下载托管给豌豆荚服务商、或其他各种提供APP下载的软件市场APP服务商、或者提供应用商店服务的网站等等。这种企业将自己的软件产品下载托管到第三方服务商后,往往该企业的域名以CNAME方式接入到第三方服务商的域名,该企业无法感知其域名网站提供的服务质量,当有客户端上报访问提供APP产品下载的网址出现异常时,该企业使用现有的域名劫持方法也无法检测该客户端访问的域名是否存在DNS劫持行为。
发明内容
本发明的目的在于提供一种获得目标域名的权威解析结果的方法和装置以及一种目标域名劫持的检测方法和系统,以改善上述的问题。
本发明第一实施例提供了一种获得目标域名的权威解析结果的方法,其包括:
1)使用EDNS协议向所述目标域名的权威DNS服务器发出域名解析请求,该请求中包含有:所述目标域名和从预先建立的记录有多个不同地区、不同互联网服务提供商的IP地址的IP地址信息列表中选取的一个互联网服务提供商的IP地址;
2)接收权威DNS服务器返回的所述目标域名的至少一个解析结果;
3)重复执行上述步骤1和2,直至所述IP地址信息列表中记录的所有互联网服务提供商的IP地址都遍历一遍,得到一个包含所述目标域名的多个解析结果的解析结果列表。
其中,采用BIND软件来获得所述目标域名的域名服务器记录,由此获得所述目标域名的至少一个权威DNS服务器。
其中,所述IP地址信息列表包括:互联网服务提供商名称、互联网服务提供商所在地区、互联网服务提供商所在地区的IP地址,所述IP地址信息列表记录的互联网服务提供商所在地区的行政区域是市级,优选的,所述互联网服务提供商是中国境内的各互联网服务提供商,更优选的,所述互联网服务提供商是世界范围的各国家成立的各互联网服务提供商。
本发明第二实施例提供了一种目标域名劫持的检测方法,其包括:
服务器端使用第一实施例所述的方法获得一个包含所述目标域名的多个解析结果的解析结果列表作为标准解析结果列表;
服务器端将所述目标域名分发给多个指定客户端以执行目标域名解析探测任务,该接收到所述目标域名解析探测任务的客户端将收到的所述目标域名发送给为该客户端配置的LDNS服务器请求域名解析、接收返回的解析结果并将解析结果上报给所述服务器端;
服务器端将接收的作为探测任务的每个解析结果与所述标准解析结果列表记录的标准解析结果进行比较,从而确定为所述客户端配置的LDNS服务器是否存在劫持行为。
本发明第三实施例提供了一种获得目标域名的权威解析结果的装置,其包括:
域名解析请求发送模块,用于使用EDNS协议向所述目标域名的权威DNS服务器发出域名解析请求,该请求中包含有:所述目标域名和从预先建立的记录有多个不同地区、不同互联网服务提供商的IP地址的IP地址信息列表中选取的一个互联网服务提供商的IP地址;
接收模块,用于接收权威DNS服务器返回的所述目标域名的至少一个解析结果;
循环执行模块,用于使所述域名解析请求发送模块和所述接收模块重复工作,直至所述IP地址信息列表中记录的所有互联网服务提供商的IP地址都遍历一遍,得到一个包含所述目标域名的多个解析结果的解析结果列表。
其中,所述装置还包括:目标域名的权威DNS服务器记录获取模块,用于采用BIND软件来获得所述目标域名的域名服务器记录,由此获得所述目标域名的至少一个权威DNS服务器。
其中,所述IP地址信息列表包括:互联网服务提供商名称、互联网服务提供商所在地区、互联网服务提供商所在地区的IP地址,所述IP地址信息列表记录的互联网服务提供商所在地区的行政区域是市级,优选的,所述互联网服务提供商是中国境内的各互联网服务提供商,更优选的,所述互联网服务提供商是世界范围的各国家成立的各互联网服务提供商。
本发明第四实施例提供了一种服务器,其特征在于,包括:
第三实施例所述的获得目标域名的权威解析结果的装置;
域名解析探测任务分发模块,用于将目标域名分发给多个指定客户端以执行目标域名解析探测任务;
接收模块,用于接收所述指定客户端上报的作为探测任务的每个解析结果;
分析模块,用于将接收的作为探测任务的每个解析结果与所述标准解析结果列表记录的标准解析结果进行比较,从而确定为所述客户端配置的LDNS服务器是否存在劫持行为。
其中,所述分析模块在将接收的作为探测任务的每个解析结果与所述标准解析结果列表记录的标准解析结果进行比较时,当某个客户端返回的作为探测任务的解析结果与所述标准解析结果列表记录的所有标准解析结果都不相符时,判断出为该客户端配置的LDNS服务器存在劫持行为;
当某个客户端返回的作为探测任务的解析结果与所述标准解析结果列表记录的某个标准解析结果相符,但是该解析结果所记录的互联网服务提供商的名称和所在地区之一或该二者与该客户端所使用的互联网服务提供商的名称和所在地区不相符时,判断出为该客户端配置的LDNS服务器对目标域名解析不精准。
其中,所述域名解析探测任务分发模块还用于将从预先建立的目标域名列表中记录的多个目标域名中选择的至少一个目标域名分发给多个指定客户端,其中所述服务器端在建立目标域名列表时对该目标域名列表中记录的多个目标域名分别建立对应的标准解析结果列表,优选的,所述服务器端定期将所述至少一个目标域名分发给多个指定客户端以执行目标域名解析探测任务。
本发明第五实施例提供了一种目标域名劫持的检测系统,其包括:
第四实施例所述的服务器端;和
客户端,用于将收到的目标域名发送给为该客户端配置的LDNS服务器请求域名解析、接收返回的解析结果并将解析结果上报给所述服务器端。
其中,所述客户端包括:处在不同地区的、使用不同互联网服务提供商提供的网络的多个客户端。
其中,所述客户端包括在访问目标域名发生异常情况时将该异常情况上报至所述服务器端的至少一个客户端、和与上报所述异常情况的所述至少一个客户端使用的互联网服务提供商相同的互联网服务提供商的部分或全部客户端,优选是位于同一地区的互联网服务提供商的部分或全部客户端。
根据本发明的一种目标域名劫持的检测方法和系统,通过实时获得来自权威DNS服务器对目标域名的至少一个解析结果作为标准解析结果列表,目标域名可以是多个,每个标准解析结果列表对应一个目标域名,让多个客户端执行该目标域名的解析探测任务,将二者进行对比来判断是否发生了域名劫持。这种方法因为采集的目标域名的标准解析结果具有实时性和权威性,因此得到的判断结果更准确。另外,这种方法还可以发现域名解析的精准性问题。尤其是,当企业租用第三方服务商提供的服务器服务,将自己的软件产品下载服务托管到第三方服务商后,使用本发明的检测方法和系统,该企业自己就可以检测使用该企业的软件产品的客户端访问的域名是否存在DNS劫持行为,这大大改善了现有技术中存在的不足。
附图说明
图1是本发明第一实施例提供的获得目标域名的权威解析结果的方法的流程图;
图2是本发明第二实施例提供的一种目标域名劫持的检测方法的流程图;
图3是本发明第三实施例提供的一种获得目标域名的权威解析结果的装置的组成结构的示意性框图;
图4是本发明第四实施例提供的一种服务器的组成结构的示意性框图;
图5是本发明第五实施例提供的一种目标域名劫持的检测系统的示意性框图。
具体实施方式
下面将结合本发明实施例和附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面将结合本发明的附图和具体实施例,对本发明的技术方案进行清楚、完整地描述。
图1是本发明第一实施例提供的获得目标域名的权威解析结果的方法的流程图。如图1所示,本发明的一种获得目标域名的权威解析结果的方法包括:
S1)使用EDNS协议向所述目标域名的权威DNS服务器发出域名解析请求,该请求中包含有:所述目标域名和从预先建立的记录有多个不同地区、不同互联网服务提供商的IP地址的IP地址信息列表中选取的一个互联网服务提供商的IP地址。
通常,可以采用BIND软件来获得所述目标域名的域名服务器记录,由此获得所述目标域名的权威DNS服务器。
EDNS是DNS协议的扩展协议,就是在遵循已有的DNS消息格式的基础上增加一些字段来支持更多的DNS请求业务。
其中所述目标域名可以放入DNS标准报文中的Question字段中,所述互联网服务提供商的IP地址可以放入到扩展的edns-client-subnet(简称ECS)选项中。
所述IP地址信息列表一般可以包括:互联网服务提供商(ISP)名称、互联网服务提供商(ISP)所在地区、互联网服务提供商(ISP)所在地区的IP地址。所述IP地址信息列表记录的互联网服务提供商所在地区的行政区域是市级,例如在中国可以是直辖市、地级市、或县级市等,例如直辖市北京、上海等,地级市广州、武汉、佛山等,县级市义乌、曲阜、武夷山等,对于其他国家的行政区域也可以做类似参考设置,例如:美国的芝加哥、丹佛、西雅图等等城市。在一个优选实施例中,所述IP地址信息列表记录的互联网服务提供商是中国境内的各互联网服务提供商,例如中国移动运营商及其各省子公司运营商、中国联通运营商及其各省子公司运营商、中国电信运营商及其各省子公司运营商等。在另一优选实施例中,所述IP地址信息列表记录的互联网服务提供商是世界范围的各国家成立的互联网服务提供商。这样,所述IP地址信息列表记录的不同地区、不同互联网服务提供商的IP地址数量是很大的,可以根据域名的实际访问情况来限定IP地址的数量范围,例如某个域名的访问人群绝大部分来自中国境内的用户,则所述IP地址信息列表记录的互联网服务提供商的IP地址优选是中国境内的各互联网服务提供商在中国的各个城市的IP地址;可以推广之,对于一些特定的网站域名,可以将所述IP地址信息列表记录的互联网服务提供商的IP地址限定在美国的各互联网服务提供商在各个城市的IP地址、或者限定在日本的各互联网服务提供商在各个城市的IP地址等等。另外,这些描述仅仅是出于举例说明的目的,其意图并非用于限定保护范围。
可以采用任何方式来预先建立记录有多个不同地区、不同互联网服务提供商的IP地址的IP地址信息列表,所述IP地址信息列表可以包括:互联网服务提供商名称、互联网服务提供商所在地区、互联网服务提供商所在地区的IP地址。例如:ISP名称:黑龙江省电信、ISP地区:黑龙江省黑河市、ISP的IP地址:222.172.32.150;再如:ISP名称:甘肃省移动、ISP地区:甘肃省兰州市、ISP的IP地址:117.156.51.99。
S2)接收权威DNS服务器返回的所述目标域名的至少一个解析结果。
通常,出于DNS负载均衡的目的,尤其是经常被访问的域名,例如淘宝网域名,需要在DNS服务器中为同一个主机名配置多个IP地址,在应答DNS查询时,DNS服务器对每个查询将以DNS文件中主机记录的IP地址按顺序返回不同的解析结果,将客户端的访问引导到不同的机器上去,使得不同的客户端访问不同的服务器,从而达到负载均衡的目的。因此,接收权威DNS服务器返回的所述目标域名的至少一个解析结果,通常的记录类型是A记录,当然也可以是其他类型的记录,例如AAAA记录等,A记录里可以是1个与所述目标域名对应的IP地址,也可以是多个与所述目标域名对应的IP地址。
S3)重复执行上述步骤1和2,直至所述IP地址信息列表中记录的所有互联网服务提供商的IP地址都遍历一遍,得到一个包含所述目标域名的多个解析结果的解析结果列表。
因为所述IP地址信息列表中记录了大量的不同地区、不同互联网服务提供商的IP地址,以中国境内的互联网服务提供商为例,最少存在3家基础运营商:中国移动运营商、中国联通公司运营商和中国电信公司运营商,而再以城市为地区单位记录中国境内各个城市地区的各运营商的IP地址,则所述IP地址信息列表中记录的不同地区、不同互联网服务提供商的IP地址的数量是非常多的,所以需要重复执行上述步骤S1和S2,使得所述IP地址信息列表中记录的不同地区、不同互联网服务提供商(ISP)的所有互联网服务提供商的IP地址都要遍历一遍,这样能够得到一个具有很全面的所述目标域名的多个解析结果(如A记录的IP地址)的解析结果列表,而所有这些解析结果都是来自于权威DNS服务器,所以能够用作为标准解析结果列表。
关于获得目标域名的权威解析结果的方法的每个步骤的执行者可以是服务器端或者客户端,但优选由服务器端执行。
通过上述方法获得的包含所述目标域名的多个解析结果的解析结果列表,其中得到的目标域名的多个解析结果具有实时性和权威性(即准确性高),能够作为判断域名是否劫持的标准解析结果列表,由此后续判断是否发生域名劫持的准确性会更高。
图2是本发明第二实施例提供的一种目标域名劫持的检测方法的流程图。如图2所示,本发明的一种目标域名劫持的检测方法包括:
服务器端使用上面第一实施例及其优选实施例所述的方法来获得一个包含所述目标域名的多个解析结果的解析结果列表,将其作为标准解析结果列表,如下所述:
S21)服务器端使用EDNS协议向所述目标域名的权威DNS服务器发出域名解析请求,该请求中包含有:所述目标域名和从预先建立的记录有多个不同地区、不同互联网服务提供商的IP地址的IP地址信息列表中选取的一个互联网服务提供商的IP地址;
S22)服务器端接收权威DNS服务器返回的所述目标域名的至少一个解析结果;
S23)服务器端重复执行上述步骤21和22,直至所述IP地址信息列表中记录的所有互联网服务提供商的IP地址都遍历一遍,得到一个包含所述目标域名的多个解析结果的解析结果列表作为标准解析结果列表。
所述第一实施例及其优选实施例所述的过程和实例可以直接在这里直接应用,不再重复详细描述。
S24)服务器端将所述目标域名分发给多个指定客户端以执行目标域名解析探测任务,该接收到所述目标域名解析探测任务的客户端将收到的所述目标域名发送给为该客户端配置的LDNS服务器请求域名解析、接收返回的解析结果并将解析结果上报给所述服务器端。
一般来说,用户使用终端设备访问某个域名进行期望的操作,例如看新闻、下载资源、购物等等,该终端设备即为本文里所说的客户端,例如包括但不限于:台式计算机、膝上型便携式计算机、个人数字助理、智能移动终端(如智能手机、平板电脑)等等,还可以是具有数据处理能力和联网功能的其他任何设备。
这里,客户端将收到的所述目标域名发送给为该客户端配置的LDNS服务器以请求域名解析是采用常规方法来实施的。
通常,所述多个指定客户端包括:处在不同地区的、使用不同互联网服务提供商提供的网络的多个客户端。例如,针对中国来举例说明,被分发域名解析探测任务的多个指定客户端可以是位于中国境内的各个城市的、分别使用了中国移动运营商、中国联通运营商和中国电信运营商或其他的多个客户端。
另外,域名解析探测任务所包含的目标域名可以是1个,也可以是多个。当服务器端向多个指定客户端分发的域名解析探测任务里包含了多个目标域名时,此时需要在分发探测任务之前执行步骤S21-23,对该多个目标域名分别建立对应的多个标准解析结果列表。
另外,服务器端可以定期向多个指定客户端分发包含有至少一个目标域名的域名解析探测任务。
通常,可以预先建立用于域名解析探测任务的目标域名列表,该列表里包含有多个目标域名,而且该列表所包含的多个目标域名可以根据需要自由增加或删除,在这种情况下,在预先建立目标域名列表时对该目标域名列表中包含的多个目标域名分别建立对应的多个标准解析结果列表,而且每增加一个新的目标域名,就需要对该新的目标域名建立相应的标准解析结果列表。
本领域技术人员都知道,服务器端和客户端之间只有建立通信协议才可以进行通信,而目前大部分应用类软件产品需要在服务器端和客户端都安装上,才能在用户使用的终端设备上运行该应用软件产品,这对于安装在智能移动设备如智能手机的第三方应用(APP)产品最为明显,由此通过在用户使用的终端设备上安装的软件产品集成有域名解析探测任务功能,如浏览器软件,则当安装有该浏览器软件的客户端接入网络时就与该浏览器软件所在的服务器端建立了通信协议,并且通过该浏览器软件携带的域名解析探测任务功能来接收服务器端分发的域名解析探测任务。当然,其他软件产品,如微信、QQ、京东商城APP、淘宝网APP、各种输入法类APP、各种音视频播放器APP、各种游戏类APP等等,都可以集成有域名解析探测任务功能,由此可以实现由提供某个APP产品服务的服务器端向安装有该APP的指定客户端分发包含有至少一个目标域名的域名解析探测任务,并且可以根据预先设定而定期分发域名解析探测任务,当然也可以定期向不同地区的指定客户端分发域名解析探测任务,下面通过简单举例说明,例如:星期一向位于广东地区的指定客户端分发域名解析探测任务、星期二向位于山东地区的指定客户端分发域名解析探测任务、星期三向位于江苏和浙江地区的指定客户端分发域名解析探测任务……星期六向位于京津冀地区的指定客户端分发域名解析探测任务等等。在这种应用实例中,所述定期也可以是在用户每天第一次启动第三方应用APP时由该APP的服务器端向安装有该APP的多个指定客户端分发包含有至少一个目标域名的域名解析探测任务。
简而言之,所述服务器端将所述目标域名分发给多个指定客户端以执行目标域名解析探测任务的步骤包括:将从预先建立的目标域名列表中记录的多个目标域名中选择的至少一个目标域名分发给多个指定客户端,其中所述服务器端在将所述至少一个目标域名分发给多个指定客户端之前根据目标域名列表中记录的多个目标域名分别建立对应的标准解析结果列表,优选的,所述服务器端定期将所述至少一个目标域名分发给多个指定客户端以执行目标域名解析探测任务。
在一个优选实施例中,所述多个指定客户端包括:在访问目标域名发生异常情况时将该异常情况上报至所述服务器端的至少一个客户端、和与上报所述异常情况的所述至少一个客户端使用的互联网服务提供商相同的互联网服务提供商的部分或全部客户端,优选是位于同一地区的互联网服务提供商的部分或全部客户端,即接收目标域名解析探测任务的多个客户端使用的互联网服务提供商与将域名访问异常情况上报至所述服务器端的客户端使用的互联网服务提供商是相同的,即同一家互联网服务提供商,并且优选是在同一地区,例如将域名访问异常情况上报至所述服务器端的客户端使用的互联网服务提供商是北京地区的北京移动运营商,则接收目标域名解析探测任务的多个客户端使用的相同的互联网服务提供商也是北京地区的北京移动运营商。
在检测目标域名是否发生劫持时,可以由服务端定期地主动向多个客户端发送域名解析探测任务来执行检测,如上所述那样;但也可以由客户端主动发送检测请求来执行检测,客户端主动发送检测请求可以包括2种方式:1是直接向服务端发送执行域名解析探测任务的请求;2是客户端在访问目标域名发生异常情况时将该异常情况上报给相应的服务器端。下面以客户端访问某个域名出现异常情况为例来进行相关的描述。
当客户端访问某个域名出现异常情况时,例如无法访问、访问速度很慢,在排除了域名网站的服务商自身的服务故障问题之外,简单的排除方法例如是:使用不同的互联网服务提供商的客户端访问相同的目标域名时没有发生异常情况,或者不同地区的客户端访问相同的目标域名时没有发生异常情况,此时需要判断其他原因,例如域名是否被劫持等。
现在的大部分应用软件都提供了故障在线上报功能,即当客户端使用应用软件访问目标域名出现异常时会通过网络上报该异常情况给相应的应用软件的服务商,即相应的应用软件的服务端。目前,终端设备使用的操作系统常见的有Windows、Android和ios,很多应用软件都有支持这3种操作系统的相应版本。以Android系统下的第三方应用软件(APP)为例,某款APP的开发商会在该APP产品里集成故障在线上报功能和域名解析探测任务功能。这样,当用户使用该APP产品访问某个目标域名时,例如使用XX浏览器APP访问淘宝网时出现无法登陆的异常情况,该XX浏览器会自动将该故障情况通过在线上传方式上报给该APP的服务端。该XX浏览器APP的服务端收到报告后,在根据本发明的方法执行完步骤S21-S23以建立了关于淘宝网域名的标准解析结果列表后,将淘宝网域名分发给使用了与上报访问目标域名异常的所述客户端使用的互联网服务提供商在同一地区的相同互联网服务提供商的部分或全部客户端以执行目标域名解析探测任务,例如上报访问目标域名异常的所述客户端使用的是上海市联通运营商提供的网络上网,则XX浏览器APP的服务端会将淘宝网域名分发给安装有该XX浏览器APP的并且使用上海市联通运营商提供的网络上网的部分或全部客户端,优选是全部客户端,并且指令接收到所述目标域名的客户端执行目标域名解析探测任务。接收到所述目标域名解析探测任务(通常探测任务里都包含有目标域名)的客户端将该淘宝网域名发给LDNS服务器请求域名解析,这是采用常规的域名查询方法来完成。所述客户端在接收到LDNS服务器返回的所述淘宝网域名的解析结果(A记录)后,将该解析结果通过在线上传方式上报给XX浏览器APP所在的服务器端。当然,所描述的过程对于其他APP产品也是同样适用,这里不过多举例。
S25)服务器端将接收的作为探测任务的每个解析结果与所述标准解析结果列表记录的标准解析结果进行比较,从而确定为所述客户端配置的LDNS服务器是否存在劫持行为。
具体的,服务器端在将作为探测任务的每个解析结果与所述标准解析结果列表记录的标准解析结果进行比较时:
当某个客户端返回的作为探测任务的解析结果与所述标准解析结果列表记录的所有标准解析结果都不相符时,判断出为该客户端配置的LDNS服务器存在劫持行为;
当某个客户端返回的作为探测任务的解析结果与所述标准解析结果列表记录的某个标准解析结果相符,但是该解析结果所记录的互联网服务提供商的名称和所在地区之一或该二者与该客户端所使用的互联网服务提供商的名称和所在地区不相符时,判断出为该客户端配置的LDNS服务器对目标域名解析不精准。
例如,淘宝网的服务器端定期(例如每周一)向安装有淘宝网APP的多个客户端,例如上海地区的使用联通运营商提供的网络的多个客户端分发关于淘宝网域名的域名解析探测任务;或者,例如当上海地区的使用联通运营商提供的网络的一个或多个客户端使用淘宝网APP打开淘宝网出现异常缓慢的情况并将其上报给淘宝网的服务器端,淘宝网的服务器端在实施了上述步骤后,将上海地区的使用联通运营商提供的网络的所有客户端返回的作为探测任务的解析结果与所述标准解析结果列表记录的所有标准解析结果进行比较后,如果发现某些客户端返回的作为探测任务的解析结果(IP地址)与标准解析结果列表记录的所有标准解析结果(所有IP地址)都不相同,则判断出为这些客户端配置的LDNS服务器存在劫持行为;如果发现某些客户端返回的作为探测任务的解析结果是深圳地区电信运营商的IP地址,虽然该解析出的IP地址与标准解析结果列表记录的深圳地区电信运营商的IP地址相符合,但很显然,该解析出的IP地址不是该客户端使用的上海地区联通运营商的IP地址,因此可以判断出为该客户端配置的LDNS服务器对淘宝网域名解析不精准,致使这些客户端打开淘宝网出现异常缓慢。当然,这里给的例子是解析结果所记录的互联网服务提供商的名称和所在地区二者与该客户端所使用的互联网服务提供商的名称和所在地区都不相符,但也可能发生解析结果所记录的互联网服务提供商的名称和所在地区之一与该客户端所使用的互联网服务提供商的名称和所在地区不相符,继续以上述例子说明,当客户端返回的作为探测任务的解析结果是深圳地区联通运营商的IP地址,虽然该解析出的IP地址与标准解析结果列表记录的深圳地区联通运营商的IP地址相符合,但不是该客户端使用的上海地区联通运营商的IP地址,即互联网服务提供商的所在地区不相符,也可以判断出为该客户端配置的LDNS服务器对淘宝网域名解析不精准;或者,当客户端返回的作为探测任务的解析结果是上海地区电信运营商的IP地址,虽然该解析出的IP地址与标准解析结果列表记录的上海地区电信运营商的IP地址相符合,但不是该客户端使用的上海地区联通运营商的IP地址,也就是说使用上海地区联通运营商的网络的客户端访问淘宝网域名时将其调度到了上海地区电信运营商的网络,即跨运营商访问致使打开淘宝网出现异常缓慢,可以判断出淘宝网域名解析不精准,致使调度不精准。
另外,所述客户端和服务器端是通过有线网络或无线网络通信,由此实现服务器端分发域名解析探测任务给指定的多个客户端,客户端将接收的解析结果上报给服务器端。所述无线网络可以有多种实现方式,包括但不限于:第二代手机通信技术网络(2G)、第三代移动通信技术网络(3G)、第四代移动通信技术网络(4G)、WiFi网络等,目前还处于研发试验中的5G无线网络也同样适用。
下面给出两个应用场景案例来举例说明。
场景一:四川地区的使用移动运营商提供的网络的部分用户反馈,通过UC浏览器无法下载安卓应用包,url为:
http://ucdl.25pp.com/fs08/2017/05/02/10/2_ebb66cc727455bf2c3d6d17f90f950db.apk。
1)建立关于域名:ucdl.25pp.com的标准解析结果列表,如下表1所示,出于简洁目的,仅仅示出了四川地区的移动运营商的部分示例性的IP地址,但实际应该是中国境内的各个地区的不同基础网络运营商的多个IP地址。
表1
A记录 | A记录-所在地 | A记录-ISP |
... | ... | ... |
117.174.128.95 | 泸州市 | 移动 |
117.174.129.96 | 泸州市 | 移动 |
117.174.129.108 | 泸州市 | 移动 |
117.174.128.109 | 泸州市 | 移动 |
117.174.128.96 | 泸州市 | 移动 |
117.174.128.108 | 泸州市 | 移动 |
... | ... | ... |
2)UC浏览器的服务端将域名ucdl.25pp.com下发到四川地区使用移动运营商提供网络的客户端(例如使用四川移动运营商提供的4G上网卡上网的客户端)进行域名探测,返回并上传给UC浏览器的服务端的探测结果如下表2,该表2记录的也是部分示例性的IP地址:
表2
经比较发现:IP地址为117.173.143.116的LDNS服务器将域名ucdl.25pp.com解析出的IP地址是:69.46.84.53,该IP地址不在作为标准解析结果列表的表1中,由此可判断为该LDNS服务器存在劫持行为。
场景二:湖北地区的使用联通运营商提供的部分网络的用户反馈,通过UC浏览器访问域名https://m.taobao.com很慢。
1)建立关于域名:m.taobao.com的标准解析结果列表,如下表3所示,出于简洁目的,仅仅示出了湖北省武汉市的3家网络运营商的3个示例性的IP地址,但实际应该是中国境内的各个地区的这3家网络运营商的多个IP地址。
表3
2)UC浏览器的服务端将域名m.taobao.com下发到湖北地区使用联通运营商提供网络的客户端(例如使用湖北联通运营商提供的4G上网卡上网的客户端)进行域名探测,返回并上传给UC浏览器的服务端的探测结果如下表4,该表4记录的也是部分示例性的IP地址:
表4
经比较发现:IP地址为58.19.228.71的LDNS服务器将域名m.taobao.com解析出的IP地址是:111.47.247.125,该IP地址位于作为标准解析结果列表的表3中,不过这是湖北移动运营商的IP地址,而发送域名探测的客户端使用的是湖北联通运营商提供的网络,由此判断得出域名解析不精准。
根据本发明的一种目标域名劫持的检测方法,因为采集的目标域名的标准解析结果具有实时性和权威性,因此得到的判断结果更准确。另外,这种方法还可以发现域名解析的精准性问题。尤其是,当企业租用第三方服务商提供的服务器服务,将自己的软件产品下载服务托管到第三方服务商后,使用本发明的检测方法和系统,该企业自己就可以检测使用该企业的软件产品的客户端访问的域名是否存在DNS劫持行为,这大大改善了现有技术中存在的不足。
图3是本发明第三实施例提供的一种获得目标域名的权威解析结果的装置的组成结构的示意性框图。如图3所述,本发明的一种获得目标域名的权威解析结果的装置包括:
域名解析请求发送模块,用于使用EDNS协议向所述目标域名的权威DNS服务器发出域名解析请求,该请求中包含有:所述目标域名和从预先建立的记录有多个不同地区、不同互联网服务提供商的IP地址的IP地址信息列表中选取的一个互联网服务提供商的IP地址;
接收模块,用于接收权威DNS服务器返回的所述目标域名的至少一个解析结果;
循环执行模块,用于使所述域名解析请求发送模块和所述接收模块重复工作,直至所述IP地址信息列表中记录的所有互联网服务提供商的IP地址都遍历一遍,得到一个包含所述目标域名的多个解析结果的解析结果列表。
其中,所述IP地址信息列表包括:互联网服务提供商名称、互联网服务提供商所在地区、互联网服务提供商所在地区的IP地址,所述IP地址信息列表记录的互联网服务提供商所在地区的行政区域是市级,优选的,所述互联网服务提供商是中国境内的各互联网服务提供商,更优选的,所述互联网服务提供商是世界范围的各国家成立的各互联网服务提供商。
优选的,用于获得目标域名的权威解析结果的所述装置还包括:目标域名的权威DNS服务器记录获取模块,用于采用BIND软件来获得所述目标域名的域名服务器记录,由此获得所述目标域名的至少一个权威DNS服务器。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,该第三实施例描述的装置的具体工作过程,可以参考前述第一实施例中的对应过程和所给的实例,在此不再赘述。
通过上述装置获得的包含所述目标域名的多个解析结果的解析结果列表,其中得到的目标域名的多个解析结果具有实时性和权威性(即准确性高),能够作为判断域名是否劫持的标准解析结果列表,由此后续判断是否发生域名劫持的准确性会更高。
图4是本发明第四实施例提供的一种服务器的组成结构的示意性框图。如图4所示,本发明的一种服务器包括:
根据第三实施例及其优选实施例所述的用于获得目标域名的权威解析结果的装置;
域名解析探测任务分发模块,用于将目标域名分发给多个指定客户端以执行目标域名解析探测任务;
接收模块,用于接收所述指定客户端上报的作为探测任务的每个解析结果;
分析模块,用于将接收的作为探测任务的每个解析结果与所述标准解析结果列表记录的标准解析结果进行比较,从而确定为所述客户端配置的LDNS服务器是否存在劫持行为。
其中,所述分析模块在将接收的作为探测任务的每个解析结果与所述标准解析结果列表记录的标准解析结果进行比较时,当某个客户端返回的作为探测任务的解析结果与所述标准解析结果列表记录的所有标准解析结果都不相符时,判断出为该客户端配置的LDNS服务器存在劫持行为;
当某个客户端返回的作为探测任务的解析结果与所述标准解析结果列表记录的某个标准解析结果相符,但是该解析结果所记录的互联网服务提供商的名称和所在地区之一或该二者与该客户端所使用的互联网服务提供商的名称和所在地区不相符时,判断出为该客户端配置的LDNS服务器对目标域名解析不精准。
其中,所述域名解析探测任务分发模块还用于将从预先建立的目标域名列表中记录的多个目标域名中选择的至少一个目标域名分发给多个指定客户端,其中所述服务器端在建立目标域名列表时对该目标域名列表中记录的多个目标域名分别建立对应的多个标准解析结果列表,优选的,所述服务器端定期将所述至少一个目标域名分发给多个指定客户端以执行目标域名解析探测任务。
其中,所述多个指定客户端包括:处在不同地区的、使用不同互联网服务提供商提供的网络的多个客户端。
另外,所述多个指定客户端还可以包括:在访问目标域名发生异常情况时将该异常情况上报至所述服务器端的至少一个客户端、和与上报所述异常情况的所述至少一个客户端使用的互联网服务提供商相同的互联网服务提供商的部分或全部客户端,优选是位于同一地区的互联网服务提供商的部分或全部客户端。
其中,所述客户端和服务器端通过有线或无线网络通信,无线网络包括但不限于:2G、3G、4G无线网络、或WiFi无线网络等。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,该第四实施例描述的装置的具体工作过程,可以参考前述第二实施例中的对应过程和所给的实例,其中使用的用于获得目标域名的权威解析结果的装置可以参考第三实施例及其优选实施例所述内容,在此不再赘述。
根据本发明提供的一种服务器,因为采集的目标域名的标准解析结果具有实时性和权威性,因此判断域名是否存在劫持行为的结果更准确。另外,这种服务器还可以发现域名解析的精准性问题。尤其是,当企业租用第三方服务商提供的服务器服务,将自己的软件产品下载服务托管到第三方服务商后,使用本发明的检测方法和系统,该企业自己就可以检测使用该企业的软件产品的客户端访问的域名是否存在DNS劫持行为,这大大改善了现有技术中存在的不足。
图5是本发明第五实施例提供的一种目标域名劫持的检测系统的示意性框图。如图5所示,本发明的一种目标域名劫持的检测系统,其包括:
根据第四实施例及其优选实施例所述的服务器端;和
客户端,用于将收到的目标域名发送给为该客户端配置的LDNS服务器请求域名解析、接收返回的解析结果并将解析结果上报给所述服务器端。
其中,所述客户端包括:处在不同地区的、使用不同互联网服务提供商提供的网络的多个客户端。
其中,所述客户端还包括在访问目标域名发生异常情况时将该异常情况上报至所述服务器端的至少一个客户端、和与上报所述异常情况的所述至少一个客户端使用的互联网服务提供商相同的互联网服务提供商的部分或全部客户端,优选是位于同一地区的互联网服务提供商的部分或全部客户端。
其中,所述客户端和服务器端通过有线或无线网络通信,无线网络包括但不限于:2G、3G、4G无线网络、或WiFi无线网络等。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,该第五实施例描述的装置的具体工作过程,可以参考前述第一和第二实施例中的对应过程和所给的实例,其中该检测系统使用的服务器可以参考第四实施例及其优选实施例所述内容,在此不再赘述。
根据本发明提供的目标域名劫持的检测系统,因为采集的目标域名的标准解析结果具有实时性和权威性,因此判断域名是否存在劫持行为的结果更准确。另外,这种系统还可以发现域名解析的精准性问题。尤其是,当企业租用第三方服务商提供的服务器服务,将自己的软件产品下载服务托管到第三方服务商后,使用本发明的检测方法和系统,该企业自己就可以检测使用该企业的软件产品的客户端访问的域名是否存在DNS劫持行为,这大大改善了现有技术中存在的不足。
本发明实施例所提供的一种获得目标域名的权威解析结果的方法和一种目标域名劫持的检测方法的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,智能平板电脑,智能手机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM)、随机存取存储器(RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (18)
1.一种获得目标域名的权威解析结果的方法,其包括:
1)使用EDNS协议向所述目标域名的权威DNS服务器发出域名解析请求,该请求中包含有:所述目标域名和从预先建立的记录有多个不同地区、不同互联网服务提供商的IP地址的IP地址信息列表中选取的一个互联网服务提供商的IP地址;
2)接收权威DNS服务器返回的所述目标域名的至少一个解析结果;
3)重复执行上述步骤1和2,直至所述IP地址信息列表中记录的所有互联网服务提供商的IP地址都遍历一遍,得到一个包含所述目标域名的多个解析结果的解析结果列表。
2.根据权利要求1所述的方法,其特征在于采用BIND软件来获得所述目标域名的域名服务器记录,由此获得所述目标域名的至少一个权威DNS服务器。
3.根据权利要求1所述的方法,其特征在于所述IP地址信息列表包括:互联网服务提供商名称、互联网服务提供商所在地区、互联网服务提供商所在地区的IP地址,所述IP地址信息列表记录的互联网服务提供商所在地区的行政区域是市级,优选的,所述互联网服务提供商是世界范围的各国家境内成立的各互联网服务提供商,更优选的,所述互联网服务提供商是中国境内的各互联网服务提供商。
4.一种目标域名劫持的检测方法,其包括:
服务器端使用根据权利要求1-3之一所述方法获得一个包含所述目标域名的多个解析结果的解析结果列表作为标准解析结果列表;
服务器端将所述目标域名分发给多个指定客户端以执行目标域名解析探测任务,该接收到所述目标域名解析探测任务的客户端将收到的所述目标域名发送给为该客户端配置的LDNS服务器请求域名解析、接收返回的解析结果并将解析结果上报给所述服务器端;
服务器端将接收的作为探测任务的每个解析结果与所述标准解析结果列表记录的标准解析结果进行比较,从而确定为所述客户端配置的LDNS服务器是否存在劫持行为。
5.根据权利要求4所述的方法,其特征在于所述服务器端将接收的作为探测任务的每个解析结果与所述标准解析结果列表记录的标准解析结果进行比较,从而确定为所述客户端配置的LDNS服务器是否存在劫持行为的步骤包括:
当某个客户端返回的作为探测任务的解析结果与所述标准解析结果列表记录的所有标准解析结果都不相符时,判断出为该客户端配置的LDNS服务器存在劫持行为;
当某个客户端返回的作为探测任务的解析结果与所述标准解析结果列表记录的某个标准解析结果相符,但是该解析结果所记录的互联网服务提供商的名称和所在地区之一或该二者与该客户端所使用的互联网服务提供商的名称和所在地区不相符时,判断出为该客户端配置的LDNS服务器对目标域名解析不精准。
6.根据权利要求4所述的方法,其特征在于所述多个指定客户端包括:处在不同地区的、使用不同互联网服务提供商提供的网络的多个客户端。
7.根据权利要求4所述的方法,其特征在于所述多个指定客户端包括:在访问目标域名发生异常情况时将该异常情况上报至所述服务器端的至少一个客户端、和与上报所述异常情况的所述至少一个客户端使用的互联网服务提供商相同的互联网服务提供商的部分或全部客户端,优选是位于同一地区的互联网服务提供商的部分或全部客户端。
8.根据权利要求4所述的方法,其特征在于所述服务器端将所述目标域名分发给多个指定客户端以执行目标域名解析探测任务的步骤包括:将从预先建立的目标域名列表中记录的多个目标域名中选择的至少一个目标域名分发给多个指定客户端,其中所述服务器端在建立目标域名列表时对该目标域名列表中记录的多个目标域名分别建立对应的多个标准解析结果列表,优选的,所述服务器端定期将所述至少一个目标域名分发给多个指定客户端以执行目标域名解析探测任务。
9.根据权利要求4-8之一所述的方法,其特征在于所述服务器端和所述多个指定客户端通过有线或无线网络通信。
10.一种获得目标域名的权威解析结果的装置,其包括:
域名解析请求发送模块,用于使用EDNS协议向所述目标域名的权威DNS服务器发出域名解析请求,该请求中包含有:所述目标域名和从预先建立的记录有多个不同地区、不同互联网服务提供商的IP地址的IP地址信息列表中选取的一个互联网服务提供商的IP地址;
接收模块,用于接收权威DNS服务器返回的所述目标域名的至少一个解析结果;
循环执行模块,用于使所述域名解析请求发送模块和所述接收模块重复工作,直至所述IP地址信息列表中记录的所有互联网服务提供商的IP地址都遍历一遍,得到一个包含所述目标域名的多个解析结果的解析结果列表。
11.根据权利要求10所述的装置,其特征在于还包括:目标域名的权威DNS服务器记录获取模块,其采用BIND软件来获得所述目标域名的域名服务器记录,由此获得所述目标域名的至少一个权威DNS服务器。
12.根据权利要求10所述的装置,其特征在于所述IP地址信息列表包括:互联网服务提供商名称、互联网服务提供商所在地区、互联网服务提供商所在地区的IP地址,所述IP地址信息列表记录的互联网服务提供商所在地区的行政区域是市级,优选的,所述互联网服务提供商是世界范围的各国家境内成立的各互联网服务提供商,更优选的,所述互联网服务提供商是中国境内的各互联网服务提供商。
13.一种服务器,其特征在于,包括:
根据权利要求10-12之一所述的装置;
域名解析探测任务分发模块,用于将目标域名分发给多个指定客户端以执行目标域名解析探测任务;
接收模块,用于接收所述指定客户端上报的作为探测任务的每个解析结果;
分析模块,用于将接收的作为探测任务的每个解析结果与所述标准解析结果列表记录的标准解析结果进行比较,从而确定为所述客户端配置的LDNS服务器是否存在劫持行为。
14.根据权利要求13所述的服务器,其特征在于所述分析模块在将接收的作为探测任务的每个解析结果与所述标准解析结果列表记录的标准解析结果进行比较时,当某个客户端返回的作为探测任务的解析结果与所述标准解析结果列表记录的所有标准解析结果都不相符时,判断出为该客户端配置的LDNS服务器存在劫持行为;
当某个客户端返回的作为探测任务的解析结果与所述标准解析结果列表记录的某个标准解析结果相符,但是该解析结果所记录的互联网服务提供商的名称和所在地区之一或该二者与该客户端所使用的互联网服务提供商的名称和所在地区不相符时,判断出为该客户端配置的LDNS服务器对目标域名解析不精准。
15.根据权利要求13所述的服务器,其特征在于所述域名解析探测任务分发模块还用于将从预先建立的目标域名列表中记录的多个目标域名中选择的至少一个目标域名分发给多个指定客户端,其中所述服务器端在建立目标域名列表时对该目标域名列表中记录的多个目标域名分别建立对应的多个标准解析结果列表,优选的,所述服务器端定期将所述至少一个目标域名分发给多个指定客户端以执行目标域名解析探测任务。
16.一种目标域名劫持的检测系统,其包括:
根据权利要求13-15之一所述的服务器端;和
客户端,用于将收到的目标域名发送给为该客户端配置的LDNS服务器请求域名解析、接收返回的解析结果并将解析结果上报给所述服务器端。
17.根据权利要求16所述的服务器,其特征在于所述客户端包括:处在不同地区的、使用不同互联网服务提供商提供的网络的多个客户端。
18.根据权利要求16所述的服务器,其特征在于所述客户端包括在访问目标域名发生异常情况时将该异常情况上报至所述服务器端的至少一个客户端、和与上报所述异常情况的所述至少一个客户端使用的互联网服务提供商相同的互联网服务提供商的部分或全部客户端,优选是位于同一地区的互联网服务提供商的部分或全部客户端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710546378.5A CN107135236A (zh) | 2017-07-06 | 2017-07-06 | 一种目标域名劫持的检测方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710546378.5A CN107135236A (zh) | 2017-07-06 | 2017-07-06 | 一种目标域名劫持的检测方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107135236A true CN107135236A (zh) | 2017-09-05 |
Family
ID=59737614
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710546378.5A Pending CN107135236A (zh) | 2017-07-06 | 2017-07-06 | 一种目标域名劫持的检测方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107135236A (zh) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108282495A (zh) * | 2018-03-14 | 2018-07-13 | 北京奇艺世纪科技有限公司 | 一种dns劫持防御方法和装置 |
CN108650211A (zh) * | 2018-03-14 | 2018-10-12 | 北京奇艺世纪科技有限公司 | 一种dns劫持的检测方法和装置 |
CN108881146A (zh) * | 2017-12-28 | 2018-11-23 | 北京安天网络安全技术有限公司 | 域名系统劫持的识别方法、装置、电子设备及存储介质 |
CN108989487A (zh) * | 2018-09-06 | 2018-12-11 | 北京泰策科技有限公司 | 基于本地dns的cdn优化调度方法 |
CN109729058A (zh) * | 2017-10-31 | 2019-05-07 | 贵州白山云科技股份有限公司 | 一种流量劫持分析方法和装置 |
CN110351234A (zh) * | 2018-04-08 | 2019-10-18 | 中国移动通信集团安徽有限公司 | 网页非法重定向的定位方法、装置、系统和设备 |
CN110572390A (zh) * | 2019-09-06 | 2019-12-13 | 深圳平安通信科技有限公司 | 检测域名劫持的方法、装置、计算机设备和存储介质 |
CN110769080A (zh) * | 2019-10-30 | 2020-02-07 | 腾讯科技(深圳)有限公司 | 一种域名解析方法、相关产品及计算机可读存储介质 |
CN110769076A (zh) * | 2018-07-26 | 2020-02-07 | 贵州白山云科技股份有限公司 | 一种dns测试方法和系统 |
CN110830599A (zh) * | 2018-08-09 | 2020-02-21 | 阿里巴巴集团控股有限公司 | 域名预热方法、地址发送方法及系统、计算设备 |
CN111447226A (zh) * | 2020-03-27 | 2020-07-24 | 上海连尚网络科技有限公司 | 用于检测dns劫持的方法和设备 |
CN112995357A (zh) * | 2021-04-21 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 基于云托管服务的域名管理方法、装置、介质及电子设备 |
CN113905017A (zh) * | 2021-10-14 | 2022-01-07 | 牙木科技股份有限公司 | 域名解析缓存方法、dns服务器及计算机可读存储介质 |
CN114244590A (zh) * | 2021-12-07 | 2022-03-25 | 上海观安信息技术股份有限公司 | Dns劫持监测方法及装置 |
CN114827085A (zh) * | 2022-06-24 | 2022-07-29 | 鹏城实验室 | 根服务器正确性监测方法、装置、设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104125215A (zh) * | 2014-06-30 | 2014-10-29 | 新浪网技术(中国)有限公司 | 网站域名劫持检测方法和系统 |
CN104253796A (zh) * | 2013-06-27 | 2014-12-31 | 北京快网科技有限公司 | 域名系统中基于网络地址绑定区层级的快速区识别方法 |
US20160119282A1 (en) * | 2014-10-23 | 2016-04-28 | Go Daddy Operating Company, LLC | Domain name registration verification |
CN105592173A (zh) * | 2014-10-23 | 2016-05-18 | 中国移动通信集团公司 | 一种防止dns缓存被染的方法、系统及本地dns服务器 |
CN105681358A (zh) * | 2016-03-31 | 2016-06-15 | 北京奇虎科技有限公司 | 检测域名劫持的方法、装置和系统 |
US20160182490A1 (en) * | 2014-12-18 | 2016-06-23 | Go Daddy Operating Company, LLC | Sending authentication codes to multiple recipients |
CN106686020A (zh) * | 2017-03-29 | 2017-05-17 | 北京奇虎科技有限公司 | 域名安全性的检测方法、装置及系统 |
-
2017
- 2017-07-06 CN CN201710546378.5A patent/CN107135236A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104253796A (zh) * | 2013-06-27 | 2014-12-31 | 北京快网科技有限公司 | 域名系统中基于网络地址绑定区层级的快速区识别方法 |
CN104125215A (zh) * | 2014-06-30 | 2014-10-29 | 新浪网技术(中国)有限公司 | 网站域名劫持检测方法和系统 |
US20160119282A1 (en) * | 2014-10-23 | 2016-04-28 | Go Daddy Operating Company, LLC | Domain name registration verification |
CN105592173A (zh) * | 2014-10-23 | 2016-05-18 | 中国移动通信集团公司 | 一种防止dns缓存被染的方法、系统及本地dns服务器 |
US20160182490A1 (en) * | 2014-12-18 | 2016-06-23 | Go Daddy Operating Company, LLC | Sending authentication codes to multiple recipients |
CN105681358A (zh) * | 2016-03-31 | 2016-06-15 | 北京奇虎科技有限公司 | 检测域名劫持的方法、装置和系统 |
CN106686020A (zh) * | 2017-03-29 | 2017-05-17 | 北京奇虎科技有限公司 | 域名安全性的检测方法、装置及系统 |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109729058A (zh) * | 2017-10-31 | 2019-05-07 | 贵州白山云科技股份有限公司 | 一种流量劫持分析方法和装置 |
CN109729058B (zh) * | 2017-10-31 | 2020-02-21 | 贵州白山云科技股份有限公司 | 一种流量劫持分析方法和装置 |
CN108881146A (zh) * | 2017-12-28 | 2018-11-23 | 北京安天网络安全技术有限公司 | 域名系统劫持的识别方法、装置、电子设备及存储介质 |
CN108650211A (zh) * | 2018-03-14 | 2018-10-12 | 北京奇艺世纪科技有限公司 | 一种dns劫持的检测方法和装置 |
CN108282495A (zh) * | 2018-03-14 | 2018-07-13 | 北京奇艺世纪科技有限公司 | 一种dns劫持防御方法和装置 |
CN110351234A (zh) * | 2018-04-08 | 2019-10-18 | 中国移动通信集团安徽有限公司 | 网页非法重定向的定位方法、装置、系统和设备 |
CN110769076A (zh) * | 2018-07-26 | 2020-02-07 | 贵州白山云科技股份有限公司 | 一种dns测试方法和系统 |
CN110769076B (zh) * | 2018-07-26 | 2022-06-03 | 贵州白山云科技股份有限公司 | 一种dns测试方法和系统 |
CN110830599A (zh) * | 2018-08-09 | 2020-02-21 | 阿里巴巴集团控股有限公司 | 域名预热方法、地址发送方法及系统、计算设备 |
CN108989487A (zh) * | 2018-09-06 | 2018-12-11 | 北京泰策科技有限公司 | 基于本地dns的cdn优化调度方法 |
CN110572390A (zh) * | 2019-09-06 | 2019-12-13 | 深圳平安通信科技有限公司 | 检测域名劫持的方法、装置、计算机设备和存储介质 |
CN110769080A (zh) * | 2019-10-30 | 2020-02-07 | 腾讯科技(深圳)有限公司 | 一种域名解析方法、相关产品及计算机可读存储介质 |
CN110769080B (zh) * | 2019-10-30 | 2021-12-14 | 腾讯科技(深圳)有限公司 | 一种域名解析方法、相关产品及计算机可读存储介质 |
CN111447226A (zh) * | 2020-03-27 | 2020-07-24 | 上海连尚网络科技有限公司 | 用于检测dns劫持的方法和设备 |
CN111447226B (zh) * | 2020-03-27 | 2022-08-12 | 上海尚往网络科技有限公司 | 用于检测dns劫持的方法和设备 |
CN112995357A (zh) * | 2021-04-21 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 基于云托管服务的域名管理方法、装置、介质及电子设备 |
CN112995357B (zh) * | 2021-04-21 | 2021-07-23 | 腾讯科技(深圳)有限公司 | 基于云托管服务的域名管理方法、装置、介质及电子设备 |
CN113905017A (zh) * | 2021-10-14 | 2022-01-07 | 牙木科技股份有限公司 | 域名解析缓存方法、dns服务器及计算机可读存储介质 |
CN114244590A (zh) * | 2021-12-07 | 2022-03-25 | 上海观安信息技术股份有限公司 | Dns劫持监测方法及装置 |
CN114827085A (zh) * | 2022-06-24 | 2022-07-29 | 鹏城实验室 | 根服务器正确性监测方法、装置、设备及存储介质 |
CN114827085B (zh) * | 2022-06-24 | 2022-09-09 | 鹏城实验室 | 根服务器正确性监测方法、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107135236A (zh) | 一种目标域名劫持的检测方法和系统 | |
US10027564B2 (en) | Unobtrusive methods and systems for collecting information transmitted over a network | |
US10361931B2 (en) | Methods and apparatus to identify an internet domain to which an encrypted network communication is targeted | |
CN103685590B (zh) | 获取ip地址的方法及系统 | |
CN104125121A (zh) | 网络劫持行为的检测系统及方法 | |
WO2016082289A1 (zh) | 一种基于内容分发网络的网站加速方法及系统 | |
US9042863B2 (en) | Service classification of web traffic | |
CN104640114B (zh) | 一种访问请求的验证方法及装置 | |
CN104038363A (zh) | 一种对ccdn提供商信息进行采集及统计的方法 | |
WO2013044564A1 (zh) | 一种用户网络行为分析方法、装置和系统 | |
US11030632B2 (en) | Device identification systems and methods | |
EP2441235A1 (en) | System and method to enable tracking of consumer behavior and activity | |
CN103716391A (zh) | 一种内容缓存的实现方法及路由器 | |
US20180324064A1 (en) | Unobtrusive methods and systems for collecting information transmitted over a network | |
CN102739811A (zh) | 域名解析的方法和设备 | |
US20110302272A1 (en) | Unobtrusive methods and systems for collecting information transmitted over a network | |
CN106067879B (zh) | 信息的检测方法及装置 | |
CN106411819A (zh) | 一种识别代理互联网协议地址的方法及装置 | |
US9396259B1 (en) | Capture of web application state | |
CN109729054B (zh) | 访问数据监测方法及相关设备 | |
Nisar et al. | Incentivizing censorship measurements via circumvention | |
CN107071091B (zh) | 一种优化dns域名解析的实现方法 | |
Scott et al. | Understanding open proxies in the wild | |
CN103259804B (zh) | 网络服务质量信息获取比对方法及系统 | |
Kamiyama et al. | Measurement Analysis of Co-occurrence Degree of Web Objects |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20200903 Address after: 310052 room 508, floor 5, building 4, No. 699, Wangshang Road, Changhe street, Binjiang District, Hangzhou City, Zhejiang Province Applicant after: Alibaba (China) Co.,Ltd. Address before: 510627 Guangdong city of Guangzhou province Whampoa Tianhe District Road No. 163 Xiping Yun Lu Yun Ping square B radio tower 15 layer self unit 02 Applicant before: GUANGZHOU UC NETWORK TECHNOLOGY Co.,Ltd. |
|
TA01 | Transfer of patent application right | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170905 |
|
RJ01 | Rejection of invention patent application after publication |