CN107147662B - 域名劫持发现的方法 - Google Patents
域名劫持发现的方法 Download PDFInfo
- Publication number
- CN107147662B CN107147662B CN201710404177.1A CN201710404177A CN107147662B CN 107147662 B CN107147662 B CN 107147662B CN 201710404177 A CN201710404177 A CN 201710404177A CN 107147662 B CN107147662 B CN 107147662B
- Authority
- CN
- China
- Prior art keywords
- data
- monitoring
- analysis system
- central analysis
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种域名劫持发现的方法,通过部署终端监控系统、将需要监测的URL通过终端监控系统、第三方付费监控系统分别监测数据进行记录,将分析结果汇总上报至中心分析系统,为该域名形成一个统一的监测汇总数据;通过比对数据发现DNS解析层和应用层的劫持现象,结构简单,部署方便,在较短的时间内能够迅速定位劫持发生的位置,并且为后续的防劫持处理提供数据支撑,十分利于推广应用。
Description
技术领域
本发明涉及互联网监控技术领域,尤其涉及一种域名劫持发现的方法。
背景技术
随着科技的发展,社会的进步,人们对于网络的依赖程度也越来越高。
在互联网技术飞速发展的今天,网络环境也呈现出多样化的趋势,部分小区宽带、中小运营商,为降低用户请求的出网率,在网络内部增加反向代理服务器,并通过篡改用户的DNS解析结果、强制302重定向,达到将用户的请求都引流到内部反向代理服务器的目的。这种情况下,会导致用户访问内容的不可靠性以及降低用户访问成功率等问题,这就是通常所说的DNS劫持和302强制劫持。
用户访问互联网时,通常需要在浏览器中输入域名信息,如www.baidu.com,而不是服务器的IP地址。而传统的HTTP/HTTPS请求过程是将访问的域名从DNS系统解析获取对应的服务器IP,然后请求发起方将通过DNS解析得到的IP作为服务器端IP,来发起后续的HTTP/HTTPS请求。终端用户的DNS解析结果,决定了用户的后续请求会访问到的服务器IP,如果该环节解析结果异常,则会导致用户访问异常。
在现在互联网普及的社会环境中,劫持现象时有发生,但是目前缺乏有效的发现手段,而且有些域名采用了智能DNS解析方式或者通过CDN进行加速,在不同的省份及不同的运营商,其解析出来的IP地址各不相同,因此域名使用方即便在发现域名劫持现象以后,也很难在较短的时间内迅速定位劫持发生的位置。
发明内容
本发明的目的就在于为了解决上述问题和缺陷,提供一种域名劫持发现的方法,旨在及时发现此类DNS解析劫持以及302劫持,为后续的防劫持处理提供数据支撑。
本发明通过以下技术方案来实现上述目的:
一种域名劫持发现的方法,其步骤为:
Q1:部署终端监控系统,用于使服务器端模拟终端用户发起http请求,并记录包括DNS解析结果、响应头信息、保存文件内容的信息在内的指标;
Q2:终端监控系统将需要监测的URL通过终端监控系统,以设定的频率进行全网模拟请求,并对监测数据进行记录,并在本地进行对比,将分析结果汇总上报至中心分析系统;
其中,监测数据包含DNS解析结果、服务端响应的http-code、content-length、文件的 md5;
Q3:第三方付费监控系统以设定的频率对监控URL进行监测,监测全网每个划分区域的每个运营商对于Q2步骤所述的监测数据也进行记录,并做汇总记录,并将结果汇总上报至中心分析系统;
Q4:中心分析系统将步骤Q2和步骤Q3监测到的数据进行汇总,为该域名形成一个统一的监测汇总数据;
Q5:劫持发现之DNS解析层
Q51:中心分析系统根据两种监测系统对域名的解析结果,汇总生成一份实际的全国各地区及运营商维度组合的域名解析级别的IP覆盖关系第一数据;
Q52:中心分析系统通过实时访问日志系统的分析,汇总生成一份全国各地区及运营商维度组合的用户实际访问级别的IP覆盖关系第二数据;
Q53:中心分析系统通过调度系统,生成一份全国各地区及运营商维度组合的最标准的IP覆盖关系第三数据;
Q54:中心分析系统将第一数据、第二数据分别和第三数据做校验比对,
当第一数据和第三数据某些地区不一致,并且第一数据的不一致地区的IP不存在第三数据中,则认为有劫持;
当第二数据和第三数据某些地区不一致,则认为不一致的地区存在调度不精准或者 DNS缓存时间过长问题,此时需要针对性的修正第三数据,已避免造成对第一数据的误判。
Q6:劫持发现之应用层
中心分析系统将终端监控系统和第三方付费监控系统上报的URL探测结果、即Q2、Q3步骤分别得到的汇总记录结果进行分析整合,判断URL探测的响应信息是否一致,如果Q2、Q3步骤分别得到的汇总记录结果一致,则认为正常;如果不一致,则认为存在劫持现象,
其中,分析整合的内容包括:判断URL探测的响应头信息中的http-code、content-length、文件md5信息。
在上述技术方案中,Q2、Q3步骤不分先后顺序,Q5、Q6步骤不分先后顺序。
在上述技术方案中,所述Q1步骤中的终端监控系统在发起监控前,需要在终端监控系统中设定好回应该响应的http-code、content-length、文件的md5值、自定义特殊header 的指标信息。
作为上述技术方案的优选,所述Q2、Q3步骤中的设定的频率为每5分钟一次进行全网模拟请求。
本发明的有益效果是:
本发明提供的一种域名劫持发现的方法,结构简单,部署方便,采用Q2、Q3步骤的终端监控系统和第三方付费监控系统同时监控,目的是增加监测效果的准确性,分别汇总的是为了剔除一些不需要的数据,使上报的数据更加精简,在较短的时间内能够迅速定位劫持发生的位置,并且为后续的防劫持处理提供数据支撑,十分利于推广应用。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1所提供的一种域名劫持发现的方法的系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例中,终端监控系统、第三方付费监控系统是做监控用的,其功能模拟用户,向服务器端发送URL请求,接收来自服务器端的数据相应结果并进行分析,同时将结果上报到中心分析系统,实现对各种请求数据进行监控和采集;中心分析系统是用一个统一的数据分析平台,其功能是接收终端监控系统、第三方付费监控系统、实时日志分析系统、调度系统上报的各类数据,并进行分析;实时访问日志系统是一套用于对日志进行实时分析的系统,其功能是根据用户的访问情况,对全国各地区及运营商维度进行分析;调度系统是根据用户的Local DNS信息以及运营商信息,将用户的访问请求调度到离用户最近的节点服务器上,实现用户就近访问,提高访问速度,其核心的信息为全国各地区各运营商IP地址库,IP地址库越全,地址越准确,调度得也就越精准。
实施例1
请参阅图1所示,以下叙述如何在DNS解析层和应用层发现劫持的。
在DNS解析层发现劫持的步骤为:
1.部署终端监控系统,部署终端监控系统,通过该终端监控系统模拟终端用户向服务器端发起http请求,并记录包括DNS解析结果、响应头信息、保存文件内容的信息在内的指标;
2.将需要监测的URL通过终端监控系统,以设定的频率进行全网模拟请求,并对监测数据进行记录,包含DNS解析结果、服务端响应的http-code、content-length、文件的md5等,并在本地进行对比,将分析结果汇总上报至中心分析系统;
3.通过第三方付费监控系统以设定的频率对监控URL进行监测,监测全网每个划分区域的每个运营商对于Q2步骤所述的监测数据也进行记录,并做汇总记录,并将结果汇总上报至中心分析系统;
4.中心分析系统将步骤2和步骤3监测到的数据进行汇总,为该域名形成一个统一的监测汇总数据;
5.中心分析系统根据两种的解析结果,汇总生成一份实际的全国各地区及运营商维度组合的域名解析级别的IP覆盖关系第一数据;
通过实时访问日志系统的分析,中心分析系统汇总生成一份全国各地区及运营商维度组合的用户实际访问级别的IP覆盖关系第二数据;
中心分析系统)通过调度系统生成一份全国各地区及运营商维度组合的最标准的IP覆盖关系第三数据;
6.中心分析系统将第一数据、第二数据分别和第三数据做校验,
i.当第一数据和第三数据某些地区不一致,并且第一数据的不一致地区的IP不存在第三数据中,则认为有劫持;
ii.当第二数据和第三数据某些地区不一致,则认为不一致的地区存在调度不精准或者DNS缓存时间过长问题,此时需要针对性的修正第三数据,已避免造成对第一数据的误判。
在DNS解析层和应用层发现劫持的步骤为:
1.部署终端监控系统,通过该终端系统模拟终端用户向服务器端发起http请求,并记录包括DNS解析结果、响应头信息、保存文件内容的信息在内的指标;
2.将需要监测的URL通过终端监控系统,以设定的频率进行全网模拟请求,并对监测数据进行记录,包含DNS解析结果、服务端响应的http-code、content-length、文件的md5等信息;并在本地进行对比,将分析结果汇总上报至中心分析系统;
3.通过第三方付费监控系统以设定的频率对监控URL进行监测,监测全网每个划分区域的每个运营商对于Q2步骤所述的监测数据也进行记录,并做汇总记录,并将结果汇总上报至中心分析系统;
4.中心分析系统将步骤2和步骤3监测到的数据进行汇总,为该域名形成一个统一的监测汇总数据;
5.中心分析系统将终端监控系统和第三方付费监控系统上报的URL探测结果进行分析整合,包括判断URL探测的响应头信息中的http-code、content-length、文件md5信息等是否和预期的一致,如果一致,则认为正常;如果不一致,则认为存在劫持现象。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (4)
1.一种域名劫持发现的方法,其特征在于,其步骤为:
Q1:部署终端监控系统,用于使服务器端模拟终端用户发起http请求,并记录包括DNS解析结果、响应头信息、保存文件内容的信息在内的指标;
Q2:终端监控系统将需要监测的URL通过终端监控系统,以设定的频率进行全网模拟请求,并对监测数据进行记录,并在本地进行对比,将分析结果汇总上报至中心分析系统;
其中,监测数据包含DNS解析结果、服务端响应的http-code、content-length、文件的md5;
Q3:第三方付费监控系统以设定的频率对监控URL进行监测,监测全网每个划分区域的每个运营商对于Q2步骤所述的监测数据也进行记录,并做汇总记录,并将结果汇总上报至中心分析系统;
Q4:中心分析系统将步骤Q2和步骤Q3监测到的数据进行汇总,为该域名URL形成一个统一的监测汇总数据;
Q5:劫持发现之DNS解析层
Q51:中心分析系统根据两种监测系统对域名的解析结果,汇总生成一份实际的全国各地区及运营商维度组合的域名解析级别的IP覆盖关系第一数据;
Q52:中心分析系统通过实时访问日志系统的分析,汇总生成一份全国各地区及运营商维度组合的用户实际访问级别的IP覆盖关系第二数据;
Q53:中心分析系统通过调度系统,生成一份全国各地区及运营商维度组合的最标准的IP覆盖关系第三数据;
Q54:中心分析系统将第一数据、第二数据分别和第三数据做校验比对,
当第一数据和第三数据某些地区不一致,并且第一数据的不一致地区的IP不存在第三数据中,则认为有劫持;
当第二数据和第三数据某些地区不一致,则认为不一致的地区存在调度不精准或者DNS缓存时间过长问题,此时需要针对性的修正第三数据,以避免造成对第一数据的误判;
Q6:劫持发现之应用层
中心分析系统将终端监控系统和第三方付费监控系统上报的URL探测结果、即Q2、Q3步骤分别得到的汇总记录结果进行分析整合,判断URL探测的响应信息是否一致,如果Q2、Q3步骤分别得到的汇总记录结果一致,则认为正常;如果不一致,则认为存在劫持现象,
其中,分析整合的内容包括:判断URL探测的响应头信息中的http-code、content-length、文件md5信息。
2.根据权利要求1所述的一种域名劫持发现的方法,其特征在于,所述Q1步骤中的终端监控系统在发起监控前,需要在终端监控系统中设定好回应该响应的http-code、content-length、文件的md5值、自定义特殊header的指标信息。
3.根据权利要求1所述的一种域名劫持发现的方法,其特征在于,所述Q2、Q3步骤中的设定的频率为每5分钟一次进行全网模拟请求。
4.根据权利要求1所述的一种域名劫持发现的方法,其特征在于,所述Q2、Q3步骤不分先后顺序,Q5、Q6步骤不分先后顺序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710404177.1A CN107147662B (zh) | 2017-06-01 | 2017-06-01 | 域名劫持发现的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710404177.1A CN107147662B (zh) | 2017-06-01 | 2017-06-01 | 域名劫持发现的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107147662A CN107147662A (zh) | 2017-09-08 |
| CN107147662B true CN107147662B (zh) | 2020-07-21 |
Family
ID=59780296
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710404177.1A Active CN107147662B (zh) | 2017-06-01 | 2017-06-01 | 域名劫持发现的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107147662B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107623693B (zh) * | 2017-09-30 | 2021-03-19 | 北京奇虎科技有限公司 | 域名解析防护方法及装置、系统、计算设备、存储介质 |
| CN110351234B (zh) * | 2018-04-08 | 2021-12-14 | 中国移动通信集团安徽有限公司 | 网页非法重定向的定位方法、装置、系统和设备 |
| CN109257373B (zh) * | 2018-10-31 | 2020-12-04 | 腾讯科技(深圳)有限公司 | 一种域名劫持识别方法、装置及系统 |
| CN114244590A (zh) * | 2021-12-07 | 2022-03-25 | 上海观安信息技术股份有限公司 | Dns劫持监测方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082836B (zh) * | 2009-11-30 | 2013-08-14 | 中国移动通信集团四川有限公司 | 一种dns安全监控系统及方法 |
| WO2015094294A1 (en) * | 2013-12-19 | 2015-06-25 | Hewlett-Packard Development Company, L.P. | Network security system to intercept inline domain name system requests |
| CN105025025B (zh) * | 2015-07-22 | 2019-09-27 | 国家计算机网络与信息安全管理中心 | 一种基于云平台的域名主动检测方法和系统 |
| CN105871912A (zh) * | 2016-06-03 | 2016-08-17 | 腾讯科技(深圳)有限公司 | 一种域名劫持的探测方法和服务器以及移动终端 |
-
2017
- 2017-06-01 CN CN201710404177.1A patent/CN107147662B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN107147662A (zh) | 2017-09-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107147662B (zh) | 域名劫持发现的方法 | |
| CN111522922B (zh) | 日志信息查询方法、装置、存储介质及计算机设备 | |
| CN110213212B (zh) | 一种设备的分类方法和装置 | |
| CN112468360A (zh) | 一种基于指纹的资产发现识别和检测方法及系统 | |
| CN108768921B (zh) | 一种基于特征检测的恶意网页发现方法及系统 | |
| CN107579874B (zh) | 一种检测流量采集设备数据采集漏报的方法及装置 | |
| CN107528812B (zh) | 一种攻击检测方法及装置 | |
| CN107342913B (zh) | 一种cdn节点的探测方法和装置 | |
| CN107786992B (zh) | 一种检测移动通信网络质量的方法和装置 | |
| CN102065147A (zh) | 一种基于企业应用系统获取用户登录信息的方法及装置 | |
| CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
| Aiello et al. | Profiling DNS tunneling attacks with PCA and mutual information | |
| CN112822147A (zh) | 一种用于分析攻击链的方法、系统及设备 | |
| CN114244564A (zh) | 攻击防御方法、装置、设备及可读存储介质 | |
| CN115134099A (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
| CN111404937A (zh) | 一种服务器漏洞的检测方法和装置 | |
| CN109361574A (zh) | 基于JavaScript脚本的NAT检测方法、系统、介质和设备 | |
| CN102271331B (zh) | 一种检测业务提供商sp站点可靠性的方法及系统 | |
| CN109818821B (zh) | 一种网站cdn架构的检测方法及装置 | |
| CN111786990B (zh) | 一种针对web主动推送跳转页面的防御方法和系统 | |
| CN113301155A (zh) | 数据路由方法、装置、设备和存储介质 | |
| CN115051867B (zh) | 一种非法外联行为的检测方法、装置、电子设备及介质 | |
| CN117040779A (zh) | 一种网络异常访问信息获取方法及装置 | |
| CN104363309B (zh) | 泛域名识别、处理装置及方法 | |
| CN109241458A (zh) | 一种基于路由器的广告拦截方法和路由器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |