CN107528817B - 域名劫持的探测方法和装置 - Google Patents
域名劫持的探测方法和装置 Download PDFInfo
- Publication number
- CN107528817B CN107528817B CN201610474428.9A CN201610474428A CN107528817B CN 107528817 B CN107528817 B CN 107528817B CN 201610474428 A CN201610474428 A CN 201610474428A CN 107528817 B CN107528817 B CN 107528817B
- Authority
- CN
- China
- Prior art keywords
- domain name
- address
- server
- terminal
- dns
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
本发明公开了一种域名劫持的探测方法和装置。其中,该方法包括:根据终端上待解析的目标域名从预先存储的IP地址中获取第一IP地址,其中,第一IP地址与目标域名具有映射关系,预先存储的IP地址通过多个DNS服务器收集;获取终端上报的第二IP地址,第二IP地址是终端的域名服务器根据目标域名解析得到的IP地址;比较第二IP地址是否与第一IP地址相同;在比较结果指示第二IP地址与第一IP地址不同时,探测出第二IP地址对应的域名服务器发起劫持行为。本发明解决了现有技术无法探测到域名服务器发起劫持行为的情况的技术问题。
Description
技术领域
本发明涉及互联网领域,具体而言,涉及一种域名劫持的探测方法和装置。
背景技术
域名系统(Domain Name System,简称DNS)是因特网上的一个分布式数据库,该数据库中记录了域名和IP地址相互映射的关系。域名是便于用户访问互联网,而不用记忆能够被应用服务器直接读取的IP地址。通过DNS服务器,将域名转换为相应的IP地址,使得应用服务器根据转换后IP地址向用户展示其请求的内容。在将域名转换为IP地址的过程就是域名解析的过程。
通常情况下,在设置域名时就设定了与该域名对应的一个或者多个IP地址,然而,用户终端在解析域名时可能会出错,或者域名对应的IP地址被恶意篡改,使得解析域名得到的结果不是预先设置好的一个或者多个IP地址中的一个,这就发生了域名劫持的情况。但是,现有技术并无法探测到域名服务器发起劫持行为的情况。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种域名劫持的探测方法和装置,以至少解决现有技术无法探测到域名服务器发起劫持行为的情况的技术问题。
根据本发明实施例的一个方面,提供了一种域名劫持的探测方法,包括:根据终端上待解析的目标域名从预先存储的IP地址中获取第一IP地址,其中,所述第一IP地址与目标域名具有映射关系,所述预先存储的IP地址通过多个DNS服务器收集;获取终端上报的第二IP地址,所述第二IP地址是终端的域名服务器根据所述目标域名解析得到的IP地址;比较所述第二IP地址是否与所述第一IP地址相同;在比较结果指示所述第二IP地址与所述第一IP地址不同时,探测出所述第二IP地址对应的所述域名服务器发起劫持行为。
根据本发明实施例的另一方面,还提供了一种域名劫持的探测装置,包括:第一获取单元,用于根据终端上待解析的目标域名从预先存储的IP地址中获取第一IP地址,其中,所述第一IP地址与目标域名具有映射关系,所述预先存储的IP地址通过多个DNS服务器收集;第二获取单元,用于获取终端上报的第二IP地址,所述第二I P地址是终端的域名服务器根据所述目标域名解析得到的I P地址;比较单元,用于比较所述第二IP地址是否与所述第一IP地址相同;确定单元,用于在比较结果指示所述第二IP地址与所述第一IP地址不同时,探测出所述第二IP地址对应的所述域名服务器发起劫持行为。
在本发明实施例中,根据终端上待解析的目标域名从预先存储的IP地址中获取第一IP地址,其中,第一IP地址与目标域名具有映射关系,预先存储的IP地址通过多个DNS服务器收集;获取终端上报的第二IP地址,第二IP地址是终端的域名服务器根据目标域名解析得到的IP地址;比较第二IP地址是否与第一IP地址相同;在比较结果指示第二IP地址与第一IP地址不同时,探测出第二IP地址对应的域名服务器发起劫持行为,在域名服务器发起劫持行为时,域名服务器将目标域名解析为与第一IP地址不同。
在本发明实施例中,目标域名与第一IP地址之间具有映射关系,比较终端的域名服务器解析目标域名得到的IP地址与第一IP地址是否相同,如果终端的域名服务器解析目标域名得到的IP地址与第一IP地址相同,则说明终端的域名服务器没有发起劫持行为,如果终端的域名服务器根据目标域名解析得到的IP地址与第一IP地址不相同,则说明终端的域名服务器发起劫持行为,达到了探测域名服务器发起劫持行为的情况的技术效果,进而解决了现有技术无法探测到域名服务器发起劫持行为的情况的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的执行域名劫持的探测方法的计算机终端的硬件结构框图;
图2是根据本发明实施例的一种可选的域名劫持的探测方法的流程图;
图3是根据本发明实施例的另一种可选的域名劫持的探测方法的流程图;
图4是根据本发明实施例的一种可选的向用户展示的页面的示意图;
图5是根据本发明实施例的另一种可选的向用户展示的页面的示意图;
图6是根据本发明实施例的一种可选的向用户展示劫持情况的页面的示意图;
图7是根据本发明实施例的一种可选的向用户展示发起劫持行为的域名服务器的IP地址的示意图;
图8是根据本发明实施例的执行域名劫持的探测方法的全国DNS域名解析部署架构的示意图;
图9是根据本发明实施例的执行域名劫持的探测方法的前台架构图;
图10是根据本发明实施例的执行域名劫持的探测方法的后台架构图;
图11是根据本发明实施例的一种可选的IP地址的展示装置的示意图;
图12是根据本发明实施例的执行域名劫持的探测方法的一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
名词解释:
DNS服务器:用于将字符串形式的域名转换为IP地址,是从属于网站的服务器,预先储存了网站域名和一个或者多个IP地址的映射关系。
域名服务器:是从属于终端的服务器,用于对终端访问的域名进行解析。在没有发生劫持的情况下,域名服务器解析出的IP地址与DNS服务器中存储的相同域名所对应的IP地址相同。
实施例1
根据本发明实施例,提供了一种域名劫持的探测方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图1是本发明实施例的执行域名劫持的探测方法的计算机终端的硬件结构框图。如图1所示,计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的域名劫持的探测方法对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的漏洞检测方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network I nterface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Rad io Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
在上述运行环境下,本申请提供了如图2所示的域名劫持的探测方法。图2是根据本发明实施例的一种可选的域名劫持的探测方法的流程图。如图2所示,该方法包括以下步骤:
步骤S202,根据终端上待解析的目标域名从预先存储的IP地址中获取第一IP地址,其中,第一IP地址与目标域名具有映射关系,预先存储的IP地址通过多个DNS服务器收集。预先存储的IP地址的数量可以是很大的,这些预先存储的IP地址可以通过很多个DNS服务器收集。
步骤S204,获取终端上报的第二IP地址,第二IP地址是终端的域名服务器根据目标域名解析得到的IP地址。
步骤S206,比较第二IP地址是否与第一IP地址相同。
步骤S208,在比较结果指示第二IP地址与第一IP地址不同时,探测出第二IP地址对应的域名服务器发起劫持行为。
在域名服务器发起劫持行为时,域名服务器将目标域名解析为与第一IP地址不同。在域名服务器没有发起劫持行为时,域名服务器将目标域名解析为第一IP地址。
目标域名与第一IP地址之间具有映射关系,比较终端的域名服务器解析目标域名得到的IP地址与第一IP地址是否相同,如果终端的域名服务器解析目标域名得到的IP地址与第一IP地址相同,则说明终端的域名服务器没有发起劫持行为,如果终端的域名服务器根据目标域名解析得到的IP地址与第一IP地址不相同,则说明终端的域名服务器发起劫持行为,解决了现有技术无法探测到域名服务器发起劫持行为的情况的技术问题,达到了探测域名服务器发起劫持行为的情况的技术效果。
可选地,获取终端上报的第二IP地址包括:获取终端向DNS服务器上报的本地DNSIP地址,其中,本地DNS IP地址是域名服务器的IP地址,DNS服务器用于记载目标域名与第一IP地址的映射关系;判断具有本地DNS IP地址的域名服务器是否允许终端与DNS服务器进行通信;如果判断出域名服务器允许终端与DNS服务器进行通信,则通过域名服务器解析目标域名来获取第二IP地址。
在大量的域名服务器中,有些域名服务器可连通,有些域名服务器不可连通。可连通是指域名服务器允许终端与DNS服务器进行通信。只有可连通的域名服务器才能解析目标域名来获取第二IP地址。
如果域名服务器允许终端与DNS服务器进行通信,则通过域名服务器解析目标域名来获取第二IP地址,通过比较第一IP地址与第二IP地址是否相同来判断域名服务器是否发起劫持行为。
可选地,判断具有本地DNS IP地址的域名服务器是否允许终端与DNS服务器进行通信包括:采用Ping工具和/或dig工具判断域名服务器是否允许终端与DNS服务器进行通信。
筛选可用于探测的终端的域名服务器有两种方法。方法一:利用Linux系统的ping工具,检测终端的域名服务器的可连通性,能ping通,则说明该终端的域名服务器能够用于探测。方法二:利用Linux系统的dig工具,检测终端的域名服务器对域名的解析,如果有解析记录,则该终端的域名服务器能够用于探测。后台同时使用方法一和方法二进行筛选,并发处理方式能够提高处理海量数据的效率。当筛选出可用于探测的终端的域名服务器之后,在mysql数据库中保存这些可以用作探测点的终端的域名服务器。
可选地,获取终端向DNS服务器上报的本地DNS IP地址包括:从DNS服务器获取本地DNS IP地址,其中,在终端通过域名服务器无法访问目标域名时,终端访问DNS服务器,并向DNS服务器上报本地DNS IP地址。
当终端的域名服务器没有发起劫持行为时,当终端希望访问目标域名时,域名服务器将目标域名解析为与目标域名对应的第一IP地址。当终端的域名服务器发起劫持行为时,域名服务器无法将目标域名解析为正确的第一IP地址,此时,终端无法访问目标域名。这时,终端访问DNS服务器,并向DNS服务器上报本地DNS IP地址(即终端的域名服务器)。从DNS服务器获取本地DNS IP地址,就得到了发起劫持行为的域名服务器的IP地址。
可选地,获取终端上报的第二IP地址包括:获取多个终端上报的多个第二IP地址;比较第二IP地址是否与第一IP地址相同包括:比较多个第二IP地址的每个第二IP地址是否与第一IP地址相同,其中,在比较结果指示多个第二IP地址中的部分第二IP地址与第一IP地址不同时,探测出部分第二IP地址对应的多个域名服务器发起劫持行为,并且探测出多个第二IP地址中除部分第二IP地址以外的其他第二IP地址对应的域名服务器正常。
当终端、域名服务器均为多个的情况下,多个终端上报多个第二IP地址,将每个第二IP地址与第一IP地址进行比较,如果有一部分第二IP地址与第一IP地址不同,另一部分第二IP地址与第一IP地址相同,那么,能够做出以下判断:与第一IP地址不同的第二IP地址对应的域名服务器发起劫持行为,与第一IP地址相同的第二IP地址对应的域名服务器未发起劫持行为。
可选地,根据终端上待解析的目标域名从预先存储的IP地址中获取第一IP地址包括:采集下级DNS服务器上报的映射信息,其中,映射信息包括缓存在下级DNS服务器中的域名与一个或者多个IP地址的映射关系;保存映射信息;根据终端上待解析的目标域名和映射信息查找并获取第一IP地址。
下级DNS服务器中缓存有多个域名与IP地址的映射关系,下级DNS服务器上报映射关系的信息,当目标域名确定之后,从映射信息中查找并获取目标域名对应的第一IP地址。
需要注意的是,一个域名可以与一个IP地址具有映射关系,也可以与多个IP地址具有映射关系。
在目标域名与一个IP地址具有映射关系的情况下,目标域名对应的第一IP地址有一个。如果第二IP地址与这一个第一IP地址相同,则域名服务器没有发起劫持行为;如果第二IP地址与这一个第一IP地址不相同,则域名服务器发起了劫持行为。
在目标域名与多个IP地址具有映射关系的情况下,目标域名对应的第一IP地址有多个,如果第二IP地址与这多个第一IP地址中的某一个相同,则域名服务器没有发起劫持行为;如果第二IP地址与这多个第一IP地址中的任何一个都不相同,则域名服务器发起了劫持行为。
可选地,在探测出第二IP地址对应的域名服务器发起劫持行为之后,方法还包括:展示发起劫持行为的域名服务器的本地DNS I P地址。
在终端通过域名服务器无法访问目标域名时,终端访问DNS服务器,并向DNS服务器上报本地DNS IP地址(即终端的域名服务器的IP地址)。DNS服务器中存储域名服务器的本地DNS IP地址。如果某一个域名服务器解析目标域名得到的IP地址(即上述第二IP地址)与目标域名对应的第一IP地址不相同,则确定这个域名服务器发起劫持行为,那么展示这个发起劫持行为的域名服务器的本地DNS IP地址。
可选地,在探测出第二IP地址对应的域名服务器发起劫持行为之后,方法还包括:统计域名服务器发起劫持行为的次数和第二IP地址;将获取到的发起劫持行为的次数和第二IP地址与域名服务器进行关联显示。
当域名服务器发起劫持行为后,它解析目标域名得到的第二IP地址与目标域名对应的第一IP地址不相同,统计域名服务器发起劫持行为的次数和劫持结果(即,域名服务器解析目标域名得到的第二IP地址),将域名服务器与其发起劫持行为次数和第二IP地址关联显示,使得能够查询到某一个域名服务器的发起劫持行为次数和劫持结果。
可选地,在探测出第二IP地址对应的域名服务器发起劫持行为之后,方法还包括:从域名服务器的本地DNS IP地址中获取终端所在的省份和运营商;将获取到的省份和运营商与域名服务器进行关联显示。
从发起劫持行为的域名服务器中解析出终端的地理位置,能够得到不同地理位置的域名劫持的情况,显示发起劫持行为的域名服务器时,关联显示终端所处的地理位置;从发起劫持行为的域名服务器中解析出运营商,能够得到不同运营商的域名劫持的情况,显示发起劫持行为的域名服务器时,关联显示运营商。
图3是根据本发明实施例的另一种可选的域名劫持的探测方法的流程图。如图3所示,该方法包括以下步骤:
步骤S302,收集预先存储的IP地址,获取客户端的域名服务器,并筛选出可用于探测的客户端的域名服务器。这个步骤是为了获取IP地址和IP地址与域名之间的对应关系。
下级DNS机构主动访问企业权威DNS,企业权威DNS的访问日志中会保存着下级DNS的IP。每隔一定周期收集一次下级DNS的IP,将下级DNS的IP进行去重处理,并将下级DNS的IP打包传输至分析平台(服务器)。周期可以是一天、两天、或者12小时等等。
每个客户端可以视为一部用户终端设备(例如智能手机),每个设备上都配置有用于域名解析的域名服务器的IP地址。手机客户端的域名服务器的IP地址用作探测域名解析,能够最大程度复现用户遇到的问题。获取客户端的域名服务器的IP地址的过程是:客户端预先存储了请求HTTPDNS的流程,客户端在网路异常的情况下,请求HTTPDNS服务,同时上传客户端的域名服务器的IP地址。HTTPDNS收集客户端请求报文中上传的客户端的域名服务器的IP地址,并进行去重处理,将去重之后的IP传输到分析平台。进行去重处理的原因如下:同一个域名服务器可以为多个终端服务,例如,某一个办公楼的100个终端均使用同一个域名服务器S1,这100个客户端都上传了域名服务器S1的IP地址,此时,得到了100条数据,这100条数据都指示了同一个域名服务器S1的IP地址,为了存储时节约空间,将相同的IP进行去重处理。
筛选可用于探测的客户端的域名服务器有两种方法。方法一:利用Linux系统的ping工具,检测客户端的域名服务器可连通性,能ping通,则说明该客户端的域名服务器能够用于探测。方法二:利用Linux系统的dig工具,检测客户端的域名服务器对域名的解析,如果有解析记录,则该客户端的域名服务器能够用于探测。后台同时使用方法一和方法二进行筛选,并发处理方式能够提高处理海量数据的效率。当筛选出可用于探测的客户端的域名服务器之后,在mysql数据库中保存这些可以用作探测点的客户端的域名服务器。
步骤S304,接收用户输入的域名。用户输入的域名即为上述目标域名。
步骤S306,调用程序,获取各个客户端的域名服务器的域名解析记录。即,获取各个能够用于探测的客户端的域名服务器对目标域名进行解析得到的第二IP地址。
步骤S308,结合企业内部的权威DNS记录,分析劫持行为。通过接口获取企业内部权威DNS的准确记录,获取与目标域名具有映射关系的第一IP地址,将第一IP地址与第二IP地址进行比较,如果域名服务器解析目标域名得到的第二IP地址与第一IP地址相同,则该域名服务器未发起劫持行为。如果域名服务器解析目标域名得到的第二IP地址与第一IP地址不同,则确定该域名服务器发起劫持行为。筛选出有劫持行为的省份和运营商。
同时使用多个探测点解析用户输入的域名(即上述目标域名),得到的解析记录(即上述第二IP地址)保存在mysql数据库中。调用程序接口,判断用户输入的域名是否为企业权威DNS中的域名。如果用户输入的域名是企业权威DNS中的域名,则查找用户输入的域名相对应的第一IP地址。将第一IP地址与第二IP地址进行比较,如果第一IP地址与第二IP地址相同,则该第二IP地址对应的域名服务器未发起劫持行为;如果第一IP地址与第二IP地址不同,则与该第二IP地址对应的域名服务器发起劫持行为,该第二IP地址即为劫持结果,将与该第二IP地址对应的域名服务器的IP地址进行记录。
步骤S310,展示结果。将劫持情况通过界面展示出来。
如果用户在步骤S304中输入的域名是非企业权威DNS中的域名,例如,用户输入域名“m.taobao.com”,则向用户展示如图4所示的页面(注意:由于图4的篇幅所限,图4仅仅显示了部分页面)。由图4可见,当用户输入目标域名“m.taobao.com”后,一共得到了2186个检测结果。
如果用户在步骤S304中输入的域名是企业权威DNS中的域名,例如,用户输入域名“www.uc.cn”,则向用户展示如图5所示的页面(注意:由于图5的篇幅所限,图5仅仅显示了部分页面)。由图5可见,当用户输入目标域名“www.uc.cn”后,一共得到了2206个检测结果。
由图4和图5中可以看出,本发明实施例获取的采样数据的数据量很大,而且能够获取多个省份和运营商的数据,能够同时在很大的地理范围内侦测多个运营商的域名劫持的情况。
如图5所示的页面中,表格的第2行中,省份为上海,运营商为电信,次数为8,说明省份为上海、运营商为电信,并且确定为域名劫持的解析结果一共有8个。表格的最后一行也表明了一个域名劫持的情况。因此,如图5所示的页面中,一共有9个域名劫持。
如图4和图5所示,以表格形式,根据省份、运营商2个基本维度向用户展示了全国的终端的域名服务器对域名的解析记录。每个栏位的表头可以单独做排序,以满足不同用户的需求。
图5与图4的主要区别在于:图5中表格的上方有一个链接“只看劫持结果”,点击这个链接,即可进入如图6所示的页面,查看预先存储的I P地址和目标域名的映射关系,以及劫持结果。即,假如用户输入的域名是企业权威DNS中的域名,则在向用户展示的页面中自动展示一个按钮,提示用户可以点击该按钮查看域名的劫持情况。假如用户输入的域名(即上述目标域名)是企业权威DNS中的域名,则能够查找到目标域名对应的第一IP地址,通过将第一IP地址与第二IP地址进行比较,即可判断出域名服务器是否发起劫持行为。假如用户输入的域名(即上述目标域名)不是企业权威DNS中的域名,则无法得知目标域名对应的第一IP地址,也就无法判断出域名服务器是否发起劫持行为。如图6所示的页面展示了有劫持行为的终端的域名服务器的省份、运营商(线路)、劫持次数、劫持结果。该页面的表格的最后一列是劫持结果,即发起劫持行为的域名服务器解析目标域名得到的第二IP地址。如图6所示的页面还可以展示劫持地图(图6中未示出),一目了然地展示出域名劫持发生的地理区域。
其中,如图6所示的页面中,“A119.147.226.73”至“A70.39.184.101”是目标域名对应的第一IP地址。第二IP地址与第一IP地址不同,因此,这些域名服务器均已经发起劫持行为,这些域名服务器解析目标域名无法得到正确的IP地址。
假设用户点击如图5所示的页面中的次数“8”的链接,则向用户展示如图7所示的页面。
如图7所示的页面展示了发起劫持行为的8个域名服务器的IP地址。
目标域名与第一IP地址之间具有映射关系,比较终端的域名服务器解析目标域名得到的IP地址与第一I P地址是否相同,如果终端的域名服务器解析目标域名得到的IP地址与第一IP地址相同,则说明终端的域名服务器没有发起劫持行为,如果终端的域名服务器根据目标域名解析得到的IP地址与第一IP地址不相同,则说明终端的域名服务器发起劫持行为,解决了现有技术无法探测到域名服务器发起劫持行为的情况的技术问题,达到了探测域名服务器发起劫持行为的情况的技术效果。
本发明实施例通过多探测点侦测域名解析,扩大了侦测范围,联动企业权威DNS,及时发现域名服务器发起劫持行为的情况。
图8是根据本发明实施例的执行域名劫持的探测方法的全国DNS域名解析部署架构的示意图。如图8所示,用户在用户设备中输入目标域名。应用服务器采集下级DNS的IP和客户端DNS(即客户端的域名服务器)的IP。应用服务器部署grails架构的前端页面,接收用户输入的目标域名,并展示域名解析的结果。将域名解析的结果保存在存储服务器的mysql数据库中。
图9是根据本发明实施例的执行域名劫持的探测方法的前台架构图。
步骤S902,用户输入域名。用户输入的域名即为目标域名。
步骤S904,用户与后端服务器交互,即将用户请求组装报文发送给后端服务器。
步骤S906,后端处理结果存入mysql。
步骤S908,将结果在数据库mysql中进行存储。
步骤S910,解析结果展示,即,前端将mysql中的结果以友好的方式进行展示。
步骤S912,劫持展示,即,将劫持信息过滤出来并展示。
步骤S914,终端的域名服务器列表展示,即,前端将mysql中的结果以友好的方式进行展示。步骤S910、步骤S912和步骤S914的具体实施方式和上述步骤S310相同。
图10是根据本发明实施例的执行域名劫持的探测方法的后台架构图。
步骤S1002,前端请求。
步骤S1004,解析报文,即,根据私有协议,取出用户请求的域名。即提取出目标域名。
步骤S1006,获取解析记录,即,通过可用探测点配置文件,获取域名的解析记录,结果存入数据库。将域名服务器解析目标域名得到的第二IP地址进行保存。
步骤S1008,将结果存入mysql数据库。
将域名服务器及其解析目标域名得到的第二IP地址保存到mysql数据库中。
步骤S1010,分析平台获取企业权威DNS的下级DNS IP,获取企业客户端的用户DNSIP,通过算法,分析出可用探测点IP并保存。企业客户端的用户DNS IP即客户端的域名服务器的IP。
步骤S1012,保存有可用探测点IP的配置文件。将可用于探测的终端的域名服务器进行保存。
目标域名与第一IP地址之间具有映射关系,比较终端的域名服务器解析目标域名得到的第二IP地址与第一IP地址是否相同,如果终端的域名服务器解析目标域名得到的第二IP地址与第一IP地址相同,则说明终端的域名服务器没有发起劫持行为,如果终端的域名服务器根据目标域名解析得到的第二IP地址与第一IP地址不相同,则说明终端的域名服务器发起劫持行为,解决了现有技术无法探测到域名服务器发起劫持行为的情况的技术问题,达到了探测域名服务器发起劫持行为的情况的技术效果。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实施上述域名劫持的探测方法的域名劫持的探测装置,图11是根据本发明实施例的一种可选的IP地址的展示装置的示意图。如图11所示,该装置包括第一获取单元1101、第二获取单元1103、比较单元1105和确定单元1107。
第一获取单元1101,用于根据终端上待解析的目标域名从预先存储的IP地址中获取第一IP地址,其中,第一IP地址与目标域名具有映射关系,预先存储的IP地址通过多个DNS服务器收集。
第二获取单元1103,用于获取终端上报的第二IP地址,第二IP地址是终端的域名服务器根据目标域名解析得到的IP地址。
比较单元1105,用于比较第二IP地址是否与第一IP地址相同。
确定单元1107,用于在比较结果指示第二IP地址与第一IP地址不同时,探测出第二IP地址对应的域名服务器发起劫持行为。
在域名服务器发起劫持行为时,域名服务器将目标域名解析为与第一IP地址不同。在域名服务器没有发起劫持行为时,域名服务器将目标域名解析为第一IP地址。
可选地,第二获取单元1103包括获取子单元、判断子单元和解析子单元。获取子单元,用于获取终端向DNS服务器上报的本地DNS IP地址,其中,本地DNS IP地址是域名服务器的IP地址,DNS服务器用于记载目标域名与第一IP地址的映射关系。判断子单元,用于判断具有本地DNS IP地址的域名服务器是否允许终端与DNS服务器进行通信。解析子单元,用于当判断子单元判断出域名服务器允许终端与DNS服务器进行通信时,则通过域名服务器解析目标域名来获取第二IP地址。
可选地,判断子单元采用Ping工具和/或dig工具判断域名服务器是否允许终端与DNS服务器进行通信。
可选地,获取子单元从DNS服务器获取本地DNS IP地址,其中,在终端通过域名服务器无法访问目标域名时,终端访问DNS服务器,并向DNS服务器上报本地DNS IP地址。
可选地,第二获取单元1103用于获取多个终端上报的多个第二IP地址。比较单元1105用于比较多个第二IP地址的每个第二IP地址是否与第一IP地址相同,其中,在比较结果指示多个第二IP地址中的部分第二IP地址与第一IP地址不同时,探测出部分第二IP地址对应的多个域名服务器发起劫持行为,并且探测出多个第二IP地址中除部分第二IP地址以外的其他第二IP地址对应的域名服务器正常。
可选地,第一获取单元1101包括采集子单元、保存子单元和查找子单元。采集子单元,用于采集下级DNS服务器上报的映射信息,其中,映射信息包括缓存在下级DNS服务器中的域名与一个或者多个IP地址的映射关系。保存子单元,用于保存映射信息。查找子单元,用于根据终端上待解析的目标域名和映射信息查找并获取第一IP地址。
可选地,装置还包括展示单元。展示单元,用于在确定单元1107探测出第二IP地址对应的域名服务器发起劫持行为之后,展示发起劫持行为的域名服务器的本地DNS IP地址。
可选地,装置还包括统计单元和第一显示单元。统计单元,用于统计域名服务器发起劫持行为的次数和第二IP地址。第一显示单元,用于将获取到的发起劫持行为的次数和第二IP地址与域名服务器进行关联显示。
可选地,装置还包括第三获取单元和第二显示单元。第三获取单元,用于从域名服务器的本地DNS IP地址中获取终端所在的省份和运营商。第二显示单元,用于将获取到的省份和运营商与域名服务器进行关联显示。
实施例3
本发明的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行应用程序的域名劫持的探测方法中以下步骤的程序代码:根据终端上待解析的目标域名从预先存储的IP地址中获取第一IP地址,其中,第一IP地址与目标域名具有映射关系,预先存储的IP地址通过多个DNS服务器收集;获取终端上报的第二IP地址,第二IP地址是终端的域名服务器根据目标域名解析得到的IP地址;比较第二IP地址是否与第一IP地址相同;在比较结果指示第二IP地址与第一IP地址不同时,探测出第二IP地址对应的域名服务器发起劫持行为。
可选地,图12是根据本发明实施例的执行域名劫持的探测方法的一种计算机终端的结构框图。如图12所示,该计算机终端A可以包括:一个或多个(图中仅示出一个)处理器1202、存储器1204。
其中,存储器可用于存储软件程序以及模块,如本发明实施例中的安全漏洞检测方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的系统漏洞攻击的检测方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至终端A。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:根据终端上待解析的目标域名从预先存储的IP地址中获取第一IP地址,其中,第一IP地址与目标域名具有映射关系,预先存储的IP地址通过多个DNS服务器收集;获取终端上报的第二IP地址,第二IP地址是终端的域名服务器根据目标域名解析得到的IP地址;比较第二IP地址是否与第一IP地址相同;在比较结果指示第二IP地址与第一IP地址不同时,探测出第二IP地址对应的域名服务器发起劫持行为,在域名服务器发起劫持行为时,域名服务器将目标域名解析为与第一IP地址不同。
可选地,上述处理器还可以执行如下步骤的程序代码:获取终端向DNS服务器上报的本地DNS IP地址,其中,本地DNS IP地址是域名服务器的IP地址,DNS服务器用于记载目标域名与第一IP地址的映射关系;判断具有本地DNS IP地址的域名服务器是否允许终端与DNS服务器进行通信;如果判断出域名服务器允许终端与DNS服务器进行通信,则通过域名服务器解析目标域名来获取第二IP地址。
可选地,上述处理器还可以执行如下步骤的程序代码:采用Ping工具和/或dig工具判断域名服务器是否允许终端与DNS服务器进行通信。
可选地,上述处理器还可以执行如下步骤的程序代码:从DNS服务器获取本地DNSIP地址,其中,在终端通过域名服务器无法访问目标域名时,终端访问DNS服务器,并向DNS服务器上报本地DNS IP地址。
可选地,上述处理器还可以执行如下步骤的程序代码:获取多个终端上报的多个第二IP地址;比较多个第二IP地址的每个第二IP地址是否与第一IP地址相同,其中,在比较结果指示多个第二IP地址中的部分第二IP地址与第一IP地址不同时,探测出部分第二IP地址对应的多个域名服务器发起劫持行为,并且探测出多个第二IP地址中除部分第二IP地址以外的其他第二IP地址对应的域名服务器正常。
可选地,上述处理器还可以执行如下步骤的程序代码:采集下级DNS服务器上报的映射信息,其中,映射信息包括缓存在下级DNS服务器中的域名与一个或者多个IP地址的映射关系;保存映射信息;根据终端上待解析的目标域名和映射信息查找并获取第一IP地址。
可选地,上述处理器还可以执行如下步骤的程序代码:展示发起劫持行为的域名服务器的本地DNS IP地址。
可选地,上述处理器还可以执行如下步骤的程序代码:统计域名服务器发起劫持行为的次数和第二IP地址;将获取到的发起劫持行为的次数和第二IP地址与域名服务器进行关联显示。
可选地,上述处理器还可以执行如下步骤的程序代码:从域名服务器的本地DNSIP地址中获取终端所在的省份和运营商;将获取到的省份和运营商与域名服务器进行关联显示。
采用本发明实施例,提供了一种域名劫持的探测方案。目标域名与第一IP地址之间具有映射关系,比较终端的域名服务器解析目标域名得到的IP地址与第一IP地址是否相同,如果终端的域名服务器解析目标域名得到的IP地址与第一IP地址相同,则说明终端的域名服务器没有发起劫持行为,如果终端的域名服务器根据目标域名解析得到的IP地址与第一IP地址不相同,则说明终端的域名服务器发起劫持行为,解决了现有技术无法探测到域名服务器发起劫持行为的情况的技术问题,达到了探测域名服务器发起劫持行为的情况的技术效果。
本领域普通技术人员可以理解,图12所示的结构仅为示意,计算机终端A也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图12其并不对上述电子装置的结构造成限定。例如,计算机终端A还可包括比图12中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图12所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例4
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的域名劫持的探测方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:根据终端上待解析的目标域名从预先存储的IP地址中获取第一IP地址,其中,第一IP地址与目标域名具有映射关系,预先存储的IP地址通过多个DNS服务器收集;获取终端上报的第二IP地址,第二IP地址是终端的域名服务器根据目标域名解析得到的IP地址;比较第二IP地址是否与第一IP地址相同;在比较结果指示第二IP地址与第一IP地址不同时,探测出第二IP地址对应的域名服务器发起劫持行为。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种域名劫持的探测方法,其特征在于,包括:
根据终端上待解析的目标域名从预先存储的IP地址中获取第一IP地址,其中,所述第一IP地址与目标域名具有映射关系,所述预先存储的IP地址通过多个DNS服务器收集;所述DNS服务器是从属于网站的服务器,预先储存了网站域名和一个或者多个IP地址的映射关系;
所述根据终端上待解析的目标域名从预先存储的IP地址中获取第一IP地址包括:采集下级DNS服务器上报的映射信息,其中,所述映射信息包括缓存在所述下级DNS服务器中的域名与一个或者多个IP地址的映射关系;保存所述映射信息;根据终端上待解析的目标域名和所述映射信息查找并获取所述第一IP地址;
获取终端上报的第二IP地址,所述第二IP地址是终端的域名服务器根据所述目标域名解析得到的IP地址;所述域名服务器是从属于终端的服务器,用于对终端访问的域名进行解析;
比较所述第二IP地址是否与所述第一IP地址相同;
在比较结果指示所述第二IP地址与所述第一IP地址不同时,探测出所述第二IP地址对应的所述域名服务器发起劫持行为;
在探测出所述第二IP地址对应的所述域名服务器发起劫持行为之后,所述方法还包括:
统计所述域名服务器发起劫持行为的次数和所述第二IP地址;
从所述域名服务器的本地DNS IP地址中获取所述终端所在的省份和运营商;
关联展示发起劫持行为的所述域名服务器的本地DNS IP地址,所述域名服务器发起劫持行为的次数、所述第二IP地址、以及所述省份和运营商。
2.根据权利要求1所述的方法,其特征在于,获取终端上报的第二IP地址包括:
获取所述终端向DNS服务器上报的本地DNS IP地址,其中,所述本地DNS IP地址是所述域名服务器的IP地址,所述DNS服务器用于记载所述目标域名与所述第一IP地址的映射关系;
判断具有所述本地DNS IP地址的所述域名服务器是否允许所述终端与所述DNS服务器进行通信;
如果判断出所述域名服务器允许所述终端与所述DNS服务器进行通信,则通过所述域名服务器解析所述目标域名来获取所述第二IP地址。
3.根据权利要求2所述的方法,其特征在于,判断具有所述本地DNS IP地址的所述域名服务器是否允许所述终端与所述DNS服务器进行通信包括:
采用Ping工具和/或dig工具判断所述域名服务器是否允许所述终端与所述DNS服务器进行通信。
4.根据权利要求2所述的方法,其特征在于,获取所述终端向DNS服务器上报的本地DNSIP地址包括:
从所述DNS服务器获取所述本地DNS IP地址,其中,在所述终端通过所述域名服务器无法访问所述目标域名时,所述终端访问所述DNS服务器,并向所述DNS服务器上报所述本地DNS IP地址。
5.根据权利要求1所述的方法,其特征在于,
获取终端上报的第二IP地址包括:获取多个终端上报的多个第二IP地址;
比较所述第二IP地址是否与所述第一IP地址相同包括:比较多个所述第二IP地址的每个所述第二IP地址是否与所述第一IP地址相同,其中,在比较结果指示多个所述第二IP地址中的部分所述第二IP地址与所述第一IP地址不同时,探测出所述部分所述第二IP地址对应的多个域名服务器发起劫持行为,并且探测出多个所述第二IP地址中除所述部分所述第二IP地址以外的其他所述第二IP地址对应的域名服务器正常。
6.一种域名劫持的探测装置,其特征在于,包括:
第一获取单元,用于根据终端上待解析的目标域名从预先存储的IP地址中获取第一IP地址,其中,所述第一IP地址与目标域名具有映射关系,所述预先存储的IP地址通过多个DNS服务器收集;所述DNS服务器是从属于网站的服务器,预先储存了网站域名和一个或者多个IP地址的映射关系;
所述第一获取单元包括:采集子单元,用于采集下级DNS服务器上报的映射信息,其中,所述映射信息包括缓存在所述下级DNS服务器中的域名与一个或者多个IP地址的映射关系;保存子单元,用于保存所述映射信息;查找子单元,用于根据终端上待解析的目标域名和所述映射信息查找并获取所述第一IP地址;
第二获取单元,用于获取终端上报的第二IP地址,所述第二IP地址是终端的域名服务器根据所述目标域名解析得到的IP地址;所述域名服务器是从属于终端的服务器,用于对终端访问的域名进行解析;
比较单元,用于比较所述第二IP地址是否与所述第一IP地址相同;
确定单元,用于在比较结果指示所述第二IP地址与所述第一IP地址不同时,探测出所述第二IP地址对应的所述域名服务器发起劫持行为;
统计单元,用于统计所述域名服务器发起劫持行为的次数和所述第二IP地址;
第三获取单元,用于从所述域名服务器的本地DNS IP地址中获取所述终端所在的省份和运营商;
展示单元,用于在所述确定单元探测出所述第二IP地址对应的所述域名服务器发起劫持行为之后,关联展示发起劫持行为的所述域名服务器的本地DNS IP地址,所述域名服务器发起劫持行为的次数、所述第二IP地址、以及所述省份和运营商。
7.根据权利要求6所述的装置,其特征在于,所述第二获取单元包括:
获取子单元,用于获取所述终端向DNS服务器上报的本地DNS IP地址,其中,所述本地DNS IP地址是所述域名服务器的IP地址,所述DNS服务器用于记载所述目标域名与所述第一IP地址的映射关系;
判断子单元,用于判断具有所述本地DNS IP地址的所述域名服务器是否允许所述终端与所述DNS服务器进行通信;
解析子单元,用于当所述判断子单元判断出所述域名服务器允许所述终端与所述DNS服务器进行通信时,则通过所述域名服务器解析所述目标域名来获取所述第二IP地址。
8.根据权利要求7所述的装置,其特征在于,所述判断子单元采用Ping工具和/或dig工具判断所述域名服务器是否允许所述终端与所述DNS服务器进行通信。
9.根据权利要求7所述的装置,其特征在于,所述获取子单元从所述DNS服务器获取所述本地DNS IP地址,其中,在所述终端通过所述域名服务器无法访问所述目标域名时,所述终端访问所述DNS服务器,并向所述DNS服务器上报所述本地DNS IP地址。
10.根据权利要求6所述的装置,其特征在于,
所述第二获取单元用于获取多个终端上报的多个第二IP地址;
所述比较单元用于比较多个所述第二IP地址的每个所述第二IP地址是否与所述第一IP地址相同,其中,在比较结果指示多个所述第二IP地址中的部分所述第二IP地址与所述第一IP地址不同时,探测出所述部分所述第二IP地址对应的多个域名服务器发起劫持行为,并且探测出多个所述第二IP地址中除所述部分所述第二IP地址以外的其他所述第二IP地址对应的域名服务器正常。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610474428.9A CN107528817B (zh) | 2016-06-22 | 2016-06-22 | 域名劫持的探测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610474428.9A CN107528817B (zh) | 2016-06-22 | 2016-06-22 | 域名劫持的探测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107528817A CN107528817A (zh) | 2017-12-29 |
| CN107528817B true CN107528817B (zh) | 2021-05-18 |
Family
ID=60733837
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610474428.9A Active CN107528817B (zh) | 2016-06-22 | 2016-06-22 | 域名劫持的探测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107528817B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108282786B (zh) * | 2018-04-13 | 2020-10-16 | 上海连尚网络科技有限公司 | 一种用于检测无线局域网中dns欺骗攻击的方法与设备 |
| CN112039829A (zh) * | 2019-06-04 | 2020-12-04 | 阿里巴巴集团控股有限公司 | 域名系统的劫持检测及上报方法、装置 |
| CN110912925A (zh) * | 2019-12-04 | 2020-03-24 | 北京小米移动软件有限公司 | 检测域名系统dns劫持的方法及装置、存储介质 |
| CN111447226B (zh) * | 2020-03-27 | 2022-08-12 | 上海尚往网络科技有限公司 | 用于检测dns劫持的方法和设备 |
| CN111614797B (zh) * | 2020-06-02 | 2021-06-08 | 中国信息通信研究院 | 一种ip地址漏覆盖的检测方法及系统 |
| CN113746953B (zh) * | 2021-09-18 | 2024-03-22 | 恒安嘉新(北京)科技股份公司 | 域名服务器dns处理方法、装置、设备及存储介质 |
| CN114244590A (zh) * | 2021-12-07 | 2022-03-25 | 上海观安信息技术股份有限公司 | Dns劫持监测方法及装置 |
| CN114827085B (zh) * | 2022-06-24 | 2022-09-09 | 鹏城实验室 | 根服务器正确性监测方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102035809A (zh) * | 2009-09-29 | 2011-04-27 | 成都市华为赛门铁克科技有限公司 | 缓存中毒的防护方法和防护设备及防护系统 |
| CN103825895A (zh) * | 2014-02-24 | 2014-05-28 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
| CN105681358A (zh) * | 2016-03-31 | 2016-06-15 | 北京奇虎科技有限公司 | 检测域名劫持的方法、装置和系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102685074B (zh) * | 2011-03-14 | 2015-05-13 | 国基电子(上海)有限公司 | 防御网络钓鱼的网络通信系统及方法 |
| GB2532475B (en) * | 2014-11-20 | 2017-03-08 | F Secure Corp | Integrity check of DNS server setting |
| CN105338128B (zh) * | 2015-09-25 | 2018-09-25 | 互联网域名系统北京市工程研究中心有限公司 | 域名解析方法及域名解析装置 |
| CN105610867B (zh) * | 2016-03-01 | 2019-07-02 | 阿继琛 | 一种dns防劫持方法和装置 |
| CN105656950B (zh) * | 2016-04-13 | 2019-01-18 | 南京烽火软件科技有限公司 | 一种基于域名的http访问劫持检测与净化装置及方法 |
-
2016
- 2016-06-22 CN CN201610474428.9A patent/CN107528817B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102035809A (zh) * | 2009-09-29 | 2011-04-27 | 成都市华为赛门铁克科技有限公司 | 缓存中毒的防护方法和防护设备及防护系统 |
| CN103825895A (zh) * | 2014-02-24 | 2014-05-28 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
| CN105681358A (zh) * | 2016-03-31 | 2016-06-15 | 北京奇虎科技有限公司 | 检测域名劫持的方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107528817A (zh) | 2017-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107528817B (zh) | 域名劫持的探测方法和装置 | |
| CN108574742B (zh) | 域名信息收集方法及域名信息收集装置 | |
| EP3142020A1 (en) | Resource downloading method and device | |
| CN104052832B (zh) | 设置域名解析服务器的ip地址的方法、装置及服务器 | |
| CN105024969A (zh) | 一种实现恶意域名识别的方法及装置 | |
| CN112231271A (zh) | 数据迁移完整性校验方法、装置、设备及计算机可读介质 | |
| CN109218457B (zh) | 网络数据处理方法、装置和系统 | |
| CN113301012B (zh) | 一种网络威胁的检测方法、装置、电子设备及存储介质 | |
| CN108156270B (zh) | 域名请求处理方法和装置 | |
| CN109413017B (zh) | 一种管理异构防火墙的方法及系统 | |
| CN102833262A (zh) | 基于whois信息的钓鱼网站收集、鉴定方法和系统 | |
| CN106844389B (zh) | 网络资源地址url的处理方法和装置 | |
| CN112804210B (zh) | 数据关联方法、装置、电子设备和计算机可读存储介质 | |
| CN111010405B (zh) | 一种SaaS化的网站安全监控系统 | |
| CN110392123B (zh) | 检测出口ip地址的方法、装置和系统 | |
| CN111353136B (zh) | 一种操作请求的处理方法和装置 | |
| CN106571971B (zh) | 检测空壳网站的方法、装置及系统 | |
| CN110198227B (zh) | 日志文件的处理方法、装置、存储介质及电子装置 | |
| CN105515882B (zh) | 网站安全检测方法及装置 | |
| CN102200943B (zh) | 一种基于后台自动检测cpu使用率的方法和设备 | |
| CN107220262B (zh) | 信息处理方法和装置 | |
| CN109688236B (zh) | Sinkhole域名处理方法及服务器 | |
| CN106330979B (zh) | 路由器的登录方法和装置 | |
| CN114168945A (zh) | 一种检测子域名潜在风险的方法及装置 | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200526 Address after: 310052 room 508, floor 5, building 4, No. 699, Wangshang Road, Changhe street, Binjiang District, Hangzhou City, Zhejiang Province Applicant after: Alibaba (China) Co.,Ltd. Address before: 510627 Guangdong city of Guangzhou province Whampoa Tianhe District Road No. 163 Xiping Yun Lu Yun Ping B radio square 14 storey tower Applicant before: GUANGZHOU UCWEB COMPUTER TECHNOLOGY Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |