CN107819754A - 一种防劫持方法、监控服务器、终端及系统 - Google Patents
一种防劫持方法、监控服务器、终端及系统 Download PDFInfo
- Publication number
- CN107819754A CN107819754A CN201711042450.7A CN201711042450A CN107819754A CN 107819754 A CN107819754 A CN 107819754A CN 201711042450 A CN201711042450 A CN 201711042450A CN 107819754 A CN107819754 A CN 107819754A
- Authority
- CN
- China
- Prior art keywords
- server
- terminal
- intermediate server
- application
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种防劫持方法、监控服务器、终端及系统,其中,方法包括:监控服务器接收终端发送的应用连接请求;应用连接请求包括待访问的应用服务器的信息;监控服务器从尚未发现存在劫持情况的中间服务器中为终端分配第一中间服务器;监控服务器向终端发送应用连接响应;终端接收应用连接响应;终端通过私有协议与第一中间服务器交互从而实现与应用服务器之间的交互。由于终端和第一中间服务器之间通过私有协议进行交互,使得外界无法劫持终端与第一中间服务器之间的消息,而第一中间服务器可以在极大程度上认为外界不存在劫持,因此能够提高终端与应用服务器之间交互的可靠性,降低了被劫持的风险。
Description
技术领域
本发明涉及互联网安全技术领域,尤其涉及一种防劫持方法、监控服务器、终端及系统。
背景技术
超文本传输协议(HyperText Transfer Protocol,HTTP)是当前互联网上应用最广泛的网络协议,它可以使浏览器更加高效,使网络传输减少。HTTP作为应用最广泛的网络协议,也简单了定义了一些状态码,使用状态码对用户在上网时可能遇到的问题进行简单的定义。302状态码也是其中一种,定义为临时跳转的状态码,当客户端访问设定了302的服务端时,服务端会响应一个302状态码和新地址,告诉客户端需要临时跳转,让客户端跳转到响应中的新地址。当网站的故障维修或域名暂时变更时,都会使用302状态码进行跳转,确保用户体验。
然而,302状态码也会被恶意地使用,即302劫持,例如现在用户在互联网娱乐时,必须通过运营商的网络进行访问,这个时候明文的HTTP请求就有可能被运营商监听。出于某些商业目的,运营商在监听到某些HTTP请求时,会伪造含有302状态码的响应返回给客户端。因为运营商比受访问的服务端离客户端更近,客户端会先接收到伪造的含有302状态码的响应,并跳转到一个与HTTP请求的目的页面不相关的页面,而服务端发送的真实的响应将会被丢弃。
以302劫持为典型代表的网络劫持的存在,使得应用开发商的运营面临一定困难,例如访问流量被盗取、用户网络安全受威胁等等,因此,应用开发商们亟需一种能够实现对网络劫持进行监控的技术。
发明内容
本发明提供一种防劫持方法、监控服务器、终端及系统,用以防范网络劫持。
本发明实施例提供一种防劫持方法,适用于包括N个中间服务器的内容分发CDN网络,所述CDN网络还包括监控服务器,所述监控服务器用于调度所述中间服务器,所述方法包括:
所述监控服务器接收终端发送的应用连接请求;所述应用连接请求包括待访问的应用服务器的信息;
所述监控服务器从尚未发现存在劫持情况的中间服务器中为所述终端分配所述第一中间服务器;
所述监控服务器向所述终端发送应用连接响应,所述应用连接响应包括所述第一中间服务器的信息,所述第一中间服务器用于实现所述终端与所述应用服务器之间的间接交互且所述第一中间服务器与所述终端之间通过私有协议进行交互。
可选的,所述监控服务器向所述终端发送应用连接响应之后,还包括:
所述监控服务器接收所述终端发送的异常报告;所述异常报告中包括应用的信息和所述第一中间服务器的信息;
所述监控服务器确定所述应用服务器状态正常时,确定所述第一中间服务器被劫持;
所述监控服务器将所述第一中间服务器加入劫持黑名单。
可选的,确定所述第一中间服务器被劫持之后,还包括:
所述监控服务器重新为所述终端分配第二中间服务器。
可选的,还包括:
所述监控服务器周期性获取所述N个中间服务器的系统日志;
所述监控服务器根据所述系统日志确定发生劫持的中间服务器;
所述监控服务器将所述发生劫持的中间服务器加入劫持黑名单中。
可选的,将所述发生了劫持的中间服务器加入所述劫持黑名单之前,还包括:
所述监控服务器根据所述发生劫持的中间服务器的系统日志,确定应用被劫持的访问请求;
所述监控服务器向所述发生劫持的中间服务器发送所述访问请求;
在所述监控服务器接收到异常响应时,将所述发生劫持的中间服务器加入所述劫持黑名单。
本发明实施例提供一种防劫持方法,适用于包括N个中间服务器的内容分发CDN网络,所述CDN网络还包括监控服务器,所述监控服务器用于调度所述中间服务器,所述方法包括:
终端向监控服务器发送应用连接请求;所述应用连接请求包括待访问的应用服务器的信息;
所述终端接收所述监控服务器发送的应用连接响应,所述应用连接响应包括所述第一中间服务器的信息;所述第一中间服务器为所述监控服务器从尚未发现存在劫持情况的中间服务器中为所述终端分配的;
所述终端通过私有协议与所述第一中间服务器交互从而实现与所述应用服务器之间的交互。
可选的,所述终端通过私有协议与所述第一中间服务器交互从而实现与所述应用服务器之间的交互之后,还包括:
所述终端接收所述第一中间服务器返回的响应消息;
所述终端在所述响应消息为异常响应消息时,向所述监控服务器发送异常报告;所述异常报告中包括应用的信息和所述第一中间服务器的信息,用于指示所述监控服务器确定所述应用服务器状态正常时确定所述第一中间服务器被劫持并将所述第一中间服务器加入劫持黑名单。
可选的,所述终端通过私有协议与所述第一中间服务器交互从而实现与所述应用服务器之间的交互之后,还包括:
所述终端接收所述第一中间服务器返回的响应消息;
所述终端在所述响应消息为异常响应消息时,向所述监控服务器请求所述应用服务器的状态信息;
所述终端在确定所述应用服务器的状态正常时,向所述监控服务器发送劫持报告;所述劫持报告中包括所述第一中间服务器的信息和所述应用的信息。
可选的,还包括:
所述终端通过所述监控服务器重新分配的第二中间服务器实现与所述应用服务器之间的交互。
本发明实施例提供一种监控服务器,适用于包括N个中间服务器的内容分发CDN网络,所述监控服务器用于调度所述中间服务器,所述监控服务器包括:
收发单元,用于接收终端发送的应用连接请求;所述应用连接请求包括待访问的应用服务器的信息;
处理单元,用于从尚未发现存在劫持情况的中间服务器中为所述终端分配所述第一中间服务器;
所述处理单元,还用于控制所述收发单元向所述终端发送应用连接响应,所述应用连接响应包括所述第一中间服务器的信息,所述第一中间服务器用于实现所述终端与所述应用服务器之间的间接交互且所述第一中间服务器与所述终端之间通过私有协议进行交互。
可选的,所述收发单元,还用于接收所述终端发送的异常报告;所述异常报告中包括应用的信息和所述第一中间服务器的信息;
所述处理单元,还用于确定所述应用服务器状态正常时,确定所述第一中间服务器被劫持;
所述处理单元,还用于将所述第一中间服务器加入劫持黑名单。
可选的,所述处理单元,还用于重新为所述终端分配第二中间服务器。
可选的,所述处理单元,还用于:
通过所述收发单元周期性获取所述N个中间服务器的系统日志;
根据所述系统日志确定发生劫持的中间服务器;
将所述发生劫持的中间服务器加入劫持黑名单中。
可选的,所述处理单元,还用于:
根据所述发生劫持的中间服务器的系统日志,确定应用被劫持的访问请求;
控制所述收发单元向所述发生劫持的中间服务器发送所述访问请求;
在所述收发单元接收到异常响应时,将所述发生劫持的中间服务器加入所述劫持黑名单。
本发明实施例提供一种终端,适用于包括N个中间服务器的内容分发CDN网络,所述CDN网络还包括监控服务器,所述监控服务器用于调度所述中间服务器,所述终端包括:
处理单元,用于控制收发单元向监控服务器发送应用连接请求;所述应用连接请求包括待访问的应用服务器的信息;
收发单元,用于接收所述监控服务器发送的应用连接响应,所述应用连接响应包括所述第一中间服务器的信息;所述第一中间服务器为所述监控服务器从尚未发现存在劫持情况的中间服务器中为所述终端分配的;
所述处理单元,还用于控制所述收发单元通过私有协议与所述第一中间服务器交互从而实现与所述应用服务器之间的交互。
可选的,所述收发单元,还用于接收所述第一中间服务器返回的响应消息;
所述处理单元,还用于在所述响应消息为异常响应消息时,控制所述收发单元向所述监控服务器发送异常报告;所述异常报告中包括应用的信息和所述第一中间服务器的信息,用于指示所述监控服务器确定所述应用服务器状态正常时确定所述第一中间服务器被劫持并将所述第一中间服务器加入劫持黑名单。
可选的,所述收发单元,还用于接收所述第一中间服务器返回的响应消息;
所述处理单元,还用于在所述响应消息为异常响应消息时,控制所述收发单元向所述监控服务器请求所述应用服务器的状态信息;
所述收发单元,还用于在确定所述应用服务器的状态正常时,控制所述收发单元向所述监控服务器发送劫持报告;所述劫持报告中包括所述第一中间服务器的信息和所述应用的信息。
可选的,所述处理单元,还用于控制所述收发单元通过所述监控服务器重新分配的第二中间服务器实现与所述应用服务器之间的交互。
本发明实施例提供一种可读存储介质,所述可读存储介质存储有计算设备可执行指令,所述计算设备可执行指令用于使所述计算设备执行上述任一项所述的监控服务器执行的防劫持方法。
本发明实施例提供一种监控服务器,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行上述任一项所述的防劫持方法。
本发明实施例提供一种可读存储介质,所述可读存储介质存储有计算设备可执行指令,所述计算设备可执行指令用于使所述计算设备执行上述任一项所述的终端执行的防劫持方法。
本发明实施例提供一种终端,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行上述任一项所述的防劫持方法。
本发明实施例提供一种防劫持系统,包括上述任一项所述的监控服务器,以及上述任一项所述的终端。
综上所述,本发明实施例提供一种防劫持方法、监控服务器、终端及系统,其中,方法包括:本发明实施例提供一种防劫持方法,适用于包括N个中间服务器的内容分发CDN网络,CDN网络还包括监控服务器,监控服务器用于调度中间服务器,方法包括:监控服务器接收终端发送的应用连接请求;应用连接请求包括待访问的应用服务器的信息;监控服务器从尚未发现存在劫持情况的中间服务器中为终端分配第一中间服务器;监控服务器向终端发送应用连接响应,应用连接响应包括第一中间服务器的信息;终端接收应用连接响应;终端通过私有协议与第一中间服务器交互从而实现与应用服务器之间的交互。终端通过第一中间服务器与应用服务器间接交互,具体来说,终端和第一中间服务器之间通过私有协议进行交互,第一中间服务器与应用服务器之间通过传统互联网协议进行交互。在本发明实施例中,由于终端和第一中间服务器之间通过私有协议进行交互,使得外界无法劫持终端与第一中间服务器之间的消息,而只能劫持第一中间服务器与应用服务器之间的消息。但是,本发明实施例中,第一中间服务器是由监控服务器分配给终端的尚未发现存在劫持情况的中间服务器,可以在极大程度上认为,外界不存在对第一中间服务器与应用服务器之间的消息的劫持,因此,本发明实施例能够提高终端与应用服务器之间间接交互的可靠性,降低了交互消息被劫持的风险。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供一种防劫持系统架构示意图;
图2为本发明实施例提供的一种防劫持方法流程示意图;
图3为本发明实施例提供的一种可行的黑名单生成(维护)方法流程示意图;
图4为本发明实施例提供的一种监控服务器结构示意图;
图5为本发明实施例提供的一种终端结构示意图;
图6为本发明实施例提供的一种监控服务器结构示意图;
图7为本发明实施例提供的一种终端结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明实施例提供一种防劫持系统架构示意图,如图1所示,该防劫持系统包括中间服务器1、中间服务器2、……、中间服务器N共N个中间服务器,以及至少一个监控服务器,这N个中间服务器和至少一个监控服务器按CDN网络架构组网,中间服务器为监控服务器的下级服务器,监控服务器用于中间服务器为终端提供服务器。在应用过程中,监控服务器综合考虑多方面因素为终端从N个中间服务器中分配一个中间服务器,如图1中的中间服务器1,由该中间服务器实现终端与应用服务器之间的信息交互。具体来说,终端欲访问应用服务器时,先将访问请求发送至中间服务器1,之后由中间服务器1将访问请求发送至应用服务器,应答过程与此类似,不再赘述。应理解,此处的终端为安装有应用程序的终端,如微信、百度、游戏客户端等等,终端发出的消息为应用程序通过终端发出的消息,而应用服务器便是与该应用程序相对应的服务器,一般由同一应用开发商提供。应理解,图1中的各服务器仅是按照功能进行的划分,在实际使用过程中,图1中的服务器既可以是一个服务器,也可以是多个服务器的集合,如图1中监控服务器一般为多个服务器,又称数据中心,又例如,一些大型的应用也往往会有多个应用服务器提供服务,这些实施例都应包含于本发明实施例中,都能够适用本发明实施例接下来提供的防劫持方法。
基于上述系统架构,本发明实施例提供一种防劫持方法。图2为本发明实施例提供的一种防劫持方法流程示意图,如图2所示,包括以下步骤:
S201:终端向监控服务器发送应用连接请求;应用连接请求包括待访问的应用服务器的信息。
S202:监控服务器从尚未发现存在劫持情况的中间服务器中为终端分配第一中间服务器。
S203:监控服务器向终端发送应用连接响应,应用连接响应包括第一中间服务器的信息。
S204:终端通过私有协议与第一中间服务器交互从而实现与应用服务器之间的交互。
在S201中,终端启动所安装的应用。应用由应用开发商提供,其内部包含监控服务器的地址信息。终端启动应用后,会先根据监控服务器的地址信息向监控服务器发送应用连接请求。应用连接请求中会包含应用对应的待访问应用服务器的信息,具体来说,应用连接请求中可以直接包括待访问的应用服务器的域名,也可以只包括应用的标识信息,由监控服务器通过应用的标识信息确定待访问的应用服务器。
在S202中,监控服务器可以通过构建劫持黑名单或白名单的形式从尚未发现存在劫持情况的中间服务器。以劫持黑名单为例,可选的,终端可以只构建一个劫持黑名单,劫持黑名单中记录着存在劫持情况的中间服务器域名以及被劫持的访问请求,终端也可以为每一个应用服务器各构建一个劫持黑名单,也可以为每一个访问请求构建一个劫持黑名单等等,一般为每一个应用服务器各构建一个劫持黑名单即可,终端、第一中间服务器和应用服务器三者建立交互后便不需要再向监控服务器发送分配请求,三者可以持续交互。在监控服务器为每个应用服务器构建有一个劫持黑名单时,尚未发现存在劫持情况的中间服务器指的是未被记录在该待访问的应用服务器所对应的劫持黑名单中的中间服务器。应理解,“尚未发现存在劫持情况的中间服务器”并不包括曾发现存在劫持情况后又确认劫持解除的中间服务器。可选的,终端除了考虑劫持黑名单或白名单的因素指纹,还可以综合考虑地理位置、网络资源等因素,以提高为终端分配的中间服务器,即第一中间服务器的性能。
在S203中,监控服务器可以通过应用连接响应将第一中间服务器的信息发送给终端。其中,第一中间服务器的信息可以是第一中间服务器的域名,也可以是第一中间服务器的互联网协议(Internet Protocol,IP)地址。可选的,监控服务器可以通过私有协议将应用连接响应发送给终端以增强监控服务器和终端之间信息传递的安全性。
在S204中,终端接收监控服务器发送的应用连接响应,并解析出第一中间服务器的域名。之后,终端通过私有协议将访问请求发送至第一中间服务器,由第一中间服务器实现终端与应用服务器之间的交互。
终端通过第一中间服务器与应用服务器间接交互,具体来说,终端和第一中间服务器之间通过私有协议进行交互,第一中间服务器与应用服务器之间通过传统互联网协议进行交互。在本发明实施例中,由于终端和第一中间服务器之间通过私有协议进行交互,使得外界无法劫持终端与第一中间服务器之间的消息,而只能劫持第一中间服务器与应用服务器之间的消息。但是,本发明实施例中,第一中间服务器是由监控服务器分配给终端的尚未发现存在劫持情况的中间服务器,可以在极大程度上认为,外界不存在对第一中间服务器与应用服务器之间的消息的劫持,因此,本发明实施例能够提高终端与应用服务器之间间接交互的可靠性,降低了交互消息被劫持的风险。
在终端、第一中间服务器和应用服务器建立交互之后,终端在接收响应消息时,有可能会接收到异常响应消息,如包含302状态码的响应消息,此时无法确认该异常响应消息产生的原因是访问请求被劫持还是应用服务器真的存在异常问题。可选的,在S204之后还包括:终端接收第一中间服务器返回的响应消息;终端在响应消息为异常响应消息时,向监控服务器发送异常报告;异常报告中包括应用的信息和第一中间服务器的信息;监控服务器根据应用确定应用服务器状态正常时,确定第一中间服务器被劫持并将第一中间服务器加入劫持黑名单。监控服务器中保存有应用服务器的当前状态信息,当应用服务器状态正常但终端收到了异常响应消息时,可以认为第一中间服务器和应用服务器之间的消息被劫持,此时,便将第一中间服务器加入劫持黑名单。可选的,在第一中间服务器资源充足的情况下,在S203监控服务器确定了第一中间服务器之后,监控服务器还可以将终端标识和待访问的应用服务器的状态告知第一中间服务器,以使第一中间服务器行使判断功能,在第一时间识别出外界伪造的劫持消息并将其屏蔽在终端之外,并通知监控服务器将自己加入劫持黑名单。
在上述实施例中,由监控服务器或中间服务器判断是否发生了劫持,可选的,在S204之后,还可以通过以下方式判断是否发生了劫持:终端接收第一中间服务器返回的响应消息;终端在响应消息为异常响应消息时,向监控服务器请求应用服务器的状态信息;监控服务器向终端返回应用服务器的状态信息;终端在确定应用服务器的状态正常时,向监控服务器发送劫持报告;劫持报告中包括第一中间服务器的信息和应用的信息;监控服务器接收劫持报告并将第一中间服务器加入劫持黑名单。
虽然在分配第一中间服务器时,已在较大程度上保证了第一中间服务器的安全可靠,但仍可能在第一中间服务器和应用服务器交互的过程中发生劫持,此外,监控服务器为终端分配第一中间服务器时,也可能出现误判而将存在劫持情况的中间服务器作为第一中间服务器。通过上述任一实施例以实现在交互过程中对劫持的监控,可以第一时间发现劫持的发生,从而可以及时应对劫持,以减少劫持对应用开发商带来的损失。
可选的,监控服务器在确定第一中间服务器发生了劫持后,重新为终端分配第二中间服务器;终端通过第二中间服务器实现与应用服务器之间的交互。其中,终端可采用与分配第一中间服务器相同的方式为终端重新分配第二中间服务器。例如,终端可根据劫持黑名单确定不在劫持黑名单中的某一中间服务器为第二中间服务器,也可以根据与劫持黑名单对应的劫持白名单,从劫持白名单中确定某一中间服务器为第二中间服务器。监控服务器在确定了第二中间服务器后,通过应用连接响应将第二中间服务器的信息发送给终端,之后,终端通过第二中间服务器实现与应用服务器之间的交互。可选的,终端通过第二中间服务器实现与应用服务器之间的交互的过程与前述终端通过第一中间服务器实现与应用服务器之间的交互的过程类似,本发明实施例对此不再赘述。在确认第一中间服务器之后立即为终端分配第二中间服务器,使终端与应用服务器之间的交互可以继续进行,保证服务的连续。
在本发明实施例中,劫持黑名单可以通过以下方式获得:监控服务器周期性获取N个中间服务器的系统日志;监控服务器根据系统日志确定发生劫持的中间服务器;监控服务器将发生劫持的中间服务器加入劫持黑名单中。中间服务器的系统日志中记录了中间服务器接收过的应用服务器的响应消息,对于异常响应消息也会有十分全面的记录,例如302响应消息中便会出现302状态码,这些都会记录于中间服务器的系统日志中。监控服务器周期性获取N个中间服务器的系统日志并构建或刷新劫持黑名单,可以保证劫持黑名单的全面性,以降低监控服务器对第一中间服务器的误判。
由于中间服务器系统日志记录的是一段时间内接收过的异常响应消息,只能表示中间服务器曾接收过异常响应消息,即使监控服务器可以根据应用服务器状态变化记录确认该异常响应消息是外接伪造的劫持消息,代表此刻外界仍旧劫持该中间服务器与应用服务器之间的消息。可选的,将发生了劫持的中间服务器加入劫持黑名单之前,还包括:监控服务器根据发生劫持的中间服务器的系统日志,确定应用被劫持的访问请求;监控服务器向发生劫持的中间服务器发送访问请求;在监控服务器接收到异常响应时,将发生劫持的中间服务器加入劫持黑名单。在将中间服务器加入劫持黑名单之前再次确认其是否发生了劫持,可以减少劫持黑名单禁用的中间服务器中正常中间服务器的数量,以减少不必要的资源浪费。基于相同的理由,可选的,监控服务器周期性用被劫持的访问消息探测对应的中间服务器,若发现劫持被接触,则将该中间服务器从劫持黑名单中去除。
通过本发明实施例所提供的防劫持方法,不仅实现了防劫持,而且不消耗应用服务器资源,可以保证应用服务器对应用服务的质量不受防劫持的影响。而且,在本发明实施例所提供的劫持黑名单的基础上,还可以根据中间服务器的地理位置统计不同地区内劫持发生的比例,并设置告警阈值,如统计上海市的中间服务器发生劫持的数量占中间服务器总量的比例,当超过告警阈值时,通知应用开发商上海地区劫持过多,以便应用开发商采取相应措施。
第一种可能的实现方式
本发明实施例所提供的第一种可能的实现方式公开了一种具体的黑名单生成(维护)方式,应理解,本发明实施例所提供的第一种可能的实现方式仅为解释本发明实施例所提供的技术方案,并不代表本发明实施例仅适用于或仅包括该实现方式。
图3为本发明实施例提供的一种可行的黑名单生成(维护)方法流程示意图,如图3所示,包括以下步骤:
S301:获取N个中间服务器的系统日志。
S302:针对任一中间服务器,收集系统日志中收到302劫持响应的访问请求,将该中间服务器加入黑名单。
监控服务器遍历系统日志,对应302响应消息,可通过应用服务器状态变化记录判断302响应消息是否为302劫持响应。
S303:使用被302劫持的访问请求对中间服务器进行探测。
监控服务器将该访问请求发送至该中间服务器,由该中间服务器将该访问请求发送至应用服务器。
S304:根据S303的探测结果判断中间服务器是否存在302劫持,若是,则执行S305,若否,则执行S308。
在监控服务器收到该中间服务器返回的响应消息为302响应消息时,根据应用服务器的状态判断中间服务器是否存在劫持。
S305:判断劫持黑名单中的中间服务器数量是否触发告警阈值,若是,则执行S306,若否,则(周期性)执行S303。
S306:推送劫持告警。
S307:结束。
S308:判断是否还有上报的该中间服务器的302劫持,若是,则执行S305,若否,则执行S309。
S309:将该中间服务器从劫持黑名单剔除,并加入白名单。
综上所述,本发明实施例提供一种防劫持方法,包括:监控服务器接收终端发送的应用连接请求;应用连接请求包括待访问的应用的信息;监控服务器从尚未发现存在劫持情况的中间服务器中为终端分配第一中间服务器;监控服务器向终端发送应用连接响应,应用连接响应包括第一中间服务器的信息;终端接收应用连接响应;终端通过私有协议与第一中间服务器交互从而实现与应用服务器之间的交互。终端通过第一中间服务器与应用服务器间接交互,具体来说,终端和第一中间服务器之间通过私有协议进行交互,第一中间服务器与应用服务器之间通过传统互联网协议进行交互。在本发明实施例中,由于终端和第一中间服务器之间通过私有协议进行交互,使得外界无法劫持终端与第一中间服务器之间的消息,而只能劫持第一中间服务器与应用服务器之间的消息。但是,本发明实施例中,第一中间服务器是由监控服务器分配给终端的尚未发现存在劫持情况的中间服务器,可以在极大程度上认为,外界不存在对第一中间服务器与应用服务器之间的消息的劫持,因此,本发明实施例能够提高终端与应用服务器之间间接交互的可靠性,降低了交互消息被劫持的风险。
基于相同的技术构思,本发明实施例还提供一种监控服务器,适用于包括N个中间服务器的内容分发CDN网络,监控服务器用于调度所述中间服务器,该监控服务器可以实现上述任一实施例所提供的防劫持方法。图4为本发明实施例提供的一种监控服务器结构示意图,如图4所述,监控服务器400包括收发单元401和处理单元402,其中:
收发单元401,用于接收终端发送的应用连接请求;应用连接请求包括待访问的应用的信息;
处理单元402,用于从尚未发现存在劫持情况的中间服务器中为终端分配第一中间服务器;
处理单元402,还用于控制收发单元401向终端发送应用连接响应,应用连接响应包括第一中间服务器的信息,第一中间服务器用于实现终端与应用服务器之间的间接交互且第一中间服务器与终端之间通过私有协议进行交互。
可选的,收发单元401,还用于接收终端发送的异常报告;异常报告中包括应用的信息和第一中间服务器的信息;
处理单元402,还用于确定应用服务器状态正常时,确定第一中间服务器被劫持;
处理单元402,还用于将第一中间服务器加入劫持黑名单。
可选的,处理单元402,还用于重新为终端分配第二中间服务器。
可选的,处理单元402,还用于:
通过收发单元401周期性获取N个中间服务器的系统日志;
根据系统日志确定发生劫持的中间服务器;
将发生劫持的中间服务器加入劫持黑名单中。
可选的,处理单元402,还用于:
根据发生劫持的中间服务器的系统日志,确定应用被劫持的访问请求;
控制收发单元401向发生劫持的中间服务器发送访问请求;
在收发单元401接收到异常响应时,将发生劫持的中间服务器加入劫持黑名单。
基于相同的技术构思,本发明实施例还提供一种终端,适用于包括N个中间服务器的内容分发CDN网络,CDN网络还包括监控服务器,监控服务器用于调度中间服务器,该终端可以实现上述任一实施例所提供的防劫持方法。图5为本发明实施例提供的一种终端结构示意图,如图5所述,终端500包括收发单元501和处理单元502,其中:
处理单元502,用于控制收发单元501向监控服务器发送应用连接请求;应用连接请求包括待访问的应用的信息;
收发单元501,用于接收监控服务器发送的应用连接响应,应用连接响应包括第一中间服务器的信息;第一中间服务器为监控服务器从尚未发现存在劫持情况的中间服务器中为终端分配的;
处理单元502,还用于控制收发单元501通过私有协议与第一中间服务器交互从而实现与应用服务器之间的交互。
可选的,收发单元501,还用于接收第一中间服务器返回的响应消息;
处理单元502,还用于在响应消息为异常响应消息时,控制收发单元501向监控服务器发送异常报告;异常报告中包括应用的信息和第一中间服务器的信息,用于指示监控服务器确定应用服务器状态正常时确定第一中间服务器被劫持并将第一中间服务器加入劫持黑名单。
可选的,收发单元501,还用于接收第一中间服务器返回的响应消息;
处理单元502,还用于在响应消息为异常响应消息时,控制收发单元501向监控服务器请求应用服务器的状态信息;
处理单元502,还用于在确定应用服务器的状态正常时,控制收发单元501向监控服务器发送劫持报告;劫持报告中包括第一中间服务器的信息和应用的信息。
可选的,处理单元502,还用于控制收发单元501通过监控服务器重新分配的第二中间服务器实现与应用服务器之间的交互。
基于相同的技术构思,本发明实施例还提供一种监控服务器,图6为本发明实施例提供的一种监控服务器结构示意图,如图6所示,该监控服务器包括存储器601和处理器602,其中:
存储器601可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器602提供存储器601中存储的程序指令和数据。在本发明实施例中,存储器601可以用于存储本发明实施例所提供的防劫持方法的程序,处理器602通过调用存储器601存储的程序指令,按照获得的程序指令执行上述任一实施例提供的防劫持方法。
基于相同的技术构思,本发明实施例还提供一种计算机可读存储介质,用于存储为上述监控服务器所用的计算机程序指令,其包含用于执行上述任一实施例提供的防劫持方法的程序。
所述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。
基于相同的技术构思,本发明实施例还提供一种终端,图7为本发明实施例提供的一种终端结构示意图,如图7所示,该终端包括存储器701和处理器702,其中:
存储器701可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器702提供存储器701中存储的程序指令和数据。在本发明实施例中,存储器701可以用于存储本发明实施例所提供的防劫持方法的程序,处理器702通过调用存储器701存储的程序指令,按照获得的程序指令执行上述任一实施例提供的防劫持方法。
基于相同的技术构思,本发明实施例还提供一种计算机可读存储介质,用于存储为上述终端所用的计算机程序指令,其包含用于执行上述任一实施例提供的防劫持方法的程序。
所述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (23)
1.一种防劫持方法,其特征在于,适用于包括N个中间服务器的内容分发CDN网络,所述CDN网络还包括监控服务器,所述监控服务器用于调度所述中间服务器,所述方法包括:
所述监控服务器接收终端发送的应用连接请求;所述应用连接请求包括待访问的应用服务器的信息;
所述监控服务器从尚未发现存在劫持情况的中间服务器中为所述终端分配第一中间服务器;
所述监控服务器向所述终端发送应用连接响应,所述应用连接响应包括所述第一中间服务器的信息,所述第一中间服务器用于实现所述终端与所述应用服务器之间的间接交互且所述第一中间服务器与所述终端之间通过私有协议进行交互。
2.如权利要求1所述的方法,其特征在于,所述监控服务器向所述终端发送应用连接响应之后,还包括:
所述监控服务器接收所述终端发送的异常报告;所述异常报告中包括应用的信息和所述第一中间服务器的信息;
所述监控服务器确定所述应用服务器状态正常时,确定所述第一中间服务器被劫持;
所述监控服务器将所述第一中间服务器加入劫持黑名单。
3.如权利要求2所述的方法,其特征在于,确定所述第一中间服务器被劫持之后,还包括:
所述监控服务器重新为所述终端分配第二中间服务器。
4.如权利要求1所述的方法,其特征在于,还包括:
所述监控服务器周期性获取所述N个中间服务器的系统日志;
所述监控服务器根据所述系统日志确定发生劫持的中间服务器;
所述监控服务器将所述发生劫持的中间服务器加入劫持黑名单中。
5.如权利要求4所述的方法,其特征在于,将所述发生了劫持的中间服务器加入所述劫持黑名单之前,还包括:
所述监控服务器根据所述发生劫持的中间服务器的系统日志,确定应用被劫持的访问请求;
所述监控服务器向所述发生劫持的中间服务器发送所述访问请求;
在所述监控服务器接收到异常响应时,将所述发生劫持的中间服务器加入所述劫持黑名单。
6.一种防劫持方法,其特征在于,适用于包括N个中间服务器的内容分发CDN网络,所述CDN网络还包括监控服务器,所述监控服务器用于调度所述中间服务器,所述方法包括:
终端向监控服务器发送应用连接请求;所述应用连接请求包括待访问的应用服务器的信息;
所述终端接收所述监控服务器发送的应用连接响应,所述应用连接响应包括所述第一中间服务器的信息;所述第一中间服务器为所述监控服务器从尚未发现存在劫持情况的中间服务器中为所述终端分配的;
所述终端通过私有协议与所述第一中间服务器交互从而实现与所述应用服务器之间的交互。
7.如权利要求6所述的方法,其特征在于,所述终端通过私有协议与所述第一中间服务器交互从而实现与所述应用服务器之间的交互之后,还包括:
所述终端接收所述第一中间服务器返回的响应消息;
所述终端在所述响应消息为异常响应消息时,向所述监控服务器发送异常报告;所述异常报告中包括应用的信息和所述第一中间服务器的信息,用于指示所述监控服务器确定所述应用服务器状态正常时确定所述第一中间服务器被劫持并将所述第一中间服务器加入劫持黑名单。
8.如权利要求6所述的方法,其特征在于,所述终端通过私有协议与所述第一中间服务器交互从而实现与所述应用服务器之间的交互之后,还包括:
所述终端接收所述第一中间服务器返回的响应消息;
所述终端在所述响应消息为异常响应消息时,向所述监控服务器请求所述应用服务器的状态信息;
所述终端在确定所述应用服务器的状态正常时,向所述监控服务器发送劫持报告;所述劫持报告中包括所述第一中间服务器的信息和应用的信息。
9.如权利要求7或权利要求8所述的方法,其特征在于,还包括:
所述终端通过所述监控服务器重新分配的第二中间服务器实现与所述应用服务器之间的交互。
10.一种监控服务器,其特征在于,适用于包括N个中间服务器的内容分发CDN网络,所述监控服务器用于调度所述中间服务器,所述监控服务器包括:
收发单元,用于接收终端发送的应用连接请求;所述应用连接请求包括待访问的应用服务器的信息;
处理单元,用于从尚未发现存在劫持情况的中间服务器中为所述终端分配所述第一中间服务器;
所述处理单元,还用于控制所述收发单元向所述终端发送应用连接响应,所述应用连接响应包括所述第一中间服务器的信息,所述第一中间服务器用于实现所述终端与所述应用服务器之间的间接交互且所述第一中间服务器与所述终端之间通过私有协议进行交互。
11.如权利要求10所述的监控服务器,其特征在于,
所述收发单元,还用于接收所述终端发送的异常报告;所述异常报告中包括应用的信息和所述第一中间服务器的信息;
所述处理单元,还用于确定所述应用服务器状态正常时,确定所述第一中间服务器被劫持;
所述处理单元,还用于将所述第一中间服务器加入劫持黑名单。
12.如权利要求11所述的监控服务器,其特征在于,所述处理单元,还用于重新为所述终端分配第二中间服务器。
13.如权利要求10所述的监控服务器,其特征在于,所述处理单元,还用于:
通过所述收发单元周期性获取所述N个中间服务器的系统日志;
根据所述系统日志确定发生劫持的中间服务器;
将所述发生劫持的中间服务器加入劫持黑名单中。
14.如权利要求13所述的监控服务器,其特征在于,所述处理单元,还用于:
根据所述发生劫持的中间服务器的系统日志,确定应用被劫持的访问请求;
控制所述收发单元向所述发生劫持的中间服务器发送所述访问请求;
在所述收发单元接收到异常响应时,将所述发生劫持的中间服务器加入所述劫持黑名单。
15.一种终端,其特征在于,适用于包括N个中间服务器的内容分发CDN网络,所述CDN网络还包括监控服务器,所述监控服务器用于调度所述中间服务器,所述终端包括:
处理单元,用于控制收发单元向监控服务器发送应用连接请求;所述应用连接请求包括待访问的应用服务器的信息;
收发单元,用于接收所述监控服务器发送的应用连接响应,所述应用连接响应包括所述第一中间服务器的信息;所述第一中间服务器为所述监控服务器从尚未发现存在劫持情况的中间服务器中为所述终端分配的;
所述处理单元,还用于控制所述收发单元通过私有协议与所述第一中间服务器交互从而实现与所述应用服务器之间的交互。
16.如权利要求15所述的终端,其特征在于,
所述收发单元,还用于接收所述第一中间服务器返回的响应消息;
所述处理单元,还用于在所述响应消息为异常响应消息时,控制所述收发单元向所述监控服务器发送异常报告;所述异常报告中包括应用的信息和所述第一中间服务器的信息,用于指示所述监控服务器确定所述应用服务器状态正常时确定所述第一中间服务器被劫持并将所述第一中间服务器加入劫持黑名单。
17.如权利要求15所述的终端,其特征在于,
所述收发单元,还用于接收所述第一中间服务器返回的响应消息;
所述处理单元,还用于在所述响应消息为异常响应消息时,控制所述收发单元向所述监控服务器请求所述应用服务器的状态信息;
所述收发单元,还用于在确定所述应用服务器的状态正常时,控制所述收发单元向所述监控服务器发送劫持报告;所述劫持报告中包括所述第一中间服务器的信息和应用的信息。
18.如权利要求16或权利要求17所述的终端,其特征在于,
所述处理单元,还用于控制所述收发单元通过所述监控服务器重新分配的第二中间服务器实现与所述应用服务器之间的交互。
19.一种可读存储介质,其特征在于,所述可读存储介质存储有计算设备可执行指令,所述计算设备可执行指令用于使所述计算设备执行权利要求1至5中任一项所述的防劫持方法。
20.一种监控服务器,其特征在于,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行如权利要求1至5中任一项所述的防劫持方法。
21.一种可读存储介质,其特征在于,所述可读存储介质存储有计算设备可执行指令,所述计算设备可执行指令用于使所述计算设备执行如权利要求6至9中任一项所述的防劫持方法。
22.一种终端,其特征在于,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行如权利要求6至9中任一项所述的防劫持方法。
23.一种防劫持系统,其特征在于,包括如权利要求10至14中任一项所述的监控服务器,以及如权利要求15至18中任一项所述的终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711042450.7A CN107819754B (zh) | 2017-10-30 | 2017-10-30 | 一种防劫持方法、监控服务器、终端及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711042450.7A CN107819754B (zh) | 2017-10-30 | 2017-10-30 | 一种防劫持方法、监控服务器、终端及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107819754A true CN107819754A (zh) | 2018-03-20 |
| CN107819754B CN107819754B (zh) | 2020-01-14 |
Family
ID=61604359
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711042450.7A Active CN107819754B (zh) | 2017-10-30 | 2017-10-30 | 一种防劫持方法、监控服务器、终端及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107819754B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108650265A (zh) * | 2018-05-11 | 2018-10-12 | 广州优视网络科技有限公司 | 文件的下载方法及其装置、存储介质、电子终端 |
| CN112039829A (zh) * | 2019-06-04 | 2020-12-04 | 阿里巴巴集团控股有限公司 | 域名系统的劫持检测及上报方法、装置 |
| CN115190001A (zh) * | 2022-07-22 | 2022-10-14 | 天翼云科技有限公司 | 一种网络异常状态分析方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101860540A (zh) * | 2010-05-26 | 2010-10-13 | 吴晓军 | 一种识别网站服务合法性的方法及装置 |
| CN102694772A (zh) * | 2011-03-23 | 2012-09-26 | 腾讯科技(深圳)有限公司 | 一种访问互联网网页的装置、系统及方法 |
| CN104320487A (zh) * | 2014-11-11 | 2015-01-28 | 网宿科技股份有限公司 | 内容分发网络的http调度系统和方法 |
| CN104967630A (zh) * | 2014-04-10 | 2015-10-07 | 腾讯科技(深圳)有限公司 | 网页访问请求的处理方法及装置 |
| CN105897947A (zh) * | 2016-04-08 | 2016-08-24 | 网宿科技股份有限公司 | 移动终端的网络访问方法和装置 |
| CN106506552A (zh) * | 2016-12-28 | 2017-03-15 | 北京奇艺世纪科技有限公司 | 一种http请求传输方法及装置 |
-
2017
- 2017-10-30 CN CN201711042450.7A patent/CN107819754B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101860540A (zh) * | 2010-05-26 | 2010-10-13 | 吴晓军 | 一种识别网站服务合法性的方法及装置 |
| CN102694772A (zh) * | 2011-03-23 | 2012-09-26 | 腾讯科技(深圳)有限公司 | 一种访问互联网网页的装置、系统及方法 |
| CN104967630A (zh) * | 2014-04-10 | 2015-10-07 | 腾讯科技(深圳)有限公司 | 网页访问请求的处理方法及装置 |
| CN104320487A (zh) * | 2014-11-11 | 2015-01-28 | 网宿科技股份有限公司 | 内容分发网络的http调度系统和方法 |
| CN105897947A (zh) * | 2016-04-08 | 2016-08-24 | 网宿科技股份有限公司 | 移动终端的网络访问方法和装置 |
| CN106506552A (zh) * | 2016-12-28 | 2017-03-15 | 北京奇艺世纪科技有限公司 | 一种http请求传输方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108650265A (zh) * | 2018-05-11 | 2018-10-12 | 广州优视网络科技有限公司 | 文件的下载方法及其装置、存储介质、电子终端 |
| CN108650265B (zh) * | 2018-05-11 | 2021-08-20 | 阿里巴巴(中国)有限公司 | 文件的下载方法及其装置、存储介质、电子终端 |
| CN112039829A (zh) * | 2019-06-04 | 2020-12-04 | 阿里巴巴集团控股有限公司 | 域名系统的劫持检测及上报方法、装置 |
| CN115190001A (zh) * | 2022-07-22 | 2022-10-14 | 天翼云科技有限公司 | 一种网络异常状态分析方法及装置 |
| CN115190001B (zh) * | 2022-07-22 | 2024-03-08 | 天翼云科技有限公司 | 一种网络异常状态分析方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107819754B (zh) | 2020-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11122067B2 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
| CN110611723B (zh) | 一种服务资源的调度方法及装置 | |
| CA2973969C (en) | Session security splitting and application profiler | |
| CN107566786A (zh) | 一种获取监控视频的方法、装置及终端设备 | |
| US10812314B2 (en) | Methods and apparatuses for pushing a message | |
| CN111787345B (zh) | 基于网络直播间的互动资源处理方法、装置、服务器及存储介质 | |
| CN104753907A (zh) | 基于即时通信或社交应用的数据处理方法和装置 | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| CN110609937A (zh) | 一种爬虫识别方法及装置 | |
| JP6491352B2 (ja) | サービスのバッチ請求を規制する方法および装置 | |
| CN102231745A (zh) | 一种网络应用的安全系统及方法 | |
| CN107819754A (zh) | 一种防劫持方法、监控服务器、终端及系统 | |
| CN107666473A (zh) | 一种攻击检测的方法及控制器 | |
| CN106453266A (zh) | 一种异常网络请求检测方法与装置 | |
| CN105847277A (zh) | 用于第三方应用的服务账号共享管理方法及系统 | |
| CN104883279B (zh) | 心跳报文处理方法、设备和系统 | |
| CN112887105B (zh) | 会议安全监控方法、装置、电子设备及存储介质 | |
| CN108881226A (zh) | 应用层攻击的防护方法、防护装置及电子设备 | |
| CN109150621A (zh) | 监控业务流程的方法、装置、计算机设备及存储介质 | |
| CN117134979A (zh) | 一种数据通信方法、装置、设备及介质 | |
| CN106612263B (zh) | 一种用于处理应用访问请求的方法与设备 | |
| CN110321287A (zh) | 一种服务器功能的检测方法、装置及电子设备 | |
| CN109495544A (zh) | 一种报文数据处理方法和装置、以及计算机设备 | |
| CN103517250B (zh) | 用于处理应用代理客户端异常的方法和装置 | |
| CN112600861A (zh) | 网络翻墙行为的检测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |