CN108848076A - 一种用于通过用户设备检测dns劫持的方法与设备 - Google Patents
一种用于通过用户设备检测dns劫持的方法与设备 Download PDFInfo
- Publication number
- CN108848076A CN108848076A CN201810551759.7A CN201810551759A CN108848076A CN 108848076 A CN108848076 A CN 108848076A CN 201810551759 A CN201810551759 A CN 201810551759A CN 108848076 A CN108848076 A CN 108848076A
- Authority
- CN
- China
- Prior art keywords
- dns
- user equipment
- alias
- address
- targeted website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请的目的是提供一种用于通过用户设备检测DNS劫持的方法,其中,该方法包括:向DNS服务器发送关于目标网站的第一DNS请求,其中,所述目标网站存在别名或多个IP地址;接收所述DNS服务器基于所述第一DNS请求返回的DNS响应信息;根据所述DNS响应信息中是否包括所述目标网站的别名或多个IP地址,确定所述用户设备的当前网络中是否存在DNS劫持。用户设备从能否检测到别名或多IP来判断是否遭受DNS劫持,使得识别攻击更加的高效,同时很大程度上节约了用户资源。
Description
技术领域
本申请涉及通信领域,尤其涉及一种用于通过用户设备检测DNS劫持的技术。
背景技术
DNS劫持也叫做域名劫持,历史上对域名劫持危害范围较广的记载通常都是大型网站,这类DNS钓鱼攻击可对网站访问返回假的信息,或干脆访问失败。DNS劫持十分凶猛且不容易被用户感知,曾导致巴西最大银行巴西银行近1%客户受到攻击而导致账户被盗。此次由国内领先的DNS服务商114DNS率先发现的DNS劫持攻击,黑客利用宽带路由器的缺陷对用户DNS进行篡改——用户只要浏览一下黑客所掌控的WEB页面,其宽带路由器的DNS就会被黑客篡改,因为该WEB页面设有特别的恶意代码,所以可以成功躲过安全软件检测,导致大量用户被DNS钓鱼诈骗。
发明内容
本申请的一个目的是提供一种用于通过用户设备检测DNS劫持的技术。
根据本申请的一个方面,提供了一种用于通过用户设备检测DNS劫持的方法,该方法包括:
向DNS服务器发送关于目标网站的第一DNS请求,其中,所述目标网站存在别名或多个IP地址;
接收所述DNS服务器基于所述第一DNS请求返回的DNS响应信息;
根据所述DNS响应信息中是否包括所述目标网站的别名或多个IP地址,确定所述用户设备的当前网络中是否存在DNS劫持。
根据本申请的一个方面,提供了一种用于通过用户设备检测DNS劫持的设备,该设备包括:
向DNS服务器发送关于目标网站的第一DNS请求,其中,所述目标网站存在别名或多个IP地址;
接收所述DNS服务器基于所述第一DNS请求返回的DNS响应信息;
根据所述DNS响应信息中是否包括所述目标网站的别名或多个IP地址,确定所述用户设备的当前网络中是否存在DNS劫持。
根据本申请的一个方面,提供了一种包括指令的计算机可读介质,所述指令在被执行时使得系统进行:
向DNS服务器发送关于目标网站的第一DNS请求,其中,所述目标网站存在别名或多个IP地址;
接收所述DNS服务器基于所述第一DNS请求返回的DNS响应信息;
根据所述DNS响应信息中是否包括所述目标网站的别名或多个IP地址,确定所述用户设备的当前网络中是否存在DNS劫持。
与现有技术相比,本申请中用户设备向DNS服务器发送关于目标网站的DNS请求,并根据基于DNS请求的DNS响应信息中是否包含目标网站的别名或多个IP地址来确定当前网络中是否存在DNS劫持,进一步的为了排除存在有些运营商的服务器未配置别名或多个IP地址这种情况,用户设备进一步选取目标域名,基于对目标域名发送DNS请求的DNS解析,判断当前网络中是否存在DNS劫持,使得识别DNS劫持更加的高效,同时节约用户资源。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1示出根据本申请一个实施例的一种用于通过用户设备检测DNS劫持的系统拓扑图;
图2示出根据本申请另一个实施例的一种用于通过用户设备检测DNS劫持的方法流程图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本申请作进一步详细描述。
在本申请一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
本申请所指设备包括但不限于用户设备、网络设备、或用户设备与网络设备通过网络相集成所构成的设备。所述用户设备包括但不限于任何一种可与用户进行人机交互(例如通过触摸板进行人机交互)的移动电子产品,例如智能手机、平板电脑等,所述移动电子产品可以采用任意操作系统,如android操作系统、iOS操作系统等。其中,所述网络设备包括一种能够按照事先设定或存储的指令,自动进行数值计算和信息处理的电子设备,其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)、嵌入式设备等。所述网络设备包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云;在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个虚拟超级计算机。所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(Ad Hoc网络)等。优选地,所述设备还可以是运行于所述用户设备、网络设备、或用户设备与网络设备、网络设备、触摸终端或网络设备与触摸终端通过网络相集成所构成的设备上的程序。
当然,本领域技术人员应能理解上述设备仅为举例,其他现有的或今后可能出现的设备如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
在本申请的描述中,“多个”的含义是两个或者更多,除非另有明确具体的限定。
图1示出了本申请的一个典型场景,用户设备向DNS服务器发送关于目标网站的DNS请求,其中,该目标网站配置了别名或多个IP地址,用户设备接收该DNS服务器返回的DNS响应信息,其中只包括一个IP名称A,此时可以认为遭受了DNS劫持,攻击者将对目标网站的DNS请求劫持到了攻击者的服务器上,并返回给用户设备虚假的IP名称A。
图2示出根据本申请的一个方面的一种用于通过用户设备检测DNS劫持的方法,该方法包括步骤S11、步骤S12和步骤S13。在步骤S11中,用户设备向DNS服务器发送关于目标网站的第一DNS请求,其中,所述目标网站存在别名或多个IP地址;在步骤S12中,用户设备接收所述DNS服务器基于所述第一DNS请求返回的DNS响应信息;在步骤S13中,用户设备根据所述DNS响应信息中是否包括所述目标网站的别名或多个IP地址,确定所述用户设备的当前网络中是否存在DNS劫持。
具体而言,在步骤S11中,用户设备向DNS服务器发送关于目标网站的第一DNS请求,其中,所述目标网站存在别名或多个IP地址。其中,目标网站为当今主流的大型网站,当今主流的大型网站为了实现负载均衡和高可用性配置了别名或多个IP地址,其中,不同地区解析到的多IP的顺序不一致,因此不同地区默认访问到的IP不一致,这样可以用来进行负载均衡,或某个IP上的服务器发生了问题,也可以通过DNS解析将其他IP排在前面,保证高可用性。配置别名主要可以实现多个域名解析到同一个服务器上,由于大型网站的子域名较多,有些业务较为相似,因此会有别名。此外,别名还可以减少在一台服务器下的多个域名面临迁移服务器时的开销。
在步骤S12中,用户设备接收所述DNS服务器基于所述第一DNS请求返回的DNS响应信息。例如,用户设备选取目标网站,对默认的DNS服务器发送基于目标网站的DNS请求,并接收DNS服务器返回的DNS响应信息,其中,DNS响应信息包括目标网站的域名以及DNS解析到的IP地址。
在步骤S13中,用户设备根据所述DNS响应信息中是否包括所述目标网站的别名或多个IP地址,确定所述用户设备的当前网络中是否存在DNS劫持。例如,用户设备选取目标网站,向DNS服务器发送基于目标网站的DNS请求,其中,所述目标网站为配置别名或多个IP地址的大型主流网站,用户设备接收DNS服务器返回的DNS响应信息,若DNS响应信息中未包含所述目标网站的别名或多个IP地址,则确认当前网络中存在DNS劫持的风险。
例如,用户手持用户设备,用户设备选取目标网站www.bbb.com,其中,该目标网站配置了别名或多个IP地址,并向默认的DNS服务器发送关于目标网站www.bbb.com的第一DNS请求,其中该DNS服务器为通过DHCP获取的DNS服务器地址,此时的DNS服务器地址为192.168.0.1,用户设备向地址为192.168.0.1的DNS服务器发送关于目标网站www.bbb.com的第一DNS请求,请求关于目标网站的IP地址,随后地址为192.168.0.1的DNS服务器返回相应的DNS响应信息至用户设备,其中,该响应信息仅仅只有一个IP地址192.168.0.2,由于该目标网站配置了别名或多个IP地址,用户设备基于该响应信息确定当前网络中存在DNS劫持的风险。例如,该响应信息包含域名www.xxx.com以及IP地址xx.xx.xx.xx,由于该目标网站配置了别名或多个IP地址,用户设备基于该响应信息确定当前网络中不存在DNS劫持的风险。
在一些实施例中,在步骤S13中,若所述用户设备接收到的所述DNS响应信息中未包含多IP和别名,用户设备确定当前网络中存在DNS劫持。例如,用户设备选取目标网站,向DNS服务器发送基于目标网站的DNS请求,其中,所述目标网站为配置别名或多个IP地址的大型主流网站,用户设备接收DNS服务器返回的DNS响应信息,若DNS响应信息中未包含所述目标网站的别名或多个IP地址,则确认当前网络中存在DNS劫持的风险。
例如,用户手持用户设备,用户设备选取目标网站www.bbb.com,其中,该目标网站配置了别名或多个IP地址,并向DNS服务器发送关于目标网站www.bbb.com的第一DNS请求,其中该DNS服务器为通过DHCP获取的DNS服务器地址,此时的DNS服务器地址为192.168.0.1,用户设备向地址为192.168.0.1的DNS服务器发送关于目标网站www.bbb.com 的第一DNS请求,请求关于目标网站的IP地址,随后地址为192.168.0.1的DNS服务器返回相应的DNS响应信息至用户设备,其中,该响应信息仅仅只有一个IP地址192.168.0.2,由于该目标网站配置了别名或多个IP地址,用户设备基于该响应信息确定当前网络中存在DNS劫持的风险。
在一些实施例中,在步骤S13中,若所述用户设备接收到的所述DNS响应信息中未包含多IP和别名,向所述DNS服务器发送关于目标域名的第二DNS请求;接收所述DNS服务器基于所述第二DNS请求返回的DNS解析信息;步骤S13包括步骤S131(未示出),用户设备根据所述DNS解析信息是否包括所述目标域名的别名或多个IP地址,确定所述用户设备的当前网络中是否存在DNS劫持。例如,用户设备选取目标网站,向DNS服务器发送基于目标网站的DNS请求,其中,所述目标网站为配置别名或多个IP地址的大型主流网站,用户设备接收DNS服务器返回的DNS响应信息,若DNS响应信息中未包含所述目标网站的别名或多个IP地址,则确认当前网络中存在DNS劫持的风险。为了减少误报,排除某些运营商的DNS服务器未启用别名或多个IP地址功能的情况,用户设备选择特定的目标域名,例如,该目标域名对应IP地址的服务器的累计访问量低于预定的数量阈值,或者该目标域名对应IP地址的服务器是不存在或不可访问的,其中,该目标域名配置了多IP和别名,用户设备基于该目标域名向DNS服务器发送第二DNS请求,并接收基于所述第二DNS请求返回的DNS解析信息,并根据DNS解析信息确定当前网络中是否存在DNS劫持。由于用户设备接收到的所述DNS响应信息中未包含多IP和别名,可确定DNS服务器未开启多IP和别名的功能,此时若用户设备接收到关于目标域名的DNS解析中包含多IP和别名,可认为DNS服务器不可信,即存在DNS劫持的风险,若用户设备接收到关于目标域名的DNS解析中未包含多IP和别名,可认为DNS服务器可信,即不存在DNS劫持的风险。
例如,用户手持用户设备,用户设备选取目标网站www.bbb.com,其中,该目标网站配置了别名或多个IP地址,并向DNS服务器发送关于目标网站www.bbb.com的第一DNS请求,其中该DNS服务器为通过DHCP获取的DNS服务器地址,此时的DNS服务器地址为192.168.0.1,用户设备向地址为192.168.0.1的DNS服务器发送关于目标网站www.bbb.com的第一DNS请求,请求关于目标网站的IP地址,随后地址为192.168.0.1的DNS服务器返回相应的DNS响应信息至用户设备,其中,该响应信息仅仅只有一个IP地址192.168.0.2,用户设备确认该DNS服务器配置工具参数时配置了单IP,由于该目标网站配置了别名或多个IP地址,用户设备基于该响应信息确定当前网络中存在DNS劫持的风险。为了排除某些DNS服务器未启用别名或多个IP地址的功能,用户设备选取目标域名向该DNS服务器发送第二DNS请求,该目标域名由方案设计者提供,例如www.HHH.com,该域名配置了别名或多个IP地址,用户设备通过浏览器输入目标域名www.HHH.com,并接收基于该目标域名的DNS解析,所述DNS解析包含域名www.h1h.com以及IP地址x.x.x.x,由于之前用户设备确认该DNS服务器配置工具参数时配置了单IP,与DNS解析返回的结果相矛盾,因此确认该DNS服务器不可信,即存在DNS劫持的风险。
在一些实施例中,在步骤S131(未示出)中,若所述DNS解析信息包括所述目标域名的别名或多个IP地址,确定所述用户设备的当前网络中存在DNS劫持。例如,用户设备选取目标网站,向DNS服务器发送基于目标网站的DNS请求,其中,所述目标网站为配置别名或多个IP地址的大型主流网站,用户设备接收DNS服务器返回的DNS响应信息,若DNS响应信息中未包含所述目标网站的别名或多个IP地址,则确认当前网络中存在DNS劫持的风险。为了减少误报,排除某些运营商的DNS服务器未启用别名或多个IP地址功能的情况,用户设备选择特定的目标域名,例如,该目标域名对应IP地址的服务器的累计访问量低于预定的数量阈值,或者该目标域名对应IP地址的服务器是不存在或不可访问的,其中,该目标域名配置了多IP和别名,用户设备基于该目标域名向DNS服务器发送第二DNS请求,并接收基于所述第二DNS请求返回的DNS解析信息,并根据DNS解析信息确定当前网络中是否存在DNS劫持。由于用户设备接收到的所述DNS响应信息中未包含多IP和别名,可确定DNS服务器未开启多IP和别名的功能,此时若用户设备接收到关于目标域名的DNS解析中包含多IP和别名,可认为DNS服务器不可信,即存在DNS劫持的风险。
例如,用户手持用户设备,用户设备选取目标网站www.bbb.com,其中,该目标网站配置了别名或多个IP地址,并向DNS服务器发送关于目标网站www.bbb.com的第一DNS请求,其中该DNS服务器为通过DHCP获取的DNS服务器地址,此时的DNS服务器地址为192.168.0.1,用户设备向地址为192.168.0.1的DNS服务器发送关于目标网站www.bbb.com的第一DNS请求,请求关于目标网站的IP地址,随后地址为192.168.0.1的DNS服务器返回相应的DNS响应信息至用户设备,其中,该响应信息仅仅只有一个IP地址192.168.0.2,用户设备确认该DNS服务器配置工具参数时配置了单IP,由于该目标网站配置了别名或多个IP地址,用户设备基于该响应信息确定当前网络中存在DNS劫持的风险。为了排除某些DNS服务器未启用别名或多个IP地址的功能,用户设备选取目标域名向该DNS服务器发送第二DNS请求,该目标域名由方案设计者提供,例如www.HHH.com,该域名配置了别名或多个IP地址,用户设备通过浏览器输入目标域名www.HHH.com,并接收基于该目标域名的DNS解析,所述DNS解析包含域名www.1hh.com以及IP地址x.x.x.x,由于之前用户设备确认该DNS服务器配置工具参数时配置了单IP,与DNS解析返回的结果相矛盾,因此确认该DNS服务器不可信,即存在DNS劫持的风险。
在一些实施例中,在步骤S131(未示出)中,若所述DNS解析信息未包括所述目标域名的别名和多个IP地址,确定所述用户设备的当前网络中未存在DNS劫持。例如,用户设备选取目标网站,向DNS服务器发送基于目标网站的DNS请求,其中,所述目标网站为配置别名或多个IP地址的大型主流网站,用户设备接收DNS服务器返回的DNS响应信息,若DNS响应信息中未包含所述目标网站的别名或多个IP地址,则确认当前网络中存在DNS劫持的风险。为了减少误报,排除某些运营商的DNS服务器未启用别名或多个IP地址功能的情况,用户设备选择特定的目标域名,例如,该目标域名对应IP地址的服务器的累计访问量低于预定的数量阈值,或者该目标域名对应IP地址的服务器是不存在或不可访问的,其中,该目标域名配置了多IP和别名,用户设备基于该目标域名向DNS服务器发送第二DNS请求,并接收基于所述第二DNS请求返回的DNS解析信息,并根据DNS解析信息确定当前网络中是否存在DNS劫持。由于用户设备接收到的所述DNS响应信息中未包含多IP和别名,可确定DNS服务器未开启多IP和别名的功能,此时若用户设备接收到关于目标域名的DNS解析中未包含多IP和别名,可认为DNS服务器可信,即不存在DNS劫持的风险。
例如,用户手持用户设备,用户设备选取目标网站www.bbb.com,其中,该目标网站配置了别名或多个IP地址,并向DNS服务器发送关于目标网站www.bbb.com的第一DNS请求,其中该DNS服务器为通过DHCP获取的DNS服务器地址,此时的DNS服务器地址为192.168.0.1,用户设备向地址为192.168.0.1的DNS服务器发送关于目标网站www.bbb.com 的第一DNS请求,请求关于目标网站的IP地址,随后地址为192.168.0.1的DNS服务器返回相应的DNS响应信息至用户设备,其中,该响应信息仅仅只有一个IP地址192.168.0.2,用户设备确认该DNS服务器配置工具参数时配置了单IP,由于该目标网站配置了别名或多个IP地址,用户设备基于该响应信息确定当前网络中存在DNS劫持的风险。为了排除某些DNS服务器未启用别名或多个IP地址的功能,用户设备选取目标域名向该DNS服务器发送第二DNS请求,该目标域名由方案设计者提供,例如www.HHH.com,该域名配置了别名或多个IP地址,用户设备通过浏览器输入目标域名www.HHH.com,并接收基于该目标域名的DNS解析,所述DNS解析包含IP地址x.x.x.x,由于之前用户设备确认该DNS服务器配置工具参数时配置了单IP,与DNS解析返回的结果相一致,因此确认该DNS服务器可信,即不存在DNS劫持的风险。
在一些实施例中,所述目标域名配置有别名或多个IP地址。例如,用户设备选取一个特定的域名,该特定的域名是一个事先准备好的域名,该特定的域名配置了别名或多个IP地址,该特定域名不需要能够保证访问,只要能够通过DNS解析获得结果即可。
例如,用户设备选取一个特定的域名,选择这个特定的域名进行解析的作用是为了减少误报,排除某些运营商的DNS服务器未开启别名或多个IP地址这种情况。例如,配置域名为WWW.xxx.com,该域名配置了别名www.XX.com和IP地址a.a.a.a。用户设向该特定的域名发起第二DNS请求。
在一些实施例中,在步骤S13中,若所述DNS响应信息中包含多IP或别名,所述用户设备确定当前网络中未存在DNS劫持。例如,用户设备选取目标网站,向DNS服务器发送基于目标网站的DNS请求,其中,所述目标网站为配置别名或多个IP地址的大型主流网站,用户设备接收DNS服务器返回的DNS响应信息,若DNS响应信息中包含所述目标网站的别名或多个IP地址,则确认当前网络中未存在DNS劫持的风险。
例如,用户手持用户设备,用户设备选取目标网站www.bbb.com,其中,该目标网站配置了别名或多个IP地址,并向DNS服务器发送关于目标网站www.bbb.com的第一DNS请求,其中该DNS服务器为通过DHCP获取的DNS服务器地址,此时的DNS服务器地址为192.168.0.1,用户设备向地址为192.168.0.1的DNS服务器发送关于目标网站www.bbb.com的第一DNS请求,请求关于目标网站的IP地址,随后地址为192.168.0.1的DNS服务器返回相应的DNS响应信息至用户设备,其中,该响应信息包含域名www.xxx.com以及IP地址xx.xx.xx.xx,由于该目标网站配置了别名或多个IP地址,用户设备基于该响应信息确定当前网络中不存在DNS劫持的风险。
在一些实施例中,在步骤S13中,若所述DNS响应信息中包含多IP或别名,用户设备选取新的目标网站进行DNS劫持检测;若所述目标网站均已检测完成,确定所述用户设备的当前网络中未存在DNS劫持。例如,用户设备选取目标网站,向DNS服务器发送基于目标网站的DNS请求,其中,所述目标网站为配置别名或多个IP地址的大型主流网站,用户设备接收DNS服务器返回的DNS响应信息,若DNS响应信息中包含所述目标网站的别名或多个IP地址,用户设备确认当前网站未存在DNS劫持的风险,继续选择目标网站中的下一个进行检测,直至所有目标网站都被检测完毕,目标网站的DNS响应信息中包含所述目标网站的别名或多个IP地址,所述用户设备确定当前网络中未存在DNS劫持。
例如,用户手持用户设备,用户设备选取目标网站www.bbb.com,其中,该目标网站配置了别名或多个IP地址,并向DNS服务器发送关于目标网站www.bbb.com的第一DNS请求,其中该DNS服务器为通过DHCP获取的DNS服务器地址,此时的DNS服务器地址为192.168.0.1,用户设备向地址为192.168.0.1的DNS服务器发送关于目标网站www.bbb.com的第一DNS请求,请求关于目标网站的IP地址,随后地址为192.168.0.1的DNS服务器返回相应的DNS响应信息至用户设备,其中,该响应信息包含域名www.xxx.com以及IP地址xx.xx.xx.xx,由于该目标网站配置了别名或多个IP地址,用户设备确认该目标网站未受到DNS劫持,继续选择目标网站www.sss.com,其中,该目标网站配置了别名或多个IP地址,用户设备向地址为192.168.0.1的DNS服务器发送关于目标网站www.sss.com的第一DNS请求,请求关于目标网站的IP地址,随后地址为192.168.0.1的DNS服务器返回相应的DNS响应信息至用户设备,其中,该响应信息包含域名www.ss.com以及IP地址xx.xx.x.xx,用户设备确认该目标网站未受到DNS劫持,依次类推,直至将目标网站选取完毕确定目标网站均未受到DNS劫持,用户设备确定当前网络中未存在DNS劫持。
在一些实施例中,所述DNS服务器是所述用户设备经DHCP获得。例如,DHCP(Dynamic Host Configuration Protocol,动态主机分配协议)协议通过DHCP服务器会自动分配DNS服务器地址。
例如,若网络支持DHCP,则DHCP服务器会为网络中的计算机自动分配IP与DNS。
在一些实施例中,若所述用户设备的当前网络中存在DNS劫持,断开所述用户设备的当前网络连接和/或呈现DNS劫持提示信息。例如,用户设备选取目标网站,向DNS服务器发送基于目标网站的DNS请求,其中,所述目标网站为配置别名或多个IP地址的大型主流网站,用户设备接收DNS服务器返回的DNS响应信息,若DNS响应信息中未包含所述目标网站的别名或多个IP地址,则确认当前网络中存在DNS劫持的风险。用户设备判断遭受到DNS劫持后即刻通知用户相关的危险性,用户持有用户设备断开当前网络连接。
例如,用户手持用户设备,用户设备选取目标网站www.bbb.com,其中,该目标网站配置了别名或多个IP地址,并向DNS服务器发送关于目标网站www.bbb.com的第一DNS请求,其中该DNS服务器为通过DHCP获取的DNS服务器地址,此时的该DNS服务器地址为192.168.0.1,用户设备向地址为192.168.0.1的DNS服务器发送关于目标网站www.bbb.com的第一DNS请求,请求关于目标网站的IP地址,随后地址为192.168.0.1的DNS服务器返回相应的DNS响应信息至用户设备,其中,该响应信息仅仅只有一个IP地址192.168.0.2,用户设备确认该DNS服务器配置工具参数时配置了单IP,由于该目标网站配置了别名或多个IP地址,用户设备基于该响应信息确定当前网络中存在DNS劫持的风险。用户设备的屏幕上显示例如“DNS劫持!!”的信息,用户自行决定对应DNS劫持的应对措施,例如,用户使用用户设备断开当前网络,并重新扫描获取周边其他可用的有线或无线接入点。
本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机代码,当所述计算机代码被执行时,如前任一项所述的方法被执行。
本申请还提供了一种计算机程序产品,当所述计算机程序产品被计算机设备执行时,如前任一项所述的方法被执行。
本申请还提供了一种计算机设备,所述计算机设备包括:
一个或多个处理器;
存储器,用于存储一个或多个计算机程序;
当所述一个或多个计算机程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如前任一项所述的方法。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本申请的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。本领域技术人员应能理解,计算机程序指令在计算机可读介质中的存在形式包括但不限于源文件、可执行文件、安装包文件等,相应地,计算机程序指令被计算机执行的方式包括但不限于:该计算机直接执行该指令,或者该计算机编译该指令后再执行对应的编译后程序,或者该计算机读取并执行该指令,或者该计算机读取并安装该指令后再执行对应的安装后程序。在此,计算机可读介质可以是可供计算机访问的任意可用的计算机可读存储介质或通信介质。
通信介质包括藉此包含例如计算机可读指令、数据结构、程序模块或其他数据的通信信号被从一个系统传送到另一系统的介质。通信介质可包括有导的传输介质(诸如电缆和线(例如,光纤、同轴等))和能传播能量波的无线(未有导的传输)介质,诸如声音、电磁、RF、微波和红外。计算机可读指令、数据结构、程序模块或其他数据可被体现为例如无线介质(诸如载波或诸如被体现为扩展频谱技术的一部分的类似机制)中的已调制数据信号。术语“已调制数据信号”指的是其一个或多个特征以在信号中编码信息的方式被更改或设定的信号。调制可以是模拟的、数字的或混合调制技术。
作为示例而非限制,计算机可读存储介质可包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据的信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动的介质。例如,计算机可读存储介质包括,但不限于,易失性存储器,诸如随机存储器(RAM,DRAM,SRAM);以及非易失性存储器,诸如闪存、各种只读存储器(ROM,PROM,EPROM,EEPROM)、磁性和铁磁/铁电存储器(MRAM,FeRAM);以及磁性和光学存储设备(硬盘、磁带、CD、DVD);或其它现在已知的介质或今后开发的能够存储供计算机系统使用的计算机可读信息/数据。
在此,根据本申请的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本申请的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (12)
1.一种用于通过用户设备检测DNS劫持的方法,其中,该方法包括:
向DNS服务器发送关于目标网站的第一DNS请求,其中,所述目标网站存在别名或多个IP地址;
接收所述DNS服务器基于所述第一DNS请求返回的DNS响应信息;
根据所述DNS响应信息中是否包括所述目标网站的别名或多个IP地址,确定所述用户设备的当前网络中是否存在DNS劫持。
2.根据权利要求1所述的方法,其中,所述一种用于通过用户设备检测DNS劫持的方法与设备,包括:
若所述用户设备接收到的所述DNS响应信息中未包含多IP和别名,确定所述用户设备的当前网络中存在DNS劫持。
3.根据权利要求1或2所述的方法,其中,所述一种用于通过用户设备检测DNS劫持的方法与设备,包括:
若所述用户设备接收到的所述DNS响应信息中未包含多IP和别名,向所述DNS服务器发送关于目标域名的第二DNS请求;
接收所述DNS服务器基于所述第二DNS请求返回的DNS解析信息;
根据所述DNS解析信息是否包括所述目标域名的别名或多个IP地址,确定所述用户设备的当前网络中是否存在DNS劫持。
4.根据权利要求3所述的方法,其中,所述根据所述DNS解析信息是否包括所述目标域名的别名或多个IP地址,确定所述用户设备的当前网络中是否存在DNS劫持,包括:
若所述DNS解析信息包括所述目标域名的别名或多个IP地址,确定所述用户设备的当前网络中存在DNS劫持。
5.根据权利要求3或4所述的方法,其中,所述根据所述DNS解析信息是否包括所述目标域名的别名或多个IP地址,确定所述用户设备的当前网络中是否存在DNS劫持,包括:
若所述DNS解析信息未包括所述目标域名的别名和多个IP地址,确定所述用户设备的当前网络中未存在DNS劫持。
6.根据权利要求3至5中任一项所述的方法,其中,所述目标域名配置有别名或多个IP地址。
7.根据权利要求1至6中任一项所述的方法,其中,所述根据所述DNS响应信息中是否包括所述目标网站的别名或多个IP地址,确定所述用户设备的当前网络中是否存在DNS劫持,包括:
若所述DNS响应信息中包含多IP或别名,确定所述用户设备的当前网络中未存在DNS劫持。
8.根据权利要求7所述的方法,其中,所述根据所述DNS响应信息中是否包括所述目标网站的别名或多个IP地址,确定所述用户设备的当前网络中是否存在DNS劫持,包括:
若所述DNS响应信息中包含多IP或别名,选取新的目标网站进行DNS劫持检测;若所述目标网站均已检测完成,确定所述用户设备的当前网络中未存在DNS劫持。
9.根据权利要求1至8中任一项所述的方法,其中,所述DNS服务器是所述用户设备经DHCP获得。
10.根据权利要求1至9中任一项所述的方法,其中,所述方法还包括:
若所述用户设备的当前网络中存在DNS劫持,断开所述用户设备的当前网络连接和/或呈现DNS劫持提示信息。
11.一种用于通过用户设备检测无线局域网中DNS劫持的设备,其中,该设备包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行如权利要求1至10中任一项所述方法的操作。
12.一种包括指令的计算机可读介质,所述指令在被执行时使得系统进行如权利要求1至10中任一项所述方法的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810551759.7A CN108848076B (zh) | 2018-05-31 | 2018-05-31 | 一种用于通过用户设备检测dns劫持的方法与设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810551759.7A CN108848076B (zh) | 2018-05-31 | 2018-05-31 | 一种用于通过用户设备检测dns劫持的方法与设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108848076A true CN108848076A (zh) | 2018-11-20 |
| CN108848076B CN108848076B (zh) | 2020-09-25 |
Family
ID=64210341
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810551759.7A Active CN108848076B (zh) | 2018-05-31 | 2018-05-31 | 一种用于通过用户设备检测dns劫持的方法与设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108848076B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114070599A (zh) * | 2021-11-11 | 2022-02-18 | 北京顶象技术有限公司 | 一种用户端不安全设备的识别方法及装置 |
| CN115361358A (zh) * | 2022-08-19 | 2022-11-18 | 山石网科通信技术股份有限公司 | Ip的提取方法、装置、存储介质及电子装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561121A (zh) * | 2013-10-11 | 2014-02-05 | 北京奇虎科技有限公司 | 一种dns的解析方法、装置和浏览器 |
| US9560072B1 (en) * | 2013-10-31 | 2017-01-31 | Palo Alto Networks, Inc. | Discovering and selecting candidates for sinkholing of network domains |
| CN106790077A (zh) * | 2016-12-21 | 2017-05-31 | 北京奇虎科技有限公司 | 一种dns全流量劫持风险的检测方法和装置 |
| CN107040546A (zh) * | 2017-05-26 | 2017-08-11 | 浙江鹏信信息科技股份有限公司 | 一种域名劫持检测与联动处置方法及系统 |
| CN107295116A (zh) * | 2017-05-11 | 2017-10-24 | 上海红阵信息科技有限公司 | 一种域名解析方法、装置及系统 |
| CN107454037A (zh) * | 2016-05-30 | 2017-12-08 | 深圳市深信服电子科技有限公司 | 网络攻击的识别方法和系统 |
-
2018
- 2018-05-31 CN CN201810551759.7A patent/CN108848076B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561121A (zh) * | 2013-10-11 | 2014-02-05 | 北京奇虎科技有限公司 | 一种dns的解析方法、装置和浏览器 |
| US9560072B1 (en) * | 2013-10-31 | 2017-01-31 | Palo Alto Networks, Inc. | Discovering and selecting candidates for sinkholing of network domains |
| CN107454037A (zh) * | 2016-05-30 | 2017-12-08 | 深圳市深信服电子科技有限公司 | 网络攻击的识别方法和系统 |
| CN106790077A (zh) * | 2016-12-21 | 2017-05-31 | 北京奇虎科技有限公司 | 一种dns全流量劫持风险的检测方法和装置 |
| CN107295116A (zh) * | 2017-05-11 | 2017-10-24 | 上海红阵信息科技有限公司 | 一种域名解析方法、装置及系统 |
| CN107040546A (zh) * | 2017-05-26 | 2017-08-11 | 浙江鹏信信息科技股份有限公司 | 一种域名劫持检测与联动处置方法及系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114070599A (zh) * | 2021-11-11 | 2022-02-18 | 北京顶象技术有限公司 | 一种用户端不安全设备的识别方法及装置 |
| CN115361358A (zh) * | 2022-08-19 | 2022-11-18 | 山石网科通信技术股份有限公司 | Ip的提取方法、装置、存储介质及电子装置 |
| CN115361358B (zh) * | 2022-08-19 | 2024-02-06 | 山石网科通信技术股份有限公司 | Ip的提取方法、装置、存储介质及电子装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108848076B (zh) | 2020-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
| US9215242B2 (en) | Methods and systems for preventing unauthorized acquisition of user information | |
| EP2755157B1 (en) | Detecting undesirable content | |
| JP6603726B2 (ja) | アイデンティティ認証のための方法、装置およびシステム | |
| US8776196B1 (en) | Systems and methods for automatically detecting and preventing phishing attacks | |
| US10360402B2 (en) | Intercepting sensitive data using hashed candidates | |
| US20100031362A1 (en) | System and method for identification and blocking of malicious use of servers | |
| CN103607385A (zh) | 基于浏览器进行安全检测的方法和装置 | |
| KR20090019451A (ko) | 피싱 및 파밍 알림 방법 및 장치 | |
| US20160337378A1 (en) | Method and apparatus for detecting security of online shopping environment | |
| CN109922062B (zh) | 源代码泄露监控方法及相关设备 | |
| US20130145462A1 (en) | Phishing Processing Method and System and Computer Readable Storage Medium Applying the Method | |
| JP6483819B2 (ja) | ドメイン名システムのリソース枯渇攻撃を識別する装置及び方法 | |
| CN108306739B (zh) | 一种用于检测用户身份信息的方法、服务器、计算机可读存储介质及计算机设备 | |
| US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
| CN108430063B (zh) | 一种用于监测无线局域网中arp欺骗的方法与设备 | |
| JP2019519849A (ja) | サーバへの攻撃を防ぐ方法及びデバイス | |
| CN110619022B (zh) | 基于区块链网络的节点检测方法、装置、设备及存储介质 | |
| KR101541244B1 (ko) | Pc 및 공유기 등의 dns 변조를 통한 파밍 공격 방지 방법 및 시스템 | |
| CN108848076A (zh) | 一种用于通过用户设备检测dns劫持的方法与设备 | |
| US11368430B2 (en) | Domain name server based validation of network connections | |
| CN108055299B (zh) | Portal页面推送方法、网络接入服务器及Portal认证系统 | |
| KR101494329B1 (ko) | 악성 프로세스 검출을 위한 시스템 및 방법 | |
| US9148444B2 (en) | Rotation of web site content to prevent e-mail spam/phishing attacks | |
| CN106912064B (zh) | 无线网络的网络配置检测修复方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |