CN109729058B - 一种流量劫持分析方法和装置 - Google Patents
一种流量劫持分析方法和装置 Download PDFInfo
- Publication number
- CN109729058B CN109729058B CN201711054425.0A CN201711054425A CN109729058B CN 109729058 B CN109729058 B CN 109729058B CN 201711054425 A CN201711054425 A CN 201711054425A CN 109729058 B CN109729058 B CN 109729058B
- Authority
- CN
- China
- Prior art keywords
- hijacking
- traffic
- operator
- dns
- analyzed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种流量劫持分析方法和装置。涉及计算机互联网领域;解决了现有检测手段问题发现不及时、分析和解决依赖人工操作的问题。该方法包括:获取存在流量劫持的访问信息;分析所述访问信息,判定发生流量劫持的环节;根据对发生流量劫持的环节的判定结果,确定发生流量劫持的原因。本发明提供的技术方案适用于网站运营流量分析,实现了系统自动化的精确流量劫持检测分析。
Description
技术领域
本发明涉及计算机互联网领域,尤其涉及一种流量劫持分析方法和装置。
背景技术
当前网站运营过程中,流量劫持已经成为运营人员最关注的问题之一。流量劫持常被应用于小运营商(例如移动、长宽、广电等等)避免跨网访问,节约跨网结算费用。会将跨网络区域、跨ISP的访问,通过域名或者HTTP重定向的方式,劫持到运营商本地缓存服务器。由于运营商劫持对某些特殊端口的服务支持会有问题,且劫持的内容更新并不受网站运营方控制,劫持对网站运营会带来风险和危害,所以网站运营方会有避免流量劫持,以及发现劫持后要很快消除劫持的现象的需求。
现有技术会通过第三方检测、客户投诉、错误日志来发现流量劫持,问题发现实时性、全面性差,且需要大量的CDN厂商配合。且现有技术在确认被劫持后,需要手工判定劫持的原因和解决方案,处理效率低,对处理人员要求高,需要能够有取证和处理经验才能处理。
发明内容
本发明旨在解决上面描述的问题。
根据本发明的第一方面,一种流量劫持分析方法,包括:
获取存在流量劫持的访问信息;
分析所述访问信息,判定发生流量劫持的环节;
根据对发生流量劫持的环节的判定结果,确定发生流量劫持的原因。
优选的,获取存在流量劫持的访问信息的步骤包括:
获取超文本传输协议HTTP请求的目标IP,在所述目标IP为运营商流量劫持的缓存服务器IP或所述目标IP不在网站和内容分发网络CDN厂商缓存服务器IP的范围内时,判定存在流量劫持;
根据存在流量劫持的HTTP请求生成一条待分析信息,存储至流量劫持待分析列表。
优选的,获取HTTP请求的目标IP的步骤之前,还包括:
提交CDN厂商加速域名以及缓存服务器白名单,使用各个网络区域的探测代理agent探测相同的多个测试URL,且所述多个测试URL分别绑定各个CDN厂商的加速域名。
优选的,获取存在流量劫持的访问信息的步骤还包括:
在无法获取存在流量劫持的HTTP请求的运营商的域名系统DNS IP时,获取所述流量劫持待分析列表中保存的HTTP请求的源IP所在网络区域内全部DNS IP,将所述全部DNSIP更新到所述流量劫持待分析列表。
优选的,分析所述访问信息,判定发生流量劫持的环节的步骤包括:
获取一条所述流量劫持待分析列表中的待分析信息;
在所述待分析信息对应的HTTP请求的源IP和运营商DNS IP处于不同网络区域时,判定劫持环节为“本地域名系统LDNS设置异常”;
在所述待分析信息对应的HTTP请求的源IP和运营商DNS IP不处于相同网络区域,且使用所述所述运营商DNS IP进行解析得到的目标IP为运营商流量劫持的缓存服务器IP或者目标IP不在网站和CDN厂商缓存服务器白名单范围内时,判定劫持环节为“域名劫持”;
在所述待分析信息对应的HTTP请求的源IP和运营商DNS IP不处于相同网络区域,且使用所述所述运营商DNS IP进行解析得到的目标IP不是运营商流量劫持的缓存服务器IP或者目标IP在网站和CDN厂商缓存服务器白名单范围内,且使用所述源IP同一网络区域内的运营商DNS服务器访问所述待分析信息对应的HTTP请求的访问URL得到的目标IP为运营商流量劫持的缓存服务器IP时,判定劫持环节为“HTTP劫持”;
在所述待分析信息对应的HTTP请求的源IP和运营商DNS IP不处于相同网络区域,且使用所述所述运营商DNS IP进行解析得到的目标IP不是运营商流量劫持的缓存服务器IP或者目标IP在网站和CDN厂商缓存服务器白名单范围内,且使用所述源IP同一网络区域内的运营商DNS服务器访问所述待分析信息对应的HTTP请求的访问URL得到的目标IP不是运营商流量劫持的缓存服务器IP时,判定“无劫持现象”。
优选的,根据对发生流量劫持的环节的判定结果,确定发生流量劫持的原因的步骤包括:
在劫持环节为“LDNS设置异常”时,生成如下劫持原因:
源IP,源IP网络区域,运营商DNS,运营商DNS网络区域;
在劫持环节为“域名劫持”,且运营商DNS服务器的出口IP存在跨网络区域forward时,判定劫持原因为“LDNS跨网forward”;
在劫持环节为“域名劫持”,且运营商DNS服务器的出口IP不存在跨网络区域forward,且通过使用模拟源IP向权威DNS获取的解析结果确认的源IP没有匹配到指定网络区域时,判定劫持原因为“IP库不准确”;
在劫持环节为“域名劫持”,且运营商DNS服务器的出口IP不存在跨网络区域forward,且通过使用模拟源IP向权威DNS获取的解析结果确认的源IP匹配到指定网络区域,且向所述权威DNS获取指定网络区域的解析结果不是同网络区域缓存服务器服务时,判定劫持原因为“跨区域覆盖”;
在劫持环节为“域名劫持”,且运营商DNS服务器的出口IP不存在跨网络区域forward,且通过使用模拟源IP向权威DNS获取的解析结果确认的源IP匹配到指定网络区域,且向所述权威DNS获取指定网络区域的解析结果为同网络区域缓存服务器服务,且将客户域名的别名记录cname指定给备份加速域名后劫持仍然存在时,判定劫持原因为“客户域名劫持”;
在劫持环节为“域名劫持”,且运营商DNS服务器的出口IP不存在跨网络区域forward,且通过使用模拟源IP向权威DNS获取的解析结果确认的源IP匹配到指定网络区域,且向所述权威DNS获取指定网络区域的解析结果为同网络区域缓存服务器服务,且将客户域名的别名记录cname指定给备份加速域名后劫持消失时,判定劫持原因为“加速域名劫持”;
在劫持环节为“HTTP劫持”,且向所述权威DNS获取指定网络区域的解析结果不是同网络区域缓存服务器服务时,判定劫持原因为“跨区域覆盖”;
在劫持环节为“HTTP劫持”,且向所述权威DNS获取指定网络区域的解析结果为同网络区域缓存服务器服务时,判定劫持原因为“URL劫持”。
优选的,根据对发生流量劫持的环节的判定结果,确定发生流量劫持的原因的步骤之后,还包括:
在劫持环节为“LDNS设置异常”时,忽略相应的流量劫持;
在劫持原因为“LDNS跨网forward”时,通知运营商将相应的DNS服务器IP加入白名单,并消除forward;
在劫持原因为“IP库不准确”时,自运营商处获取网络区域IP,对IP库进行更新;
在劫持环节为“域名劫持”,且劫持原因为“跨区域覆盖”时,对涉及的网络区域使用同网络区域服务器覆盖;
在劫持原因为“客户域名劫持”时,指示运营商消除劫持;
在劫持原因为“加速域名劫持”时,指示运营商消除劫持;
在劫持环节为“HTTP劫持”,且劫持原因为“跨区域覆盖”时,对涉及的网络区域使用同网络区域服务器覆盖;
在劫持原因为“URL劫持”时,指示运营商消除劫持;
在对劫持原因分析的结果为“无劫持现象”时,持续对流量劫持进行监测。
根据本发明的另一方面,提供了一种流量劫持分析装置,包括:
流量劫持探测模块,用于获取存在流量劫持的访问信息;
劫持环节分析模块,用于分析所述访问信息,判定发生流量劫持的环节;
劫持原因分析模块,用于根据对发生流量劫持的环节的判定结果,确定发生流量劫持的原因。
优选的,所述流量劫持探测模块包括:
异常检测单元,用于获取超文本传输协议HTTP请求的目标IP,在所述目标IP为运营商流量劫持的缓存服务器IP或所述目标IP不在网站和内容分发网络CDN厂商缓存服务器IP的范围内时,判定存在流量劫持;
记录生成单元,用于根据存在流量劫持的HTTP请求生成一条待分析信息,存储至流量劫持待分析列表。
优选的,所述流量劫持探测模块还包括:
请求接收单元,用于接收提交的CDN厂商加速域名以及缓存服务器白名单,使用各个网络区域的探测代理agent探测相同的多个测试URL,且所述多个测试URL分别绑定各个CDN厂商的加速域名。
优选的,所述流量劫持探测模块还包括:
二级检测单元,用于在无法获取存在流量劫持的HTTP请求的运营商的域名系统DNS IP时,获取所述流量劫持待分析列表中保存的HTTP请求的源IP所在网络区域内全部DNS IP,将所述全部DNS IP更新到所述流量劫持待分析列表。
本发明提供了一种流量劫持分析方法和装置,获取存在流量劫持的访问信息,分析所述访问信息,判定发生流量劫持的环节,根据对发生流量劫持的环节的判定结果,确定发生流量劫持的原因。实现了系统自动化的精确流量劫持检测,解决了现有检测手段问题发现不及时、分析和解决依赖人工操作的问题。
参照附图来阅读对于示例性实施例的以下描述,本发明的其他特性特征和优点将变得清晰。
附图说明
并入到说明书中并且构成说明书的一部分的附图示出了本发明的实施例,并且与描述一起用于解释本发明的原理。在这些附图中,类似的附图标记用于表示类似的要素。下面描述中的附图是本发明的一些实施例,而不是全部实施例。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,可以根据这些附图获得其他的附图。
图1示例性地示出了本发明的实施例一提供的一种流量劫持分析方法流程;
图2示例性地示出了本发明的实施例二提供的一种流量劫持分析方法流程;
图3示例性地示出了本发明的实施例三提供的一种流量劫持分析装置的结构;
图4示例性地示图3中的流量劫持探测模块301结构。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
现有技术会通过第三方检测、客户投诉、错误日志来发现流量劫持,问题发现实时性、全面性差,且需要大量的CDN厂商配合。且现有技术在确认被劫持后,需要手工判定劫持的原因和解决方案,处理效率低,对处理人员要求高,需要能够有取证和处理经验才能处理。
为了解决上述问题,本发明的实施例提供了一种流量劫持分析方法和装置,在判定满足进行流量劫持分析的条件后,对劫持的环节、劫持的原因进行分析并记录取证,最终给出应对此劫持问题的解决方案。实现了系统自动化的精确流量劫持检测分析。
首先结合附图,对本发明的实施例一进行说明。
本发明实施例提供了一种流量劫持分析方法,使用该方法完成对流量劫持的分析检测的流程如图1所示,包括:
步骤101、判定满足进行流量劫持分析的条件;
具体的,判定发生流量劫持或者需要对多家CDN在某一网络区域劫持风险评估时,启动流量劫持分析。
本步骤中,判定满足进行流量劫持分析的条件的手段具体包括:
A.获取HTTP请求的目标IP,如果目标IP为运营商流量劫持的缓存服务器IP或者目标IP不在网站和CDN厂商缓存服务器IP的范围内,则判定此访问存在流量劫持,获取访问的源IP、目的IP、访问URL、运营商DNS IP(DNS IP可以为空)生成一条待分析信息,存储到流量劫持待分析列表。
实例:
目标IP获取方式包括
第三方探测、客户端访问日志、CDN访问日志、人工测试等等
存在的访问映射关系如表1所示:
表1
运营商流量劫持的缓存服务器IP、网站和CDN厂商缓存服务器白名单
类型 IP
黑名单 2.2.2.2
白名单 4.4.4.1、4.4.4.2
目标IP 2.2.2.2为运营商流量劫持的缓存服务器IP或目标IP不在网站和CDN厂商缓存服务器IP的范围内(缓存服务器IP为静态列表),则认定此访问存在劫持,将信息存储到流量劫持待分析列表。待分析信息具体如下:
1.1.1.1 2.2.2.2 HTTP://www.a.com/index.html 3.3.3.3
B.提交CDN厂商加速域名以及缓存服务器白名单,使用各个网络区域的探测agent探测相同测试URL,且测试URL分别绑定各个CDN厂商的加速域名,进行探测获取HTTP请求的目标IP,如果目标IP为运营商流量劫持的缓存服务器IP或者目标IP不在网站和CDN厂商缓存服务器白名单范围内,则判定此访问存在流量劫持,获取访问的源IP、目标IP、访问URL、运营商DNS IP(DNS IP可以为空),存储到流量劫持待分析列表。
实例:
CDN厂商加速域名列表:
CDN厂商A www.a.com.cdna.com
CDN厂商B www.a.com.cdnb.com
探测任务静态列表:
探测URL:HTTP://www.a.com/index.html
区域运营商DNS列表:
网络区域1:3.3.3.3、3.3.3.4
网络区域2:3.3.2.1 3.3.2.2
运营商流量劫持的缓存服务器IP、网站和CDN厂商缓存服务器白名单:
类型IP
黑名单2.2.2.2
白名单4.4.4.1、4.4.4.2
探测结果为运营商流量劫持的缓存服务器IP或目标IP不在网站和CDN厂商缓存服务器IP的范围内(缓存服务器IP为静态列表),则认定此访问存在劫持,将信息存储到流量劫持待分析列表。
探测结果为:区域1:2.2.2.2;区域2:4.4.4.1
记录区域1存在劫持存储到流量劫持待分析列表:
1.1.1.1 2.2.2.2 HTTP://www.a.com/index.html 3.3.3.3
1.1.1.1 2.2.2.2 HTTP://www.a.com/index.html 3.3.3.4
特别的,在上述A、B两种方式检测得到的存在流量劫持的HTTP请求的运营商DNSIP为空(即无法获取存在流量劫持的HTTP请求的运营商的域名系统DNS IP)时,则分析流量劫持待分析列表中源IP所在网络区域,从网络区域DNS列表中获取此网络区域所有DNS IP,作为运营商DNS IP,并更新到存储到流量劫持待分析列表,如果DNS IP有多个,分多行存储。
步骤102、分析流量劫持的原因、留取劫持证据并提供解决方案;
本步骤中,具体的从流量劫持待分析列表中获取待分析信息,确认劫持的环节、劫持的原因、并记录劫持证据、输出解决方案。
本步骤具体流程如下:
A.获取一条流量劫持待分析列表中的待分析信息。
B.判定流量劫持的环节,判定源IP和LDNS IP是否为同一网络区域,如果为不同网络区域,则认定劫持环节为“LDNS设置异常”,否则继续进行判定;
使用运营商DNS IP进行解析,查看解析结果是否为运营商流量劫持的缓存服务器IP或者目标IP不在网站和CDN厂商缓存服务器白名单范围内。如果是,则判定劫持环节为“域名劫持”。否则继续判定;
使用与源IP同一网络区域内的服务器,运营商DNS,访问异常URL,确认访问目标是否为劫持的IP,如果是则认定为“HTTP劫持”,否则认定”无劫持现象”。并将确认的劫持环节写入“流量劫持待分析列表”,写在新增的一列
实例:
1.1.1.1 2.2.2.2 HTTP://www.a.com/index.html 3.3.3.3域名劫持
C.判定流量劫持的原因:
如果劫持环节为“LDNS设置异常”,则劫持原因为:源IP源IP网络区域运营商DNS运营商DNS网络区域
如果劫持环节为“域名劫持””,判定运营商DNS的出口IP是否存在跨网络区域forward,如果存在跨网络区域forward,则劫持原因为“LDNS跨网forward”,并继续下一步判定;如果不存在跨网络区域forward,则继续下一步判定。
使用edns0-client-subnet模拟源IP向权威DNS获取解析结果,确认源IP是否匹配到指定网络区域,如果没有匹配,则劫持原因为“IP库不准确”,并继续下一步判定;如果是,则继续下一步判定。
向权威DNS获取指定网络区域的解析结果,并判定解析结果是否为同网络区域缓存服务器服务,如果不是同网络区域缓存服务器服务,则劫持原因为“跨区域覆盖”,并继续下一步判定;如果是,则继续下一步判定。
将客户域名cname给备份加速域名,确认劫持是否仍然存在;如果仍然存在则劫持原因为“客户域名劫持”,并继续下一步判定;如果不存在,则劫持原因为“加速域名劫持”。
如果劫持环节为“HTTP劫持”,向权威DNS获取指定网络区域的解析结果,并判定解析结果是否为同网络区域缓存服务器服务,如果不是同网络区域缓存服务器服务,则劫持原因为“跨区域覆盖”;如果是则判定为“URL劫持”。
D.根据劫持环节和劫持原因,确认解析方案和收集劫持证据,形成劫持告警信息。
根据劫持环节和劫持原因,确认解析方案和收集劫持证据,具体如表2所示。
表2
将解析信息、解析方案和收集劫持证据合并形成劫持告警信息。解析信息为流量劫持待分析列表中对应的数据,以及解析信息、解析方案、劫持证据组成劫持告警信息。
步骤103、发送劫持告警信息给运营人员。
下面结合附图,对本发明的实施例二进行说明。
本发明实施例提供了一种流量劫持分析方法,使用该方法完成流量劫持检测分析的流程如图2所示,包括:
步骤201、获取存在流量劫持的访问信息;
本步骤具体包括:
1、获取HTTP请求的目标IP,在所述目标IP为运营商流量劫持的缓存服务器IP或所述目标IP不在网站和CDN厂商缓存服务器IP的范围内时,判定存在流量劫持;
2、根据存在流量劫持的HTTP请求生成一条待分析信息,存储至流量劫持待分析列表。
在获取HTTP请求时,可对一段时间内的全部HTTP请求均进行获取分析,也可以采集部分,具体根据实际监测需要确定,本发明实施例对此不作限制。
获取HTTP请求的操作可以根据预置的周期启动;也可以应请求启动,具体的,管理员等身份提交CDN厂商加速域名以及缓存服务器白名单,使用各个网络区域的探测代理agent探测相同的多个测试URL,且所述多个测试URL分别绑定各个CDN厂商的加速域名,以此启动对探测agent发出的HTTP请求的获取。
对于流量劫持待分析列表中的待分析信息,在待分析信息的运营商DNS IP内容为空(即无法获取存在流量劫持的HTTP请求的运营商的域名系统DNS IP)时,获取所述流量劫持待分析列表中保存的HTTP请求的源IP所在网络区域内全部DNS IP,将所述全部DNS IP更新到所述流量劫持待分析列表。
步骤202、分析所述访问信息,判定发生流量劫持的环节;
本步骤中,具体的:
1、获取一条所述流量劫持待分析列表中的待分析信息;
2、在所述待分析信息对应的HTTP请求的源IP和运营商DNS IP处于不同网络区域时,判定劫持环节为“本地域名系统LDNS设置异常”;
在所述待分析信息对应的HTTP请求的源IP和运营商DNS IP不处于相同网络区域,且使用所述所述运营商DNS IP进行解析得到的目标IP为运营商流量劫持的缓存服务器IP或者目标IP不在网站和CDN厂商缓存服务器白名单范围内时,判定劫持环节为“域名劫持”;
在所述待分析信息对应的HTTP请求的源IP和运营商DNS IP不处于相同网络区域,且使用所述所述运营商DNS IP进行解析得到的目标IP不是运营商流量劫持的缓存服务器IP或者目标IP在网站和CDN厂商缓存服务器白名单范围内,且使用所述源IP同一网络区域内的运营商DNS服务器访问所述待分析信息对应的HTTP请求的访问URL得到的目标IP为运营商流量劫持的缓存服务器IP时,判定劫持环节为“HTTP劫持”;
在所述待分析信息对应的HTTP请求的源IP和运营商DNS IP不处于相同网络区域,且使用所述所述运营商DNS IP进行解析得到的目标IP不是运营商流量劫持的缓存服务器IP或者目标IP在网站和CDN厂商缓存服务器白名单范围内,且使用所述源IP同一网络区域内的运营商DNS服务器访问所述待分析信息对应的HTTP请求的访问URL得到的目标IP不是运营商流量劫持的缓存服务器IP时,判定“无劫持现象”。
步骤203、根据对发生流量劫持的环节的判定结果,确定发生流量劫持的原因;
本步骤中,具体的:
在劫持环节为“LDNS设置异常”时,生成如下劫持原因:
源IP,源IP网络区域,运营商DNS,运营商DNS网络区域;
在劫持环节为“域名劫持”,且运营商DNS服务器的出口IP存在跨网络区域forward时,判定劫持原因为“LDNS跨网forward”;
在劫持环节为“域名劫持”,且运营商DNS服务器的出口IP不存在跨网络区域forward,且通过使用模拟源IP向权威DNS获取的解析结果确认的源IP没有匹配到指定网络区域时,判定劫持原因为“IP库不准确”;
在劫持环节为“域名劫持”,且运营商DNS服务器的出口IP不存在跨网络区域forward,且通过使用模拟源IP向权威DNS获取的解析结果确认的源IP匹配到指定网络区域,且向所述权威DNS获取指定网络区域的解析结果不是同网络区域缓存服务器服务时,判定劫持原因为“跨区域覆盖”;
在劫持环节为“域名劫持”,且运营商DNS服务器的出口IP不存在跨网络区域forward,且通过使用模拟源IP向权威DNS获取的解析结果确认的源IP匹配到指定网络区域,且向所述权威DNS获取指定网络区域的解析结果为同网络区域缓存服务器服务,且将客户域名的别名记录cname指定给备份加速域名后劫持仍然存在时,判定劫持原因为“客户域名劫持”;
在劫持环节为“域名劫持”,且运营商DNS服务器的出口IP不存在跨网络区域forward,且通过使用模拟源IP向权威DNS获取的解析结果确认的源IP匹配到指定网络区域,且向所述权威DNS获取指定网络区域的解析结果为同网络区域缓存服务器服务,且将客户域名的别名记录cname指定给备份加速域名后劫持消失时,判定劫持原因为“加速域名劫持”;
在劫持环节为“HTTP劫持”,且向所述权威DNS获取指定网络区域的解析结果不是同网络区域缓存服务器服务时,判定劫持原因为“跨区域覆盖”;
在劫持环节为“HTTP劫持”,且向所述权威DNS获取指定网络区域的解析结果为同网络区域缓存服务器服务时,判定劫持原因为“URL劫持”。
优选的,在步骤203确定了劫持原因后,还可进一步的给出相应的解决方案,具体的:
在劫持环节为“LDNS设置异常”时,忽略相应的流量劫持;
在劫持原因为“LDNS跨网forward”时,通知运营商将相应的DNS服务器IP加入白名单,并消除forward;
在劫持原因为“IP库不准确”时,自运营商处获取网络区域IP,对IP库进行更新;
在劫持环节为“域名劫持”,且劫持原因为“跨区域覆盖”时,对涉及的网络区域使用同网络区域服务器覆盖;
在劫持原因为“客户域名劫持”时,指示运营商消除劫持;
在劫持原因为“加速域名劫持”时,指示运营商消除劫持;
在劫持环节为“HTTP劫持”,且劫持原因为“跨区域覆盖”时,对涉及的网络区域使用同网络区域服务器覆盖;
在劫持原因为“URL劫持”时,指示运营商消除劫持;
在对劫持原因分析的结果为“无劫持现象”时,持续对流量劫持进行监测。
下面结合附图,对本发明的实施例三进行说明。
本发明实施例提供了一种流量劫持分析装置,该装置的结构如图3所示,包括:
流量劫持探测模块301,用于获取存在流量劫持的访问信息;
劫持环节分析模块302,用于分析所述访问信息,判定发生流量劫持的环节;
劫持原因分析模块303,用于根据对发生流量劫持的环节的判定结果,确定发生流量劫持的原因。
优选的,所述流量劫持探测模块301的结构如图4所示,包括:
异常检测单元401,用于获取超文本传输协议HTTP请求的目标IP,在所述目标IP为运营商流量劫持的缓存服务器IP或所述目标IP不在网站和内容分发网络CDN厂商缓存服务器IP的范围内时,判定存在流量劫持;
记录生成单元402,用于根据存在流量劫持的HTTP请求生成一条待分析信息,存储至流量劫持待分析列表。
优选的,所述流量劫持探测模块301还包括:
请求接收单元403,用于接收提交的CDN厂商加速域名以及缓存服务器白名单,使用各个网络区域的探测代理agent探测相同的多个测试URL,且所述多个测试URL分别绑定各个CDN厂商的加速域名。
优选的,所述流量劫持探测模块301还包括:
二级检测单元404,用于在无法获取存在流量劫持的HTTP请求的运营商的域名系统DNS IP时,获取所述流量劫持待分析列表中保存的HTTP请求的源IP所在网络区域内全部DNS IP,将所述全部DNS IP更新到所述流量劫持待分析列表。
本发明的实施例提供了一种流量劫持分析装置,能够与本发明的实施例提供的一种流量劫持分析方法相结合,获取存在流量劫持的访问信息,分析所述访问信息,判定发生流量劫持的环节,根据对发生流量劫持的环节的判定结果,确定发生流量劫持的原因。实现了系统自动化的精确流量劫持检测,解决了现有检测手段问题发现不及时、分析和解决依赖人工操作的问题。
上面描述的内容可以单独地或者以各种方式组合起来实施,而这些变型方式都在本发明的保护范围之内。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制。尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种流量劫持分析方法,其特征在于,包括:
获取存在流量劫持的访问信息;
分析所述访问信息,判定发生流量劫持的环节;
根据对发生流量劫持的环节的判定结果,确定发生流量劫持的原因;
其中,分析所述访问信息,判定发生流量劫持的环节的步骤包括:
获取一条所述流量劫持待分析列表中的待分析信息;
在所述待分析信息对应的HTTP请求的源IP和运营商DNS IP处于不同网络区域时,判定劫持环节为“本地域名系统LDNS设置异常”;
在所述待分析信息对应的HTTP请求的源IP和运营商DNS IP不处于相同网络区域,且使用所述运营商DNS IP进行解析得到的目标IP为运营商流量劫持的缓存服务器IP或者目标IP不在网站和CDN厂商缓存服务器白名单范围内时,判定劫持环节为“域名劫持”;
在所述待分析信息对应的HTTP请求的源IP和运营商DNS IP不处于相同网络区域,且使用所述运营商DNS IP进行解析得到的目标IP不是运营商流量劫持的缓存服务器IP或者目标IP在网站和CDN厂商缓存服务器白名单范围内,且使用所述源IP同一网络区域内的运营商DNS服务器访问所述待分析信息对应的HTTP请求的访问URL得到的目标IP为运营商流量劫持的缓存服务器IP时,判定劫持环节为“HTTP劫持”;
在所述待分析信息对应的HTTP请求的源IP和运营商DNS IP不处于相同网络区域,且使用所述运营商DNS IP进行解析得到的目标IP不是运营商流量劫持的缓存服务器IP或者目标IP在网站和CDN厂商缓存服务器白名单范围内,且使用所述源IP同一网络区域内的运营商DNS服务器访问所述待分析信息对应的HTTP请求的访问URL得到的目标IP不是运营商流量劫持的缓存服务器IP时,判定“无劫持现象”。
2.根据权利要求1所述的流量劫持分析方法,其特征在于,获取存在流量劫持的访问信息的步骤包括:
获取超文本传输协议HTTP请求的目标IP,在所述目标IP为运营商流量劫持的缓存服务器IP或所述目标IP不在网站和内容分发网络CDN厂商缓存服务器IP的范围内时,判定存在流量劫持;
根据存在流量劫持的HTTP请求生成一条待分析信息,存储至流量劫持待分析列表。
3.根据权利要求2所述的流量劫持分析方法,其特征在于,获取HTTP请求的目标IP的步骤之前,还包括:
提交CDN厂商加速域名以及缓存服务器白名单,使用各个网络区域的探测代理agent探测相同的多个测试URL,且所述多个测试URL分别绑定各个CDN厂商的加速域名。
4.根据权利要求2或3所述的流量劫持分析方法,其特征在于,获取存在流量劫持的访问信息的步骤还包括:
在无法获取存在流量劫持的HTTP请求的运营商的域名系统DNS IP时,获取所述流量劫持待分析列表中保存的HTTP请求的源IP所在网络区域内全部DNS IP,将所述全部DNS IP更新到所述流量劫持待分析列表。
5.根据权利要求1所述的流量劫持分析方法,其特征在于,根据对发生流量劫持的环节的判定结果,确定发生流量劫持的原因的步骤包括:
在劫持环节为“LDNS设置异常”时,生成如下劫持原因:
源IP,源IP网络区域,运营商DNS,运营商DNS网络区域;
在劫持环节为“域名劫持”,且运营商DNS服务器的出口IP存在跨网络区域forward时,判定劫持原因为“LDNS跨网forward”;
在劫持环节为“域名劫持”,且运营商DNS服务器的出口IP不存在跨网络区域forward,且通过使用模拟源IP向权威DNS获取的解析结果确认的源IP没有匹配到指定网络区域时,判定劫持原因为“IP库不准确”;
在劫持环节为“域名劫持”,且运营商DNS服务器的出口IP不存在跨网络区域forward,且通过使用模拟源IP向权威DNS获取的解析结果确认的源IP匹配到指定网络区域,且向所述权威DNS获取指定网络区域的解析结果不是同网络区域缓存服务器服务时,判定劫持原因为“跨区域覆盖”;
在劫持环节为“域名劫持”,且运营商DNS服务器的出口IP不存在跨网络区域forward,且通过使用模拟源IP向权威DNS获取的解析结果确认的源IP匹配到指定网络区域,且向所述权威DNS获取指定网络区域的解析结果为同网络区域缓存服务器服务,且将客户域名的别名记录cname指定给备份加速域名后劫持仍然存在时,判定劫持原因为“客户域名劫持”;
在劫持环节为“域名劫持”,且运营商DNS服务器的出口IP不存在跨网络区域forward,且通过使用模拟源IP向权威DNS获取的解析结果确认的源IP匹配到指定网络区域,且向所述权威DNS获取指定网络区域的解析结果为同网络区域缓存服务器服务,且将客户域名的别名记录cname指定给备份加速域名后劫持消失时,判定劫持原因为“加速域名劫持”;
在劫持环节为“HTTP劫持”,且向所述权威DNS获取指定网络区域的解析结果不是同网络区域缓存服务器服务时,判定劫持原因为“跨区域覆盖”;
在劫持环节为“HTTP劫持”,且向所述权威DNS获取指定网络区域的解析结果为同网络区域缓存服务器服务时,判定劫持原因为“URL劫持”。
6.根据权利要求5所述的流量劫持分析方法,其特征在于,根据对发生流量劫持的环节的判定结果,确定发生流量劫持的原因的步骤之后,还包括:
在劫持环节为“LDNS设置异常”时,忽略相应的流量劫持;
在劫持原因为“LDNS跨网forward”时,通知运营商将相应的DNS服务器IP加入白名单,并消除forward;
在劫持原因为“IP库不准确”时,自运营商处获取网络区域IP,对IP库进行更新;
在劫持环节为“域名劫持”,且劫持原因为“跨区域覆盖”时,对涉及的网络区域使用同网络区域服务器覆盖;
在劫持原因为“客户域名劫持”时,指示运营商消除劫持;
在劫持原因为“加速域名劫持”时,指示运营商消除劫持;
在劫持环节为“HTTP劫持”,且劫持原因为“跨区域覆盖”时,对涉及的网络区域使用同网络区域服务器覆盖;
在劫持原因为“URL劫持”时,指示运营商消除劫持;
在对劫持原因分析的结果为“无劫持现象”时,持续对流量劫持进行监测。
7.一种流量劫持分析装置,其特征在于,包括:
流量劫持探测模块,用于获取存在流量劫持的访问信息;
劫持环节分析模块,用于分析所述访问信息,判定发生流量劫持的环节;
劫持原因分析模块,用于根据对发生流量劫持的环节的判定结果,确定发生流量劫持的原因;
劫持环节分析模块,还用于获取一条所述流量劫持待分析列表中的待分析信息;在所述待分析信息对应的HTTP请求的源IP和运营商DNS IP处于不同网络区域时,判定劫持环节为“本地域名系统LDNS设置异常”;在所述待分析信息对应的HTTP请求的源IP和运营商DNSIP不处于相同网络区域,且使用所述运营商DNS IP进行解析得到的目标IP为运营商流量劫持的缓存服务器IP或者目标IP不在网站和CDN厂商缓存服务器白名单范围内时,判定劫持环节为“域名劫持”;在所述待分析信息对应的HTTP请求的源IP和运营商DNS IP不处于相同网络区域,且使用所述运营商DNS IP进行解析得到的目标IP不是运营商流量劫持的缓存服务器IP或者目标IP在网站和CDN厂商缓存服务器白名单范围内,且使用所述源IP同一网络区域内的运营商DNS服务器访问所述待分析信息对应的HTTP请求的访问URL得到的目标IP为运营商流量劫持的缓存服务器IP时,判定劫持环节为“HTTP劫持”;在所述待分析信息对应的HTTP请求的源IP和运营商DNS IP不处于相同网络区域,且使用所述运营商DNS IP进行解析得到的目标IP不是运营商流量劫持的缓存服务器IP或者目标IP在网站和CDN厂商缓存服务器白名单范围内,且使用所述源IP同一网络区域内的运营商DNS服务器访问所述待分析信息对应的HTTP请求的访问URL得到的目标IP不是运营商流量劫持的缓存服务器IP时,判定“无劫持现象”。
8.根据权利要求7所述的流量劫持分析装置,其特征在于,所述流量劫持探测模块包括:
异常检测单元,用于获取超文本传输协议HTTP请求的目标IP,在所述目标IP为运营商流量劫持的缓存服务器IP或所述目标IP不在网站和内容分发网络CDN厂商缓存服务器IP的范围内时,判定存在流量劫持;
记录生成单元,用于根据存在流量劫持的HTTP请求生成一条待分析信息,存储至流量劫持待分析列表。
9.根据权利要求8所述的流量劫持分析装置,其特征在于,所述流量劫持探测模块还包括:
请求接收单元,用于接收提交的CDN厂商加速域名以及缓存服务器白名单,使用各个网络区域的探测代理agent探测相同的多个测试URL,且所述多个测试URL分别绑定各个CDN厂商的加速域名。
10.根据权利要求8或9所述的流量劫持分析装置,其特征在于,所述流量劫持探测模块还包括:
二级检测单元,用于在无法获取存在流量劫持的HTTP请求的运营商的域名系统DNS IP时,获取所述流量劫持待分析列表中保存的HTTP请求的源IP所在网络区域内全部DNS IP,将所述全部DNS IP更新到所述流量劫持待分析列表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711054425.0A CN109729058B (zh) | 2017-10-31 | 2017-10-31 | 一种流量劫持分析方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711054425.0A CN109729058B (zh) | 2017-10-31 | 2017-10-31 | 一种流量劫持分析方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109729058A CN109729058A (zh) | 2019-05-07 |
| CN109729058B true CN109729058B (zh) | 2020-02-21 |
Family
ID=66293644
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711054425.0A Active CN109729058B (zh) | 2017-10-31 | 2017-10-31 | 一种流量劫持分析方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109729058B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110113364B (zh) * | 2019-05-29 | 2022-02-25 | 深圳市网心科技有限公司 | 域名劫持防御方法及装置、计算机装置及存储介质 |
| CN110636072B (zh) * | 2019-09-26 | 2021-05-14 | 腾讯科技(深圳)有限公司 | 一种目标域名的调度方法、装置、设备及存储介质 |
| CN112235339A (zh) * | 2020-08-31 | 2021-01-15 | 贵阳忆联网络有限公司 | 一种基于边缘计算的互联网cdn加速系统及方法 |
| CN112040027B (zh) * | 2020-09-14 | 2023-06-16 | 网易(杭州)网络有限公司 | 一种数据处理的方法及装置、电子设备、存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107135236A (zh) * | 2017-07-06 | 2017-09-05 | 广州优视网络科技有限公司 | 一种目标域名劫持的检测方法和系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102882728B (zh) * | 2012-10-08 | 2017-04-05 | 北京星网锐捷网络技术有限公司 | 流量异常原因通知方法、装置及网络设备 |
| GB2532475B (en) * | 2014-11-20 | 2017-03-08 | F Secure Corp | Integrity check of DNS server setting |
| CN105897947B (zh) * | 2016-04-08 | 2019-04-30 | 网宿科技股份有限公司 | 移动终端的网络访问方法和装置 |
| CN105871912A (zh) * | 2016-06-03 | 2016-08-17 | 腾讯科技(深圳)有限公司 | 一种域名劫持的探测方法和服务器以及移动终端 |
-
2017
- 2017-10-31 CN CN201711054425.0A patent/CN109729058B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107135236A (zh) * | 2017-07-06 | 2017-09-05 | 广州优视网络科技有限公司 | 一种目标域名劫持的检测方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109729058A (zh) | 2019-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109729058B (zh) | 一种流量劫持分析方法和装置 | |
| Pearce et al. | Global measurement of {DNS} manipulation | |
| US7984186B2 (en) | Method, system, and apparatus for discovering user agent DNS settings | |
| US11582120B2 (en) | Partitioning health monitoring in a global server load balancing system | |
| CN103716398B (zh) | Cdn服务器的监控方法和监控系统 | |
| EP1446933B1 (en) | Method for checking the functionality of a content delivery network, related system and computer product | |
| US9578040B2 (en) | Packet receiving method, deep packet inspection device and system | |
| US10951489B2 (en) | SLA compliance determination with real user monitoring | |
| EP3226477A1 (en) | Content distribution network (cdn)-based website acceleration method and system | |
| US20110119370A1 (en) | Measuring network performance for cloud services | |
| US10530738B2 (en) | DNS resolution replay for bare domain names that map to “A” records | |
| Zimmermann et al. | How HTTP/2 pushes the web: An empirical study of HTTP/2 server push | |
| CN107135236A (zh) | 一种目标域名劫持的检测方法和系统 | |
| CN104954507A (zh) | 数据优选的域名解析方法及系统 | |
| CN105681358A (zh) | 检测域名劫持的方法、装置和系统 | |
| US20130137451A1 (en) | System and method for identifying mobile communication devices | |
| CN107959576B (zh) | 流量计费方法和系统以及缓存装置 | |
| CN110740191A (zh) | 资源访问方法、装置、电子设备及存储介质 | |
| CN106161667A (zh) | 一种域名解析方法及装置 | |
| Aceto et al. | Monitoring Internet censorship with UBICA | |
| CN110795434A (zh) | 一种构建服务属性数据库的方法及装置 | |
| Matic et al. | Pythia: a framework for the automated analysis of web hosting environments | |
| Mehani et al. | An early look at multipath TCP deployment in the wild | |
| Bajpai et al. | Vantage point selection for IPv6 measurements: Benefits and limitations of RIPE Atlas tags | |
| Alzoubi et al. | The anatomy of LDNS clusters: Findings and implications for web content delivery |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |