CN111447226B - 用于检测dns劫持的方法和设备 - Google Patents
用于检测dns劫持的方法和设备 Download PDFInfo
- Publication number
- CN111447226B CN111447226B CN202010228504.4A CN202010228504A CN111447226B CN 111447226 B CN111447226 B CN 111447226B CN 202010228504 A CN202010228504 A CN 202010228504A CN 111447226 B CN111447226 B CN 111447226B
- Authority
- CN
- China
- Prior art keywords
- dns
- address
- domain name
- list
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了用于检测DNS劫持的方法和设备。该方法的一具体实施方式包括:向默认DNS服务器发送DNS域名解析请求;接收默认DNS服务器返回的DNS域名解析结果,其中,DNS域名解析结果中包括默认DNS服务器的IP地址;将默认DNS服务器的IP地址在异常DNS服务器IP列表和/或正常DNS服务器IP列表中进行匹配;基于匹配结果,确定是否存在DNS劫持。该实施方式根据DNS协议的递归解析和迭代解析的特点构造特殊DNS域名解析结果,以达到确定DNS服务的出口IP地址的目的,利用该IP地址能够确定终端所使用的DNS服务的安全性。
Description
技术领域
本申请实施例涉及计算机技术领域,具体涉及用于检测DNS劫持的方法和设备。
背景技术
DNS(Domain Name System,域名系统)是因特网上作为域名和IP地址相互映射的一个分布式数据库。它能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名得到该主机名对应的IP地址的过程叫做域名解析。
若攻击者冒充域名服务器,把查询的IP地址设为攻击者的IP地址,用户上网时就只能看到攻击者的网站主页,而不是用户需求的网站主页,导致终端遭受DNS劫持。
目前,终端通常通过检测特定域名的解析结果是否正确来实现DNS劫持检测。该检测方式对于攻击者没有进行全局劫持的情况不适用。
发明内容
本申请实施例提出了用于检测DNS劫持的方法和设备。
第一方面,本申请实施例提供了一种用于检测DNS劫持的方法,应用于终端,包括:向默认DNS服务器发送DNS域名解析请求;接收默认DNS服务器返回的DNS域名解析结果,其中,DNS域名解析结果中包括默认DNS服务器的IP地址;将默认DNS服务器的IP地址在异常DNS服务器IP列表和/或正常DNS服务器IP列表中进行匹配;基于匹配结果,确定是否存在DNS劫持。
在一些实施例中,将默认DNS服务器的IP地址在异常DNS服务器IP列表和/或正常DNS服务器IP列表中进行匹配,包括:将默认DNS服务器的IP地址在异常DNS服务器IP列表中进行匹配;以及基于匹配结果,确定是否存在DNS劫持,包括:若在异常DNS服务器IP列表中匹配成功,确定存在DNS劫持。
在一些实施例中,将默认DNS服务器的IP地址在异常DNS服务器IP列表和/或正常DNS服务器IP列表中进行匹配,包括:若在异常DNS服务器IP列表中匹配失败,将默认DNS服务器的IP地址在正常DNS服务器IP列表中进行匹配;以及基于匹配结果,确定是否存在DNS劫持,包括:若在正常DNS服务器IP列表中匹配成功,确定不存在DNS劫持。
在一些实施例中,基于匹配结果,确定是否存在DNS劫持,包括:若在正常DNS服务器IP列表中匹配失败,将默认DNS服务器的IP地址发送至检测服务器;基于检测服务器返回的检测结果确定是否存在DNS劫持。
第二方面,本申请实施例提供了一种用于检测DNS劫持的方法,应用于解析服务器,包括:接收默认DNS服务器发送的DNS域名解析请求;基于DNS域名解析请求中的域名和默认DNS服务器的IP地址构造DNS域名解析结果;将DNS域名解析结果返回至默认DNS服务器。
在一些实施例中,在将DNS域名解析请求中的域名对应的IP地址解析为默认DNS服务器的IP地址之前,还包括:确定DNS域名解析请求中的域名是特定域名。
在一些实施例中,该方法还包括:若确定DNS域名解析请求中的域名不是特定域名,丢弃DNS域名解析请求。
第三方面,本申请实施例提供了一种用于检测DNS劫持的方法,应用于检测服务器,包括:确定是否存在目标IP地址;若存在目标IP地址,将目标IP地址在异常DNS服务器IP列表、正常DNS服务器IP列表和已检测正常IP列表中进行匹配;基于匹配结果,确定是否存在DNS劫持。
在一些实施例中,确定是否存在目标IP地址,包括:确定验证队列中是否存在新加入IP地址;若存在新加入IP地址,将新加入IP地址确定为目标IP地址。在一些实施例中,确定验证队列中是否存在新加入IP地址,包括:接收终端发送的DNS域名解析结果中的IP地址,其中,DNS域名解析结果中的IP地址是默认DNS服务器的IP地址;将默认DNS服务器的IP地址加入验证队列,其中,默认DNS服务器的IP地址为新加入IP地址。
在一些实施例中,该方法还包括:在基于目标IP地址完成DNS劫持检测之后,将目标IP地址从验证队列中移除。
在一些实施例中,确定是否存在目标IP地址,包括:接收终端发送的DNS域名解析结果中的IP地址,其中,DNS域名解析结果中的IP地址是默认DNS服务器的IP地址;将默认DNS服务器的IP地址确定为目标IP地址。
在一些实施例中,基于匹配结果,确定是否存在DNS劫持,包括:若目标IP地址在异常DNS服务器IP列表、正常DNS服务器IP列表和已检测正常IP列表中均匹配失败,获取预先存储的域名列表;基于域名列表向默认DNS服务器发送DNS域名列表解析请求;接收默认DNS服务器返回的DNS域名列表解析结果;对于域名列表中的每个域名,将DNS域名列表解析结果中的该域名对应的IP地址在该域名对应的IP地址列表中进行匹配;若域名列表中的至少一个域名对应的IP地址匹配失败,将目标IP地址加入异常DNS服务器IP列表中。
在一些实施例中,基于匹配结果,确定是否存在DNS劫持,包括:若域名列表中的全部域名对应的IP地址匹配成功,将目标IP地址加入已检测正常IP列表中。
在一些实施例中,基于匹配结果,确定是否存在DNS劫持,包括:若目标IP地址在已检测正常IP列表中匹配成功,确定不存在DNS劫持。
在一些实施例中,基于匹配结果,确定是否存在DNS劫持,包括:若目标IP地址在异常DNS服务器IP列表中匹配成功,确定存在DNS劫持。
在一些实施例中,基于匹配结果,确定是否存在DNS劫持,包括:若目标IP地址在正常DNS服务器IP列表中匹配成功,确定不存在DNS劫持。
第四方面,本申请实施例提供了一种用于检测DNS劫持的装置,设置于终端,包括:发送单元,被配置成向默认DNS服务器发送DNS域名解析请求;接收单元,被配置成接收默认DNS服务器返回的DNS域名解析结果,其中,DNS域名解析结果中包括默认DNS服务器的IP地址;匹配单元,被配置成将默认DNS服务器的IP地址在异常DNS服务器IP列表和/或正常DNS服务器IP列表中进行匹配;确定单元,被配置成基于匹配结果,确定是否存在DNS劫持。
在一些实施例中,匹配单元进一步被配置成:将默认DNS服务器的IP地址在异常DNS服务器IP列表中进行匹配;以及基于匹配结果,确定是否存在DNS劫持,包括:若在异常DNS服务器IP列表中匹配成功,确定存在DNS劫持。
在一些实施例中,匹配单元进一步被配置成:若在异常DNS服务器IP列表中匹配失败,将默认DNS服务器的IP地址在正常DNS服务器IP列表中进行匹配;以及基于匹配结果,确定是否存在DNS劫持,包括:若在正常DNS服务器IP列表中匹配成功,确定不存在DNS劫持。
在一些实施例中,确定单元进一步被配置成:若在正常DNS服务器IP列表中匹配失败,将默认DNS服务器的IP地址发送至检测服务器;基于检测服务器返回的检测结果确定是否存在DNS劫持。
第五方面,本申请实施例提供了一种用于检测DNS劫持的装置,设置于解析服务器,包括:接收单元,被配置成接收默认DNS服务器发送的DNS域名解析请求;构造单元,被配置成基于DNS域名解析请求中的域名和默认DNS服务器的IP地址构造DNS域名解析结果;返回单元,被配置成将DNS域名解析结果返回至默认DNS服务器。
在一些实施例中,所述装置还包括:确定单元,被配置成确定DNS域名解析请求中的域名是特定域名。
在一些实施例中,该装置还包括:丢弃单元,被配置成若确定DNS域名解析请求中的域名不是特定域名,丢弃DNS域名解析请求。
第六方面,本申请实施例提供了一种用于检测DNS劫持的装置,设置于检测服务器,包括:第一确定单元,被配置成确定是否存在目标IP地址;匹配单元,被配置成若存在目标IP地址,将目标IP地址在异常DNS服务器IP列表、正常DNS服务器IP列表和已检测正常IP列表中进行匹配;第二确定单元,被配置成基于匹配结果,确定是否存在DNS劫持。
在一些实施例中,第一确定单元包括:第一确定子单元,被配置成确定验证队列中是否存在新加入IP地址;第二确定子单元,被配置成若存在新加入IP地址,将新加入IP地址确定为目标IP地址。
在一些实施例中,第一确定子单元进一步被配置成:接收终端发送的DNS域名解析结果中的IP地址,其中,DNS域名解析结果中的IP地址是默认DNS服务器的IP地址;将默认DNS服务器的IP地址加入验证队列,其中,默认DNS服务器的IP地址为新加入IP地址。
在一些实施例中,第一确定单元还包括:移除子单元,被配置成在基于目标IP地址完成DNS劫持检测之后,将目标IP地址从验证队列中移除。在一些实施例中,第一确定单元进一步被配置成:接收终端发送的DNS域名解析结果中的IP地址,其中,DNS域名解析结果中的IP地址是默认DNS服务器的IP地址;将默认DNS服务器的IP地址确定为目标IP地址。
在一些实施例中,第二确定单元进一步被配置成:若目标IP地址在异常DNS服务器IP列表、正常DNS服务器IP列表和已检测正常IP列表中均匹配失败,获取预先存储的域名列表;基于域名列表向默认DNS服务器发送DNS域名列表解析请求;接收默认DNS服务器返回的DNS域名列表解析结果;对于域名列表中的每个域名,将DNS域名列表解析结果中的该域名对应的IP地址在该域名对应的IP地址列表中进行匹配;若域名列表中的至少一个域名对应的IP地址匹配失败,将目标IP地址加入异常DNS服务器IP列表中。
在一些实施例中,第二确定单元进一步被配置成:若域名列表中的全部域名对应的IP地址匹配成功,将目标IP地址加入已检测正常IP列表中。
在一些实施例中,第二确定单元进一步被配置成:若目标IP地址在已检测正常IP列表中匹配成功,确定不存在DNS劫持。
在一些实施例中,第二确定单元进一步被配置成:若目标IP地址在异常DNS服务器IP列表中匹配成功,确定存在DNS劫持。
在一些实施例中,第二确定单元进一步被配置成:若目标IP地址在正常DNS服务器IP列表中匹配成功,确定不存在DNS劫持。
第七方面,本申请实施例提供了一种计算机设备,该计算机设备包括:一个或多个处理器;存储装置,其上存储有一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面中任一实现方式描述的方法,或者实现如第二方面中任一实现方式描述的方法,亦或实现如第三方面中任一实现方式描述的方法。
第八方面,本申请实施例提供了一种计算机可读介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法,或者实现如第二方面中任一实现方式描述的方法,亦或实现如第三方面中任一实现方式描述的方法。
本申请实施例提供的用于检测DNS劫持的方法和设备,首先向默认DNS服务器发送DNS域名解析请求;之后接收默认DNS服务器返回的DNS域名解析结果;然后将DNS域名解析结果中的默认DNS服务器的IP地址在异常DNS服务器IP列表和/或正常DNS服务器IP列表中进行匹配;最后基于匹配结果,确定是否存在DNS劫持。根据DNS协议的递归解析和迭代解析的特点构造包括默认DNS服务器的IP地址的特殊DNS域名解析结果,以达到确定DNS服务的出口IP地址的目的,利用该IP地址能够确定终端所使用的DNS服务的安全性。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请可以应用于其中的示例性系统架构;
图2是根据本申请的用于检测DNS劫持的方法的第一个实施例的流程图;
图3是根据本申请的用于检测DNS劫持的方法的第二个实施例的流程图;
图4是根据本申请的用于检测DNS劫持的方法的第三个实施例的流程图;
图5是根据本申请的用于检测DNS劫持的方法的第四个实施例的流程图;
图6是根据本申请的用于检测DNS劫持的方法的第五个实施例的流程图;
图7是适于用来实现本申请实施例的计算机设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请的用于检测DNS劫持的方法的实施例的示例性系统架构100。
如图1所示,系统架构100中可以包括终端101,服务器102、103、104、105和网络106。网络106用以在终端101和服务器102、103、104、105之间提供通信链路的介质。网络106可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
终端101可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。服务器102可以是分配给终端101的默认DNS服务器。服务器103可以是默认DNS服务器的上层DNS服务器。服务器104可以是解析域名的服务器。服务器105可以是检测DNS劫持的服务器。服务器104和服务器105可以部署为不同服务器,也可以部署为同一服务器。
需要说明的是,本申请实施例所提供的用于检测DNS劫持的方法可以由设备终端101、服务器104或服务器105执行。
应该理解,图1中的终端、服务器和网络的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端、服务器和网络。
继续参考图2,其示出了根据本申请的用于检测DNS劫持的方法的第一个实施例的流程200。该用于检测DNS劫持的方法应用于终端,包括以下步骤:
步骤201,向默认DNS服务器发送DNS域名解析请求。
在本实施例中,终端(例如图1所示的终端101)可以向默认DNS服务器(例如图1所示的服务器102)发送DNS域名解析请求。其中,DNS域名解析请求中可以包括域名。
在常规情况下,默认DNS服务器可以是分配给终端的正常DNS服务器。此时,终端可以通过默认DNS服务器使用DNS服务。例如,购买特定域名abcd.com,根据该特定域名生成特定子域名,并将该特定子域名的解析权设置给解析服务器(例如图1所示的服务器104)。当终端发起c.abcd.com的DNS域名解析请求时,会向默认DNS服务器请求DNS域名解析结果。默认DNS服务器可以在本地查询域名c.abcd.com对应的IP地址。若查询到域名c.abcd.com对应的IP地址,直接作为DNS域名解析结果返回至终端。若未查询到域名c.abcd.com对应的IP地址,默认DNS服务器会向上层DNS服务器(例如图1所示的服务器103)请求DNS域名解析结果。上层DNS服务器可以将拥有域名c.abcd.com的解析权的解析服务器的IP地址返回给默认DNS服务器。默认DNS服务器可以基于解析服务器的IP地址向解析服务器请求DNS域名解析结果。在DNS劫持情况下,默认DNS服务器可以是攻击者冒充的DNS服务器。此时,终端就会遭受DNS劫持。
步骤202,接收默认DNS服务器返回的DNS域名解析结果。
在本实施例中,终端可以接收默认DNS服务器返回的DNS域名解析结果。通常,默认DNS服务器可以在本地查询终端发送的DNS域名解析请求中的域名对应的IP地址。若查询到域名对应的IP地址,直接作为DNS域名解析结果返回至终端。若未查询到域名对应的IP地址,默认DNS服务器会向上层DNS服务器发送DNS域名解析请求。上层DNS服务器可以将拥有DNS域名解析请求中的域名的解析权的解析服务器的IP地址返回给默认DNS服务器。默认DNS服务器会基于解析服务器的IP地址向解析服务器发送DNS域名解析请求。解析服务器可以对DNS域名解析请求中的域名进行提取,以该域名和该DNS域名解析请求的来源IP地址构造DNS域名解析结果,并返回至默认DNS服务器。默认DNS服务器可以将DNS域名解析结果返回至终端。其中,DNS域名解析结果可以是根据DNS协议的递归解析和迭代解析的特点构造的特殊DNS域名解析结果。DNS域名解析结果中的IP地址通常是默认DNS服务器的IP地址。
DNS协议拥有自身特点。具体地,对于终端来说,DNS解析过程为递归解析,即DNS域名解析结果由默认DNS服务器取得后再返回至终端。对于DNS服务器来说,DNS解析过程为迭代解析,即依次由更上层的DNS服务器进行解析操作获得控制该域名解析的解析服务器,进而请求取得DNS域名解析结果。DNS协议设计递归解析和迭代解析的本意是为了减少上层DNS服务器的负担。而DNS协议的这一特点可以利用来发现终端使用的DNS服务的出口IP地址。在常规情况下,终端使用的DNS服务来源于运营商DNS服务器或公共DNS服务器,其出口IP地址是运营商DNS服务器或公共DNS服务器的IP地址。在DNS劫持的情况下,终端使用的DNS服务来源于攻击者冒充的DNS服务器,其出口IP地址是攻击者冒充的DNS服务器的IP地址。
步骤203,将默认DNS服务器的IP地址在异常DNS服务器IP列表和/或正常DNS服务器IP列表中进行匹配。
在本实施例中,终端可以将默认DNS服务器的IP地址在异常DNS服务器IP列表和/或正常DNS服务器IP列表中进行匹配,得到匹配结果。其中,异常DNS服务器IP列表可以用于记载历史检测的异常DNS服务器的IP地址。异常DNS服务器通常是攻击者冒充的DNS服务器。正常DNS服务器IP列表可以用于记载正常DNS服务器的IP地址。正常DNS服务器通常是运营商DNS服务器或公共DNS服务器。通常,正常DNS服务器的IP地址可以被预先收集,并存储到正常DNS服务器IP列表中。若未收集正常DNS服务器的IP地址,正常DNS服务器IP列表可以为空。
步骤204,基于匹配结果,确定是否存在DNS劫持。
在本实施例中,终端可以基于匹配结果确定是否存在DNS劫持。通常,若默认DNS服务器的IP地址在异常DNS服务器IP列表中匹配成功,说明终端存在DNS劫持;若默认DNS服务器的IP地址在正常DNS服务器IP列表中匹配成功,说明终端不存在DNS劫持;若默认DNS服务器的IP地址在异常DNS服务器IP列表和正常DNS服务器IP列表中均匹配失败,说明终端疑似存在DNS劫持。
本申请实施例提供的用于检测DNS劫持的方法,首先向默认DNS服务器发送DNS域名解析请求;之后接收默认DNS服务器返回的DNS域名解析结果;然后将DNS域名解析结果中的默认DNS服务器的IP地址在异常DNS服务器IP列表和/或正常DNS服务器IP列表中进行匹配;最后基于匹配结果,确定是否存在DNS劫持。根据DNS协议的递归解析和迭代解析的特点构造包括默认DNS服务器的IP地址的特殊DNS域名解析结果,以达到确定DNS服务的出口IP地址的目的,利用该IP地址能够确定终端所使用的DNS服务的安全性。
进一步参考图3,其示出了是根据本申请的用于检测DNS劫持的方法的第二个实施例的流程300。该用于检测DNS劫持的方法应用于终端,包括以下步骤:
步骤301,向默认DNS服务器发送DNS域名解析请求。
步骤302,接收默认DNS服务器返回的DNS域名解析结果。
在本实施例中,步骤301-302具体操作已在图2所示的实施例中步骤201-202中进行了详细的介绍,在此不再赘述。
步骤303,将默认DNS服务器的IP地址在异常DNS服务器IP列表中进行匹配。
在本实施例中,终端可以将默认DNS服务器的IP地址在异常DNS服务器IP列表中进行匹配。若匹配成功,执行步骤304;若匹配失败,执行步骤305。其中,异常DNS服务器IP列表可以用于记载历史检测的异常DNS服务器的IP地址。异常DNS服务器通常是攻击者冒充的DNS服务器。
步骤304,确定存在DNS劫持。
在本实施例中,若在异常DNS服务器IP列表中匹配成功,终端可以确定其存在DNS劫持。
步骤305,将默认DNS服务器的IP地址在正常DNS服务器IP列表中进行匹配。
在本实施例中,若在异常DNS服务器IP列表中匹配失败,终端可以将默认DNS服务器的IP地址在正常DNS服务器IP列表中进行匹配。若匹配成功,执行步骤306;若匹配失败,执行步骤307。其中,正常DNS服务器IP列表可以用于记载正常DNS服务器的IP地址。正常DNS服务器通常是运营商DNS服务器或公共DNS服务器。通常,正常DNS服务器的IP地址可以被预先收集,并存储到正常DNS服务器IP列表中。若未收集正常DNS服务器的IP地址,正常DNS服务器IP列表可以为空。
步骤306,确定不存在DNS劫持。
在本实施例中,若在正常DNS服务器IP列表中匹配成功,终端可以确定其不存在DNS劫持。
步骤307,将默认DNS服务器的IP地址发送至检测服务器。
在本实施例中,若在正常DNS服务器IP列表中匹配失败,说明终端疑似存在DNS劫持。此时,终端可以将默认DNS服务器的IP地址发送至检测服务器(例如图1所示的服务器105)进行进一步检测。
步骤308,基于检测服务器返回的检测结果确定是否存在DNS劫持。
在本实施例中,终端可以接收检测服务器返回的检测结果,以及基于检测结果确定是否存在DNS劫持。通常,检测服务器可以对默认DNS服务器的IP地址进行检测,以确定是否存在DNS劫持。
从图3中可以看出,与图2对应的实施例相比,本实施例中的用于检测DNS劫持的方法的流程300突出了IP地址检测的步骤。由此,在本实施例描述的方案中,当默认DNS服务器的IP地址在异常DNS服务器IP列表或正常DNS服务器IP列表中匹配成功时,直接确定是否存在DNS劫持;当默认DNS服务器的IP地址在异常DNS服务器IP列表或正常DNS服务器IP列表中匹配失败时,基于检测服务器返回的检测结果确定是否存在DNS劫持。能够实现对各种情况的IP地址的DNS劫持检测。
继续参考图4,其示出了根据本申请的用于检测DNS劫持的方法的第三个实施例的流程400。该用于检测DNS劫持的方法应用于解析服务器,包括以下步骤:
步骤401,接收默认DNS服务器发送的DNS域名解析请求。
在本实施例中,解析服务器可以接收默认DNS服务器发送的DNS域名解析请求。其中,DNS域名解析请求中可以包括域名。
在常规情况下,默认DNS服务器可以是分配给终端的正常DNS服务器。此时,终端可以通过默认DNS服务器使用DNS服务。例如,购买特定域名abcd.com,根据该特定域名生成特定子域名,并将该特定子域名的解析权设置给解析服务器。当终端发起c.abcd.com的DNS域名解析请求时,会向默认DNS服务器请求DNS域名解析结果。默认DNS服务器可以在本地查询域名c.abcd.com对应的IP地址。若查询到域名c.abcd.com对应的IP地址,直接作为DNS域名解析结果返回至终端。若未查询到域名c.abcd.com对应的IP地址,默认DNS服务器会向上层DNS服务器请求DNS域名解析结果。上层DNS服务器可以将拥有域名c.abcd.com的解析权的解析服务器的IP地址返回给默认DNS服务器。默认DNS服务器可以基于解析服务器的IP地址向解析服务器请求DNS域名解析结果。在DNS劫持情况下,默认DNS服务器可以是攻击者冒充的DNS服务器。此时,终端就会遭受DNS劫持。
步骤402,基于DNS域名解析请求中的域名和默认DNS服务器的IP地址构造DNS域名解析结果。
在本实施例中,解析服务器可以基于DNS域名解析请求中的域名和默认DNS服务器的IP地址构造DNS域名解析结果。其中,在DNS域名解析结果中,DNS域名解析请求中的域名对应默认DNS服务器的IP地址。
在本实施例中,解析服务器可以根据DNS协议的递归解析和迭代解析的特点,将DNS域名解析请求中的域名对应的IP地址解析为默认DNS服务器的IP地址。
DNS协议拥有自身特点。具体地,对于终端来说,DNS解析过程为递归解析,即DNS域名解析结果由默认DNS服务器取得后再返回至终端。对于DNS服务器来说,DNS解析过程为迭代解析,即依次由更上层的DNS服务器进行解析操作来取得DNS域名解析结果。DNS协议设计递归解析和迭代解析的本意是为了减少上层DNS服务器的负担。而DNS协议的这一特点可以利用来发现终端使用的DNS服务的出口IP地址。在常规情况下,终端使用的DNS服务来源于运营商DNS服务器或公共DNS服务器,其出口IP地址是运营商DNS服务器或公共DNS服务器的IP地址。在DNS劫持的情况下,终端使用的DNS服务来源于攻击者冒充的DNS服务器,其出口IP地址是攻击者冒充的DNS服务器的IP地址。
步骤403,将DNS域名解析结果返回至默认DNS服务器。
在实施例中,解析服务器可以将DNS域名解析结果返回至默认DNS服务器。默认DNS服务器可以将DNS域名解析结果返回至终端。
在本实施例的一些可选的实现方式中,在进行DNS劫持检测时,终端发送的DNS域名解析请求中的域名通常是特定域名。在接收到默认DNS服务器发送的DNS域名解析请求之后,解析服务器可以确定DNS域名解析请求中的域名是否是特定域名。若是特定域名,执行步骤402进行域名解析;若是特定域名,丢弃DNS域名解析请求,不进行域名解析。
本申请实施例提供的用于检测DNS劫持的方法,首先接收默认DNS服务器发送的DNS域名解析请求;然后基于DNS域名解析请求中的域名和默认DNS服务器的IP地址构造DNS域名解析结果;最后将DNS域名解析结果返回至默认DNS服务器。根据DNS协议的递归解析和迭代解析的特点构造包括默认DNS服务器的IP地址的特殊DNS域名解析结果,以达到确定DNS服务的出口IP地址的目的,利用该IP地址能够确定终端所使用的DNS服务的安全性。
继续参考图5,其示出了是根据本申请的用于检测DNS劫持的方法的第四个实施例的流程500。该用于检测DNS劫持的方法应用于检测服务器,包括以下步骤:
步骤501,确定是否存在目标IP地址。
在本实施例中,检测服务器可以确定是否存在目标IP地址。若存在目标IP地址,执行步骤502。
在一些实施例中,终端可以将DNS域名解析结果中的IP地址发送至检测服务器。检测服务器可以接收终端发送的DNS域名解析结果中的IP地址,以及将DNS域名解析结果中的IP地址确定为目标IP地址。其中,DNS域名解析结果中的IP地址可以是默认DNS服务器的IP地址。
在一些实施例中,检测服务器可以确定验证队列中是否存在新加入IP地址。若存在新加入IP地址,检测服务器可以将新加入IP地址确定为目标IP地址。例如,终端可以将DNS域名解析结果中的IP地址发送至检测服务器。检测服务器可以将DNS域名解析结果中的IP地址加入验证队列。又例如,终端可以将DNS域名解析结果中的IP地址发送至不同于检测服务器的其他服务器。该服务器可以将DNS域名解析结果中的IP地址加入验证队列。检测服务器与服务器共享验证队列。其中,DNS域名解析结果中的IP地址可以是默认DNS服务器的IP地址,为验证队列中的新加入IP地址。
在一些实施例中,在基于目标IP地址完成DNS劫持检测之后,通常会将目标IP地址从验证队列中移除。
步骤502,若存在目标IP地址,将目标IP地址在异常DNS服务器IP列表、正常DNS服务器IP列表和已检测正常IP列表中进行匹配。
在本实施例中,若存在目标IP地址,检测服务器可以将目标IP地址在异常DNS服务器IP列表、正常DNS服务器IP列表和已检测正常IP列表中进行匹配,得到匹配结果。其中,异常DNS服务器IP列表可以用于记载历史检测的异常DNS服务器的IP地址。异常DNS服务器通常是攻击者冒充的DNS服务器。正常DNS服务器IP列表可以用于记载正常DNS服务器的IP地址。正常DNS服务器通常是运营商DNS服务器或公共DNS服务器。通常,正常DNS服务器的IP地址可以被预先收集,并存储到正常DNS服务器IP列表中。若未收集正常DNS服务器的IP地址,正常DNS服务器IP列表可以为空。已检测正常IP列表可以用于记载检测服务器已检测的正常IP地址。
步骤503,基于匹配结果,确定是否存在DNS劫持。
在本实施例中,终端可以基于匹配结果确定是否存在DNS劫持。通常,若目标IP地址在异常DNS服务器IP列表中匹配成功,说明终端存在DNS劫持;若目标IP地址在正常DNS服务器IP列表或已检测正常IP列表中匹配成功,说明终端不存在DNS劫持;若目标IP地址在异常DNS服务器IP列表、正常DNS服务器IP列表和已检测正常IP列表中均匹配失败,说明终端疑似存在DNS劫持。可选地,检测服务器还可以生成终端是否存在DNS劫持的检测结果,并返回至终端。
本申请实施例提供的用于检测DNS劫持的方法,首先确定是否存在目标IP地址;然后若存在目标IP地址,将目标IP地址在异常DNS服务器IP列表、正常DNS服务器IP列表和已检测正常IP列表中进行匹配;最后基于匹配结果,确定是否存在DNS劫持。根据DNS协议的递归解析和迭代解析的特点构造包括默认DNS服务器的IP地址的特殊DNS域名解析结果,以达到确定DNS服务的出口IP地址的目的,利用该IP地址能够确定终端所使用的DNS服务的安全性。
进一步参考图6,其示出了是根据本申请的用于检测DNS劫持的方法的第五个实施例的流程600。该用于检测DNS劫持的方法应用于检测服务器,包括以下步骤:
步骤601,确定是否存在目标IP地址。
步骤602,若存在目标IP地址,将目标IP地址在异常DNS服务器IP列表、正常DNS服务器IP列表和已检测正常IP列表中进行匹配。
在本实施例中,步骤601-602具体操作已在图5所示的实施例中步骤501-502中进行了详细的介绍,在此不再赘述。
步骤603,若目标IP地址在异常DNS服务器IP列表、正常DNS服务器IP列表和已检测正常IP列表中均匹配失败,获取预先存储的域名列表。
在本实施例中,若目标IP地址在异常DNS服务器IP列表、正常DNS服务器IP列表和已检测正常IP列表中均匹配失败,检测服务器可以获取预先存储的域名列表。其中,异常DNS服务器IP列表可以用于记载历史检测的异常DNS服务器的IP地址。异常DNS服务器通常是攻击者冒充的DNS服务器。正常DNS服务器IP列表可以用于记载正常DNS服务器的IP地址。正常DNS服务器通常是运营商DNS服务器或公共DNS服务器。通常,正常DNS服务器的IP地址可以被预先收集,并存储到正常DNS服务器IP列表中。若未收集正常DNS服务器的IP地址,正常DNS服务器IP列表可以为空。已检测正常IP列表可以用于记载检测服务器已检测的正常IP地址。域名列表中可以用于记载较为流行的网站的域名。例如,流量排名前10万的网站的域名。
在本实施例的一些可选的实现方式中,若目标IP地址在正常DNS服务器IP列表或已检测正常IP列表中匹配成功,确定不存在DNS劫持。可选地,检测服务器还可以生成终端不存在DNS劫持的检测结果,并返回至终端。
在本实施例的一些可选的实现方式中,若目标IP地址在异常DNS服务器IP列表中匹配成功,确定存在DNS劫持。可选地,检测服务器还可以生成终端存在DNS劫持的检测结果,并返回至终端。
步骤604,基于域名列表向默认DNS服务器发送DNS域名列表解析请求。
在本实施例中,检测服务器可以基于域名列表向默认DNS服务器发送DNS域名列表解析请求。其中,DNS域名列表解析请求中可以包括域名列表。
步骤605,接收默认DNS服务器返回的DNS域名列表解析结果。
在本实施例中,检测服务器可以接收默认DNS服务器返回的DNS域名列表解析结果。通常,对于域名列表中的每个域名,默认DNS服务器可以在本地查询该域名对应的IP地址。若查询到该域名对应的IP地址,将查询到的该域名对应的IP地址返回给检测服务器。若未查询到该域名对应的IP地址,默认DNS服务器会向上层DNS服务器发送该域名的DNS域名解析请求。上层DNS服务器可以将拥有该域名的解析权的解析服务器的IP地址返回给默认DNS服务器。默认DNS服务器会基于解析服务器的IP地址向解析服务器发送该域名的DNS域名解析请求。解析服务器可以对该域名进行解析,得到该域名对应的IP地址,返回至默认DNS服务器。默认DNS服务器可以将接收到的该域名对应的IP地址返回给检测服务器。
步骤606,对于域名列表中的每个域名,将DNS域名列表解析结果中的该域名对应的IP地址在该域名对应的IP地址列表中进行匹配。
在本实施例中,对于域名列表中的每个域名,检测服务器可以将DNS域名列表解析结果中的该域名对应的IP地址在该域名对应的IP地址列表中进行匹配。若域名列表中的至少一个域名对应的IP地址匹配失败,执行步骤607;若域名列表中的全部域名对应的IP地址匹配成功,执行步骤608。通常,对于域名列表中的每个域名,检测服务器可以预先收集该域名对应的所有可能的IP地址,写入该域名对应的IP地址列表中。
步骤607,将目标IP地址加入异常DNS服务器IP列表中。
在本实施例中,若域名列表中的至少一个域名对应的IP地址匹配失败,说明终端存在DNS劫持。此时,检测服务器可以将目标IP地址加入异常DNS服务器IP列表中。可选地,检测服务器还可以生成终端存在DNS劫持的检测结果,并返回至终端。
步骤608,将目标IP地址加入已检测正常IP列表中。
在本实施例中,若域名列表中的全部域名对应的IP地址匹配成功,说明终端不存在DNS劫持。此时,检测服务器可以将目标IP地址加入已检测正常IP列表中。可选地,检测服务器还可以生成终端不存在DNS劫持的检测结果,并返回至终端。
从图6中可以看出,与图5对应的实施例相比,本实施例中的用于检测DNS劫持的方法的流程600突出了IP地址检测的步骤。由此,在本实施例描述的方案中,当目标IP地址在异常DNS服务器IP列表、正常DNS服务器IP列表或已检测正常IP列表中匹配成功时,直接确定是否存在DNS劫持;当目标IP地址在异常DNS服务器IP列表、正常DNS服务器IP列表或已检测正常IP列表中均匹配失败时,基于默认DNS服务器对DNS域名列表的解析结果确定是否存在DNS劫持。能够实现对各种情况的目标IP地址的DNS劫持检测。
下面参考图7,其示出了适于用来实现本申请实施例的计算机设备(例如图1所示的终端101、服务器104或服务器105)的计算机系统700的结构示意图。图7示出的计算机设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有系统700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本申请的方法中限定的上述功能。
需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向目标的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或电子设备上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括发送单元、接收单元、匹配单元和确定单元。其中,这些单元的名称在种情况下并不构成对该单元本身的限定,例如,发送单元还可以被描述为“向默认DNS服务器发送DNS域名解析请求的单元”。又例如,可以描述为:一种处理器包括接收单元、构造单元和返回单元。其中,这些单元的名称在种情况下并不构成对该单元本身的限定,例如,接收单元还可以被描述为“接收默认DNS服务器发送的DNS域名解析请求的单元”。再例如,可以描述为:一种处理器包括第一确定单元、匹配单元和第二确定单元。其中,这些单元的名称在种情况下并不构成对该单元本身的限定,例如,第一确定单元还可以被描述为“确定是否存在目标IP地址的单元”。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的计算机设备中所包含的;也可以是单独存在,而未装配入该计算机设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该计算机设备执行时,使得该计算机设备:向默认DNS服务器发送DNS域名解析请求;接收默认DNS服务器返回的DNS域名解析结果,其中,DNS域名解析结果中包括默认DNS服务器的IP地址;将默认DNS服务器的IP地址在异常DNS服务器IP列表和/或正常DNS服务器IP列表中进行匹配;基于匹配结果,确定是否存在DNS劫持。或者使得该计算机设备:接收默认DNS服务器发送的DNS域名解析请求;基于DNS域名解析请求中的域名和默认DNS服务器的IP地址构造DNS域名解析结果;将DNS域名解析结果返回至默认DNS服务器。亦或使得该计算机设备:确定是否存在目标IP地址;若存在目标IP地址,将目标IP地址在异常DNS服务器IP列表、正常DNS服务器IP列表和已检测正常IP列表中进行匹配;基于匹配结果,确定是否存在DNS劫持。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (19)
1.一种用于检测DNS劫持的方法,应用于终端,包括:
向默认DNS服务器发送DNS域名解析请求;
接收所述默认DNS服务器返回的DNS域名解析结果,其中,所述DNS域名解析结果中包括所述默认DNS服务器的IP地址;
将所述默认DNS服务器的IP地址在异常DNS服务器IP列表和/或正常DNS服务器IP列表中进行匹配;
基于匹配结果,确定是否存在DNS劫持。
响应于确定不存在DNS劫持,将所述默认DNS服务器的IP地址发送至检测服务器;
其中,所述检测服务器用于确定是否存在目标IP地址;若存在所述目标IP地址,将所述目标IP地址在异常DNS服务器IP列表、正常DNS服务器IP列表和已检测正常IP列表中进行匹配;基于匹配结果,确定是否存在DNS劫持。
2.根据权利要求1所述的方法,其中,所述将所述默认DNS服务器的IP地址在异常DNS服务器IP列表和/或正常DNS服务器IP列表中进行匹配,包括:
将所述默认DNS服务器的IP地址在所述异常DNS服务器IP列表中进行匹配;以及
所述基于匹配结果,确定是否存在DNS劫持,包括:
若在所述异常DNS服务器IP列表中匹配成功,确定存在DNS劫持。
3.根据权利要求2所述的方法,其中,所述将所述默认DNS服务器的IP地址在异常DNS服务器IP列表和/或正常DNS服务器IP列表中进行匹配,包括:
若在所述异常DNS服务器IP列表中匹配失败,将所述默认DNS服务器的IP地址在所述正常DNS服务器IP列表中进行匹配;以及
所述基于匹配结果,确定是否存在DNS劫持,包括:
若在所述正常DNS服务器IP列表中匹配成功,确定不存在DNS劫持。
4.根据权利要求3所述的方法,其中,所述基于匹配结果,确定是否存在DNS劫持,包括:
若在所述正常DNS服务器IP列表中匹配失败,将所述默认DNS服务器的IP地址发送至检测服务器;
基于所述检测服务器返回的检测结果确定是否存在DNS劫持。
5.一种用于检测DNS劫持的方法,应用于解析服务器,包括:
接收默认DNS服务器发送的DNS域名解析请求;
基于所述DNS域名解析请求中的域名和所述默认DNS服务器的IP地址构造DNS域名解析结果;
将所述DNS域名解析结果返回至所述默认DNS服务器,以使所述默认DNS服务器将所述DNS域名解析结果发送至终端;
其中,所述终端在确定不存在DNS劫持后,将所述默认DNS服务器的IP地址发送至检测服务器;所述检测服务器用于确定是否存在目标IP地址;若存在所述目标IP地址,将所述目标IP地址在异常DNS服务器IP列表、正常DNS服务器IP列表和已检测正常IP列表中进行匹配;基于匹配结果,确定是否存在DNS劫持。
6.根据权利要求5所述的方法,其中,在所述将所述DNS域名解析请求中的域名对应的IP地址解析为所述默认DNS服务器的IP地址之前,还包括:
确定所述DNS域名解析请求中的域名是特定域名。
7.根据权利要求6所述的方法,其中,所述方法还包括:
若确定所述DNS域名解析请求中的域名不是特定域名,丢弃所述DNS域名解析请求。
8.一种用于检测DNS劫持的方法,应用于检测服务器,包括:
接收终端发送的默认DNS服务器的IP地址,其中,所述终端用于向默认DNS服务器发送DNS域名解析请求;接收所述默认DNS服务器返回的所述默认DNS服务器的IP地址;将所述默认DNS服务器的IP地址在异常DNS服务器IP列表和/或正常DNS服务器IP列表中进行匹配;基于匹配结果,确定是否存在DNS劫持;响应于确定不存在DNS劫持,将所述默认DNS服务器的IP地址发送至所述检测服务器;
确定是否存在目标IP地址;
若存在所述目标IP地址,将所述目标IP地址在异常DNS服务器IP列表、正常DNS服务器IP列表和已检测正常IP列表中进行匹配;
基于匹配结果,确定是否存在DNS劫持。
9.根据权利要求8所述的方法,其中,所述确定是否存在目标IP地址,包括:
确定验证队列中是否存在新加入IP地址;
若存在所述新加入IP地址,将所述新加入IP地址确定为所述目标IP地址。
10.根据权利要求9所述的方法,其中,所述确定验证队列中是否存在新加入IP地址,包括:
接收终端发送的DNS域名解析结果中的IP地址,其中,所述DNS域名解析结果中的IP地址是默认DNS服务器的IP地址;
将所述默认DNS服务器的IP地址加入所述验证队列,其中,所述默认DNS服务器的IP地址为所述新加入IP地址。
11.根据权利要求9或10所述的方法,其中,所述方法还包括:
在基于所述目标IP地址完成DNS劫持检测之后,将所述目标IP地址从所述验证队列中移除。
12.根据权利要求8所述的方法,其中,所述确定是否存在目标IP地址,包括:
接收终端发送的DNS域名解析结果中的IP地址,其中,所述DNS域名解析结果中的IP地址是默认DNS服务器的IP地址;
将所述默认DNS服务器的IP地址确定为所述目标IP地址。
13.根据权利要求8所述的方法,其中,所述基于匹配结果,确定是否存在DNS劫持,包括:
若所述目标IP地址在所述异常DNS服务器IP列表、所述正常DNS服务器IP列表和所述已检测正常IP列表中均匹配失败,获取预先存储的域名列表;
基于所述域名列表向默认DNS服务器发送DNS域名列表解析请求;
接收所述默认DNS服务器返回的DNS域名列表解析结果;
对于所述域名列表中的每个域名,将所述DNS域名列表解析结果中的该域名对应的IP地址在该域名对应的IP地址列表中进行匹配;
若所述域名列表中的至少一个域名对应的IP地址匹配失败,将所述目标IP地址加入所述异常DNS服务器IP列表中。
14.根据权利要求13所述的方法,其中,所述基于匹配结果,确定是否存在DNS劫持,包括:
若所述域名列表中的全部域名对应的IP地址匹配成功,将所述目标IP地址加入所述已检测正常IP列表中。
15.根据权利要求8所述的方法,其中,所述基于匹配结果,确定是否存在DNS劫持,包括:
若所述目标IP地址在所述已检测正常IP列表中匹配成功,确定不存在DNS劫持。
16.根据权利要求8所述的方法,其中,所述基于匹配结果,确定是否存在DNS劫持,包括:
若所述目标IP地址在所述异常DNS服务器IP列表中匹配成功,确定存在DNS劫持。
17.根据权利要求8所述的方法,其中,所述基于匹配结果,确定是否存在DNS劫持,包括:
若所述目标IP地址在所述正常DNS服务器IP列表中匹配成功,确定不存在DNS劫持。
18.一种计算机设备,包括:
一个或多个处理器;
存储装置,其上存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-4中任一所述的方法,或者实现如权利要求5-7中任一所述的方法,亦或实现如权利要求8-17中任一所述的方法。
19.一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-4中任一所述的方法,或者实现如权利要求5-7中任一所述的方法,亦或实现如权利要求8-17中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010228504.4A CN111447226B (zh) | 2020-03-27 | 2020-03-27 | 用于检测dns劫持的方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010228504.4A CN111447226B (zh) | 2020-03-27 | 2020-03-27 | 用于检测dns劫持的方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111447226A CN111447226A (zh) | 2020-07-24 |
CN111447226B true CN111447226B (zh) | 2022-08-12 |
Family
ID=71652506
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010228504.4A Active CN111447226B (zh) | 2020-03-27 | 2020-03-27 | 用于检测dns劫持的方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111447226B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113810510A (zh) * | 2021-07-30 | 2021-12-17 | 绿盟科技集团股份有限公司 | 一种域名访问方法、装置及电子设备 |
CN114244590A (zh) * | 2021-12-07 | 2022-03-25 | 上海观安信息技术股份有限公司 | Dns劫持监测方法及装置 |
CN116319113B (zh) * | 2023-05-23 | 2023-08-11 | 阿里云计算有限公司 | 一种域名解析异常的检测方法和电子设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106330849A (zh) * | 2015-07-07 | 2017-01-11 | 安恒通(北京)科技有限公司 | 防止域名劫持的方法和装置 |
CN106790747A (zh) * | 2016-12-13 | 2017-05-31 | 北京网瑞达科技有限公司 | 一种域名系统dns二次递归解析的方法 |
CN107135236A (zh) * | 2017-07-06 | 2017-09-05 | 广州优视网络科技有限公司 | 一种目标域名劫持的检测方法和系统 |
CN107528817A (zh) * | 2016-06-22 | 2017-12-29 | 广州市动景计算机科技有限公司 | 域名劫持的探测方法和装置 |
CN110912925A (zh) * | 2019-12-04 | 2020-03-24 | 北京小米移动软件有限公司 | 检测域名系统dns劫持的方法及装置、存储介质 |
-
2020
- 2020-03-27 CN CN202010228504.4A patent/CN111447226B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106330849A (zh) * | 2015-07-07 | 2017-01-11 | 安恒通(北京)科技有限公司 | 防止域名劫持的方法和装置 |
CN107528817A (zh) * | 2016-06-22 | 2017-12-29 | 广州市动景计算机科技有限公司 | 域名劫持的探测方法和装置 |
CN106790747A (zh) * | 2016-12-13 | 2017-05-31 | 北京网瑞达科技有限公司 | 一种域名系统dns二次递归解析的方法 |
CN107135236A (zh) * | 2017-07-06 | 2017-09-05 | 广州优视网络科技有限公司 | 一种目标域名劫持的检测方法和系统 |
CN110912925A (zh) * | 2019-12-04 | 2020-03-24 | 北京小米移动软件有限公司 | 检测域名系统dns劫持的方法及装置、存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111447226A (zh) | 2020-07-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111447226B (zh) | 用于检测dns劫持的方法和设备 | |
US9792374B2 (en) | Method and system for facilitating terminal identifiers | |
US20130269042A1 (en) | Optimizing security seals on web pages | |
CN110888838B (zh) | 基于对象存储的请求处理方法、装置、设备及存储介质 | |
CN108494755B (zh) | 一种传输应用程序编程接口api请求的方法及装置 | |
CN109889511B (zh) | 进程dns活动监控方法、设备及介质 | |
CN109710695B (zh) | 事务请求有效性识别和发起方法、装置、设备和介质 | |
CN107360261A (zh) | 一种http请求处理方法、装置及电子设备 | |
WO2020228038A1 (zh) | 域名处理方法、装置、电子设备以及存储介质 | |
CN103973506A (zh) | 一种域名校验方法、装置及系统 | |
CN112953962A (zh) | 域名访问方法及装置 | |
CN110677506B (zh) | 网络访问方法、装置、计算机设备及存储介质 | |
CN113992382B (zh) | 业务数据处理方法、装置、电子设备及存储介质 | |
CN105592083A (zh) | 终端利用令牌访问服务器的方法和装置 | |
CN110020040B (zh) | 查询数据的方法、装置和系统 | |
CN109471713B (zh) | 用于查询信息的方法和装置 | |
CN110177096B (zh) | 客户端认证方法、装置、介质和计算设备 | |
CN110191203B (zh) | 实现服务器动态访问的方法及电子设备 | |
CN109525478B (zh) | 一种ssl vpn连接方法及装置 | |
CN114338630B (zh) | 域名访问方法、装置、电子设备、存储介质及程序产品 | |
CN111049945A (zh) | 基于http协议的网络请求优化方法、装置、设备及介质 | |
CN112491855B (zh) | 一种handle标识解析状态的确定方法及装置 | |
US11218479B2 (en) | Authentication broker apparatus and non-transitory computer readable medium storing authentication broker program | |
CN110941805B (zh) | 身份认证方法及装置 | |
CN109086210B (zh) | 用于测试导航应用的导航信息方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20210415 Address after: 200131 Zone E, 9th floor, No.1 Lane 666, zhangheng Road, Pudong New Area pilot Free Trade Zone, Shanghai Applicant after: Shanghai Shangxiang Network Technology Co.,Ltd. Address before: 201306 N2025 room 24, 2 New Town Road, mud town, Pudong New Area, Shanghai Applicant before: SHANGHAI LIANSHANG NETWORK TECHNOLOGY Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |