CN112039829A - 域名系统的劫持检测及上报方法、装置 - Google Patents
域名系统的劫持检测及上报方法、装置 Download PDFInfo
- Publication number
- CN112039829A CN112039829A CN201910483486.1A CN201910483486A CN112039829A CN 112039829 A CN112039829 A CN 112039829A CN 201910483486 A CN201910483486 A CN 201910483486A CN 112039829 A CN112039829 A CN 112039829A
- Authority
- CN
- China
- Prior art keywords
- domain name
- hijacking
- name system
- server
- historical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000001514 detection method Methods 0.000 title claims description 18
- 230000007123 defense Effects 0.000 claims abstract description 107
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000013507 mapping Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000002688 persistence Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本说明书一个或多个实施例提供一种域名系统的劫持检测及上报方法、装置,该劫持检测方法可以包括:确定本端设备对应的域名系统服务器;从防御服务器处获取对应于所述域名系统服务器的历史劫持信息集合,所述历史劫持信息集合包含所述域名系统服务器的服务对象向所述防御服务器上报的历史劫持信息;根据所述历史劫持信息集合,识别所述域名系统服务器是否存在被劫持风险。
Description
技术领域
本说明书一个或多个实施例涉及网络安全技术领域,尤其涉及一种域名系统的劫持检测及上报方法、装置。
背景技术
DNS(Domain Name System,域名系统)用于实现域名解析功能,以将用户访问的域名转换为IP地址。DNS通常包括ADNS(Authoritative DNS,权威DNS或授权DNS)和LDNS(Local DNS,本地DNS或递归DNS),ADNS为最终决定域名解析结果的DNS,而LDNS没有域名解析结果的决定权,但代理了用户向ADNS获取域名解析结果的过程。实际上,DNS解析是一个递归过程,当各地的LDNS服务器接收到用户的域名解析查询请求时,LDNS服务器会向ADNS服务器发起请求并获得相应的域名解析结果,以提供至用户。
在获得ADNS服务器提供的域名解析结果后,LDNS服务器会将域名解析结果保存一段时间,这段时间内如果再接到同样域名的解析查询请求,LDNS服务器无需向ADNS服务器发起请求,而是直接返回先前保存的域名解析结果。但是,不法分子可能基于上述特性对LDNS服务器实施DNS劫持;例如,不法分子可以通过篡改LDNS服务器上的数据,使得LDNS服务器使用篡改后的数据响应用户发起的域名解析查询请求,导致用户无法正常访问正确的IP地址,甚至由于访问了不法分子设定的IP地址而造成损失。
发明内容
有鉴于此,本说明书一个或多个实施例提供一种域名系统的劫持检测及上报方法、装置。
为实现上述目的,本说明书一个或多个实施例提供技术方案如下:
根据本说明书一个或多个实施例的第一方面,提出了一种域名系统的劫持检测方法,包括:
确定本端设备对应的域名系统服务器;
从防御服务器处获取对应于所述域名系统服务器的历史劫持信息集合,所述历史劫持信息集合包含所述域名系统服务器的服务对象向所述防御服务器上报的历史劫持信息;
根据所述历史劫持信息集合,识别所述域名系统服务器是否存在被劫持风险。
根据本说明书一个或多个实施例的第二方面,提出了一种域名系统的劫持上报方法,包括:
确定本端设备对应的域名系统服务器;
当确定所述域名系统服务器被劫持时,向防御服务器上报针对所述域名系统服务器的历史劫持信息,以由所述防御服务器更新对应于所述域名系统服务器的历史劫持信息集合;其中,所述历史劫持信息集合包含所述域名系统服务器的服务对象向所述防御服务器上报的历史劫持信息。
根据本说明书一个或多个实施例的第三方面,提出了一种域名系统的劫持检测装置,包括:
确定单元,确定本端设备对应的域名系统服务器;
获取单元,从防御服务器处获取对应于所述域名系统服务器的历史劫持信息集合,所述历史劫持信息集合包含所述域名系统服务器的服务对象向所述防御服务器上报的历史劫持信息;
识别单元,根据所述历史劫持信息集合,识别所述域名系统服务器是否存在被劫持风险。
根据本说明书一个或多个实施例的第四方面,提出了一种域名系统的劫持上报装置,包括:
确定单元,确定本端设备对应的域名系统服务器;
上报单元,当确定所述域名系统服务器被劫持时,向防御服务器上报针对所述域名系统服务器的历史劫持信息,以由所述防御服务器更新对应于所述域名系统服务器的历史劫持信息集合;其中,所述历史劫持信息集合包含所述域名系统服务器的服务对象向所述防御服务器上报的历史劫持信息。
根据本说明书一个或多个实施例的第五方面,提出了一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如第一方面和/或第二方面所述的方法。
根据本说明书一个或多个实施例的第六方面,提出了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如第一方面和/或第二方面所述方法的步骤。
附图说明
图1是一示例性实施例提供的一种域名系统的劫持检测系统的架构示意图。
图2A是一示例性实施例提供的一种域名系统的劫持检测方法的流程图。
图2B是一示例性实施例提供的一种域名系统的劫持上报方法的流程图。
图3是一示例性实施例提供的一种防御客户端与防御服务端的功能架构的示意图。
图4是一示例性实施例提供的一种检测DNS劫持风险的流程图。
图5是一示例性实施例提供的一种预测DNS劫持风险的流程图。
图6是一示例性实施例提供的一种设备的结构示意图。
图7是一示例性实施例提供的一种域名系统的劫持检测装置的框图。
图8是一示例性实施例提供的另一种设备的结构示意图。
图9是一示例性实施例提供的另一种域名系统的劫持上报装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书一个或多个实施例相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书一个或多个实施例的一些方面相一致的装置和方法的例子。
需要说明的是:在其他实施例中并不一定按照本说明书示出和描述的顺序来执行相应方法的步骤。在一些其他实施例中,其方法所包括的步骤可以比本说明书所描述的更多或更少。此外,本说明书中所描述的单个步骤,在其他实施例中可能被分解为多个步骤进行描述;而本说明书中所描述的多个步骤,在其他实施例中也可能被合并为单个步骤进行描述。
图1是一示例性实施例提供的一种域名系统的劫持检测系统的架构示意图。如图1所示,该系统可以包括LDNS服务器11、ADNS服务器12、防御服务器13、计算设备14、网络15,计算设备14可以包括PC141、手机142和手机143等。
LDNS服务器11可以为包含一独立主机的物理服务器,或者该LDNS服务器11可以为主机集群承载的虚拟服务器。类似地,ADNS服务器12可以为包含一独立主机的物理服务器,或者该ADNS服务器12可以为主机集群承载的虚拟服务器。在运行过程中,LDNS服务器11可以接收来自任一计算设备14的域名解析查询请求,以实现相应的域名解析功能。如果LDNS服务器11未保存计算设备14请求解析的域名X对应的IP地址,那么LDNS服务器11可以向上级的ADNS服务器12发起请求,由ADNS服务器12解析确定出域名X对应的IP地址,并将域名解析结果返回至LDNS服务器11,则LDNS服务器11可以将对应的IP地址返回至计算设备14。ADNS服务器12返回至LDNS服务器11的域名解析结果存在一定的存活时长(TTL,Time ToLive),使得域名解析结果在过期前可以保存在LDNS服务器11上,使得某一计算设备14再次向LDNS服务器11发起针对域名X的解析查询请求时,可以对已保存的域名解析结果实现复用,而无需向ADNS服务器12临时发起请求。
防御服务器13可以为包含一独立主机的物理服务器,或者该防御服务器13可以为主机集群承载的虚拟服务器。在运行过程中,防御服务器13可以收集LDNS服务器11的服务对象上报的历史劫持信息,以形成针对LDNS服务器11的历史劫持信息集合;例如,当PC141认为LDNS服务器11发生DNS劫持或存在DNS劫持风险时,可以向防御服务器13上报历史劫持信息,手机142同样可以向防御服务器13上报历史劫持信息。以及,防御服务器13可以将历史劫持信息集合提供至各个计算设备14,比如通过将历史劫持信息集合提供至手机143,使得手机143可以据此评估LDNS服务器11的被劫持风险。
PC和手机只是用户可以使用的部分类型的计算设备14。实际上,用户显然还可以使用诸如下述类型的计算设备14:平板设备、笔记本电脑、掌上电脑(PDAs,PersonalDigital Assistants)、可穿戴设备(如智能眼镜、智能手表等)等,本说明书一个或多个实施例并不对此进行限制。在运行过程中,计算设备14可以向防御服务器13上报LDNS服务器11的历史劫持信息,也可以根据防御服务器13提供的历史劫持信息集合来评估LDNS服务器11的被劫持风险。
而对于LDNS服务器11、ADNS服务器12、防御服务器13和计算设备14之间进行交互的网络15,可以包括任意类型的有线或无线网络,本说明书并不对此进行限制。
图2A是一示例性实施例提供的一种域名系统的劫持检测方法的流程图。如图2A所示,该方法应用于计算设备,可以包括以下步骤:
步骤202A,确定本端设备对应的域名系统服务器。
在一实施例中,本端设备可以包括任意类型的计算设备,比如上文所述的PC、笔记本电脑、平板设备、笔记本电脑、掌上电脑、可穿戴设备、手机等,本说明书并不对此进行限制。尤其是,对于平板设备、可穿戴设备、手机等移动设备而言,难以实现向ADNS服务器发送标准的DNS请求包,因而无法通过ADNS服务器提供的域名解析结果对于LDNS服务器提供的域名解析结果进行比对,以鉴别出LDNS服务器是否发生DNS劫持。此时,本说明书的劫持检测方案可以有效提升移动设备对DNS劫持的鉴别能力。
在一实施例中,本说明书需要鉴别的域名系统服务器可以包括本地域名系统服务器,即LDNS服务器。而由于本说明书的劫持检测方案并不涉及到对不同DNS服务器所产生的域名解析结果进行比对,因而该劫持检测方案还适用于其他任意类型的DNS服务器,本说明书并不对此进行限制。
在一实施例中,域名系统服务器可以由运营商进行设定,尤其是对于使用移动通讯网络的手机等移动设备。在一些情况下,用户也可以对本端设备对应的域名系统服务器进行手动配置和修改,但这对于移动设备而言通常较为困难。
步骤204A,从防御服务器处获取对应于所述域名系统服务器的历史劫持信息集合,所述历史劫持信息集合包含所述域名系统服务器的服务对象向所述防御服务器上报的历史劫持信息。
在一实施例中,每一域名系统服务器分别对应于一个历史劫持信息集合,该历史劫持信息集合中包含了相应的域名系统服务器的服务对象上报的历史劫持信息,表明相应的域名系统服务器曾经发生过DNS劫持。
在一实施例中,防御服务器上运行有防御服务端、计算设备上运行有防御客户端,使得防御服务器与计算设备可以通过防御服务端与防御客户端实现相互通讯。域名系统服务器的服务对象可以包括安装有防御客户端的计算设备,该计算设备可以向防御服务器上报历史劫持信息,即该计算设备遭遇到域名系统服务器被劫持的情况。由于防御服务器可以对接数量众多的计算设备,使得历史劫持信息集合可以包含这些计算设备分别上传的历史劫持信息,从而构成了用于鉴别域名系统服务器是否被劫持的大量样本,使得本端设备在不需要向ADNS服务器发送DNS请求包的情况下,通过参考历史劫持信息集合即可准确判定自身对应的域名系统服务器是否发生了DNS劫持。
在一实施例中,本端设备在确定对应的域名系统服务器发生DNS劫持时,可以向防御服务器上报相应的历史劫持信息,该历史劫持信息将被添加至上述的历史劫持信息集合中。
在一实施例中,本端设备可以在收到本端用户发起的域名解析查询请求时,向防御服务器请求获取历史劫持信息集合,使得历史劫持信息集合可以包含尽可能全面的历史劫持信息,以提升本端设备对被劫持风险的识别准确度。
在一实施例中,本端设备可以接收防御服务器主动推送的历史劫持信息集合。例如,防御服务器可以按周期向本端设备以及各个计算设备推送相应的历史劫持信息集合;或者,防御服务器可以在历史劫持信息集合发生更新或更新率(即最近一次推送之后更新的历史劫持信息在集合中的占比)达到预设比例时,向本端设备以及各个计算设备推送相应的历史劫持信息集合。由于历史劫持信息集合被预先推送被缓存在本端设备处,因而在收到本端设备发起的域名解析查询请求时,本端设备无需临时向防御服务器请求获取历史劫持信息集合,因而可以提升对被劫持风险的识别效率,尤其是如果本端设备须在确定域名系统服务器不存在被劫持风险或风险较低时才向域名解析服务器请求解析相关域名,那么可以缩短本端用户的等待时长、加快对域名解析查询请求的响应速度。
在一实施例中,历史劫持信息集合可以包括:针对域名系统服务器上报的所有历史劫持信息,其中不同的历史劫持信息可能对应于同一域名或不同域名,均可以在一定程度上表示该域名系统服务器遭遇了DNS劫持。譬如,当本端设备希望解析域名W1时,如果历史劫持信息集合中包含针对域名W2的历史劫持信息,那么至少表明该域名系统服务器遭遇了针对域名W2的DNS劫持,因而该域名系统服务器相对于没有遭遇任何DNS劫持的其他域名系统服务器而言,显然具有相对更大的可能性,使得其无法正确解析域名W1。
在一实施例中,在本端设备收到本端用户发起的针对特定域名的域名解析查询请求时,历史劫持信息集合可以包括:针对该域名系统服务器上报且对应于该特定域名的历史劫持信息。譬如,当本端设备希望解析域名W1时,历史劫持信息集合可以包含针对该域名W1的历史劫持信息,以用于确定该域名系统服务器是否能够正确解析域名W1。其中,历史劫持信息集合可以仅包含针对特定域名的历史劫持信息,或者历史劫持信息集合还可以包含针对其他域名的历史劫持信息,只是仅通过针对特定域名的历史劫持信息来识别该域名系统服务器能否正确解析该特定域名。当本端设备需要针对特定域名进行解析时,通过采用针对特定域名的历史劫持信息进行识别,相比于通过针对其他域名的历史劫持信息进行识别,具有相对更高的准确度。
在一实施例中,历史劫持信息集合可以包含:防御服务器在历史上接收到的所有针对上述域名系统服务器上报的历史劫持信息。在另一实施例中,由于域名系统服务器所遭遇的DNS攻击往往具有一定的时效性,即DNS攻击被发现后可以被及时修复,因而历史劫持信息集合所含历史劫持信息的上报时刻与被劫持风险的识别时刻之间的差值可以不大于预设时长(即最近历史劫持信息),即可以仅根据最近历史劫持信息对域名系统服务器是否遭到DNS攻击进行风险识别,相比于采用相对更久之前的历史劫持信息进行识别,可以实现相对更高的准确度。
步骤206A,根据所述历史劫持信息集合,识别所述域名系统服务器是否存在被劫持风险。
在一实施例中,根据历史劫持信息集合所表征的历史经验,可以对域名系统服务器的被劫持风险进行准确识别,尤其是对于上文所述无法构造标准DNS请求包的移动设备而言,可以据此鉴别域名系统服务器是否可能发生了DNS劫持。
在一实施例中,当历史劫持信息集合所含历史劫持信息超出预设数量时,假定计算设备的网络访问次数和频率总体上基本处于均衡状态,那么表明域名系统服务器发生DNS劫持的次数相对较多,因而该域名系统服务器可以被判定为存在被劫持风险或发生DNS劫持的风险相对较高。
在一实施例中,历史劫持信息集合可以包括:最近历史劫持信息和其他历史劫持信息,其中最近历史劫持信息的上报时刻与被劫持风险的识别时刻之间的差值不大于预设时长。由于域名系统服务器发生DNS劫持后可以被及时修复,使得历史劫持信息具有一定的时效性,因而最近历史劫持信息相比于其他历史劫持信息而言,能够相对更为准确地表达出域名系统服务器当前是否存在被劫持风险或风险高低。因此,当历史劫持信息集合所含最近历史劫持信息的数量超出预设数量时,表明域名系统服务器最近发生了DNS劫持,因而该域名系统服务器可以被判定为存在被劫持风险或发生DNS劫持的风险相对较高。
在一实施例中,可以根据历史劫持信息集合所含历史劫持信息或最近历史劫持信息的数量所处的数值区间,以及预定义的数值区间与风险等级之间的映射关系,确定域名系统服务器对应的风险等级。例如,可以通过设定一阈值Sa而形成两个数值区间,即[0,Sa]和[Sa+1,∞],其中数值区间[0,Sa]对应的风险等级为“无风险”、数值区间[Sa+1,∞]对应的风险等级为“有风险”。再例如,可以设定更多数量的数值区间和风险等级,比如[0,Sa]、[Sa+1,Sb]和[Sb+1,∞],其中数值区间[0,Sa]对应的风险等级为“低风险”、数值区间[Sa+1,Sb]对应的风险等级为“中风险”、数值区间[Sb+1,∞]对应的风险等级为“高风险”。
在一实施例中,当域名系统服务器被识别为存在被劫持风险时,可以在本端设备上展示风险提示信息。风险提示信息可以包括具有提示性的任意信息,比如“存在DNS劫持风险,请注意访问安全”,再比如可以展示与域名系统服务器相关的历史劫持信息/最近历史劫持信息的数量,或历史劫持信息/最近历史劫持信息在最近N天的每日上报数量等。
在一实施例中,可以展示本端设备可用的其他域名系统服务器和相应的被劫持风险信息,比如每一其他域名系统服务器对应的历史劫持信息的总数量或每日上报数量等,并且可以按照被劫持风险从低到高的顺序进行依次排列,以便于本端用户进行查看和选择。然后,可以将本端设备对应的域名系统服务器更新为被选取的其他域名系统服务器,尤其是在本端设备原本对应的域名系统服务器存在相对更高的被劫持风险时,通过更新为被选取的其他域名系统服务器,可以降低域名解析失败(无法解析或错误解析)的概率。
图2B是一示例性实施例提供的一种域名系统的劫持上报方法的流程图。如图2B所示,该方法应用于计算设备,可以包括以下步骤:
步骤202B,确定本端设备对应的域名系统服务器。
在一实施例中,可以参考图2A所示实施例的步骤202A,此处不再赘述。
步骤204B,当确定所述域名系统服务器被劫持时,向防御服务器上报针对所述域名系统服务器的劫持信息,以由所述防御服务器更新对应于所述域名系统服务器的历史劫持信息集合;其中,所述历史劫持信息集合包含所述域名系统服务器的服务对象向所述防御服务器上报的历史劫持信息。
在一实施例中,防御服务器上运行有防御服务端、计算设备上运行有防御客户端,使得防御服务器与计算设备可以通过防御服务端与防御客户端实现相互通讯。域名系统服务器的服务对象可以包括安装有防御客户端的计算设备,该计算设备可以向防御服务器上报历史劫持信息,即该计算设备遭遇到域名系统服务器被劫持的情况。例如在步骤204B中,本端设备通过运行的防御客户端,即可向防御服务器上报历史劫持信息,该历史劫持信息表明本端设备遭遇到上述域名系统服务器被劫持的情况。
防御服务器针对每一域名系统服务器分别维护一个历史劫持信息集合,该历史劫持信息集合中包含了相应的域名系统服务器的服务对象上报的历史劫持信息,表明相应的域名系统服务器曾经发生过DNS劫持。因此,针对上述本端设备对应的域名系统服务器,同样存在一个对应的历史劫持信息集合,而防御服务器可以将接收到的针对该域名系统服务器的历史劫持信息添加至该历史劫持信息集合中;譬如本端设备上报的历史劫持信息可以被添加至该历史劫持信息集合中。
实际上,由于防御服务器可以对接数量众多的计算设备,使得历史劫持信息集合可以包含这些计算设备分别上传的历史劫持信息,从而构成了用于鉴别域名系统服务器是否被劫持的大量样本。因此,对于任意一台计算设备而言(包括本端设备),在不需要向ADNS服务器发送DNS请求包的情况下,均可以通过参考历史劫持信息集合即可准确判定自身对应的域名系统服务器是否发生了DNS劫持。
下面以移动设备对DNS服务器进行劫持风险识别的场景为例,对本说明书的劫持检测方案进行描述。图3是一示例性实施例提供的一种防御客户端与防御服务端的功能架构的示意图。如图3所示,移动设备包括DNS解析模块和防御客户端,DNS解析模块可以向LDNS服务器请求实现域名解析功能,而防御客户端可与防御服务器上运行的防御服务端进行配合,以识别LDNS服务器是否存在被劫持风险。
当用户通过移动设备访问某一域名Wx时,可以通过DNS解析模块向LDNS服务器发起DNS请求报文,以请求LDNS服务器解析出域名Wx对应的IP地址,而防御客户端可以配合于防御服务端,识别LDNS服务器是否存在被劫持风险,从而确定域名Wx是否能够被正确解析。下面结合图4对该过程进行描述;其中,图4是一示例性实施例提供的一种检测DNS劫持风险的流程图。如图4所示,检测DNS劫持风险的流程可以包括以下步骤:
步骤402,获取LDNS服务器的出口IP。
在一实施例中,移动设备的LDNS服务器通常由网络服务运营商所设定。防御客户端可以包含LDNS出口IP获取模块,用于获取移动设备对应的LDNS服务器的出口IP,即确定出移动设备所对应的LDNS服务器。
步骤404,监听域名解析查询请求。
在一实施例中,DNS解析模块可以发起域名解析查询请求,从而向LDNS服务器发送相应的DNS请求报文,该DNS请求报文用于请求LDNS服务器对诸如上述的域名Wx进行解析。防御客户端可以包含DNS监听模块,该DNS监听模块可以对DNS解析模块进行监听,以确定是否产生上述的域名解析查询请求。
步骤406,确定是否存在本地缓存的历史劫持信息集合;若存在,则转入步骤410,否则转入步骤408。
在一实施例中,防御服务端可以包含劫持信息接收模块,该劫持信息接收模块可以用于接收防御客户端上报的历史劫持信息,譬如下文将会介绍本实施例的移动设备内置的劫持信息发送模块可以实现对历史劫持信息的上报操作,而其他计算设备同样可以通过所运行的防御客户端包含的劫持信息发送模块对历史劫持信息进行上报。
防御服务端可以包含劫持信息分析模块和劫持信息持久化模块。劫持信息分析模块用于对计算设备上报的历史劫持信息进行分析,比如确定历史劫持信息对应的LDNS服务器、是否发生DNS劫持等,从而将针对同一LDNS服务器且表明发生DNS劫持的历史劫持信息统计至同一历史劫持信息集合,并由劫持信息持久化模块进行持久化存储。
步骤408,向防御服务器请求历史劫持信息集合。
在一实施例中,移动设备可以向防御服务器告知其对应的LDNS服务器,比如上文中由LDNS出口IP获取模块所获得的出口IP,并向防御服务器请求该LDNS服务器对应的历史劫持信息集合,由防御服务端所含的劫持信息下发模块将该历史劫持信息集合推送至防御客户端所含的劫持信息获取模块。如果移动设备对获得的历史劫持信息集合进行本地缓存,那么在下次执行至步骤406时,可以确定存在本地缓存的历史劫持信息集合;当然,每次获得的历史劫持信息集合可以存在对应的TTL,使得历史劫持信息集合在超时后被自动删除。
需要指出的是:
在一种情况下,历史劫持信息集合与LDNS服务器之间一一对应,即历史劫持信息集合包含针对相应的LDNS服务器上报的所有历史劫持信息,而不论相应的计算设备是针对哪个域名访问的过程中发现了DNS劫持问题。那么,移动设备不论是从本地缓存读取或临时向防御服务器获得了上述的历史劫持信息集合,该历史劫持信息集合中将包含两部分:针对域名Wx的历史劫持信息、针对其他域名的历史劫持信息;甚至,可能并未包含针对域名Wx的历史劫持信息。
在另一种情况下,历史劫持信息集合与LDNS服务器所解析的域名之间一一对应,即历史劫持信息集合包含针对相应的LDNS服务器所解析的某一域名上报的所有历史劫持信息。那么,当移动设备所需访问的域名为Wx时,上述历史劫持信息集合应当包含相应的LDNS服务器在解析域名Wx时产生的历史劫持信息,表明:相应的计算设备在请求LDNS服务器解析域名Wx时,曾经发生过解析失败的情形,因而将LDNS服务器标记为发生了DNS劫持。
步骤410,当LDNS服务器被大量用户标记为发生劫持时,转入步骤412a,否则转入步骤412b。
在一实施例中,可以统计历史劫持信息集合所含历史劫持信息的数量,并据此确定LDNS服务器是否被大量用户标记为发生劫持。例如,当统计的数量达到预设数量时,可以判定LDNS服务器被大量用户标记为发生劫持;否则,可以判定为LDNS服务器未被大量用户标记为发生劫持。
在一实施例中,参与统计的历史劫持信息可以仅对应于域名Wx,而针对其他域名生成的历史劫持信息并不参与统计。由于针对LDNS服务器实施DNS劫持时,可能仅针对部分域名实施劫持,因而在移动设备需要访问域名Wx时,通过仅统计域名Wx对应的历史劫持信息,有助于提升对LDNS服务器是否发生DNS劫持的判断准确率,避免在LDNS服务器能够对域名Wx进行正确解析的情况下,根据其他域名对应的历史劫持信息而误判为LDNS服务器无法正确解析域名Wx。
在一实施例中,参与统计的历史劫持信息可以对应于所有域名,即无论是否针对域名Wx产生的历史劫持信息,均可以参与统计;尤其是,当历史劫持信息集合中并未包含针对域名Wx的历史劫持信息时,虽然可能是由于LDNS服务器确实能够正确解析该域名Wx,但如果存在很多针对其他域名的历史劫持信息,那么也可能是由于针对域名Wx的访问量过少而导致相应的历史劫持信息过少或不存在,但并不能够排除LDNS服务器发生DNS劫持的可能性。因此,通过参考针对域名Wx之外的其他域名产生的历史劫持信息,可以协助判断LDNS服务器是否能够准确解析域名Wx。
在一实施例中,由于LDNS服务器所受到的DNS劫持具有一定的时效性,发现后可以被及时解除劫持,因而参与统计的历史劫持信息可以存在一定的时效性:例如,仅针对最近(与当前时刻的时差小于预设值)上报的历史劫持信息进行统计,以提升判断的准确度。
步骤412a,展示风险提示信息。
在一实施例中,当LDNS服务器被大量用户标记为发生劫持时,该LDNS服务器存在较高的DNS劫持风险,需要向用户展示风险显示信息,以警示用户。防御客户端可以包含劫持信息展示模块,可以对上述的风险提示信息进行展示。例如,风险提示信息可以包括:统计的历史劫持信息的数量、历史劫持信息的每日上报数量变化曲线、提示文字等。
在一实施例中,当判定LDNS服务器存在较高的DNS劫持风险时,可以阻止用户对LDNS服务器解析域名Wx而得到的IP地址。例如,可以阻止DNS解析模块向LDNS服务器发送DNS请求报文。再例如,虽然DNS解析模块可以向LDNS服务器发送DNS请求报文,但是对于LDNS服务器返回的DNS响应报文所含的IP地址,可以解决移动设备对该IP地址进行访问。
在一实施例中,用户可以自行选择是否继续访问,而并不对用户的访问操作实施阻止或干扰。其中,可以异步实施“识别LDNS服务器是否存在DNS劫持风险”和“向LDNS服务器请求获取域名Wx对应的IP地址”,使得用户选择继续访问时,可以迅速对该IP地址进行访问、无需临时请求。或者,由于用户通常不会在LDNS服务器存在DNS劫持风险的情况下冒险访问,因而可以默认优先识别LDNS服务器是否存在DNS劫持风险,从而当不存在DNS劫持风险时向LDNS服务器请求获取域名Wx对应的IP地址,当存在DNS劫持风险时默认不请求IP地址,而仅在用户选择继续访问时临时请求IP地址,那么对于大部分不会冒险访问的用户而言,可以节省请求IP地址的相关资源。
步骤412b,访问域名对应的IP地址。
在一实施例中,当LDNS服务器未被大量用户标记为发生劫持时,该LDNS服务器不存在或存在较低的DNS劫持风险,允许移动设备正常访问LDNS服务器为域名Wx解析得到的IP地址。
步骤414,向用户询问被劫持情况。
步骤416,获取用户添加的标记信息。
步骤418,向防御服务器上报标记结果。
在一实施例中,在移动设备访问LDNS服务器解析域名Wx得到的IP地址后,用户可以根据访问请求确定LDNS服务器是否发生DNS劫持:如果访问正常,说明未发生DNS劫持;如果访问中断或访问了仿冒的网站,说明LDNS服务器发生了DNS劫持。
在一实施例中,防御客户端可以包含劫持标记模块,该劫持标记模块用于向用户询问并获取用户添加的标记信息,以表明LDNS服务器是否对域名Wx实施了正确解析,即LDNS服务器是否发生了DNS劫持。进一步地,防御客户端可以包含劫持信息发送模块,该劫持信息发送模块用于将标记结果上报至防御服务端,该标记结果可以包括:LDNS服务器的出口IP、域名Wx、是否收到DNS劫持等信息。该标记结果相当于上文所述的计算设备上报至防御服务端的历史劫持信息,可由劫持信息分析模块进行分析后确定是否添加至相应的历史劫持信息集合中。
图5是一示例性实施例提供的一种预测DNS劫持风险的流程图。如图5所示,预测DNS劫持风险的流程可以包括以下步骤:
步骤502,获取LDNS服务器的出口IP。
在一实施例中,可以参考上述实施例中的步骤402。
步骤504,确定是否存在本地缓存的历史劫持信息集合;若存在,则转入步骤508,否则转入步骤506。
步骤506,向防御服务器请求历史劫持信息集合。
在一实施例中,可以参考上述实施例中的步骤406-408。
步骤508,展示风险提示信息。
在一实施例中,与图4所示实施例的区别在于:用户尚未通过移动设备发起域名解析查询请求时,防御客户端即可针对LDNS服务器的DNS劫持风险进行预测,从而提前向用户发出相应的风险提示。
由于尚未发起域名解析查询请求,因而DNS监听模块无法确定用户需要访问的域名,所以可以统计针对LDNS服务器上报的所有历史劫持信息,而不论其对应的域名为何,从而在整体上预测出LDNS服务器发生DNS劫持的风险有无或高低。例如,当统计的历史劫持信息的数量达到预设数量时,可以判定为存在风险或风险较高,需要由劫持信息展示模块向用户展示风险提示信息;而当统计的历史劫持信息的数量未达到预设数量时,可以判定为不存在风险或风险较低,无需向用户展示风险提示信息。
如前所述,由于LDNS服务器所受到的DNS劫持具有一定的时效性,发现后可以被及时解除劫持,因而参与统计的历史劫持信息可以存在一定的时效性:例如,仅针对最近(与当前时刻的时差小于预设值)上报的历史劫持信息进行统计,以提升判断的准确度。
图6是一示例性实施例提供的一种设备的示意结构图。请参考图6,在硬件层面,该设备包括处理器602、内部总线604、网络接口606、内存608以及非易失性存储器610,当然还可能包括其他业务所需要的硬件。处理器602从非易失性存储器610中读取对应的计算机程序到内存608中然后运行,在逻辑层面上形成域名系统的劫持检测装置。当然,除了软件实现方式之外,本说明书一个或多个实施例并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
请参考图7,在软件实施方式中,该域名系统的劫持检测装置可以包括:
确定单元71,确定本端设备对应的域名系统服务器;
获取单元72,从防御服务器处获取对应于所述域名系统服务器的历史劫持信息集合,所述历史劫持信息集合包含所述域名系统服务器的服务对象向所述防御服务器上报的历史劫持信息;
识别单元73,根据所述历史劫持信息集合,识别所述域名系统服务器的被劫持风险。
可选的,所述获取单元72具体用于:
在所述本端设备收到本端用户发起的域名解析查询请求时,向所述防御服务器请求获取所述历史劫持信息集合;或,
接收所述防御服务器主动推送的所述历史劫持信息集合。
可选的,
所述历史劫持信息集合包括:针对所述域名系统服务器上报的所有历史劫持信息;或,
在所述本端设备收到本端用户发起的针对特定域名的域名解析查询请求时,所述历史劫持信息集合包括:针对所述域名系统服务器上报且对应于所述特定域名的历史劫持信息。
可选的,所述历史劫持信息集合所含历史劫持信息的上报时刻与被劫持风险的识别时刻之间的差值不大于预设时长。
可选的,所述识别单元73具体用于:
当所述历史劫持信息集合所含历史劫持信息或最近历史劫持信息的数量超出预设数量时,所述域名系统服务器被判定为存在被劫持风险;其中,所述最近历史劫持信息的上报时刻与被劫持风险的识别时刻之间的差值不大于预设时长;或,
根据所述历史劫持信息集合所含历史劫持信息或最近历史劫持信息的数量所处的数值区间,以及预定义的数值区间与风险等级之间的映射关系,确定所述域名系统服务器对应的风险等级。
可选的,还包括:
第一展示单元74,当所述域名系统服务器被识别为存在被劫持风险时,展示风险提示信息。
可选的,还包括:
第二展示单元75,展示所述本端设备可用的其他域名系统服务器和相应的被劫持风险信息;
更新单元76,将所述本端设备对应的域名系统服务器更新为被选取的其他域名系统服务器。
可选的,所述域名系统服务器包括:本地域名系统服务器。
可选的,所述本端设备包括:移动设备。
图8是一示例性实施例提供的一种设备的示意结构图。请参考图8,在硬件层面,该设备包括处理器802、内部总线804、网络接口806、内存808以及非易失性存储器810,当然还可能包括其他业务所需要的硬件。处理器802从非易失性存储器810中读取对应的计算机程序到内存808中然后运行,在逻辑层面上形成域名系统的劫持上报装置。当然,除了软件实现方式之外,本说明书一个或多个实施例并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
请参考图9,在软件实施方式中,该域名系统的劫持上报装置可以包括:
确定单元91,确定本端设备对应的域名系统服务器;
上报单元92,当确定所述域名系统服务器被劫持时,向防御服务器上报针对所述域名系统服务器的历史劫持信息,以由所述防御服务器更新对应于所述域名系统服务器的历史劫持信息集合;其中,所述历史劫持信息集合包含所述域名系统服务器的服务对象向所述防御服务器上报的历史劫持信息。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
在一个典型的配置中,计算机包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带、磁盘存储、量子存储器、基于石墨烯的存储介质或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
在本说明书一个或多个实施例使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书一个或多个实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书一个或多个实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
以上所述仅为本说明书一个或多个实施例的较佳实施例而已,并不用以限制本说明书一个或多个实施例,凡在本说明书一个或多个实施例的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书一个或多个实施例保护的范围之内。
Claims (22)
1.一种域名系统的劫持检测方法,其特征在于,包括:
确定本端设备对应的域名系统服务器;
从防御服务器处获取对应于所述域名系统服务器的历史劫持信息集合,所述历史劫持信息集合包含所述域名系统服务器的服务对象向所述防御服务器上报的历史劫持信息;
根据所述历史劫持信息集合,识别所述域名系统服务器是否存在被劫持风险。
2.根据权利要求1所述的方法,其特征在于,所述从防御服务器处获取对应于所述域名系统服务器的历史劫持信息集合,包括:
在所述本端设备收到本端用户发起的域名解析查询请求时,向所述防御服务器请求获取所述历史劫持信息集合;或,
接收所述防御服务器主动推送的所述历史劫持信息集合。
3.根据权利要求1所述的方法,其特征在于,
所述历史劫持信息集合包括:针对所述域名系统服务器上报的所有历史劫持信息;或,
在所述本端设备收到本端用户发起的针对特定域名的域名解析查询请求时,所述历史劫持信息集合包括:针对所述域名系统服务器上报且对应于所述特定域名的历史劫持信息。
4.根据权利要求1所述的方法,其特征在于,所述历史劫持信息集合所含历史劫持信息的上报时刻与被劫持风险的识别时刻之间的差值不大于预设时长。
5.根据权利要求1所述的方法,其特征在于,所述根据所述历史劫持信息集合,识别所述域名系统服务器的被劫持风险,包括:
当所述历史劫持信息集合所含历史劫持信息或最近历史劫持信息的数量超出预设数量时,所述域名系统服务器被判定为存在被劫持风险;其中,所述最近历史劫持信息的上报时刻与被劫持风险的识别时刻之间的差值不大于预设时长;或,
根据所述历史劫持信息集合所含历史劫持信息或最近历史劫持信息的数量所处的数值区间,以及预定义的数值区间与风险等级之间的映射关系,确定所述域名系统服务器对应的风险等级。
6.根据权利要求1所述的方法,其特征在于,还包括:
当所述域名系统服务器被识别为存在被劫持风险时,展示风险提示信息。
7.根据权利要求1所述的方法,其特征在于,还包括:
展示所述本端设备可用的其他域名系统服务器和相应的被劫持风险信息;
将所述本端设备对应的域名系统服务器更新为被选取的其他域名系统服务器。
8.根据权利要求1所述的方法,其特征在于,所述域名系统服务器包括:本地域名系统服务器。
9.根据权利要求1所述的方法,其特征在于,所述本端设备包括:移动设备。
10.一种域名系统的劫持上报方法,其特征在于,包括:
确定本端设备对应的域名系统服务器;
当确定所述域名系统服务器被劫持时,向防御服务器上报针对所述域名系统服务器的历史劫持信息,以由所述防御服务器更新对应于所述域名系统服务器的历史劫持信息集合;其中,所述历史劫持信息集合包含所述域名系统服务器的服务对象向所述防御服务器上报的历史劫持信息。
11.一种域名系统的劫持检测装置,其特征在于,包括:
确定单元,确定本端设备对应的域名系统服务器;
获取单元,从防御服务器处获取对应于所述域名系统服务器的历史劫持信息集合,所述历史劫持信息集合包含所述域名系统服务器的服务对象向所述防御服务器上报的历史劫持信息;
识别单元,根据所述历史劫持信息集合,识别所述域名系统服务器是否存在被劫持风险。
12.根据权利要求11所述的装置,其特征在于,所述获取单元具体用于:
在所述本端设备收到本端用户发起的域名解析查询请求时,向所述防御服务器请求获取所述历史劫持信息集合;或,
接收所述防御服务器主动推送的所述历史劫持信息集合。
13.根据权利要求11所述的装置,其特征在于,
所述历史劫持信息集合包括:针对所述域名系统服务器上报的所有历史劫持信息;或,
在所述本端设备收到本端用户发起的针对特定域名的域名解析查询请求时,所述历史劫持信息集合包括:针对所述域名系统服务器上报且对应于所述特定域名的历史劫持信息。
14.根据权利要求11所述的装置,其特征在于,所述历史劫持信息集合所含历史劫持信息的上报时刻与被劫持风险的识别时刻之间的差值不大于预设时长。
15.根据权利要求11所述的装置,其特征在于,所述识别单元具体用于:
当所述历史劫持信息集合所含历史劫持信息或最近历史劫持信息的数量超出预设数量时,所述域名系统服务器被判定为存在被劫持风险;其中,所述最近历史劫持信息的上报时刻与被劫持风险的识别时刻之间的差值不大于预设时长;或,
根据所述历史劫持信息集合所含历史劫持信息或最近历史劫持信息的数量所处的数值区间,以及预定义的数值区间与风险等级之间的映射关系,确定所述域名系统服务器对应的风险等级。
16.根据权利要求11所述的装置,其特征在于,还包括:
第一展示单元,当所述域名系统服务器被识别为存在被劫持风险时,展示风险提示信息。
17.根据权利要求11所述的装置,其特征在于,还包括:
第二展示单元,展示所述本端设备可用的其他域名系统服务器和相应的被劫持风险信息;
更新单元,将所述本端设备对应的域名系统服务器更新为被选取的其他域名系统服务器。
18.根据权利要求11所述的装置,其特征在于,所述域名系统服务器包括:本地域名系统服务器。
19.根据权利要求11所述的装置,其特征在于,所述本端设备包括:移动设备。
20.一种域名系统的劫持上报装置,其特征在于,包括:
确定单元,确定本端设备对应的域名系统服务器;
上报单元,当确定所述域名系统服务器被劫持时,向防御服务器上报针对所述域名系统服务器的历史劫持信息,以由所述防御服务器更新对应于所述域名系统服务器的历史劫持信息集合;其中,所述历史劫持信息集合包含所述域名系统服务器的服务对象向所述防御服务器上报的历史劫持信息。
21.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如权利要求1-10中任一项所述的方法。
22.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-10中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910483486.1A CN112039829A (zh) | 2019-06-04 | 2019-06-04 | 域名系统的劫持检测及上报方法、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910483486.1A CN112039829A (zh) | 2019-06-04 | 2019-06-04 | 域名系统的劫持检测及上报方法、装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112039829A true CN112039829A (zh) | 2020-12-04 |
Family
ID=73576688
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910483486.1A Pending CN112039829A (zh) | 2019-06-04 | 2019-06-04 | 域名系统的劫持检测及上报方法、装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112039829A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113872978A (zh) * | 2021-09-29 | 2021-12-31 | 绿盟科技集团股份有限公司 | 一种dns劫持的监测方法、装置及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104168339A (zh) * | 2014-06-30 | 2014-11-26 | 汉柏科技有限公司 | 防止域名劫持的方法及设备 |
| CN105592173A (zh) * | 2014-10-23 | 2016-05-18 | 中国移动通信集团公司 | 一种防止dns缓存被染的方法、系统及本地dns服务器 |
| CN107528817A (zh) * | 2016-06-22 | 2017-12-29 | 广州市动景计算机科技有限公司 | 域名劫持的探测方法和装置 |
| CN107819754A (zh) * | 2017-10-30 | 2018-03-20 | 网宿科技股份有限公司 | 一种防劫持方法、监控服务器、终端及系统 |
| CN108881146A (zh) * | 2017-12-28 | 2018-11-23 | 北京安天网络安全技术有限公司 | 域名系统劫持的识别方法、装置、电子设备及存储介质 |
| CN109257373A (zh) * | 2018-10-31 | 2019-01-22 | 腾讯科技(深圳)有限公司 | 一种域名劫持识别方法、装置及系统 |
-
2019
- 2019-06-04 CN CN201910483486.1A patent/CN112039829A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104168339A (zh) * | 2014-06-30 | 2014-11-26 | 汉柏科技有限公司 | 防止域名劫持的方法及设备 |
| CN105592173A (zh) * | 2014-10-23 | 2016-05-18 | 中国移动通信集团公司 | 一种防止dns缓存被染的方法、系统及本地dns服务器 |
| CN107528817A (zh) * | 2016-06-22 | 2017-12-29 | 广州市动景计算机科技有限公司 | 域名劫持的探测方法和装置 |
| CN107819754A (zh) * | 2017-10-30 | 2018-03-20 | 网宿科技股份有限公司 | 一种防劫持方法、监控服务器、终端及系统 |
| CN108881146A (zh) * | 2017-12-28 | 2018-11-23 | 北京安天网络安全技术有限公司 | 域名系统劫持的识别方法、装置、电子设备及存储介质 |
| CN109257373A (zh) * | 2018-10-31 | 2019-01-22 | 腾讯科技(深圳)有限公司 | 一种域名劫持识别方法、装置及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113872978A (zh) * | 2021-09-29 | 2021-12-31 | 绿盟科技集团股份有限公司 | 一种dns劫持的监测方法、装置及电子设备 |
| CN113872978B (zh) * | 2021-09-29 | 2024-03-15 | 绿盟科技集团股份有限公司 | 一种dns劫持的监测方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8745202B2 (en) | Tracking remote browser crashes via cookies | |
| CN111310196B (zh) | 风险识别方法及装置和电子设备 | |
| CN107682345B (zh) | Ip地址的检测方法、检测装置及电子设备 | |
| US20190220334A1 (en) | Anomaly detection using sequences of system calls | |
| CN107748790B (zh) | 一种线上服务系统、数据加载方法、装置及设备 | |
| CN110417747B (zh) | 一种暴力破解行为的检测方法及装置 | |
| CN108810947B (zh) | 基于ip地址的鉴别真实流量的服务器 | |
| CN111556135A (zh) | 一种请求调度方法、系统、装置及电子设备 | |
| CN111080374A (zh) | 广告投放策略的测试方法、竞价服务器及广告投放系统 | |
| CN113726783A (zh) | 异常ip地址识别方法、装置、电子设备及可读存储介质 | |
| CN112511535A (zh) | 一种设备检测方法、装置、设备及存储介质 | |
| CN106789422B (zh) | 一种dns服务器的监测方法及装置 | |
| CN111177513A (zh) | 异常访问地址的确定方法、装置、电子设备及存储介质 | |
| CN112039829A (zh) | 域名系统的劫持检测及上报方法、装置 | |
| CN112838980B (zh) | 一种消息处理方法、系统、装置、电子设备及存储介质 | |
| CN111367691B (zh) | 数据反馈方法及装置、电子设备和可存储介质 | |
| CN109905486B (zh) | 一种应用程序识别展示方法和装置 | |
| CN108390770B (zh) | 一种信息生成方法、装置及服务器 | |
| US11403393B1 (en) | Utilizing predicted resolution times to allocate incident response resources in an information technology environment | |
| CN111291127B (zh) | 一种数据同步方法、装置、服务器及存储介质 | |
| CN107592322B (zh) | 网址拦截方法及装置 | |
| WO2017007982A1 (en) | Passive delegations and records | |
| CN116436901B (zh) | Dns域名更新的时效性检测方法、装置及系统 | |
| CN104283727B (zh) | 对网络服务质量进行监控的方法及系统 | |
| US11451396B2 (en) | False positive reduction in electronic token forgery detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201204 |
|
| RJ01 | Rejection of invention patent application after publication |