CN115412265A - 域名劫持的监测方法、装置、设备及计算机可读存储介质 - Google Patents
域名劫持的监测方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN115412265A CN115412265A CN202110504417.1A CN202110504417A CN115412265A CN 115412265 A CN115412265 A CN 115412265A CN 202110504417 A CN202110504417 A CN 202110504417A CN 115412265 A CN115412265 A CN 115412265A
- Authority
- CN
- China
- Prior art keywords
- domain name
- address information
- information
- resolution
- monitored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种域名劫持的监测方法、装置、设备及计算机可读存储介质,通过接收中心监测设备和节点监测设备分别发送的预设域名列表中待监测域名的授权解析地址信息和本地解析地址信息,对比授权解析地址信息与本地解析地址信息,当授权解析地址信息为可信授权解析地址信息,且可信授权解析地址信息不包括至少一个本地解析地址信息时,生成告警信息,从而及时发现DNS解析异常的域名。由于采用批量化动态实时监测,无需人工的方式对各个域名进行逐个解析测试,通过自动化的方式汇总并对比测试结果,测试效率高,提升了DNS安全防护效率,降低了人工成本。
Description
技术领域
本申请属于网络信息安全领域,尤其涉及一种域名劫持的监测方法、装置、设备及计算机可读存储介质。
背景技术
随着信息化的高速发展,蠕虫、病毒、木马、漏洞攻击、分布式拒绝服务(Distributed Denial of Service,DDoS)攻击等威胁相互结合,对域名服务器(DomainName Service,DNS)的安全造成了严重影响。
目前,DNS安全问题只能预防无法预测,一般只有发生了DNS攻击、劫持之后,才能针对性地做出调整。而发现DNS安全攻击的手段主要靠人工实时查询DNS解析结果,或采用逐行填写监测域名,或批量解析监测域名,未能与预先设置的解析地址进行逐一比对,无法及时地发现DNS解析异常的域名,不仅耗费较多的人力物力,而且DNS安全防护效率低。
发明内容
本申请实施例提供一种域名劫持的监测方法、装置、设备及计算机可读存储介质,能够提升DNS安全防护效率,降低人工成本。
第一方面,本申请实施例提供一种域名劫持的监测方法,该方法包括:
接收待监测的预设域名列表,预设域名列表包括至少一个待监测域名;
分别向中心监测设备和节点监测设备发送待监测域名的解析任务信息;
接收中心监测设备发送的待监测域名的至少一个授权解析地址信息,以及节点监测设备发送的待监测域名的至少一个本地解析地址信息,授权解析地址信息为中心监测设备通过访问授权域名服务器解析待监测域名获取的解析地址信息,本地解析地址信息为节点监测设备通过访问本地域名服务器解析待监测域名获取的解析地址信息;
当授权解析地址信息为可信授权解析地址信息,且可信授权解析地址信息不包括至少一个本地解析地址信息时,生成告警信息。
在一些可能的实现方式中,该方法还包括:
当授权解析地址信息为不可信授权解析地址信息时,生成告警信息。
在一些可能的实现方式中,该方法还包括:
当授权解析地址信息不包括可信授权解析地址时,生成告警信息。
在一些可能的实现方式中,节点监测设备为至少一个;当授权解析地址信息为可信授权解析地址信息,且可信授权解析地址不包括至少一个本地解析地址信息时,生成告警信息,包括:
当授权解析地址信息为可信授权解析地址信息,且可信授权解析地址信息不包括至少一个本地解析地址信息时,确定异常节点监测设备的数量,异常节点监测设备发送的至少一个本地解析地址不包括在可信授权解析地址内;
当异常节点监测设备的数量大于节点监测设备的总数量的一半时,生成告警信息。
在一些可能的实现方式中,可信授权解析地址信息包括域名服务器安全扩展DNSSEC字段信息。
在一些可能的实现方式中,告警信息包括声音告警信息和邮件告警信息,该方法还包括:
当生成告警信息的次数不大于第一预设次数时,向用户终端发送声音告警信息;
当生成告警信息的次数大于第二预设次数时,向用户终端发送邮件告警信息。
第二方面,本申请实施例提供了一种域名劫持的监测装置,装置包括:
接收模块,用于接收待监测的预设域名列表,预设域名列表包括至少一个待监测域名;
发送模块,用于分别向中心监测设备和节点监测设备发送待监测域名的解析任务信息;
接收模块,还用于接收中心监测设备发送的待监测域名的至少一个授权解析地址信息,以及节点监测设备发送的待监测域名的至少一个本地解析地址信息,授权解析地址信息为中心监测设备通过访问授权域名服务器解析待监测域名获取的解析地址信息,本地解析地址信息为节点监测设备通过访问本地域名服务器解析待监测域名获取的解析地址信息;
生成模块,用于当授权解析地址信息为可信授权解析地址信息,且可信授权解析地址不包括至少一个本地解析地址信息时,生成告警信息。
在一些可能的实现方式中,生成模块,还用于:
当授权解析地址信息为不可信授权解析地址信息时,生成告警信息。
第三方面,本申请实施例提供了一种域名劫持的监测设备,设备包括:
处理器,以及存储有计算机程序指令的存储器;
处理器读取并执行计算机程序指令,以实现第一方面或者第一方面任意一种可能的实现方式中的域名劫持的监测方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现第一方面或者第一方面任意一种可能的实现方式中的域名劫持的监测方法。
本申请实施例提供的域名劫持的监测方法、装置、设备及计算机可读存储介质,通过接收中心监测设备和节点监测设备分别发送的预设域名列表中待监测域名的授权解析地址信息和本地解析地址信息,对比授权解析地址信息与本地解析地址信息,当授权解析地址信息为可信授权解析地址信息,且可信授权解析地址信息不包括至少一个本地解析地址信息时,生成告警信息,从而及时发现DNS解析异常的域名。由于采用批量化动态实时监测,无需人工的方式对各个域名进行逐个解析测试,通过自动化的方式汇总并对比测试结果,测试效率高,提升了DNS安全防护效率,降低了人工成本。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单的介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种域名劫持的监测系统的结构示意图;
图2是本申请实施例提供的一种域名劫持的监测方法的流程示意图;
图3是本申请实施例提供的一种域名劫持的监测装置的结构示意图;
图4是本申请实施例提供的一种域名劫持的监测设备的结构示意图。
具体实施方式
下面将详细描述本申请的各个方面的特征和示例性实施例,为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及具体实施例,对本申请进行进一步详细描述。应理解,此处所描述的具体实施例仅意在解释本申请,而不是限定本申请。对于本领域技术人员来说,本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
随着信息化的高速发展,目前的网络安全现状和前几年相比,发生了很大的变化。蠕虫、病毒、木马、漏洞攻击、DDoS攻击等威胁互相结合,对网络的稳定运行和应用安全造成了较大的威胁和不良影响。其中,针对DNS的攻击也已成为最严重的威胁之一。DNS是Internet的重要基础,包括WEB访问、Email服务在内的众多网络服务都和DNS息息相关,因此,DNS的安全直接关系到整个互联网应用能否正常使用。
用户对网站发起访问请求时,由本地域名服务器(Local Domain Name Service,LDNS)向网站的授权DNS发起域名解析请求,得到域名的解析结果即IP地址,在这种情况下DNS安全问题只能预防无法预测,一般只有发生了DNS攻击、劫持等之后,才能针对性的做出调整,而发现DNS安全攻击的手段目前基本靠人工监测,实时查询DNS解析结果,或采用逐行填写监测域名或批量解析的方法,未能与设置的解析地址进行逐一比对,极大的耗费人力物力,为能及时发现DNS安全劫持攻击和解析结果变化。
为了解决现有技术问题,本申请实施例提供了一种域名劫持的监测方法、装置、设备及计算机可读存储介质。
在本申请实施例中,通过接收中心监测设备和节点监测设备分别发送的预设域名列表中待监测域名的授权解析地址信息和本地解析地址信息,对比授权解析地址信息与本地解析地址信息,当授权解析地址信息为可信授权解析地址信息,且可信授权解析地址信息不包括至少一个本地解析地址信息时,生成告警信息,从而及时发现DNS解析异常的域名。由于采用批量化动态实时监测,无需人工的方式对各个域名进行逐个解析测试,通过自动化的方式汇总并对比测试结果,测试效率高,提升了DNS安全防护效率,降低了人工成本。
下面首先对本申请实施例所提供的域名劫持的监测系统进行介绍。
图1示出了本申请一个实施例提供的域名劫持的监测系统的结构示意图。如图1所示,该监测系统包括:控制与判断单元110、读写单元120、显示单元130、告警单元140、监测单元150,其中监测单元150包括中心监测设备151和节点监测设备152。
控制与判断单元110,用于接收读写单元120发送的待监测域名和解析地址列表,并同步至监测单元150;接收读写单元120发送的LDNS地址,并在监测单元150设置解析待监测域名所用的DNS地址为该LDNS地址;向监测单元150下发每一个待监测域名的解析任务信息,进行域名解析任务的启停和异常处理;读取监测单元150的域名解析地址信息,综合判断域名解析地址信息,并向告警单元140发送告警信息。
读写单元120,用于读取预设域名列表和解析地址列表,并将读取的信息发送给控制与判断单元110;读取解析任务所用的LDNS地址,并发送给控制与判断单元100;读取告警的发件邮箱、发件授权码、收件邮箱,并输出给告警单元140;将待监测域名和其对应的解析地址信息生成为列表格式并导出。
显示单元130,用于在系统设备进行界面显示,并与用户交互。
告警单元140,用于接收读写单元120发送的告警信息,生成并发布告警,包括告警音的播放及告警邮件的发送。
监测单元150,用于从对应的DNS获取待监测域名的解析地址信息,并保证DNS缓存一直处于刷新状态。具体的,中心监测设备151用于访问授权域名服务器解析待监测域名,节点监测设备152用于访问运营商所属省份域名服务器解析待监测域名。
基于图1所示的域名劫持的监测系统在执行域名劫持的监测方法之前,首先进行参数设置和预处理,然后再进行域名监测。
参数设置包括设置待监测的域名列表、监测任务时长、任务循环次数、循环时间间隔、告警的发件邮箱、发件授权码、收件邮箱等。
由于LDNS具有区域性,因此,节点监测设备152在不同运营商不同省份LDNS的区域范围内,可以部署1个或多个。节点监测设备152根据自身所在的不同运营商及不同省份,设置解析待监测域名所用的DNS地址为该运营商在该省份的LDNS地址。
图2示出了本申请一个实施例提供的域名劫持的监测方法的流程示意图。如图2所示,该方法可以包括以下步骤:
S210,接收待监测的预设域名列表,预设域名列表包括至少一个待监测域名。
预设域名列表是在进行域名劫持监测之前预先设置需要监测的域名列表,该域名列表包括至少一个待监测域名。
读写单元120读取待监测的预设域名列表,并传输至控制与判断单元110,控制与判断单元110接收预设域名列表,以对待监测域名进行监测。
S220,分别向中心监测设备和节点监测设备发送待监测域名的解析任务信息。
解析任务信息包括预设域名列表和域名解析任务。控制与判断单元110将预设域名列表同步至中心监测设备151和节点监测设备152,并向中心监测设备151和节点监测设备152下发域名解析任务。
中心监测设备151和节点监测设备152接收到域名解析任务后,同时访问相应的DNS进行域名解析,得到DNS返回的解析地址信息。同时监测由授权域名服务器、运营商LDNS及其它互联网环节所导致的域名劫持,可以排除偶发性解析失败或错误,使得出的监测结果更准确。
S130,接收中心监测设备发送的待监测域名的至少一个授权解析地址信息,以及节点监测设备发送的待监测域名的至少一个本地解析地址信息,授权解析地址信息为中心监测设备通过访问授权域名服务器解析待监测域名获取的解析地址信息,本地解析地址信息为节点监测设备通过访问本地域名服务器解析待监测域名获取的解析地址信息。
授权解析地址信息包括待监测域名、所属监测设备、AuthorizedDNS、授权解析地址。
本地解析地址信息包括待监测域名、所属监测设备、运营商LDNS、本地解析地址。
在进行域名解析时,中心监测设备151通过访问授权域名服务器解析待监测域名,得到授权域名服务器返回的授权解析地址,并将待监测域名、所属监测设备、AuthorizedDNS、授权解析地址一同发送至控制与判断单元110。若中心监测设备151在解析待监测域名时,授权域名服务器没有返回授权解析地址,此时,授权解析地址信息包括待监测域名、所属监测设备、AuthorizedDNS、空值提示信息,一般采用Null表示空值提示信息。
为保证授权域名服务器获取到的授权解析地址为正确地址,获取DNSSEC字段信息。DNSSEC协议主要依靠公钥技术对包含在DNS中的信息创建密码签名,为DNS内部的信息同时提供权限认证和校验信息完整性。
若授权解析地址包括DNSSEC字段信息,则表示该授权解析地址可信,若授权解析地址不包括DNSSEC字段信息,则表示该授权解析地址不可信。
当中心监测设备151接收到的授权解析地址为可信授权解析地址时,向控制与判断单元110返回可信授权解析地址信息,包括:待监测域名、所属监测设备、AuthorizedDNS、可信授权解析地址。
当中心监测设备151接收到的授权解析地址为不可信授权解析地址时,向控制与判断单元110返回不可信授权解析地址信息,包括:待监测域名、所属监测设备、AuthorizedDNS、错误提示信息,一般采用Error表示错误提示信息。
节点监测设备152的解析过程与中心监测设备151的解析过程相似,若运营商LDNS返回本地解析地址,便将待监测域名、所属监测设备、运营商LDNS、本地解析地址一同发送至控制与判断单元110,若运营商LDNS没有返回本地解析地址,便将待监测域名、所属监测设备、AuthorizedDNS、Null一同发送至控制与判断单元110。
需要说明的是,由于监测设备通常会缓存解析地址,需要对解析地址缓存清除处理,保证每次获取的解析地址都来自于设备的DNS,因此,监测单元150在清除上一个待监测域名的解析地址缓存后,才会对下一个待监测域名进行DNS解析。
在控制与判断单元110接收到授权解析地址信息和本地解析地址信息之后,提取授权解析地址和本地解析地址,并对两者进行比较,判断授权解析地址和本地解析地址是否一致。
S140,当授权解析地址信息为可信授权解析地址信息,且可信授权解析地址信息不包括至少一个本地解析地址信息时,生成告警信息。
当控制与判断单元110接收到的授权解析地址信息为可信授权解析地址信息时,进一步比较可信授权解析地址信息和本地解析地址信息,在进行比较时,主要是比较解析地址是否一致。
可信授权解析地址信息包括授权解析地址,本地解析地址信息包括本地解析地址,若可信授权解析地址信息不包括至少一个本地解析地址信息,可以理解为,若本地解析地址中存在与可信授权地址不一样的解析地址,生成告警信息通知运维人员。
以节点监测设备为1个为例,本地解析地址中存在与可信授权地址不一样的解析地址,生成告警信息,包括以下3种情况:
第1种:当本地域名服务器向节点监测设备返回的本地解析地址只有1个,授权域名服务器向中心监测设备返回的可信授权解析地址只有1个,当两个地址不为同一个地址时,则认为本地解析地址与可信授权解析地址不一致,发生域名劫持,生成告警信息。否则,则认为本地解析地址与可信授权解析地址一致,未发生域名劫持。
第2种:当本地域名服务器向节点监测设备返回的本地解析地址只有1个,授权域名服务器向中心监测设备返回的可信授权解析地址为多个,当本地解析地址不是多个可信授权解析地址其中之一时,则认为本地解析地址与可信授权解析地址不一致,发生域名劫持,生成告警信息。否则,则认为本地解析地址与可信授权解析地址一致,未发生域名劫持。
第3种:当本地域名服务器向节点监测设备返回的本地解析地址为多个,授权域名服务器向中心监测设备返回的可信授权解析地址为多个,当多个本地解析地址存在不属于多个可信授权解析地址的解析地址时,则认为本地解析地址与可信授权解析地址不一致,发生域名劫持,生成告警信息。否则,则认为本地解析地址与可信授权解析地址一致,未发生域名劫持。
在本申请实施例中,通过接收中心监测设备和节点监测设备分别发送的预设域名列表中待监测域名的授权解析地址信息和本地解析地址信息,对比授权解析地址信息与本地解析地址信息,当授权解析地址信息为可信授权解析地址信息,且可信授权解析地址信息不包括至少一个本地解析地址信息时,生成告警信息,从而及时发现DNS解析异常的域名。由于采用批量化动态实时监测,无需人工的方式对各个域名进行逐个解析测试,通过自动化的方式汇总并对比测试结果,测试效率高,提升了DNS安全防护效率,降低了人工成本。
在一些实施例中,该方法还包括:当授权解析地址信息为不可信授权解析地址信息时,生成告警信息。
不可信授权解析地址信息包括错误提示信息Error,当控制与判断单元110授权解析地址信息为不可信授权解析地址信息时,根据错误提示信息Error,确定该待监测域名解析异常,判定发生了域名授权被劫持,生成告警信息,提醒运维人员及时进行修复。
在一些实施例中,该方法还包括:当授权解析地址信息不包括可信授权解析地址时,生成告警信息。
当授权解析地址信息中不包括可信授权解析地址时,表明授权域名服务器未向中心监测设备返回可信授权解析地址,此时,授权解析地址信息中包括空值提示信息Null。控制与判断单元110根据空值提示信息Null,确定该待监测域名解析异常,判定为发生域名劫持,生成告警信息,提醒运维人员及时进行修复。
在一些实施例中,节点监测设备为至少一个;当授权解析地址信息为可信授权解析地址信息,且可信授权解析地址不包括至少一个本地解析地址信息时,生成告警信息,包括:
当授权解析地址信息为可信授权解析地址信息,且可信授权解析地址信息不包括至少一个本地解析地址信息时,确定异常节点监测设备的数量,异常节点监测设备发送的至少一个本地解析地址不包括在可信授权解析地址内。
当在不同运营商不同省份设置多个节点监测设备时,根据只有1个节点监测设备情况下判断域名发生劫持的方法,即授权解析地址信息为可信授权解析地址信息,且可信授权解析地址信息不包括至少一个本地解析地址信息,将发生劫持的域名对应的节点监测设备确定为异常节点监测设备,并统计异常节点监测设备的数量。
当异常节点监测设备的数量大于节点监测设备的总数量的一半时,则认为该待监测域名解析异常,判定为发生域名劫持,生成告警信息,提醒运维人员及时进行修复。
在一些实施例中,告警信息包括声音告警信息和邮件告警信息,该方法还包括:当生成告警信息的次数不大于第一预设次数时,向用户终端发送声音告警信息,当生成告警信息的次数大于第二预设次数时,向用户终端发送邮件告警信息。
告警信息包括异常域名、解析异常域名所用的异常域名服务器以及异常域名服务器归属地,声音告警信息和邮件告警信息的内容可以相同,只是告警的方式不同,以声音播放的方式向用户终端发送声音告警信息,以邮件的方式向用户终端发送邮件告警信息。
第一预设次数设置为1,当生成告警信息的次数不大于1时,向用户终端发送声音告警信息,也就是说,只要待监测域名解析异常,便会生成声音告警信息,并向用户终端发送声音告警信息。比如说,当待监测域名解析异常时,向用户终端播报“XX域名授权域名服务器解析异常”。
第二预设次数可以根据实际需求进行任意设置,比如,设置为3次,当生成告警信息的次数大于3次时,向用户终端以邮件的形式进行告警。
除此之外,也可以设置为当生成告警信息的次数在某一时间内大于第二预设次数时,向用户终端发送邮件告警信息,例如,当生成告警信息的次数在半个小时内大于3次时,向用户终端以邮件的形式进行告警。
以邮件告警信息为例,当授权解析地址信息为不可信授权解析地址信息时,或者,当授权解析地址信息不包括可信授权解析地址时,向用户终端发送邮件,邮件内容为“XX域名授权DNS解析异常”。
当待监测域名在某个运营商某个省份的本地域名服务器解析的本地解析地址与可信授权解析地址不一致时,向用户终端发送邮件,邮件内容为“XX域名在XX运营商XX省份解析异常”。
当待监测域名在多个地区的本地域名服务器解析的本地解析地址与可信授权解析地址不一致时,向用户终端发送邮件,邮件内容为“XX域名多发性LDNS解析异常”。
每完成一个待监测域名的解析、解析地址判断及告警发送后,读取待监测的预设域名列表里的下一个待监测域名,并开始新一轮的域名的解析、解析地址判断及告警发送。
如果已是待监测的域名列表里最后一个域名,且根据任务次数或任务时间已达到预设参数,判断该域名监测任务已完成。
如果域名监测任务尚未完成,则重新读取待监测的预设域名列表,同步至监测单元并下发域名解析任务。若达到预设的任务次数或任务时间,解析任务停止,可将域名的解析结果由读写模块生成为列表格式并导出,则流程结束。
如表1所示,读写模块120生成域名和其解析地址的列表,表格里包括域名、监测点信息、LDNS地址、授权DNS解析地址、LDNS解析地址,逐行列出待监测的域名及域名应该解析到的正确解析地址,多个解析地址可以用分号隔开,每行一个域名,并将列表通过读写模块120输出给用户终端留存。
表1
在本申请实施例中,通过中心监测设备访问域名授权服务器获取待监测域名的授权解析地址,并在所属运营商LDNS区域内部署了不同节点监测设备,汇总每一个节点监测设备的解析地址,并与授权解析地址进行比对,从而及时发现DNS解析异常的域名。无须人工的方式对各个域名进行逐个解析测试,通过自动化的方式汇总并对比测试结果,测试效率高。批量化设置和监测解析域名的监测设备,并通过不同的告警手段,以展示不同告警的重要程度,拓展性良好,可以根据需要更新告警手段,提升了DNS安全防护能力。
图3是本申请实施例提供的一种装置结构示意图。如图3所示,该装置可以包括接收模块310,发送模块320,和生成模块330。
接收模块310,用于接收待监测的预设域名列表,预设域名列表包括至少一个待监测域名。
发送模块320,用于分别向中心监测设备和节点监测设备发送待监测域名的解析任务信息。
接收模块310,还用于接收中心监测设备发送的待监测域名的至少一个授权解析地址信息,以及节点监测设备发送的待监测域名的至少一个本地解析地址信息,授权解析地址信息为中心监测设备通过访问授权域名服务器解析待监测域名获取的解析地址信息,本地解析地址信息为节点监测设备通过访问本地域名服务器解析待监测域名获取的解析地址信息。
生成模块330,用于当授权解析地址信息为可信授权解析地址信息,且可信授权解析地址不包括至少一个本地解析地址信息时,生成告警信息。
在一些实施例中,生成模块330,还用于:当授权解析地址信息为不可信授权解析地址信息时,生成告警信息。
在一些实施例中,生成模块330,还用于:当授权解析地址信息不包括可信授权解析地址时,生成告警信息。
在一些实施例中,节点监测设备为至少一个;生成模块330,还用于:当授权解析地址信息为可信授权解析地址信息,且可信授权解析地址信息不包括至少一个本地解析地址信息时,确定异常节点监测设备的数量,异常节点监测设备发送的至少一个本地解析地址不包括在可信授权解析地址内;
当异常节点监测设备的数量大于节点监测设备的总数量的一半时,生成告警信息。
在一些实施例中,可信授权解析地址信息包括域名服务器安全扩展DNSSEC字段信息。
在一些实施例中,告警信息包括声音告警信息和邮件告警信息,发送模块320,还用于当生成告警信息的次数不大于第一预设次数时,向用户终端发送声音告警信息;
当生成告警信息的次数大于第二预设次数时,向用户终端发送邮件告警信息。
在本申请实施例中,采用批量化动态实时监测,无需人工的方式对各个域名进行逐个解析测试,通过自动化的方式汇总并对比测试结果,测试效率高,提升了DNS安全防护效率,降低了人工成本。
图3所示装置中的各个模块具有实现图2中各个步骤的功能,并能达到其相应的技术效果,为简洁描述,在此不再赘述。
图4示出了本申请实施例提供的域名劫持的监测设备的硬件结构示意图。
在域名劫持的监测设备可以包括处理器401以及存储有计算机程序指令的存储器402。
具体地,上述处理器401可以包括中央处理器(Central Processing Unit,CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
存储器402可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器402可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在一个实例中,存储器402可以包括可移除或不可移除(或固定)的介质,或者存储器402是非易失性固态存储器。存储器402可在综合网关容灾设备的内部或外部。
在一个实例中,存储器402可包括只读存储器(ROM),随机存取存储器(RAM),磁盘存储介质设备,光存储介质设备,闪存设备,电气、光学或其他物理/有形的存储器存储设备。因此,通常,存储器402包括一个或多个编码有包括计算机可执行指令的软件的有形(非暂态)计算机可读存储介质(例如,存储器设备),并且当该软件被执行(例如,由一个或多个处理器)时,其可操作来执行参考根据本申请的一方面的方法所描述的操作。
处理器401通过读取并执行存储器402中存储的计算机程序指令,以实现图2所示实施例中的步骤S210至S240,并达到图2所示实例执行其步骤达到的相应技术效果,为简洁描述在此不再赘述。
在一个示例中,域名劫持的监测设备还可包括通信接口403和总线410。其中,如图4所示,处理器401、存储器402、通信接口403通过总线410连接并完成相互间的通信。
通信接口403,主要用于实现本申请实施例中各单元、装置、单元和/或设备之间的通信。
总线410包括硬件、软件或两者,将域名劫持的监测设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(Accelerated Graphics Port,AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,EISA)总线、前端总线(Front Side Bus,FSB)、超传输(Hyper Transport,HT)互连、工业标准架构(Industry Standard Architecture,ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线410可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该域名劫持的监测设备可以基于待监测域名和待监测域名的解析地址执行本申请实施例中的域名劫持的监测方法,从而实现结合图2描述的域名劫持的监测方法。
另外,结合上述实施例中的域名劫持的监测方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种在域名劫持的监测方法。
需要明确的是,本申请并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本申请的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本申请的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本申请的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RadioFrequency,RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本申请中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本申请不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
上面参考根据本申请的实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本申请的各方面。应当理解,流程图和/或框图中的每个方框以及流程图和/或框图中各方框的组合可以由计算机程序指令实现。这些计算机程序指令可被提供给通用计算机、专用计算机、或其它可编程数据处理装置的处理器,以产生一种机器,使得经由计算机或其它可编程数据处理装置的处理器执行的这些指令使能对流程图和/或框图的一个或多个方框中指定的功能/动作的实现。这种处理器可以是但不限于是通用处理器、专用处理器、特殊应用处理器或者现场可编程逻辑电路。还可理解,框图和/或流程图中的每个方框以及框图和/或流程图中的方框的组合,也可以由执行指定的功能或动作的专用硬件来实现,或可由专用硬件和计算机指令的组合来实现。
以上所述,仅为本申请的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、单元和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。
Claims (10)
1.一种域名劫持的监测方法,其特征在于,包括:
接收待监测的预设域名列表,所述预设域名列表包括至少一个待监测域名;
分别向中心监测设备和节点监测设备发送所述待监测域名的解析任务信息;
接收所述中心监测设备发送的所述待监测域名的至少一个授权解析地址信息,以及所述节点监测设备发送的所述待监测域名的至少一个本地解析地址信息,所述授权解析地址信息为所述中心监测设备通过访问授权域名服务器解析所述待监测域名获取的解析地址信息,所述本地解析地址信息为所述节点监测设备通过访问本地域名服务器解析所述待监测域名获取的解析地址信息;
当所述授权解析地址信息为可信授权解析地址信息,且所述可信授权解析地址信息不包括所述至少一个本地解析地址信息时,生成告警信息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述授权解析地址信息为不可信授权解析地址信息时,生成告警信息。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述授权解析地址信息不包括可信授权解析地址时,生成告警信息。
4.根据权利要求1所述的方法,其特征在于,所述节点监测设备为至少一个;所述当所述授权解析地址信息为可信授权解析地址信息,且所述可信授权解析地址不包括所述至少一个本地解析地址信息时,生成告警信息,包括:
当所述授权解析地址信息为可信授权解析地址信息,且所述可信授权解析地址信息不包括所述至少一个本地解析地址信息时,确定异常节点监测设备的数量,所述异常节点监测设备发送的所述至少一个本地解析地址不包括在所述可信授权解析地址内;
当所述异常节点监测设备的数量大于所述节点监测设备的总数量的一半时,生成告警信息。
5.根据权利要求1所述的方法,其特征在于,所述可信授权解析地址信息包括域名服务器安全扩展DNSSEC字段信息。
6.根据权利要求1所述的方法,其特征在于,所述告警信息包括声音告警信息和邮件告警信息,所述方法还包括:
当生成告警信息的次数不大于第一预设次数时,向用户终端发送所述声音告警信息;
当生成告警信息的次数大于第二预设次数时,向用户终端发送所述邮件告警信息。
7.一种域名劫持的监测装置,其特征在于,所述装置包括:
接收模块,用于接收待监测的预设域名列表,所述预设域名列表包括至少一个待监测域名;
发送模块,用于分别向中心监测设备和节点监测设备发送所述待监测域名的解析任务信息;
所述接收模块,还用于接收所述中心监测设备发送的所述待监测域名的至少一个授权解析地址信息,以及所述节点监测设备发送的所述待监测域名的至少一个本地解析地址信息,所述授权解析地址信息为所述中心监测设备通过访问授权域名服务器解析所述待监测域名获取的解析地址信息,所述本地解析地址信息为所述节点监测设备通过访问本地域名服务器解析所述待监测域名获取的解析地址信息;
生成模块,用于当所述授权解析地址信息为可信授权解析地址信息,且所述可信授权解析地址不包括所述至少一个本地解析地址信息时,生成告警信息。
8.根据权利要求1所述的装置,其特征在于,所述生成模块,还用于:
当所述授权解析地址信息为不可信授权解析地址信息时,生成告警信息。
9.一种域名劫持的监测设备,其特征在于,所述域名劫持的监测设备包括:处理器,以及存储有计算机程序指令的存储器;
所述处理器读取并执行所述计算机程序指令,以实现如权利要求1-6任意一项所述的域名劫持的监测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-6任意一项所述的域名劫持的监测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110504417.1A CN115412265A (zh) | 2021-05-10 | 2021-05-10 | 域名劫持的监测方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110504417.1A CN115412265A (zh) | 2021-05-10 | 2021-05-10 | 域名劫持的监测方法、装置、设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115412265A true CN115412265A (zh) | 2022-11-29 |
Family
ID=84155430
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110504417.1A Pending CN115412265A (zh) | 2021-05-10 | 2021-05-10 | 域名劫持的监测方法、装置、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115412265A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116489085A (zh) * | 2023-03-28 | 2023-07-25 | 网根科技(青岛)有限公司 | 一种基于Handle的解析路由安全监测方法和系统 |
| CN116760642A (zh) * | 2023-08-18 | 2023-09-15 | 中国信息通信研究院 | 判定域名资源记录变动安全性的方法和装置、设备、介质 |
-
2021
- 2021-05-10 CN CN202110504417.1A patent/CN115412265A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116489085A (zh) * | 2023-03-28 | 2023-07-25 | 网根科技(青岛)有限公司 | 一种基于Handle的解析路由安全监测方法和系统 |
| CN116489085B (zh) * | 2023-03-28 | 2023-10-27 | 网根科技(青岛)有限公司 | 一种基于Handle的解析路由安全监测方法和系统 |
| CN116760642A (zh) * | 2023-08-18 | 2023-09-15 | 中国信息通信研究院 | 判定域名资源记录变动安全性的方法和装置、设备、介质 |
| CN116760642B (zh) * | 2023-08-18 | 2023-11-03 | 中国信息通信研究院 | 判定域名资源记录变动安全性的方法和装置、设备、介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10826684B1 (en) | System and method of validating Internet of Things (IOT) devices | |
| US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| Liu et al. | Cloudy with a chance of breach: Forecasting cyber security incidents | |
| WO2021063068A1 (zh) | 运维管控、运维分析方法、装置、系统及存储介质 | |
| CN106330944B (zh) | 恶意系统漏洞扫描器的识别方法和装置 | |
| US20150341389A1 (en) | Log analyzing device, information processing method, and program | |
| CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
| CN111010409A (zh) | 加密攻击网络流量检测方法 | |
| CN115412265A (zh) | 域名劫持的监测方法、装置、设备及计算机可读存储介质 | |
| CN107636669B (zh) | 不期望网络业务的控制 | |
| JP6084278B1 (ja) | 情報処理装置、方法およびプログラム | |
| CN114629719B (zh) | 资源访问控制方法和资源访问控制系统 | |
| CN115147956B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN110061998B (zh) | 一种攻击防御方法及装置 | |
| CN112583789B (zh) | 被非法登录的登录接口确定方法、装置及设备 | |
| CN109040137B (zh) | 用于检测中间人攻击的方法、装置以及电子设备 | |
| CN111200591A (zh) | 多重人机验证方法、装置、设备和存储介质 | |
| CN115829572A (zh) | 跨链数据交互方法、装置、设备、介质及产品 | |
| CN115051861A (zh) | 一种域名检测的方法、装置、系统及介质 | |
| CN114928452A (zh) | 访问请求验证方法、装置、存储介质及服务器 | |
| US20210392159A1 (en) | Harvesting fully qualified domain names from malicious data packets | |
| CN114172831A (zh) | 暴力破解方法、系统、计算机及存储介质 | |
| CN112287252A (zh) | 网站域名劫持检测方法、装置、设备及存储介质 | |
| CN113055405B (zh) | 一种dns旁路抢答设备识别及溯源方法 | |
| CN117614694B (zh) | 一种基于身份认证的招标方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |