一种域名劫持检测与联动处置方法及系统与流程

本发明涉及网络技术领域，尤其涉及一种域名劫持检测与联动处置方法及系统。

背景技术：

域名劫持又称dns劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的ip地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能反应或访问的是假网址。

域名劫持可以认为是一种网络攻击方式，造成的安全风险也不容小视，一方面可能影响用户上网体验，用户无法正常访问自己想要上的网站，另一方面，域名如果被解析到钓鱼网站，不仅会造成用户损失，而且还会带来不良的社会影响。

域名劫持主要通过加班域名注册人和域名注册商通信，伪造域名注册人在dns注册商处的账户信息，伪造域名注册人的应转移请求，直接进行一次域名转移请求，缓存投毒等；因此综合分析域名劫持发生的原因可以看到，域名授权服务器、本地域名服务器都有可能存在被攻击篡改导致域名劫持事件。

现有的域名劫持监控手段主要通过判断拨测结果中的a记录地址是否在地址库来判定域名是否被劫持，此类方法存在地址库维护复杂，误报率高等缺点，同时缺乏有效的联动处置手段。

公开号为cn103905273a的专利提供了一种dns劫持的监测方法和装置。其中该方法包括：向客户端发送监测任务，使得客户端在确定执行监测任务后，启动浏览器打开预定的url信息指示的网页，并在打开网页的过程中获取监测信息；接收客户端发送是监测信息；根据监测信息确定客户端是否发生dns劫持。该发明实施例的方法，可能产生误报、漏报的问题，同时没有快速联动处置。

技术实现要素：

本发明要解决的技术问题目的在于提供一种域名劫持检测与联动处置方法及系统，用以解决现有的域名劫持检测技术地址库维护复杂，误报率高同时缺乏有效的联动处置手段的问题。

为了实现上述目的，本发明采用的技术方案为：

一种域名劫持检测与联动处置方法，包括步骤：

s1、针对需要域名劫持防护的网站创建检测任务；

s2、对所述网站进行域名解析拨测；

s3、根据a记录地址、授权服务器域名信息及别名信息判断所述网站是否被域名劫持。

进一步地，步骤s2及s3之间还包括步骤：

判断拨测结果是否存在所述a记录地址，若否，追加所述a记录地址；

若存在所述a记录地址，判断拨测结果是否存在所述授权服务器域名信息，若否，追加所述授权服务器域名信息；

若存在所述授权服务器域名信息，判断是否存在别名信息，若否，追加所述别名信息。

进一步地，步骤s3具体包括：

判断所述a记录地址是否存在于所述域名知识库中，若是，判定为未被劫持状态；

若所述a记录地址不存在于所述域名知识库中，判断是否存在所述别名信息，若是，判断所述别名信息的后缀是否为域名知识库预设别名，若是，判定为未被劫持状态，否则，判定为高危疑似劫持；

若不存在所述别名信息，判断所述授权服务器域名信息是否与所述域名知识库中的授权服务器域名信息一致，若是，判定为低危疑似劫持，否则，判定为高危疑似劫持。

进一步地，还包括步骤：

对所述高危疑似劫持网站的域名进行派单通知并进行应急处置。

进一步地，所述进行应急处置的步骤具体包括：

判断是否存在强制解析地址，若是，强制解析所述域名；

若不存在强制解析地址，判断是否有别名信息，若是，按照所述a记录地址的最末地址强制解析所述域名，否则，按照所述a记录地址的首地址强制解析所述域名。

一种域名劫持检测与联动处置系统，包括：

创建模块，用于针对需要域名劫持防护的网站创建检测任务；

拨测模块，用于对所述网站进行域名解析拨测；

判断模块，用于根据a记录地址、授权服务器域名信息及别名信息判断所述网站是否被域名劫持。

进一步地，还包括追加模块，具体包括：

第一追加单元，用于判断拨测结果是否存在所述a记录地址，若否，追加所述a记录地址；

第二追加单元，用于若存在所述a记录地址，判断拨测结果是否存在所述授权服务器域名信息，若否，追加所述授权服务器域名信息；

第三追加单元，用于若存在所述授权服务器域名信息，判断是否存在别名信息，若否，追加所述别名信息。

进一步地，所述判断模块包括：

第一判断单元，用于判断所述a记录地址是否存在于所述域名知识库中，若是，判定为未被劫持状态；

第二判断单元，用于若所述a记录地址不存在于所述域名知识库中，判断是否存在所述别名信息，若是，判断所述别名信息的后缀是否为域名知识库预设别名，若是，判定为未被劫持状态，否则，判定为高危疑似劫持；

第三判断单元，用于若不存在所述别名信息，判断所述授权服务器域名信息是否与所述域名知识库中的授权服务器域名信息一致，若是，判定为低危疑似劫持，否则，判定为高危疑似劫持。

进一步地，还包括：

处置模块，用于对所述高危疑似劫持的域名进行派单通知并进行应急处置。

进一步地，所述处置模块包括：

第一强制解析单元，用于判断是否存在强制解析地址，若是，强制解析所述域名；

第二强制解析单元，用于若不存在强制解析地址，判断是否有别名信息，若是，按照所述a记录地址的最末地址强制解析所述域名，否则，按照所述a记录地址的首地址强制解析所述域名。

本发明与传统的技术相比，有如下优点：

本发明进一步优化域名劫持判定技术，引入授权服务器域名及别名综合判定机制，同时联动智能的域名重定向技术实现域名劫持监控与处置，总体上有效减少传统监控手段误报、漏报等问题，同时能够快速联动处置，提高域名劫持事件应急效率。

附图说明

图1是实施例一提供的一种域名劫持检测与联动处置方法流程图；

图2是实施例一提供的一种域名劫持检测与联动处置系统结构图；

图3是实施例二提供的一种域名劫持检测与联动处置方法流程图；

图4是实施例二提供的一种域名劫持检测与联动处置系统结构图；

图5是实施例三提供的一种域名劫持检测与联动处置方法流程图；

图6是实施例三提供的一种域名劫持检测与联动处置系统结构图；

图7是实施例四提供的一种域名劫持检测与联动处置方法流程图；

图8是实施例四提供的一种域名劫持检测与联动处置系统结构图。

具体实施方式

以下是本发明的具体实施例并结合附图，对本发明的技术方案作进一步的描述，但本发明并不限于这些实施例。

实施例一

本实施例提供了一种域名劫持检测与联动处置方法，如图1所示，包括步骤：

s11：针对需要域名劫持防护的网站创建检测任务；

s12：对网站进行域名解析拨测；

s13：根据a记录地址、授权服务器域名信息及别名信息判断网站是否被域名劫持。

域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的ip地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能反应或访问的是假网址。

现有技术存在地址库维护复杂，误报率高等缺点。本实施例进一步优化了域名劫持判定技术，引入授权服务器域名及别名综合判定机制，能减少传统监控手段误报、漏报的问题。

本实施例中，步骤s11为针对需要域名劫持防护的网站创建检测任务。

具体的，每个任务可以设置检测频度、运行方式，同时能够控制任务的启停，运行方式包括立即启动和定时启动，每个检测任务能够生成相应的检测结果。

本实施例中，步骤s12为对网站进行域名解析拨测。

域名解析是把域名指向网站空间ip，让人们通过注册的域名可以方便地访问到网站的一种服务。ip地址是网络上标识站点的数字地址，为了方便记忆，采用域名来代替ip地址标识站点地址。域名解析就是域名到ip地址的转换过程。域名的解析工作由dns服务器完成。

拨测是指网内呼叫测试。

在创建完检测任务后，开始域名解析拨测。通过使用dig工具抓取拨测结果的a记录地址、授权服务器域名、授权服务器地址、别名等信息，在域名不存在劫持情况下，开启自学习功能。

本实施例中，步骤s13为根据a记录地址、授权服务器域名信息及别名信息判断网站是否被域名劫持。

域名系统用于将用户访问的域名按照一定的业务规则翻译成ip地址。在域名系统中，有一套复杂的、遍布世界的树状分布式域名数据库服务器构成，共同完成域名解析工作。根据不同域名系统参与者在安全角度扮演的角色不同。

本实施例主要涉及三类域名系统，第一类是离用户访问最近的被称为本地域名系统，一般是由网络运营商提供，第二类是授权服务器，一般由域名运营商提供，主要是提供用户域名的注册等功能。第三类是遍布世界各地的根及顶级域名服务器，用于本地服务器缓存信息未查询到结果后的迭代查询。本实施例涉及的域名劫持监控主要针对域名系统缓存服务器。

a记录地址用来制定域名对应的ip，用户可以再次设置子域名并指向到自己的目标主机地址上，从而实现通过域名找到服务器。

别名信息是指在网站开启了内容分发网络加速后会分配一个别名，从而解析时会读取别名信息并将解析请求发送至内容分发网络全球负载均衡服务器，分配最优的内容分发网络缓存节点供用户访问。

授权服务器用来制定域名由哪个域名系统来进行解析的。

与现有技术相比，本实施例设计了一套域名劫持监控系统，在监控方法上通过引入别名、授权服务器域名及a记录地址等业务指标的综合判定，准确率比传统的拨测方法明显提高，大大降低了告警的误报。

本实施例还提供了一种域名劫持检测与联动处置系统，如图2所示，包括：

创建模块21，用于针对需要域名劫持防护的网站创建检测任务；

拨测模块22，用于对网站进行域名解析拨测；

判断模块23，用于根据a记录地址、授权服务器域名信息及别名信息判断网站是否被域名劫持。

本实施例中，创建模块21用于针对需要域名劫持防护的网站创建检测任务。

具体的，每个任务可以设置检测频度、运行方式，同时能够控制任务的启停，运行方式包括立即启动和定时启动，每个检测任务能够生成相应的检测结果。

本实施例中，拨测模块22用于对网站进行域名解析拨测。

具体的，拨测是指网内呼叫测试。

在创建完检测任务后，开始域名解析拨测。通过使用dig工具抓取拨测结果的a记录地址、授权服务器域名、授权服务器地址、别名等信息，在域名不存在劫持情况下，开启自学习功能。

本实施例中，判断模块23用于根据a记录地址、授权服务器域名信息及别名信息判断网站是否被域名劫持。

具体的，a记录地址用来制定域名对应的ip，用户可以再次设置子域名并指向到自己的目标主机地址上，从而实现通过域名找到服务器。

别名信息是指在网站开启了内容分发网络加速后会分配一个别名，从而解析时会读取别名信息并将解析请求发送至内容分发网络全球负载均衡服务器，分配最优的内容分发网络缓存节点供用户访问。

授权服务器用来制定域名由哪个域名系统来进行解析的。

本实施例与传统技术相比，提高了拨测的准确率。

实施例二

本实施例提供了一种域名劫持检测与联动处置方法，如图3所示，包括步骤：

s31：针对需要域名劫持防护的网站创建检测任务；

s32：对网站进行域名解析拨测；

s33：判断a记录地址是否存在与域名知识库中，若是，判定为未被劫持状态；

s34：若a记录地址不存在于域名知识库中，判断是否存在别名信息，若是，判断别名信息的后缀是否为域名知识库预设别名，若是，判定为未被劫持状态，否则，判定为高危疑似劫持；

s35：若不存在别名信息，判断授权服务器域名信息是否与域名知识库中的授权服务器域名信息一致，若是，判定为低危疑似劫持，否则，判定为高危疑似劫持。

本实施例与实施例一不同之处在于，步骤s13具体包括步骤s33、s34及s35。

判定网站是否被域名劫持，是根据a记录地址、授权服务器域名信息及别名信息三个方面综合判定的。

网站的状态包括高危疑似劫持，低危疑似劫持及未被劫持状态。

判定为未被劫持状态包括以下几种情况：

1.a记录地址存在于域名知识库中；

2.a记录地址不存在于域名知识库但是存在别名信息且别名的后缀为预设别名。

上述两种情况可判定为未被劫持状态。

高危疑似劫持状态包括以下情况：

1.a记录地址不存在于域名知识库中且不存在别名信息；

2.不存在别名信息且授权服务器域名信息与知识库的授权服务器域名信息不一致。

低危疑似劫持状态包括以下情况：

不存在别名信息但是授权服务器域名信息与知识库的授权服务器域名信息一致。

综合判定的方法有效避免误报、漏报的问题。

本实施例还提供了一种域名劫持检测与联动处置系统，如图4所示，包括：

创建模块41，用于针对需要域名劫持防护的网站创建检测任务；

拨测模块42，用于对网站进行域名解析拨测；

判断模块43，用于根据a记录地址、授权服务器域名信息及别名信息判断网站是否被域名劫持。

与实施例一不同之处在于，判断模块43包括：

第一判断单元43a，用于判断a记录地址是否存在于域名知识库中，若是，判定为未被劫持状态；

第二判断单元43b，用于若a记录地址不存在于域名知识库中，判断是否存在别名信息，若是，判断别名信息的后缀是否为域名知识库预设别名，若是，判定为未被劫持状态，否则，判定为高危疑似劫持；

第三判断单元43c，用于若不存在别名信息，判断授权服务器域名信息是否与域名知识库中的授权服务器域名信息一致，若是，判定为低危疑似劫持，否则，判定为高危疑似劫持。

具体的，获取的a记录地址与知识库对应域名的地址库进行比对，如果存在该地址，则域名判断为未被劫持状态，如果a记录地址不存在，则进一步判断是否存在别名信息，如果存在则判定别名信息的后缀是否为域名知识库预设别名，如果是则判定为正常，否则判定为高危疑似劫持。如果不存在别名，则判定授权服务器信息，如果授权服务器信息一致，则认为是低危疑似劫持，如果授权服务器不一致则判定为高危疑似劫持。

实施例三

本实施例提供了一种域名劫持检测与联动处置方法，如图5所示，包括步骤：

s51：针对需要域名劫持防护的网站创建检测任务；

s52：对网站进行域名解析拨测；

s53：判断a记录地址是否存在与域名知识库中，若是，判定为未被劫持状态；

s54：若a记录地址不存在于域名知识库中，判断是否存在别名信息，若是，判断别名信息的后缀是否为域名知识库预设别名，若是，判定为未被劫持状态，否则，判定为高危疑似劫持；

s55：若不存在别名信息，判断授权服务器域名信息是否与域名知识库中的授权服务器域名信息一致，若是，判定为低危疑似劫持，否则，判定为高危疑似劫持；

s56：对高危疑似劫持网站的域名进行派单通知并进行应急处置；

s57：判断是否存在强解析地址，若是，强制解析域名；

s58：若不存在强制解析地址，判断是否有别名信息，若是，按照a记录地址的最末地址强制解析域名；否则，按照a记录地址的首地址强制解析域名。

与实施例一、二不同之处在于，还包括步骤s57及s58。

判定完网站是否被域名劫持以后，对于高危疑似劫持告警进行派单处理，通过syslog接口将告警时间输送至上级网管平台，网管平台通过触发短信及工单流程将结果派发给责任人，用于通知及提醒业务人员。

对于判定为高危疑似告警时间能够在系统中呈现，同时设计封堵按钮，联动应急处置模块进行强制解析操作。

具体的，强制解析地址通过对应网站信息自动查询域名知识库中的强制解析地址，当强制解析地址存在时使用该地址作为重定向地址，当强制解析地址为空时，判断该网站是否开启了内容分发网络加速，考虑到内容分发网络会存在缓存过期，因此在内容分发网络加速情况下，需获取最近一次拨测记录返回的a记录地址作为强制解析地址。

其中，通过webservice接口调用本地域名系统重定向功能，将确定规定则的域名和地址作为重定向操作的输如，实现强制解析应急操作。

通过智能处置，在开启自动强解开关后能自动强解，减少人工处置时间。

本实施例还提供了一种域名劫持检测与联动处置系统，如图6所示，包括：

创建模块61，用于针对需要域名劫持防护的网站创建检测任务；

拨测模块62，用于对网站进行域名解析拨测；

判断模块63，用于根据a记录地址、授权服务器域名信息及别名信息判断网站是否被域名劫持；

处置模块64，用于对高危疑似劫持的域名进行派单通知并进行应急处置。

其中，判断模块63包括：

第一判断单元63a，用于判断a记录地址是否存在于域名知识库中，若是，判定为未被劫持状态；

第二判断单元63b，用于若a记录地址不存在于域名知识库中，判断是否存在别名信息，若是，判断别名信息的后缀是否为域名知识库预设别名，若是，判定为未被劫持状态，否则，判定为高危疑似劫持；

第三判断单元63c，用于若不存在别名信息，判断授权服务器域名信息是否与域名知识库中的授权服务器域名信息一致，若是，判定为低危疑似劫持，否则，判定为高危疑似劫持。

处置模块64包括

第一强制解析单元64a，用于判断是否存在强制解析地址，若是，强制解析域名；

第二强制解析单元64b，用于若不存在强制解析地址，判断是否有别名信息，若是，按照a记录地址的最末地址强制解析域名；否则，按照a记录地址的首地址强制解析域名。

与实施例一、二不同之处在于，还包括处置模块64。

具体的，判定完网站是否被域名劫持以后，对于高危疑似劫持告警进行派单处理，通过syslog接口将告警时间输送至上级网管平台，网管平台通过触发短信及工单流程将结果派发给责任人，用于通知及提醒业务人员。

对于判定为高危疑似告警时间能够在系统中呈现，同时设计封堵按钮，联动应急处置模块进行强制解析操作。

在开启自动强解开关后能自动强解，减少人工处置时间。

实施例四

本实施例提供了一种域名劫持检测与联动处置方法，如图7所示，包括步骤：

s71：针对需要域名劫持防护的网站创建检测任务；

s72：对网站进行域名解析拨测；

s73：判断拨测结果是否存在所述a记录地址，若否，追加a记录地址；

s74：若存在a记录地址，判断拨测结果是否存在授权服务器域名信息，若否，追加授权服务器域名信息；

s75：若存在授权服务器域名信息，判断是否存在别名信息，若否，追加别名信息；

s76：根据a记录地址、授权服务器域名信息及别名信息判断网站是否被域名劫持。

与实施例一、二、三不同之处在于，还包括步骤s73至步骤s75。

域名知识库作为域名劫持检测手段的核心能力，主要包括地址库、授权服务器库及内容分配网络别名库三个核心库，在完成中点保障网站的梳理后，可在系统内创建拨测任务。

域名知识库设计全局开关，当开启后则进入学习模式，关闭情况下只保存拨测记录。学习模式下会判断拨测结果中的a记录地址、授权服务器域名信息、别名信息。如果域名知识库中已经存在则丢弃，如果域名知识库中无记录，则自动添加。

本实施例还提供了一种域名劫持检测与联动处置系统，如图8所示，包括：

创建模块81，用于针对需要域名劫持防护的网站创建检测任务；

拨测模块82，用于对网站进行域名解析拨测；

追加模块83，用于对a记录地址、授权服务器域名信息及别名信息进行追加；

判断模块84，用于根据a记录地址、授权服务器域名信息及别名信息判断网站是否被域名劫持。

其中，追加模块83具体包括：

第一追加单元83a，用于判断拨测结果是否存在a记录地址，若否，追加a记录地址；

第二追加单元83b，用于若存在a记录地址，判断拨测结果是否存在授权服务器域名信息，若否，追加授权服务器域名信息；

第三追加单元84c，用于若存在授权服务器域名信息，判断是否存在别名信息，若否，追加别名信息。

与实施例一、二、三不同之处在于，还包括追加模块83。

域名知识库有自动学习功能。域名知识库设计全局开关，当开启后则进入学习模式，关闭情况下只保存拨测记录。学习模式下会判断拨测结果中的a记录地址、授权服务器域名信息、别名信息。如果域名知识库中已经存在则丢弃，如果域名知识库中无记录，则自动添加。

域名知识库具有自动学习功能，能够自动添加a记录地址、授权服务器域名信息及别名信息。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。