本发明涉及互联网监控技术领域,尤其涉及一种域名劫持发现的方法。
背景技术:
随着科技的发展,社会的进步,人们对于网络的依赖程度也越来越高。
在互联网技术飞速发展的今天,网络环境也呈现出多样化的趋势,部分小区宽带、中小运营商,为降低用户请求的出网率,在网络内部增加反向代理服务器,并通过篡改用户的dns解析结果、强制302重定向,达到将用户的请求都引流到内部反向代理服务器的目的。这种情况下,会导致用户访问内容的不可靠性以及降低用户访问成功率等问题,这就是通常所说的dns劫持和302强制劫持。
用户访问互联网时,通常需要在浏览器中输入域名信息,如www.baidu.com,而不是服务器的ip地址。而传统的http/https请求过程是将访问的域名从dns系统解析获取对应的服务器ip,然后请求发起方将通过dns解析得到的ip作为服务器端ip,来发起后续的http/https请求。终端用户的dns解析结果,决定了用户的后续请求会访问到的服务器ip,如果该环节解析结果异常,则会导致用户访问异常。
在现在互联网普及的社会环境中,劫持现象时有发生,但是目前缺乏有效的发现手段,而且有些域名采用了智能dns解析方式或者通过cdn进行加速,在不同的省份及不同的运营商,其解析出来的ip地址各不相同,因此域名使用方即便在发现域名劫持现象以后,也很难在较短的时间内迅速定位劫持发生的位置。
技术实现要素:
本发明的目的就在于为了解决上述问题和缺陷,提供一种域名劫持发现的方法,旨在及时发现此类dns解析劫持以及302劫持,为后续的防劫持处理提供数据支撑。
本发明通过以下技术方案来实现上述目的:
一种域名劫持发现的方法,其步骤为:
q1:部署终端监控系统,用于使服务器端模拟终端用户发起http请求,并记录包括dns解析结果、响应头信息、保存文件内容的信息在内的指标;
q2:终端监控系统将需要监测的url通过终端监控系统,以设定的频率进行全网模拟请求,并对监测数据进行记录,并在本地进行对比,将分析结果汇总上报至中心分析系统;
其中,监测数据包含dns解析结果、服务端响应的http-code、content-length、文件的md5;
q3:第三方付费监控系统以设定的频率对监控url进行监测,监测全网每个划分区域的每个运营商对于q2步骤所述的监测数据也进行记录,并做汇总记录,并将结果汇总上报至中心分析系统;
q4:中心分析系统将步骤q2和步骤q3监测到的数据进行汇总,为该域名形成一个统一的监测汇总数据;
q5:劫持发现之dns解析层
q51:中心分析系统根据两种监测系统对域名的解析结果,汇总生成一份实际的全国各地区及运营商维度组合的域名解析级别的ip覆盖关系第一数据;
q52:中心分析系统通过实时访问日志系统的分析,汇总生成一份全国各地区及运营商维度组合的用户实际访问级别的ip覆盖关系第二数据;
q53:中心分析系统通过调度系统,生成一份全国各地区及运营商维度组合的最标准的ip覆盖关系第三数据;
q54:中心分析系统将第一数据、第二数据分别和第三数据做校验比对,
当第一数据和第三数据某些地区不一致,并且第一数据的不一致地区的ip不存在第三数据中,则认为有劫持;
当第二数据和第三数据某些地区不一致,则认为不一致的地区存在调度不精准或者dns缓存时间过长问题,此时需要针对性的修正第三数据,已避免造成对第一数据的误判。
q6:劫持发现之应用层
中心分析系统将终端监控系统和第三方付费监控系统上报的url探测结果、即q2、q3步骤分别得到的汇总记录结果进行分析整合,判断url探测的响应信息是否一致,如果q2、q3步骤分别得到的汇总记录结果一致,则认为正常;如果不一致,则认为存在劫持现象,
其中,分析整合的内容包括:判断url探测的响应头信息中的http-code、content-length、文件md5信息。
在上述技术方案中,q2、q3步骤不分先后顺序,q5、q6步骤不分先后顺序。
在上述技术方案中,所述q1步骤中的终端监控系统在发起监控前,需要在终端监控系统中设定好回应该响应的http-code、content-length、文件的md5值、自定义特殊header的指标信息。
作为上述技术方案的优选,所述q2、q3步骤中的设定的频率为每5分钟一次进行全网模拟请求。
本发明的有益效果是:
本发明提供的一种域名劫持发现的方法,结构简单,部署方便,采用q2、q3步骤的终端监控系统和第三方付费监控系统同时监控,目的是增加监测效果的准确性,分别汇总的是为了剔除一些不需要的数据,使上报的数据更加精简,在较短的时间内能够迅速定位劫持发生的位置,并且为后续的防劫持处理提供数据支撑,十分利于推广应用。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1所提供的一种域名劫持发现的方法的系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例中,终端监控系统、第三方付费监控系统是做监控用的,其功能模拟用户,向服务器端发送url请求,接收来自服务器端的数据相应结果并进行分析,同时将结果上报到中心分析系统,实现对各种请求数据进行监控和采集;中心分析系统是用一个统一的数据分析平台,其功能是接收终端监控系统、第三方付费监控系统、实时日志分析系统、调度系统上报的各类数据,并进行分析;实时访问日志系统是一套用于对日志进行实时分析的系统,其功能是根据用户的访问情况,对全国各地区及运营商维度进行分析;调度系统是根据用户的localdns信息以及运营商信息,将用户的访问请求调度到离用户最近的节点服务器上,实现用户就近访问,提高访问速度,其核心的信息为全国各地区各运营商ip地址库,ip地址库越全,地址越准确,调度得也就越精准。
实施例1
请参阅图1所示,以下叙述如何在dns解析层和应用层发现劫持的。
在dns解析层发现劫持的步骤为:
1.部署终端监控系统,部署终端监控系统,通过该终端监控系统模拟终端用户向服务器端发起http请求,并记录包括dns解析结果、响应头信息、保存文件内容的信息在内的指标;
2.将需要监测的url通过终端监控系统,以设定的频率进行全网模拟请求,并对监测数据进行记录,包含dns解析结果、服务端响应的http-code、content-length、文件的md5等,并在本地进行对比,将分析结果汇总上报至中心分析系统;
3.通过第三方付费监控系统以设定的频率对监控url进行监测,监测全网每个划分区域的每个运营商对于q2步骤所述的监测数据也进行记录,并做汇总记录,并将结果汇总上报至中心分析系统;
4.中心分析系统将步骤2和步骤3监测到的数据进行汇总,为该域名形成一个统一的监测汇总数据;
5.中心分析系统根据两种的解析结果,汇总生成一份实际的全国各地区及运营商维度组合的域名解析级别的ip覆盖关系第一数据;
通过实时访问日志系统的分析,中心分析系统汇总生成一份全国各地区及运营商维度组合的用户实际访问级别的ip覆盖关系第二数据;
中心分析系统)通过调度系统生成一份全国各地区及运营商维度组合的最标准的ip覆盖关系第三数据;
6.中心分析系统将第一数据、第二数据分别和第三数据做校验,
i.当第一数据和第三数据某些地区不一致,并且第一数据的不一致地区的ip不存在第三数据中,则认为有劫持;
ii.当第二数据和第三数据某些地区不一致,则认为不一致的地区存在调度不精准或者dns缓存时间过长问题,此时需要针对性的修正第三数据,已避免造成对第一数据的误判。
在dns解析层和应用层发现劫持的步骤为:
1.部署终端监控系统,通过该终端系统模拟终端用户向服务器端发起http请求,并记录包括dns解析结果、响应头信息、保存文件内容的信息在内的指标;
2.将需要监测的url通过终端监控系统,以设定的频率进行全网模拟请求,并对监测数据进行记录,包含dns解析结果、服务端响应的http-code、content-length、文件的md5等信息;并在本地进行对比,将分析结果汇总上报至中心分析系统;
3.通过第三方付费监控系统以设定的频率对监控url进行监测,监测全网每个划分区域的每个运营商对于q2步骤所述的监测数据也进行记录,并做汇总记录,并将结果汇总上报至中心分析系统;
4.中心分析系统将步骤2和步骤3监测到的数据进行汇总,为该域名形成一个统一的监测汇总数据;
5.中心分析系统将终端监控系统和第三方付费监控系统上报的url探测结果进行分析整合,包括判断url探测的响应头信息中的http-code、content-length、文件md5信息等是否和预期的一致,如果一致,则认为正常;如果不一致,则认为存在劫持现象。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。