域名劫持的防御方法和网络出口设备的制作方法

文档序号:7745248阅读:143来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:域名劫持的防御方法和网络出口设备的制作方法
技术领域
本发明涉及域名解析技术,尤其涉及域名劫持的防御方法和网络出口设备。
背景技术
目前,人们通常使用域名(例如www. XXX. com)访问网络。而网络中的实体之间一 般通过IP地址进行互相识别。为保证人们通过域名能够访问网络,网络需要将域名转换为 某个或某些实体的IP地址,一般将这种转换工作称为域名解析。域名解析可以由专用的服 务器来完成,一般将完成域名解析工作的服务器称为域名系统(DNS,Domain Name System) 服务器。下面结合图1,简单介绍域名解析的过程。如图1所示,客户端向DNS服务器发出 携带有域名的请求消息(步骤1),DNS服务器查找与所述域名对应的名字服务器(NS,Name Sever)的信息,向与所述域名对应的NS发出携带有所述域名的请求消息(步骤2),NS查找 与所述域名对应的IP地址,向DNS服务器返回携带所述IP地址的响应消息(步骤3),DNS 服务器向客户端返回携带所述IP地址的响应消息(步骤4)。在实际应用中,有可能会发生域名劫持现象。如图2所示,DNS服务器存储了某个 域名与非法的NS的信息的对应关系,当有客户端请求解析这个域名时(步骤1),DNS服务 器根据这个域名与非法的NS的信息的对应关系,向非法的NS请求与这个域名对应的IP地 址(步骤2’),非法的NS向DNS服务器返回非法的IP地址(步骤3’),DNS服务器向客户 端返回非法的IP地址(步骤4’)。客户端获得非法的IP地址后,会访问到非法网站。为避免域名劫持对客户端的影响,有的管理员在DNS服务器中配置域名与对应的 IP地址之间的对应关系,当有客户端请求解析域名时,DNS服务器不需要向NS请求IP地 址,而是直接将请求解析的域名对应的IP地址返回给客户端。然而,目前的域名、IP地址的数量已经非常多,管理员在DNS服务器中维护大量的 域名、IP地址所付出的代价会特别大,而且还存在配置错误、更新信息不及时的情况,所以, 在DNS服务器中维护域名与IP地址的对应关系的方案的可用性不高。

发明内容
本发明提供域名劫持的防御方法和网络出口设备,用以避免域名劫持对客户端的 影响,并且具有可用性。本发明提供一种域名劫持的防御方法,适用于客户端与DNS服务器之间设置有网 络出口设备的网络环境,或者适用于NS与DNS服务器之间设置有网络出口设备的网络环 境,所述网络出口设备中配置有域名与NS信息之间的对应关系,所述方法包括网络出口 设备向DNS服务器请求与指定域名对应的NS信息;所述网络出口设备获得DNS服务器返回 的NS信息;所述网络出口设备如果发现所述返回的NS信息与已经存储的与指定域名对应 的NS信息不同,则再判断是否可能发生了域名劫持,如果是,则进行报警处理或防御处理, 否则,将所述已经存储的与指定域名对应的NS信息更新为所述返回的NS信息。
本发明还提供一种网络出口设备,设置在客户端与DNS服务器之间,或者设置在 NS与DNS服务器之间,所述网络出口设备包括存储单元,用于存储域名与NS信息之间的 对应关系;请求单元,用于向DNS服务器请求与指定域名对应的NS信息;获得单元,用于获 得DNS服务器返回的NS信息;判断单元,用于判断所述返回的NS信息与所述存储单元已经 存储的与指定域名对应的NS信息是否相同;报警单元,用于进行报警处理;防御单元,用于 进行防御处理;更新单元,用于更新所述存储单元存储的信息;如果所述判断单元确定所 述返回的NS信息与所述存储单元已经存储的与指定域名对应的NS信息不同,则再判断是 否可能发生了域名劫持,如果是,则所述报警单元进行报警处理或者所述防御单元进行防 御处理,否则,所述更新单元将所述存储单元已经存储的与指定域名对应的NS信息更新为 所述返回的NS信息。在本发明中,设置在客户端与DNS服务器之间或NS与DNS服务器之间的网络出口 设备中配置有域名与NS信息之间的对应关系,网络出口设备如果发现从DNS服务器获得的 NS信息与已经存储的NS信息不同,那么就判断是否可能发生了域名劫持,如果确定可能发 生了域名劫持,那么就进行报警或防御处理,否则,更新NS信息。这样,客户端在请求解析 域名时,网络出口设备就可以根据是否可能发生了域名劫持,而采取不同的处理方式,避免 了因发生域名劫持而影响客户端。另外,本发明主要要求网络出口设备具备上述处理能力, 不需要在DNS服务器中配置和维护大量的域名与IP地址的对应关系,所以,本发明相对于 现有技术具有可用性。


为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以 根据这些附图获得其他的附图。图1为现有技术中的域名解析过程的示意图;图2为现有技术中的域名劫持的示意图;图3为本发明应用的网络环境示意图;图4为本发明的一种域名劫持的防御方法的流程图;图5为本发明的一种网络出口设备的逻辑结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。为使本领域技术人员清楚的理解本发明,首先对本发明应用的网络环境和涉及的 一些技术要点进行说明。如图3所示,在客户端与DNS服务器之间或者在NS与DNS服务器之间设置有网络 出口设备。如果在客户端与DNS服务器之间设置网络出口设备,那么网络出口设备可以设置在客户端所在的局域网的出口。如果在NS与DNS服务器之间设置网络出口设备,那么网 络出口设备可以设置在NS所在的局域网的出口。网络出口设备可以具有防火墙的功能,也可以具有网关的功能,还可以同时具有 防火墙和网关的功能。如果网络出口设备设置在客户端与DNS服务器之间,那么网络出口设备可以传递 客户端与DNS服务器之间的消息。同样,如果网络出口设备设置在NS与DNS服务器之间, 那么网络出口设备可以传递NS与DNS服务器之间的消息。另外,网络出口设备可以主动请 求DNS服务器解析域名,可以主动请求DNS服务器返回与指定域名对应的NS信息,也可以 主动请求存储whois信息的设备提供 与指定域名对应的whois信息。在实际应用中,NS信息可以包括NS的名称和NS的IP地址,who is信息属于注册 信息,包括NS的名称、注册的起止时间等信息。网络出口设备中可以配置有多个DNS服务器的IP地址,这样,网络出口设备可以 根据这些IP地址,请求多个DNS服务器解析域名,也可以请求多个DNS服务器返回的与指 定域名对应的NS信息。在实际应用中,网络可以被划分为多个区域,一个区域部署有至少 一个DNS服务器,如果网络出口设备中配置有多个区域的DNS服务器的IP地址,那么网络 出口设备就可以根据这些IP地址,请求多个区域的DNS服务器解析域名或返回与指定域名 对应的NS信息。网络出口设备中可以配置域名与NS信息之间的对应关系。网络出口设备可以向 DNS服务器请求与指定域名对应的NS信息。网络出口设备在获得DNS服务器返回的与指定 域名对应的NS信息后,可以检查之前是否已经存储所述指定域名与NS信息之间的对应关 系。如果之前已经存储过所述指定域名与NS信息之间的对应关系,那么再判断DNS服务器 返回的NS信息与已经存储的所述指定域名对应的NS信息是否相同,如果相同,则说明所述 指定域名对应的NS信息没有变化,如果不相同,则再判断是否发生了域名劫持,如果确定 可能发生了域名劫持,则采取相应的处理措施,例如进行报警处理或防御处理,如果确定没 有发生域名劫持,那么说明NS信息确实有变化,这样就需要更新存储的NS信息,即,将已经 存储的所述指定域名对应的NS信息更新为DNS服务器返回的NS信息。如果网络出口设备 之前没有存储过所述指定域名与NS信息之间的对应关系,那么网络出口设备可以建立所 述指定域名与DNS服务器返回的NS信息之间的对应关系。网络出口设备可以在多种时机主动向DNS服务器请求指定域名对应的NS信息。例 如,网络出口设备在发现所述指定域名对应的IP地址发生变化后,为证实是否发生了域名 劫持,主动向DNS服务器请求指定域名对应的NS信息。再例如,网络出口设备可以周期性 的向DNS服务器请求指定域名对应的NS信息,这个周期可以在DNS服务器向上级DNS服务 器确定NS信息是否发生变化的周期的基础上进行设置,例如,网络出口设备向DNS服务器 请求指定域名对应的NS信息的周期可以设置为24至48小时。网络出口设备中还可以配置域名与whois信息之间的对应关系。网络出口设备在 确定与指定域名对应的NS信息发生变化后,可以向存储whois信息的设备请求与指定域名 对应的whoi s信息。网络出口设备在获得whoi s信息返回的与指定域名对应的whoi s信息 后,可以通过判断返回的Whois信息与已经存储的指定域名对应的WhoiS信息之间的异同 以及NS信息的变化情况,判断是否可能发生了域名劫持。如果确定可能发生了域名劫持,那么采取相应的处理措施,例如进行报警处理或防御处理,如果确定没有发生域名劫持,那 么说明WhoiS信息确实有变化,这样就需要更新存储的WhoiS信息,即,将已经存储的所述 指定域名对应的Whois信息更新为DNS服务器返回的WhoiS信息。网络出口设备中还可以配置域名与IP地址之间的对应关系。网络出口设备获得 DNS服务器返回的与某个域名对应的IP地址后,如果之前没有存储这个域名与对应的IP地 址之间的对应关系,那么就建立这个域名与返回的IP地址之间的对应关系。如果之前已经 存储了这个域名与对应的IP地址之间的对应关系,那么再判断DNS服务器返回的IP地址 与已经存储的这个域名对应的IP地址是否一致,如果一致,则说明这个域名对应的IP地址 没有发生变化,否则,说明这个域名对应的IP地址发生变化,此时,还需要进一步判断这种 变化是否是合法变化。在实际应用中,网络出口设备可以采用多种方式来判断是否是合法 变化。例如,基于多个区域的DNS服务器一般不会同时遭到攻击的特性,网络出口设备向多 个区域的DNS服务器请求解析这个域名。如果这些区域的DNS服务器返回的IP地址与上 述返回的IP地址一致,那么可以确定上述IP地址变化是合法变化。如果这些区域的DNS 服务器返回的IP地址与已经存储的这个域名对应的IP地址相同,那么可以确定上述IP地 址变化是非法变化。此时,网络出口设备可以向使用网络出口设备的管理员或者向返回非 法IP地址的DNS服务器发出警告,以使返回非法IP地址的DNS服务器尽快将非法IP地址 修改为正确的IP地址。
网络出口设备可以周期性的请求多个DNS服务器解析域名。在每次获得多个DNS 服务器返回的对应某个域名的IP地址后,将返回的IP地址与之前保存的IP地址进行比 较,如果完全一致,则可以不必修改之前保存的这个域名与IP地址的对应关系,如果不完 全一致,则可以有多种处理方式。例如,网络出口设备再向与之前请求过的多个DNS服务器 不同的多个DNS服务器请求解析这个域名,如果当前返回的IP地址与之前返回的IP地址 完全一致,则说明这个域名对应的IP地址极有可能发生了变化,所以,将之前保存的这个 域名对应的IP地址修改为返回的IP地址,如果当前返回的IP地址与之前返回的IP地址 也不一致,则说明一定有DNS服务器受到了攻击,此时,可以判断返回的IP地址中哪个IP 地址的数量最多,如果某个IP地址的数量最多,且返回这个IP地址的DNS服务器又是分别 部署在不同区域的DNS服务器,则将之前保存的这个域名对应的IP地址修改为上述数量最 多的IP地址。再例如,如果返回的IP地址与之前保存的IP地址不完全一致,则可以仍然 将之前保存的IP地址作为这个域名对应的IP地址,不必修改之前保存的这个域名对应的 IP地址,也不必再向多个DNS服务器请求解析这个域名。网络出口设备也可以在客户端发出解析某个域名的请求后,再向DNS服务器请求 解析这个域名。具体的,网络出口设备在获得客户端发出的解析某个域名的请求后,如果发 现没有保存这个域名与IP地址的对应关系,那么可以向多个DNS服务器请求解析这个域 名。网络出口设备在获得多个DNS服务器返回的与这个域名对应的IP地址后,如果确定返 回的这些IP地址完全一致,那么可以将与这个域名对应的IP地址返回给客户端,并且还可 以保存这个域名与这个IP地址的对应关系。另外,网络出口设备在获得客户端发出的解析 某个域名的请求后,即使发现没有保存这个域名与IP地址的对应关系,也可以不必一定向 多个DNS服务器请求解析这个域名,而是按照现有的处理方式,只向一个DNS服务器请求解 析这个域名。在具体实现时,网络出口设备中可以配置需要向多个DNS服务器请求解析域名的客户端的端口号或IP地址,网络出口设备在获得客户端发出的解析某个域名的请求 后,如果发现没有保存这个域名与IP地址的对应关系,那么再判断发出请求的客户端的端 口号或IP地址是否是上述配置的端口号或IP地址,如果是,则向多个DNS服务器请求解析 这个域名,否则,只向一个DNS服务器请求解析这个域名。在本发明中,网络出口设备如果在发现某个域名对应的IP地址和/或NS信息发 生变化的情况下,或者在确定发生域名劫持的情况下,获得客户端发出的解析这个域名的 请求,那么仍然可以将之前保存的这个域名对应的IP地址返回给客户端。这是因为,网络 服务商在将提供服务的服务器的IP地址(即域名对应的IP地址)和/或NS进行合法修 改时,一般都会将原有的服务器和/或NS再沿用一段时间(也可以称为过渡期),所以,即 使某个域名对应的IP地址和/或NS发生合法改变,将之前保存的这个域名对应的IP地址 返回给客户端也仍然会保证客户端获得正确的IP地址,从而使客户端访问到正确的IP地 址对应的网络实体。需要说明的是,如果网络出口设备发现与指定域名对应的IP地址发生 变化,那么网络出口设备可以在一定时间内(例如7天或14天)多次向DNS服务器请求解 析所述指定域名,如果每次获得的IP地址都一致,则说明IP地址的改变是合法的,这种情 况下,网络出口设备可以更新IP地址,并为请求解析所述指定域名的客户端提供更新后的 IP地址,以保证过渡期后,客户端仍然可以访问正确的IP地址对应的网络实体。需要说明的是,在本发明中,网络出口设备可以在确认某个域名对应的IP地址发 生变化后,再向DNS服务器请求这个域名对应的NS信息,如果发现返回的NS信息与之前保 存的这个域名对应的NS信息不一致,那么再向存储whois信息的设备请求这个域名对应的 whois信息,之后,结合NS信息的变化情况和whois信息的变化情况确定是否发生了域名劫 持。前面提到过,网络出口设备在确认某个域名对应的IP地址是否发生变化时,可以向多 个DNS服务器请求解析这个域名。如果这些DNS服务器返回的所有IP地址都与之前保存 的这个域名对应的IP地址不一致,那么可以确认这个域名对应的IP地址发生了变化。如 果这些DNS服务器返回的所有IP地址中,至少有一个IP地址与之前保存的这个域名对应 的IP地址一致,那么可以确认这个域名对应的IP地址没有变化。下面结合图4,介绍本发明的一种域名劫持的防御方法。如图4所示,这种方法包 括S401 网络出口设备向DNS服务器请求与指定域名对应的NS信息。前面提到过,网络出口设备可以在多种时机向DNS服务器请求与指定域名对应的 NS信息。例如,在确定所述指定域名对应的IP地址发生变化时,向DNS服务器请求与所述 指定域名对应的NS信息。例如,周期性的主动向DNS服务器请求与指定域名对应的NS信 肩、ο网络出口设备在向DNS服务器请求与指定域名对应的NS信息时,可以向DNS服务 器发出请求消息,请求消息中携带指定域名。S402 所述网络出口设备获得DNS服务器返回的NS信息。DNS服务器收到网络出口设备发出的请求消息后,可以向网络出口设备返回响应 消息,响应消息中可以携带指定域名对应的NS信息,这样,网络出口设备就是收到了 DNS月艮 务器返回的NS信息。S403 所述网络出口设备如果发现所述返回的NS信息与已经存储的与指定域名对应的NS信息不同,则再判断是否可能发生了域名劫持,如果是,则进行报警处理或防御 处理,否则,将所述已经存储的与指定域名对应的NS信息更新为所述返回的NS信息。网络出口设备在获得DNS服务器返回的NS信息后,可以判断返回的NS信息与已 经存储的指定域名对应的NS信息是否相同。如果返回的NS信息与已经存储的指定域名对应的NS信息相同,则可以确定没有 发生域名劫持。如果网络出口设备是在确定指定域名对应的IP地址发生变化时向DNS服 务器请求解析指定域名的,且之前只向一个DNS服务器请求解析指定域名,那么此时,网络 出口设备可以向多个DNS服务器请求解析指定域名。如果多个DNS服务器返回的IP地址 与已经存储的IP地址一致,那么说明之前返回IP地址的DNS服务器返回的是非法IP地 址,这种情况下,可以向使用网络出口设备的管理员或者之前返回IP地址的DNS服务器发 出警告。如果多个DNS服务器返回的IP地址与之前返回的IP地址一致,那么说明指定域 名对应的IP地址发生了合法改变,这种情况下,网络出口设备可以将已经存储的指定域名 对应的IP地址更新为之前返回的IP地址。如果返回的NS信息与已经存储的指定域名对 应的NS信息不相同,那么网络出口设备可以再结合指定域名对应的whois信息是否发生变 化,来判断是否可能发生了域名劫持。具体的,网络出口设备中还可以配置有域名与whois信息之间的对应关系。网络 出口设备在发现DNS服务器返回的NS信息与已经存储的指定域名对应的NS信息不同后, 在判断是否可能发生了域名劫持之前,可以向存储whois信息的设备请求与指定域名对应 的whois信息。网络出口设备获得存储whois信息的设备返回的whois信息。网络出口设 备根据返回的whois信息与已经存储的与指定域名对应的whois信息的异同以及NS信息 的变化,判断是否可能发生了域名劫持。前面提到过,NS信息可以包括NS的名称和NS的IP地址。DNS服务器返回的NS 信息与已经存储的与指定域名对应的NS信息不同可以是指返回的NS的名称与已经存储 的与指定域名对应的NS的名称不同,返回的NS的IP地址与已经存储的与指定域名对应的 NS的IP地址相同;或者,返回的NS的IP地址与已经存储的与指定域名对应的NS的IP地 址不同,返回的NS的名称与已经存储的与指定域名对应的NS的名称相同;或者,返回的NS 的名称与已经存储的与指定域名对应的NS的名称不同,返回的NS的IP地址与已经存储的 与指定域名对应的NS的IP地址不同。网络出口设备可以根据whois信息和NS信息的以下几种变化情形,判断是否可能 发生了域名劫持1. whois信息不变,NS的名称不变,NS的IP地址发生变化,域名对应的IP地址发 生变化,则确定可能发生了域名劫持,此时,可以向管理员发出NS的IP地址发生变化的警 告或向管理员提示可能发生了域名劫持,即,进行警告处理。2. whois信息不变,NS的名称发生变化,NS的IP地址不变,域名对应的IP地址发 生变化,则确定没有发生域名劫持。3. whois信息不变,NS的名称发生变化,NS的IP地址发生变化,域名对应的IP地 址发生变化,则确定可能发生了域名劫持,此时,可以向管理员提示可能发生了域名劫持, 艮口,进行警告处理。4. whois信息发生变化,NS的名称不变,NS的IP地址不变,域名对应的IP地址发生变化,则确定没有发生域名劫持。5. whois信息发生变化,NS的名称不变,NS的IP地址发生变化,域名对应的IP地 址发生变化,则确定可能发生了域名劫持,此时,可以向管理员发出NS的IP地址发生变化 的警告或向管理员提示可能发生了域名劫持,即,进行警告处理。6. whois信息发生变化,NS的名称发生变化,NS的IP地址不变,域名对应的IP地 址发生变化,则确定没有发生域名劫持。7. whois信息发生变化,NS的名称发生变化,NS的IP地址发生变化,域名对应的 IP地址发生变化,则确定可能发生了域名劫持,此时,可以向管理员提示可能发生了域名劫 持,即,进行警告处理。
由上述几种情形可知,如果NS的IP地址发生变化,那么就有可能发生了域名劫持。另外,如果whois信息不变,NS的名称不变,NS的IP地址不变,域名对应的IP地 址发生变化,则可以确定没有发生域名劫持。前面提到过,网络出口设备中还可以配置有域名与IP地址之间的对应关系。设置 在客户端与DNS服务器之间的网络出口设备在判断可能发生了域名劫持的情况下,如果有 客户端请求解析指定域名,那么网络出口设备可以将已经存储的与指定域名对应的IP地 址返回给客户端,即,进行防御处理。对应于图4所示的方法,本发明还提供一种网络出口设备。如图5所示,这种网络 出口设备包括存储单元501,用于存储域名与NS信息之间的对应关系;请求单元502,用 于向DNS服务器请求与指定域名对应的NS信息;获得单元503,用于获得DNS服务器返回 的NS信息;判断单元504,用于判断所述返回的NS信息与存储单元501已经存储的与指定 域名对应的NS信息是否相同;报警单元505,用于进行报警处理;防御单元506,用于进行 防御处理;更新单元507,用于更新所述存储单元501存储的信息;如果判断单元504确定 所述返回的NS信息与存储单元501已经存储的与指定域名对应的NS信息不同,则再判断 是否可能发生了域名劫持,如果是,则报警单元505进行报警处理或者防御单元506进行防 御处理,否则,更新单元507将存储单元501已经存储的与指定域名对应的NS信息更新为 所述返回的NS信息。存储单元还可以存储域名与whois信息之间的对应关系。在判断单元504判断是否可能发生了域名劫持之前,请求单元502可以向存储 Whois信息的设备请求与所述指定域名对应的whois信息,获得单元503获得所述存储 whois信息的设备返回的whois信息;判断单元504根据返回的whois信息与存储单元501 已经存储的与所述指定域名对应的whois信息的异同以及NS信息的变化,判断是否可能发 生了域名劫持。NS信息可以包括NS的名称和NS的IP地址。返回的NS信息与存储单元501已经 存储的与指定域名对应的NS信息不同可以是指返回的NS的名称与存储单元501已经存 储的与指定域名对应的NS的名称不同,返回的NS的IP地址与存储单元501已经存储的与 指定域名对应的NS的IP地址相同;或者,返回的NS的IP地址与存储单元501已经存储的 与指定域名对应的NS的IP地址不同,返回的NS的名称与存储单元501已经存储的与指定 域名对应的NS的名称相同;或者,返回的NS的名称与存储单元501已经存储的与指定域名对应的NS的名称不同,返回的NS的IP地址与存储单元501已经存储的与指定域名对应的 NS的IP地址不同。报警单元505具体可以用于向管理网络出口设备的管理员提示可能发生了域名 劫持。存储单元501存储有域名与IP地址之间的对应关系。如果网络出口设备设置在客户端与DNS服务器之间,且防御单元506收到客户端 发出的解析所述指定域名的请求,则防御单元506可以将存储单元501已经存储的与所述 指定域名对应的IP地址返回给客户端。在请求单元502向DNS服务器请求与所述指定域名对应的NS信息之前,请求单元 502可以向DNS服务器请求与所述指定域名对应的IP地址,获得单元503获得DNS服务器 返回的IP地址,判断单元504判断所述返回的IP地址与存储单元501已经存储的与指定 域名对应的IP地址是否相同,如果不同,则请求单元502可以向DNS服务器请求与所述指 定域名对应的NS信息。
由于图5所示的网络出口设备与图4所示的方法相对应,所以,图5所示的网络出 口设备中的各个单元的功能以及相互配合关系可以参见上述方法实施例中的相关描述,这 里不再赘述。综上所述,在本发明中,设置在客户端与DNS服务器之间或NS与DNS服务器之间 的网络出口设备中配置有域名与NS信息之间的对应关系,网络出口设备如果发现从DNS服 务器获得的NS信息与已经存储的NS信息不同,那么就判断是否可能发生了域名劫持,如果 确定可能发生了域名劫持,那么就进行报警或防御处理,否则,更新NS信息。这样,客户端 在请求解析域名时,网络出口设备就可以根据是否可能发生了域名劫持,而采取不同的处 理方式,避免了因发生域名劫持而影响客户端。另外,本发明主要要求网络出口设备具备上 述处理能力,不需要在DNS服务器中配置和维护大量的域名与IP地址的对应关系,所以,本 发明相对于现有技术具有可用性。在本发明中,在网络出口设备发现某个域名对应的NS信息发生变化或者确定发 生了域名劫持后,如果有客户端请求解析这个域名,那么网络出口设备可以将已经存储的 这个域名对应的IP地址返回给客户端,这样,即使发生了域名劫持或者网络服务商正常变 更了 NS,那么仍然可以保证客户端通过合法的IP地址获得服务。在本发明中,在网络出口设备判断是否发生了域名劫持期间,如果有客户端请求 解析这个域名,那么网络出口设备可以将已经存储的这个域名对应的IP地址返回给客户 端,这样,维护域名与NS信息之间的对应关系的过程与域名解析过程可以并行处理,不会 因为维护对应关系而影响客户端。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以 通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质 中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为 磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(Random Access Memory, RAM)等。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人 员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围
权利要求
一种域名劫持的防御方法,其特征在于,适用于客户端与域名系统DNS服务器之间设置有网络出口设备的网络环境,或者适用于名字服务器NS与DNS服务器之间设置有网络出口设备的网络环境,所述网络出口设备中配置有域名与NS信息之间的对应关系,所述方法包括网络出口设备向DNS服务器请求与指定域名对应的NS信息;所述网络出口设备获得DNS服务器返回的NS信息;所述网络出口设备如果发现所述返回的NS信息与已经存储的与指定域名对应的NS信息不同,则再判断是否可能发生了域名劫持,如果是,则进行报警处理或防御处理,否则,将所述已经存储的与指定域名对应的NS信息更新为所述返回的NS信息。
2.如权利要求1所述的方法,其特征在于,所述网络出口设备中还配置有域名与whois 信息之间的对应关系;在所述网络出口设备在判断是否可能发生了域名劫持之前,所述方法还包括 所述网络出口设备向存储whois信息的设备请求与所述指定域名对应的whois信息; 所述网络出口设备获得所述存储whois信息的设备返回的whois信息; 所述网络出口设备根据返回的whois信息与已经存储的与所述指定域名对应的whois 信息的异同以及NS信息的变化,判断是否可能发生了域名劫持。
3.如权利要求2所述的方法,其特征在于,所述NS信息包括NS的名称和NS的IP地址;所述返回的NS信息与已经存储的与指定域名对应的NS信息不同是指 返回的NS的名称与已经存储的与指定域名对应的NS的名称不同,返回的NS的IP地 址与已经存储的与指定域名对应的NS的IP地址相同;或者,返回的NS的IP地址与已经存储的与指定域名对应的NS的IP地址不同,返回的NS的 名称与已经存储的与指定域名对应的NS的名称相同;或者,返回的NS的名称与已经存储的与指定域名对应的NS的名称不同,返回的NS的IP地 址与已经存储的与指定域名对应的NS的IP地址不同。
4.如权利要求3所述的方法,其特征在于,如果返回的NS的IP地址与已经存储的与指 定域名对应的NS的IP地址不同,返回的NS的名称与已经存储的与指定域名对应的NS的 名称相同,返回的whois信息与已经存储的与所述指定域名对应的whois信息相同,则确定 可能发生了域名劫持。
5.如权利要求3所述的方法,其特征在于,如果返回的NS的名称与已经存储的与指定 域名对应的NS的名称不同,返回的NS的IP地址与已经存储的与指定域名对应的NS的IP 地址相同,返回的whois信息与已经存储的与所述指定域名对应的whois信息相同,则确定 没有发生域名劫持。
6.如权利要求3所述的方法,其特征在于,如果返回的NS的名称与已经存储的与指定 域名对应的NS的名称不同,返回的NS的IP地址与已经存储的与指定域名对应的NS的IP 地址不同,返回的whois信息与已经存储的与所述指定域名对应的whois信息相同,则确定 可能发生了域名劫持。
7.如权利要求3所述的方法,其特征在于,如果返回的NS的IP地址与已经存储的与指 定域名对应的NS的IP地址不同,返回的NS的名称与已经存储的与指定域名对应的NS的名称相同,返回的whois信息与已经存储的与所述指定域名对应的whois信息不同,则确定 可能发生了域名劫持。
8.如权利要求3所述的方法,其特征在于,如果返回的NS的名称与已经存储的与指定 域名对应的NS的名称不同,返回的NS的IP地址与已经存储的与指定域名对应的NS的IP 地址相同,返回的whois信息与已经存储的与所述指定域名对应的whois信息不同,则确定 没有发生域名劫持。
9.如权利要求3所述的方法,其特征在于,如果返回的NS的名称与已经存储的与指定 域名对应的NS的名称不同,返回的NS的IP地址与已经存储的与指定域名对应的NS的IP 地址不同,返回的whois信息与已经存储的与所述指定域名对应的whois信息不同,则确定 可能发生了域名劫持。
10.如权利要求4、6、7或9所述的方法,其特征在于,所述网络出口设备按照下述方式 进行报警处理向管理所述网络出口设备的管理员提示可能发生了域名劫持。
11.如权利要求4、6、7或9所述的方法,其特征在于,所述网络出口设备中配置有域名 与IP地址之间的对应关系;如果所述网络出口设备设置在客户端与DNS服务器之间,则所述网络出口设备按照下 述方式进行防御处理如果有客户端请求解析所述指定域名,则所述网络出口设备将已经 存储的与所述指定域名对应的IP地址返回给客户端。
12.如权利要求1-9任意一项所述的方法,其特征在于,所述网络出口设备中配置有域 名与IP地址之间的对应关系;所述方法还包括所述网络出口设备向DNS服务器请求与所述指定域名对应的IP地址;所述网络出口设备获得DNS服务器返回的IP地址;所述网络出口设备如果发现所述返回的IP地址与已经存储的与指定域名对应的IP地 址不同,则向DNS服务器请求与所述指定域名对应的NS信息。
13.—种网络出口设备,其特征在于,设置在客户端与DNS服务器之间,或者设置在NS 与DNS服务器之间,所述网络出口设备包括存储单元,用于存储域名与NS信息之间的对应关系;请求单元,用于向DNS服务器请求与指定域名对应的NS信息;获得单元,用于获得DNS服务器返回的NS信息;判断单元,用于判断所述返回的NS信息与所述存储单元已经存储的与指定域名对应 的NS信息是否相同;报警单元,用于进行报警处理;防御单元,用于进行防御处理;更新单元,用于更新所述存储单元存储的信息;如果所述判断单元确定所述返回的NS信息与所述存储单元已经存储的与指定域名对 应的NS信息不同,则再判断是否可能发生了域名劫持,如果是,则所述报警单元进行报警 处理或者所述防御单元进行防御处理,否则,所述更新单元将所述存储单元已经存储的与 指定域名对应的NS信息更新为所述返回的NS信息。
14.如权利要求13所述的网络出口设备,其特征在于,所述存储单元还存储域名与who is信息之间的对应关系; 在所述判断单元判断是否可能发生了域名劫持之前,所述请求单元向存储Whois信息 的设备请求与所述指定域名对应的whois信息,所述获得单元获得所述存储whois信息的 设备返回的Whois信息;所述判断单元根据返回的whois信息与所述存储单元已经存储的与所述指定域名对 应的whois信息的异同以及NS信息的变化,判断是否可能发生了域名劫持。
15.如权利要求13所述的网络出口设备,其特征在于,所述NS信息包括NS的名称和 NS的IP地址;所述返回的NS信息与所述存储单元已经存储的与指定域名对应的NS信息不同是指返回的NS的名称与所述存储单元已经存储的与指定域名对应的NS的名称不同,返回 的NS的IP地址与所述存储单元已经存储的与指定域名对应的NS的IP地址相同;或者,返回的NS的IP地址与所述存储单元已经存储的与指定域名对应的NS的IP地址不同, 返回的NS的名称与所述存储单元已经存储的与指定域名对应的NS的名称相同;或者,返回的NS的名称与所述存储单元已经存储的与指定域名对应的NS的名称不同,返回 的NS的IP地址与所述存储单元已经存储的与指定域名对应的NS的IP地址不同。
16.如权利要求13-15所述的网络出口设备,其特征在于,所述报警单元具体用于向管 理所述网络出口设备的管理员提示可能发生了域名劫持。
17.如权利要求13-15所述的网络出口设备,其特征在于,所述存储单元存储有域名与 IP地址之间的对应关系;如果所述网络出口设备设置在客户端与DNS服务器之间,且所述防御单元收到客户端 发出的解析所述指定域名的请求,则所述防御单元将所述存储单元已经存储的与所述指定 域名对应的IP地址返回给客户端。
18.如权利要求13-15所述的网络出口设备,其特征在于,所述存储单元存储有域名与 IP地址之间的对应关系;在所述请求单元向DNS服务器请求与所述指定域名对应的NS信息之前,所述请求单元 向DNS服务器请求与所述指定域名对应的IP地址,所述获得单元获得DNS服务器返回的IP 地址,所述判断单元判断所述返回的IP地址与所述存储单元已经存储的与指定域名对应 的IP地址是否相同,如果不同,则所述请求单元向DNS服务器请求与所述指定域名对应的 NS信息。
全文摘要
本发明提供一种域名劫持的防御方法,适用于客户端与DNS服务器之间设置有网络出口设备的网络环境,或者适用于NS与DNS服务器之间设置有网络出口设备的网络环境,所述网络出口设备中配置有域名与NS信息之间的对应关系,所述方法包括网络出口设备向DNS服务器请求与指定域名对应的NS信息;所述网络出口设备获得DNS服务器返回的NS信息;所述网络出口设备如果发现所述返回的NS信息与已经存储的与指定域名对应的NS信息不同,则再判断是否可能发生了域名劫持,如果是,则进行报警处理或防御处理,否则,将所述已经存储的与指定域名对应的NS信息更新为所述返回的NS信息。本发明还提供一种网络出口设备。本发明可以避免因发生域名劫持而影响客户端。
文档编号H04L29/12GK101834911SQ20101013941
公开日2010年9月15日 申请日期2010年3月31日 优先权日2010年3月31日
发明者张斌 申请人:联想网御科技(北京)有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:张斌
  • 技术所有人:联想网御科技(北京)有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2