专利名称:一种防劫持的域名授权监控系统的制作方法
技术领域:
本发明涉及互联网信息安全保护系统,尤其涉及防劫持的域名授权监控系统。
背景技术:
在互联网安全领域会遇到域名授权篡改的事件。2010年1月12日早晨7点多,由于美国域名注册服务商Register, com公司的重大疏忽,致使百度www. baidu. com的域名解析遭到不法分子恶意篡改,全球多处用户不能访问百度网站,故障持续数小时,给百度造成了严重损失。该事件的具体细节为baidu. com的ns记录被恶意指向黑客可以控制的DNS 服务器(ynsl. yahoo, com和yns2. yahoo, com),然后通过受控的DNS服务器对www. baidu. com等域名的解析内容进行篡改,使得访问者不能正确获取百度网站的服务器IP地址。有时候也会碰到DNS服务器服务异常。2009年5月18日晚上20点33分59秒, 在史无前例的大流量攻击下dnspod (一款免费智能DNS产品)的6台解析服务器开始失效, 大量网站开始间歇性无法访问,其中包括国内诸多知名网站。类似的DNS服务器遭受攻击案例在国内时有发生,一旦DNS服务器遭受攻击,授权其解析的网站域名将无法正常提供服务,对网站正常运营和网民正常上网都造成巨大影响。
发明内容
本发明的目的在于解决上述问题,提供了一种防劫持的域名授权监控系统,避免域名授权被篡改或DNS解析服务异常给网站造成的损失。本发明的技术方案为本发明揭示了一种防劫持的域名授权监控系统,包括录入模块、查询模块、第一判断模块、以及报警模块,其中录入模块,每隔预设的时间录入欲监控的域名的监控信息;查询模块,连接所述录入模块,检查所述域名的授权信息,对所述域名进行解析, 以得到当前域名服务器的IP结果集;第一判断模块,连接所述查询模块,基于所述查询模块的查询结果判断域名授权是否被劫持;报警模块,连接第一判断模块,在判断出域名授权被劫持的情况下,进行报警处理。根据本发明的防劫持的域名授权监控系统的一实施例,所述录入模块录入的所述监控信息包括域名服务器的IP记录集合、所述欲监控的域名的解析结果集。根据本发明的防劫持的域名授权监控系统的一实施例,所述第一判断模块包括域名服务器正确性判断单元,判断所述查询模块得到的当前域名服务器的IP结果集中是否存在不属于所述录入模块录入的所述域名服务器的IP记录集合的域名服务器的IP,如果存在则向所述报警模块发出表示域名服务器IP错误的报警信息。根据本发明的防劫持的域名授权监控系统的一实施例,所述第一判断模块还包括域名服务器个数判断单元,连接所述域名服务器正确性判断单元,在所述域名服务器正确性判断单元判断域名授权未被劫持的情况下运行,判断所述查询模块得到的当前域名服务器的IP结果集中的域名服务器的个数是否少于预设值,若少于预设值则向所述报警模块发出表示域名服务器IP数量过少的报警信息。根据本发明的防劫持的域名授权监控系统的一实施例,所述系统还包括具体域名解析查询模块,连接所述域名服务器个数判断单元,依次解析所述查询模块得到的当前域名服务器的IP结果集中的所有IP,得到解析结果集;域名服务状况判断模块,连接所述具体域名解析查询模块,判断所述查询模块得到的当前域名服务器的IP结果集中是否存在IP 53端口不通的情况,如存在则判断域名服务器服务异常,向所述报警模块发出服务器端口关闭的报警信息;具体域名解析结果分析模块,连接所述域名服务状况判断模块,在所述域名服务状况判断模块判断出域名服务器服务正常的情况下运行,判断所述具体域名解析查询模块得到的解析结果集和所述录入模块中的所述欲监控的域名的解析结果集是否一致,如果不一致则向所述报警模块发出表示域名服务器解析失败的报警信息。根据本发明的防劫持的域名授权监控系统的一实施例,所述报警模块通过电子邮件或者手机短信的方式进行报警通知,或者通过声音报警、Web界面报警的方式来提醒。根据本发明的防劫持的域名授权监控系统的一实施例,所述查询模块是通过递归查询的方式对所述域名进行解析。根据本发明的防劫持的域名授权监控系统的一实施例,所述录入模块还设置报警规则和报警参数。本发明对比现有技术有如下的有益效果本发明的方案是预先录入要监控的主域名和域名授权的ns (name server,域名服务器)服务器的IP (internet protocol,以太网协议地址)集合,同时录入主域名下某一个具体的域名和该域名正常的解析结果。监控系统每五分钟读取一次录入信息,对主域名进行dig+trace ( 一个域名解析查询的工具)的查询。通过dig得到域名当前的ns服务器IP记录后,将其和预先录入的ns服务器IP信息进行对比,如果发现当前dig的ns IP结果集中,有IP不属于预先录入的ns IP结果集, 或者当前ns的IP数量少于两个,则认定域名授权解析记录有遭到修改的风险,发出报警, 参数为nsip_err0r或者nsips_t00_less。以上就是域名授权的监控策略。如果域名的授权nsIP记录和预先录入的nsIP记录一致,则针对预先录入的具体域名,继续dig当前每一台ns服务器,将其得到的结果和预先录入的结果进行比对,如果发现某台NS的53端口不通或者dig结果和预先录入的解析结果不一致,则分别发出SerVer_p0rt_Cl0Se或ns_ resolv_errror的报警。警过程为通过wget命令访问发送邮件的php页面,在php页面中通过email函数,发送到域名事先预先设定的139邮箱,通过139邮箱和手机短信进行绑定后,就可以第一时间通过短信通知负责人,使得域名注册者能够第一时间作出应对策略, 从而将影响降低到最小。
图1示出了本发明的防劫持的域名授权监控系统的第一实施例的原理图。图2示出了本发明的防劫持的域名授权监控系统的第二实施例的原理图。图3示出了本发明的防劫持的域名授权监控系统的第三实施例的原理图。
具体实施例方式下面结合附图和实施例对本发明作进一步的描述。防劫持的域名授权监控系统的第一实施例图1示出了本发明的防劫持的域名授权监控系统的第一实施例的原理。请参见图 1,本实施例的系统包括录入模块10、查询模块11、域名服务器正确性判断单元12(亦可称为第一判断模块)、以及报警模块13。这些模块之间的连接关系是录入模块10连接查询模块11,查询模块11连接域名服务器正确性判断单元12,域名服务器正确性判断单元12连接报警模块13。录入模块10每隔预设的时间(例如每隔五分钟)录入欲监控的域名的监控信息。 录入的监控信息例如包括域名服务器的IP记录集合NSI {1. 1.1.1,1. 1. 1. 2,1. 1. 1. 3}、欲监控的域名奮abc. com的解析结果集NSAU. 1. 1. 4}。还可以设置报警邮箱和报警规则等报警参数。查询模块11检查域名的授权信息,对域名进行解析,以得到当前域名服务器的IP结果集。查询模块11通过向全球13台点根服务器发出递归查询请求,获取当前主域名最新的授权信息,从而保证域名服务器记录来源的可靠性和及时性,再通过执行 Dig abc. com+trace,从根开始递归检查,得到当前域名服务器的IP结果集NSRlnsipl, nsip2, ......}。域名服务器正确性判断单元12基于查询模块11的查询结果判断域名授权是否被劫持。具体的判断过程是判断查询模块11得到的当前域名服务器的IP结果集 NSRinsipl, nsip2,……}中是否存在不属于录入模块10录入的域名服务器的IP记录集合NSI {1. 1.1.1,1. 1. 1. 2,1. 1. 1. 3}的域名服务器的IP,如果存在则说明域名授权解析记录有遭到修改的风险,需向报警模块13发出表示域名服务器IP错误(nSip_error)的报警 fn息ο报警模块13在判断出域名授权被劫持的情况下,进行报警处理。例如,可以通过读取录入模块10中的报警邮箱和报警参数,调用PHP报警页面,发送邮件或者短信来报警。 还可以通过声音报警或者web界面报警的方式来进行报警处理。防劫持的域名授权监控系统的第二实施例图2示出了本发明的防劫持的域名授权监控系统的第二实施例的原理。请参见图 2,本实施例的系统包括录入模块20、查询模块21、域名服务器正确性判断单元22、域名服务器个数判断单元M (域名服务器正确性判断单元22、域名服务器个数判断单元M是第一判断模块的组成部分)以及报警模块23。这些模块之间的连接关系是录入模块20连接查询模块21,查询模块21连接域名服务器正确性判断单元22,域名服务器正确性判断单元22连接报警模块23和域名服务器个数判断单元对,域名服务器个数判断单元M连接报警模块23。录入模块20每隔预设的时间(例如每隔五分钟)录入欲监控的域名的监控信息。 录入的监控信息例如包括域名服务器的IP记录集合NSI {1. 1.1.1,1. 1. 1. 2,1. 1. 1. 3}、欲监控的域名奮abc. com的解析结果集NSAU. 1. 1. 4}。还可以设置报警邮箱和报警规则等报警参数。
查询模块21检查域名的授权信息,对域名进行解析,以得到当前域名服务器的IP结果集。查询模块21通过向全球13台点根服务器发出递归查询请求,获取当前主域名最新的授权信息,从而保证域名服务器记录来源的可靠性和及时性,再通过执行 Dig abc. com+trace,从根开始递归检查,得到当前域名服务器的IP结果集NSRlnsipl, nsip2, ......}。域名服务器正确性判断单元22基于查询模块21的查询结果判断域名授权是否被劫持。具体的判断过程是判断查询模块21得到的当前域名服务器的IP结果集 NSRinsipl, nsip2,……}中是否存在不属于录入模块20录入的域名服务器的IP记录集合NSI {1. 1.1.1,1. 1. 1. 2,1. 1. 1. 3}的域名服务器的IP,如果存在则说明域名授权解析记录有遭到修改的风险,需向报警模块23发出表示域名服务器IP错误(nSip_error)的报警 fn息ο在域名服务器正确性判断单元22判断域名授权未被劫持的情况下运行域名服务器个数判断单元对,判断查询模块21得到的当前域名服务器的IP结果集NSRlnsipl, nsip2,……}中的域名服务器的个数是否少于预设值(例如为2个),若少于预设值则向所述报警模23块发出表示域名服务器IP数量过少(nsips_t00_less)的报警信息。报警模块23在判断出域名授权被劫持的情况下,进行报警处理。例如,可以通过读取录入模块20中的报警邮箱和报警参数,调用PHP报警页面,发送邮件或者短信来报警。 还可以通过声音报警或者web界面报警的方式来进行报警处理。防劫持的域名授权监控系统的第三实施例图3示出了本发明的防劫持的域名授权监控系统的第三实施例的原理。请参见图 3,本实施例的系统包括录入模块30、查询模块31、域名服务器正确性判断单元32、域名服务器个数判断单元34 (域名服务器正确性判断单元32、域名服务器个数判断单元34是第一判断模块的组成部分)、具体域名解析查询模块35、域名服务状况判断模块36、具体域名解析结果分析模块37、以及报警模块33。这些模块之间的连接关系是录入模块30连接查询模块31,查询模块31连接域名服务器正确性判断单元32,域名服务器正确性判断单元32连接报警模块33和域名服务器个数判断单元34,域名服务器个数判断单元34连接报警模块33和具体域名解析查询模块35,具体域名解析查询模块35连接域名服务状况判断模块36,域名服务状况判断模块36 连接报警模块33和具体域名解析结果分析模块37,具体域名解析结果分析模块37连接报警模块33。录入模块30每隔预设的时间(例如每隔五分钟)录入欲监控的域名的监控信息。 录入的监控信息例如包括域名服务器的IP记录集合NSI {1. 1.1.1,1. 1. 1. 2,1. 1. 1. 3}、欲监控的域名奮abc. com的解析结果集NSAU. 1. 1. 4}。还可以设置报警邮箱和报警规则等报警参数。查询模块31检查域名的授权信息,对域名进行解析,以得到当前域名服务器的IP结果集。查询模块31通过向全球13台点根服务器发出递归查询请求,获取当前主域名最新的授权信息,从而保证域名服务器记录来源的可靠性和及时性,再通过执行 Dig abc. com+trace,从根开始递归检查,得到当前域名服务器的IP结果集NSRlnsipl, nsip2, ......}。
域名服务器正确性判断单元32基于查询模块31的查询结果判断域名授权是否被劫持。具体的判断过程是判断查询模块31得到的当前域名服务器的IP结果集 NSRinsipl, nsip2,……}中是否存在不属于录入模块30录入的域名服务器的IP记录集合NSI {1. 1.1.1,1. 1. 1. 2,1. 1. 1. 3}的域名服务器的IP,如果存在则说明域名授权解析记录有遭到修改的风险,需向报警模块33发出表示域名服务器IP错误(nSip_error)的报警 fn息ο在域名服务器正确性判断单元32判断域名授权未被劫持的情况下运行域名服务器个数判断单元34,判断查询模块31得到的当前域名服务器的IP结果集NSRlnsipl, nsip2,……}中的域名服务器的个数是否少于预设值(例如为2个),若少于预设值则向所述报警模33块发出表示域名服务器IP数量过少(nsips_t00_less)的报警信息。在域名服务器个数判断单元34判断出正常的情况下启动具体域名解析查询模块 35,具体域名解析查询模块35依次解析查询模块30得到的当前域名服务器的IP结果集中的所有IP,得到解析结果集RNSA。然后,域名服务状况判断模块36判断查询模块31得到的当前域名服务器的IP结果集NSR{nsipl,nsip2,……}中是否存在IP 53端口不通的情况,如存在则判断域名服务器服务异常,向报警模块33发出服务器端口关闭(server_p0rt_cl0se)的报警信息。具体域名解析结果分析模块37在域名服务状况判断模块36判断出域名服务器服务正常的情况下运行,具体域名解析结果分析模块37判断具体域名解析查询模块 35得到的解析结果集RNSA和录入模块30中的欲监控的域名的解析结果集NSRlnsipl, nsip2,……}是否一致,如果不一致则向报警模块33发出表示域名服务器解析失败(ns_ resolv_error)的报警信息。报警模块33在判断出域名授权被劫持的情况下,进行报警处理。例如,可以通过读取录入模块20中的报警邮箱和报警参数,调用PHP报警页面,发送邮件或者短信来报警。 还可以通过声音报警或者web界面报警的方式来进行报警处理。上述实施例是提供给本领域普通技术人员来实现和使用本发明的,本领域普通技术人员可在不脱离本发明的发明思想的情况下,对上述实施例做出种种修改或变化,因而本发明的发明范围并不被上述实施例所限,而应该是符合权利要求书所提到的创新性特征的最大范围。
权利要求
1.一种防劫持的域名授权监控系统,包括录入模块、查询模块、第一判断模块、以及报警模块,其中录入模块,每隔预设的时间录入欲监控的域名的监控信息;查询模块,连接所述录入模块,检查所述域名的授权信息,对所述域名进行解析,以得到当前域名服务器的IP结果集;第一判断模块,连接所述查询模块,基于所述查询模块的查询结果判断域名授权是否被劫持;报警模块,连接第一判断模块,在判断出域名授权被劫持的情况下,进行报警处理。
2.根据权利要求1所述的防劫持的域名授权监控系统,其特征在于,所述录入模块录入的所述监控信息包括域名服务器的IP记录集合、所述欲监控的域名的解析结果集。
3.根据权利要求2所述的防劫持的域名授权监控系统,其特征在于,所述第一判断模块包括域名服务器正确性判断单元,判断所述查询模块得到的当前域名服务器的IP结果集中是否存在不属于所述录入模块录入的所述域名服务器的IP记录集合的域名服务器的 IP,如果存在则向所述报警模块发出表示域名服务器IP错误的报警信息。
4.根据权利要求3所述的防劫持的域名授权监控系统,其特征在于,所述第一判断模块还包括域名服务器个数判断单元,连接所述域名服务器正确性判断单元,在所述域名服务器正确性判断单元判断域名授权未被劫持的情况下运行,判断所述查询模块得到的当前域名服务器的IP结果集中的域名服务器的个数是否少于预设值,若少于预设值则向所述报警模块发出表示域名服务器IP数量过少的报警信息。
5.根据权利要求4所述的防劫持的域名授权监控系统,其特征在于,所述系统还包括具体域名解析查询模块,连接所述域名服务器个数判断单元,依次解析所述查询模块得到的当前域名服务器的IP结果集中的所有IP,得到解析结果集;域名服务状况判断模块,连接所述具体域名解析查询模块,判断所述查询模块得到的当前域名服务器的IP结果集中是否存在IP 53端口不通的情况,如存在则判断域名服务器服务异常,向所述报警模块发出服务器端口关闭的报警信息;具体域名解析结果分析模块,连接所述域名服务状况判断模块,在所述域名服务状况判断模块判断出域名服务器服务正常的情况下运行,判断所述具体域名解析查询模块得到的解析结果集和所述录入模块中的所述欲监控的域名的解析结果集是否一致,如果不一致则向所述报警模块发出表示域名服务器解析失败的报警信息。
6.根据权利要求1所述的防劫持的域名授权监控系统,其特征在于,所述报警模块通过电子邮件或者手机短信的方式进行报警通知,或者通过声音报警、Web界面报警的方式来提醒。
7.根据权利要求1 6中任一项所述的防劫持的域名授权监控系统,其特征在于,所述查询模块是通过递归查询的方式对所述域名进行解析。
8.根据权利要求1 6中任一项所述的防劫持的域名授权监控系统,其特征在于,所述录入模块还设置报警规则和报警参数。
全文摘要
本发明公开了一种防劫持的域名授权监控系统,避免域名授权被篡改或DNS解析服务异常给网站造成的损失。其技术方案为包括录入模块、查询模块、第一判断模块、以及报警模块,其中录入模块,每隔预设的时间录入欲监控的域名的监控信息;查询模块,连接所述录入模块,检查所述域名的授权信息,对所述域名进行解析,以得到当前域名服务器的IP结果集;第一判断模块,连接所述查询模块,基于所述查询模块的查询结果判断域名授权是否被劫持;报警模块,连接第一判断模块,在判断出域名授权被劫持的情况下,进行报警处理。
文档编号H04L29/12GK102255778SQ20111026182
公开日2011年11月23日 申请日期2011年9月6日 优先权日2011年9月6日
发明者赖智慧, 黄莎琳 申请人:网宿科技股份有限公司