一种域名劫持探测、系统及装置制造方法

一种域名劫持探测、系统及装置制造方法
【专利摘要】本发明实施例公开了一种域名劫持探测方法，包括：路由模块获取探测任务；路由模块向至少一个探测模块发送该探测模块对应的LDNS信息和探测任务；至少一个探测模块根据所述目标LDNS信息向该探测模块对应的目标LDNS发送第一DNS请求报文；至少一个探测模块接收该探测模块对应的目标LDNS发送的第一响应信息；至少一个探测模块将接收到的第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块；分析模块分析出劫持第一响应信息，并确定发送劫持第一响应信息的目标LDNS存在域名劫持行为。相应地，本发明实施例还公开了相关的系统和装置。本发明实施例可以提高对LDNS的域名劫持监控的成功率。
【专利说明】 一种域名劫持探测、系统及装置

【技术领域】
[0001]本发明涉及互联网【技术领域】，一种域名劫持探测、系统及装置。

【背景技术】
[0002]目前业界对运营商本地缓存域名服务器(Local Domain Name System, LDNS)的域名劫持监控，目前探测的方法如下:
[0003]集中化的探测设备向LDNS发送指定域名的域名服务系统(Domain Name System,DNS)查询请求报文；
[0004]LDNS判断上述探测设备是否为该LDNS所在的地域的探测设备，若是，则将该域名的解析信息发送至上述探测设备；
[0005]上述探测设备将该解析信息与系统配置的该域名正解解析记录进行对比，当两者不一致时则识别出该LDNS存在域名劫持行为。
[0006]上述技术方案中，由于LDNS —般只对该LDNS所在的地域的探测设备返回解析信息，而探测设备预先没有与LDNS建立映射关系，即在实际应用中探测设备是对多个LDNS进行探测，且这多个LDNS可能是不同的地域的LDNS时，这样探测设备就可能只接收到多个LDNS中一个或者零个LDNS返回的解析信息。从而得出目前的对LDNS的域名劫持监控的成功率比较低。


【发明内容】

[0007]本发明实施例提供了一种域名劫持探测、系统及方法，可以提高对LDNS的域名劫持监控的成功率。
[0008]第一方面，本发明实施例提供一种域名劫持探测方法，包括:
[0009]路由模块获取探测任务，其中，所述探测任务包括域名信息；
[0010]所述路由模块对预先获取的路由映射信息进行查表操作，向至少一个探测模块发送该探测模块对应的LDNS信息和所述探测任务；其中，所述探测模块为所述路由映射信息所指示的与至少一个目标LDNS对应的探测模块；
[0011 ] 所述至少一个探测模块根据所述目标LDNS信息向该探测模块对应的目标LDNS发送包括所述探测任务的第一 DNS请求报文；
[0012]所述至少一个探测模块接收该探测模块对应的目标LDNS发送的第一响应信息，所述第一响应信息为所述第一 DNS请求报文的响应信息，且包括所述域名信息和所述域名信息的解析信息；
[0013]所述至少一个探测模块将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块；
[0014]所述分析模块对接收到的每个所述第一响应信息进行分析，分析出劫持第一响应信息，并确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为，所述劫持第一响应信息是指所述第一响应信息包括的解析信息与该第一响应信息包括的域名信息的正确解析信息不一致。
[0015]第二方面，本发明实施例提供一种域名劫持探测方法，包括:
[0016]探测模块接收路由模块发送的该探测模块对应的至少一个目标LDNS信息和探测任务；其中，所述至少一个目标LDNS为所述路由模块获取的路由映射信息所指示与所述探测模块对应的LDNS，所述探测任务包括域名信息；
[0017]所述探测模块向所述至少一个目标LDNS发送包括所述探测任务的第一 DNS请求报文；
[0018]所述探测模块接收所述至少一个目标LDNS发送的第一响应信息，所述第一响应信息为所述第一 DNS请求报文的响应信息，且包括所述域名信息和所述域名信息的解析信息；
[0019]所述探测模块将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块；以使所述分析模块对所述第一响应信息进行分析，分析出劫持第一响应信息，并由所述分析模块确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为，所述劫持第一响应信息是指所述第一响应信息包括的解析信息与该第一响应信息包括的域名信息的正确解析信息不一致。
[0020]第三方面，本发明实施例提供一种域名探测系统，包括:路由模块、至少一个探测模块、分析模块，其中:
[0021]所述路由模块，用于获取探测任务，其中，所述探测任务包括域名信息；
[0022]所述路由模块还用于对预先获取的路由映射信息进行查表操作，向至少一个探测模块发送该探测模块对应的目标本地缓存域名服务器LDNS信息和所述探测任务；其中，所述探测模块为所述路由映射信息所指示的与至少一个目标LDNS对应的探测模块；
[0023]所述探测模块，用于根据所述目标LDNS信息向该探测模块对应的目标LDNS发送包括所述探测任务的第一域名服务系统DNS请求报文；
[0024]所述探测模块还用于接收该探测模块对应的目标LDNS发送的第一响应信息，所述第一响应信息为所述第一 DNS请求报文的响应信息，且包括所述域名信息和所述域名信息的解析信息；
[0025]所述探测模块还用于将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块；
[0026]所述分析模块，用于对接收到的每个所述第一响应信息进行分析，分析出劫持第一响应信息，并确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为,所述劫持第一响应信息是指所述第一响应信息包括的解析信息与该第一响应信息包括的域名信息的正确解析信息不一致。
[0027]第四方面，本发明实施例提供一种域名劫持探测装置，包括:第一接收单元、第一发送单元、第二接收单元和第二发送单元，其中:
[0028]所述第一接收单元，用于接收路由模块发送的该探测模块对应的至少一个目标LDNS信息和探测任务；其中，所述至少一个目标LDNS为所述路由模块获取的路由映射信息所指示与所述探测模块对应的LDNS，所述探测任务包括域名信息；
[0029]所述第一发送单元，用于向所述至少一个目标LDNS发送包括所述探测任务的第一 DNS请求报文；
[0030]所述第二接收单元，用于接收所述至少一个目标LDNS发送的第一响应信息，所述第一响应信息为所述第一 DNS请求报文的响应信息，且包括所述域名信息和所述域名信息的解析信息；
[0031]所述第二发送单元，用于将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块；以使所述分析模块对所述第一响应信息进行分析，分析出劫持第一响应信息，并由所述分析模块确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为，所述劫持第一响应信息是指所述第一响应信息包括的解析信息与该第一响应信息包括的域名信息的正确解析信息不一致。
[0032]上述技术方案中，至少一个探测模块向路由映射信息中所示的该探测模块对应的目标LDNS发送第一 DNS报文；至少一个探测模块接收该探测模块对应的目标LDNS发送的第一响应信息；至少一个探测模块将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块；所述分析模块对接收到的每个所述第一响应信息进行分析，分析出劫持第一响应信息，并确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为。这样由于每个探测模块所探测的LDNS为路由映射信息所指示的LDNS，这样就可以提高对LDNS的域名劫持监控的成功率。

【专利附图】

【附图说明】
[0033]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0034]图1是本发明实施例提供的一种模块劫持探测方法的流程示意图；
[0035]图2是本发明实施例提供的另一种模块劫持探测方法的流程示意图；
[0036]图3是本发明实施例提供的另一种模块劫持探测方法的流程示意图；
[0037]图4是本发明实施例提供的另一种模块劫持探测方法的流程示意图；
[0038]图5是本发明实施例提供的一种域名探测系统的结构示意图；
[0039]图6是本发明实施例提供的另一种域名探测系统的结构示意图；
[0040]图7是本发明实施例提供的一种域名劫持探测装置的结构示意图；
[0041]图8是本发明实施例提供的另一种域名劫持探测装置的结构示意图。

【具体实施方式】
[0042]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0043]本发明实施例中，路由模块、探测模块、分析模块、任务模块和接收模块都可以是独立的网络设备，例如:探测模块可以是探测设备，路由模块可以是路由设备，分析模块可以是服务器或者计算机，任务模块可以是服务器或者路由设备，接收模块可以是服务器或者计算机。其中，路由模块和任务模块还可以是同一个设备上的两个独立的模块，例如:路由设备或者服务器上两个独立的模块。
[0044]另外，本发明实施例中，目标LDNS可以是用户指定的LDNS，例如通过用户的操作而指定的LDNS ;还可以是任务模块自动指定的LDNS，例如，任务模块根据探测任务包括的域名信息而自动指定的LDNS。其中，目标LDNS可以是某一个或者多个地域的，例如:某一个或者多个国家，或者某一个或者多个省份，或者某一个或者多个城市的LDNS,还可以是目标LDNS某一个或者多个运营商的LDNS。
[0045]图1是本发明实施例提供的一种模块劫持探测方法的流程示意图，如图1所示，包括以下步骤:
[0046]S101、路由模块获取探测任务，其中，所述探测任务包括域名信息。
[0047]具体可以是通过用户操作获取的探测任务或者其它模块发送给路由模块的探测任务，其中，探测任务具体可以包括域名信息，例如一个或者多个域名的信息，即该探测任务是对该域名信息所指示的域名进行探测。
[0048]S102、路由模块对预先获取的路由映射信息进行查表操作，向至少一个探测模块发送该探测模块对应的LDNS信息和所述探测任务；其中，所述探测模块为所述路由映射信息所指示的与至少一个目标LDNS对应的探测模块。
[0049]上述路由映射信息具体可以是用于指示探测模块与目标LDNS的对应关系，即该路由映射信息指示了每个探测模块所对应的LDNS，例如:探测模块A对应的LDNS为LDNSl、LDNS2和LDNS3，探测模块B对应的LDNS为LDNS4、LDNS5和LDNS6，探测模块C对应的LDNS为LDNS7、LDNS8和LDNS9等。这样当路由模块获知的目标LDNS时，就可以获取与这些目标LDNS对应的至少一个探测模块，例如，目标LDNS包括LDNS1、LDNS2、LDNS3、LDNS4、LDNS5、LDNS6、LDNS7、LDNS8和LDNS9时，上述至少一个探测模块就为探测模块A、探测模块B和探测模块C。
[0050]S103、至少一个探测模块根据所述目标LDNS信息向该探测模块对应的目标LDNS发送包括所述探测任务的第一 DNS请求报文。
[0051]由于步骤S102路由模块向探测模块发送的该探测模块对应的LDNS信息，这样该探测模块就可以通过该LDNS信息获知对应的目标LDNS，从而根据所述目标LDNS信息向该探测模块对应的目标LDNS发送包括所述探测任务的第一 DNS请求报文。其中，上述LDNS信息具体可以是上述路由映射信息，即在步骤S102中路由模块可以是将上述路由映射信息同步给探测模块。
[0052]目标LDNS接收到第一 DNS请求报文后，就可以对该第一 DNS请求报文进行响应，以返回第一响应信息。
[0053]其中，上述发送第一 DNS请求报文可以是以一定周期的重复发送的第一 DNS请求报文。
[0054]S104、至少一个探测模块接收该探测模块对应的目标LDNS发送的第一响应信息，所述第一响应信息为所述第一 DNS请求报文的响应信息，且包括所述域名信息和所述域名信息的解析信息。
[0055]其中，至少一个探测模块接收该探测模块对应的目标LDNS发送的第一响应信息具体可以是接收该探测模块对应的所有目标LDNS中部分或者全部目标LDNS发送的第一响应信息。
[0056]S105、至少一个探测模块将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块。
[0057]具体可以是将一个第一响应信息和发送该第一响应信息的目标LDNS信息作为一个数据包发送至分析模块，或者以列表的形式一次发送多个第一响应信息和发送该第一响应信息的目标LDNS信息。
[0058]S106、分析模块对接收到的每个所述第一响应信息进行分析，分析出劫持第一响应信息，并确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为，所述劫持第一响应信息是指所述第一响应信息包括的解析信息与该第一响应信息包括的域名信息的正确解析信息不一致。
[0059]分析模块具体可以是将预先获取的上述域名的正确解析信息与探测模块发送的第一响应信息包括的解析信息进行对比，当第一响应信息包括的解析信息与正确解析信息不一致时，则确定发送该第一响应信息的目标LDNS存在域名劫持行为。
[0060]上述技术方案中，至少一个探测模块向路由映射信息中所示的该探测模块对应的目标LDNS发送第一 DNS报文；至少一个探测模块接收该探测模块对应的目标LDNS发送的第一响应信息；至少一个探测模块将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块；所述分析模块对接收到的每个所述第一响应信息进行分析，分析出劫持第一响应信息，并确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为。这样由于每个探测模块所探测的LDNS为路由映射信息所指示的LDNS，这样就可以提高对LDNS的域名劫持监控的成功率。
[0061]图2是本发明实施例提供的另一种模块劫持探测方法的流程示意图，如图2所示，包括以下步骤:
[0062]S201、至少一个探测模块都对所有目标LDNS发送第二 DNS请求报文。
[0063]具体可以是每个探测模块都对所有目标LDNS发送第二 DNS请求报文。
[0064]S202、至少一个探测模块接收至少一个目标LDNS返回的第二响应信息。
[0065]具体可以是每个探测模块接收到至少一个目标LDNS返回的第二响应信息，其中，每个探测模块接收至少一个目标LDNS返回的第二响应信息可以是相同或者不同的至少一个目标LDNS返回的第二响应信息。例如:探测模块A可以是接收为LDNS1、LDNS2和LDNS3返回的第二响应信息；探测模块B可以是接收LDNS1、LDNS4、LDNS5和LDNS6返回的第二响应信息，探测模块C接收的可以是LDNS7、LDNS8和LDNS9返回的第二响应信息。
[0066]上述第二响应信息具体可以是目标LDNS对应第二 DNS请求报文的响应信息。
[0067]S203、至少一个探测模块将该探测模块接收到的第二响应信息对应的目标LDNS作为探通LDNS，并将该探测模块的探通LDNS的信息发送至任务模块。
[0068]即每个探测模块都会该探测模块的探通LDNS的信息发送至任务模块，例如，探测模块A可以是接收为LDNS1、LDNS2和LDNS3返回的第二响应信息，那么探测模块A的探通LDNS就可以为LDNS1、LDNS2和LDNS3，并将LDNS1、LDNS2和LDNS3的信息发送的任务模块。
[0069]S204、任务模块根据所述至少一个探测模块发送的探通LDNS的信息生成所述路由映射信息，所述路由映射信息表示所述至少一个探测模块对应的目标LDNS为该探测模块的探通LDNS。
[0070]任务模块接收到上述探通LDNS的信息时，就可以生成路由映射信息。例如:探测模块A的探通LDNS就可以为LDNS1、LDNS2和LDNS3，那么上述路由映射信息中探测模块A对应的LDNS就可以为LDNSl、LDNS2和LDNS3。
[0071]任务模块具体可以是还可以从多个维度建立上述路由映射信息，例如，某一个探测模块的探通LDNS包括多个，且这多个LDNS可能包括不同国家、不同省份或者不同运营商的LDNS，这样任务模块可以从多个维度选择出该探测模块对应的LDNS，例如，从国家、省份和运营商这三个维度选择出该探测模块对应的LDNS，若该探测模块为部署在省份A的运营商A的探测模块，任务模块从该探测模块对应的多个LDNS选择出省份A的运营商A的LDNS作为该探测模块对应的LDNS。
[0072]S205、任务模块将所述路由映射信息以及所述探测任务发送至所述路由模块。
[0073]具体可以是通过用户操作获取的探测任务或者其它模块发送给路由模块的探测任务，其中，探测任务具体可以包括域名信息，例如一个或者多个域名的信息，即该探测任务是对该域名信息所指示的域名进行探测。
[0074]S206、路由模块获取探测任务，其中，所述探测任务包括域名信息。
[0075]S207、路由模块对预先获取的路由映射信息进行查表操作，向至少一个探测模块发送该探测模块对应的目标本地缓存域名服务器LDNS信息和所述探测任务；其中，所述探测模块为所述路由映射信息所指示的与至少一个目标LDNS对应的探测模块。
[0076]上述路由映射信息具体可以是用于指示探测模块与目标LDNS的对应关系，即该路由映射信息指示了每个探测模块所对应的LDNS，例如:探测模块A对应的LDNS为LDNSl、LDNS2和LDNS3，探测模块B对应的LDNS为LDNS4、LDNS5和LDNS6，探测模块C对应的LDNS为LDNS7、LDNS8和LDNS9等。这样当路由模块获知的目标LDNS时，就可以获取与这些目标LDNS对应的至少一个探测模块，例如，目标LDNS包括LDNS1、LDNS2、LDNS3、LDNS4、LDNS5、LDNS6、LDNS7、LDNS8和LDNS9时，上述至少一个探测模块就为探测模块A、探测模块B和探测模块C。
[0077]S208、至少一个探测模块根据所述目标LDNS信息向该探测模块对应的目标LDNS发送包括所述探测任务的第一 DNS请求报文。
[0078]目标LDNS接收到第一 DNS请求报文后，就可以对该第一 DNS请求报文进行响应，以返回第一响应信息。
[0079]其中，上述发送第一 DNS请求报文可以是以一定周期的重复发送的第一 DNS请求报文。
[0080]S209、至少一个探测模块接收该探测模块对应的目标LDNS发送的第一响应信息，所述第一响应信息为所述第一 DNS请求报文的响应信息，且包括所述域名信息和所述域名信息的解析信息。
[0081]其中，至少一个探测模块接收该探测模块对应的目标LDNS发送的第一响应信息具体可以是接收该探测模块对应的所有目标LDNS中部分或者全部目标LDNS发送的第一响应信息。
[0082]S2010、至少一个探测模块将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块。
[0083]具体可以是将一个第一响应信息和发送该第一响应信息的目标LDNS信息作为一个数据包发送至分析模块，或者以列表的形式一次发送多个第一响应信息和发送该第一响应信息的目标LDNS信息。
[0084]S2011、分析模块对接收到的每个所述第一响应信息进行分析，分析出劫持第一响应信息，并确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为，所述劫持第一响应信息是指所述第一响应信息包括的解析信息与该第一响应信息包括的域名信息的正确解析信息不一致。
[0085]分析模块具体可以是将预先获取的上述域名的正确解析信息与探测模块发送的第一响应信息包括的解析信息进行对比，当第一响应信息包括的解析信息与正确解析信息不一致时，则确定发送该第一响应信息的目标LDNS存在域名劫持行为。
[0086]作为一种可选的实施方式，在步骤208之后，所述方法还可以包括:
[0087]至少一个探测模块将该探测模块对应的每个目标LDNS的探通率发送给所述路由模块；所述探通率是指接收到目标LDNS发送的所述第一响应信息的接收率；
[0088]路由模块将所述至少一个探测模块发送的所述探通率发送至所述任务模块；
[0089]任务模块根据所述探通率更新所述路由映射信息。
[0090]由于上述探通率表示了探测模块接收每个目标LDNS返回第一响应信息的接收率，例如，探测模块A向LDNS1发送10个第一 DNS请求报文，但只接收到LDNS1返回的5个第一响应信息，则探测模块A对于LDNS1的探通率为50%。当任务模块接收到上述至少一个探测模块的发送的探通率时就可以根据这些探通率更新上述路由映射信息，以实现动态生成或者更新上述路由映射信息，以提高对LDNS的域名劫持监控的成功率。
[0091]作为一种可行的实施方式，所述探测任务还包括所述域名的属性信息，所述属性信息表示所述域名的重要级别。其中，域名的属性信息可以是用户设置的，例如，该域名为重点域名，或者该域名为非重点域名等。
[0092]步骤S208具体可以包括:
[0093]至少一个探测模块分别建立包括多个第一 DNS请求报文的探测队列，且每个所述第一 DNS请求报文之间的间隔时间与所述属性信息所表示的重要级别对应；所述第一 DNS请求报文包括所述域名信息；
[0094]至少一个探测模块根据所述目标LDNS信息向该探测模块对应的目标LDNS发送所述探测队列包括的多个第一 DNS请求报文。
[0095]例如:探测任务包括的域名的为重点域名时，上述探测队列可以是包括20个上述第一 DNS请求报文，且每个第一 DNS请求报文之间的间隔时间为1秒，即进行20次的探测，每次探测泊间隔时间为1秒。探测任务包括的域名的为非重点域名时，上述探测队列可以是包括5个上述第一 DNS请求报文，且每个第一 DNS请求报文之间的间隔时间为4秒，即进行5次的探测，每次探测泊间隔时间为4秒。这样可以节约探测模块的功耗。
[0096]作为一种可选的实施方式，步骤S2010具体可以包括:
[0097]至少一个探测模块将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至接收模块；
[0098]接收模块对接收的所述第一响应信息和发送该第一响应信息的目标LDNS信息进行过滤，并将过滤后的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至所述分析模块。
[0099]其中，上述过滤具体可以是将重复的目标LDNS发送的第一响应信息进行过滤，例如，探测模块A和探测模块B对应的目标LDNS都包括LDNSl，且都接收到LDNSl返回的第一响应信息，这样接收模块就可以对LDNSl返回的第一响应信息进行过滤,将过滤后的LDNSl返回的第一响应信息发送至分析模块，以避免分析浪费资源。
[0100]上述技术方案中，在上面实施例的基础上实现了多种可选的实施方式，且都可以实现提高对LDNS的域名劫持监控的成功率。
[0101]图3是本发明实施例提供的另一种域名劫持方法的流程示意图，如图3所示，包括以下步骤:
[0102]S301、探测模块接收路由模块发送的该探测模块对应的至少一个目标LDNS信息和探测任务；其中，所述至少一个目标LDNS为所述路由模块获取的路由映射信息所指示与所述探测模块对应的LDNS，所述探测任务包括域名信息。
[0103]其中，上述探测任务通过用户操作获取的探测任务或者其它模块发送给路由模块的探测任务，其中，探测任务具体可以包括域名信息，例如一个或者多个域名的信息，即该探测任务是对该域名信息所指示的域名进行探测。
[0104]上述路由映射信息具体可以是用于指示探测模块与目标LDNS的对应关系，即该路由映射信息指示了每个探测模块所对应的LDNS，例如:探测模块A对应的LDNS为LDNSl、LDNS2和LDNS3，探测模块B对应的LDNS为LDNS4、LDNS5和LDNS6，探测模块C对应的LDNS为LDNS7、LDNS8和LDNS9等。这样当路由模块获知的目标LDNS时，就可以获取与这些目标LDNS对应的至少一个探测模块，例如，目标LDNS包括LDNS1、LDNS2、LDNS3、LDNS4、LDNS5、LDNS6、LDNS7、LDNS8和LDNS9时，上述至少一个探测模块就为探测模块A、探测模块B和探测模块C。
[0105]S302、探测模块向所述至少一个目标LDNS发送包括所述探测任务的第一 DNS请求报文。
[0106]由于步骤S301路由模块向探测模块发送的该探测模块对应的LDNS信息，这样该探测模块就可以通过该LDNS信息获知对应的目标LDNS，从而根据所述目标LDNS信息向该探测模块对应的目标LDNS发送包括所述探测任务的第一 DNS请求报文。其中，上述LDNS信息具体可以是上述路由映射信息，即在步骤S301中路由模块可以是将上述路由映射信息同步给探测模块。
[0107]目标LDNS接收到第一 DNS请求报文后，就可以对该第一 DNS请求报文进行响应，以返回第一响应信息。
[0108]其中，上述发送第一 DNS请求报文可以是以一定周期的重复发送的第一 DNS请求报文。
[0109]S303、探测模块接收所述至少一个目标LDNS发送的第一响应信息，所述第一响应信息为所述第一 DNS请求报文的响应信息，且包括所述域名信息和所述域名信息的解析信肩、O
[0110]其中，探测模块接收该探测模块对应的目标LDNS发送的第一响应信息具体可以是接收该探测模块对应的所有目标LDNS中部分或者全部目标LDNS发送的第一响应信息。
[0111]S304、探测模块将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块；以使所述分析模块对所述第一响应信息进行分析，分析出劫持第一响应信息，并由所述分析模块确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为，所述劫持第一响应信息是指所述第一响应信息包括的解析信息与该第一响应信息包括的域名信息的正确解析信息不一致。
[0112]具体可以是将一个第一响应信息和发送该第一响应信息的目标LDNS信息作为一个数据包发送至分析模块，或者以列表的形式一次发送多个第一响应信息和发送该第一响应信息的目标LDNS信息。分析模块具体可以是将预先获取的上述域名的正确解析信息与探测模块发送的第一响应信息包括的解析信息进行对比，当第一响应信息包括的解析信息与正确解析信息不一致时，则确定发送该第一响应信息的目标LDNS存在域名劫持行为。
[0113]作为一种可选的实施方式，如图4所示，在步骤S301之前，所述方法还可以包括:
[0114]S305、探测模块对所有目标LDNS发送第二 DNS请求报文。
[0115]S306、探测模块接收至少一个目标LDNS返回的第二响应信息。
[0116]上述第二响应信息具体可以是目标LDNS对应第二 DNS请求报文的响应信息。
[0117]S307、探测模块将接收到的第二响应信息对应的目标LDNS作为探通LDNS，并将该探测模块的探通LDNS的信息发送至任务模块；以使所述任务模块根据所述探测模块发送的探通LDNS的信息生成所述路由映射信息，所述路由映射信息表示所述探测模块对应的目标LDNS为该探测模块的探通LDNS，以及由所述任务模块将所述路由映射信息以及所述探测任务发送至所述路由模块。
[0118]任务模块接收到上述探通LDNS的信息时，就可以生成路由映射信息。例如:探测模块A的探通LDNS就可以为LDNS1、LDNS2和LDNS3，那么上述路由映射信息中探测模块A对应的LDNS就可以为LDNS1、LDNS2和LDNS3。
[0119]任务模块具体可以是还可以从多个维度建立上述路由映射信息，例如，某一个探测模块的探通LDNS包括多个，且这多个LDNS可能包括不同国家、不同省份或者不同运营商的LDNS，这样任务模块可以从多个维度选择出该探测模块对应的LDNS，例如，从国家、省份和运营商这三个维度选择出该探测模块对应的LDNS，若该探测模块为部署在省份A的运营商A的探测模块，任务模块从该探测模块对应的多个LDNS选择出省份A的运营商A的LDNS作为该探测模块对应的LDNS。
[0120]作为一种可选的实施方式，在步骤S303之后，所述方法还可以包括:
[0121]探测模块将对应的每个目标LDNS的探通率发送给所述路由模块，所述探通率是指接收到目标LDNS发送的所述第一响应信息的接收率；以使所述路由模块将所述至少一个探测模块发送的所述探通率发送至所述任务模块；由所述任务模块根据所述探通率更新所述路由映射信息。
[0122]由于上述探通率表示了探测模块接收每个目标LDNS返回第一响应信息的接收率，例如，探测模块A向LDNS1发送10个第一 DNS请求报文，但只接收到LDNS1返回的5个第一响应信息，则探测模块A对于LDNS1的探通率为50%。当任务模块接收到上述至少一个探测模块的发送的探通率时就可以根据这些探通率更新上述路由映射信息，以实现动态生成或者更新上述路由映射信息，以提高对LDNS的域名劫持监控的成功率。
[0123]作为一种可行的实施方式，所述探测任务还包括所述域名的属性信息，所述属性信息表示所述域名的重要级别。其中，域名的属性信息可以是用户设置的，例如，该域名为重点域名，或者该域名为非重点域名等。
[0124]步骤S302具体可以包括:
[0125]探测模块分别建立包括多个第一 DNS请求报文的探测队列，且每个所述第一 DNS请求报文之间的间隔时间与所述属性信息所表示的重要级别对应；所述第一 DNS请求报文包括所述域名信息；
[0126]探测模块向所述至少一个目标LDNS发送所述探测队列包括的多个第一 DNS请求报文。
[0127]例如:探测任务包括的域名的为重点域名时，上述探测队列可以是包括20个上述第一 DNS请求报文，且每个第一 DNS请求报文之间的间隔时间为I秒，即进行20次的探测，每次探测泊间隔时间为I秒。探测任务包括的域名的为非重点域名时，上述探测队列可以是包括5个上述第一 DNS请求报文，且每个第一 DNS请求报文之间的间隔时间为4秒，即进行5次的探测，每次探测泊间隔时间为4秒。这样可以节约探测模块的功耗。
[0128]作为一种可选的实施方式，步骤304具体可以包括:
[0129]探测模块将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息接收模块；以使所述接收模块对接收的所述第一响应信息和发送该第一响应信息的目标LDNS信息进行过滤,并将过滤后的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至所述分析模块。
[0130]其中，上述过滤具体可以是将重复的目标LDNS发送的第一响应信息进行过滤，例如，探测模块A和探测模块B对应的目标LDNS都包括LDNSl，且都接收到LDNSl返回的第一响应信息，这样接收模块就可以对LDNSl返回的第一响应信息进行过滤,将过滤后的LDNSl返回的第一响应信息发送至分析模块，以避免分析浪费资源。
[0131]上述技术方案中，探测模块向路由映射信息中所示的该探测模块对应的目标LDNS发送第一 DNS报文；探测模块接收该探测模块对应的目标LDNS发送的第一响应信息；探测模块将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块；以使分析模块对接收到的每个所述第一响应信息进行分析，分析出劫持第一响应信息，并确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为。这样由于探测模块所探测的LDNS为路由映射信息所指示的LDNS，这样就可以提高对LDNS的域名劫持监控的成功率。
[0132]下面为本发明装置实施例，本发明装置实施例用于执行本发明方法实施例一至三实现的方法，为了便于说明，仅示出了与本发明实施例相关的部分，具体技术细节未揭示的，请参照本发明实施例一、实施例二、实施例三和实施例四。
[0133]图5是本发明实施例提供的一种域名探测系统的结构示意图，如图5所示，包括:路由模块51、至少一个探测模块52、分析模块53，其中:
[0134]路由模块51，用于获取探测任务，其中，所述探测任务包括域名信息。
[0135]具体可以是通过用户操作获取的探测任务或者其它模块发送给路由模块51的探测任务，其中，探测任务具体可以包括域名信息，例如一个或者多个域名的信息，即该探测任务是对该域名信息所指示的域名进行探测。
[0136]路由模块51还用于对预先获取的路由映射信息进行查表操作，向至少一个探测模块52发送该探测模块52对应的LDNS信息和所述探测任务；其中，所述探测模块52为所述路由映射信息所指示的与至少一个目标LDNS对应的探测模块52。
[0137]上述路由映射信息具体可以是用于指示探测模块52与目标LDNS的对应关系，即该路由映射信息指示了每个探测模块52所对应的LDNS，例如:探测模块52A对应的LDNS为LDNS1、LDNS2 和 LDNS3，探测模块 52B 对应的 LDNS 为 LDNS4、LDNS5 和 LDNS6，探测模块 52C对应的LDNS为LDNS7、LDNS8和LDNS9等。这样当路由模块51获知的目标LDNS时，就可以获取与这些目标LDNS对应的至少一个探测模块52，例如，目标LDNS包括LDNS1、LDNS2、LDNS3、LDNS4、LDNS5、LDNS6、LDNS7、LDNS8 和 LDNS9 时，上述至少一个探测模块 52 就为探测模块52A、探测模块52B和探测模块52C。
[0138]探测模块52，用于根据所述目标LDNS信息向该探测模块52对应的目标LDNS发送包括所述探测任务的第一域名服务系统DNS请求报文。
[0139]由于路由模块51向探测模块52发送的该探测模块52对应的LDNS信息，这样该探测模块52就可以通过该LDNS信息获知对应的目标LDNS，从而向该探测模块52对应的目标LDNS发送包括所述探测任务的第一 DNS请求报文。其中，上述LDNS信息具体可以是上述路由映射信息，即在路由模块51可以是将上述路由映射信息同步给探测模块52。
[0140]其中，上述发送第一 DNS请求报文可以是以一定周期的重复发送的第一 DNS请求报文。
[0141]探测模块52还用于接收该探测模块52对应的目标LDNS发送的第一响应信息，所述第一响应信息为所述第一 DNS请求报文的响应信息，且包括所述域名信息和所述域名信息的解析信息。
[0142]其中，至少一个探测模块52接收该探测模块52对应的目标LDNS发送的第一响应信息具体可以是接收该探测模块52对应的所有目标LDNS中部分或者全部目标LDNS发送的第一响应信息。
[0143]探测模块52还用于将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块53。
[0144]具体可以是将一个第一响应信息和发送该第一响应信息的目标LDNS信息作为一个数据包发送至分析模块53，或者以列表的形式一次发送多个第一响应信息和发送该第一响应信息的目标LDNS信息。
[0145]分析模块53，用于对接收到的每个所述第一响应信息进行分析，分析出劫持第一响应信息，并确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为，所述劫持第一响应信息是指所述第一响应信息包括的解析信息与该第一响应信息包括的域名信息的正确解析信息不一致。
[0146]分析模块53具体可以是将预先获取的上述域名的正确解析信息与探测模块52发送的第一响应信息包括的解析信息进行对比，当第一响应信息包括的解析信息与正确解析信息不一致时，则确定发送该第一响应信息的目标LDNS存在域名劫持行为。
[0147]作为一种可选的实施方式，如图6所示，所述系统还可以包括任务模块54，其中:
[0148]探测模块52还用于对所有目标LDNS发送第二 DNS请求报文；
[0149]探测模块52还用于接收至少一个目标LDNS返回的第二响应信息；
[0150]探测模块52还用于将该探测模块52接收到的第二响应信息对应的目标LDNS作为探通LDNS，并将该探测模块52的探通LDNS的信息发送至任务模块54 ；
[0151]任务模块54，用于根据所述至少一个探测模块52发送的探通LDNS的信息生成所述路由映射信息，所述路由映射信息表示所述至少一个探测模块52对应的目标LDNS为该探测模块52的探通LDNS ；
[0152]任务模块54还用于将所述路由映射信息以及所述探测任务发送至所述路由模块51。
[0153]任务模块54接收到上述探通LDNS的信息时，就可以生成路由映射信息。例如:探测模块52A的探通LDNS就可以为LDNS1、LDNS2和LDNS3，那么上述路由映射信息中探测模块52A对应的LDNS就可以为LDNSl、LDNS2和LDNS3。
[0154]任务模块54具体可以是还可以从多个维度建立上述路由映射信息，例如，某一个探测模块52的探通LDNS包括多个，且这多个LDNS可能包括不同国家、不同省份或者不同运营商的LDNS，这样任务模块54可以从多个维度选择出该探测模块52对应的LDNS，例如，从国家、省份和运营商这三个维度选择出该探测模块52对应的LDNS，若该探测模块52为部署在省份A的运营商A的探测模块52，任务模块54从该探测模块52对应的多个LDNS选择出省份A的运营商A的LDNS作为该探测模块52对应的LDNS。
[0155]作为一种可选的实施方式，探测模块52还可以用于将该探测模块52对应的每个目标LDNS的探通率发送给所述路由模块51 ;所述探通率是指接收到目标LDNS发送的所述第一响应信息的接收率；
[0156]路由模块51还可以用于将所述至少一个探测模块52发送的所述探通率发送至所述任务模块54 ；
[0157]任务模块54还可以用于根据所述探通率更新所述路由映射信息。
[0158]由于上述探通率表示了探测模块52接收每个目标LDNS返回第一响应信息的接收率，例如，探测模块52A向LDNSl发送10个第一 DNS请求报文，但只接收到LDNSl返回的5个第一响应信息，则探测模块52A对于LDNSl的探通率为50%。当任务模块54接收到上述至少一个探测模块52的发送的探通率时就可以根据这些探通率更新上述路由映射信息，以实现动态生成或者更新上述路由映射信息，以提高对LDNS的域名劫持监控的成功率。
[0159]作为一种可行的实施方式，所述探测任务还包括所述域名的属性信息，所述属性信息表示所述域名的重要级别。其中，域名的属性信息可以是用户设置的，例如，该域名为重点域名，或者该域名为非重点域名等。
[0160]探测模块52还可以用于分别建立包括多个第一 DNS请求报文的探测队列，且每个所述第一 DNS请求报文之间的间隔时间与所述属性信息所表示的重要级别对应；所述第一DNS请求报文包括所述域名信息；
[0161]探测模块52还可以用于向该探测模块52对应的目标LDNS发送所述探测队列包括的多个第一 DNS请求报文。
[0162]例如:探测任务包括的域名的为重点域名时，上述探测队列可以是包括20个上述第一 DNS请求报文，且每个第一 DNS请求报文之间的间隔时间为I秒，即进行20次的探测，每次探测泊间隔时间为I秒。探测任务包括的域名的为非重点域名时，上述探测队列可以是包括5个上述第一 DNS请求报文，且每个第一 DNS请求报文之间的间隔时间为4秒，即进行5次的探测，每次探测泊间隔时间为4秒。这样可以节约探测模块52的功耗。
[0163]作为一种可选的实施方式，所述系统还可以包括接收模块55，其中:
[0164]探测模块52还可以用于将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至接收模块55 ；
[0165]接收模块55,用于对接收的所述第一响应信息和发送该第一响应信息的目标LDNS信息进行过滤,并将过滤后的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至所述分析模块53。
[0166]其中，上述过滤具体可以是将重复的目标LDNS发送的第一响应信息进行过滤，例如，探测模块52A和探测模块52B对应的目标LDNS都包括LDNSl，且都接收到LDNSl返回的第一响应信息，这样接收模块55就可以对LDNSl返回的第一响应信息进行过滤，将过滤后的LDNSl返回的第一响应信息发送至分析模块53，以避免分析浪费资源。
[0167]上述技术方案中，至少一个探测模块向路由映射信息中所示的该探测模块对应的目标LDNS发送第一 DNS报文；至少一个探测模块接收该探测模块对应的目标LDNS发送的第一响应信息；至少一个探测模块将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块；所述分析模块对接收到的每个所述第一响应信息进行分析，分析出劫持第一响应信息，并确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为。这样由于每个探测模块所探测的LDNS为路由映射信息所指示的LDNS，这样就可以提高对LDNS的域名劫持监控的成功率。
[0168]图7是本发明实施例提供的一种域名劫持探测装置的结构示意图，如图7所示，包括:第一接收单元71、第一发送单元72、第二接收单元73和第二发送单元74，其中:
[0169]第一接收单元71，用于接收路由模块发送的该域名劫持探测装置对应的至少一个目标LDNS信息和探测任务；其中，所述至少一个目标LDNS为所述路由模块获取的路由映射信息所指示与所述域名劫持探测装置对应的LDNS，所述探测任务包括域名信息。
[0170]其中，上述探测任务通过用户操作获取的探测任务或者其它模块发送给路由模块的探测任务，其中，探测任务具体可以包括域名信息，例如一个或者多个域名的信息，即该探测任务是对该域名信息所指示的域名进行探测。
[0171]上述路由映射信息具体可以是用于指示域名劫持探测装置与目标LDNS的对应关系，即该路由映射信息指示了每个域名劫持探测装置所对应的LDNS。
[0172]第一发送单元72，用于向所述至少一个目标LDNS发送包括所述探测任务的第一DNS请求报文。
[0173]其中，上述LDNS信息具体可以是上述路由映射信息，即路由模块可以是将上述路由映射信息同步给域名劫持探测装置。
[0174]目标LDNS接收到第一 DNS请求报文后，就可以对该第一 DNS请求报文进行响应，以返回第一响应信息。
[0175]其中，上述发送第一 DNS请求报文可以是以一定周期的重复发送的第一 DNS请求报文。
[0176]第二接收单元73，用于接收所述至少一个目标LDNS发送的第一响应信息，所述第一响应信息为所述第一 DNS请求报文的响应信息，且包括所述域名信息和所述域名信息的解析信息。
[0177]其中，第二接收单元73接收该域名劫持探测装置对应的目标LDNS发送的第一响应信息具体可以是接收该域名劫持探测装置对应的所有目标LDNS中部分或者全部目标LDNS发送的第一响应信息。
[0178]第二发送单元74，用于将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块；以使所述分析模块对所述第一响应信息进行分析，分析出劫持第一响应信息，并由所述分析模块确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为，所述劫持第一响应信息是指所述第一响应信息包括的解析信息与该第一响应信息包括的域名信息的正确解析信息不一致。
[0179]具体可以是将一个第一响应信息和发送该第一响应信息的目标LDNS信息作为一个数据包发送至分析模块，或者以列表的形式一次发送多个第一响应信息和发送该第一响应信息的目标LDNS信息。分析模块具体可以是将预先获取的上述域名的正确解析信息与域名劫持探测装置发送的第一响应信息包括的解析信息进行对比，当第一响应信息包括的解析信息与正确解析信息不一致时，则确定发送该第一响应信息的目标LDNS存在域名劫持行为。
[0180]作为一种可选的实施方式，如图8所示，所述装置还可以包括:
[0181]第三发送单元75，用于对所有目标LDNS发送第二 DNS请求报文。
[0182]第三接收单元76，用于接收至少一个目标LDNS返回的第二响应信息。
[0183]上述第二响应信息具体可以是目标LDNS对应第二 DNS请求报文的响应信息。
[0184]第四发送单元77，用于将接收到的第二响应信息对应的目标LDNS作为探通LDNS，并将该域名劫持探测装置的探通LDNS的信息发送至任务模块；以使所述任务模块根据所述域名劫持探测装置发送的探通LDNS的信息生成所述路由映射信息，所述路由映射信息表示所述域名劫持探测装置对应的目标LDNS为该域名劫持探测装置的探通LDNS。
[0185]任务模块接收到上述探通LDNS的信息时，就可以生成路由映射信息。例如:域名劫持探测装置A的探通LDNS就可以为LDNS1、LDNS2和LDNS3，那么上述路由映射信息中域名劫持探测装置A对应的LDNS就可以为LDNS1、LDNS2和LDNS3。
[0186]作为一种可选的实施方式，所述装置还可以包括:
[0187]第五发送单元78，用于将对应的每个目标LDNS的探通率发送给所述路由模块，所述探通率是指接收到目标LDNS发送的所述第一响应信息的接收率；以使所述路由模块将所述至少一个域名劫持探测装置发送的所述探通率发送至所述任务模块；由所述任务模块根据所述探通率更新所述路由映射信息。
[0188]由于上述探通率表示了域名劫持探测装置接收每个目标LDNS返回第一响应信息的接收率，例如，域名劫持探测装置A向LDNS1发送10个第一 DNS请求报文，但只接收到LDNS1返回的5个第一响应信息，则域名劫持探测装置A对于LDNS1的探通率为50%。当任务模块接收到上述至少一个域名劫持探测装置的发送的探通率时就可以根据这些探通率更新上述路由映射信息，以实现动态生成或者更新上述路由映射信息，以提高对LDNS的域名劫持监控的成功率。
[0189]作为一种可行的实施方式，所述探测任务还包括所述域名的属性信息，所述属性信息表示所述域名的重要级别。其中，域名的属性信息可以是用户设置的，例如，该域名为重点域名，或者该域名为非重点域名等。
[0190]第一发送单元72可以包括:
[0191]建立单元(附图中未画出)，用于分别建立包括多个第一 DNS请求报文的探测队列，且每个所述第一 DNS请求报文之间的间隔时间与所述属性信息所表示的重要级别对应；所述第一 DNS请求报文包括所述域名信息；
[0192]第一发送子单元(附图中未画出)，用于向所述至少一个目标LDNS发送所述探测队列包括的多个第一 DNS请求报文。
[0193]例如:探测任务包括的域名的为重点域名时，上述探测队列可以是包括20个上述第一 DNS请求报文，且每个第一 DNS请求报文之间的间隔时间为1秒，即进行20次的探测，每次探测泊间隔时间为1秒。探测任务包括的域名的为非重点域名时，上述探测队列可以是包括5个上述第一 DNS请求报文，且每个第一 DNS请求报文之间的间隔时间为4秒，即进行5次的探测，每次探测泊间隔时间为4秒。这样可以节约域名劫持探测装置的功耗。
[0194]作为一种可选的实施方式，第二发送单元74还可以用于将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息接收模块；以使所述接收模块对接收的所述第一响应信息和发送该第一响应信息的目标LDNS信息进行过滤,并将过滤后的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至所述分析模块。
[0195]其中，上述过滤具体可以是将重复的目标LDNS发送的第一响应信息进行过滤，例如，域名劫持探测装置A和域名劫持探测装置B对应的目标LDNS都包括LDNS1，且都接收到LDNS1返回的第一响应信息，这样接收模块就可以对LDNS1返回的第一响应信息进行过滤，将过滤后的LDNS1返回的第一响应信息发送至分析模块，以避免分析浪费资源。
[0196]上述技术方案中，域名劫持探测装置向路由映射信息中所示的该域名劫持探测装置对应的目标LDNS发送第一DNS报文；域名劫持探测装置接收该域名劫持探测装置对应的目标LDNS发送的第一响应信息；域名劫持探测装置将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块；以使分析模块对接收到的每个所述第一响应信息进行分析，分析出劫持第一响应信息，并确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为。这样由于域名劫持探测装置所探测的LDNS为路由映射信息所指示的LDNS，这样就可以提高对LDNS的域名劫持监控的成功率。
[0197]本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存取存储器(Random AccessMemory,简称 RAM)等。
[0198]以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。
【权利要求】
1.一种域名劫持探测方法，其特征在于，包括: 路由模块获取探测任务，其中，所述探测任务包括域名信息； 所述路由模块对预先获取的路由映射信息进行查表操作，向至少一个探测模块发送该探测模块对应的目标本地缓存域名服务器LDNS信息和所述探测任务；其中，所述探测模块为所述路由映射信息所指示的与至少一个目标LDNS对应的探测模块； 所述至少一个探测模块根据所述目标LDNS信息向该探测模块对应的目标LDNS发送包括所述探测任务的第一域名服务系统DNS请求报文； 所述至少一个探测模块接收该探测模块对应的目标LDNS发送的第一响应信息，所述第一响应信息为所述第一 DNS请求报文的响应信息，且包括所述域名信息和所述域名信息的解析信息； 所述至少一个探测模块将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块； 所述分析模块对接收到的每个所述第一响应信息进行分析，分析出劫持第一响应信息，并确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为,所述劫持第一响应信息是指所述第一响应信息包括的解析信息与该第一响应信息包括的域名信息的正确解析信息不一致。
2.如权利要求1所述的方法，其特征在于，所述路由模块获取探测任务之前，所述方法还包括: 所述至少一个探测模块都对所有目标LDNS发送第二 DNS请求报文； 所述至少一个探测模块接收至少一个目标LDNS返回的第二响应信息； 所述至少一个探测模块将该探测模块接收到的第二响应信息对应的目标LDNS作为探通LDNS，并将该探测模块的探通LDNS的信息发送至任务模块； 所述任务模块根据所述至少一个探测模块发送的探通LDNS的信息生成所述路由映射信息，所述路由映射信息表示所述至少一个探测模块对应的目标LDNS为该探测模块的探通 LDNS ； 所述任务模块将所述路由映射信息以及所述探测任务发送至所述路由模块。
3.如权利要求2所述的方法，其特征在于，所述至少一个探测模块接收该探测模块对应的目标LDNS发送的第一响应信息之后，所述方法还包括: 所述至少一个探测模块将该探测模块对应的每个目标LDNS的探通率发送给所述路由模块；所述探通率是指接收到目标LDNS发送的所述第一响应信息的接收率； 所述路由模块将所述至少一个探测模块发送的所述探通率发送至所述任务模块； 所述任务模块根据所述探通率更新所述路由映射信息。
4.如权利要求1-3中任一项所述的方法，其特征在于，所述探测任务还包括所述域名的属性信息，所述属性信息表示所述域名的重要级别； 所述至少一个探测模块根据所述目标LDNS信息向该探测模块对应的目标LDNS发送包括所述探测任务的第一 DNS请求报文，包括: 所述至少一个探测模块分别建立包括多个第一 DNS请求报文的探测队列，且每个所述第一 DNS请求报文之间的间隔时间与所述属性信息所表示的重要级别对应；所述第一 DNS请求报文包括所述域名信息； 所述至少一个探测模块根据所述目标LDNS信息向该探测模块对应的目标LDNS发送所述探测队列包括的多个第一 DNS请求报文。
5.如权利要求1-3中任一项所述的方法，其特征在于，所述至少一个探测模块将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块，包括: 所述至少一个探测模块将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至接收模块； 所述接收模块对接收的所述第一响应信息和发送该第一响应信息的目标LDNS信息进行过滤，并将过滤后的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至所述分析模块。
6.一种域名劫持探测方法，其特征在于，包括: 探测模块接收路由模块发送的该探测模块对应的至少一个目标LDNS信息和探测任务；其中，所述至少一个目标LDNS为所述路由模块获取的路由映射信息所指示与所述探测模块对应的LDNS，所述探测任务包括域名信息； 所述探测模块向所述至少一个目标LDNS发送包括所述探测任务的第一 DNS请求报文； 所述探测模块接收所述至少一个目标LDNS发送的第一响应信息，所述第一响应信息为所述第一 DNS请求报文的响应信息，且包括所述域名信息和所述域名信息的解析信息； 所述探测模块将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块；以使所述分析模块对所述第一响应信息进行分析，分析出劫持第一响应信息，并由所述分析模块确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为，所述劫持第一响应信息是指所述第一响应信息包括的解析信息与该第一响应信息包括的域名信息的正确解析信息不一致。
7.如权利要求6所述的方法，其特征在于，所述探测模块接收路由模块发送的该探测模块对应的至少一个目标LDNS信息和探测任务之前，所述方法还包括: 所述探测模块对所有目标LDNS发送第二 DNS请求报文； 所述探测模块接收至少一个目标LDNS返回的第二响应信息； 所述探测模块将接收到的第二响应信息对应的目标LDNS作为探通LDNS，并将该探测模块的探通LDNS的信息发送至任务模块；以使所述任务模块根据所述探测模块发送的探通LDNS的信息生成所述路由映射信息，所述路由映射信息表示所述探测模块对应的目标LDNS为该探测模块的探通LDNS，以及由所述任务模块将所述路由映射信息以及所述探测任务发送至所述路由模块。
8.如权利要求7所述的方法，其特征在于，所述探测模块接收所述至少一个目标LDNS发送的第一响应信息之后，所述方法还包括: 所述探测模块将对应的每个目标LDNS的探通率发送给所述路由模块，所述探通率是指接收到目标LDNS发送的所述第一响应信息的接收率；以使所述路由模块将所述至少一个探测模块发送的所述探通率发送至所述任务模块；由所述任务模块根据所述探通率更新所述路由映射信息。
9.如权利要求6-8中任一项所述的方法，其特征在于，所述探测任务还包括所述域名的属性信息，所述属性信息表示所述域名的重要级别； 所述探测模块向所述至少一个目标LDNS发送包括所述探测任务的第一 DNS请求报文，包括: 所述探测模块分别建立包括多个第一 DNS请求报文的探测队列，且每个所述第一 DNS请求报文之间的间隔时间与所述属性信息所表示的重要级别对应；所述第一 DNS请求报文包括所述域名信息； 所述探测模块向所述至少一个目标LDNS发送所述探测队列包括的多个第一 DNS请求报文。
10.如权利要求6-8中任一项所述的方法，其特征在于，所述探测模块将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块,包括: 所述探测模块将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息接收模块；以使所述接收模块对接收的所述第一响应信息和发送该第一响应信息的目标LDNS信息进行过滤,并将过滤后的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至所述分析模块。
11.一种域名探测系统，其特征在于，包括:路由模块、至少一个探测模块、分析模块，其中: 所述路由模块，用于获取探测任务，其中，所述探测任务包括域名信息； 所述路由模块还用于对预先获取的路由映射信息进行查表操作，向至少一个探测模块发送该探测模块对应的目标本地缓存域名服务器LDNS信息和所述探测任务；其中，所述探测模块为所述路由映射信息所指示的与至少一个目标LDNS对应的探测模块； 所述探测模块，用于根据所述目标LDNS信息向该探测模块对应的目标LDNS发送包括所述探测任务的第一 DNS请求报文； 所述探测模块还用于接收该探测模块对应的目标LDNS发送的第一响应信息，所述第一响应信息为所述第一 DNS请求报文的响应信息，且包括所述域名信息和所述域名信息的解析信息； 所述探测模块还用于将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块； 所述分析模块，用于对接收到的每个所述第一响应信息进行分析，分析出劫持第一响应信息，并确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为，所述劫持第一响应信息是指所述第一响应信息包括的解析信息与该第一响应信息包括的域名信息的正确解析信息不一致。
12.如权利要求11所述的系统，其特征在于，所述系统还包括任务模块，其中: 所述探测模块还用于对所有目标LDNS发送第二 DNS请求报文； 所述探测模块还用于接收至少一个目标LDNS返回的第二响应信息； 所述探测模块还用于将该探测模块接收到的第二响应信息对应的目标LDNS作为探通LDNS,并将该探测模块的探通LDNS的信息发送至任务模块； 所述任务模块，用于根据所述至少一个探测模块发送的探通LDNS的信息生成所述路由映射信息，所述路由映射信息表示所述至少一个探测模块对应的目标LDNS为该探测模块的探通LDNS ； 所述任务模块还用于将所述路由映射信息以及所述探测任务发送至所述路由模块。
13.如权利要求12所述的系统，其特征在于，所述探测模块还用于将该探测模块对应的每个目标LDNS的探通率发送给所述路由模块；所述探通率是指接收到目标LDNS发送的所述第一响应信息的接收率； 所述路由模块还用于将所述至少一个探测模块发送的所述探通率发送至所述任务模块； 所述任务模块还用于根据所述探通率更新所述路由映射信息。
14.如权利要求11-13中任一项所述的系统，其特征在于，所述探测任务还包括所述域名的属性信息，所述属性信息表示所述域名的重要级别； 所述探测模块还用于分别建立包括多个第一 DNS请求报文的探测队列，且每个所述第一 DNS请求报文之间的间隔时间与所述属性信息所表示的重要级别对应；所述第一 DNS请求报文包括所述域名信息； 所述探测模块还用于根据所述目标LDNS信息向该探测模块对应的目标LDNS发送所述探测队列包括的多个第一 DNS请求报文。
15.如权利要求11-13中任一项所述的系统，其特征在于，所述系统还包括接收模块，其中: 所述探测模块还用于将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至接收模块； 所述接收模块，用于对接收的所述第一响应信息和发送该第一响应信息的目标LDNS信息进行过滤，并将过滤后的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至所述分析模块。
16.一种域名劫持探测装置，其特征在于，包括:第一接收单元、第一发送单元、第二接收单元和第二发送单元，其中: 所述第一接收单元，用于接收路由模块发送的该域名劫持探测装置对应的至少一个目标LDNS信息和探测任务；其中，所述至少一个目标LDNS为所述路由模块获取的路由映射信息所指示与所述域名劫持探测装置对应的LDNS，所述探测任务包括域名信息； 所述第一发送单元，用于向所述至少一个目标LDNS发送包括所述探测任务的第一 DNS请求报文； 所述第二接收单元，用于接收所述至少一个目标LDNS发送的第一响应信息，所述第一响应信息为所述第一 DNS请求报文的响应信息，且包括所述域名信息和所述域名信息的解析信息； 所述第二发送单元，用于将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至分析模块；以使所述分析模块对所述第一响应信息进行分析，分析出劫持第一响应信息，并由所述分析模块确定发送所述劫持第一响应信息的目标LDNS存在域名劫持行为，所述劫持第一响应信息是指所述第一响应信息包括的解析信息与该第一响应信息包括的域名信息的正确解析信息不一致。
17.如权利要求16所述的装置，其特征在于，所述装置还包括: 第三发送单元，用于对所有目标LDNS发送第二 DNS请求报文； 第三接收单元，用于接收至少一个目标LDNS返回的第二响应信息； 第四发送单元，用于将接收到的第二响应信息对应的目标LDNS作为探通LDNS，并将该域名劫持探测装置的探通LDNS的信息发送至任务模块；以使所述任务模块根据所述域名劫持探测装置发送的探通LDNS的信息生成所述路由映射信息，所述路由映射信息表示所述域名劫持探测装置对应的目标LDNS为该域名劫持探测装置的探通LDNS。
18.如权利要求17所述的装置，其特征在于，所述装置还包括: 第五发送单元，用于将对应的每个目标LDNS的探通率发送给所述路由模块，所述探通率是指接收到目标LDNS发送的所述第一响应信息的接收率；以使所述路由模块将所述至少一个域名劫持探测装置发送的所述探通率发送至所述任务模块；由所述任务模块根据所述探通率更新所述路由映射信息。
19.如权利要求16-18中任一项所述的装置，其特征在于，所述探测任务还包括所述域名的属性信息，所述属性信息表示所述域名的重要级别； 所述第一发送单元包括: 建立单元，用于分别建立包括多个第一 DNS请求报文的探测队列，且每个所述第一 DNS请求报文之间的间隔时间与所述属性信息所表示的重要级别对应；所述第一 DNS请求报文包括所述域名信息； 第一发送子单元，用于向所述至少一个目标LDNS发送所述探测队列包括的多个第一DNS请求报文。
20.如权利要求16-18中任一项所述的装置，其特征在于，所述第二发送单元还用于将接收到的所述第一响应信息和发送该第一响应信息的目标LDNS信息接收模块；以使所述接收模块对接收的所述第一响应信息和发送该第一响应信息的目标LDNS信息进行过滤，并将过滤后的所述第一响应信息和发送该第一响应信息的目标LDNS信息发送至所述分析模块。
【文档编号】H04L12/26GK104348669SQ201310311899
【公开日】2015年2月11日 申请日期:2013年7月23日 优先权日:2013年7月23日
【发明者】闫帅帅, 刘剑 申请人:深圳市腾讯计算机系统有限公司