一种DNS全流量劫持风险的检测方法和装置与流程

文档序号:12493444阅读:313来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种DNS全流量劫持风险的检测方法和装置与流程

本发明涉及计算机技术领域,尤其涉及一种DNS全流量劫持风险的检测方法和装置。



背景技术:

随着网络的推广和深度应用,人们日常生活中的各类信息与网络更为紧密地结合在一起。正因如此,对于网络安全的检测就得更加重要。

以DNS(域名系统,Domain Name System)全流量劫持检测为例,一些相关技术通过如下方式检测:首先在电子设备或者服务器存储黑名单库,黑名单库中记录了多个具有DNS全流量劫持风险的IP(互联网协议,Internet Protocol)地址。将目标域名解析出对应的IP地址,然后比对解析出的IP地址是否在黑名单库中。如果解析出的IP地址不在IP地址黑名单库中,则判断当前不存在DNS全流量劫持风险。

然而,不法分子通常控制着多个IP地址,甚至会不断劫持新的IP地址,导致黑名单库无法记录全部具有风险的IP地址。所以通过上述方法检测DNS全流量劫持风险的方法,就存在检测准确率低的技术问题。



技术实现要素:

本发明实施例提供了一种DNS全流量劫持风险的检测方法和装置,用于提高DNS全流量劫持风险的检测准确率。

第一方面,本发明提供了一种DNS全流量劫持风险的检测方法,包括:

获得用于检测域名系统DNS全流量劫持风险的一个或多个目标域名;其中,所述一个或多个目标域名具体为广域网域名;

对所述一个或多个目标域名进行DNS解析,获得每个所述目标域名对应的目标互联网协议IP地址,进而获得一个或多个目标IP地址;

判断所述一个或多个目标IP地址中是否存在局域网地址;

当所述一个或多个目标IP地址中存在局域网地址时,确定用户设备UE存在DNS全流量劫持风险。

可选的,当所述一个或多个目标IP地址中不存在局域网地址时,所述方法还包括:

判断所述一个或多个目标IP地址中是否存在相同地址;其中,所述一个或多个目标域名所对应的已知IP地址均不相同;

当所述一个或多个目标IP地址中存在相同地址时,确定所述UE存在DNS全流量劫持风险。

可选的,所述方法还包括:

当所述一个或多个目标IP地址中不存在相同地址时,确定所述UE不存在DNS全流量劫持风险。

可选的,获得用于检测域名系统DNS全流量劫持风险的一个或多个目标域名,包括:

读取接收与所述UE对应的服务器下发并存储在所述UE的存储空间中的所述一个或多个目标域名;或者

从多个备选域名中,确定满足预设条件的一个或多个域名为所述一个或多个目标域名。

可选的,在对所述一个或多个目标域名进行DNS解析之前,还包括:

判断所述UE是否接入了新的无线接入点AP;

当所述UE接入了新的AP时,执行所述在对所述一个或多个目标域名进行DNS解析的步骤。

第二方面,本发明提供了一种DNS全流量劫持风险的检测方法,包括:

获得用于检测域名系统DNS全流量劫持风险的一个或多个目标域名;其中,所述一个或多个目标域名所对应的已知IP地址均不相同;

对所述一个或多个目标域名进行DNS解析,获得每个所述目标域名对应的目标互联网协议IP地址,进而获得一个或多个目标IP地址;

判断所述一个或多个目标IP地址中是否存在相同地址;

当所述一个或多个目标IP地址中存在相同地址时,确定所述UE存在DNS全流量劫持风险。

可选的,当所述一个或多个目标IP地址中不存在相同地址时,所述方法还包括:

判断所述一个或多个目标IP地址中是否存在局域网地址;其中,所述一个或多个目标域名具体为广域网域名;

当所述一个或多个目标IP地址中存在局域网地址时,确定所述UE存在DNS全流量劫持风险。

可选的,所述方法还包括:

当所述一个或多个目标IP地址中不存在局域网地址时,确定所述UE不存在DNS全流量劫持风险。

可选的,获得用于检测域名系统DNS全流量劫持风险的一个或多个目标域名,包括:

读取接收与所述UE对应的服务器下发并存储在所述UE的存储空间中的所述一个或多个目标域名;或者

从多个备选域名中,确定满足预设条件的一个或多个域名为所述一个或多个目标域名。

可选的,在对所述一个或多个目标域名进行DNS解析之前,还包括:

判断所述UE是否接入了新的无线接入点AP;

当所述UE接入了新的AP时,执行所述在对所述一个或多个目标域名进行DNS解析的步骤。

第三方面,本发明提供了一种DNS全流量劫持风险的检测方法,包括:

获得用于检测域名系统DNS全流量劫持风险的一个或多个目标域名;其中,所述一个或多个目标域名具体为广域网域名,并且所述一个或多个目标域名所对应的已知互联网协议IP地址均不相同;

对所述一个或多个目标域名进行DNS解析,获得每个所述目标域名对应的目标IP地址,进而获得一个或多个目标IP地址;

判断所述一个或多个目标IP地址中是否存在局域网地址,以及所述一个或多个目标IP地址中是否存在相同地址;

当所述一个或多个目标IP地址中存在局域网地址,或者所述一个或多个目标IP地址中存在相同地址时,确定用户设备UE存在DNS全流量劫持风险。

第四方面,本发明提供了一种DNS全流量劫持风险的检测装置,包括:

获得模块,用于获得用于检测域名系统DNS全流量劫持风险的一个或多个目标域名;其中,所述一个或多个目标域名具体为广域网域名;

解析模块,用于对所述一个或多个目标域名进行DNS解析,获得每个所述目标域名对应的目标互联网协议IP地址,进而获得一个或多个目标IP地址;

第一判断模块,用于判断所述一个或多个目标IP地址中是否存在局域网地址;

第一确定模块,用于当所述一个或多个目标IP地址中存在局域网地址时,确定用户设备UE存在DNS全流量劫持风险。

可选的,当所述一个或多个目标IP地址中不存在局域网地址时,所述装置还包括:

第二判断模块,用于判断所述一个或多个目标IP地址中是否存在相同地址;其中,所述一个或多个目标域名所对应的已知IP地址均不相同;

第二确定模块,用于当所述一个或多个目标IP地址中存在相同地址时,确定所述UE存在DNS全流量劫持风险。

可选的,所述装置还包括:

第三确定模块,用于当所述一个或多个目标IP地址中不存在相同地址时,确定所述UE不存在DNS全流量劫持风险。

可选的,所述获得模块用于读取接收与所述UE对应的服务器下发并存储在所述UE的存储空间中的所述一个或多个目标域名;或者从多个备选域名中,确定满足预设条件的一个或多个域名为所述一个或多个目标域名。

可选的,所述装置还包括:

第三判断模块,用于在对所述一个或多个目标域名进行DNS解析之前,判断所述UE是否接入了新的无线接入点AP;

当所述UE接入了新的AP时,通知所述解析模块对所述一个或多个目标域名进行DNS解析。

第五方面,本发明提供了一种DNS全流量劫持风险的检测装置,包括:

获得模块,用于获得用于检测域名系统DNS全流量劫持风险的一个或多个目标域名;其中,所述一个或多个目标域名所对应的已知IP地址均不相同;

解析模块,用于对所述一个或多个目标域名进行DNS解析,获得每个所述目标域名对应的目标互联网协议IP地址,进而获得一个或多个目标IP地址;

第一判断模块,用于判断所述一个或多个目标IP地址中是否存在相同地址;

第一确定模块,用于当所述一个或多个目标IP地址中存在相同地址时,确定所述UE存在DNS全流量劫持风险。

可选的,当所述一个或多个目标IP地址中不存在相同地址时,所述装置还包括:

第二判断模块,用于判断所述一个或多个目标IP地址中是否存在局域网地址;其中,所述一个或多个目标域名具体为广域网域名;

第二确定模块,用于当所述一个或多个目标IP地址中存在局域网地址时,确定所述UE存在DNS全流量劫持风险。

可选的,所述装置还包括:

第三确定模块,用于当所述一个或多个目标IP地址中不存在局域网地址时,确定所述UE不存在DNS全流量劫持风险。

可选的,所述获得模块用于读取接收与所述UE对应的服务器下发并存储在所述UE的存储空间中的所述一个或多个目标域名;或者从多个备选域名中,确定满足预设条件的一个或多个域名为所述一个或多个目标域名。

可选的,所述装置还包括:

第三判断模块,用于在对所述一个或多个目标域名进行DNS解析之前,判断所述UE是否接入了新的无线接入点AP;

当所述UE接入了新的AP时,通知解析模块对所述一个或多个目标域名进行DNS解析。

第六方面,本发明提供了一种DNS全流量劫持风险的检测装置,包括:

获得模块,用于获得用于检测域名系统DNS全流量劫持风险的一个或多个目标域名;其中,所述一个或多个目标域名具体为广域网域名,并且所述一个或多个目标域名所对应的已知互联网协议IP地址均不相同;

解析模块,用于对所述一个或多个目标域名进行DNS解析,获得每个所述目标域名对应的目标IP地址,进而获得一个或多个目标IP地址;

判断模块,用于判断所述一个或多个目标IP地址中是否存在局域网地址,以及所述一个或多个目标IP地址中是否存在相同地址;

确定模块,用于当所述一个或多个目标IP地址中存在局域网地址,或者所述一个或多个目标IP地址中存在相同地址时,确定用户设备UE存在DNS全流量劫持风险。

本申请实施例中的上述一个或多个技术方案,至少具有如下一种或多种技术效果:

在本发明实施例的技术方案中,获得用于检测DNS全流量劫持风险的一个或多个目标域名,其中,本发明实施例中的一个或多个目标域名具体为广域网域名,然后对一个或多个目标域名进行DNS解析,获得每个目标域名对应的目标IP地址,进而获得一个或多个目标IP地址,接着判断该一个或多个目标IP地址中是否存在局域网地址。由于目标域名对应的IP地址为广域网地址,所以当一个或多个目标IP地址中存在局域网地址时,确定UE存在DNS全流量劫持风险。因此,即使目标域名解析出的目标IP地址不在黑名单库中,如果目标IP地址为局域网地址,则表明UE当前接入的网络可能被全流量劫持,进而可以确定UE存在DNS全流量劫持风险。所以,通过上述技术方案,实现了提高DNS全流量劫持的检测准确率。

进一步,由于本发明实施例的技术方案不需要与庞大的黑名单数据库进行对比,进而也就不需要存储黑名单数据库,由此节约了存储黑名单数据库所占用的设备资源。

更进一步,由于本发明实施例中的技术方案可以由UE执行,而不需要服务器的参与,所以可以防止不法分子劫持DNS后对UE与服务器的交互进行监控,从而干扰检测,甚至向UE发送表示网络安全的虚假信息。

附图说明

通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:

图1为本发明实施例中第一种DNS全流量劫持风险检测的方法流程图;

图2为本发明实施例中第二种DNS全流量劫持风险检测的方法流程图;

图3为本发明实施例中第三种DNS全流量劫持风险检测的方法流程图;

图4为本发明实施例中第一种DNS全流量劫持风险检测装置结构示意图;

图5为本发明实施例中第二种DNS全流量劫持风险检测装置结构示意图;

图6为本发明实施例中第三种DNS全流量劫持风险检测装置结构示意图。

具体实施方式

本发明实施例提供了一种DNS全流量劫持风险的检测方法和装置,用于提高DNS全流量劫持风险的检测准确率。

为了解决上述技术问题,本发明提供的技术方案总体思路如下:

在本发明实施例的技术方案中,获得用于检测DNS全流量劫持风险的一个或多个目标域名,然后对一个或多个目标域名进行DNS解析,获得每个目标域名对应的目标IP地址,进而获得一个或多个目标IP地址,接着,如果所述一个或多个目标域名为广域网域名,则判断该一个或多个目标IP地址中是否存在局域网地址,如果存在局域网地址,则确定UE存在DNS全流量劫持风险;或者,如果所述一个或多个目标域名为已知IP地址不相同的域名,则判断该一个或多个目标IP地址中是否存在相同地址,如果存在相同地址,则确定UE存在DNS全流量劫持风险;或者,如果所述一个或多个目标域名为广域网域名,并且该一个或多个目标域名的已知IP地址不相同,则判断该一个或多个目标IP地址中是否存在局域网地址,以及是否存在相同地址,如果所述一个或多个目标IP地址中存在局域网地址或者相同地址,则确定UE存在DNS全流量劫持风险。

下面通过附图以及具体实施例对本发明技术方案做详细的说明,应当理解本申请实施例以及实施例中的具体特征是对本申请技术方案的详细的说明,而不是对本申请技术方案的限定,在不冲突的情况下,本申请实施例以及实施例中的技术特征可以相互组合。

本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。

本发明第一方面提供了一种DNS全流量劫持风险的检测方法,请参考图1,为本发明实施例中第一种DNS全流量劫持风险检测的方法流程图。该方法包括:

S101:获得用于检测域名系统DNS全流量劫持风险的一个或多个目标域名;其中,所述一个或多个目标域名具体为广域网域名;

S102:对所述一个或多个目标域名进行DNS解析,获得每个所述目标域名对应的目标互联网协议IP地址,进而获得一个或多个目标IP地址;

S103:判断所述一个或多个目标IP地址中是否存在局域网地址;

S104:当所述一个或多个目标IP地址中存在局域网地址时,确定用户设备UE存在DNS全流量劫持风险。

本发明实施例中的一个或多个目标域名为用于检测DNS全流量劫持的一个或者一组测试用域名。为了能够通过该一个或一组目标域名检测DNS全流量劫持风险,在本发明实施例中,每个目标域名具体为广域网域名。在具体实现过程中,UE可以在需要检测DNS全流量劫持风险时获取一个或多个目标域名,也可以在没有需要检测DNS全流量劫持风险的时候预先获得一个或多个目标域名,本发明不做具体限制。

而执行S102至S104中检测DNS全流量劫持的时刻可以为UE上电的任意时刻,也可以为每隔预设间隔,例如每隔1小时启动一次检测,还可以为每次接入网络的时刻。或者,在S102之前,还包括:

判断所述UE是否接入了新的无线接入点AP;

当所述UE接入了新的AP时,执行所述在对所述一个或多个目标域名进行DNS解析的步骤。

具体来讲,在本发明实施例中,新的AP(无线接入点,Access Point)具体有两种。以T1时刻表示任意时刻,第一种,UE在T1之前接入的是第一AP,在该任意时刻切换了与第一AP不同的第二AP,则第二AP为新的AP;第二种,UE在T1之前未接入任何AP,在T1时刻接入了第三AP,则第三AP为新的AP。

对于上述第一种情况,当UE切换了AP或者AC(接入控制器,Access Control)时,获得切换后接入的AP或AC的SSID(服务集标识,Service Set IDentifier)以及切换前接入的AP或AC的SSID。然后,判断切换后接入的AP或者AC的SSID是否与切换前接入的AP或AC的SSID相同。如果切换后接入的AP或AC的SSID与切换前接入的AP或AC的SSID不同,则表示UE接入了新的AP。此时UE并不能确认当前接入的网络,即新的AP所在的网络是否存在DNS全流量劫持风险,所以,此时执行S102,进而启动DNS全流量劫持风险检测。换言之,当UE切换了新的网络时,执行S102至S104中对新网络DNS全流量劫持风险进行检测。

对于上述第二种情况,当UE从未接入AP切换到接入AP,由于UE不能确认当前接入的网络是否存在DNS全流量劫持风险,所以,此时执行S102,进而启动DNS全流量劫持风险检测。换言之,当UE初始接入网络时,执行S102至S104中对网络DNS全流量劫持风险进行检测。

在S101中获得目标域名的方法有多种,下面介绍其中两种。具体来讲,本发明实施例的S101可以通过如下过程实现:

读取接收与所述UE对应的服务器下发并存储在所述UE的存储空间中的所述一个或多个目标域名;或者

从多个备选域名中,确定满足预设条件的一个或多个域名为所述一个或多个目标域名。

具体来讲,本发明实施例中的UE所获得的一个或多个目标域名可以由服务器下发,也可以由UE自行配置和选择,还可以部分目标域名接收服务器下发,同时自行配置部分目标域名。在具体实现过程中,本发明所属领域的普通技术人员可以根据实际进行选择,本发明不做具体限制。

具体来讲,如果由服务器下发目标域名,由于本发明实施例中的目标域名为广域网域名,所以服务器选择出一个或多个广域网域名作为目标域名后,在任意时刻向UE下发目标域名。UE在接收到服务器下发的一个或多个目标域名后,将一个或多个目标域名存储在自身的存储空间中,进而在需要获得目标域名时从存储空间中读取出该一个或多个目标域名即可。

举例来说,服务器向UE下发如下JSON结构的数据,

UE接收上述JSON结构的数据后解析出baifubao.com,mail.163.com,jd.com,suning.com,alipay.com,95516.com,so.cn,ccb.com,icbc.com.cn和www.cmbc.com.cn十个目标域名,进而将该十个目标域名存储在UE的存储空间中。在需要获得目标域名时,从存储空间中读取出目标域名baifubao.com,mail.163.com,jd.com,suning.com,alipay.com,95516.com,so.cn,ccb.com,icbc.com.cn和www.cmbc.com.cn。

而如果由UE自行配置目标域名,则UE从多个备选域名中确定出满足预设条件的一个或多个域名作为目标域名。具体来讲,备选域名为UE历史访问过的,或者当前能够接入的域名等,本发明不做具体限制。在发明实施例中,由于目标域名为广域网域名,因此预设条件具体就是广域网域名,进而UE从多个备选域名中选择一个或多个广域网域名作为目标域名。

在具体实现过程中,本发明所属领域的普通技术人员可以根据实际选择上述两种获得目标域名的方法中的任一种,也可以选择两种方法结合,本发明不做具体限制。

S101中获得一个或多个目标域名后,在S102中UE对每个域名进行DNS解析,获得每个目标域名对应的IP地址。在本发明实施例中,将目标域名通过DNS解析出来的IP地址称为目标IP地址。

接下来,在S103中,判断所有目标IP地址中是否存在局域网地址。具体来讲,判断一个目标IP地址是否为局域网IP地址的方法为判断该目标IP地址是否在ClassA、ClassB或ClassC中的任意一个区间。其中,ClassA区间的地址范围为10.0.0.0~10.255.255.255,ClassB区间的地址范围为172.16.0.0-172.31.255.255,ClassC区域的地址范围为192.168.0.0-192.168.255.255。如果目标IP地址位于ClassA、ClassB或ClassC中的任意一个区间中,则表示目标IP地址为局域网地址;反之,如果目标IP地址不在ClassA、ClassB和ClassC区间中,则表示目标IP地址不为局域网地址。

由于本发明实施例中的目标域名为广域网域名,而在安全情况下,广域网域名所对应的IP地址为广域网地址,所以,如果在一个或多个目标IP地址中存在局域网地址时,则表明此时UE所接入的AP或者AC可能被劫持。所以,当一个或多个目标IP地址中存在局域网地址时,在S104中确定UE存在DNS全流量劫持。

由上述描述可以看出,由于目标域名对应的IP地址为广域网地址,所以当一个或多个目标IP地址中存在局域网地址时,确定UE存在DNS全流量劫持风险。因此,即使目标域名解析出的目标IP地址不在黑名单库中,仍然可以确定UE存在DNS全流量劫持风险。所以,通过本发明实施例中的技术方案,提高了DNS全流量劫持的检测准确率。

进一步,由于本发明实施例的技术方案不需要与庞大的黑名单数据库进行对比,进而也就不需要在电子设备或者服务器中存储黑名单数据库,由此节约了存储黑名单数据库所占用的设备资源。

在具体实现过程中,上述S101至S104均可以由UE执行,或者,由UE执行S101至S102,然后由服务器执行S103至S104,即UE解析出目标IP地址后上报给服务器进行检测判断。对于UE单独执行S101至S104,由于在检测DNS全流量劫持时UE不需要服务器的参与,所以本发明进一步还可以防止不法分子劫持DNS后对UE与服务器交互进行监控,从而干扰检测,甚至向UE发送表示网络安全的虚假信息。

进一步,作为一种可选的实施例,为了进一步检测DNS全流量劫持的风险,当一个或多个目标IP地址中不存在局域网地址时,还可以进一步包括:

判断所述一个或多个目标IP地址中是否存在相同地址;其中,所述一个或多个目标域名所对应的已知IP地址均不相同;

当所述一个或多个目标IP地址中存在相同地址时,确定所述UE存在DNS全流量劫持风险。

具体来讲,在本发明实施例中,目标域名不仅为广域网域名,并且目标域名的已知IP地址均不同。换言之,目标域名具体为对应着不同IP地址的广域网域名。

因此,如果目标域名由服务器下发,则服务器通过解析验证,选择出一个或多个所对应的IP地址不同的广域网域名下发到UE作为目标域名,使UE存储,进而在获得目标域名时,UE从存储空间中读取出一个或多个已知IP地址均不相同的广域网域名。

举例来说,通过解析验证,服务器确定有baifubao.com,mail.163.com,jd.com,suning.com,alipay.com,95516.com,so.cn,ccb.com,icbc.com.cn和www.cmbc.com.cn十个广域网域名对应的IP地址不同。该十个域名以及每个域名对应的IP地址如表1所示。

表1

因此,服务器向UE下发如下JSON结构的数据,

UE接收上述JSON结构的数据后解析出baifubao.com,mail.163.com,jd.com,suning.com,alipay.com,95516.com,so.cn,ccb.com,icbc.com.cn和www.cmbc.com.cn十个目标域名,进而将该十个目标域名存储在UE的存储空间中。在需要获得目标域名时,从存储空间中读取出目标域名baifubao.com,mail.163.com,jd.com,suning.com,alipay.com,95516.com,so.cn,ccb.com,icbc.com.cn和www.cmbc.com.cn。

而如果目标域名由UE确定,则预设条件具体为对应IP地址不同的广域网域名,进而对多个备选域名进行DNS解析,解析出每个备选域名对应的一个或多个IP地址,然后选择出相同IP地址为空集,且为广域网域名的备选域名作为目标域名。

在具体实现过程中,不法分子向UE返回的IP地址也可能为广域网地址,所以,在本发明实施例中,当一个或多个目标IP地址中不存在局域网地址时,进一步判断一个或多个目标IP地址中是否存在相同地址来检测DNS全流量劫持的风险。

在发生DNS全流程的劫持时,访问所有的域名都将返回UE同一个IP地址。同时,有时候不法分子为了避免被发现,会从一组IP地址随机返回一个IP地址给UE,而这组IP地址都是不法分子控制的服务器的IP地址。所以,如果一个或多个目标IP地中存在相同地址,则表明此时UE所接入的AP或者AC可能被劫持。所以,当一个或多个目标IP地址中不存在局域网地址,但是存在相同地址时,确定UE存在DNS全流量劫持。

举例来说,假设目标IP地址具体包括123.125.112.202,220.181.12.208,111.206.227.118,110.76.19.33和123.125.112.202。5个目标IP地址中不存在均局域网地址,但是第1个目标IP地址和第5个目标IP地址相同,所以确定目标IP地址中存在相同地址,进而确定UE存在DNS全流量劫持风险。

或者,再举例来说,假设目标IP地址具体包括123.125.112.202,110.76.19.33,111.206.227.118,110.76.19.33和123.125.112.202。5个目标IP地址中不存在均局域网地址,但是第1个目标IP地址和第5个目标IP地址相同,第2个目标IP地址和第4个目标IP地址相同,所以确定目标IP地址中存在相同地址,进而确定UE存在DNS全流量劫持风险。

由上述描述可以看出,当UE解析出的目标IP地址中不存在局域网地址时,进一步判断目标IP地址中是否相同地址,如果存在相同地址,则确定UE存在DNS全流量劫持。所以,通过判断目标IP地址中是否存在局域网地址,并且在不存在局域网地址的时候进一步判断目标IP地址中是否存在相同地址来检测DNS全流量劫持风险,进一步提高了本发明实施例的检测准确率。

进一步,结合上述实施例,本发明实施例中的方法还包括:

当所述一个或多个目标IP地址中不存在相同地址时,确定所述UE不存在DNS全流量劫持风险。

具体来讲,当一个或多个目标IP地址中不存在相同地址时,表示当前每个目标域名都能被准确解析到不同的广域网IP地址上,因此此时发生DNS全流量劫持的可能性较低,所以在一个或多个目标IP地址中不存在局域网地址,进一步也不存在相同地址时,确定UE不存在DNS全流量劫持风险。

本发明第二方面提供了另一种DNS全流量劫持风险的检测方法,请参考图2,为本发明实施例中第二种DNS全流量劫持风险检测的方法流程图。该方法包括:

S201:获得用于检测域名系统DNS全流量劫持风险的一个或多个目标域名;其中,所述一个或多个目标域名所对应的已知IP地址均不相同;

S202:对所述一个或多个目标域名进行DNS解析,获得每个所述目标域名对应的目标互联网协议IP地址,进而获得一个或多个目标IP地址;

S203:判断所述一个或多个目标IP地址中是否存在相同地址;

S204:当所述一个或多个目标IP地址中存在相同地址时,确定所述UE存在DNS全流量劫持风险。

在具体实现过程中启动第二种DNS全流量劫持风险的检测方法来检测网络安全的时刻与第一种DNS全流量劫持风险的检测方法启动时刻相同,此处就不再重复赘述了。在上述步骤中,S201与S101类似,S202与S102类似,由于上述中已经对S101和S102进行了详细描述,因此本发明实施例对相同之处就不再重复赘述。

S201与S101不同之处在于,本发明实施例中的目标域名具体为已知IP地址不同的域名,因此如果目标域名由服务器下发,则服务器通过解析验证,选择出一个或多个所对应的IP地址不同的域名下发到UE作为目标域名,使UE存储,进而在获得目标域名时,UE从存储空间中读取出一个或多个已知对应的IP地址不同的目标域名。

举例来说,通过解析验证,服务器确定有baifubao.com,mail.163.com,jd.com,suning.com,alipay.com,95516.com,so.cn,ccb.com,icbc.com.cn和www.cmbc.com.cn十个域名对应的IP地址不同,如表1所示。

因此,服务器向UE下发如下JSON结构的数据,

UE接收上述JSON结构的数据后解析出baifubao.com,mail.163.com,jd.com,suning.com,alipay.com,95516.com,so.cn,ccb.com,icbc.com.cn和www.cmbc.com.cn十个目标域名,进而将该十个目标域名存储在UE的存储空间中。在需要获得目标域名时,从存储空间中读取出目标域名baifubao.com,mail.163.com,jd.com,suning.com,alipay.com,95516.com,so.cn,ccb.com,icbc.com.cn和www.cmbc.com.cn。

另外,S201与S101不同之处还在于,本发明实施例中的目标域名具体为已知IP地址不同的域名,因此如果目标域名由UE确定,则预设条件具体为域名对应的IP地址不同,进而对多个备选域名进行DNS解析,解析出每个备选域名对应的一个或多个IP地址,然后选择相同IP地址为空集的备选域名作为目标域名。

接下来,在S203中,判断一个或多个目标IP地址是否存在相同地址。具体来讲,在发生DNS全流程的劫持时,访问所有的域名都将返回UE同一个IP地址。同时,有时候不法分子为了避免被发现,会从一组IP地址随机返回一个IP地址给UE,而这组IP地址其实都是不法分子控制的服务器的IP地址。所以,如果一个或多个目标IP地中存在相同地址,则表明此时UE所接入的AP或者AC可能被劫持。所以,当一个或多个目标IP地址中存在相同地址时,在S204中确定UE存在DNS全流量劫持。

举例来说,假设目标IP地址具体包括123.125.112.202,220.181.12.208,111.206.227.118,110.76.19.33和123.125.112.202,第1个目标IP地址和第5个目标IP地址相同,所以确定目标IP地址中存在相同地址,进而确定UE存在DNS全流量劫持风险。

或者,再举例来说,假设目标IP地址具体包括123.125.112.202,110.76.19.33,111.206.227.118,110.76.19.33和123.125.112.202,第1个目标IP地址和第5个目标IP地址相同,第2个目标IP地址和第4个目标IP地址相同,所以确定目标IP地址中存在相同地址,进而确定UE存在DNS全流量劫持风险。

由上述描述可以看出,由于已知目标域名对应的IP地址均不相同,所以当一个或多个目标IP地址中存在相同地址时,确定UE存在DNS全流量劫持风险。因此,即使目标域名解析出的目标IP地址不在黑名单库中,仍然可以确定UE存在DNS全流量劫持风险。所以,通过本发明实施例中的技术方案,提高了DNS全流量劫持的检测准确率。

进一步,由于本发明实施例的技术方案不需要与庞大的黑名单数据库进行对比,进而也就不需要在电子设备或者服务器中存储黑名单数据库,由此节约了存储黑名单数据库所占用的设备资源。

在具体实现过程中,上述S201至S204均可以由UE执行,或者,由UE执行S201至S202,然后由服务器执行S203至S204,即UE解析出目标IP地址后上报给服务器进行检测判断。对于UE单独执行S201至S204,由于在检测DNS全流量劫持时UE不需要服务器的参与,所以本发明进一步还可以防止不法分子劫持DNS后对UE与服务器交互进行监控,从而干扰检测,甚至向UE发送表示网络安全的虚假信息。

进一步,作为一种可选的实施例,为了进一步检测DNS全流量劫持的风险,当一个或多个目标IP地址中不存在相同地址时,还可以进一步包括:

判断所述一个或多个目标IP地址中是否存在局域网地址;其中,所述一个或多个目标域名具体为广域网域名;

当所述一个或多个目标IP地址中存在局域网地址时,确定所述UE存在DNS全流量劫持风险。

具体来讲,在本发明实施例中,目标域名不仅为已知IP地址均不同的域名,并且目标域名还为广域网域名。换言之,目标域名具体为对应着不同IP地址的广域网域名。

因此,如果目标域名由服务器下发,则服务器通过解析验证,选择出一个或多个所对应的IP地址不同的广域网域名下发到UE作为目标域名,使UE存储,进而在获得目标域名时,UE从存储空间中读取出一个或多个已知IP地址均不相同,且为广域网域名的目标域名。

而如果目标域名由UE确定,则预设条件具体为对应的IP地址不同的广域网域名,进而对多个备选域名进行DNS解析,解析出每个备选域名对应的一个或多个IP地址,然后选择出相同IP地址为空集,且为广域网域名的备选域名作为目标域名。

在具体实现过程中,不法分子可能恰好向UE返回均不相同的目标IP地址,但是这些目标IP地址中的局域网地址同样可以暴露劫持,所以,在本发明实施例中,当一个或多个目标IP地址中不存在相同地址时,进一步判断一个或多个目标IP地址中是否存在局域网地址来检测DNS全流量劫持的风险。

判断一个或多个目标IP地址是否为局域网IP地址的方法在上文中已经进行了详细介绍,因此这里就不再重复赘述了。

由于本发明实施例中的目标域名为广域网域名,而在安全情况下,广域网域名所对应的IP地址为广域网地址,所以,如果在一个或多个目标IP地址中存在局域网地址时,则表明此时UE所接入的AP或者AC可能被劫持。所以,当一个或多个目标IP地址中不存在相同地址,但是存在局域网地址时,确定UE存在DNS全流量劫持。

由上述描述可以看出,当UE解析出的目标IP地址中不存在相同地址时,进一步判断目标IP地址中是否局域网地址,如果存在局域网地址,则确定UE存在DNS全流量劫持。所以,通过判断目标IP地址中是否存在相同地址,并且在不存在相同地址的时候进一步判断目标IP地址中是否存在局域网地址来检测DNS全流量劫持风险,进一步提高了本发明实施例的检测准确率。

进一步,结合上述实施例,本发明实施例中的方法还包括:

当所述一个或多个目标IP地址中不存在局域网地址时,确定所述UE不存在DNS全流量劫持风险。

具体来讲,当一个或多个目标IP地址中不存在局域网地址时,表示当前每个目标域名都能被准确解析到不同的广域网IP地址上,因此此时发生DNS全流量劫持的可能性较低,所以在一个或多个目标IP地址中不存在相同地址时,进一步也不存在局域网地址时,确定UE不存在DNS全流量劫持风险。

本发明第三方面提供了另一种DNS全流量劫持风险的检测方法,请参考图3,为本发明实施例中第三种DNS全流量劫持风险检测的方法流程图。该方法包括:

S301:获得用于检测域名系统DNS全流量劫持风险的一个或多个目标域名;其中,所述一个或多个目标域名具体为广域网域名,并且所述一个或多个目标域名所对应的已知互联网协议IP地址均不相同;

S302:对所述一个或多个目标域名进行DNS解析,获得每个所述目标域名对应的目标IP地址,进而获得一个或多个目标IP地址;

S303:判断所述一个或多个目标IP地址中是否存在局域网地址,以及所述一个或多个目标IP地址中是否存在相同地址;

S304:当所述一个或多个目标IP地址中存在局域网地址,或者所述一个或多个目标IP地址中存在相同地址时,确定用户设备UE存在DNS全流量劫持风险。

在具体实现过程中启动第三种DNS全流量劫持风险的检测方法来检测网络安全的时刻与第一种和第二种DNS全流量劫持风险的检测方法启动时刻相同,此处就不再重复赘述了。在上述步骤中,S301与S101和S201类似,S302与S102和S202类似,由于上述中已经对S101和S102进行了详细描述,因此本发明实施例对相同之处就不再重复赘述。

S301与S101不同之处在于,本发明实施例中的目标域名具体为广域网域名,并且已知IP地址均不相同,因此如果目标域名由服务器下发,则服务器通过解析验证,选择出一个或多个所对应IP地址不同的广域网域名下发到UE作为目标域名,使UE存储,进而在获得目标域名时,UE从存储空间中读取出一个或多个已知IP地址均不相同,且为广域网域名的目标域名。

而如果目标域名由UE确定,则预设条件具体为对应的IP地址不同的广域网,进而对多个备选域名进行DNS解析,解析出每个备选域名对应的一个或多个IP地址,然后选择出相同IP地址为空集,且为广域网域名的备选域名作为目标域名。

接下来,在S303中,判断一个或多个目标IP地址是否存在局域网地址,以及是否存在相同地址。如果一个或多个目标IP地中存在局域网地址,或者存在相同地址,则表明此时UE所接入的AP或者AC可能被劫持。所以,当一个或多个目标IP地址中存在局域网地址,或者存在相同地址时,在S304中确定UE存在DNS全流量劫持。

举例来说,假设目标IP地址具体包括123.125.112.202,220.181.12.208,111.206.227.118,110.76.19.33和123.125.112.202。5个目标IP地址均为广域网地址,第1个目标IP地址和第5个目标IP地址相同,确定UE存在DNS全流量劫持风险。

或者,再举例来说,假设目标IP地址具体包括123.125.112.202,220.181.12.208,111.206.227.118,175.25.168.40和192.168.1.1。5个目标IP地址均不相同,第5个目标IP地址为局域网地址,进而确定UE存在DNS全流量劫持风险。

或者,再举例来说,假设目标IP地址具体包括123.125.112.202,123.125.112.202,111.206.227.118,175.25.168.40和192.168.1.1,第5个目标IP地址为局域网地址,第1个目标IP地址和第2个目标IP地址相同,进而确定UE存在DNS全流量劫持风险。

由上述描述可以看出,由于已知目标域名对应不同的已知IP地址,且已知每个已知IP地址均为广域网地址,所以当一个或多个目标IP地址中存在局域网地址,或者存在相同目标IP地址时,确定UE存在DNS全流量劫持风险。因此,即使目标域名解析出的目标IP地址不在黑名单库中,仍然可以确定UE存在DNS全流量劫持风险。所以,通过本发明实施例中的技术方案,提高了DNS全流量劫持的检测准确率。

进一步,由于本发明实施例的技术方案不需要与庞大的黑名单数据库进行对比,进而也就不需要在电子设备或者服务器中存储黑名单数据库,由此节约了存储黑名单数据库所占用的设备资源。

在具体实现过程中,上述S301至S304均可以由UE执行,或者,由UE执行S301至S302,然后由服务器执行S303至S304,即UE解析出目标IP地址后上报给服务器进行检测判断。对于UE单独执行S301至S304,由于在检测DNS全流量劫持时UE不需要服务器的参与,所以本发明进一步还可以防止不法分子劫持DNS后对UE与服务器交互进行监控,从而干扰检测,甚至向UE发送表示网络安全的虚假信息。

进一步,结合上述实施例,本发明实施例中的方法还包括:

当所述一个或多个目标IP地址中不存在局域网地址,并且所述一个或多个目标IP地址中不存在相同地址时,确定所述UE不存在DNS全流量劫持风险。

具体来讲,当一个或多个目标IP地址中不存在局域网地址,且不存在相同地址时,表示当前每个目标域名都能被准确解析到不同的广域网IP地址上,因此此时发生DNS全流量劫持的可能性较低,所以在一个或多个目标IP地址中不存在局域网地址,且不存在相同地址时,确定UE不存在DNS全流量劫持风险。

基于与第一方面中DNS全流量劫持风险的检测方法同样的发明构思,本发明第四方面提供了第一种DNS全流量劫持风险的检测装置,如图4所示,包括:

获得模块101,用于获得用于检测域名系统DNS全流量劫持风险的一个或多个目标域名;其中,所述一个或多个目标域名具体为广域网域名;

解析模块102,用于对所述一个或多个目标域名进行DNS解析,获得每个所述目标域名对应的目标互联网协议IP地址,进而获得一个或多个目标IP地址;

第一判断模块103,用于判断所述一个或多个目标IP地址中是否存在局域网地址;

第一确定模块104,用于当所述一个或多个目标IP地址中存在局域网地址时,确定用户设备UE存在DNS全流量劫持风险。

进一步,当一个或多个目标IP地址中不存在局域网地址时,本发明实施例中的装置还包括:

第二判断模块,用于判断所述一个或多个目标IP地址中是否存在相同地址;其中,所述一个或多个目标域名所对应的已知IP地址均不相同;

第二确定模块,用于当所述一个或多个目标IP地址中存在相同地址时,确定所述UE存在DNS全流量劫持风险。

更进一步,本发明实施例中的所述装置还包括:

第三确定模块,用于当所述一个或多个目标IP地址中不存在相同地址时,确定所述UE不存在DNS全流量劫持风险。

其中,具体来讲,获得模块101用于读取接收与所述UE对应的服务器下发并存储在所述UE的存储空间中的所述一个或多个目标域名;或者从多个备选域名中,确定满足预设条件的一个或多个域名为所述一个或多个目标域名。

进一步,本发明实施例中的装置还包括:

第三判断模块,用于在对所述一个或多个目标域名进行DNS解析之前,判断所述UE是否接入了新的无线接入点AP;

当所述UE接入了新的AP时,通知所述解析模块对所述一个或多个目标域名进行DNS解析。

前述图1实施例中的第一种DNS全流量劫持风险的检测方法的各种变化方式和具体实例同样适用于本实施例的DNS全流量劫持风险的检测装置,通过前述对DNS全流量劫持风险的检测方法的详细描述,本领域技术人员可以清楚的知道本实施例中DNS全流量劫持风险的检测装置的实施方法,所以为了说明书的简洁,在此不再详述。

基于与第二方面中DNS全流量劫持风险的检测方法同样的发明构思,本发明第五方面提供了第二种DNS全流量劫持风险的检测装置,如图5所示,包括:

获得模块201,用于获得用于检测域名系统DNS全流量劫持风险的一个或多个目标域名;其中,所述一个或多个目标域名所对应的已知IP地址均不相同;

解析模块202,用于对所述一个或多个目标域名进行DNS解析,获得每个所述目标域名对应的目标互联网协议IP地址,进而获得一个或多个目标IP地址;

第一判断模块203,用于判断所述一个或多个目标IP地址中是否存在相同地址;

第一确定模块204,用于当所述一个或多个目标IP地址中存在相同地址时,确定所述UE存在DNS全流量劫持风险。

进一步,当一个或多个目标IP地址中不存在相同地址时,本发明实施例中的装置还包括:

第二判断模块,用于判断所述一个或多个目标IP地址中是否存在局域网地址;其中,所述一个或多个目标域名具体为广域网域名;

第二确定模块,用于当所述一个或多个目标IP地址中存在局域网地址时,确定所述UE存在DNS全流量劫持风险。

更进一步,本发明实施实施例中的装置还包括:

第三确定模块,用于当所述一个或多个目标IP地址中不存在局域网地址时,确定所述UE不存在DNS全流量劫持风险。

具体来讲,获得模块201用于读取接收与所述UE对应的服务器下发并存储在所述UE的存储空间中的所述一个或多个目标域名;或者从多个备选域名中,确定满足预设条件的一个或多个域名为所述一个或多个目标域名。

更进一步,本发明实施例中的装置还包括:

第三判断模块,用于在对所述一个或多个目标域名进行DNS解析之前,判断所述UE是否接入了新的无线接入点AP;

当所述UE接入了新的AP时,通知解析模块对所述一个或多个目标域名进行DNS解析。

前述图2实施例中的第二种DNS全流量劫持风险的检测方法的各种变化方式和具体实例同样适用于本实施例的DNS全流量劫持风险的检测装置,通过前述对DNS全流量劫持风险的检测方法的详细描述,本领域技术人员可以清楚的知道本实施例中DNS全流量劫持风险的检测装置的实施方法,所以为了说明书的简洁,在此不再详述。

基于与第三方面中DNS全流量劫持风险的检测方法同样的发明构思,本发明第六方面提供了第三种DNS全流量劫持风险的检测装置,如图6所示,包括:

获得模块301,用于获得用于检测域名系统DNS全流量劫持风险的一个或多个目标域名;其中,所述一个或多个目标域名具体为广域网域名,并且所述一个或多个目标域名所对应的已知互联网协议IP地址均不相同;

解析模块302,用于对所述一个或多个目标域名进行DNS解析,获得每个所述目标域名对应的目标IP地址,进而获得一个或多个目标IP地址;

判断模块303,用于判断所述一个或多个目标IP地址中是否存在局域网地址,以及所述一个或多个目标IP地址中是否存在相同地址;

确定模块304,用于当所述一个或多个目标IP地址中存在局域网地址,或者所述一个或多个目标IP地址中存在相同地址时,确定用户设备UE存在DNS全流量劫持风险。

前述图3实施例中的第三种DNS全流量劫持风险的检测方法的各种变化方式和具体实例同样适用于本实施例的DNS全流量劫持风险的检测装置,通过前述对DNS全流量劫持风险的检测方法的详细描述,本领域技术人员可以清楚的知道本实施例中DNS全流量劫持风险的检测装置的实施方法,所以为了说明书的简洁,在此不再详述。

本申请实施例中的上述一个或多个技术方案,至少具有如下一种或多种技术效果:

在本发明实施例的技术方案中,获得用于检测DNS全流量劫持风险的一个或多个目标域名,其中,本发明实施例中的一个或多个目标域名具体为广域网域名,然后对一个或多个目标域名进行DNS解析,获得每个目标域名对应的目标IP地址,进而获得一个或多个目标IP地址,接着判断该一个或多个目标IP地址中是否存在局域网地址。由于目标域名对应的IP地址为广域网地址,所以当一个或多个目标IP地址中存在局域网地址时,确定UE存在DNS全流量劫持风险。因此,即使目标域名解析出的目标IP地址不在黑名单库中,如果目标IP地址为局域网地址,则表明UE当前接入的网络可能被全流量劫持,进而可以确定UE存在DNS全流量劫持风险。所以,通过上述技术方案,实现了提高DNS全流量劫持的检测准确率。

进一步,由于本发明实施例的技术方案不需要与庞大的黑名单数据库进行对比,进而也就不需要存储黑名单数据库,由此节约了存储黑名单数据库所占用的设备资源。

更进一步,由于本发明实施例中的技术方案可以由UE执行,而不需要服务器的参与,所以可以防止不法分子劫持DNS后对UE与服务器的交互进行监控,从而干扰检测,甚至向UE发送表示网络安全的虚假信息。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。

类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的网关、代理服务器、系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

本发明公开了,A1、一种DNS全流量劫持风险的检测方法,其特征在于,包括:

获得用于检测域名系统DNS全流量劫持风险的一个或多个目标域名;其中,所述一个或多个目标域名所对应的已知IP地址均不相同;

对所述一个或多个目标域名进行DNS解析,获得每个所述目标域名对应的目标互联网协议IP地址,进而获得一个或多个目标IP地址;

判断所述一个或多个目标IP地址中是否存在相同地址;

当所述一个或多个目标IP地址中存在相同地址时,确定所述UE存在DNS全流量劫持风险。

A2、根据A1所述的方法,其特征在于,当所述一个或多个目标IP地址中不存在相同地址时,所述方法还包括:

判断所述一个或多个目标IP地址中是否存在局域网地址;其中,所述一个或多个目标域名具体为广域网域名;

当所述一个或多个目标IP地址中存在局域网地址时,确定所述UE存在DNS全流量劫持风险。

A3、根据A2所述的方法,其特征在于,所述方法还包括:

当所述一个或多个目标IP地址中不存在局域网地址时,确定所述UE不存在DNS全流量劫持风险。

A4、根据A1-A3任一项所述的方法,其特征在于,获得用于检测域名系统DNS全流量劫持风险的一个或多个目标域名,包括:

读取接收与所述UE对应的服务器下发并存储在所述UE的存储空间中的所述一个或多个目标域名;或者

从多个备选域名中,确定满足预设条件的一个或多个域名为所述一个或多个目标域名。

A5、根据A1-A3任一项所述的方法,其特征在于,在对所述一个或多个目标域名进行DNS解析之前,还包括:

判断所述UE是否接入了新的无线接入点AP;

当所述UE接入了新的AP时,执行所述在对所述一个或多个目标域名进行DNS解析的步骤。

B6、一种DNS全流量劫持风险的检测装置,其特征在于,包括:

获得模块,用于获得用于检测域名系统DNS全流量劫持风险的一个或多个目标域名;其中,所述一个或多个目标域名所对应的已知IP地址均不相同;

解析模块,用于对所述一个或多个目标域名进行DNS解析,获得每个所述目标域名对应的目标互联网协议IP地址,进而获得一个或多个目标IP地址;

第一判断模块,用于判断所述一个或多个目标IP地址中是否存在相同地址;

第一确定模块,用于当所述一个或多个目标IP地址中存在相同地址时,确定所述UE存在DNS全流量劫持风险。

B7、根据B6所述的装置,其特征在于,当所述一个或多个目标IP地址中不存在相同地址时,所述装置还包括:

第二判断模块,用于判断所述一个或多个目标IP地址中是否存在局域网地址;其中,所述一个或多个目标域名具体为广域网域名;

第二确定模块,用于当所述一个或多个目标IP地址中存在局域网地址时,确定所述UE存在DNS全流量劫持风险。

B8、根据B7所述的装置,其特征在于,所述装置还包括:

第三确定模块,用于当所述一个或多个目标IP地址中不存在局域网地址时,确定所述UE不存在DNS全流量劫持风险。

B9、根据B6-B8任一项所述的装置,其特征在于,所述获得模块用于读取接收与所述UE对应的服务器下发并存储在所述UE的存储空间中的所述一个或多个目标域名;或者从多个备选域名中,确定满足预设条件的一个或多个域名为所述一个或多个目标域名。

B10、根据B6-B8任一项所述的装置,其特征在于,所述装置还包括:

第三判断模块,用于在对所述一个或多个目标域名进行DNS解析之前,判断所述UE是否接入了新的无线接入点AP;

当所述UE接入了新的AP时,通知解析模块对所述一个或多个目标域名进行DNS解析。

完整全部详细技术资料下载
当前第1页1 2 3 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:陈耀攀
  • 技术所有人:北京奇虎科技有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2025 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2