检测域名劫持的方法、装置和系统的制作方法
【技术领域】
[0001]本发明涉及信息安全领域,具体涉及一种检测域名劫持的方法、装置和系统。
【背景技术】
[0002]域名劫持就是在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则直接返回虚假或伪造的IP地址或者什么也不做使得请求失去响应,其效果就是对特定的网址不能访问或访问的是虚假或伪造的网址。
[0003]域名劫持一方面可能影响用户的上网体验,用户被引到假冒的网站进而无法正常浏览网页,而用户量较大的网站域名被劫持后恶劣影响会不断扩大;另一方面用户可能被诱骗到冒牌网站进行登录等操作导致泄露隐私数据。
【发明内容】
[0004]鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的检测域名劫持的方法、装置和系统。
[0005]依据本发明的一个方面,提供了一种检测域名劫持的方法,包括:
[0006]获取待检测的域名集合;
[0007]对于所述域名集合中每个域名,将该域名发送给分布在不同地域的多个工作服务器进行域名解析,接收各工作服务器返回的该域名的解析结果;
[0008]获取该域名的可信任解析结果;
[0009]若得到该域名的可信任解析结果,则将各工作服务器返回的该域名的解析结果与所述可信任解析结果进行比较;
[0010]依据所述比较的结果判断各工作服务器所处的区域是否存在域名劫持。
[0011]可选地,依据所述比较的结果判断各工作服务器所处的区域是否存在域名劫持进一步包括:
[0012]如果一个工作服务器返回的解析结果与所述可信任解析结果不一致,则确定该工作服务器所处的区域存在域名劫持。
[0013]可选地,依据所述比较的结果判断各工作服务器所处的区域是否存在域名劫持进一步包括:
[0014]如果一个工作服务器返回的解析结果与所述可信任解析结果一致,则确定该工作服务器所述的区域不存在域名劫持。
[0015]可选地,所述获取该域名的可信任解析结果包括:
[0016]从本地的可信任域名解析列表中查询该域名对应的解析结果;
[0017]或者,
[0018]利用可信任服务器发起该域名的解析请求,获得该域名的解析结果。
[0019]可选地,所述获取待检测的域名集合包括:
[0020]获取初始域名集合;
[0021]从初始域名集合中排除CNAME记录,保留A记录,得到待检测的域名集合。
[0022]可选地,该方法进一步包括:
[0023]将确定为存在域名劫持的区域对应的工作服务器返回的解析结果发送至相应区域的运营商服务器。
[0024]可选地,该方法进一步包括:
[0025]将各服务器返回的该域名的解析结果与该域名在预案系统中所记录的IP地址信息进行比较;
[0026]如果存在数量大于或等于预设值的工作服务器返回的解析结果相同,且所述相同的解析结果与预案系统中所记录的IP地址信息不一致,则依据所述相同的解析结果对预案系统进行校正。
[0027]可选地,依据所述相同的解析结果对预案系统进行校正进一步包括:
[0028]将所述相同的解析结果添加至预案系统;或者,
[0029]以所述相同的解析结果替换预案系统中对应的IP地址信息。
[0030]可选地,若未得到该域名的可信任解析结果,该方法进一步包括:
[0031]将各服务器返回的该域名的解析结果与该域名在预案系统中所记录的IP地址信息进行比较;
[0032]如果存在数量大于或等于预设值的工作服务器返回的解析结果相同,且所述相同的解析结果与预案系统中所记录的IP地址信息不一致,则依据所述相同的解析结果对预案系统进行校正;所述校正包括:将所述相同的解析结果添加至预案系统,或者以所述相同的解析结果替换预案系统中对应的IP地址信息。
[0033]可选地,若未得到该域名的可信任解析结果,该方法进一步包括:
[0034]将各服务器返回的该域名的解析结果与该域名在预案系统中所记录的IP地址信息进行比较;
[0035]如果存在数量小于预设值的工作服务器返回的解析结果相同,且所述相同的解析结果与预案系统中所记录的IP地址信息不一致,则确定返回不一致解析结果的工作服务器所处的区域存在域名劫持。
[0036]依据本发明的另一方面,提供了一种检测域名劫持的装置,包括:
[0037]域名获取单元,适于获取待检测的域名集合;
[0038]收发单元,适于对于所述域名集合中每个域名,将该域名发送给分布在不同地域的多个工作服务器进行域名解析,接收各工作服务器返回的该域名的解析结果;
[0039]可信任结果获取单元,适于获取该域名的可信任解析结果;
[0040]比较单元,适于若所述可信任结果获取到单元得到该域名的可信任解析结果时将各工作服务器返回的该域名的解析结果与所述可信任解析结果进行比较,依据所述比较的结果判断各工作服务器所处的区域是否存在域名劫持。
[0041]可选地,所述比较单元,进一步适于当一个工作服务器返回的解析结果与所述可信任解析结果不一致时,确定该工作服务器所处的区域存在域名劫持。
[0042]可选地,所述比较单元,进一步适于当一个工作服务器返回的解析结果与所述可信任解析结果一致时,确定该工作服务器所述的区域不存在域名劫持
[0043]可选地,所述可信任结果获取单元,进一步适于从本地的可信任域名解析列表中查询该域名对应的解析结果;或者,利用可信任服务器发起该域名的解析请求,获得该域名的解析结果。
[0044]可选地,所述域名获取单元,进一步适于获取初始域名集合,从初始域名集合中排除CNAME记录,保留A记录,得到待检测的域名集合。
[0045]可选地,所述收发单元,进一步适于将确定为存在域名劫持的区域对应的工作服务器返回的解析结果发送至相应区域的运营商服务器。
[0046]可选地,该装置进一步包括:
[0047]预案校正单元,适于将各服务器返回的该域名的解析结果与该域名在预案系统中所记录的IP地址信息进行比较;如果存在数量大于或等于预设值的工作服务器返回的解析结果相同,且所述相同的解析结果与预案系统中所记录的IP地址信息不一致,则依据所述相同的解析结果对预案系统进行校正。
[0048]可选地,所述预案校正单元,进一步适于将所述相同的解析结果添加至预案系统,或者以所述相同的解析结果替换预案系统中对应的IP地址信息。
[0049]可选地,所述预案校正单元,进一步适于当所述可信任结果获取单元未得到该域名的可信任解析结果时,将各服务器返回的该域名的解析结果与该域名在预案系统中所记录的IP地址信息进行比较;当存在数量大于或等于预设值的工作服务器返回的解析结果相同,且所述相同的解析结果与预案系统中所记录的IP地址信息不一致时,依据所述相同的解析结果对预案系统进行校正;
[0050]所述校正包括:将所述相同的解析结果添加至预案系统,或者以所述相同的解析结果替换预案系统中对应的IP地址信息。
[0051]可选地,所述预案校正单元,进一步适于当可信任结果获取单元未得到到该域名的可信任解析结果时,将各服务器返回的该域名的解析结果与该域名在预案系统中所记录的IP地址信息进行比较;当存在数量小于预设值的工作服务器返回的解析结果相同,且所述相同的解析结果与预案系统中所记录的IP地址信息不一致时,确定返回不一致解析结果的工作服务器所处的区域存在域名劫持。
[0052]依据本发明的又一方面,提供了一种检测域名劫持的系统,包括:如上述任一项所述的装置,和分布在不同地域的多个工作服务器。
[0053]可选地,所述多个工作服务器分布在不同的地域,且在每个地域有分