一种基于域名的http访问劫持检测与净化装置及方法
【技术领域】
[0001] 本发明设及网络安全技术领域,尤其设及一种基于域名的HTT的方问劫持检测与净 化装置及方法。
【背景技术】
[0002] 随着互联网时代的进入,互联网的运用越加普及,用户对网络的需求越来越大。用 户在日常访问网站时最常见的方法是通过域名方式访问,而网络报文寻址过程中识别的还 是需要真实主机的IP地址,此时就会设及到一个域名解析问题,它是由用户指定的域名服 务器负责解析。其中,域名服务器是保存在网络中所有主机的域名和对应的IP地址,并具有 将域名转换为特定IP地址的功能。
[0003] 在实际中,经常会出现域名无法正常解析的情况。当域名无法正常访问,运营商便 可能会执行DNS劫持,同时向用户展示一个广告页面或是导航页面等替换正常应该访问的 页面。当用户访问的域名遭受到恶意破坏者的恶意攻击或恶意干扰时,给用户带来日常生 活的干扰,影响日常工作和生活,造成用户反感,严重情况,账号密码遗失,造成经济损失, 并且很多时候普通用户都未感知访问网站已被DNS污染。
[0004] 网络被劫持的原因通常包括:用户计算机被植入病毒或木马导致主机hosts文件 或注册表被篡改;系统服务或是浏览器被植入恶意代码;运营商使用篡改DNS、重定向HTTP 请求、修改HTTP数据包导致正常网站无法正常访问。
[0005] 如今存在的一些基于域名的HTTP劫持检测方法更多的依赖于对DNS通信协议类型 (UDP转变成TCP)、通信端口(使用非53的端口)的改变,甚至是对DNS通信报文进行加密处 理;或者是在DNS解析之后的HTTP请求数据报文做二次分析,通过URI的关键字符串进行字 典匹配。运样的一些操作一定程度、一定时间内能确保DNS解析免受DNS污染,但不是根本解 决方法,而且不通用;同时依赖于与URI的关键字匹配的字典库,增加维护代价的同时,带来 了更多的不准确性因素。
[0006] 因此,迫切需要一种基于域名的HTTP访问劫持方法检测和净化的技术,解决用户 在访问网页的遭受的DNS污染或DNS感染,智能检巧阳NS劫持或DNS污染行为,并主动净化上 网行为。
【发明内容】
[0007] 本发明的目的是克服现有技术存在的缺陷,提供一种基于域名的HTT的方问劫持检 测与净化装置及方法,能够人工增添、自动检测、净化及缓存DNS解析IP的技术方案,解决网 络管理员对上网行为的控制,自定义不同域名的劫持页面,避免用户遭受到广告商或运营 商导航等劫持页面的干扰。
[000引实现本发明目的的技术方案是:一种基于域名的HTTP访问劫持检测与净化装置, 包括监听模块、匹配模块和DNS纠正模块,
[0009]监听模块:监听客户端发起的DNS查询请求,抓取DNS服务器解析的DNS查询请求响 应报文中的IP地址;
[0010] 匹配模块:匹配模块包括黑名单表和白名单表,匹配模块将监听模块抓取的IP地 址和黑名单表进行匹配,如果匹配成功,则将黑名单表中记录的域名对应的正确IP作为客 户端发起的DNS查询请求的解析IP;如果匹配失败,则将监听模块抓取的DNS查询请求响应 报文传递给DNS纠正模块进行处理;
[0011] DNS纠正模块:DNS纠正模块包括DNS同步检测模块和DNS统计分析模块,
[001^ DN洞步检测模块:用于分析DNS查询请求响应报文中记录类型为"A记录",即对id 为0x0002的响应IP信息和响应时间进行记录分析,判定DNS查询请求响应报文是否存在不 同步情况,如果id为0x0002的报文存在抢先响应的现象,即DNS查询请求响应报文不同步, 则将此响应IP标记为待验证IP,如果DNS查询请求响应报文同步,DNS同步检测模块提取DNS 与IP信息;
[0013] DNS统计分析模块,DNS统计分析模块获取同一 IP对应的不同域名个数,分析IP对 应的域名个数是否超过预设阔值,如果IP对应的域名个数不超过预设阔值,DNS统计分析模 块正常响应客户端的DNS查询请求,如果IP对应的域名个数超过预设阔值,则将此响应IP标 记为待验证IP,将待验证IP与所述的白名单表作匹配,如果待验证IP在白名单表中,则将白 名单表中IP作为DNS查询请求的响应IP,响应给客户端。
[0014] 作为本发明的优化方案,一种基于域名的HTTP访问劫持检测与净化装置还包括 HTTP重定向模块,如果所述的匹配模块和DNS纠正模块未能确定域名对应的正确IP时,所述 的HTTP重定向模块用于对HTT内青求报文中目的IP为所述一种基于域名的HTTP访问劫持检 测与净化装置的局域网IP的请求报文进行本地的重定向处理,将请求页面重定向到基于域 名的HTT的方问劫持检测与净化装置内部自定义的静态页面。
[0015] 作为本发明的优化方案,一种基于域名的HTT的方问劫持检测与净化装置还包括Ξ 个国外公共的DNS服务器。
[0016] 作为本发明的优化方案,黑名单表包括四个字段,分别是域名、错误IP、矫正IP和 URI路径,所述的错误IP是DNS遭受劫持或污染后解析出的错误IP地址;矫正IP是正确的IP 地址,URI路径是上传自定义的导航页面。
[0017] 作为本发明的优化方案,一种采用基于域名的HTT的方问劫持检测与净化装置的检 测与净化方法,包括如下步骤:
[001引1)客户端发起基于HTTP的请求,首先会发生DNS查询请求,监听模块抓取DNS服务 器解析的DNS查询请求响应报文中的IP地址;
[0019] 2)匹配模块将监听模块抓取DNS服务器解析的DNS查询请求响应报文中的IP地址 与黑名单表进行匹配,如果IP地址在黑名单列表中,匹配模块将域名对应的正确IP送给客 户端;如果IP地址不在黑名单列表中,匹配模块将监听模块抓取DNS服务器解析的DNS查询 请求响应报文同时传递给DNS同步检测模块和DNS统计分析模块;
[0020] 3)DNS同步检测模块分析监听模块抓取DNS服务器解析的DNS查询请求响应报文, 对id为0x0002的响应IP信息和响应时间进行记录分析,判定DNS查询请求响应报文是否存 在不同步情况,如果DNS查询请求响应报文同步并且DNS统计分析模块统计的IP对应的域名 个数不超过预设阔值,所述的DNS统计分析模块将对应的正确IP送给客户端;如果DNS查询 请求响应报文不同步或者是DNS统计分析模块统计的IP对应的域名个数超过预设阔值,将 监听模块抓取的IP地址标记为待验证的IP,待验证的IP与白名单表做匹配,如果待验证的 IP在白名单表中,则将白名单表中IP作为DNS查询请求的响应IP,响应给客户端。
[0021] 作为本发明的优化方案,如果待验证的IP不在白名单表中,所述一种基于域名的 HTTP访问劫持检测与净化装置通过Ξ个国外公共DNS服务器各发起DNS查询请求,所述一种 基于域名的HTTP访问劫持检测与净化装置将两个响应最快的DNS解析结果与待验证的IP匹 配,如果两个响应最快的DNS解析结果与待验证的IP匹配成功,则将两个响应最快的DNS解 析结果的IP响应给客户端,同时将域名和IP信息记录在白名单表中;如果两个响应最快的 DNS解析结果与待验证的IP匹配不成功,将域名地址和国外公共DNS解析的IP地址记录在临 时表中,同时将局域网的IP地址响应给客户端。
[0022] 作为本发明的优化方案,如果HTTP请求响应的IP地址为局域网的IP地址,基于域 名的HTT的方问劫持检测与净化装置将做Ξ种处理:
[0023] 1)继续访问,客户端使用客户端发起的DNS查询请求的响应IP地址继续访问;
[0024] 2)人工净化,用户自定义域名对应的解析IP,客户端访问用户自定义域名对应的 解析IP;
[0025] 3)自动净化,HTTP请求报文目的IP地址为所述临时表中记录的IP地址,客户端访 问临时表中记录的IP地址。
[0026] 本发明具有积极的效果:本发明能够自定义域名与IP的对应解析规则,直接由用 户指定域名与IP的解析关系,解决了一般性企业或集群网络管理人员对公司员工上网行 为、集群服务连网的控制。另外,能够基于域名智能检测出DNS污染或DNS劫持行为,自动检 巧师解决DNS污染或DNS劫持问题,使用户在遭受至化NS恶意劫持时候,智能友好的提示用户 处于的恶意的上网环境,避免被蒙蔽在恶意的上网行为监控之中,同时避免用户受到广告 或导航页面等劫持页面的干扰,避免遭受不必要的经济损失和精神损失。
【附图说明】
[0027] 为了使本发明的内容更容易被清楚地理解,下面根据具体实施例并结合附图,对 本发明作进一步详细的说明,其中:
[0028] 图1是本发明的流程图;
[00巧]图2是DNS纠正模块的处理流程图;
[0030] 图3是DNS同步检测模块的处理流程图;
[0031] 图4是DNS统计分析模块的处理流程图;
[0032] 图5是HTTP访问劫持响应的流程图。
【具体实施方式】
[0033] 本发明公开了一种基于域名的HTTP访问劫持检测与净化装置,包括监听模块、匹 配模块和DNS纠正模块,
[0034] 监听模块:监听客户端发起的DNS查询请求,抓取DNS服务器解析的DNS查询请求响 应报文中的IP地址;
[0035] 匹配模块:匹配模块包括黑名单表和白名单表,所述的匹配模块将监听模块抓取 的IP地址和黑名单表进行匹配,如果匹配成功,则将黑名单表中记录的域名对应的正确IP 作为客户端发起的DNS查询请求的解析IP;如果匹配失败,则将监听模块抓取的DNS查询请 求响应报文传递给DNS纠正模块进行处理;
[