记为待验证IP地址。
[0089] 当DNS服务器遭受到了劫持,劫持者通过某些手段取得所有域名(或大部分)的解 析记录控制权,进而修改了所有域名(或大部分)的解析结果,运样用户发起的DNS查询请求 结果,就会反应一个现象:在装置的"DNS统计分析模块"中,能统计到一个IP地址对应着多 个域名,而且运个域名基本上是无任何二级相关性;运样装置的"DNS统计分析模块"能输出 一个用户端发起的DNS查询请求对应的待验证IP地址。
[0090] 其中,设及到概念"同二级域名的域名":域名是由一串用点分隔的名字组成的互 联网上某一台计算机或计算机组的名称,用于在互联网上数据传输时标识计算机的电子方 位,如abc.com。简单的说,域名是计算机或计算机组在互联网上注册的名称,用户可W通过 运个注册的名称访问到对应的计算机或计算机组。同时域名还有级别的差异,如上述的 abc.com是一个顶级域名,顶级域名由专口的国际组织分配,顶级域名下可W有二级域名、 Ξ级域名,如news. abc. com是一个二级域名。
[0091] 所谓的"同二级域名的域名"是指两个域名的顶级域名部分都相同,只是二级或Ξ 级域名有不同,如:musci .abc . com 和 sport .abc . com,或是 musci . abc . com 和 if eng. musci .abc.com。因为相同二级域名绑定到同一个IP地址的情况比较常见,因此需要 尤其区别那类不是同二级域名的域名的数量。
[0092] 图5描述了HTTP访问劫持响应的流程图,当用户在本地PC机器上打开浏览器,访问 了一个网页,DNS解析工作由装置经过上述流程处理后,会响应用户端一个IP(DNS服务器正 确解析的IP地址或装置上配置的局域网IP地址),当响应给用户端的IP地址为装置的局域 网IP地址(192.168.1.1)时,基于浏览器发起的HTTP请求的目的IP地址则为装置的局域网 IP,装置的监听模块监听此类HTT内青求报文,在本地重定向此类报文请求;重定向的静态页 面可W由用户自定义,也可W是装置默认的预警导航静态页面:
[0093] 在预警导航页面用户能做Ξ种选择操作:第一是继续访问,则用户发起的HTTP请 求报文目的IP会沿用当前用户发起的DNS查询请求的响应IP;第二是人工净化,用户可W自 定义指定配置此类域名所对应的解析IP;第Ξ是自动净化,贝化TTP请求报文目的IP会选用 临时表中记录的IP地址,即由Ξ个非标端口的国外公共DNS服务器解析的IP地址。
[0094] 当用户选择了具体的某种操作时,装置的HTTP重定向模块会将每种操作对应的响 应IP重组封装(重装)本次HTTP请求报文,并将该操作对应的IP录入装置匹配模块的"黑名 单表",供下次请求直接使用。
[00%]此外,装置内置的黑名单列表和白名单列表除了在日常DNS处理流程中丰富表中 的规则,还会定期更新两张表中域名的状态,避免因为实际站点服务的更换带来的响应错 误或响应延迟问题。
[0096] W上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详 细说明,所应理解的是,W上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡 在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保 护范围之内。
【主权项】
1. 一种基于域名的HTTP访问劫持检测与净化装置,其特征在于,包括监听模块、匹配模 块和DNS纠正模块, 监听模块:监听客户端发起的DNS查询请求,抓取DNS服务器解析的DNS查询请求响应报 文中的IP地址; 匹配模块:所述的匹配模块包括黑名单表和白名单表,所述的匹配模块将监听模块抓 取的IP地址和黑名单表进行匹配,如果匹配成功,则将黑名单表中记录的域名对应的正确 IP作为客户端发起的DNS查询请求的解析IP;如果匹配失败,则将监听模块抓取的DNS查询 请求响应报文传递给DNS纠正模块进行处理; DNS纠正模块:所述的DNS纠正模块包括DNS同步检测模块和DNS统计分析模块, DNS同步检测模块:用于分析DNS查询请求响应报文中记录类型为"A记录",即对id为 0x0002的响应IP信息和响应时间进行记录分析,判定DNS查询请求响应报文是否存在不同 步情况,如果id为0x0002的报文存在抢先响应的现象,即DNS查询请求响应报文不同步,则 将此响应IP标记为待验证IP,如果DNS查询请求响应报文同步,DNS同步检测模块提取DNS与 ΙΡ?目息; DNS统计分析模块,所述的DNS统计分析模块获取同一 IP对应的不同域名个数,分析IP 对应的域名个数是否超过预设阈值,如果IP对应的域名个数不超过预设阈值,DNS统计分析 模块正常响应客户端的DNS查询请求,如果IP对应的域名个数超过预设阈值,则将此响应IP 标记为待验证IP,将待验证IP与所述的白名单表作匹配,如果待验证IP在白名单表中,则将 白名单表中IP作为DNS查询请求的响应IP,响应给客户端。2. 根据权利要求1所述的一种基于域名的HTTP访问劫持检测与净化装置,其特征在于, 所述的一种基于域名的HTTP访问劫持检测与净化装置还包括HTTP重定向模块,如果所述的 匹配模块和DNS纠正模块未能确定域名对应的正确IP时,所述的HTTP重定向模块用于对 HTTP请求报文中目的IP为所述一种基于域名的HTTP访问劫持检测与净化装置的局域网IP 的请求报文进行本地的重定向处理,将请求页面重定向到基于域名的HTTP访问劫持检测与 净化装置内部自定义的静态页面。3. 根据权利要求1所述的一种基于域名的HTTP访问劫持检测与净化装置,其特征在于, 所述的一种基于域名的HTTP访问劫持检测与净化装置还包括三个国外公共的DNS服务器。4. 根据权利要求1所述的一种基于域名的HTTP访问劫持检测与净化装置,其特征在于, 所述的黑名单表包括四个字段,分别是域名、错误IP、矫正IP和URI路径,所述的错误IP是 DNS遭受劫持或污染后解析出的错误IP地址;矫正IP是正确的IP地址,URI路径是上传自定 义的导航页面。5. -种采用基于域名的HTTP访问劫持检测与净化装置的检测与净化方法,其特征在 于:包括如下步骤: 1) 客户端发起基于HTTP的请求,首先会发生DNS查询请求,监听模块抓取DNS服务器解 析的DNS查询请求响应报文中的IP地址; 2) 匹配模块将监听模块抓取DNS服务器解析的DNS查询请求响应报文中的IP地址与黑 名单表进行匹配,如果IP地址在黑名单列表中,匹配模块将域名对应的正确IP送给客户端; 如果IP地址不在黑名单列表中,匹配模块将监听模块抓取DNS服务器解析的DNS查询请求响 应报文同时传递给DNS同步检测模块和DNS统计分析模块; 3 )DNS同步检测模块分析监听模块抓取DNS服务器解析的DNS查询请求响应报文,对id 为0x0002的响应IP信息和响应时间进行记录分析,判定DNS查询请求响应报文是否存在不 同步情况,如果DNS查询请求响应报文同步并且DNS统计分析模块统计的IP对应的域名个数 不超过预设阈值,所述的DNS统计分析模块将对应的正确IP送给客户端;如果DNS查询请求 响应报文不同步或者是DNS统计分析模块统计的IP对应的域名个数超过预设阈值,将监听 模块抓取的IP地址标记为待验证的IP,待验证的IP与白名单表做匹配,如果待验证的IP在 白名单表中,则将白名单表中IP作为DNS查询请求的响应IP,响应给客户端。6. 根据权利要求5所述一种采用基于域名的HTTP访问劫持检测与净化装置的检测与净 化方法,其特征在于:如果待验证的IP不在白名单表中,所述一种基于域名的HTTP访问劫持 检测与净化装置通过三个国外公共DNS服务器各发起DNS查询请求,所述一种基于域名的 HTTP访问劫持检测与净化装置将两个响应最快的DNS解析结果与待验证的IP匹配,如果两 个响应最快的DNS解析结果与待验证的IP匹配成功,则将两个响应最快的DNS解析结果的IP 响应给客户端,同时将域名和IP信息记录在白名单表中;如果两个响应最快的DNS解析结果 与待验证的IP匹配不成功,将域名地址和国外公共DNS解析的IP地址记录在临时表中,同时 将局域网的IP地址响应给客户端。7. 根据权利要求6所述一种采用基于域名的HTTP访问劫持检测与净化装置的检测与净 化方法,其特征在于:如果HTTP请求响应的IP地址为局域网的IP地址,基于域名的HTTP访问 劫持检测与净化装置将做三种处理: 1) 继续访问,客户端使用客户端发起的DNS查询请求的响应IP地址继续访问; 2) 人工净化,用户自定义域名对应的解析IP,客户端访问用户自定义域名对应的解析 IP; 3) 自动净化,HTTP请求报文目的IP地址为所述临时表中记录的IP地址,客户端访问临 时表中记录的IP地址。
【专利摘要】本发明涉及网络安全技术领域,尤其涉及一种基于域名的HTTP访问劫持检测与净化装置及方法,本发明能够自定义域名与IP的对应解析规则,直接由用户指定域名与IP的解析关系,解决了一般性企业或集群网络管理人员对公司员工上网行为、集群服务连网的控制。另外,能够基于域名智能检测出DNS污染或DNS劫持行为,自动检测和解决DNS污染或DNS劫持问题,使用户在遭受到DNS恶意劫持时候,智能友好的提示用户处于的恶意的上网环境,避免被蒙蔽在恶意的上网行为监控之中,同时避免用户受到广告或导航页面等劫持页面的干扰,避免遭受不必要的经济损失和精神损失。
【IPC分类】H04L29/06, H04L29/12, H04L29/08
【公开号】CN105656950
【申请号】
【发明人】李友佳, 臧高峰
【申请人】南京烽火软件科技有限公司
【公开日】2016年6月8日
【申请日】2016年4月13日