[发明专利]一种域名劫持检测与联动处置方法及系统

说明书

本发明公开了一种域名劫持检测与联动处置方法及系统，用以解决现有的域名劫持检测技术地址库维护复杂，误报率高同时缺乏有效的联动处置手段的问题。该方法包括：S1、针对需要域名劫持防护的网站创建检测任务；S2、对所述网站进行域名解析拨测；S3、根据A记录地址、授权服务器域名信息及别名信息判断所述网站是否被域名劫持。本发明进一步优化域名劫持判定技术，引入授权服务器域名及别名综合判定机制，同时联动智能的域名重定向技术实现域名劫持监控与处置，总体上有效减少传统监控手段误报、漏报等问题，同时能够快速联动处置，提高域名劫持事件应急效率。

技术领域

本发明涉及网络技术领域，尤其涉及一种域名劫持检测与联动处置方法及系统。

背景技术

域名劫持又称DNS劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能反应或访问的是假网址。

域名劫持可以认为是一种网络攻击方式，造成的安全风险也不容小视，一方面可能影响用户上网体验，用户无法正常访问自己想要上的网站，另一方面，域名如果被解析到钓鱼网站，不仅会造成用户损失，而且还会带来不良的社会影响。

域名劫持主要通过加班域名注册人和域名注册商通信，伪造域名注册人在DNS注册商处的账户信息，伪造域名注册人的应转移请求，直接进行一次域名转移请求，缓存投毒等；因此综合分析域名劫持发生的原因可以看到，域名授权服务器、本地域名服务器都有可能存在被攻击篡改导致域名劫持事件。

现有的域名劫持监控手段主要通过判断拨测结果中的A记录地址是否在地址库来判定域名是否被劫持，此类方法存在地址库维护复杂，误报率高等缺点，同时缺乏有效的联动处置手段。

公开号为CN103905273A的专利提供了一种DNS劫持的监测方法和装置。其中该方法包括：向客户端发送监测任务，使得客户端在确定执行监测任务后，启动浏览器打开预定的URL信息指示的网页，并在打开网页的过程中获取监测信息；接收客户端发送是监测信息；根据监测信息确定客户端是否发生DNS劫持。该发明实施例的方法，可能产生误报、漏报的问题，同时没有快速联动处置。

发明内容

本发明要解决的技术问题目的在于提供一种域名劫持检测与联动处置方法及系统，用以解决现有的域名劫持检测技术地址库维护复杂，误报率高同时缺乏有效的联动处置手段的问题。

为了实现上述目的，本发明采用的技术方案为：

一种域名劫持检测与联动处置方法，包括步骤：

S1、针对需要域名劫持防护的网站创建检测任务；

S2、对所述网站进行域名解析拨测；

S3、根据A记录地址、授权服务器域名信息及别名信息判断所述网站是否被域名劫持。

进一步地，步骤S2及S3之间还包括步骤：

判断拨测结果是否存在所述A记录地址，若否，追加所述A记录地址；

若存在所述A记录地址，判断拨测结果是否存在所述授权服务器域名信息，若否，追加所述授权服务器域名信息；

若存在所述授权服务器域名信息，判断是否存在别名信息，若否，追加所述别名信息。

进一步地，步骤S3具体包括：

判断所述A记录地址是否存在于所述域名知识库中，若是，判定为未被劫持状态；

若所述A记录地址不存在于所述域名知识库中，判断是否存在所述别名信息，若是，判断所述别名信息的后缀是否为域名知识库预设别名，若是，判定为未被劫持状态，否则，判定为高危疑似劫持；