CN104125215B - 网站域名劫持检测方法和*** - Google Patents
网站域名劫持检测方法和*** Download PDFInfo
- Publication number
- CN104125215B CN104125215B CN201410307884.5A CN201410307884A CN104125215B CN 104125215 B CN104125215 B CN 104125215B CN 201410307884 A CN201410307884 A CN 201410307884A CN 104125215 B CN104125215 B CN 104125215B
- Authority
- CN
- China
- Prior art keywords
- website
- inquiry requests
- domain name
- client
- inquiry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种网站域名劫持检测方法和***,所述方法包括:对于待检测的网站,嵌于客户端浏览器所打开的网页中的劫持检测模块发送第一IP查询请求,并从针对第一IP查询请求返回的响应信息中获取网站服务器IP和客户端IP,将获取的客户端IP作为待检测IP;其中,第一IP查询请求指的是基于网站的域名的IP查询请求;劫持检测模块发送第二IP查询请求,并检测针对第二IP查询请求返回的响应信息中的客户端IP与待检测IP是否一致;若是,则判定网站的域名未被劫持;否则,判定网站的域名被劫持;其中,第二IP查询请求指的是基于网站服务器IP的IP查询请求。应用本发明,可以提高网站域名劫持检测的可行性。
Description
技术领域
本发明涉及互联网领域,尤其涉及一种网站域名劫持检测方法和***。
背景技术
互联网是基于TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/因特网互联协议)协议进行通信和连接的,每一台主机都有一个唯一的IP地址;给出一个IP地址,就可以定位找到互联网上的某台主机。而由于IP地址是由4个小于256的数字组成的、数字之间用点间隔的数字标识,使用时难以记忆和书写,因此在IP地址的基础上又发明了一种与IP地址相对应的字符型地址(比如,www.abcd_ef1.com),即域名。但通过域名并不能直接找到要访问的主机,中间要加一个从域名查找IP地址的过程,这个过程就是域名解析。域名解析需要由专门的DNS(Domain Name System,域名***)域名解析服务器来完成。
目前存在利用域名劫持来降低运营成本的方法,即通过攻击DNS域名解析服务器,或伪造域名解析服务器DNS的方法,把目标网站的域名解析到错误的地址,使用户无法直接访问真正的目标网站,导致用户体验下降的同时,还可能会存在安全方面的风险,因此,有必要对目标网站的域名进行定期的检测。
为了减小域名劫持对客户端的影响,现有存在一种检测网站域名是否被劫持的方法,主要是客户端在进行域名解析后,通过回传的解析结果判定是否被劫持:客户端在向DNS域名解析服务器请求域名解析时,要求DNS域名解析服务器返回域名解析结果,并根据预先存储的网站的域名和网站的IP地址的对应关系,对返回的解析结果进行分析,判定出目标网站的域名是否被劫持。然而,实际应用中,目前已经存在大量的网站域名和IP地址,管理员在维护预先存储的大量的域名和IP地址的对应关系需要耗费大量的人力和物力,并且存在配置错误、更新信息不及时的情况;而且,一旦目标网站的域名在本地DNS域名解析服务器中没有配置相应的IP地址,将无法检测目标网站的域名是否被劫持。而且,现有的检测方法中,需要在客户端额外安装专用软件、或者使用操作***提供的命令(比如nslookup命令)进行检测,非常不方便。
综上所示,现有的这种检测目标网站的域名是否被劫持的方法存在可行性低的不足,因此,有必要提供一种能够提交可行性更高、更便于操作的网站域名劫持检测方法。
发明内容
针对上述现有技术存在的缺陷,本发明提供了一种网站域名劫持检测方法和***,用以简化操作并提高网站域名劫持检测的可行性。
根据本发明的一个方面,提供了一种网站域名劫持检测方法,包括:
对于待检测的网站,嵌于客户端浏览器所打开的网页中的劫持检测模块发送第一IP查询请求,并从针对所述第一IP查询请求返回的响应信息中获取网站服务器IP和客户端IP,将获取的客户端IP作为待检测IP;其中,所述第一IP查询请求指的是基于所述网站的域名的IP查询请求;
所述劫持检测模块发送第二IP查询请求,并检测针对所述第二IP查询请求返回的响应信息中的客户端IP与所述待检测IP是否一致;若是,则判定所述网站的域名未被劫持;否则,判定所述网站的域名被劫持;
其中,所述第二IP查询请求指的是基于所述网站服务器IP的IP查询请求。
较佳地,在所述劫持检测模块发送第一IP查询请求之前,还包括:
所述劫持检测模块通过所述网页接收到所述用户通过所述网页的输入框输入的所述网站的域名。
较佳地,所述针对所述第一IP查询请求返回的响应信息中的网站服务器IP为多个;以及
所述劫持检测模块发送第二IP查询请求,并检测针对所述第二IP查询请求返回的响应信息中的客户端IP与所述待检测IP是否一致;若是,判定所述网站的域名未被劫持,否则,判定所述网站的域名被劫持,具体包括:
所述劫持检测模块针对从针对所述第一IP查询请求返回的响应信息中获取的每个网站服务器IP,发送基于该网站服务器IP的IP查询请求后,检测针对该IP查询请求返回的响应信息中的客户端IP与所述待检测IP是否相同;
若所有的判定结果均为不同,则判定所述网站的域名被劫持;否则,判定所述网站的域名未被劫持。
较佳地,在所述判定所述网站的域名被劫持,或者,判定所述网站的域名未被劫持后,还包括:
所述劫持检测模块在所述网页中显示判定结果,以及所述待检测IP和针对所述第二IP查询请求返回的响应信息中的客户端IP。
根据本发明的另一个方面,还提供了一种网站域名劫持检测***,包括:
嵌于客户端浏览器所打开的网页中的劫持检测模块,用于发送第一IP查询请求,并从针对所述第一IP查询请求返回的响应信息中获取网站服务器IP和客户端IP,将获取的客户端IP作为待检测IP;之后,发送第二IP查询请求,并检测针对所述第二IP查询请求返回的响应信息中的客户端IP与所述待检测IP是否一致;若是,则判定所述网站的域名未被劫持;否则,判定所述网站的域名被劫持;其中,所述第一IP查询请求指的是基于所述网站的域名的IP查询请求;所述第二IP查询请求指的是基于所述网站服务器IP的IP查询请求;
安装于网站中的IP查询响应模块,用于接收到IP查询请求后,将所述IP查询请求的发送方的IP地址作为客户端IP,并在针对该IP查询请求返回的响应信息中携带本网站的网站服务器IP、以及客户端IP。
较佳地,所述劫持检测模块具体包括:
第一IP查询请求处理单元,用于发送第一IP查询请求,从针对所述第一IP查询请求返回的响应信息中获取网站服务器IP和客户端IP并进行输出;
第二IP查询请求处理单元,用于接收到所述第一IP查询请求处理单元输出的网站服务器IP和客户端IP后,将接收的客户端IP作为待检测IP,并发送第二IP查询请求,检测针对所述第二IP查询请求返回的响应信息中的客户端IP与所述待检测IP是否一致;若是,则判定所述网站的域名未被劫持;否则,判定所述网站的域名被劫持。
较佳地,所述IP查询响应模块具体用于接收到IP查询请求后,将所述IP查询请求的发送方的IP地址作为客户端IP,并从配置文件中读取为所网站配置的各网站服务器IP;之后,返回携带各网站服务器IP和客户端IP的响应信息;以及
所述第二IP查询请求处理单元具体用于接收到所述第一IP查询请求处理单元输出的各网站服务器IP和客户端IP后,针对所述第一IP查询请求处理单元输出的每个网站服务器IP,发送基于该网站服务器IP的IP查询请求后,检测针对该IP查询请求返回的响应信息中的客户端IP与所述待检测IP是否相同;若所有的判定结果均为不同,则判定所述网站的域名被劫持;否则,判定所述网站的域名未被劫持。
较佳地,所述劫持检测模块还用于在发送第一IP查询请求之前,通过所述网页接收到所述用户通过所述网页的输入框输入的所述网站的域名。
较佳地,所述劫持检测模块还用于在判定所述网站的域名被劫持,或者,判定所述网站的域名未被劫持后,在所述网页中显示判定结果,以及所述待检测IP和针对所述第二IP查询请求返回的响应信息中的客户端IP。
较佳地,所述第一IP查询请求处理单元还用于在发送第一IP查询请求之前,通过所述网页接收到所述用户通过所述网页的输入框输入的所述网站的域名;以及
第二IP查询请求处理单元还用于在判定所述网站的域名被劫持,或者,判定所述网站的域名未被劫持后,在所述网页中显示判定结果,以及所述待检测IP和针对所述第二IP查询请求返回的响应信息中的客户端IP。
本发明的技术方案中,可以利用劫持检测模块101先后发送基于待检测的网站的域名的IP查询请求和基于待检测的网站的网站服务器IP的IP查询请求,将针对第一IP查询请求返回的响应信息中的客户端IP作为待检测IP,若待检测IP与针对第二IP查询请求返回的响应信息中的客户端IP一致,则可以判定待检测的网站的域名未被劫持,否则,判定待检测的网站的域名被劫持。相比现有的域名劫持检测方法,本发明的发明人提供的检测方案中不需要在客户端安装专用软件,使用浏览器访问嵌有劫持检测模块的特定网页即可在无需配置目标网站的域名与目标网站的IP地址的对应关系时对待检测的网站的域名是否被劫持进行检测,检测方法更简单,可行性更高。
附图说明
图1为本发明实施例的网站域名劫持检测***的结构示意图;
图2为本发明实施例的不存在域名劫持时网站域名劫持检测方法的流程示意图;
图3为本发明实施例的存在域名劫持时网站域名劫持检测方法的流程示意图;
图4为本发明实施例的劫持检测模块的内部结构示意图。
具体实施方式
以下将结合附图对本发明的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施例,都属于本发明所保护的范围。
本申请使用的“模块”、“***”等术语旨在包括与计算机相关的实体,例如但不限于硬件、固件、软硬件组合、软件或者执行中的软件。例如,模块可以是,但并不仅限于:处理器上运行的进程、处理器、对象、可执行程序、执行的线程、程序和/或计算机。举例来说,计算设备上运行的应用程序和此计算设备都可以是模块。一个或多个模块可以位于执行中的一个进程和/或线程内,一个模块也可以位于一台计算机上和/或分布于两台或更多台计算机之间。
本发明的发明人考虑到,可以先利用客户端向目标网站发送基于域名的IP查询请求,这样,目标网站在接收到第一IP查询请求后,将携带有第一IP查询请求的发送方的IP地址和目标网站的网站服务器IP的响应信息返回至客户端;继而,客户端直接向网站服务器IP所对应的目标网站发送基于网站服务器IP的IP查询请求,这样,目标网站可以直接接收到客户端发送的第二IP查询请求,即该网站接收的基于网站服务器IP的IP查询请求的发送方具体为客户端,继而,可以将携带有客户端的IP地址与该网站的网站服务器IP的响应信息返回至客户端。
期间,若在客户端向目标网站发送基于域名的IP查询请求后没有发生域名劫持,那么目标网站接收的基于域名的IP查询请求的发送方具体为客户端;若发生域名劫持,则目标网站接收的基于域名的IP查询请求的发送方将不是客户端,而是域名劫持者的网站。因此,客户端可以判定针对第一IP查询请求返回的响应信息中的发送方的IP地址与针对第二IP查询请求返回的响应信息中的客户端的IP地址是否一致,若一致,则可以判定目标网站的域名未被劫持;否则,判定目标网站的域名被劫持。相比现有的域名劫持检测方法,本发明的发明人提供的检测方案中不需要在客户端安装专用软件,使用浏览器访问嵌有劫持检测模块的特定网页即可检测目标网站的域名是否被劫持,检测方法更简单、可行性更高。
下面结合附图详细说明本发明的技术方案。
本发明实施例提供了一种网站域名劫持检测***,如图1所示,包括:嵌于客户端浏览器所打开的网页中的劫持检测模块101,以及安装于待检测的网站中的IP查询响应模块102。
其中,劫持检测模块101可以通过该网页接收到用户通过该网页的输入框输入的待检测的网站的域名,之后,可以发送基于待检测的网站的域名的IP查询请求、以及基于待检测的网站的网站服务器IP的IP查询请求。
IP查询响应模块102在接收到IP查询请求后,将接收的IP查询请求的发送方的IP地址作为客户端IP,并在针对该IP查询请求返回的响应信息中携带本网站的网站服务器IP、以及客户端IP。
在网站域名未被劫持的情况下,上述网站域名劫持检测***进行域名劫持检测的具体过程,流程如图2所示,包括如下步骤:
S201:对于待检测的网站,嵌于客户端浏览器所打开的网页中的劫持检测模块101发送基于该网站的域名的IP查询请求(本文中也可以称为第一IP查询请求)。
具体地,可以针对待检测的网站,预先确定一个嵌入有劫持检测模块101的特定网页,该网页在客户端的浏览器中打开之后,嵌于该网页中的劫持检测模块101可以通过该网页接收到用户通过网页的输入框输入的待检测的网站的域名;且劫持检测模块101可以向该待检测的网站发送第一IP查询请求(比如http://somedomain.cn/queryip.php)。其中,嵌入劫持检测模块101的网页具体可以是该待检测的网站内的一个网页,也可以是第三方提供的网页,具体是由管理人员来确定的。其中,第一IP查询请求指的是基于网站的域名的IP查询请求。
S202:安装于待检测的网站中的IP查询响应模块102接收到IP查询请求后,将该IP查询请求的发送方的IP地址作为客户端IP,并在针对该IP查询请求返回的响应信息中携带本网站的网站服务器IP、以及客户端IP。
具体地,在劫持检测模块101发送基于待检测的网站的域名的IP查询请求之后,DNS域名解析服务器可以对待检测的网站的域名进行解析,解析出待检测的网站的域名所对应的IP地址,使得劫持检测模块101发送的基于待检测的网站的域名的IP查询请求能够发送至解析出的IP地址所对应的网站。
若DNS域名解析服务器在对待检测的网站的域名进行解析的过程中未发生域名劫持,即在网站域名未被劫持的情况下,解析出的IP地址具体为待检测的网站的网站服务器IP;继而,安装于待检测的网站中的IP查询响应模块102可以接收到基于该网站的域名的IP查询请求,并将基于该网站的域名的IP查询请求的发送方的IP地址作为客户端IP。在网站域名未被劫持的情况下,基于该网站的域名的IP查询请求的发送方的IP地址具体是指客户端的IP地址。
在获取待检测的网站的服务器的IP地址(本文中也可以称为网站服务器IP)之后,在针对接收的基于该网站的域名的IP查询请求所返回的响应信息(本文中也可以称为第一响应信息)中可以携带本网站的网站服务器IP、以及客户端IP。
实际应用中,若待检测的网站的服务器通过NAT、TUN或代理模式提供对外服务,将会存在多个对外提供服务的IP,因此,安装于待检测的网站中的IP查询响应模块102在从接收的IP查询请求中获取发送方的IP地址后,可以从配置文件中读取为待检测的网站配置的各网站服务器IP,之后,返回携带各网站服务器IP和客户端IP的响应信息。也就是说,针对该IP查询请求返回的第一响应信息中携带的本网站的网站服务器IP具体为多个。
S203:劫持检测模块101从接收的第一响应信息中获取网站服务器IP和客户端IP,将获取的客户端IP作为待检测IP后,发送基于获取的网站服务器IP的IP查询请求(本文中也可以称为第二IP查询请求)。
具体地,劫持检测模块101接收到针对基于待检测的网站的域名的IP查询请求所返回的响应信息后,可以从接收的响应信息中获取网站服务器IP和客户端IP。由于目前还无法判定待检测的网站的域名是否被劫持,因此,可以将获取的客户端IP作为待检测IP。继而,为了进一步判定出待检测的网站的域名是否被劫持,劫持检测模块101根据获取的网站服务器IP,向网站服务器IP所对应的待检测的网站直接发送第二IP查询请求;其中,第二IP查询请求指的是基于网站服务器IP的IP查询请求。
实际应用中,当接收的第一响应信息中的网站服务器IP为多个时,针对从第一响应信息中获取的每个网站服务器IP,劫持检测模块101发送基于该网站服务器IP的IP查询请求。
S204:IP查询响应模块102接收到基于网站服务器IP的IP查询请求后,将该IP查询请求的发送方的IP地址作为客户端IP,并在针对该IP查询请求返回的响应信息中携带本网站的网站服务器IP、以及客户端IP。
具体地,IP查询响应模块102接收到每个基于网站服务器IP的IP查询请求后,可以获取该IP查询请求的发送方的IP地址。其中,由于接收的基于网站服务器IP的IP查询请求具体是由持检测模块101根据网站服务器IP向待检测的网站直接发送的,因此,获取的发送方的IP地址(即客户端IP)具体是指打开劫持检测模块101所嵌入的网页的客户端的IP地址。继而,在获取发送方的IP地址之后,可以在针对基于网站服务器IP的IP查询请求返回的响应信息(本文中也可以称为第二响应信息)中可以携带网站的网站服务器IP、以及客户端的IP地址。
S205:若劫持检测模块101检测接收的针对第二IP查询请求返回的响应信息中的客户端IP与待检测IP一致,则判定待检测的网站的域名未被劫持。
具体地,劫持检测模块101接收到IP查询响应模块102返回的针对基于网站服务器IP的IP查询请求返回的响应信息之后,可以从接收的第二响应信息中获取网站服务器IP和客户端IP;进而,检测第二响应信息中的客户端IP与待检测IP是否一致,若是,则判定待检测的网站的域名未被劫持。
实际应用中,若劫持检测模块101检测接收的第二响应信息中的客户端IP与待检测IP一致,则表明在嵌于客户端浏览器所打开的网页中的劫持检测模块101发送基于待检测的域名的IP查询请求后,DNS域名解析服务器所解析出的IP地址正是待检测的网站的服务器的IP地址,即劫持检测模块101发送的IP查询请求直接发送到待检测的网站的服务器。因此,可以判定待检测的网站的域名未被劫持。
其中,劫持检测模块101针对从第一响应信息中获取的每个网站服务器IP,发送基于该网站服务器IP的IP查询请求后,检测针对该IP查询请求的响应信息中的客户端IP与待检测IP是否相同。在针对每个网站服务器IP,检测第二响应信息中的客户端IP与待检测IP是否相同后,若所有的判定结果均为不同,则可以判定待检测的网站的域名被劫持;否则,判定待检测的网站的域名未被劫持。
本发明实施例中,若DNS域名解析服务器在对待检测的网站的域名进行解析的过程中发生了域名劫持,则其解析出待检测的网站的域名所对应的IP地址并不是待检测的网站的网站服务器IP,劫持检测模块101发送的基于待检测的网站的域名的IP查询请求并不能直接发送至待检测的网站的IP查询响应模块102。在这种情况下,即在待检测的网站的域名被劫持的情况下,上述网站域名劫持检测***进行域名劫持检测的具体过程,流程如图3所示,包括如下步骤:
S301:对于待检测的网站,嵌于客户端浏览器所打开的网页中的劫持检测模块101发送基于该网站的域名的IP查询请求。
S302:域名劫持者的网站服务器将接收到的基于网站的域名的IP查询请求向待检测的网站服务器转发。
具体地,在劫持检测模块101发送基于待检测的网站的域名的IP查询请求之后,DNS域名解析服务器可以对待检测的网站的域名进行解析,解析出域名劫持者的网站服务器的IP地址。继而,域名劫持者的网站可以接收到劫持检测模块101发送的基于待检测的网站的域名的IP查询请求,并根据待检测的网站的服务器的IP地址,将接收的基于待检测的网站的域名的IP查询请求向待检测的网站服务器转发。
S303:IP查询响应模块102接收到IP查询请求后,将该IP查询请求的发送方的IP地址作为客户端IP,并在针对该IP查询请求返回的响应信息中携带本网站的网站服务器IP、以及客户端IP。
具体地,IP查询响应模块102接收到域名劫持者的网站服务器发送的IP查询请求后,获取该IP查询请求的发送方的IP地址,即域名劫持者的网站服务器的IP地址;并根据域名劫持者的网站服务器的IP地址,将获取的域名劫持者的网站服务器的IP地址作为客户端IP后,针对接收的IP查询请求向域名劫持者的网站返回携带有IP查询响应模块102所安装的网站的网站服务器IP、以及客户端IP。
S304:域名劫持者的网站服务器将接收到的携带有IP查询响应模块102所安装的网站的网站服务器IP、以及域名劫持者的网站服务器的IP地址的第一响应信息向嵌于客户端浏览器所打开的网页中的劫持检测模块转发。
S305:劫持检测模块101从接收的第一响应信息中获取网站服务器IP和客户端IP,将获取的客户端IP作为待检测IP后,发送基于获取的网站服务器IP的IP查询请求。
S306:IP查询响应模块102接收到基于网站服务器IP的IP查询请求后,将该IP查询请求的发送方的IP地址作为客户端IP,并在针对该IP查询请求返回的响应信息中携带本网站的网站服务器IP、以及客户端IP。
S307:若劫持检测模块101检测接收的针对第二IP查询请求返回的响应信息中的客户端IP与待检测IP不一致,则判定待检测的网站的域名被劫持。
实际应用中,若劫持检测模块101检测接收的第二响应信息中的客户端IP与待检测IP不一致,则表明在嵌于客户端浏览器所打开的网页中的劫持检测模块101发送基于待检测的域名的IP查询请求后,DNS域名解析服务器所解析出的IP地址不是待检测的网站的服务器的IP地址,而是域名劫持者的网站的IP地址。也就是说,劫持检测模块101发送的IP查询请求通过域名劫持者的网站转发到待检测的网站的服务器。因此,可以判定待检测的网站的域名被劫持。
这样,通过上述方法,在客户端无需安装专用软件,且在本地DNS域名解析服务器中无需配置待检测的网站的IP地址与域名的对应关系的情况下,通过嵌于客户端浏览器所打开的网页中的劫持检测模块101两次接收的客户端IP是否一致即可判定待检测的网站的域名是否被劫持,检测方法简单易行,相较于现有的域名劫持检测方法,大大提高了可行性。
进一步地,劫持检测模块101在判定待检测的网站的域名未被劫持,或者待检测的网站的域名被劫持后,劫持检测模块101可以在其所嵌入的网页中显示判定结果、以及待检测IP和针对第二IP查询请求返回的响应信息中的客户端IP。这样,在判定待检测的网站的域名被劫持后,用户可以根据待检测IP,确定出域名劫持者的网站,并对其发出警告。同时,也可以采用现有的技术手段引导相关程序对待检测的网站服务进行功能降级处理,或在后台直接将判定结果反馈给数据收集程序,以便后续做相关处理。
本发明实施例中,劫持检测模块101的内部结构,如图4所示,具体包括:第一IP查询请求处理单元401、第二IP查询请求处理单元402。
其中,嵌于客户端浏览器所打开的网页中的第一IP查询请求处理单元401用于发送基于待检测的网站的域名的IP查询请求,接收IP查询响应模块102针对基于待检测的网站的域名的IP查询请求所返回的响应信息后,从接收的第一响应信息中获取网站服务器IP和客户端IP进行输出。其中,第一IP查询请求处理单元401在发送基于所述网站的域名的IP查询请求之前,还可以通过其所嵌入的网页结合搜到用户通过该网页的输入框输入的待检测的网站的域名。
第二IP查询请求处理单元402用于接收到第一IP查询请求处理单元401输出的网站服务器IP和客户端IP后,将接收的客户端IP作为待检测IP,并发送基于接收的网站服务器IP的IP查询请求,接收IP查询响应模块102针对基于网站服务器IP的IP查询请求所返回的响应信息后,检测接收的第二响应信息中的客户端IP与待检测IP是否一致;若是,则判定待检测的网站的域名未被劫持;否则,判定待检测的网站的域名被劫持。
其中,当IP查询响应模块102返回的第二响应信息中的网站服务器IP为多个时,第一IP查询请求处理单元401输出的网站服务器IP也为多个。这样,第二IP查询请求处理单元402可以接收到第一IP查询请求处理单元401输出的各网站服务器IP和客户端IP后,针对第一IP查询请求处理单元401输出的每个网站服务器IP,发送基于该网站服务器IP的IP查询请求后,检测针对该IP查询请求返回的响应信息中的客户端IP与待检测IP是否相同;若所有的判定结果均为不同,则判定待检测的网站的域名被劫持;否则,判定待检测的网站的域名未被劫持。
进一步地,第二IP查询请求处理单元402在判定待检测的网站的域名被劫持,或者,判定待检测的网站的域名未被劫持后,在其所嵌入的网页中显示判定结果,以及待检测IP和针对第二IP查询请求返回的响应信息中的客户端IP。
本发明的技术方案中,可以利用劫持检测模块101先后发送基于待检测的网站的域名的IP查询请求和基于待检测的网站的网站服务器IP的IP查询请求,将针对基于网站的域名的IP查询请求返回的响应信息中的客户端IP作为待检测IP,若待检测IP与针对基于的网站服务器IP返回的响应信息中的客户端IP一致,则可以判定待检测的网站的域名未被劫持,否则,判定待检测的网站的域名被劫持。相比现有的域名劫持检测方法,本发明的发明人提供的检测方案中不需要在客户端安装专用软件,使用浏览器访问嵌有劫持检测模块的特定网页即可在无需配置目标网站的域名与目标网站的IP地址的对应关系时对待检测的网站的域名是否被劫持进行检测,检测方法更简单,
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种网站域名劫持检测方法,其特征在于,包括:
对于待检测的网站,嵌于客户端浏览器所打开的网页中的劫持检测模块发送第一IP查询请求,并从针对所述第一IP查询请求返回的响应信息中获取网站服务器IP和客户端IP,将获取的客户端IP作为待检测IP;其中,所述第一IP查询请求指的是基于所述网站的域名的IP查询请求;
所述劫持检测模块发送第二IP查询请求,并检测针对所述第二IP查询请求返回的响应信息中的客户端IP与所述待检测IP是否一致;若是,则判定所述网站的域名未被劫持;否则,判定所述网站的域名被劫持;
其中,所述第二IP查询请求指的是基于所述网站服务器IP的IP查询请求。
2.如权利要求1所述的方法,其特征在于,在所述劫持检测模块发送第一IP查询请求之前,还包括:
所述劫持检测模块通过所述网页接收到用户通过所述网页的输入框输入的所述网站的域名。
3.如权利要求1所述的方法,其特征在于,所述针对所述第一IP查询请求返回的响应信息中的网站服务器IP为多个;以及
所述劫持检测模块发送第二IP查询请求,并检测针对所述第二IP查询请求返回的响应信息中的客户端IP与所述待检测IP是否一致;若是,判定所述网站的域名未被劫持,否则,判定所述网站的域名被劫持,具体包括:
所述劫持检测模块针对从针对所述第一IP查询请求返回的响应信息中获取的每个网站服务器IP,发送基于该网站服务器IP的IP查询请求后,检测针对该IP查询请求返回的响应信息中的客户端IP与所述待检测IP是否相同;
若所有的判定结果均为不同,则判定所述网站的域名被劫持;否则,判定所述网站的域名未被劫持。
4.如权利要求1-3任一所述的方法,其特征在于,在所述判定所述网站的域名被劫持,或者,判定所述网站的域名未被劫持后,还包括:
所述劫持检测模块在所述网页中显示判定结果,以及所述待检测IP和针对所述第二IP查询请求返回的响应信息中的客户端IP。
5.一种网站域名劫持检测***,其特征在于,包括:
嵌于客户端浏览器所打开的网页中的劫持检测模块,用于发送第一IP查询请求,并从针对所述第一IP查询请求返回的响应信息中获取网站服务器IP和客户端IP,将获取的客户端IP作为待检测IP;之后,发送第二IP查询请求,并检测针对所述第二IP查询请求返回的响应信息中的客户端IP与所述待检测IP是否一致;若是,则判定所述网站的域名未被劫持;否则,判定所述网站的域名被劫持;其中,所述第一IP查询请求指的是基于所述网站的域名的IP查询请求;所述第二IP查询请求指的是基于所述网站服务器IP的IP查询请求;
安装于网站中的IP查询响应模块,用于接收到IP查询请求后,将所述IP查询请求的发送方的IP地址作为客户端IP,并在针对该IP查询请求返回的响应信息中携带本网站的网站服务器IP、以及客户端IP。
6.如权利要求5所述的***,其特征在于,所述劫持检测模块具体包括:
第一IP查询请求处理单元,用于发送第一IP查询请求,从针对所述第一IP查询请求返回的响应信息中获取网站服务器IP和客户端IP并进行输出;
第二IP查询请求处理单元,用于接收到所述第一IP查询请求处理单元输出的网站服务器IP和客户端IP后,将接收的客户端IP作为待检测IP,并发送第二IP查询请求,检测针对所述第二IP查询请求返回的响应信息中的客户端IP与所述待检测IP是否一致;若是,则判定所述网站的域名未被劫持;否则,判定所述网站的域名被劫持。
7.如权利要求6所述的***,其特征在于,
所述IP查询响应模块具体用于接收到IP查询请求后,将所述IP查询请求的发送方的IP地址作为客户端IP,并从配置文件中读取为待检测的网站配置的各网站服务器IP;之后,返回携带各网站服务器IP和客户端IP的响应信息;以及
所述第二IP查询请求处理单元具体用于接收到所述第一IP查询请求处理单元输出的各网站服务器IP和客户端IP后,针对所述第一IP查询请求处理单元输出的每个网站服务器IP,发送基于该网站服务器IP的IP查询请求后,检测针对该IP查询请求返回的响应信息中的客户端IP与所述待检测IP是否相同;若所有的判定结果均为不同,则判定所述网站的域名被劫持;否则,判定所述网站的域名未被劫持。
8.如权利要求5-7任一所述的***,其特征在于,
所述劫持检测模块还用于在发送第一IP查询请求之前,通过所述网页接收到用户通过所述网页的输入框输入的所述网站的域名。
9.如权利要求8所述的***,其特征在于,
所述劫持检测模块还用于在判定所述网站的域名被劫持,或者,判定所述网站的域名未被劫持后,在所述网页中显示判定结果,以及所述待检测IP和针对所述第二IP查询请求返回的响应信息中的客户端IP。
10.如权利要求9所述的***,其特征在于,
所述第一IP查询请求处理单元还用于在发送第一IP查询请求之前,通过所述网页接收到所述用户通过所述网页的输入框输入的所述网站的域名;以及
第二IP查询请求处理单元还用于在判定所述网站的域名被劫持,或者,判定所述网站的域名未被劫持后,在所述网页中显示判定结果,以及所述待检测IP和针对所述第二IP查询请求返回的响应信息中的客户端IP。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410307884.5A CN104125215B (zh) | 2014-06-30 | 2014-06-30 | 网站域名劫持检测方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410307884.5A CN104125215B (zh) | 2014-06-30 | 2014-06-30 | 网站域名劫持检测方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104125215A CN104125215A (zh) | 2014-10-29 |
| CN104125215B true CN104125215B (zh) | 2018-01-05 |
Family
ID=51770479
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410307884.5A Active CN104125215B (zh) | 2014-06-30 | 2014-06-30 | 网站域名劫持检测方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104125215B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105160247B (zh) * | 2015-09-30 | 2019-05-31 | 北京奇虎科技有限公司 | 一种识别浏览器被劫持的方法 |
| WO2017054731A1 (zh) * | 2015-09-30 | 2017-04-06 | 北京奇虎科技有限公司 | 处理被劫持浏览器的方法及设备 |
| CN107172006B (zh) * | 2017-03-22 | 2020-06-26 | 深信服科技股份有限公司 | 检测无线网络恶意性的方法及装置 |
| CN107135236A (zh) * | 2017-07-06 | 2017-09-05 | 广州优视网络科技有限公司 | 一种目标域名劫持的检测方法和*** |
| CN111726322B (zh) * | 2019-03-19 | 2023-07-07 | 国家计算机网络与信息安全管理中心 | 一种文件篡改劫持的检测方法、装置及存储介质 |
| WO2020206662A1 (zh) * | 2019-04-11 | 2020-10-15 | 深圳市欢太科技有限公司 | 浏览器反劫持方法、装置、电子设备及存储介质 |
| CN110071936B (zh) * | 2019-05-05 | 2021-10-26 | 苏州阳野自动化***有限公司 | 一种识别代理ip的***及方法 |
| CN112287252B (zh) * | 2020-10-26 | 2023-07-21 | 平安科技(深圳)有限公司 | 网站域名劫持检测方法、装置、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852332A (zh) * | 2006-04-10 | 2006-10-25 | 王立俊 | 一种服务器端域名解析错误控制方法及*** |
| CN102685074A (zh) * | 2011-03-14 | 2012-09-19 | 国基电子(上海)有限公司 | 防御网络钓鱼的网络通信***及方法 |
| CN102833262A (zh) * | 2012-09-04 | 2012-12-19 | 珠海市君天电子科技有限公司 | 基于whois信息的钓鱼网站收集、鉴定方法和*** |
| CN103237089A (zh) * | 2013-05-16 | 2013-08-07 | 广东睿江科技有限公司 | 基于dns轮询方式网页的修复方法、装置和服务器 |
| CN103391272A (zh) * | 2012-05-08 | 2013-11-13 | 深圳市腾讯计算机***有限公司 | 检测虚假攻击源的方法及*** |
| CN103607385A (zh) * | 2013-11-14 | 2014-02-26 | 北京奇虎科技有限公司 | 基于浏览器进行安全检测的方法和装置 |
| WO2014036801A1 (zh) * | 2012-09-07 | 2014-03-13 | 中国科学院计算机网络信息中心 | 一种不依赖样本的钓鱼网站检测方法 |
-
2014
- 2014-06-30 CN CN201410307884.5A patent/CN104125215B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852332A (zh) * | 2006-04-10 | 2006-10-25 | 王立俊 | 一种服务器端域名解析错误控制方法及*** |
| CN102685074A (zh) * | 2011-03-14 | 2012-09-19 | 国基电子(上海)有限公司 | 防御网络钓鱼的网络通信***及方法 |
| CN103391272A (zh) * | 2012-05-08 | 2013-11-13 | 深圳市腾讯计算机***有限公司 | 检测虚假攻击源的方法及*** |
| CN102833262A (zh) * | 2012-09-04 | 2012-12-19 | 珠海市君天电子科技有限公司 | 基于whois信息的钓鱼网站收集、鉴定方法和*** |
| WO2014036801A1 (zh) * | 2012-09-07 | 2014-03-13 | 中国科学院计算机网络信息中心 | 一种不依赖样本的钓鱼网站检测方法 |
| CN103237089A (zh) * | 2013-05-16 | 2013-08-07 | 广东睿江科技有限公司 | 基于dns轮询方式网页的修复方法、装置和服务器 |
| CN103607385A (zh) * | 2013-11-14 | 2014-02-26 | 北京奇虎科技有限公司 | 基于浏览器进行安全检测的方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 基于Web的DNS欺骗技术研究;张尚韬;《大连大学学报》;20120625(第3期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104125215A (zh) | 2014-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104125215B (zh) | 网站域名劫持检测方法和*** | |
| CN102480490B (zh) | 一种用于防止csrf攻击的方法和设备 | |
| US9648033B2 (en) | System for detecting the presence of rogue domain name service providers through passive monitoring | |
| CN103023918B (zh) | 为多个网络服务统一提供登录的方法、***和装置 | |
| US9215242B2 (en) | Methods and systems for preventing unauthorized acquisition of user information | |
| US10552838B2 (en) | System and method for evaluating fraud in online transactions | |
| CN104767775B (zh) | 网页应用消息推送方法及*** | |
| CN104184832B (zh) | 网络应用中的数据提交方法及装置 | |
| CN106789939B (zh) | 一种钓鱼网站检测方法和装置 | |
| CN104753730B (zh) | 一种漏洞检测的方法及装置 | |
| CN108696490A (zh) | 账号权限的识别方法及装置 | |
| CN105072123B (zh) | 一种集群环境下的单点登陆退出方法及*** | |
| CN101304418A (zh) | 客户端侧经由提交者核查来防止偷渡式域欺骗 | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN104168316B (zh) | 一种网页访问控制方法、网关 | |
| CN105635064B (zh) | Csrf攻击检测方法及装置 | |
| CN106302308A (zh) | 一种信任登录方法和装置 | |
| CN108063833B (zh) | Http dns解析报文处理方法及装置 | |
| CN111106983B (zh) | 一种检测网络连通性的方法及装置 | |
| CN109660552A (zh) | 一种将地址跳变和WAF技术相结合的Web防御方法 | |
| CN108322427A (zh) | 一种对访问请求进行风控的方法与设备 | |
| CN106550056A (zh) | 一种域名解析方法及装置 | |
| CN107196936A (zh) | 接口转发方法、***、计算机设备和存储介质 | |
| CN109361574A (zh) | 基于JavaScript脚本的NAT检测方法、***、介质和设备 | |
| CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20141029 Assignee: XINGCHAO SHANYAO MOBILE NETWORK TECHNOLOGY (CHINA) Co.,Ltd. Assignor: SINA.COM TECHNOLOGY (CHINA) Co.,Ltd. Contract record no.: X2021980003903 Denomination of invention: Website domain name hijacking detection method and system Granted publication date: 20180105 License type: Common License Record date: 20210524 |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230423 Address after: Room 501-502, 5/F, Sina Headquarters Scientific Research Building, Block N-1 and N-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Patentee after: Sina Technology (China) Co.,Ltd. Address before: 100080, International Building, No. 58 West Fourth Ring Road, Haidian District, Beijing, 20 floor Patentee before: Sina.com Technology (China) Co.,Ltd. |