[发明专利]域名劫持发现的方法

说明书

本发明公开了一种域名劫持发现的方法，通过部署终端监控系统、将需要监测的URL通过终端监控系统、第三方付费监控系统分别监测数据进行记录，将分析结果汇总上报至中心分析系统，为该域名形成一个统一的监测汇总数据；通过比对数据发现DNS解析层和应用层的劫持现象，结构简单，部署方便，在较短的时间内能够迅速定位劫持发生的位置，并且为后续的防劫持处理提供数据支撑，十分利于推广应用。

技术领域

本发明涉及互联网监控技术领域，尤其涉及一种域名劫持发现的方法。

背景技术

随着科技的发展，社会的进步，人们对于网络的依赖程度也越来越高。

在互联网技术飞速发展的今天，网络环境也呈现出多样化的趋势，部分小区宽带、中小运营商，为降低用户请求的出网率，在网络内部增加反向代理服务器，并通过篡改用户的DNS解析结果、强制302重定向，达到将用户的请求都引流到内部反向代理服务器的目的。这种情况下，会导致用户访问内容的不可靠性以及降低用户访问成功率等问题，这就是通常所说的DNS劫持和302强制劫持。

用户访问互联网时，通常需要在浏览器中输入域名信息，如www.baidu.com，而不是服务器的IP地址。而传统的HTTP/HTTPS请求过程是将访问的域名从DNS系统解析获取对应的服务器IP，然后请求发起方将通过DNS解析得到的IP作为服务器端IP，来发起后续的HTTP/HTTPS请求。终端用户的DNS解析结果，决定了用户的后续请求会访问到的服务器IP，如果该环节解析结果异常，则会导致用户访问异常。

在现在互联网普及的社会环境中，劫持现象时有发生，但是目前缺乏有效的发现手段，而且有些域名采用了智能DNS解析方式或者通过CDN进行加速，在不同的省份及不同的运营商，其解析出来的IP地址各不相同，因此域名使用方即便在发现域名劫持现象以后，也很难在较短的时间内迅速定位劫持发生的位置。

发明内容

本发明的目的就在于为了解决上述问题和缺陷，提供一种域名劫持发现的方法，旨在及时发现此类DNS解析劫持以及302劫持，为后续的防劫持处理提供数据支撑。

本发明通过以下技术方案来实现上述目的：

一种域名劫持发现的方法，其步骤为：

Q1：部署终端监控系统，用于使服务器端模拟终端用户发起http请求，并记录包括DNS解析结果、响应头信息、保存文件内容的信息在内的指标；

Q2：终端监控系统将需要监测的URL通过终端监控系统，以设定的频率进行全网模拟请求，并对监测数据进行记录，并在本地进行对比，将分析结果汇总上报至中心分析系统；

其中，监测数据包含DNS解析结果、服务端响应的http-code、content-length、文件的 md5；

Q3：第三方付费监控系统以设定的频率对监控URL进行监测，监测全网每个划分区域的每个运营商对于Q2步骤所述的监测数据也进行记录，并做汇总记录，并将结果汇总上报至中心分析系统；

Q4：中心分析系统将步骤Q2和步骤Q3监测到的数据进行汇总，为该域名形成一个统一的监测汇总数据；

Q5：劫持发现之DNS解析层

Q51：中心分析系统根据两种监测系统对域名的解析结果，汇总生成一份实际的全国各地区及运营商维度组合的域名解析级别的IP覆盖关系第一数据；

Q52：中心分析系统通过实时访问日志系统的分析，汇总生成一份全国各地区及运营商维度组合的用户实际访问级别的IP覆盖关系第二数据；

Q53：中心分析系统通过调度系统，生成一份全国各地区及运营商维度组合的最标准的IP覆盖关系第三数据；

Q54：中心分析系统将第一数据、第二数据分别和第三数据做校验比对，