[发明专利]域名劫持发现的方法

摘要

本发明公开了一种域名劫持发现的方法，通过部署终端监控系统、将需要监测的URL通过终端监控系统、第三方付费监控系统分别监测数据进行记录，将分析结果汇总上报至中心分析系统，为该域名形成一个统一的监测汇总数据；通过比对数据发现DNS解析层和应用层的劫持现象，结构简单，部署方便，在较短的时间内能够迅速定位劫持发生的位置，并且为后续的防劫持处理提供数据支撑，十分利于推广应用。

主权项

一种域名劫持发现的方法，其特征在于，其步骤为：Q1：部署终端监控系统，用于使服务器端模拟终端用户发起http请求，并记录包括DNS解析结果、响应头信息、保存文件内容的信息在内的指标；Q2：终端监控系统将需要监测的URL通过终端监控系统，以设定的频率进行全网模拟请求，并对监测数据进行记录，并在本地进行对比，将分析结果汇总上报至中心分析系统；其中，监测数据包含DNS解析结果、服务端响应的http‑code、content‑length、文件的md5；Q3：第三方付费监控系统以设定的频率对监控URL进行监测，监测全网每个划分区域的每个运营商对于Q2步骤所述的监测数据也进行记录，并做汇总记录，并将结果汇总上报至中心分析系统；Q4：中心分析系统将步骤Q2和步骤Q3监测到的数据进行汇总，为该域名形成一个统一的监测汇总数据；Q5：劫持发现之DNS解析层Q51：中心分析系统根据两种监测系统对域名的解析结果，汇总生成一份实际的全国各地区及运营商维度组合的域名解析级别的IP覆盖关系第一数据；Q52：中心分析系统通过实时访问日志系统的分析，汇总生成一份全国各地区及运营商维度组合的用户实际访问级别的IP覆盖关系第二数据；Q53：中心分析系统通过调度系统，生成一份全国各地区及运营商维度组合的最标准的IP覆盖关系第三数据；Q54：中心分析系统将第一数据、第二数据分别和第三数据做校验比对，当第一数据和第三数据某些地区不一致，并且第一数据的不一致地区的IP不存在第三数据中，则认为有劫持；当第二数据和第三数据某些地区不一致，则认为不一致的地区存在调度不精准或者DNS缓存时间过长问题，此时需要针对性的修正第三数据，已避免造成对第一数据的误判。Q6：劫持发现之应用层中心分析系统将终端监控系统和第三方付费监控系统上报的URL探测结果、即Q2、Q3步骤分别得到的汇总记录结果进行分析整合，判断URL探测的响应信息是否一致，如果Q2、Q3步骤分别得到的汇总记录结果一致，则认为正常；如果不一致，则认为存在劫持现象，其中，分析整合的内容包括：判断URL探测的响应头信息中的http‑code、content‑length、文件md5信息。