[发明专利]域名劫持的防御保障方法

摘要

本发明公开了一种域名劫持的防御保障方法，在http请求过程中进行防范，在客户请求端向服务器端发送GET/POST请求、服务器端与客户请求端开始交互数据中增加校验机制，结构简单，部署方便，既不增加服务器等硬件条件的成本，又能够有效确保DNS解析结果的正确性，确保服务器端的可靠性，并且为后续的防劫持处理提供数据支撑，十分利于推广应用，本发明还提供上述技术方案的加密方法，客户请求端在发起请求时将URL、请求头信息进行加密，由于客户请求端和服务器端约定了对URL、host、扩展名、特定的头信息加解密处理，因此劫持者无法通过常规的方式获取上述信息，因而大大降低了域名被劫持的可能性。

主权项

一种域名劫持的防御保障方法，其特征在于，在http请求过程中进行防范，在下述Q3、Q4步骤中增加校验机制，其具体为：Q1：客户请求端通过浏览器输入服务器端的URL，并通过客户请求端的LOCAL DNS获取到服务器端的IP地址；Q2：客户请求端在获取到服务器端的IP地址以后，尝试向服务器端IP发起TCP三次握手并建立连接；Q3：连接建立起来以后，客户请求端向服务器端发起GET/POST请求；Q4：服务器端接收到客户请求端的GET/POST请求以后，与客户请求端开始交互数据，并校验是否有域名劫持现象，如有劫持现象将做丢弃和、或重试处理；Q5：传输完毕后断开连接；其中，Q3步骤具体为：客户请求端向服务器端发送GET/POST等请求，并携带一个全局唯一的认证字符串，客户请求端将请求和认证字符串一并发送给服务器端；所述认证字符串由客户请求端和服务器端共同协商，其属性为一个特殊的header字段或字符串；每个字符串均由十六进制的时间戳和32位随机字符串组成，通过MD5算法计算得出；使得任何两个认证字符串之间都是不同的；Q4步骤具体为：服务器端与客户请求端开始交互数据，服务器端接收到认证字符串后，将该认证字符串增加到响应header中、并返回给客户请求端；客户请求端在得到认证字符串的字段值以后，和请求发起时的认证字符串的字段值进行比较，如果一致，则为合法，如果不一致，则为非法。