[发明专利]客户端侧经由提交者核查来防止偷渡式域欺骗

说明书

技术领域

本发明涉及计算机系统，且更明确地说，涉及计算机安全性。 

背景技术

廉价的宽带路由器是人们用以在家中创建内部(有时为无线)网络的常用方式。遗憾的是，通过访问恶意网页，人们可在无意中使得路由器受到恶意攻击。可相对于客户端侧路由器发起的一类恶意攻击被称为偷渡式域欺骗(drive-by pharming)攻击，其可导致拒绝服务、感染恶意代码或身份失窃以及其它恶意结果。 

发明内容

根据本发明的一个实施例，一种用于保护客户端计算机系统免受偷渡式域欺骗攻击的方法包括：在将客户端计算机系统上的HTTP请求释放到路由器之前代理所述HTTP请求，所述HTTP请求包括HTTP标头；确定所述HTTP标头是否识别对应于可路由的公用IP地址的提交者URL和对应于不可路由的专用IP地址的目标URL；在确定HTTP标头识别对应于可路由的公用IP地址的提交者URL和对应于不可路由的专用IP地址的目标URL时，阻断所述HTTP请求；以及提供告警通知。在确定HTTP标头未识别对应于可路由的公用IP地址的提交者URL和对应于不可路由的专用IP地址的目标URL时，释放所述HTTP请求。 

根据本发明的另一实施例，所述方法进一步包括：在将对所释放HTTP请求的HTTP响应释放到网站浏览器之前代理所述HTTP响应，确定所述HTTP响应的内容类型；确定所述内容类型是否为类型文本/html或类型脚本；其中在确定内容类型是类型文本/html或类型脚本时，修改所述内容以防止恶意活动；以及释放所述HTTP响应。在确定内容类型不是类型文本/html或类型脚本时，释放所述HTTP响应。 

当内容类型是类型文本/html时，修改所述内容以防止恶意活动包括：针对每一HTML参考URL剖析HTML内容；确定每一HTML参考URL是否对应于不可路由的专用IP地址；其中在确定HTML参考URL对应于不可路由的专用IP地址时，用安全URL替代HTML参考URL；以及释放所述HTTP响应。在一些实施例中，告警用户。 

当内容类型是类型脚本时，修改所述内容以防止恶意活动包括：在内容顶部在任何脚本之前注入JavaScript覆盖，所述JavaScript覆盖定义安全XMLHttpRequest和安全ActiveX替代对象；针对脚本而并非JavaScript覆盖剖析所述内容；用安全XMLHttpRequest替代每一脚本中的每一XMLHttpRequest；用ActiveX替代对象替代每一脚本中的每一对象标签；以及释放所述HTTP响应。 

结合附图阅读以下详细描述可最佳理解本文描述的实施例。 

附图说明

图1是根据本发明一个实施例的计算机系统的图，所述计算机系统包括在客户端计算机系统上执行的客户端反域欺骗应用程序。 

图2说明根据本发明一个实施例的用于保护客户端计算机系统以免受偷渡式域欺骗攻击的方法的流程图。 

图3A和3B说明根据本发明另一实施例的用于保护客户端计算机系统免受偷渡式域欺骗攻击的方法的流程图。 

图4A到4D说明根据本发明另一实施例的用于保护客户端计算机系统免受偷渡式域欺骗攻击的方法的流程图。 

在附图和详细描述中始终使用共用参考数字来指示相同元件。 

具体实施方式

在利用路由器的典型家用网络中，用户将针对资源(例如网页的URL)的请求输入到家用网络的客户端计算机系统上的网站浏览器中。所述网站浏览器产生针对所述网页的HTTP请求，所述HTTP请求被发送到在家用网络上管理计算机系统的DNS设置的路由器。通常，路由器执行DSN查找来定位与所请求网页的URL相关联的IP地址，且当完成时将HTTP请求发送到主管所述网页的相关联服务器。 

在偷渡式域欺骗攻击中，返回包括恶意代码(例如偷渡式域欺骗代码)的网页作为对HTTP请求的HTTP响应。当所述网页在用户的网站浏览器中运行时，最初恶意代码开始将来自网站浏览器的HTTP请求发送到路由器以试图得知路由器的IP地址。一旦获得路由器的IP地址，恶意代码便接着连接到路由器的网站接口且改变设置，使得将DNS解析重定向到欺骗性网站。