[发明专利]域名劫持的防御保障方法

说明书

技术领域

本发明涉及互联网监控及防御技术领域，尤其涉及一种域名劫持的防御保障方法。

背景技术

在互联网技术飞速发展的今天，网络环境也呈现出多样化的趋势，传统的HTTP/HTTPS请求过程中，发起请求的一方需要完成的第一步操作就是DNS解析的过程，这个过程的目的是需要将访问的域名从DNS系统解析获取对应的服务器IP，然后请求发起方将通过DNS解析得到的IP作为服务器端IP，来发起后续的HTTP/HTTPS请求。

从上述过程来看，DNS解析过程是HTTP/HTTPS请求过程中不可或缺并且非常关键的一个组成部分，如果DNS解析环节出了差错，则会导致后续的HTTP/HTTPS请求全部异常，因此，确保DNS解析结果的正确性，就显得尤为重要。

目前影响DNS解析正确性的一个重要因素是DNS劫持(又称域名劫持)，DNS劫持是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能响应或访问的是假网址，如本发明说明书附图的图1所示。

目前的现有技术中，目前防范DNS劫持的措施主要包括如下几种：

1.在不同的网络上运行分离的域名服务器来取得冗余性，当其中一路网络的DNS服务被劫持时，可通过另外网络的域名服务器提供服务，以保持服务的连续性。缺点：在不同的网络上部署DNS服务器，无疑增加了DNS服务器的购置成本，同时也增加了DNS服务器维护成本。

2.删除运行在DNS服务器上的不必要服务，如FTP、telnet和HTTP，操作简单，不会增加硬件购置成本。缺点：以上服务均属于维护DNS服务器常用的服务，将这些服务删除将会给后续的维护工作带来诸多不方便的地方。

3.将外部和内部域名服务器从物理上分开并使用转发器(forwarders)，可以限制特定的DNS服务器与Internet联系。缺点：需要增加额外的服务器成本开支。

发明内容

本发明的目的就在于为了解决上述问题和缺陷，提供一种域名劫持的防御保障方法，旨在确保DNS解析结果的正确性，确保服务器端的可靠性，为后续的防劫持处理提供支撑。

本发明通过以下技术方案来实现上述目的：

一种域名劫持的防御保障方法，其特征在于，在http请求过程中进行防范，在下述Q3、Q4步骤中增加校验机制，其具体为：

Q1：客户请求端通过浏览器输入服务器端的URL，并通过客户请求端的LOCAL DNS获取到服务器端的IP地址；

Q2：客户请求端在获取到服务器端的IP地址以后，尝试向服务器端IP发起TCP三次握手并建立连接；

Q3：连接建立起来以后，客户请求端向服务器端发起GET/POST请求；

Q4：服务器端接收到客户请求端的GET/POST请求以后，与客户请求端开始交互数据，

并校验是否有域名劫持现象，如有劫持现象将做丢弃和、或重试处理；

Q5：传输完毕后断开连接；

其中，

Q3步骤具体为：

客户请求端向服务器端发送GET/POST等请求，并携带一个全局唯一的认证字符串，客户请求端将请求和认证字符串一并发送给服务器端；

所述认证字符串由客户请求端和服务器端共同协商，其属性为一个特殊的header字段或字符串；每个字符串均由十六进制的时间戳和32位随机字符串组成，通过MD5算法计算得出；使得任何两个认证字符串之间都是不同的；

Q4步骤具体为：

服务器端与客户请求端开始交互数据，服务器端接收到认证字符串后，将该认证字符串增加到响应header中、并返回给客户请求端；客户请求端在得到认证字符串的字段值以后，和请求发起时的认证字符串的字段值进行比较，如果一致，则为合法，如果不一致，则为非法。

作为上述技术方案的优选，根据本发明技术方案发现劫持的请求，有如下几种处理措施：

仅记录Q5步骤中反应的劫持监测的结果，用来统计劫持发生的概率和影响范围；

对Q4步骤中发现劫持的响应做进一步的丢弃和、或重试处理，尝试获取正确的响应，提高可用性。

作为上述技术方案的优选，本发明还提供上述技术方案在Q3、Q4步骤时的加解密方法，步骤如下：

Q11：在Q3步骤客户请求端在发起请求时，在CDN内部传输的各节点之间，将URL、请求头信息以加密算法进行加密，加密后URL、请求头信息表现为一串无序的字符串；