技術領域

本發明涉及信息安全技術領域，特別是涉及檢測DNS黑洞劫持的方法、裝置及系統。

背景技術

隨著互聯網的普及，用戶對網絡的需求越來越大。而普通用戶在日常訪問網絡站點時最常見的方法是通過域名訪問，而機器實際能夠讀取的是主機的IP地址，此時就會涉及到一個域名解析的問題，這就要用到DNS(Domain?Name?System，計算機域名系統)。DNS是由解析器和域名服務器組成的。其中，域名服務器是指保存有該網絡中所有主機的域名和對應IP地址，并具有將域名轉換為IP地址功能的服務器。通過DNS，能夠使人們更方便的訪問互聯網，而不用去記住能夠被機器直接讀取的IP地址數字串。

但是，在實際應用中，經常會出現域名無法正常解析的情況。當域名無法正常解析時，網絡站點便無法正常訪問。此時有些網絡運營商便可能會執行DNS黑洞劫持，也即將無法解析的域名重定向到網絡運營商自己的IP地址，并在用戶連接該IP地址的時候，向用戶展示一個廣告或導航頁面等來替代無法訪問的頁面，用以達到增加自身廣告收入等目的。但這種廣告或導航頁面同時也會對用戶造成干擾，造成用戶反感。

因此，迫切需要本領域技術人員解決的技術問題就在于，如何在用戶訪問網頁的過程中，檢測出DNS黑洞劫持行為，進而避免用戶受到廣告或導航頁面等劫持頁面的干擾。

發明內容

本發明提供了檢測DNS黑洞劫持的方法、裝置及系統，能夠檢測出DNS黑洞劫持行為，進而避免用戶受到廣告或導航頁面等劫持頁面的干擾。

本發明提供了如下方案：

一種檢測DNS黑洞劫持的方法，包括：

抓取網絡中的網頁訪問請求對應的超文本傳輸協議HTTP連接數據包，從所述數據包中提取網頁對應的域名以及IP地址，并記錄域名與I?P地址之間的對應關系；

對抓取到的結果進行統計，獲取同一IP地址對應的不同域名的數量；

根據同一IP地址對應的不同域名的數量，確定用于進行DNS黑洞劫持的IP地址，并保存所確定出的用于進行DNS黑洞劫持的IP地址；

當用戶的網頁訪問請求產生當前HTTP連接數據包時，從所述當前HTTP連接數據包中提取出IP地址；

如果所提取出的IP地址出現在所保存的用于進行DNS黑洞劫持的IP地址中，則確定用戶的網頁訪問請求遭受到DNS黑洞劫持。

DNS黑洞劫持DNS黑洞劫持DNS黑洞劫持DNS黑洞劫持

可選的，所述根據同一IP地址對應的不同域名的數量，確定用于進行DNS黑洞劫持的IP地址包括：

提取對應不同域名的數量達到預置條件的IP地址作為待驗證IP地址；

獲取所述待驗證IP地址對應的服務器響應信息；

根據所述服務器響應信息對所述待驗證IP地址進行驗證，如果驗證通過，則將待驗證IP地址確定為用于進行DNS黑洞劫持的IP地址。

可選的，所述服務器響應信息中包括網頁內容數據包，所述根據所述服務器響應信息對所述待驗證IP地址進行驗證包括：

從所述待驗證IP地址對應的網頁內容數據包中提取網頁內容，將提取出的網頁內容與已知是用于進行DNS黑洞劫持的IP地址對應的網頁內容進行比對，如果相似度達到預置閾值，則驗證通過。

可選的，所述服務器響應信息中包括網頁代碼，所述根據所述服務器響應信息對所述待驗證IP地址進行驗證包括：

判斷所述網頁代碼中是否包含預置的關鍵代碼，如果包含，則驗證通過。

可選的，所述預置的關鍵代碼包括跳轉指令代碼。

一種檢測DNS黑洞劫持的裝置，包括：

抓取單元，用于抓取網絡中的網頁訪問請求對應的超文本傳輸協議HTTP連接數據包，從所述數據包中提取網頁對應的域名以及IP地址，并記錄域名與IP地址之間的對應關系；

統計單元，用于對抓取到的結果進行統計，獲取同一IP地址對應的不同域名的數量；

用于劫持的IP地址確定單元，用于根據同一IP地址對應的不同域名的數量，確定用于進行DNS黑洞劫持的IP地址，并保存所確定出的用于進行DNS黑洞劫持的IP地址；

IP地址提取單元，用于當用戶的網頁訪問請求產生當前HTTP連接數據包時，從所述當前HTTP連接數據包中提取出IP地址；

檢測單元，用于如果所提取出的IP地址出現在所保存的用于進行DNS黑洞劫持的IP地址中，則確定用戶的網頁訪問請求遭受到DNS黑洞劫持。

可選的，所述用于劫持的IP地址確定單元包括：