本發(fā)明涉及電子技術(shù)領(lǐng)域，尤其涉及一種局域網(wǎng)DNS劫持檢測的方法和裝置。

背景技術(shù)：

一種常見的局域網(wǎng)DNS(域名解析系統(tǒng)，Domain Name System)劫持是攻擊者在局域網(wǎng)絡(luò)中搭建一臺惡意行為的偽DNS服務(wù)器，并入侵該局域網(wǎng)的DHCP(動態(tài)主機配置協(xié)議，Dynamic Host Configuration Protocol)設(shè)備，將DHCP設(shè)備為UE(用戶設(shè)備，User Equipment)分配的DNS服務(wù)器地址修改為偽DNS服務(wù)器地址。那么，UE基于DHCP動態(tài)分配的網(wǎng)絡(luò)配置連接到偽DNS服務(wù)器，就存在劫持風(fēng)險。

技術(shù)實現(xiàn)要素：

鑒于上述問題，提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的局域網(wǎng)DNS劫持檢測的方法和裝置。

本發(fā)明的第一方面，提供了一種局域網(wǎng)DNS劫持檢測的方法，包括：

向局域網(wǎng)中的動態(tài)主機配置協(xié)議DHCP設(shè)備發(fā)送動態(tài)配置請求；

接收所述DHCP返回的動態(tài)配置信息，所述動態(tài)配置信息中包括網(wǎng)關(guān)地址和主域名解析系統(tǒng)DNS服務(wù)器地址；

當(dāng)所述動態(tài)配置信息中的主DNS服務(wù)器地址為局域網(wǎng)地址時，判斷所述動態(tài)配置信息的網(wǎng)關(guān)地址和所述動態(tài)配置信息的主DNS服務(wù)器地址是否一致；

當(dāng)所述動態(tài)配置信息的網(wǎng)關(guān)地址和所述動態(tài)配置信息的主DNS服務(wù)器地址不一致時，確定存在局域網(wǎng)DNS劫持風(fēng)險。

可選的，在確定存在局域網(wǎng)DNS劫持風(fēng)險之后，還包括：

由動態(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)狀態(tài)，所述動態(tài)配置上網(wǎng)狀態(tài)為接收所述DHCP設(shè)備發(fā)送的所述動態(tài)配置信息，并基于所述動態(tài)配置信息接入網(wǎng)絡(luò)的狀態(tài)，所述靜態(tài)上網(wǎng)狀態(tài)為按照靜態(tài)的安全配置信息接入網(wǎng)絡(luò)的狀態(tài)；所述安全配置信息的主DNS服務(wù)器地址為目標(biāo)廣域網(wǎng)DNS服務(wù)器地址；

基于所述安全配置信息接入網(wǎng)絡(luò)。

可選的，在由動態(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)狀態(tài)之后，還包括：

獲取所述目標(biāo)廣域網(wǎng)DNS服務(wù)器地址；

將所述目標(biāo)廣域網(wǎng)DNS服務(wù)器地址作為所述安全配置信息中的主DNS服務(wù)器地址。

可選的，獲取所述目標(biāo)廣域網(wǎng)DNS服務(wù)器地址，包括：

檢測一個或多個廣域網(wǎng)DNS服務(wù)器的網(wǎng)絡(luò)連通性；

將所述網(wǎng)絡(luò)連通性最優(yōu)的廣域網(wǎng)DNS服務(wù)器的地址確定為所述目標(biāo)廣域網(wǎng)DNS服務(wù)器的地址。

可選的，在由動態(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)狀態(tài)之后，還包括：

提取所述動態(tài)配置信息中的主DNS服務(wù)器地址或者備DNS服務(wù)器地址；

將所述動態(tài)配置信息中的主DNS服務(wù)器地址或者備DNS服務(wù)器地址確定為所述安全配置信息中的備DNS服務(wù)器地址。

本發(fā)明第二方面提供了一種局域網(wǎng)DNS劫持檢測的裝置，包括：

動態(tài)配置請求模塊，向局域網(wǎng)中的動態(tài)主機配置協(xié)議DHCP設(shè)備發(fā)送動態(tài)配置請求；

接收模塊，用于接收所述DHCP返回的動態(tài)配置信息，所述動態(tài)配置信息中包括網(wǎng)關(guān)地址和主域名解析系統(tǒng)DNS服務(wù)器地址；

判斷模塊，用于當(dāng)所述動態(tài)配置信息中的主DNS服務(wù)器地址為局域網(wǎng)地址時，判斷所述動態(tài)配置信息的網(wǎng)關(guān)地址和所述動態(tài)配置信息的主DNS服務(wù)器地址是否一致；

第一確定模塊，用于當(dāng)所述動態(tài)配置信息的網(wǎng)關(guān)地址和所述動態(tài)配置信息的主DNS服務(wù)器地址不一致時，確定存在局域網(wǎng)DNS劫持風(fēng)險。

可選的，所述裝置還包括：

接入模塊，用于在確定存在局域網(wǎng)DNS劫持風(fēng)險之后，由動態(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)狀態(tài)，所述動態(tài)配置上網(wǎng)狀態(tài)為接收所述DHCP設(shè)備發(fā)送的所述動態(tài)配置信息，并基于所述動態(tài)配置信息接入網(wǎng)絡(luò)的狀態(tài)，所述靜態(tài)上網(wǎng)狀態(tài)為按照靜態(tài)的安全配置信息接入網(wǎng)絡(luò)的狀態(tài)；所述安全配置信息的主DNS服務(wù)器地址為目標(biāo)廣域網(wǎng)DNS服務(wù)器地址；基于所述安全配置信息接入網(wǎng)絡(luò)。

可選的，所述裝置還包括：

獲取模塊，用于在由動態(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)狀態(tài)之后，獲取所述目標(biāo)廣域網(wǎng)DNS服務(wù)器地址；

第二確定模塊，用于將所述目標(biāo)廣域網(wǎng)DNS服務(wù)器地址作為所述安全配置信息中的主DNS服務(wù)器地址。

可選的，所述獲取模塊用于檢測一個或多個廣域網(wǎng)DNS服務(wù)器的網(wǎng)絡(luò)連通性；將所述網(wǎng)絡(luò)連通性最優(yōu)的廣域網(wǎng)DNS服務(wù)器的地址確定為所述目標(biāo)廣域網(wǎng)DNS服務(wù)器的地址。

可選的，所述裝置還包括：

提取模塊，用于在由動態(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)狀態(tài)之后，提取所述動態(tài)配置信息中的主DNS服務(wù)器地址或者備DNS服務(wù)器地址；

第三確定模塊，用于將所述動態(tài)配置信息中的主DNS服務(wù)器地址或者備DNS服務(wù)器地址確定為所述安全配置信息中的備DNS服務(wù)器地址。

本申請實施例中提供的技術(shù)方案，至少具有如下技術(shù)效果或優(yōu)點：

在本發(fā)明實施例的技術(shù)方案中，首先向局域網(wǎng)中的DHCP設(shè)備發(fā)送動態(tài)配置請求，并接收DHCP返回的動態(tài)配置信息，動態(tài)配置信息中包括網(wǎng)關(guān)地址和主DNS服務(wù)器地址，當(dāng)動態(tài)配置信息中的主DNS服務(wù)器地址為局域網(wǎng)地址，且判斷動態(tài)配置信息中的網(wǎng)關(guān)地址和主DNS服務(wù)器地址不一致時，確定存在局域網(wǎng)DNS劫持風(fēng)險。所以，通過判斷動態(tài)配置信息中的網(wǎng)關(guān)地址是否與主DNS服務(wù)器地址一致來檢測局域網(wǎng)安全，并在網(wǎng)關(guān)地址與主DNS服務(wù)器不一致時確定存在局域網(wǎng)DNS劫持風(fēng)險，就實現(xiàn)了在局域網(wǎng)中檢測DNS劫持風(fēng)險的技術(shù)效果。

上述說明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說明書的內(nèi)容予以實施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂，以下特舉本發(fā)明的具體實施方式。

附圖說明

通過閱讀下文優(yōu)選實施方式的詳細(xì)描述，各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的，而并不認(rèn)為是對本發(fā)明的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中：

圖1為本發(fā)明實施例中局域網(wǎng)DNS劫持檢測的方法流程圖；

圖2為本發(fā)明實施例中局域網(wǎng)DNS劫持檢測的裝置結(jié)構(gòu)示意圖。

具體實施方式

下面將參照附圖更詳細(xì)地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例，然而應(yīng)當(dāng)理解，可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例所限制。相反，提供這些實施例是為了能夠更透徹地理解本公開，并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。

本發(fā)明實施例提供了一種局域網(wǎng)DNS劫持檢測的方法和裝置，用以檢測局域網(wǎng)DNS劫持風(fēng)險。請參考圖1，為本發(fā)明實施例中局域網(wǎng)DNS劫持檢測的方法流程圖，該方法包括：

S101：向局域網(wǎng)中的動態(tài)主機配置協(xié)議DHCP設(shè)備發(fā)送動態(tài)配置請求；

S102：接收所述DHCP返回的動態(tài)配置信息；

S103：當(dāng)所述動態(tài)配置信息中的主DNS服務(wù)器地址為局域網(wǎng)地址時，判斷所述動態(tài)配置信息的網(wǎng)關(guān)地址和所述動態(tài)配置信息的主DNS服務(wù)器地址是否一致；

S104：當(dāng)所述動態(tài)配置信息的網(wǎng)關(guān)地址和所述動態(tài)配置信息的主DNS服務(wù)器地址不一致時，確定存在局域網(wǎng)DNS劫持風(fēng)險。

具體來講，在UE需要接入一局域網(wǎng)時，會向該局域網(wǎng)中的DHCP(動態(tài)主機配置協(xié)議，Dynamic Host Configuration Protocol)設(shè)備發(fā)送動態(tài)配置請求，以請求DHCP設(shè)備為UE配置動態(tài)配置信息。然后，DHCP設(shè)備在接收到UE發(fā)送的動態(tài)配置請求后，根據(jù)動態(tài)配置策略，為UE配置動態(tài)配置信息，并將配置出的動態(tài)配置信息返回UE。進(jìn)而，UE在S102中接收DHCP設(shè)備發(fā)送的動態(tài)配置信息。

在本發(fā)明實施例中，動態(tài)配置信息包括網(wǎng)關(guān)地址和主DNS服務(wù)器地址。在具體實現(xiàn)過程中，動態(tài)配置信息還進(jìn)一步包括IP(互聯(lián)網(wǎng)協(xié)議，Internet Protocol)地址、子網(wǎng)掩碼和備DNS服務(wù)器地址。

接下來，UE基于從DHCP獲得的動態(tài)配置信息，在S103中，當(dāng)動態(tài)配置信息中的主DNS服務(wù)器地址為局域網(wǎng)地址時，判斷動態(tài)配置信息中的網(wǎng)關(guān)地址和動態(tài)配置信息的主DNS服務(wù)器地址是否一致。

具體來講，UE獲取動態(tài)配置信息中的主DNS服務(wù)器地址，然后判斷該主DNS服務(wù)器地址是否為局域網(wǎng)地址。其中，判斷動態(tài)配置信息中的主DNS服務(wù)器地址是否為局域網(wǎng)地址，具體為通過判斷動態(tài)配置信息中的主DNS地址是否為ClassA、ClassB或ClassC中的一個區(qū)間。其中，ClassA區(qū)間的地址范圍為10.0.0.0～10.255.255.255，ClassB區(qū)間的地址范圍為172.16.0.0-172.31.255.255，ClassC區(qū)域的地址范圍為192.168.0.0-192.168.255.255。如果動態(tài)配置信息的主DNS服務(wù)器地址位于ClassA、ClassB或ClassC中的任意一個區(qū)間中，則表示動態(tài)配置信息中的主DNS服務(wù)器地址為局域網(wǎng)地址；反之，如果動態(tài)配置信息中的主DNS服務(wù)器地址不在ClassA、ClassB和ClassC區(qū)間中，則表示動態(tài)配置信息中的主DNS服務(wù)器地址不為局域網(wǎng)地址。

進(jìn)一步，如果DHCP設(shè)備所配置的主DNS服務(wù)器地址為局域網(wǎng)地址，則通常請求下，DHCP設(shè)備所配置的網(wǎng)關(guān)地址與主DNS服務(wù)器地址是一致的，例如都是192.168.1.1，因此，當(dāng)動態(tài)配置信息中的主DNS服務(wù)器地址為局域網(wǎng)地址，且動態(tài)配置信息中的網(wǎng)關(guān)地址和主DNS服務(wù)器地址一致，表示目前局域網(wǎng)DNS服務(wù)器正常，被劫持的可能性較低。反之，當(dāng)動態(tài)配置信息中的主DNS服務(wù)器地址為局域網(wǎng)地址，而動態(tài)配置信息中的網(wǎng)關(guān)地址和主DNS服務(wù)器地址不一致，則表示局域網(wǎng)中的主DNS服務(wù)器異常，可能被劫持。所以，在本發(fā)明實施例S104中，當(dāng)動態(tài)配置信息中的網(wǎng)關(guān)地址和動態(tài)配置信息中的主DNS服務(wù)器地址不一致時，將確定當(dāng)前存在局域網(wǎng)DNS劫持風(fēng)險。

進(jìn)一步，當(dāng)UE確定存在局域網(wǎng)DNS劫持風(fēng)險時，可以向用戶輸出提示信息，例如顯示“當(dāng)前局域網(wǎng)存在風(fēng)險”的文字信息、或者播放警告音等，以提示用戶及時對局域網(wǎng)DNS劫持風(fēng)險進(jìn)行處理。

作為一種可選的實施例，在確定存在局域網(wǎng)DNS劫持風(fēng)險之后，還可以進(jìn)一步包括：

由動態(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)狀態(tài)，所述動態(tài)配置上網(wǎng)狀態(tài)為接收所述DHCP設(shè)備發(fā)送的所述動態(tài)配置信息，并基于所述動態(tài)配置信息接入網(wǎng)絡(luò)的狀態(tài)，所述靜態(tài)上網(wǎng)狀態(tài)為按照靜態(tài)的安全配置信息接入網(wǎng)絡(luò)的狀態(tài)；所述安全配置信息的主DNS服務(wù)器地址為目標(biāo)廣域網(wǎng)DNS服務(wù)器地址；

基于所述安全配置信息接入網(wǎng)絡(luò)。

具體來講，本發(fā)明實施例中的UE具有兩種上網(wǎng)狀態(tài)，具體為動態(tài)配置上網(wǎng)狀態(tài)和靜態(tài)上網(wǎng)狀態(tài)。在具體實現(xiàn)過程中，還可以包括其他上網(wǎng)狀態(tài)，本發(fā)明不做具體限制。其中，動態(tài)配置上網(wǎng)狀態(tài)為接收DHCP發(fā)送的動態(tài)配置信息，并基于動態(tài)配置信息接入網(wǎng)絡(luò)的狀態(tài)。換言之，在動態(tài)配置上網(wǎng)狀態(tài)下，UE將按照動態(tài)配置信息中的IP地址和子網(wǎng)掩碼接入動態(tài)配置信息中網(wǎng)關(guān)地址所指示的網(wǎng)關(guān)和動態(tài)配置信息中主DNS服務(wù)器地址所指示的主DNS服務(wù)器(或備DNS服務(wù)器地址所指示的備DNS服務(wù)器)。而靜態(tài)上網(wǎng)狀態(tài)則為按照靜態(tài)的安全配置信息接入網(wǎng)絡(luò)的狀態(tài)。其中，本發(fā)明實施中的安全配置信息至少包括主DNS服務(wù)器地址，且安全配置信息中的主DNS服務(wù)器地址為已知的安全DNS服務(wù)器地址。當(dāng)然，安全配置信息還可以進(jìn)一步包括IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)地址和備DNS服務(wù)器地址，本發(fā)明不做具體限制。

在確定存在局域網(wǎng)DNS劫持風(fēng)險后，如果繼續(xù)以動態(tài)配置上網(wǎng)狀態(tài)接入網(wǎng)絡(luò)，可能導(dǎo)致用戶財產(chǎn)損失、隱身信息被盜等危險，所以此時UE由動態(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)狀態(tài)。并且按照安全配置信息接入網(wǎng)絡(luò)。

在本發(fā)明實施例中，安全配置信息可以為預(yù)先存儲的缺省信息。例如預(yù)先將默認(rèn)安全的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)地址、主DNS服務(wù)器地址和備DNS服務(wù)器地址存儲為安全配置信息，在切換到靜態(tài)上網(wǎng)狀態(tài)后，再讀取預(yù)先存儲的安全配置信息。或者，安全配置信息也可以基于用戶輸入而生成。例如，用戶根據(jù)提示信息獲知當(dāng)前局域網(wǎng)存在DNS劫持風(fēng)險時，自行輸入安全的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)地址、主DNS服務(wù)器地址和備DNS服務(wù)器地址，進(jìn)而UE根據(jù)用戶輸入的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)地址、主DNS服務(wù)器地址和備DNS服務(wù)器地址生成安全配置信息?；蛘?，安全配置信息也可以是切換到靜態(tài)上網(wǎng)狀態(tài)后根據(jù)實際情況而生成的。

進(jìn)而，作為一種可選的實施例，在由動態(tài)配置上網(wǎng)狀態(tài)切換到靜態(tài)上網(wǎng)狀態(tài)之后，還可以進(jìn)一步包括：

獲取所述目標(biāo)廣域網(wǎng)DNS服務(wù)器地址；

將所述目標(biāo)廣域網(wǎng)DNS服務(wù)器地址作為所述安全配置信息中的主DNS服務(wù)器地址。

具體來講，在切換到靜態(tài)上網(wǎng)狀態(tài)后，UE獲取目標(biāo)廣域網(wǎng)DNS服務(wù)器地址。其中，目標(biāo)廣域網(wǎng)DNS服務(wù)器可以為當(dāng)前能夠接入的一個或多個廣域網(wǎng)DNS服務(wù)器中的任意一個，進(jìn)而UE獲取任意一個廣域網(wǎng)DNS服務(wù)器的地址作為目標(biāo)廣域網(wǎng)DNS服務(wù)器地址?；蛘?，為了避免連接不上廣域網(wǎng)DNS服務(wù)器或連接速度慢，還可以根據(jù)每個廣域網(wǎng)DNS服務(wù)器的地理位置，獲取距離UE最近的廣域網(wǎng)DNS服務(wù)器的地址為目標(biāo)廣域網(wǎng)DNS服務(wù)器的地址?；蛘撸部梢酝ㄟ^如下過程獲取目標(biāo)廣域網(wǎng)DNS服務(wù)器地址：

檢測一個或多個廣域網(wǎng)DNS服務(wù)器的網(wǎng)絡(luò)連通性；

將所述網(wǎng)絡(luò)連通性最優(yōu)的廣域網(wǎng)DNS服務(wù)器的地址確定為所述目標(biāo)廣域網(wǎng)DNS服務(wù)器的地址。

具體來講，UE對一個或多個廣域網(wǎng)DNS服務(wù)器的網(wǎng)絡(luò)連通性進(jìn)行檢測。其中，本發(fā)明實施例中的網(wǎng)絡(luò)連通性表示廣域網(wǎng)DNS服務(wù)器對于UE的連接性能，網(wǎng)絡(luò)連通性可以包括廣域網(wǎng)DNS服務(wù)器是否能夠接入、接入該廣域網(wǎng)DNS服務(wù)器的耗時、該廣域網(wǎng)DNS服務(wù)器的帶寬、該廣域網(wǎng)DNS服務(wù)器的負(fù)載量和地理位置等，本發(fā)明不做具體限制。

UE測量得到每個廣域網(wǎng)DNS服務(wù)器是否能夠接入、接入耗時、帶寬、負(fù)載量和地理位置等，進(jìn)而得到每個廣域網(wǎng)DNS服務(wù)器的網(wǎng)絡(luò)連通性。

在具體實現(xiàn)過程中，獲得每個廣域網(wǎng)DNS服務(wù)器的網(wǎng)絡(luò)連通性的方法有多種，本發(fā)明所屬領(lǐng)域的普通技術(shù)人員可以根據(jù)實際進(jìn)行選擇，本發(fā)明不做具體限制。

例如，預(yù)先為各個廣域網(wǎng)DNS服務(wù)器的參數(shù)類型設(shè)置權(quán)重，然后根據(jù)每個廣域網(wǎng)DNS服務(wù)器的參數(shù)計算出每個廣域網(wǎng)DNS服務(wù)器的權(quán)值，進(jìn)而將廣域網(wǎng)DNS服務(wù)器的權(quán)值作為該廣域網(wǎng)DNS服務(wù)器的網(wǎng)絡(luò)連通性。舉例來說，假設(shè)UE需要測量廣域網(wǎng)DNS服務(wù)器的參數(shù)類型為是否能夠接入、接入耗時和地理距離，則可以為是否能夠接入的參數(shù)類型設(shè)置0.5的權(quán)重，為接入耗時的參數(shù)類型設(shè)置-0.3的權(quán)重，為地理距離的參數(shù)類型設(shè)置-0.2的權(quán)重。對第一個廣域網(wǎng)DNS服務(wù)器進(jìn)行測量，測量得到第一個廣域網(wǎng)DNS服務(wù)器不能接入，接入時間超時(假設(shè)超時時間為3分鐘，超時按超時時間計算)，地理距離10km。對第二個廣域網(wǎng)DNS服務(wù)器進(jìn)行測量，測量得到第二個廣域網(wǎng)DNS服務(wù)器能接入，接入時間0.5分鐘，地理距離8km。所以，第一個廣域網(wǎng)DNS服務(wù)器的權(quán)值為0*0.5-0.3*3-0.2*10＝-2.9，第二個廣域網(wǎng)DNS服務(wù)器的權(quán)值為1*0.5-0.3*0.5-0.2*8＝-1.25。由此可見，第二個廣域網(wǎng)DNS服務(wù)器的權(quán)值大于第一個廣域網(wǎng)DNS服務(wù)器的權(quán)值，所以第二個廣域網(wǎng)DNS服務(wù)器的網(wǎng)絡(luò)連通性優(yōu)于第一個廣域網(wǎng)DNS服務(wù)器的網(wǎng)絡(luò)連通性。

接下來，在本發(fā)明實施例中，UE將測量出的網(wǎng)絡(luò)連通性最優(yōu)的廣域網(wǎng)DNS服務(wù)器的地址確定為目標(biāo)廣域網(wǎng)DNS服務(wù)器的地址。

由上述描述可知，將一個或多個廣域網(wǎng)DNS服務(wù)器中網(wǎng)絡(luò)連通性最優(yōu)的廣域網(wǎng)DNS服務(wù)器的地址作為目標(biāo)廣域網(wǎng)DNS服務(wù)器的地址，使UE能夠接入網(wǎng)絡(luò)連通性最佳的廣域網(wǎng)DNS服務(wù)器，進(jìn)而降低了連接不上廣域網(wǎng)DNS服務(wù)器或連接速度慢的幾率。

進(jìn)一步，在獲得目標(biāo)廣域網(wǎng)DNS服務(wù)器地址后，UE將目標(biāo)廣域網(wǎng)DNS服務(wù)器的地址作為安全配置信息中的主DNS服務(wù)器地址，進(jìn)而UE在基于安全配置信息接入主DNS服務(wù)器時，將接入廣域網(wǎng)DNS服務(wù)器，而不是接入存在劫持風(fēng)險的局域網(wǎng)DNS服務(wù)器。

由于劫持廣域網(wǎng)DNS服務(wù)器的難度通常很大，并且在劫持發(fā)生后，廣域網(wǎng)DNS服務(wù)器的維護(hù)人員能夠及時發(fā)現(xiàn)異常且迅速修復(fù)，所以相對接入局域網(wǎng)DNS服務(wù)器，接入廣域網(wǎng)DNS服務(wù)器被劫持的風(fēng)險更低，安全性更高。所以，本發(fā)明實現(xiàn)了降低DNS劫持的風(fēng)險。

進(jìn)一步，本發(fā)明實施例中的安全配置信息還包括備DNS服務(wù)器地址。對于安全配置信息的備DNS服務(wù)器地址，也有多種可能。具體來講，與主DNS服務(wù)器地址類似，備DNS服務(wù)器地址也可以為預(yù)先存儲的缺省信息，或者用戶輸入的地址。或者，在切換到靜態(tài)上網(wǎng)狀態(tài)之后，UE將網(wǎng)絡(luò)連通性最佳的廣域網(wǎng)DNS服務(wù)器的地址確定為安全配置信息的主DNS服務(wù)器地址，然后將網(wǎng)絡(luò)連通性僅次于目標(biāo)廣域網(wǎng)DNS服務(wù)器的另一個廣域網(wǎng)DNS服務(wù)器的地址確定為安全配置信息中的備DNS服務(wù)器地址?；蛘撸蓜討B(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)之后，還可以進(jìn)一步包括：

提取所述動態(tài)配置信息中的主DNS服務(wù)器地址或者備DNS服務(wù)器地址；

將所述動態(tài)配置信息中的主DNS服務(wù)器地址或者備DNS服務(wù)器地址確定為所述安全配置信息中的備DNS服務(wù)器地址。

具體來講，確定安全配置信息中的備DNS服務(wù)器地址的另一種實現(xiàn)方式為，UE在切換到靜態(tài)上網(wǎng)狀態(tài)后，提取動態(tài)配置信息中的主DNS服務(wù)器地址或備DNS服務(wù)器地址，然后將提取到的動態(tài)配置信息的主DNS服務(wù)器地址或備DNS服務(wù)器地址確定為安全配置信息的備DNS服務(wù)器地址。

進(jìn)一步，在具體實現(xiàn)過程中，局域網(wǎng)中的主DNS服務(wù)器較備DNS服務(wù)器通常更可靠，且更容易發(fā)現(xiàn)故障而被及時進(jìn)行修改，所以將動態(tài)配置信息中的主DNS服務(wù)器地址確定為安全配置信息中的備DNS服務(wù)器地址為較佳選擇。

另外，對于安全配置信息中的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)地址等，也可以直接使用動態(tài)配置信息中的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)地址，本發(fā)明不做具體限制。

基于與前述實施例中局域網(wǎng)DNS劫持檢測的方法同樣的發(fā)明構(gòu)思，本發(fā)明還提供一種局域網(wǎng)DNS劫持檢測的裝置，如圖2所示，包括：

動態(tài)配置請求模塊101，向局域網(wǎng)中的動態(tài)主機配置協(xié)議DHCP設(shè)備發(fā)送動態(tài)配置請求；

接收模塊102，用于接收所述DHCP返回的動態(tài)配置信息，所述動態(tài)配置信息中包括網(wǎng)關(guān)地址和主域名解析系統(tǒng)DNS服務(wù)器地址；

判斷模塊103，用于當(dāng)所述動態(tài)配置信息中的主DNS服務(wù)器地址為局域網(wǎng)地址時，判斷所述動態(tài)配置信息的網(wǎng)關(guān)地址和所述動態(tài)配置信息的主DNS服務(wù)器地址是否一致；

第一確定模塊104，用于當(dāng)所述動態(tài)配置信息的網(wǎng)關(guān)地址和所述動態(tài)配置信息的主DNS服務(wù)器地址不一致時，確定存在局域網(wǎng)DNS劫持風(fēng)險。

進(jìn)一步，本發(fā)明實施例中的裝置還包括：

接入模塊，用于在確定存在局域網(wǎng)DNS劫持風(fēng)險之后，由動態(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)狀態(tài)，所述動態(tài)配置上網(wǎng)狀態(tài)為接收所述DHCP設(shè)備發(fā)送的所述動態(tài)配置信息，并基于所述動態(tài)配置信息接入網(wǎng)絡(luò)的狀態(tài)，所述靜態(tài)上網(wǎng)狀態(tài)為按照靜態(tài)的安全配置信息接入網(wǎng)絡(luò)的狀態(tài)；所述安全配置信息的主DNS服務(wù)器地址為目標(biāo)廣域網(wǎng)DNS服務(wù)器地址；基于所述安全配置信息接入網(wǎng)絡(luò)。

更進(jìn)一步，本發(fā)明實施例中的裝置還包括：

獲取模塊，用于在由動態(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)狀態(tài)之后，獲取所述目標(biāo)廣域網(wǎng)DNS服務(wù)器地址；

第二確定模塊，用于將所述目標(biāo)廣域網(wǎng)DNS服務(wù)器地址作為所述安全配置信息中的主DNS服務(wù)器地址。

具體來講，獲取模塊用于檢測一個或多個廣域網(wǎng)DNS服務(wù)器的網(wǎng)絡(luò)連通性；將所述網(wǎng)絡(luò)連通性最優(yōu)的廣域網(wǎng)DNS服務(wù)器的地址確定為所述目標(biāo)廣域網(wǎng)DNS服務(wù)器的地址。

更進(jìn)一步，本發(fā)明實施例中的裝置還包括：

提取模塊，用于在由動態(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)狀態(tài)之后，提取所述動態(tài)配置信息中的主DNS服務(wù)器地址或者備DNS服務(wù)器地址；

第三確定模塊，用于將所述動態(tài)配置信息中的主DNS服務(wù)器地址或者備DNS服務(wù)器地址確定為所述安全配置信息中的備DNS服務(wù)器地址。

本申請實施例中提供的技術(shù)方案，至少具有如下技術(shù)效果或優(yōu)點：

在本發(fā)明實施例的技術(shù)方案中，首先向局域網(wǎng)中的DHCP設(shè)備發(fā)送動態(tài)配置請求，并接收DHCP返回的動態(tài)配置信息，動態(tài)配置信息中包括網(wǎng)關(guān)地址和主DNS服務(wù)器地址，當(dāng)動態(tài)配置信息中的主DNS服務(wù)器地址為局域網(wǎng)地址，且判斷動態(tài)配置信息中的網(wǎng)關(guān)地址和主DNS服務(wù)器地址不一致時，確定存在局域網(wǎng)DNS劫持風(fēng)險。所以，通過判斷動態(tài)配置信息中的網(wǎng)關(guān)地址是否與主DNS服務(wù)器地址一致來檢測局域網(wǎng)安全，并在網(wǎng)關(guān)地址與主DNS服務(wù)器不一致時確定存在局域網(wǎng)DNS劫持風(fēng)險，就實現(xiàn)了在局域網(wǎng)中檢測DNS劫持風(fēng)險的技術(shù)效果。

在此提供的算法和顯示不與任何特定計算機、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述，構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外，本發(fā)明也不針對任何特定編程語言。應(yīng)當(dāng)明白，可以利用各種編程語言實現(xiàn)在此描述的本發(fā)明的內(nèi)容，并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式。

在此處所提供的說明書中，說明了大量具體細(xì)節(jié)。然而，能夠理解，本發(fā)明的實施例可以在沒有這些具體細(xì)節(jié)的情況下實踐。在一些實例中，并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù)，以便不模糊對本說明書的理解。

類似地，應(yīng)當(dāng)理解，為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個，在上面對本發(fā)明的示例性實施例的描述中，本發(fā)明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而，并不應(yīng)將該公開的方法解釋成反映如下意圖：即所要求保護(hù)的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征。更確切地說，如下面的權(quán)利要求書所反映的那樣，發(fā)明方面在于少于前面公開的單個實施例的所有特征。因此，遵循具體實施方式的權(quán)利要求書由此明確地并入該具體實施方式，其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例。

本領(lǐng)域那些技術(shù)人員可以理解，可以對實施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實施例不同的一個或多個設(shè)備中?？梢园褜嵤├械哪K或單元或組件組合成一個模塊或單元或組件，以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外，可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述，本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。

此外，本領(lǐng)域的技術(shù)人員能夠理解，盡管在此的一些實施例包括其它實施例中所包括的某些特征而不是其它特征，但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例。例如，在下面的權(quán)利要求書中，所要求保護(hù)的實施例的任意之一都可以以任意的組合方式來使用。

本發(fā)明的各個部件實施例可以以硬件實現(xiàn)，或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn)，或者以它們的組合實現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的網(wǎng)關(guān)、代理服務(wù)器、系統(tǒng)中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如，計算機程序和計算機程序產(chǎn)品)。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機可讀介質(zhì)上，或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到，或者在載體信號上提供，或者以任何其他形式提供。

應(yīng)該注意的是上述實施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制，并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計出替換實施例。在權(quán)利要求中，不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計算機來實現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中，這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序?？蓪⑦@些單詞解釋為名稱。

本發(fā)明公開了，A1、一種局域網(wǎng)DNS劫持檢測的方法，其特征在于，包括：

向局域網(wǎng)中的動態(tài)主機配置協(xié)議DHCP設(shè)備發(fā)送動態(tài)配置請求；

接收所述DHCP返回的動態(tài)配置信息，所述動態(tài)配置信息中包括網(wǎng)關(guān)地址和主域名解析系統(tǒng)DNS服務(wù)器地址；

當(dāng)所述動態(tài)配置信息中的主DNS服務(wù)器地址為局域網(wǎng)地址時，判斷所述動態(tài)配置信息的網(wǎng)關(guān)地址和所述動態(tài)配置信息的主DNS服務(wù)器地址是否一致；

當(dāng)所述動態(tài)配置信息的網(wǎng)關(guān)地址和所述動態(tài)配置信息的主DNS服務(wù)器地址不一致時，確定存在局域網(wǎng)DNS劫持風(fēng)險。

A2、根據(jù)A1所述的方法，其特征在于，在確定存在局域網(wǎng)DNS劫持風(fēng)險之后，還包括：

由動態(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)狀態(tài)，所述動態(tài)配置上網(wǎng)狀態(tài)為接收所述DHCP設(shè)備發(fā)送的所述動態(tài)配置信息，并基于所述動態(tài)配置信息接入網(wǎng)絡(luò)的狀態(tài)，所述靜態(tài)上網(wǎng)狀態(tài)為按照靜態(tài)的安全配置信息接入網(wǎng)絡(luò)的狀態(tài)；所述安全配置信息的主DNS服務(wù)器地址為目標(biāo)廣域網(wǎng)DNS服務(wù)器地址；

基于所述安全配置信息接入網(wǎng)絡(luò)。

A3、根據(jù)A2所述的方法，其特征在于，在由動態(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)狀態(tài)之后，還包括：

獲取所述目標(biāo)廣域網(wǎng)DNS服務(wù)器地址；

將所述目標(biāo)廣域網(wǎng)DNS服務(wù)器地址作為所述安全配置信息中的主DNS服務(wù)器地址。

A4、根據(jù)A3所述的方法，其特征在于，獲取所述目標(biāo)廣域網(wǎng)DNS服務(wù)器地址，包括：

檢測一個或多個廣域網(wǎng)DNS服務(wù)器的網(wǎng)絡(luò)連通性；

將所述網(wǎng)絡(luò)連通性最優(yōu)的廣域網(wǎng)DNS服務(wù)器的地址確定為所述目標(biāo)廣域網(wǎng)DNS服務(wù)器的地址。

A5、根據(jù)A3所述的方法，其特征在于，在由動態(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)狀態(tài)之后，還包括：

提取所述動態(tài)配置信息中的主DNS服務(wù)器地址或者備DNS服務(wù)器地址；

將所述動態(tài)配置信息中的主DNS服務(wù)器地址或者備DNS服務(wù)器地址確定為所述安全配置信息中的備DNS服務(wù)器地址。

B6、一種局域網(wǎng)DNS劫持檢測的裝置，其特征在于，包括：

動態(tài)配置請求模塊，向局域網(wǎng)中的動態(tài)主機配置協(xié)議DHCP設(shè)備發(fā)送動態(tài)配置請求；

接收模塊，用于接收所述DHCP返回的動態(tài)配置信息，所述動態(tài)配置信息中包括網(wǎng)關(guān)地址和主域名解析系統(tǒng)DNS服務(wù)器地址；

判斷模塊，用于當(dāng)所述動態(tài)配置信息中的主DNS服務(wù)器地址為局域網(wǎng)地址時，判斷所述動態(tài)配置信息的網(wǎng)關(guān)地址和所述動態(tài)配置信息的主DNS服務(wù)器地址是否一致；

第一確定模塊，用于當(dāng)所述動態(tài)配置信息的網(wǎng)關(guān)地址和所述動態(tài)配置信息的主DNS服務(wù)器地址不一致時，確定存在局域網(wǎng)DNS劫持風(fēng)險。

B7、根據(jù)B6所述的裝置，其特征在于，所述裝置還包括：

接入模塊，用于在確定存在局域網(wǎng)DNS劫持風(fēng)險之后，由動態(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)狀態(tài)，所述動態(tài)配置上網(wǎng)狀態(tài)為接收所述DHCP設(shè)備發(fā)送的所述動態(tài)配置信息，并基于所述動態(tài)配置信息接入網(wǎng)絡(luò)的狀態(tài)，所述靜態(tài)上網(wǎng)狀態(tài)為按照靜態(tài)的安全配置信息接入網(wǎng)絡(luò)的狀態(tài)；所述安全配置信息的主DNS服務(wù)器地址為目標(biāo)廣域網(wǎng)DNS服務(wù)器地址；基于所述安全配置信息接入網(wǎng)絡(luò)。

B8、根據(jù)B7所述的裝置，其特征在于，所述裝置還包括：

獲取模塊，用于在由動態(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)狀態(tài)之后，獲取所述目標(biāo)廣域網(wǎng)DNS服務(wù)器地址；

第二確定模塊，用于將所述目標(biāo)廣域網(wǎng)DNS服務(wù)器地址作為所述安全配置信息中的主DNS服務(wù)器地址。

B9、根據(jù)B8所述的裝置，其特征在于，所述獲取模塊用于檢測一個或多個廣域網(wǎng)DNS服務(wù)器的網(wǎng)絡(luò)連通性；將所述網(wǎng)絡(luò)連通性最優(yōu)的廣域網(wǎng)DNS服務(wù)器的地址確定為所述目標(biāo)廣域網(wǎng)DNS服務(wù)器的地址。

B10、根據(jù)B8所述的裝置，其特征在于，所述裝置還包括：

提取模塊，用于在由動態(tài)配置上網(wǎng)狀態(tài)切換至靜態(tài)上網(wǎng)狀態(tài)之后，提取所述動態(tài)配置信息中的主DNS服務(wù)器地址或者備DNS服務(wù)器地址；

第三確定模塊，用于將所述動態(tài)配置信息中的主DNS服務(wù)器地址或者備DNS服務(wù)器地址確定為所述安全配置信息中的備DNS服務(wù)器地址。