CN102571770B - 中间人攻击检测方法、装置、服务器及系统 - Google Patents
中间人攻击检测方法、装置、服务器及系统 Download PDFInfo
- Publication number
- CN102571770B CN102571770B CN201110444212.5A CN201110444212A CN102571770B CN 102571770 B CN102571770 B CN 102571770B CN 201110444212 A CN201110444212 A CN 201110444212A CN 102571770 B CN102571770 B CN 102571770B
- Authority
- CN
- China
- Prior art keywords
- certificate
- server
- domain name
- man
- middle attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种中间人攻击检测方法、装置、服务器及系统。方法包括:从DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址;根据所述多个域服务器的域名分别查找到各域服务器对应的可信地址表;若至少一个域名服务器的地址不在所述域名服务器对应的可信地址表中,则确定受到DNS的中间人攻击。可以快速检测出DNS服务器是否受到中间人攻击。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种中间人攻击检测方法、装置、服务器及系统。
背景技术
网络中有一种钓鱼方式鲜为人知,就是通过中间人攻击的方式来达到钓鱼的目的,它的关注点主要在两个方面:一是域名系统(Domain Name System,简称DNS)的中间人攻击问题,二是证书的中间人攻击问题。
DNS的中间人攻击也称为DNS劫持,攻击者通过劫持DNS服务器取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址,从而实现窃取资料或者破坏原有正常服务的目的。
证书的中间人攻击过程也称为证书劫持,攻击者可以伪造一个网站服务器的证书,当访问者的浏览器访问该网站服务器时,通过DNS劫持或IP伪造的方法使其访问到攻击者的服务器上,然后把伪造的证书公钥发送给访问者的浏览器,以获得浏览器发送的对称密钥,攻击者的服务器把伪造的网页通过收到的对称密钥加密后发送给浏览器,从而可以获得访问者通过浏览器输入的帐户、密码等用户信息。
现有技术中还没有一套针对上述中间人攻击问题的有效解决方案。
发明内容
本发明提供一种中间人攻击检测方法、装置及服务器,用以解决现有技术中存在的中间人攻击的问题。
本发明的第一个方面是提供一种中间人攻击检测方法,包括:
从域名系统DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址;
根据所述多个域服务器的域名分别查找到各域服务器对应的可信地址表;
若至少一个域名服务器的地址不在所述域名服务器对应的可信地址表中,则确定受到DNS的中间人攻击。
本发明的另一个方面是提供一种中间人攻击检测方法,包括:
从网站服务器获取所述网站服务器的证书;
对所述网站服务器的证书进行安全性检测;
若检测不通过,则确定受到证书的中间人攻击。
本发明的又一个方面是提供一种中间人攻击检测装置,包括:
第一获取模块,用于从域名系统DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址;
查找模块,用于根据所述多个域服务器的域名分别查找到各域服务器对应的可信地址表;
第一确定模块,用于若至少一个域名服务器的地址不在所述域名服务器对应的可信地址表中,则确定受到DNS的中间人攻击。
本发明的又一个方面是提供一种中间人攻击检测装置,包括:
第二获取模块,用于从网站服务器获取所述网站服务器的证书;
第二检测模块,用于对所述网站服务器的证书进行安全性检测;
第二确定模块,用于若检测不通过,则确定受到证书的中间人攻击。
本发明的再一个方面是提供一种中间人攻击检测服务器,包括:
如上所述的两种中间人攻击检测装置。
本发明的再一个方面是提供一种中间人攻击检测系统,包括:
如上所述的中间人攻击检测服务器和分布式设置的多个检测探针;
所述多个检测探针分别用于:
周期性地从DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址、从网站服务器获取所述网站服务器的证书,从所述证书中提取出的证书信息,所述证书信息包括有效期、域名、序列号或证书链信息,并将所述多个域服务器的域名和地址、证书信息通过因特网协议安全性IPSec管道发送给所述中间人攻击检测服务器。
本发明的一个技术效果是:通过从DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址,根据所述多个域服务器的域名分别查找到各域服务器对应的可信地址表,若至少一个域名服务器的地址不在所述域名服务器对应的可信地址表中,则确定所述DNS服务器受到DNS的中间人攻击,可以快速检测出DNS服务器是否受到中间人攻击。
本发明的又一个技术效果是:通过从网站服务器获取所述网站服务器的证书,对所述网站服务器的证书进行安全性检测,若检测不通过,则确定所述网站服务器受到证书的中间人攻击,可以快速检测出网站服务器是否受到证书的中间人攻击。
附图说明
图1为本发明实施例一提供的一种中间人攻击检测方法的流程示意图;
图2为本发明实施例二提供的一种中间人攻击检测方法的流程示意图;
图3为本发明实施例三提供的一种中间人攻击检测装置的结构示意图;
图4为本发明实施例四提供的一种中间人攻击检测装置的结构示意图;
图5为本发明实施例五提供的一种中间人攻击检测服务器的结构示意图;
图6为本发明实施例六提供的一种中间人攻击检测系统的结构示意图。
具体实施方式
为了对本发明实施例进行清楚详细的介绍,先对证书的中间人攻击进行进一步地介绍。超文字传输安全协议(Hypertext Transfer Protocol Secure,简称HTTPS)的安全性主要是由安全套接层(Secure Sockets Layer,简称SSL)证书中的公钥和私钥来保证的,浏览器与网站服务器经过HTTPS建立通讯的时候会按照以下步骤保证通讯的安全性:
1、浏览器连接网站服务器,网站服务器把SSL证书的公钥发送给浏览器;
2、浏览器验证此证书中的域名是否和访问的域名一致,比如用户访问https://mail.google.com/时,浏览器验证网站服务器发送过来的SSL证书的公钥中的域名是否为mail.google.com或*.google.com,并且该证书没有过期;
3、如果浏览器验证失败,浏览器通知用户证书有问题,让用户选择是否继续;
4、如果浏览器验证成功,那么浏览器随机生成一个对称密钥并使用接收到的SSL证书的公钥进行加密后,发送给网站服务器;
5、网站服务器通过SSL证书的私钥对收到的信息进行解密,得到浏览器随机生成的对称密钥;
6、网站服务器和浏览器可以通过这个对称密钥进行通讯了。
需要说明的是,本发明实施例中不考虑SSL代理方式需要用户提交证书的情况,因为讨论的是浏览器访问网站服务器,和SSL代理无关。
基于上述浏览器与网站服务器建立通讯的过程,举例来说,攻击者可以按以下步骤实施攻击截取HTTPS通讯中的所有数据:
1、攻击者伪造一个Gmail服务器的SSL证书,使其中的域为mail.google.com或*.google.com,并设置合适的证书有效期;
2、等访问者的浏览器访问Gmail服务器时,攻击者通过DNS劫持或IP伪造的方法使其访问到攻击者的服务器上;
3、攻击者把伪造的SSL证书公钥发送给浏览器;
4、浏览器验证SSL证书的域和有效期都没有问题,认为访问到的就是Gmail服务器,从而把对称密钥发送给攻击者的服务器;
5、攻击者的服务器把伪造的Gmail网页通过收到的对称密钥加密后发送给浏览器;
6、访问者通过浏览器输入Gmail帐户,发送给攻击者的服务器,攻击者的服务器通过收到的对称密钥解密后成功获得访问者的Gmail密码。
图1为本发明实施例一提供的一种中间人攻击检测方法的流程示意图。如图1所示,包括:
101、从DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址。
举例来说,中间人攻击检测装置从DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址。本发明实施例中的中间人攻击检测装置可以设置在一个服务器上,该服务器可以称为中间人攻击检测服务器。通常,DNS服务器中存储有一组顶级域服务器和二级域服务器的域名和IP地址。具体地,可以通过封装底层命令“dig域名+trace”从DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址。
102、根据所述多个域服务器的域名分别查找到各域服务器对应的可信地址表。
具体地,域服务器对应的可信地址表包含域名对应的可信域服务器的地址。通常,可信地址表可以从全球13个根服务器、各省互联网服务提供商(Internet Service Provider,简称ISP),以及客户站点权威域名服务器获取,并定期维护。
103、若至少一个域名服务器的地址不在所述域名服务器对应的可信地址表中,则确定受到DNS的中间人攻击。
另外,若多个域名服务器的地址均在对应的可信地址表中,则确定未受到DNS的中间人攻击。
进一步地,还可以设置一个门限值,当地址不在对应的可信地址表中的域名服务器的个数超过该门限值时,确定受到DNS的中间人攻击,当未超过时,确定未受到DNS的中间人攻击。
进一步地,可以将101-103作为事中监测的过程,在101之前再增加事前防御的过程。具体地,101之前还可以包括:
检测所述DNS服务器的DNS安全扩展(Domain Name System SecurityExtensions,简称DNSSEC)配置是否正确,若不正确,则输出告警信息。
所述检测所述DNS服务器的DNS安全扩展配置是否正确具体包括:
检测所述DNS服务器是否启用了DNSSEC,若启用了则检测所述DNSSEC的信任链是否包含密钥签名密钥(Key Signing Key,简称KSK)和区域签名密钥(Zone Signing Key,简称ZSK),若包含则确定所述DNS服务器的DNSSEC配置正确。
具体地,启用DNSSEC配置相当于增加了一个有效身份验证机制,也就是双方,比如说DNS递归解析服务器和ISP之间在进行信息交互时,如果启用了DNSSEC配置则会验证消息的完整性,如果消息是完整的,说明没有发生DNS劫持。上述事前防御的检测可以直接由中间人攻击检测装置来完成。
进一步地,在事中监测的过程中,可以不由中间人攻击检测装置直接进行监测,而是在全国各大省份部署DNS监测引擎,也称为检测探针。对应地,101具体可以包括:
接收分布式设置的多个检测探针分别通过因特网协议安全性(InternetProtocol Security,简称IPSec)管道发送的、各检测探针周期性地从所述DNS服务器获取的多个域服务器的域名和地址;
将所述多个检测探针分别发送的所述DNS服务器存储的多个域服务器的域名和地址进行合并。
应用中,可以在各身份的一线城市部署检测探针,在二线城市通过代理的模式进行检测。具体地,一线城市的检测探针可以每隔半个小时检测一次DNS服务器,检测过程可以通过用了封装底层命令(dig域名+trace)的程序进行。另外,总部的中间人攻击检测装置收到多个检测探针发送的所述DNS服务器存储的多个域服务器的域名和地址后,还可以进行合并,举例来说,检测探针1发送的域服务器的域名为www.google.com,该域服务器的地址为111.111.111.111,检测探针2发送的域服务器的域名为www.google.com,该域服务器的地址为222.222.222.222,则中间人攻击检测装置合并为域名www.google.com和地址111.111.111.111、地址222.222.222.222,根据域名www.google.com查找到该域服务器对应的可信地址表后,判断地址111.111.111.111、地址222.222.222.222是否都在对应的可信地址表中,若有一个不在则确定受到DNS的中间人攻击。具体地,通过多点检测看是否在某一省份的ISP发生有DNS劫持或者DNS投毒等事件,一旦捕获劫持事件,可以第一时间通知用户在哪个省份发生劫持,让用户时刻处于保护中、免受钓鱼站点DNS劫持的侵扰。
本实施例通过从DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址,根据所述多个域服务器的域名分别查找到各域服务器对应的可信地址表,若至少一个域名服务器的地址不在所述域名服务器对应的可信地址表中,则确定所述DNS服务器受到DNS的中间人攻击,可以快速检测出DNS服务器是否受到中间人攻击。
图2为本发明实施例二提供的一种中间人攻击检测方法的流程示意图。如图2所示,包括:
201、从网站服务器获取所述网站服务器的证书。
举例来说,中间人攻击检测装置从网站服务器获取所述网站服务器的证书。本发明实施例中的中间人攻击检测装置可以设置在一个服务器上,该服务器可以称为中间人攻击检测服务器。具体地,网站服务器的证书可以是SSL证书,获取SSL证书可以通过以下方式实现:模仿用户的行为向网站服务器发起SSL第一次握手请求,包含请求的域以及可以进行协商的多个密钥;网站服务器把它的公钥嵌入到SSL证书发回,其中包含从第一次握手请求的多个密钥中选定的一个密钥;用从网站服务器收到的密钥加密信息,并用公钥再加密后传给网站服务器,当网站服务器可以收到信息并解析成正确的文字,表示一个通信链接成功建立,之后就可以获取网站服务器的证书了。
202、对所述网站服务器的证书进行安全性检测。
具体地,对证书的安全性检测可以包括一个或多个方面,比如有效期、域名、序列号、证书链等。对应地,202可以包括:
根据所述证书的有效期检测所述证书是否有效;或
检测所述证书的域名是否与所述网站服务器的域名一致;或
根据所述证书的序列号检测所述证书是否未被吊销;或
根据所述证书的证书链信息检测所述证书的签发是否安全。
其中,证书中会明确标识其颁发时间和有效截至时间,这个时间段即证书的有效期,如果当前时间在有效期内,则有效期的检测通过。假设该证书是电子商务认证授权机构(Certificate Authority,简称CA)签发的证书且在有效期内,如果有安全问题,CA就要承担责任。
域名就是客户站点,例如百度的域名就是www.baidu.com,证书中的域名可以很直观看到。如果证书中的域名与预设的网站服务器的域名一致,则域名检测通过。
检测证书是否未被吊销可以查看证书吊销列表(Certificate RevocationList,简称CRL),证书中会有链接连到CRL,然后根据证书中其CA颁布的证书序列号查看CRL是否有相同的证书序列号,如果有则说明该证书已被吊销,否则没被吊销,即序列号的检测通过。
证书链信息同样是在证书中有显示,通过证书链信息可以看到签发此证书的上级证书是什么,签自哪里,根证书是什么,等等,如果其中有一级不是官方认可的,则存在极大安全隐患。举例来说,当根证书是CA,且二级证书是由根证书签发,一级级都是可信任机构,那么说明所述证书的签发是安全的,即证书链信息的检测通过。
203、若检测不通过,则确定受到证书的中间人攻击。
具体地,若202中进行了多项安全性检测,则若至少一项检测不通过,则确定受到证书的中间人攻击。
上述201-203可以作为事中监测的过程,进一步地不由中间人攻击检测装置直接进行监测,而是在全国各大省份部署DNS监测引擎,也称为检测探针,通过多点检测看是否在某一省份的ISP发生有证书劫持事件,一旦捕获劫持事件,可以第一时间通知用户在哪个省份发生劫持事件,让用户时刻处于保护中、免受钓鱼站点劫持侵扰。对应地,201具体可以包括:
接收分布式设置的多个检测探针分别通过IPSec管道发送的、各检测探针从周期性地获取的所述网站服务器的证书中提取出的证书信息,所述证书信息包括有效期、域名、序列号或证书链信息;
将所述多个检测探针分别发送的所述证书信息进行合并。
具体地,检测探针获取证书后,从中提取出证书信息,然后将证书信息发给总部的中间人攻击检测装置进行检测。
进一步地,还可以在201之前增加事前防御的过程。具体地,201之前还可以包括:
从所述网站服务器直接获取所述网站服务器的证书;
根据所述证书的有效期检测所述证书是否有效,检测所述证书的域名是否与所述网站服务器的域名一致,根据所述证书的序列号检测所述证书是否未被吊销,根据所述证书的证书链信息检测所述证书的签发是否安全,检测所述证书的证书类型是否是可信类型,检测密钥重新协商机制是否完整,检测用于证书通信的协议以及密钥套件是否安全;
若至少一项检测不通过,则输出告警信息。
其中,证书类型可以从证书中解析出来,证书类型包括扩展验证(Extended Validation,简称EV)证书、普通证书、机构证书这3类,通常认为EV证书、机构证书是可信证书类型。非可信的证书很可能是自己给自己签发的,这样一旦发生证书劫持,很容易造成用户的资金损失。
证书中还可以解析出网站服务器的密钥重新协商机制,密钥重新协商机制是否完整对于预防证书中间人攻击至关重要,主要包括两点:一是网站服务器是否关闭由客户端发起的传统不安全的密钥重新协商机制,二是网站服务器是否支持由客户端发起的安全密钥重新协商机制。
证书中还可以查看到网站服务器用于证书通信的协议和密钥套件,进而判断是否安全。举例来说,认为网站服务器的通信协议支持SSL版本2就是不安全,需支持更高级别的版本,密钥套件的长度在56位以内也认为是不安全的。
应用中,由于证书劫持通常是基于DNS劫持后发生的,因此可以先根据本发明实施例一提供的一种中间人攻击检测方法确定是否受到DNS的中间人攻击,在确定未受到DNS的中间人攻击的情况下,进一步地,根据本发明实施例二提供的一种中间人攻击检测方法确定是否受到证书的中间人攻击。
本实施例通过从网站服务器获取所述网站服务器的证书,对所述网站服务器的证书进行安全性检测,若检测不通过,则确定所述网站服务器受到证书的中间人攻击,可以快速检测出网站服务器是否受到中间人攻击。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图3为本发明实施例三提供的一种中间人攻击检测装置的结构示意图。如图3所示,包括:
第一获取模块31,用于从DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址;
查找模块32,用于根据所述多个域服务器的域名分别查找到各域服务器对应的可信地址表;
第一确定模块33,用于若至少一个域名服务器的地址不在所述域名服务器对应的可信地址表中,则确定受到DNS的中间人攻击。
进一步地,还包括:
第一检测模块34,用于在第一获取模块31从DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址之前,检测所述DNS服务器的DNSSEC配置是否正确,若不正确,则输出告警信息。
进一步地,第一检测模块34具体用于:
检测所述DNS服务器是否启用了DNSSEC,若启用了则检测所述DNSSEC的信任链是否包含KSK和ZSK,若包含则确定所述DNS服务器的DNSSEC配置正确。
进一步地,第一确定模块33还用于:若多个域名服务器的地址均在对应的可信地址表中,则确定未受到DNS的中间人攻击。
进一步地,第一获取模块31具体用于:
接收分布式设置的多个检测探针分别通过IPSec管道发送的、各检测探针周期性地从所述DNS服务器获取的多个域服务器的域名和地址;
将所述多个检测探针分别发送的所述DNS服务器存储的多个域服务器的域名和地址进行合并。
本实施例的具体实现参照本发明实施例一提供的一种中间人攻击检测方法。本实施例通过从DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址,根据所述多个域服务器的域名分别查找到各域服务器对应的可信地址表,若至少一个域名服务器的地址不在所述域名服务器对应的可信地址表中,则确定所述DNS服务器受到DNS的中间人攻击,可以快速检测出DNS服务器是否受到中间人攻击。
图4为本发明实施例四提供的一种中间人攻击检测装置的结构示意图。如图4所示,包括:
第二获取模块41,用于从网站服务器获取所述网站服务器的证书;
第二检测模块42,用于对所述网站服务器的证书进行安全性检测;
第二确定模块43,用于若检测不通过,则确定受到证书的中间人攻击。
进一步地,第二检测模块42具体用于:
根据所述证书的有效期检测所述证书是否有效;或
检测所述证书的域名是否与所述网站服务器的域名一致;或
根据所述证书的序列号检测所述证书是否未被吊销;或
根据所述证书的证书链信息检测所述证书的签发是否安全。
进一步地,第二获取模块41具体用于:
接收分布式设置的多个检测探针分别通过IPSec管道发送的、各检测探针从周期性地获取的所述网站服务器的证书中提取出的证书信息,所述证书信息包括有效期、域名、序列号或证书链信息;
将所述多个检测探针分别发送的所述证书信息进行合并。
进一步地,第二获取模块41还用于:从所述网站服务器直接获取所述网站服务器的证书;
第二检测模块42还用于:
根据所述证书的有效期检测所述证书是否有效,检测所述证书的域名是否与所述网站服务器的域名一致,根据所述证书的序列号检测所述证书是否未被吊销,根据所述证书的证书链信息检测所述证书的签发是否安全,检测所述证书的证书类型是否是可信类型,检测密钥重新协商机制是否完整,检测用于证书通信的协议以及密钥套件是否安全;
第二确定模块43还用于:若至少一项检测不通过,则输出告警信息。
本实施例的具体实现参照本发明实施例二提供的一种中间人攻击检测方法。本实施例通过从网站服务器获取所述网站服务器的证书,对所述网站服务器的证书进行安全性检测,若检测不通过,则确定所述网站服务器受到证书的中间人攻击,可以快速检测出网站服务器是否受到证书的中间人攻击。
图5为本发明实施例五提供的一种中间人攻击检测服务器的结构示意图。如图5所示,包括:第一中间人攻击检测装置51和第二中间人攻击检测装置52,第一中间人攻击检测装置51和第二中间人攻击检测装置52分别为如本发明实施例三和实施例四提供的一种中间人攻击检测装置。
本实施例可以检测出DNS服务器是否受到中间人攻击,以及网站服务器是否受到证书的中间人攻击。进一步地,通过事前防御结合事中监测的方式,有效地全面解决中间人攻击的问题。
图6为本发明实施例六提供的一种中间人攻击检测系统的结构示意图。如图6所示,包括:中间人攻击检测服务器61和分布式设置的多个检测探针62,中间人攻击检测服务器61为如本发明实施例五提供的一种中间人攻击检测服务器;
多个检测探针62分别用于:
周期性地从DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址、从网站服务器获取所述网站服务器的证书,从所述证书中提取出的证书信息,所述证书信息包括有效期、域名、序列号或证书链信息,并将所述多个域服务器的域名和地址、证书信息通过IPSec管道发送给所述中间人攻击检测服务器。
具体地,中间人攻击检测服务器61和多个检测探针62分别通过IPSec管道连接,多个检测探针62分布式设置在各大省份。
本实施例通过总部的服务器结合分布式设置的检测贪占,可以检测出DNS服务器是否受到中间人攻击,以及网站服务器是否受到证书的中间人攻击。进一步地,通过事前防御结合事中监测的方式,有效地全面解决中间人攻击的问题。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (16)
1.一种中间人攻击检测方法,其特征在于,包括
从域名系统DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址;
根据所述多个域服务器的域名分别查找到各域服务器对应的可信地址表;
若至少一个域名服务器的地址不在所述域名服务器对应的可信地址表中,则确定受到DNS的中间人攻击;
其中,所述从域名系统DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址具体包括:
接收分布式设置的多个检测探针分别通过因特网协议安全性IPSec管道发送的、各检测探针周期性地从所述DNS服务器获取的多个域服务器的域名和地址;
将所述多个检测探针分别发送的所述DNS服务器存储的多个域服务器的域名和地址进行合并。
2.根据权利要求1所述的方法,其特征在于,所述从域名系统DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址之前还包括:
检测所述DNS服务器的DNS安全扩展DNSSEC配置是否正确,若不正确,则输出告警信息。
3.根据权利要求2所述的方法,其特征在于,所述检测所述DNS服务器的DNS安全扩展配置是否正确具体包括:
检测所述DNS服务器是否启用了DNSSEC,若启用了则检测所述DNSSEC的信任链是否包含密钥签名密钥KSK和区域签名密钥ZSK,若包含则确定所述DNS服务器的DNSSEC配置正确。
4.根据权利要求1所述的方法,其特征在于,还包括:
若多个域名服务器的地址均在对应的可信地址表中,则确定未受到DNS的中间人攻击。
5.一种中间人攻击检测方法,其特征在于,包括:
从网站服务器获取所述网站服务器的证书;
对所述网站服务器的证书进行安全性检测;
若检测不通过,则确定受到证书的中间人攻击;
其中,所述从网站服务器获取所述网站服务器的证书具体包括:
接收分布式设置的多个检测探针分别通过因特网协议安全性IPSec管道发送的、各检测探针从周期性地获取的所述网站服务器的证书中提取出的证书信息,所述证书信息包括有效期、域名、序列号或证书链信息;
将所述多个检测探针分别发送的所述证书信息进行合并;
其中,所述对所述网站服务器的证书进行安全性检测具体包括:
检测所述网站服务器是否关闭由客户端发起的传统不安全的密钥重新协商机制,和/或检测网站服务器是否支持由客户端发起的安全密钥重新协商机制。
6.根据权利要求5所述的方法,其特征在于,所述对所述网站服务器的证书进行安全性检测还包括:
根据所述证书的有效期检测所述证书是否有效;或
检测所述证书的域名是否与所述网站服务器的域名一致;或
根据所述证书的序列号检测所述证书是否未被吊销;或
根据所述证书的证书链信息检测所述证书的签发是否安全。
7.根据权利要求5或6所述的方法,其特征在于,所述接收分布式设置的多个检测探针分别通过因特网协议安全性IPSec管道发送的、各检测探针从周期性地获取的所述网站服务器的证书中提取出的证书信息之前还包括:
从所述网站服务器直接获取所述网站服务器的证书;
根据所述证书的有效期检测所述证书是否有效,检测所述证书的域名是否与所述网站服务器的域名一致,根据所述证书的序列号检测所述证书是否未被吊销,根据所述证书的证书链信息检测所述证书的签发是否安全,检测所述证书的证书类型是否是可信类型,检测密钥协商机制是否完整,检测用于证书通信的协议以及密钥套件是否安全;
若至少一项检测不通过,则输出告警信息。
8.一种中间人攻击检测装置,其特征在于,包括:
第一获取模块,用于从域名系统DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址;
查找模块,用于根据所述多个域服务器的域名分别查找到各域服务器对应的可信地址表;
第一确定模块,用于若至少一个域名服务器的地址不在所述域名服务器对应的可信地址表中,则确定受到DNS的中间人攻击;
其中,所述第一获取模块具体用于:
接收分布式设置的多个检测探针分别通过因特网协议安全性IPSec管道发送的、各检测探针周期性地从所述DNS服务器获取的多个域服务器的域名和地址;
将所述多个检测探针分别发送的所述DNS服务器存储的多个域服务器的域名和地址进行合并。
9.根据权利要求8所述的装置,其特征在于,还包括:
第一检测模块,用于在所述第一获取模块从域名系统DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址之前,检测所述DNS服务器的DNS安全扩展DNSSEC配置是否正确,若不正确,则输出告警信息。
10.根据权利要求9所述的装置,其特征在于,所述第一检测模块具体用于:
检测所述DNS服务器是否启用了DNSSEC,若启用了则检测所述DNSSEC的信任链是否包含密钥签名密钥KSK和区域签名密钥ZSK,若包含则确定所述DNS服务器的DNSSEC配置正确。
11.根据权利要求8所述的装置,其特征在于,所述第一确定模块还用于:若多个域名服务器的地址均在对应的可信地址表中,则确定未受到DNS的中间人攻击。
12.一种中间人攻击检测装置,其特征在于,包括:
第二获取模块,用于从网站服务器获取所述网站服务器的证书;
第二检测模块,用于对所述网站服务器的证书进行安全性检测;
第二确定模块,用于若检测不通过,则确定受到证书的中间人攻击;
其中,所述第二获取模块具体用于:
接收分布式设置的多个检测探针分别通过因特网协议安全性IPSec管道发送的、各检测探针从周期性地获取的所述网站服务器的证书中提取出的证书信息,所述证书信息包括有效期、域名、序列号或证书链信息;
将所述多个检测探针分别发送的所述证书信息进行合并;
其中,所述第二检测模块具体用于:
检测所述网站服务器是否关闭由客户端发起的传统不安全的密钥重新协商机制,和/或检测网站服务器是否支持由客户端发起的安全密钥重新协商机制。
13.根据权利要求12所述的装置,其特征在于,所述第二检测模块还用于:
根据所述证书的有效期检测所述证书是否有效;或
检测所述证书的域名是否与所述网站服务器的域名一致;或
根据所述证书的序列号检测所述证书是否未被吊销;或
根据所述证书的证书链信息检测所述证书的签发是否安全。
14.根据权利要求12或13所述的装置,其特征在于,所述第二获取模块还用于:从所述网站服务器直接获取所述网站服务器的证书;
所述第二检测模块还用于:
根据所述证书的有效期检测所述证书是否有效,检测所述证书的域名是否与所述网站服务器的域名一致,根据所述证书的序列号检测所述证书是否未被吊销,根据所述证书的证书链信息检测所述证书的签发是否安全,检测所述证书的证书类型是否是可信类型,检测密钥重新协商机制是否完整,检测用于证书通信的协议以及密钥套件是否安全;
所述第二确定模块还用于:若至少一项检测不通过,则输出告警信息。
15.一种中间人攻击检测服务器,其特征在于,包括:
如权利要求8-11中任一项所述的中间人攻击检测装置和如12-14中任一项所述的中间人攻击检测装置。
16.一种中间人攻击检测系统,其特征在于,包括:如权利要求15所述的中间人攻击检测服务器和分布式设置的多个检测探针;
所述多个检测探针分别用于:
周期性地从DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址、从网站服务器获取所述网站服务器的证书,从所述证书中提取出的证书信息,所述证书信息包括有效期、域名、序列号或证书链信息,并将所述多个域服务器的域名和地址、证书信息通过因特网协议安全性IPSec管道发送给所述中间人攻击检测服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110444212.5A CN102571770B (zh) | 2011-12-27 | 2011-12-27 | 中间人攻击检测方法、装置、服务器及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110444212.5A CN102571770B (zh) | 2011-12-27 | 2011-12-27 | 中间人攻击检测方法、装置、服务器及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102571770A CN102571770A (zh) | 2012-07-11 |
| CN102571770B true CN102571770B (zh) | 2015-02-04 |
Family
ID=46416246
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110444212.5A Active CN102571770B (zh) | 2011-12-27 | 2011-12-27 | 中间人攻击检测方法、装置、服务器及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102571770B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102868773B (zh) * | 2012-08-22 | 2015-04-15 | 北京奇虎科技有限公司 | 检测dns黑洞劫持的方法、装置及系统 |
| CN102833258B (zh) * | 2012-08-31 | 2015-09-23 | 北京奇虎科技有限公司 | 网址访问方法及系统 |
| CN105516066B (zh) * | 2014-09-26 | 2019-04-09 | 阿里巴巴集团控股有限公司 | 一种对中间人的存在进行辨识的方法及装置 |
| CN106656455B (zh) * | 2015-07-13 | 2020-11-03 | 腾讯科技(深圳)有限公司 | 一种网站访问方法及装置 |
| CN106161453B (zh) * | 2016-07-21 | 2019-05-03 | 南京邮电大学 | 一种基于历史信息的SSLstrip防御方法 |
| CN106302859B (zh) * | 2016-09-09 | 2019-03-08 | 中国互联网络信息中心 | 一种dnssec否定应答的响应及处理方法 |
| CN106230602B (zh) * | 2016-09-09 | 2019-05-17 | 上海携程商务有限公司 | 数字证书的证书链的完整性检测系统及方法 |
| CN106899579B (zh) * | 2017-02-08 | 2019-12-06 | 北京网康科技有限公司 | 一种中间人攻击的检测方法和装置 |
| US10693893B2 (en) | 2018-01-16 | 2020-06-23 | International Business Machines Corporation | Detection of man-in-the-middle in HTTPS transactions independent of certificate trust chain |
| CN109067768B (zh) * | 2018-08-31 | 2021-11-26 | 赛尔网络有限公司 | 一种域名查询安全性的检测方法、系统、设备和介质 |
| CN110198297B (zh) * | 2018-10-08 | 2022-02-22 | 腾讯科技(深圳)有限公司 | 流量数据监控方法、装置、电子设备及计算机可读介质 |
| CN113452645B (zh) * | 2020-03-24 | 2023-08-15 | 腾讯科技(深圳)有限公司 | 中间人攻击检测方法、装置、计算机设备和存储介质 |
| CN111786781B (zh) * | 2020-06-29 | 2021-03-26 | 友谊时光科技股份有限公司 | 一种ssl证书监控方法、系统、装置、设备及存储介质 |
| CN112491859B (zh) * | 2020-11-20 | 2023-06-20 | 上海连尚网络科技有限公司 | 域名证书检测方法、装置、电子设备和计算机可读介质 |
| CN113794739B (zh) * | 2021-11-16 | 2022-04-12 | 北京邮电大学 | 针对中间人攻击的双层主动防御的方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1564551A (zh) * | 2004-03-16 | 2005-01-12 | 张晴 | 防垃圾邮件的实现方法 |
| CN101431539A (zh) * | 2008-12-11 | 2009-05-13 | 华为技术有限公司 | 一种域名解析方法、系统及装置 |
| CN101827136A (zh) * | 2010-03-30 | 2010-09-08 | 联想网御科技(北京)有限公司 | 域名系统服务器缓存感染的防御方法和网络出口设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282241B (zh) * | 2008-05-04 | 2011-04-13 | 中国科学院计算技术研究所 | 一种自治系统内的实时网络路由拓扑处理系统及方法 |
| CN101848218A (zh) * | 2010-05-14 | 2010-09-29 | 山东泰信电子有限公司 | 一种互联网电视终端安全访问互联网的方法 |
-
2011
- 2011-12-27 CN CN201110444212.5A patent/CN102571770B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1564551A (zh) * | 2004-03-16 | 2005-01-12 | 张晴 | 防垃圾邮件的实现方法 |
| CN101431539A (zh) * | 2008-12-11 | 2009-05-13 | 华为技术有限公司 | 一种域名解析方法、系统及装置 |
| CN101827136A (zh) * | 2010-03-30 | 2010-09-08 | 联想网御科技(北京)有限公司 | 域名系统服务器缓存感染的防御方法和网络出口设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102571770A (zh) | 2012-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102571770B (zh) | 中间人攻击检测方法、装置、服务器及系统 | |
| ES2644593T3 (es) | Método y dispositivo de autentificación de identidad | |
| Akhawe et al. | Here's my cert, so trust me, maybe? Understanding TLS errors on the web | |
| US10009344B2 (en) | Systems and methods for endpoint management classification | |
| US8286225B2 (en) | Method and apparatus for detecting cyber threats | |
| Jarmoc et al. | SSL/TLS interception proxies and transitive trust | |
| Wazid et al. | BSFR-SH: Blockchain-enabled security framework against ransomware attacks for smart healthcare | |
| Bin et al. | A DNS based anti-phishing approach | |
| JP2022545627A (ja) | 分散化されたデータ認証 | |
| WO2015074547A1 (zh) | 一种对网页内容进行认证的方法和浏览器 | |
| CN108370381A (zh) | 用于使用客户端蜜标检测先进攻击者的系统以及方法 | |
| CN102647461A (zh) | 基于超文本传输协议的通信方法、服务器、终端 | |
| Bau et al. | A security evaluation of DNSSEC with NSEC3 | |
| US20170005805A1 (en) | Detecting Compromised Certificate Authority | |
| KR20140106360A (ko) | Otp 인증 시스템 및 방법 | |
| JP2013509840A (ja) | ユーザー認証の方法及びシステム | |
| CA2762706A1 (en) | Method and system for securing communication sessions | |
| Bates et al. | Forced perspectives: Evaluating an SSL trust enhancement at scale | |
| CN109067768B (zh) | 一种域名查询安全性的检测方法、系统、设备和介质 | |
| Osman et al. | Proposed security model for web based applications and services | |
| Liu et al. | A secure cookie scheme | |
| Muhammad et al. | Evaluation of OpenID-Based doublefactor authentication for preventing session hijacking in web applications | |
| CN110830507B (zh) | 资源访问方法、装置、电子设备及系统 | |
| Silva | DNSSEC: The antidote to DNS cache poisoning and other DNS attacks | |
| Venkatesan et al. | Analysis of accounting models for the detection of duplicate requests in web services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 3rd floor, Yitai building, 4 Beiwa Road, Haidian District, Beijing Patentee after: NSFOCUS Technologies Group Co.,Ltd. Address before: 100089 3rd floor, Yitai building, 4 Beiwa Road, Haidian District, Beijing Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |