CN103647783A - 一种基于主动探测的网络中间人攻击定位方法 - Google Patents
一种基于主动探测的网络中间人攻击定位方法 Download PDFInfo
- Publication number
- CN103647783A CN103647783A CN201310713376.2A CN201310713376A CN103647783A CN 103647783 A CN103647783 A CN 103647783A CN 201310713376 A CN201310713376 A CN 201310713376A CN 103647783 A CN103647783 A CN 103647783A
- Authority
- CN
- China
- Prior art keywords
- ttl
- tcp
- user
- assailant
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公布了一种基于主动探测的网络中间人攻击定位方法,包括下述步骤:(1)用户向服务器发送tcp请求,请求报文中TTL值设置为零;(2)用户收到tcp应答,根据应答判断是否有TTL延时;(3)如果发现有TTL延时,则转到步骤(4),如果没有发现TTL延时,则TTL值递增,继续向服务器发送tcp请求,并转向步骤(2);(4)发现此跳出现Strip攻击者;(5)用traceroute工具进行探测,得到攻击者的IP地址信息。本发明通过主动发送tcp请求,根据收到的应答判断是否有中间人攻击,并通过相应的工具得到攻击者的IP地址信息,实现攻击定位。
Description
技术领域
本发明涉及网络安全协议领域,具体而言是一种基于主动探测,在网络中定位特定SSL中间人攻击者的方法。
背景技术
互联网在人们生活中起到的作用也越来越大。正因为如此,网络中传递的信息的安全性也变得越发重要。很多安全协议的出现能够在互联网用户之间建立安全的传输通道,保障了信息的机密性(Confidentiality)、完整性(Integrity) 和可用性(Availability)。如IPSEC(Internet Protocol Security)、SSL(Secure Sockets Layer),Kerberos等常用的安全协议。
然而,这些安全协议也只能够实现相对的安全,从它诞生的第一天起,对于这些协议的攻击就层出不穷。其中,针对协议漏洞进行的中间人攻击是最为常见、也是危害性最大的一种。中间人攻击,又称第三人攻击,它是一种“间接”的入侵攻击,它包括两个步骤,攻击者首先通过会话劫持的手段,使自己处于用户和服务器的中间人位置,以便获取用户和服务器之间的交互报文。随后,攻击者对用户的请求进行代理,从而获取用户的个人信息。比如,2002年提出的SSL Sniff攻击,就是利用了各主流浏览器在检查证书时的一个漏洞,利用这个漏洞,可以让浏览器信任攻击者自己签发的证书,从而做到欺骗用户,进行钓鱼等攻击。
而在各种中间人攻击中,SSL Strip是安全研究员Moxie Marlinspike在2009年2月BlackHat安全会议上提出的一种较为新颖的攻击方式。这种攻击方式的特点在于,攻击者可以在劫持会话后,不需要像别的中间人攻击那样伪造证书、和用户建立另外一个SSL连接,而是可以通过欺骗用户,使其和攻击者建立一个不安全的http连接,由攻击者代理和服务器建立https连接。这样一来,攻击者就可以直接获得用户发送的明文信息。
发明内容
本发明目的在于能够提供一种基于主动探测技术,在网络中定位中间人攻击者的方法。以便在确认出现了SSL中间人攻击后,能够确定攻击者的IP地址,对于侦查、取证有很大的帮助。
本发明基于这样一个事实,即中间人攻击者事实上是在用户和服务器之间做了一个Web应用代理,攻击者将用户的http报文进行了修改,重新构造,发往服务器,对服务器发回的报文也进行类似的操作。
因此,我们如果在发送的报文中加入一些特殊的特征信息,因为攻击者对我们的报文进行了代理,所以,这些信息将被更改。如果我们能够获得这样的反馈信息,知道我们的报文被这样修改过了,那么我们就可以知道在哪个位置出现了攻击者。
本发明提出了一种方法,能够通过发送不同TTL值的报文,来检测在哪一跳上出现了可能存在的中间人攻击者。如果在某一跳上的路由器发现了TTL超时,正常情况下应该能够返回一个ICMP: Time to live exceed的报文。但是,如果在这一跳上正好出现了Strip攻击者的话,那么当它检查到用户的报文是对于某个地址的80端口的访问时,会无视TTL的超时,而将这个请求进行代理,因此,我们会收到服务器端发来的ack报文,通过修改TTL的值,我们就可以发现在哪一跳上出现了可能的攻击者。
同时,获得攻击者的跳数之后,我们就可以利用traceroute工具进行探测,得到攻击者的IP地址信息。
其具体流程如下:
(1) 用户向服务器发送tcp请求,请求报文中TTL值设置为零;
(2) 用户收到tcp应答,根据应答判断是否有TTL延时;
(3) 如果发现有TTL延时,则转到步骤(4),如果没有发现TTL延时,则TTL值递增,继续向服务器发送tcp请求,并转向步骤(2);
(4) 发现此跳出现Strip攻击者;
(5) 用traceroute工具进行探测,得到攻击者的IP地址信息。
本发明通过主动发送tcp请求,根据收到的应答判断是否有中间人攻击,并通过相应的工具得到攻击者的IP地址信息,实现攻击定位。
附图说明
图 1 为本发明流程示意图。
图 2 为收到服务器的tcp ack报文图。
图 3 为发现攻击者的IP地址信息图。
具体实施方式
如图1所示一种基于主动探测的网络中间人攻击定位方法,包括下述步骤:
(1) 用户向服务器发送tcp请求,请求报文中TTL值设置为零;
(2) 用户收到tcp应答,根据应答判断是否有TTL延时;
(3) 如果发现有TTL延时,则转到步骤(4),如果没有发现TTL延时,则TTL值递增,继续向服务器发送tcp请求,并转向步骤(2);
(4) 发现此跳出现Strip攻击者;
(5) 用traceroute工具进行探测,得到攻击者的IP地址信息。
为了发送有特定TTL值的报文,因此需要能够实现一个发送自己构造的报文的程序,用其发送一个自己封装的tcp报文。使用perl进行了设计,使用的是Raw Socket进行实现。在封装IP头部域的时候,我把TTL值进行了更改,然后进行封装。在windows XP SP2之后的系统中,出于安全的考虑,不再允许Raw Socket发送Tcp报文,为此,在linux下进行了这个实验。
在程序最开始的时候,TTL的值是零,然后检测后TTL+1后再进行检测,直到找出进行Strip的节点为止。
my $ip_ver = 4;
my $ip_len = 5;
my $ip_ver_len = $ip_ver.$ip_len;
my $ip_tos = 00;
my ($ip_tot_len) = $tcp_len + 20;
my $ip_frag_id = 19245;
my $ip_frag_flag = "010";
my $ip_frag_oset = "0000000000000";
my $ip_fl_fr = $ip_frag_flag . $ip_frag_oset;
my $ip_ttl = 0;
my ($pkt) = pack('H2H2nnB16C2na4a4nnNNH2B8nvn',
$ip_ver_len,$ip_tos,$ip_tot_len,$ip_frag_id,
$ip_fl_fr,$ip_ttl,$tcp_proto,$zero_cksum,$src_host,
$dst_host,$src_port,$dst_port,$syn,$ack,$tcp_head_reserved,
$tcp_all,$tcp_win,$tcp_checksum,$tcp_urg_ptr);
发送这样的报文后,如果在某一跳(根据TTL值设定)出现了攻击者,我们就能够收到如图2所示的服务器的tcp ack报文。
配合traceroute工具,我们就能发现攻击者的IP地址,图3中IP地址192.168.207.128的为攻击者的IP地址。
Claims (1)
1.一种基于主动探测的网络中间人攻击定位方法,包括下述步骤:
(1)用户向服务器发送tcp请求,请求报文中TTL值设置为零;
(2)用户收到tcp应答,根据应答判断是否有TTL延时;
(3)如果发现有TTL延时,则转到步骤(4),如果没有发现TTL延时,则TTL值递增,继续向服务器发送tcp请求,并转向步骤(2);
(4)发现此跳出现Strip攻击者;
(5)用traceroute工具进行探测,得到攻击者的IP地址信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310713376.2A CN103647783A (zh) | 2013-12-23 | 2013-12-23 | 一种基于主动探测的网络中间人攻击定位方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310713376.2A CN103647783A (zh) | 2013-12-23 | 2013-12-23 | 一种基于主动探测的网络中间人攻击定位方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103647783A true CN103647783A (zh) | 2014-03-19 |
Family
ID=50252939
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310713376.2A Pending CN103647783A (zh) | 2013-12-23 | 2013-12-23 | 一种基于主动探测的网络中间人攻击定位方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103647783A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187406A (zh) * | 2015-08-14 | 2015-12-23 | 安徽新华博信息技术股份有限公司 | 可配置方式的https的中间人监听系统 |
| WO2019142066A1 (en) * | 2018-01-16 | 2019-07-25 | International Business Machines Corporation | Detection of man-in-the-middle in https transactions |
| CN110351234A (zh) * | 2018-04-08 | 2019-10-18 | 中国移动通信集团安徽有限公司 | 网页非法重定向的定位方法、装置、系统和设备 |
| CN110557355A (zh) * | 2018-05-31 | 2019-12-10 | 上海连尚网络科技有限公司 | 一种用于通过用户设备检测中间人攻击的方法与设备 |
| CN112311724A (zh) * | 2019-07-26 | 2021-02-02 | 贵州白山云科技股份有限公司 | 一种定位http劫持的方法、装置、介质及设备 |
| CN113233269A (zh) * | 2021-05-12 | 2021-08-10 | 广州广日电梯工业有限公司 | 电梯网络受攻击的诊断方法以及诊断装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582833A (zh) * | 2008-05-15 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 一种伪造ip数据包的处理方法及装置 |
| CN103428032A (zh) * | 2013-08-19 | 2013-12-04 | 杭州华三通信技术有限公司 | 一种攻击定位、辅助定位装置和方法 |
-
2013
- 2013-12-23 CN CN201310713376.2A patent/CN103647783A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582833A (zh) * | 2008-05-15 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 一种伪造ip数据包的处理方法及装置 |
| CN103428032A (zh) * | 2013-08-19 | 2013-12-04 | 杭州华三通信技术有限公司 | 一种攻击定位、辅助定位装置和方法 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187406A (zh) * | 2015-08-14 | 2015-12-23 | 安徽新华博信息技术股份有限公司 | 可配置方式的https的中间人监听系统 |
| WO2019142066A1 (en) * | 2018-01-16 | 2019-07-25 | International Business Machines Corporation | Detection of man-in-the-middle in https transactions |
| US10693893B2 (en) | 2018-01-16 | 2020-06-23 | International Business Machines Corporation | Detection of man-in-the-middle in HTTPS transactions independent of certificate trust chain |
| GB2583431A (en) * | 2018-01-16 | 2020-10-28 | Ibm | Detection of man-in-the-middle in HTTPS transactions |
| GB2583431B (en) * | 2018-01-16 | 2021-03-17 | Ibm | Detection of man-in-the-middle in HTTPS transactions |
| US11165796B2 (en) | 2018-01-16 | 2021-11-02 | International Business Machines Corporation | Detection of man-in-the-middle in HTTPS transactions independent of certificate trust chain |
| CN110351234A (zh) * | 2018-04-08 | 2019-10-18 | 中国移动通信集团安徽有限公司 | 网页非法重定向的定位方法、装置、系统和设备 |
| CN110557355A (zh) * | 2018-05-31 | 2019-12-10 | 上海连尚网络科技有限公司 | 一种用于通过用户设备检测中间人攻击的方法与设备 |
| CN110557355B (zh) * | 2018-05-31 | 2021-07-27 | 上海连尚网络科技有限公司 | 一种用于通过用户设备检测中间人攻击的方法与设备 |
| CN112311724A (zh) * | 2019-07-26 | 2021-02-02 | 贵州白山云科技股份有限公司 | 一种定位http劫持的方法、装置、介质及设备 |
| CN113233269A (zh) * | 2021-05-12 | 2021-08-10 | 广州广日电梯工业有限公司 | 电梯网络受攻击的诊断方法以及诊断装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103647783A (zh) | 一种基于主动探测的网络中间人攻击定位方法 | |
| US10110455B2 (en) | Service latency monitoring using two way active measurement protocol | |
| EP3395043B1 (en) | Rule-based network-threat detection for encrypted communications | |
| Maxa et al. | Secure routing protocol design for UAV ad hoc networks | |
| EP3142327A1 (en) | Intermediate network entity | |
| US20140373138A1 (en) | Method and apparatus for preventing distributed denial of service attack | |
| WO2007056691A3 (en) | Systems and methods for remote rogue protocol enforcement | |
| Saputra et al. | Detecting and blocking onion router traffic using deep packet inspection | |
| Merlo et al. | A comparative performance evaluation of DNS tunneling tools | |
| US20120227088A1 (en) | Method for authenticating communication traffic, communication system and protective apparatus | |
| CN110198297B (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
| US10263975B2 (en) | Information processing device, method, and medium | |
| WO2011079149A3 (en) | Systems and methods for listening policies for virtual servers of an appliance | |
| US20170180518A1 (en) | Authentication system, method, client and recording medium using tcp sync packet | |
| Han et al. | Practical security analysis for the constrained node networks: Focusing on the dtls protocol | |
| CA2834147C (en) | Device arrangement for implementing remote control of properties | |
| Darwish et al. | Vulnerability Assessment and Experimentation of Smart Grid DNP3. | |
| Sălăgean et al. | Iot applications based on mqtt protocol | |
| CN110753014B (zh) | 基于流量转发的威胁感知方法、设备、装置及存储介质 | |
| Korcák et al. | Intrusion prevention/intrusion detection system (ips/ids) for wifi networks | |
| CN103401751B (zh) | 因特网安全协议隧道建立方法和装置 | |
| Kumar et al. | Traffic forensics for ipv6-based wireless sensor networks and the internet of things | |
| Abdou et al. | Location verification on the internet: Towards enforcing location-aware access policies over internet clients | |
| EP3328032B1 (en) | Network proxy detection | |
| Asim et al. | Iot operating systems and security challenges |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140319 |