CN106453610B - 面向运营商骨干网的https数据流审计方法和系统 - Google Patents
面向运营商骨干网的https数据流审计方法和系统 Download PDFInfo
- Publication number
- CN106453610B CN106453610B CN201610988679.9A CN201610988679A CN106453610B CN 106453610 B CN106453610 B CN 106453610B CN 201610988679 A CN201610988679 A CN 201610988679A CN 106453610 B CN106453610 B CN 106453610B
- Authority
- CN
- China
- Prior art keywords
- access
- data message
- client
- message
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1036—Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种面向运营商骨干网的HTTPS数据流审计方法和系统。所述方法包括:采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;当访问数据报文为明文时,通过SSLstrip审计服务器审计访问数据报文。本发明的方法无需向骨干网中插入审计设备,不干扰骨干网的传输速度,能保障对客户端发送明文的审计工作顺利进行,且不干扰客户端对目标网站的加密访问。
Description
技术领域
本发明涉及HTTPS审计技术领域,特别涉及一种面向运营商骨干网的HTTPS数据流审计方法和系统。
背景技术
安全套接字层超文本传输协议(Hyper Text Transfer Protocol over SecureSocket Layer,简称“HTTPS”)是通过利用安全套接子层(Secure Socket Layer,简称“SSL”)来进行加密传输的传输协议,相当于在传统的超文本传输协议(Hyper TextTransfer Protocol,简称“HTTP”)中加入SSL层,由于其安全性而被广泛用于客户端与网站之间的敏感信息传输。
当前对HTTPS数据流审计的通用方法,为采用中间人技术对客户端发往服务器端的数据流进行代理转发,例如:SSLstrip技术是一种不要求客户端安装审计设备证书的中间人技术,其基本原理是在客户端与服务器建立连接时,在审计设备与服务器之间形成HTTPS连接,而在客户端与审计设备之间形成HTTP连接,即将SSL层从原HTTPS连接中“剥离”。这样既能对客户端发送的报文进行审计,又能实现客户端与服务器之间的加密传输。
但是,上述方法主要是用于网络流量较小的网络环境下(例如:网络流量低于1Gbps),如果是对骨干网络中的数据进行审计的话,由于其网络流量较大,一旦在骨干网络链接中插入审计设备,则会严重影响到骨干网络的数据传输速度,甚至会引发骨干网络链路中段的情况,至使大面积的网路用户受到影响。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种面向运营商骨干网的HTTPS数据流审计方法和系统。所述技术方案如下:
一方面,本发明实施例提供了一种面向运营商骨干网的HTTPS数据流审计方法,包括:
采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;
根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;
解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;
当访问数据报文为明文时,通过SSLstrip审计服务器审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;
根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;
判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,所述HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站;
如果反馈信息中包含HTTPS访问方式请求,则通过SSLstrip审计服务器将其转化为相应的HTTP访问方式请求,并发送至客户端。
在本发明实施例上述的面向运营商骨干网的HTTPS数据流审计方法中,所述当访问数据报文为明文时,通过SSLstrip审计服务器审计并加密访问数据报文,包括:
当访问数据报文为明文时,采用负载均衡的方式,通过多个SSLstrip审计服务器来审计访问数据报文。
在本发明实施例上述的面向运营商骨干网的HTTPS数据流审计方法中,当访问数据报文为明文时,访问数据报文为客户端访问目标网站服务器端口80时发送出的报文。
在本发明实施例上述的面向运营商骨干网的HTTPS数据流审计方法中,所述方法还包括:
当访问数据报文为加密报文时,根据预设的欺骗IP与真实IP之间的对应关系,将访问数据报文中的欺骗IP修正为对应的真实IP,并将修正后的访问数据报文发送至运营商骨干网中。
在本发明实施例上述的面向运营商骨干网的HTTPS数据流审计方法中,当访问数据报文为加密报文时,访问数据报文为客户端访问目标网站服务器端口443时发送出的报文。
另一方面,本发明实施例提供了一种面向运营商骨干网的HTTPS数据流审计系统,包括:
DNS欺骗服务器,与接入运营商骨干网的客户端连接,用于采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;
所述DNS欺骗服务器,还用于根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;
前置解析设备,与接入运营商骨干网的客户端连接,用于解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;
SSLstrip审计服务器,与所述前置解析设备连接,用于当访问数据报文为明文时,审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;
IP代理服务器,用于根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;
SSLstrip审计服务器,还用于判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,所述HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站;
SSLstrip审计服务器,还用于当反馈信息中包含HTTPS访问方式请求时,将其转化为相应的HTTP访问方式请求,并发送至客户端。
在本发明实施例上述的面向运营商骨干网的HTTPS数据流审计系统中,包括:多个SSLstrip审计服务器,
前置解析设备,还用于当访问数据报文为明文时,通过负载均衡的方式,为多个SSLstrip审计服务器分配访问数据报文。
在本发明实施例上述的面向运营商骨干网的HTTPS数据流审计系统中,访问数据报文为明文时,访问数据报文为客户端访问目标网站服务器端口80时发送出的报文。
在本发明实施例上述的面向运营商骨干网的HTTPS数据流审计系统中,所述前置解析设备,还用于当访问数据报文为加密报文时,根据预设的欺骗IP与真实IP之间的对应关系,将访问数据报文中的欺骗IP修正为对应的真实IP,并将修正后的访问数据报文发送至运营商骨干网中。
在本发明实施例上述的面向运营商骨干网的HTTPS数据流审计系统中,当访问数据报文为加密报文时,访问数据报文为客户端访问目标网站服务器端口443时发送出的报文。
本发明实施例提供的技术方案带来的有益效果是:
通过采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;然后,根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;然后,解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;并且,当访问数据报文为明文时,通过SSLstrip审计服务器审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;然后,根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;最后,判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,并当反馈信息中包含HTTPS访问方式请求时,通过SSLstrip审计服务器将其转化为相应的HTTP访问方式请求,并发送至客户端。该面向运营商骨干网的HTTPS数据流审计方法,采用旁路分光的方式来获取运营商骨干网中客户端发送DNS请求,避免了向骨干网中插入审计设备的问题,能有效避免因审计需求,而降低骨干网传输速度的问题;而且,该方法在对客户端发送的明文形式的访问数据报文进行审计的同时,还会将目标网站服务器反馈的HTTPS访问方式请求修改为相应的HTTP访问方式请求,使得客户端在后续访问时,以SSLstrip审计服务器能够进行审计的明文形式发送访问数据报文,保障了审计工作的顺利进行。此外,该方法针对无法审计的加密访问数据,会引导回骨干网络中,保障了用户的正常加密访问。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的一种面向运营商骨干网的HTTPS数据流审计方法流程图;
图2是本发明实施例一提供的一种域名、欺骗IP、以及真实IP之间对应关系的示例图;
图3是本发明实施例一提供的一种面向运营商骨干网的HTTPS数据流审计方法流程图;
图4是本发明实施例二提供的一种面向运营商骨干网的HTTPS数据流审计系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
本发明实施例提供了一种面向运营商骨干网的HTTPS数据流审计方法,适用于对运营商大流量骨干网络(网络流量在1Gbps以上)的HTTPS数据流审计,参见图1,该方法可以包括:
步骤S11,采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求。
在本实施例中,骨干网是用来连接多个区域或地区的高速网络,运营商的骨干网络的流量一般较大,针对这类网络进行网络安全审计时,如果在骨干网络中间串入审计设备,会严重影响骨干网的传输速度,甚至会引发骨干网链路中断。因此,为了避免在骨干网中串入审计设备,采用旁路分光的方式,从骨干网中,获取客户端发送的DNS请求,并解析出DNS请求中携带的目标网站的域名,能有效避免上述问题。
步骤S12,根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息。
在本实施例中,为了能对客户端与目标网址之间传输的数据进行安全审计,将客户端发送的DNS请求发出响应信息,并在该响应信息中携带欺骗IP,以使客户端将其访问数据请求按照欺骗IP,发送到所需的审计服务器中。其中,参见图2,域名与欺骗IP之间的对应关系可以形成相应的对照表,并且,欺骗IP与真实IP之间也同时存在相应的对应关系,这样,就可以还原域名与真实IP之间的对应关系。例如:当用户想要访问www.website1.com时,客户端接收到的响应信息中会携带欺骗IP(192.168.100.3),而非其对应的真实IP(202.13.0.1)。
步骤S13,解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文。
在本实施例中,客户端发送的访问数据报文可以是明文发送的(例如采用HTTP形式),也可以是采用加密报文形式发送的(例如采用HTTPS形式),该面向运营商骨干网的HTTPS审计方式,主要是针对明文形式的访问数据报文进行审计的。因此,当访问数据报文为明文时,执行步骤S14;相应地,参见图3,当访问数据报文为加密报文时(即为非明文时),执行步骤S18。
具体地,当访问数据报文为明文时,该访问数据报文可以为客户端访问服务器端口80时发送出的报文;当访问数据报文为加密报文时,该访问数据报文可以为客户端访问服务器端口443时发送出的报文。
步骤S14,通过SSLstrip审计服务器审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP。
在本实施例中,对于明文形式的访问数据报文,可以通过SSLstrip审计服务器对其进行安全审计,并将审计后的访问数据报文转发至真实IP所对应的目标网站。
在本实时中,上述步骤S14还可以通过如下方式实现:
当访问数据报文为明文时,采用负载均衡的方式,通过多个SSLstrip审计服务器来审计访问数据报文。
在本实施例中,通过负责均衡的方式,将客户端发送的多项明文形式的访问数据报文,分别配置到多个SSLstrip审计服务器中,这样可以加快审计和转发速度,保障了用户的正常访问速度。
步骤S15,根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站。
在本实施例中,对于客户端发送的明文形式的访问数据报文,将直接以原来的访问形式(HTTP访问形式)转发至目标网站服务器中,并等待目标网站服务器对访问数据报文回复反馈信息。
需要说明的是,目标网站服务器回复的反馈信息中,可以包含有HTTPS访问方式请求(HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站),也可以包含有HTTP反问方式请求(HTTP访问方式请求用于请求客户端以HTTP的访问方式访问目标网站),因此,针对目标网站服务器的反馈信息,有如下步骤进行处理。
步骤S16,判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,该HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站。当反馈信息中包含有HTTPS访问方式请求时,执行步骤S17,当反馈信息中包含有HTTP访问方式请求时,直接将反馈信息发送至客户端。
步骤S17,通过SSLstrip审计服务器将反馈信息中包含的HTTPS访问方式请求转化为相应的HTTP访问方式请求,并发送至客户端。
在本实施例中,通过SSLstrip审计服务器将反馈信息中包含的HTTPS访问方式请求转化为相应的HTTP访问方式请求,并发送至客户端,这样可以使得客户端在之后的访问目标网站时,以HTTP的访问方式进行访问,进而使得SSLstrip审计服务器能对客户端的访问数据报文进行审计,保障了审计工作的顺利进行。此外,需要说明的是,目标网站服务器在反馈信息时,可以以HTTPS的方式进行信息反馈,SSLstrip审计服务器不会对HTTPS方式发送的反馈信息进行修改,并以同样的方式将其转发给客户端,这样保障了目标网站对客户端的HTTPS方式的信息反馈。
步骤S18,根据预设的欺骗IP与真实IP之间的对应关系,将访问数据报文中的欺骗IP修正为对应的真实IP,并将修正后的访问数据报文发送至运营商骨干网中。
在本实施例中,对于SSLstrip审计服务器无法进行审计的加密形式的访问数据报文,通过修正IP的方式,将客户端发送的访问数据报文,引导会骨干网中,以便客户端以HTTPS的访问方式访问目标网站,这样在对客户端与目标网站之间进行安全审计时,又不会影响到客户端与目标网站之间的加密数据流的传输,保障了用户的正常加密访问。
本发明实施例通过采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;然后,根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;然后,解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;并且,当访问数据报文为明文时,通过SSLstrip审计服务器审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;然后,根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;最后,判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,并当反馈信息中包含HTTPS访问方式请求时,通过SSLstrip审计服务器将其转化为相应的HTTP访问方式请求,并发送至客户端。该面向运营商骨干网的HTTPS数据流审计方法,采用旁路分光的方式来获取运营商骨干网中客户端发送DNS请求,避免了向骨干网中插入审计设备的问题,能有效避免因审计需求,而降低骨干网传输速度的问题;而且,该方法在对客户端发送的明文形式的访问数据报文进行审计的同时,还会将目标网站服务器反馈的HTTPS访问方式请求修改为相应的HTTP访问方式请求,使得客户端在后续访问时,以SSLstrip审计服务器能够进行审计的明文形式发送访问数据报文,保障了审计工作的顺利进行。此外,该方法针对无法审计的加密访问数据,会引导回骨干网络中,保障了用户的正常加密访问。
实施例二
本发明实施例提供了一种面向运营商骨干网的HTTPS数据流审计系统,采用了实施例一所述的方法,参见图4,该系统可以包括:
DNS欺骗服务器100,与接入运营商骨干网的客户端连接,用于采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求。
在本实施例中,骨干网是用来连接多个区域或地区的高速网络(例如在图4中,是由两个不同的路由器之间的连接链路),运营商的骨干网络的流量一般较大,针对这类网络进行网络安全审计时,如果在骨干网络中间串入审计设备,会严重影响骨干网的传输速度,甚至会引发骨干网链路中断。因此,为了避免在骨干网中串入审计设备,采用旁路分光的方式,从骨干网中,获取客户端发送的DNS请求,并解析出DNS请求中携带的目标网站的域名,能有效避免上述问题。
DNS欺骗服务器100,还用于根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息。
在本实施例中,为了能对客户端与目标网址之间传输的数据进行安全审计,将客户端发送的DNS请求发出响应信息,并在该响应信息中携带欺骗IP,以使客户端将其访问数据请求按照欺骗IP,发送到所需的审计服务器中。
前置解析设备200,与接入运营商骨干网的客户端连接,用于解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文。
在本实施例中,客户端发送的访问数据报文可以是明文发送的(例如采用HTTP形式),也可以是采用加密报文形式发送的(例如采用HTTPS形式),该面向运营商骨干网的HTTPS审计方式,主要是针对明文形式的访问数据报文进行审计的。
具体地,当访问数据报文为明文时,该访问数据报文可以为客户端访问服务器端口80时发送出的报文;当访问数据报文为加密报文时,该访问数据报文可以为客户端访问服务器端口443时发送出的报文。
SSLstrip审计服务器300,与所述前置解析设备200连接,用于当访问数据报文为明文时,审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP。
在本实施例中,对于明文形式的访问数据报文,可以通过SSLstrip审计服务器300对其进行安全审计,并将审计后的访问数据报文转发至真实IP所对应的目标网站。
具体地,该系统可以包含多个SSLstrip审计服务器300,在此基础上,前置解析设备200,还用于当访问数据报文为明文时,通过负载均衡的方式,为多个SSLstrip审计服务器300分配访问数据报文。
在本实施例中,通过负责均衡的方式,将客户端发送的多项明文形式的访问数据报文,分别配置到多个SSLstrip审计服务器300中,这样可以加快审计和转发速度,保障了用户的正常访问速度。
IP代理服务器400,用于根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站。
在本实施例中,对于客户端发送的明文形式的访问数据报文,将直接以原来的访问形式(HTTP访问形式)转发至目标网站服务器中,并等待目标网站服务器对访问数据报文回复反馈信息。
需要说明的是,目标网站服务器回复的反馈信息中,可以包含有HTTPS访问方式请求(HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站),也可以包含有HTTP反问方式请求(HTTP访问方式请求用于请求客户端以HTTP的访问方式访问目标网站)。
SSLstrip审计服务器300,还用于判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站。
SSLstrip审计服务器300,还用于当反馈信息中包含HTTPS访问方式请求时,将其转化为相应的HTTP访问方式请求,并发送至客户端。
在本实施例中,当反馈信息中包含有HTTP访问方式请求时,SSLstrip审计服务器300会直接将反馈信息发送至客户端。
在本实施例中,SSLstrip审计服务器300会将反馈信息中包含的HTTPS访问方式请求转化为相应的HTTP访问方式请求,并发送至客户端,这样可以使得客户端在之后的访问目标网站时,以HTTP的访问方式进行访问,进而使得SSLstrip审计服务器300能对客户端的访问数据报文进行审计,保障了审计工作的顺利进行。此外,需要说明的是,目标网站服务器在反馈信息时,可以以HTTPS的方式进行信息反馈,SSLstrip审计服务器300不会对HTTPS方式发送的反馈信息进行修改,并以同样的方式将其转发给客户端,这样保障了目标网站对客户端的HTTPS方式的信息反馈。
进一步地,前置解析设备200,还用于当访问数据报文为加密报文时,根据预设的欺骗IP与真实IP之间的对应关系,将访问数据报文中的欺骗IP修正为对应的真实IP,并将修正后的访问数据报文发送至运营商骨干网中。
在本实施例中,对于SSLstrip审计服务器无法进行审计的加密形式的访问数据报文,通过修正IP的方式,将客户端发送的访问数据报文,引导会骨干网中,以便客户端以HTTPS的访问方式访问目标网站,这样在对客户端与目标网站之间进行安全审计时,又不会影响到客户端与目标网站之间的加密数据流,保障了用户的正常加密访问。
本发明实施例通过采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;然后,根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;然后,解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;并且,当访问数据报文为明文时,通过SSLstrip审计服务器审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;然后,根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;最后,判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,并当反馈信息中包含HTTPS访问方式请求时,通过SSLstrip审计服务器将其转化为相应的HTTP访问方式请求,并发送至客户端。该面向运营商骨干网的HTTPS数据流审计系统,采用旁路分光的方式来获取运营商骨干网中客户端发送DNS请求,避免了向骨干网中插入审计设备的问题,能有效避免因审计需求,而降低骨干网传输速度的问题;而且,该系统在对客户端发送的明文形式的访问数据报文进行审计的同时,还会将目标网站服务器反馈的HTTPS访问方式请求修改为相应的HTTP访问方式请求,使得客户端在后续访问时,以SSLstrip审计服务器能够进行审计的明文形式发送访问数据报文,保障了审计工作的顺利进行。此外,该系统针对无法审计的加密访问数据,会引导回骨干网络中,保障了用户的正常加密访问。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种面向运营商骨干网的HTTPS数据流审计方法,其特征在于,包括:
采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;
根据获取到的DNS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;
解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;
当访问数据报文为明文时,通过SSLstrip审计服务器审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;
根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;
判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,所述HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站;
如果反馈信息中包含HTTPS访问方式请求,则通过SSLstrip审计服务器将其转化为相应的HTTP访问方式请求,并发送至客户端;HTTP访问方式请求用于请求客户端以HTTP的访问方式访问目标网站。
2.根据权利要求1所述的方法,其特征在于,所述当访问数据报文为明文时,通过SSLstrip审计服务器审计并加密访问数据报文,包括:
当访问数据报文为明文时,采用负载均衡的方式,通过多个SSLstrip审计服务器来审计访问数据报文。
3.根据权利要求1所述的方法,其特征在于,当访问数据报文为明文时,访问数据报文为客户端访问目标网站服务器端口80时发送出的报文。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当访问数据报文为加密报文时,根据预设的欺骗IP与真实IP之间的对应关系,将访问数据报文中的欺骗IP修正为对应的真实IP,并将修正后的访问数据报文发送至运营商骨干网中。
5.根据权利要求4所述的方法,其特征在于,当访问数据报文为加密报文时,访问数据报文为客户端访问目标网站服务器端口443时发送出的报文。
6.一种面向运营商骨干网的HTTPS数据流审计系统,其特征在于,包括:
DNS欺骗服务器(100),与接入运营商骨干网的客户端连接,用于采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;
所述DNS欺骗服务器(100),还用于根据获取到的DNS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;
前置解析设备(200),与接入运营商骨干网的客户端连接,用于解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;
SSLstrip审计服务器(300),与所述前置解析设备(200)连接,用于当访问数据报文为明文时,审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;
IP代理服务器(400),用于根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;
SSLstrip审计服务器(300),还用于判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,所述HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站;
SSLstrip审计服务器(300),还用于当反馈信息中包含HTTPS访问方式请求时,将其转化为相应的HTTP访问方式请求,并发送至客户端;HTTP访问方式请求用于请求客户端以HTTP的访问方式访问目标网站。
7.根据权利要求6所述的系统,其特征在于,包括:多个SSLstrip审计服务器(300),
前置解析设备(200),还用于当访问数据报文为明文时,通过负载均衡的方式,为多个SSLstrip审计服务器(300)分配访问数据报文。
8.根据权利要求7所述的系统,其特征在于,当访问数据报文为明文时,访问数据报文为客户端访问目标网站服务器端口80时发送出的报文。
9.根据权利要求6所述的系统,其特征在于,所述前置解析设备(200),还用于当访问数据报文为加密报文时,根据预设的欺骗IP与真实IP之间的对应关系,将访问数据报文中的欺骗IP修正为对应的真实IP,并将修正后的访问数据报文发送至运营商骨干网中。
10.根据权利要求9所述的系统,其特征在于,当访问数据报文为加密报文时,访问数据报文为客户端访问目标网站服务器端口443时发送出的报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610988679.9A CN106453610B (zh) | 2016-11-09 | 2016-11-09 | 面向运营商骨干网的https数据流审计方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610988679.9A CN106453610B (zh) | 2016-11-09 | 2016-11-09 | 面向运营商骨干网的https数据流审计方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106453610A CN106453610A (zh) | 2017-02-22 |
CN106453610B true CN106453610B (zh) | 2019-08-09 |
Family
ID=58208369
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610988679.9A Active CN106453610B (zh) | 2016-11-09 | 2016-11-09 | 面向运营商骨干网的https数据流审计方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106453610B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107835226A (zh) * | 2017-09-27 | 2018-03-23 | 五八有限公司 | 应用程序的超文本传输协议接口处理方法及装置 |
CN109905352B (zh) * | 2017-12-11 | 2022-02-22 | 亿阳安全技术有限公司 | 一种基于加密协议审计数据的方法、装置和存储介质 |
CN108259621B (zh) * | 2018-02-02 | 2021-04-09 | 任子行网络技术股份有限公司 | 一种针对网吧的https内容的审计方法和装置 |
CN112995119A (zh) * | 2019-12-18 | 2021-06-18 | 北京国双科技有限公司 | 一种数据监测方法及装置 |
CN111327634B (zh) * | 2020-03-09 | 2023-02-03 | 深信服科技股份有限公司 | 网站访问监管方法、安全套接层代理装置、终端及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101119274A (zh) * | 2007-09-12 | 2008-02-06 | 杭州华三通信技术有限公司 | 一种提高ssl网关处理效率的方法及ssl网关 |
CN101360102A (zh) * | 2007-07-31 | 2009-02-04 | 赛门铁克公司 | 通过远程验证并使用凭证管理器和已记录的证书属性来检测网址转接/钓鱼方案中对ssl站点的dns重定向或欺骗性本地证书的方法 |
CN103685298A (zh) * | 2013-12-23 | 2014-03-26 | 上海交通大学无锡研究院 | 一种基于深度包检测的ssl中间人攻击发现方法 |
CN104270379A (zh) * | 2014-10-14 | 2015-01-07 | 北京蓝汛通信技术有限责任公司 | 基于传输控制协议的https 代理转发方法及装置 |
CN104601408A (zh) * | 2015-01-30 | 2015-05-06 | 迈普通信技术股份有限公司 | 用于非开放网络环境的网站数据统计及分析方法及系统 |
-
2016
- 2016-11-09 CN CN201610988679.9A patent/CN106453610B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101360102A (zh) * | 2007-07-31 | 2009-02-04 | 赛门铁克公司 | 通过远程验证并使用凭证管理器和已记录的证书属性来检测网址转接/钓鱼方案中对ssl站点的dns重定向或欺骗性本地证书的方法 |
CN101119274A (zh) * | 2007-09-12 | 2008-02-06 | 杭州华三通信技术有限公司 | 一种提高ssl网关处理效率的方法及ssl网关 |
CN103685298A (zh) * | 2013-12-23 | 2014-03-26 | 上海交通大学无锡研究院 | 一种基于深度包检测的ssl中间人攻击发现方法 |
CN104270379A (zh) * | 2014-10-14 | 2015-01-07 | 北京蓝汛通信技术有限责任公司 | 基于传输控制协议的https 代理转发方法及装置 |
CN104601408A (zh) * | 2015-01-30 | 2015-05-06 | 迈普通信技术股份有限公司 | 用于非开放网络环境的网站数据统计及分析方法及系统 |
Non-Patent Citations (1)
Title |
---|
安全套接层中间人攻击与防护研究;赵森栋;《中国优秀硕士学位论文全文数据库》;20140316;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN106453610A (zh) | 2017-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106453610B (zh) | 面向运营商骨干网的https数据流审计方法和系统 | |
US11811809B2 (en) | Rule-based network-threat detection for encrypted communications | |
CN103327025B (zh) | 网络访问控制方法及装置 | |
CA2912608C (en) | Selectively performing man in the middle decryption | |
US7483384B2 (en) | System and method for monitoring network traffic | |
US9237168B2 (en) | Transport layer security traffic control using service name identification | |
WO2022056996A1 (zh) | 一种安全访问内网应用的方法和装置 | |
US8335916B2 (en) | Secure request handling using a kernel level cache | |
WO2022151867A1 (zh) | 一种http转https双向透明代理的方法和装置 | |
Chatzoglou et al. | Revisiting QUIC attacks: A comprehensive review on QUIC security and a hands-on study | |
CN110730189B (zh) | 一种通信认证方法、装置、设备及存储介质 | |
Nakatsuka et al. | PDoT: private DNS-over-TLS with TEE support | |
JP2009272659A (ja) | 通信制御装置、通信制御方法および通信システム | |
CN102402660B (zh) | 获取受保护内容中的明确权限 | |
CN106790073A (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
CN113726917B (zh) | 域名确定方法、装置和电子设备 | |
US11245677B2 (en) | Secure packet modification | |
CN106572121B (zh) | 一种vpn数据的审计方法和装置 | |
Chung et al. | Comcast's web notification system design | |
Bocovich | Recipes for Resistance: A Censorship circumvention cookbook | |
US20230403345A1 (en) | Third party gateway | |
CN108259621A (zh) | 一种针对网吧的https内容的审计方法和装置 | |
Cases | Draft Standard | |
Oakley | Traffic Analysis Resistant Infrastructure | |
TW201545502A (zh) | 網路連線策略管理裝置及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |