CN110557358A - 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 - Google Patents
蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 Download PDFInfo
- Publication number
- CN110557358A CN110557358A CN201810555544.2A CN201810555544A CN110557358A CN 110557358 A CN110557358 A CN 110557358A CN 201810555544 A CN201810555544 A CN 201810555544A CN 110557358 A CN110557358 A CN 110557358A
- Authority
- CN
- China
- Prior art keywords
- http
- response
- man
- server
- middle attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Abstract
本发明实施例提供了一种蜜罐服务器通信方法、SSLStrip中间人攻击感知方法、相关装置、计算机设备以及机器可读介质,属于信息安全领域,其中蜜罐服务器通信方法包括:蜜罐服务器通信方法,包括:模拟部署了自动重定向的正常服务器后,直接或间接接收被测终端以HTTP协议发送的HTTP页面访问请求;直接或间接向被测终端返回HTTP响应,以供被测终端根据接收到的HTTP响应判断是否存在中间人攻击,其中HTTP响应包含状态码和响应头。本方案仅通过模拟一次正常的网络通信来判定是否存在中间人攻击,感知准确度高,不影响被测终端的正常网络访问效率,再者,无需解析HTTP报文头部,具备更好的通用性。
Description
技术领域
本发明涉及信息安全领域,并且更特别地涉及SSLStrip威胁的感知方案。
背景技术
在早期的数据通信中,客户端与服务器通信采用HTTP(协议HyperText TransferProtocol,超文本传输协议)。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了客户端(如Web浏览器)和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。随着通信技术的发展,客户端与服务器通信开始使用HTTPS协议(Hyper Text Transfer Protocolover Secure Socket Layer,超文本传输协议安全版)来替代HTTP协议传输敏感信息。HTTPS协议是在HTTP协议的基础上引入了SSL协议(Secure Sockets Layer,安全套接层)。SSL协议能够利用证书验证服务器的身份,并且对网络连接交互信息进行加密,防止被攻击者窃听,使得用户和服务器的之间的通信能够在可靠、安全的通道上传输。引入SSL协议后,即便攻击者截取了客户端与服务器之间的传输报文,在没有获取到客户端本次与服务器通信产生的解密公钥的情况下,攻击者也无法知晓其中传输的敏感信息的明文信息。
然而,SSL协议的部署实现以及用户的使用行为却使其倾向于不安全,这种不安全很可能让用户受到极具威胁的网络攻击,其中中间人攻击就是极具危险性的一种攻击方式,给SSL的安全性带来严重的破坏。中间人攻击是一种间接的入侵攻击,这种攻击模式是通过各种技术手段将入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台被控制的计算机就称为“中间人”。然后入侵者把“中间人”计算机模拟成一台或两台原始计算机,使之能够与真正会话中的计算机建立活动连接并读取或篡改传递的信息,真正通信的原始计算机用户却认为他们是在与合法终端进行通信,这种攻击方式很难被发现。如今,在黑客技术越来越多地运用于获取经济利益时,中间人攻击成为对网银、网游、网上交易等最有威胁并且最具破坏性的一种攻击方式。
常见的中间人攻击方法是SSLStrip,其从HTTPS协议中剥离(strip)了SSL协议,使客户端与服务器之间的数据传输在HTTP协议下工作。通过欺骗用户,使其和攻击者建立一个不安全的HTTP连接,由攻击者代理和服务器建立HTTPS连接。由于剥离了SSL协议,这样一来,所有原先应该加密的数据会以明文的形式呈现在攻击者面前,例如用户的邮箱账户、银行账户以及用于在线支付的信用卡密码。
由于SSLStrip攻击造成上述严重的后果,因此必须对SSLStrip攻击进行有效感知。公开号CN103685298A、名称为“一种基于深度包检测的SSL中间人攻击发现方法”的发明中,先对HTTP报文进行分析,设定评分标准;然后针对正常情况和被攻击情况下的HTTP报文,分别进行多次测试,得到正常情况和被攻击情况下的平均计分值,接着再进行平均得到的平均值作为判断攻击的标准;最后对用户端和服务器接收的HTTP报文头部进行特征检测,根据该标准来判断攻击是否发生。
上述SSLStrip感知方法具有如下缺陷:
1)评分主观性强,影响感知准确度;
2)不断地对用户端和服务器接收的HTTP报文头部进行特征检测,一方面会降低网络访问效率,另一方面,当某些终端无解析HTTP报文头部的权限时,该方法无法实现,因而不具备通用性。
发明内容
本发明实施例提供一种蜜罐服务器通信方法、SSLStrip中间人攻击感知方法、相关装置、计算机设备和计算机存储介质,能够解决现有SSLStrip威胁感知技术感知准确低、影响网络访问效率且不具备通用性的问题。
第一方面,本发明实施例提供了一种蜜罐服务器通信方法。
具体地,该蜜罐服务器通信方法包括:
模拟部署了自动重定向的正常服务器后,直接或间接接收被测终端以HTTP协议发送的HTTP页面访问请求;
直接或间接向所述被测终端返回HTTP响应,以供所述被测终端根据接收到的HTTP响应判断是否存在中间人攻击,其中所述HTTP响应包含状态码和响应头。
第二方面,本发明实施例提供了一种蜜罐服务器。
具体地,该蜜罐服务器包括:
HTTP页面访问请求接收模块,用于在模拟部署了自动重定向的正常服务器后,直接或间接接收被测终端以HTTP协议发送的HTTP页面访问请求;
HTTP响应返回模块,用于直接或间接向所述被测终端返回HTTP响应,以供所述被测终端根据接收到的HTTP响应判断是否存在中间人攻击,其中所述HTTP响应包含状态码和响应头。
第三方面,本发明实施例提供了一种SSLStrip中间人攻击感知方法。
具体地,SSLStrip中间人攻击感知方法包括:
以HTTP协议向蜜罐服务器发起HTTP页面访问请求,其中所述蜜罐服务器为模拟部署了自动重定向的正常服务器;
接收所述蜜罐服务器直接或间接返回的HTTP响应;
当所述HTTP响应满足第一条件时,判断出所述终端设备不存在中间人攻击,其中所述第一条件包括:所述HTTP响应的状态码是302或304,且响应头的Location字段中自动重定向地址是预期重定向地址。
第四方面,本发明实施例提供了一种SSLStrip中间人攻击感知装置。
具体地,该SSLStrip中间人攻击感知装置位于终端设备侧,包括:
HTTP页面访问请求发送模块,用于以HTTP协议向蜜罐服务器发起HTTP页面访问请求,其中所述蜜罐服务器为模拟部署了自动重定向的正常服务器;
HTTP响应接收模块,用于接收所述蜜罐服务器直接或间接返回的HTTP响应;
第一判断模块,用于当所述HTTP响应满足第一条件时,判断出所述终端设备不存在中间人攻击,其中所述第一条件包括:所述HTTP响应的状态码是302或304,且响应头的Location字段中自动重定向地址是预期重定向地址。
第五方面,本发明实施例提供了一种计算机设备。
具体地,该计算机设备包括:
处理器;以及
用于存放计算机程序的存储器,
其特征在于,所述处理器用于执行所述存储器上所存放的计算机程序,以实现第一方面所述的蜜罐服务器配置方法,或者,第三方面所述的SSLStrip中间人攻击感知方法。
第六方面,本发明实施例提供了一种计算机存储介质。
具体地,该计算机存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的蜜罐服务器配置方法,或者,第三方面所述的SSLStrip中间人攻击感知方法。
本申请实施例蜜罐服务器通信方法、SSLStrip中间人攻击感知方法、相关装置、计算机设备和计算机存储介质,仅通过在直接或间接接收被测终端以HTTP协议发送的HTTP页面访问请求后,直接或间接向被测终端返回HTTP响应,模拟一次正常的网络通信来判定是否存在中间人攻击,这种实现一方面无需主观设定评分标准,感知准确度高,另一方面无需不断地对用户端和服务器接收的HTTP报文头部进行特征检测,不影响被测终端的正常网络访问效率,再者,无需解析HTTP报文头部,没有被测终端的权限限制问题,具备更好的通用性。
本发明的这些方面或其他方面在以下实施例的描述中会更加简明易懂。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作一简单的介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1A为不存在中间人攻击终端时,普通终端与正常服务器之间相互通信的场景图;
图1B为存在中间人攻击终端时,普通终端与正常服务器之间相互通信的场景图;
图2A为本发明所涉及的被测终端与蜜罐服务器之间相互通信的场景图;
图2B为本发明方法实施例一的蜜罐服务器通信方法的流程图;
图3为本发明方法实施例二的SSLStrip中间人攻击感知方法的流程图;
图4为本发明方法实施例三的SSLStrip中间人攻击感知方法的流程图;
图5为本发明装置实施例一的蜜罐服务器的结构示意图;
图6为本发明装置实施例二的SSLStrip中间人攻击感知装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
在本发明的说明书和权利要求书及上述附图中的描述的一些流程中,包含了按照特定顺序出现的多个操作,但是应该清楚了解,这些操作可以不按照其在本文中出现的顺序来执行或并行执行,操作的标号如102、104等,仅仅是用于区分开各个不同的操作,标号本身不代表任何的执行顺序。另外,这些流程可以包括更多或更少的操作,并且这些操作可以按顺序执行或并行执行。需要说明的是,本文中的“第一”、“第二”等描述,是用于区分不同的消息、设备、模块等,不代表先后顺序,也不限定“第一”和“第二”是不同的类型。
下面将结合附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有付出创造性劳动的前提下所获得的所有其他实施方式,都属于本发明保护的范围。
在说明本实施例SSLStrip中间人攻击感知方法之前,先说明网络环境中不存在中间人攻击终端以及存在中间人攻击终端的情况下,普通终端与正常服务器之间的通信方式。
不存在中间人攻击
如网络拓扑如图1A所示,网络环境中不存在中间人攻击终端时,普通终端111与正常服务器112之间的通信方法是:
步骤S101,普通终端111向正常服务器112发送HTTP页面访问请求,以请求访问正常服务器112上部署的页面内容;
该HTTP页面访问请求包含发送源信息、目的地信息、正常服务器112的URL地址、请求页面服务的目的端口号和请求页面服务的方法。其中,发送源信息包含该普通终端111自身的内网IP地址和自身的MAC地址。目的地信息包含目的IP和目的MAC地址,其中目的IP通过域名解析服务解析正常服务器112的URL地址得到,目的MAC地址为路由器113的网关MAC地址(正常终端通过子网掩码和自身的内网IP判断目的IP跟自己不在一个子网中,故将目的MAC设置为路由器113的网关MAC,请求路由器113转发到外网)。正常服务器112的URL地址信息指示普通终端111访问正常服务器112上部署的对应该URL地址的页面内容,该URL地址至少包含本次HTTP页面访问请求所使用的协议类型(为HTTPS协议或HTTP协议)和正常服务器112的名称(可以是正常服务器112的域名或正常服务器112的IP地址)和页面访问路径,例如,假设某HTTP页面访问请求中URL地址信息为https://www.baidu.com,则该HTTP页面访问请求指示普通终端111以HTTPS协议请求访问域名为www.baidu.com的正常服务器112上的HTTP服务返回其根目录配置的默认页面内容。当然HTTP页面访问请求也可以配置为访问除了正常服务器112上除了根目录配置的默认页面之外的其他页面。请求页面服务的目的端口号指示该页面所对应的服务的端口。请求页面服务的方法指示如何获取该页面。
步骤S102,路由器113接收普通终端111发送的HTTP页面访问请求,并在HTTP页面访问请求中变发送源IP地址为该路由器113自身在互联网114中的公网IP地址,再根据目的IP地址查找转发的下一个路由设备,将该路由设备的MAC地址替换到目标MAC地址中,经过若干次的路由设备转发后,将该HTTP页面访问请求转发至正常服务器112;
步骤S103,正常服务器112经由互联网114接收该HTTP页面访问请求,向客户端返回HTTP响应;
该HTTP响应包括目的IP地址、目的MAC地址、响应正文、状态码、响应头(ResponseHeader),其中目的IP地址是路由器113在互联网114中的公网IP,目的MAC地址是发送源即普通终端111的MAC地址,响应正文反映获取的网页的页面内容,状态码为协议状态版本代码描述,响应头指示服务端根据通信协议告知客户端的附加信息,以用于控制客户端(如浏览器)行为。
下面以访问www.baidu.com为例说明响应头的构成和作用。
当访问https://www.baidu.com时,不会进行自动重定向,响应头如下表所示:
表1
当访问http://www.baidu.com时,会自动重定向,响应头如下表所示:
| 字段名 | 作用 |
| Location | 服务器控制客户端去哪里提取页面,即重定向的地址 |
表2
可以理解地,表2中响应头还可以包含更多的信息,例如,可以包括http协议里规定的通用字段,用于控制通用客户端,比如上述没有重定向时响应头里的字段;也可以包括自定义的字段,用于控制指定的客户端,比如百度的服务器控制百度的浏览器,这些可根据服务器的具体需求进行增加和删减,需要说明的是,在本方案中主要关注Location字段。
如下表3,当HTTP页面访问请求中URL地址信息指示普通终端111使用的协议类型为HTTP时,(1)若正常服务器112已部署自动重定向(即正常服务器112部署了客户端以HTTP协议请求页面访问,则该正常服务器112自动重定向到HTTPS协议的地址),正常服务器112向普通终端111返回的HTTP响应的响应正文为明文页面内容,状态码为302或304,且该HTTP响应的响应头还包含Location字段,该Location字段包含本次获取正常服务器112上配置的页面内容请求自动重定向的URL地址,该URL地址指示客户端将通信协议变更为更安全的HTTPS协议,下次再发起获取相同页面内容的HTTP页面访问请求时,使用该自动重定向的URL地址来访问该正常服务器112,以使普通终端111收到该HTTP响应时,能自行决定是否使用该HTTP响应中响应正文包含的明文页面内容,或者抛弃该HTTP响应,而以响应头中包含的Location字段的自动重定向地址重新发起HTTP页面访问请求;(2)若正常服务器112未部署自动重定向,则正常服务器112向普通终端111返回的HTTP响应的响应正文为明文页面内容,状态码为200,响应头不包含Location字段。
当HTTP页面访问请求中URL地址信息指示普通终端111使用的协议类型为HTTPS协议时,则不论正常服务器112是否部署了自动重定向,正常服务器112向普通终端111返回的HTTP响应的响应正文为密文页面内容,HTTP响应的状态码为200,响应头不包含Location字段。
表3
步骤S104,路由器113经由互联网114接收正常服务器112发送的HTTP响应,根据HTTP响应的目的MAC地址,将该HTTP响应转发至普通终端111,此时普通终端111收到的HTTP响应如上表1所示。
存在中间人攻击
如网络拓扑如图1B所示,网络环境中存在中间人攻击终端100时,普通终端111和中间人攻击终端100通过同一路由器113连接在同一局域网中,路由器113通向互联网114中的正常服务器112。普通终端111与正常服务器112之间的通信方法是:
步骤S10a,普通终端111向正常服务器112发送HTTP页面访问请求,以请求访问正常服务器112上部署的页面内容;
该步骤与上述步骤S101相同,在此不再赘述。
步骤S10b,中间人攻击终端100通过将普通终端111上存储的路由器113网关MAC地址篡改成自己的MAC地址的方式,劫获该HTTP页面访问请求;
如前所述,普通终端111发送的数据包在未到达路由器113之前,通过Mac地址来寻址,而当局域网中存在中间人攻击终端100时,中间人攻击者会通过前置攻击手段(如ARP攻击),将普通终端111上存储的路由器113网关MAC地址篡改成自己的MAC地址,以诱导普通终端111将HTTP页面访问请求发送给攻击者,这样中间人攻击者伪装成普通终端111与正常服务器112进行通信,进而成功嗅探或篡改正常服务器112返回的HTTP响应的内容,并将篡改后的HTTP响应返回给普通终端111。
步骤S10c,中间人攻击终端100将劫获的HTTP页面访问请求中的发送源信息中的普通终端111的MAC地址替换成中间人攻击终端100自身的MAC地址,并将修改后的HTTP页面访问请求发送至正常服务器112;
步骤S10d,路由器113接收中间人攻击终端100发送给正常服务器112的HTTP页面访问请求,并在该HTTP页面访问请求中填充该路由器113自身在互联网114中的公网IP地址,再将该HTTP页面访问请求转发至正常服务器112;
步骤S10e,正常服务器112经由互联网114接收该HTTP页面访问请求,根据HTTP页面访问请求中的发送源信息,即中间人攻击终端100的MAC地址,向中间人攻击终端100返回HTTP响应;
该HTTP响应包括目的IP地址、目的MAC地址、响应正文、状态码、响应头,其中目的IP地址、响应正文、状态码、响应头分别与上述步骤S103相同,在此不再赘述。但是本步骤中的目的MAC地址是中间人攻击终端100的MAC地址。
步骤S10f,路由器113经由互联网114接收正常服务器112发送的HTTP响应,根据HTTP响应的目的MAC地址,将该HTTP响应转发给中间人攻击终端100;
步骤S10g,中间人攻击终端100接收该HTTP响应,如下表2,中间人攻击终端100劫获该HTTP响应的敏感信息;且若HTTP响应的状态码为302或304,则将其篡改成200;若HTTP响应的响应头包含为重定向地址的Location字段,则将该Location字段删除;将目的MAC地址替换为普通终端111的MAC地址,然后将该HTTP响应发送给普通终端111;
中间人攻击终端100对HTTP响应进行变更,目的是伪装成目标正常服务器112没有配置自动重定向,正常响应了本次HTTP页面访问请求,阻隔普通终端111获取自动重定向地址,使得普通终端111始终以安全性较低的HTTP协议与正常服务器112进行通信,以此来嗅探通信过程中的敏感信息。
表4
步骤S10h,路由器113接收中间人攻击终端100发送的HTTP响应包,根据HTTP响应中的目的MAC地址,将该HTTP响应转发至普通终端111,此时普通终端111收到的HTTP响应如上表4所示。
鉴于以上分析可知,普通终端111与部署了重定向的正常服务器112之间,当不存在中间人攻击时,普通终端111以HTTP协议发送HTTP页面访问请求后,收到的HTTP响应中,状态码为302或304,且响应头中包含自动重定向地址的Location字段;当存在中间人攻击时,普通终端111以HTTP协议发送HTTP页面访问请求后,收到的HTTP响应中,状态码为200,响应头中不包含Location字段。
根据这一原理,下面说明本实施例蜜罐服务器通信方法、SSLStrip中间人攻击感知方法、相关装置、计算机设备和计算机存储介质。
【方法实施例1】
如上所述,普通终端与部署了重定向的正常服务器之间,存在中间人攻击和不存在中间人攻击两种情况下,普通终端以HTTP协议向部署了重定向的正常服务器发送HTTP协议请求后,收到的HTTP响应中,状态码不同,且响应头不同,包含自动重定向地址的Location字段或者根本不包含Location字段。基于这一原理,本实施例在网络环境中部署了蜜罐服务器212,该蜜罐服务器212为模拟上述部署了自动重定向的正常服务器,利用该蜜罐服务器212来检测终端是否遭受中间人攻击。具体地,被测终端211根据使用HTTP协议访问该蜜罐服务器212后接收到的HTTP响应,来判断是否存在中间人攻击。如图2A所示,被测终端211和中间人攻击终端200通过同一路由器213连接在同一局域网中,路由器213通向互联网214中的蜜罐服务器212。
以apache服务为例,普通服务器配置自动重定向成为蜜罐服务器212的方法可以为:
(1)对普通服务器配置目录中的httpd.conf文件进行配置,开启URL重写功能;
(2)在放置页面内容的目录下新建.htaccess文件,配置重定向的源URL地址和目的URL地址,例如想要客户端访问http://www.baidu.com时自动重定向到https://www.baidu.com,则将“http://www.baidu.com”配置为重定向的源URL地址,将“https://www.baidu.com”配置为重定向的目的URL地址。
(3)重启apache服务。
需要注意的是,在不同的服务器系统上配置自动重定向的方式有所不同,这里只是描述了一种部署方式,其他在普通服务器上配置自动重定向成为蜜罐服务器212的方法不应视为对于本方案的改进方法。
图2B是根据本发明方法实施例1的蜜罐服务器212通信方法的流程图。该蜜罐服务器212通信方法适用于蜜罐服务器212端,该蜜罐服务器212模拟部署了自动重定向的正常服务器。参见图2B,在本实施例中,所述方法包括:
步骤S201,模拟部署了自动重定向的正常服务器后,直接或间接接收被测终端211以HTTP协议发送的HTTP页面访问请求;
步骤S202,直接或间接向被测终端211返回HTTP响应,以供被测终端211根据接收到的HTTP响应判断是否存在中间人攻击,该HTTP响应包含状态码和响应头。
当网络中不存在中间人攻击终端200时,蜜罐服务器212直接接收被测终端211以HTTP协议发送的HTTP页面访问请求,然后直接向被测终端211返回HTTP响应,该蜜罐服务器212向被测终端211直接返回的HTTP响应包括状态码、响应头。其中,状态码为302或者304,响应头包含具有包含自动重定向地址的Location字段,具体地,自动重定向地址为本次获取蜜罐服务器212上配置的页面内容访问请求自动重定向到的URL地址,为预期重定向地址,该URL地址指示客户端将通信协议变更为更安全的HTTPS协议,下次再发起获取相同页面内容的HTTP页面访问请求时,使用该自动重定向的URL地址来访问蜜罐服务器212。于是,被测终端211接收到的HTTP响应包含为302或者304的状态码和具有为自动重定向地址的Location字段的响应头。
当网络中存在中间人攻击终端200时,蜜罐服务器212间接接收被测终端211以HTTP协议发送的HTTP页面访问请求,然后间接向被测终端211返回HTTP响应,这是由于被测终端211向蜜罐服务器212发送的HTTP页面访问请求会被中间人攻击终端200拦截,中间人攻击终端200修改HTTP页面访问请求中的发送源信息,将被测终端211的MAC地址改为自身的MAC地址,更改后的HTTP页面访问请求被发送至蜜罐服务器212,此时蜜罐服务器212接收到中间人攻击终端200发送的HTTP页面访问请求,而向中间人攻击终端200直接返回HTTP响应,该蜜罐服务器212向中间人攻击终端200直接返回的HTTP响应包括状态码、响应头。其中,状态码为302或者304,响应头包含Location字段,该Location字段包含本次获取蜜罐服务器212上配置的页面内容访问请求自动重定向到的URL地址,为预期重定向地址,该URL地址指示客户端将通信协议变更为更安全的HTTPS协议,下次再发起获取相同页面内容的HTTP页面访问请求时,使用该自动重定向的URL地址来访问蜜罐服务器212。而后,中间人攻击终端200劫获蜜罐服务器212返回的HTTP响应中的敏感信息的同时,将HTTP响应中的状态码302或304替换成200,将响应头中包含自动重定向地址的Location字段删除,然后向被测终端211发送更改后的HTTP响应,于是,被测终端211接收到的HTTP响应包含为200的状态码和不具有Location字段的响应头。
被测终端211接收到HTTP响应后,如果HTTP响应中包含的状态码为302或304,且响应头中Location字段包含的重定向地址是预期重定向地址,则判断出不存在中间人攻击。
综上所述,被测终端211接收到的HTTP响应可以根据接收到的HTTP响应所包含的状态码和响应头来判断是否存在中间人攻击。
本方案仅通过在直接或间接接收被测终端211以HTTP协议发送的HTTP页面访问请求后,直接或间接向被测终端211返回HTTP响应,模拟一次正常的网络通信来判定是否存在中间人攻击,这种实现一方面无需主观设定评分标准,感知准确度高,另一方面无需不断地对用户端和服务器接收的HTTP报文头部进行特征检测,不影响被测终端211的正常网络访问效率,再者,无需解析HTTP报文头部,没有被测终端211的权限限制问题,具备更好的通用性。
可选地,在本实施例的一种实现方式中,该HTTP响应还包含响应正文和/或响应头的预定特征字段的特征值。
其中,特征字段和特征值为响应头的一个标识,可以任意配置,在蜜罐服务器212上配置的响应头是什么,在被测终端211上就用这一组标识进行判断。
被测终端211接收到HTTP响应后,如果HTTP响应中包含的状态码不为302或304,和/或响应头中Location字段包含的重定向地址不是预期重定向地址,则需要根据状态码是否为200,响应正文是否为明文页面的预期响应正文,以及响应头的预定特征字段的特征值是否为预期响应头特征字段特征值来判断是否存在中间人攻击。一般来说,若状态码不为302或304,和/或响应头中Location字段包含的重定向地址不是预期重定向地址时,则很可能存在中间人攻击,这里不确定确实存在中间人攻击,是因为网络环境中可能存在其他正常服务,例如身份验证服务,如在需要验证用户身份的网络场景中,被测终端211未通过身份验证时,发出的HTTP页面访问请求都会返回响应正文为身份验证页面的HTTP响应,这种情况下,虽然响应头不包含具有重定向地址的Location字段,但是也不能直接判断被测终端211存在中间人攻击,还需要检测HTTP响应的响应正文是否为预期响应正文,当HTTP响应中包含的状态码为200,且响应正文为明文页面的预期响应正文时,存在中间人攻击,否则不存在中间人攻击。
另外,当HTTP响应中包含的状态码为200,且响应头的预定特征字段的特征值为预期预期响应头特征字段特征值时,确定该HTTP响应不是由蜜罐服务器212直接返回的,即判断出被测终端211判断存在中间人攻击,否则该HTTP响应是由蜜罐服务器212直接返回的,不存在中间人攻击。
可选地,在本实施例的一种实现方式中,被测终端211保存有预期重定向地址、预期响应正文和预期响应头特征字段特征值。该预期重定向地址、预期响应正文和预期响应头特征字段特征值均对应于不存在中间人攻击终端200时,正常服务器返回的HTTP响应。
需要说明的是,蜜罐服务器212接收到HTTP页面访问请求后,会根据该HTTP页面访问请求判断终端是否期望访问部署在蜜罐服务器212上部署的页面内容。具体地,判断HTTP页面访问请求中,蜜罐服务器212的URL地址信息是否是访问包含协议类型和服务器的地址且协议类型是否为HTTP协议、请求页面服务的目的端口号是否为HTTP服务的端口号,和请求页面的方法是否为获取该页面的方法。如果均为是,才返回HTTP响应。
可选地,在本实施例的一种实现方式中,所述方法还包括:
步骤S502,接收到被测终端211以HTTPS协议发送的HTTP页面访问请求后,向被测终端211返回HTTP响应,该HTTP响应包含状态码和响应正文。该状态码为200,该响应正文为密文页面的预期响应正文。
在HTTPS协议情况下,被测终端211与蜜罐服务器212之间,即使存在中间人攻击终端200,中间人攻击终端200也无法攻击被测终端211。
可选地,在本实施例的一种实现方式中,可以将蜜罐服务站点的域名设置为包含taobao或alipay或weixin等敏感站点的关键词,以诱导使用SSLStrip中间人攻击工具的攻击者发起攻击。
需要说明的是,在本实施例中,蜜罐服务站点可以是一个、两个或者多个,站点物理位置尽可能分散,以避免不同地区的用户由于网络拥塞影响感知效果,每个蜜罐服务站点的配置参数除了访问站点的URL有所区别以外,其他配置都保持一致,以提高感知的准确率。每个蜜罐服务站点可以部署在正常服务器与被测终端211之间,或者部署在实体机或者正常服务器上。
【方法实施例2】
图3是根据本发明方法实施例2的SSLStrip中间人攻击感知方法的流程图。该SSLStrip中间人攻击感知方法适用于被测终端,该被测终端包括但不仅限于PC主机、移动被测终端和服务器等。参见图3,在本实施例中,所述方法包括:
步骤S301,以HTTP协议向蜜罐服务器发起HTTP页面访问请求,其中蜜罐服务器为模拟部署了自动重定向的正常服务器;
在本实施例的一种可选的实施方式中,该HTTP页面访问请求包括:发送源信息、蜜罐服务器的URL地址信息、请求页面服务的目的端口号和请求页面服务的方法。其中,发送源信息包含该被测终端自身的MAC地址。蜜罐服务器的URL地址信息指示被测终端访问蜜罐服务器上部署的对应该URL地址的页面内容,该URL地址可以包含本次HTTP页面访问请求所使用的协议类型(为HTTPS协议)和本次HTTP页面访问请求的目标服务器即蜜罐服务器的名称(可以是正常服务器的域名或正常服务器的IP地址)和页面访问路径。请求页面服务的目的端口号指示该页面内容所对应的服务的端口。请求页面服务的方法指示如何获取该页面内容。
作为本实施例的一种优选实施方式,该HTTP页面访问请求为请求访问蜜罐服务器根目录配置的默认页面内容。此时,该HTTP页面访问请求中,请求页面服务的目的端口号可以为HTTP服务的默认端口80;请求页面服务的方法为“GET”方法,URL地址信息仅包含协议类型和服务器域名。例如,假设某HTTP页面访问请求中,URL地址信息为http:// www.baidu.com,则该HTTP页面访问请求表示被测终端以HTTP协议请求访问域名为www.baidu.com的蜜罐服务器上的HTTP服务返回其根目录配置的默认页面内容。可以理解地,HTTP页面访问请求也可以配置为以HTTP协议访问除了蜜罐服务器根目录配置的默认页面之外的其他页面。
被测终端发起HTTP页面访问请求后,若不存在中间人攻击终端,则蜜罐服务器收到该HTTP页面访问请求后,向被测终端返回的HTTP响应中,状态码为302或304,响应头中包含为自动重定向地址的Location字段;若存在中间人攻击终端,则中间人攻击终端将蜜罐服务器返回给被测终端的HTTP响应中的状态码由302或304改为200,并删除响应头中包含自动重定向地址的Location字段,再将变更后的HTTP响应发送至被测终端。
步骤S302,接收蜜罐服务器直接或间接返回的HTTP响应;
具体地,被测终端接收蜜罐服务器直接返回的、或者通过中间人攻击终端变更后转发的HTTP响应。
被测终端直接接收到的HTTP响应包含为302或者304的状态码和具有为自动重定向地址的Location字段的响应头。
被测终端间接接收到的HTTP响应包含为200的状态码和不具有Location字段的响应头。
步骤S303,当HTTP响应满足第一条件时,判断出终端设备不存在中间人攻击,其中第一条件包括:HTTP响应的状态码是302或304,且响应头中Location字段的自动重定向地址是预期重定向地址。
可选地,在本实施例的一种实现方式中,所述方法还包括:
当HTTP响应不满足第一条件、且HTTP响应满足第二条件时,判断出终端设备存在中间人攻击,其中第二条件包括:HTTP响应的状态码是200,且响应正文是预期响应正文或响应头的预定特征字段的特征值是预期响应头特征字段特征值。
进一步地,在本实施例的一种实现方式中,所述方法还包括:
当HTTP响应不满足第一条件、且HTTP响应不满足第二条件时,判断出终端设备不存在中间人攻击。
本方案仅通过以HTTP协议向蜜罐服务器发起HTTP页面访问请求,模拟一次正常的网络通信来判定是否存在中间人攻击,这种实现一方面无需主观设定评分标准,感知准确度高,另一方面无需不断地对用户端和服务器接收的HTTP报文头部进行特征检测,不影响被测终端的正常网络访问效率,再者,无需解析HTTP报文头部,没有被测终端的权限限制问题,具备更好的通用性。
【方法实施例3】
本实施例以蜜罐服务站点配置成访问http://weixin.xxx.com自动重定向到https://weixin.xxx.com为例,具体说明SSL中间人攻击感知方法的实现。
首先说明蜜罐服务站点的具体配置。蜜罐服务站点的域名配置为weixin.xxx.com,当被测终端以URL地址http://weixin.xxx.com发起HTTP页面访问请求后,蜜罐服务器根据该HTTP页面访问请求判断被测终端是否请求访问蜜罐服务站点根目录配置的默认页面内容。具体地,蜜罐服务站点判断请求服务的目的端口号是否为HTTP服务的默认端口80、请求服务的方法是否为GET方法、URL地址信息是否仅包含协议类型和服务器域名且协议类型是否为HTTP协议。当请求服务的目的端口号是HTTP服务的默认端口80、请求服务的方法是GET方法、URL地址信息是仅包含协议类型和服务器域名,表明被测终端是请求访问蜜罐服务站点根目录配置的默认页面内容,此时蜜罐服务器返回HTTP响应。
当HTTP页面访问请求的URL地址信息中,协议类型为HTTP协议时,蜜罐服务器返回的HTTP响应包括:(1)状态码,为302或者304;(2)响应头,包含“Location”字段和响应头的特征字段,该“Location”字段为“HTTPS://weixin.xxx.com”,表示重定向地址;响应头的预定特征字段可以任意配置,这里举例为“Content-MD5”字段,该响应头预定特征字段的特征值也可以任意配置,这里举例为“12345678”,用于响应头的特征值校验;(3)响应正文,是蜜罐服务器根目录配置的默认页面中的一串字符串“test”,为明文的页面内容。
另外,当被测终端以HTTPS协议请求访问蜜罐服务站点根目录配置的默认页面内容时,蜜罐服务器返回的HTTP响应包括:(1)状态码,为200;(2)响应正文“test”,为密文的页面内容。
另外,被测终端保存有预期重定向地址https://weixin.xxx.com、预期响应正文“test”和预期响应头特征字段特征值“12345678”。
下面根据上述蜜罐服务站点的具体配置,结合图4,详细说明本实施例SSLStrip中间人攻击感知方法,步骤如下:
步骤S401,被测终端以HTTP协议向蜜罐服务器发起HTTP页面访问请求;
被测终端使用HTTPURLConnection配置HTTP页面访问请求的URL地址为“HTTP://weixin.xxx.com”,配置请求页面服务的端口号为80,配置通信参数中的请求页面服务的方法为“GET”。
另外,被测终端使用HTTPURLConnection可以配置重定向是否应该自动处理为“false”,设置为false后,当请求返回的结果是重定向时,不会自动进行对重定向地址的二次访问,相当于保留第一次访问的原始结果来进行后续的判断。
此后,如果存在中间人攻击终端,中间人攻击终端替换该HTTP页面访问请求的发送源,伪装成被测终端向蜜罐服务器发起HTTP页面访问请求。
步骤S402,蜜罐服务器收到HTTP页面访问请求后,当根据该HTTP页面访问请求判断被测终端是以HTTP协议请求获取蜜罐服务器根目录配置的默认页面内容时,向被测终端返回HTTP响应;
此后,如果存在中间人攻击终端,中间人攻击终端劫获蜜罐服务器返回的HTTP响应,将HTTP响应中的状态码302或304替换成200,并将响应头中的Location字段删除,最后将篡改后的HTTP响应包发送给被测终端。
步骤S403,被测终端接收HTTP响应;
步骤S404,当HTTP响应中,状态码为302或304,且响应头中的Location字段包含的自动重定向地址为“https://weixin.xxx.com”时,判定被测终端不存在中间人攻击,结束;否则,继续下一步;
被测终端使用HTTPURLConnection的getResponseCode方法获取HTTP响应中的状态码,使用HTTPURLConnection的getHeaderField方法指定“Location”字段来获取HTTP响应头中的自动重定向地址。
步骤S405,当HTTP响应中,若状态码为200,则当响应正文为“test”或响应头中特征字段的特征值为“12345678”时,判定被测终端存在中间人攻击,否则被测终端不存在中间人攻击。
被测终端使用HTTPURLConnection的getInputStream方法获取HTTP响应中的响应正文,使用HTTPURLConnection的getHeaderField方法指定“Content-MD5”字段来获取HTTP响应头中的特征值。
【装置实施例1】
图5是本发明装置实施例1的蜜罐服务器的结构示意图。该蜜罐服务器模拟部署了自动重定向的正常服务器。参见图5,在本实施例中,该蜜罐服务器包括HTTP页面访问请求接收模块501和HTTP响应返回模块502。其中,HTTP页面访问请求接收模块501用于在模拟部署了自动重定向的正常服务器后,直接或间接接收被测终端以HTTP协议发送的HTTP页面访问请求;HTTP响应返回模块502用于直接或间接向被测终端返回HTTP响应,以供被测终端根据接收到的HTTP响应判断是否存在中间人攻击,其中HTTP响应包含状态码和响应头。
本蜜罐服务器仅通过HTTP页面访问请求接收模块501直接或间接接收被测终端以HTTP协议发送的HTTP页面访问请求后,利用HTTP响应返回单元502直接或间接向被测终端返回HTTP响应,模拟一次正常的网络通信来判定是否存在中间人攻击,这种实现一方面无需主观设定评分标准,感知准确度高,另一方面无需不断地对用户端和服务器接收的HTTP报文头部进行特征检测,不影响被测终端的正常网络访问效率,再者,无需解析HTTP报文头部,没有被测终端的权限限制问题,具备更好的通用性。
进一步地,在本实施例的一种实现方式中,HTTP响应还包含响应正文和/或响应头的预定特征字段的特征值。
当HTTP响应中包含的状态码为200,且响应正文为明文页面的预期响应正文时,存在中间人攻击,否则不存在中间人攻击。另外,当HTTP响应中包含的状态码为200,且响应头的预定特征字段的特征值为预期预期响应头特征字段特征值时,确定该HTTP响应不是由蜜罐服务器直接返回的,即判断出被测终端判断存在中间人攻击,否则该HTTP响应是由蜜罐服务器直接返回的,不存在中间人攻击。
【装置实施例2】
图6是本发明装置实施例2的SSLStrip中间人攻击感知装置的结构示意图。该SSLStrip中间人攻击感知装置位于终端设备侧。参见图6,在本实施例中,该SSLStrip中间人攻击感知装置包括HTTP页面访问请求发送模块601、HTTP响应接收模块602和第一判断模块603。其中,HTTP页面访问请求发送模块601,用于以HTTP协议向蜜罐服务器发起HTTP页面访问请求,其中蜜罐服务器为模拟部署了自动重定向的正常服务器;HTTP响应接收模块602用于接收蜜罐服务器直接或间接返回的HTTP响应;第一判断模块603用于当HTTP响应满足第一条件时,判断出终端设备不存在中间人攻击,其中第一条件包括:HTTP响应的状态码是302或304,且响应头的Location字段中自动重定向地址是预期重定向地址。
本SSLStrip中间人攻击感知装置仅通过HTTP页面访问请求发送模块601以HTTP协议向蜜罐服务器发起HTTP页面访问请求,模拟一次正常的网络通信,通过第一判断模块603来判定是否存在中间人攻击,这种实现一方面无需主观设定评分标准,感知准确度高,另一方面无需不断地对用户端和服务器接收的HTTP报文头部进行特征检测,不影响被测终端的正常网络访问效率,再者,无需解析HTTP报文头部,没有被测终端的权限限制问题,具备更好的通用性。
进一步地,在本实施例的一种实现方式中,该SSLStrip中间人攻击感知装置还包括第二判断模块604。该第二判断模块604用于当HTTP响应不满足第一条件、且HTTP响应满足第二条件时,判断出终端设备存在中间人攻击,其中第二条件包括:HTTP响应的状态码是200,且响应正文是预期响应正文或响应头的预定特征字段的特征值是预期响应头特征字段特征值。
进一步地,在本实施例的一种实现方式中,该SSLStrip中间人攻击感知装置还包括第三判断模块605,其中第三判断模块605用于当HTTP响应不满足第一条件、且HTTP响应不满足第二条件时,判断出终端设备不存在中间人攻击。
本发明实施例又提供了一种计算机设备,包括处理器以及用于存放计算机程序的存储器,该处理器用于执行存储器上所存放的计算机程序,以实现前文提及的任一蜜罐服务器通信方法或者SSLStrip中间人攻击感知方法,或者,以实现前文提及的任一蜜罐服务器或者SSLStrip中间人攻击感知装置所执行的处理。
此外,本发明实施例再提供了一种计算机存储介质,该计算机存储介质内存储有计算机程序,其中计算机程序被处理器执行时实现前文提及的任一蜜罐服务器通信方法或者SSLStrip中间人攻击感知方法,或者,实现前文提及的任一蜜罐服务器或者SSLStrip中间人攻击感知装置所执行的处理。
上述存储介质和计算机设备,由于实现了上述蜜罐服务器通信方法或者SSLStrip中间人攻击感知方法,同理能判定是否终端存在中间人攻击,攻击感知准确度高,不影响被测终端的正常网络访问效率,具备更好的通用性。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同及相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置设备实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
本领域的技术人员可以清楚地了解到本发明可全部通过软件实现,也可借助软件结合硬件平台的方式来实现。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,所述计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、智能手机或者网络设备等)执行本发明各个实施例或实施例的某些部分所述的方法。
本文中所使用的“软件”等词均指一般意义上的任意类型的计算机编码或者计算机可执行指令集,可以运行所述编码或者指令集来使计算机或其他处理器程序化以执行如上所述的本发明的技术方案的各个方面。此外,需要说明的是,根据实施例的一个方面,在执行时实施本发明的技术方案的方法的一个或多个计算机程序不必须要在一台计算机或处理器上,而是可以分布于多个计算机或者处理器中的模块中,以执行本发明的技术方案的各个方面。
计算机可执行指令可以有许多形式,如程序模块,可以由一台或多台计算机或是其他设备执行。一般地,程序模块包括例程、程序、对象、组件以及数据结构等等,执行特定的任务或是实施特定的抽象数据类型。特别地,在各种实施例中,程序模块进行的操作可以根据各个不同实施例的需要进行结合或者拆分。
并且,本发明的技术方案可以体现为一种方法,并且已经提供了所述方法的至少一个示例。可以通过任何一种合适的顺序执行动作,所述动作表现为所述方法中的一部分。因此,实施例可以构造成可以按照与所示出的执行顺序不同的顺序执行动作,其中,可以包括同时地执行一些动作(尽管在示出的实施例中,这些动作是连续的)。
在本发明的各个具体实施例中,所描述的特征、架构或功能可在一个或一个以上实施例中以任何方式组合,其中众所周知的操作过程、程序模块、单元及其相互之间的连接、链接、通信或操作没有示出或未作详细说明。本领域技术人员应当理解,下述的各种实施例只用于举例说明,而非用于限制本发明的保护范围。本领域的技术人员还可以容易理解,本文所述和附图所示的各实施例中的程序模块、单元或步骤可以按多种不同配置进行组合和设计。
对于未在本说明书中进行具体说明的技术术语,除非另有特定说明,都应以本领域最为宽泛的意思进行解释。本文所给出的和使用的定义,应当对照字典、通过引用而并入的文档中的定义、和/或其通常意思进行理解。本文使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。
在权利要求书中以及上述的说明书中,所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项的任何或者所有可能组合。应当理解,尽管在本文可能采用术语第一、第二、第三等来描述各种信息和/或模块,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息和/或模块彼此区分开。例如,在不脱离本文范围的情况下,第一信息和/或模块也可以被称为第二信息和/或模块,类似地,第二信息和/或模块也可以被称为第一信息和/或模块。另外,在此所使用的词语“如果”,其意思取决于语境,可以被解释成为“在……时”或“当……时”或“响应于确定”。
在权利要求书中以及上述的说明书中,所有的过度短语,例如“包括”、“具有”、“包含”、“承载”、“具有”、“涉及”、“主要由…组成”以及其任何其它变体是应理解为是开放式的,即,包含但不限于,意在涵盖非排它性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句"包括一个……"限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本发明说明书中使用的术语和措辞仅仅为了举例说明,并不意味构成限定。本领域技术人员应当理解,在不脱离所公开的实施例的基本原理的前提下,对上述实施例中的各细节可进行各种变化。因此,本发明的范围只由权利要求确定,在权利要求中,除非另有说明,所有的术语应按最宽泛合理的意思进行理解。
Claims (14)
1.一种蜜罐服务器通信方法,包括:
模拟部署了自动重定向的正常服务器后,直接或间接接收被测终端以HTTP协议发送的HTTP页面访问请求;
直接或间接向所述被测终端返回HTTP响应,以供所述被测终端根据接收到的HTTP响应判断是否存在中间人攻击,其中所述HTTP响应包含状态码和响应头。
2.如权利要求1所述的蜜罐服务器通信方法,其特征在于,所述HTTP响应还包含响应正文和/或所述响应头的预定特征字段的特征值。
3.如权利要求1或2所述的蜜罐服务器通信方法,其特征在于,所述蜜罐服务站点的域名设置为包含taobao或alipay或weixin关键词。
4.一种蜜罐服务器,包括:
HTTP页面访问请求接收模块,用于在模拟部署了自动重定向的正常服务器后,直接或间接接收被测终端以HTTP协议发送的HTTP页面访问请求;
HTTP响应返回模块,用于直接或间接向所述被测终端返回HTTP响应,以供所述被测终端根据接收到的HTTP响应判断是否存在中间人攻击,其中所述HTTP响应包含状态码和响应头。
5.如权利要求4所述的蜜罐服务器通信方法,其特征在于,所述HTTP响应还包含响应正文和/或所述响应头的预定特征字段的特征值。
6.一种SSLStrip中间人攻击感知方法,包括:
以HTTP协议向蜜罐服务器发起HTTP页面访问请求,其中所述蜜罐服务器为模拟部署了自动重定向的正常服务器;
接收所述蜜罐服务器直接或间接返回的HTTP响应;
当所述HTTP响应满足第一条件时,判断出所述终端设备不存在中间人攻击,其中所述第一条件包括:所述HTTP响应的状态码是302或304,且响应头的Location字段中自动重定向地址是预期重定向地址。
7.如权利要求6所述的SSLStrip中间人攻击感知方法,其特征在于,还包括:
当所述HTTP响应不满足所述第一条件、且所述HTTP响应满足第二条件时,判断出所述终端设备存在中间人攻击,其中所述第二条件包括:所述HTTP响应的状态码是200,且响应正文是预期响应正文或响应头的预定特征字段的特征值是预期响应头特征字段特征值。
8.如权利要求7所述的SSLStrip中间人攻击感知方法,其特征在于,还包括:
当所述HTTP响应不满足所述第一条件、且所述HTTP响应不满足所述第二条件时,判断出所述终端设备不存在中间人攻击。
9.如权利要求6或7或8所述的SSLStrip中间人攻击感知方法,其特征在于,所述HTTP页面访问请求为访问蜜罐服务器根目录配置的默认页面的请求。
10.一种SSLStrip中间人攻击感知装置,位于终端设备侧,包括:
HTTP页面访问请求发送模块,用于以HTTP协议向蜜罐服务器发起HTTP页面访问请求,其中所述蜜罐服务器为模拟部署了自动重定向的正常服务器;
HTTP响应接收模块,用于接收所述蜜罐服务器直接或间接返回的HTTP响应;
第一判断模块,用于当所述HTTP响应满足第一条件时,判断出所述终端设备不存在中间人攻击,其中所述第一条件包括:所述HTTP响应的状态码是302或304,且响应头的Location字段中自动重定向地址是预期重定向地址。
11.如权利要求10所述的SSLStrip中间人攻击感知装置,其特征在于,还包括:
第二判断模块,用于当所述HTTP响应不满足所述第一条件、且所述HTTP 响应满足第二条件时,判断出所述终端设备存在中间人攻击,其中所述第二条件包括:所述HTTP响应的状态码是200,且响应正文是预期响应正文或响应头的预定特征字段的特征值是预期响应头特征字段特征值。
12.如权利要求11所述的SSLStrip中间人攻击感知装置,其特征在于,
第三判断模块,用于当所述HTTP响应不满足所述第一条件、且所述HTTP响应不满足所述第二条件时,判断出所述终端设备不存在中间人攻击。
13.一种计算机设备,包括:
处理器;以及
用于存放计算机程序的存储器,
其特征在于,所述处理器用于执行所述存储器上所存放的计算机程序,以实现权利要求1至3中任一项权利要求所述的蜜罐服务器配置方法,或者,权利要求6至9中任一项权利要求所述的SSLStrip中间人攻击感知方法。
14.一种计算机存储介质,其特征在于,所述计算机存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至3中任一项权利要求所述的蜜罐服务器配置方法,或者,权利要求6至9中任一项权利要求所述的SSLStrip中间人攻击感知方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810555544.2A CN110557358A (zh) | 2018-05-31 | 2018-05-31 | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810555544.2A CN110557358A (zh) | 2018-05-31 | 2018-05-31 | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110557358A true CN110557358A (zh) | 2019-12-10 |
Family
ID=68734015
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810555544.2A Pending CN110557358A (zh) | 2018-05-31 | 2018-05-31 | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110557358A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111092878A (zh) * | 2019-12-13 | 2020-05-01 | 北京小米移动软件有限公司 | 中间人劫持的测试方法、装置、设备及可读存储介质 |
| CN112637235A (zh) * | 2020-12-30 | 2021-04-09 | 绿盟科技集团股份有限公司 | 一种通信方法、装置、设备及介质 |
| CN113452645A (zh) * | 2020-03-24 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 中间人攻击检测方法、装置、计算机设备和存储介质 |
| CN113542302A (zh) * | 2021-08-02 | 2021-10-22 | 北京知道创宇信息技术股份有限公司 | 攻击干扰方法、装置、网关及可读存储介质 |
| CN113783885A (zh) * | 2021-09-16 | 2021-12-10 | 杭州安恒信息技术股份有限公司 | 一种蜜罐网络代理方法及相关装置 |
| CN114389863A (zh) * | 2021-12-28 | 2022-04-22 | 绿盟科技集团股份有限公司 | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 |
| CN115941363A (zh) * | 2023-03-08 | 2023-04-07 | 广东广宇科技发展有限公司 | 一种基于http协议的网络通信安全分析方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090292925A1 (en) * | 2006-04-13 | 2009-11-26 | Alexander Meisel | Method for providing web application security |
| US20160142438A1 (en) * | 2014-11-13 | 2016-05-19 | Cleafy S.r.l. | Method of identifying and counteracting internet attacks |
| CN105721479A (zh) * | 2016-03-02 | 2016-06-29 | 北京网康科技有限公司 | 一种网址过滤方法及装置 |
-
2018
- 2018-05-31 CN CN201810555544.2A patent/CN110557358A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090292925A1 (en) * | 2006-04-13 | 2009-11-26 | Alexander Meisel | Method for providing web application security |
| US20160142438A1 (en) * | 2014-11-13 | 2016-05-19 | Cleafy S.r.l. | Method of identifying and counteracting internet attacks |
| CN105721479A (zh) * | 2016-03-02 | 2016-06-29 | 北京网康科技有限公司 | 一种网址过滤方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 张恒伽等: "基于SSLStrip的HTTPS会话劫持", 《信息安全与通信保密》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111092878A (zh) * | 2019-12-13 | 2020-05-01 | 北京小米移动软件有限公司 | 中间人劫持的测试方法、装置、设备及可读存储介质 |
| CN111092878B (zh) * | 2019-12-13 | 2022-03-01 | 北京小米移动软件有限公司 | 中间人劫持的测试方法、装置、设备及可读存储介质 |
| CN113452645A (zh) * | 2020-03-24 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 中间人攻击检测方法、装置、计算机设备和存储介质 |
| CN112637235A (zh) * | 2020-12-30 | 2021-04-09 | 绿盟科技集团股份有限公司 | 一种通信方法、装置、设备及介质 |
| CN113542302A (zh) * | 2021-08-02 | 2021-10-22 | 北京知道创宇信息技术股份有限公司 | 攻击干扰方法、装置、网关及可读存储介质 |
| CN113542302B (zh) * | 2021-08-02 | 2023-05-02 | 北京知道创宇信息技术股份有限公司 | 攻击干扰方法、装置、网关及可读存储介质 |
| CN113783885A (zh) * | 2021-09-16 | 2021-12-10 | 杭州安恒信息技术股份有限公司 | 一种蜜罐网络代理方法及相关装置 |
| CN113783885B (zh) * | 2021-09-16 | 2022-12-30 | 杭州安恒信息技术股份有限公司 | 一种蜜罐网络代理方法及相关装置 |
| CN114389863A (zh) * | 2021-12-28 | 2022-04-22 | 绿盟科技集团股份有限公司 | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 |
| CN114389863B (zh) * | 2021-12-28 | 2024-02-13 | 绿盟科技集团股份有限公司 | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 |
| CN115941363A (zh) * | 2023-03-08 | 2023-04-07 | 广东广宇科技发展有限公司 | 一种基于http协议的网络通信安全分析方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110557358A (zh) | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 | |
| EP3481029B1 (en) | Internet defense method and authentication server | |
| US8756697B2 (en) | Systems and methods for determining vulnerability to session stealing | |
| US20190354709A1 (en) | Enforcement of same origin policy for sensitive data | |
| US9654494B2 (en) | Detecting and marking client devices | |
| EP2916512B1 (en) | Method for classifying a TCP connection carrying HTTP traffic as a trusted or an untrusted TCP connection | |
| CN105430011B (zh) | 一种检测分布式拒绝服务攻击的方法和装置 | |
| CN109150874B (zh) | 访问认证方法、装置及认证设备 | |
| US20130312054A1 (en) | Transport Layer Security Traffic Control Using Service Name Identification | |
| US20140373138A1 (en) | Method and apparatus for preventing distributed denial of service attack | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| KR20160044524A (ko) | 의문스런 네트워크 통신 평가 | |
| Ghafir et al. | Tor-based malware and Tor connection detection | |
| CN105635073B (zh) | 访问控制方法、装置和网络接入设备 | |
| Hossain et al. | Survey of the Protection Mechanisms to the SSL-based Session Hijacking Attacks. | |
| CN106789858B (zh) | 一种访问控制方法和装置以及服务器 | |
| RU2601147C2 (ru) | Система и способ выявления целевых атак | |
| US10360379B2 (en) | Method and apparatus for detecting exploits | |
| CN104009999A (zh) | 防止arp欺骗的方法、装置及网络接入服务器 | |
| LaCroix et al. | Cookies and sessions: a study of what they are, how they work and how they can be stolen | |
| JP2013069016A (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
| Rafiee et al. | A flexible framework for detecting ipv6 vulnerabilities | |
| CN112491910B (zh) | 基于dot协议的流量标识方法、装置、设备及存储介质 | |
| CN107682371A (zh) | 一种恶意ap的检测方法及装置 | |
| CN112491909B (zh) | 基于doh协议的流量标识方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20191210 |