CN111786990B - 一种针对web主动推送跳转页面的防御方法和系统 - Google Patents

一种针对web主动推送跳转页面的防御方法和系统 Download PDF

Info

Publication number
CN111786990B
CN111786990B CN202010609139.1A CN202010609139A CN111786990B CN 111786990 B CN111786990 B CN 111786990B CN 202010609139 A CN202010609139 A CN 202010609139A CN 111786990 B CN111786990 B CN 111786990B
Authority
CN
China
Prior art keywords
domain name
web server
web
port
suspicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010609139.1A
Other languages
English (en)
Other versions
CN111786990A (zh
Inventor
汤真
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Youyun Technology Co ltd
Original Assignee
Hangzhou Youyun Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Youyun Technology Co ltd filed Critical Hangzhou Youyun Technology Co ltd
Priority to CN202010609139.1A priority Critical patent/CN111786990B/zh
Publication of CN111786990A publication Critical patent/CN111786990A/zh
Application granted granted Critical
Publication of CN111786990B publication Critical patent/CN111786990B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种针对WEB主动推送跳转页面的防御方法,涉及网络安全技术领域,包括以下步骤:对WEB服务器的数据进行镜像;对镜像后的数据进行分析,提取WEB服务器的IP、PORT和域名;依照传输层、应用层的顺序对WEB服务器进行多层次拦截,获得可疑域名;对所述可疑域名以及对应的IP、PORT缓存;针对所述可疑域名,模拟WEB流程对WEB服务器进行访问测试;将测试不通过的可疑域名记录为非法域名,对应的IP+PORT添加到传输层的黑名单中;本发明还公开了一种针对WEB主动推送跳转页面的防御系统。本发明提升了域名拦截的性能,通过传输层黑名单实现拦截WEB主动推送跳转页面的非法应用。

Description

一种针对WEB主动推送跳转页面的防御方法和系统
技术领域
本发明涉及网络安全技术领域,尤其针对一种WEB主动推送跳转页面的防御方法和系统。
背景技术
域名备案DNICP(Domain Name Internet Content Provider)的目的就是为了防止在网上从事非法的网站经营活动,打击不良互联网信息的传播。而现在市场上的域名备案监管产品(域名白名单系统)基本都是以旁路的模式来实现。
现有阻止未备案域名是通过对数据报文的分析提取域名,并对域名进行判断是否备案来实现应用是否可以被访问。请参照图1,要实现拦截功能则必须在客户接收到HTTPRESPONSE报文之前中断客户和WEB服务器之间的TCP连接或者仿造一个HTTP RESPONSE报文(一般是提示错误信息的页面+400以上的HTTP错误码组成)。
正常情况WEB服务器是在收到客户GET报文,分析客户需要的资源,然后把资源封装在HTTP RESPONSE报文中反馈给客户。现在市场上的域名白名单系统一般都能成功拦截到。但是如果非正常应用(往往对应非法WEB应用色情、赌博等),如图1在进行1、2、3步骤进行3次握手建立TCP连接后,WEB服务器不等4步骤等待客户的GET请求报文,而是直接给客户发送一个RESPONSE报文(一般这种报文是一个页面跳转),这个时候则域名白名单系统则无法进行监管。2019年下半年就爆发了这种非法应用情况,而国内的IDC服务商的域名白名单系统针对这种情况都是不能进行有效监管。
发明内容
本发明的目的在于提供一种针对WEB主动推送跳转页面的防御方法和系统,提升了域名拦截的性能,通过TCP层黑名单实现拦截WEB主动推送跳转页面的非法应用。
为实现上述目的,本发明提供如下技术方案:
一种针对WEB主动推送跳转页面的防御方法,其特征在于,包括以下步骤:
S1,对WEB服务器的数据进行镜像;
S2,对镜像后的数据进行分析,提取WEB服务器的IP、PORT和域名;
S3,依照传输层、应用层的顺序对WEB服务器进行多层次拦截,获得可疑域名;
S4,对所述可疑域名以及对应的IP、PORT缓存;
S5,针对所述可疑域名,模拟WEB流程对WEB服务器进行访问测试;
S6,将测试不通过的可疑域名记录为非法域名,对应的IP+PORT添加到TCP层的黑名单中。
进一步的,所述S3中,多层次拦截的具体步骤如下:
S31、传输层过滤,若WEB服务器的IP+PORT在黑名单内,则进行拦截并结束,否则进入S32;
S32,应用层过滤,若WEB服务器的域名在白名单内,则结束,否则将该域名记为可疑域名。
进一步的, 所述S4的具体方法为:将可疑域名以及对应的IP、PORT写入内存缓存或数据库存储。
进一步的,所述S5中访问测试的具体内容为:
和WEB服务器进行TCP连接,在进行3次握手后不进行WEB的get报文,直接等待数据接收,如果接收到跳转页面,则表示检测到主动推送跳转页面,对应的可疑域名的访问测试不通过。
一种针对WEB主动推送跳转页面的防御系统,其特征在于,包括拦截子系统、共享内存、检测子系统和数据库;
所述拦截子系统接收WEB服务器的数据,包括IP、PORT和域名,并依照传输层、应用层的顺序对WEB服务器进行多层次拦截,获得可疑域名;
所述共享内存用于保存所述可疑域名;
所述检测子系统从共享内存中提取可疑域名,模拟WEB流程对WEB服务器进行访问测试,将测试不通过的可疑域名记录为非法域名,对应的IP+PORT添加到TCP层的黑名单中;
所述数据库用于保存传输层的黑名单以及域名的白名单。
进一步的,所述多层次拦截的具体步骤如下:
传输层过滤,若WEB服务器的IP+PORT在黑名单内,则进行拦截并结束,否则进入应用层过滤;
应用层过滤,若WEB服务器的域名在白名单内,则结束,否则将该域名记为可疑域名。
进一步的,所述访问测试的具体内容为:
和WEB服务器进行TCP连接,在进行3次握手后不进行WEB的get报文,直接等待数据接收,如果接收到跳转页面,则表示检测到主动推送跳转页面,对应的可疑域名的访问测试不通过。
进一步的,所述WEB服务器的数据由交换机的网口镜像而来。
与现有技术相比,本发明的有益效果是:本发明的拦截子系统可以大大提升域名拦截的性能,同时检测子系统可以有效地检测出主动推送跳转的非法应用;拦截子系统与监测子系统相互分离,经缓存存储或数据库实现数据共享,易于扩展和升级。
附图说明
图1为WEB流程示意图。
图2为本发明的方法流程图。
图3为本发明的结构框图。
具体实施方式
下面对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
请参阅图2,本实施例提供一种针对WEB主动推送跳转页面的防御方法,包括以下步骤:
S1,对WEB服务器的数据进行镜像;
S2,对镜像后的数据进行分析,提取WEB服务器的IP、PORT和域名;
S3,依照传输层、应用层的顺序对WEB服务器进行多层次拦截,获得可疑域名。具体步骤如下:
S31、传输层过滤,若WEB服务器的IP+PORT在黑名单内,说明该IP+PORT的服务器主动推送跳转页面、非法应用等,则进行拦截并结束,否则进入S32。所述黑名单记录了IP+PORT的监控范围,建立以IP+PORT为关键字的黑名单哈希表,每来一个新的IP+PORT黑名单,加入哈希表。查询的时候以目的IP和目的PORT(真实web服务器的IP和PORT)为关键字进行哈希查询,如果查到数据再黑名单哈希表,则进行拦截。
S32,应用层过滤,若WEB服务器的域名在白名单内,则结束,否则将该域名记为可疑域名,达到域名过白的目的。
S4,对所述可疑域名以及对应的IP、PORT写入共享内存实现数据的缓存;
S5,针对所述可疑域名,模拟WEB流程对WEB服务器进行访问测试。具体内容为:
和WEB服务器进行TCP连接,在进行3次握手后不进行WEB的get报文,直接等待数据接收,如果接收到跳转页面,则表示检测到主动推送跳转页面,对应的可疑域名的访问测试不通过。
S6,将测试不通过的可疑域名记录为非法域名,对应的IP+PORT添加到传输层的黑名单中,用于传输层的拦截。
实施例二:
请参照图3,本实施例提供一种针对WEB主动推送跳转页面的防御系统,所述防御系统搭载于域名白名单系统服务器内,包括拦截子系统、共享内存、检测子系统和数据库;
万兆交换机经第一网口获取WEB服务器的数据,并将该数据镜像到第二网口;
所述拦截子系统从第二网口接收WEB服务器的数据进行分析提取,得到的信息包括IP、PORT和域名,并依照传输层、应用层的顺序对WEB服务器进行多层次拦截,获得可疑域名。多层次拦截的具体步骤如下:
传输层过滤,若WEB服务器的IP+PORT在黑名单内,说明该IP+PORT的服务器主动推送跳转页面、非法应用等,则进行拦截并结束,否则应用层过滤;
应用层过滤,若WEB服务器的域名在白名单内,则结束,否则将该域名记为可疑域名,达到域名过白的目的。
所述共享内存用于保存所述可疑域名;
所述检测子系统从共享内存中提取可疑域名,通过万兆交换机的第三网口模拟WEB流程对WEB服务器进行访问测试,将测试不通过的可疑域名记录为非法域名,对应的IP+PORT添加到传输层(即TCP层)的黑名单中,用于传输层的拦截。访问测试的具体内容为:
和WEB服务器进行TCP连接,在进行3次握手后不进行WEB的get报文,直接等待数据接收,如果接收到跳转页面,则表示检测到主动推送跳转页面,对应的可疑域名的访问测试不通过,记录为非法域名。
所述数据库用于保存传输层的黑名单以及域名的白名单。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。

Claims (4)

1.一种针对WEB主动推送跳转页面的防御方法,其特征在于,包括以下步骤:
S1,对WEB服务器的数据进行镜像;
S2,对镜像后的数据进行分析,提取WEB服务器的IP、PORT和域名;
S3,依照传输层、应用层的顺序对WEB服务器进行多层次拦截,获得可疑域名;
S4,对所述可疑域名以及对应的IP、PORT缓存;
S5,针对所述可疑域名,模拟WEB流程对WEB服务器进行访问测试;
S6,将测试不通过的可疑域名记录为非法域名,对应的IP+PORT添加到TCP层的黑名单中;
所述S3中,多层次拦截的具体步骤如下:
S31、传输过滤,若WEB服务器的IP+PORT在黑名单内,则进行拦截并结束,否则进入S32;
S32,应用层过滤,若WEB服务器的域名在白名单内,则结束,否则将该域名记为可疑域名;
所述S5中访问测试的具体内容为:
和WEB服务器进行TCP连接,在进行3次握手后不进行WEB的get报文,直接等待数据接收,如果接收到跳转页面,则表示检测到主动推送跳转页面,对应的可疑域名的访问测试不通过。
2.根据权利要求1所述的针对WEB主动推送跳转页面的防御方法,其特征在于, 所述S4的具体方法为:将可疑域名以及对应的IP、PORT写入内存缓存或数据库存储。
3.一种针对WEB主动推送跳转页面的防御系统,其特征在于,包括拦截子系统、共享内存、检测子系统和数据库;
所述拦截子系统接收WEB服务器的数据,包括IP、PORT和域名,并依照传输层、应用层的顺序对WEB服务器进行多层次拦截,获得可疑域名;
所述共享内存用于保存所述可疑域名;
所述检测子系统从共享内存中提取可疑域名,模拟WEB流程对WEB服务器进行访问测试,将测试不通过的可疑域名记录为非法域名,对应的IP+PORT添加到TCP层的黑名单中;
所述数据库用于保存传输层的黑名单以及域名的白名单;
所述多层次拦截的具体步骤如下:
传输层过滤,若WEB服务器的IP+PORT在黑名单内,则进行拦截并结束,否则进入应用层过滤;
应用层过滤,若WEB服务器的域名在白名单内,则结束,否则将该域名记为可疑域名;
所述访问测试的具体内容为:
和WEB服务器进行TCP连接,在进行3次握手后不进行WEB的get报文,直接等待数据接收,如果接收到跳转页面,则表示检测到主动推送跳转页面,对应的可疑域名的访问测试不通过。
4.根据权利要求3所述的针对WEB主动推送跳转页面的防御系统,其特征在于,所述WEB服务器的数据由交换机的网口镜像而来。
CN202010609139.1A 2020-06-29 2020-06-29 一种针对web主动推送跳转页面的防御方法和系统 Active CN111786990B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010609139.1A CN111786990B (zh) 2020-06-29 2020-06-29 一种针对web主动推送跳转页面的防御方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010609139.1A CN111786990B (zh) 2020-06-29 2020-06-29 一种针对web主动推送跳转页面的防御方法和系统

Publications (2)

Publication Number Publication Date
CN111786990A CN111786990A (zh) 2020-10-16
CN111786990B true CN111786990B (zh) 2021-02-02

Family

ID=72761248

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010609139.1A Active CN111786990B (zh) 2020-06-29 2020-06-29 一种针对web主动推送跳转页面的防御方法和系统

Country Status (1)

Country Link
CN (1) CN111786990B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112199627B (zh) * 2020-12-03 2021-04-09 上海二三四五网络科技有限公司 一种调起浏览器操作的页面拦截方法及装置
CN117579383B (zh) * 2024-01-15 2024-03-22 杭州优云科技股份有限公司 一种主动http响应的检测及拦截方法、装置及设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101567888A (zh) * 2008-12-29 2009-10-28 郭世泽 网络反馈主机安全防护方法
CN102546854A (zh) * 2012-01-10 2012-07-04 上海西默通信技术有限公司 一种域名和服务器建立http连接的域名解析方法
CN104135400A (zh) * 2014-07-14 2014-11-05 南京烽火星空通信发展有限公司 一种基于分布式时空机理的主干网僵尸网络追踪方法
CN106789983A (zh) * 2016-12-08 2017-05-31 北京安普诺信息技术有限公司 一种cc攻击防御方法及其防御系统
CN106921537A (zh) * 2015-12-28 2017-07-04 中国电信股份有限公司 网站访问质量测试方法、服务器和系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101391781B1 (ko) * 2012-08-07 2014-05-07 한국전자통신연구원 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101567888A (zh) * 2008-12-29 2009-10-28 郭世泽 网络反馈主机安全防护方法
CN102546854A (zh) * 2012-01-10 2012-07-04 上海西默通信技术有限公司 一种域名和服务器建立http连接的域名解析方法
CN104135400A (zh) * 2014-07-14 2014-11-05 南京烽火星空通信发展有限公司 一种基于分布式时空机理的主干网僵尸网络追踪方法
CN106921537A (zh) * 2015-12-28 2017-07-04 中国电信股份有限公司 网站访问质量测试方法、服务器和系统
CN106789983A (zh) * 2016-12-08 2017-05-31 北京安普诺信息技术有限公司 一种cc攻击防御方法及其防御系统

Also Published As

Publication number Publication date
CN111786990A (zh) 2020-10-16

Similar Documents

Publication Publication Date Title
CN110650128B (zh) 一种检测以太坊数字货币盗取攻击的系统及方法
CN110505235B (zh) 一种绕过云waf的恶意请求的检测系统及方法
US8844034B2 (en) Method and apparatus for detecting and defending against CC attack
CN108712426B (zh) 基于用户行为埋点的爬虫识别方法及系统
CN107124434B (zh) 一种dns恶意攻击流量的发现方法及系统
US20140047543A1 (en) Apparatus and method for detecting http botnet based on densities of web transactions
CN103685294A (zh) 拒绝服务攻击的攻击源的识别方法和装置
CN114244564B (zh) 攻击防御方法、装置、设备及可读存储介质
CN105681133A (zh) 一种检测dns服务器是否防网络攻击的方法
CN108768921B (zh) 一种基于特征检测的恶意网页发现方法及系统
CN101582887A (zh) 安全防护方法、网关设备及安全防护系统
CN111786990B (zh) 一种针对web主动推送跳转页面的防御方法和系统
CN103701793A (zh) 服务器肉鸡的识别方法和装置
CN113518077A (zh) 一种恶意网络爬虫检测方法、装置、设备及存储介质
WO2017063274A1 (zh) 一种恶意跳转及恶意嵌套类不良网站的自动判定方法
CN108282446B (zh) 识别扫描器的方法及设备
CN109361574B (zh) 基于JavaScript脚本的NAT检测方法、系统、介质和设备
CN112738095A (zh) 一种检测非法外联的方法、装置、系统、存储介质及设备
CN111314301A (zh) 一种基于dns解析的网站访问控制方法及装置
CN107147662B (zh) 域名劫持发现的方法
KR102059688B1 (ko) 사이버 블랙박스 시스템 및 그 방법
KR101658450B1 (ko) 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보 및 고유세션 id 통한 사용자 식별을 이용한 보안장치.
CN116582365B (zh) 网络流量的安全控制方法、装置及计算机设备
CN115051867B (zh) 一种非法外联行为的检测方法、装置、电子设备及介质
CN115001789B (zh) 一种失陷设备检测方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant