CN114389831A - 一种基于远程桌面协议的tcp代理方法 - Google Patents
一种基于远程桌面协议的tcp代理方法 Download PDFInfo
- Publication number
- CN114389831A CN114389831A CN202011139259.6A CN202011139259A CN114389831A CN 114389831 A CN114389831 A CN 114389831A CN 202011139259 A CN202011139259 A CN 202011139259A CN 114389831 A CN114389831 A CN 114389831A
- Authority
- CN
- China
- Prior art keywords
- tcp
- link
- client
- message
- method based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出一种基于远程桌面协议的TCP代理方法,步骤一:对第三方应用程序进行视频流劫持,劫持视频流的关键过程;步骤二:在客户端发起connect时识别会话参数,在发起第一帧数据报文起始位置插入会话参数,将修改后的报文发给TCP代理;步骤三:TCP代理在收到第一帧报文后进行解析,并和目标资产建立链接,进行TCP流的透传。本发明不再区分和研究上层协议,统一采用转发TCP层视频流进行实现。堡垒机采用代理模式和直通模式并存,可以采用配置方式进行选择使用,堡垒机采用TCP代理,能够实时审计、运维服务器资产,能够很好的适应客户现场的特殊环境。
Description
技术领域
本发明涉及常用的远程桌面协议(RDPVNCREMOTEAPP),以及网络安全领域。具体地说是涉及这三种图形协议在堡垒机中运维方式。
背景技术
堡垒机对于RDP、VNC和REMOTEAPP图形协议采用会话集中管理,协议流采用运维和资产直通的方式,该方法的优势是减轻了堡垒机服务器网络和CPU压力,劣势是不能很好地适应客户现场特殊环境,如:运维和资产处于不同的VLAN,防火墙策略不支持直通等。
发明内容
本发明是为解决现有技术中的问题而提出的,技术方案如下,
一种基于远程桌面协议的TCP代理方法,包括如下步骤:
步骤一:对第三方应用程序进行视频流劫持,劫持视频流的关键过程;
步骤二:在客户端发起connect时识别会话参数,在发起第一帧数据报文起始位置插入会话参数,将修改后的报文发给TCP代理;
步骤三:TCP代理在收到第一帧报文后进行解析,并和目标资产建立链接,进行TCP流的透传。
优选的,所述步骤一中,对第三方应用程序进行视频流劫持需要用到DLL注入和API HOOK技术。
优选的,所述步骤一中,所述关键过程包括connect、send、close的执行过程。
优选的,所述步骤二中,所述会话参数包括目标资产IP和端口号。
优选的,所述步骤二中TCP代理的具体实现包括如下步骤:
a.初始化,创建socketfd,在port=6600进行监听;创建hash,保存fd值,fd
值作为hash的key值,用libev作为复用模型;
b.监听,使用libev监听客户端和目标资产两端的fd链接;
c.接收链接,接收客户端的fd链接,并放入到hash队列;
d.透传,解析客户端发来的报文的第一帧,与目标资产建立链接,将客户端fd链接的fd值和目标资产fd链接的fd值进行绑定,绑定之后,进行数据透传。
本发明不再区分和研究上层协议,统一采用转发TCP层视频流进行实现。堡垒机采用代理模式和直通模式并存,可以采用配置方式进行选择使用,堡垒机采用TCP代理,能够实时审计、运维服务器资产,能够很好的适应客户现场的特殊环境。
附图说明
图1是本发明一种基于远程桌面协议的TCP代理方法的工作流程图。
图2是本发明TCP代理的工作流程图。
图3是本发明视频流劫持的工作流程图。
图4是本发明通过堡垒机运维设备的工作流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明通过堡垒机运维设备进行描述,登录方式选择RDP或VNC,操作流程如图4所示,操作过程如下:
1)通过系统管理员登录堡垒机,创建运维用户。
2)创建之后,为运维用户添加相应的运维设备,并对其相应的设备进行授权(设备开启了RDPVNC服务)。
3)通过用户名、密码。运维用户登录自己的运维平台。
4)登录之后,运维设备,登录方式选择RDP或VNC。
如图1所示,一种基于远程桌面协议的TCP代理方法,包括如下步骤:
步骤一:对第三方应用程序(即客户端的应用程序链接资产)进行视频流劫持,劫持视频流connect、send、close等的关键过程;需要用DLL注入和APIHOOK技术,知道第三方应用程序与目标资产通信的时机,并改变它的通信对象,用以劫持图形协议视频流的数据;
步骤二:在客户端发起connect时识别会话参数,在发起第一帧数据报文起始位置插入会话参数,将修改后的报文发给TCP代理,会话参数包括目标资产IP和端口号;
步骤三:TCP代理在收到第一帧报文后进行解析,并和目标资产建立链接,进行TCP流的透传。
因堡垒机服务器TCP代理无法预知当前会话目标资产IP地址,所以不能修改客户端链接头目标地址进行四层转发,目前采用七层转发来完成TCP代理。堡垒机采用TCP代理,能够实时审计、运维服务器资产。如图2所示,TCP代理的具体实现包括如下步骤:
a.初始化,创建socketfd,在port=6600进行监听;创建hash,保存fd值,fd
值作为hash的key值,用libev作为复用模型;
b.监听,使用libev监听客户端和目标资产两端的fd链接;
c.接收链接,接收客户端的fd链接,并放入到hash队列;
d.透传,解析客户端发来的报文的第一帧,与目标资产建立链接,将客户端fd链接的fd值和目标资产fd链接的fd值进行绑定,绑定之后,进行数据透传。
如图3所示,视频流劫持的具体实现步骤如下:
(1)客户端发起链接,通过DLL注入和APIHOOK技术,劫持视频流connect的关键过程。
(2)解析connect参数,在数据报文的第一帧起始位置插入目标资产IP和端口号,将修改后的报文发给TCP代理。
该方法作为堡垒机图形运维的一种选择方式:代理模式。堡垒机采用代理模式和直通模式并存,可以采用配置方式进行选择使用。
尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种基于远程桌面协议的TCP代理方法,其特征在于:包括如下步骤:
步骤一:对第三方应用程序进行视频流劫持,劫持视频流的关键过程;
步骤二:在客户端发起connect时识别会话参数,在发起第一帧数据报文起始位置插入会话参数,将修改后的报文发给TCP代理;
步骤三:TCP代理在收到第一帧报文后进行解析,并和目标资产建立链接,进行TCP流的透传。
2.根据权利要求1所述的一种基于远程桌面协议的TCP代理方法,其特征在于:所述步骤一中,对第三方应用程序进行视频流劫持需要用到DLL注入和API HOOK技术。
3.根据权利要求1所述的一种基于远程桌面协议的TCP代理方法,其特征在于:所述步骤一中,所述关键过程包括connect、send、close的执行过程。
4.根据权利要求1所述的一种基于远程桌面协议的TCP代理方法,其特征在于:所述步骤二中,所述会话参数包括目标资产IP和端口号。
5.根据权利要求1所述的一种基于远程桌面协议的TCP代理方法,其特征在于:所述步骤二中TCP代理的具体实现包括如下步骤:
a.初始化,创建socket fd,在port=6600进行监听;创建hash,保存fd值,fd
值作为hash的key值,用libev作为复用模型;
b.监听,使用libev监听客户端和目标资产两端的fd链接;
c.接收链接,接收客户端的fd链接,并放入到hash队列;
d.透传,解析客户端发来的报文的第一帧,与目标资产建立链接,将客户端fd链接的fd值和目标资产fd链接的fd值进行绑定,绑定之后,进行数据透传。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011139259.6A CN114389831A (zh) | 2020-10-22 | 2020-10-22 | 一种基于远程桌面协议的tcp代理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011139259.6A CN114389831A (zh) | 2020-10-22 | 2020-10-22 | 一种基于远程桌面协议的tcp代理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114389831A true CN114389831A (zh) | 2022-04-22 |
Family
ID=81193647
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011139259.6A Pending CN114389831A (zh) | 2020-10-22 | 2020-10-22 | 一种基于远程桌面协议的tcp代理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114389831A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114401265A (zh) * | 2021-12-15 | 2022-04-26 | 中孚安全技术有限公司 | 一种基于远程桌面协议的tcp透明代理实现方法、系统及装置 |
CN115277657A (zh) * | 2022-05-30 | 2022-11-01 | 上海上讯信息技术股份有限公司 | 一种数据库协议运维的方法及设备 |
-
2020
- 2020-10-22 CN CN202011139259.6A patent/CN114389831A/zh active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114401265A (zh) * | 2021-12-15 | 2022-04-26 | 中孚安全技术有限公司 | 一种基于远程桌面协议的tcp透明代理实现方法、系统及装置 |
CN115277657A (zh) * | 2022-05-30 | 2022-11-01 | 上海上讯信息技术股份有限公司 | 一种数据库协议运维的方法及设备 |
CN115277657B (zh) * | 2022-05-30 | 2023-06-13 | 上海上讯信息技术股份有限公司 | 一种数据库协议运维的方法及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7386889B2 (en) | System and method for intrusion prevention in a communications network | |
US8904532B2 (en) | Method, apparatus and system for detecting botnet | |
US8291039B2 (en) | Establishing a virtual tunnel between two computer programs | |
US20090260074A1 (en) | System and method for application level access to virtual server environments | |
US20080072322A1 (en) | Reconfigurable Message-Delivery Preconditions for Delivering Attacks to Analyze the Security of Networked Systems | |
US10897494B2 (en) | Diversified file transfer | |
AU2004306787A1 (en) | Encapsulating protocol for session persistence and reliability | |
CN114389831A (zh) | 一种基于远程桌面协议的tcp代理方法 | |
CN111526061B (zh) | 网络靶场实战演练场景的监控流量调度系统与方法 | |
KR20030056700A (ko) | Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법 | |
US11528326B2 (en) | Method of activating processes applied to a data session | |
WO2007121262A2 (en) | Highly adaptable proxy traversal and authentication | |
Pfrang et al. | Detecting and preventing replay attacks in industrial automation networks operated with profinet IO | |
CN115134105A (zh) | 私有网络的资源配置方法、装置、电子设备及存储介质 | |
EP1605667A2 (en) | Controlled firewall penetration for management of discrete devices | |
KR101971995B1 (ko) | 보안을 위한 보안 소켓 계층 복호화 방법 | |
CN107770219A (zh) | 一种视窗窗口的共享方法、网关服务器和系统 | |
CN105407095B (zh) | 不同网络间安全通信装置及其通信方法 | |
US20030212750A1 (en) | Remotely controlling a computer over a network | |
CN114465744A (zh) | 一种安全访问方法及网络防火墙系统 | |
CN113965622A (zh) | 一种基于X window位图显示窗口图形化代理方法 | |
CN111131172B (zh) | 一种内网主动调用服务的方法 | |
CN220605929U (zh) | 新型网络系统 | |
CN113923032B (zh) | 一种应用访问控制的接入方法 | |
Memon et al. | Performance Analysis of Internet Streams using Remote Desktop Tools |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |