CN117675302A - 一种基于异常请求特征构造的请求识别攻击方法 - Google Patents
一种基于异常请求特征构造的请求识别攻击方法 Download PDFInfo
- Publication number
- CN117675302A CN117675302A CN202311593644.1A CN202311593644A CN117675302A CN 117675302 A CN117675302 A CN 117675302A CN 202311593644 A CN202311593644 A CN 202311593644A CN 117675302 A CN117675302 A CN 117675302A
- Authority
- CN
- China
- Prior art keywords
- request
- user
- packet
- target
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 31
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000010276 construction Methods 0.000 title claims abstract description 18
- 235000014510 cooky Nutrition 0.000 claims abstract description 51
- 238000004891 communication Methods 0.000 claims abstract description 24
- 238000001914 filtration Methods 0.000 claims description 12
- 238000012544 monitoring process Methods 0.000 claims description 12
- 238000011109 contamination Methods 0.000 claims description 5
- 238000013507 mapping Methods 0.000 claims description 4
- 230000001960 triggered effect Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 4
- 239000000243 solution Substances 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 101001033293 Homo sapiens Interleukin enhancer-binding factor 3 Proteins 0.000 description 1
- 102100039062 Interleukin enhancer-binding factor 3 Human genes 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本申请涉及网络流量分析技术领域,具体提供了一种基于异常请求特征构造的请求识别攻击方法,主要分为两部分:用户浏览器Cookie污染,目的是污染用户浏览器的Cookie缓存,使用户访问某些HTTPS URL时,浏览器发出携带额外的污染Cookie的请求,从而使该请求的请求包长度异常;基于异常报文长度的请求识别,目的是通过观测用户HTTPS通信链路使用的加密算法及消息摘要长度,计算特定的HTTPS URL请求包携带污染Cookie时的请求长度区间,并将该区间与用户实时流量中的数据包长度进行比对,从而实现请求识别。
Description
技术领域
本申请涉及网络流量分析技术领域,尤其涉及一种基于异常请求特征构造的请求识别攻击方法。
背景技术
Cookie是Web服务器发送的相关元数据,存储在客户端浏览器中进行状态管理。Web服务器通常根据之前设置过的Cookie来确定用户的身份和会话(Session)状态。Cookie一般是一段不超过4KB的小型文本数据,由基本属性Name,Value和其他7个可选属性组成。
同源策略(Same Origin Policy,SOP)是网络安全的基石,它旨在保护一个域的网络内容不被另一个域访问。一个URL由三部分组成,协议(Protocol),域名(Domain),端口(Port)号,对于“源”标准的定义也是由这三个属性组成的三元组,只有这个三元组完全相同才能被称为同。然而,Cookie对于“源”的定义是有漏洞的,Cookie并没有在不同的协议之间被隔离,如http、https,即来自相同域但不同协议的Cookie会被存储在一起,同样Cookie也没有隔离端口,并且Cookie对域名的隔离也相对松散,这些相对松散不完整的规范都给Cookie的安全性埋下隐患。
Cookie的存储和读取之间存在一个明显的差异点:Cookie在设置和存储时被定义为Name/Domain/Path到其值的映射,但是只有name-value属性会被携带在和客户端的请求中,呈现给Web服务器。这种不对称性允许将相同名称但是不同Domain/Path的Cookie写入浏览器,后续浏览器会读取所有相同名称的Cookie,但是无法区分它们,因为读取过程中没有显示Domain/Path等其他属性。此外Cookie的Path属性可以设置为任意的值,不受URL的影响。
Cookie除了不区分协议和端口外,对域的隔离也相对较弱,这主要是为了允许Web服务器灵活设置Cookie Domain范围,Cookie Domain范围主要有:①不共享,host-only;②.与子域共享;③.与兄弟域共享(设置时Domain设置为其父域)。在第三种情况下,浏览器会执行一些策略,以防止Domain设置的不合理,例如,www.target.com可以设置一个Domain=.target.com的Cookie,但是不能设置一个Domain=.com的Cookie,.com作为顶级域名,这个范围过大,允许这种设置方式显然不合理。
Cookie读写的不对称性和Cookie Domain属性之间隔离松散,意味着一个域无法保证其Cookie的完整性不受中间人攻击者或其他已经被攻击者控制的兄弟域的影响。
Cookie注入允许中间人攻击者向客户端浏览器注入Cookie,当客户端请求URL与Cookie的Domain/Path匹配时,Cookie就会被携带在请求中。TLS协议是HTTPS传输安全的保证之一,它提供两个通信程序之间的数据私密性和完整性。但其规范中警告了TLS不保护其报文长度。TLS的基本构建块TLS Cipher文本记录以明文的形式传输TLS内容的类型、版本和长度。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
鉴于现有技术的上述缺点、不足,本申请提供一种基于异常请求特征构造的请求识别攻击方法,可通过监听用户加密流量,从用户流量中识别出特定的HTTPS请求包,实现请求识别攻击。
本发明提供了一种基于异常请求特征构造的请求识别攻击方法,包括:嗅探用户流量,根据所述用户流量中数据包的源端口和目的端口判断所述数据包的协议类型,并提取用户HTTP请求的数据包;
根据所述用户流量中数据包的源端口和目的端口,获取并修改所述用户HTTP请求的响应,以触发用户浏览器对目标URL的访问请求;
根据数据包的目的端口,对所述用户流量中的数据包进行过滤,得到所述目标URL的HTTP请求包;
根据所述用户流量中数据包的源端口和目的端口,获取并修改所述目标URL的HTTP响应,以完成用户浏览器Cookie污染;
提取所述目标URL的域名,分析所述域名的IP地址,确定目标域以及所述目标域的IP地址;
通过浏览器对所述目标URL发出HTTPS请求,开启浏览器的开发者工具,查看所述目标URL的HTTPS请求包的长度;
通过监听用户的实时流量,拦截目标数据包,并对所述目标数据包进行分析;所述目标数据包为ContentType字段值为22的HTTPS握手包;
提取用户与目标域的HTTPS通信的数据包长度,得到所述目标URL的请求包,完成请求识别。
在本发明的一个实施例中,所述用户HTTP请求的数据包的目的端口为80,源端口为client_port。
在本发明的一个实施例中,根据所述用户流量中数据包的源端口和目的端口,获取并修改所述用户HTTP请求的响应,以触发用户浏览器对目标URL的访问请求,包括:
根据所述用户流量中数据包的源端口和目的端口,判断所述用户HTTP请求的响应;
当监听到源端口为80,目的端口为client_port的数据包时,设定所述源端口为80,目的端口为client_port的数据包为所述用户HTTP请求的响应,并将所述用户HTTP请求的响应修改为目标URL的HTTP重定向报文,触发用户浏览器对目标URL的访问请求。
在本发明的一个实施例中,根据数据包的目的端口,对所述用户流量中的数据包进行过滤,得到所述目标URL的HTTP请求包,包括:
根据数据包的目的端口,过滤出所述用户HTTP请求的数据包;
根据所述用户HTTP请求的数据包中的路由字段和Host字段,从所述用户流量中寻找所述触发用户浏览器对目标URL的访问请求,得到所述目标URL的HTTP请求包;
记录所述目标URL的HTTP请求包的源端口和目的端口。
在本发明的一个实施例中,根据所述用户流量中数据包的源端口和目的端口,获取并修改所述目标URL的HTTP响应,以完成用户浏览器Cookie污染,包括:
在目标URL的HTTP响应头中添加set-cookie头,值为污染Cookie;
修改目标URL的HTTP响应状态码为301状态码,向所述目标URL的HTTP响应头添加Location字段,值为目标URL的HTTP请求的原始HTTPURL。
在本发明的一个实施例中,提取所述目标URL的域名,分析所述域名的IP地址,确定目标域以及所述目标域的IP地址,包括:
通过在不同的地理位置对所述目标URL的域名发出Ping请求,得到所述目标域的IP地址,记为target_IP。
在本发明的一个实施例中,通过监听用户的实时流量,拦截目标数据包,并对所述目标数据包进行分析,包括:
根据数据包的TLS协议的ContentType字段判断所述数据包类型,拣选出ContentType字段值为22的HTTPS握手包,并进行分析;
根据握手包的HandshakeType字段判断握手包是ClientHello握手包还是ServerHello握手包;
提取所述ClientHello握手包的SNI扩展字段,根据所述SNI扩展字段过滤出用户与目标域的ClientHello握手包,得到用户与目标域之间HTTPS通信链路的源端口与目的端口的映射关系,进而检索ClientHello包对应的ServerHello包。
在本发明的一个实施例中,根据所述ServerHello包,提取CipherSuite的字段值,并根据所述CipherSuite字段值,提取HTTPS通信使用的加密算法以及消息摘要长度。
在本发明的一个实施例中,提取用户与目标域HTTPS通信的数据包长度,得到所述目标URL的请求包,以完成请求识别,之前还包括:
根据HTTPS通信使用的加密算法、HTTPS通信使用的消息摘要长度、所述目标URL的HTTPS请求包的长度,计算加密后目标URL的HTTPS数据包的长度区间。
在本发明的一个实施例中,提取用户与目标域HTTPS通信的数据包长度,得到所述目标URL的请求包,以完成请求识别,包括:
通过监听用户对目标域的实时HTTPS流量,提取用户与目标域的HTTPS通信的数据包长度;
当所述用户与目标域HTTPS通信的数据包长度在所述加密后目标URL的HTTPS数据包的长度区间内,则所述用户与目标域HTTPS通信的数据包为目标URL的请求包,此时完成请求识别。
本申请的上述技术方案相比现有技术具有以下优点:
本申请所述的一种基于异常请求特征构造的请求识别攻击方法,针对网络流量中的HTTP和HTTPS流量进行请求识别攻击,通过污染用户浏览器Cookie造成请求包长度异常,再针对异常报文长度进行请求识别,实现从用户流量中识别出特定的HTTPS请求包,基于Cookie污染,能够通过中间人操作实现对HTTP和HTTPS流量的识别。
附图说明
为了使本发明的内容更容易被清楚的理解,下面根据本发明的具体实施例并结合附图,对本发明作进一步详细的说明,其中:
图1示出了本申请实施例所提供的一种基于异常请求特征构造的请求识别攻击方法的流程图;
图2示出了本申请实施例所提供的用户浏览器Cookie污染时序图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,应当理解,本申请中的附图仅起到说明和描述的目的,并不用于限定本申请的保护范围。另外,应当理解,示意性的附图并未按实物比例绘制。本申请中使用的流程图示出了根据本申请的一些实施例实现的操作。应当理解,流程图的操作可以不按顺序实现,没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外,本领域技术人员在本申请内容的指引下,可以向流程图添加一个或多个其他操作,也可以从流程图中移除一个或多个操作。
另外,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的全部其他实施例,都属于本申请保护的范围。
为了使得本领域技术人员能够使用本申请内容,结合特定应用场景“基于异常请求特征构造的请求识别攻击”中,给出以下实施方式,对于本领域技术人员来说,在不脱离本申请的精神和范围的情况下,可以将这里定义的一般原理应用于其他实施例和应用场景。
本申请实施例下述方法可以应用于任何需要进行基于异常请求特征构造的请求识别攻击的场景,本申请实施例并不对具体的应用场景作限制,任何使用本申请实施例提供的基于异常请求特征构造的请求识别攻击的方案均在本申请保护范围内。
为便于对本申请进行理解,下面结合具体实施例对本申请提供的技术方案进行详细说明。
本申请是基于异常特征构造的请求识别攻击,具体包括两大部分,分别是用户浏览器Cookie污染和基于异常报文长度的请求识别。下面结合附图和具体的实施方式对本发明进行详细说明。
图1为本申请实施例所提供的一种基于异常请求特征构造的请求识别攻击方法的流程图,图2为本申请实施例所提供的用户浏览器Cookie污染时序图。
参见图1、图2,首先对用户浏览器Cookie污染的具体实施进行说明,具体包括:
S101:嗅探用户流量,根据所述用户流量中数据包的源端口和目的端口判断所述数据包的协议类型,并提取用户HTTP请求的数据包。
在一些可能的实施方式中,所述用户HTTP请求的数据包的目的端口为80,源端口为client_port。
示例性的,本申请要求攻击者有能力监听、拦截、修改用户数据包的能力。
进一步地,根据流量中数据包的源端口和目的端口判断数据包的协议类型,对于目的端口为TCP80端口的数据包,此时成功嗅探出用户中的HTTP请求,记录下该数据包的源端口,记为client_port。
S102:根据所述用户流量中数据包的源端口和目的端口,获取并修改所述用户HTTP请求的响应,以触发用户浏览器对目标URL的访问请求。
在一些可能的实施方式中,根据所述用户流量中数据包的源端口和目的端口,获取并修改所述用户HTTP请求的响应,以触发用户浏览器对目标URL的访问请求,包括:
根据所述用户流量中数据包的源端口和目的端口,判断所述用户HTTP请求的响应;
当监听到源端口为80,目的端口为client_port的数据包时,设定所述源端口为80,目的端口为client_port的数据包为所述用户HTTP请求的响应,并将所述用户HTTP请求的响应修改为目标URL的HTTP重定向报文,触发用户浏览器对目标URL的访问请求。
示例性的,根据流量中数据包的源端口和目的端口判断HTTP请求的响应,当监听到源端口为80,目的端口为client_port时,认为该数据包为HTTP请求的响应,修改该响应的内容为指向目标URL的301重定向报文,从而触发对目标URL的请求。
S103:根据数据包的目的端口,对所述用户流量中的数据包进行过滤,得到所述目标URL的HTTP请求包。
在一些可能的实施方式中,根据数据包的目的端口,对所述用户流量中的数据包进行过滤,得到所述目标URL的HTTP请求包,包括:
根据数据包的目的端口,过滤出所述用户HTTP请求的数据包;
根据所述用户HTTP请求的数据包中的路由字段和Host字段,从所述用户流量中寻找所述触发用户浏览器对目标URL的访问请求,得到所述目标URL的HTTP请求包;
记录所述目标URL的HTTP请求包的源端口和目的端口。
示例性的,根据数据包的目的端口过滤出用户流量中所有的HTTP请求数据包,根据HTTP请求数据包的路由字段和Host字段,从用户流量中检索通过步骤3触发的对目标URL的请求,记录下该数据包的源端口和目的端口。
S104:根据所述用户流量中数据包的源端口和目的端口,获取并修改所述目标URL的HTTP响应,以完成用户浏览器Cookie污染。
在一些可能的实施方式中,根据所述用户流量中数据包的源端口和目的端口,获取并修改所述目标URL的HTTP响应,以完成用户浏览器Cookie污染,包括:
在目标URL的HTTP响应头中添加set-cookie头,值为污染Cookie;
修改目标URL的HTTP响应状态码为301状态码,向所述目标URL的HTTP响应头添加Location字段,值为目标URL的HTTP请求的原始HTTPURL。
示例性的,根据步骤S102的方法寻找目标URL的HTTP响应,找到目标URL的响应后,修改响应内容,在HTTP响应头中添加set-cookie头,值为污染Cookie,修改HTTP响应状态码为301状态码,向HTTP响应头添加Location字段,值为其请求的原始HTTPURL。
经过上述步骤S101-S104,完成对用户浏览器的Cookie污染并还原了用户最初的HTTP请求场景。
接下来对基于异常报文长度的请求识别的具体实施方法进行说明,具体包括:
S105:提取所述目标URL的域名,分析所述域名的IP地址,确定目标域以及所述目标域的IP地址;
在一些可能的实施方式中,提取所述目标URL的域名,分析所述域名的IP地址,确定目标域以及所述目标域的IP地址,包括:
通过在不同的地理位置对所述目标URL的域名发出Ping请求,得到所述目标域的IP地址,记为target_IP。
示例性的,通过在不同的地理位置对目标域名发出Ping请求,获取该域名的IP地址,记为target_IP。
S106:通过浏览器对所述目标URL发出HTTPS请求,开启浏览器的开发者工具,查看所述目标URL的HTTPS请求包的长度。
示例性的,通过浏览器对目标URL发出HTTPS请求,开启浏览器的开发者工具,查看目标URL的HTTPS请求包的大小。
S107:通过监听用户的实时流量,拦截目标数据包,并对所述目标数据包进行分析;所述目标数据包为ContentType字段值为22的HTTPS握手包。
示例性的,通过监听用户的实时流量,对于目标IP地址或源IP地址为target_IP,传输层协议为TCP,目的端口或源端口为443的数据包,拦截这些数据包进行分析。
在一些可能的实施方式中,通过监听用户的实时流量,拦截目标数据包,并对所述目标数据包进行分析,包括:
根据数据包的TLS协议的ContentType字段判断所述数据包类型,拣选出ContentType字段值为22的HTTPS握手包,并进行分析;
根据握手包的HandshakeType字段判断握手包是ClientHello握手包还是ServerHello握手包;其中ClientHello包的HandshakeType=1,而ServerHello包的HandshakeType=2;
提取所述ClientHello握手包的SNI扩展字段(该字段指示了数据包的目标域),根据所述SNI扩展字段过滤出用户与目标域的ClientHello握手包,得到用户与目标域之间HTTPS通信链路的源端口与目的端口的映射关系,进而检索ClientHello包对应的ServerHello包。
在一些可能的实施方式中,根据所述Server Hello包,提取Cipher Suite的字段值,并根据所述Cipher Suite字段值,提取HTTPS通信使用的加密算法以及消息摘要长度。
S108:提取用户与目标域的HTTPS通信的数据包长度,得到所述目标URL的请求包,完成请求识别。
在一些可能的实施方式中,提取用户与目标域HTTPS通信的数据包长度,得到所述目标URL的请求包,以完成请求识别,之前还包括:
根据HTTPS通信使用的加密算法、HTTPS通信使用的消息摘要长度、所述目标URL的HTTPS请求包的长度,计算加密后目标URL的HTTPS数据包的长度区间。
示例性的,根据步骤S106获取到目标URL的HTTPS请求的明文长度,同时根据步骤S108提取出HTTPS通信使用的加密算法和消息摘要长度,根据二值计算出目标URL携带污染Cookie时的请求长度区间。设对于待加密的HTTPS请求其明文请求数据为R,加密后的密文数据为C。R和C满足下式(1)、式(2):
其中,Fi,Fi∈R表示一个分片数据(Frame data),Ei,Ei∈C表示相应分片数据加密后的密文数据(Encrypted Data)。通过前述Cipher Suite值的分析可以得出,消息摘要的长度是可以直接确定的,将该长度表示为Len(MAC)。
流加密下每个分片数据密文组成为:与明文等长的密文,密文消息摘要,1B的TLS头,块加密要求块大小block确定,但分片数据的最后一块长度不一定满足要求,因此块加密算法会给长度不足的块填充(Padding)额外数据,从而统一处理。假设对于分片数据Fi,其填充数据为Pi,Pi∈[0,block-1]。加密后,为每片加密数据添加TLS头(1B),生成最终的密文块,流加密及块加密情况下的密文长度计算公式如下式(3)、式(4)所示:
Len(Ei)=Len(Fi)+Len(MAC)+1 (3);
Len(Ei)=Len(Fi)+Len(MAC)+Len(Pi)+1 (4);
依照上式(3)、式(4),流加密和块加密的明文请求和密文请求的长度差,分别用下式(5)、式(6)表示:
向上式(5)、式(6)引入污染Cookie产生的额外请求数据长度L,记此时请求长度为Len(R′)=Len(R)+L,此时分块数n′。考虑攻击者和用户浏览器由于user-agent不同,其密文请求长度也会稍有差异,于是再引入由user-agent导致的误差ρ(经过调研将其值定为20),得到最终的密文长度区间计算公式,下式(7)表示流加密,式(8)表示块加密:
对于请求长度同时符合两个甚至多个区间的情况,计算请求长度与区间边界值的方差,选择方差最小的区间所代表的URL为请求识别结果。
在一些可能的实施方式中,提取用户与目标域HTTPS通信的数据包长度,得到所述目标URL的请求包,以完成请求识别,包括:
通过监听用户对目标域的实时HTTPS流量,提取用户与目标域的HTTPS通信的数据包长度;
当所述用户与目标域HTTPS通信的数据包长度在所述加密后目标URL的HTTPS数据包的长度区间内,则所述用户与目标域HTTPS通信的数据包为目标URL的请求包,此时完成请求识别。
通过监听用户与目标域之间的实时HTTPS数据包,提取数据包长度记为Len(temp),当Len(temp)∈Len(C)时,认为该数据包就是目标URL的请求包,完成请求识别。
通过用户浏览器Cookie污染和基于异常报文长度的请求识别,基于异常请求特征构造的请求识别攻击实施完成。
综上所述,本申请实施例提供的一种基于异常请求特征构造的请求识别攻击方法,针对网络流量中的HTTP和HTTPS流量进行请求识别攻击,通过污染用户浏览器Cookie造成请求包长度异常,再针对异常报文长度进行请求识别,实现从用户流量中识别出特定的HTTPS请求包,基于Cookie污染,能够通过中间人操作实现对HTTP和HTTPS流量的识别。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。
显然,上述实施例仅仅是为清楚地说明所作的举例,并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (10)
1.一种基于异常请求特征构造的请求识别攻击方法,其特征在于,包括:
嗅探用户流量,根据所述用户流量中数据包的源端口和目的端口判断所述数据包的协议类型,并提取用户HTTP请求的数据包;
根据所述用户流量中数据包的源端口和目的端口,获取并修改所述用户HTTP请求的响应,以触发用户浏览器对目标URL的访问请求;
根据数据包的目的端口,对所述用户流量中的数据包进行过滤,得到所述目标URL的HTTP请求包;
根据所述用户流量中数据包的源端口和目的端口,获取并修改所述目标URL的HTTP响应,以完成用户浏览器Cooki e污染;
提取所述目标URL的域名,分析所述域名的IP地址,确定目标域以及所述目标域的IP地址;
通过浏览器对所述目标URL发出HTTPS请求,开启浏览器的开发者工具,查看所述目标URL的HTTPS请求包的长度;
通过监听用户的实时流量,拦截目标数据包,并对所述目标数据包进行分析;所述目标数据包为Content Type字段值为22的HTTPS握手包;
提取用户与目标域的HTTPS通信的数据包长度,得到所述目标URL的请求包,完成请求识别。
2.根据权利要求1所述的基于异常请求特征构造的请求识别攻击方法,其特征在于,所述用户HTTP请求的数据包的目的端口为80,源端口为client_port。
3.根据权利要求1所述的基于异常请求特征构造的请求识别攻击方法,其特征在于,根据所述用户流量中数据包的源端口和目的端口,获取并修改所述用户HTTP请求的响应,以触发用户浏览器对目标URL的访问请求,包括:
根据所述用户流量中数据包的源端口和目的端口,判断所述用户HTTP请求的响应;
当监听到源端口为80,目的端口为cli ent_port的数据包时,设定所述源端口为80,目的端口为cli ent_port的数据包为所述用户HTTP请求的响应,并将所述用户HTTP请求的响应修改为目标URL的HTTP重定向报文,触发用户浏览器对目标URL的访问请求。
4.根据权利要求1所述的基于异常请求特征构造的请求识别攻击方法,其特征在于,根据数据包的目的端口,对所述用户流量中的数据包进行过滤,得到所述目标URL的HTTP请求包,包括:
根据数据包的目的端口,过滤出所述用户HTTP请求的数据包;
根据所述用户HTTP请求的数据包中的路由字段和Host字段,从所述用户流量中寻找所述触发用户浏览器对目标URL的访问请求,得到所述目标URL的HTTP请求包;
记录所述目标URL的HTTP请求包的源端口和目的端口。
5.根据权利要求1所述的基于异常请求特征构造的请求识别攻击方法,其特征在于,根据所述用户流量中数据包的源端口和目的端口,获取并修改所述目标URL的HTTP响应,以完成用户浏览器Cookie污染,包括:
在目标URL的HTTP响应头中添加set-cookie头,值为污染Cookie;
修改目标URL的HTTP响应状态码为301状态码,向所述目标URL的HTTP响应头添加Location字段,值为目标URL的HTTP请求的原始HTTP URL。
6.根据权利要求1所述的基于异常请求特征构造的请求识别攻击方法,其特征在于,提取所述目标URL的域名,分析所述域名的IP地址,确定目标域以及所述目标域的IP地址,包括:
通过在不同的地理位置对所述目标URL的域名发出Ping请求,得到所述目标域的IP地址,记为target_IP。
7.根据权利要求1所述的基于异常请求特征构造的请求识别攻击方法,其特征在于,通过监听用户的实时流量,拦截目标数据包,并对所述目标数据包进行分析,包括:
根据数据包的TLS协议的Content Type字段判断所述数据包类型,拣选出ContentType字段值为22的HTTPS握手包,并进行分析;
根据握手包的Handshake Type字段判断握手包是Client Hel lo握手包还是ServerHello握手包;
提取所述Client Hello握手包的SNI扩展字段,根据所述SNI扩展字段过滤出用户与目标域的Client Hel lo握手包,得到用户与目标域之间HTTPS通信链路的源端口与目的端口的映射关系,进而检索Client Hello包对应的Server Hello包。
8.根据权利要求7所述的基于异常请求特征构造的请求识别攻击方法,其特征在于,根据所述Server Hello包,提取Cipher Suite的字段值,并根据所述Cipher Suite字段值,提取HTTPS通信使用的加密算法以及消息摘要长度。
9.根据权利要求1所述的基于异常请求特征构造的请求识别攻击方法,其特征在于,提取用户与目标域HTTPS通信的数据包长度,得到所述目标URL的请求包,以完成请求识别,之前还包括:
根据HTTPS通信使用的加密算法、HTTPS通信使用的消息摘要长度、所述目标URL的HTTPS请求包的长度,计算加密后目标URL的HTTPS数据包的长度区间。
10.根据权利要求9所述的基于异常请求特征构造的请求识别攻击方法,其特征在于,提取用户与目标域HTTPS通信的数据包长度,得到所述目标URL的请求包,以完成请求识别,包括:
通过监听用户对目标域的实时HTTPS流量,提取用户与目标域的HTTPS通信的数据包长度;
当所述用户与目标域HTTPS通信的数据包长度在所述加密后目标URL的HTTPS数据包的长度区间内,则所述用户与目标域HTTPS通信的数据包为目标URL的请求包,此时完成请求识别。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311593644.1A CN117675302A (zh) | 2023-11-27 | 2023-11-27 | 一种基于异常请求特征构造的请求识别攻击方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311593644.1A CN117675302A (zh) | 2023-11-27 | 2023-11-27 | 一种基于异常请求特征构造的请求识别攻击方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117675302A true CN117675302A (zh) | 2024-03-08 |
Family
ID=90063405
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311593644.1A Pending CN117675302A (zh) | 2023-11-27 | 2023-11-27 | 一种基于异常请求特征构造的请求识别攻击方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117675302A (zh) |
-
2023
- 2023-11-27 CN CN202311593644.1A patent/CN117675302A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7250703B2 (ja) | 相関関係駆動型脅威の評価と修復 | |
CN114095198B (zh) | 用于网络安全应用的高效加密sni过滤的方法和系统 | |
WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
US7373524B2 (en) | Methods, systems and computer program products for monitoring user behavior for a server application | |
Dixon et al. | Network traffic obfuscation and automated internet censorship | |
US20130312054A1 (en) | Transport Layer Security Traffic Control Using Service Name Identification | |
US20050188080A1 (en) | Methods, systems and computer program products for monitoring user access for a server application | |
US20050188221A1 (en) | Methods, systems and computer program products for monitoring a server application | |
US20050198099A1 (en) | Methods, systems and computer program products for monitoring protocol responses for a server application | |
US20050188079A1 (en) | Methods, systems and computer program products for monitoring usage of a server application | |
US20050188222A1 (en) | Methods, systems and computer program products for monitoring user login activity for a server application | |
US20050187934A1 (en) | Methods, systems and computer program products for geography and time monitoring of a server application user | |
CN114145004A (zh) | 用于使用dns消息以选择性地收集计算机取证数据的系统及方法 | |
Barbosa et al. | Simpleweb/university of twente traffic traces data repository | |
CN111770104A (zh) | web漏洞检测方法、系统、终端、计算机可读存储介质 | |
Shbair et al. | Improving sni-based https security monitoring | |
Valente et al. | Privacy and security in Internet-connected cameras | |
Mayank et al. | Tor traffic identification | |
RU2601147C2 (ru) | Система и способ выявления целевых атак | |
CN112671753B (zh) | 一种信息安全一体化等级保护系统 | |
US11979374B2 (en) | Local network device connection control | |
CN117675302A (zh) | 一种基于异常请求特征构造的请求识别攻击方法 | |
Di Martino et al. | Knocking on ips: Identifying https websites for zero-rated traffic | |
van der Eijk et al. | Detecting cobalt strike beacons in netflow data | |
CN114401112B (zh) | 旁路部署针对tls加密的恶意流量实时深度包检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |