[發(fā)明專利]一種基于主動探測的網絡中間人攻擊定位方法在審
| 申請?zhí)枺?/td> | 201310713376.2 | 申請日: | 2013-12-23 |
| 公開(公告)號: | CN103647783A | 公開(公告)日: | 2014-03-19 |
| 發(fā)明(設計)人: | 李建華;周志洪;潘理;汪圣蒞;田一添 | 申請(專利權)人: | 上海交通大學無錫研究院 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L12/26 |
| 代理公司: | 南京經緯專利商標代理有限公司 32200 | 代理人: | 邵驊 |
| 地址: | 214135 江蘇省無*** | 國省代碼: | 江蘇;32 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 主動 探測 網絡 中間人 攻擊 定位 方法 | ||
技術領域
本發(fā)明涉及網絡安全協(xié)議領域,具體而言是一種基于主動探測,在網絡中定位特定SSL中間人攻擊者的方法。
背景技術
互聯(lián)網在人們生活中起到的作用也越來越大。正因為如此,網絡中傳遞的信息的安全性也變得越發(fā)重要。很多安全協(xié)議的出現(xiàn)能夠在互聯(lián)網用戶之間建立安全的傳輸通道,保障了信息的機密性(Confidentiality)、完整性(Integrity)?和可用性(Availability)。如IPSEC(Internet?Protocol?Security)、SSL(Secure?Sockets?Layer),Kerberos等常用的安全協(xié)議。
然而,這些安全協(xié)議也只能夠實現(xiàn)相對的安全,從它誕生的第一天起,對于這些協(xié)議的攻擊就層出不窮。其中,針對協(xié)議漏洞進行的中間人攻擊是最為常見、也是危害性最大的一種。中間人攻擊,又稱第三人攻擊,它是一種“間接”的入侵攻擊,它包括兩個步驟,攻擊者首先通過會話劫持的手段,使自己處于用戶和服務器的中間人位置,以便獲取用戶和服務器之間的交互報文。隨后,攻擊者對用戶的請求進行代理,從而獲取用戶的個人信息。比如,2002年提出的SSL?Sniff攻擊,就是利用了各主流瀏覽器在檢查證書時的一個漏洞,利用這個漏洞,可以讓瀏覽器信任攻擊者自己簽發(fā)的證書,從而做到欺騙用戶,進行釣魚等攻擊。
而在各種中間人攻擊中,SSL?Strip是安全研究員Moxie?Marlinspike在2009年2月BlackHat安全會議上提出的一種較為新穎的攻擊方式。這種攻擊方式的特點在于,攻擊者可以在劫持會話后,不需要像別的中間人攻擊那樣偽造證書、和用戶建立另外一個SSL連接,而是可以通過欺騙用戶,使其和攻擊者建立一個不安全的http連接,由攻擊者代理和服務器建立https連接。這樣一來,攻擊者就可以直接獲得用戶發(fā)送的明文信息。
發(fā)明內容
本發(fā)明目的在于能夠提供一種基于主動探測技術,在網絡中定位中間人攻擊者的方法。以便在確認出現(xiàn)了SSL中間人攻擊后,能夠確定攻擊者的IP地址,對于偵查、取證有很大的幫助。
本發(fā)明基于這樣一個事實,即中間人攻擊者事實上是在用戶和服務器之間做了一個Web應用代理,攻擊者將用戶的http報文進行了修改,重新構造,發(fā)往服務器,對服務器發(fā)回的報文也進行類似的操作。
因此,我們如果在發(fā)送的報文中加入一些特殊的特征信息,因為攻擊者對我們的報文進行了代理,所以,這些信息將被更改。如果我們能夠獲得這樣的反饋信息,知道我們的報文被這樣修改過了,那么我們就可以知道在哪個位置出現(xiàn)了攻擊者。
本發(fā)明提出了一種方法,能夠通過發(fā)送不同TTL值的報文,來檢測在哪一跳上出現(xiàn)了可能存在的中間人攻擊者。如果在某一跳上的路由器發(fā)現(xiàn)了TTL超時,正常情況下應該能夠返回一個ICMP:?Time?to?live?exceed的報文。但是,如果在這一跳上正好出現(xiàn)了Strip攻擊者的話,那么當它檢查到用戶的報文是對于某個地址的80端口的訪問時,會無視TTL的超時,而將這個請求進行代理,因此,我們會收到服務器端發(fā)來的ack報文,通過修改TTL的值,我們就可以發(fā)現(xiàn)在哪一跳上出現(xiàn)了可能的攻擊者。
同時,獲得攻擊者的跳數(shù)之后,我們就可以利用traceroute工具進行探測,得到攻擊者的IP地址信息。
其具體流程如下:
(1)????用戶向服務器發(fā)送tcp請求,請求報文中TTL值設置為零;
(2)????用戶收到tcp應答,根據(jù)應答判斷是否有TTL延時;
(3)????如果發(fā)現(xiàn)有TTL延時,則轉到步驟(4),如果沒有發(fā)現(xiàn)TTL延時,則TTL值遞增,繼續(xù)向服務器發(fā)送tcp請求,并轉向步驟(2);
(4)????發(fā)現(xiàn)此跳出現(xiàn)Strip攻擊者;
(5)????用traceroute工具進行探測,得到攻擊者的IP地址信息。
本發(fā)明通過主動發(fā)送tcp請求,根據(jù)收到的應答判斷是否有中間人攻擊,并通過相應的工具得到攻擊者的IP地址信息,實現(xiàn)攻擊定位。
附圖說明
圖?1?為本發(fā)明流程示意圖。
圖?2?為收到服務器的tcp?ack報文圖。
圖?3?為發(fā)現(xiàn)攻擊者的IP地址信息圖。
具體實施方式
如圖1所示一種基于主動探測的網絡中間人攻擊定位方法,包括下述步驟:
(1)??用戶向服務器發(fā)送tcp請求,請求報文中TTL值設置為零;
(2)????用戶收到tcp應答,根據(jù)應答判斷是否有TTL延時;
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于上海交通大學無錫研究院,未經上海交通大學無錫研究院許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201310713376.2/2.html,轉載請聲明來源鉆瓜專利網。
