本發明實施例提供一種劫持網絡流量的方法及裝置，所述方法包括：獲取網頁瀏覽端口的網絡流量；根據所述網絡流量，獲取在建立安全套接層SSL連接的過程中客戶端向服務器發送的建立所述SSL的連接請求；解析所述連接請求，以提取所述SSL的協議版本字段和所述服務器的域名字段；若所述協議版本字段對應的協議版本是預設協議版本，解析所述域名字段，以獲取待訪問的域名地址；若所述域名地址包含在預設域名地址中，則劫持所述SSL對應的網絡流量。所述裝置執行上述方法。本發明實施例提供的劫持網絡流量的方法及裝置，能夠合理、有效地劫持SSL對應的網絡流量，進而有效控制企業職員的上網行為。

技術領域

本發明實施例涉及網絡行為管理技術領域，具體涉及一種劫持網絡流量的方法及裝置。

背景技術

隨著計算機、寬帶技術的迅速發展，企業員工非工作上網等企業網絡濫用現象較為嚴重。

因此，企業需要對員工的上網行為進行管理，對企業的數據安全進行保護，所以需要對公司內部的網絡行為進行檢測和控制。目前，網絡應用通常使用HTTPS等通用協議，HTTPS協議即在HTTP協議的基礎上通過安全套接層(Secure Sockets Layer，簡稱“SSL”)協議進行了加密，由于是密文，需要采用類似中間人攻擊等技術劫持SSL流量，中間人攻擊原理是于通訊的兩端，即客戶端和服務器分別建立獨立的聯系，并交換其所收到的數據，使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話，但事實上整個會話都被攻擊者完全控制。然后將劫持的密文數據變成明文數據后，再對其解析內容，接下來同HTTP協議的管理和控制。

圖1為現有技術SSL中間人攻擊的過程示意圖，如圖1所示，中間攻擊人需要知道攻擊的對象，即攻擊對象的IP地址。中間人攻擊通常依賴于DNS包，根據DNS包里面的域名解析出來的IP進行SSL流量的劫持，現有技術應用場景如下：

1.若無DNS包通過SSL中間人攻擊裝置(即執行圖1的方法對應的裝置)，但是已知IP，只需要將所有滿足該IP的443端口的流量重定向到SSL中間人攻擊裝置進行SSL流量的劫持。

2.若有DNS包通過SSL中間人攻擊裝置，則對DNS包進行劫持，然后對其內容解析獲得DNS包里面的IP。此時分兩種情況：

1).若是標準的DNS協議，根據域名匹配，能夠找到DNS包里面所需域名對應的IP，則將所有滿足該IP的443端口的流量重定向到SSL中間人攻擊裝置進行SSL流量的劫持。

2).若無法正常的提取IP，此時又分為兩種情況：

(1).若不是DNS標準協議，則無法解析其內容從而無法提取IP，最終導致無法劫持SSL流量。

(2).DNS包里面的域名是別名，即所需的域名和返回的域名匹配不上，最終導致無法劫持SSL流量。

3.根據IP成功劫持SSL流量后，此時仍有以下幾種場景：

1)存在部分私有協議使用443端口，若此時劫持的是私有協議，因為是非SSL協議，此時無法正常解密，有可能影響甚至中斷公司部分業務。

2)存在一個IP對應多個域名的情況。若劫持該IP的流量，會對該IP對應的所有域名的流量進行劫持，造成誤劫持，不僅影響SSL中間人攻擊裝置的性能，也有可能對公司的業務有所干擾。

3).是標準SSL的流量，能夠正常的解密。將密文數據解密成明文內容，然后對其內容進行分析，可以對服務器IP、域名、關鍵字等進行不同顆粒度的管理和控制。

通過上述說明，現有技術包括如下缺陷：