CN110557355B - 一种用于通过用户设备检测中间人攻击的方法与设备 - Google Patents
一种用于通过用户设备检测中间人攻击的方法与设备 Download PDFInfo
- Publication number
- CN110557355B CN110557355B CN201810550763.1A CN201810550763A CN110557355B CN 110557355 B CN110557355 B CN 110557355B CN 201810550763 A CN201810550763 A CN 201810550763A CN 110557355 B CN110557355 B CN 110557355B
- Authority
- CN
- China
- Prior art keywords
- user equipment
- man
- middle attack
- current network
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请的目的是提供一种用于通过用户设备检测中间人攻击的方法,其中,所述用户设备停用IP代理,该方法包括:向目标IP地址发送TCP握手请求,其中,所述目标IP地址为预置的不可访问地址;若所述TCP握手请求超时失败,确定所述用户设备的当前网络中未存在中间人攻击。本申请主动进行检测中间人攻击中的SSLSniff中间人攻击、SSLStrip中间人攻击以及网页篡改中间人攻击,覆盖范围广,识别攻击类型较为精准,以便于用户方可以实行对应的防御措施。
Description
技术领域
本申请涉及通信领域,尤其涉及一种用于通过用户设备检测中间人攻击的技术。
背景技术
随着计算机通信网技术的不断发展,网络通信遭受的风险越来越大,中间人(MITM)攻击也越来越多样化。中间人(MITM)攻击是一种攻击类型,其中攻击者将它自己放到两方之间,通常是客户端和服务端通信线路的中间,这可以通过破坏原始频道之后拦截一方的消息并将它们转发(有时会有改变)给另一方来实现。中间人(MITM)攻击成为对网银、网游、网上交易等最有威胁并且最具破坏性的一种攻击方式。
发明内容
本申请的一个目的是提供一种用于通过用户设备检测中间人攻击的方法与设备。
根据本申请的一个方面,提供了一种用于通过用户设备检测中间人攻击的方法与设备的方法,该方法包括:
向目标IP地址发送TCP握手请求,其中,所述目标IP地址为预置的不可访问地址;
若所述TCP握手请求超时失败,确定所述用户设备的当前网络中未存在中间人攻击。
根据本申请的一个方面,提供了一种用于通过用户设备检测中间人攻击的设备,该设备包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行:
向目标IP地址发送TCP握手请求,其中,所述目标IP地址为预置的不可访问地址;
若所述TCP握手请求超时失败,确定所述用户设备的当前网络中未存在中间人攻击。
根据本申请的一个方面,提供了一种包括指令的计算机可读介质,所述指令在被执行时使得系统进行:
向目标IP地址发送TCP握手请求,其中,所述目标IP地址为预置的不可访问地址;
若所述TCP握手请求超时失败,确定所述用户设备的当前网络中未存在中间人攻击。
与现有技术相比,本申请通过用户设备向预置的不可访问的目标IP地址发送TCP握手请求,基于流量劫持这个中间人攻击前提,并根据TCP握手是否成功来判断当前网络中是否存在中间人攻击,本申请可适用于有线与无线通信领域,适用范围广,能准确识别出出中间人攻击中的SSLSniff中间人攻击、网页篡改中间人攻击和SSLStrip中间人攻击,识别攻击较为精准。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1示出根据本申请一个实施例的一种用于通过用户设备检测中间人攻击的系统拓扑图;
图2示出根据本申请另一个实施例的一种用于通过用户设备检测中间人攻击的方法流程图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本申请作进一步详细描述。
在本申请一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
本申请所指设备包括但不限于用户设备、网络设备、或用户设备与网络设备通过网络相集成所构成的设备。所述用户设备包括但不限于任何一种可与用户进行人机交互(例如通过触摸板进行人机交互)的移动电子产品,例如智能手机、平板电脑等,所述移动电子产品可以采用任意操作系统,如android操作系统、iOS操作系统等。其中,所述网络设备包括一种能够按照事先设定或存储的指令,自动进行数值计算和信息处理的电子设备,其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)、嵌入式设备等。所述网络设备包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云;在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个虚拟超级计算机。所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(Ad Hoc网络)等。优选地,所述设备还可以是运行于所述用户设备、网络设备、或用户设备与网络设备、网络设备、触摸终端或网络设备与触摸终端通过网络相集成所构成的设备上的程序。
当然,本领域技术人员应能理解上述设备仅为举例,其他现有的或今后可能出现的设备如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
在本申请的描述中,“多个”的含义是两个或者更多,除非另有明确具体的限定。
图1示出了本申请的一个典型场景,用户设备对目标IP地址发送TCP(Transmission Control Protocol传输控制协议)握手请求,服务器在规定时间内与用户设备完成TCP握手,表明TCP请求成功,此时用户设备确认当前网络中存在中间人攻击。其中,所述用户设备未使用IP代理,如用户设备设置了全局代理,用户设备在进行检测时停用该全局代理;若用户设备的代理包括某个应用设置的代理(如,专门在浏览器中设置的HTTP代理等),用户设备在检测时无需停用该代理。
例如,目标IP地址为预先设置的不可访问的地址,该地址为4.4.4.4,用户手持用户设备通过浏览器对该目标IP地址发送TCP握手请求,其中,该用户设备未主动设置代理,用户设备向服务器发出TCP连接请求报文,服务器收到请求后确认该连接请求报文,并反馈确认信息至用户设备,至此,在目标IP地址为实际不可访问的前提下,TCP握手连接成功,用户设备判断当前网络存在中间人攻击的风险。
图2示出根据本申请的一个方面的一种用于通过用户设备检测中间人攻击的方法,其中,该方法包括步骤S11和步骤S12。在步骤S11中,用户设备向目标IP地址发送TCP握手请求,其中,所述目标IP地址为预置的不可访问地址;在步骤S12中,若所述TCP握手请求超时失败,用户设备确定所述用户设备的当前网络中未存在中间人攻击。
具体而言,在步骤S11中,用户设备向目标IP地址发送TCP握手请求,其中,所述目标IP地址为预置的不可访问地址。例如,所述目标IP地址为网络上的某个未被分配的IP地址,即该IP地址未对应到某个主机,或者,所述IP地址以及被分配,但是由于该IP地址与IP中间的路由次数过多导致其发送的数据包因为ttl(Time To Live,生产周期)值耗尽被丢弃。用户设备基于该不可访问的目标IP地址向服务器发送TCP握手请求。所述用户设备包括但不限于手机、平板以及个人电脑等。
在步骤S12中,若所述TCP握手请求超时失败,用户设备确定所述用户设备的当前网络中未存在中间人攻击。例如,用户设备向目标IP地址发送TCP握手请求,由于该IP地址未分配到对应的主机,因此用户设备收不到相应的TCP握手请求的回复,根据TCP协议,在一定时间内没有收到回复时,用户设备会重传数据包,重传一定次数后仍然收不到回复即认定为超时,此时用户设备确定TCP握手失败,用户设备确定所述用户设备的当前网络中未存在中间人攻击。
例如,用户手持用户设备,用户设备确定目标IP地址为4.4.4.4,其中,该IP地址未分配到对应的主机,该IP数据包会在网络上进行传输但因其找不到对应主机,最终当这个数据包经过足够多的路由器或交换机后,其ttl值减为0,数据包被丢弃,用户设备对该目标IP地址发起TCP握手请求,由于该IP地址的数据包被丢弃,用户设备收不到相应的TCP握手请求的回复,根据TCP协议,在一定时间内没有收到回复时,用户设备继续重传数据包,在预设阈值次数内重传仍然收不到回复即认定为超时,此时用户设备确定TCP握手失败,其中,用户设备进行握手请求的目标IP地址4.4.4.4为不能到达的IP地址。用户设备基于TCP握手请求超时失败,确认当前流量未被中间人劫持,并确定所述用户设备的当前网络中未存在中间人攻击。
当然,本领域技术人员应能理解上述用户设备仅为举例,其他现有的或今后可能出现的设备如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
在一些实施例中,所述TCP握手请求包括关于HTTPS(Hyper Text TransferProtocol over Secure Socket Layer)端口的TCP握手请求;其中,所述方法还包括:若所述TCP握手请求成功,用户设备确定所述用户设备的当前网络中存在SSLSniff中间人攻击。例如,在https协议中,用户设备获取目标IP地址,所述目标IP地址为预置的不可访问的IP地址,用户设备向目标IP地址发送TCP握手请求后,所述TCP握手请求成功,用户设备确认当前当前网络中传输的https协议流量受到中间人攻击,确定所述用户设备的当前网络中存在SSLSniff(Secure Sockets Layer Sniff,安全套接层嗅探)中间人攻击。
例如,在https协议中,用户通过用户设备在浏览器输入目标IP地址4.4.4.4,用户设备向服务器的443端口发起TCP握手请求,该数据包中TCP包头有两个标志位ACK和SYN,和两个4字节的序列号和确认号其中,ACK=0表示确认号无效,SYN=1表示这是一个连接请求或连接接受报文,同时表示这个数据报不能携带数据,seq=x表示用户设备自己的初始序号(此时的x是随机数),这时候用户设备进入syn_sent状态,表示在等待服务器的回复,随后服务器同意连接请求后进入syn_rcvd状态,表示服务器已经收到用户设备的连接请求,等待用户设备的确认,随后用户设备收到确认后再次发送确认,表明TCP握手请求已经在规定时间内完成,由于用户设备选取的是一个预置的不可访问的目标IP地址,此处TCP握手成功,表明https的网络流量已经被劫持到攻击者的服务器。由于https协议中需要CA颁发的证书,此时用户设备正在访问或将要访问的网站中,极有可能会有部分网站的证书被攻击者替换为攻击者自己的证书,用户设备确认当前网络中传输的https协议流量遭到攻击,当前网络中存在SSLSniff中间人攻击。
在一些实施例中,所述TCP握手请求包括关于HTTP端口的TCP握手请求;其中,所述方法还包括:若TCP握手成功,用户设备向所述目标IP地址发送页面访问请求;若接收到所述页面访问请求对应的响应页面信息,用户设备确定所述用户设备的当前网络中未存在中间人攻击。例如,所述响应页面信息包括判断当前网络需要进行portal认证的信息,在http协议中,用户设备获取目标IP地址,所述目标IP地址为预置的不可访问的IP地址,用户设备向目标IP地址发送TCP握手请求后,所述TCP握手请求成功,用户设备继续对该目标IP地址发起页面访问请求,并根据所述页面访问请求对应的响应页面信息判断当前网络是否遭受中间人攻击,若所述响应页面信息包括判断当前网络需要进行portal认证的信息,用户设备确定所述用户设备的当前网络中未存在中间人攻击。
例如,在http协议中,用户通过用户设备在浏览器输入目标IP地址4.4.4.4,用户设备向服务器的80端口发起TCP握手请求,该数据包中TCP包头有两个标志位ACK和SYN,和两个4字节的序列号和确认号其中,ACK=0表示确认号无效,SYN=1表示这是一个连接请求或连接接受报文,同时表示这个数据报不能携带数据,seq=x表示用户设备自己的初始序号(此时的x是随机数),这时候用户设备进入syn_sent状态,表示在等待服务器的回复,随后服务器同意连接请求后进入syn_rcvd状态,表示服务器已经收到用户设备的连接请求,等待用户设备的确认,随后用户设备收到确认后再次发送确认,表明TCP握手请求已经在规定时间内完成。随后,用户设备进一步向该目标IP地址发送页面访问请求,即向服务器请求数据,服务器返回响应的响应页面信息,若接收到的响应页面信息为portal认证的信息,例如,页面信息呈现一个需要输入手机号与手机短信验证码进行认证的网页页面。此时用户设备确定当前网络中未存在中间人攻击。
在一些实施例中,若未接收到所述页面访问请求对应的响应页面信息,用户设备向仅支持https协议的目标网站发送http访问请求;接收所述目标网站的响应信息;在步骤S13中(未示出),根据所述响应信息,用户设备检测所述用户设备的当前网络中是否存在ssl中间人攻击。其中,所述https协议是一种网络安全传输协议。例如,在计算机网络中,若目标网站支持https协议,则经由超文本传输协议(http)进行通信,并利用SSL(安全套接层)来加密数据包。其中,所述响应信息包括响应代码为200、响应代码为301或302和其他表示找不到网站的信息。其中,响应代码为200表示请求成功完成,资源发送至用户设备的信息、响应代码为301或302表示网页被转移到另一个URL上的信息。例如,在用户设备对目标IP地址发送页面访问请求之后未接收到响应页面信息,用户设备向所述目标网站的网站服务器发送以http开头的网站地址的访问请求,用户设备接收网站服务器发送的响应信息,根据响应信息的不同,分别确定每种状态对应的受到ssl中间人攻击的风险。
例如,用户手持用户设备,用户设备选取目标IP地址4.4.4.4,在用户设备基于该目标IP地址进行TCP握手成功后,用户设备向4.4.4.4发送页面访问请求,一段时间后,服务器未返回响应至用户设备,用户设备通过浏览器向仅支持https协议的目标网站发送http页面访问请求,比如用户设备向目标网站A发起http页面访问请求,用户在浏览器中输入http://www.AAA.com,随后用户设备收到目标网站A的网站服务器发来的响应信息HTTP/1.1 200OK,用户设备确认该响应信息表明访问请求成功完成,资源发送至用户设备,由于该网站使用的是https协议,在以http开头的访问请求顺利进行,此时用户设备检测到当前网络中存在ssl中间人攻击;当用户在浏览器中输入http://www.AAA.com,网站页面显示超时或者找不到网站,用户设备检测到当前网络中未存在ssl中间人攻击。
在一些实施例中,在步骤S13中(未示出),若所述响应信息包括所述http访问请求对应的请求完成信息,确定所述用户设备的当前网络中存在SSLStrip中间人攻击。例如,用户设备选取仅支持https协议的网站,并对该网站发起http的页面访问请求,服务器确认该http访问请求顺利完成,用户设备可依次检测当前网络中存在SSLStrip((Secure SocketsLayer Strip,证书剥离攻击)中间人攻击。
例如,用户设备向目标网站A发起http页面访问请求,用户在浏览器中输入http://www.AAA.com,随后用户设备收到目标网站A的网站服务器发来的响应信息HTTP/1.1 200OK,用户设备确认该响应信息表明访问请求成功完成,资源发送至用户设备,由于该网站使用的是https协议,在以http开头的访问请求顺利进行,此时用户设备检测到当前网络中存在SSLStrip中间人攻击。
在一些实施例中,步骤S13(未示出)包括:若所述响应信息包括所述http访问请求对应的重定向信息,且所述重定向信息对应的网址为HTTPS类型,确定所述用户设备的当前网络中存在网页篡改中间人攻击。例如,用户设备向目标IP地址发送TCP握手请求后,所述TCP握手请求成功,用户设备继续对该目标IP地址发起页面访问请求,并根据所述页面访问请求对应的响应页面信息判断当前网络是否遭受中间人攻击,若所述页面访问请求在一定时间内未能完成,用户设备确定当前网络中存在中间人攻击。用户设备向仅支持https的目标网站发送http访问请求,用户设备基于http请求接收到目标网站的网站服务器发送的响应信息,其中,所述响应信息包括所述目标网站的https跳转链接信息,即将该http访问请求重新定个方向转到目标网站的https访问请求,用户设备确定当前网络中存在网页篡改中间人攻击。
例如,在http协议中,用户通过用户设备在浏览器输入目标IP地址4.4.4.4,用户设备向服务器的80端口发起TCP握手请求,该数据包中TCP包头有两个标志位ACK和SYN,和两个4字节的序列号和确认号其中,ACK=0表示确认号无效,SYN=1表示这是一个连接请求或连接接受报文,同时表示这个数据报不能携带数据,seq=x表示用户设备自己的初始序号(此时的x是随机数),这时候用户设备进入syn_sent状态,表示在等待服务器的回复,随后服务器同意连接请求后进入syn_rcvd状态,表示服务器已经收到用户设备的连接请求,等待用户设备的确认,随后用户设备收到确认后再次发送确认,表明TCP握手请求已经在规定时间内完成,由于用户设备选取的是一个预置的不可访问的目标IP地址,此处TCP握手成功,表明https的网络流量已经被劫持到攻击者的服务器。随后,用户设备进一步向该目标IP地址发送页面访问请求,即向服务器请求数据,在一段时间内,服务器未给出响应信息,此时用户设备确认当前网络存在中间人攻击,随后,用户通过用户设备在浏览器中输入http://xxx.BBB.com,随后用户设备收到目标网站B的网站服务器发来的响应信息HTTP/1.1 301Permanently Moved,且浏览器中的网址跳转至https://xxx.CBB.com。基于上述用户设备判断当前网络存在中间人攻击的情况,此时用户设备确定当前网络中存在网页篡改中间人攻击。
在一些实施例中,步骤S13(未示出)包括:若所述响应信息包括所述http访问请求对应的重定向信息,且所述重定向信息对应的网址非HTTPS类型,确定所述用户设备的当前网络中存在SSLStrip中间人攻击。例如,用户设备向目标IP地址发送TCP握手请求后,所述TCP握手请求成功,用户设备继续对该目标IP地址发起页面访问请求,并根据所述页面访问请求对应的响应页面信息判断当前网络是否遭受中间人攻击,若所述页面访问请求在一定时间内未能完成,用户设备确定当前网络中存在中间人攻击。用户设备向仅支持https的目标网站发送http访问请求,用户设备基于http请求接收到目标网站的网站服务器发送的响应信息,其中,所述响应信息包括对应目标网站同一子域名网站的http跳转链接信息,即将该http访问请求重新定个方向转到对应目标网站同一子域名网站的http访问请求,用户设备确定当前网络中存在SSLStrip中间人攻击。
例如,在http协议中,用户通过用户设备在浏览器输入目标IP地址4.4.4.4,用户设备向服务器的80端口发起TCP握手请求,该数据包中TCP包头有两个标志位ACK和SYN,和两个4字节的序列号和确认号其中,ACK=0表示确认号无效,SYN=1表示这是一个连接请求或连接接受报文,同时表示这个数据报不能携带数据,seq=x表示用户设备自己的初始序号(此时的x是随机数),这时候用户设备进入syn_sent状态,表示在等待服务器的回复,随后服务器同意连接请求后进入syn_rcvd状态,表示服务器已经收到用户设备的连接请求,等待用户设备的确认,随后用户设备收到确认后再次发送确认,表明TCP握手请求已经在规定时间内完成,由于用户设备选取的是一个预置的不可访问的目标IP地址,此处TCP握手成功,表明https的网络流量已经被劫持到攻击者的服务器。随后,用户设备进一步向该目标IP地址发送页面访问请求,即向服务器请求数据,在一段时间内,服务器未给出响应信息,此时用户设备确认当前网络存在中间人攻击,随后,用户通过用户设备在浏览器中输入http://xxx.BBB.com,随后用户设备收到目标网站B的网站服务器发来的响应信息HTTP/1.1 301Permanently Moved,且浏览器中的网址跳转至http://yyy.BBB.com。基于上述用户设备判断当前网络存在中间人攻击的情况,此时用户设备确定当前网络中存在SSLStrip中间人攻击。
在一些实施例中,步骤S13(未示出)包括:若所述响应信息未包括所述http访问请求对应的重定向信息与请求完成信息,确定所述用户设备的当前网络中存在网页篡改中间人攻击。例如,用户设备向目标IP地址发送TCP握手请求后,所述TCP握手请求成功,用户设备继续对该目标IP地址发起页面访问请求,并根据所述页面访问请求对应的响应页面信息判断当前网络是否遭受中间人攻击,若所述页面访问请求在一定时间内未能完成,用户设备确定当前网络中存在中间人攻击。用户设备向仅支持https的目标网站发送http访问请求,用户设备基于http请求接收到目标网站的网站服务器发送的响应信息,响应信息包括提示文件目录未找到,此时用户设备确定当前网络中存在网页篡改中间人攻击。
例如,在http协议中,用户通过用户设备在浏览器输入目标IP地址4.4.4.4,用户设备向服务器的80端口发起TCP握手请求,该数据包中TCP包头有两个标志位ACK和SYN,和两个4字节的序列号和确认号其中,ACK=0表示确认号无效,SYN=1表示这是一个连接请求或连接接受报文,同时表示这个数据报不能携带数据,seq=x表示用户设备自己的初始序号(此时的x是随机数),这时候用户设备进入syn_sent状态,表示在等待服务器的回复,随后服务器同意连接请求后进入syn_rcvd状态,表示服务器已经收到用户设备的连接请求,等待用户设备的确认,随后用户设备收到确认后再次发送确认,表明TCP握手请求已经在规定时间内完成,由于用户设备选取的是一个预置的不可访问的目标IP地址,此处TCP握手成功,表明https的网络流量已经被劫持到攻击者的服务器。随后,用户设备进一步向该目标IP地址发送页面访问请求,即向服务器请求数据,在一段时间内,服务器未给出响应信息,此时用户设备确认当前网络存在中间人攻击,随后,用户通过用户设备在浏览器中输入http://xxx.BBB.com,随后用户设备收到目标网站B的网站服务器发来的响应信息404网站页面消失。基于上述用户设备判断当前网络存在中间人攻击的情况,此时用户设备确定当前网络中存在网页篡改中间人攻击。
本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机代码,当所述计算机代码被执行时,如前任一项所述的方法被执行。
本申请还提供了一种计算机程序产品,当所述计算机程序产品被计算机设备执行时,如前任一项所述的方法被执行。
本申请还提供了一种计算机设备,所述计算机设备包括:
一个或多个处理器;
存储器,用于存储一个或多个计算机程序;
当所述一个或多个计算机程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如前任一项所述的方法。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本申请的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。本领域技术人员应能理解,计算机程序指令在计算机可读介质中的存在形式包括但不限于源文件、可执行文件、安装包文件等,相应地,计算机程序指令被计算机执行的方式包括但不限于:该计算机直接执行该指令,或者该计算机编译该指令后再执行对应的编译后程序,或者该计算机读取并执行该指令,或者该计算机读取并安装该指令后再执行对应的安装后程序。在此,计算机可读介质可以是可供计算机访问的任意可用的计算机可读存储介质或通信介质。
通信介质包括藉此包含例如计算机可读指令、数据结构、程序模块或其他数据的通信信号被从一个系统传送到另一系统的介质。通信介质可包括有导的传输介质(诸如电缆和线(例如,光纤、同轴等))和能传播能量波的无线(未有导的传输)介质,诸如声音、电磁、RF、微波和红外。计算机可读指令、数据结构、程序模块或其他数据可被体现为例如无线介质(诸如载波或诸如被体现为扩展频谱技术的一部分的类似机制)中的已调制数据信号。术语“已调制数据信号”指的是其一个或多个特征以在信号中编码信息的方式被更改或设定的信号。调制可以是模拟的、数字的或混合调制技术。
作为示例而非限制,计算机可读存储介质可包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据的信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动的介质。例如,计算机可读存储介质包括,但不限于,易失性存储器,诸如随机存储器(RAM,DRAM,SRAM);以及非易失性存储器,诸如闪存、各种只读存储器(ROM,PROM,EPROM,EEPROM)、磁性和铁磁/铁电存储器(MRAM,FeRAM);以及磁性和光学存储设备(硬盘、磁带、CD、DVD);或其它现在已知的介质或今后开发的能够存储供计算机系统使用的计算机可读信息/数据。
在此,根据本申请的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本申请的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (10)
1.一种用于通过用户设备检测中间人攻击的方法,其中,该方法包括:
向目标IP地址发送TCP握手请求,其中,所述目标IP地址为预置的不可访问地址;
若所述TCP握手请求超时失败,确定所述用户设备的当前网络中未存在中间人攻击。
2.根据权利要求1所述的方法,其中,所述TCP握手请求包括关于HTTPS端口的TCP握手请求;
其中,所述方法还包括:
若所述TCP握手请求成功,确定所述用户设备的当前网络中存在SSLSniff中间人攻击。
3.根据权利要求1或2所述的方法,其中,所述TCP握手请求包括关于HTTP端口的TCP握手请求;
其中,所述方法还包括:
若TCP握手成功,向所述目标IP地址发送页面访问请求;
若接收到所述页面访问请求对应的响应页面信息,确定所述用户设备的当前网络中未存在中间人攻击。
4.根据权利要求3所述的方法,其中,所述方法还包括:
若未接收到所述页面访问请求对应的响应页面信息,向仅支持https协议的目标网站发送http访问请求;
接收所述目标网站的响应信息;
根据所述响应信息,检测所述用户设备的当前网络中是否存在ssl中间人攻击。
5.根据权利要求4所述的方法,其中,所述根据所述响应信息,检测所述用户设备的当前网络中是否存在ssl中间人攻击,包括:
若所述响应信息包括所述http访问请求对应的请求完成信息,确定所述用户设备的当前网络中存在SSLStrip中间人攻击。
6.根据权利要求4或5所述的方法,其中,所述根据所述响应信息,检测所述用户设备的当前网络中是否存在ssl中间人攻击,包括:
若所述响应信息包括所述http访问请求对应的重定向信息,且所述重定向信息对应的网址为HTTPS类型,确定所述用户设备的当前网络中存在网页篡改中间人攻击。
7.根据权利要求4或5所述的方法,其中,所述根据所述响应信息,检测所述用户设备的当前网络中是否存在ssl中间人攻击,包括:
若所述响应信息包括所述http访问请求对应的重定向信息,且所述重定向信息对应的网址非HTTPS类型,确定所述用户设备的当前网络中存在SSLStrip中间人攻击。
8.根据权利要求4所述的方法,其中,所述根据所述响应信息,检测所述用户设备的当前网络中是否存在ssl中间人攻击,包括:
若所述响应信息未包括所述http访问请求对应的重定向信息与请求完成信息,确定所述用户设备的当前网络中存在网页篡改中间人攻击。
9.一种用于通过用户设备检测中间人攻击的设备,其中,该设备包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行如权利要求1至8中任一项所述方法的操作。
10.一种包括指令的计算机可读介质,所述指令在被执行时使得系统进行如权利要求1至8中任一项所述方法的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810550763.1A CN110557355B (zh) | 2018-05-31 | 2018-05-31 | 一种用于通过用户设备检测中间人攻击的方法与设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810550763.1A CN110557355B (zh) | 2018-05-31 | 2018-05-31 | 一种用于通过用户设备检测中间人攻击的方法与设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110557355A CN110557355A (zh) | 2019-12-10 |
| CN110557355B true CN110557355B (zh) | 2021-07-27 |
Family
ID=68734229
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810550763.1A Active CN110557355B (zh) | 2018-05-31 | 2018-05-31 | 一种用于通过用户设备检测中间人攻击的方法与设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110557355B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10693893B2 (en) * | 2018-01-16 | 2020-06-23 | International Business Machines Corporation | Detection of man-in-the-middle in HTTPS transactions independent of certificate trust chain |
| CN113452645B (zh) * | 2020-03-24 | 2023-08-15 | 腾讯科技(深圳)有限公司 | 中间人攻击检测方法、装置、计算机设备和存储介质 |
| WO2022065573A1 (ko) * | 2020-09-23 | 2022-03-31 | (주)노르마 | 블루투스 중간자 공격 탐지 시스템 |
| WO2022116147A1 (zh) * | 2020-12-04 | 2022-06-09 | 华为技术有限公司 | 一种检测蓝牙漏洞攻击的方法及装置 |
| CN113794739B (zh) * | 2021-11-16 | 2022-04-12 | 北京邮电大学 | 针对中间人攻击的双层主动防御的方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1771709A (zh) * | 2003-05-30 | 2006-05-10 | 国际商业机器公司 | 网络攻击特征标记的产生 |
| CN101651696A (zh) * | 2009-09-17 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种防止nd攻击的方法及装置 |
| CN103581351A (zh) * | 2012-07-27 | 2014-02-12 | 腾讯科技(深圳)有限公司 | 网络访问的方法和装置 |
| CN103647783A (zh) * | 2013-12-23 | 2014-03-19 | 上海交通大学无锡研究院 | 一种基于主动探测的网络中间人攻击定位方法 |
| US9258319B1 (en) * | 2010-12-28 | 2016-02-09 | Amazon Technologies, Inc. | Detection of and responses to network attacks |
| CN105933356A (zh) * | 2016-07-07 | 2016-09-07 | 竞技世界(北京)网络技术有限公司 | 一种检测客户端dns劫持的方法及装置 |
| US9571465B1 (en) * | 2014-09-18 | 2017-02-14 | Amazon Technologies, Inc. | Security verification by message interception and modification |
| CN111935123A (zh) * | 2020-08-04 | 2020-11-13 | 广东科徕尼智能科技有限公司 | 一种检测dns欺骗攻击的方法、设备、存储介质 |
-
2018
- 2018-05-31 CN CN201810550763.1A patent/CN110557355B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1771709A (zh) * | 2003-05-30 | 2006-05-10 | 国际商业机器公司 | 网络攻击特征标记的产生 |
| CN101651696A (zh) * | 2009-09-17 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种防止nd攻击的方法及装置 |
| US9258319B1 (en) * | 2010-12-28 | 2016-02-09 | Amazon Technologies, Inc. | Detection of and responses to network attacks |
| CN103581351A (zh) * | 2012-07-27 | 2014-02-12 | 腾讯科技(深圳)有限公司 | 网络访问的方法和装置 |
| CN103647783A (zh) * | 2013-12-23 | 2014-03-19 | 上海交通大学无锡研究院 | 一种基于主动探测的网络中间人攻击定位方法 |
| US9571465B1 (en) * | 2014-09-18 | 2017-02-14 | Amazon Technologies, Inc. | Security verification by message interception and modification |
| CN105933356A (zh) * | 2016-07-07 | 2016-09-07 | 竞技世界(北京)网络技术有限公司 | 一种检测客户端dns劫持的方法及装置 |
| CN111935123A (zh) * | 2020-08-04 | 2020-11-13 | 广东科徕尼智能科技有限公司 | 一种检测dns欺骗攻击的方法、设备、存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| SSL安全分析以及中间人攻击和防范研究;乔艳飞;《万方学位论文》;20131115;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110557355A (zh) | 2019-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110557355B (zh) | 一种用于通过用户设备检测中间人攻击的方法与设备 | |
| US10630784B2 (en) | Facilitating a secure 3 party network session by a network device | |
| JP7083460B2 (ja) | Httpsトランザクションにおける中間者の検出 | |
| JP6858749B2 (ja) | 負荷平衡システムにおいて接続を確立するデバイス及び方法 | |
| US10038693B2 (en) | Facilitating secure network traffic by an application delivery controller | |
| EP2739002B1 (en) | Systems and methods for transparently monitoring network traffic for denial of service attacks | |
| CN109150874B (zh) | 访问认证方法、装置及认证设备 | |
| CN108650236B (zh) | 一种用于检测ssl中间人攻击的方法与设备 | |
| WO2019196508A1 (zh) | 一种用于检测无线网络安全的方法与设备 | |
| JP6178932B2 (ja) | パケット伝送ネットワークにおけるハンドシェイクを制御するための方法及び装置 | |
| EP3200434A2 (en) | Domain name resolution | |
| US20170339253A1 (en) | Fastpath web sessions with http header modification by redirecting clients | |
| US10419968B2 (en) | Dynamic selection of TCP congestion control for improved performances | |
| US10171446B1 (en) | Method and apparatus for limiting traffic rate to an origin server | |
| CN109922144B (zh) | 用于处理数据的方法和装置 | |
| CN110830516B (zh) | 一种网络访问方法、装置、网络控制设备及存储介质 | |
| KR20160027910A (ko) | Ccn 파이프라인 스트림의 신뢰도있는 컨텐츠 교환 방법 및 시스템 | |
| CN108769086B (zh) | 一种用于通过用户设备检测中间人攻击的方法与设备 | |
| CN108430063B (zh) | 一种用于监测无线局域网中arp欺骗的方法与设备 | |
| US10958625B1 (en) | Methods for secure access to services behind a firewall and devices thereof | |
| CN110995763B (zh) | 一种数据处理方法、装置、电子设备和计算机存储介质 | |
| CN105933298B (zh) | 用于执行传输控制协议握手的设备和方法 | |
| CN108282786B (zh) | 一种用于检测无线局域网中dns欺骗攻击的方法与设备 | |
| US11683327B2 (en) | Demand management of sender of network traffic flow | |
| CN106550001B (zh) | 一种重定向的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 200120 2, building 979, Yun Han Road, mud town, Pudong New Area, Shanghai Patentee after: Shanghai Lianshang Network Technology Group Co.,Ltd. Country or region after: China Address before: 200120 2, building 979, Yun Han Road, mud town, Pudong New Area, Shanghai Patentee before: SHANGHAI LIANSHANG NETWORK TECHNOLOGY Co.,Ltd. Country or region before: China |