CN112311724B

CN112311724B - 一种定位http劫持的方法、装置、介质及设备

Info

Publication number: CN112311724B
Application number: CN201910683809.1A
Authority: CN
Inventors: 林小波
Original assignee: Guizhou Baishancloud Technology Co Ltd
Current assignee: Guizhou Baishancloud Technology Co Ltd
Priority date: 2019-07-26
Filing date: 2019-07-26
Publication date: 2023-06-20
Anticipated expiration: 2039-07-26
Also published as: CN112311724A

Abstract

本文是关于一种定位HTTP劫持的方法、装置、介质及设备，定位HTTP劫持的方法包括：接收包含目标URL的探测任务；向所述目标URL发送随机构造的探测请求；接收响应数据；基于所述响应数据，判断所述探测请求是否被劫持；如判断所述探测请求被劫持，探测劫持设备位置。通过随机构造探测请求，接收并分析响应数据，实现快速判断是否被劫持，并一步探测出劫持位置和劫持设备。

Description

一种定位HTTP劫持的方法、装置、介质及设备

技术领域

本文涉及网络安全，尤其涉及一种定位HTTP劫持的方法、装置、介质及设备。

背景技术

随着互联网迅速的发展，万维网通过互联网访问方式实现信息传输，超文本传输协议(HyperText Transfer Protocol)简称“HTTP”作为网站传输协议的核心，并且还是最流行的访问服务，有着庞大的流量传输。HTTP传输过程中会经过多个网络设备(路由器、交换机、服务器等)才会到达客户端，毎经过一个设备都可能有被劫持的风险，因此使用HTTP协议的传输容易被非法劫持，对网站进行内容串改或添加非法广告等手段达到不可估量的损害。

相关技术中，应对HTTP劫持存在以下问题：感知困难，可能劫持的内容是隐藏或者偶现的；定位困难，劫持的设备可能是传输过程中的某一个，并不知道是哪个设备进行劫持串改的；定位时间过长，需要长时间的定位排查。

发明内容

为克服相关技术中存在的问题，本文提供一种定位HTTP劫持的方法、装置、介质及设备。

根据本文的第一方面，提供一种定位HTTP劫持的方法，包括接收包含目标URL的探测任务；

向所述目标URL发送随机构造的探测请求；

接收响应数据；

基于所述响应数据，判断所述探测请求是否被劫持；

如判断所述探测请求被劫持，探测劫持设备位置。

所述随机构造的探测请求包括：随机修改请求中Headers头的信息，将修改了Headers头的信息的请求作为探测请求。

所述基于所述响应数据，判断所述探测请求是否被劫持前，获取目标URL的原始数据；

所述基于所述响应数据，判断所述探测请求是否被劫持包括：

将所述响应数据和所述原始数据进行比较，如发生变化，判断所述探测请求被劫持；或者，

将所述响应数据发送到管理服务器，与所述管理服务器中存储的原始数据进行比较，如发生变化，判断所述探测请求被劫持。

所述将所述响应数据和所述原始数据进行比较包括：

对所述响应数据和原始数据的数据包大小进行比较；

对所述响应数据和原始数据的Headers头进行比较；

对所述响应数据和原始数据的内容进行比较。

如判断所述探测请求被劫持，探测劫持设备位置包括：

发送不同的探测请求，遍历出探测数据包到目标URL所经历的网络设备的最大数量；

基于所述最大数量，发送与被劫持探测请求相同的探测请求，并通过修改TTL的方式，确定劫持设备的位置。

根据本文的另一方面，提供一种定位HTTP劫持的装置，包括任务接收模块：用于接收包含目标URL的探测任务；

请求发送模块：用于向所述目标URL发送随机构造的探测请求；

响应接收模块：用于接收响应数据；

判断模块：用于基于所述响应数据，判断所述探测请求是否被劫持；

探测模块：用于当判断所述探测请求被劫持时，探测劫持设备位置。

定位HTTP劫持的装置还包括原始数据获取模块：用于在判断所述探测请求是否被劫持前，获取目标URL的原始数据；

所述判断模块判断所述探测请求是否被劫持包括：

所述将所述响应数据和所述原始数据进行比较包括：

对所述响应数据和原始数据的数据包大小进行比较；

对所述响应数据和原始数据的Headers头进行比较；

对所述响应数据和原始数据的内容进行比较。

所述探测模块探测劫持设备位置包括：

根据本文的另一方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被执行时实现如下所述方法的步骤，包括：

接收包含目标URL的探测任务；

向所述目标URL发送随机构造的探测请求；

接收响应数据；

基于所述响应数据，判断所述探测请求是否被劫持；

如判断所述探测请求被劫持，探测劫持设备位置。

根据本文的另一方面，提供一种计算机设备，包括处理器、存储器和存储于所述存储器上的计算机程序，所述处理器执行所述计算机程序时实现如下所述方法的步骤：

接收包含目标URL的探测任务；

向所述目标URL发送随机构造的探测请求；

接收响应数据；

基于所述响应数据，判断所述探测请求是否被劫持；

如判断所述探测请求被劫持，探测劫持设备位置。

本文通过一种定位HTTP劫持的方法，使分布在网络不同位置的多个终端，随机构造探测请求，来命中劫持规则，主动探测目标URL，收集响应数据，并和原始数据进行比较，第一时间发现HTTP劫持，并定位劫持位置，可以实现快速发现劫持，快速定位劫持位置。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本文。

附图说明

构成本文的一部分的附图用来提供对本文的进一步理解，本文的示意性实施例及其说明用于解释本文，并不构成对本文的不当限定。在附图中：

图1是根据一示例性实施例示出的一种定位HTTP劫持的方法的流程图。

图2是根据一示例性实施例示出的一种定位HTTP劫持的装置的框图。

图3是根据一示例性实施例示出的一种定位HTTP劫持的装置的框图。

图4是根据一示例性实施例示出的一种计算机设备的框图。

具体实施方式

为使本文实施例的目的、技术方案和优点更加清楚，下面将结合本文实施例中的附图，对本文实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本文一部分实施例，而不是全部的实施例。基于本文中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本文保护的范围。需要说明的是，在不冲突的情况下，本文中的实施例及实施例中的特征可以相互任意组合。

本文提供一种定位HTTP劫持的方法，应用于终端，图1是根据一示例性实施例示出的一种定位HTTP劫持的方法的流程图，如图一所示，定位HTTP劫持的方法包括以下步骤：

步骤S11,接收包含目标URL的探测任务；

步骤S12,向目标URL发送随机构造的探测请求；

步骤S13,接收响应数据；

步骤S14,基于响应数据，判断探测请求是否被劫持；

步骤S15,如判断探测请求被劫持，探测劫持设备位置。

终端可以是IDC运营商服务器或上网用户的设备，终端分布在网络多个位置，从而实现全网范围内对目标网站的探测。

其中，在步骤S11中，探测任务由管理服务器下发，探测任务中包括需要探测的目标URL，目标URL可以根据网站的访问量确定，因为访问量越大，越有可能发生劫持。

其中，在步骤S12中，随机构造的探测请求包括：随机修改请求中Headers头的信息，将修改了Headers头的信息的请求作为探测请求。网络劫持设备对网络上的请求进行劫持，劫持者会事先设置好劫持规则，只有访问请求符合预设的劫持规则才会触发劫持设备进行劫持，比如，劫持规则中只对IE浏览器发送的访问请求进行劫持，如果通过谷歌浏览器发送访问请求，就不会触发劫持，因此为了探测出可能存在的劫持设备，在发送探测请求时，随机修改请求中的Headers头信息，目的是为了命中劫持规则，并找出劫持设备。例如：正常请求的User-Agent为“Mozilla/5.0Chrome/74”，将其改变为“Mozilla/5.0Firefox/66”，如果劫持规则是针对Firefox火狐浏览器，通过改变请求中浏览器名称，就可以使访问请求命中劫持规则，触发劫持行为。

其中，步骤S14中，基于响应数据，判断探测请求是否被劫持前，获取目标URL的原始数据；原始数据作为标准数据，必须保证其唯一可信非被串改过，为了保证原始数据的准确，首先建立加密传输通道，作为数据传输使用。加密传输通道使用传输层安全性协议TLS(Transport Layer Security)传输，但不限于使用TLS，可用多种加密通道如SSH等防止传输过程中被劫持。通过专线连接或者本地数据获取到原始真实的最终数据进行存储，存储内容包含HTTP协议中的RequestHeader、ResponseHeaders、ResponseData。

原始数据可以存储在管理服务器上，也可以在下发探测任务时，同时下发原始数据给终端，下发探测任务和原始数据同样需要通过加密传输通道下发，保证下发的探测任务和原始数据不会被劫持和篡改。

基于响应数据，判断探测请求是否被劫持包括：

将响应数据和原始数据进行比较，如发生变化，判断探测请求被劫持；如果终端中已经保存了原始数据，终端可以直接将响应数据和原始数据进行比较；或者，将响应数据发送到管理服务器，与管理服务器中存储的原始数据进行比较，如发生变化，判断探测请求被劫持。部分终端用户可能并不希望占用自己的存储空间来存储原始数据，或者在存储原始数据个过程中发生意外，导致原始数据丢失，终端可以将原始数据发送给管理服务器，由管理服务器执行上述判断。

将响应数据和原始数据进行比较包括：

对响应数据和原始数据的数据包大小进行比较；如果请求被劫持，劫持者会更改响应数据，响应数据一旦被更改，数据包的大小就极有可能会发生变化，通过比较数据包的大小，可以很快的感知到是否发生劫持。

对响应数据和原始数据的Headers头进行比较；向目标网站发送某个请求的头RequestHeader后，目标网站响应该请求，返回响应，响应头ResponseHeaders相对是确定的，一旦请求被劫持，那么返回的响应头ResponseHeaders极有可能会发生变化，通过比较返回的响应头和原始数据中存储的响应头内容是否变化，也可以快速感知到是否发生劫持。例如，假设原始的Header的Server字段为“Nginx”，被劫持以后Server字段的值为“Apache”。

对响应数据和原始数据的内容进行比较。当请求被劫持后，劫持者必然会改变响应数据的内容，即使响应数据的数据包大小，响应头ResponseHeaders内容没有发生变化，还可以进一步通过比较响应数据的内容来判断请求是否被劫持。例如，可能被劫持以后会在原始内容上新增或修改或删除关键字符串，如在原始内容里增加一段JS代码，实现控制客户端操作行为的目的。

其中，步骤S15中，如判断探测请求被劫持，探测劫持设备位置包括：

发送不同的探测请求，遍历出探测数据包到目标URL所经历的网络设备的最大数量；从终端到目标URL的网站，中间要经过多个路由设备，需要先遍历出访问路径上各个路由器，比如可以通过traceroute命令，遍历出请求数据包所经过的网络设备的互联网协议地址(Internet Protocol Address简称IP地址)列表与数量，但由于存在请求数据包被劫持的可能，在遍历的过程中，通过发送不同的探测请求，确定出从终端到目的标URL的路径中网络设备最多的路径，也就是路由图最长路径，得到真实路由图，当然，路由图的获取方式不限于使用traceroute。

基于最大数量，发送与被劫持探测请求相同的探测请求，并通过修改TTL的方式，确定劫持设备的位置。确定了访问路径中的路由设备的最大数量后，再次发送与被劫持探测请求相同的探测请求，由于该探测请求被劫持过，说明该探测请求命中了劫持规则，还会被再次劫持，通过修改TTL的方式，从TTL＝n,n＝1开始，逐步探测，每次探测执行n＝n+1，直到收到返回的响应数据，根据此时n的值，可以知道劫持设备位于第n个设备的位置，可以进一步快速地排查。

定位HTTP劫持的方法还包括：当确定劫持设备的位置，并修复劫持设备后，向相同目标URL发送探测请求。在某些特殊情况下，在一条访问链路的中，可能同时存在多个设备劫持的情况，按上述方法定位的劫持设备，应该是距离客户端最近的网络设备，在对该设备进行修复后，还需要进一步地探测整条链路，比如先发送相同的探测请求，再发送不同的随机构造的探测请求，如果再次探测到请求被劫持，则继续排查，直到链路中所有设备都排查完成。

为了更好的理解本文中的方法，举例说明：

为了保证网络数据安全，管理服务器对针对网络现状，制定了探测任务，例如探测任务包括对网站example.com的探测。管理服务器将探测任务发送到不同的终端以执行探测任务。

以某一终端为例，当该终端收到探测任务后，向example.com网站发起请求，并构造了探测请求，其中RequestHeader包含“GET/HTTP/1.1”、“Host:example.com”、“User-Agent:Mozilla/5.0Chrome/74”。

在管理服务器下发探测任务的同时，下发了正确的原始数据，由原始数据可以知道，终端发起的请求的正常响应为ResponseHeaders，“HTTP/1.1 200 OK”、“Server:Nginx”，正常响应的内容为“<html>helloworld</html>”。

如果HTTP被劫持，响应的ResponseHeaders可能为“HTTP/1.0 200 OK”、“Server:Apache”，响应的内容可能为“<html>hello world<script type＝"text/javascript"

src＝"http://hacker.com/hit.js"></script></html>”。通过和原始数据进行比较，查看到被劫持的设备返回的ResponseHeaders更改了HTTP协议号，由HTTP1.1变成了HTTP1.0，响应的Server变为Nginx，并且响应内容增加了一个危险JS文件“http://hacker.com/hit.js”，同时响应数据包的大小也发生了变化，此时可以判断该访问已被劫持。

然后可以针对example.com网站发送不同的请求包，遍历出探测数据包到example.com网站所经历的网络设备的最大数量，比如最大数量为13，也就是说正常情况表，从终端到目标网站example.com需要经过13个设备。再发送RequestHeader包含“GET/HTTP/1.1”、“Host:example.com”、“User-Agent:Mozilla/5.0Chrome/74”的探测包，因为这个探测包命中了劫持规则，所以再次发送的时候，还会命中劫持规则，还会被劫持到。

可以使用Traceroute命令，通过修改TTL的方式，从TTL＝n,n＝1开始，逐步探测，每次探测执行n＝n+1，确定出在第几个设备返回了错误的响应，从而快速定位出劫持的位置。

图2是根据一示例性实施例示出的一种用于定位HTTP劫持的装置的框图，如图2所示，定位HTTP劫持的装置包括：任务接收模块201，请求发送模块202，响应接收模块203，判断模块204，探测模块205。

该任务接收模块201被配置为用于接收包含目标URL的探测任务；

该请求发送模块202被配置为用于向目标URL发送随机构造的探测请求；

该响应接收模块203被配置为用于接收响应数据；

该判断模块204被配置为用于基于响应数据，判断探测请求是否被劫持；

该探测模块205被配置为用于当判断所述探测请求被劫持时，探测劫持设备位置。

请求发送模块202随机构造的探测请求包括：随机修改请求中Headers头的信息，将修改了Headers头的信息的请求作为探测请求。

图3是根据一示例性实施例示出的一种用于定位HTTP劫持的装置的框图，如图3所示，定位HTTP劫持的装置包括：原始数据获取模块301，用于在判断探测请求是否被劫持前，获取目标URL的原始数据；

判断模块204判断探测请求是否被劫持包括：

将响应数据和原始数据进行比较，如发生变化，判断探测请求被劫持；或者，

将响应数据发送到管理服务器，与管理服务器中存储的原始数据进行比较，如发生变化，判断所述探测请求被劫持。

将响应数据和原始数据进行比较包括：

对响应数据和原始数据的数据包大小进行比较；

对响应数据和原始数据的Headers头进行比较；

对响应数据和原始数据的内容进行比较。

探测模块探测劫持设备位置包括：

基于最大数量，发送与被劫持探测请求相同的探测请求，并通过修改TTL的方式，确定被劫持设备的位置。

当确定劫持设备的位置，并修复劫持设备后，请求发送模块向相同目标URL发送探测请求。

图4是根据一示例性实施例示出的一种用于定位HTTP劫持的方法的计算机设备400的框图。例如，计算机设备400可以被提供为一服务器。参照图4，计算机设备400包括处理器401，处理器的个数可以根据需要设置为一个或者多个。计算机设备400还包括存储器402，用于存储可由处理器401的执行的指令，例如应用程序。存储器的个数可以根据需要设置一个或者多个。其存储的应用程序可以为一个或者多个。处理器401被配置为执行指令，以执行上述方法。

本领域技术人员应明白，本文的实施例可提供为方法、装置(设备)、或计算机程序产品。因此，本文可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本文可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质,包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质等。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

本文是参照根据本文实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。

尽管已描述了本文的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本文范围的所有变更和修改。

显然，本领域的技术人员可以对本文进行各种改动和变型而不脱离本文的精神和范围。这样，倘若本文的这些修改和变型属于本文权利要求及其等同技术的范围之内，则本文的意图也包含这些改动和变型在内。

Claims

1.一种定位HTTP劫持的方法，其特征在于，应用于终端，包括：

接收包含目标URL的探测任务；

向所述目标URL发送随机构造的探测请求，所述随机构造的探测请求包括：随机修改请求中Headers头的信息，将修改了Headers头的信息的请求作为探测请求,以使所述探测请求命中劫持规则，触发劫持行为；

接收响应数据；

基于所述响应数据，判断所述探测请求是否被劫持；

如判断所述探测请求被劫持，探测劫持设备位置；

将所述响应数据和所述原始数据进行比较，如发生变化，判断所述探测请求被劫持；

如判断所述探测请求被劫持，探测劫持设备位置包括：

2.如权利要求1所述的定位HTTP劫持的方法，其特征在于，所述将所述响应数据和所述原始数据进行比较包括：

对所述响应数据和原始数据的数据包大小进行比较；

对所述响应数据和原始数据的Headers头进行比较；

对所述响应数据和原始数据的内容进行比较。

3.如权利要求1所述的定位HTTP劫持的方法，其特征在于，还包括：当确定劫持设备的位置，并修复所述劫持设备后，向相同目标URL发送探测请求。

4.一种定位HTTP劫持的装置，应用于终端，包括：

任务接收模块：用于接收包含目标URL的探测任务；

请求发送模块：用于向所述目标URL发送随机构造的探测请求,所述随机构造的探测请求包括：随机修改请求中Headers头的信息，将修改了Headers头的信息的请求作为探测请求,以使所述探测请求命中劫持规则，触发劫持行为；

响应接收模块：用于接收响应数据；

探测模块：用于当判断所述探测请求被劫持时，探测劫持设备位置；

原始数据获取模块：用于在判断所述探测请求是否被劫持前，获取目标URL的原始数据；

所述判断模块判断所述探测请求是否被劫持包括：

所述探测模块探测劫持设备位置包括：

5.如权利要求4所述的定位HTTP劫持的装置，其特征在于，所述将所述响应数据和所述原始数据进行比较包括：

对所述响应数据和原始数据的数据包大小进行比较；

对所述响应数据和原始数据的Headers头进行比较；

对所述响应数据和原始数据的内容进行比较。

6.如权利要求4所述的定位HTTP劫持的装置，其特征在于，还包括：当确定劫持设备的位置，并修复所述劫持设备后，所述请求发送模块向相同目标URL发送探测请求。

7.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被执行时实现如权利要求1－3中任意一项所述方法的步骤。

8.一种计算机设备，包括处理器、存储器和存储于所述存储器上的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1－3中任意一项所述方法的步骤。