可配置方式的https的中間人監(jiān)聽系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)安全領(lǐng)域���,特別是一種通信網(wǎng)絡(luò)協(xié)議HTTPS協(xié)議監(jiān)測分析技術(shù)。
【背景技術(shù)】
[0002]SSL協(xié)議是互聯(lián)網(wǎng)上最為常用的安全協(xié)議之一���,它能夠利用證書驗證服務(wù)器的身份�,并且對交互信息進行加密���,防止被攻擊者竊聽���。SSL最初由Netscape公司在1995年發(fā)布,IETF (Internet Engineering Task Force)在 1999 年將其標準化��,即 TLS (TransportLayer Security)�。經(jīng)過多次修改,現(xiàn)在的TLS 1.3版本于2008年提出,這個版本的標準已經(jīng)能夠防止很多對于協(xié)議的攻擊��,比如CBC(Cipher block chaining)等�����,同時協(xié)議使用的加密算法和密鑰都越來越安全����。和其他安全協(xié)議相比,SSL的部署和使用都相對簡單��,對網(wǎng)絡(luò)的負擔也較小�,很適合在電子商務(wù)和電子郵箱網(wǎng)站中使用。
[0003]使用HTTPS (Hypertext Transfer Protocol over Secure Socket Layer)訪問站點是一種安全訪問方法���,訪問過程中使用SSL(Secure Sockets Layer���,安全套接層)對HTTP數(shù)據(jù)進行加密,從而保證數(shù)據(jù)的安全性��。
[0004]在互聯(lián)網(wǎng)中���,越來越多的網(wǎng)站使用HTTPS協(xié)議�����,使客戶端瀏覽器和網(wǎng)站服務(wù)器之間建立加密連接��,可確保數(shù)據(jù)在網(wǎng)絡(luò)上傳輸過程中不會被截取及竊聽����。特別是很多網(wǎng)站的登陸過程會使用HTTPS協(xié)議,以保護用戶賬號����、密碼、cookie的安全���。但同時,監(jiān)管部門就無法對這些網(wǎng)站的傳輸內(nèi)容解密和分析���。
[0005]然而�,SSL協(xié)議也只能夠?qū)崿F(xiàn)相對的安全��,從它誕生的第一天起�����,對于SSL的攻擊就層出不窮。其中���,針對協(xié)議漏洞進行的中間人攻擊是最為常見���、也是危害性最大的一種。中間人攻擊MITM(Man In The Middle)����,又稱第三人攻擊,它是一種“間接”的入侵攻擊���,它包括兩個步驟���,攻擊者首先通過會話劫持的手段,使自己處于用戶和服務(wù)器的中間人位置����,以便獲取用戶和服務(wù)器之間的交互報文。隨后���,攻擊者對用戶的請求進行SSL代理���,從而獲取用戶的個人信息���。這種方案需要偽造服務(wù)器的SSL證書,并且需要用戶瀏覽器信任這個偽造的證書��,這需要用戶手動添加偽造的根證書為受信任的根證書�����。這一步只能在獲取用戶電腦的使用權(quán)或者通過木馬的方式執(zhí)行����,難以大規(guī)模應(yīng)用。
[0006]現(xiàn)有技術(shù)還有一種方案是SSL Strip����,SSL Strip是安全研究員MoxieMarlinspike在2009年2月BlackHat安全會議上提出的一種較為新穎的攻擊方式。這種攻擊方式的特點在于�����,攻擊者可以在劫持會話后�,不需要像別的中間人攻擊那樣偽造證書���、和用戶建立另外一個SSL連接���,而是可以通過欺騙用戶����,使其和攻擊者建立一個不安全的HTTP連接�����,由攻擊者代理和服務(wù)器建立HTTPS連接���。這樣一來�����,攻擊者就可以直接獲得用戶發(fā)送的明文信息�����。本發(fā)明是對改技術(shù)原理的具體實現(xiàn)�,并且使用可配置的方式的對關(guān)注的網(wǎng)站的交互數(shù)據(jù)進行監(jiān)聽�����。
【發(fā)明內(nèi)容】
[0007]為解決上述技術(shù)問題�,本發(fā)明提供了一種可配置方式的HTTPS的中間人監(jiān)聽系統(tǒng)���,其包括加密數(shù)據(jù)預(yù)處理模塊、中間人代理模塊����、配置篡改頁面模塊、登陸信息解析模塊���;其中
[0008]加密數(shù)據(jù)預(yù)處理模塊:用于對系統(tǒng)入口流量數(shù)據(jù)進行分發(fā)��,接收從串接保護設(shè)備發(fā)來的分流報文�,將設(shè)控對象所關(guān)注網(wǎng)站的報文修改后分投至所述中間人代理模塊��,接收到所述中間人代理模塊的欺騙報文后���,將所述欺騙報文修改后回流到串接口保護設(shè)備�����,由串接口保護設(shè)備回流到現(xiàn)網(wǎng)中,對于非關(guān)注協(xié)議和非設(shè)控的報文將直接回流到串接口保護設(shè)備�;
[0009]中間人代理模塊:執(zhí)行HTTP連接到HTTPS連接的轉(zhuǎn)換操作,實現(xiàn)代理服務(wù)端與客戶端之間支持HTTP��,代理客戶端與服務(wù)器之間同時支持HTTP和HTTPS連接;
[0010]配置篡改頁面模塊:支持不同網(wǎng)站登錄交互的篡改配置�,通過配置不同的登陸交互,實現(xiàn)不同網(wǎng)站的登陸欺騙���;
[0011]登陸信息解析模塊:根據(jù)當前登陸明文數(shù)據(jù)解析獲取包括登陸用戶名�����、密碼����、COOKIE信息��,產(chǎn)生登陸詳單�����。
[0012]較佳地���,所述加密數(shù)據(jù)預(yù)處理模塊根據(jù)端口�����、域-1P的關(guān)聯(lián)信息以及啟停策略�,將設(shè)控對象所關(guān)注協(xié)議的報文修改后投給對應(yīng)的中間人代理模塊。
[0013]較佳地�,所述中間人代理模塊執(zhí)行HTTP連接到HTTPS連接的轉(zhuǎn)換操作過程包括:
[0014]S1:偵聽所述加密預(yù)處理模塊發(fā)送過來的不同客戶端的連接請求;
[0015]S2:為每個客戶端創(chuàng)建一個客戶側(cè)套接字����,接收客戶端上行數(shù)據(jù),拼接完整的HTTP請求數(shù)據(jù)����;
[0016]S3:根據(jù)配置判斷客戶端上行數(shù)據(jù)的處理方式,構(gòu)造相應(yīng)的偽造客戶端上行數(shù)據(jù)��,其中
[0017]a)對于不關(guān)注的數(shù)據(jù)����,設(shè)置透傳轉(zhuǎn)發(fā),所述偽造客戶端上行即為原始客戶端上行數(shù)據(jù)��;
[0018]b)對于關(guān)注數(shù)據(jù)����,設(shè)置篡改加密轉(zhuǎn)發(fā),所述偽造客戶端上行按照配置的篡改規(guī)則在原始客戶端上行數(shù)據(jù)基礎(chǔ)上構(gòu)造���;
[0019]S4:為每個客戶端創(chuàng)建一個對應(yīng)的服務(wù)側(cè)套接字����,用于轉(zhuǎn)發(fā)偽造客戶端上行數(shù)據(jù)�,同時接收服務(wù)側(cè)套接字上發(fā)送過來的服務(wù)端下行數(shù)據(jù),拼接完整的HTTP響應(yīng)數(shù)據(jù)��;
[0020]S5:根據(jù)配置判斷服務(wù)端下行數(shù)據(jù)的處理方式��,構(gòu)造相應(yīng)的偽造服務(wù)端下行數(shù)據(jù)�,其中
[0021]a)對于不關(guān)注的數(shù)據(jù),設(shè)置透傳轉(zhuǎn)發(fā)��,偽造服務(wù)端下行即為原始服務(wù)端下行數(shù)據(jù)�;
[0022]b)關(guān)注數(shù)據(jù),偽造服務(wù)端下行按照配置的篡改規(guī)則在原始服務(wù)端下行數(shù)據(jù)基礎(chǔ)上構(gòu)造�����。
[0023]較佳地��,所述配置篡改頁面模塊可篡改的配置包括:
[0024]協(xié)議與域名ID配置�、加密或非加密方式轉(zhuǎn)發(fā)配置、HTTP消息的上行和下行數(shù)據(jù)的處理方式配置��、不同HTTP消息的篡改方式配置、上行數(shù)據(jù)識別HTTP消息配置����、提取用戶名和密碼配置以及登陸成功或登陸失敗檢查關(guān)鍵字配置。
[0025]本發(fā)明具有以下有益效果:
[0026]本發(fā)明提供的中間人監(jiān)聽系統(tǒng)實現(xiàn)了 HTTP到HTTPS中間人代理功能���,按照配置篡改頁面功能�;并且用戶客戶端和服務(wù)器之間能實現(xiàn)一個HTTP中間人代理功能��,支持HTTP連接到HTTPS連接的轉(zhuǎn)換�;可以通過配置不同的登陸交互,實現(xiàn)不同網(wǎng)站的登陸欺騙�;按照配置篡改頁面功能,按配置解析登陸信息功能�����。
[0027]當然�����,實施本發(fā)明的任一產(chǎn)品并不一定需要同時達到以上所述的所有優(yōu)點���。
【附圖說明】
[0028]為了更清楚地說明本發(fā)明實施例的技術(shù)方案�,下面將對實施例描述所需要使用的附圖作簡單地介紹,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動的前提下�,還可以根據(jù)這些附圖獲得其他的附圖�。
[0029]圖1為本發(fā)明實施例提供的可配置方式的HTTPS的中間人監(jiān)聽系統(tǒng)應(yīng)用示意圖。
【具體實施方式】
[0030]下面將結(jié)合本發(fā)明實施例中的附圖���,對本發(fā)明實施例中的技術(shù)方案進行清楚�����、完整地描述����,顯然�����,所描述的實施例僅僅是本發(fā)明一部分實施例����,而不是全部的實施例���。基于本發(fā)明中的實施例����,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其它實施例,都屬于本發(fā)明保護的范圍���。
[0031]本發(fā)明實施例提供了一種可配置方式的HTTPS的中間人監(jiān)聽系統(tǒng)��,其設(shè)于客戶端I與服務(wù)器端3之間�,其包括加密數(shù)據(jù)預(yù)處理模塊21���、中間人代理模塊22����、配置篡改頁面模塊23����、登陸信息解析模塊24 ;其中
[0032]加密數(shù)據(jù)預(yù)處理模塊21為系統(tǒng)中的最前端模塊,主要負責系統(tǒng)入口流量數(shù)據(jù)進行處理分發(fā)�����,接收從串接保護設(shè)備發(fā)來的分流報文,將設(shè)控對象所關(guān)注網(wǎng)站的報文修改后分投到中間人代理模塊22�����,接收到中間人代理模塊22的欺騙報文后��,將欺騙報文修改后回流到串接口保護設(shè)備����,由串接口保護設(shè)備回流到現(xiàn)網(wǎng)中�����;對于非關(guān)注協(xié)議和非設(shè)控的報文將直接回流到串接口保護設(shè)備�;
[0033]中間人代理模塊22用于在用戶客戶端I和服務(wù)器3之間能實現(xiàn)一個HTTP中間人代理功能,支持HTTP連接到HTTPS連接的轉(zhuǎn)換����,具體為代理服務(wù)端3與客戶端I之間支持HTTP,代理客戶端I與服務(wù)器3之間同時支持HTTP和HTTPS連接���;
[0034]配置篡改頁面模塊23可以支持不同網(wǎng)站登錄交互的篡改配置��,通過配置不同的登陸交互���,實現(xiàn)不同網(wǎng)站的登陸欺騙���;
[0035]登陸信息解析模塊24能