本发明专利技术公开了一种面向运营商骨干网的HTTPS数据流审计方法和系统。所述方法包括:采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;当访问数据报文为明文时,通过SSLstrip审计服务器审计访问数据报文。本发明专利技术的方法无需向骨干网中插入审计设备,不干扰骨干网的传输速度,能保障对客户端发送明文的审计工作顺利进行,且不干扰客户端对目标网站的加密访问。
【技术实现步骤摘要】
本专利技术涉及HTTPS审计
,特别涉及一种面向运营商骨干网的HTTPS数据流审计方法和系统。
技术介绍
安全套接字层超文本传输协议(HyperTextTransferProtocoloverSecureSocketLayer,简称“HTTPS”)是通过利用安全套接子层(SecureSocketLayer,简称“SSL”)来进行加密传输的传输协议,相当于在传统的超文本传输协议(HyperTextTransferProtocol,简称“HTTP”)中加入SSL层,由于其安全性而被广泛用于客户端与网站之间的敏感信息传输。当前对HTTPS数据流审计的通用方法,为采用中间人技术对客户端发往服务器端的数据流进行代理转发,例如:SSLstrip技术是一种不要求客户端安装审计设备证书的中间人技术,其基本原理是在客户端与服务器建立连接时,在审计设备与服务器之间形成HTTPS连接,而在客户端与审计设备之间形成HTTP连接,即将SSL层从原HTTPS连接中“剥离”。这样既能对客户端发送的报文进行审计,又能实现客户端与服务器之间的加密传输。但是,上述方法主要是用于网络流量较小的网络环境下(例如:网络流量低于1Gbps),如果是对骨干网络中的数据进行审计的话,由于其网络流量较大,一旦在骨干网络链接中插入审计设备,则会严重影响到骨干网络的数据传输速度,甚至会引发骨干网络链路中段的情况,至使大面积的网路用户受到影响。
技术实现思路
为了解决现有技术的问题,本专利技术实施例提供了一种面向运营商骨干网的HTTPS数据流审计方法和系统。所述技术方案如下:一方面,本专利技术实施例提供了一种面向运营商骨干网的HTTPS数据流审计方法,包括:采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;当访问数据报文为明文时,通过SSLstrip审计服务器审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,所述HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站;如果反馈信息中包含HTTPS访问方式请求,则通过SSLstrip审计服务器将其转化为相应的HTTP访问方式请求,并发送至客户端。在本专利技术实施例上述的面向运营商骨干网的HTTPS数据流审计方法中,所述当访问数据报文为明文时,通过SSLstrip审计服务器审计并加密访问数据报文,包括:当访问数据报文为明文时,采用负载均衡的方式,通过多个SSLstrip审计服务器来审计访问数据报文。在本专利技术实施例上述的面向运营商骨干网的HTTPS数据流审计方法中,当访问数据报文为明文时,访问数据报文为客户端访问目标网站服务器端口80时发送出的报文。在本专利技术实施例上述的面向运营商骨干网的HTTPS数据流审计方法中,所述方法还包括:当访问数据报文为加密报文时,根据预设的欺骗IP与真实IP之间的对应关系,将访问数据报文中的欺骗IP修正为对应的真实IP,并将修正后的访问数据报文发送至运营商骨干网中。在本专利技术实施例上述的面向运营商骨干网的HTTPS数据流审计方法中,当访问数据报文为加密报文时,访问数据报文为客户端访问目标网站服务器端口443时发送出的报文。另一方面,本专利技术实施例提供了一种面向运营商骨干网的HTTPS数据流审计系统,包括:DNS欺骗服务器,与接入运营商骨干网的客户端连接,用于采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;所述DNS欺骗服务器,还用于根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;前置解析设备,与接入运营商骨干网的客户端连接,用于解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;SSLstrip审计服务器,与所述前置解析设备连接,用于当访问数据报文为明文时,审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;IP代理服务器,用于根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;SSLstrip审计服务器,还用于判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,所述HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站;SSLstrip审计服务器,还用于当反馈信息中包含HTTPS访问方式请求时,将其转化为相应的HTTP访问方式请求,并发送至客户端。在本专利技术实施例上述的面向运营商骨干网的HTTPS数据流审计系统中,包括:多个SSLstrip审计服务器,前置解析设备,还用于当访问数据报文为明文时,通过负载均衡的方式,为多个SSLstrip审计服务器分配访问数据报文。在本专利技术实施例上述的面向运营商骨干网的HTTPS数据流审计系统中,访问数据报文为明文时,访问数据报文为客户端访问目标网站服务器端口80时发送出的报文。在本专利技术实施例上述的面向运营商骨干网的HTTPS数据流审计系统中,所述前置解析设备,还用于当访问数据报文为加密报文时,根据预设的欺骗IP与真实IP之间的对应关系,将访问数据报文中的欺骗IP修正为对应的真实IP,并将修正后的访问数据报文发送至运营商骨干网中。在本专利技术实施例上述的面向运营商骨干网的HTTPS数据流审计系统中,当访问数据报文为加密报文时,访问数据报文为客户端访问目标网站服务器端口443时发送出的报文。本专利技术实施例提供的技术方案带来的有益效果是:通过采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;然后,根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;然后,解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;并且,当访问数据报文为明文时,通过SSLstrip审计服务器审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;然后,根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;最后,判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,并当反馈信息中包含HTTPS访问方式请求时,通过SSLstrip审计服务器将其转化为相应的HTTP访问方式请求,并发送至客户端。该面向运营商骨干网的HTTPS数据流审计方法,采用旁路分光的方式来获取运营商骨干网中客户端发送DNS请求,避免了向骨干网中插入审计设备的问题,能有效避免因审计需求,而降低骨干网传输速度的问题;而且,该方法在对客户端发送的明文形式的访问数据报文进行审计的同时,还会将目标网站服务器反馈的HTTPS访问方式请求修改为相应的HTTP访问方式请求,使得客户端在后续访问时,以SSLstrip审计服务器能够进行审计的明文形式发送本文档来自技高网...
【技术保护点】
一种面向运营商骨干网的HTTPS数据流审计方法,其特征在于,包括:采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;当访问数据报文为明文时,通过SSLstrip审计服务器审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,所述HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站;如果反馈信息中包含HTTPS访问方式请求,则通过SSLstrip审计服务器将其转化为相应的HTTP访问方式请求,并发送至客户端。
【技术特征摘要】
1.一种面向运营商骨干网的HTTPS数据流审计方法,其特征在于,包括:采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;当访问数据报文为明文时,通过SSLstrip审计服务器审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,所述HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站;如果反馈信息中包含HTTPS访问方式请求,则通过SSLstrip审计服务器将其转化为相应的HTTP访问方式请求,并发送至客户端。2.根据权利要求1所述的方法,其特征在于,所述当访问数据报文为明文时,通过SSLstrip审计服务器审计并加密访问数据报文,包括:当访问数据报文为明文时,采用负载均衡的方式,通过多个SSLstrip审计服务器来审计访问数据报文。3.根据权利要求1所述的方法,其特征在于,当访问数据报文为明文时,访问数据报文为客户端访问目标网站服务器端口80时发送出的报文。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:当访问数据报文为加密报文时,根据预设的欺骗IP与真实IP之间的对应关系,将访问数据报文中的欺骗IP修正为对应的真实IP,并将修正后的访问数据报文发送至运营商骨干网中。5.根据权利要求4所述的方法,其特征在于,当访问数据报文为加密报文时,访问数据报文为客户端访问目标网站服务器端口443时发送出的报文。6.一种面向运营商骨干网的HTTPS数据流审计系统,其特征在于,包括:DNS欺骗服务器(100),与接入运营商骨干网的客户端连接,用于采用旁路分光的方式,...
【专利技术属性】
技术研发人员:刘永强,程海龙,沈智杰,景晓军,
申请(专利权)人:深圳市任子行科技开发有限公司,任子行网络技术股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。