一种劫持网络流量的方法及装置制造方法及图纸

本发明专利技术实施例提供一种劫持网络流量的方法及装置，所述方法包括：获取网页浏览端口的网络流量；根据所述网络流量，获取在建立安全套接层SSL连接的过程中客户端向服务器发送的建立所述SSL的连接请求；解析所述连接请求，以提取所述SSL的协议版本字段和所述服务器的域名字段；若所述协议版本字段对应的协议版本是预设协议版本，解析所述域名字段，以获取待访问的域名地址；若所述域名地址包含在预设域名地址中，则劫持所述SSL对应的网络流量。所述装置执行上述方法。本发明专利技术实施例提供的劫持网络流量的方法及装置，能够合理、有效地劫持SSL对应的网络流量，进而有效控制企业职员的上网行为。

A method and device for hijacking network traffic

The embodiment of the present invention provides a method and device for hijacking network traffic, which includes: acquiring network traffic of web browsing ports; acquiring connection requests for establishing the SSL from client to server in the process of establishing the secure socket layer SSL connection according to the network traffic; and parsing the connection requests. To extract the protocol version field of the SSL and the domain name field of the server; if the protocol version corresponding to the protocol version of the protocol version field is the preset protocol version, parse the domain name field to obtain the domain name address to be accessed; if the domain name address is included in the preset domain name address, hijack the network corresponding to the SSL Traffic flow. The device performs the above method. The method and device for hijacking network traffic provided by the embodiment of the present invention can reasonably and effectively hijack the network traffic corresponding to SSL, thereby effectively controlling the online behavior of enterprise staff.

【技术实现步骤摘要】
一种劫持网络流量的方法及装置
本专利技术实施例涉及网络行为管理
，具体涉及一种劫持网络流量的方法及装置。
技术介绍
随着计算机、宽带技术的迅速发展，企业员工非工作上网等企业网络滥用现象较为严重。因此，企业需要对员工的上网行为进行管理，对企业的数据安全进行保护，所以需要对公司内部的网络行为进行检测和控制。目前，网络应用通常使用HTTPS等通用协议，HTTPS协议即在HTTP协议的基础上通过安全套接层(SecureSocketsLayer，简称“SSL”)协议进行了加密，由于是密文，需要采用类似中间人攻击等技术劫持SSL流量，中间人攻击原理是于通讯的两端，即客户端和服务器分别建立独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个会话都被攻击者完全控制。然后将劫持的密文数据变成明文数据后，再对其解析内容，接下来同HTTP协议的管理和控制。图1为现有技术SSL中间人攻击的过程示意图，如图1所示，中间攻击人需要知道攻击的对象，即攻击对象的IP地址。中间人攻击通常依赖于DNS包，根据DNS包里面的域名解析出来的IP进行SSL流量的劫持，现有技术应用场景如下：1.若无DNS包通过SSL中间人攻击装置(即执行图1的方法对应的装置)，但是已知IP，只需要将所有满足该IP的443端口的流量重定向到SSL中间人攻击装置进行SSL流量的劫持。2.若有DNS包通过SSL中间人攻击装置，则对DNS包进行劫持，然后对其内容解析获得DNS包里面的IP。此时分两种情况：1).若是标准的DNS协议，根据域名匹配，能够找到DNS包里面所需域名对应的IP，则将所有满足该IP的443端口的流量重定向到SSL中间人攻击装置进行SSL流量的劫持。2).若无法正常的提取IP，此时又分为两种情况：(1).若不是DNS标准协议，则无法解析其内容从而无法提取IP，最终导致无法劫持SSL流量。(2).DNS包里面的域名是别名，即所需的域名和返回的域名匹配不上，最终导致无法劫持SSL流量。3.根据IP成功劫持SSL流量后，此时仍有以下几种场景：1)存在部分私有协议使用443端口，若此时劫持的是私有协议，因为是非SSL协议，此时无法正常解密，有可能影响甚至中断公司部分业务。2)存在一个IP对应多个域名的情况。若劫持该IP的流量，会对该IP对应的所有域名的流量进行劫持，造成误劫持，不仅影响SSL中间人攻击装置的性能，也有可能对公司的业务有所干扰。3).是标准SSL的流量，能够正常的解密。将密文数据解密成明文内容，然后对其内容进行分析，可以对服务器IP、域名、关键字等进行不同颗粒度的管理和控制。通过上述说明，现有技术包括如下缺陷：1.依赖于DNS包的解析，无法覆盖没有DNS包或者DNS包不过SSL中间人攻击装置的场景。需要从DNS包中获得域名对应的IP，或已知该域名IP的前提下，才能进行SSL流量的劫持。同时需要劫持所有的DNS包，影响SSL中间人攻击装置的性能，因此，采用依赖于DNS包进行SSL流量的劫持的方法，不够合理。2.对于同一IP对应多个域名的场景下，此时会劫持该IP对应的所有域名的流量，无法对单个域名的流量进行区分，因此，采用该方法，无法有效进行SSL流量的劫持。3.若私有协议也用的443端口，则无法区分私有协议和SSL协议，此时劫持私有协议，但是无法正常解密，有可能影响部分公司业务，因此，采用该方法进行SSL流量的劫持不够合理。4.同一域名对应多个IP，即该域名不同时间或不同地点解析出来的IP不一样，对于这种动态变化的IP，造成SSL流量劫持效果较差。5.对于DNS包里面使用别名的域名，即域名和DNS包里面的域名不一致的场景下，此时无法提出原有域名对应的IP，造成无法劫持SSL流量。因此，如何避免上述缺陷，能够合理、有效地劫持SSL对应的网络流量，进而有效控制企业职员的上网行为，成为亟须解决的问题。
技术实现思路
针对现有技术存在的问题，本专利技术实施例提供一种劫持网络流量的方法及装置。第一方面，本专利技术实施例提供一种劫持网络流量的方法，所述方法包括：获取网页浏览端口的网络流量；根据所述网络流量，获取在建立安全套接层SSL连接的过程中客户端向服务器发送的建立所述SSL的连接请求；解析所述连接请求，以提取所述SSL的协议版本字段和所述服务器的域名字段；若所述协议版本字段对应的协议版本是预设协议版本，解析所述域名字段，以获取待访问的域名地址；若所述域名地址包含在预设域名地址中，则劫持所述SSL对应的网络流量。第二方面，本专利技术实施例提供一种劫持网络流量的装置，所述装置包括：第一获取单元，用于获取网页浏览端口的网络流量；第二获取单元，用于根据所述网络流量，获取在建立安全套接层SSL连接的过程中客户端向服务器发送的建立所述SSL的连接请求；提取单元，用于解析所述连接请求，以提取所述SSL的协议版本字段和所述服务器的域名字段；解析单元，用于若判断获知所述协议版本字段对应的协议版本是预设协议版本，解析所述域名字段，以获取待访问的域名地址；劫持单元，用于若判断获知所述域名地址包含在预设域名地址中，则劫持所述SSL对应的网络流量。第三方面，本专利技术实施例提供一种电子设备，包括：处理器、存储器和总线，其中，所述处理器和所述存储器通过所述总线完成相互间的通信；所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如下方法：获取网页浏览端口的网络流量；根据所述网络流量，获取在建立安全套接层SSL连接的过程中客户端向服务器发送的建立所述SSL的连接请求；解析所述连接请求，以提取所述SSL的协议版本字段和所述服务器的域名字段；若所述协议版本字段对应的协议版本是预设协议版本，解析所述域名字段，以获取待访问的域名地址；若所述域名地址包含在预设域名地址中，则劫持所述SSL对应的网络流量。第四方面，本专利技术实施例提供一种非暂态计算机可读存储介质，包括：所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行如下方法：获取网页浏览端口的网络流量；根据所述网络流量，获取在建立安全套接层SSL连接的过程中客户端向服务器发送的建立所述SSL的连接请求；解析所述连接请求，以提取所述SSL的协议版本字段和所述服务器的域名字段；若所述协议版本字段对应的协议版本是预设协议版本，解析所述域名字段，以获取待访问的域名地址；若所述域名地址包含在预设域名地址中，则劫持所述SSL对应的网络流量。本专利技术实施例提供的劫持网络流量的方法及装置，通过对SSL的协议版本和待访问的域名地址进行先后判断，将符合判断条件的SSL对应的网络流量进行劫持，能够合理、有效地劫持SSL对应的网络流量，进而有效控制企业职员的上网行为。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为现有技术SSL中间人攻击的过程示意图；图2为本专利技术实施例劫持网络流量的方法流程示意图；图3为本专利技术实施例劫持网络流量的信息交互图；图4为本专利技术实本文档来自技高网...

【技术保护点】
1.一种劫持网络流量的方法，其特征在于，包括：获取网页浏览端口的网络流量；根据所述网络流量，获取在建立安全套接层SSL连接的过程中客户端向服务器发送的建立所述SSL的连接请求；解析所述连接请求，以提取所述SSL的协议版本字段和所述服务器的域名字段；若所述协议版本字段对应的协议版本是预设协议版本，解析所述域名字段，以获取待访问的域名地址；若所述域名地址包含在预设域名地址中，则劫持所述SSL对应的网络流量。

【技术特征摘要】
1.一种劫持网络流量的方法，其特征在于，包括：获取网页浏览端口的网络流量；根据所述网络流量，获取在建立安全套接层SSL连接的过程中客户端向服务器发送的建立所述SSL的连接请求；解析所述连接请求，以提取所述SSL的协议版本字段和所述服务器的域名字段；若所述协议版本字段对应的协议版本是预设协议版本，解析所述域名字段，以获取待访问的域名地址；若所述域名地址包含在预设域名地址中，则劫持所述SSL对应的网络流量。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：采用字符串查找方法，确定在所述预设域名地址中是否包含有所述域名地址。3.根据权利要求2所述的方法，其特征在于，所述字符串查找方法包括多模式匹配ACBM。4.根据权利要求1至3任一所述的方法，其特征在于，所述方法还包括：采用预设格式表示所述预设域名地址，所述预设格式包括真实域名，以及根据所述真实域名获得的模糊匹配域名。5.根据权利要求1至3任一所述的方法，其特征在于，所述方法还包括：若所述域名地址不包含在所述预设域名地址中，则放行所述SSL对应的网络流量，以使所述客户端访问所述服务器。6.根据权利要求1至3任一所述的方法，其特征在于，所述方法还包括：若所述协议版本字段对应的协议版本不是预设协议版本，则放行所述SSL对应的网络流量，以使所述客户端访问所述服务器。7.根据权利要求1至3任一所述的方法，其特征在于，所述获取网页浏览端口的网络流量，包括：重定向所有443端口的网络流量，以获取所述网络流量。8.一种劫持网络流量的装置，其特征在于，包括：第一获取单元，用于获取网页浏览端口的网络流量；第二获取单元，用于根据所述网络流量，获取在建立安全套接层SSL连接的过程中客户端向服务器发送的建立所述SSL的连接请求；提取单元，用于解析所述连接请求，以提取所述SSL的...

【专利技术属性】
技术研发人员：李鸣，
申请(专利权)人：北京奇安信科技有限公司，
类型：发明
国别省市：北京,11