The embodiment of the present invention provides a method and device for hijacking network traffic, which includes: acquiring network traffic of web browsing ports; acquiring connection requests for establishing the SSL from client to server in the process of establishing the secure socket layer SSL connection according to the network traffic; and parsing the connection requests. To extract the protocol version field of the SSL and the domain name field of the server; if the protocol version corresponding to the protocol version of the protocol version field is the preset protocol version, parse the domain name field to obtain the domain name address to be accessed; if the domain name address is included in the preset domain name address, hijack the network corresponding to the SSL Traffic flow. The device performs the above method. The method and device for hijacking network traffic provided by the embodiment of the present invention can reasonably and effectively hijack the network traffic corresponding to SSL, thereby effectively controlling the online behavior of enterprise staff.
【技术实现步骤摘要】
一种劫持网络流量的方法及装置
本专利技术实施例涉及网络行为管理
,具体涉及一种劫持网络流量的方法及装置。
技术介绍
随着计算机、宽带技术的迅速发展,企业员工非工作上网等企业网络滥用现象较为严重。因此,企业需要对员工的上网行为进行管理,对企业的数据安全进行保护,所以需要对公司内部的网络行为进行检测和控制。目前,网络应用通常使用HTTPS等通用协议,HTTPS协议即在HTTP协议的基础上通过安全套接层(SecureSocketsLayer,简称“SSL”)协议进行了加密,由于是密文,需要采用类似中间人攻击等技术劫持SSL流量,中间人攻击原理是于通讯的两端,即客户端和服务器分别建立独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。然后将劫持的密文数据变成明文数据后,再对其解析内容,接下来同HTTP协议的管理和控制。图1为现有技术SSL中间人攻击的过程示意图,如图1所示,中间攻击人需要知道攻击的对象,即攻击对象的IP地址。中间人攻击通常依赖于DNS包,根据DNS包里面的域名解析出来的IP进行SSL流量的劫持,现有技术应用场景如下:1.若无DNS包通过SSL中间人攻击装置(即执行图1的方法对应的装置),但是已知IP,只需要将所有满足该IP的443端口的流量重定向到SSL中间人攻击装置进行SSL流量的劫持。2.若有DNS包通过SSL中间人攻击装置,则对DNS包进行劫持,然后对其内容解析获得DNS包里面的IP。此时分两种情况:1).若是标准的DNS协议,根据域名匹配,能够找到DNS包里面 ...
【技术保护点】
1.一种劫持网络流量的方法,其特征在于,包括:获取网页浏览端口的网络流量;根据所述网络流量,获取在建立安全套接层SSL连接的过程中客户端向服务器发送的建立所述SSL的连接请求;解析所述连接请求,以提取所述SSL的协议版本字段和所述服务器的域名字段;若所述协议版本字段对应的协议版本是预设协议版本,解析所述域名字段,以获取待访问的域名地址;若所述域名地址包含在预设域名地址中,则劫持所述SSL对应的网络流量。
【技术特征摘要】
1.一种劫持网络流量的方法,其特征在于,包括:获取网页浏览端口的网络流量;根据所述网络流量,获取在建立安全套接层SSL连接的过程中客户端向服务器发送的建立所述SSL的连接请求;解析所述连接请求,以提取所述SSL的协议版本字段和所述服务器的域名字段;若所述协议版本字段对应的协议版本是预设协议版本,解析所述域名字段,以获取待访问的域名地址;若所述域名地址包含在预设域名地址中,则劫持所述SSL对应的网络流量。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:采用字符串查找方法,确定在所述预设域名地址中是否包含有所述域名地址。3.根据权利要求2所述的方法,其特征在于,所述字符串查找方法包括多模式匹配ACBM。4.根据权利要求1至3任一所述的方法,其特征在于,所述方法还包括:采用预设格式表示所述预设域名地址,所述预设格式包括真实域名,以及根据所述真实域名获得的模糊匹配域名。5.根据权利要求1至3任一所述的方法,其特征在于,所述方法还包括:若所述域名地址不包含在所述预设域名地址中,则放行所述SSL对应的网络流量,以使所述客户端访问所述服务器。6.根据权利要求1至3任一所述的方法,其特征在于,所述方法还包括:若所述协议版本字段对应的协议版本不是预设协议版本,则放行所述SSL对应的网络流量,以使所述客户端访问所述服务器。7.根据权利要求1至3任一所述的方法,其特征在于,所述获取网页浏览端口的网络流量,包括:重定向所有443端口的网络流量,以获取所述网络流量。8.一种劫持网络流量的装置,其特征在于,包括:第一获取单元,用于获取网页浏览端口的网络流量;第二获取单元,用于根据所述网络流量,获取在建立安全套接层SSL连接的过程中客户端向服务器发送的建立所述SSL的连接请求;提取单元,用于解析所述连接请求,以提取所述SSL的...
【专利技术属性】
技术研发人员:李鸣,
申请(专利权)人:北京奇安信科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。