專利名稱:中間人攻擊檢測方法、裝置、服務(wù)器及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技木,尤其涉及ー種中間人攻擊檢測方法、裝置、服務(wù)器及系統(tǒng)。
背景技術(shù):
網(wǎng)絡(luò)中有一種釣魚方式鮮為人知,就是通過中間人攻擊的方式來達(dá)到釣魚的目的,它的關(guān)注點(diǎn)主要在兩個(gè)方面ー是域名系統(tǒng)(Domain Name System,簡稱DNS)的中間人攻擊問題,ニ是證書的中間人攻擊問題。DNS的中間人攻擊也稱為DNS劫持,攻擊者通過劫持DNS服務(wù)器取得某域名的解析記錄控制權(quán),進(jìn)而修改此域名的解析結(jié)果,導(dǎo)致對該域名的訪問由原IP地址轉(zhuǎn)入到修改后的指定IP,其結(jié)果就是對特定的網(wǎng)址不能訪問或訪問的是假網(wǎng)址,從而實(shí)現(xiàn)竊取資料或者破壞原有正常服務(wù)的目的。證書的中間人攻擊過程也稱為證書劫持,攻擊者可以偽造ー個(gè)網(wǎng)站服務(wù)器的證書,當(dāng)訪問者的瀏覽器訪問該網(wǎng)站服務(wù)器吋,通過DNS劫持或IP偽造的方法使其訪問到攻擊者的服務(wù)器上,然后把偽造的證書公鑰發(fā)送給訪問者的瀏覽器,以獲得瀏覽器發(fā)送的對稱密鑰,攻擊者的服務(wù)器把偽造的網(wǎng)頁通過收到的對稱密鑰加密后發(fā)送給瀏覽器,從而可以獲得訪問者通過瀏覽器輸入的帳戶、密碼等用戶信息。現(xiàn)有技術(shù)中還沒有一套針對上述中間人攻擊問題的有效解決方案。
發(fā)明內(nèi)容
本發(fā)明提供ー種中間人攻擊檢測方法、裝置及服務(wù)器,用以解決現(xiàn)有技術(shù)中存在的中間人攻擊的問題。本發(fā)明的第一個(gè)方面是提供一種中間人攻擊檢測方法,包括從域名系統(tǒng)DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址;根據(jù)所述多個(gè)域服務(wù)器的域名分別查找到各域服務(wù)器對應(yīng)的可信地址表;若至少ー個(gè)域名服務(wù)器的地址不在所述域名服務(wù)器對應(yīng)的可信地址表中,則確定受到DNS的中間人攻擊。本發(fā)明的另ー個(gè)方面是提供一種中間人攻擊檢測方法,包括從網(wǎng)站服務(wù)器獲取所述網(wǎng)站服務(wù)器的證書;對所述網(wǎng)站服務(wù)器的證書進(jìn)行安全性檢測;若檢測不通過,則確定受到證書的中間人攻擊。本發(fā)明的又ー個(gè)方面是提供一種中間人攻擊檢測裝置,包括第一獲取模塊,用于從域名系統(tǒng)DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址;查找模塊,用于根據(jù)所述多個(gè)域服務(wù)器的域名分別查找到各域服務(wù)器對應(yīng)的可信地址表;
第一確定模塊,用于若至少ー個(gè)域名服務(wù)器的地址不在所述域名服務(wù)器對應(yīng)的可信地址表中,則確定受到DNS的中間人攻擊。本發(fā)明的又ー個(gè)方面是提供一種中間人攻擊檢測裝置,包括第二獲取模塊,用于從網(wǎng)站服務(wù)器獲取所述網(wǎng)站服務(wù)器的證書;第二檢測模塊,用于對所述網(wǎng)站服務(wù)器的證書進(jìn)行安全性檢測;第二確定模塊,用于若檢測不通過,則確定受到證書的中間人攻擊。本發(fā)明的再ー個(gè)方面是提供一種中間人攻擊檢測服務(wù)器,包括如上所述的兩種中間人攻擊檢測裝置。本發(fā)明的再ー個(gè)方面是提供一種中間人攻擊檢測系統(tǒng),包括如上所述的中間人攻擊檢測服務(wù)器和分布式設(shè)置的多個(gè)檢測探針;所述多個(gè)檢測探針分別用于周期性地從DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址、 從網(wǎng)站服務(wù)器獲取所述網(wǎng)站服務(wù)器的證書,從所述證書中提取出的證書信息,所述證書信息包括有效期、域名、序列號或證書鏈信息,并將所述多個(gè)域服務(wù)器的域名和地址、證書信息通過因特網(wǎng)協(xié)議安全性IPSec管道發(fā)送給所述中間人攻擊檢測服務(wù)器。本發(fā)明的一個(gè)技術(shù)效果是通過從DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址,根據(jù)所述多個(gè)域服務(wù)器的域名分別查找到各域服務(wù)器對應(yīng)的可信地址表,若至少ー個(gè)域名服務(wù)器的地址不在所述域名服務(wù)器對應(yīng)的可信地址表中,則確定所述DNS服務(wù)器受到DNS的中間人攻擊,可以快速檢測出DNS服務(wù)器是否受到中間人攻擊。本發(fā)明的又一個(gè)技術(shù)效果是通過從網(wǎng)站服務(wù)器獲取所述網(wǎng)站服務(wù)器的證書,對所述網(wǎng)站服務(wù)器的證書進(jìn)行安全性檢測,若檢測不通過,則確定所述網(wǎng)站服務(wù)器受到證書的中間人攻擊,可以快速檢測出網(wǎng)站服務(wù)器是否受到證書的中間人攻擊。
圖1為本發(fā)明實(shí)施例一提供的ー種中間人攻擊檢測方法的流程示意圖;圖2為本發(fā)明實(shí)施例ニ提供的ー種中間人攻擊檢測方法的流程示意圖;圖3為本發(fā)明實(shí)施例三提供的ー種中間人攻擊檢測裝置的結(jié)構(gòu)示意圖;圖4為本發(fā)明實(shí)施例四提供的ー種中間人攻擊檢測裝置的結(jié)構(gòu)示意圖;圖5為本發(fā)明實(shí)施例五提供的一種中間人攻擊檢測服務(wù)器的結(jié)構(gòu)示意圖;圖6為本發(fā)明實(shí)施例六提供的一種中間人攻擊檢測系統(tǒng)的結(jié)構(gòu)示意圖。
具體實(shí)施例方式為了對本發(fā)明實(shí)施例進(jìn)行清楚詳細(xì)的介紹,先對證書的中間人攻擊進(jìn)行進(jìn)ー步地介紹。超文字傳輸安全協(xié)議(Hypertext Transfer Protocol kcure,簡稱HTTPS)的安全性主要是由安全套接層(Secure Sockets Layer,簡稱SSL)證書中的公鑰和私鑰來保證的, 瀏覽器與網(wǎng)站服務(wù)器經(jīng)過HTTPS建立通訊的時(shí)候會(huì)按照以下步驟保證通訊的安全性1、瀏覽器連接網(wǎng)站服務(wù)器,網(wǎng)站服務(wù)器把SSL證書的公鑰發(fā)送給瀏覽器;2、瀏覽器驗(yàn)證此證書中的域名是否和訪問的域名一致,比如用戶訪問https:// mail, google, com/吋,瀏覽器驗(yàn)證網(wǎng)站服務(wù)器發(fā)送過來的SSL證書的公鑰中的域名是否為mail, google, com 或 google, com,并_&該證書沒有過其月;3、如果瀏覽器驗(yàn)證失敗,瀏覽器通知用戶證書有問題,讓用戶選擇是否繼續(xù);4、如果瀏覽器驗(yàn)證成功,那么瀏覽器隨機(jī)生成一個(gè)對稱密鑰并使用接收到的SSL 證書的公鑰進(jìn)行加密后,發(fā)送給網(wǎng)站服務(wù)器;5、網(wǎng)站服務(wù)器通過SSL證書的私鑰對收到的信息進(jìn)行解密,得到瀏覽器隨機(jī)生成的對稱密鑰;6、網(wǎng)站服務(wù)器和瀏覽器可以通過這個(gè)對稱密鑰進(jìn)行通訊了。需要說明的是,本發(fā)明實(shí)施例中不考慮SSL代理方式需要用戶提交證書的情況, 因?yàn)橛懻摰氖菫g覽器訪問網(wǎng)站服務(wù)器,和SSL代理無關(guān)?;谏鲜鰹g覽器與網(wǎng)站服務(wù)器建立通訊的過程,舉例來說,攻擊者可以按以下步驟實(shí)施攻擊截取HTTPS通訊中的所有數(shù)據(jù)1、攻擊者偽造ー個(gè)Gmail服務(wù)器的SSL證書,使其中的域?yàn)閙ail, google, com或 *· google, com,并設(shè)置合適的證書有效期;2、等訪問者的瀏覽器訪問Gmail服務(wù)器時(shí),攻擊者通過DNS劫持或IP偽造的方法使其訪問到攻擊者的服務(wù)器上;3、攻擊者把偽造的SSL證書公鑰發(fā)送給瀏覽器;4、瀏覽器驗(yàn)證SSL證書的域和有效期都沒有問題,認(rèn)為訪問到的就是Gmail服務(wù)器,從而把對稱密鑰發(fā)送給攻擊者的服務(wù)器;5、攻擊者的服務(wù)器把偽造的Gmail網(wǎng)頁通過收到的對稱密鑰加密后發(fā)送給瀏覽器;6、訪問者通過瀏覽器輸入Gmail帳戶,發(fā)送給攻擊者的服務(wù)器,攻擊者的服務(wù)器通過收到的對稱密鑰解密后成功獲得訪問者的Gmail密碼。圖1為本發(fā)明實(shí)施例一提供的ー種中間人攻擊檢測方法的流程示意圖。如圖1所示,包括101、從DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址。舉例來說,中間人攻擊檢測裝置從DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址。本發(fā)明實(shí)施例中的中間人攻擊檢測裝置可以設(shè)置在一個(gè)服務(wù)器上, 該服務(wù)器可以稱為中間人攻擊檢測服務(wù)器。通常,DNS服務(wù)器中存儲(chǔ)有一組頂級域服務(wù)器和ニ級域服務(wù)器的域名和IP地址。具體地,可以通過封裝底層命令“dig域名+trace”從 DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址。102、根據(jù)所述多個(gè)域服務(wù)器的域名分別查找到各域服務(wù)器對應(yīng)的可信地址表。具體地,域服務(wù)器對應(yīng)的可信地址表包含域名對應(yīng)的可信域服務(wù)器的地址。通常,可信地址表可以從全球13個(gè)根服務(wù)器、各省互聯(lián)網(wǎng)服務(wù)提供商(Internet Service Provider,簡稱ISP),以及客戶站點(diǎn)權(quán)威域名服務(wù)器獲取,并定期維護(hù)。103、若至少ー個(gè)域名服務(wù)器的地址不在所述域名服務(wù)器對應(yīng)的可信地址表中,則確定受到DNS的中間人攻擊。另外,若多個(gè)域名服務(wù)器的地址均在對應(yīng)的可信地址表中,則確定未受到DNS的中間人攻擊。進(jìn)ー步地,還可以設(shè)置ー個(gè)門限值,當(dāng)?shù)刂凡辉趯?yīng)的可信地址表中的域名服務(wù)
7器的個(gè)數(shù)超過該門限值時(shí),確定受到DNS的中間人攻擊,當(dāng)未超過時(shí),確定未受到DNS的中間人攻擊。進(jìn)ー步地,可以將101-103作為事中監(jiān)測的過程,在101之前再増加事前防御的過程。具體地,101之前還可以包括檢測所述DNS 服務(wù)器的 DNS 安全擴(kuò)展(Domain Name System Security Extensions,簡稱DNSSEC)配置是否正確,若不正確,則輸出告警信息。所述檢測所述DNS服務(wù)器的DNS安全擴(kuò)展配置是否正確具體包括檢測所述DNS服務(wù)器是否啟用了 DNSSEC,若啟用了則檢測所述DNSSEC的信任鏈?zhǔn)欠癜荑€簽名密鑰(Key Signing Key,簡稱KSK)和區(qū)域簽名密鑰(Zone Signing Key, 簡稱ZSK),若包含則確定所述DNS服務(wù)器的DNSSEC配置正確。具體地,啟用DNSSEC配置相當(dāng)于增加了一個(gè)有效身份驗(yàn)證機(jī)制,也就是雙方,比如說DNS遞歸解析服務(wù)器和ISP之間在進(jìn)行信息交互吋,如果啟用了 DNSSEC配置則會(huì)驗(yàn)證消息的完整性,如果消息是完整的,說明沒有發(fā)生DNS劫持。上述事前防御的檢測可以直接由中間人攻擊檢測裝置來完成。進(jìn)ー步地,在事中監(jiān)測的過程中,可以不由中間人攻擊檢測裝置直接進(jìn)行監(jiān)測,而是在全國各大省份部署DNS監(jiān)測引擎,也稱為檢測探針。對應(yīng)地,101具體可以包括接收分布式設(shè)置的多個(gè)檢測探針分別通過因特網(wǎng)協(xié)議安全性anternet Protocol Security,簡稱IPkc)管道發(fā)送的、各檢測探針周期性地從所述DNS服務(wù)器獲取的多個(gè)域服務(wù)器的域名和地址;將所述多個(gè)檢測探針分別發(fā)送的所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址進(jìn)行合井。應(yīng)用中,可以在各身份的ー線城市部署檢測探針,在ニ線城市通過代理的模式進(jìn)行檢測。具體地,ー線城市的檢測探針可以每隔半個(gè)小時(shí)檢測一次DNS服務(wù)器,檢測過程可以通過用了封裝底層命令(dig域名+trace)的程序進(jìn)行。另外,總部的中間人攻擊檢測裝置收到多個(gè)檢測探針發(fā)送的所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址后,還可以進(jìn)行合并,舉例來說,檢測探針1發(fā)送的域服各器的域名為www. RQORle. com,該域服各器的地址為111. 111. 111. 111,檢測探針2發(fā)送的域服務(wù)器的域名為www. RooRle. com,該域服務(wù)器的地址為222. 222. 222. 222,則中間人攻擊檢測裝置合并為域名棚.RooRle. com和地址 111. 111. 111. 111、地址 222. 222. 222. 222,根據(jù)域名 www. google, com 查找到該域服務(wù)器對應(yīng)的可信地址表后,判斷地址111. 111. 111. 111、地址222. 222. 222. 222是否都在對應(yīng)的可信地址表中,若有ー個(gè)不在則確定受到DNS的中間人攻擊。具體地,通過多點(diǎn)檢測看是否在某一省份的ISP發(fā)生有DNS劫持或者DNS投毒等事件,一旦捕獲劫持事件,可以第一時(shí)間通知用戶在哪個(gè)省份發(fā)生劫持,讓用戶時(shí)刻處于保護(hù)中、免受釣魚站點(diǎn)DNS劫持的侵?jǐn)_。本實(shí)施例通過從DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址,根據(jù)所述多個(gè)域服務(wù)器的域名分別查找到各域服務(wù)器對應(yīng)的可信地址表,若至少ー個(gè)域名服務(wù)器的地址不在所述域名服務(wù)器對應(yīng)的可信地址表中,則確定所述DNS服務(wù)器受到 DNS的中間人攻擊,可以快速檢測出DNS服務(wù)器是否受到中間人攻擊。圖2為本發(fā)明實(shí)施例ニ提供的ー種中間人攻擊檢測方法的流程示意圖。如圖2所示,包括
201、從網(wǎng)站服務(wù)器獲取所述網(wǎng)站服務(wù)器的證書。舉例來說,中間人攻擊檢測裝置從網(wǎng)站服務(wù)器獲取所述網(wǎng)站服務(wù)器的證書。本發(fā)明實(shí)施例中的中間人攻擊檢測裝置可以設(shè)置在一個(gè)服務(wù)器上,該服務(wù)器可以稱為中間人攻擊檢測服務(wù)器。具體地,網(wǎng)站服務(wù)器的證書可以是SSL證書,獲取SSL證書可以通過以下方式實(shí)現(xiàn)模仿用戶的行為向網(wǎng)站服務(wù)器發(fā)起SSL第一次握手請求,包含請求的域以及可以進(jìn)行協(xié)商的多個(gè)密鑰;網(wǎng)站服務(wù)器把它的公鑰嵌入到SSL證書發(fā)回,其中包含從第一次握手請求的多個(gè)密鑰中選定的一個(gè)密鑰;用從網(wǎng)站服務(wù)器收到的密鑰加密信息,并用公鑰再加密后傳給網(wǎng)站服務(wù)器,當(dāng)網(wǎng)站服務(wù)器可以收到信息并解析成正確的文字,表示ー個(gè)通信鏈接成功建立,之后就可以獲取網(wǎng)站服務(wù)器的證書了。202、對所述網(wǎng)站服務(wù)器的證書進(jìn)行安全性檢測。具體地,對證書的安全性檢測可以包括ー個(gè)或多個(gè)方面,比如有效期、域名、序列號、證書鏈等。對應(yīng)地,202可以包括根據(jù)所述證書的有效期檢測所述證書是否有效;或檢測所述證書的域名是否與所述網(wǎng)站服務(wù)器的域名一致;或根據(jù)所述證書的序列號檢測所述證書是否未被吊銷;或根據(jù)所述證書的證書鏈信息檢測所述證書的簽發(fā)是否安全。其中,證書中會(huì)明確標(biāo)識其頒發(fā)時(shí)間和有效截至?xí)r間,這個(gè)時(shí)間段即證書的有效期,如果當(dāng)前時(shí)間在有效期內(nèi),則有效期的檢測通過。假設(shè)該證書是電子商務(wù)認(rèn)證授權(quán)機(jī)構(gòu) (Certificate Authority,簡稱CA)簽發(fā)的證書且在有效期內(nèi),如果有安全問題,CA就要承擔(dān)責(zé)任。域名就是客戶站點(diǎn),例如百度的域名就是www, baidu. com,證書中的域名可以很肓觀看到。如果證書中的域名與預(yù)設(shè)的網(wǎng)站服務(wù)器的域名一致,則域名檢測通過。檢測證書是否未被吊銷可以查看證書吊銷列表(Certificate Revocation List, 簡稱CRL),證書中會(huì)有鏈接連到CRL,然后根據(jù)證書中其CA頒布的證書序列號查看CRL是否有相同的證書序列號,如果有則說明該證書已被吊銷,否則沒被吊銷,即序列號的檢測通過。證書鏈信息同樣是在證書中有顯示,通過證書鏈信息可以看到簽發(fā)此證書的上級證書是什么,簽自哪里,根證書是什么,等等,如果其中有一級不是官方認(rèn)可的,則存在極大安全隱患。舉例來說,當(dāng)根證書是CA,且ニ級證書是由根證書簽發(fā),ー級級都是可信任機(jī)構(gòu), 那么說明所述證書的簽發(fā)是安全的,即證書鏈信息的檢測通過。203、若檢測不通過,則確定受到證書的中間人攻擊。具體地,若202中進(jìn)行了多項(xiàng)安全性檢測,則若至少ー項(xiàng)檢測不通過,則確定受到證書的中間人攻擊。上述201-203可以作為事中監(jiān)測的過程,進(jìn)ー步地不由中間人攻擊檢測裝置直接進(jìn)行監(jiān)測,而是在全國各大省份部署DNS監(jiān)測引擎,也稱為檢測探針,通過多點(diǎn)檢測看是否在某一省份的ISP發(fā)生有證書劫持事件,一旦捕獲劫持事件,可以第一時(shí)間通知用戶在哪個(gè)省份發(fā)生劫持事件,讓用戶時(shí)刻處于保護(hù)中、免受釣魚站點(diǎn)劫持侵?jǐn)_。對應(yīng)地,201具體可以包括接收分布式設(shè)置的多個(gè)檢測探針分別通過IPSec管道發(fā)送的、各檢測探針從周期性地獲取的所述網(wǎng)站服務(wù)器的證書中提取出的證書信息,所述證書信息包括有效期、域名、 序列號或證書鏈信息;將所述多個(gè)檢測探針分別發(fā)送的所述證書信息進(jìn)行合井。具體地,檢測探針獲取證書后,從中提取出證書信息,然后將證書信息發(fā)給總部的中間人攻擊檢測裝置進(jìn)行檢測。進(jìn)ー步地,還可以在201之前増加事前防御的過程。具體地,201之前還可以包括從所述網(wǎng)站服務(wù)器直接獲取所述網(wǎng)站服務(wù)器的證書;根據(jù)所述證書的有效期檢測所述證書是否有效,檢測所述證書的域名是否與所述網(wǎng)站服務(wù)器的域名一致,根據(jù)所述證書的序列號檢測所述證書是否未被吊銷,根據(jù)所述證書的證書鏈信息檢測所述證書的簽發(fā)是否安全,檢測所述證書的證書類型是否是可信類型,檢測密鑰重新協(xié)商機(jī)制是否完整,檢測用于證書通信的協(xié)議以及密鑰套件是否安全;若至少ー項(xiàng)檢測不通過,則輸出告警信息。其中,證書類型可以從證書中解析出來,證書類型包括擴(kuò)展驗(yàn)證(Extended Validation,簡稱EV)證書、普通證書、機(jī)構(gòu)證書這3類,通常認(rèn)為EV證書、機(jī)構(gòu)證書是可信證書類型。非可信的證書很可能是自己給自己簽發(fā)的,這樣一旦發(fā)生證書劫持,很容易造成用戶的資金損失。證書中還可以解析出網(wǎng)站服務(wù)器的密鑰重新協(xié)商機(jī)制,密鑰重新協(xié)商機(jī)制是否完整對于預(yù)防證書中間人攻擊至關(guān)重要,主要包括兩點(diǎn)一是網(wǎng)站服務(wù)器是否關(guān)閉由客戶端發(fā)起的傳統(tǒng)不安全的密鑰重新協(xié)商機(jī)制,ニ是網(wǎng)站服務(wù)器是否支持由客戶端發(fā)起的安全密鑰重新協(xié)商機(jī)制。證書中還可以查看到網(wǎng)站服務(wù)器用于證書通信的協(xié)議和密鑰套件,進(jìn)而判斷是否安全。舉例來說,認(rèn)為網(wǎng)站服務(wù)器的通信協(xié)議支持SSL版本2就是不安全,需支持更高級別的版本,密鑰套件的長度在56位以內(nèi)也認(rèn)為是不安全的。應(yīng)用中,由于證書劫持通常是基于DNS劫持后發(fā)生的,因此可以先根據(jù)本發(fā)明實(shí)施例一提供的ー種中間人攻擊檢測方法確定是否受到DNS的中間人攻擊,在確定未受到 DNS的中間人攻擊的情況下,進(jìn)ー步地,根據(jù)本發(fā)明實(shí)施例ニ提供的一種中間人攻擊檢測方法確定是否受到證書的中間人攻擊。本實(shí)施例通過從網(wǎng)站服務(wù)器獲取所述網(wǎng)站服務(wù)器的證書,對所述網(wǎng)站服務(wù)器的證書進(jìn)行安全性檢測,若檢測不通過,則確定所述網(wǎng)站服務(wù)器受到證書的中間人攻擊,可以快速檢測出網(wǎng)站服務(wù)器是否受到中間人攻擊。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述各方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成。前述的程序可以存儲(chǔ)于ー計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。該程序在執(zhí)行時(shí),執(zhí)行包括上述各方法實(shí)施例的步驟;而前述的存儲(chǔ)介質(zhì)包括R0M、RAM、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。圖3為本發(fā)明實(shí)施例三提供的ー種中間人攻擊檢測裝置的結(jié)構(gòu)示意圖。如圖3所示,包括第一獲取模塊31,用于從DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址;查找模塊32,用于根據(jù)所述多個(gè)域服務(wù)器的域名分別查找到各域服務(wù)器對應(yīng)的可信地址表;第一確定模塊33,用于若至少ー個(gè)域名服務(wù)器的地址不在所述域名服務(wù)器對應(yīng)的可信地址表中,則確定受到DNS的中間人攻擊。進(jìn)ー步地,還包括第一檢測模塊34,用于在第一獲取模塊31從DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址之前,檢測所述DNS服務(wù)器的DNSSEC配置是否正確,若不正確,則輸出告警信息。進(jìn)ー步地,第一檢測模塊34具體用于檢測所述DNS服務(wù)器是否啟用了 DNSSEC,若啟用了則檢測所述DNSSEC的信任鏈?zhǔn)欠癜琄SK和ZSK,若包含則確定所述DNS服務(wù)器的DNSSEC配置正確。進(jìn)ー步地,第一確定模塊33還用于若多個(gè)域名服務(wù)器的地址均在對應(yīng)的可信地址表中,則確定未受到DNS的中間人攻擊。進(jìn)ー步地,第一獲取模塊31具體用于接收分布式設(shè)置的多個(gè)檢測探針分別通過IPSec管道發(fā)送的、各檢測探針周期性地從所述DNS服務(wù)器獲取的多個(gè)域服務(wù)器的域名和地址;將所述多個(gè)檢測探針分別發(fā)送的所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址進(jìn)行合井。本實(shí)施例的具體實(shí)現(xiàn)參照本發(fā)明實(shí)施例一提供的ー種中間人攻擊檢測方法。本實(shí)施例通過從DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址,根據(jù)所述多個(gè)域服務(wù)器的域名分別查找到各域服務(wù)器對應(yīng)的可信地址表,若至少ー個(gè)域名服務(wù)器的地址不在所述域名服務(wù)器對應(yīng)的可信地址表中,則確定所述DNS服務(wù)器受到DNS的中間人攻擊,可以快速檢測出DNS服務(wù)器是否受到中間人攻擊。圖4為本發(fā)明實(shí)施例四提供的ー種中間人攻擊檢測裝置的結(jié)構(gòu)示意圖。如圖4所示,包括第二獲取模塊41,用于從網(wǎng)站服務(wù)器獲取所述網(wǎng)站服務(wù)器的證書;第二檢測模塊42,用于對所述網(wǎng)站服務(wù)器的證書進(jìn)行安全性檢測;第二確定模塊43,用于若檢測不通過,則確定受到證書的中間人攻擊。進(jìn)ー步地,第二檢測模塊42具體用于根據(jù)所述證書的有效期檢測所述證書是否有效;或檢測所述證書的域名是否與所述網(wǎng)站服務(wù)器的域名一致;或根據(jù)所述證書的序列號檢測所述證書是否未被吊銷;或根據(jù)所述證書的證書鏈信息檢測所述證書的簽發(fā)是否安全。進(jìn)ー步地,第二獲取模塊41具體用于接收分布式設(shè)置的多個(gè)檢測探針分別通過IPSec管道發(fā)送的、各檢測探針從周期性地獲取的所述網(wǎng)站服務(wù)器的證書中提取出的證書信息,所述證書信息包括有效期、域名、 序列號或證書鏈信息;將所述多個(gè)檢測探針分別發(fā)送的所述證書信息進(jìn)行合井。進(jìn)ー步地,第二獲取模塊41還用于從所述網(wǎng)站服務(wù)器直接獲取所述網(wǎng)站服務(wù)器的證書;
第二檢測模塊42還用于根據(jù)所述證書的有效期檢測所述證書是否有效,檢測所述證書的域名是否與所述網(wǎng)站服務(wù)器的域名一致,根據(jù)所述證書的序列號檢測所述證書是否未被吊銷,根據(jù)所述證書的證書鏈信息檢測所述證書的簽發(fā)是否安全,檢測所述證書的證書類型是否是可信類型,檢測密鑰重新協(xié)商機(jī)制是否完整,檢測用于證書通信的協(xié)議以及密鑰套件是否安全;第二確定模塊43還用于若至少ー項(xiàng)檢測不通過,則輸出告警信息。本實(shí)施例的具體實(shí)現(xiàn)參照本發(fā)明實(shí)施例ニ提供的ー種中間人攻擊檢測方法。本實(shí)施例通過從網(wǎng)站服務(wù)器獲取所述網(wǎng)站服務(wù)器的證書,對所述網(wǎng)站服務(wù)器的證書進(jìn)行安全性檢測,若檢測不通過,則確定所述網(wǎng)站服務(wù)器受到證書的中間人攻擊,可以快速檢測出網(wǎng)站服務(wù)器是否受到證書的中間人攻擊。圖5為本發(fā)明實(shí)施例五提供的一種中間人攻擊檢測服務(wù)器的結(jié)構(gòu)示意圖。如圖5 所示,包括第一中間人攻擊檢測裝置51和第二中間人攻擊檢測裝置52,第一中間人攻擊檢測裝置51和第二中間人攻擊檢測裝置52分別為如本發(fā)明實(shí)施例三和實(shí)施例四提供的一種中間人攻擊檢測裝置。本實(shí)施例可以檢測出DNS服務(wù)器是否受到中間人攻擊,以及網(wǎng)站服務(wù)器是否受到證書的中間人攻擊。進(jìn)一歩地,通過事前防御結(jié)合事中監(jiān)測的方式,有效地全面解決中間人攻擊的問題。圖6為本發(fā)明實(shí)施例六提供的一種中間人攻擊檢測系統(tǒng)的結(jié)構(gòu)示意圖。如圖6所示,包括中間人攻擊檢測服務(wù)器61和分布式設(shè)置的多個(gè)檢測探針62,中間人攻擊檢測服務(wù)器61為如本發(fā)明實(shí)施例五提供的一種中間人攻擊檢測服務(wù)器;多個(gè)檢測探針62分別用于周期性地從DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址、 從網(wǎng)站服務(wù)器獲取所述網(wǎng)站服務(wù)器的證書,從所述證書中提取出的證書信息,所述證書信息包括有效期、域名、序列號或證書鏈信息,并將所述多個(gè)域服務(wù)器的域名和地址、證書信息通過IPSec管道發(fā)送給所述中間人攻擊檢測服務(wù)器。具體地,中間人攻擊檢測服務(wù)器61和多個(gè)檢測探針62分別通過IPSec管道連接, 多個(gè)檢測探針62分布式設(shè)置在各大省份。本實(shí)施例通過總部的服務(wù)器結(jié)合分布式設(shè)置的檢測貪占,可以檢測出DNS服務(wù)器是否受到中間人攻擊,以及網(wǎng)站服務(wù)器是否受到證書的中間人攻擊。進(jìn)ー步地,通過事前防御結(jié)合事中監(jiān)測的方式,有效地全面解決中間人攻擊的問題。最后應(yīng)說明的是以上各實(shí)施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制; 盡管參照前述各實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對其中部分或者全部技術(shù)特征進(jìn)行等同替換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍。
1權(quán)利要求
1.ー種中間人攻擊檢測方法,其特征在干,包括從域名系統(tǒng)DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址; 根據(jù)所述多個(gè)域服務(wù)器的域名分別查找到各域服務(wù)器對應(yīng)的可信地址表; 若至少ー個(gè)域名服務(wù)器的地址不在所述域名服務(wù)器對應(yīng)的可信地址表中,則確定受到 DNS的中間人攻擊。
2.根據(jù)權(quán)利要求1所述的方法,其特征在干,所述從域名系統(tǒng)DNS服務(wù)器獲取所述DNS 服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址之前還包括檢測所述DNS服務(wù)器的DNS安全擴(kuò)展DNSSEC配置是否正確,若不正確,則輸出告警信肩、ο
3.根據(jù)權(quán)利要求2所述的方法,其特征在干,所述檢測所述DNS服務(wù)器的DNS安全擴(kuò)展配置是否正確具體包括檢測所述DNS服務(wù)器是否啟用了 DNSSEC,若啟用了則檢測所述DNSSEC的信任鏈?zhǔn)欠癜荑€簽名密鑰KSK和區(qū)域簽名密鑰ZSK,若包含則確定所述DNS服務(wù)器的DNSSEC配置正確。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,還包括若多個(gè)域名服務(wù)器的地址均在對應(yīng)的可信地址表中,則確定未受到DNS的中間人攻Jb ο
5.根據(jù)權(quán)利要求1-4中任一項(xiàng)所述的方法,其特征在干,所述從域名系統(tǒng)DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址具體包括接收分布式設(shè)置的多個(gè)檢測探針分別通過因特網(wǎng)協(xié)議安全性IPSec管道發(fā)送的、各檢測探針周期性地從所述DNS服務(wù)器獲取的多個(gè)域服務(wù)器的域名和地址;將所述多個(gè)檢測探針分別發(fā)送的所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址進(jìn)行合井。
6.ー種中間人攻擊檢測方法,其特征在干,包括 從網(wǎng)站服務(wù)器獲取所述網(wǎng)站服務(wù)器的證書; 對所述網(wǎng)站服務(wù)器的證書進(jìn)行安全性檢測; 若檢測不通過,則確定受到證書的中間人攻擊。
7.根據(jù)權(quán)利要求6所述的方法,其特征在干,所述對所述網(wǎng)站服務(wù)器的證書進(jìn)行安全性檢測具體包括根據(jù)所述證書的有效期檢測所述證書是否有效;或檢測所述證書的域名是否與所述網(wǎng)站服務(wù)器的域名一致;或根據(jù)所述證書的序列號檢測所述證書是否未被吊銷;或根據(jù)所述證書的證書鏈信息檢測所述證書的簽發(fā)是否安全。
8.根據(jù)權(quán)利要求6或7所述的方法,其特征在干,所述從網(wǎng)站服務(wù)器獲取所述網(wǎng)站服務(wù)器的證書具體包括接收分布式設(shè)置的多個(gè)檢測探針分別通過因特網(wǎng)協(xié)議安全性IPSec管道發(fā)送的、各檢測探針從周期性地獲取的所述網(wǎng)站服務(wù)器的證書中提取出的證書信息,所述證書信息包括有效期、域名、序列號或證書鏈信息;將所述多個(gè)檢測探針分別發(fā)送的所述證書信息進(jìn)行合井。
9.根據(jù)權(quán)利要求8所述的方法,其特征在干,所述接收分布式設(shè)置的多個(gè)檢測探針分別通過因特網(wǎng)協(xié)議安全性IPSec管道發(fā)送的、各檢測探針從周期性地獲取的所述網(wǎng)站服務(wù)器的證書中提取出的證書信息之前還包括從所述網(wǎng)站服務(wù)器直接獲取所述網(wǎng)站服務(wù)器的證書;根據(jù)所述證書的有效期檢測所述證書是否有效,檢測所述證書的域名是否與所述網(wǎng)站服務(wù)器的域名一致,根據(jù)所述證書的序列號檢測所述證書是否未被吊銷,根據(jù)所述證書的證書鏈信息檢測所述證書的簽發(fā)是否安全,檢測所述證書的證書類型是否是可信類型,檢測密鑰協(xié)商機(jī)制是否完整,檢測用于證書通信的協(xié)議以及密鑰套件是否安全; 若至少ー項(xiàng)檢測不通過,則輸出告警信息。
10.ー種中間人攻擊檢測裝置,其特征在干,包括第一獲取模塊,用于從域名系統(tǒng)DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址;查找模塊,用于根據(jù)所述多個(gè)域服務(wù)器的域名分別查找到各域服務(wù)器對應(yīng)的可信地址表;第一確定模塊,用于若至少ー個(gè)域名服務(wù)器的地址不在所述域名服務(wù)器對應(yīng)的可信地址表中,則確定受到DNS的中間人攻擊。
11.根據(jù)權(quán)利要求10所述的裝置,其特征在于,還包括第一檢測模塊,用于在所述第一獲取模塊從域名系統(tǒng)DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址之前,檢測所述DNS服務(wù)器的DNS安全擴(kuò)展DNSSEC配置是否正確,若不正確,則輸出告警信息。
12.根據(jù)權(quán)利要求11所述的裝置,其特征在干,所述第一檢測模塊具體用于檢測所述DNS服務(wù)器是否啟用了 DNSSEC,若啟用了則檢測所述DNSSEC的信任鏈?zhǔn)欠癜荑€簽名密鑰KSK和區(qū)域簽名密鑰ZSK,若包含則確定所述DNS服務(wù)器的DNSSEC配置正確。
13.根據(jù)權(quán)利要求10所述的裝置,其特征在干,所述第一確定模塊還用于若多個(gè)域名服務(wù)器的地址均在對應(yīng)的可信地址表中,則確定未受到DNS的中間人攻擊。
14.根據(jù)權(quán)利要求10-13中任一項(xiàng)所述的裝置,其特征在干,所述第一獲取模塊具體用干接收分布式設(shè)置的多個(gè)檢測探針分別通過因特網(wǎng)協(xié)議安全性IPSec管道發(fā)送的、各檢測探針周期性地從所述DNS服務(wù)器獲取的多個(gè)域服務(wù)器的域名和地址;將所述多個(gè)檢測探針分別發(fā)送的所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址進(jìn)行合井。
15.ー種中間人攻擊檢測裝置,其特征在干,包括第二獲取模塊,用于從網(wǎng)站服務(wù)器獲取所述網(wǎng)站服務(wù)器的證書; 第二檢測模塊,用于對所述網(wǎng)站服務(wù)器的證書進(jìn)行安全性檢測; 第二確定模塊,用于若檢測不通過,則確定受到證書的中間人攻擊。
16.根據(jù)權(quán)利要求15所述的裝置,其特征在干,所述第二檢測模塊具體用于 根據(jù)所述證書的有效期檢測所述證書是否有效;或檢測所述證書的域名是否與所述網(wǎng)站服務(wù)器的域名一致;或根據(jù)所述證書的序列號檢測所述證書是否未被吊銷;或根據(jù)所述證書的證書鏈信息檢測所述證書的簽發(fā)是否安全。
17.根據(jù)權(quán)利要求15或16所述的裝置,其特征在干,所述第二獲取模塊具體用于 接收分布式設(shè)置的多個(gè)檢測探針分別通過因特網(wǎng)協(xié)議安全性IPSec管道發(fā)送的、各檢測探針從周期性地獲取的所述網(wǎng)站服務(wù)器的證書中提取出的證書信息,所述證書信息包括有效期、域名、序列號或證書鏈信息;將所述多個(gè)檢測探針分別發(fā)送的所述證書信息進(jìn)行合井。
18.根據(jù)權(quán)利要求17所述的裝置,其特征在干,所述第二獲取模塊還用于從所述網(wǎng)站服務(wù)器直接獲取所述網(wǎng)站服務(wù)器的證書;所述第二檢測模塊還用于根據(jù)所述證書的有效期檢測所述證書是否有效,檢測所述證書的域名是否與所述網(wǎng)站服務(wù)器的域名一致,根據(jù)所述證書的序列號檢測所述證書是否未被吊銷,根據(jù)所述證書的證書鏈信息檢測所述證書的簽發(fā)是否安全,檢測所述證書的證書類型是否是可信類型,檢測密鑰重新協(xié)商機(jī)制是否完整,檢測用于證書通信的協(xié)議以及密鑰套件是否安全; 所述第二確定模塊還用干若至少ー項(xiàng)檢測不通過,則輸出告警信息。
19.一種中間人攻擊檢測服務(wù)器,其特征在干,包括如權(quán)利要求10-14中任一項(xiàng)所述的中間人攻擊檢測裝置和如15-18中任一項(xiàng)所述的中間人攻擊檢測裝置。
20.一種中間人攻擊檢測系統(tǒng),其特征在干,包括如權(quán)利要求19所述的中間人攻擊檢測服務(wù)器和分布式設(shè)置的多個(gè)檢測探針;所述多個(gè)檢測探針分別用于周期性地從DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址、從網(wǎng)站服務(wù)器獲取所述網(wǎng)站服務(wù)器的證書,從所述證書中提取出的證書信息,所述證書信息包括有效期、域名、序列號或證書鏈信息,并將所述多個(gè)域服務(wù)器的域名和地址、證書信息通過因特網(wǎng)協(xié)議安全性IPSec管道發(fā)送給所述中間人攻擊檢測服務(wù)器。
全文摘要
本發(fā)明提供一種中間人攻擊檢測方法、裝置、服務(wù)器及系統(tǒng)。方法包括從DNS服務(wù)器獲取所述DNS服務(wù)器存儲(chǔ)的多個(gè)域服務(wù)器的域名和地址;根據(jù)所述多個(gè)域服務(wù)器的域名分別查找到各域服務(wù)器對應(yīng)的可信地址表;若至少一個(gè)域名服務(wù)器的地址不在所述域名服務(wù)器對應(yīng)的可信地址表中,則確定受到DNS的中間人攻擊??梢钥焖贆z測出DNS服務(wù)器是否受到中間人攻擊。
文檔編號H04L29/12GK102571770SQ20111044421
公開日2012年7月11日 申請日期2011年12月27日 優(yōu)先權(quán)日2011年12月27日
發(fā)明者劉可春, 盧善成, 盧小海, 盧梁, 葉興, 張鴻勛, 李晨, 李鈉, 柯強(qiáng), 鄭偉, 黃碩 申請人:北京神州綠盟信息安全科技股份有限公司