一種基于主動探測的網絡中間人攻擊定位方法
【專利摘要】本發(fā)明公布了一種基于主動探測的網絡中間人攻擊定位方法，包括下述步驟：（1）用戶向服務器發(fā)送tcp請求，請求報文中TTL值設置為零；（2）用戶收到tcp應答，根據(jù)應答判斷是否有TTL延時；（3）如果發(fā)現(xiàn)有TTL延時，則轉到步驟（4），如果沒有發(fā)現(xiàn)TTL延時，則TTL值遞增，繼續(xù)向服務器發(fā)送tcp請求，并轉向步驟（2）；（4）發(fā)現(xiàn)此跳出現(xiàn)Strip攻擊者；（5）用traceroute工具進行探測，得到攻擊者的IP地址信息。本發(fā)明通過主動發(fā)送tcp請求，根據(jù)收到的應答判斷是否有中間人攻擊，并通過相應的工具得到攻擊者的IP地址信息，實現(xiàn)攻擊定位。
【專利說明】一種基于主動探測的網絡中間人攻擊定位方法
【技術領域】
[0001]本發(fā)明涉及網絡安全協(xié)議領域，具體而言是一種基于主動探測，在網絡中定位特定SSL中間人攻擊者的方法。
【背景技術】
[0002]互聯(lián)網在人們生活中起到的作用也越來越大。正因為如此，網絡中傳遞的信息的安全性也變得越發(fā)重要。很多安全協(xié)議的出現(xiàn)能夠在互聯(lián)網用戶之間建立安全的傳輸通道，保障了信息的機密性(Conf identiality)、完整性(Integrity)和可用性(Availability)。如IPSEC(Internet Protocol Security)>SSLCSecure Sockets Layer),Kerberos等常用的安全協(xié)議。
[0003]然而，這些安全協(xié)議也只能夠實現(xiàn)相對的安全，從它誕生的第一天起，對于這些協(xié)議的攻擊就層出不窮。其中，針對協(xié)議漏洞進行的中間人攻擊是最為常見、也是危害性最大的一種。中間人攻擊，又稱第三人攻擊，它是一種“間接”的入侵攻擊，它包括兩個步驟，攻擊者首先通過會話劫持的手段，使自己處于用戶和服務器的中間人位置，以便獲取用戶和服務器之間的交互報文。隨后，攻擊者對用戶的請求進行代理，從而獲取用戶的個人信息。t匕如，2002年提出的SSL Sniff攻擊，就是利用了各主流瀏覽器在檢查證書時的一個漏洞，利用這個漏洞，可以讓瀏覽器信任攻擊者自己簽發(fā)的證書，從而做到欺騙用戶，進行釣魚等攻擊。
[0004]而在各種中間人攻擊中，SSL Strip是安全研究員Moxie Marlinspike在2009年2月BlackHat安全會議上提出的一種較為新穎的攻擊方式。這種攻擊方式的特點在于，攻擊者可以在劫持會話后，不需要像別的中間人攻擊那樣偽造證書、和用戶建立另外一個SSL連接，而是可以通過欺騙用戶，使其和攻擊者建立一個不安全的http連接，由攻擊者代理和服務器建立https連接。這樣一來，攻擊者就可以直接獲得用戶發(fā)送的明文信息。

【發(fā)明內容】

[0005]本發(fā)明目的在于能夠提供一種基于主動探測技術，在網絡中定位中間人攻擊者的方法。以便在確認出現(xiàn)了 SSL中間人攻擊后，能夠確定攻擊者的IP地址，對于偵查、取證有很大的幫助。
[0006]本發(fā)明基于這樣一個事實，即中間人攻擊者事實上是在用戶和服務器之間做了一個Web應用代理，攻擊者將用戶的http報文進行了修改，重新構造，發(fā)往服務器，對服務器發(fā)回的報文也進行類似的操作。
[0007]因此，我們如果在發(fā)送的報文中加入一些特殊的特征信息，因為攻擊者對我們的報文進行了代理，所以，這些信息將被更改。如果我們能夠獲得這樣的反饋信息，知道我們的報文被這樣修改過了，那么我們就可以知道在哪個位置出現(xiàn)了攻擊者。
[0008]本發(fā)明提出了一種方法，能夠通過發(fā)送不同TTL值的報文，來檢測在哪一跳上出現(xiàn)了可能存在的中間人攻擊者。如果在某一跳上的路由器發(fā)現(xiàn)了 TTL超時，正常情況下應該能夠返回一個ICMP: Time to live exceed的報文。但是,如果在這一跳上正好出現(xiàn)了Strip攻擊者的話，那么當它檢查到用戶的報文是對于某個地址的80端口的訪問時，會無視TTL的超時，而將這個請求進行代理，因此，我們會收到服務器端發(fā)來的ack報文，通過修改TTL的值，我們就可以發(fā)現(xiàn)在哪一跳上出現(xiàn)了可能的攻擊者。
[0009]同時，獲得攻擊者的跳數(shù)之后，我們就可以利用traceroute工具進行探測，得到攻擊者的IP地址信息。
[0010]其具體流程如下:
(1)用戶向服務器發(fā)送tcp請求，請求報文中TTL值設置為零；
(2)用戶收到tcp應答，根據(jù)應答判斷是否有TTL延時；
(3)如果發(fā)現(xiàn)有TTL延時，則轉到步驟(4)，如果沒有發(fā)現(xiàn)TTL延時，則TTL值遞增，繼續(xù)向服務器發(fā)送tcp請求,并轉向步驟(2)；
(4)發(fā)現(xiàn)此跳出現(xiàn)Strip攻擊者；
(5)用traceroute工具進行探測,得到攻擊者的IP地址信息。
[0011]本發(fā)明通過主動發(fā)送tcp請求，根據(jù)收到的應答判斷是否有中間人攻擊，并通過相應的工具得到攻擊者的IP地址信息，實現(xiàn)攻擊定位。
【專利附圖】

【附圖說明】
[0012]圖1為本發(fā)明流程示意圖。
[0013]圖2為收到服務器的tcp ack報文圖。
[0014]圖3為發(fā)現(xiàn)攻擊者的IP地址信息圖。
【具體實施方式】
[0015]如圖1所示一種基于主動探測的網絡中間人攻擊定位方法，包括下述步驟:
(1)用戶向服務器發(fā)送tcp請求，請求報文中TTL值設置為零；
(2)用戶收到tcp應答，根據(jù)應答判斷是否有TTL延時；
(3)如果發(fā)現(xiàn)有TTL延時，則轉到步驟(4)，如果沒有發(fā)現(xiàn)TTL延時，則TTL值遞增，繼續(xù)向服務器發(fā)送tcp請求,并轉向步驟(2)；
(4)發(fā)現(xiàn)此跳出現(xiàn)Strip攻擊者；
(5)用traceroute工具進行探測,得到攻擊者的IP地址信息。
[0016]為了發(fā)送有特定TTL值的報文，因此需要能夠實現(xiàn)一個發(fā)送自己構造的報文的程序，用其發(fā)送一個自己封裝的tcp報文。使用peri進行了設計,使用的是Raw Socket進行實現(xiàn)。在封裝IP頭部域的時候，我把TTL值進行了更改，然后進行封裝。在windows XPSP2之后的系統(tǒng)中，出于安全的考慮,不再允許Raw Socket發(fā)送Tcp報文,為此,在Iinux下進行了這個實驗。
[0017]在程序最開始的時候，TTL的值是零，然后檢測后TTL+1后再進行檢測，直到找出進行Strip的節(jié)點為止。
[0018]my $ip_ver= 4;
my $ip_len= 5;
my $ip_ver_len= $ip_ver.$ip_len;my $ip_tos= 00;
my ($ip—tot—len)= $tcp—Ien + 20;
my $ip_frag—id= 19245;
my $ip_frag_flag= "010";
my $ip—frag —oset= "0000000000000";
my $ip_fl_fr= $ip_frag_flag.$ip_frag—oset;
my $ip—ttl= 0;
my ($pkt) = pack(，H2H2nnB16C2na4a4nnNNH2B8nvn，，
$ip_ver_len, $ip_tos，$ip_tot_len，$ip_frag—id，
$ip_fl_fr，$ip_ttl，$tcp—proto，$zero_cksum,$src—host，
$dst—host，$src—port，$dst—port，$syn, $ack，$tcp—head—reserved，
$tcp—all，$tcp—win，$tcp—checksum，$tcp—urg—ptr);
發(fā)送這樣的報文后，如果在某一跳(根據(jù)TTL值設定)出現(xiàn)了攻擊者，我們就能夠收到如圖2所示的服務器的tcp ack報文。
[0019] 配合traceroute工具，我們就能發(fā)現(xiàn)攻擊者的IP地址，圖3中IP地址192.168.207.128的為攻擊者的IP地址。
【權利要求】
1.一種基于主動探測的網絡中間人攻擊定位方法，包括下述步驟: (1)用戶向服務器發(fā)送tcp請求，請求報文中TTL值設置為零； (2)用戶收到tcp應答，根據(jù)應答判斷是否有TTL延時； (3)如果發(fā)現(xiàn)有TTL延時，則轉到步驟(4)，如果沒有發(fā)現(xiàn)TTL延時，則TTL值遞增，繼續(xù)向服務器發(fā)送tcp請求,并轉向步驟(2)； (4)發(fā)現(xiàn)此跳出現(xiàn)Strip攻擊者； (5)用traceroute工具進行探測,得到攻擊者的IP地址信息。
【文檔編號】H04L12/26GK103647783SQ201310713376
【公開日】2014年3月19日 申請日期:2013年12月23日 優(yōu)先權日:2013年12月23日
【發(fā)明者】李建華, 周志洪, 潘理, 汪圣蒞, 田一添 申請人:上海交通大學無錫研究院