[发明专利]一种劫持网络流量的方法及装置

说明书

本发明实施例提供一种劫持网络流量的方法及装置，所述方法包括：获取网页浏览端口的网络流量；根据所述网络流量，获取在建立安全套接层SSL连接的过程中客户端向服务器发送的建立所述SSL的连接请求；解析所述连接请求，以提取所述SSL的协议版本字段和所述服务器的域名字段；若所述协议版本字段对应的协议版本是预设协议版本，解析所述域名字段，以获取待访问的域名地址；若所述域名地址包含在预设域名地址中，则劫持所述SSL对应的网络流量。所述装置执行上述方法。本发明实施例提供的劫持网络流量的方法及装置，能够合理、有效地劫持SSL对应的网络流量，进而有效控制企业职员的上网行为。

技术领域

本发明实施例涉及网络行为管理技术领域，具体涉及一种劫持网络流量的方法及装置。

背景技术

随着计算机、宽带技术的迅速发展，企业员工非工作上网等企业网络滥用现象较为严重。

因此，企业需要对员工的上网行为进行管理，对企业的数据安全进行保护，所以需要对公司内部的网络行为进行检测和控制。目前，网络应用通常使用HTTPS等通用协议，HTTPS协议即在HTTP协议的基础上通过安全套接层(Secure Sockets Layer，简称“SSL”)协议进行了加密，由于是密文，需要采用类似中间人攻击等技术劫持SSL流量，中间人攻击原理是于通讯的两端，即客户端和服务器分别建立独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个会话都被攻击者完全控制。然后将劫持的密文数据变成明文数据后，再对其解析内容，接下来同HTTP协议的管理和控制。

图1为现有技术SSL中间人攻击的过程示意图，如图1所示，中间攻击人需要知道攻击的对象，即攻击对象的IP地址。中间人攻击通常依赖于DNS包，根据DNS包里面的域名解析出来的IP进行SSL流量的劫持，现有技术应用场景如下：

1.若无DNS包通过SSL中间人攻击装置(即执行图1的方法对应的装置)，但是已知IP，只需要将所有满足该IP的443端口的流量重定向到SSL中间人攻击装置进行SSL流量的劫持。

2.若有DNS包通过SSL中间人攻击装置，则对DNS包进行劫持，然后对其内容解析获得DNS包里面的IP。此时分两种情况：

1).若是标准的DNS协议，根据域名匹配，能够找到DNS包里面所需域名对应的IP，则将所有满足该IP的443端口的流量重定向到SSL中间人攻击装置进行SSL流量的劫持。

2).若无法正常的提取IP，此时又分为两种情况：

(1).若不是DNS标准协议，则无法解析其内容从而无法提取IP，最终导致无法劫持SSL流量。

(2).DNS包里面的域名是别名，即所需的域名和返回的域名匹配不上，最终导致无法劫持SSL流量。

3.根据IP成功劫持SSL流量后，此时仍有以下几种场景：

1)存在部分私有协议使用443端口，若此时劫持的是私有协议，因为是非SSL协议，此时无法正常解密，有可能影响甚至中断公司部分业务。

2)存在一个IP对应多个域名的情况。若劫持该IP的流量，会对该IP对应的所有域名的流量进行劫持，造成误劫持，不仅影响SSL中间人攻击装置的性能，也有可能对公司的业务有所干扰。

3).是标准SSL的流量，能够正常的解密。将密文数据解密成明文内容，然后对其内容进行分析，可以对服务器IP、域名、关键字等进行不同颗粒度的管理和控制。

通过上述说明，现有技术包括如下缺陷：