[发明专利]中间人攻击检测方法、装置、服务器及系统

权利要求书

1.一种中间人攻击检测方法，其特征在于，包括

从域名系统DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址；

根据所述多个域服务器的域名分别查找到各域服务器对应的可信地址表；

若至少一个域名服务器的地址不在所述域名服务器对应的可信地址表中，则确定受到DNS的中间人攻击。

2.根据权利要求1所述的方法，其特征在于，所述从域名系统DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址之前还包括：

检测所述DNS服务器的DNS安全扩展DNSSEC配置是否正确，若不正确，则输出告警信息。

3.根据权利要求2所述的方法，其特征在于，所述检测所述DNS服务器的DNS安全扩展配置是否正确具体包括：

检测所述DNS服务器是否启用了DNSSEC，若启用了则检测所述DNSSEC的信任链是否包含密钥签名密钥KSK和区域签名密钥ZSK，若包含则确定所述DNS服务器的DNSSEC配置正确。

4.根据权利要求1所述的方法，其特征在于，还包括：

若多个域名服务器的地址均在对应的可信地址表中，则确定未受到DNS的中间人攻击。

5.根据权利要求1-4中任一项所述的方法，其特征在于，所述从域名系统DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址具体包括：

接收分布式设置的多个检测探针分别通过因特网协议安全性IPSec管道发送的、各检测探针周期性地从所述DNS服务器获取的多个域服务器的域名和地址；

将所述多个检测探针分别发送的所述DNS服务器存储的多个域服务器的域名和地址进行合并。

6.一种中间人攻击检测方法，其特征在于，包括：

从网站服务器获取所述网站服务器的证书；

对所述网站服务器的证书进行安全性检测；

若检测不通过，则确定受到证书的中间人攻击。

7.根据权利要求6所述的方法，其特征在于，所述对所述网站服务器的证书进行安全性检测具体包括：

根据所述证书的有效期检测所述证书是否有效；或

检测所述证书的域名是否与所述网站服务器的域名一致；或

根据所述证书的序列号检测所述证书是否未被吊销；或

根据所述证书的证书链信息检测所述证书的签发是否安全。

8.根据权利要求6或7所述的方法，其特征在于，所述从网站服务器获取所述网站服务器的证书具体包括：

接收分布式设置的多个检测探针分别通过因特网协议安全性IPSec管道发送的、各检测探针从周期性地获取的所述网站服务器的证书中提取出的证书信息，所述证书信息包括有效期、域名、序列号或证书链信息；

将所述多个检测探针分别发送的所述证书信息进行合并。

9.根据权利要求8所述的方法，其特征在于，所述接收分布式设置的多个检测探针分别通过因特网协议安全性IPSec管道发送的、各检测探针从周期性地获取的所述网站服务器的证书中提取出的证书信息之前还包括：

从所述网站服务器直接获取所述网站服务器的证书；

根据所述证书的有效期检测所述证书是否有效，检测所述证书的域名是否与所述网站服务器的域名一致，根据所述证书的序列号检测所述证书是否未被吊销，根据所述证书的证书链信息检测所述证书的签发是否安全，检测所述证书的证书类型是否是可信类型，检测密钥协商机制是否完整，检测用于证书通信的协议以及密钥套件是否安全；

若至少一项检测不通过，则输出告警信息。

10.一种中间人攻击检测装置，其特征在于，包括：

第一获取模块，用于从域名系统DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址；

查找模块，用于根据所述多个域服务器的域名分别查找到各域服务器对应的可信地址表；

第一确定模块，用于若至少一个域名服务器的地址不在所述域名服务器对应的可信地址表中，则确定受到DNS的中间人攻击。