[发明专利]中间人攻击检测方法、装置、服务器及系统

说明书

技术领域

本发明涉及网络安全技术，尤其涉及一种中间人攻击检测方法、装置、服务器及系统。

背景技术

网络中有一种钓鱼方式鲜为人知，就是通过中间人攻击的方式来达到钓鱼的目的，它的关注点主要在两个方面：一是域名系统(Domain Name System，简称DNS)的中间人攻击问题，二是证书的中间人攻击问题。

DNS的中间人攻击也称为DNS劫持，攻击者通过劫持DNS服务器取得某域名的解析记录控制权，进而修改此域名的解析结果，导致对该域名的访问由原IP地址转入到修改后的指定IP，其结果就是对特定的网址不能访问或访问的是假网址，从而实现窃取资料或者破坏原有正常服务的目的。

证书的中间人攻击过程也称为证书劫持，攻击者可以伪造一个网站服务器的证书，当访问者的浏览器访问该网站服务器时，通过DNS劫持或IP伪造的方法使其访问到攻击者的服务器上，然后把伪造的证书公钥发送给访问者的浏览器，以获得浏览器发送的对称密钥，攻击者的服务器把伪造的网页通过收到的对称密钥加密后发送给浏览器，从而可以获得访问者通过浏览器输入的帐户、密码等用户信息。

现有技术中还没有一套针对上述中间人攻击问题的有效解决方案。

发明内容

本发明提供一种中间人攻击检测方法、装置及服务器，用以解决现有技术中存在的中间人攻击的问题。

本发明的第一个方面是提供一种中间人攻击检测方法，包括：

从域名系统DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址；

根据所述多个域服务器的域名分别查找到各域服务器对应的可信地址表；

若至少一个域名服务器的地址不在所述域名服务器对应的可信地址表中，则确定受到DNS的中间人攻击。

本发明的另一个方面是提供一种中间人攻击检测方法，包括：

从网站服务器获取所述网站服务器的证书；

对所述网站服务器的证书进行安全性检测；

若检测不通过，则确定受到证书的中间人攻击。

本发明的又一个方面是提供一种中间人攻击检测装置，包括：

第一获取模块，用于从域名系统DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址；

查找模块，用于根据所述多个域服务器的域名分别查找到各域服务器对应的可信地址表；

第一确定模块，用于若至少一个域名服务器的地址不在所述域名服务器对应的可信地址表中，则确定受到DNS的中间人攻击。

本发明的又一个方面是提供一种中间人攻击检测装置，包括：

第二获取模块，用于从网站服务器获取所述网站服务器的证书；

第二检测模块，用于对所述网站服务器的证书进行安全性检测；

第二确定模块，用于若检测不通过，则确定受到证书的中间人攻击。

本发明的再一个方面是提供一种中间人攻击检测服务器，包括：

如上所述的两种中间人攻击检测装置。

本发明的再一个方面是提供一种中间人攻击检测系统，包括：

如上所述的中间人攻击检测服务器和分布式设置的多个检测探针；

所述多个检测探针分别用于：

周期性地从DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址、从网站服务器获取所述网站服务器的证书，从所述证书中提取出的证书信息，所述证书信息包括有效期、域名、序列号或证书链信息，并将所述多个域服务器的域名和地址、证书信息通过因特网协议安全性IPSec管道发送给所述中间人攻击检测服务器。

本发明的一个技术效果是：通过从DNS服务器获取所述DNS服务器存储的多个域服务器的域名和地址，根据所述多个域服务器的域名分别查找到各域服务器对应的可信地址表，若至少一个域名服务器的地址不在所述域名服务器对应的可信地址表中，则确定所述DNS服务器受到DNS的中间人攻击，可以快速检测出DNS服务器是否受到中间人攻击。

本发明的又一个技术效果是：通过从网站服务器获取所述网站服务器的证书，对所述网站服务器的证书进行安全性检测，若检测不通过，则确定所述网站服务器受到证书的中间人攻击，可以快速检测出网站服务器是否受到证书的中间人攻击。

附图说明

图1为本发明实施例一提供的一种中间人攻击检测方法的流程示意图；

图2为本发明实施例二提供的一种中间人攻击检测方法的流程示意图；

图3为本发明实施例三提供的一种中间人攻击检测装置的结构示意图；