[发明专利]一种基于旁路的数据获取方法及系统

说明书

技术领域

本发明属于计算机网络安全技术领域，具体涉及一种数据获取方法及系统，从旁路对网络内部的计算机发起攻击，并在其访问特定网页时使用网络钓鱼的方法获取特定数据，便于公职部门进行调查取证。

背景技术

对于传输敏感数据的网络，一般采用一定的措施来保证数据安全，例如对网络中传输的数据内容进行监控，避免敏感数据的泄露，或者避免某些特定的敏感信息被截取。这种监控措施根据接入网络的方式，采用的方法有：1.在网络出口将监控设备串联进网络，对流经监控设备的数据进行解析还原；2.在网络出口使用数据镜像的方法将网络内数据接入至监控设备，对接入监控设备的数据进行解析还原。这两种方法的缺点是：无法对加密数据或加密协议进行实时的解析还原。

一个局域网内部的计算机是通过路由器来访问因特网，所有进出局域网内部的通讯全部要经过路由器或者与之相连的交换机。监控设备通过对进入局域网的数据包进行解析还原，获取并记录数据包中传输的内容。如图1所示，底侧表示局域网内及网上的用户，其间通过交换机与路由器相连接；上侧表示局域网通过路由器访问因特网，路由器与交换机中间的设备及线路表示使用串联的方式将监控设备接入到网络中，所有进出局域网的数据全部都要流经监控设备；右侧的线路及设备表示使用旁路的方式将监控设备接入到网络中，通过使用交换机的镜像功能，将交换机与路由器的通讯是数据镜像并接入至监控设备，监控设备可得到全部进出局域网的数据。监控设备可抓取全部进出局域网的数据，并对非加密数据进行实时的还原解析，但是对于使用强加密算法加密过的数据，无法实时或在短周期内对其进行破解，即便最终破解了加密数据并得知其内容，也为时已晚。

为了能够获取这些加密数据的内容，采用的方式一般有两种：一是在网络出口处架设一个中间人代理，代理局域网内计算机的全部访问行为，并截取其通讯内容，这种方法的缺点在于，中间人在代理基于HTTPS协议连接时，需要一个数字证书以进行交互，这个证书通常是伪造的，浏览器会对此进行显式的提示，隐蔽性较差，如果使用真实的证书，则制造证书所花费的成本又过于巨大，这又是难以承受的。另一种方法是架设一个钓鱼网站，并对一些特定的真实网站进行仿制，局域网内计算机访问特定的真实网站时，强制其访问钓鱼网站，以骗取其提交的数据，这种方法的缺点除了上述中间人方法的假证书问题外，还非常容易暴露钓鱼网站的位置，并且还存在COOKIE的无法跨域的问题，其会导致计算机在向钓鱼网站提交数据后，无法正常登录真实网站，同样隐蔽性较差。

发明内容

本发明的目的是针对上述问题，提供一种基于旁路的数据获取方法及系统，主要针对基于HTTP协议、HTTPS协议的访问链接，对访问特定网页的计算机进行攻击，并通过网络钓鱼的方式获取指定的数据，并实时记录。公安部门可通过系统对这些数据进行分析对比，如查找其中的敏感词，判别网络中用户是否具有威胁，对犯罪嫌疑人进行取证；同时这些数据，如网站的登录口令等，可被提供给公安干警登录网站，进一步获取犯罪人员的遗留信息。

为实现上述目的，本发明采用如下技术方案：

一种基于旁路的数据获取方法，包括以下步骤：

1）在一网域的出口设置一镜像交换机，并以旁路接入的方式设置一欺骗服务器，使所述欺骗服务器连接所述镜像交换机和所述网域；

2）所述镜像交换机对发出所述网域的网络访问请求数据包进行镜像，并将镜像数据传输至所述欺骗服务器；

3）所述欺骗服务器接收所述镜像数据并向发出所述网络访问请求数据包的目标计算机发送欺骗数据包，将所述目标计算机访问的页面替换成仿制页面；

4）所述仿制页面对所述目标计算机在该仿制页面中提交的数据进行加密，并将加密数据发送出所述网域；

5）所述镜像交换机对所述加密数据进行镜像并将镜像的数据传输至所述欺骗服务器，所述欺骗服务器对所述加密数据进行解析还原。

进一步地，所述网域为局域网或广域网。

进一步地，所述仿制页面基于真实网页的源代码构建，并在其中插入不影响页面显示效果的控制代码；所述控制代码构造一个独立的链接，实现将加密数据发送出所述网域。