本申请提供一种破解行为的拦截方法及安全网关装置,通过监测各个服务的流量来检测到暴力破解行为,在检测到暴力破解行为时,将当前获取到的第一登录报文进行拦截并伪造了用于指示第一登录报文登录成功的响应报文,将伪造的响应报文发送给攻击者使攻击者误判。并且,还将第一登录报文的第一登录用户名和第一密码进行记录,目的是为了在攻击者更换ip利用第一登录用户名和第一密码尝试登录时,快速识别出攻击者的恶意登录行为,因此,可尽早阻断攻击者更换其他ip地址进行攻击的行为。最后将攻击者的ip地址记入ip黑名单,避免攻击者继续实施破解行为。实施破解行为。实施破解行为。
【技术实现步骤摘要】
一种破解行为的拦截方法及安全网关装置
[0001]本申请涉及网络安全
,具体而言,涉及一种破解行为的拦截方法及安全网关装置。
技术介绍
[0002]暴力破解是攻击者常用的攻击手段,在不知道用户名和密码的情况下,通过攻击软件利用字典文件对用户名和密码依次进行尝试,从而最终将用户名或密码破解出来。暴破通常采用的攻击方法为缺省口令、空口令或弱口令,这种攻击往往效果较好,通过一段时间的不断尝试最终发现可以登录成功的用户名和密码。
[0003]现有的安全网关通过报文频率和报文内容等发现暴力破解行为,但对暴破成功的用户名密码的后续登录行为未起到防御作用。由于从攻击者开始攻击,到安全网关发现并进行阻断,在此时间差内,攻击者往往已经进行了一定数量的用户名和密码的尝试;且攻击者仍能通过其他IP地址继续尝试破解,则最终攻击者仍然可能获取到可登录成功的用户名密码,如果后续更换ip对暴破成功的用户名密码尝试登录,则无法检测出此恶意登录行为,用户信息的安全性较差。
技术实现思路
[0004]本申请实施例的目的在于提供一种破解行为的拦截方法及安全网关装置,用以解决现有的安全网关通过报文频率和报文内容等发现暴力破解行为,但对暴破成功的用户名密码的后续登录行为未起到防御作用,导致无法检测出攻击者更换ip对暴破成功的用户名密码进行的登录行为,用户信息的安全性较差的问题。
[0005]本申请实施例提供的一种破解行为的拦截方法,应用于安全网关,该方法包括:
[0006]监测各个服务的流量以识别破解行为,当检测到针对第一服务的破解行为时,执行以下步骤:
[0007]获取破解行为对应攻击者发送的第一登录报文,并拦截第一登录报文;
[0008]对第一登录报文,伪造相应的响应报文并发送给攻击者;
[0009]将第一登录报文中的第一登录用户名和第一密码进行记录;以及将攻击者的ip地址记入ip黑名单,并丢弃第一登录报文。
[0010]上述技术方案中,通过监测各个服务的流量来检测到暴力破解行为,在检测到暴力破解行为时,将当前获取到的第一登录报文进行拦截并伪造了用于指示第一登录报文登录成功的响应报文,将伪造的响应报文发送给攻击者使攻击者误判。并且,还将第一登录报文的第一登录用户名和第一密码进行记录,目的是为了在攻击者更换ip利用第一登录用户名和第一密码尝试登录时,快速识别出攻击者的恶意登录行为,因此,可尽早阻断攻击者更换其他ip地址进行攻击的行为。最后将攻击者的ip地址记入ip黑名单,避免攻击者继续实施破解行为。
[0011]在一些可选的实施方式中,该方法还包括:
[0012]获取针对第一服务的第二登录报文;
[0013]判断第二登录报文的第二登录用户名和第二密码是否与第一登录用户名和第一密码相同;
[0014]若是,则将第二登录报文的发送方识别为攻击者,并将该发送方的ip地址记入ip黑名单,丢弃第二登录报文。
[0015]上述技术方案中,由于在检测到暴力破解行为时,对攻击者的第一登录报文中的第一登录用户名和第一密码进行了记录,并且对第一登录报文回复了使攻击者误以为登录成功的响应报文,因此,若攻击者更换ip地址利用第一登录用户名和第一密码尝试登录,会被安全网关快速识别,从而将攻击者当前使用的ip地址记入ip黑名单,快速阻断攻击者的攻击行为。
[0016]在一些可选的实施方式中,对第一登录报文,伪造相应的响应报文并发送给攻击者,包括:
[0017]构造伪造报文的二层头,伪造报文的目的mac地址为第一登录报文的源mac,伪造报文的源mac地址为第一登录报文的目的mac;
[0018]构造伪造报文的三层头,伪造报文的源ip地址为第一服务的ip地址,伪造报文的目的ip地址为攻击者的ip地址,伪造报文的协议为tcp协议;
[0019]构造伪造报文的tcp头,伪造报文的源端口号为第一服务的端口号,伪造报文的目的端口号为攻击者的端口号,伪造报文的seq为登录报文的ack,伪造报文的ack为登录报文的seq加上登录报文长度;
[0020]构造伪造报文的应用层内容为应用层协议登录成功的内容。
[0021]上述技术方案中,将伪造的响应报文发送给攻击者,使得攻击者误以为爆破成功,并由于当前的ip地址被记入ip黑名单,攻击者极有可能更换ip地址利用误以为爆破成功得到的第一登录用户名和第一密码来尝试登录,从而,后续安全网关只需监测是否有利用第一登录用户名和第一密码尝试登录的行为,即可判断识别为攻击者的攻击行为。
[0022]在一些可选的实施方式中,将第一登录报文中的第一登录用户名和第一密码进行记录之前,方法还包括:
[0023]构建服务伪账号表,服务伪账号表用于存储第一登录用户名和第一密码,以及第一服务的ip和端口号。
[0024]上述技术方案中,服务伪账号表中,key为受攻击服务的ip、端口号,value为登录用户名、密码,以及表项超时时间;如果攻击者更换ip地址尝试登录,可通过“服务伪账号表”检测出恶意登录行为,同时通过对攻击者爆破行为进行破坏保护用户信息安全。
[0025]在一些可选的实施方式中,将攻击者的ip地址记入ip黑名单之后,方法还包括:
[0026]将攻击者的ip地址记入ip黑名单的行为记录至告警日志。
[0027]上述技术方案中,将攻击者的ip地址记入ip黑名单的行为记录至告警日志,使得用户或维护人员能够通过查询告警日志,判断是否存在破解行为的误报,或者在确保信息安全的情况下对这些ip进行人为的解封。
[0028]本申请实施例提供的一种安全网关装置,装置包括:
[0029]监测模块,用于监测各个服务的流量以识别破解行为;
[0030]第一拦截模块,用于当检测到针对第一服务的破解行为时,执行以下步骤:
[0031]获取破解行为对应攻击者发送的第一登录报文,并拦截第一登录报文;
[0032]对第一登录报文,伪造相应的响应报文并发送给攻击者;
[0033]将第一登录报文中的第一登录用户名和第一密码进行记录;以及将攻击者的ip地址记入ip黑名单,并丢弃第一登录报文。
[0034]上述技术方案中,利用监测模块来监测各个服务的流量来检测到暴力破解行为。在检测到暴力破解行为时,利用第一拦截模块,将当前获取到的第一登录报文进行拦截并伪造了用于指示第一登录报文登录成功的响应报文,将伪造的响应报文发送给攻击者使攻击者误判,并且,还将第一登录报文的第一登录用户名和第一密码进行记录,目的是为了在攻击者更换ip利用第一登录用户名和第一密码尝试登录时,快速识别出攻击者的恶意登录行为,因此,可尽早阻断攻击者更换其他ip地址进行攻击的行为。最后第一拦截模块将攻击者的ip地址记入ip黑名单,避免攻击者继续实施破解行为。
[0035]在一些可选的实施方式中,装置还包括:
[0036]第二拦截模块,用于获取针对第一服务的第二登录报文;
[0037]判断第二登本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种破解行为的拦截方法,其特征在于,应用于安全网关,所述方法包括:监测各个服务的流量以识别破解行为,当检测到针对第一服务的破解行为时,执行以下步骤:获取破解行为对应攻击者发送的第一登录报文,并拦截所述第一登录报文;对所述第一登录报文,伪造相应的响应报文并发送给攻击者;将所述第一登录报文中的第一登录用户名和第一密码进行记录;以及将所述攻击者的ip地址记入ip黑名单,并丢弃所述第一登录报文。2.如权利要求1所述的方法,其特征在于,还包括:获取针对第一服务的第二登录报文;判断所述第二登录报文的第二登录用户名和第二密码是否与所述第一登录用户名和第一密码相同;若是,则将所述第二登录报文的发送方识别为攻击者,并将该发送方的ip地址记入ip黑名单,丢弃所述第二登录报文。3.如权利要求1所述的方法,其特征在于,所述对所述第一登录报文,伪造相应的响应报文并发送给攻击者,包括:构造伪造报文的二层头,伪造报文的目的mac地址为第一登录报文的源mac,伪造报文的源mac地址为第一登录报文的目的mac;构造伪造报文的三层头,伪造报文的源ip地址为第一服务的ip地址,伪造报文的目的ip地址为攻击者的ip地址,伪造报文的协议为tcp协议;构造伪造报文的tcp头,伪造报文的源端口号为第一服务的端口号,伪造报文的目的端口号为攻击者的端口号,伪造报文的seq为登录报文的ack,伪造报文的ack为登录报文的seq加上登录报文长度;构造伪造报文的应用层内容为应用层协议登录成功的内容。4.如权利要求1所述的方法,其特征在于,所述将第一登录报文中的第一登录用户名和第一密码进行记录之前,所述方法还包括:构建服务伪账号表,所述服务伪账号表用于存储第一登录用户名和第一密码,以及第一服务的ip和端口号。5.如权利要求1所述的方法,其特征在于,所述将所述攻击者的ip地址记入ip黑名单之后,所述方法还包括:将所述攻击者的ip地址记入ip...
【专利技术属性】
技术研发人员:娄扬,侯丽英,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。