本发明专利技术公开了一种用于TCP数据实时处理的安全测试方法和系统,属于TCP协议在应用层上的安全测试领域,一种用于TCP数据实时处理的安全测试方法包括如下步骤:在TCP客户端和TCP服务端之间设置测试工具,并在TCP客户端设置代理工具和二次代理工具;当TCP客户端向TCP服务端发送数据时,由TCP客户端代理工具改变发送数据的流向,并将发送的tcp数据转换成http数据转发给测试工具,测试工具对接收到http数据进行修改操作并转发给TCP客户端的二次代理工具,二次代理工具将http数据转换成tcp数据并转发给TCP服务端;修改操作至少包括重放数据。解决了用TCP传输协议传输的接收端不能收到应用层重放类数据,导致不能对该接收端测试安全能力的问题。安全能力的问题。安全能力的问题。
【技术实现步骤摘要】
一种用于TCP数据实时处理的安全测试方法和系统
[0001]本专利技术属于TCP协议在应用层上的安全测试领域,特别是涉及一种用于TCP数据实时处理的安全测试方法和系统。
技术介绍
[0002]TCP会话的每一端发送的数据都包含一个32位(bit)的序列号,该序列号被用来跟踪该端发送的数据量。每一个包中都包含序列号,在接收端则通过确认号用来通知发送端数据成功接收。TCP使用序列号来检测重传时的重复,,可以防止重复的重放攻击。但是在通用安全测试中,往往需要模拟一种应用层数据的重放来检测被测应用的抗重放能力,尤其适用于用户登录、密码修改、控制类操作等核心业务中。
[0003]由于TCP协议天然的抗重放能力,现有的学术资料很少对应用层的数据处理,如拦截、篡改、重放做单独研究。现有的对TCP协议安全测试有两种方法,一种是加装硬件测试设备介入正常通信,如损伤仪等,可实现特定TCP数据的拦截、丢弃、篡改等功能;一种是基于NDIS中间层驱动,如谢梅的论文《基于NDIS中间层驱动的数据包过滤和流量监测的设计与实现》中公开了,借助软件编程调取系统内核驱动低层实现整个TCP数据的拦截和篡改。从上述两种方案可以看出,在针对TCP应用层数据的处理上,没有专项的手段,无论从硬件测试仪还是内核驱动层面,所实现的都是针对整个TCP协议的,而非应用层专项测试。这是受困于TCP独有的序列号机制,TCP不会让重放数据到达接收端,因此不能对应用层接收端的安全防护能力进行测试。
技术实现思路
[0004]本专利技术的目的在于提供一种用于TCP数据实时处理的安全测试方法和系统,以解决现有技术中用TCP传输协议传输的接收端不能收到重放类数据,导致不能测试该接收端的抗重放能力的技术问题。
[0005]为实现上述目的,本专利技术所提供的一种用于TCP数据实时处理的安全测试方法和系统的技术方案是:
[0006]一种用于TCP数据实时处理的安全测试方法,该方法包括如下步骤:在TCP客户端和TCP服务端之间设置测试工具,并在TCP客户端设置代理工具和二次代理工具;当TCP客户端向TCP服务端发送数据时,由TCP客户端代理工具改变发送数据的流向,并将发送的tcp数据转换成http数据转发给测试工具,测试工具对接收到http数据进行修改操作并转发给TCP客户端的二次代理工具,二次代理工具将http数据转换成tcp数据并转发给TCP服务端;当TCP服务端接收到tcp数据时返回报文给TCP客户端,由TCP客户端的二次代理工具改变报文的流向,并将发送的tcp数据转换成http数据转发给测试工具,测试工具对接收到http数据进行修改操作并转发给TCP客户端的代理工具,代理工具将http数据转换成tcp数据并转发给TCP客户端;修改操作至少包括重放数据。
[0007]有益效果是:通过改变数据的流向使发送数据向测试工具中传输,再将发送数据
的类型修改为测试工具能够识别的数据类型,再将修改后的tcp数据发送给TCP服务器,使tcp服务器能够接收到修改后的tcp数据,观察分析TCP服务器对修改后数据的反应,测试TCP服务器的安全程度;同理,TCP服务器给TCP客户端返回报文,观察分析TCP客户端收到修改后的tcp报文的反应,测试TCP客户端的安全程度。解决了用TCP传输协议传输的接收端不能收到重放类数据,导致不能测试该接收端的抗重放等能力的问题。
[0008]作为进一步地改进,修改操作包括:拦截数据和/或篡改数据。
[0009]有益效果是:TCP服务器和TCP客户端识别或感知数据被拦截和被篡改都是安全测试的基础修改,因此需要对发送数据进行多样的修改来测试TCP服务器和TCP客户端的能力。
[0010]作为进一步地改进,改变发送数据流向的方法:将发送数据原接收端的目的地址修改为测试工具的地址,使发送数据的流向改变。
[0011]有益效果是:发送数据的目的地址被修改后,发送数据按照修改后的目的地址进行传输,达到了改变数据流向的目的。
[0012]作为进一步地改进,代理工具在修改发送数据的目的地址时,保留发送数据的原接收端目的地址。
[0013]有益效果是:保留原目的地址使得被修改后的数据能够到达原来的目的地,达到测试的效果。
[0014]作为进一步地改进,测试工具为Burpsuite。
[0015]有益效果是:该Burpsuite测试工具技术比较成熟,运用该测试工具能够保障安全测试的准确性。
[0016]作为进一步地改进,代理工具为Proxifier,二次代理工具为Squid。
[0017]有益效果是:该代理工具在透明代理领域应用广泛,因此选用该代理工具使得本方法更易被实现。
[0018]本专利技术还公开了一种用于TCP数据实时处理的安全测试系统,系统包括有代理工具、二次代理工具和测试工具;测试工具用于设置在TCP客户端和TCP服务端之间,代理工具和二次代理工具用于设置在TCP客户端上;TCP客户端代理工具用于改变发送数据的流向,并将发送的tcp数据转换成http数据转发给测试工具;测试工具用于对接收到http数据进行修改操作并转发给TCP客户端的代理工具或发给TCP客户端的二次代理工具;TCP客户端二次代理工具用于将http数据转换成tcp数据并转发给TCP服务端或发送给TCP客户端;修改操作至少包括重放数据。
[0019]有益效果是:代理工具的作用是改变数据流向和转发数据的功能,使得修改后的数据能达到TCP服务器或TCP客户端,测试工具是通过修改数据来测试TCP服务器或TCP客户端的安全性能,观察分析TCP服务器或TCP客户端对修改后数据的反应,测试TCP服务器或TCP客户端的安全程度。解决了用TCP传输协议传输的接收端不能收到重放类数据,导致不能测试该接收端的抗重放等能力的问题。
[0020]作为进一步地改进,修改操作包括:拦截数据和/或篡改数据。
[0021]有益效果是:TCP服务器和TCP客户端识别或感知数据被拦截、被篡改都是安全测试的基础修改,因此需要对发送数据进行多样的修改来测试TCP服务器和TCP客户端的能力。
[0022]作为进一步地改进,改变发送数据流向的方法:将发送数据原接收端的目的地址修改为测试工具的地址,使发送数据的流向改变。
[0023]有益效果是:发送数据的目的地址被修改后,发送数据按照修改后的目的地址进行传输,达到了改变数据流向的目的。
[0024]作为进一步地改进,代理工具在修改发送数据的目的地址时,保留发送数据的原接收端目的地址。
[0025]有益效果是:保留原目的地址使得被修改后的数据能够到达原来的目的地,达到测试的效果。
附图说明
[0026]图1为本专利技术中用于TCP数据实时处理的安全测试方法的结构示意图;
[0027]图2为本专利技术中用于TCP数据实时处理的安全测试系统的结构示意图。
具体实施方式
[0028]为了使本专利技术的目的、技术方案及优点更加清楚明了,以下结合附本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于TCP数据实时处理的安全测试方法,其特征在于,该方法包括如下步骤:在TCP客户端和TCP服务端之间设置测试工具,并在TCP客户端设置代理工具和二次代理工具;当TCP客户端向TCP服务端发送数据时,由TCP客户端代理工具改变发送数据的流向,并将发送的tcp数据转换成http数据转发给测试工具,测试工具对接收到http数据进行修改操作并转发给TCP客户端的二次代理工具,二次代理工具将http数据转换成tcp数据并转发给TCP服务端;当TCP服务端接收到tcp数据时返回报文给TCP客户端,由TCP客户端的二次代理工具将发送的tcp数据转换成http数据转发给测试工具,测试工具对接收到http数据进行修改操作并转发给TCP客户端的代理工具,代理工具将http数据转换成tcp数据并转发给TCP客户端;所述的修改操作至少包括重放数据。2.根据权利要求1所述的用于TCP数据实时处理的安全测试方法,其特征在于,所述修改操作还包括:篡改数据和/或拦截数据。3.根据权利要求1所述的用于TCP数据实时处理的安全测试方法,其特征在于,改变发送数据流向的方法:将发送数据原接收端的目的地址修改为测试工具的地址,使发送数据的流向改变。4.根据权利要求3所述的用于TCP数据实时处理的安全测试方法,其特征在于,代理工具在修改发送数据的目的地址时,保留发送数据的原接收端目的地址。5.根据权利要求1
‑
4中任一项所述的用于TCP数据...
【专利技术属性】
技术研发人员:张晓波,岳振亚,浮明军,李松合,党校民,许英豪,刘静静,潘翔,张军朋,左群业,潘松杰,
申请(专利权)人:许继电气股份有限公司许继集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。