一种确定MITM攻击的方法、装置及系统

摘要

本发明公开了一种确定中间人MITM攻击的方法、装置及系统，该方法包括：在接收到客户端发来的RDP连接请求时，将所述RDP连接请求转发给服务端；并获得服务端发来的第一RDP连接响应请求，其中，所述第一RDP连接响应请求中包含服务端生成的非对称加密公钥；将所述获得的第一RDP连接响应请求中包含的非对称加密公钥替换为预设的第一身份识别公钥，形成第二RDP连接响应请求并发送给客户端，其中客户端根据接收到的第二RDP连接响应请求中包含的非对称加密公钥和预设的第一身份识别公钥，确定是否存在MITM攻击。从而能够对MITM攻击进行主动检测，并且较好地提高了确定MITM攻击的准确性，从而提高网络安全性。

说明书

技术领域

本发明涉及网络安全技术领域，尤其是涉及一种确定中间人（MITM， Man-in-the middle-attacks）攻击的方法，装置及系统。

背景技术

远程桌面协议（RDP，Romote Desktop Protocol）是普遍应用于微软操作 系统中的一种远程桌面协议，远程桌面功能允许网络中的用户连接到远程的计 算机上对远程计算机进行管理。

如图1所示的系统架构，包括客户端101、位于客户端侧的数据交换设备 （如图1所示的交换机102）、路由转发设备103、位于服务端侧的交换机104 以及服务端。基于该系统架构，设备管理员通过远程桌面对目标设备进行运行 维护管理操作。设备管理员通过远程桌面登陆到目标设备（如图1所示的位于 服务端侧的服务器105），然后对目标设备进行管理。但是在这个过程中，如图 2所示，就可能受到中间人攻击的威胁，受到中间人攻击的远程登陆会话的会 话信息会完全暴露，比如按键信息，回显信息等等，中间人也可以获得设备管 理员权限，从而非法登陆到目标设备，非法操控目标设备。比如设备管理员A 在远程登陆到目标设备的过程中，黑客成功发动中间人攻击，将这个远程桌面 会话完全解密，获得这个设备管理员的登陆账号和密码，当设备管理员A退出 目标设备，黑客马上就能获悉设备管理员已经退出，然后黑客就能使用通过中 间人攻击获取的账号密码以设备管理员的身份非法登陆到目标设备，查看目标 设备中存储的敏感信息。

现有技术中，一般采用服务器认证方式来防止中间人攻击，服务器认证的 原理是指在会话过程中，在非对称密钥交换的环节中加入服务器认证环节，在 非对称协商过程中，客户端除接收服务端的公钥和随机数之外，还会接收到服 务端发来的服务器验证信息，该服务器验证信息可以服务端身份信息，当服务 器认证不成功时，客户端将整个会话断开，从而避免网络受到中间人攻击。

采用服务器认证方式仅能够事前防范，即对中间人攻击起到防范作用，而 无法事中发现，当网络中存在中间人攻击时，该方式无法检测已存在的中间人 攻击，另外，由于设备自身原因，如版本低等因素会导致误检的发生，从而降 低了MITM检测的准确性。

综上所述，现有技术中提出的技术方案，仅能够对中间人攻击起到防范作 用，不能够主动的确定出网络中是否存在中间人攻击，使得网络的安全性较差。

发明内容

本发明实施例提供了一种确定MITM攻击的方法，装置及系统，能够对 MITM攻击进行主动检测，并且较好地提高了确定MITM攻击的准确性，从而 提高网络安全性。

一种确定MITM攻击的方法，包括：在接收到客户端发来的远程桌面协议 RDP连接请求时，将所述RDP连接请求转发给服务端；并获得服务端发来的 第一RDP连接响应请求，其中，所述第一RDP连接响应请求中包含服务端生 成的非对称加密公钥；将所述获得的第一RDP连接响应请求中包含的非对称 加密公钥替换为预设的第一身份识别公钥，形成第二RDP连接响应请求并发 送给客户端，其中客户端根据接收到的第二RDP连接响应请求中包含的非对 称加密公钥和预设的第一身份识别公钥，确定是否存在MITM攻击。

一种确定MITM攻击的装置，包括：转发模块，用于在接收到客户端发来 的远程桌面协议RDP连接请求时，将所述RDP连接请求转发给服务端；获得 模块，用于获得服务端发来的第一RDP连接响应请求，其中，所述第一RDP 连接响应请求中包含服务端生成的非对称加密公钥；发送模块，用于将所述获 得的第一RDP连接响应请求中包含的非对称加密公钥替换为预设的第一身份 识别公钥，形成第二RDP连接响应请求并发送给客户端，其中客户端根据接 收到的第二RDP连接响应请求中包含的非对称加密公钥和预设的第一身份识 别公钥，确定是否存在MITM攻击。

一种确定中间MITM攻击的系统，包括至少一个客户端服务器、至少一个 检测代理服务器和至少一个服务端服务器，包括：所述客户端，用于发送远程 桌面协议RDP连接请求；以及接收检测代理服务器发来的第二RDP连接响应 请求，根据接收到的第二RDP连接响应请求中包含的非对称加密公钥和预设 的第一身份识别公钥，确定是否存在MITM攻击；所述检测代理服务器，用于 在接收到客户端发来的远程桌面协议RDP连接请求时，将所述RDP连接请求 转发给服务端；并获得服务端发来的第一RDP连接响应请求，其中，所述第 一RDP连接响应请求中包含服务端生成的非对称加密公钥；将所述获得的第 一RDP连接响应请求中包含的非对称加密公钥替换为预设的第一身份识别公 钥，形成第二RDP连接响应请求并发送给客户端；所述服务端服务器，用于 接收检测代理服务器转发的RDP连接请求，并对所述第一RDP连接响应请求 进行处理，生成包含非对称加密公钥的第一RDP连接响应请求并发送。

采用上述技术方案，将服务端发来的第一RDP连接响应请求中包含的非 对称加密公钥替换为预设的第一身份识别公钥，形成第二RDP连接响应请求 并发送给客户端，后续客户端根据接收到的第二RDP连接响应请求中包含的 非对称加密公钥和预设的第一身份识别公钥，确定网络中是否存在MITM攻 击。将服务端发来的第二RDP连接响应请求中包含的非对称加密公钥主动替 换为预设的第一身份识别公钥之后，再发送给客户端，客户端可以根据解析出 来非对称加密公钥和预设的第一身份识别公钥，确定网络中是否存在MITM攻 击，相对于现有技术中提出的服务器认证防范MITM攻击的方式，本发明实施 例这里提出的技术方案，能够对MITM攻击进行主动检测，准确确定出当前网 络环境是否存在中间人攻击，并且确定网络中是否存在MITM攻击时，不需要 断开网络的会话传输链路，客户端和服务端能够进行正常会话，从而提高网络 安全性，保证机密信息不被泄露。

附图说明

图1为现有技术中，提出的基于RDP进行数据传输的系统结构示意图；

图2为现有技术中，提出的存在基于RDP进行数据传输的系统存在MITM 攻击时的系统结构示意图；

图3为本发明实施例一中，提出的确定MITM攻击的系统结构组成示意图；

图4为本发明实施例二中，提出的确定MITM攻击的方法流程图；

图5为本发明实施例二中，提出的确定MITM攻击的装置结构示意图；

图6为本发明实施例三中，提出的确定MITM攻击的方法流程图。

具体实施方式

针对现有技术中存在的防范MITM攻击的方法，仅能够对中间人攻击起到 防范作用，不能够主动的确定出网络中是否存在中间人攻击，使得网络的安全 性较差的问题，本发明实施例这里提出的技术方案，通过将服务端发来的第一 RDP连接响应请求中包含的非对称加密公钥主动替换为预设的第一身份识别 公钥，形成第二RDP连接响应请求并发送给客户端，后续客户端根据接收到 的第二RDP连接响应请求中包含的非对称加密公钥和预设的第一身份识别公 钥，确定网络中是否存在MITM攻击。能够对MITM攻击进行主动检测，准 确确定出当前网络环境是否存在中间人攻击，并且确定网络中是否存在MITM 攻击时，不需要断开网络的会话传输链路，客户端和服务端能够进行正常会话， 从而提高网络安全性，保证机密信息不被泄露。

下面将结合各个附图对本发明实施例技术方案的主要实现原理、具体实施 方式及其对应能够达到的有益效果进行详细地阐述。

实施例一

本发明实施例一这里提出一种确定MITM攻击的系统，其中，基于RDP 传输数据的网络中，MITM的攻击原理为：

在基于RDP传输数据的网络中，RDP会话通讯过程中，数据传输是经过 加密处理的，但是在会话初始，即RDP协议一开始协商过程中，需要基于一 次非对称加密解密算法，来交换用于加密会话的对称加密密钥。具体地，协商 过程为：首先是客户端向服务端发送远程登陆请求，服务端收到请求之后会发 送响应信息给客户端，所述响应信息中携带一个公钥响应数据包，在公钥响应 数据包中包含非对称加密算法中使用的公钥和一个对称加密密钥因子1（为便 于阐述和区分，将对称加密密钥因子赋予标识信息），网络入侵者通过MITM 技术，是通过捕获响应信息中携带的公钥响应数据包，获得公钥响应数据包中 包含的公钥和对称加密密钥因子1，然后把公钥响应数据包中包含的公钥和对 称加密密钥因子1存储，在存储完成之后，网络入侵者基于MITM技术，使用 一个伪装的并且事先知道私钥的公钥替换掉公钥响应数据包中包含的公钥，形 成伪造的公钥响应数据包，将伪造的公钥响应数据包发送到客户端，客户端收 到伪造的公钥响应数据包之后，客户端生成对称加密密钥因子2，然后使用接 收到的伪造的公钥对对称加密密钥因子2进行加密，加密之后发送到服务端， 此时，网络入侵人员基于MITM技术，再次捕获客户端发送给服务端的数据， 由于已经存储了伪造公钥的私钥，使用私钥对加密后的对称加密密钥因子2进 行解密就能得到明文的对称加密密钥因子2，然后结合之前获得的对称加密密 钥因子1就能计算出RDP会话密钥，得到RDP会话密钥之后就可以解密整个 RDP会话、或者键盘输入、用户名账号密码等信息。

基于上述MITM攻击的原理，如图3所示，本发明实施例一这里提出的确 定MITM攻击的系统中，包括至少一个客户端服务器101、位于客户端侧的用 于传输数据的交换机102、用于转发数据的路由设备103、位于服务端的用于 传输数据的交换机104,以及至少一个服务端服务器105、检测代理服务器106， 还有假设已经存在的MITM105。其中：

客户端，用于发送远程桌面协议RDP连接请求；以及接收检测代理服务 器发来的第二RDP连接响应请求，根据接收到的第二RDP连接响应请求中包 含的非对称加密公钥和预设的第一身份识别公钥，确定是否存在MITM攻击。

具体地，所述客户端，具体用于对接收到的第二RDP连接响应请求进行 解析，得到所述第二RDP连接响应请求中包含的非对称加密公钥；判断解析 得到的非对称加密公钥是否和预设的第一身份识别公钥匹配；如果是，确定网 络中不存在MITM攻击；如果否，确定网络中存在MITM攻击。

检测代理服务器，用于在接收到客户端发来的远程桌面协议RDP连接请 求时，将所述RDP连接请求转发给服务端；并获得服务端发来的第一RDP连 接响应请求，其中，所述第一RDP连接响应请求中包含服务端生成的非对称 加密公钥；将所述获得的第一RDP连接响应请求中包含的非对称加密公钥替 换为预设的第一身份识别公钥，形成第二RDP连接响应请求并发送给客户端。

其中，检测代理服务器还用于在接收客户端发来的RDP连接请求之前， 建立监听RDP应用端口的第一套接字。具体地，RDP应用端口是RDP的默认 端口，例如3389端口。以及在将RDP连接请求转发给服务端之前，建立连接 服务端的第二套接字。

进一步地，为保证数据传输的安全性，检测代理服务器在获得服务端发来 的第一RDP连接响应请求之后，断开和服务端的RDP连接。

具体地，预设的第一身份识别公钥是根据非对称密钥文件解析得到的，其 中，所述非对称密钥文件是根据预先设置的非对称密钥生成的。二者可以配对 使用，为便于阐述，本发明实施例这里提出的技术方案中，将二者做出区分。

服务端服务器，用于接收检测代理服务器转发的RDP连接请求，并对所 述第一RDP连接响应请求进行处理，生成包含非对称加密公钥的第一RDP连 接响应请求并发送。

实施例二

基于上述实施例一提出的确定MITM攻击的系统架构，本发明实施例二这 里提出一种确定MITM攻击的方法流程图，如图4所示，具体处理流程如下述：

步骤41，接收客户端发来的RDP连接请求。

其中，在基于RDP传输数据的网络中，客户端需要与服务端进行连接， 此时客户端发送RDP连接请求。

具体地，在步骤41之前，还可以先建立监听RDP应用端口的第一套接字 述RDP应用端口可以RDP的默认端口，例如3389端口。

步骤42，在接收到客户端发来的RDP连接请求时，将所述RDP连接请求 转发给服务端。

其中，在将RDP连接请求转发给服务端之前，还可以建立连接服务端的 第二套接字。

步骤43，获得服务端发来的第一RDP连接响应请求。

其中，服务端对接收到的RDP连接请求进行响应的处理之后，反馈第一 RDP连接响应请求。其中，所述第一RDP连接响应请求中包含服务端生成的 非对称加密公钥。具体地，非对称加密公钥可以是服务端的标识信息。

较佳地，为保证数据传输的安全性，在步骤43之后，还可以断开和服务 端的RDP连接。

步骤44，将所述获得的第一RDP连接响应请求中包含的非对称加密公钥 替换为预设的第一身份识别公钥，形成第二RDP连接响应请求并发送给客户 端。

步骤45，客户端根据接收到的第二RDP连接响应请求，确定是否存在 MITM攻击。

其中，客户端对接收到的第二RDP连接响应请求进行解析，得到所述第 二RDP连接响应请求中包含的第一身份识别公钥。判断解析得到的非对称加 密公钥是否和预先设置的第一身份识别公钥配对；如果是，确定网络中不存在 MITM攻击；如果否，确定网络中存在MITM攻击。

具体地，所述预设的第一身份识别公钥可以是根据非对称密钥文件解析得 到的，其中，所述非对称密钥文件是根据预先设置的非对称密钥生成的。具体 实施中，需要准备一对非对称密钥，生成非对称密钥文件之后，后续对这个非 对称密钥文件进行解析，可以得到公钥和私钥。

相应地，本发明实施例二这里还提出一种确定MITM攻击的装置，如图5 所示，包括：

转发模块501，用于在接收到客户端发来的远程桌面协议RDP连接请求 时，将所述RDP连接请求转发给服务端。

获得模块502，用于获得服务端发来的第一RDP连接响应请求，其中，所 述第一RDP连接响应请求中包含服务端生成的非对称加密公钥。

发送模块503，用于将所述获得的第一RDP连接响应请求中包含的非对称 加密公钥替换为预设的第一身份识别公钥，形成第二RDP连接响应请求并发 送给客户端，其中客户端根据接收到的第二RDP连接响应请求中包含的非对 称加密公钥和预设的第一身份识别公钥，确定是否存在MITM攻击。

具体地，所述预设的第一身份识别公钥是根据非对称密钥文件解析得到 的，其中，所述非对称密钥文件是根据预先设置的非对称密钥生成的。

具体地，上述发送模块503，具体用于将第二RDP连接响应请求发送给客 户端之后，指示客户端对接收到的第二RDP连接响应请求进行解析，得到所 述第二RDP连接响应请求中包含的第一身份识别公钥；判断解析得到的非对 称加密公钥是否和预设的第一身份识别公钥匹配；如果是，确定网络中不存在 MITM攻击；如果否，确定网络中存在MITM攻击。

具体地，上述装置还包括：

第一建立模块，用于建立监听RDP应用端口的第一套接字。其中，所述 RDP应用端口是RDP的默认端口。

具体地，上述装置还包括：

第二建立模块，用于建立连接服务端的第二套接字。

具体地，上述装置还包括：

断开模块，用于断开和服务端的RDP连接。

实施例三

进一步地，在上述实施例一和实施例二的基础之上，基于图3所示的系统 架构，本发明实施例三这里以一具体实例来对本发明实施例这里提出的确定 MITM攻击的方法做出详细阐述，如图6所示，其具体处理过程如下述：

预先设置一对非对称密钥作为检测代理服务器的身份认证信息，生成非对 称密钥文件之后，客户端和检测代理服务器均使用这个非对称密钥文件，具有 该身份认证信息的检测代理服务器是合法的接入设备，例如可以时服务器的标 识信息、也可以是其他人为设置的编码信息等等。根据设置的非对称密钥生成 非对称密钥文件之后，客户端和检测代理服务器均使用该生成的密钥文件，即 客户端和检测代理服务器在正常工作时，对该生成的密钥文件进行解析，得到 公钥和私钥。检测代理服务器可以建立一个具备监听功能的套接字（Socket）， 用于监听RDP的默认端口，例如监听3389端口。本发明实施例这里提出的确 定MITM攻击的技术方案中，对MITM进行主动检测，确定网络中是否存在 MITM攻击，因此在系统部署过程中，可以按照蜜罐的方式进行部署。通过 RDP默认端口，客户端建立一个用于和检测代理服务器连接的套接字，套接字 建立之后，客户端想检测代理服务器发送传输控制层连接请求，当客户端服务 器和检测代理服务器连接成功（即具体实施过程中，客户端服务器成功ping 通检测代理服务器之后，客户端构造应用层RDP协议的连接请求数据包，即 发送RDP连接请求。如图6所示，具体处理过程如下述：

步骤61，客户端向检测代理服务器发送RDP连接请求。

其中，在RDP连接请求传输过程中，由上述实施例一中阐述的MITM攻 击的原理可知，该RDP连接请求并不会被篡改。

步骤62，检测代理服务器接收到客户端发来的RDP连接请求，检测代理 服务器建立用于和服务端服务器连接的套接字，完成检测代理服务器和服务端 服务器之间的连接。

步骤63，套接字建立完成之后，检测代理服务器将客户端发来的RDP请 求发送给服务端服务器。

步骤64，服务端服务器接收到RDP请求之后，对接收到的RDP请求进行 相应处理，并发送处理结果给客户端。即发送RDP连接响应请求。

其中，RDP连接响应请求中包含服务端服务器生成的非对称加密公钥和随 机数。

步骤65，检测代理服务器获得服务端服务器发来的RDP连接响应请求（即 本发明实施例这里提出的第一RDP连接响应请求），为了保证服务端服务器中 存储的数据的安全性，可以断开与服务端服务器的连接。

具体地，检测代理服务器断开与服务端服务器的连接，具体实现方式可以 但不限于采用下述两种方式：

第一种方式：检测代理服务器向服务端服务器发送断开连接消息，服务端 服务器接收到断开连接消息之后，断开和检测代理服务器之间的RDP连接。

第二种方式：检测代理服务器在接收到服务端服务器发来的RDP响应消 息之后，断开与服务器的RDP连接。

步骤66，检测代理服务器对接收到的RDP连接响应请求进行解析，获得 RDP连接响应中包含的服务端生成的非对称加密公钥。

步骤67，将获得的服务端生成的非对称加密公钥替换为能够识别该检测代 理服务器身份的身份认证信息（即本发明实施例这里提出的第一身份认证识别 公钥），将该信息作为替换后的非对称加密公钥。

具体地，由于在系统初始条件下，植入了密钥文件，因此，在做非对称加 密公钥替换时，较佳地，可以将服务端服务器生成的非对称加密公钥替换为能 够从植入的非对称密钥文件中解析出来的密钥，并且该密钥能够识别检测代理 服务器的身份信息。例如，将服务端生成的非对称加密公钥替换为由植入的非 对称密钥文件中解析出的第一身份识别公钥。

步骤68，将进行密钥替换后的RDP连接响应请求发送给客户端服务器。

其中，将由服务端生成的非对称加密公钥替换为第一身份识别公钥后的 RDP连接响应（即本发明实施例这里提出的第二RDP连接响应请求）发送给 客户端服务器。若此时网络中存在MITM攻击，根据上述实施例一中阐述的 MITM攻击原理可知，此时，MITM会捕获该进行密钥替换后的RDP连接响 应请求。并在捕获后，将检测代理服务器的身份信息篡改掉，然后再发送给客 户端。例如，进行密钥替换后的RDP连接响应中包含检测代理服务器的标识 信息，即密钥替换后的RDP连接响应包含的信息可以是：检测代理服务器的 标识信息+随机数。中间篡改以后，变为：其他标识信息+随机数，然后将篡改 后的RDP连接响应发送给客户端。

步骤69，客户端服务器接收到第二RDP连接响应请求后，对接收到的第 二RDP连接响应请求进行解析，判断网络中是否存在MITM。

其中，客户端服务器接收到RDP连接响应请求之后，进行解析，获得RDP 连接响应请求中包含的身份认证信息（即进行密钥替换后的第一身份识别公 钥），将获得的身份认证信息和预先设置的身份认证信息进行比对，若比对结 果一致，则确定网络中不存在MITM攻击，反之，确定客户端服务器和检测服 务器的网络之间存在MITM攻击。具体地，预先设置的身份认证信息，是客户 端服务器在运行时，对植入的密钥文件进行解析得到的。

相对于现有技术中提出的服务器认证防范MITM攻击的方式，本发明实施 例这里提出的技术方案，能够对MITM攻击进行主动检测，准确确定出当前网 络环境是否存在中间人攻击，并且确定网络中是否存在MITM攻击时，不需要 断开网络的会话传输链路，客户端和服务端能够进行正常会话，较好地保证了 基于RDP传输数据的网络的安全性。

本领域的技术人员应明白，本发明的实施例可提供为方法、装置（设备）、 或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、 或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其 中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储 器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、装置（设备）和计算机程序产品 的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或 方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的 结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机 或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他 可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或 多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设 备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中 的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个 流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使 得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处 理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个 流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基 本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要 求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发 明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。