公开(公告)号：CN103647783A

公开(公告)日：2014-03-19

申请号：CN201310713376.2

申请日：2013-12-23

Applicant: 上海交通大学无锡研究院

Inventor： 李建华 ,  周志洪 ,  潘理 ,  汪圣莅 ,  田一添

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明公布了一种基于主动探测的网络中间人攻击定位方法，包括下述步骤：（1）用户向服务器发送tcp请求，请求报文中TTL值设置为零；（2）用户收到tcp应答，根据应答判断是否有TTL延时；（3）如果发现有TTL延时，则转到步骤（4），如果没有发现TTL延时，则TTL值递增，继续向服务器发送tcp请求，并转向步骤（2）；（4）发现此跳出现Strip攻击者；（5）用traceroute工具进行探测，得到攻击者的IP地址信息。本发明通过主动发送tcp请求，根据收到的应答判断是否有中间人攻击，并通过相应的工具得到攻击者的IP地址信息，实现攻击定位。

公开(公告)号：CN103685298A

公开(公告)日：2014-03-26

申请号：CN201310717796.8

申请日：2013-12-23

Applicant: 上海交通大学无锡研究院

Inventor： 周志洪 ,  李建华 ,  潘理 ,  王文韬 ,  张之诚

IPC: H04L29/06

Abstract: 本发明公开了一种基于深度包检测的SSL中间人攻击发现方法，对用户和服务器接收的http报文头部进行特征检测，包括下述步骤：（1）对http报文进行分析，并设定评分标准；（2）在正常情况和被攻击情况下分别进行多次测试，进行计分，获得平均计分值；（3）针对两种平均计分值进行平均作为判断攻击的标准；（4）根据步骤（3）的判断标准进行攻击检测即对http报文进行评分，计分值超过标准阈值就发出攻击报警。本发明方法能够在用户遭受到SSLStrip中间人攻击时，能够在第一时间内向用户发出告警，防止用户受到进一步的损失。