由於目前一種專門針對ssl、https的新型攻擊工具在網上廣泛傳播,嚴重影響ssl/https所保護的使用者身份等敏感資訊資料的安全性。鑑於我國重要資訊系統廣泛使用ssl/https技術用於敏感資訊傳輸保護,為防止重大安全事件發生,很多資訊保安監管機構紛紛發文要求進一步推進等級保護安全整改、建設工作,如深圳市公安局的《深圳公安局公共資訊網路安全監察分局檔案》(深公網[2009]86號發文)。脈山龍有針對性地對ssltrip進行研究後,行程防ssltrip攻擊解決方案,用以防止ssltrip造成的危害。
ssltrip的工作原理
ssltrip的攻擊原理如下圖:
1. 首先ssltrip的攻擊者需要開啟自己的路由**功能;
2. 然後它向網路中廣播arp資料報進行arp欺騙,冒充路由或者閘道器的mac位址。這樣所有網路中的資料都會從這個攻擊者處經過;
3. 對經過它的所有http資料中的https連線進行替換,同時記錄下來哪些連線被替換掉了;
4. 攻擊者與客戶端計算機通過http的方式建立連線。這個鏈結會被重定向到攻擊者的另乙個埠上;
5. 攻擊者再冒充客戶端與真正的伺服器建立https連線;
6. 這樣客戶端與伺服器之間的所有資料連線都被攻擊者透明的進行了****,對於客戶端而言它是伺服器,對於伺服器而言它是客戶端。
下圖顯示了都有哪些https的連線在ssltrip的攻擊中位替換成了普通的http連線。
7. 為了欺騙客戶端的使用者,所有的瀏覽器中的圖示都會被替換成https的圖示;
8. 這時候客戶端所提交的使用者名稱、密碼都是明文形式傳送到ssltrip攻擊者的計算機上的。攻擊者就在客戶端毫不知情的情況下竊取到了客戶端的私密資訊。
下圖中黑色掩蓋的部分就是被竊取到的機密資訊:
攻擊工具介紹
1. 版本 0.2
2. 執行環境 linux
3. 需要開啟系統路由**功能
4. 需要開啟防火牆埠重定向功能
防禦措施
措施二:為了防止通過虛假的圖示資訊來欺騙瀏覽器的使用者,因此建議在ie瀏覽器中啟用如下幾項功能。
在firefox中啟動如下幾項功能:
1. 搭建合法的ca伺服器或者使用公網的可信ca伺服器頒發有效的ssl證書;
2. 檢查現有ssl伺服器中的證書是否有效、是否繫結正確的網域名稱、是否過期等;
3. 在有條件的情況下,啟用ssl的雙向認證功能,即對伺服器也對客戶端進行認證增加ssltrip攻擊的難度;
4. 在網路的交換機上啟用arp泛洪檢測功能,對於大量傳送arp廣播包的計算機及時進行安全隔離。對於比較固定的網路在交換機上進行mac位址和ip位址的繫結;
5. 在防火牆上開啟http連線數量限制,對短時間內產生大量http連線的機器自動進行短時拒絕;
6. 在網路中通過抓包軟體人工分析是否存在不合理的arp流量存在;
7. 由於該攻擊工具目前還只能夠執行在linux系統上,需要對網路中的linux系統進行重點排查。檢查內容包括:是否有大量的非正常資料報和連線存在,是否啟用了路由**功能,防火牆上是否存在埠重定向的規則。
提示目前還存在著另一款與其類似的工具,該工具能夠竊聽使用者機密資訊,也需要重點關注.該工具的名字叫做sslsniffer
防SSLtrip攻擊解決方案
由於目前一種專門針對ssl https的新型攻擊工具在網上廣泛傳播,嚴重影響ssl https所保護的使用者身份等敏感資訊資料的安全性。鑑於我國重要資訊系統廣泛使用ssl https技術用於敏感資訊傳輸保護,為防止重大安全事件發生,很多資訊保安監管機構紛紛發文要求進一步推進等級保護安全整改 建設工作...
xss攻擊解決方案
xss攻擊 全稱跨站指令碼攻擊,是為不和層疊樣式表 cascading style sheets,css 的縮寫混淆,故將跨站指令碼攻擊縮寫為xss,xss是一種在web應用中的計算機安全漏洞,它允許惡意web使用者將 植入到提供給其它使用者使用的頁面中。web環境 表單輸入框輸入以下攻擊指令碼,提...
DDOC攻擊解決方案
概述 ddos攻擊通過大量合法的請求占用大量網路資源,以達到癱瘓網路的目的。開啟iis,伺服器頻寬使用流量馬上上公升,與被ddos攻擊相反,ddos攻擊是不斷接收到大量的資料,php ddos則是對外傳送大量的資料報,造成伺服器網路堵塞,此時伺服器可能會掉包嚴重或者表現為經常性的斷線。防範方法 1 ...