由於目前一種專門針對SSL
HTTPS的新型攻擊工具在網上廣泛傳播
嚴重影響SSL/HTTPS所保護的用戶身份等敏感信息數據的安全性
鑒於我國重要信息系統廣泛使用SSL/HTTPS技術用於敏感信息傳輸保護
為防止重大安全事件發生
很多信息安全監管機構紛紛發文要求進一步推進等級保護安全整改
建設工作
如深圳市公安局的《深圳公安局公共信息網絡安全監察分局文件》(深公網[
]
號發文)
脈山龍有針對性地對SSLtrip進行研究後
行程防SSLtrip攻擊解決方案
用以防止SSLtrip造成的危害
SSLtrip的工作原理
SSLtrip的攻擊原理如下圖
首先SSLtrip的攻擊者需要開啟自己的路由轉發功能
然後它向網絡中廣播ARP數據包進行ARP欺騙
冒充路由或者網關的MAC地址
這樣所有網絡中的數據都會從這個攻擊者處經過
對經過它的所有http數據中的https連接進行替換
同時記錄下來哪些連接被替換掉了
攻擊者與客戶端計算機通過http的方式建立連接
這個鏈接會被重定向到攻擊者的另一個端口上
攻擊者再冒充客戶端與真正的服務器建立https連接
這樣客戶端與服務器之間的所有數據連接都被攻擊者透明的進行了代理轉發
對於客戶端而言它是服務器
對於服務器而言它是客戶端
下圖顯示了都有哪些https的連接在ssltrip的攻擊中位替換成了普通的http連接
為了欺騙客戶端的使用者
所有的浏覽器中的圖標都會被替換成https的圖標
這時候客戶端所提交的用戶名
密碼都是明文形式發送到ssltrip攻擊者的計算機上的
攻擊者就在客戶端毫不知情的情況下竊取到了客戶端的私密信息
下圖中黑色掩蓋的部分就是被竊取到的機密信息
攻擊工具介紹
版本
運行環境 Linux
需要開啟系統路由轉發功能
需要開啟防火牆端口重定向功能
防御措施
措施一
由於攻擊更多的發生在客戶端的網絡中
因此在客戶機上安裝ARP防火牆進行網關MAC地址綁定能夠有效的防止由於arp欺騙所產生的ssltrip攻擊
推薦的軟件
由於安全衛士
安全比較廣泛
因此推薦啟用其中的arp防火牆功能
如果沒有安裝
目前國內外各類防病毒軟件也都有相關功能
措施二
為了防止通過虛假的圖標信息來欺騙浏覽器的使用者
因此建議在IE浏覽器中啟用如下幾項功能
在firefox中啟動如下幾項功能
搭建合法的CA服務器或者使用公網的可信CA服務器頒發有效的SSL證書
檢查現有ssl服務器中的證書是否有效
是否綁定正確的域名
是否過期等
在有條件的情況下
啟用SSL的雙向認證功能
即對服務器也對客戶端進行認證增加SSLtrip攻擊的難度
在網絡的交換機上啟用arp泛洪檢測功能
對於大量發送ARP廣播包的計算機及時進行安全隔離
對於比較固定的網絡在交換機上進行Mac地址和IP地址的綁定
在防火牆上開啟http連接數量限制
對短時間內產生大量http連接的機器自動進行短時拒絕
在網絡中通過抓包軟件人工分析是否存在不合理的Arp流量存在
由於該攻擊工具目前還只能夠運行在Linux系統上
需要對網絡中的Linux系統進行重點排查
檢查內容包括
是否有大量的非正常數據包和連接存在
是否啟用了路由轉發功能
防火牆上是否存在端口重定向的規則
提示
目前還存在著另一款與其類似的工具
該工具能夠竊聽用戶機密信息
也需要重點關注
該工具的名字叫做SSLsniffer
From:http://tw.wingwit.com/Article/Fault/201311/10605.html
