熱點推薦:
您现在的位置: 電腦知識網 >> 電腦故障 >> 正文

防SSLtrip攻擊解決方案

2013-11-12 00:04:27  來源: 電腦故障 
    由於目前一種專門針對SSLHTTPS的新型攻擊工具在網上廣泛傳播嚴重影響SSL/HTTPS所保護的用戶身份等敏感信息數據的安全性鑒於我國重要信息系統廣泛使用SSL/HTTPS技術用於敏感信息傳輸保護為防止重大安全事件發生很多信息安全監管機構紛紛發文要求進一步推進等級保護安全整改建設工作如深圳市公安局的《深圳公安局公共信息網絡安全監察分局文件》(深公網[]號發文)脈山龍有針對性地對SSLtrip進行研究後行程防SSLtrip攻擊解決方案用以防止SSLtrip造成的危害
    SSLtrip的工作原理
    SSLtrip的攻擊原理如下圖
    首先SSLtrip的攻擊者需要開啟自己的路由轉發功能
    然後它向網絡中廣播ARP數據包進行ARP欺騙冒充路由或者網關的MAC地址這樣所有網絡中的數據都會從這個攻擊者處經過
    對經過它的所有http數據中的https連接進行替換同時記錄下來哪些連接被替換掉了
    攻擊者與客戶端計算機通過http的方式建立連接這個鏈接會被重定向到攻擊者的另一個端口上
    攻擊者再冒充客戶端與真正的服務器建立https連接
    這樣客戶端與服務器之間的所有數據連接都被攻擊者透明的進行了代理轉發對於客戶端而言它是服務器對於服務器而言它是客戶端
    下圖顯示了都有哪些https的連接在ssltrip的攻擊中位替換成了普通的http連接
    為了欺騙客戶端的使用者所有的浏覽器中的圖標都會被替換成https的圖標
    這時候客戶端所提交的用戶名密碼都是明文形式發送到ssltrip攻擊者的計算機上的攻擊者就在客戶端毫不知情的情況下竊取到了客戶端的私密信息
    下圖中黑色掩蓋的部分就是被竊取到的機密信息
    攻擊工具介紹
    版本
    運行環境 Linux
    需要開啟系統路由轉發功能
    需要開啟防火牆端口重定向功能
    防御措施
    措施一由於攻擊更多的發生在客戶端的網絡中因此在客戶機上安裝ARP防火牆進行網關MAC地址綁定能夠有效的防止由於arp欺騙所產生的ssltrip攻擊
    推薦的軟件由於安全衛士安全比較廣泛因此推薦啟用其中的arp防火牆功能如果沒有安裝目前國內外各類防病毒軟件也都有相關功能
    措施二為了防止通過虛假的圖標信息來欺騙浏覽器的使用者因此建議在IE浏覽器中啟用如下幾項功能
    在firefox中啟動如下幾項功能
    搭建合法的CA服務器或者使用公網的可信CA服務器頒發有效的SSL證書
    檢查現有ssl服務器中的證書是否有效是否綁定正確的域名是否過期等
    在有條件的情況下啟用SSL的雙向認證功能即對服務器也對客戶端進行認證增加SSLtrip攻擊的難度
    在網絡的交換機上啟用arp泛洪檢測功能對於大量發送ARP廣播包的計算機及時進行安全隔離對於比較固定的網絡在交換機上進行Mac地址和IP地址的綁定
    在防火牆上開啟http連接數量限制對短時間內產生大量http連接的機器自動進行短時拒絕
    在網絡中通過抓包軟件人工分析是否存在不合理的Arp流量存在
    由於該攻擊工具目前還只能夠運行在Linux系統上需要對網絡中的Linux系統進行重點排查檢查內容包括是否有大量的非正常數據包和連接存在是否啟用了路由轉發功能防火牆上是否存在端口重定向的規則
    提示
    目前還存在著另一款與其類似的工具該工具能夠竊聽用戶機密信息也需要重點關注該工具的名字叫做SSLsniffer
From:http://tw.wingwit.com/Article/Fault/201311/10605.html
  • 上一篇文章:

  • 下一篇文章:
  • Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.