防SSLtrip攻擊解決方案

由於目前一種專門針對ssl、https的新型攻擊工具在網上廣泛傳播，嚴重影響ssl/https所保護的使用者身份等敏感資訊資料的安全性。鑑於我國重要資訊系統廣泛使用ssl/https技術用於敏感資訊傳輸保護，為防止重大安全事件發生，很多資訊保安監管機構紛紛發文要求進一步推進等級保護安全整改、建設工作，如深圳市公安局的《深圳公安局公共資訊網路安全監察分局檔案》（深公網[2009]86號發文）。脈山龍有針對性地對ssltrip進行研究後，行程防ssltrip攻擊解決方案，用以防止ssltrip造成的危害。

ssltrip的工作原理

ssltrip的攻擊原理如下圖：

1. 首先ssltrip的攻擊者需要開啟自己的路由**功能；

2. 然後它向網路中廣播arp資料報進行arp欺騙，冒充路由或者閘道器的mac位址。這樣所有網路中的資料都會從這個攻擊者處經過；

3. 對經過它的所有http資料中的https連線進行替換，同時記錄下來哪些連線被替換掉了；

4. 攻擊者與客戶端計算機通過http的方式建立連線。這個鏈結會被重定向到攻擊者的另乙個埠上；

5. 攻擊者再冒充客戶端與真正的伺服器建立https連線；

6. 這樣客戶端與伺服器之間的所有資料連線都被攻擊者透明的進行了****，對於客戶端而言它是伺服器，對於伺服器而言它是客戶端。

下圖顯示了都有哪些https的連線在ssltrip的攻擊中位替換成了普通的http連線。

7. 為了欺騙客戶端的使用者，所有的瀏覽器中的圖示都會被替換成https的圖示；

8. 這時候客戶端所提交的使用者名稱、密碼都是明文形式傳送到ssltrip攻擊者的計算機上的。攻擊者就在客戶端毫不知情的情況下竊取到了客戶端的私密資訊。

下圖中黑色掩蓋的部分就是被竊取到的機密資訊：

攻擊工具介紹

1. 版本 0.2

2. 執行環境 linux

3. 需要開啟系統路由**功能

4. 需要開啟防火牆埠重定向功能

防禦措施

措施二：為了防止通過虛假的圖示資訊來欺騙瀏覽器的使用者,因此建議在ie瀏覽器中啟用如下幾項功能。

在firefox中啟動如下幾項功能：

1. 搭建合法的ca伺服器或者使用公網的可信ca伺服器頒發有效的ssl證書；

2. 檢查現有ssl伺服器中的證書是否有效、是否繫結正確的網域名稱、是否過期等；

3. 在有條件的情況下,啟用ssl的雙向認證功能,即對伺服器也對客戶端進行認證增加ssltrip攻擊的難度；

4. 在網路的交換機上啟用arp泛洪檢測功能，對於大量傳送arp廣播包的計算機及時進行安全隔離。對於比較固定的網路在交換機上進行mac位址和ip位址的繫結；

5. 在防火牆上開啟http連線數量限制，對短時間內產生大量http連線的機器自動進行短時拒絕；

6. 在網路中通過抓包軟體人工分析是否存在不合理的arp流量存在；

7. 由於該攻擊工具目前還只能夠執行在linux系統上，需要對網路中的linux系統進行重點排查。檢查內容包括：是否有大量的非正常資料報和連線存在，是否啟用了路由**功能，防火牆上是否存在埠重定向的規則。

提示目前還存在著另一款與其類似的工具,該工具能夠竊聽使用者機密資訊,也需要重點關注.該工具的名字叫做sslsniffer

防SSLtrip攻擊解決方案

防SSLtrip攻擊解決方案

xss攻擊解決方案

DDOC攻擊解決方案

防SSLtrip攻擊解決方案

防SSLtrip攻擊解決方案

xss攻擊解決方案

DDOC攻擊解決方案

相關推薦