更多朋友所不知道的是,https加密請求也能嗅探到?
什麼是https:
之所以大家都認為不能嗅探https請求的原因是來自對加密ssl層的信任,那麼黑客是怎麼做到的嗅探https?
簡單的說黑客為了繞過https,採用了ssl層剝離的技術,黑客阻止使用者和使用https請求的**之間建立ssl連線,使使用者和**伺服器(攻擊者所控伺服器)之間使用了未加密的http通訊。
上面就是我使用sslstrip進行嗅探內網某裝置的截圖,當然這只是一張圖:)
sslstrip的工作原理:
進行中間人攻擊來劫持http請求流量。
將出現的https鏈結全部替換為http,同時記錄所有改變的鏈結。
使用http與受害者機器鏈結。
同時與合法的伺服器建立https。
受害者與合法伺服器之間的全部通訊請求經過**(攻擊者伺服器)**。
完成劫持請求
攻擊的流程原理可用下圖表示:
有關波蘭遭遇大規模dns劫持使用者網上銀行的事件中,因為使用sslstrip會提醒使用者連線沒有使用ssl加密,黑客為了迷惑使用者,重寫了url,在網域名稱前加了「ssl-.」的字首,當然這個網域名稱是不存在的,只能在黑客的惡意dns才能解析。
這件事情的源頭是因為zynos路由器出現漏洞,導致的大批量dns劫持,有關zynos漏洞利用攻擊**已經在github上有人放出來了,整個流程如下:
攻擊者批量劫持使用者dns
重寫url迷惑使用者
使用sslstrip進行請求劫持
完成劫持
波蘭這次事件主要是黑客利用路由漏洞進行了大範圍dns劫持然後使用sslstrip方法進行嗅探,這次方法要比之前單純的dns劫持有趣的多,當然危害也大的多。
這種攻擊方式馬上會在國內展開攻擊,這種攻擊往往不是基於服務端,特別是ssl stripping技術,其攻擊手法不是針對相應韌體也不是利用韌體漏洞,所以大家有必要好好看一下解決方案,真正的把dns防禦杜絕在門外!
檢查dns是否正常
拿tp-link舉例,瀏覽器訪問192.168.1.1(一般是這個,除非你改了),輸入賬號密碼登陸(預設賬號密碼在說明書上都有)-> 網路引數-> wan口設定-> 高階設定-> 看看裡面dns的ip是否勾選了「手動設定dns伺服器」。
* 如果你沒有人工設定過,但勾選了,那就要警惕是否被黑客篡改了。如果發現被攻擊的痕跡,重置路由器是個好辦法,當然下面的步驟是必須的:* 如果沒勾選,一般情況下沒有問題。
主dns伺服器:114.114.114.114,備用dns伺服器為:8.8.8.8
修改路由器web登陸密碼
路由器一般都會有web管理頁面的,這個管理介面的登陸密碼記得一定要修改!一般情況下預設賬號密碼都是admin,把賬號密碼最好都修改的複雜點兒吧!
上面的步驟都是人工的,我們另外準備了工具(建議結合使用):dns劫持惡意**檢測
開啟計算機防火牆以及安裝殺軟也能有效的防禦此類攻擊。當然https還是安全的,只不過登陸相應https**或者涉及敏感隱私/金錢交易**時候注意**左側的證書顏色,綠色黃色紅色分別代表不同級別!
DNS劫持 流量劫持,HTTP HTTPS劫持
dns劫持 dns劫持就是通過劫持了dns伺服器,通過某些手段取得某網域名稱的解析記錄控制權,進而修改此網域名稱的解析結果,導致對該網域名稱的訪問由原ip位址轉入到修改後的指定ip,其結果就是對特定的 不能訪問或訪問的是假 從而實現竊取資料或者破壞原有正常服務的目的。dns劫持通過篡改dns伺服器上...
HTTP HTTPS與流量劫持 DNS劫持
dns劫持 類似使用導航系統時,導航被劫持,給了一條駛向賊窩的路線。流量劫持 類似寫信,信的內容被改過,收信人並不知情。1,http不能防dns劫持,劫持者可以把網域名稱解析指向別的伺服器ip。2,http不能防流量劫持,內容是不加密的,劫持者可以把源站返回的內容加料,比如加些小廣告。1,https...
使用HTTPS防止流量劫持
前不久小公尺等六家網際網路公司發表聯合宣告,呼籲運營商打擊流量劫持。流量劫持最直觀的表現,就是網頁上被插入了一些亂七八糟的廣告 彈窗之類的內容。比如下面這種 頁面的右下角被插入了廣告。流量劫持總體來說屬於中間人攻擊 man in the middle attack,mitm 的一種,本質上攻擊者在通...