由于目前一种专门针对SSL代备案、的新型攻击工具在网上广泛传播,严重影响SSL/所保护的用户身份等敏感信息数据的安全性防攻击空间。鉴于我国重要信息系统广泛使用SSL/技术用于敏感信息传输保护,为防止重大安全事件发生,很多信息安全监管机构纷纷发文要求进一步推进等级保护安全整改、建设工作,如深圳市公安局的《深圳公安局公共信息网络安全监察分局文件》(深公网[2009]86号发文)。 脉山龙有针对性地对SSLtrip进行研究后,行程防SSLtrip攻击解决方案,用以防止SSLtrip造成的危害。 SSLtrip的工作原理 SSLtrip的攻击原理如下图: 1。 首先SSLtrip的攻击者需要开启自己的路由转发功能; 2。 然后它向网络中广播ARP数据包进行ARP欺骗,冒充路由或者网关的MAC地址。这样所有网络中的数据都会从这个攻击者处经过; 3。 对经过它的所有连接进行替换,同时记录下来哪些连接被替换掉了; 4。 攻击者与客户端计算机通过} 这个链接会被重定向到攻击者的另一个端口上; 5。 攻击者再冒充客户端与真正的服务器建立连接; 6。 这样客户端与服务器之间的所有数据连接都被攻击者透明的进行了代理转发,对于客户端而言它是服务器,对于服务器而言它是客户端。 下图显示了都有哪些的连接在ssltrip的攻击中位替换成了普通的。 为了欺骗客户端的使用者,所有的浏览器中的图标都会被替换成的图标; 8。 这时候客户端所提交的用户名、密码都是明文形式发送到ssltrip攻击者的计算机上的。 攻击者就在客户端毫不知情的情况下窃取到了客户端的私密信息。 下图中黑色掩盖的部分就是被窃取到的机密信息: 攻击工具介绍 1。 版本 0。2 2。 运行环境 Linux 3。 需要开启系统路由转发功能 4。 需要开启防火墙端口重定向功能 防御措施 措施一:由于攻击更多的发生在客户端的网络中,因此在客户机上安装ARP防火墙进行网关MAC地址绑定能够有效的防止由于arp欺骗所产生的ssltrip攻击。 推荐的软件:由于安全卫士360安全比较广泛,因此推荐启用其中的arp防火墙功能。如果没有安装,目前国内外各类防病毒软件也都有相关功能。 措施二:为了防止通过虚假的图标信息来欺骗浏览器的使用者,因此建议在IE浏览器中启用如下几项功能。 在firefox中启动如下几项功能: 1。 搭建合法的CA服务器或者使用公网的可信CA服务器颁发有效的SSL证书; 2。 检查现有ssl服务器中的证书是否有效、是否绑定正确的域名、是否过期等; 3。 在有条件的情况下,启用SSL的双向认证功能,即对服务器也对客户端进行认证增加SSLtrip攻击的难度; 4。 在网络的交换机上启用arp泛洪检测功能,对于大量发送ARP广播包的计算机及时进行安全隔离。对于比较固定的网络在交换机上进行Mac地址和IP地址的绑定; 5。 在防火墙上开启连接的机器自动进行短时拒绝; 6。 在网络中通过抓包软件人工分析是否存在不合理的Arp流量存在; 7。 由于该攻击工具目前还只能够运行在Linux系统上,需要对网络中的Linux系统进行重点排查。检查内容包括:是否有大量的非正常数据包和连接存在,是否启用了路由转发功能,防火墙上是否存在端口重定向的规则。 提示 目前还存在着另一款与其类似的工具,该工具能够窃听用户机密信息,也需要重点关注。该工具的名字叫做SSLsniffer 考试大温馨提示:本内容来源于网络,仅代表作者个人观点,与本站立场无关,仅供您学习交流使用。其中可能有部分文章经过多次转载而造成文章内容缺失、错误或文章作者不详等问题,请您谅解。 如有侵犯您的权利,请联系我们,本站会立即予以处理。 。防攻击空间,防SSLtrip攻击解决方案是什么(https如何防止中间人攻击) 1。映射不存在的端口 开启路由功能的ADSL Modem都是通过NAT映射方式来实现的,NAT映射可以把来自因特网上对ADSL Modem某个端口的连接转移到内网中某个IP地址指定的端口上。病毒或恶意攻击者一般都是针对ADSL Modem的几个典型端口(如135、139、445、3127等)进行攻击,我们可以尝试把这些端口的攻击全部转移到内网中一个实际不存在的IP上,从而减少因要处理大量连接而给ADSL Modem带来的负担。 在一般的ADSL Modem中,我们可以通过RDR规则和BIMAP规则来把端口映射到不存在的IP上。 1)使用RDR规则映射 如何使用RDR将Web/Telnet/FTP/TFTP等端口映射到一个不存在的IP上呢?进入ADSL Modem的配置页面,点击“服务”标签,在“NAT设置”中选择“NAT Rule Entry”,然后点击“添加”按钮,添加RDR规则。 以Web端口为例,我们把它映射到一个不存在的IP:192。168。1。100上(图4),选择Rule Flavor为RDR,填入Rule ID,在本地IP地址的开始和结束分别填入192。168。1。100,在目标端口的起始值/终止值和本地端口中分别选择),其他的选项都选择默认值即可。 Telnet/FTP/TFTP端口可参照此设置。 2)使用BIMAP规则映射 使用BIMAP透明规则做所有的端口映射,将它们映射到一个不存在的IP。进入ADSL Modem的配置页面后,点击“服务”标签,在“NAT设置”中选择“NAT Rule Entry”,然后点击“添加”按钮,添加BIMAP规则。 例如,我们把BIAMP规则映射到一个不存在的IP:192。168。1。200上。选择Rule Flavor为BIAMP,填入Rule ID,在本地IP地址的开始和结束分别填入192。168。1。200即可。 通过这样的设置,针对ADSL Modem的一般服务端口(或所有端口)进行的攻击,就被全部转移到内网中一个实际不存在的IP地址192。 168。100(或200)上了。 4。升级固件 因为有些ADSL Modem在市场上投入的时间较早,原来采用的软件版本较低,在安全方面有一定的缺陷。现在有很多厂商在各自的主页上都有最新的固件程序提供下载,针对此类问题进行了修改,我们可通过升级ADSL Modem的固件来解决。 具体的方法在厂商官方网站上都有介绍,笔者这里就不再详述了。以上是我对于这个问题的解答,希望能够帮到大家。