欢迎来到天天文库
浏览记录
ID:43985139
大小:96.50 KB
页数:14页
时间:2019-10-17
《SSLStrip攻击原理与防范》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、SSLStrip攻击原理与防范摘要:由于在无线局域网环境下,ARPSpoof可以轻易完成对客户端的欺骗,使其误将攻击者视为网关,从而被攻击者截获大量明文传输的数据报文。因此,对重要数据进行加密传输的HTTPS协议应运而生。尽管HTTPS协议采用SSL进行加密可以基本杜绝信息泄露,但其并非无懈可击。SSLStrip利用用户键入网址的习惯进行中间人攻击就是一个典型例子。有鉴于此种攻击的难度低、实现率高,该文对其进行了探究,并基于HTTPProxy、CookieProxy、拓展DHCP给出了相应的防范措施。关键词:SSLStrip;中间人攻击;CookieProxy;DHCP中图分类号:TP39
2、3.1文献标识码:A文章编号:1009-3044(2016)09-0068-041引言根据IEEE802.11协议簇,工作在2.4Ghz频段的Wi-Fi能够提供高达300-600Mbps传输速率的无线网络。良好的覆盖范围与众多的应用场合使得越来越多的家庭、企业将其作为接入Internet的首选布网方式。轻便、智能、快捷的同时却也带来了一定的安全隐患。由于无线信道的共享属性。所有人均可以在一定工具的帮助下拦截、捕获、篡改WLAN中传输的明文数据报文。其大致方法为:通过ARPSpoof使客户端误将攻击者视为无线局域网中的网关;然后用同样的方法使局域网网关误将攻击者视为客户端;最后便可以抓取客户
3、端与网关之间的所有明文数据包。这显然是对用户隐私的不尊重。为了保护用户重要的数据在无线局域网中传输时不被监听,HTTPS协议应运而生。由于缺乏有效的SSL证书与正确的密钥,一个正在进行屮的SSL会话是很难被监听和攻击的。当然,这只是在SSL会话正在进行的过程中是这样,那么,如果一个SSL会话还没有建立Z前也是这样吗?考虑一种情形,用户在键入http://content时被服务器要求跳转至相应的https://content网页,在这一过程中,由于SSL会话尚未建立,所有的数据报文仍然明文传输,所以是存在被攻击的可能的。SSLStrip攻击就是在这种假设上完成的。客观上讲,这种假设是普遍存在
4、的。人们在访问一个网站时出于便捷的考虑会首选短网址进行输入,而不会在乎http与https的差别。因此,SSLStrip攻击具有难度低,实现率高的特点。在防范措施上,宣传并要求用户自觉输入https://content固然为一种办法,但是出于减轻用户负担的考虑,本文进一步研究了HTTPProxy>CookieProxy.拓展DHCP这三种防范措施。HTTPProxy在客户端创建了一个数据库和一定的匹配策略,该数据库会自动记录用户浏览过的所有HTTPS网站的SSL配置信息。当用户再次访问相同的网站时会根据匹配策略比对当前网站的SSL配置信息和数据库屮的SSL配置信息,得出客户端是否存在被攻击
5、的结论,从而对当前访问的网站做出放行或阻止的行为。鉴于HTTPProxy数据库无法检测未访问过的网站,而且匹配策略也可能较为庞大,本文进一步改进该方案:将数据库与匹配策略均放置于服务器端,通过爬虫自动补充SSL配置信息,从而提高匹配精确度。CookieProxy采用了一个安全cookie协议和增设了安全LAN代理与安全服务器代理的网络拓扑。其防范策略为:如果安全LAN代理检测到客户端发送的是HTTP请求而安全服务器代理中存储的相同CookieID的set-cookie为HTTPS类型,那么就可以认为客户端已经遭受中间人攻击,请求被立刻抛弃。拓展DHCP则利用SSLStrip攻击中必须欺骗客
6、户端把攻击者视为网关这一事实,利用DHCP确认消息在客户端的ARP缓存屮绑定局域网网关的IP与MAC地址,从而有效阻止攻击的实现。本文的研究思路为:首先介绍与SSLStrip相关的理论工作,并通过Kali下的实验予以展现;接着逐一介绍三种防范措施;最后对全文进行总结。2SSLStrip的相关理论与工作伴随着互联网的不断发展,人们越来越多地使用网络来进行交流和娱斥。然而,在网络不断地融入人们生活方方面面的同时,网络安全问题也渐渐地显现了出来。近年來,越來越多的网络公司开始关注网络安全,例如Google、Baidu这些大型搜索引擎,诸多的电子商务网站(银行、邮箱、公司网站等)和大部分政府机关网
7、站,都采用了HTTPS來加密用户与网站服务器之间的链接,从而保障用户的私密信息不会被盗取。超文本传输安全协议(HTTPS)是一种网络安全传输协议。在计算机网络上,IITTPS经由超文本传输协议(HTTP)进行通讯,但利用SSL/TLS来对数据包进行加密。HTTPS开发的主要Fl的是提供对网络服务器的身份认证,保护交换数据的隐私与完整性。SSL/TLS,即传输层安全协议,目的是为互联网通信,提供安全及数据完整性保障。其原理
此文档下载收益归作者所有