网络安全管理之攻破SSL加密数据的方法.docx

《网络安全管理之攻破SSL加密数据的方法.docx》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、网络安全管理之攻破SSL加密数据的方法网络安全一直是不容忽视的问题，在企业更多的选择了小草上网行为管理软路由来实现对局域网的监控管理，主要是流量控制管理和员工的上网行为管理等。而更深层次的SSL安全数据管理该如何呢？要想知道如何安全管理，就要先了解黑客、木马SSL安全攻击的方式。安全套接层(SSL)被用于保护无数的网络用户，但是它有什么弱点呢?最近几年出现了许多专门攻击SSL的攻击。虽然这个技术实际上还是比较安全的，但是攻击者一直在寻找漏洞绕过安全协议和标准。其中SSL是他们的主要目标。SSL被用于保护敏感的超

2、文本传输协议(HTTP)流量。有一些攻击者则不这样想，他们一直在寻找访问敏感数据的新方法。下面我们一起探讨黑客攻破SSL的不同方法。虚假证书：虽然这种方法听起来有一些牵强，但是它曾经取得成功。有时攻击者能够获得一个有效的证书，然后用它们执行恶意行为。例如，在2011年，有攻击者攻破了荷兰证书授权的安全机制，然后伪造了雅虎、谷歌、Wordpress等网站的证书。在获得有效的证书之后，这些攻击者绕过了HTTPS保护。但是，这种攻击的整体级别仍然比较低。移除SSL，直接通过明文发送数据：2009年出现了一种新的SSL

3、攻击方法，它来自于SSLStrip。这个工具不会让用户看到警告信息，而是充当一个代理服务器的作用，去掉了HTTPS的S(安全性)，这样用户就只能通过HTTP直接访问。SSLStrip还允许攻击者给用户看到加锁网站图标，所以发现错误的唯一方法就是浏览器地址栏只显示HTTP，而不是HTTPS。如果用户没有注意到这个细微差别，那么攻击者就可以访问到受保护的数据。这种攻击的威胁级别属于中级。欺骗手段：欺骗用户接入一个错误的证书。这是一种攻击SSL用户的常用方法。其方法是让用户不顾看到的警告或错误，仍然坚持访问这个网站。

4、虽然发起这种攻击很简单，但是它要求受攻击者接受一个明显有问题的证书。大多数用户都会发现这种欺骗行为;因此，这种威胁的级别较低。边信道攻击：过去几年出现了几次边信道攻击，它已经证明可用于恢复验证所使用的HTTP请求和Cookies。通过适应性超文本压缩实现的浏览器侦测和泄漏(BREACH)就是一个例子。BREACH利用压缩和HTPP响应，它们一般都使用gzip等机制压缩。对于可能受到攻击的应用，它必须使用HTTP级压缩，在HTTP响应中加入用户输入，然后暴露HTTP响应体的跨站请求伪造令牌。虽然这在理论上是可行的

5、，但是有一些方法可以抑制这种攻击，因此它的威胁级别也较低。移除SSL，直接通过明文发送数据：2009年出现了一种新的SSL攻击方法，它来自于SSLStrip。这个工具不会让用户看到警告信息，而是充当一个代理服务器的作用，去掉了HTTPS的S(安全性)，这样用户就只能通过HTTP直接访问。SSLStrip还允许攻击者给用户看到加锁网站图标，所以发现错误的唯一方法就是浏览器地址栏只显示HTTP，而不是HTTPS。如果用户没有注意到这个细微差别，那么攻击者就可以访问到受保护的数据。这种攻击的威胁级别属于中级。破解密钥

6、：目前大多数证书都使用1024位或2048位密钥。2048位密钥非常可靠，想要使用一台普通桌面电脑来暴力破解它，这几乎是不可能的。即使如此，已经有报告指出，NationalSecurityAgency已经成功获得了SSL流量的访问。虽然有人认为NSA可能发现了新的量子计算技术，但是这个机构完全有可能直接获得了加密密钥或者在软件和硬件中植入了后门(入口)。NSA及其他访问安全数据的方法的威胁级别还不确定。中间人攻击：这种攻击是一种主动窃听形式，攻击者将通过独立连接访问攻击目标，然后向服务器发送信息。其中一个例子就

7、是Lucky13，它是用传输层安全媒体访问控制计算的13位头信息命名的。虽然这种密文攻击在理论上是可能实现的，但是它要求先控制环境，而且需要很长的时间;所以，它的威胁级别非常低。网络安全管理，需要我们长期的与之斗争，不能松懈，特别是近年来网络技术的飞速发展，网络攻击方法层出不穷，给企业带来新的完全威胁，而小草上网行为管理软路由这样的专业网管软件在流量控制、上网行为管理上有很好的作用，为企业解决了管理难题。