首先回溯下SSp攻擊的特點，如下：

1. 需要在局域網(wǎng)環(huán)境中實施該攻擊，因為其前提是ARP欺騙，在廣域網(wǎng)的環(huán)境下，ARP欺騙沒有施展空間;

2. WEB交易頁面的特點是由HTTP頁面跳轉(zhuǎn)至HTTPS頁面，正是這一特點被攻擊者巧妙利用成功實施攻擊;

3. 上述的攻擊過程并沒有真正地攻破SSL加密通道本身，而是巧妙地利用了鏈接的跳轉(zhuǎn);

下面就基于上述這些特點重點探討一下SSp的防御方法。

1. 加密后發(fā)送機密信息：

客戶端與攻擊者之間是HTTP明文通訊，導(dǎo)致攻擊者從客戶端提交過來的數(shù)據(jù)包中剝離出明文的帳號信息。但是如果此時客戶端發(fā)出的帳號信息本身就是加密后的信息，那么攻擊者想要從中截獲用戶輸入的密碼就絕非易事。因此如果交易客戶端能夠保證從客戶端送入HTTP/HTTPS通道的密碼是加密后的密文字符串，就能夠很好地防御SSp攻擊。

例如綠盟科技終端保護系統(tǒng)金融版就采用動態(tài)密鑰加密技術(shù)，將用戶輸入的帳號信息使用動態(tài)密鑰加密后傳入HTTP/HTTPS通道，在防止攻擊者截獲明文密碼的同時，很好地預(yù)防了攻擊者截獲固定密鑰加密后的密文字符串并進行重用的可能性，防御SSp攻擊的效果非常明顯，如圖1所示。

2. 防御ARP欺騙：

前面已經(jīng)講到實施ARP欺騙是SSp攻擊成功的必要條件，因此如果局域網(wǎng)內(nèi)有相應(yīng)的ARP欺騙防御措施，那么也能夠很好地防御SSp。具體如何防御ARP欺騙，有很多免費工具，也有很多專業(yè)的企業(yè)級安全軟件如綠盟科技內(nèi)網(wǎng)安全管理系統(tǒng)，都能夠起到良好的防御效果。

3. URL檢查：

在客戶端顯示頁面的同時檢查相關(guān)的URL是否已被篡改，如果發(fā)現(xiàn)異常則給出安全提示，提醒用戶當(dāng)前鏈接的安全性問題，建議用戶停止交易，或者直接屏蔽后續(xù)頁面的顯示、主動終止交易。在我們進行相關(guān)研究和測試的時候，已經(jīng)發(fā)現(xiàn)有個別WEB交易系統(tǒng)已經(jīng)采用了這種方法來防范此類攻擊。

但攻防總是相對的，如果攻擊者很有針對性，就是要截獲某一特定WEB交易系統(tǒng)的帳號信息，則完全能夠在中間轉(zhuǎn)發(fā)數(shù)據(jù)包的同時過濾掉相關(guān)的檢查代碼，最終讓用戶在明文通訊的情況下完成交易，并成功截獲帳號信息。

4. EV SSL：

采用SSL擴展驗證機制可以使用戶比較醒目地了解到：當(dāng)前網(wǎng)站是否真正的證券交易網(wǎng)站。SSL擴展驗證(EV SSL)證書，英文全名為：Extended Validation SSL Certificate，是全球領(lǐng)先的數(shù)字證書頒發(fā)機構(gòu)和主流的瀏覽器開發(fā)商共同制定的一個新的SSL證書嚴(yán)格身份驗證標(biāo)準(zhǔn)，讓新一代安全瀏覽器(如：IE7)能識別出 EV SSL 而在地址欄顯示為綠色，讓普通消費者能確認(rèn)正在訪問的網(wǎng)站，就是通過權(quán)威第三方嚴(yán)格身份驗證的真正服務(wù)器。

5. PKI數(shù)字證書體系：

PKI數(shù)字證書可以實現(xiàn)網(wǎng)上證券用戶登陸時的身份審核認(rèn)證和交易中的防抵賴。在防止SSLstrip攻擊方面，PKI數(shù)字證書是增強的雙向認(rèn)證，可以有效地驗證正在進行的通訊是否為加密鏈接，驗證對方是否為真正的證券交易服務(wù)器，從而可以在發(fā)現(xiàn)異常時采取控制措施，避免登錄密碼被盜;另一方面，采用數(shù)字證書后網(wǎng)上證券的身份認(rèn)證就不僅僅是用賬戶/登錄密碼就可以的，還要持有正確的證書才能完成，所以攻擊者還要進一步取得用戶的數(shù)字證書，這也加大了攻擊的難度。

各種防御措施的簡單對比

其他方式的SSp攻擊

另一種SSp攻擊方式也是現(xiàn)在大家關(guān)注的熱點，但目前還沒有相關(guān)的成功實驗。

這種SSp攻擊方式是在局域網(wǎng)上使用了一個包含有效SSL證書的代理，使得瀏覽器會在地址欄顯示一個“https”。其次，它使用homographic 技術(shù)創(chuàng)建一個長的URL，在地址中包含了一系列偽造的斜杠。(為防止瀏覽器將這些字符轉(zhuǎn)換成Punycode，他必須獲得一個用于*.ijjk.cn 的通配 SSL 數(shù)字證書)。

結(jié)果是客戶端與攻擊者之間、攻擊者與服務(wù)器之間都是SSL加密通訊，但其中所有的數(shù)據(jù)都是通過攻擊者中繼轉(zhuǎn)發(fā)的，這也就意味著所有的信息對于攻擊者來說都是可見的。

再述SSp攻擊的危害

目前已知的SSp攻擊針對的主要目標(biāo)是交易帳號的密碼信息，但因為客戶端發(fā)出的所有數(shù)據(jù)都是通過攻擊者來轉(zhuǎn)發(fā)，所以實際上攻擊者能夠截獲所有的信息，包含交易信息，進而能夠直接篡改交易信息。但前提是攻擊者有針對性地做了處理，對數(shù)據(jù)進行過濾，剝離出他想要的所有敏感信息。

結(jié)束語

在深入剖析了SSp攻擊之后，希望每一位讀者都能夠樹立這樣的信心：SSp攻擊并不可怕，只要采取得當(dāng)?shù)姆烙胧?，完全可以將SSp攻擊拒之于門外。

【編輯推薦】

1. 保護SQL Server 2005 Express Edition Server
2. 操作系統(tǒng)安全- 信息化咨詢