防SSLtrip攻擊是在很多信息安全監(jiān)管機構紛紛發(fā)文要求進一步推進等級保護安全整改、建設工作的情況下，他們對SSLtrip進行研究后而形成的一種有效的解決方案，用以防止SSLtrip造成的危害。

SSLtrip的工作原理

1. 首先SSLtrip的攻擊者需要開啟自己的路由轉發(fā)功能；

2. 然后它向網(wǎng)絡中廣播ARP數(shù)據(jù)包進行ARP欺騙，冒充路由或者網(wǎng)關的MAC地址。這樣所有網(wǎng)絡中的數(shù)據(jù)都會從這個攻擊者處經(jīng)過；

3. 對經(jīng)過它的所有http數(shù)據(jù)中的https連接進行替換，同時記錄下來哪些連接被替換掉了；

4. 攻擊者與客戶端計算機通過http的方式建立連接。這個鏈接會被重定向到攻擊者的另一個端口上；

5. 攻擊者再冒充客戶端與真正的服務器建立https連接；

6. 這樣客戶端與服務器之間的所有數(shù)據(jù)連接都被攻擊者透明的進行了代理轉發(fā)，對于客戶端而言它是服務器，對于服務器而言它是客戶端。

下圖顯示了都有哪些https的連接在ssltrip的攻擊中位替換成了普通的http連接。

7. 為了欺騙客戶端的使用者，所有的瀏覽器中的圖標都會被替換成https的圖標；

8. 這時候客戶端所提交的用戶名、密碼都是明文形式發(fā)送到ssltrip攻擊者的計算機上的。攻擊者就在客戶端毫不知情的情況下竊取到了客戶端的私密信息。

下圖中黑色掩蓋的部分就是被竊取到的機密信息：

攻擊工具介紹

1. 版本 0.2

2. 運行環(huán)境 Linux

3. 需要開啟系統(tǒng)路由轉發(fā)功能

4. 需要開啟防火墻端口重定向功能

防御措施

措施一：由于攻擊更多的發(fā)生在客戶端的網(wǎng)絡中，因此在客戶機上安裝ARP防火墻進行網(wǎng)關MAC地址綁定能夠有效的防止由于arp欺騙所產(chǎn)生的ssltrip攻擊。

推薦的軟件：由于安全衛(wèi)士360安全比較廣泛，因此推薦啟用其中的arp防火墻功能。如果沒有安裝，目前國內外各類防病毒軟件也都有相關功能。

措施二：為了防止通過虛假的圖標信息來欺騙瀏覽器的使用者，因此建議在IE瀏覽器中啟用如下幾項功能。

在firefox中啟動如下幾項功能：

1. 搭建合法的CA服務器或者使用公網(wǎng)的可信CA服務器頒發(fā)有效的SSL證書；

2. 檢查現(xiàn)有ssl服務器中的證書是否有效、是否綁定正確的域名、是否過期等；

3. 在有條件的情況下，啟用SSL的雙向認證功能，即對服務器也對客戶端進行認證增加SSLtrip攻擊的難度；

4. 在網(wǎng)絡的交換機上啟用arp泛洪檢測功能，對于大量發(fā)送ARP廣播包的計算機及時進行安全隔離。對于比較固定的網(wǎng)絡在交換機上進行Mac地址和IP地址的綁定；

5. 在防火墻上開啟http連接數(shù)量限制，對短時間內產(chǎn)生大量http連接的機器自動進行短時拒絕；

6. 在網(wǎng)絡中通過抓包軟件人工分析是否存在不合理的Arp流量存在；

7. 由于該攻擊工具目前還只能夠運行在Linux系統(tǒng)上，需要對網(wǎng)絡中的Linux系統(tǒng)進行重點排查。檢查內容包括：是否有大量的非正常數(shù)據(jù)包和連接存在，是否啟用了路由轉發(fā)功能，防火墻上是否存在端口重定向的規(guī)則。

注意

目前還存在著另一款與其類似的工具，該工具能夠竊聽用戶機密信息，也需要重點關注。該工具的名字叫做SSLsniffer。

SSLtrip攻擊是比較罕見的網(wǎng)絡攻擊手段，希望廣大讀者能夠特別注意，防止和避免此類攻擊的發(fā)生。

 【編輯推薦】

1. 內網(wǎng)網(wǎng)絡安全的解決之道
2. 研究員警告即將發(fā)生Ares木馬感染
3. 自力更生 網(wǎng)絡安全變化需明察秋毫
4. 每天網(wǎng)上流傳木馬可刻錄6000張DVD