瑞星卡卡安全论坛

首页 » 技术交流区 » 入侵防御(HIPS) » 内网突破SSL嗅探原理探究(原创)
沉很 - 2010-7-19 17:31:00
内网突破SSL嗅探原理探究(原创)
fooying(H.U.C)
QQ:413673800
BLOG:http://hi.baidu.com/fooying

  记得上次向大家简单介绍了SSL协议。平常我们如果使用cain等嗅探工具嗅探普通协议传输数据可以轻易做到,但如果使用SSL加密之后,cain等就嗅探不到了。不过,在最近一次黑帽大会上,一位网络安全人员Moxie Marlinspike 发布了一款名为sslstrip的工具,成功解决了这个问题。这是一款linux环境下的工具,由于我不擅长linux操作,今天就只跟大家来讨论下该工具的攻击原理。
  首先要先来了解下SSL协议。SSL协议分为两层:第一层为SSL记录协议,为高层协议提供数据封装、压缩、加密等基本功能支持;第二层为SSL握手协议,用于实际传输数据中通讯双方的身份认证、协商机密算法等。其中关键的是握手协议。至于SSL协议的应用,在的我的文章《小谈SSL安全协议》(http://hi.baidu.com/fooying/blog/item/5be61fedc2b3c73dadafd570.html)中已经介绍过了,这不多说。要说明的是那篇文章中提到的QQ邮箱的SSL协议使用方法为主动式加密,而另一种相对的就是被动式,如图。


  以上的知识大家了解下有助于下面的理解。下面介绍下SSLstrip的攻击原理。一般采用SSL加密的网站开始时未采用SSL加密,只有在传输某些敏感数据时才会采用SSL加密,此时网址从http变为https,如上文中的被动加密。而SSLstrip的本质是中间人攻击,即在http到https的转变中间进行欺骗,通过ARP欺骗来实现。他通过监视被欺骗的主机的http传输工作,当发现其试图加密即采用https传输数据时,它就适时的介入中间,充当代理作用,然后主机认为安全会话开始,这是上文中的被动加密的提示就不会出现了,SSLstrip也通过https连接了安全服务器。那么所有用户到SSLstrip的连接时http,所有的传输数据就能被拦截。如图


  由于该工具为linux环境下工具,本人对linux操作不太熟悉,攻击方法就不介绍,有兴趣的可以去网上搜索下相关文章。SSLstrip的下载地址为:http://www/thoughtcrime.org/software/sslstrip。大家需要注意一点,该工具的攻击使用只限于内网linux环境。如果文章有错,欢迎告诉我。



用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
荔枝饭饭 - 2010-7-19 20:29:00
楼主,图片看不到,麻烦重新上传下图片给看看吧http://bbs.ikaka.com/showtopic-8616820.aspx:kaka18:
看你的文章说明了SSL协议的主动加密式,这种主动加密可以用在防火墙中么?被动式的没看到,目前还没有一个无懈可击的协议不?对于协议这方面我比较菜,如果问的不对路还望见谅:kaka19:
侠客1573 - 2010-7-21 8:33:00
像 大型网站一般都是屏蔽 外联的  建议直接上传 图片  这样就好了 呵呵 初衷很好就是有点问题  值得表扬呀
1
查看完整版本: 内网突破SSL嗅探原理探究(原创)