内网突破SSL嗅探原理探究（原创）
fooying(H.U.C)
QQ：413673800
BLOG:http://hi.baidu.com/fooying

  记得上次向大家简单介绍了SSL协议。平常我们如果使用cain等嗅探工具嗅探普通协议传输数据可以轻易做到，但如果使用SSL加密之后，cain等就嗅探不到了。不过，在最近一次黑帽大会上，一位网络安全人员Moxie Marlinspike 发布了一款名为sslstrip的工具，成功解决了这个问题。这是一款linux环境下的工具，由于我不擅长linux操作，今天就只跟大家来讨论下该工具的攻击原理。
  首先要先来了解下SSL协议。SSL协议分为两层：第一层为SSL记录协议，为高层协议提供数据封装、压缩、加密等基本功能支持；第二层为SSL握手协议，用于实际传输数据中通讯双方的身份认证、协商机密算法等。其中关键的是握手协议。至于SSL协议的应用，在的我的文章《小谈SSL安全协议》（http://hi.baidu.com/fooying/blog ... b3c73dadafd570.html）中已经介绍过了，这不多说。要说明的是那篇文章中提到的QQ邮箱的SSL协议使用方法为主动式加密，而另一种相对的就是被动式，如图。



  以上的知识大家了解下有助于下面的理解。下面介绍下SSLstrip的攻击原理。一般采用SSL加密的网站开始时未采用SSL加密，只有在传输某些敏感数据时才会采用SSL加密，此时网址从http变为https，如上文中的被动加密。而SSLstrip的本质是中间人攻击，即在http到https的转变中间进行欺骗，通过ARP欺骗来实现。他通过监视被欺骗的主机的http传输工作，当发现其试图加密即采用https传输数据时，它就适时的介入中间，充当代理作用，然后主机认为安全会话开始，这是上文中的被动加密的提示就不会出现了，SSLstrip也通过https连接了安全服务器。那么所有用户到SSLstrip的连接时http，所有的传输数据就能被拦截。如图


下载 (12.42 KB)
3 天前 17:39


  由于该工具为linux环境下工具，本人对linux操作不太熟悉，攻击方法就不介绍，有兴趣的可以去网上搜索下相关文章。SSLstrip的下载地址为：http://www/thoughtcrime.org/software/sslstrip。大家需要注意一点，该工具的攻击使用只限于内网linux环境。如果文章有错，欢迎告诉我。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQPinyin 730; 360SE)