内网突破SSL嗅探原理探究(原创)

内网突破SSL嗅探原理探究(原创)
fooying(H.U.C)
QQ:413673800
BLOG:http://hi.baidu.com/fooying

  记得上次向大家简单介绍了SSL协议。平常我们如果使用cain等嗅探工具嗅探普通协议传输数据可以轻易做到,但如果使用SSL加密之后,cain等就嗅探不到了。不过,在最近一次黑帽大会上,一位网络安全人员Moxie Marlinspike 发布了一款名为sslstrip的工具,成功解决了这个问题。这是一款linux环境下的工具,由于我不擅长linux操作,今天就只跟大家来讨论下该工具的攻击原理。
  首先要先来了解下SSL协议。SSL协议分为两层:第一层为SSL记录协议,为高层协议提供数据封装、压缩、加密等基本功能支持;第二层为SSL握手协议,用于实际传输数据中通讯双方的身份认证、协商机密算法等。其中关键的是握手协议。至于SSL协议的应用,在的我的文章《小谈SSL安全协议》(http://hi.baidu.com/fooying/blog/item/5be61fedc2b3c73dadafd570.html)中已经介绍过了,这不多说。要说明的是那篇文章中提到的QQ邮箱的SSL协议使用方法为主动式加密,而另一种相对的就是被动式,如图。


  以上的知识大家了解下有助于下面的理解。下面介绍下SSLstrip的攻击原理。一般采用SSL加密的网站开始时未采用SSL加密,只有在传输某些敏感数据时才会采用SSL加密,此时网址从http变为https,如上文中的被动加密。而SSLstrip的本质是中间人攻击,即在http到https的转变中间进行欺骗,通过ARP欺骗来实现。他通过监视被欺骗的主机的http传输工作,当发现其试图加密即采用https传输数据时,它就适时的介入中间,充当代理作用,然后主机认为安全会话开始,这是上文中的被动加密的提示就不会出现了,SSLstrip也通过https连接了安全服务器。那么所有用户到SSLstrip的连接时http,所有的传输数据就能被拦截。如图


  由于该工具为linux环境下工具,本人对linux操作不太熟悉,攻击方法就不介绍,有兴趣的可以去网上搜索下相关文章。SSLstrip的下载地址为:http://www/thoughtcrime.org/software/sslstrip。大家需要注意一点,该工具的攻击使用只限于内网linux环境。如果文章有错,欢迎告诉我。



用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
最后编辑沉很 最后编辑于 2010-07-21 17:04:17