如何防御SSL中间人攻击?
SSL中间人攻击的三大场景 事实上,SSL被设计得十分安全,想要攻破并不容易。SSL是为网络通信提供安全及数据完整性的一种安全协议,它可以验证参与通讯的一方或双方使用的证书是否由权威受信任的数字证书认证机构颁发,并且能执行双向身份认证。 而我们现在常见的SSL中间人攻击方式都是通过伪造、剥离SSL证书来实现的。
换句话说,一旦发生SSL中间人攻击事件,问题并不出在SSL协议或者SSL证书本身,而是出在SSL证书的验证环节。中间人攻击的前提条件是,没有严格对证书进行校验,或者人为的信任伪造证书,因此以下场景正是最容易被用户忽视的证书验证环节: 场景一:网站没有使用SSL证书,网站处于HTTP明文传输的“裸奔”状态。
这种情况黑客可直接通过网络抓包的方式,明文获取传输数据。 场景二:黑客通过伪造SSL证书的方式进行攻击,用户安全意识不强选择继续操作。 受SSL证书保护的网站,浏览器会自动查验SSL证书状态,确认无误浏览器才会正常显示安全锁标志。而一旦发现问题,浏览器会报各种不同的安全警告。 例如,SSL证书不是由浏览器中受信任的根证书颁发机构颁发的,或者此证书已被吊销,此证书网站的域名与根证书中的域名不一致,浏览器都会显示安全警告,建议用户关闭此网页,不要继续浏览该网站。
场景三:黑客伪造SSL证书,网站/APP只做了部分证书校验,导致假证书蒙混过关。 例如,在证书校验过程中只做了证书域名是否匹配,或者证书是否过期的验证,而不是对整个证书链进行校验,那么黑客就可以轻松生成任意域名的伪造证书进行中间人攻击。 如何防御SSL中间人攻击? 首先,真正的HTTPS是不存在SSL中间人攻击的,因此首当其冲的是要确定网站有SSL证书的保护。
那么用户如何判断网站有没有SSL证书保护呢? 可使用https:// 正常访问。 浏览器显示醒目安全锁,点击安全锁,可查看网站真实身份。 使用了EV SSL证书的网站,显示绿色地址栏。 如果用户访问的网站呈现以上特征,说明该网站已受SSL证书保护。 其次,采用权威CA机构颁发的受信任的SSL证书。
数字证书颁发机构CA是可信任的第三方,在验证申请者的真实身份后才会颁发SSL证书,可以说是保护用户信息安全的第一道关口。 最后,对SSL证书进行完整的证书链校验。如果是浏览器能识别的SSL证书,则需要检查此SSL证书中的证书吊销列表,如果此证书已经被证书颁发机构吊销,则会显示警告信息:“此组织的证书已被吊销。
安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。” 如果证书已经过了有效期,一样会显示警告信息:“此网站出具的安全证书已过期或还未生效。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。” 如果证书在有效期内,还须检查部署此SSL证书的网站域名是否与证书中的域名一致。
如果以上都没有问题,浏览器还会查询此网站是否已经被列入欺诈网站黑名单,如果有问题也会显示警告信息。 总而言之,企业能够做到证书部署和校验环节完整,个人用户能够认真观察HTTPS安全标识,识别证书真实性、有效期等信息,HTTPS几乎是无法攻破的,所谓的SSL中间人攻击就是一个伪命题。 在网络安全事件频发的时代,部署HTTPS已是大势所趋,它用复杂的传输方式降低网站被攻击劫持的风险。
量子通信能不能防止中间人攻击?
这问题还是我自己来回答吧。首先说说什么是中间人攻击。如图所示,当杰克与爱丽丝通话时,鲍勃在中间截取信息。杰克喊出“喂!爱丽丝”,鲍勃听到后就模仿杰克的声音向爱丽丝喊出“喂!爱丽丝”。爱丽丝听到声音后,以为时杰克同他通话,所有就回复“我是爱丽丝”。鲍勃听到“我是爱丽丝”后,就用爱丽丝的声音(他会模仿各种人的声音)向杰克喊话“我是爱丽丝”。
杰克听到这个声音,就以为爱丽丝同他通话,于是双方就快乐地聊起了,完全不察觉他们的通话被监听。这就是中间人攻击。下面说说量子通信。量子通信也是一种通信的手段。在通信的线路上,如果有人在窃听,那么量子就会坍塌,数据就不会正常传输到对方。如图所示,鲍勃仅仅时窃听他们对话。如果是传通的电缆或者光纤通信,那么鲍勃完全可以窃听他们的通话。
但是如果量子通信,那么鲍勃的行为导致量子坍塌,杰克和爱丽丝立即可以发现被人窃听。但是,如果鲍勃不是仅仅的窃听,而是充当中间人,那么即使量子发生坍塌,鲍勃可以复制一个新的量子传递到对方。因此,即使是量子通信,通信双方也无法察觉被窃听。所以说,不管何种通信,中间人攻击都可以生效,唯一的解决办法是使用对称或者非对称的加密手段,保证信息的安全。
如何有效避免“中间人”攻击方式?
网络域名管理者互联网名称与数字地址分配机构(ICANN)近日发布警告称,DNS基础设施的关键部分存在持续且重大的安全更新。ICANN通过域名系统(DNS)来监督管理全球的互联网通信地址,系统将用户在浏览器中输入的地址转换成为唯一的数字地址,从而让用户访问对应的网站。不过ICANN本周五发布公告称,DNS基础设施正成为“恶意活动”的攻击目标。
针对此类DNS攻击,ICANN呼吁全面部署“域名系统安全扩展”(DNSSEC)。 DNSSEC是一种对数据进行数字“签名”的有效技术,可以阻止受害者重定向至恶意网站。通过部署DNSSEC,可以有效阻止“中间人”攻击方式。通过这种攻击方式,欺诈者可以将受害者重定向至精心制作的虚假网站,并诱骗他们提供登录凭证、付款信息以及其他个人信息。
中间人攻击能窃取任何软件和网页信息吗?
中间人是确实可以监控所有信息,但信息并不是都是明文的,比如https,只有有相同证书的两个才能互相看懂,这只是传输过程中的加密,数据本身也会有加密的,打个比方,一般登录的时候,密码都是md5,sha,rsa等方式加密,重要信息基本都是加密过了的,除了有私匙,已现在的计算机算力基本不可能解密。如果数据明文传输,也没采用安全的传输方式,中间人可以为所欲为,所以我们开发的时候,还是应该注意数据安全。
