防止SSLtrip造成的危害的妙方(2)

　　防御措施

　　措施一：由于攻擊更多的發(fā)生在客戶端的網(wǎng)絡(luò)中，因此在客戶機(jī)上安裝ARP防火墻進(jìn)行網(wǎng)關(guān)MAC地址綁定能夠有效的防止由于arp欺騙所產(chǎn)生的ssltrip攻擊。

　　推薦的軟件：由于安全衛(wèi)士360安全比較廣泛，因此推薦啟用其中的arp防火墻功能。如果沒(méi)有安裝，目前國(guó)內(nèi)外各類防病毒軟件也都有相關(guān)功能。

　　措施二：為了防止通過(guò)虛假的圖標(biāo)信息來(lái)欺騙瀏覽器的使用者，因此建議在IE瀏覽器中啟用如下幾項(xiàng)功能。

　　在firefox中啟動(dòng)如下幾項(xiàng)功能：

　　1. 搭建合法的CA服務(wù)器或者使用公網(wǎng)的可信CA服務(wù)器頒發(fā)有效的SSL證書;

　　2. 檢查現(xiàn)有ssl服務(wù)器中的證書是否有效、是否綁定正確的域名、是否過(guò)期等;

　　3. 在有條件的情況下，啟用SSL的雙向認(rèn)證功能，即對(duì)服務(wù)器也對(duì)客戶端進(jìn)行認(rèn)證增加SSLtrip攻擊的難度;

　　4. 在網(wǎng)絡(luò)的交換機(jī)上啟用arp泛洪檢測(cè)功能，對(duì)于大量發(fā)送ARP廣播包的計(jì)算機(jī)及時(shí)進(jìn)行安全隔離。對(duì)于比較固定的網(wǎng)絡(luò)在交換機(jī)上進(jìn)行Mac地址和IP地址的綁定;

　　5. 在防火墻上開(kāi)啟http連接數(shù)量限制，對(duì)短時(shí)間內(nèi)產(chǎn)生大量http連接的機(jī)器自動(dòng)進(jìn)行短時(shí)拒絕;

　　6. 在網(wǎng)絡(luò)中通過(guò)抓包軟件人工分析是否存在不合理的Arp流量存在;

　　7. 由于該攻擊工具目前還只能夠運(yùn)行在Linux系統(tǒng)上，需要對(duì)網(wǎng)絡(luò)中的Linux系統(tǒng)進(jìn)行重點(diǎn)排查。檢查內(nèi)容包括：是否有大量的非正常數(shù)據(jù)包和連接存在，是否啟用了路由轉(zhuǎn)發(fā)功能，防火墻上是否存在端口重定向的規(guī)則。

　　提示

　　目前還存在著另一款與其類似的工具，該工具能夠竊聽(tīng)用戶機(jī)密信息，也需要重點(diǎn)關(guān)注。該工具的名字叫做SSLsniffer