SSL的中間人攻擊防范措施

    1 中間人攻擊概述

    中間人攻擊（Man-in-the-Middle Attack， MITM）是一種由來已久的網絡入侵手段，並且在今天仍然有著廣泛的發展空間，如SMB會話劫持、DNS欺騙等攻擊都是典型的MITM攻擊。簡而言之，所 謂的MITM攻擊就是通過攔截正常的網絡通信數據，並進行數據篡改和嗅探，而通信的雙方卻毫不知情。

    隨著計算機通信網技術的不斷發展，MITM攻擊也越來越多樣化。最初，攻擊者只要將網卡設為混雜模式，偽裝成代理服務器監聽特定的流量就可以實現攻擊，這是因為很多通信協議都是以明文來進行傳輸的，如HTTP、FTP、Telnet等。後來，隨著交換機代替集線器，簡單的嗅探攻擊已經不能成功，必須先進行ARP欺騙才行。如今，越來越多的服務商（網上銀行，郵箱登陸）開始采用加密通信，SSL（Secure Sockets Layer 安全套接層）是一種廣泛使用的技術，HTTPS、FTPS等都是建立在其基礎上的。筆者將以常見的Gmail郵箱登陸為例，探討針對SSL的MITM攻擊的兩種實現方式。

    2  環境的搭建

    網絡環境：

    網關：192.168.18.254；

    攻擊主機：192.168.18.102，VMware虛擬機；

    被攻擊主機：192.168.18.100，Windows7，IE9；

    攻擊目標：

    Gmail郵箱登陸 （HTTPS協議）

    賬戶：[email protected]

    密碼：abcd7890

    3 兩種針對SSL的中間人攻擊

    Cain & Abel

    Cain&Abel是由Oxid.it公司開發的一款針對Microsoft操作系統的網絡攻擊利器，它操作簡單、功能強大，尤以ARP欺騙攻擊著稱。Cain不僅能實現針對HTTP的MITM攻擊，也能對HTTPS進行攻擊。基本的攻擊過程為：

    ARP欺騙，使得攻擊者能截獲所有目標主機的網絡流量；

    攻擊者不是一個簡單的中繼，一方面它在服務器端與浏覽器進行SSL握手，同時作為一個SSL客戶又與目標服務器進行另一次SSL握手；

    通過建立兩條SSL連接，使得攻擊者成為一個“中間人”。

    由於SSL握手時要通過證書來驗證彼此的身份，攻擊者並不知道目標服務器所使用的私鑰，在這種情況下，要成功實施攻擊，攻擊者必須進行證書的偽造，浏覽器通常會向用戶發出警告，並由用戶自行決定是否信任該證書。下面進行詳細的圖文說明。

    正常Gmail的登陸畫面。