• / 22
  • 下载费用:5 金币  

26系统中的SSL中间人攻防分析.pptx

关 键 词:
26 系统 中的 SSL 中间人 攻防 分析
资源描述:
系统中的SSL中间人攻防分析,谢偲 2015140048任志强 2015140047嵇程 2015141031,二、SSL中间人攻击原理,三、SSL中间人攻击的防御,一、SSL中间人攻击概述,一、SSL中间人攻击概述,,一、SSL中间人攻击概述,中间人攻击(Man-in-the-Middle Attack],简称“MITM 攻击”) 是一种间接攻击模式,通过各种技术手段将攻击者控制的计算机虚拟放置在网络连接中的两台通信计算机之间,攻击者与原始计算机建立活动连接并允许其读取或修改传递的信息,而两个原始计算机用户却认为他们是在互相通信,这种“拦截数据—修改数据—发送数据”的过程,就称为“会话劫持” 。SSL(安全套接层)的中间人攻击分为两个阶段,一是通过ARP欺骗或其他方法实现会话劫持,二是利用SSL在实际应用中建立安全连接时证书认证不完善的缺陷,通过伪造或自签名证书进行中间人欺骗和攻击,二、SSL中间人攻击原理,三、SSL中间人攻击的防御,一、SSL中间人攻击概述,二、SSL中间人攻击原理,SSL中间人攻击方法,1,系统中SSL中间人攻击实现原理,2,SSL中间人攻击具体实例,3,4,SSL中间人攻击可行性分析,二、SSL中间人攻击原理,SSL中间人攻击方法,1,⒈密钥伪造攻击,⒉降级攻击,SSL中间人攻击方法,1,二、SSL中间人攻击原理,中间人通过某种方法改变客户端和服务器之间的通信流向,所有通信由中间人主机进行转发。服务器和客户端之间并没有真正意义上的直接通信,服务器和客户端之间都不知道中间人的存在。中间人可以窃听服务器,客户端的通信,还可以对信息进行改动再传给对方,从而实现进一步攻击,中间人通过修改客户端和服务器之间的通信数据,令客户端和服务器仅使用低安全级别的信息保护,降低攻击难度。,SSL中间人攻击方法,1,系统中SSL中间人攻击实现原理,2,SSL中间人攻击具体实例,3,4,SSL中间人攻击可行性分析,2,SSL中间人攻击可行性分析,二、SSL中间人攻击原理,«,二、SSL中间人攻击原理,2,SSL中间人攻击可行性分析,首先,SSL握手协议需要对服务器的证书进行认证。客户端接收到服务器的证书信息后,会根据本地计算机的证书链一级一级地往上追查其根证书的合法性。如果顺利通过证书链的考验,则客户端视此证书发送方为合法服务器。如果出现安全提示,提示用户当前发送方所发送的证书为未知证书,无法验证其合法性。,«,二、SSL中间人攻击原理,2,SSL中间人攻击可行性分析,,当我们收到这些警告时,由于我们日常使用电脑的过程中会频繁出现这些警告,从而导致安全意识比较薄弱,因而忽略了它的危险信息,通常会选择继续会话。如果中间人把服务器证书替换为自己的数字证书发送给客户端,通过认证的几率很大,从而实现对客户端和服务器间会话窃听。,SSL中间人攻击方法,1,系统中SSL中间人攻击实现原理,2,SSL中间人攻击具体实例,3,4,SSL中间人攻击可行性分析,二、SSL中间人攻击原理,系统中SSL中间人攻击实现原理,3,数据包的拦截和转发:,使用Openssl库来实现,它支持绝大多数加密算法,以及CA证书的管理和签名,安装它的开发包后,可以直接利用库中的API,实现SSL连接和SSL会话,Ⅰ.ARP欺骗,服务器和客户端的伪装:,密钥伪造攻击,,Ⅱ.客户端植入木马,二、SSL中间人攻击原理,3,系统中SSL中间人攻击实现原理,二、SSL中间人攻击原理,系统中SSL中间人攻击实现原理,3,(1).ARP欺骗,二、SSL中间人攻击原理,系统中SSL中间人攻击实现原理,3,(2).客户端植入木马,在Winsock 2.0引入SPI编程接口,Winsock API通过API接口实现数据包传输质量的控制。只需要实现SPI编程接口的函数,就可以实现对数据网络包的拦截,SSL中间人攻击方法,1,系统中SSL中间人攻击实现原理,2,SSL中间人攻击具体实例,3,4,SSL中间人攻击可行性分析,二、SSL中间人攻击原理,SSL中间人攻击具体实例,4,:,“,二、SSL中间人攻击原理,SSL中间人攻击具体实例,4,客户端:windows 7搜狗浏览器,服务器:北京邮电大学研究生院,攻击工具:CAIN,:,“,二、SSL中间人攻击原理,SSL中间人攻击具体实例,4,首先在SNIFFER窗口中进行一次本网段的扫描探测,:,“,二、SSL中间人攻击原理,SSL中间人攻击具体实例,4,获取到IP地址与MAC地址的对应关系后,继续到ARP的子窗口中,选择添加欺骗主机在窗口左边选中当前网络的网关IP地址就是10.210.85.104,选中生效后得到下图,这时该电脑已经处于被监控当中。,:,“,二、SSL中间人攻击原理,SSL中间人攻击具体实例,4,这时在另一台电脑上登上研究生信息管理入口。,:,“,二、SSL中间人攻击原理,SSL中间人攻击具体实例,4,这时在攻击工具CAIN里面可以看到另一台电脑登录该网站的账号的密码,实现拦截功能。,二、SSL中间人攻击原理,三、SSL中间人攻击的防御,一、SSL中间人攻击概述,三、SSL中间人攻击的防御,三、SSL中间人攻击的防御,,,,通过其他安全通信的方法传递临时验证码,使用此验证码作为服务器验证的一部分,并改进会话密钥生成算法。,利用服务器与用户的共享秘密(如用户账号和密码等),增加一系列认证。,谢谢大家!,
展开阅读全文
1
  金牌文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:26系统中的SSL中间人攻防分析.pptx
链接地址:http://www.gold-doc.com/p-256721.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们
copyright@ 2014-2018 金牌文库网站版权所有
经营许可证编号:浙ICP备15046084号-3
收起
展开