日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
OpenSSL漏洞簡(jiǎn)述與網(wǎng)絡(luò)檢測(cè)方法

一、CVE-2014-0160漏洞背景

在鄂托克前等地區(qū),都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局,加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力,以專注、極致的服務(wù)理念,為客戶提供成都網(wǎng)站建設(shè)、成都網(wǎng)站制作 網(wǎng)站設(shè)計(jì)制作定制網(wǎng)站建設(shè),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站制作,全網(wǎng)整合營(yíng)銷推廣,外貿(mào)營(yíng)銷網(wǎng)站建設(shè),鄂托克前網(wǎng)站建設(shè)費(fèi)用合理。

2014年4月7日OpenSSL發(fā)布了安全公告,在OpenSSL1.0.1版本中存在嚴(yán)重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模塊存在一個(gè)BUG,問題存在于ssl/dl_both.c文件中的心跳部分,當(dāng)攻擊者構(gòu)造一個(gè)特殊的數(shù)據(jù)包,滿足用戶心跳包中無法提供足夠多的數(shù)據(jù)會(huì)導(dǎo)致memcpy函數(shù)把SSLv3記錄之后的數(shù)據(jù)直接輸出,該漏洞導(dǎo)致攻擊者可以遠(yuǎn)程讀取存在漏洞版本的OpenSSL服務(wù)器內(nèi)存中多達(dá)64K的數(shù)據(jù)。

在目前已有的資料中,國(guó)內(nèi)外同行已經(jīng)稱本漏洞為 “擊穿心臟”、“毀滅級(jí)”、“今年最嚴(yán)重”的漏洞。由于SSL協(xié)議是網(wǎng)絡(luò)加密登陸認(rèn)證、網(wǎng)絡(luò)交易等的主流安全協(xié)議,而OpenSSL又是主流的SSL搭建平臺(tái)。因此這些稱呼好不為過,建議各網(wǎng)絡(luò)服務(wù)提供者、管理機(jī)構(gòu)和用戶高度注意本漏洞的處理情況,希望廣大用戶做出相應(yīng)的對(duì)策。

二、OpenSSL受影響版本的分布

根據(jù)已經(jīng)公開的信息,該漏洞影響分布情況如下。

OpenSSL 1.0.1f (受影響)

OpenSSL 1.0.2-beta (受影響)

OpenSSL 1.0.1g (不受影響)

OpenSSL 1.0.0 branch (不受影響)

OpenSSL 0.9.8 branch (不受影響)

三、處置建議

1、針對(duì)網(wǎng)絡(luò)管理員,可以做的事情包括

鑒于本漏洞的嚴(yán)重程度,如果確定本漏洞存在,對(duì)一般性的網(wǎng)絡(luò)服務(wù)者,暫停服務(wù)進(jìn)行處置是一種較好的應(yīng)對(duì)策略。

如果確定本漏洞存在,又必須保證服務(wù)不能停止,可以在漏洞修補(bǔ)過程中,暫時(shí)停止https服務(wù),改用http服務(wù),但這會(huì)帶來相關(guān)認(rèn)證信息明文傳輸?shù)娘L(fēng)險(xiǎn),具體利害需要做出謹(jǐn)慎的判斷權(quán)衡。

具體修補(bǔ)方式為:

OpenSSL版本升級(jí)到最新的1.0.1g

重新生成你的私鑰

請(qǐng)求和替換SSL的證書

也可以使用-DOPENSSL_NO_HEARTBEATS參數(shù)重新編譯低版本的OpenSSL以禁用Heartbleed模塊

最新版本升級(jí)地址為:https://www.openssl.org/source/. (OpenSSL官方)

2、針對(duì)普通網(wǎng)絡(luò)用戶,我們鄭重提出的建議包括

鑒于本漏洞的嚴(yán)重程度,在不能確定你所網(wǎng)站和服務(wù)修補(bǔ)了本漏洞的情況下,在未來2~3天內(nèi)(2014年4月9日日起)不登陸,不操作是一種較好的應(yīng)對(duì)策略(這些操作包括網(wǎng)購(gòu)、網(wǎng)銀支付等)。

如果你必須進(jìn)行操作,可以關(guān)注這些網(wǎng)站和服務(wù)的修改情況。

一些手機(jī)客戶端的登陸,是對(duì)SSL的封裝,因此手機(jī)登錄也不安全。

其他安全企業(yè)團(tuán)隊(duì)會(huì)公布目前仍有問題的站點(diǎn)、或沒有問題的站點(diǎn)情況,請(qǐng)予以關(guān)注。

四、分析與驗(yàn)證

目前該漏洞的利用和驗(yàn)證腳本已經(jīng)可以被廣泛獲取,地址包括。

http://fi****o.io/Heartbleed/ (web測(cè)試頁(yè)面)

http://s3. ****guin.org/ssltest.py (python腳本)

http:// **.* u u.com/s/1nt3BnVB (python腳本)

盡管從安全團(tuán)隊(duì)的角度,我們不適宜明文傳播這些地址,但我們必須提醒用戶的是,幾乎所有的攻擊者都已經(jīng)擁有了相關(guān)資源,在過去24小時(shí)內(nèi),這一漏洞已經(jīng)遭到了極為廣泛的探測(cè)和嘗試。相信大多數(shù)有漏洞的站點(diǎn)均遭到了不止一次的攻擊。

鑒于該漏洞的嚴(yán)重程度和攻擊爆發(fā)事件,我們不得不打破搭建環(huán)境,測(cè)試驗(yàn)證的管理,

在第一時(shí)間,選擇相對(duì)“輕量級(jí)”的網(wǎng)站做出直接驗(yàn)證,以分析其實(shí)際后果敏感信息。通過網(wǎng)絡(luò)中已有的測(cè)試方法,我們尋找到幾個(gè)存在問題的網(wǎng)站進(jìn)行分析,為了避免行為失當(dāng),我們沒有選擇與金融、交易相關(guān)的站點(diǎn)。

存在問題的網(wǎng)站地址:

Ap***.*****.gov.cn (測(cè)試時(shí)間為2014-04-09 01:00)

my-****.in (測(cè)試時(shí)間為2014-04-09 01:10)

www.shu****.cn (測(cè)試時(shí)間為2014-04-09 01:15)

git****.com (測(cè)試時(shí)間為2014-04-09 01:20)

feng*****.com (測(cè)試時(shí)間為2014-04-09 01:30)

獲取回來的相關(guān)信息情況如下:

圖 1 測(cè)試網(wǎng)站1

通過漏洞利用工具發(fā)送數(shù)據(jù)后,返回的數(shù)據(jù)中可以看到有內(nèi)網(wǎng)IP地址、路徑等信息。

圖 2 測(cè)試網(wǎng)站2

通過漏洞利用工具發(fā)送數(shù)據(jù)后,返回的數(shù)據(jù)中可以看到有APP信息、cookie信息和用戶名信息等。

圖 3 測(cè)試網(wǎng)站3

通過漏洞利用工具發(fā)送數(shù)據(jù)后,返回的數(shù)據(jù)中可以看到有手機(jī)號(hào)碼等。

圖 4 測(cè)試網(wǎng)站4

通過漏洞利用工具發(fā)送數(shù)據(jù)后,返回的數(shù)據(jù)中可以看到有信箱和密碼等信息。

通過上面的幾個(gè)網(wǎng)站的分析測(cè)試,發(fā)現(xiàn)該漏洞確實(shí)可以獲取到帶有敏感信息的內(nèi)存內(nèi)容。例如:用戶的cookie信息、內(nèi)網(wǎng)IP地址、用戶名、密碼、手機(jī)號(hào)、信箱等。如攻擊者利用此漏洞對(duì)網(wǎng)絡(luò)交易、證券、銀行等網(wǎng)絡(luò)進(jìn)行攻擊,那么將會(huì)獲取到用戶名、密碼、銀行賬號(hào)等敏感信息。再次提醒網(wǎng)站管理員和使用SSL協(xié)議連接網(wǎng)站的用戶請(qǐng)盡快按照我們的處置建議進(jìn)行操作。

五、網(wǎng)絡(luò)檢測(cè)相關(guān)方法

通用Snort規(guī)則檢測(cè)

由于眾所周知的SSL協(xié)議是加密的,我們目前沒有找到提取可匹配規(guī)則的方法,我們嘗試編寫了一條基于返回?cái)?shù)據(jù)大小的檢測(cè)規(guī)則,其有效性我們會(huì)繼續(xù)驗(yàn)證,如果有問題歡迎反饋。

alert tcp $EXTERNAL_NET any -> $HOME_NET 443 (msg:"openssl Heartbleed attack";flow:to_server,established; content:"|18 03|"; depth: 3; byte_test:2, >, 200, 3, big; byte_test:2, <, 16385, 3, big; threshold:type limit, track by_src, count 1, seconds 600; reference:cve,2014-0160; classtype:bad-unknown; sid:20140160; rev:2;)

Snort規(guī)則說明:此次漏洞主要針對(duì)的SSL協(xié)議。是針對(duì)心跳數(shù)據(jù)包前4個(gè)字節(jié)中包含\x18\x03,而在數(shù)據(jù)包第5個(gè)字節(jié)和第6個(gè)字節(jié)的數(shù)值按大尾模式轉(zhuǎn)化成數(shù)值在200和16385之間,在后面則是一些報(bào)警和過濾功能,日志記錄里,每10分鐘記錄一次。

行為檢測(cè)

從公共網(wǎng)絡(luò)管理者的角度,可以從同一IP短時(shí)間探測(cè)多個(gè)443端口的網(wǎng)絡(luò)連接角度進(jìn)行檢測(cè)。這樣可以發(fā)現(xiàn)攻擊者或肉雞的大面積掃描行為。

另外由于攻擊者可能定期性的進(jìn)行數(shù)據(jù)持續(xù)獲取,也可以從連接持續(xù)規(guī)律的時(shí)間性和首發(fā)數(shù)據(jù)數(shù)量的對(duì)比的角度進(jìn)行檢測(cè)。

其他

是否相關(guān)攻擊的主機(jī)痕跡和取證方式,我們正在驗(yàn)證。


分享名稱:OpenSSL漏洞簡(jiǎn)述與網(wǎng)絡(luò)檢測(cè)方法
本文路徑:http://www.dlmjj.cn/article/dpsghdo.html