漏洞基于“心跳滴血”原理的网络安全危害及对策研究

精品文档可编辑 值得下载

基于“心跳滴血”原理的网络安全危害及对

策研究

【摘要】 随着信息技术的不断发展网络安全漏洞问题越来越受到技术人员的关注。一方面防御者不断地完善网络系统另一方面攻击者也在利用修复空隙实施不间断地恶意攻击。如何在新漏洞上抢占先机成为信息安全领域的攻防双方必争之地。论文通过对Heartbleed发现背景、危害程度、安全影响和防御手法分段阐述通过相关数据分析漏洞特点和波及范围直观呈现“心跳滴血”发生一年来对计算机网络产生的影响和改变。

【关键词】 网络安全漏洞防御

1 引言

2014年4月7日 谷歌安全部门研究人员尼尔・梅塔发现OpenSSL开放性安全套接层心跳扩展功能的源代码中存在安全漏洞它可以从特定服务器中随机获取64K工作日志取名为“心跳滴血”。随后一名19岁加拿大计算机科学专业学生被指控利用OpenSSL的“心跳滴血”漏洞实施网络攻击而遭到逮捕他是第一位因“心跳滴血”攻击被捕的黑客围绕“心跳滴血”的攻防战从此拉开帷幕。

2漏洞分析

1/5

精品文档可编辑 值得下载

OpenSSL是一个开源的安全套接字层数据库包含各类密码算法、密钥、证书封装管理、 网络加密通信服务和安全套接字协议向用户提供信息数据加密、 网络信息完整性保护、安全身份认证等安全服务。“心跳滴血”源于201 1年德国一名程序员编写在OpenSSL中心跳扩展功能中的代码。然而其被发现使得提供保密服务的OpenSSL成为了泄露秘密信息的缺口。

“心跳滴血”利用OpenSSL的Heratbeat连接测试功能运用协议数据包篡改技术构建长度伪造的“恶意”数据包发送至存在漏洞的服务器服务器无条件信任收到数据包的长度从内存申请填充攻击者要求长度的字段作为回复数据从而诱导服务器溢出反馈随机内存数据块其中就可能包括用户名、密码等重要敏感信息。“心跳滴血”攻击实施过程也是隐蔽的。攻击传送的心跳数据包较小发生在数据传输的极早时期 日志中不会记录数据包情况攻击实施完成后用户甚至对已造成的损失全然不知。我们通过分析漏洞发现至今的数据总结得出几个特点。

一是历史遗害时间较长。201 1年“心跳滴血”漏洞就被程序员无意识地编写在OpenSSL心跳扩展功能的代码中。直到2014年3月21 日 谷歌工程师和安全公司Codenomicon 发现了这个漏洞。 4月7 日 MITRE组织正式报告了“心跳滴血”漏洞长达3年时间漏洞对网络敏感信息造成的影响

2/5

精品文档可编辑 值得下载

我们不得而知从官方组织发现公布漏洞到8小时后给出修复补丁我们不能仅仅考虑已知的黑客攻击更应考虑期间应用系统遭受的不可逆的损失。

二是漏洞存在范围广大。密歇根大学2014年4月发布的关于“心跳滴血”的研究报告中指出在针对互联网展开的“蜜罐”技术测试中共发现41个扫描或利用“心跳滴血”漏洞的团体根据其统计数据显示当时就有140万网络服务器存在“心跳滴血”漏洞。OpenSSL源代码的开源性和免费性是造成这样结果的直接原因。广大互联网站的青睐使它拥有十分广阔的应用平台在Windows、 Linux、 BSD、 Mac、 VMS等系统中被普遍使用。 因此几乎所有要求身份认证的网站都会使用SSL加密技术。据统计在Web服务OpenSSL应用份额就超过66%在SMTP/POP/IMAP/XMPP协议、XMPP协议和VPN服务、聊天服务、邮件服务这些古老协议和服务中都有OpenSSL应用OPenSSL已不知不觉成为互联网基础设施的重要组成部分。

三是攻击破坏能力强大。每一次“心跳滴血”攻击获取的64K数据是系统随机从内存中调取回复的在除去数据包的报头等信息后不足64K的数据信息并不足以造成严重的破坏性况且并不是每一次随机的信息都恰好是重要敏感信息。但是攻击者可以把攻击过程设置成一次“钓鱼”通过反复多次的“心跳攻击”就会获取大量系统内存数据再通过简单

3/5

精品文档可编辑 值得下载

的筛选就能轻易分离出有用数据当攻击的次数达到一定数量必然会造成敏感信息泄露。一旦攻击者掌握了SSL协议的通信密钥那么攻击的破坏性就异常强大攻击者利用密钥可以实时掌握网站的流量情况甚至可以对以往的流量日志进行破解从而获取大量敏感信息这其中就包括密钥、数字证书等。

四是持续响应不够深入。从ZoomEye今年的统计数据看截止2015年4月7 日 受影响IP已经降低到14.6%但仍有377221个IP并未修复漏洞。从公布的数据看最引人注目的HTTPS服务443端口 以占比52.9%成为受影响最严重的协议。全球各大网站对于漏洞的修复已经十分迅速调查数据中有的国家修复率达到99%。漏洞的分布率也发生了很大变化受影响国家从开始的发达国家占多数逐渐过渡至发展中国家占多数其中包括中国。数据显示我国网站漏洞修复率从开始的18%提高到了59.9%但对比日本、加拿大等国还有很大差距。

防御手段“心跳滴血”漏洞的修复原理十分简单在心跳功能代码中加入一段代码检查心跳数据包实际长度与报头中指示长度是否一致 如果一致则继续网络协议提供下一步服务如果不一致则判定为恶意心跳包过滤丢弃。由于多数“心跳滴血”漏洞反复多次地探测443端口作为公共网络管理者可以建立针对443端口的网络防御机制对

4/5

精品文档可编辑 值得下载

于短时间规律性探测443端同的IP实施管控从而有效防范攻击者的恶意扫描行为。

3结束语

针对此次“心跳滴血”事件可以从几个方面思考一是从操作系统底层调用考虑应当采用比C语言更安全的Java 语言二是从服务器安全考虑任何时候都不能信任用户发送的数据所有信息处理行为必须在服务器动态完成以防用户代码恶意诱取服务器敏感信息三是从人员安全层面考虑首先信息安全专业技术人员要不断提高计算机网络安全保密防御能力其次网络服务提供者也应该不断完善自身信息系统在发现漏洞的同时立即发布相关公告在漏洞修复前暂停提供服务。

参考文献

[1]安思华易平王春新等.OpenSSL Hearbleed漏洞攻击原理及防范方法研究[J].通信技术 20147 .

[2]王克苑张维勇王建新.SSL安全性分析[J].合肥工业大学学报 2004.1  27 1   8791 .

作者简介

李晨 1990-  男汉族四川雅安人学士学位参谋主要研究方向和关注领域计算机编程技术。

5/5