精品文档可编辑 值得下载
基于“心跳滴血”原理的网络安全危害及对
策研究
【摘要】 随着信息技术的不断发展网络安全漏洞问题越来越受到技术人员的关注。一方面防御者不断地完善网络系统另一方面攻击者也在利用修复空隙实施不间断地恶意攻击。如何在新漏洞上抢占先机成为信息安全领域的攻防双方必争之地。论文通过对Heartbleed发现背景、危害程度、安全影响和防御手法分段阐述通过相关数据分析漏洞特点和波及范围直观呈现“心跳滴血”发生一年来对计算机网络产生的影响和改变。
【关键词】 网络安全漏洞防御
1 引言
2014年4月7日 谷歌安全部门研究人员尼尔・梅塔发现OpenSSL开放性安全套接层心跳扩展功能的源代码中存在安全漏洞它可以从特定服务器中随机获取64K工作日志取名为“心跳滴血”。随后一名19岁加拿大计算机科学专业学生被指控利用OpenSSL的“心跳滴血”漏洞实施网络攻击而遭到逮捕他是第一位因“心跳滴血”攻击被捕的黑客围绕“心跳滴血”的攻防战从此拉开帷幕。
2漏洞分析
1/5
精品文档可编辑 值得下载
OpenSSL是一个开源的安全套接字层数据库包含各类密码算法、密钥、证书封装管理、 网络加密通信服务和安全套接字协议向用户提供信息数据加密、 网络信息完整性保护、安全身份认证等安全服务。“心跳滴血”源于201 1年德国一名程序员编写在OpenSSL中心跳扩展功能中的代码。然而其被发现使得提供保密服务的OpenSSL成为了泄露秘密信息的缺口。
“心跳滴血”利用OpenSSL的Heratbeat连接测试功能运用协议数据包篡改技术构建长度伪造的“恶意”数据包发送至存在漏洞的服务器服务器无条件信任收到数据包的长度从内存申请填充攻击者要求长度的字段作为回复数据从而诱导服务器溢出反馈随机内存数据块其中就可能包括用户名、密码等重要敏感信息。“心跳滴血”攻击实施过程也是隐蔽的。攻击传送的心跳数据包较小发生在数据传输的极早时期 日志中不会记录数据包情况攻击实施完成后用户甚至对已造成的损失全然不知。我们通过分析漏洞发现至今的数据总结得出几个特点。
一是历史遗害时间较长。201 1年“心跳滴血”漏洞就被程序员无意识地编写在OpenSSL心跳扩展功能的代码中。直到2014年3月21 日 谷歌工程师和安全公司Codenomicon 发现了这个漏洞。 4月7 日 MITRE组织正式报告了“心跳滴血”漏洞长达3年时间漏洞对网络敏感信息造成的影响
2/5
精品文档可编辑 值得下载
我们不得而知从官方组织发现公布漏洞到8小时后给出修复补丁我们不能仅仅考虑已知的黑客攻击更应考虑期间应用系统遭受的不可逆的损失。
二是漏洞存在范围广大。密歇根大学2014年4月发布的关于“心跳滴血”的研究报告中指出在针对互联网展开的“蜜罐”技术测试中共发现41个扫描或利用“心跳滴血”漏洞的团体根据其统计数据显示当时就有140万网络服务器存在“心跳滴血”漏洞。OpenSSL源代码的开源性和免费性是造成这样结果的直接原因。广大互联网站的青睐使它拥有十分广阔的应用平台在Windows、 Linux、 BSD、 Mac、 VMS等系统中被普遍使用。 因此几乎所有要求身份认证的网站都会使用SSL加密技术。据统计在Web服务OpenSSL应用份额就超过66%在SMTP/POP/IMAP/XMPP协议、XMPP协议和VPN服务、聊天服务、邮件服务这些古老协议和服务中都有OpenSSL应用OPenSSL已不知不觉成为互联网基础设施的重要组成部分。
三是攻击破坏能力强大。每一次“心跳滴血”攻击获取的64K数据是系统随机从内存中调取回复的在除去数据包的报头等信息后不足64K的数据信息并不足以造成严重的破坏性况且并不是每一次随机的信息都恰好是重要敏感信息。但是攻击者可以把攻击过程设置成一次“钓鱼”通过反复多次的“心跳攻击”就会获取大量系统内存数据再通过简单
3/5
精品文档可编辑 值得下载
的筛选就能轻易分离出有用数据当攻击的次数达到一定数量必然会造成敏感信息泄露。一旦攻击者掌握了SSL协议的通信密钥那么攻击的破坏性就异常强大攻击者利用密钥可以实时掌握网站的流量情况甚至可以对以往的流量日志进行破解从而获取大量敏感信息这其中就包括密钥、数字证书等。
四是持续响应不够深入。从ZoomEye今年的统计数据看截止2015年4月7 日 受影响IP已经降低到14.6%但仍有377221个IP并未修复漏洞。从公布的数据看最引人注目的HTTPS服务443端口 以占比52.9%成为受影响最严重的协议。全球各大网站对于漏洞的修复已经十分迅速调查数据中有的国家修复率达到99%。漏洞的分布率也发生了很大变化受影响国家从开始的发达国家占多数逐渐过渡至发展中国家占多数其中包括中国。数据显示我国网站漏洞修复率从开始的18%提高到了59.9%但对比日本、加拿大等国还有很大差距。
防御手段“心跳滴血”漏洞的修复原理十分简单在心跳功能代码中加入一段代码检查心跳数据包实际长度与报头中指示长度是否一致 如果一致则继续网络协议提供下一步服务如果不一致则判定为恶意心跳包过滤丢弃。由于多数“心跳滴血”漏洞反复多次地探测443端口作为公共网络管理者可以建立针对443端口的网络防御机制对
4/5
精品文档可编辑 值得下载
于短时间规律性探测443端同的IP实施管控从而有效防范攻击者的恶意扫描行为。
3结束语
针对此次“心跳滴血”事件可以从几个方面思考一是从操作系统底层调用考虑应当采用比C语言更安全的Java 语言二是从服务器安全考虑任何时候都不能信任用户发送的数据所有信息处理行为必须在服务器动态完成以防用户代码恶意诱取服务器敏感信息三是从人员安全层面考虑首先信息安全专业技术人员要不断提高计算机网络安全保密防御能力其次网络服务提供者也应该不断完善自身信息系统在发现漏洞的同时立即发布相关公告在漏洞修复前暂停提供服务。
参考文献
[1]安思华易平王春新等.OpenSSL Hearbleed漏洞攻击原理及防范方法研究[J].通信技术 20147 .
[2]王克苑张维勇王建新.SSL安全性分析[J].合肥工业大学学报 2004.1 27 1 8791 .
作者简介
李晨 1990- 男汉族四川雅安人学士学位参谋主要研究方向和关注领域计算机编程技术。
5/5
RAKsmart 商家我们应该较多的熟悉的,主营独立服务器和站群服务器业务。从去年开始有陆续的新增多个机房,包含韩国、日本、中国香港等。虽然他们家也有VPS主机,但是好像不是特别的重视,价格上特价的时候也是比较便宜的1.99美元月付(年中活动有促销)。不过他们的重点还是独立服务器,毕竟在这个产业中利润率较大。正如上面的Megalayer商家的美国服务器活动,这个同学有需要独立服务器,这里我一并整理...
妮妮云的来历妮妮云是 789 陈总 张总 三方共同投资建立的网站 本着“良心 便宜 稳定”的初衷 为小白用户避免被坑妮妮云的市场定位妮妮云主要代理市场稳定速度的云服务器产品,避免新手购买云服务器的时候众多商家不知道如何选择,妮妮云就帮你选择好了产品,无需承担购买风险,不用担心出现被跑路 被诈骗的情况。妮妮云的售后保证妮妮云退款 通过于合作商的友好协商,云服务器提供2天内全额退款,超过2天不退款 物...
zji怎么样?zji最近新上韩国BGP+CN2线路服务器,国内三网访问速度优秀,适用8折优惠码zji,优惠后韩国服务器最低每月440元起。zji主机支持安装Linux或者Windows操作系统,会员中心集成电源管理功能,8折优惠码为终身折扣,续费同价,全场适用。ZJI是原Wordpress圈知名主机商:维翔主机,成立于2011年,2018年9月启用新域名ZJI,提供中国香港、台湾、日本、美国独立服...