heartbleed可能会影响到很多客户端软件,包括网络、邮件、聊天工具、FTP、移动应用、VPN、甚至软件升级工具等等。简单来讲,任何通过有漏洞的OpenSSL(开放源代码的安全套接层),或使用SSL/TLS安全协议进行通讯的客户,都有可能会遭到网络攻击。 Heartbleed不仅会对网页服务器造成威胁,同时还会威胁到其他很多类型的服务器的安全,其中包括代理服务器、介质服务器、游戏服务器、数据库服务器、聊天服务器以及FTP服务器等。总之,该漏洞可以对几乎所有硬件设备带来安全威胁,例如路由器、程控交换机(商务电话系统)以及通过“物联网”联接的各类设备。
利用Heartbleed漏洞的主要攻击方式
一般来讲,利用Heartbleed发动的攻击通常是被感染的用户发送病毒到安全防护措施不足的服务器,随后服务器上的隐私信息遭到泄露,如图2.1。然而,一种完全相反的攻击路径也可以奏效。安全意识薄弱的用户连接至服务器之后,服务器会发送恶意的Heartbeat信息给该用户,从而窃取用户内存中存储的大量信息,其中很有可能包括一些认证信息或其他用户的隐私数据,如图2.2。
图2.1 客户端对服务器心脏出血攻击
图2.2 服务器对客户端心脏出血攻击
常规Heartbleed防御方式
1、升级openSSL库
原理:升级openSSL版本,从代码层面修复漏洞; 优势:从根本上解决hearbbleed漏洞; 劣势:只能升级以动态库方式调用openSSL的软件;且升级后有使软件无法使用的风险。
2、IDS,IPS防御
原理:以特征库的方式防御Heartbleed; 优势:在现有的安全设备上增加规则,部署简单; 劣势:对正常业务造成困扰,且无法抵御以加密进行Heartbleed攻击的方式。
sslfw的防御方式
原理:协议蜜罐方式防御Heartbleed攻击,抵御任何形式的Heartbleed攻击,从根本上解决Heartbleed攻击的困扰。通过不断更新,从根本上防御后续的0day;
优势:完全解析TLS/SSL协议,彻底防御Heartbleed;后续简单更新openSSL库即可抵挡新的针对TLS/SSL的攻击;
劣势:须安装软件,并导入私钥证书。
下载地址 (本站提供程序(方法)可能存在风险,仅供安全研究与教学之用,风险自负!)