浅谈计算机网络安全漏洞及防范措施——OpenSSL心脏出血漏洞分析讲解

编号：毕业论文题目浅谈计算机网络安全漏洞及防范措施——OpenSSL心脏出血漏洞分析年月日目录序言……………………………………………………………………1一、“心脏出血”漏洞…………………………………………………………………1（一）“心脏出血”漏洞的危害…………………………………………………11.私钥……………………………………………………………………………12.用户密码………………………………………………………………………23.服务器配置……………………………………………………………………34.服务器瘫痪……………………………………………………………………3(二)“心脏出血”漏洞分析………………………………………………………41.漏洞存在的文件………………………………………………………………42.漏洞测试………………………………………………………………………53.漏洞检测………………………………………………………………………54.服务器瘫痪……………………………………………………………………4（三）“心脏出血”漏洞的防范与修复…………………………………………6二、计算机网络安全漏洞的防范对策………………………………………………8（一）利用防火墙防范…………………………………………………………8（二）漏洞扫描…………………………………………………………………9（三）病毒防范………………………………………………………………9（四）计算机安全设置………………………………………………………101.入侵检测系统………………………………………………………………102.加密技术……………………………………………………………………10结语…………………………………………………………………………………10参考文献……………………………………………………………………………12浅谈计算机网络安全漏洞及防范措施——OpenSSL心脏出血漏洞分析摘要：在网络技术迅速发展的今天，全世界的计算机都通过Internet联到了一起。信息安全的内涵发生了根本的变化，它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。近来来，身边不断发生的各种计算机恶意侵害，严重威胁到了个人，企业甚至是国家的安全。攻击者利用漏洞对目标计算机的完全控制，窃取机密信息，甚至令目标服务器瘫痪。2014年4月7日openssL发布了安全公告,在OpensSLl.0.1版本中存在严重漏洞。openssLHea而leed模块存在一个BuG,问题存在于ssFdibothc文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memCp,函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的oPenssL服务器内存中多达64K的数据。因此，计算机安全成为当今信息技术领域的重要研究课题。关键词：“心脏出血”；OpenSSL；网络安全；措施DiscussiononcomputernetworksecurityvulnerabilityandpreventivemeasuresAbstract：Withtherapiddevelopmentofnetworktechnologytoday,theworld'scomputersarelinkedtogetherbyInternet.Radicallychangedthemeaningofinformationsecurity,itnotonlyfromthegeneral'sdefensehasbecomeaveryordinaryprecautions,butalsofromaspecializedfieldhasbecomeubiquitous.Inrecentyears,avarietyofcomputersideongoingmaliciousinfringement,aseriousthreattotheindividual,enterpriseandevennationalsecurity.Completecontrolofattackersexploitvulnerabilitiesonthetargetcomputer,stealconfidentialinformation,eventothetargetserverparalysis.InApril7,2014,openssLissuedasafetynotice,thereareseriousflawsintheOpensSLl.0.1version.OpenssLHeaandLEEDmoduleinaBuG,theheartbeatispartoftheproblemthatexistsinthessFdibothcfile,whentheattackerconstructsaspecialpacketsthatmeetuserheartbeatpacketcannotprovideenoughdatacanleadtomemCp,functionafterSSLv3recorddatadirectlyoutput,thevulnerabilityleadstoanattackercanupto64KtheremotedatareadingloopholesversionofoPenssLservermemory.Therefore,computersecurityhasbecomeanimportantresearchsubjectinmoderninformationtechnologyfield.Keywords:“Heartbleed”;OpenSSL;Networksecurity;Measures序言“心脏出血”漏洞，是安全套接层（Secure，Sockets，Layer，SSL）心跳机制实现代码中的缺陷，利用这一缺陷可以发动黑客攻击，获取服务器内存信息。SSL是由网景Netscape公司提出、用于保证网络应用通信的保密性和可靠性的协议。该协议因其独立于具体应用而受到业界青睐，成为Internet上保密通讯的事实标准，OpenSSL作为开源SSL套件，具有跨平台性能，许多知名网络服务用其实现加密功能。例如，Apache使用它加密HTTPS因此得到广泛应用。“心脏出血”漏洞是芬兰主动安全解决方案供应商科诺康公司和谷歌安全部门研究人员分别发现，并提交相关管理机构。OpenSSL官方网站于2014年4月7日发布漏洞公告，并提供漏洞修复方案，根据漏洞公告，CVE-2014-0160，[2]该漏洞位于OpenSSL，对TLS的心跳扩展的实现代码中，由于忽略了一处边界检查，使攻击者无需任何特权信息或身份验证，就可以从客户机或服务器的内存中每次读取64KB数据，其中可能包含证书密钥、用户名与密码、聊天消息、电子邮件以及重要的商业文档和通信等数据，回溯OpenSSL版本更新情况，这次发现的漏洞是2011年12月引入的，并于2012年3月14日整合，至正式版发布，含有漏洞版本的软件已被广泛使用。[1]漏洞的发现立刻吸引了黑客的目光，仅在漏洞曝光后的24小时内，漏洞就被人用以获得用户名和密码，并成为闯入虚拟专用网络VPN的切入点，有报道称，黑客利用其从加拿大税务局窃取社保数据，在不断深度利用漏洞进行攻击的情况下，攻击模式也进行了转变，从最初的黑客袭击服务器模式，即利用“心脏出血”漏洞获取服务器内存信息转变为服务器袭击用户模式，即通过伪装合法网站或免费WiFi热点，吸引用户登录访问，进而获取用户在网络上加密传输的数据。手机上网用户面临更大风险，安卓4.1.1系统易于受到反向“心脏出血”攻击，一些手机由于无法升级操作系统，将长期面临这种安全挑战。[2]一、“心脏出血”漏洞（一）“心脏出血”漏洞的危害1.私钥借助此漏洞的攻击不会对日志出现的任何异常现象留下痕迹，所以无法察觉。攻击者可以读取的内容没有限制在64K，这个上限仅是针对一个单一的心跳。攻击者可以不断重复连接或在主动的TLS连接中持续发送64K内存数据块请求包，直到获取足够多的敏感信息为止。在没有使用任何特权信息或证书的条件下，攻击者可在以服务器中成功窃取相关证书、用户名和密码、即时信息、邮件、关键业务文档和通信内容等。单独的软件和库中总是存在这样那样的漏洞，然后被不断的修复。可是该漏洞却将大量的私钥及其他密钥曝露在互联网上。考虑到这些密钥的长期暴露，它们很可能被用于恶意攻击，并且不留任何痕迹。因此，我们必须认真对待这次的信息泄露。大部分使用OpenSSL的重要服务都是开源的Web服务，如Apache和Nginx。OpenSSL用于保护像邮件服务器（SMTP、POP和IMAP，协议）、聊天服务器（XMPP协议）、虚拟个人网络（SSL，VPN）、手机上基于OpenSSL的APP、网络设备及各类客户端软件等。OpenSSL在客户端软件的应用非常广，而且在很多习惯性升级的网络设备中也颇受欢迎。个人用户可能会受到直接或间接的影响。OpenSSL是最流行的开源加密库和用于加密网络流量的TLS实现。社交网站、公司网站、商业网站、娱乐网站及下载软件的网站，甚至是政府运营的网站，都可能应用着存在漏洞的OpenSSL。大部分在线服务均使用TLS，识别身份并保护用户的隐私和交易。用户可能通过由OpenSSL的漏洞实现保护的登录信息将设备连接到网络。[3]此外，如果用户启用了被攻陷的服务，那么用户的客户端软件可能已将用户的电脑信息暴露在互联网上。2.用户密码攻击者通过读取网络服务器内存，然后访问敏感数据，从而危及服务器和用户的安全。漏洞还可能导致其他用户的敏感请求和响应的暴露，包括用户任何形式的POST请求数据，会话cookie和密码，这能使攻击者可以劫持其他用户的服务身份。在其披露时，约有17%或五十万通过认证机构认证的互联网安全网络服务器被认为容易受到攻击。电子前哨基金会和布鲁斯·施奈尔都认为“心脏出血”漏洞是“灾难性的”。[4]根据已经公开的信息，该漏洞影响分布清况如下:(l)openssLl.0.lf(受影响)(2)openssL1.0.2-beta(受影响)(3)openssL1.0.1g(不受影响)(4)openssL1.0.0branch(不受影响)(5)openssL0.9.8branch(不受影响)Heallbleed能让攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据。OpenssL“心脏出血”漏洞的严重性远比想象的严重，一些用户没有考虑到手机上大量应用也需要账号登陆，其登陆服务也有很多是OpenSSL搭建的，因此如果用户在这阶段用手机登陆过网银或进行过网购，则需要及时修补漏洞，然后更改自己的交易密码。3.服务器配置第一，CGI源代码泄露。CGI源代码泄露的原因比较多，例如大小写，编码解码。附加特殊字符或精心构造的特殊请求等都可能导致cGI源代码泄露。第二，执行任意命令即执行任意操作系统命令。一是通过遍历开录，如二次解码和UNICODE解码漏洞，来执行系统命令。再就是Web服务器把用户提交的请求作为SSI指令解析，从而导敛执行任意命令第三，缓冲溢出漏洞是Web服务器埘用户提交的趟长请求没有进行合适的处理，这种请求可能包括超长URL，超长HTTPHeader域，或者是其它超长的数据。这种漏洞可能导致执行任意命令或者是拒绝服务，这一般取决于构造的数据。第四，条件竞争。主要针对一些管理服务器而言，这类服务器一般以system或root身份运行。当它们需要使用一些临时文件，而在埘这些文件进行操作之前，却没有对文件的属性进行检查，一般可能导致重要系统文件被晕，甚至获得系统控制权。第五，跨站脚本执行漏洞。在IE6中发现可能造成跨站脚本执行攻击。如果访问做过手脚的网页，地址栏可以被伪装。Cookie也可能被窃取。4.“服务器”瘫痪赛门铁克发布的安全报告显示，“心脏出血”不仅会对网页服务器造成威胁，同时还会威胁到其他很多