⑴措施一:由于攻击更多的发生在客户端的网络中,因此在客户机上安装ARP防火墙进行网关MAC地址绑定能够有效的防止由于arp欺骗所产生的ssltrip攻击。
⑵推荐的软件:由于安全卫士安全比较广泛,因此推荐启用其中的功能。如果没有安装,目前国内外各类防病毒软件也都有相关功能。
⑶措施二:为了防止通过虚假的图标信息来欺骗浏览器的使用者,因此建议在IE浏览器中启用如下几项功能。
⑷在firefox中启动如下几项功能:
⑸. 搭建合法的CA服务器或者使用公网的可信CA服务器颁发有效的SSL证书;
⑹. 检查现有ssl服务器中的证书是否有效、是否绑定正确的域名、是否过期等;
⑺. 在有条件的情况下,启用SSL的双向认证功能,即对服务器也对客户端进行认证增加SSLtrip攻击的难度;
⑻. 在网络的交换机上启用arp泛洪检测功能,对于大量发送ARP广播包的计算机及时进行安全隔离。对于比较固定的网络在交换机上进行Mac地址和IP地址的绑定;
⑼. 在防火墙上开启http连接数量限制,对短时间内产生大量http连接的机器自动进行短时拒绝;
⑽. 在网络中通过抓包软件人工分析是否存在不合理的Arp流量存在;
⑾. 由于该攻击工具目前还只能够运行在Linux系统上,需要对网络中的Linux系统进行重点排查。检查内容包括:是否有大量的非正常数据包和连接存在,是否启用了路由转发功能,防火墙上是否存在端口重定向的规则。
⑿目前还存在着另一款与其类似的工具,该工具能够窃听用户机密信息,也需要重点关注。该工具的名字叫做SSLsniffer