当前位置 主页 > 本站WEB程序 > 安全 > IIS7网站监控 >
一、什么是链路层劫持
链路层:数据链路层是OSI参考模型中的第二层,介乎于物理层和网络层之间。而链路层劫持是指黑客通过在用户至服务器之间,植入恶意设备或者控制网络设备的手段,侦听或篡改用户和服务器之间的数据,达到窃取用户重要数据的目的。
它的主要功能是如何在不可靠的物理线路上进行数据的可靠传递,还提供错误检测和纠正,以确保数据的可靠传输。该层的作用包括:物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。
链路层劫持是指第三方(可能是运营商、黑客)通过在用户至服务器之间,植入恶意设备或者控制网络设备的手段,侦听或篡改用户和服务器之间的数据,达到窃取用户重要数据(包括用户密码,用户身份数据等等)的目的。链路层劫持最明显的危害就是帐号、密码被窃取。
二、解决方案
1、加强监控与检测
目前网上也有一些链路劫持检测方法,如使用libpcap判断链路层劫持,其原理是在链路层劫持的设备缺少仿造协议头中ttl值的程序(或者说,伪造流量要优先真实流量到达客户电脑,所以没有机会去伪造ttl值)。电脑每收到一个数据包,便交给程序,如果判断某一IP地址流量的ttl值与该IP前一次流量的ttl值不同且相差5以上,便判定此次流量为在链路层中伪造的。
2、部署SSL证书,实现HTTPS加密
简单的说,链路层劫持最直接的危害就是帐号、密码被窃取。如何防止链路层被劫持?HTTPS是目前应对链路劫持应用最为广泛的解决方案。众所周知,传统的http是明文传输的,数据在http传输过程中很容易被窃取及监听,而HTTPS则不然,HTTPS是HTTP的安全版本,因此是解决链路层被劫持的可行性方案。
HTTPS证书的两大作用是数据加密传输和身份验证,如果只是进行数据加密仍不能解决问题,因为加密是对application data进行的,网络层的信息都没有被加密,而身份验证可以保证客户端访问的网站是经过CA验证的可信任的网站。所以这就杜绝了链路被劫持的可能。
链路层劫持较为底层,而且很多涉及运营商行为,所以不可能从根本上来防止(或者找到运营商,或者抓住黑客,当然运营商你是战胜不了的你懂得)。个人认为应对链路劫持一般可以考虑几个维度:业务层面、技术层面。所有的安全都是为业务服务的,在确保业务的前提下,做好安全防护措施。最重要的是技术层面加强有效检测、监控,包括对有关攻击技术的研究、对日志流量等数据的分析。当然,对企业来讲,我们只能够尽量做好自身,对于我们不可控的因素往往无能为力。总之,广域网一点都不安全,所以敏感信息传输一定要加密,还要高强度加密。
数安时代GDCA也建议各大网站通过部署SSL证书,实现HTTPS加密升级来保护用户的账户和密码等隐私信息,且部署SSL证书后,醒目的标志有助于用户区别假冒钓鱼网站,以防用户有不必要的损失。
在中国,通过国际Webtrust标准的认证的CA机构仅3家,具备了国际电子认证服务能力的CA机构,通过国际Webtrust标准的认证意味着CA机构的运营管理和服务水平符合国际标准,并且有能力、有资质提供全球化认证服务,是可靠电子认证服务的有效证明。其中一家就是数安时代GDCA,在国内是一个综合安全实力比较强的CA机构。需要购买SSL证书的企业或站长可以考虑一下,数安时代除了自主品牌GDCA,还有Symantec、Globalsign、GeoTrust等品牌,选择更多,一次性对比,提供行业最优惠的价格。有需要可以到官网咨询客服了解产品。