Heartbleed真的在天衣無縫地肆虐網絡嗎?媒體和很多技術網站似乎堅信這一點，但有些人對此持懷疑態(tài)度?，F在世界各地的很多IT企業(yè)都在試圖從最近的Heartbleed漏洞事件中恢復過來，那么，我們可以從這次事件中學到什么呢?這個漏洞存在于公共和專用網絡中數千網站所使用的openSSL庫中，并且多年來都未被發(fā)現。攻擊者可以從SSL會話內迫使web服務器泄露信息，完全繞過加密。如果你認為這還不夠糟糕的話，最初的報告稱，對TLS/DTLS heartbeat服務擴展的Heartbleed攻擊“毫無蹤跡可循”。

[[119513]]

Heartbleed是互聯(lián)網中最令人毛骨悚然的安全漏洞之一，下面讓我們看看它的時間表：

· 2011年—一位德國程序員編寫的一行簡單的代碼在OpenSSL擴展中制造了一個安全漏洞。

· 2011到2014年—在這三年時間中，沒有人注意到這個漏洞;盡管該代碼是開源代碼，這仍然將影響著數百萬用戶。

· 2014年3月21日—谷歌工程師Neel Mehta和芬蘭安全公司Codenomicon獨立地發(fā)現了這個漏洞。

· 3月21日到4月7日—谷歌、CloudFlare、Akamai、Red Hat和Facebook完成了對其OpenSSL庫的突擊修復。

· 4月7日—MITRE組織在CVE-2014-0160中正式報告了這個Heartbleed漏洞，而OpenSSL項目立即發(fā)布了1.0.1g來修復這個漏洞代碼。

· 4月7日到現在—使用OpenSSL的產品供應商都紛紛開始發(fā)現、診斷和更新其產品。

這個漏洞是什么

讓我們明確一點：這不是SSL/TLS或者heartbeat擴展(RFC 6520)中的漏洞。該漏洞存在于該擴展的OpenSSL部署中。Heartbleed漏洞利用代碼允許攻擊者通過緩沖區(qū)溢出迫使web服務器泄露某些內存區(qū)域的64KB數據塊。雖然我們無法預測哪些信息會被泄露，但成功的攻擊者已經獲取了會話密鑰、密碼和其他通常應該保持保密的信息。

尋找隱藏的證據

Heartbleed真的在肆虐網絡而沒有留下任何蹤跡嗎?媒體和很多技術網站似乎堅信這一點，但有些人則持懷疑態(tài)度。Heartbleed攻擊一定會留下一些證據：數據包。數據包總是可以告訴我們所發(fā)生的一切，包括在Heartbleed的情況。當然，我們首先需要獲取這些數據包。

當然，受到Heartbleed漏洞利用攻擊的服務器不太可能提供任何證據。而存儲的數據包可以告訴我們成功的Heartbleed漏洞利用的細節(jié)，即使對手已經停止了主動攻擊。

Heartbleed漏洞利用前的檢測

對網絡的連續(xù)監(jiān)控可以發(fā)現主動的Heartbleed攻擊，但更重要的是，通過足夠多的數據包捕捉數據，我們可以及時發(fā)現攻擊，甚至在公開披露這個Heartbleed漏洞之前。對這些數據的調查可能可以發(fā)現是否已經發(fā)生對存在漏洞服務器的實際攻擊。

部署在網絡中的Berkeley Packet F(BPF)可以自動標記來自服務器的高于正常的TLS heartbeat響應。Wireshark、tcpdump和其他工具可以分析捕捉的數據包以確認是否受到攻擊。

為什么是BPF?BPF引擎速度快，這是檢查通過現代網絡的海量流量所需要的特性。并且，BPF捕獲的數據包是通用格式，可用于數據包處理，并且可用于大多數操作系統(tǒng)和數據包分析軟件。BPF的廣泛應用是其可以檢測Heartbeat攻擊的主要原因。

BPF引擎還可以用于Linux、Mac OS、Windows(通過WinPcap)，并可以放置在云計算實例中。BPF和tcpdump存在于大多數網絡設備中，例如防火墻、負載均衡器和應用交付控制器，并可以通過管理控制臺來訪問以進行故障排除。當然，設計用于支持網絡性能管理的產品中的數據包分析和存儲引擎幾乎都支持BPF。

對此，技術領域的很多人已經提供了大量資源來開發(fā)可檢測Heartbleed攻擊的BPF過濾器。大多數這些過濾器從端口443/tcp(默認HTTPS端口)檢測流量。通常的大小閾值是69個字節(jié);這可以向上或向下調整以減少誤報。

總結

了解你網絡中的數據，基本知道安全服務應如何正常運作，以及能夠檢測異常情況，可以讓你幸免于Heartbleed攻擊。數據包不會撒謊，但你必須捕捉到它們來發(fā)現重要信息。

數據包捕捉的數據可以作為理想的取證依據，從這些信息中，你可以確定在漏洞利用橫行肆虐的那段時間發(fā)生了什么事情。在安全泄露事故中，事實永遠好過單純的猜測。