中间人 (MitM) 攻击是一种主要的网络威胁,它的名字来源于攻击者将自己插入两个通信方之间的事实。如果所有通信都在到达目的地的途中通过攻击者,这会导致攻击者在消息到达预期收件人之前丢弃、阅读或修改消息。
中间人 (MitM) 攻击的工作原理
要执行中间人攻击,攻击者需要完成两个目标。首先,他们需要以某种方式将自己插入到通信中,以使他们能够拦截前往目的地的流量。攻击者可以实现此目的的一些方法包括:
- 恶意 Wi-Fi:所有 W-Fi 流量都流经无线接入点 (AP),因此控制无线 AP 并诱骗用户连接的攻击者可以拦截他们的所有流量。
- ARP 欺骗:地址解析协议 (ARP) 用于将 IP 地址映射到 MAC 地址。通过使用虚假的 ARP 消息,攻击者将目标的 IP 地址映射到他们的 MAC 地址,从而导致目标的流量被发送给他们。
- DNS 欺骗:域名系统(DNS)将域名映射到 IP 地址。使用虚假 DNS 记录毒化 DNS 缓存可能会导致到目标域的流量被路由到攻击者的 IP 地址。
- BGP 劫持:边界网关协议 (BGP) 用于识别具有到特定 IP 地址的最佳路由的自治系统 (AS)。BGP 劫持涉及发布虚假路由以导致某些流量流经攻击者的系统。
一旦处于通信中间,攻击者需要能够读取消息;但是,很大一部分互联网流量是使用 SSL/TLS 加密的。如果流量被加密,那么读取和修改消息需要能够欺骗或破坏 SSL/TLS 连接。
这可以通过几种不同的方式来实现。如果攻击者可以欺骗用户接受站点的虚假数字证书,那么攻击者将能够解密客户端的流量并在将其发送到服务器之前对其进行读取或修改。或者,攻击者可以使用 SSL 剥离或降级攻击来破坏 SSL/TLS 会话的安全性。
中间人攻击示例
中间人攻击可以通过多种方式进行,这取决于被攻击的协议和攻击者的目标。例如,当通信流未加密并且攻击者自然位于目标流量将采用的路径上时,执行中间人攻击会更容易。
场景 1:易受攻击的物联网/移动应用程序
普通用户已接受过有关如何根据 URL 栏中的 https 和锁定图标确定其 Web 浏览会话是否加密的教育。但是,使用移动应用程序和物联网(IoT) 设备验证数据流是否已加密更加困难。这些安全性较差并使用未加密的协议(例如 Telnet 或 HTTP)进行通信的情况并不少见。
如果是这种情况,那么攻击者可以轻松读取并可能修改移动应用程序或物联网设备与服务器之间流动的数据。通过使用无线接入点或某种形式的欺骗,攻击者可以将自己插入通信流中,以便所有流量都流经它们。由于这些协议缺乏对数据完整性或真实性的内置检查,因此攻击者可以随意更改流量的内容。
场景 2:假数字证书
SSL/TLS 旨在通过为网络流量提供机密性、完整性和身份验证来防止中间人攻击。但是,它依赖于用户只接受特定域的有效数字证书。如果攻击者可以诱骗用户访问网络钓鱼站点,说服他们接受假证书,或者破坏公司用于SSL 检查的数字证书,那么这些保护措施就会被破坏。
在这种情况下,攻击者维护两个使用 SSL/TLS 加密的单独会话。一方面,它连接到客户端,同时伪装成服务器并使用其伪造的 SSL 证书。另一方面,它伪装成连接到合法服务器的客户端。由于攻击者控制了两个会话,他们可以从一个会话中解密数据,检查和修改它,然后为另一个会话重新加密。
中间人攻击防护
中间人攻击依赖于攻击者能够拦截和读取流量。防止这种情况发生的一些Internet 安全最佳实践包括:
- 谨防公共 Wi-Fi:公共 Wi-Fi上的流量全部通过 AP,可能处于攻击者的控制之下。仅连接到已知且受信任的 Wi-Fi 网络。
- 使用 VPN:虚拟专用网络 (VPN) 对远程用户或站点与 VPN 端点之间的流量进行加密。这可以防止中间人攻击者读取或修改截获的流量。
- 验证数字证书:合法网站应始终具有在浏览器中显示为有效的数字证书。信任可疑证书可能会导致中间人攻击。
