你可能听说过“中间人攻击(MiTM)”这个词甚至可能对它有一个模糊的概念。但是,你还是会想“什么是中间人攻击?”以下文章将为您提供答案。
总的来说,中间人(man-in-the-middle,MITM)攻击很难识别和防御。作为一种历史悠久的 *** 入侵手段,MITM攻击依赖于控制器、计算机或服务器之间的通信路线,它并不总是需要一台计算机,这意味着有多种攻击方式。
那么,什么是中间人攻击呢?如何防止自己成为猎物?
什么是中间人攻击?
中间攻击是一种可以追溯到早期计算时代的 *** 入侵方式。当未经授权的实体将自己置于两个通信系统之间并试图截获正在传输的信息时,就会发生这种攻击,其本质是窃听攻击。为了更好地理解中间攻击的工作原理,请参考以下两个示例。
离线中间人攻击
离线中间人攻击听起来很基本,但仍在全球范围内使用。
例如,有人拦截了你发布的信息,阅读并重新打包,然后将其发回给你或你的原始收件人。然后,当对方回复你时,同样的情况将再次发生,中间人将继续拦截和阅读双方发送的所有信息。
如果操作得当,通方都不会知道自己遭到了中间人的攻击,因为他们看不到这些信息被截获和窃取。
中间人攻击的核心是接管两个参与者之间的通信通道。
它还为攻击者打开了其他欺骗手段。如果攻击者控制了通信模式,他们可以篡改传输中的信息。就我们上面的例子而言,攻击者不仅可以拦截和阅读通信双方传递的信息,还可以篡改信息内容,并作为攻击活动的一部分提出的一部分。
当中间人控制您的通信时,他们还可以在完成攻击后立即删除任何与攻击相关的信息记录,使双方无法检测到任何异常。
中间人在线攻击
虽然使用计算机或其他数字硬件代替传统信件,但在线中间人攻击的工作原理几乎与离线中间人攻击相同。
例如,您使用计算机设备连接到免费公共咖啡馆Wi-Fi然后试着访问银行的网站。然后,您可能会遇到以下错误提示。
如上图所示,您将遇到一个错误的证书,通知您的银行网站没有有效的加密证书。这似乎提醒你,银行的配置存在问题,但真实情况是中间攻击正在进行中。
尽管如此,许多人仍然选择单击错误信息并继续访问银行网站。之后,他们登录银行账户、汇款、账单支付等操作,似乎一切正常。
事实上,攻击者可能已经建立了一个虚假的服务器和一个伪造的银行网站。当您连接到虚假的银行服务器时,他们会稍微修改目标银行的真实页面并呈现给您。您输入的所有详细登录信息都将发送到中间服务器的后台。
这也解释了上图中加密证书错误的安全提醒。中间服务器没有与真实银行相同的安全证书,尽管它可能有其他安全证书。
中间攻击类型
具体来说,中间人攻击的类型有很多种:
(1) Wi-Fi欺骗
攻击者可以免费创建Wi-Fi同名假选项Wi-Fi接入点(AP)。例如,在最后一家咖啡馆,攻击者可能会模仿它Wi-Fi或者创建一个名字“Guest Wi-Fi”或伪造类似名称的选项。一旦您连接到恶意访问点,攻击者可以监控您所有的在线活动。
(2) HTTPS欺骗
攻击者欺骗你的浏览器,让你认为你访问的是一个可靠的网站,但实际上,流量被重定位为一个不安全的网站。当您输入登录凭证时,攻击者会窃取它们。
(3) SSL劫持
当您尝试连接或访问不安全时HTTP在网站上,浏览器可以将您重新定向安全HTTPS选项。然而,攻击者可以劫持重定向过程,植入指向自建服务器的链接,窃取您的敏感数据和输入的所有凭证。
(4) DNS欺骗
为了帮助您准确浏览目标网站,域名系统将在地址栏中URL从人类可读的文本格式到计算机IP地址。DNS欺骗迫使您的浏览器访问攻击者控制的特定地址。
(5) 电子邮件劫持
如果攻击者获得了信任机构(如银行)的电子邮件甚至电子邮件服务器的访问权,他们可能会拦截包含敏感信息的客户电子邮件,甚至开始作为该机构发送各种电子邮件。
这只是一些典型的中间人攻击 *** 。此外,这种攻击还有许多变体和不同的组合。
HTTPS能阻止中间人攻击吗?
如果上述情况发生在使用中HTTPS(HTTP在银行网站上,用户会收到弹出信息,表明其加密证书不正确。现在,几乎每个网站都使用它HTTPS,你可以在地址栏里URL旁边看到一个带锁的图标。
长期以来,只有提供敏感信息的网站才会使用HTTPS。但现在情况发生了变化,尤其是自从Google宣布它将使用HTTPS作为SEO自排名参考标准以来。据统计,2014年,在全球排名前100万的网站中,只有1-2%使用了HTTPS。到2018年,这一数字激增,在全球排名前一百万的网站中,已有超过50%的企业实施了HTTPS。
在未加密的网站上使用标准HTTP如果连接起来,你就不会在上面的例子中收到警告,也更容易被中间人攻击。
那么,HTTPS能真正防御吗?MITM攻击?
MITM和SSLStrip
答案是,是的,是的,HTTPS可以防止中间人攻击。然而,攻击者可以通过各种方式破坏它HTTPS,消除通过加密为您的连接提供的额外安全性。
以SSL剥离(SSLStrip)以中间人攻击类型为例。SSL剥离或SSL降级攻击是MiTM一种非常罕见的攻击方式,但也是最危险的方式。众所周知,SSL/TLS加密证书保护我们的通信安全。SSL在剥离攻击中,攻击者使SSL/TLS连接剥落,然后协议从安全的角度出发HTTPS变得不安全HTTP。
你甚至可能根本没有注意到这种攻击方式的任何异常。仔细观察Google Chrome浏览器和其他浏览器的地址栏是否有大红叉或惊叹号通知,可以帮助您发现异常。HTTPS添加的带锁标志无疑让用户更容易发现自己是否在使用HTTPS。
此外,另一种安全升级也被削弱了SSL剥离的效果是HTTP严格传输安全(HTTP Strict Transport Security,HSTS)。
HTTP严格传输安全(HSTS)开发旨在防止中间人攻击,特别是SSL降级攻击等剥离协议。HSTS具有特殊功能,可强制要求Web只使用服务器和所有用户HTTPS进行交互。
但这并不意味着HSTS能够一直奏效,因为HSTS只能在用户首次访问后与用户配置。因此,理论上,攻击者可以利用这种短时间差HSTS配置到位前使用SSL中间人攻击,如剥离。
这还不是全部。如今,SSL剥离使位于其他现代工具中,它们将许多中间攻击类型集成到工具包中,进行更复杂的攻击。
MITM恶意软件
此外,用户还必须处理使用中间人攻击或带有中间人模块的恶意软件变种。例如,有些是针对Android用户恶意软件类型(如SpyEye和ZeuS),就允许攻击者窃听传入和传出智能手机的所有数据通信形式。
一旦安装了这些恶意软件Android在设备上,攻击者可以拦截所有形式的通信。最关键的信息是双因素验证码。攻击者可以在真实的安全网站上要求双因素身份验证码,然后在用户做出反应甚至了解正在发生的事情之前拦截验证码。
如你所料,台式机并非没有威胁。事实上,有许多恶意软件类型和漏洞使用工具包,专门为中间人攻击而设计。更不用说联想在发货前在笔记本电脑上安装了支持SSL剥离的恶意软件事件。
如何防止中间人攻击?
中间攻击很难防御。攻击者有多种攻击组合,这意味着防止中间攻击的 *** 必须是多方向的:
- 使用HTTPS:确保您访问的每个网站都使用HTTPS标头。毕竟面对SSL剥离和中间人恶意软件,确保使用HTTPS还是更好的防御选择之一;
- 不要忽视警告:如果您的浏览器提示您访问的网站有安全问题,请给予足够的关注。毕竟,安全证书警告可以帮助您直观地确定您的登录凭证是否会被攻击者截获;
- 不要使用公众Wi-Fi:如果可以的话,尽量不要使用公众Wi-Fi。有时公共使用是不可避免的Wi-Fi,然后请下载并安装虚拟专用 *** ,以增加连接的安全性。此外,公共使用Wi-Fi连接时请注意浏览器的安全警告。如果警告数量突然增加,很可能表明中间人攻击或漏洞;
- 点击电子邮件前,检查电子邮件发件人;
- 如果你是网站管理员,你应该执行HSTS协议;
- 假如使用了你的网站SSL,确保您禁止不安全SSL/TLS协议。你应该只使用它。TLS 1.1和TLS 1.2;
- 运行和更新防病毒软件:请确保防病毒软件处于最新状态,并考虑使用其他安全工具,如Malwarebytes。
本文翻译自:https://www.makeuseof.com/what-is-a-man-in-the-middle-attack/