到底什麼是中間人攻擊,你該如何防範?

中間人(man-in-the-middle，MITM)攻擊可以發送在人、用戶電腦、以及伺服器等任意組合之間，而且攻擊途徑也是多種多樣，因此它在識別和防禦上具有很大的難度。本文將和您深入討論中間人攻擊背後的邏輯，以及如何避免遭遇此類攻擊。

什麼是中間人攻擊?

中間人攻擊可以回溯到早期計算機網絡中，攻擊者可以將自己植入到彼此正在通信的兩方之間，開展竊聽、甚至是攻擊活動。為了更好地理解中間人攻擊的工作原理，讓我們通過下面的例子，從兩方面來進行理解。

離線中間人攻擊

離線中間人攻擊雖然比較基礎，但是其使用範圍遍布全球。例如：某中間人成功截獲了您發送的消息，對其進行了讀取和重新打包操作，然後將新的內容發回給您、或原始收件人。而當此人在不知情的情況下回復時，該中間人便可繼續截獲並閱讀原本通信雙方互發的信息。由於雙方並非面對面通信，因此信息即使被截獲和竊取，他們都不得而知。

在此基礎上，如果攻擊者能夠控制通信的方式，那麼他甚至可以篡改消息，或實施其他欺騙途徑。例如，在上例中，攻擊者可以基於截獲到的消息內容，提出某些非法的請求。當然，為了做得神不知、鬼不覺，攻擊者在完成攻擊後，往往會立即刪除與此次攻擊相關的任何信息記錄，讓通信雙方無法發現任何異常。

在線中間人攻擊

與上述離線攻擊不同，在線攻擊往往是實時發生的。例如：您用筆記本電腦連接上了某個咖啡館的免費公共Wi-Fi，並試圖訪問某個銀行的網站。隨後，您可能遇到如下錯誤提示。

如上圖所示的證書錯誤，從字面上提示您：由於配置問題，該銀行網站不具備有效的加密證書。而真實情況是，中間人攻擊正在悄然發生。

面對此類錯誤提示，許多人只會單擊它，並繼續訪問該網站。後續，他們的銀行帳戶登錄、匯款、帳單支付等操作，貌似一切如常。而實際上，攻擊者已經事先建立好了虛假的伺服器。他們會將目標銀行的真實頁面略作修改，甚至另行偽造。您所有輸入的登錄詳細信息，都將被發送到中間人伺服器的後臺，而不是真實的銀行伺服器處。這也就解釋了上圖中出現的那個加密證書的錯誤信息，實際上源於中間人伺服器根本就沒有與真實銀行相同的安全證書。

中間人攻擊的類型

總的說來，中間人攻擊可分為如下五種不同的類型：

Wi-Fi欺騙：攻擊者可以創建與本地免費Wi-Fi同名的虛假Wi-Fi接入點(AP)。例如，在上例的咖啡館中，攻擊者會模仿創建一個和牆上貼著Wi-Fi信息同名「Guest Wi-Fi」。一旦您連接上去，您的一切在線網絡行為，將盡在攻擊者的監控和掌握之中。HTTPS欺騙：攻擊者通過欺騙您的瀏覽器，使您認為自己訪問的是可信任站點。當您輸入與該站點相關的登錄憑據時，您的流量將被重定向到攻擊者自建的非安全站點處。SSL劫持：通常，當您嘗試連接或訪問不安全的HTTP://站點時，您的瀏覽器會自己將您重定向到安全的HTTPS://處。此時，攻擊者則可以劫持該重定向的過程，將指向其自建伺服器的連結植入其中，進而竊取您的敏感數據、以及輸入的所有信任憑據。DNS欺騙：為了準確地瀏覽到目標網站，域名系統會將地址欄中的URL，從人類易於識別的文本格式，轉換為計算機易於識別的IP位址。然而，DNS欺騙則會迫使您的瀏覽器，在攻擊者的控制下，發生轉換異常，而去訪問那些被偽造的地址。電子郵件劫持：如果攻擊者獲得了受信任機構(例如銀行)的郵箱、甚至是郵件伺服器的訪問權限，那麼他們就能夠攔截包含敏感信息的客戶電子郵件，甚至以該機構的身份發送各種電子郵件。上面只是五種典型的中間人攻擊方式。在現實情況下，此類攻擊還會有許多變種與組合。

HTTPS是否可以阻止中間人攻擊?

使用標準的HTTP連接去訪問那些未加密的網站，只會讓您在無法獲得任何警告的情況下，受到中間人的襲擊。過去，只有那些提供敏感信息的網站才會使用HTTPS的方式。據統計，2014年，在全球排名前一百萬的網站中，只有1-2%使用到了HTTPS。後來，Google宣布了將是否採用HTTPS納入SEO排名的參考標準。至2018年，已有超過50%的企業實施了HTTPS。

針對上述案例，如果用戶直接訪問的是帶有HTTPS://(即HTTP的安全版本)的銀行網站，那麼他會看到如下圖所示的「加密證書」信息。如今，幾乎絕大部分網站都會使用HTTPS，您可以在地址欄中查看到URL前面有個帶鎖的圖標。

MITM和SSLStrip

所以說，HTTPS能夠防止基本的中間人攻擊。當然，攻擊者也會通過多種方法，來破壞HTTPS，進而消除加密的安全性。例如，SSLStrip類型的中間人攻擊，會強制將瀏覽器「卡」在舊的HTTP模式。對此，您可以通過細心觀察瀏覽器的地址欄，是否帶有紅叉或驚嘆號的通知，以發現HTTPS的安全性被完全「剝離」掉了。

為了應對SSLStrip實施的「協議降級攻擊」，我們可以採用HTTP嚴格傳輸安全性(HTTP Strict Transport Security，HSTS)。它能夠強制要求Web伺服器與所有用戶僅使用HTTPS進行交互。

當然，HSTS並非能夠一直奏效，畢竟HSTS只能在用戶首次訪問之後，方可進行配置。因此，這種短暫的時間差，仍然會在理論上給SSLStrip攻擊留下較短的時間窗口。此外，SSLStrip往往會被組合到其他各種中間人類型中，聯合開展攻擊。

帶有MITM的惡意軟體

在實際場景中，我們還可能碰到帶有中間人模塊的惡意軟體變種。例如，某些針對Android用戶的惡意軟體類型(例如SpyEye和ZeuS)，就能夠允許攻擊者截獲到，傳入和傳出智慧型手機的所有數據通信形式。例如，攻擊者可以在真實的安全網站上請求雙因素身份驗證碼(two-factor authentication code)，然後在用戶的手機上，先用戶一步，截獲並輸入行動裝置接收到的驗證碼到網站上。當然，PC機上也容易感染到此類中間人惡意軟體。

如何防範中間人攻擊?

常言道「知易行難」，下面我們來討論四種常見的防範中間人攻擊的方法：

使用HTTPS：確保您只訪問那些使用著HTTPS的網站。如前所述，HTTPS提供了額外的安全保護層。在此，您可以考慮下載並安裝Electronic Frontier Foundation的HTTPS Everywhere瀏覽器擴展程序。它是Google Chrome瀏覽器最好的隱私擴展程序之一。不要忽略警告：如果您的瀏覽器提示，您正在訪問的網站存在著安全問題，那麼就請引起足夠的重視。畢竟安全證書警告可以幫您直觀地判定，您的登錄憑據是否會被攻擊者截獲。不要使用公共Wi-Fi：如果您無法避免使用公共Wi-Fi，那麼請下載並安裝安全防護，為連接增加安全性。同時，在使用公共Wi-Fi連接時，請留意瀏覽器的安全警告。如果警告的數量突然猛增，那麼很可能就表明某個漏洞遭到了中間人攻擊。運行並更新防病毒軟體：除了此外，也請考慮使用諸如Malwarebytes Premium之類的其他安全工具。