一文了解「中間人攻擊(MITM)」(附防範建議)

2021-02-25 嘶吼專業版

你可能聽說過「中間人攻擊(MiTM)」這個詞,甚至可能對它還存在一個模糊的概念。但是,你仍舊會想「到底什麼才是中間人攻擊?」下面這篇文章就將為您提供解答。

總的來說,中間人(man-in-the-middle,MITM)攻擊非常難以識別和防禦。作為一種由來已久的網絡入侵手段,MITM攻擊依賴於控制人、計算機或伺服器之間的通信路線,它並不總是需要一臺受感染的計算機,這就意味著存在多種攻擊途徑。

那麼,究竟什麼才是中間人攻擊?我們又該如何防止自身淪為獵物呢?

什麼是中間人攻擊?

中間人攻擊是一種可以回溯到早期計算時代的網絡入侵方式。當未授權的實體將自己置於兩個通訊系統之間並試圖截獲正在傳遞的信息時,便會發生此類攻擊,其本質便是竊聽攻擊。為了更好地理解中間人攻擊的工作原理,可以參考如下兩個示例。

離線中間人攻擊

離線中間人攻擊聽起來比較基礎,但目前仍在全球範圍內使用。

例如,有人攔截了你發布的消息,對其進行了讀取和重新打包,然後將其發回給您或您的原始收件人。然後,當對方回復您時,同樣的情況會再次上演,該中間人會繼續截獲並閱讀原本通信雙方互發的所有信息。

如果操作得當的話,通信雙方完全不會知道自己遭遇了中間人攻擊,因為他們根本看不到這些信息曾被截獲和竊取過。

接管兩個參與者之間的通信通道是中間人攻擊的核心。

它還為攻擊者打開了其他欺騙途徑。如果攻擊者控制了通信方式,那麼他們就可以篡改傳輸中的消息。就我們上述示例而言,攻擊者不僅可以攔截並讀取通信雙方傳遞的信息,甚至還可以篡改消息內容,提出特定請求作為其攻擊活動的一部分。

當中間人控制您的通信時,他們還可以在完成攻擊後立即刪除與此次攻擊相關的任何信息記錄,讓通信雙方無法察覺任何異常。

在線中間人攻擊

儘管使用計算機或其他數字硬體代替了傳統的信件,但是在線中間人攻擊的工作原理幾乎與離線中間人攻擊相同。

例如,您用計算機設備連接到咖啡館的免費公共Wi-Fi上,然後試圖訪問銀行的網站。隨後,您可能會遇到如下錯誤提示。

如上圖所示,您會遇到一個證書錯誤,通知您該銀行的網站不具備有效的加密證書。這表面上好像是提醒您銀行的配置存在問題,真實情況卻是中間人攻擊正在進行中。

儘管如此,很多人仍然選擇單擊該錯誤信息並繼續訪問該銀行網站。之後,他們進行銀行帳戶登錄、匯款、帳單支付等操作,貌似一切如常。

而實際上,攻擊者可能已經建立好了一個虛假的伺服器和偽造的銀行網站。當你連接到虛假的銀行伺服器時,他們會將目標銀行的真實頁面略作修改,並呈現給您。您所有輸入的登錄詳細信息,都將被發送到中間人伺服器的後臺。

這也就解釋了上圖中出現的加密證書錯誤的安全提醒。中間人伺服器根本就沒有與真實銀行相同的安全證書,儘管它可能也具有其他的安全證書。

中間人攻擊的類型

具體來說,中間人攻擊有多種不同的類型:

Wi-Fi欺騙

攻擊者可以創建與本地免費Wi-Fi選項同名的虛假Wi-Fi接入點(AP)。例如,在上例的咖啡館中,攻擊者可能會模仿Wi-Fi名稱或創建一個名為「Guest Wi-Fi」或類似名稱的偽造選項。一旦您連接到了惡意訪問點,攻擊者就可以監視您的一切在線活動。

HTTPS欺騙

攻擊者通過欺騙您的瀏覽器,使您認為自己訪問的是可信任站點,而實際上卻將流量重定向到了不安全的網站。當您輸入登錄憑據時,攻擊者就會竊取它們。

SSL劫持

當您嘗試連接或訪問不安全的HTTP站點時,瀏覽器可以將您重定向到安全的HTTPS選項。但是,攻擊者可以劫持重定向過程,將指向其自建伺服器的連結植入其中,進而竊取您的敏感數據以及您輸入的所有憑據。

DNS欺騙

為了幫您準確地瀏覽目標網站,域名系統會將地址欄中的URL從人類可讀的文本格式轉換為計算機的IP位址。然而,DNS欺騙則會迫使您的瀏覽器訪問攻擊者控制的特定地址。

電子郵件劫持

如果攻擊者獲得了受信任機構(例如銀行)的郵箱甚至是郵件伺服器的訪問權限,那麼他們就可能會攔截包含敏感信息的客戶電子郵件,甚至開始以該機構的身份發送各種電子郵件。

這只是一些典型的中間人攻擊方式。除此之外,此類攻擊還存在許多變種和不同的組合。

HTTPS是否可以阻止中間人攻擊?

上述情況如果發生在使用HTTPS(HTTP的安全版本)的銀行網站上,用戶就會收到一個彈出消息,提示其加密證書不正確。現在,幾乎每個網站都使用HTTPS,您可以在地址欄中的URL旁邊看到一個帶鎖的圖標。

過去很長一段時間,只有那些提供敏感信息的網站才會使用HTTPS。但是現在情況已經發生了改變,特別是自從Google宣布它將使用HTTPS作為SEO的排名參考標準以來。據統計,2014年,在全球排名前一百萬的網站中,只有1-2%使用了HTTPS。到2018年,這一數字激增,在全球排名前一百萬的網站中,已有超過50%的企業實施了HTTPS。

在未加密的網站上使用標準的HTTP連接,你就不會收到上述示例中收到的警告,也就更容易遭遇中間人攻擊。

那麼,HTTPS是否真的可以防禦MITM攻擊?

MITM和SSLStrip

答案是,是的,HTTPS可以防止中間人攻擊。但是,攻擊者可以通過多種方法來破壞HTTPS,從而消除通過加密為您的連接提供的額外安全性。

以SSL剝離(SSLStrip)類型的中間人攻擊為例。SSL剝離或SSL降級攻擊是MiTM攻擊的一種十分罕見的方式,但是也是最危險的一種。眾所周知,SSL/TLS證書通過加密保護著我們的通訊安全。在SSL剝離攻擊中,攻擊者使SSL/TLS連接剝落,隨之協議便從安全的HTTPS變成了不安全的HTTP。

對於這種攻擊方式,你甚至可能完全察覺不到任何異常。通過細心觀察Google Chrome瀏覽器和其他瀏覽器的地址欄是否帶有大紅叉或驚嘆號的通知,可以幫助你發現一絲異常。如今,HTTPS添加的帶鎖標記無疑讓用戶能夠更容易發現自己是否正在使用HTTPS。

除此之外,另一種安全升級也削弱了SSL剝離的功效,它就是HTTP嚴格傳輸安全性(HTTP Strict Transport Security,HSTS)。

HTTP嚴格傳輸安全性(HSTS)的開發旨在防止中間人攻擊,尤其是SSL剝離等協議降級攻擊。HSTS具有一項特殊功能,它能夠強制要求Web伺服器與所有用戶僅使用HTTPS進行交互。

但這並不意味著HSTS能夠一直奏效,因為HSTS只能在用戶首次訪問後與用戶進行配置。因此,理論上來說,攻擊者可以利用這種短暫的時間差,在HSTS配置到位之前使用SSL剝離之類的中間人攻擊。

這還不是全部。如今,SSL剝離已經讓位於其他現代工具,它們將許多中間人攻擊類型整合到一個工具包中,開展更為複雜的攻擊。

MITM惡意軟體

除此之外,用戶還必須應對使用中間人攻擊或帶有中間人模塊的惡意軟體變種。例如,某些針對Android用戶的惡意軟體類型(例如SpyEye和ZeuS),就允許攻擊者竊聽傳入和傳出智慧型手機的所有數據通信形式。

這些惡意軟體一旦安裝在Android設備上,攻擊者就可以用其攔截所有形式的通信。其中最關鍵的信息是雙因素驗證碼。攻擊者可以在真實的安全網站上請求雙因素身份驗證碼,然後在用戶作出反應甚至了解正在發生的事情之前,對該驗證碼進行攔截。

如您所料,臺式機也並非不存在威脅。事實上存在很多專為中間人攻擊而設計的惡意軟體類型和漏洞利用工具包。更別提聯想曾在發貨之前在其筆記本電腦上安裝了支持SSL剝離的惡意軟體的事件了。

如何防範中間人攻擊?

中間人攻擊很難防禦。攻擊者存在多種攻擊組合,這也就意味著防範中間人攻擊的方法也必須是多方位的:

· 使用HTTPS:確保您訪問的每個網站都使用HTTPS標頭。畢竟面對SSL剝離和中間人惡意軟體,確保使用HTTPS仍然是最好的防禦選擇之一;

· 不要忽略警告:如果您的瀏覽器提示,您正在訪問的網站存在安全問題,那麼就請引起足夠的重視。畢竟安全證書警告可以幫您直觀地判定您的登錄憑據是否會被攻擊者截獲;

· 不要使用公共Wi-Fi:如果可以的話,儘量不要使用公共Wi-Fi。有時,無法避免使用公共Wi-Fi,那麼請下載並安裝vpn,為連接增加安全性。此外,在使用公共Wi-Fi連接時,請留意瀏覽器的安全警告。如果警告的數量突然猛增,那麼很可能表明存在中間人攻擊或漏洞;

· 點擊電子郵件前,檢查電子郵件的發件人;

· 如果你是一個網站管理員,你應當執行HSTS協議;

· 如果你的網站使用了SSL,確保你禁用了不安全的SSL/TLS協議。你應當只啟用了TLS 1.1和TLS 1.2;

· 運行並更新防病毒軟體:請確保防病毒軟體處於最新狀態,此外也可以考慮使用其他安全工具,例如Malwarebytes。

參考及來源:https://www.makeuseof.com/what-is-a-man-in-the-middle-attack/

相關焦點

  • HTTPS 中間人攻擊及其防範
    在之前的文章中,筆者簡要介紹了一下 HTTPS 的工作原理,在擴展閱讀中,筆者提到了中間人攻擊( Man In The Middle Attack,簡稱 MITM)。而在本文中,筆者將進一步解釋什麼是中間人攻擊。
  • 新手指南:如何用Ettercap實現「中間人攻擊」(附下載連結)
    中間人攻擊(Man-in-the-Middle Attack,簡稱「MiTM攻擊」)是一種「間接」的入侵攻擊,這種攻擊模式是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間,這臺計算機就稱為「中間人」。
  • 關於使用外部 IP 服務的中間人攻擊漏洞的聲明公告
    近日,社區批露了關於使用 Load Balancer 或者 External IPs 進行中間人攻擊的一個安全漏洞(編號 CVE-2020-8554
  • 【安全工具】CVE-2021-37152TP-LINK 中發送數據包並準備 mitm 攻擊來利用 Access 網絡客戶端
    CVE-2021-37152通過在無線 TP-LINK 中發送數據包並準備 mitm 攻擊來利用
  • 維基解密再爆CIA MitM攻擊【工具】
    更多全球網絡安全資訊盡在E安全官網www.easyaq.comE安全5月8日訊 當地時間5月5日,維基解密再爆一批時間介於2011年至2014年的CIA新文件,其詳細闡述了CIA針對LAN網絡的中間人(MitM)攻擊工具「阿基米德」(Archimedes)。
  • 華碩RT系列無線路由器存在漏洞,可能遭受中間人攻擊
    另外這些路由器都是通過HTTP而不是HTTPS下載的,所以很難證實終端伺服器是否來自華碩官方。華碩RT路由器更新步驟華碩RT系列路由器的更新只有兩個簡單的步驟:1,一個包含最新固件設備的明文文件列表2,下載一個路由器固件安裝包
  • 內網中間人的玩法
    這種攻擊方式主要針對ARP(地址解析協議)、DHCP(動態主機配置協議)和DNS伺服器配置不當造成的安全隱患。還有一種比較常見的攻擊方式就是中間人攻擊,他能夠使我們通過監控網絡流量獲取敏感信息。我們可以對網絡設備採取安全措施來預防攻擊。但是,由於一些協議固有的弱點來進行攻擊,本文就是利用LLMNR NetBIOS和WPAD機制來進行中間人攻擊。
  • 常用的周界防範方式有哪些?一文了解清楚
    安防項目中,視頻監控往往不能夠起到完全防範的作用,在廠區、園區這樣的場景下,往往需要周界防範系統的輔助
  • 半路殺出的程咬金之中間人攻擊
    中間人攻擊(Man-in-the-Middle Attack,簡稱「MITM攻擊」)是一種「間接」的入侵攻擊, 這種攻擊模式是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間
  • 【緊急預警】Windows 域環境存在遠程代碼執行風險(附詳細攻擊過程)
    Windows 域環境存在遠程代碼執行風險(附詳細攻擊過程)
  • 夜神模擬器模擬APP+Appium+mitmdump數據抓取
    除了命令行形式的控制臺,mitmproxy還有兩個關聯組件:mitmdump和mitmweb。mitmdump:它是mitmproxy的命令行接口,利用它我們可以對接Python腳本,用Python實現監聽後的處理。mitmweb:它是一個Web程序,通過它我們可以清楚觀察mitmproxy捕獲的請求。
  • 教你攻擊和防範
    這使他們容易受到攻擊。熱點可在公共場所使用,如機場,餐館,公園等。 在本教程中,我們將向您介紹用於利用無線網絡安全實現中的弱點的常用技術。我們還將介紹一些可以採取的防範此類攻擊的對策。 本教程中涉及的主題 什麼是無線網絡?如何訪問無線網絡?
  • 談談防範無人機攻擊的若干問題——納卡衝突中無人機應用引發的思考
    ,也不了解技術。」一、當前防範無人機攻擊的幾個問題(一)混淆消費級無人機「黑飛」和軍事級無人機攻擊的概念按用途劃分,無人機一般分為消費級、工業級和軍用級。消費級無人機一般為旋翼機,體積不大、續航能力、飛行距離有限,用途主要是娛樂和航拍。工業級無人機相較於消費級擁有更高的技術門檻。
  • 【HTTPS】攻擊
    一、CRIMECompression Ratio Info-leak Made Easy攻擊原理攻擊者控制受害者發送大量請求,利用壓縮算法的機制猜測請求中的關鍵信息,根據response長度判斷請求是否成功。如下面的https頭,攻擊這可以控制的部分為get請求地址,想要猜測的部分為Cookie。
  • GitHub 疑遭中間人攻擊,無法訪問;最大暗網託管商再次被黑,資料庫被刪​
    (給技術最前線加星標,每天看技術熱點)參考:程式設計師的那些事、藍點網、solidot、cnBeta、騰訊科技等0、GitHub 疑遭中間人攻擊
  • 常見的HTTPS攻擊方法
    0x00 背景研究常見的https攻擊方法Beast crime breach,並針對https的特性提出一些安全部署https的建議
  • 一文了解美國首家上市火箭公司阿斯特拉Astra!附投資人PPT
    正是在航天工業的這一領域,阿斯特拉的光芒將超越其他公司。因此,企業和國家意識到這一機遇,正在加快步伐,以確保在這個快速擴張的蛋糕中分得一杯羹。對投資者來說,押注於正確的公司也可以獲得同樣巨大的回報。雖然與火星移民和月球相比,這一業務對媒體來說沒有那麼有吸引力,但它確實代表了投資者尋求暴露在新興太空經濟中的巨大增長機會。
  • 一文全面了解移印工藝,俗稱萬能印刷
    烘乾型油墨 這種油墨的特性與雙組分油墨相似。其化學反應為高溫條件下連接料的交聯。 4. UV型 UV油墨是通過紫外線照射固化的油墨,由於UV油墨不含溶劑,即油墨不會改變承印物表面的粘性,所以油墨的轉印就相對比較困難。