博客
什么是中间人的攻击,如何防止它
摘要形状摘要形状

一个中间人攻击(MITM攻击)是一个 网络攻击 攻击者中断并可能改变两个相信他们直接沟通的各方之间的沟通。这允许攻击者中继通信,倾听,甚至修改每个方的说法。

中间攻击能够在人,客户和服务器之间窃听窃听。这可以包括与网站的HTTPS连接,其他 SSL / TLS. 连接,Wi-Fi网络连接等等。

中间人攻击示例

想象一下,您和同事通过安全消息平台进行通信。攻击者希望拦截对话窃听,并向您的同事提供错误的消息。

 

一个中间人网络安全攻击的图

首先,你问你的同事是她的公钥。如果她送你的公钥,但攻击者能够拦截它,可以开始一个人的中间攻击。

攻击者 sends you a forged message that appears to originate from your colleague but instead includes the attacker's public key.

你,相信公钥是你的同事's,使用攻击者加密您的消息's键并将加密消息返回给您的"colleague".

攻击者再次拦截,使用其私钥摧毁邮件,改变它,并使用最初试图将其发送给您的同事拦截的公钥重新封存它。

当您的同事们评论加密信息时,她认为它来自于您。

  1. 你 send a message to your colleague, which is intercepted by an attacker
  2. 你 "嗨,你能把你的钥匙发给我。" 攻击者 Colleague
  3. 攻击者将消息转移到您的同事,同事不能告诉有一个中间的人
  4. 你  攻击者 "嗨,你能把你的钥匙发给我。" Colleague
  5. 同事与她回应 加密 key
  6. 你  攻击者 [Colleague's key] Colleague
  7. 攻击者取代同事'与自己的钥匙,并将信息传递给您,声称它's your colleague's key
  8. 你 [Attacker's key] 攻击者 Colleague
  9. 您加密了您认为是您的同事的信息'S钥匙,只思考你的同事可以阅读它
  10. 你 "我们S3桶的密码是XYZ"[用攻击者加密's key] 攻击者 Colleague
  11. 因为消息与攻击者加密'S键,他们解密它,阅读它并修改它,用你的同事重新加密's键并转发消息
  12. 你  攻击者 "我们S3桶的密码是Zyx"[与同事加密's key] Colleague
  13. 你和你的同事都认为这封信是安全的。

此示例突出了有必要确保各方真正互相通信的方法'S公共钥匙而不是攻击者的公钥。它'不足以强壮 信息安全 实践,您需要控制中间人攻击的风险。 

是中间人的攻击危险吗?

中间人攻击是危险的,通常有两个目标: 

  1. 获得访问 敏感数据 和个人信息;和/或
  2. 操纵传输消息的内容

在实践中,这意味着获得:

  1. 个人身份信息(PII) 和其他身份盗窃的敏感信息
  2. 在公共Wi-Fi网络上登录凭据,以获得对在线银行帐户的未经授权访问
  3. 在电子商务网站上窃取信用卡号
  4. 从合法的网站到网站托管中的公共Wi-Fi热点上的流量重定向 恶意软件

MITM攻击的常见目标是网站和电子邮件。默认情况下的电子邮件不使用加密,使攻击者能够拦截和 欺骗电子邮件 从发件人只有其登录凭据。

中间人攻击和嗅探有什么区别?

由于互联网协议的性质,发送到互联网的大部分信息都可公开访问。连接到本地网络(LAN)时,每台其他计算机都可以看到您的数据包。 

当攻击者与您同一网络时,它们可以使用嗅探器来读取数据,如果可以访问客户端和服务器之间的任何计算机(包括您的客户端和服务器),让他们侦听您的通信。

在一个中间的中间攻击中,攻击者欺骗您或计算机与计算机连接。这让您相信它们是您想要连接的地方。然后,他们连接到您的实际目的地,并在需要时假装您的方式,转发和修改信息。这是一个更大的 网络安全风险 因为可以修改信息。

作为  网络安全 违约,嗅探和中间攻击的加密趋势变得更加困难,但不是不可能的。攻击者可以使用各种技巧来欺骗用户或 开发 加密协议中的弱点成为中间人。安全连接不足以避免中间人拦截您的通信。

在哪里发生中间攻击?

有许多类型的中间攻击,但一般来说,他们将以四种方式发生: 

  1. 公共网络: 当您连接到任何公共网络时,您最有风险。这意味着在机场或咖啡馆的公共Wi-Fi连接,任何没有访问限制的网络。攻击者最容易成为中间人,因为很多技术在局域网和Wi-Fi网络上最好地工作。
  2. 在你的电脑: 您可以安装恶意软件,监视并修改您的Internet连接(如浏览器)或遭受 网络钓鱼 通过将您带到充当中间人的网站,攻击劫持您的联系。
  3. 路由器:  路由器通常由Internet服务提供商提供,并具有默认安全设置。这意味着许多路由器都有默认的登录凭据(例如admin / password),或者具有可能具有已知漏洞的过时的固件。
  4. 网络服务器: 攻击者获得访问您打算与之通信的正版Web服务器。

人在中间攻击如何工作?

中间人攻击可分为三个阶段:

  1. 第一阶段: 获取访问位置以执行攻击的位置。
  2. 第二阶段: 成为中间人。
  3. 第三阶段: 必要时克服加密。

一旦攻击者能够进入您和您所需的目的地,他们就会成为中间人。为此成功,他们会尝试用一个或几种不同的欺骗攻击技术欺骗您的计算机。 

什么是ARP欺骗(ARP缓存中毒)?

ARP欺骗(ARP缓存中毒)网络安全攻击图

ARP(或地址解析协议)将设备(其MAC地址或媒体访问控制地址)的物理地址和分配给局域网上的IP地址转换为分配给它的IP地址。 

使用ARP欺骗的攻击者旨在将虚假信息注入局域网,以将连接重定向到其设备。 

想象一下你的路由器 'S IP地址是192.169.2.1。要连接到Internet,您的笔记本电脑将IP(Internet协议)数据包发送到192.169.2.1。为此,必须知道哪些物理设备具有此地址。路由器具有00:0A:95:9D:68:16的MAC地址。 

这里'S如何欺骗欺骗:

  1. 攻击者将假ARP数据包注入您的网络。
  2. ARP数据包表示,192.169.2.1所属的地址属于攻击者'具有以下MAC地址11:0A:91:9D:96:10而不是您的路由器的设备。
  3. ARP Cache存储将IP 192.169.2.1与MAC 11:0A:91:9D:96:10相关联的错误信息。
  4. 您的笔记本电脑现在旨在连接到互联网,但连接到攻击者'S机器而不是路由器。
  5. 攻击者'然后,机器连接到路由器并将您连接到Internet,使攻击能够侦听并修改与Internet的连接。

什么是IP欺骗(IP地址欺骗)?

IP欺骗图(IP地址欺骗)网络安全攻击图

IP欺骗是当机器假装有不同的IP地址时,通常与另一台机器相同的地址。独自一人,IP欺骗是'T一个中间攻击,但它在与TCP序列预测结合时成为一个。

这里,通常使用TCP / IP(传输控制协议/互联网协议)建立Internet连接's what happens:

  1. 当两个设备在局域网上彼此连接时,它们使用TCP / IP。
  2. 要建立会话,他们执行三方握手。
  3. 在三通握手期间,它们交换序列号。
  4. 序列号允许接收者通过告诉他们应将接收的数据包放在一起,从其他设备中识别其他数据包。 

在IP欺骗攻击中,攻击者首先嗅到连接。这在本地网络上很容易,因为所有IP数据包都进入网络,网络上的设备可读。攻击者了解序列号,预测下一个序列号,并将假装为原始发件人发送数据包。如果数据包首先到达目的地,则攻击可以拦截连接。  

图像攻击者随着IP欺骗的目标加入您的本地网络:

  1. 攻击者使用IP地址192.100.1加入您的本地网络,并运行嗅探器,使它们能够在网络中查看所有IP数据包。
  2. 攻击者希望拦截与路由器IP地址192.169.2.1的连接,它们在您和路由器之间查找数据包以预测序列号。
  3. 在适当的时刻,该攻击将数据包从其笔记本电脑发送了路由器的源地址(192.169.2.1)和正确的序列号,欺骗笔记本电脑。
  4. 与此同时,攻击者用DOS攻击泛滥的真实路由器泛滥,减速或禁用它,使他们的数据包能够在路由器之前到达您's do.
  5. 您的笔记本电脑现在确信攻击者'S笔记本电脑是路由器,完成中间人攻击。

什么是DNS欺骗(DNS缓存中毒)?

DNS欺骗图(DNS缓存中毒)网络安全攻击图

ARP欺骗和IP欺骗依赖于与您相同的局域网连接的攻击。随着DNS欺骗,攻击可以来自任何地方。 

好消息是DNS欺骗通常更困难,因为它依赖于易受攻击的DNS缓存。坏消息是如果DNS欺骗是成功的,它可能会影响大量的人。

DNS(域名系统)是用于翻译IP地址和域名的系统。 example.com。系统有两个主要元素:

  1. 名称服务器(DNS服务器): 名称服务器是权威信息的来源,通常存储在每个域的两到三个服务器上,例如, exald.com的IP地址存储在A.iana-Servers.net和B.iana-Servers.net上。如果想要连接到example.com的每个客户端连接到a.iana-servers.net和b.iana-servers.net要到达example.com,则会重载服务器。这就是为什么我们使用本地解析器缓存信息。如果解析器没有缓存IP地址,它将联系名称服务器并保存IP地址。 
  2. Resolvers(DNS缓存): 由计算机维护的临时数据库'S操作系统包含所有最近访问的记录,并尝试访问网站和其他互联网域。

这是DNS欺骗的一个例子:

  1. 攻击者知道您使用192.0.111.255作为解析器(DNS缓存)。
  2. 攻击也知道这种解析模式容易受到中毒。
  3. 攻击者毒物解析器并为您的银行提供信息'S网站到他们的假网站's IP address
  4. 当您输入您的银行时's网站进入浏览器,你看到攻击者's site
  5. 攻击者连接到原始网站并完成攻击。

什么是https欺骗(IDN同情攻击或Web浏览器欺骗)?

HTTPS欺骗图(IDN同情谱攻击或Web浏览器欺骗)网络安全攻击图

Web浏览器欺骗是一种形式 typosquatting. 攻击者注册一个看起来与要连接的域的域名的域名。然后,它们提供错误的URL以使用其他技术,如网络钓鱼。

Google安全团队认为地址栏是现代浏览器中最重要的安全指标。它提供了网站的真实身份和您在右网站上的验证。

地址栏欺骗的一个例子是2017年发生的同情漏洞。它利用国际域名(IDN)功能允许使用来自各种字母从各种字母的字符写入外籍人物的域名。 

例如,xn--80ak6aa92e.com将以IDN显示为Аррше.com,从Apple.com实际上无法区分。此后通过显示ASCII格式的IDN地址已收拾。 

什么是电子邮件劫持?

Email hijacking网络安全攻击图

电子邮件劫持是攻击者妥协电子邮件帐户并通过窃听电子邮件对话默默地收集信息。电子邮件劫持可以制作 社会工程学 通过冒充拥有电子邮件的人并且经常用于攻击,攻击非常有效 刺痛.  

什么是浏览器攻击?

浏览器网络安全攻击图

一个浏览器攻击在谷歌Chrome或Firefox等Web浏览器中利用漏洞。特洛伊木马,蠕虫,漏洞利用,SQL注射和浏览器加载项都可以 攻击向量

目标通常是将登录凭证捕获到金融服务公司等信用卡公司或银行账户。登录网站时,浏览器的浏览器甚至可以传输资金,并修改您所看到隐藏事务的内容。

什么是Wi-Fi窃听?

Wi-Fi窃听网络安全攻击图

如果你'在咖啡厅或机场登录公共Wi-Fi接入点,您可能已经注意到了一个说的弹出窗口"该网络不安全".

未加密的Wi-Fi连接很容易窃听。将其视为在公共场所进行对话,任何人都可以倾听。您可以通过将网络设置为公众来限制您的曝光,禁用网络发现并阻止网络上的其他用户访问设备。

无线上网"Evil Twin"网络安全攻击图

Wi-Fi窃听的另一个例子是攻击者创建自己的Wi-Fi热点,称为邪恶的双胞胎。  

它们使连接看起来与真实的一个相同,向下到网络ID和密码,用户可能会意外或自动连接到邪恶的双胞胎,允许攻击者窃听他们的活动。

什么是SSL劫持?

SSL hijacking网络安全攻击图

SSL劫持是攻击者拦截连接并为您访问的所有域生成SSL / TLS证书时。它们向您呈现虚假证书,建立与原始服务器的连接,然后继电流量。

这仅适用于攻击者可以让您的浏览器认为证书由可信证书颁发机构(CA)签名。否则,您的浏览器将显示警告或拒绝以打开页面。

这里'S SSL劫持工作如何:

  1. 攻击者使用单独的网络攻击让您下载并安装他们的CA.
  2. 当您访问安全网站时,将攻击者拦截您的连接。
  3. 攻击者为您的银行生成证书,请与他们的CA签名并向您提供服务。
  4. 您的浏览器认为证书是真实的,因为攻击已经欺骗了您的计算机思考CA是一个值得信赖的来源。
  5. 攻击者与您的银行建立连接并通过它们中继所有SSL流量。

SSL劫持可能是合法的。例如,家长控制软件通常使用SSL劫持来阻止站点。

什么是ssl剥离?

SSL stripping网络安全攻击图

SSL剥离或SSL降级攻击是一种攻击,用于在支持HTTPS的网站上绕过SSL证书强制执行的安全性。

在外行'术语,当您访问网站时,浏览器连接到不安全的站点(HTTP),然后通常被重定向到安全站点(HTTPS)。

如果网站在没有加密的情况下可用,则攻击者可以拦截您的数据包并强制将对攻击者公开登录凭据或其他敏感信息的HTTP连接。 

随着更多网站使用,这种攻击的风险降低了 HTTP严格传输安全性(HSTS) 这意味着服务器拒绝连接不安全的连接。 

SSL / TSL漏洞

SSL和TSL的旧版本与任何技术都有缺陷份额,并且易于利用。  

什么是劫持会话?

会话Hiijacking网络安全攻击图

会议劫持是一种通常妥协社交媒体账户的中间人攻击的一种。大多数社交媒体网站在您的计算机上存储会话浏览器cookie。然后,此Cookie在退出时无效但在会话处于活动状态时,Cookie提供身份,访问和跟踪信息。 

当攻击者通过恶意软件或浏览器劫持会话cookie时或劫持 跨站点脚本(XSS)攻击 通过运行恶意javascript在流行的Web应用程序上,然后他们可以登录您的帐户,以收听对话或冒充您。

其他中非攻击的其他方法

攻击者有更多的方法将自己与您的最终目的地置于您之间。这些方法通常属于以下三类中的一个:

  1. 服务器妥协: 攻击者 gains control to the server you want to connect to and places their own software on the server to intercept connections.
  2. 客户妥协: 攻击者获得了对机器的访问,并安装特洛伊木马或其他形式的恶意软件,允许他们在所有连接中倾听。  
  3. 沟通妥协: 攻击者接管了一台机器,在您和服务器之间路由信息。

中间攻击检测和预防

有许多类型的中间攻击,有些人难以检测。对中间人攻击的最佳反应是防止他们。

虽然如果难以阻止攻击者拦截您的连接,但如果他们访问网络,则可以确保您的通信强烈加密。

以下是您可以遵循的一些普遍提示:

  • 虚拟专用网络(VPN): VPNS加密您的Web流量限制攻击者'■阅读或修改通信的能力。
  • 网络入侵检测系统(NIDS):  NIDS位于网络中的战略点,以监控网络上所有设备的流量。它对在整个子网上传递的流量进行分析,并将流量与子网传递给已知攻击库的流量匹配。一旦发现攻击或发现异常行为,可以将警报发送到网络安全专业人员。 
  • 防火墙: 强大的防火墙可以防止未经授权的访问。
  • 防病毒和antimalware: 安装防病毒和antimalware软件包,其中包括在系统上运行的扫描仪,以防止依赖恶意软件的中间人攻击。
  • 双因素身份验证: 防止电子邮件劫持的好方法是使用双因素身份验证,该身份验证需要额外的身份验证传染媒介超出您的密码。
  • 了解常见的网络钓鱼骗局: 网络钓鱼电子邮件是一个常见的攻击矢量,只有在你知道他们是来自那个人的人时,只有下载电子邮件附件,拿起电话,询问你是否不确定。
  • 登出: 通过注销任何未使用的帐户来避免会话劫持,以使会话cookie无效。
  • 想想你安装的内容: 只有安装浏览器,如果您知道它们来自良好的源,则只需安装浏览器。
  • 强制加密: 避免在没有HTTPS的情况下在网站上共享任何敏感信息
  • 到处安装HTTPS: It's铬安全扩展扩展,以尽可能强制SSL连接。
  • 使用密码管理器: 它应该避免在尼像地点上自动填充密码。
  • 避免公共Wi-Fi网络: 如果你 must use public Wi-Fi configure your device to require manual connection.
  • 补丁软件和硬件: 保持您的工具最新,以避免中间攻击,从而利用已知的漏洞。
  • 使用安全DNS服务器(DNS缓存): 确保您使用的DNS服务器(DNS缓存)是安全的。
  • 应用程序安全性: 如果你 have a website or application, regularly 扫描漏洞 and resolve issues. 

中间人内攻击

描绘了圣吉尔斯田间的安东尼比林顿策划为暗杀女王伊丽莎白伊丽莎白我

Babington Plot: 在1586年,有一个计划暗杀伊丽莎白女王,并将玛丽放在英国宝座上的苏格兰女王。玛丽,苏格兰人和她的共谋人员之间的沟通被拦截,罗伯特·吉芬和托马斯·普查拦截了,解码和修改,导致苏格兰女王的执行。

 

belkin路由器调制解调器

BELKIN:  2003年,非加密攻击由Belkin无线网络路由器犯下。定期上,它将接管HTTP连接通过它路由,无法将流量传递到目标上并响应预期服务器。在它发送的回复中,它将替换用户对另一个Belkin产品的广告请求的网页。这"feature" was later removed.

 

在中间攻击后破产前的Diginotar广告牌

Diginotar: 2011年,Diginotar安全突发导致欺诈发行证书,然后用于执行中间攻击。

 

诺基亚手机与诺基亚's Xpress browser

诺基亚:  2013年,诺基亚'S Xpress浏览器被揭示为解密HTTPS流量,为其客户提供清晰的文本' encrypted traffic. 

 

纽约证券交易所交易地板,屏幕上有Equifax

Equifax:  2017年,由于中间人的漏洞问题,Equifax撤消了其手机应用程序。

upguard如何帮助防止中间人攻击

upguard.  helps companies like 洲际交流泰勒炒纽约证券交易所,IAG,第一州超级,Akamai,Morningstar和NASA保护他们的数据和 防止数据违规.

我们的平台可以帮助您了解您的哪些网站容易受到中间人攻击以及如何解决漏洞。 Upguard Breachsight. can help combat typosquatting., 避免 数据违规 and 数据泄漏,避免监管罚款并保护您的客户'通过网络安全评级和连续曝光检测来信任。 

我们也可以帮助您 不断监控,利率和向供应商发送安全问卷 to control 第三方风险 and 第四方风险 并提高您的安全姿势,以及 自动创建库存,实施策略,并检测IT基础架构的意外更改。帮助你扩展你的 供应商风险管理第三方风险管理 and 网络安全风险评估 processes.

今天预订演示。

免费电子书

网络犯罪的企业后果:谁's Liable?

了解网络犯罪的企业后果,谁与这种深入的帖子负责。
白色upguard徽标
网络犯罪的企业后果:谁's Liable?
可用于下载的Upguard免费资源
学到更多

下载我们的免费电子书和白皮书

管理。
白色upguard徽标
电子书,报告& Whitepapers
可用于下载的Upguard免费资源
Upguard客户支持团队Upguard客户支持团队Upguard客户支持团队

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
摘要形状摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
摘要形状摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  • 检查图标
    即时洞察力您可以立即采取行动
  • 检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级摘要形状
发布时间: 2021-05-11 02:09:07

最近发表