網(wǎng)絡(luò)攻擊是對(duì)在線(xiàn)業(yè)務(wù)的持續(xù)威脅。中間人攻擊 (MITM) 是最常用的網(wǎng)絡(luò)攻擊技術(shù)。中間人攻擊是一種會(huì)話(huà)劫持。黑客利用對(duì)話(huà)和數(shù)據(jù)傳輸。在過(guò)去十年中，一些組織受到了此類(lèi)攻擊。檢測(cè) MITM 攻擊很困難，但它們是可以預(yù)防的。在本文中，詳細(xì)了解MITM 攻擊的工作原理和預(yù)防方法。

什么是中間人攻擊？

中間人攻擊是網(wǎng)絡(luò)竊聽(tīng)的一種形式。黑客試圖破壞源和目標(biāo)之間的通信。網(wǎng)絡(luò)罪犯本質(zhì)上充當(dāng)發(fā)送者和接收者之間的“中間人”。因此得名“中間人攻擊”。簡(jiǎn)單來(lái)說(shuō)，Man in the Middle Attack可以描述為“第三者在通信信道中間監(jiān)聽(tīng)兩個(gè)人的對(duì)話(huà)”。黑客必須保持對(duì)受害者不可見(jiàn)，中間人攻擊才能成功。攔截的目的是為了惡意目的竊取、竊聽(tīng)或修改數(shù)據(jù)，例如勒索錢(qián)財(cái)。

中間人攻擊的類(lèi)型

攻擊類(lèi)型：

• 攔截- 數(shù)據(jù)到達(dá)目的地之前的中斷
• 解密 - 在接收方未通知的情況下在目的地中斷數(shù)據(jù)

1.攔截

在攔截階段，攻擊發(fā)生在對(duì)話(huà)或數(shù)據(jù)傳輸?shù)闹虚g。

1.1. ARP欺騙

使用ARP 緩存更改接收方的地址稱(chēng)為 ARP 欺騙。這種攻擊是在使用 ARP 協(xié)議的局域網(wǎng)中進(jìn)行的。接收方地址的改變會(huì)影響數(shù)據(jù)傳輸。用戶(hù)發(fā)送的機(jī)密數(shù)據(jù)被傳送給黑客。

1.2. IP欺騙

設(shè)備以 IP 數(shù)據(jù)包的形式發(fā)送和接收數(shù)據(jù)。這些 IP 數(shù)據(jù)包中的標(biāo)頭包含目的地地址。IP 欺騙涉及創(chuàng)建具有修改源地址的IP 數(shù)據(jù)包，隱藏發(fā)送者的身份。在 IP 欺騙中，黑客試圖將流量轉(zhuǎn)移到欺詐網(wǎng)站。導(dǎo)致用戶(hù)在不知不覺(jué)中將信息發(fā)送到錯(cuò)誤的地址。

1.3. DNS 欺騙

在 DNS 欺騙中，黑客更改域名服務(wù)器 (DNS) 以將流量重定向到欺詐 站點(diǎn)。這會(huì)導(dǎo)致名稱(chēng)服務(wù)器返回錯(cuò)誤的 IP 地址。受害者在不知不覺(jué)中訪(fǎng)問(wèn)了黑客將試圖竊取其信息的虛假網(wǎng)站。

2.解密

在解密階段，中間人攻擊發(fā)生在接收端。它在消息到達(dá)用戶(hù)之前執(zhí)行。

2.1. SSL劫持

HTTPS 是防止ARP 或 DNS 欺騙的主要保護(hù)措施。為避免這種情況，黑客使用 SSL 劫持技術(shù)。黑客在 TCP 握手期間將偽造的身份驗(yàn)證密鑰傳遞給用戶(hù)和應(yīng)用程序。它將基于 HTTPS 的地址請(qǐng)求更改為其等效的 HTTP。這會(huì)創(chuàng)建一個(gè)看似安全連接的設(shè)置。實(shí)際上，中間的人控制了整個(gè)會(huì)話(huà)。

2.2. HTTPS 欺騙

沒(méi)有人可以創(chuàng)建重復(fù)的 HTTPS 地址。黑客旨在創(chuàng)建一個(gè)看起來(lái)真實(shí)的類(lèi)似網(wǎng)址。這種方法也被稱(chēng)為“ Homograph Attack ”。訪(fǎng)問(wèn)者在不知情的情況下將數(shù)據(jù)輸入到虛假網(wǎng)站。

2.3. 野獸襲擊

BEAST 是Browser Exploit Against SSL/TLS的縮寫(xiě)。在野獸攻擊中，注入一個(gè)專(zhuān)門(mén)設(shè)計(jì)的數(shù)據(jù)塊來(lái)訪(fǎng)問(wèn)數(shù)據(jù)傳輸。野獸攻擊幫助中間人攻擊者解密加密信息。

中間人攻擊如何運(yùn)作？

中間人攻擊通過(guò)利用網(wǎng)絡(luò)、Web、瀏覽器、服務(wù)器操作系統(tǒng)中的漏洞或攻擊來(lái)進(jìn)行。

這是中間人攻擊如何工作的基本工作順序：

• 人 A 向人 B 發(fā)送消息。
• MITM 攻擊者在A 或 B 不知情的情況下攔截消息。
• MITM 攻擊者在 A 或 B 不知情的情況下更改或刪除消息內(nèi)容。

中間人攻擊可以通過(guò)三種方式完成：

• 通過(guò)解密對(duì)話(huà)訪(fǎng)問(wèn)個(gè)人信息。
• 將用戶(hù)重定向到不安全和未加密的網(wǎng)站。
• 解密受害者的加密數(shù)據(jù)并將其用于惡意目的。

中間人攻擊發(fā)生在哪里？

云計(jì)算中的中間人攻擊是通過(guò)系統(tǒng)中的漏洞發(fā)生的。

通信系統(tǒng)存在以下幾個(gè)漏洞：

• 網(wǎng)絡(luò)服務(wù)器
• 公共網(wǎng)絡(luò)
• 路由器
• 電腦系統(tǒng)及瀏覽器

1.網(wǎng)絡(luò)服務(wù)器

一個(gè)弱的網(wǎng)絡(luò)服務(wù)器在流量驗(yàn)證中是無(wú)效的。它最容易受到中間人攻擊。

2.公共網(wǎng)絡(luò)

大多數(shù)黑客使用公共 wifi 點(diǎn)來(lái)破壞系統(tǒng)。通過(guò)公共 Wi-Fi 接入點(diǎn)更容易訪(fǎng)問(wèn)您的設(shè)備。

3.路由器

弱路由器無(wú)法阻止未經(jīng)授權(quán)的訪(fǎng)問(wèn)。黑客使用弱路由器進(jìn)入通信通道。

4. 電腦系統(tǒng)及瀏覽器

易受攻擊的系統(tǒng)很容易成為 MITM 攻擊的目標(biāo)。過(guò)時(shí)的網(wǎng)絡(luò)瀏覽器沒(méi)有最新的安全更新。黑客可以安裝惡意軟件以在過(guò)時(shí)的系統(tǒng)和瀏覽器中執(zhí)行 MITM 攻擊。

中間人攻擊的預(yù)防技巧

1.虛擬專(zhuān)用網(wǎng)絡(luò)

在客戶(hù)端和服務(wù)器之間使用虛擬專(zhuān)用網(wǎng)絡(luò)進(jìn)行安全連接。虛擬專(zhuān)用網(wǎng)絡(luò)加密您的數(shù)據(jù)傳輸以防止中間人攻擊。虛擬專(zhuān)用網(wǎng)絡(luò)可防止未經(jīng)授權(quán)繞過(guò)流量。

2.防火墻

防火墻通過(guò)僅允許授權(quán)流量來(lái)防止 MITM 攻擊。防火墻過(guò)濾來(lái)自不安全來(lái)源的流量以防止中間人攻擊。

3.雙因素認(rèn)證

雙因素身份驗(yàn)證是一個(gè)兩步安全系統(tǒng)。此身份驗(yàn)證需要用戶(hù)名和密碼以外的其他形式的身份驗(yàn)證。雙因素確保數(shù)據(jù)隱私并防止各種中間攻擊。

4. 網(wǎng)絡(luò)監(jiān)控

部署網(wǎng)絡(luò)監(jiān)控和入侵檢測(cè)工具來(lái)分析流量。每當(dāng)進(jìn)行 MITM 入侵時(shí)，入侵檢測(cè)工具都會(huì)發(fā)出警報(bào)。

5. SSL/TLS

始終使用 SSL/TLS 協(xié)議進(jìn)行通信。這些協(xié)議在針對(duì) MITM 攻擊的通信中提供數(shù)據(jù)完整性和隱私性。

6.HTTPS

SSL & TLS 支持HTTPS 中的加密通信。入侵者很難對(duì) HTTPS 網(wǎng)站進(jìn)行 MITM 攻擊。

7.域名系統(tǒng)

DNS 是一種識(shí)別 IP 地址和域名的網(wǎng)絡(luò)協(xié)議。使用 DNS over HTTPS加密您的 DNS 請(qǐng)求以防止 DNS 劫持。DNS 解析器執(zhí)行內(nèi)容過(guò)濾以阻止基于惡意軟件的中間攻擊。

8.最新更新

將您的系統(tǒng)更新到最新版本。軟件更新可提高安全性并增強(qiáng)性能。安全補(bǔ)丁保護(hù)您免受網(wǎng)絡(luò)威脅。

9. 教育員工

向員工提供安全意識(shí)。

• 創(chuàng)建具有不同角色和職責(zé)的安全策略
• 使用密碼保險(xiǎn)庫(kù)存儲(chǔ)秘密信息
• 集成自動(dòng)密碼輪換
• 為所有外部服務(wù)啟用雙因素身份驗(yàn)證

結(jié)論

中間人攻擊是一種永遠(yuǎn)存在的威脅。漏洞利用和漏洞為創(chuàng)建中間人攻擊打開(kāi)了大門(mén)。本文介紹了黑客用來(lái)創(chuàng)建中間人攻擊的一些常用技術(shù)以及如何防止這些技術(shù)。