中間人(MiTM)攻擊的運作方式
若要執行 MitM 攻擊,攻擊者需要達到兩個目標。 首先,他們需要以一種方式將自己插入通信中,以使他們能夠攔截到目的地的路上的流量。 攻擊者可以執行此操作的一些方式包括:
- 惡意無線網路:所有 W-Fi 流量都流經無線存取點 (AP),因此控制無線 AP 並誘騙使用者連接到該 AP 的攻擊者可以攔截其所有流量。
- ARP 偽造:位址解析通訊協定 (ARP) 用於將 IP 位址對應到 MAC 位址。 通過使用假 ARP 消息,攻擊者將目標的 IP 位址映射到他們的 MAC 位址,而使目標的流量發送給他們。
- DNS 偽造:網域名稱系統 (DNS) 將網域名稱映射到 IP 位址。 使用假 DNS 記錄中毒 DNS 快取可能會導致目標網域的流量路由到攻擊者的 IP 位址。
- BGP 劫持:邊界閘道器協定 (BGP) 用於識別具有到特定 IP 位址的最佳路由的自治系統 (AS)。BGP 劫持涉及宣傳虛假路線,以導致某些流量流通過攻擊者的系統。
一旦進入通訊中間,攻擊者需要能夠讀取訊息;然而,大部分網際網路流量會使用 SSL/TLS 加密。 如果流量已加密,則讀取和修改郵件需要能夠偽造或中斷 SSL/TLS 連線。
這可以通過幾種不同的方式實現。 如果攻擊者能誘騙使用者接受網站的虛假數位憑證,攻擊者將能夠解密用戶端的流量並在將其傳送到伺服器之前讀取或修改。 或者,攻擊者可以使用 SSL 刪除或降級攻擊破壞 SSL/TLS 工作階段的安全性。
中間攻擊的例子
MitM 攻擊可以通過各種方式進行,這取決於被攻擊的協議和攻擊者的目標。 例如,當通訊串流未加密,且攻擊者自然位於目標流量的路徑上時,執行 MiTM 攻擊會更容易。
場景 1:易受攻擊的物聯網/行動應用程式
一般使用者已了解如何根據網址列中的 https 和鎖定圖示確定其 Web 瀏覽工作階段是否已加密。然而,對於行動應用程式和物聯網(物聯網裝置)來說,驗證資料流是否已加密更加困難。它們的安全性不佳,並且使用 Telnet 或 HTTP 等未加密通訊協定進行通訊並不罕見。
如果是這種情況,那麼攻擊者可以輕鬆讀取並可能修改行動應用程式或物聯網裝置與伺服器之間流動的資料。通過使用無線存取點或某種形式的偽造,攻擊者可以將自己插入通訊串流,以便所有流量流通過它們。 由於這些通訊協定缺少資料完整性或真實性的內建檢查,攻擊者可以隨意變更流量的內容。
案例 2:假數位證書
SSL/TLS 旨在透過為網路流量提供機密性、完整性和身份驗證來防止中間人攻擊。但是,它依賴於使用者只接受特定網域的有效數位憑證。 如果攻擊者能夠誘騙用戶訪問網路釣魚網站,說服他們接受虛假證書,或破壞公司用於SSL 檢查的數位證書,那麼這些保護措施就會被破壞。
在此情況下,攻擊者會維護兩個使用 SSL/TLS 加密的個別工作階段。 其中,它在偽裝為服務器並使用其假 SSL 憑證時連接到客戶端。 另一方面,它呈現為連接到合法服務器的客戶端。 由於攻擊者控制兩個工作階段,因此他們可以解密一個工作階段中的資料、檢查和修改它,以及為另一個工作階段重新加密。
中間人攻擊防範
MitM 攻擊取決於攻擊者能夠攔截和讀取流量。 防止這種情況的一些網際網路安全最佳做法包括:
- 小心公共無線網:公共無線網路上的流量均經過AP,AP可能已被攻擊者控制。僅連接到已知且可信任的無線網路。
- 使用 VPN:虛擬私人網路 (VPN) 對遠端使用者或網站與 VPN 端點之間的流量進行加密。這可防止 MitM 攻擊者讀取或修改攔截的流量。
驗證數位憑證:合法網站應始終具有在瀏覽器中顯示為有效的數位憑證。 信任可疑憑證可能會啟動 MiTM 攻擊。
使用 Check Point 防範 MITM
Check Point 遠端存取 VPN 可以協助保護遠端員工免受 MitM 攻擊和其他網路攻擊。若要詳細了解您的組織面臨的網路威脅,請查看2023 年網路安全報告。然後,進行免費的安全檢查,了解您的組織如何改善其安全狀態。
反映意見