中间人 (MITM) 攻击

什么是中间人攻击

中间人攻击 (MITM) 是一种网络攻击形式，其中恶意个人通过在两方之间引入某种形式的会议、操纵两方并获取这两方试图相互传递的数据来发起攻击。中间人攻击还帮助恶意攻击者在没有任何参与者识别的情况下，在为时已晚之前，窃取原本不应发送给任何人的数据传输。在某些方面，如 MITM、MitM、MiM 或 MIM，中间人攻击可以被提及。

如果攻击者将自己置于客户端和网页之间，则会发生中间人 (MITM) 攻击。这种形式的攻击以多种不同方式出现。

例如，为了截取财务登录凭据，可以使用欺诈性银行网站。在用户和真实的银行网页之间，虚假网站“居中”。

中间人攻击如何运作

黑客使用中间人攻击有多种原因和策略。通常，他们试图访问任何东西，例如信用卡号或用户登录详细信息。他们还监视私人会议，其中可能包含公司秘密或其他有用信息。

几乎每次攻击都具有的特征是，攻击者假装是你信任的人（或网页）。

中间人攻击的真实案例

在上图中，您可以看到入侵者将自己置于客户端和服务器之间，以拦截机密数据或操纵其不正确的信息。

中间人攻击的另一个实例

如上图所示，为了获得银行访问权限，攻击者试图模仿对话的双方。此实例适用于客户端和服务器对话以及人与人之间的对话。在此实例中，攻击者检索公共密钥，并可以调制自己的密码以操纵受众，使其相信他们正在两端安全地进行通信。

中间人攻击的类型

• Wi-fi 窃听
• DNS 欺骗
• IP 欺骗
• HTTPS 欺骗
• ARP 欺骗
• 电子邮件黑客
• 会话劫持
• SSL 剥离
• 中间人浏览器攻击 (MITB)

在这里，我们详细解释了上述概念。

Wi-fi 窃听

如果您在咖啡馆使用过设备，您可能见过一条通知，上面写着“此连接不安全”。公共 Wi-Fi 通常“按原样”提供，不提供任何服务质量保证。

未加密的 Wi-Fi 网络很容易被监视。尽管如此，这就像在公共场所进行辩论——任何人都可以加入。您可以通过将计算机设置为“公共”来限制访问，这将禁用网络发现。这可以避免网络上的其他用户利用系统。

当攻击者建立自己的“邪恶双胞胎”Wi-Fi 热点时，会发生其他 Wi-Fi 窃听攻击。攻击者通过网络地址和密码使链接看起来与真实的链接相同。用户会无意或自动链接到“邪恶双胞胎”，从而使攻击者能够侵入他们的活动。

DNS 欺骗

该网站使用数字 IP 地址，例如 192.156.65.118 是 Google 的一个地址。

例如，几个网站使用服务器将地址解释为可识别的标题：google.com。DNS 服务器（或 DNS）是将 192.156.65.118 转换为 google.com 的服务器。

攻击者可以开发欺诈性 Web 服务器。欺诈性服务器将特定的网址传输到唯一的 IP 地址，这被称为“欺骗”。

IP 欺骗

正如我们都知道的，连接到同一网络的许多设备都包含一个 IP 地址。在多个企业内部网络中，每个设备都配有其 IP 地址。在 IP 欺骗中，攻击者模仿经批准的控制台的 IP 地址。对于网络来说，它看起来就像系统已获得授权。

它可能会导致网络因未经授权的访问而被利用。他们必须保持安静并跟踪操作，否则也可能会发起拒绝服务 (DoS) 攻击。在中间人攻击中，IP 欺骗也可以通过放置在两个设备之间来使用。

例如，设备 A 和设备 B 假设它们相互通信，但两者都被拦截并传达给攻击者。

设备 A= = = = 攻击者= = = = 设备 B

根据 IBM X-Force 的 2018 年威胁情报报告，35% 的入侵操作涉及黑客进行中间人攻击。如下图所示。

HTTPS 欺骗

目前无法复制 HTTPS 网页。

然而，网络安全专家已经说明了一种规避 HTTPS 的理论方法。攻击者创建了一个权威地址。

它使用国际字母而不是标准脚本。这就像您可能使用过的带有不寻常字符的网络钓鱼电子邮件。例如，劳力士可能会写成 Rólex。

ARP 欺骗

ARP 指地址解析协议。

客户端发出 ARP 请求，攻击者产生欺诈性响应。在这种情况下，攻击者就像一台计算机调制解调器，这使得攻击者能够访问流量。通常，这仅限于使用 ARP 协议的局域网 (LAN)。

电子邮件黑客

在这种网络安全入侵中，攻击者利用用户的电子邮件系统。入侵者还会安静地观察，收集数据并通过电子邮件窃听讨论。攻击者可能有一个扫描模式，搜索目标关键词，例如“财务”或“秘密民主政策”。

通过社会工程，电子邮件黑客攻击完美运作。为了模仿在线朋友，攻击者可能会使用从某种被劫持的电子邮件地址中获取的相关数据。鱼叉式网络钓鱼也可以用来欺骗用户下载恶意应用程序。

会话劫持

通常，这种形式的中间人攻击常用于劫持社交媒体平台。对于大多数社交媒体平台，网页在受害者的机器上包含一个“会话浏览器 cookie”。如果用户退出，此 cookie 将失效。但是，当会话运行时，该 cookie 会提供身份、曝光和监控数据。

当入侵者窃取配置 cookie 时，就会发生会话劫持。除非受害者的帐户被恶意软件或应用程序攻击者入侵，否则它可能会发生。如果用户利用 XSS 跨站点脚本入侵，其中黑客将恶意脚本注入到经常访问的网站中，也可能会发生这种情况。

SSL 剥离

SSL 指安全套接字层。如果您在网站地址旁边看到 https:/ 而不是 http:/，则 SSL 是使用的安全标准。攻击者使用 SSL 剥离访问和路由用户的数据包

用户 = = = = 加密网站 用户 = = = = 身份验证网站

用户试图链接到受保护的网站。在客户端的帐户中，攻击者加密并链接到受保护的网站。通常，攻击者会开发一个虚假设计以呈现给客户。受害者认为他们已经登录到正常的网站，但实际上他们登录到了黑客的网站。攻击者确实已经从受害者的数据连接中“剥离”了 SSL 证书。

中间人浏览器攻击 (MITB)

这是一种利用互联网浏览器安全漏洞的攻击形式。

恶意攻击将是特洛伊木马、桌面蠕虫、Java 漏洞、SQL 注入攻击和网络浏览附加组件。这些通常用于收集财务信息。

当用户登录银行账户时，恶意软件会窃取他们的密码。在某些情况下，恶意软件脚本可能会转移资金，然后更改交易收据以隐藏交易。

中间人攻击的检测

在不采取适当措施的情况下，更难识别中间人攻击。如果您的交互未被监控，那么中间人攻击理论上将不受检查地进行，直到为时已晚。通常，识别潜在攻击的主要技术是始终寻找足够的页面授权并引入某种形式的篡改身份验证；但是，这些方法可能需要事后进行进一步的法医调查。

与其尝试在攻击运行时识别攻击，不如管理预防措施以避免中间人攻击发生。为了维持一个安全的环境，注意您的浏览习惯并识别可能危险的环境可能很重要。

中间人攻击的预防

在这里，我们讨论了一些预防技术，以避免交互被中间人攻击破坏。

1. 无线接入点 (WAP) 加密

在接入点上创建强大的保护功能可以消除合法的访问，使其无法从更近的地方访问系统。脆弱的保护系统将使入侵者能够强行进入系统并开始攻击中间人。

2. 使用 VPN

• 使用虚拟专用网络 (VPN)
  为了加密您的网络流量，加密 VPN 严重限制了黑客读取或修改网络流量的能力。
  准备好防止数据丢失；制定网络安全事件响应计划。
• 网络安全
  使用入侵检测系统保护您的网络。网络管理员应使用良好的网络卫生习惯来缓解中间人攻击。
  分析流量模式以识别异常行为。

3. 公钥对认证

中间人攻击通常包括某些东西被欺骗。在协议栈的不同层中，使用 RSA 等公钥对认证来确保您与之通信的对象本质上是您想要通信的对象。

4. 强大的网络用户凭据

确保修改主要电子邮件登录非常重要。不仅是 Wi-Fi 的登录凭据，还有路由器的密码哈希。当黑客检测到无线路由器登录详细信息时，他们可以将欺诈性服务器切换到 DNS 服务器。或者，最坏的情况是，用有害恶意软件入侵调制解调器。

5. 通信安全

通信安全帮助用户抵御未经授权的消息，并提供安全数据加密。

启用双因素身份验证是避免账户被黑客入侵的最有效方法。这意味着您除了登录凭据之外，还需要提供另一个保护因素。一个例子是登录凭据与 Gmail 发送到您设备的短信的结合。

6. 在所有平台（例如智能手机应用程序）上使用适当的网络保护卫生。

• 由于网络钓鱼电子邮件是最流行的攻击载体，因此请留意垃圾邮件。在打开之前仔细分析参考资料。
• 仅从受信任的来源安装浏览器插件。
• 通过注销非活动账户来减少利用漏洞以推翻持久性 cookie 的机会。
• 如果您预期是安全链接但没有，请停止您正在做的事情并执行安全扫描。

7. 避免使用公共 Wi-Fi

如果您使用公共 Wi-Fi，请将手机设置为需要手动链接。

中间人攻击发生时很难识别。保持安全的最简单方法是定期结合上述所有安全预防措施。

请注意，此类攻击是社会工程的一部分。如果社交媒体和电子邮件中的任何内容看起来不正常，请花几分钟时间深入挖掘。