MITM 攻击进程

MITM 攻击的成功执行分为两个不同的阶段，分别是解密和拦截。在拦截中，攻击者处于数据流之间，准备捕获数据、收集接收到的数据、出售或重复使用数据。在解密中，数据由攻击者发送，分析所使用的加密技术，如 HTTPS 等，尝试解密数据并重复使用它。

拦截

在第一步中，我们使用攻击者的网络并在用户流量到达其所需位置之前拦截它。为此，被动攻击是最简单、最常见的。在此攻击中，攻击者创建可供公众免费使用的恶意 Wi-Fi 热点，这意味着它们没有密码保护。这种 Wi-Fi 的名称通常与其位置相对应。当任何用户或受害者连接到此类热点时，攻击者即可完全访问在线数据交换。攻击者为了进行拦截，采取了更积极主动的方法，可能会发起以下任何一种攻击

IP 欺骗

连接到网络的所有系统都包含一个 IP 地址。许多公司的内部网络也为系统提供了 IP 地址。在 IP 欺骗中，攻击者会更改 IP 地址中的数据包头，并将自己伪装成一个应用程序。因此，与该应用程序关联的 URL 会被用户尝试访问并发送到攻击者的网站。在这种情况下，攻击者可以使用 DOS 来执行 MITM 攻击，其中攻击者充当两个系统之间的中间件。

ARP 欺骗

ARP 意思是地址解析协议。它用于在局域网中将 IP 地址解析为相应的 MAC 地址。为了定位网络中的设备并识别设备的 MAC 地址，使用了 IP 地址。在 ARP 欺骗攻击中，攻击者将其 MAC 地址链接到合法用户的 IP。然后，它会发送一系列持续的 ARP 消息，以建立与攻击者系统的连接。因此，数据被传输到攻击者，用户将数据发送到主机 IP 地址。

DNS 欺骗

DNS 意思是域名系统。DNS 用于将 IP 地址解析为其域名，如“javatpoint.com”，反之亦然。在此攻击中，目标设备的 DNS 缓存被攻击者破坏并重写。攻击者更改 DNS 记录并重定向到漏洞服务器。因此，更改后的 DNS 记录被发送到攻击者的站点，用户尝试访问该站点。其中，端口号 32.21.12.23 解析 www.stupidonlinebank.com。DNS 缓存被攻击者污染，它将用户重定向到“19.168.0.10”。在此端口，攻击者部署了一个虚假的钓鱼网站，该网站已准备好收集输入的信息。

解密

现在，无需提醒应用程序或用户，需要对双向 SSL 流量进行解密。为了实现这一点，有以下几种方法

HTTPS 欺骗

当与受保护站点建立初始连接时，受害者的浏览器会从攻击者那里收到一个伪造的证书。该证书包含指纹，并与被破坏的应用程序相关联。浏览器根据现有的一组受信任的站点来验证指纹，从而使攻击者可以访问用户在传递给应用程序之前输入的任何数据。

SSL Beast

它用于 SSL 中，目标是 TSL 版本 1.0。这里，将恶意 JavaScript 注入受害者的计算机中，用于拦截由 Web 应用程序发送的加密 cookie。现在，为了对身份验证令牌进行解密和解密 cookie，应用程序的密码块链被破坏。

SSL 劫持

SSL 劫持发生在 TCP（传输控制协议）握手期间，此时攻击者将伪造的身份验证密钥传递给应用程序和用户。它用于破坏社交媒体帐户。大多数社交媒体网站都会在用户的系统上存储会话浏览器 cookie。当浏览器劫持并向用户的计算机注入恶意软件时，主要会发生这种类型的攻击。当攻击者窃取会话 cookie 时，也会发生这种情况。当中间人控制整个会话时，这会建立一个看似安全的连接。

SSL 剥离

在 100% 的网站中，大约 70% 的网站仍在不安全的通用 HTTP 端口上运行。这为用户提供了应用程序的向后兼容性和广泛可用性。使用它，可以将安全的 HTTPS 连接降级为基本的 HTTP 连接。攻击者可以使用 HTTP 连接来嗅探数据包，然后读取它们。现在用户正在浏览未加密的网站，因此攻击者也可以当场更改数据包。