什么是中间人攻击?

中间人攻击很难识别和防御。 MITM攻击取决于控制人,计算机或服务器之间的通信线路。中间人攻击并不总是需要一台受感染的计算机,这意味着存在多种攻击途径。

那么,什么是中间人攻击?如何防止自己沦为猎物呢?

什么是中间人攻击?

中间人(MITM)攻击早于计算机。这种类型的攻击涉及攻击者将自己插入到彼此通信的两方之间。中间人攻击本质上是窃听攻击。

为了更好地理解中间人攻击的工作原理,请考虑以下两个示例。

离线中间人攻击

离线MITM攻击听起来很基础,但仍在全球范围内使用。

例如,某人拦截了您的帖子,对其进行了读取,重新打包,然后将其发送给您或您的原始收件人。然后,当对方回复您时,情况也会逆转,中间人拦截并阅读各个方向的邮件。

如果执行得当,您将不知道发生了MITM攻击,因为您看不到拦截和数据盗窃。

接管两个参与者之间的通信通道是中间人攻击的核心。

它还为攻击者打开了其他欺骗途径。如果攻击者控制了通信方式,则他们可以修改传输中的消息。在我们的示例中,有人正在拦截并阅读邮件。同一个人可以修改您邮件的内容,以提出特定要求或作为攻击的一部分提出要求。

当MITM控制您的通信时,他们可以随后删除对该问题或请求的任何后续引用,而使您更明智。

在线中间人攻击

尽管使用计算机或其他数字硬件代替了旧的蜗牛邮件,但在线中间人攻击的工作方式几乎相同。

一个MITM攻击变体围绕着您,与您连接到咖啡馆的免费公共Wi-Fi。连接后,您尝试连接到银行的网站。

就我们的示例而言,您然后遇到一个证书错误,通知您银行的网站没有适当的加密证书。这会提醒您以下事实:银行网站的配置有问题,并且正在进行MITM攻击。

相关:什么是网站安全证书?

但是,无论如何,许多人只是单击此错误消息并访问银行网站。您登录银行门户网站,汇款,支付账单,一切似乎都很好。

实际上,攻击者可能已经建立了模仿您的银行的假服务器和网站。当您连接到伪造的银行服务器时,它将获取银行的网页,对其进行一些修改,然后将其呈现给您。您正常输入登录详细信息,这些详细信息将发送到中间人服务器。

MITM服务器仍将您登录到银行,并正常显示该页面。但是,攻击者的中间人服务器已捕获您的登录凭据,可供利用。

在这种情况下,预警消息是加密证书错误,提示网站配置不正确。中间人服务器没有与您的银行相同的安全证书-尽管它可能具有其他位置的安全证书。

中间人攻击的类型

MITM攻击有几种不同类型:

  • Wi-Fi欺骗:攻击者可以创建与本地免费Wi-Fi选项同名的假Wi-Fi接入点。例如,在咖啡馆中,攻击者可能会模仿Wi-Fi名称或创建一个名为“ Guest Wi-Fi”或类似名称的伪造选项。一旦您连接到恶意访问点,攻击者就可以监视您的在线活动。
  • HTTPS欺骗:攻击者欺骗您的浏览器,使您认为您使用的是可信任的网站,而是将流量重定向到不安全的网站。当您输入凭据时,攻击者会窃取它们。
  • SSL劫持:当您尝试连接到不安全的HTTP站点时,您的浏览器可以将您重定向到安全的HTTPS选项。但是,攻击者可以劫持重定向过程,将指向其服务器的链接放在中间,从而窃取您的数据和您输入的所有凭据。
  • DNS欺骗:域名系统可帮助您浏览互联网,将地址栏中的URL从人类可读的文本转换为计算机可读的IP地址。然后,DNS欺骗会迫使您的浏览器在攻击者的控制下访问特定地址。
  • 电子邮件劫持:如果攻击者获得了受信任机构(例如银行)的邮箱甚至电子邮件服务器的访问权限,则他们可能会拦截包含敏感信息的客户电子邮件,甚至开始以该机构本身的身份发送电子邮件。

这些不是唯一的MITM攻击。有许多变种结合了这些攻击的不同方面。

相关:您的网站需要SSL证书的原因

HTTPS是否可以阻止中间人攻击?

以上情形发生在使用HTTPS(HTTP的安全版本)的银行网站上。这样,用户会遇到一个屏幕,提示加密证书不正确。现在,几乎每个网站都使用HTTPS,您可以在地址栏中看到该URL旁边的挂锁图标。

长期以来,建议仅提供敏感信息的网站使用HTTPS。现在该规范已经改变,特别是自Google宣布它将使用HTTPS作为SEO排名信号以来。 2014年,当首次宣布这一转换时,全球前一百万个站点中有1-2%使用HTTPS。到2018年,这一数字激增,在实施HTTPS的前一百万强企业中,有超过50%都在实施。

在未加密的网站上使用标准的HTTP连接,您不会从我们的示例中收到警告。中间人袭击将在没有任何警告的情况下发生。

那么,HTTPS是否可以防御MITM攻击?

MITM和SSLStrip

是的, HTTPS可以防止中间人攻击。但是攻击者可以通过多种方法来破坏HTTPS,从而消除通过加密为您的连接提供的额外安全性。

SSLStrip是中间人攻击,它会强制浏览器保持HTTP模式,而不是在可用的情况下开始使用HTTPS。 SSLStrip不是使用HTTPS,而是“剥离”了安全性,只剩下普通的旧HTTP。

您甚至可能没有注意到任何错误。在Google Chrome浏览器和其他浏览器在地址栏中实施大红叉以通知您使用了不安全连接的前几天,SSLStrip造成许多受害者。 HTTPS挂锁的引入无疑使您更容易发现您是否正在使用HTTPS。

另一个安全升级也削弱了SSLStrip的功效:HTTP严格传输安全性。

HTTP严格传输安全性(HSTS)的开发旨在防止中间人攻击,尤其是SSLStrip等协议降级攻击。 HSTS是一项特殊功能,它允许Web服务器强制所有用户仅使用HTTPS与之交互。

这并不是说它一直都有效,因为HSTS仅在用户首次访问后与用户进行配置。因此,存在一个非常小的窗口,理论上,攻击者可以在HSTS到位之前使用SSLStrip之类的MITM攻击。

那不是全部。 SSLStrip的轻微消亡让位于其他将许多MITM攻击类型组合到一个软件包中的现代工具。

MITM恶意软件

用户还必须应对使用MITM攻击或带有中间人模块的恶意软件变种。例如,某些针对Android用户的恶意软件类型(例如SpyEye和ZeuS)使攻击者能够窃听传入和传出的智能手机通信。

一旦安装在Android设备上,攻击者就可以使用该恶意软件拦截所有形式的通信。特别重要的是两因素验证码。攻击者可以在安全的网站上请求双重身份验证码,然后在用户做出反应甚至了解正在发生的事情之前对其进行拦截。

如您所料,台式机也不是没有威胁。有许多针对中间人攻击的恶意软件类型和漏洞利用工具包。而且,这还没有提及联想在发货前在笔记本电脑上安装了启用SSLStrip的恶意软件的时间

如何防范中间人攻击?

中间人攻击很难防御。攻击者有多种选择,这意味着防范MITM攻击是多方面的。

  • 使用HTTPS:确保您访问的每个网站都使用HTTPS。我们已经讨论过SSLStrip和MITM恶意软件,但是确保HTTPS到位仍然是最好的防御选择之一。要获得额外的保护层,请考虑下载并安装Electronic Frontier Foundation的HTTPS Everywhere浏览器扩展程序,这是Google Chrome最好的隐私扩展程序之一
  • 不要忽略警告:如果您的浏览器告知您正在访问的网站有问题,请相信它。安全证书警告可能是将您的凭据授予攻击者和保持安全之间的区别。
  • 不要使用公共Wi-Fi:如果可以帮助,请不要使用公共Wi-Fi。有时,无法避免使用公共Wi-Fi。如果必须使用公共Wi-Fi连接,则应下载并安装VPN ,以为连接增加一些安全性。此外,在使用公共Wi-Fi连接时,请留意浏览器安全警告。如果浏览器警告的数量突然增加,则可能表明是MITM攻击或漏洞。
  • 运行和更新防病毒软件:确保防病毒软件是最新的。此外,考虑使用其他安全工具,例如Malwarebytes。在您问之前,是的, Malwarebytes Premium是物有所值的

中间人攻击取决于损害您的通信能力。如果您知道期望什么,也知道寻找什么,则避免MITM攻击的机会就大得多。反过来,您的数据也将保持安全可靠。

图片信用: Flickr上的Andy Rennie