什么是中间人攻击

中间人攻击很难识别和防御。MITM 攻击依赖于控制人、计算机或服务器之间的通信线路。中间人攻击并不总是需要受感染的计算机,这意味着有多种攻击途径。

那么,什么是中间人攻击,如何防止自己成为中间人攻击的牺牲品呢?

什么是中间人攻击?

中间人 (MITM) 攻击在计算机出现之前就已经存在。这种类型的攻击涉及攻击者将自己插入相互通信的两方之间。中间人攻击本质上是窃听攻击。

为了更好地了解中间人攻击的工作原理,请考虑以下两个示例。

离线中间人攻击

离线 MITM 攻击听起来很基本,但在全球范围内仍在使用。

例如,有人拦截了您的帖子,阅读了它,重新打包了它,然后将其发送给您或您的原始收件人。然后,当这个人回复你时,同样的情况会反过来发生,中间人会从各个方向拦截和阅读你的邮件。

如果执行得当,您将不会知道发生了 MITM 攻击,因为您看不到拦截和数据盗窃。

接管两个参与者之间的通信通道是中间人攻击的核心。

它还为攻击者开辟了其他欺骗途径。如果攻击者控制了通信方式,他们就可以修改传输中的消息。在我们的示例中,有人正在拦截和读取邮件。同一个人可以修改您的消息内容以询问特定内容或提出请求,作为其攻击的一部分。

由于 MITM 控制着您的通信,因此他们可以删除对问题或请求的任何后续引用,让您一无所知。

在线中间人攻击

在线中间人攻击的运作方式大致相同,尽管使用计算机或其他数字硬件代替旧的蜗牛邮件。

一种 MITM 攻击变体围绕您在咖啡馆连接到免费公共 Wi-Fi 展开。连接后,您尝试连接到您的银行网站。

对于我们的示例,您随后会遇到一个证书错误,通知您银行的网站没有相应的加密证书。这会提醒您银行网站的配置有问题,并且正在进行 MITM 攻击。

但是,许多人只是点击此错误消息并访问银行网站。您登录银行门户,汇款,支付一些账单,一切似乎都很好。

实际上,攻击者可能已经设置了一个模仿您的银行的虚假服务器和网站。当您连接到假银行服务器时,它会获取银行的网页,对其进行一些修改,然后将其呈现给您。您照常输入登录详细信息,这些详细信息将发送到中间人服务器。

MITM 服务器仍将您登录到 SoundBank 并正常显示页面。但是攻击者的中间人服务器已经捕获了您的登录凭据,随时可以被利用。

在这种情况下,早期警告消息是 Encryption certificate 错误,提示网站配置不正确。中间人服务器没有与您的银行相同的安全证书—尽管它可能具有来自其他地方的安全证书。

中间人攻击的类型

有几种不同类型的 MITM 攻击:

  • Wi-Fi 欺骗: 攻击者可以创建与本地免费 Wi-Fi 选项同名的虚假 Wi-Fi 接入点。例如,在咖啡馆中,攻击者可能会模仿 Wi-Fi 名称或创建名为“Guest Wi-Fi”或类似名称的虚假选项。一旦您连接到流氓接入点,攻击者就可以监控您的在线活动。
  • HTTPS 欺骗:攻击者欺骗您的浏览器,使其相信您使用的是受信任的网站,从而将您的流量重定向到不安全的网站。当您输入凭据时,攻击者会窃取这些凭据。
  • SSL 劫持:当您尝试连接到不安全的 HTTP 站点时,您的浏览器可以将您重定向到安全的 HTTPS 选项。但是,攻击者可以劫持重定向过程,在中间放置指向其服务器的链接,从而窃取您的数据和您输入的任何凭据。
  • DNS 欺骗:域名系统可帮助您在 Internet 上导航,将地址栏中的 URL 从人类可读的文本转换为计算机可读的 IP 地址。然后,DNS 欺骗会迫使您的浏览器访问攻击者控制下的特定地址。
  • 电子邮件劫持:如果攻击者获得了对受信任机构(例如银行)的邮箱甚至电子邮件服务器的访问权限,他们就可以拦截包含敏感信息的客户电子邮件,甚至开始以机构本身的身份发送电子邮件。 这些并不是唯一的 MITM 攻击。有许多变体结合了这些攻击的不同方面。

HTTPS 可以阻止中间人攻击吗?

上述场景发生在使用 HTTPS(HTTP 的安全版本)的银行网站上。因此,用户会遇到一个屏幕,提示加密证书不正确。现在几乎每个网站都使用 HTTPS,您可以在 URL 旁边的地址栏中看到 HTTPS 表示为挂锁图标。 alt text 长期以来,仅建议提供敏感信息的网站使用 HTTPS。规范现在已经发生了变化,尤其是自从 Google 宣布将使用 HTTPS 作为 SEO 排名信号之后。2014 年,当首次宣布转换时,全球排名前 100 万的网站中有 1-2% 使用 HTTPS。到 2018 年,这个数字激增,前 100 万名用户中有超过 50% 实施了 HTTPS。

在未加密的网站上使用标准 HTTP 连接时,您不会收到示例中的警告。中间人攻击将在没有任何警告的情况下发生。

那么,HTTPS 可以防止 MITM 攻击吗?

MITM 和 SSLStrip

是的,HTTPS 可以防止中间人攻击。但是攻击者可以通过多种方式击败 HTTPS,从而消除通过加密为您的连接提供的额外安全性。

SSLStrip 是一种中间人攻击,它强制浏览器保持 HTTP 模式,而不是在可用的情况下开始使用 HTTPS。SSLStrip 没有使用 HTTPS,而是“剥离”了安全性,留下了普通的旧 HTTP。

您甚至可能没有注意到任何不对劲。在 Google Chrome 和其他浏览器在您的地址栏中实施大红叉以通知您您正在使用不安全的连接之前的几天里,SSLStrip 声称许多受害者。巨大的 HTTPS 挂锁的引入无疑使您更容易发现您是否在使用 HTTPS。

另一项安全升级也削弱了 SSLStrip 的功效:HTTP 严格传输安全。

HTTP 严格传输安全 (HSTS) 旨在防止中间人攻击,尤其是像 SSLStrip 这样的协议降级攻击。HSTS 是一项特殊功能,它允许 Web 服务器强制所有用户仅使用 HTTPS 与其交互。

这并不是说它一直有效,因为 HSTS 仅在用户第一次访问后与用户一起配置。因此,有一个非常小的窗口,理论上攻击者可以在 HSTS 实施之前使用像 SSLStrip 这样的 MITM 攻击。

这还不是全部。SSLStrip 的轻微消亡让位于其他现代工具,这些工具将许多 MITM 攻击类型组合到一个包中。

MITM 恶意软件

用户还必须应对使用 MITM 攻击或带有中间人模块的恶意软件变体。例如,某些以 Android 用户为目标的恶意软件类型(如 SpyEye 和 ZeuS)允许攻击者窃听传入和传出的智能手机通信。

一旦安装在 Android 设备上,攻击者就可以使用恶意软件来拦截各种形式的通信。特别令人感兴趣的是双因素身份验证代码。攻击者可以在安全网站上请求双因素身份验证代码,然后在用户做出反应甚至了解发生了什么之前拦截它。

正如您所料,台式机也并非没有威胁。有许多恶意软件类型和漏洞利用工具包专为中间人攻击而设计。更不用说联想在发货前在他们的笔记本电脑上安装了支持 SSLStrip 的恶意软件。

如何防范中间人攻击?

中间人攻击很难防御。攻击者有很多选择,这意味着防范 MITM 攻击是多管齐下的。

  • 使用 HTTPS:确保您访问的每个网站都使用 HTTPS。我们已经讨论了 SSLStrip 和 MITM 恶意软件,但确保 HTTPS 到位仍然是最好的防御选择之一。为了获得额外的保护层,请考虑下载并安装 Electronic Frontier Foundation 的 HTTPS Everywhere 浏览器扩展,这是 Google Chrome 最好的隐私扩展之一。
  • 不要忽略警告:如果您的浏览器通知您您正在访问的网站有问题,请相信它。安全证书警告可能是将您的凭证赠予攻击者和保持安全之间的区别。
  • 不要使用公共 Wi-Fi: 如果可以的话,不要使用公共 Wi-Fi。有时,使用公共 Wi-Fi 是无法避免的。如果您必须使用公共 Wi-Fi 连接,则应下载并安装 VPN 以为您的连接增加一些安全性。此外,在使用公共 Wi-Fi 连接时,请留意浏览器安全警告。如果浏览器警告的数量突然增加,则可能表明存在 MITM 攻击或漏洞。
  • 运行和更新防病毒软件:确保您的防病毒软件是最新的。此外,考虑使用其他安全工具,例如 Malwarebytes。在你问之前,是的,Malwarebytes Premium 物有所值。 中间人攻击,具体取决于破坏您的通信。如果您知道会发生什么并知道要寻找什么,那么您避免 MITM 攻击的机会就会大得多。反过来,您的数据将保持安全并牢牢掌握在您手中。