網路安全之中間人攻擊

中間人攻擊（Man-in-the-MiddleAttack，簡稱「MITM攻擊」）很早就成為了黑客常用的一種古老的攻擊手段，並且一直到今天還具有極大的擴展空間。

什麼是中間人攻擊

中間人攻擊是一種「間接」的入侵攻擊，這種攻擊模式是通過各種技術手段將受入侵者控制的一台計算機虛擬放置在網路連接中的兩台通信計算機之間，這台計算機就稱為「中間人」。

中間人攻擊是一種由來已久的網路入侵手段，並且在今天仍然有著廣泛的發展空間，如SMB會話劫持、DNS欺騙等攻擊都是典型的MITM攻擊。簡而言之，所謂的MITM攻擊就是通過攔截正常的網路通信數據，並進行數據篡改和嗅探，而通信的雙方卻毫不知情。

攻擊方式

在網路安全方面，MITM攻擊的使用是很廣泛的，曾經猖獗一時的SMB會話劫持、DNS欺騙等技術都是典型的MITM攻擊手段。在黑客技術越來越多的運用於以獲取經濟利益為目標的情況下時，MITM攻擊成為對網銀、網遊、網上交易等最有威脅並且最具破壞性的一種攻擊方式。

信息篡改

當主機A、和主機B通信時，都由主機C來為其「轉發」，如圖一，而A、B之間並沒有真正意思上的直接通信，他們之間的信息傳遞同C作為中介來完成，但是A、B卻不會意識到，而以為它們之間是在直接通信。這樣攻擊主機在中間成為了一個轉發器，C可以不僅竊聽A、B的通信還可以對信息進行篡改再傳給對方，C便可以將惡意信息傳遞給A、B以達到自己的目的。

信息竊取

當A、B通信時，C不主動去為其「轉發」，只是把他們的傳輸的數據備份，以獲取用戶網路的活動，包括賬戶、密碼等敏感信息，這是被動攻擊也是非常難被發現的。

實施中間人攻擊時，攻擊者常考慮的方式是ARP欺騙或DNS欺騙等，將會話雙方的通訊流暗中改變，而這種改變對於會話雙方來說是完全透明的。以常見的DNS欺騙為例，目標將其DNS請求發送到攻擊者這裡，然後攻擊者偽造DNS響應，將正確的IP地址替換為其他IP，之後你就登陸了這個攻擊者指定的IP，而攻擊者早就在這個IP中安排好了一個偽造的網站如某銀行網站，從而騙取用戶輸入他們想得到的信息，如銀行賬號及密碼等，這可以看作一種網路釣魚攻擊的一種方式。對於個人用戶來說，要防範DNS劫持應該注意不點擊不明的連接、不去來歷不明的網站、不要在小網站進行網上交易，最重要的一點是記清想去網站的域名，直接輸入IP登錄。

安全防禦

攻防為一家，有攻就有防，只要措施正確，MITM攻擊是可以預防的。對於DNS欺騙，要記得檢查本機的HOSTS文件，以免被攻擊者加了惡意站點進去；其次要確認自己使用的DNS伺服器是ISP提供的，因為目前ISP伺服器的安全工作還是做得比較好的，一般水平的攻擊者無法成功進入；如果是依靠網關設備自帶的DNS解析來連接Internet的，就要拜託管理員定期檢查網關設備是否遭受入侵。

至於區域網內各種各樣的會話劫持（區域網內的代理除外），因為它們都要結合嗅探以及欺騙技術在內的攻擊手段，必須依靠ARP和MAC做基礎，所以網管應該使用交換式網路（通過交換機傳輸）代替共享式網路（通過集線器傳輸），這可以降低被竊聽的機率，當然這樣並不能根除會話劫持，還必須使用靜態ARP、捆綁MAC+IP等方法來限制欺騙，以及採用認證方式的連接等。

但是對於「代理中間人攻擊」而言，以上方法就難以見效了，因為代理伺服器本來就是一個「中間人」角色，攻擊者不需要進行任何欺騙就能讓受害者自己連接上來，而且代理也不涉及MAC等因素，所以一般的防範措施都不起作用。除非你是要幹壞事，或者IP被屏蔽，或者天生對網路有著恐懼，否則還是不要整天找一堆代理來隱藏自己了，沒必要的。常在河邊走，即使遇上做了手腳的代理也難察覺。

GDCA（數安時代）擁有國內自主簽發信鑒易 TrustAUTH SSL證書以及是國際多家知名品牌：GlobalSign、Symantec、GeoTrust SSL證書指定的國內代理商。為了讓國內更多的網站升級到安全的https加密傳輸協議。近日，GDCA推出多種國際知名SSL證書優惠活動，實現HTTPS加密並展示網站真實身份信息。詳情請資訊GDCA產品官網在線客服https://www.trustauth.cn/。

文章轉載：https://www.trustauth.cn/wiki/15713.html

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！