【】中间人(man-in-the-middle,MITM)攻击可以发送在人、用户电脑、以及 服务器 等任意组合之间,而且攻击途径也是多种多样,因此它在识别和防御上具有很大的难度。本文将和您深入讨论中间人攻击背后的逻辑,以及如何避免遭遇此类攻击。
什么是中间人攻击?
中间人攻击可以回溯到早期计算机网络中,攻击者可以将自己植入到彼此正在通信的两方之间,开展窃听、甚至是攻击活动。为了更好地理解中间人攻击的工作原理,让我们通过下面的例子,从两方面来进行理解。
离线中间人攻击
离线中间人攻击虽然比较基础,但是其使用范围遍布全球。例如:某中间人成功截获了您发送的消息,对其进行了读取和重新打包操作,然后将新的内容发回给您、或原始收件人。而当此人在不知情的情况下回复时,该中间人便可继续截获并阅读原本通信双方互发的信息。由于双方并非面对面通信,因此信息即使被截获和窃取,他们都不得而知。
在此基础上,如果攻击者能够控制通信的方式,那么他甚至可以篡改消息,或实施其他欺骗途径。例如,在上例中,攻击者可以基于截获到的消息内容,提出某些非法的请求。当然,为了做得神不知、鬼不觉,攻击者在完成攻击后,往往会立即删除与此次攻击相关的任何信息记录,让通信双方无法发现任何异常。
在线中间人攻击
与上述离线攻击不同,在线攻击往往是实时发生的。例如:您用笔记本电脑连接上了某个咖啡馆的免费公共Wi-Fi,并试图访问某个银行的网站。随后,您可能遇到如下错误提示。
如上图所示的证书错误,从字面上提示您:由于配置问题,该银行网站不具备有效的加密证书。而真实情况是,中间人攻击正在悄然发生。
面对此类错误提示,许多人只会单击它,并继续访问该网站。后续,他们的银行账户登录、汇款、账单支付等操作,貌似一切如常。而实际上,攻击者已经事先建立好了虚假的服务器。他们会将目标银行的真实页面略作修改,甚至另行伪造。您所有输入的登录详细信息,都将被发送到中间人服务器的后台,而不是真实的银行服务器处。这也就解释了上图中出现的那个加密证书的错误信息,实际上源于中间人服务器根本就没有与真实银行相同的安全证书。
中间人攻击的类型
总的说来,中间人攻击可分为如下五种不同的类型:
上面只是五种典型的中间人攻击方式。在现实情况下,此类攻击还会有许多变种与组合。
https是否可以阻止中间人攻击?
使用标准的HTTP连接去访问那些未加密的网站,只会让您在无法获得任何警告的情况下,受到中间人的袭击。过去,只有那些提供敏感信息的网站才会使用HTTPS的方式。据统计,2014年,在全球排名前一百万的网站中,只有1-2%使用到了HTTPS。后来,Google宣布了将是否采用HTTPS纳入SEO排名的参考标准。至2018年,已有超过50%的企业实施了HTTPS。
针对上述案例,如果用户直接访问的是带有即HTTP的安全版本)的银行网站,那么他会看到如下图所示的“加密证书”信息。如今,几乎绝大部分网站都会使用HTTPS,您可以在地址栏中查看到URL前面有个带锁的图标。
MITM和SSLStrip
所以说,HTTPS能够防止基本的中间人攻击。当然,攻击者也会通过多种方法,来破坏HTTPS,进而消除加密的安全性。例如,SSLStrip类型的中间人攻击,会强制将浏览器“卡”在旧的HTTP模式。对此,您可以通过细心观察浏览器的地址栏,是否带有红叉或惊叹号的通知,以发现HTTPS的安全性被完全“剥离”掉了。
为了应对SSLStrip实施的“协议降级攻击”,我们可以采用HTTP严格传输安全性(HTTP Strict Transport Security,HSTS)。它能够强制要求Web服务器与所有用户仅使用HTTPS进行交互。
当然,HSTS并非能够一直奏效,毕竟HSTS只能在用户首次访问之后,方可进行配置。因此,这种短暂的时间差,仍然会在理论上给SSLStrip攻击留下较短的时间窗口。此外,SSLStrip往往会被组合到其他各种中间人类型中,联合开展攻击。
带有MITM的恶意软件
在实际场景中,我们还可能碰到带有中间人模块的恶意软件变种。例如,某些针对Android用户的恶意软件类型(例如SpyEye和ZeuS),就能够允许攻击者截获到,传入和传出智能手机的所有数据通信形式。例如,攻击者可以在真实的安全网站上请求双因素身份验证码(two-factor authentication code),然后在用户的手机上,先用户一步,截获并输入移动设备接收到的验证码到网站上。当然,PC机上也容易感染到此类中间人恶意软件。
如何防范中间人攻击?
常言道“知易行难”,下面我们来讨论四种常见的防范中间人攻击的方法:
· 运行并更新防病毒软件:除了此外,也请考虑使用诸如Malwarebytes Premium之类的其他安全工具。
如何防止被人远程侵入自己的电脑?
一、删除多余的电脑登录帐户,去除隐藏的后患:删除多余的用户主要有三种方法,我推荐你试一下第二种方法:方法一:控制面板--用户帐户--选择帐户--删除 .方法二:右击我的电脑--选管理--点本地用户和组--点用户--选择那个多余的帐户--右键--删除方法三:运行cmd进入命令提示符,输入net user 欲删除的用户帐户名 /del用命令成功完成二、如果是盗版的操作系统,则安装上Mcafee全面保护2008,它的防骇客功能可是最强的.三、如果是正版操作系统的话,必须打上所有的系统漏洞补丁。 四、使用比较安全的操作系统和防火墙,如Vista、linux。 天网防火墙等等。 五、关闭防火墙中不常使用的所有端口。
如何防范APR攻击?
ARP定义ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,负责将某个IP地址解析成对应的MAC地址。 遭受ARP攻击后现象ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。 比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。 如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。 ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。 该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。 如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。 ARP攻击原理ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。 解决方法 安装360安全卫士 开启APPR局域网防火墙
电脑的ARP病毒是什么?? 如何解决? 详细答案, 谢谢
ARP攻击(欺骗)原理 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。 解决:微点主动防御软件。 我不啰嗦,您试试它就知道了。 它的05年的安装包能够有效防范07年的熊猫烧香,您说有多强?安装后你自己找些病毒运行就知道了
发表评论