1. 程式人生 > >MTIM(中間人攻擊)

MTIM(中間人攻擊)

所謂的MITM攻擊就是通過攔截正常的網路通訊資料,並進行資料篡改和嗅探,而通訊的雙方卻毫不知情。

資訊篡改

主機A、和主機B通訊時,都由主機C來為其“轉發”,如圖一,而A、B之間並沒有真正意思上的直接通訊,他們之間的資訊傳遞同C作為中介來完成,但是A、B卻不會意識到,而以為它們之間是在直接通訊。這樣攻擊主機在中間成為了一個轉發器,C可以不僅竊聽A、B的通訊還可以對資訊進行篡改再傳給對方,C便可以將惡意資訊傳遞給A、B以達到自己的目的。

資訊竊取

當A、B通訊時,C不主動去為其“轉發”,只是把他們的傳輸的資料 備份,以獲取使用者網路的活動,包括賬戶、密碼等敏感資訊,這是
被動攻擊
也是非常難被發現的。 實施中間人攻擊時,攻擊者常考慮的方式是ARP欺騙或DNS欺騙等,將會話雙方的通訊流暗中改變,而這種改變對於會話雙方來說是完全透明的。以常見的DNS欺騙為例,目標將其DNS請求傳送到攻擊者這裡,然後攻擊者偽造DNS響應,將正確的IP地址替換為其他IP,之後你就登陸了這個攻擊者指定的IP,而攻擊者早就在這個IP中安排好了一個偽造的網站如某銀行網站,從而騙取使用者輸入他們想得到的資訊,如銀行賬號及密碼等,這可以看作一種 網路釣魚攻擊的一種方式。對於個人使用者來說,要防範DNS劫持應該注意不點選不明的連線、不去來歷不明的網站、不要在小網站進行 網上交易,最重要的一點是記清你想去網站的域名,當然,你還可以把你常去的一些涉及到機密資訊提交的網站的IP地址記下來,需要時直接輸入IP地址登入。 要防範MITM攻擊,可以將一些機密資訊進行加密後再傳輸,這樣即使被“中間人”擷取也難以破解,另外,有一些認證方式可以檢測到MITM攻擊。比如裝置或IP異常檢測:如果使用者以前從未使用某個裝置或IP訪問系統,則系統會採取措施。還有裝置或IP頻率檢測:如果單一的裝置或IP同時訪問大量的使用者帳號,系統也會採取措施。更有效防範MITM攻擊的方法是進行帶外認證,具體過程是:系統進行實時的自動電話回叫,將二次PIN碼傳送至SMS(
簡訊閘道器
),簡訊閘道器再轉發給使用者,使用者收到後,再將二次PIN碼傳送到簡訊閘道器,以確認是否是真的使用者。帶外認證提供了多種不同的認證方式及認證渠道,它的好處是:所有的認證過程都不會被MITM攻擊者接觸到。例如MITM是通過中間的假網站來截獲敏感資訊的,相關的“帶外認證”就是指通過電話認證或簡訊認證等方式確認使用者的真實性,而MITM攻擊者卻不能得到任何資訊。當然,這種方式麻煩些。