中间人：检测和预防的技巧

中间人攻击是一种网络攻击形式，它使用方法来拦截数据以渗透现有的连接或通信过程。攻击者可以是您交谈中的被动侦听者，秘密地窃取信息或积极参与者，更改邮件内容或冒充您认为正在与之交谈的人或系统。



回想20世纪，当时许多人的座机带有多部手机，一位家庭成员可以接听，而另一位则在通话。您甚至可能不会怀疑别人正在听您的讲话，直到他们开始参与对话。这就是中间人攻击的原理。

中间人攻击如何工作？

无论使用哪种方法，大多数中间人攻击都具有简单的操作序列。让我们以三个字符为例进行思考：爱丽丝，鲍勃和查克（攻击者）。

1. Chuck偷听了Alice和Bob交流的频道
2. 爱丽丝向鲍勃发送消息
3. Chuck在Alice或Bob都不知情的情况下拦截并读取Alice的消息。
4. 查克（Chuck）改变爱丽丝（Alice）和鲍勃（Bob）之间的消息，从而产生有害或危险的回应

中间人攻击通常是在侦查链的早期（侦察，入侵和感染期间）使用。攻击者经常使用中间人攻击来收集凭据和有关其目标的信息。



多因素身份验证可以有效地防御凭证盗窃。即使攻击者找到了您的用户名和密码，他们也将需要您的第二个身份验证因素才能使用它们。不幸的是，在某些情况下，可以绕过多因素保护。



这是Microsoft Office 365上的中间人攻击的实际示例，攻击者在其中绕过了多因素身份验证：

1. , Microsoft, .
2. - .
3. Microsoft, .
4. Microsoft .
5. -.
6. - .
7. Evilginx cookie- .
8. Microsoft, cookie- Office 365 . .

您可以在每周的网络攻击研讨会上观看有关此攻击的现场演示。

中间人攻击的方法和类型

这是攻击者用来成为“中间人”的一些常见策略。

1. ARP-
   
   
   
   (ARP) — , (MAC) IP- .
   
   
   
   , . , ( ) . , . , .
   
   
   
   
   • ( ) ().
   • , .
   • ARP, , .
   • « » (DoS), , ARP.
   • , , , « » .
   
   
   
2. DNS
   
   
   
   DNS , DNS, . Google, Google, , , :
   
   
   
   
   • , DNS-.
   • , .
   • , DNS-, www.example.com IP-.
   • www.example.com , DNS- , IP- !
   • -, , - . , , DNS- www.example.com.
   
   
   
3. HTTPS
   
   
   
   HTTPS , «». S secure — . , , . - HTTPS, , URL- . , - , «» «», . example.com: URL www.exmple.com, «» example . , , «», -.
   
   
   
   
   • - www.example.com «» - , , .
   • () -.
   • .
   • .
   • www.example.com, « », .
   
   
   
4. Wi-Fi
   
   
   
   Wi-Fi Wi-Fi . — , , , .
5. 
   
   
   
   — « », , - (, ), cookie- . Live Cyber Attack, .
   
   
   
   cookie- , - , . ( ) , , .
   
   

中间人攻击有多普遍？

中间人攻击已经存在很长时间了，尽管它们不如网络钓鱼，恶意软件或勒索软件那么普遍，但它们通常是复杂的针对性攻击的一部分，攻击者有明确的意图。例如，想要窃取银行卡号的攻击者可以通过拦截咖啡馆中的Wi-Fi流量来找到此数据。另一个攻击者可以使用中间人攻击作为更大计划的一部分，以渗透到大公司的网络。我们的中间人攻击实验室演示了攻击者如何使用恶意软件来拦截网络流量并渗透到公司电子邮件中。

如何检测中间人攻击

中间人攻击非常微妙，但是它们的存在仍然在正常的网络活动中留下痕迹，网络安全专业人员和最终用户可以找到这些痕迹。人们普遍认为，预防胜于检测。

中间人攻击的迹象

以下是一些迹象，表明您的网络上可能有不受欢迎的侦听器：

• 意外断开或反复断开连接：攻击者强迫用户断开连接，以在尝试重新连接时拦截用户名和密码。通过监视意外或反复发生的旅行，您可以提前预料到此类危险行为。
• : - , . , DNS. , www.go0gle.com www.google.com.
• Wi-Fi: , , Wi-Fi. , « » , . Wi-Fi , , Wi-Fi.

« »

以下是一些保护您和您的网络免受中间人攻击的准则。但是，它们都不保证100％的可靠性。

一般最佳做法

遵守一般的网络安全规则将帮助您防御中间人攻击：

• 仅连接到安全的Wi-Fi路由器，或使用无线运营商的加密连接。连接到使用WPA2安全协议的路由器。它不提供绝对的安全性，但总比没有好。
• 使用VPN加密端点和VPN服务器（在公司网络或Internet上）之间的流量。如果流量是加密的，“中间人”将很难拦截或修改流量。
• , (Zoom, Teams . .)
• , .
• HTTPS-, .
• , .
• DNS HTTPS — , DNS DNS-.
• « », , , .
• « » (, ).

« »?

端到端加密将有助于防止攻击者阅读您的网络消息，即使他们正在侦听您的流量。通过加密，发送者和接收者使用共享密钥来加密和解密传输中的消息。没有此键，您的消息将看起来像只是一堆随机字符，“中间人”将无法从中受益。



加密使攻击者难以截取和读取网络数据，但是由于攻击者已经开发出绕过加密的方法，因此加密仍然是可能的，并且不能为您的信息泄露提供全面的保护。



例如，在我们的实验室中研究中间人攻击，我们演示了攻击者如何窃取包含用户名，密码和多因素身份验证信息的身份验证令牌以登录电子邮件帐户。一旦会话cookie被劫持，客户端和服务器之间的通信是否已加密就没有关系-黑客只需以最终用户身份登录即可访问与该用户相同的信息。

中间人攻击的未来

只要中间人攻击可以拦截诸如密码和银行卡号之类的敏感数据，它们将仍然是攻击者武器库中的有效工具。一方面，软件开发人员和网络服务提供商之间正在进行军备竞赛，另一方面，网络犯罪分子正在消除军方用来发起攻击的漏洞。



以物联网（IoT）的大规模扩展为例。在过去的几年中。物联网设备尚未达到安全标准，并且不具有与其他设备相同的功能，这使得它们更容易受到中间人攻击。攻击者使用它们进入组织的网络，然后继续使用其他方法。谁会想到具有互联网访问权限的冰箱不仅是一种新的时尚设备，而且是安全系统上的一个漏洞？网络犯罪分子知道这一点！



广泛的无线网络，例如5G这是攻击者利用中间人攻击窃取数据并渗透组织的另一个机会。在BlackHat 2019计算机安全会议上已充分证明了这一点。无线技术公司有责任解决BlackHat中显示的漏洞并为用户和设备提供安全的骨干网。



当前的趋势是，与之相连的网络和设备的数量正在增长，这意味着攻击者有更多机会使用中间人方法。了解中间人攻击的明显迹象并应用检测技术可以帮助您在攻击造成损害之前进行检测。



访问我们的实时网络攻击研讨会，在此我们演示了中间人攻击者如何拦截用户的身份验证令牌以渗透和窃取敏感数据。我们还将展示Varonis如何检测这种类型的攻击。