什么是中间人攻击?

中间人攻击(通常缩写为 MitM 或 MiM)是一种会话劫持网络攻击。 黑客拦截以数字方式共享的信息,通常是作为窃听者或冒充他人。 这种类型的攻击极其危险,因为它可能导致多种风险,例如信息被盗或虚假通信,这些通常很难被发现,因为这种情况对合法用户来说似乎完全正常。

本文将涵盖您需要了解的有关中间人攻击的所有信息,包括:

  • 什么是中间人攻击?
  • 中间人攻击如何运作?
  • 中间人攻击有哪些不同类型?
  • 中间人攻击的潜在风险是什么?
  • 中间人攻击是如何演变的?
  • 中间人攻击的真实例子有哪些?
  • 如何防止中间人攻击?

什么是中间人攻击?

当第三方在合法参与者不知道该拦截的情况下拦截数字对话时,就会发生中间人攻击。 这种对话可以发生在两个人类用户、一个人类用户和一个计算机系统或两个计算机系统之间。

在任何这些情况下,攻击者可能只是窃听对话以获取信息(想想登录凭据、私人帐户信息等),或者他们可能冒充其他用户来操纵对话。 在后一种情况下,攻击者可能会发送虚假信息或共享可能导致系统崩溃或为其他网络攻击打开大门的恶意链接。 通常情况下,合法用户并不知道他们实际上是在与非法第三方通信,直到损害已经造成之后很久。

中间人攻击是会话劫持的一个例子。 其他类型的会话劫持攻击包括跨站点脚本、会话侧劫持、会话固定和暴力攻击。

中间人攻击如何运作?

执行中间人攻击需要黑客获得对用户连接的访问权限。 最常见的方法之一是创建一个公共 wifi 热点,附近的任何人都可以加入,不需要密码。 一旦用户加入这个网络,黑客就可以访问他们所有的数字通信,甚至可以记录击键,充当中间人。

公共 wifi 示例是发起中间人攻击的最常见和最简单的方法,但这不是唯一的方法。 其他常见的方法包括:

  • 将用户发送到虚假网站:黑客可以通过 IP 欺骗或 DNS 欺骗将用户发送到虚假网站而不是他们的预期目的地。 IP 欺骗发生在黑客更改 IP 地址中的数据包标头时,而 DNS 欺骗发生在黑客获得对 DNS 服务器的访问权限并更改网站的 DNS 记录时。 在任何一种情况下,用户最终都会进入黑客拥有的虚假网站(他们可以在那里捕获所有信息),尽管它看起来完全真实。
  • 重新路由数据传输:黑客可以通过参与 ARP 欺骗来重新路由通信的目的地。 当黑客将他们的 MAC 地址连接到属于参与通信的合法用户之一的 IP 地址时,就会发生这种情况。 一旦他们建立连接,黑客就可以接收任何用于合法用户 IP 地址的数据。

在某些情况下,通信可能会公开暴露,但在数据被加密的情况下,中间人攻击还涉及另一个步骤,使黑客可以读取该信息。 黑客可以尝试通过以下方法解密任何加密信息:

  • SSL 劫持:黑客伪造身份验证密钥以建立看似合法、安全的会话。 然而,由于黑客拥有这些密钥,他们实际上可以控制整个对话。
  • SSL BEAST:黑客瞄准 SSL 中的一个漏洞,在用户的设备上安装恶意软件,该恶意软件可以拦截旨在保持数字通信私密性和安全性的加密 cookie。
  • SSL 剥离:黑客可以将更安全的 HTTPS 连接变成安全性较低的 HTTP 连接,从而从 Web 会话中删除加密并暴露这些会话期间的所有通信。

中间人攻击有哪些不同类型?

中间人袭击有多种类型,每一种都可能对受害者造成不同的后果。 中间人攻击的常见类型包括:

窃听以获取信息

黑客可以在任何时间段内窥探对话,以捕获他们将在以后使用的信息。 他们不一定需要以任何方式改变通信,但如果他们能够访问共享的详细信息,他们就可以随时了解机密信息或获取登录凭据以供使用。

改变通讯方式

黑客可以使用 SSL 劫持等技术伪装成另一个用户来改变通信。 例如,假设爱丽丝和鲍勃认为他们正在相互交流。 在那种情况下,黑客可能会坐在对话的中间并更改彼此发送的消息。 这种方法可用于发送虚假信息、共享恶意链接甚至拦截重要细节,例如用户发送银行账户和路由号码进行存款。

将用户引导至虚假网站

黑客可以将用户发送到与他们的预期目的地完全相同的虚假网站(一个常见的例子是通过网络钓鱼尝试)。 此设置允许他们捕获用户为合法网站提交的任何信息,例如登录凭据或帐户详细信息。 反过来,黑客可以使用此信息冒充实际网站上的用户来访问财务信息、更改详细信息,甚至发送虚假消息。

中间人攻击的潜在风险是什么?

中间人攻击会导致各种负面后果。 事实上,中间人攻击通常是黑客发动更大、更有影响力攻击的垫脚石。 考虑到这一点,中间人攻击的一些最大潜在风险包括:

欺诈交易

中间人攻击可能导致欺诈交易,通过窃听以收集登录和帐户信息或通过重新路由转账。 大多数情况下,这适用于直接来自银行或通过信用卡付款的金融交易。

被盗的机密信息

捕获用户的登录凭据,将其发送到虚假网站,甚至只是窃听电子邮件都可能导致机密信息被盗。 对于保护知识产权或收集客户健康记录或社会安全号码等敏感数据的大型组织而言,这种后果尤其令人担忧。 随着越来越多的隐私立法的出现,要求各种企业保护他们处理的有关客户的信息,这也是一个问题。

访问其他系统

通过中间人攻击窃取用户的登录凭据还可以让黑客访问任意数量的其他系统。 这意味着即使只有一个系统容易受到攻击,也可能导致其他更安全的系统更容易受到攻击。 总的来说,这种情况需要组织的安全团队确保没有薄弱环节,无论任何给定的连接点看起来多么微不足道。

通过恶意软件进行广泛攻击

黑客可以使用中间人攻击与用户共享恶意软件。 反过来,这种恶意软件可能导致广泛的攻击,例如破坏整个系统或提供对信息或系统的持续访问以执行长期攻击的攻击。

中间人攻击如何演变?

两种趋势导致了中间人攻击的演变,并因此增加了组织的风险。

首先是移动和分布式工作环境的兴起,这最终意味着更多的人通过公共 wifi 网络连接(用于个人和商业用途)。 这种情况越常见,黑客通过这些不安全的连接获得访问权限的机会就越多。

其次,对于未来的组织来说,最令人担忧的是物联网 (IoT) 设备和机器身份的增加。 IoT 设备不仅需要不同类型的安全性,而且还会创建更多需要身份验证的连接点和身份。 如果没有适当的保护,这些机器会为黑客创造各种访问点,其中许多看起来是无辜的(即 HVAC 单元)。 无论它们看起来多么平凡,所有这些机器都需要强大的安全性,例如通过加密和定期更新来确保它们遵守最新的安全协议,以避免使它们容易受到中间人攻击。

中间人攻击的真实例子有哪些?

不幸的是,中间人攻击非常普遍。 此类攻击的一些最近最著名的例子包括:

欧洲的公司银行账户盗窃案

2015 年,欧洲当局逮捕了 49 名嫌疑人,他们涉嫌使用中间人技术在整个欧洲实施了一系列银行账户盗窃案。 该组织通过获取公司电子邮件帐户的访问权限、监控通信以监视付款请求,然后将这些交易路由到他们自己的帐户,从欧洲公司窃取了大约 600 万欧元。 这种攻击涉及网络钓鱼尝试以及建立旨在看起来真实的虚假网站。

手机银行应用程序的有缺陷的证书使用

2017 年,研究人员发现主要银行(包括汇丰银行、NatWest、Co-op、Santander 和 Allied Irish Bank)的移动应用程序中使用的证书固定技术存在缺陷。 该缺陷意味着与合法用户位于同一网络上的黑客可以通过未正确验证应用程序的主机名来访问用户名、密码和 PIN 等登录凭据,而不会被检测到。

通过这种类型的访问,黑客可以执行中间人攻击来查看和收集信息,代表合法用户采取行动,甚至发起应用程序内网络钓鱼攻击。 有趣的是,在这种情况下提供访问的弱点源于处理证书的管理不当的过程,这些过程实际上是为了提高安全性。

Equifax 域安全故障

2017 年,美国最大的信用报告机构之一 Equifax 成为中间人攻击的受害者,该攻击通过不安全的域连接导致超过 1 亿消费者的个人身份信用信息被盗。 攻击始于 Equifax 未能修补其使用的开发框架中的漏洞,该漏洞允许黑客将恶意代码嵌入到 HTTP 请求中。 从那里,黑客能够访问内部系统并窃听用户活动以收集数月的各种信息。

如何防止中间人攻击?

​​中间人攻击​​仍然非常普遍,因此对用户和组织安全构成严重威胁。 尽管这些攻击威胁很大,但您组织的安全团队和您的用户等可以采取几个步骤来防范这些风险。 最好的保护措施包括:

1)注意连接点

黑客获得执行中间人攻击的最常见方式之一是通过不安全的连接点,例如公共 wifi。 因此,用户务必要格外小心连接点。 这意味着避免使用公共 wifi(如果系统连接到公共网络,当然不要登录任何系统)并使用 VPN 来加密网络连接。

2) 对用户进行网络钓鱼尝试教育

网络钓鱼尝试是中间人攻击的另一个常见切入点,最好的尝试可能非常有说服力。 教育用户了解这些攻击及其演变方式可以大大帮助他们发现攻击企图并避免成为攻击的受害者。

3) 通过键入 URL 而不是单击链接来导航到网站

通过键入 URL 而不是单击链接来导航到网站是一种最佳做法,可以帮助防止成功的网络钓鱼和其他通过将用户发送到虚假网站或嵌入恶意软件来发起中间人攻击的常见策略。 这样做可以避免黑客发送稍微修改过的链接,从而为攻击打开大门。

4) 始终通过使用 HTTPS 来验证网站的合法性和安全性

当用户输入网站的 URL 地址时,他们还应该包括 HTTPS 并确保他们访问的任何网站都具有此级别的安全性。 检查 HTTPS 协议可能看起来很简单,但在共享敏感信息之前,它可以大大有助于验证网站的合法性和安全性。

5) 对用户进行正常的登录流程教育

最近发生的几起中间人攻击要求用户完成登录网站的步骤,这些步骤实际上并不是正常登录过程的一部分,即使它们看起来完全合法。 教育用户正常登录过程做什么和不做什么可以帮助他们更容易地识别不寻常的情况。

6) 了解用户的正常登录习惯

在安全团队方面,了解用户的正常登录习惯有助于更轻松地标记任何异常模式。 例如,如果大多数用户倾向于在工作日登录,但周末的活动突然激增,这可能令人担忧并需要进一步调查。

7)尽可能使用多因素身份验证

要求用户使用多重身份验证登录可以提供另一层保护以防止中间人攻击,这样即使黑客设法获得用户名/密码组合,他们也无法在没有其他形式的验证的情况下进入帐户( 例如,通过短信发送的代码)。

虽然这种双层方法并非无懈可击,因为最近一些中间人攻击已经通过了这两层,但它确实提供了更多的保护。

8)完成后退出安全会话

强制用户在完成安全会话后注销是一项重要的做法,因为关闭会话会终止从合法和非法来源对其进行的任何访问。 换句话说,会话打开的时间越长,黑客可以通过多种方式访问它的风险就越大。

9) 优先考虑 PKI,特别是针对越来越多的机器身份

最后,强大的 PKI 程序对于验证用户(人和机器)之间的连接和加密他们的通信至关重要。 PKI 的最佳实践方法需要一个高度敏捷的系统,该系统可以跟上快速增长的身份数量,全面一致地应用安全标准,并定期更新加密密钥以避免密钥蔓延等风险。

参考来源:keyfactor, WoTrus翻译整理,转载请注明来源

你可能感兴趣的:(网络安全,网络,服务器,linux)