解析中間人攻擊原理

曹剛

解析中間人攻擊原理

曹剛

中間人攻擊（Man-in-the-MiddleAttack，簡稱“MITM攻擊”）是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的一臺計算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺通信計算機(jī)之間，這臺計算機(jī)就稱為“中間人”。

中間人攻擊常見的兩種方法：ARP欺騙、DNS欺騙

1.DNS欺騙

目標(biāo)將其DNS請求發(fā)送到攻擊者這里，然后攻擊者偽造DNS響應(yīng)，將正確的IP地址替換為其他IP，之后你就登陸了這個攻擊者指定的IP，而攻擊者早就在這個IP中安排好了一個偽造的網(wǎng)站如某銀行網(wǎng)站，從而騙取用戶輸入他們想得到的信息，如銀行賬號及密碼等，這可以看作一種網(wǎng)絡(luò)釣魚攻擊的一種方式。對于個人用戶來說，要防范DNS劫持應(yīng)該注意不點(diǎn)擊不明的連接、不去來歷不明的網(wǎng)站、不要在小網(wǎng)站進(jìn)行網(wǎng)上交易，最重要的一點(diǎn)是記清你想去網(wǎng)站的域名，當(dāng)然，你還可以把你常去的一些涉及到機(jī)密信息提交的網(wǎng)站的IP地址記下來，需要時直接輸入IP地址登錄。

2.ARP欺騙

在實(shí)現(xiàn)TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境下，一個ip包走到哪里，要怎么走是靠路由表定義，但是，當(dāng)ip包到達(dá)該網(wǎng)絡(luò)后，哪臺機(jī)器響應(yīng)這個ip包卻是靠該ip包中所包含的硬件mac地址來識別。也就是說，只有機(jī)器的硬件mac地址和該ip包中的硬件mac地址相同的機(jī)器才會應(yīng)答這個ip包，因為在網(wǎng)絡(luò)中，每一臺主機(jī)都會有發(fā)送ip包的時候，所以，在每臺主機(jī)的內(nèi)存中，都有一個arp-->硬件mac的轉(zhuǎn)換表。通常是動態(tài)的轉(zhuǎn)換表（該arp表可以手工添加靜態(tài)條目）。也就是說，該對應(yīng)表會被主機(jī)在一定的時間間隔后刷新。這個時間間隔就是ARP高速緩存的超時時間。通常主機(jī)在發(fā)送一個ip包之前，它要到該轉(zhuǎn)換表中尋找和ip包對應(yīng)的硬件mac地址，如果沒有找到，該主機(jī)就發(fā)送一個ARP廣播包，于是，主機(jī)刷新自己的ARP緩存。然后發(fā)出該ip包。

防范MITM攻擊的常用方法

1.將一些機(jī)密信息進(jìn)行加密后再傳輸，這樣即使被“中間人”截取也難以破解。

2.通過設(shè)備或IP異常檢測。如用戶以前從未使用某個設(shè)備或IP訪問系統(tǒng)。

3.通過設(shè)備或IP頻率檢測：如單一的設(shè)備或IP同時訪問大量的用戶帳號。

3.進(jìn)行帶外認(rèn)證，具體過程是：系統(tǒng)進(jìn)行實(shí)時的自動電話回叫，將二次PIN碼發(fā)送至SMS（短信網(wǎng)關(guān)），短信網(wǎng)關(guān)再轉(zhuǎn)發(fā)給用戶，用戶收到后，再將二次PIN碼發(fā)送到短信網(wǎng)關(guān)，以確認(rèn)是否是真的用戶。