你可能聽說過“中間人攻擊(MiTM)”這個(gè)詞，甚至可能對(duì)它還存在一個(gè)模糊的概念。但是，你仍舊會(huì)想“到底什么才是中間人攻擊?”下面這篇文章就將為您提供解答。

總的來說，中間人(man-in-the-middle，MITM)攻擊非常難以識(shí)別和防御。作為一種由來已久的網(wǎng)絡(luò)入侵手段，MITM攻擊依賴于控制人、計(jì)算機(jī)或服務(wù)器之間的通信路線，它并不總是需要一臺(tái)受感染的計(jì)算機(jī)，這就意味著存在多種攻擊途徑。

那么，究竟什么才是中間人攻擊?我們又該如何防止自身淪為獵物呢?

[[381907]]

什么是中間人攻擊?

中間人攻擊是一種可以回溯到早期計(jì)算時(shí)代的網(wǎng)絡(luò)入侵方式。當(dāng)未授權(quán)的實(shí)體將自己置于兩個(gè)通訊系統(tǒng)之間并試圖截獲正在傳遞的信息時(shí)，便會(huì)發(fā)生此類攻擊，其本質(zhì)便是竊聽攻擊。為了更好地理解中間人攻擊的工作原理，可以參考如下兩個(gè)示例。

離線中間人攻擊

離線中間人攻擊聽起來比較基礎(chǔ)，但目前仍在全球范圍內(nèi)使用。

例如，有人攔截了你發(fā)布的消息，對(duì)其進(jìn)行了讀取和重新打包，然后將其發(fā)回給您或您的原始收件人。然后，當(dāng)對(duì)方回復(fù)您時(shí)，同樣的情況會(huì)再次上演，該中間人會(huì)繼續(xù)截獲并閱讀原本通信雙方互發(fā)的所有信息。

如果操作得當(dāng)?shù)脑?，通信雙方完全不會(huì)知道自己遭遇了中間人攻擊，因?yàn)樗麄兏究床坏竭@些信息曾被截獲和竊取過。

接管兩個(gè)參與者之間的通信通道是中間人攻擊的核心。

它還為攻擊者打開了其他欺騙途徑。如果攻擊者控制了通信方式，那么他們就可以篡改傳輸中的消息。就我們上述示例而言，攻擊者不僅可以攔截并讀取通信雙方傳遞的信息，甚至還可以篡改消息內(nèi)容，提出特定請(qǐng)求作為其攻擊活動(dòng)的一部分。

當(dāng)中間人控制您的通信時(shí)，他們還可以在完成攻擊后立即刪除與此次攻擊相關(guān)的任何信息記錄，讓通信雙方無法察覺任何異常。

在線中間人攻擊

盡管使用計(jì)算機(jī)或其他數(shù)字硬件代替了傳統(tǒng)的信件，但是在線中間人攻擊的工作原理幾乎與離線中間人攻擊相同。

例如，您用計(jì)算機(jī)設(shè)備連接到咖啡館的免費(fèi)公共Wi-Fi上，然后試圖訪問銀行的網(wǎng)站。隨后，您可能會(huì)遇到如下錯(cuò)誤提示。

如上圖所示，您會(huì)遇到一個(gè)證書錯(cuò)誤，通知您該銀行的網(wǎng)站不具備有效的加密證書。這表面上好像是提醒您銀行的配置存在問題，真實(shí)情況卻是中間人攻擊正在進(jìn)行中。

盡管如此，很多人仍然選擇單擊該錯(cuò)誤信息并繼續(xù)訪問該銀行網(wǎng)站。之后，他們進(jìn)行銀行賬戶登錄、匯款、賬單支付等操作，貌似一切如常。

而實(shí)際上，攻擊者可能已經(jīng)建立好了一個(gè)虛假的服務(wù)器和偽造的銀行網(wǎng)站。當(dāng)你連接到虛假的銀行服務(wù)器時(shí)，他們會(huì)將目標(biāo)銀行的真實(shí)頁面略作修改，并呈現(xiàn)給您。您所有輸入的登錄詳細(xì)信息，都將被發(fā)送到中間人服務(wù)器的后臺(tái)。

這也就解釋了上圖中出現(xiàn)的加密證書錯(cuò)誤的安全提醒。中間人服務(wù)器根本就沒有與真實(shí)銀行相同的安全證書，盡管它可能也具有其他的安全證書。

中間人攻擊的類型

具體來說，中間人攻擊有多種不同的類型：

(1) Wi-Fi欺騙

攻擊者可以創(chuàng)建與本地免費(fèi)Wi-Fi選項(xiàng)同名的虛假Wi-Fi接入點(diǎn)(AP)。例如，在上例的咖啡館中，攻擊者可能會(huì)模仿Wi-Fi名稱或創(chuàng)建一個(gè)名為“Guest Wi-Fi”或類似名稱的偽造選項(xiàng)。一旦您連接到了惡意訪問點(diǎn)，攻擊者就可以監(jiān)視您的一切在線活動(dòng)。

(2) HTTPS欺騙

攻擊者通過欺騙您的瀏覽器，使您認(rèn)為自己訪問的是可信任站點(diǎn)，而實(shí)際上卻將流量重定向到了不安全的網(wǎng)站。當(dāng)您輸入登錄憑據(jù)時(shí)，攻擊者就會(huì)竊取它們。

(3) SSL劫持

當(dāng)您嘗試連接或訪問不安全的HTTP站點(diǎn)時(shí)，瀏覽器可以將您重定向到安全的HTTPS選項(xiàng)。但是，攻擊者可以劫持重定向過程，將指向其自建服務(wù)器的鏈接植入其中，進(jìn)而竊取您的敏感數(shù)據(jù)以及您輸入的所有憑據(jù)。

(4) DNS欺騙

為了幫您準(zhǔn)確地瀏覽目標(biāo)網(wǎng)站，域名系統(tǒng)會(huì)將地址欄中的URL從人類可讀的文本格式轉(zhuǎn)換為計(jì)算機(jī)的IP地址。然而，DNS欺騙則會(huì)迫使您的瀏覽器訪問攻擊者控制的特定地址。

(5) 電子郵件劫持

如果攻擊者獲得了受信任機(jī)構(gòu)(例如銀行)的郵箱甚至是郵件服務(wù)器的訪問權(quán)限，那么他們就可能會(huì)攔截包含敏感信息的客戶電子郵件，甚至開始以該機(jī)構(gòu)的身份發(fā)送各種電子郵件。

這只是一些典型的中間人攻擊方式。除此之外，此類攻擊還存在許多變種和不同的組合。

HTTPS是否可以阻止中間人攻擊?

上述情況如果發(fā)生在使用HTTPS(HTTP的安全版本)的銀行網(wǎng)站上，用戶就會(huì)收到一個(gè)彈出消息，提示其加密證書不正確?，F(xiàn)在，幾乎每個(gè)網(wǎng)站都使用HTTPS，您可以在地址欄中的URL旁邊看到一個(gè)帶鎖的圖標(biāo)。

過去很長一段時(shí)間，只有那些提供敏感信息的網(wǎng)站才會(huì)使用HTTPS。但是現(xiàn)在情況已經(jīng)發(fā)生了改變，特別是自從Google宣布它將使用HTTPS作為SEO的排名參考標(biāo)準(zhǔn)以來。據(jù)統(tǒng)計(jì)，2014年，在全球排名前一百萬的網(wǎng)站中，只有1-2%使用了HTTPS。到2018年，這一數(shù)字激增，在全球排名前一百萬的網(wǎng)站中，已有超過50%的企業(yè)實(shí)施了HTTPS。

在未加密的網(wǎng)站上使用標(biāo)準(zhǔn)的HTTP連接，你就不會(huì)收到上述示例中收到的警告，也就更容易遭遇中間人攻擊。

那么，HTTPS是否真的可以防御MITM攻擊?

MITM和SSLStrip

答案是，是的，HTTPS可以防止中間人攻擊。但是，攻擊者可以通過多種方法來破壞HTTPS，從而消除通過加密為您的連接提供的額外安全性。

以SSL剝離(SSLStrip)類型的中間人攻擊為例。SSL剝離或SSL降級(jí)攻擊是MiTM攻擊的一種十分罕見的方式，但是也是最危險(xiǎn)的一種。眾所周知，SSL/TLS證書通過加密保護(hù)著我們的通訊安全。在SSL剝離攻擊中，攻擊者使SSL/TLS連接剝落，隨之協(xié)議便從安全的HTTPS變成了不安全的HTTP。

對(duì)于這種攻擊方式，你甚至可能完全察覺不到任何異常。通過細(xì)心觀察Google Chrome瀏覽器和其他瀏覽器的地址欄是否帶有大紅叉或驚嘆號(hào)的通知，可以幫助你發(fā)現(xiàn)一絲異常。如今，HTTPS添加的帶鎖標(biāo)記無疑讓用戶能夠更容易發(fā)現(xiàn)自己是否正在使用HTTPS。

除此之外，另一種安全升級(jí)也削弱了SSL剝離的功效，它就是HTTP嚴(yán)格傳輸安全性(HTTP Strict Transport Security，HSTS)。

HTTP嚴(yán)格傳輸安全性(HSTS)的開發(fā)旨在防止中間人攻擊，尤其是SSL剝離等協(xié)議降級(jí)攻擊。HSTS具有一項(xiàng)特殊功能，它能夠強(qiáng)制要求Web服務(wù)器與所有用戶僅使用HTTPS進(jìn)行交互。

但這并不意味著HSTS能夠一直奏效，因?yàn)镠STS只能在用戶首次訪問后與用戶進(jìn)行配置。因此，理論上來說，攻擊者可以利用這種短暫的時(shí)間差，在HSTS配置到位之前使用SSL剝離之類的中間人攻擊。

這還不是全部。如今，SSL剝離已經(jīng)讓位于其他現(xiàn)代工具，它們將許多中間人攻擊類型整合到一個(gè)工具包中，開展更為復(fù)雜的攻擊。

MITM惡意軟件

除此之外，用戶還必須應(yīng)對(duì)使用中間人攻擊或帶有中間人模塊的惡意軟件變種。例如，某些針對(duì)Android用戶的惡意軟件類型(例如SpyEye和ZeuS)，就允許攻擊者竊聽傳入和傳出智能手機(jī)的所有數(shù)據(jù)通信形式。

這些惡意軟件一旦安裝在Android設(shè)備上，攻擊者就可以用其攔截所有形式的通信。其中最關(guān)鍵的信息是雙因素驗(yàn)證碼。攻擊者可以在真實(shí)的安全網(wǎng)站上請(qǐng)求雙因素身份驗(yàn)證碼，然后在用戶作出反應(yīng)甚至了解正在發(fā)生的事情之前，對(duì)該驗(yàn)證碼進(jìn)行攔截。

如您所料，臺(tái)式機(jī)也并非不存在威脅。事實(shí)上存在很多專為中間人攻擊而設(shè)計(jì)的惡意軟件類型和漏洞利用工具包。更別提聯(lián)想曾在發(fā)貨之前在其筆記本電腦上安裝了支持SSL剝離的惡意軟件的事件了。

如何防范中間人攻擊?

中間人攻擊很難防御。攻擊者存在多種攻擊組合，這也就意味著防范中間人攻擊的方法也必須是多方位的：

• 使用HTTPS：確保您訪問的每個(gè)網(wǎng)站都使用HTTPS標(biāo)頭。畢竟面對(duì)SSL剝離和中間人惡意軟件，確保使用HTTPS仍然是最好的防御選擇之一;
• 不要忽略警告：如果您的瀏覽器提示，您正在訪問的網(wǎng)站存在安全問題，那么就請(qǐng)引起足夠的重視。畢竟安全證書警告可以幫您直觀地判定您的登錄憑據(jù)是否會(huì)被攻擊者截獲;
• 不要使用公共Wi-Fi：如果可以的話，盡量不要使用公共Wi-Fi。有時(shí)，無法避免使用公共Wi-Fi，那么請(qǐng)下載并安裝虛擬專用網(wǎng)，為連接增加安全性。此外，在使用公共Wi-Fi連接時(shí)，請(qǐng)留意瀏覽器的安全警告。如果警告的數(shù)量突然猛增，那么很可能表明存在中間人攻擊或漏洞;
• 點(diǎn)擊電子郵件前，檢查電子郵件的發(fā)件人;
• 如果你是一個(gè)網(wǎng)站管理員，你應(yīng)當(dāng)執(zhí)行HSTS協(xié)議;
• 如果你的網(wǎng)站使用了SSL，確保你禁用了不安全的SSL/TLS協(xié)議。你應(yīng)當(dāng)只啟用了TLS 1.1和TLS 1.2;
• 運(yùn)行并更新防病毒軟件：請(qǐng)確保防病毒軟件處于最新狀態(tài)，此外也可以考慮使用其他安全工具，例如Malwarebytes。

本文翻譯自：https://www.makeuseof.com/what-is-a-man-in-the-middle-attack/