攻擊方式
SSL劫持攻擊nSSL劫持攻擊即SSL證書欺騙攻擊,攻擊者為了獲得HTTPS傳輸的明文數據,需要先将自己接入到客戶端和目标網站之間;在傳輸過程中僞造服務器的證書,将服務器的公鑰替換成自己的公鑰,這樣,中間人就可以得到明文傳輸帶Key1、Key2和Pre-Master-Key,從而竊取客戶端和服務端的通信數據。n但是對于客戶端來說,如果中間人僞造了證書,在校驗證書過程中會提示證書錯誤,由用戶選擇繼續操作還是返回,由于大多數用戶的安全意識不強,會選擇繼續操作,此時,中間人就可以獲取浏覽器和服務器之間的通信數據。SSL剝離攻擊n這種攻擊方式也需要将攻擊者設置為中間人,之後見HTTPS範文替換為HTTP返回給浏覽器,而中間人和服務器之間仍然保持HTTPS服務器。由于HTTP是明文傳輸的,所以中間人可以獲取客戶端和服務器傳輸數據。
發展曆史
中間人(MITM)攻擊在計算機出現之前就已經存在。這種類型的攻擊包括攻擊者将自己插入到相互通信的雙方之間。中間人攻擊本質上是竊聽攻擊。
簡介
中間人攻擊(Man-in-the-MiddleAttack,簡稱“MITM攻擊”)是一種“間接”的入侵攻擊,這種攻擊模式是通過各種技術手段将受入侵者控制的一台計算機虛拟放置在網絡連接中的兩台通信計算機之間,這台計算機就稱為“中間人”。然後入侵者把這台計算機模拟一台或兩台原始計算機,使“中間人”能夠與原始計算機建立活動連接并允許其讀取或修改傳遞的信息,然而兩個原始計算機用戶卻認為他們是在互相通信。
攻擊方式
中間人攻擊(Man-in-the-MiddleAttack,簡稱“MITM攻擊”)中間人攻擊很早就成為了黑客常用的一種古老的攻擊手段,并且一直到今天還具有極大的擴展空間。
在網絡安全方面,MITM攻擊的使用是很廣泛的,曾經猖獗一時的SMB會話劫持、DNS欺騙等技術都是典型的MITM攻擊手段。在黑客技術越來越多的運用于以獲取經濟利益為目标的情況下時,MITM攻擊成為對網銀、網遊、網上交易等最有威脅并且最具破壞性的一種攻擊方式。
1、信息篡改
當主機A、和機B通信時,都由主機C來為其“轉發”,如圖一,而A、B之間并沒有真正意思上的直接通信,他們之間的信息傳遞同C作為中介來完成,但是A、B卻不會意識到,而以為它們之間是在直接通信。這樣攻擊主機在中間成為了一個轉發器,C可以不僅竊聽A、B的通信還可以對信息進行篡改再傳給對方,C便可以将惡意信息傳遞給A、B以達到自己的目的。
2、信息竊取
當A、B通信時,C不主動去為其“轉發”,隻是把他們的傳輸的數據備份,以獲取用戶網絡的活動,包括賬戶、密碼等敏感信息,這是被動攻擊也是非常難被發現的。
實施中間人攻擊時,攻擊者常考慮的方式是ARP欺騙或DNS欺騙等,将會話雙方的通訊流暗中改變,而這種改變對于會話雙方來說是完全透明的。以常見的DNS欺騙為例,目标将其DNS請求發送到攻擊者這裡,然後攻擊者僞造DNS響應,将正确的IP地址替換為其他IP,之後你就登陸了這個攻擊者指定的IP,而攻擊者早就在這個IP中安排好了一個僞造的網站如某銀行網站,從而騙取用戶輸入他們想得到的信息,如銀行賬号及密碼等,這可以看作一種網絡釣魚攻擊的一種方式。對于個人用戶來說,要防範DNS劫持應該注意不點擊不明的連接、不去來曆不明的網站、不要在小網站進行網上交易,最重要的一點是記清你想去網站的域名,當然,你還可以把你常去的一些涉及到機密信息提交的網站的IP地址記下來,需要時直接輸入IP地址登錄。
要防範MITM攻擊,可以将一些機密信息進行加密後再傳輸,這樣即使被“中間人”截取也難以破解,另外,有一些認證方式可以檢測到MITM攻擊。比如設備或IP異常檢測:如果用戶以前從未使用某個設備或IP訪問系統,則系統會采取措施。還有設備或IP頻率檢測:如果單一的設備或IP同時訪問大量的用戶帳号,系統也會采取措施。更有效防範MITM攻擊的方法是進行帶外認證,具體過程是:系統進行實時的自動電話回叫,将二次PIN碼發送至SMS(短信網關),短信網關再轉發給用戶,用戶收到後,再将二次PIN碼發送到短信網關,以确認是否是真的用戶。帶外認證提供了多種不同的認證方式及認證渠道,它的好處是:所有的認證過程都不會被MITM攻擊者接觸到。例如MITM是通過中間的假網站來截獲敏感信息的,相關的“帶外認證”就是指通過電話認證或短信認證等方式确認用戶的真實性,而MITM攻擊者卻不能得到任何信息。當然,這種方式麻煩些。
會話劫持
“會話劫持”(SessionHijack)是一種結合了嗅探以及欺騙技術在内的攻擊手段。廣義上說,會話劫持就是在一次正常的通信過程中,攻擊者作為第三方參與到其中,或者是在數據裡加入其他信息,甚至将雙方的通信模式暗中改變,即從直接聯系變成有攻擊者參與的聯系。簡單地說,就是攻擊者把自己插入到受害者和目标機器之間,并設法讓受害者和目标機器之間的數據通道變為受害者和目标機器之間存在一個看起來像“中轉站”的代理機器(攻擊者的機器)的數據通道,從而幹涉兩台機器之間的數據傳輸,例如監聽敏感數據、替換數據等。由于攻擊者已經介入其中,他能輕易知道雙方傳輸的數據内容,還能根據自己的意願去左右它。這個“中轉站”可以是邏輯上的,也可以是物理上的,關鍵在于它能否獲取到通信雙方的數據。
代理服務器
不再可靠的代理服務器
網絡上存在許多各種各樣的代理服務器,其中的一些,是披着羊皮的狼。
代理服務器(ProxyServer)的存在已經是很長久的事實了,而且由最初的幾個基于TCP/IP協議的代理軟件如HTTP、SMTP、POP3和FTP等發展到SSL、SOCK4/5以及其他未知的代理類型,可謂給一些特殊用途者提供了極大的方便。例如,通過代理跨過某些服務器的IP屏蔽,從而浏覽到本來不能看到的信息;或者害怕自己IP暴露被對方入侵而尋找層層代理把自己包裹起來;還有些是因為系統不支持Internet共享而被迫采用代理軟件來讓内部網絡的計算機能正常連接Internet……此外還有許多原因,讓各種代理服務器經久不衰。
代理服務器相當于一個透明的數據通道,它根據客戶發來的“要求連接某計算機”的請求數據,進而用自己本身作為原客戶機器去連接目标計算機,在目标計算機返回數據後,再發送給原客戶,這時目标計算機獲取到的是代理服務器的IP,而不是原客戶IP,從而實現突破IP屏蔽或者讓對方無法獲取你的真實IP。
防禦
攻防為一家,有攻就有防,隻要措施正确,MITM攻擊是可以預防的。
對于DNS欺騙,要記得檢查本機的HOSTS文件,以免被攻擊者加了惡意站點進去;其次要确認自己使用的DNS服務器是ISP提供的,因為目前ISP服務器的安全工作還是做得比較好的,一般水平的攻擊者無法成功進入;如果是依靠網關設備自帶的DNS解析來連接Internet的,就要拜托管理員定期檢查網關設備是否遭受入侵。
至于局域網内各種各樣的會話劫持(局域網内的代理除外),因為它們都要結合嗅探以及欺騙技術在内的攻擊手段,必須依靠ARP和MAC做基礎,所以網管應該使用交換式網絡(通過交換機傳輸)代替共享式網絡(通過集線器傳輸),這可以降低被竊聽的機率,當然這樣并不能根除會話劫持,還必須使用靜态ARP、捆綁MAC+IP等方法來限制欺騙,以及采用認證方式的連接等。
但是對于“代理中間人攻擊”而言,以上方法就難以見效了,因為代理服務器本來就是一個“中間人”角色,攻擊者不需要進行任何欺騙就能讓受害者自己連接上來,而且代理也不涉及MAC等因素,所以一般的防範措施都不起作用。除非你是要幹壞事,或者IP被屏蔽,或者天生對網絡有着恐懼,否則還是不要整天找一堆代理來隐藏自己了,沒必要的。常在河邊走,即使遇上做了手腳的代理也難察覺。
