曹剛

解析中間人攻擊原理

曹剛

中間人攻擊（Man-in-the-MiddleAttack，簡(jiǎn)稱“MITM攻擊”）是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的一臺(tái)計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺(tái)通信計(jì)算機(jī)之間，這臺(tái)計(jì)算機(jī)就稱為“中間人”。

中間人攻擊常見的兩種方法：ARP欺騙、DNS欺騙

1.DNS欺騙

目標(biāo)將其DNS請(qǐng)求發(fā)送到攻擊者這里，然后攻擊者偽造DNS響應(yīng)，將正確的IP地址替換為其他IP，之后你就登陸了這個(gè)攻擊者指定的IP，而攻擊者早就在這個(gè)IP中安排好了一個(gè)偽造的網(wǎng)站如某銀行網(wǎng)站，從而騙取用戶輸入他們想得到的信息，如銀行賬號(hào)及密碼等，這可以看作一種網(wǎng)絡(luò)釣魚攻擊的一種方式。對(duì)于個(gè)人用戶來說，要防范DNS劫持應(yīng)該注意不點(diǎn)擊不明的連接、不去來歷不明的網(wǎng)站、不要在小網(wǎng)站進(jìn)行網(wǎng)上交易，最重要的一點(diǎn)是記清你想去網(wǎng)站的域名，當(dāng)然，你還可以把你常去的一些涉及到機(jī)密信息提交的網(wǎng)站的IP地址記下來，需要時(shí)直接輸入IP地址登錄。

2.ARP欺騙

在實(shí)現(xiàn)TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境下，一個(gè)ip包走到哪里，要怎么走是靠路由表定義，但是，當(dāng)ip包到達(dá)該網(wǎng)絡(luò)后，哪臺(tái)機(jī)器響應(yīng)這個(gè)ip包卻是靠該ip包中所包含的硬件mac地址來識(shí)別。也就是說，只有機(jī)器的硬件mac地址和該ip包中的硬件mac地址相同的機(jī)器才會(huì)應(yīng)答這個(gè)ip包，因?yàn)樵诰W(wǎng)絡(luò)中，每一臺(tái)主機(jī)都會(huì)有發(fā)送ip包的時(shí)候，所以，在每臺(tái)主機(jī)的內(nèi)存中，都有一個(gè)arp-->硬件mac的轉(zhuǎn)換表。通常是動(dòng)態(tài)的轉(zhuǎn)換表（該arp表可以手工添加靜態(tài)條目）。也就是說，該對(duì)應(yīng)表會(huì)被主機(jī)在一定的時(shí)間間隔后刷新。這個(gè)時(shí)間間隔就是ARP高速緩存的超時(shí)時(shí)間。通常主機(jī)在發(fā)送一個(gè)ip包之前，它要到該轉(zhuǎn)換表中尋找和ip包對(duì)應(yīng)的硬件mac地址，如果沒有找到，該主機(jī)就發(fā)送一個(gè)ARP廣播包，于是，主機(jī)刷新自己的ARP緩存。然后發(fā)出該ip包。

防范MITM攻擊的常用方法

1.將一些機(jī)密信息進(jìn)行加密后再傳輸，這樣即使被“中間人”截取也難以破解。

2.通過設(shè)備或IP異常檢測(cè)。如用戶以前從未使用某個(gè)設(shè)備或IP訪問系統(tǒng)。

3.通過設(shè)備或IP頻率檢測(cè)：如單一的設(shè)備或IP同時(shí)訪問大量的用戶帳號(hào)。

3.進(jìn)行帶外認(rèn)證，具體過程是：系統(tǒng)進(jìn)行實(shí)時(shí)的自動(dòng)電話回叫，將二次PIN碼發(fā)送至SMS（短信網(wǎng)關(guān)），短信網(wǎng)關(guān)再轉(zhuǎn)發(fā)給用戶，用戶收到后，再將二次PIN碼發(fā)送到短信網(wǎng)關(guān)，以確認(rèn)是否是真的用戶。