到底什麼是中間人攻擊,你該如何防範?
什麼是中間人攻擊?
中間人攻擊可以回溯到早期計算機網絡中,攻擊者可以將自己植入到彼此正在通信的兩方之間,開展竊聽、甚至是攻擊活動。為了更好地理解中間人攻擊的工作原理,讓我們通過下面的例子,從兩方面來進行理解。
離線中間人攻擊
離線中間人攻擊雖然比較基礎,但是其使用範圍遍佈全球。例如:某中間人成功截獲了您發送的消息,對其進行了讀取和重新打包操作,然後將新的內容發回給您、或原始收件人。而當此人在不知情的情況下回復時,該中間人便可繼續截獲並閲讀原本通信雙方互發的信息。由於雙方並非面對面通信,因此信息即使被截獲和竊取,他們都不得而知。
在此基礎上,如果攻擊者能夠控制通信的方式,那麼他甚至可以篡改消息,或實施其他欺騙途徑。例如,在上例中,攻擊者可以基於截獲到的消息內容,提出某些非法的請求。當然,為了做得神不知、鬼不覺,攻擊者在完成攻擊後,往往會立即刪除與此次攻擊相關的任何信息記錄,讓通信雙方無法發現任何異常。
在線中間人攻擊
與上述離線攻擊不同,在線攻擊往往是實時發生的。例如:您用筆記本電腦連接上了某個咖啡館的免費公共Wi-Fi,並試圖訪問某個銀行的網站。隨後,您可能遇到如下錯誤提示。
面對此類錯誤提示,許多人只會單擊它,並繼續訪問該網站。後續,他們的銀行賬户登錄、匯款、賬單支付等操作,貌似一切如常。而實際上,攻擊者已經事先建立好了虛假的服務器。他們會將目標銀行的真實頁面略作修改,甚至另行偽造。您所有輸入的登錄詳細信息,都將被髮送到中間人服務器的後台,而不是真實的銀行服務器處。這也就解釋了上圖中出現的那個加密證書的錯誤信息,實際上源於中間人服務器根本就沒有與真實銀行相同的安全證書。
中間人攻擊的類型
總的説來,中間人攻擊可分為如下五種不同的類型:
Wi-Fi欺騙:攻擊者可以創建與本地免費Wi-Fi同名的虛假Wi-Fi接入點(AP)。例如,在上例的咖啡館中,攻擊者會模仿創建一個和牆上貼着Wi-Fi信息同名“Guest Wi-Fi”。一旦您連接上去,您的一切在線網絡行為,將盡在攻擊者的監控和掌握之中。
HTTPS欺騙:攻擊者通過欺騙您的瀏覽器,使您認為自己訪問的是可信任站點。當您輸入與該站點相關的登錄憑據時,您的流量將被重定向到攻擊者自建的非安全站點處。
SSL劫持:通常,當您嘗試連接或訪問不安全的HTTP://站點時,您的瀏覽器會自己將您重定向到安全的HTTPS://處。此時,攻擊者則可以劫持該重定向的過程,將指向其自建服務器的鏈接植入其中,進而竊取您的敏感數據、以及輸入的所有信任憑據。
DNS欺騙:為了準確地瀏覽到目標網站,域名系統會將地址欄中的URL,從人類易於識別的文本格式,轉換為計算機易於識別的IP地址。然而,DNS欺騙則會迫使您的瀏覽器,在攻擊者的控制下,發生轉換異常,而去訪問那些被偽造的地址。
電子郵件劫持:如果攻擊者獲得了受信任機構(例如銀行)的郵箱、甚至是郵件服務器的訪問權限,那麼他們就能夠攔截包含敏感信息的客户電子郵件,甚至以該機構的身份發送各種電子郵件。
上面只是五種典型的中間人攻擊方式。在現實情況下,此類攻擊還會有許多變種與組合。
HTTPS是否可以阻止中間人攻擊?
使用標準的HTTP連接去訪問那些未加密的網站,只會讓您在無法獲得任何警告的情況下,受到中間人的襲擊。過去,只有那些提供敏感信息的網站才會使用HTTPS的方式。據統計,2014年,在全球排名前一百萬的網站中,只有1-2%使用到了HTTPS。後來,Google宣佈了將是否採用HTTPS納入SEO排名的參考標準。至2018年,已有超過50%的企業實施了HTTPS。
針對上述案例,如果用户直接訪問的是帶有HTTPS://(即HTTP的安全版本)的銀行網站,那麼他會看到如下圖所示的“加密證書”信息。如今,幾乎絕大部分網站都會使用HTTPS,您可以在地址欄中查看到URL前面有個帶鎖的圖標。
所以説,HTTPS能夠防止基本的中間人攻擊。當然,攻擊者也會通過多種方法,來破壞HTTPS,進而消除加密的安全性。例如,SSLStrip類型的中間人攻擊,會強制將瀏覽器“卡”在舊的HTTP模式。對此,您可以通過細心觀察瀏覽器的地址欄,是否帶有紅叉或驚歎號的通知,以發現HTTPS的安全性被完全“剝離”掉了。
為了應對SSLStrip實施的“協議降級攻擊”,我們可以採用HTTP嚴格傳輸安全性(HTTP Strict Transport Security,HSTS)。它能夠強制要求Web服務器與所有用户僅使用HTTPS進行交互。
當然,HSTS並非能夠一直奏效,畢竟HSTS只能在用户首次訪問之後,方可進行配置。因此,這種短暫的時間差,仍然會在理論上給SSLStrip攻擊留下較短的時間窗口。此外,SSLStrip往往會被組合到其他各種中間人類型中,聯合開展攻擊。
帶有MITM的惡意軟件
在實際場景中,我們還可能碰到帶有中間人模塊的惡意軟件變種。例如,某些針對Android用户的惡意軟件類型(例如SpyEye和ZeuS),就能夠允許攻擊者截獲到,傳入和傳出智能手機的所有數據通信形式。例如,攻擊者可以在真實的安全網站上請求雙因素身份驗證碼(two-factor authentication code),然後在用户的手機上,先用户一步,截獲並輸入移動設備接收到的驗證碼到網站上。當然,PC機上也容易感染到此類中間人惡意軟件。
如何防範中間人攻擊?
常言道“知易行難”,下面我們來討論四種常見的防範中間人攻擊的方法:
使用HTTPS:確保您只訪問那些使用着HTTPS的網站。如前所述,HTTPS提供了額外的安全保護層。在此,您可以考慮下載並安裝Electronic Frontier Foundation的HTTPS Everywhere瀏覽器擴展程序。它是Google Chrome瀏覽器最好的隱私擴展程序之一。
不要忽略警告:如果您的瀏覽器提示,您正在訪問的網站存在着安全問題,那麼就請引起足夠的重視。畢竟安全證書警告可以幫您直觀地判定,您的登錄憑據是否會被攻擊者截獲。
· 不要使用公共Wi-Fi:如果您無法避免使用公共Wi-Fi,那麼請下載並安裝安全防護,為連接增加安全性。同時,在使用公共Wi-Fi連接時,請留意瀏覽器的安全警告。如果警告的數量突然猛增,那麼很可能就表明某個漏洞遭到了中間人攻擊。
· 運行並更新防病毒軟件:除了此外,也請考慮使用諸如Malwarebytes Premium之類的其他安全工具。
原文標題:What Is a Man-in-the-Middle Attack?,作者: GAVIN PHILLIPS
【51CTO譯稿,合作站點轉載請註明原文譯者和出處為51CTO.com】
【編輯推薦】
加強人工智能安全風險防控,需聚焦技術融合、法律規制
三分鐘回顧!12月網絡安全領域重要動態速覽
盤點:2020年加密貨幣領域的黑客攻擊、漏洞攻擊和盜竊事件
人工智能在城市公共安全領域的應用及發展研究
越南國家網絡安全中心招募前網絡犯罪分子
【責任編輯:華軒 TEL:(010)68476606】
點贊 0