到底什麼是中間人攻擊,你該如何防範?
什麼是中間人攻擊?
中間人攻擊可以回溯到早期計算機網路中,攻擊者可以將自己植入到彼此正在通訊的兩方之間,開展竊聽、甚至是攻擊活動。為了更好地理解中間人攻擊的工作原理,讓我們透過下面的例子,從兩方面來進行理解。
離線中間人攻擊
離線中間人攻擊雖然比較基礎,但是其使用範圍遍佈全球。例如:某中間人成功截獲了您傳送的訊息,對其進行了讀取和重新打包操作,然後將新的內容發回給您、或原始收件人。而當此人在不知情的情況下回復時,該中間人便可繼續截獲並閱讀原本通訊雙方互發的資訊。由於雙方並非面對面通訊,因此資訊即使被截獲和竊取,他們都不得而知。
在此基礎上,如果攻擊者能夠控制通訊的方式,那麼他甚至可以篡改訊息,或實施其他欺騙途徑。例如,在上例中,攻擊者可以基於截獲到的訊息內容,提出某些非法的請求。當然,為了做得神不知、鬼不覺,攻擊者在完成攻擊後,往往會立即刪除與此次攻擊相關的任何資訊記錄,讓通訊雙方無法發現任何異常。
線上中間人攻擊
與上述離線攻擊不同,線上攻擊往往是實時發生的。例如:您用膝上型電腦連線上了某個咖啡館的免費公共Wi-Fi,並試圖訪問某個銀行的網站。隨後,您可能遇到如下錯誤提示。
面對此類錯誤提示,許多人只會單擊它,並繼續訪問該網站。後續,他們的銀行賬戶登入、匯款、賬單支付等操作,貌似一切如常。而實際上,攻擊者已經事先建立好了虛假的伺服器。他們會將目標銀行的真實頁面略作修改,甚至另行偽造。您所有輸入的登入詳細資訊,都將被髮送到中間人伺服器的後臺,而不是真實的銀行伺服器處。這也就解釋了上圖中出現的那個加密證書的錯誤資訊,實際上源於中間人伺服器根本就沒有與真實銀行相同的安全證書。
中間人攻擊的型別
總的說來,中間人攻擊可分為如下五種不同的型別:
Wi-Fi欺騙:攻擊者可以建立與本地免費Wi-Fi同名的虛假Wi-Fi接入點(AP)。例如,在上例的咖啡館中,攻擊者會模仿建立一個和牆上貼著Wi-Fi資訊同名“Guest Wi-Fi”。一旦您連線上去,您的一切線上網路行為,將盡在攻擊者的監控和掌握之中。
HTTPS欺騙:攻擊者透過欺騙您的瀏覽器,使您認為自己訪問的是可信任站點。當您輸入與該站點相關的登入憑據時,您的流量將被重定向到攻擊者自建的非安全站點處。
SSL劫持:通常,當您嘗試連線或訪問不安全的HTTP://站點時,您的瀏覽器會自己將您重定向到安全的HTTPS://處。此時,攻擊者則可以劫持該重定向的過程,將指向其自建伺服器的連結植入其中,進而竊取您的敏感資料、以及輸入的所有信任憑據。
DNS欺騙:為了準確地瀏覽到目標網站,域名系統會將位址列中的URL,從人類易於識別的文字格式,轉換為計算機易於識別的IP地址。然而,DNS欺騙則會迫使您的瀏覽器,在攻擊者的控制下,發生轉換異常,而去訪問那些被偽造的地址。
電子郵件劫持:如果攻擊者獲得了受信任機構(例如銀行)的郵箱、甚至是郵件伺服器的訪問許可權,那麼他們就能夠攔截包含敏感資訊的客戶電子郵件,甚至以該機構的身份傳送各種電子郵件。
上面只是五種典型的中間人攻擊方式。在現實情況下,此類攻擊還會有許多變種與組合。
HTTPS是否可以阻止中間人攻擊?
使用標準的HTTP連線去訪問那些未加密的網站,只會讓您在無法獲得任何警告的情況下,受到中間人的襲擊。過去,只有那些提供敏感資訊的網站才會使用HTTPS的方式。據統計,2014年,在全球排名前一百萬的網站中,只有1-2%使用到了HTTPS。後來,Google宣佈了將是否採用HTTPS納入SEO排名的參考標準。至2018年,已有超過50%的企業實施了HTTPS。
針對上述案例,如果使用者直接訪問的是帶有HTTPS://(即HTTP的安全版本)的銀行網站,那麼他會看到如下圖所示的“加密證書”資訊。如今,幾乎絕大部分網站都會使用HTTPS,您可以在位址列中檢視到URL前面有個帶鎖的圖示。
所以說,HTTPS能夠防止基本的中間人攻擊。當然,攻擊者也會透過多種方法,來破壞HTTPS,進而消除加密的安全性。例如,SSLStrip型別的中間人攻擊,會強制將瀏覽器“卡”在舊的HTTP模式。對此,您可以透過細心觀察瀏覽器的位址列,是否帶有紅叉或驚歎號的通知,以發現HTTPS的安全性被完全“剝離”掉了。
為了應對SSLStrip實施的“協議降級攻擊”,我們可以採用HTTP嚴格傳輸安全性(HTTP Strict Transport Security,HSTS)。它能夠強制要求Web伺服器與所有使用者僅使用HTTPS進行互動。
當然,HSTS並非能夠一直奏效,畢竟HSTS只能在使用者首次訪問之後,方可進行配置。因此,這種短暫的時間差,仍然會在理論上給SSLStrip攻擊留下較短的時間視窗。此外,SSLStrip往往會被組合到其他各種中間人型別中,聯合開展攻擊。
帶有MITM的惡意軟體
在實際場景中,我們還可能碰到帶有中間人模組的惡意軟體變種。例如,某些針對Android使用者的惡意軟體型別(例如SpyEye和ZeuS),就能夠允許攻擊者截獲到,傳入和傳出智慧手機的所有資料通訊形式。例如,攻擊者可以在真實的安全網站上請求雙因素身份驗證碼(two-factor authentication code),然後在使用者的手機上,先使用者一步,截獲並輸入移動裝置接收到的驗證碼到網站上。當然,PC機上也容易感染到此類中間人惡意軟體。
如何防範中間人攻擊?
常言道“知易行難”,下面我們來討論四種常見的防範中間人攻擊的方法:
使用HTTPS:確保您只訪問那些使用著HTTPS的網站。如前所述,HTTPS提供了額外的安全保護層。在此,您可以考慮下載並安裝Electronic Frontier Foundation的HTTPS Everywhere瀏覽器擴充套件程式。它是Google Chrome瀏覽器最好的隱私擴充套件程式之一。
不要忽略警告:如果您的瀏覽器提示,您正在訪問的網站存在著安全問題,那麼就請引起足夠的重視。畢竟安全證書警告可以幫您直觀地判定,您的登入憑據是否會被攻擊者截獲。
· 不要使用公共Wi-Fi:如果您無法避免使用公共Wi-Fi,那麼請下載並安裝安全防護,為連線增加安全性。同時,在使用公共Wi-Fi連線時,請留意瀏覽器的安全警告。如果警告的數量突然猛增,那麼很可能就表明某個漏洞遭到了中間人攻擊。
· 執行並更新防病毒軟體:除了此外,也請考慮使用諸如Malwarebytes Premium之類的其他安全工具。
原文標題:What Is a Man-in-the-Middle Attack?,作者: GAVIN PHILLIPS
【51CTO譯稿,合作站點轉載請註明原文譯者和出處為51CTO.com】
【編輯推薦】
加強人工智慧安全風險防控,需聚焦技術融合、法律規制
三分鐘回顧!12月網路安全領域重要動態速覽
盤點:2020年加密貨幣領域的駭客攻擊、漏洞攻擊和盜竊事件
人工智慧在城市公共安全領域的應用及發展研究
越南國家網路安全中心招募前網路犯罪分子
【責任編輯:華軒 TEL:(010)68476606】
點贊 0