【.com速译】中间人(MITM)攻击可以在人、用户计算机、服务器的任意组合之间发送,攻击方式也多种多样,因此在身份识别和防御非常困难。本文将与您探讨中间人攻击背后的逻辑以及如何避免此类攻击。什么是中间人攻击?中间人攻击可以追溯到早期的计算机网络。攻击者可以插入正在通信的两方之间,进行窃听甚至攻击活动。为了更好地理解中间人攻击的原理,我们通过下面的例子从两个角度来理解。离线中间人攻击离线中间人攻击是最基本的攻击,但它们在全世界都在使用。示例:中间人成功拦截您发送的消息,读取它,重新打包,并将新内容发送回给您或原始收件人。而当对方在不知情的情况下回复时,中介可以继续截取并阅读双方的原始通讯。由于双方没有面对面交流,即使信息被截获窃取,他们也不会知道。在此基础上,如果攻击者能够控制通信方式,他甚至可以篡改消息,或实施其他欺骗途径。例如,在上面的例子中,攻击者可以根据截获的消息内容进行一些非法请求。当然,为了隐身,攻击者往往会在攻击完成后立即删除任何与攻击相关的信息记录,让通信双方无法发现任何异常。在线中间人攻击不同于上述离线攻击,在线攻击往往是实时发生的。示例:您使用笔记本电脑连接到一家咖啡店的免费公共Wi-Fi,并且您正在尝试访问一家银行的网站。然后,您可能会遇到以下错误消息。上图所示的证书错误字面意思是提醒您,由于配置问题,银行网站没有有效的加密证书。现实情况是,中间人攻击正在悄悄发生。面对这样的错误信息,许多人只是点击它并继续访问该网站。随后,他们的银行账户登录、汇款、缴费等操作似乎一切如常。事实上,攻击者已经提前搭建了一个假服务器。他们会稍微修改目标银行的真实页面,甚至单独伪造。您输入的所有登录详细信息将被发送到中间人服务器的后端,而不是真正的银行服务器。这也就解释了上图中加密证书的报错信息,其实源于中介服务器没有和真实银行一样的安全证书。中间人攻击的类型一般而言,中间人攻击可分为五种不同类型:Wi-Fi欺骗:攻击者可以创建一个虚假的Wi-Fi接入点(AP)与当地免费Wi-Fi同名。比如上面例子中的咖啡店,攻击者会模仿并创建一个与贴在墙上的Wi-Fi信息同名的“GuestWi-Fi”。一旦连接上,你所有的在线网络行为都将被攻击者监控和控制。HTTPS欺骗:攻击者诱使您的浏览器认为您正在访问受信任的站点。当您输入与此站点关联的登录凭据时,您的流量将被重定向到攻击者创建的不安全站点。SSL劫持:通常,当您尝试连接或访问不安全的HTTP://站点时,您的浏览器会自行将您重定向到安全的HTTPS://。此时,攻击者可以劫持重定向过程,植入到他们自己服务器的链接,然后窃取您的敏感数据,以及输入的任何信任凭证。DNS欺骗:为了准确浏览到目标网站,域名系统会将地址栏中的URL从人类容易识别的文本格式转换成计算机容易识别的IP地址。但是,DNS欺骗会迫使您的浏览器在攻击者的控制下进行异常翻译并访问那些欺骗地址。邮件劫持:如果攻击者获得受信机构(如银行)的邮箱甚至邮件服务器的访问权限,就可以截获包含敏感信息的客户邮件,甚至可以冒充该机构邮件发送各种邮件。以上只是五种典型的中间人攻击。实际上,此类攻击会有许多变体和组合。HTTPS能防止中间人攻击吗?使用标准HTTP连接到未加密的网站只会让您在没有警告的情况下受到中间人攻击。过去,只有那些提供敏感信息的网站才会使用HTTPS。据统计,2014年全球排名前百万的网站中只有1-2%使用了HTTPS。后来谷歌宣布是否使用HTTPS作为SEO排名的参考标准。到2018年,超过50%的企业实现了HTTPS。对于上述情况,如果用户直接使用HTTPS://(即HTTP的安全版本)访问银行网站,将会看到如下图所示的“加密证书”信息。现在几乎大部分网站都使用HTTPS,你可以在地址栏的网址前看到一个锁形图标。MITM和SSLStrip因此,HTTPS可以防止基本的中间人攻击。当然,攻击者也会使用各种方法来破坏HTTPS,从而消除加密的安全性。例如,SSLStrip类型的中间人攻击将迫使浏览器“卡在”旧的HTTP模式中。对此,仔细观察浏览器地址栏是否有红叉或感叹号,就可以发现HTTPS的安全性已经被彻底“剥离”了。针对SSLStrip实现的“协议降级攻击”,我们可以使用HTTP严格传输安全协议(HTTPStrictTransportSecurity,HSTS)。它可以强制Web服务器仅使用HTTPS与所有用户进行交互。当然,HSTS并不总是有效,因为HSTS只能在用户第一次访问后配置。因此,这个短暂的时间差理论上仍然会为SSLStrip攻击留下很短的时间窗口。此外,SSLStrip常与其他各种中间人类型结合,共同进行攻击。带有MITM的恶意软件在现实世界中,我们可能还会遇到带有中间人模块的恶意软件变体。例如,针对Android用户的某些类型的恶意软件(如SpyEye和ZeuS)允许攻击者拦截进出智能手机的所有形式的数据通信。例如,攻击者可以在真正安全的网站上请求双因素验证码,然后在用户的手机上,在用户这样做之前,拦截并将移动设备上收到的验证码输入网站。当然,个人电脑也容易受到这种中间人恶意软件的影响。如何防止中间人攻击?常言道,“知易行难”,让我们讨论四种防止中间人攻击的常用方法:使用HTTPS:确保您只访问那些使用HTTPS的网站。如前所述,HTTPS提供了额外的安全保护层。在这里,您可以考虑下载并安装ElectronicFrontierFoundation的HTTPSEverywhere浏览器扩展。它是谷歌浏览器最好的隐私扩展程序之一。不要忽略警告:如果您的浏览器警告您正在访问的站点存在安全问题,请认真对待。毕竟,安全证书警告可以帮助您直观地判断您的登录凭据是否会被攻击者拦截。不要使用公共Wi-Fi:如果您无法避免使用公共Wi-Fi,请下载并安装安全保护来为您的连接增加额外的安全性。同时,请在使用公共Wi-Fi连接时注意浏览器的安全警告。警告数量的突然激增可能表明存在针对漏洞的中间人攻击。运行和更新防病毒软件:除此之外,考虑使用其他安全工具,例如MalwarebytesPremium。原标题:什么是中间人攻击?作者:加文·菲利普斯
