当前位置: 首页 > 科技观察

能否通过加密保护数据免受中间人攻击?

时间:2023-03-21 01:56:51 科技观察

根据Domo的“数据永不眠6.0”报告,每天有超过250亿字节的数据被创建并上传到互联网。许多此类数据都是机密的:个人信息、银行转账、文件、凭证。在网络端点之间安全地传输此数据非常重要。TCP/IP是目前使用最广泛的数据传输协议,具有很高的兼容性。然而,TCP/IP漏洞对于黑客来说是众所周知的。TCP协议使用开放通道进行数据传输,攻击者可以利用该通道访问、监控和修改流量。网络犯罪分子可以使用多种类型的攻击来拦截传输中的数据,这些攻击的模式、目标和部署各不相同。在这里,我们将讨论如何保护您的网络免受中间人(MITM)攻击。在本文中,我们在未受保护的网络上模拟了此类攻击。我们使用一台有两块网卡的电脑来拦截流量,并使用Wireshark来分析流量。我们还讨论了加密是否是保护数据免受MITM攻击的有效方法。什么是中间人攻击?中间人攻击(“MITM攻击”)是一种“间接”入侵攻击。这种攻击方式是通过各种技术手段,将入侵者控制的计算机虚拟放置在网络上。在连接中的两台正在通信的计算机之间,这台计算机称为“中间人”。中间人攻击是一种由来已久的网络入侵方式,时至今日仍有广阔的发展空间。SMB会话劫持、DNS欺骗等攻击是典型的中间人攻击。简而言之,所谓MITM攻击就是拦截正常的网络通信数据,并在通信双方不知道的情况下进行数据篡改和嗅探。因此很难检测到这种攻击,因为它不会直接影响网络。MITM攻击的典型情况:有一个网络,多台机器交换数据。攻击者想要拦截数据,甚至更改其中一台计算机通过网络发送的数据。攻击者充当目标计算机和网络之间的中介,拦截它们之间的流量。默认连接和MITM连接之间的区别MITM攻击有多种形式。ARP欺骗是最常见的一种,它基于地址解析协议(ARP)中的漏洞:该协议无法确认ARP请求和响应的真实性。ARP欺骗很常见,因为计算机网络接口允许免费ARP。现在,让我们模拟MITM攻击,看看我们是否可以拦截流量并从目标获取数据。配置MITM攻击对于我们的MITM攻击示例,我们将创建一个简单的网络,两台计算机在其中交换数据并在它们之间放置一个MITM设备。我们将使用带有两个网络接口卡的计算机作为MITM设备。我们的网络如下所示:我们的示例网络场景以下是将标准Windows计算机转换为MITM设备的方法:1.将MITM设备放置在您要拦截其数据的设备与网络其余部分之间。在我们的示例中,我们将第一台计算机连接到MITM设备的一个以太网端口,并将第二台计算机插入同一设备上的第二个以太网端口。2.在MITM设备上桥接这些以太网连接。Windows可以默认执行此操作。只需转到设置-以太网-网络和共享中心-更改适配器选项。创建MITM设备-步骤1。创建MITM设备-步骤2.3。选择连接到网桥的网络接口,右键单击它们并选择“网桥连接”。创建MITM设备-第3步。创建网桥后,就可以使用我们的中间人攻击了。目标计算机将连接到网络,而不会收到流量已被拦截、扫描或更改的警告。现在我们可以拦截目标的流量。让我们看看我们是否可以恢复“它发送的数据”。使用Wireshark分析网络流量有许多工具可用于分析流量:WiresharktcpdumpKismetCain&Abel在我们的示例中,我们将使用Wireshark。它是最流行的协议分析器之一,具有强大的网络诊断功能。Wireshark配备了一个强大的过滤系统和一个用户友好的界面来处理各种类型的网络协议。此外,Wireshark可以拦截流式视频和图像,与SIP、RTCP、SRTP等语音协议配合使用,节省语音流量。在其监控模式下,Wireshark允许您将所有流量转储到一个文件中,并通过应用不同的过滤器对其进行分析或解密。为了开始使用Wireshark,我们必须选择要拦截其流量的接口。启动Wireshark让我们选择连接到第一台计算机的接口并分析传入的数据。运行嗅探器后,我们可以输入目标计算机的IP地址和TCP数据包类型:ip.host==10.100.5.149&&tcp现在,我们可以监听来自第一台计算机的流量。为了模拟MITM攻击,我们在第一台计算机上生成了一个秘密文件。现在,我们通过不受保护的通道将这个未加密的文件发送到第二台计算机。未加密的数据我们已经在第二台计算机上成功地收到了这个文件,现在我们可以查看它的数据了。拦截数据同时,我们的MITM设备拦截目标计算机之间的流量并复制它。现在我们可以检查截获的TCP数据包中的数据,并将其与第二台计算机上的数据进行比较。比较数据如您所见,在我们的场景中,未受保护的数据最终落入了攻击者手中。现在让我们看看加密是否有助于减轻这种威胁。通过加密保护数据免受中间人攻击的最流行方法是加密通信。它是这样工作的:当服务器传输数据时,它通过出示数字证书向客户端标识自己。然后,在客户端和服务器之间建立加密的通信通道。有两种流行的加密客户端或服务器数据的方法:1.对称加密,这是一种使用一个加密密钥来加密和解密消息的系统。密钥成为通信双方之间的共享秘密。这种保护方法的主要优点是加密速度快。缺点是需要一个安全通道来在所有通信参与者之间分发密钥。如果黑客截获密钥,他们就可以轻松解密传输的数据。对称加密是一种古老且广泛使用的数据加密方法。例如,美国政府有义务使用高级加密标准(AES)对通信进行加密。AES是一种对称块加密算法。2.非对称加密,使用公钥和私钥来保护传输的数据。公钥是众所周知的。它通过开放的通信通道传输并用于加密数据。私钥只有消息的接收者知道,用于解密数据。这种类型的加密允许通过开放通道交换密钥。只有私钥必须由其所有者安全存储。一方面,非对称加密比对称加密更可靠。另一方面,加密过程需要更多的计算和时间。当您需要加密和解密数据并且过程的速度不重要时,此方法适用。支持HTTPS的网站、银行系统、信使和其他服务使用非对称加密来加密数据。即使是为加密货币提供支持的流行区块链技术也使用基于非对称密码学的电子签名来验证交易。3、混合加密是对称加密和非对称加密的结合。通过这种加密,数据通过使用单个密钥的对称加密进行加密。然后使用非对称加密对该密钥进行加密并与数据一起发送。这样,您可以拥有对称方法的加密速度和非对称方法的可靠性。然而,这种类型的加密仍然不完美。例如,它容易受到自适应选择的密文攻击。TLS和PGP协议基于混合加密。在加密通信中,传输级加密协议确保受保护的客户端和服务器数据交换。此协议有两个版本:安全套接字层(SSL)-旧版本传输层安全(TLS)-较新的SSL不如较新的TLS安全。两种协议都使用非对称加密来验证通信双方的身份,并使用对称加密来确保交换数据的机密性。此外,这些加密协议通过消息身份验证代码确保消息完整性。这些保护使TLS/SSL流量在没有加密密钥的情况下无法被窃听或访问。我们现在已经介绍了基本的加密方法。让我们用TLS协议加密一段数据,看看它是否提供了针对MITM攻击的可靠保护。当我们重新创建本文上一节中描述的攻击时,我们的MITM设备仍然能够拦截在两台目标计算机之间传输的TCP数据包。但是现在拦截的数据是用TLS协议加密的:加密数据的内容正如你所看到的,加密数据包看起来像是一堆杂乱无章的符号集合。如果攻击者拦截了这些数据包,他们将很难破译加密数据。即使攻击成功,拦截的数据对攻击者也没有任何用处,因此不会受到损害。结束语MITM攻击是最广泛和最有效的黑客攻击类型之一。虽然不可能完全保护您的网络免受此类攻击,但您可以确保您的数据受到保护。加密通信是任何网络安全项目的重要组成部分。这是确保通过网络传输的数据受到保护的最可靠方法,即使攻击者可以拦截它。本文翻译自:https://www.apriorit.com/dev-blog/648-cybersecurity-encryption-for-mitm-attacks如有转载请注明出处