跳转到主要内容

中间人攻击

本文约需 2 分钟阅读

中间人攻击 (Man-in-the-Middle Attack, MITM) 是指攻击者介入正在通信的两方之间,窃听并篡改通信内容的攻击手法。由于攻击者向双方都伪装成正规的通信对象,因此受害者很难察觉自己正遭受攻击。它被滥用于窃取密码和会话信息,未经加密的通信尤其危险。

现场使用案例

“一名员工在出差时使用酒店 Wi-Fi 而未连接公司 VPN 查看邮件,会话 Cookie 因中间人攻击被窃取。攻击者利用该会话访问了公司内部协同办公系统,于是我们使该会话失效并执行了密码重置。”

中间人攻击的流程

用户
攻击者 (窃听、篡改)
正规服务器

攻击手法

在公共 Wi-Fi 上进行 ARP 欺骗、 DNS 欺骗、设置伪造的 Wi-Fi 接入点等是代表性手法。在未使用 HTTPS 的通信中,登录信息存在被以明文形式截获的危险。在 SSL 剥离攻击中,会将 HTTPS 连接降级为 HTTP 以截获通信。网络攻击防御书籍 (Amazon)可深入学习。

具体的受害场景

一个常见的误解是“只要是 HTTPS 的网站,中间人攻击就不可能发生”。实际上,企业代理服务器解密并检查 SSL/TLS 通信的“SSL 检查”就是一种合法的中间人攻击。此外,连接咖啡馆的免费 Wi-Fi 时,如果攻击者设置了同名的伪造接入点,用户会在毫无察觉的情况下连接到伪造的 Wi-Fi,所有通信都会被截获。在网上银行登录信息被截获的案例中,也曾报告过在数分钟内即被执行非法转账的情况。

防御对策

基本对策是始终确认 HTTPS 连接,并在公共 Wi-Fi 上使用VPN。除了使用强随机密码外,如果设置了两步验证,即使密码被截获也能防止非法登录。不忽视浏览器的证书警告也很重要。VPN 与隐私保护书籍 (Amazon)也可作为参考。

相关术语

这篇文章对您有帮助吗?

XHatena