也許每個人出生的時候都以為這世界都是為他一個人而存在的,當他發現自己錯的時候,他便開始長大
少走了彎路,也就錯過了風景,無論如何,感謝經曆
更多關于Android安全的知識,可前往:https://blog.csdn.net/ananasorangey/category11955914.html
本篇文章轉載:https://www.4hou.com/index.php/posts/OqxG
導語:MITM攻擊是最廣泛,最有效的黑客攻擊類型之一。雖然無法完全保護您的網絡不會受到此類攻擊,但您可以確定您的資料保持受保護。
根據Domo 的“ Data Never Sleeps 6.0”報告,每天有超過250億位元組的資料被建立并上傳到網際網路上。這些資料很多都是保密的:個人資訊,銀行轉帳,檔案,憑證。在網絡端點之間安全地傳輸這些資料是很重要的。
TCP/IP是目前應用最廣泛的資料傳輸協定,具有很高的相容性。然而,TCP/IP漏洞對黑客來說是衆所周知的。TCP協定使用開放通道進行資料傳輸,攻擊者可以濫用此通道來通路、監聽和修改流量。
網絡犯罪分子可以使用多種類型的攻擊來攔截傳輸中的資料,這些攻擊的模式、目标和部署各不相同。在這裡,我們将讨論如何保護網絡免受中間人(MITM)攻擊。
在本文中,我們模拟了在未受保護的網絡上的這種攻擊。我們使用帶有兩個網絡接口卡的計算機來攔截流量,并使用Wireshark分析流量。我們還讨論了加密是否是保護資料免受MITM攻擊的有效方法。
什麼是MITM攻擊?
中間人攻擊(Man-in-the-MiddleAttack,簡稱“MITM攻擊”)是一種“間接”的入侵攻擊,這種攻擊模式是通過各種技術手段将受入侵者控制的一台計算機虛拟放置在網絡連接配接中的兩台通信計算機之間,這台計算機就稱為“中間人”。
MITM攻擊是一種由來已久的網絡入侵手段,并且當今仍然有着廣泛的發展空間,如SMB會話劫持、DNS欺騙等攻擊都是典型的MITM攻擊。簡而言之,所謂的MITM攻擊就是通過攔截正常的網絡通信資料,并進行資料篡改和嗅探,而通信的雙方卻毫不知情。是以很難檢測到這種攻擊,因為它不會直接影響網絡。
MITM攻擊的典型情況:
· 有一個由多台機器交換資料的網絡。
· 攻擊者想要攔截資料,甚至更改其中一台計算機通過網絡發送的資料。
· 攻擊者充當目标計算機和網絡之間的中介,攔截它們之間的流量。
預設連接配接和MITM連接配接之間的差別
MITM攻擊有多種形式。ARP欺騙是最普遍的一種,它基于一個位址解析協定(ARP)漏洞:該協定無法确認ARP請求和響應的真實性。ARP欺騙很常見,因為計算機網絡接口允許免費的ARP。
現在,讓我們模拟一個MITM攻擊,看看我們是否可以攔截流量并從目标擷取資料。
配置MITM攻擊
對于我們的MITM攻擊示例,我們将建立一個簡單的網絡,其中兩台計算機交換資料并在它們之間放置一個MITM裝置。我們将使用一台帶有兩個網絡接口卡的計算機作為MITM裝置。我們的網絡如下所示:
我們的示例網絡方案
以下是如何将标準Windows計算機轉換為MITM裝置:
1.将MITM裝置放置在要攔截其資料的裝置與網絡其餘部分之間。在我們的示例中,我們将第一台計算機連接配接到MITM裝置的一個以太網端口,并将第二台計算機插入同一裝置上的第二個以太網端口。
2.在MITM裝置上橋接這些以太網連接配接。預設情況下,Windows可以執行此操作。隻需轉到設定-以太網-網絡和共享中心-更改擴充卡選項。
建立MITM裝置-步驟1。
建立MITM裝置-步驟2。
3.選擇具有要橋接的連接配接的網絡接口,右鍵單擊它們,然後選擇“橋接連接配接”。
建立MITM裝置-步驟3。
建立網橋後,我們的中間人攻擊就可以使用了。目标計算機将連接配接到網絡,而不會發出有關流量被攔截、掃描或更改的警報。
現在我們可以攔截目标的流量。讓我們看看能否恢複“它發送的資料”。
使用Wireshark分析網絡流量
有很多分析流量的工具:
· Wireshark
· tcpdump
· Kismet
· Cain & Abel
在我們的例子中,我們将使用Wireshark。它是最流行的協定分析程式之一,具有強大的網絡診斷功能。Wireshark配備了功能強大的過濾器系統和使用者友好的界面,可與各種類型的網絡協定配合使用。此外,Wireshark可以截取流媒體視訊和圖像,與SIP,RTCP,SRTP和其他語音協定配合使用,并節省語音流量。
在其監視模式下,Wireshark允許您将所有流量轉儲到一個檔案中,并通過應用不同的過濾器對其進行分析或解密。
為了開始使用Wireshark,我們必須選擇要攔截其流量的接口。
啟動Wireshark
讓我們選擇連接配接到第一台計算機的接口并分析傳入的資料。運作嗅探器後,我們可以輸入目标計算機的IP位址和TCP資料包類型:
ip.host==10.100.5.149 && tcp 現在,我們可以偵聽來自第一台計算機的流量了。
為了模拟MITM攻擊,我們在第一台計算機上生成了一個秘密檔案。現在,我們将這個未加密的檔案通過不受保護的通道發送到第二台計算機。
未加密資料
我們已經在第二台計算機上成功接收了此檔案,現在我們可以檢視它的資料。
截獲的資料
同時,我們的MITM裝置攔截了目标計算機之間的流量并進行了複制。
現在我們可以檢查截獲的TCP資料包中的資料,并将其與第二台計算機上的資料進行比較。
比較資料
如您所見,在我們的場景中,不受保護的資料最終落入了攻擊者的手中。現在讓我們看看加密是否有助于減輕這種威脅。
通過加密保護資料
防止中間人攻擊的最流行方法是對通信進行加密。它的工作原理如下:當伺服器傳輸資料時,它通過提供數字證書來向客戶機辨別自己。然後,在用戶端和伺服器之間建立加密的通信通道。
有兩種流行的加密用戶端或伺服器資料的方法:
1.對稱加密,是一種使用一個加密密鑰對消息進行加密和解密的系統。密鑰成為通信雙方之間的共享秘密。
這種保護方法的主要優點是加密速度快。缺點是需要一個安全通道在所有通信參與者之間分發密鑰。如果黑客截獲了密鑰,他們可以輕松地解密傳輸的資料。
對稱加密是一種古老而廣泛使用的加密資料的方法。例如,美國政府有義務使用進階加密标準(AES)對通信進行加密。AES是一種對稱塊加密算法。
2.非對稱加密,使用公共和專用加密密鑰來保護傳輸的資料。公鑰是每個人都知道的。它通過開放的通信通道傳輸,并用于加密資料。私鑰僅對于消息接收者是已知的,并用于解密該資料。
這種加密類型允許通過開放通道交換密鑰。隻有私有密鑰必須由其所有者安全地存儲。一方面,非對稱加密比對稱加密更可靠。另一方面,加密過程需要更多的計算和時間。當需要加密和解密資料并且不追求過程的速度時,此方法比較适用。
非對稱加密用于具有HTTPS支援,銀行系統,信使和其他服務的網站對資料進行加密。甚至為加密貨币提供支援的流行區塊鍊技術也使用基于非對稱加密的電子簽名來驗證交易。
3.混合加密是對稱加密和非對稱加密方法的結合版。通過這種加密,可以使用單個密鑰通過對稱加密對資料進行加密。然後使用非對稱加密對該密鑰進行加密,并與資料一起發送。
這樣,您既可以擁有對稱方法的加密速度,又可以擁有非對稱方法的可靠性。但是,這種類型的加密仍然不是完美的。例如,它容易受到自适應選擇密文攻擊。
TLS和PGP協定是基于混合加密。
在加密通信中,傳輸級加密協定確定了受保護的用戶端及伺服器資料交換。該協定有兩種版本:
· 安全套接字層(SSL)-舊版本
· 傳輸層安全性(TLS)–較新的
SSL不如新的TLS安全。這兩種協定都使用非對稱加密來驗證通信方的身份,對稱加密用于確定資料交換的機密性。此外,這些加密協定通過消息認證碼確定消息的完整性。這些保護措施允許TLS/SSL在沒有加密密鑰的情況下不能竊聽或通路流量。
現在我們已經介紹了基本的加密方法。讓我們用TLS協定加密一段資料,看看它是否能提供可靠的保護來抵禦MITM攻擊。
當我們重新建立本文前面部分所述的攻擊時,我們的MITM裝置仍然能夠截獲在兩台目标計算機之間傳輸的TCP包。但現在截獲的資料用TLS協定加密:
加密資料的内容
如您所見,加密的資料包看起來像是符号的混亂集合。如果攻擊者截獲這些資料包,他們将幾乎沒有機會破譯加密資料。即使攻擊成功,被截獲的資料對攻擊者也沒有任何用處,是以不會受到威脅。
結論
MITM攻擊是最廣泛,最有效的黑客攻擊類型之一。雖然無法完全保護您的網絡不會受到此類攻擊,但您可以確定您的資料保持受保護。
加密通信是任何網絡安全項目的重要組成部分。這是最可靠的方法,即使攻擊者可以攔截,也可以確定跨網絡傳輸的資料受到保護。
你以為你有很多路可以選擇,其實你隻有一條路可以走