解析中間人攻擊原理

曹剛

解析中間人攻擊原理

曹剛

中間人攻擊（Man-in-the-MiddleAttack，簡稱“MITM攻擊”）是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間，這臺計算機就稱為“中間人”。

中間人攻擊常見的兩種方法：ARP欺騙、DNS欺騙

1.DNS欺騙

目標將其DNS請求發送到攻擊者這里，然后攻擊者偽造DNS響應，將正確的IP地址替換為其他IP，之后你就登陸了這個攻擊者指定的IP，而攻擊者早就在這個IP中安排好了一個偽造的網站如某銀行網站，從而騙取用戶輸入他們想得到的信息，如銀行賬號及密碼等，這可以看作一種網絡釣魚攻擊的一種方式。對于個人用戶來說，要防范DNS劫持應該注意不點擊不明的連接、不去來歷不明的網站、不要在小網站進行網上交易，最重要的一點是記清你想去網站的域名，當然，你還可以把你常去的一些涉及到機密信息提交的網站的IP地址記下來，需要時直接輸入IP地址登錄。

2.ARP欺騙

在實現TCP/IP協議的網絡環境下，一個ip包走到哪里，要怎么走是靠路由表定義，但是，當ip包到達該網絡后，哪臺機器響應這個ip包卻是靠該ip包中所包含的硬件mac地址來識別。也就是說，只有機器的硬件mac地址和該ip包中的硬件mac地址相同的機器才會應答這個ip包，因為在網絡中，每一臺主機都會有發送ip包的時候，所以，在每臺主機的內存中，都有一個arp-->硬件mac的轉換表。通常是動態的轉換表（該arp表可以手工添加靜態條目）。也就是說，該對應表會被主機在一定的時間間隔后刷新。這個時間間隔就是ARP高速緩存的超時時間。通常主機在發送一個ip包之前，它要到該轉換表中尋找和ip包對應的硬件mac地址，如果沒有找到，該主機就發送一個ARP廣播包，于是，主機刷新自己的ARP緩存。然后發出該ip包。

防范MITM攻擊的常用方法

1.將一些機密信息進行加密后再傳輸，這樣即使被“中間人”截取也難以破解。

2.通過設備或IP異常檢測。如用戶以前從未使用某個設備或IP訪問系統。

3.通過設備或IP頻率檢測：如單一的設備或IP同時訪問大量的用戶帳號。

3.進行帶外認證，具體過程是：系統進行實時的自動電話回叫，將二次PIN碼發送至SMS（短信網關），短信網關再轉發給用戶，用戶收到后，再將二次PIN碼發送到短信網關，以確認是否是真的用戶。