什么是中间人攻击？

中间人攻击（通常缩写为 MitM 或 MiM）是一种会话劫持网络攻击。黑客拦截以数字方式共享的信息，通常是作为窃听者或冒充他人。这种类型的攻击极其危险，因为它可能导致多种风险，例如信息被盗或虚假通信，这些通常很难被发现，因为这种情况对合法用户来说似乎完全正常。

本文将涵盖您需要了解的有关中间人攻击的所有信息，包括：

什么是中间人攻击？
中间人攻击如何运作？
中间人攻击有哪些不同类型？
中间人攻击的潜在风险是什么？
中间人攻击是如何演变的？
中间人攻击的真实例子有哪些？
如何防止中间人攻击？

什么是中间人攻击？

当第三方在合法参与者不知道该拦截的情况下拦截数字对话时，就会发生中间人攻击。这种对话可以发生在两个人类用户、一个人类用户和一个计算机系统或两个计算机系统之间。

在任何这些情况下，攻击者可能只是窃听对话以获取信息（想想登录凭据、私人帐户信息等），或者他们可能冒充其他用户来操纵对话。在后一种情况下，攻击者可能会发送虚假信息或共享可能导致系统崩溃或为其他网络攻击打开大门的恶意链接。通常情况下，合法用户并不知道他们实际上是在与非法第三方通信，直到损害已经造成之后很久。

中间人攻击是会话劫持的一个例子。其他类型的会话劫持攻击包括跨站点脚本、会话侧劫持、会话固定和暴力攻击。

中间人攻击如何运作？

执行中间人攻击需要黑客获得对用户连接的访问权限。最常见的方法之一是创建一个公共 wifi 热点，附近的任何人都可以加入，不需要密码。一旦用户加入这个网络，黑客就可以访问他们所有的数字通信，甚至可以记录击键，充当中间人。

公共 wifi 示例是发起中间人攻击的最常见和最简单的方法，但这不是唯一的方法。其他常见的方法包括：

将用户发送到虚假网站：黑客可以通过 IP 欺骗或 DNS 欺骗将用户发送到虚假网站而不是他们的预期目的地。 IP 欺骗发生在黑客更改 IP 地址中的数据包标头时，而 DNS 欺骗发生在黑客获得对 DNS 服务器的访问权限并更改网站的 DNS 记录时。在任何一种情况下，用户最终都会进入黑客拥有的虚假网站（他们可以在那里捕获所有信息），尽管它看起来完全真实。
重新路由数据传输：黑客可以通过参与 ARP 欺骗来重新路由通信的目的地。当黑客将他们的 MAC 地址连接到属于参与通信的合法用户之一的 IP 地址时，就会发生这种情况。一旦他们建立连接，黑客就可以接收任何用于合法用户 IP 地址的数据。

在某些情况下，通信可能会公开暴露，但在数据被加密的情况下，中间人攻击还涉及另一个步骤，使黑客可以读取该信息。黑客可以尝试通过以下方法解密任何加密信息：

SSL 劫持：黑客伪造身份验证密钥以建立看似合法、安全的会话。然而，由于黑客拥有这些密钥，他们实际上可以控制整个对话。
SSL BEAST：黑客瞄准 SSL 中的一个漏洞，在用户的设备上安装恶意软件，该恶意软件可以拦截旨在保持数字通信私密性和安全性的加密 cookie。
SSL 剥离：黑客可以将更安全的 HTTPS 连接变成安全性较低的 HTTP 连接，从而从 Web 会话中删除加密并暴露这些会话期间的所有通信。

中间人攻击有哪些不同类型？

中间人袭击有多种类型，每一种都可能对受害者造成不同的后果。中间人攻击的常见类型包括：

窃听以获取信息

黑客可以在任何时间段内窥探对话，以捕获他们将在以后使用的信息。他们不一定需要以任何方式改变通信，但如果他们能够访问共享的详细信息，他们就可以随时了解机密信息或获取登录凭据以供使用。

改变通讯方式

黑客可以使用 SSL 劫持等技术伪装成另一个用户来改变通信。例如，假设爱丽丝和鲍勃认为他们正在相互交流。在那种情况下，黑客可能会坐在对话的中间并更改彼此发送的消息。这种方法可用于发送虚假信息、共享恶意链接甚至拦截重要细节，例如用户发送银行账户和路由号码进行存款。

将用户引导至虚假网站

黑客可以将用户发送到与他们的预期目的地完全相同的虚假网站（一个常见的例子是通过网络钓鱼尝试）。此设置允许他们捕获用户为合法网站提交的任何信息，例如登录凭据或帐户详细信息。反过来，黑客可以使用此信息冒充实际网站上的用户来访问财务信息、更改详细信息，甚至发送虚假消息。

中间人攻击的潜在风险是什么？

中间人攻击会导致各种负面后果。事实上，中间人攻击通常是黑客发动更大、更有影响力攻击的垫脚石。考虑到这一点，中间人攻击的一些最大潜在风险包括：

欺诈交易

中间人攻击可能导致欺诈交易，通过窃听以收集登录和帐户信息或通过重新路由转账。大多数情况下，这适用于直接来自银行或通过信用卡付款的金融交易。

被盗的机密信息

捕获用户的登录凭据，将其发送到虚假网站，甚至只是窃听电子邮件都可能导致机密信息被盗。对于保护知识产权或收集客户健康记录或社会安全号码等敏感数据的大型组织而言，这种后果尤其令人担忧。随着越来越多的隐私立法的出现，要求各种企业保护他们处理的有关客户的信息，这也是一个问题。

访问其他系统

通过中间人攻击窃取用户的登录凭据还可以让黑客访问任意数量的其他系统。这意味着即使只有一个系统容易受到攻击，也可能导致其他更安全的系统更容易受到攻击。总的来说，这种情况需要组织的安全团队确保没有薄弱环节，无论任何给定的连接点看起来多么微不足道。

通过恶意软件进行广泛攻击

黑客可以使用中间人攻击与用户共享恶意软件。反过来，这种恶意软件可能导致广泛的攻击，例如破坏整个系统或提供对信息或系统的持续访问以执行长期攻击的攻击。

中间人攻击如何演变？

两种趋势导致了中间人攻击的演变，并因此增加了组织的风险。

首先是移动和分布式工作环境的兴起，这最终意味着更多的人通过公共 wifi 网络连接（用于个人和商业用途）。这种情况越常见，黑客通过这些不安全的连接获得访问权限的机会就越多。

其次，对于未来的组织来说，最令人担忧的是物联网 (IoT) 设备和机器身份的增加。 IoT 设备不仅需要不同类型的安全性，而且还会创建更多需要身份验证的连接点和身份。如果没有适当的保护，这些机器会为黑客创造各种访问点，其中许多看起来是无辜的（即 HVAC 单元）。无论它们看起来多么平凡，所有这些机器都需要强大的安全性，例如通过加密和定期更新来确保它们遵守最新的安全协议，以避免使它们容易受到中间人攻击。

中间人攻击的真实例子有哪些？

不幸的是，中间人攻击非常普遍。此类攻击的一些最近最著名的例子包括：

欧洲的公司银行账户盗窃案

2015 年，欧洲当局逮捕了 49 名嫌疑人，他们涉嫌使用中间人技术在整个欧洲实施了一系列银行账户盗窃案。该组织通过获取公司电子邮件帐户的访问权限、监控通信以监视付款请求，然后将这些交易路由到他们自己的帐户，从欧洲公司窃取了大约 600 万欧元。这种攻击涉及网络钓鱼尝试以及建立旨在看起来真实的虚假网站。

手机银行应用程序的有缺陷的证书使用

2017 年，研究人员发现主要银行（包括汇丰银行、NatWest、Co-op、Santander 和 Allied Irish Bank）的移动应用程序中使用的证书固定技术存在缺陷。该缺陷意味着与合法用户位于同一网络上的黑客可以通过未正确验证应用程序的主机名来访问用户名、密码和 PIN 等登录凭据，而不会被检测到。

通过这种类型的访问，黑客可以执行中间人攻击来查看和收集信息，代表合法用户采取行动，甚至发起应用程序内网络钓鱼攻击。有趣的是，在这种情况下提供访问的弱点源于处理证书的管理不当的过程，这些过程实际上是为了提高安全性。

Equifax 域安全故障

2017 年，美国最大的信用报告机构之一 Equifax 成为中间人攻击的受害者，该攻击通过不安全的域连接导致超过 1 亿消费者的个人身份信用信息被盗。攻击始于 Equifax 未能修补其使用的开发框架中的漏洞，该漏洞允许黑客将恶意代码嵌入到 HTTP 请求中。从那里，黑客能够访问内部系统并窃听用户活动以收集数月的各种信息。