หลักการโจมตี

การโจมตีมักจะเริ่มต้นด้วยการดักฟังช่องทางการสื่อสารและจบลงด้วยการที่ cryptanalyst พยายามแทนที่ข้อความที่ถูกดักฟังและดึงข้อมูลออกมา ข้อมูลที่เป็นประโยชน์ให้เปลี่ยนเส้นทางไปยังแหล่งข้อมูลภายนอก

สมมติว่าวัตถุ A วางแผนที่จะส่งข้อมูลบางอย่างไปยังวัตถุ B Object C มีความรู้เกี่ยวกับโครงสร้างและคุณสมบัติของวิธีการส่งข้อมูลที่ใช้ ตลอดจนข้อเท็จจริงของการส่งข้อมูลจริงตามแผนที่ C วางแผนจะดักจับ ในการโจมตี C “ปรากฏ” กับวัตถุ A เป็น B และวัตถุ B เป็น A วัตถุ A เข้าใจผิดว่ากำลังส่งข้อมูลไปยัง B จึงส่งไปยังวัตถุ C วัตถุ C เมื่อได้รับข้อมูลแล้ว และดำเนินการบางอย่างด้วย (เช่น คัดลอกหรือแก้ไขเพื่อวัตถุประสงค์ของตนเอง) ส่งต่อข้อมูลไปยังผู้รับเอง - B; ในทางกลับกัน วัตถุ B เชื่อว่าข้อมูลได้รับโดยตรงจาก A

ตัวอย่างการโจมตี

การแทรกโค้ดที่เป็นอันตราย

การโจมตีแบบแทรกกลางช่วยให้นักเข้ารหัสสามารถแทรกโค้ดของเขาเข้าไปได้ อีเมล, คำสั่ง SQL และหน้าเว็บ (เช่น อนุญาตให้มีการแทรก SQL, การแทรก HTML/สคริปต์ หรือการโจมตี XSS) และแม้แต่แก้ไขไบนารีที่ผู้ใช้อัปโหลดเพื่อให้สามารถเข้าถึง บัญชีผู้ใช้หรือเปลี่ยนพฤติกรรมของโปรแกรมที่ผู้ใช้ดาวน์โหลดจากอินเทอร์เน็ต

ดาวน์เกรดการโจมตี

คำว่า “การโจมตีแบบดาวน์เกรด” หมายถึงการโจมตีที่นักวิเคราะห์การเข้ารหัสบังคับให้ผู้ใช้ใช้ฟังก์ชันที่มีความปลอดภัยน้อยกว่า ซึ่งเป็นโปรโตคอลที่ยังคงรองรับด้วยเหตุผลด้านความเข้ากันได้ การโจมตีประเภทนี้สามารถทำได้บนโปรโตคอล SSH, IPsec และ PPTP

SSH V1 แทน SSH V2

ผู้โจมตีอาจพยายามเปลี่ยนพารามิเตอร์การเชื่อมต่อระหว่างเซิร์ฟเวอร์และไคลเอนต์เมื่อมีการสร้างการเชื่อมต่อระหว่างพวกเขา จากการพูดคุยที่งาน Blackhat Conference Europe 2003 นักวิเคราะห์การเข้ารหัสสามารถ "บังคับ" ไคลเอ็นต์ให้เริ่มเซสชัน SSH1 แทนที่จะเป็น SSH2 โดยเปลี่ยนหมายเลขเวอร์ชัน "1.99" สำหรับเซสชัน SSH เป็น "1.51" ซึ่งหมายถึงการใช้ SSH V1 . โปรโตคอล SSH-1 มีช่องโหว่ที่นักวิเคราะห์การเข้ารหัสสามารถโจมตีได้

ไอพีวินาที

ในสถานการณ์การโจมตีนี้ cryptanalyst หลอกลวงเหยื่อของเขาโดยคิดว่าเซสชัน IPsec ไม่สามารถเริ่มต้นที่ปลายอีกด้าน (เซิร์ฟเวอร์) ซึ่งส่งผลให้ข้อความถูกส่งอย่างชัดเจนหากเครื่องโฮสต์ทำงานในโหมดย้อนกลับ

PPTP

ในขั้นตอนการเจรจาต่อรองพารามิเตอร์เซสชัน PPTP ผู้โจมตีสามารถบังคับให้เหยื่อใช้การรับรองความถูกต้อง PAP ที่มีความปลอดภัยน้อยกว่า MSCHAP V1 (นั่นคือ "ย้อนกลับ" จาก MSCHAP V2 เป็นเวอร์ชัน 1) หรือไม่ใช้การเข้ารหัสเลย

ผู้โจมตีสามารถบังคับให้เหยื่อทำซ้ำขั้นตอนการเจรจาต่อรองพารามิเตอร์เซสชัน PPTP (ส่งแพ็กเก็ต Terminate-Ack) ขโมยรหัสผ่านจากอุโมงค์ที่มีอยู่ และทำการโจมตีซ้ำ

การเข้ารหัสจะช่วยได้ไหม?

ลองพิจารณากรณีของธุรกรรม HTTP มาตรฐาน ในกรณีนี้ ผู้โจมตีสามารถแยกการเชื่อมต่อ TCP ดั้งเดิมออกเป็นสองการเชื่อมต่อใหม่ได้อย่างง่ายดาย: การเชื่อมต่อระหว่างเขากับไคลเอนต์ และอีกการเชื่อมต่อระหว่างเขากับเซิร์ฟเวอร์ สิ่งนี้ค่อนข้างง่ายที่จะทำ เนื่องจากแทบไม่มีการเชื่อมต่อระหว่างไคลเอนต์และเซิร์ฟเวอร์โดยตรง และในกรณีส่วนใหญ่พวกเขาจะเชื่อมต่อผ่านเซิร์ฟเวอร์ระดับกลางจำนวนหนึ่ง การโจมตี MITM สามารถดำเนินการได้บนเซิร์ฟเวอร์เหล่านี้

อย่างไรก็ตาม หากไคลเอนต์และเซิร์ฟเวอร์สื่อสารโดยใช้ HTTPS ซึ่งเป็นโปรโตคอลที่รองรับการเข้ารหัส การโจมตีแบบแทรกกลางก็สามารถดำเนินการได้เช่นกัน การเชื่อมต่อประเภทนี้ใช้ TLS หรือ SSL เพื่อเข้ารหัสคำขอ ซึ่งดูเหมือนว่าจะทำให้ช่องได้รับการปกป้องจากการดมกลิ่นและการโจมตี MITM ผู้โจมตีสามารถสร้างเซสชัน SSL สองเซสชันแยกกันสำหรับการเชื่อมต่อ TCP แต่ละรายการ ไคลเอนต์สร้างการเชื่อมต่อ SSL กับผู้โจมตี ซึ่งจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ในทางกลับกัน ในกรณีเช่นนี้ เบราว์เซอร์มักจะเตือนว่าใบรับรองไม่ได้ลงนามโดยผู้ออกใบรับรองที่เชื่อถือได้ แต่ผู้ใช้โดยเฉลี่ยจะเพิกเฉยต่อคำเตือนนี้ได้อย่างง่ายดาย นอกจากนี้ ผู้โจมตีอาจมีใบรับรองที่ลงนามโดยหน่วยงานออกใบรับรอง ดังนั้นโปรโตคอล HTTPS จึงไม่ถือว่าปลอดภัยจากการโจมตี MITM

การตรวจจับการโจมตี MITM

หากต้องการตรวจจับการโจมตีแบบแทรกกลาง คุณต้องวิเคราะห์ การรับส่งข้อมูลเครือข่าย- ตัวอย่างเช่น หากต้องการตรวจจับการโจมตี SSL คุณควรใส่ใจกับพารามิเตอร์ต่อไปนี้:

• ที่อยู่ IP ของเซิร์ฟเวอร์
• เซิร์ฟเวอร์ DNS
• X.509 - ใบรับรองเซิร์ฟเวอร์
  • ใบรับรองลงนามด้วยตนเองหรือไม่
  • ใบรับรองลงนามแล้วหรือยัง?
  • ใบรับรองถูกเพิกถอนหรือไม่?
  • ใบรับรองมีการเปลี่ยนแปลงเมื่อเร็วๆ นี้หรือไม่
  • ไคลเอนต์อื่น ๆ บนอินเทอร์เน็ตได้รับใบรับรองเดียวกันหรือไม่

การใช้งานการโจมตี MITM

โปรแกรมที่ระบุไว้สามารถใช้เพื่อดำเนินการโจมตีแบบแทรกกลางได้ เช่นเดียวกับการตรวจจับและทดสอบระบบเพื่อหาช่องโหว่

ตัวอย่างในวรรณคดี

ตัวอย่างวรรณกรรมที่ชัดเจนสามารถเห็นได้ใน "The Tale of Tsar Saltan" โดย A. S. Pushkin ซึ่งมี "คนตรงกลาง" สามคนปรากฏขึ้น: ช่างทอผ้า คนทำอาหาร และ Babarikha พวกเขาเป็นผู้แทนที่จดหมายที่ส่งถึงซาร์และจดหมายตอบกลับของเขา

ดูเพิ่มเติม

• Aspidistra (อังกฤษ) - เครื่องส่งวิทยุของอังกฤษที่ใช้ในระหว่าง "การรุกราน" ของสงครามโลกครั้งที่สอง ซึ่งเป็นรูปแบบหนึ่งของการโจมตีของ MITM
• The Babington Plot (อังกฤษ) - การสมคบคิดต่อต้าน Elizabeth I ซึ่งในระหว่างนั้น Walsingham สกัดกั้นการติดต่อ

การโจมตีอื่นๆ

• “Man in the Browser” คือการโจมตีประเภทหนึ่งที่ผู้โจมตีสามารถเปลี่ยนพารามิเตอร์ธุรกรรมได้ทันที และเปลี่ยนเพจที่โปร่งใสต่อเหยื่อโดยสิ้นเชิง
• การโจมตีแบบ Meet-in-the-middle เป็นการโจมตีแบบเข้ารหัสที่ใช้ประโยชน์จากการแลกเปลี่ยนระหว่างเวลาและความทรงจำ เช่นเดียวกับการโจมตีวันเกิด
• “ พลาดการโจมตีกลาง” - วิธีการที่มีประสิทธิภาพสิ่งที่เรียกว่าการเข้ารหัสเชิงอนุพันธ์ที่เป็นไปไม่ได้
• การโจมตีแบบรีเลย์เป็นอีกรูปแบบหนึ่งของการโจมตีแบบ MITM โดยอิงจากการส่งต่อข้อความที่ถูกดักฟังไปยังผู้รับที่ถูกต้อง แต่ไม่ใช่ไปยังผู้รับที่มีเจตนาส่งข้อความให้
• รูทคิทคือโปรแกรมที่ออกแบบมาเพื่อซ่อนร่องรอยการมีอยู่ของผู้โจมตี

วรรณกรรม

ลิงค์

มูลนิธิวิกิมีเดีย

2010.

ดูว่า "ชายที่อยู่ตรงกลาง" ในพจนานุกรมอื่น ๆ คืออะไร:

มีหลายวิธีในการบรรลุผลตามที่ต้องการเกือบทุกครั้ง นอกจากนี้ยังใช้กับฟิลด์ความปลอดภัยของข้อมูลด้วย บางครั้ง เพื่อให้บรรลุเป้าหมาย คุณสามารถใช้กำลังดุร้าย มองหาช่องโหว่และพัฒนาช่องโหว่ด้วยตนเอง หรือฟังสิ่งที่ส่งผ่านเครือข่าย นอกจากนี้ตัวเลือกสุดท้ายมักจะเหมาะสมที่สุด นั่นคือเหตุผลที่วันนี้เราจะพูดถึงเครื่องมือที่จะช่วยให้เราจับข้อมูลที่มีค่าสำหรับเราจากการรับส่งข้อมูลเครือข่ายโดยใช้การโจมตี MITM สำหรับสิ่งนี้

MITMf

เริ่มจากหนึ่งในผู้สมัครที่น่าสนใจที่สุดกันก่อน นี่เป็นกรอบการทำงานทั้งหมดสำหรับการโจมตีแบบแทรกกลางซึ่งสร้างขึ้นบนพื้นฐานของ sergio-proxy เพิ่งรวมอยู่ใน กาลี ลินุกซ์- สำหรับ การติดตั้งด้วยตนเองสิ่งที่คุณต้องทำคือโคลนพื้นที่เก็บข้อมูลและรันคำสั่งสองสามคำสั่ง:

# setup.sh # pip ติดตั้ง -r ข้อกำหนด txt

มีสถาปัตยกรรมที่สามารถขยายได้ผ่านปลั๊กอิน ในบรรดาสิ่งหลัก ๆ มีดังต่อไปนี้:

• การปลอมแปลง - อนุญาตให้คุณเปลี่ยนเส้นทางการรับส่งข้อมูลโดยใช้การปลอมแปลง ARP/DHCP, การเปลี่ยนเส้นทาง ICMP และแก้ไขคำขอ DNS
• Sniffer - ปลั๊กอินนี้ติดตามความพยายามในการเข้าสู่ระบบสำหรับโปรโตคอลต่างๆ
• BeEFAutorun - อนุญาตให้คุณเปิดโมดูล BeEF โดยอัตโนมัติตามประเภทของระบบปฏิบัติการและเบราว์เซอร์ไคลเอนต์
• AppCachePoison - ดำเนินการโจมตีพิษแคช
• SessionHijacking - แย่งชิงเซสชันและจัดเก็บคุกกี้ผลลัพธ์ไว้ในโปรไฟล์ Firefly
• BrowserProfiler - พยายามรับรายการปลั๊กอินที่เบราว์เซอร์ใช้
• FilePwn - อนุญาตให้คุณแทนที่ไฟล์ที่ส่งผ่าน HTTP โดยใช้ Backdoor Factory และ BDFProxy
• แทรก - แทรกเนื้อหาที่กำหนดเองลงในหน้า HTML
• jskeylogger - ฝังคีย์ล็อกเกอร์ JavaScript ลงในหน้าไคลเอนต์

หากฟังก์ชันนี้ดูเหมือนว่าไม่เพียงพอสำหรับคุณ คุณสามารถเพิ่มฟังก์ชันของตนเองได้ตลอดเวลาโดยการใช้ส่วนขยายที่เหมาะสม

สีโป๊วไรเดอร์

ยูทิลิตี้อื่นที่ควรค่าแก่การเอาใจใส่ จริงอยู่ แตกต่างจากเครื่องมืออื่นๆ ทั้งหมดที่พิจารณาในปัจจุบัน เนื่องจากมีความเชี่ยวชาญสูงมาก ตามที่ผู้เขียนโปรเจ็กต์กล่าวไว้ เขาได้รับแรงบันดาลใจในการสร้างยูทิลิตี้ดังกล่าวโดยข้อเท็จจริงที่ว่าในระหว่างการทดสอบการเจาะ ข้อมูลที่สำคัญที่สุดนั้นอยู่บนเซิร์ฟเวอร์ Linux/UNIX ซึ่งผู้ดูแลระบบเชื่อมต่อผ่าน SSH/Telnet/rlogin ยิ่งไปกว่านั้น ในกรณีส่วนใหญ่ การเข้าถึงเครื่องของผู้ดูแลระบบทำได้ง่ายกว่าเซิร์ฟเวอร์เป้าหมายมาก หลังจากเจาะเข้าไปในเครื่องของผู้ดูแลระบบแล้ว สิ่งที่เหลืออยู่คือต้องแน่ใจว่า PuTTY กำลังทำงานอยู่ และใช้เครื่องมือนี้เพื่อสร้างสะพานด้านหลังให้กับผู้โจมตี

ยูทิลิตี้นี้ไม่เพียงช่วยให้คุณบันทึก "การสื่อสาร" ระหว่างผู้ดูแลระบบและเท่านั้น เซิร์ฟเวอร์ระยะไกล(รวมถึงรหัสผ่าน) แต่ยังดำเนินการคำสั่งเชลล์ตามอำเภอใจภายในเซสชันที่กำหนด ยิ่งไปกว่านั้น ทั้งหมดนี้จะเกิดขึ้นอย่างโปร่งใสอย่างแน่นอนสำหรับผู้ใช้ (ผู้ดูแลระบบ) หากคุณสนใจในรายละเอียดด้านเทคนิค เช่น วิธีการนำ PuTTY ไปใช้ในกระบวนการ ฉันขอแนะนำให้คุณอ่านการนำเสนอของผู้เขียน

ยูทิลิตี้ค่อนข้างเก่าเกิดเมื่อแปดปีที่แล้ว มีไว้สำหรับเซสชันการโคลนโดยการขโมยคุกกี้ สำหรับการไฮแจ็กเซสชัน เขามีทักษะพื้นฐานในการตรวจจับโฮสต์ (ในกรณีที่เชื่อมต่อกับที่เปิด เครือข่ายไร้สายหรือฮับ) และดำเนินการพิษ ARP ปัญหาเดียวก็คือทุกวันนี้ ไม่เหมือนเมื่อแปดปีที่แล้ว บริษัทขนาดใหญ่เกือบทั้งหมด เช่น Yahoo หรือ Facebook ใช้การเข้ารหัส SSL ซึ่งทำให้เครื่องมือนี้ไร้ประโยชน์โดยสิ้นเชิง อย่างไรก็ตาม ยังมีทรัพยากรบนอินเทอร์เน็ตเพียงพอที่ไม่ใช้ SSL ดังนั้นจึงเร็วเกินไปที่จะตัดยูทิลิตี้นี้ออกไป ข้อดีของมันคือการรวมเข้ากับ Firefox โดยอัตโนมัติและสร้างโปรไฟล์แยกต่างหากสำหรับแต่ละเซสชันที่ถูกดักฟัง ซอร์สโค้ดมีอยู่ในที่เก็บ และคุณสามารถสร้างได้ด้วยตัวเองโดยใช้ลำดับคำสั่งต่อไปนี้:

# apt-get ติดตั้ง build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g ++ $ (wx-config --cppflags --libs) -lpcap -o sessionthief * .cpp # setcap cap_net_raw, cap_net_admin = eip เซสชั่นขโมย

พร็อกซีFuzz

ProzyFuzz ไม่มีส่วนเกี่ยวข้องโดยตรงกับการโจมตี MITM ตามที่คุณสามารถเดาได้จากชื่อ เครื่องมือนี้ได้รับการออกแบบมาให้คลุมเครือ นี่คือ fuzzer เครือข่ายขนาดเล็กที่ไม่ได้กำหนดไว้ ซึ่งใช้งานใน Python ซึ่งจะสุ่มเปลี่ยนเนื้อหาของแพ็กเก็ตการรับส่งข้อมูลเครือข่าย รองรับ โปรโตคอล TCPและยูดีพี คุณสามารถกำหนดค่าให้ฝอยเพียงด้านเดียวได้ ซึ่งจะมีประโยชน์เมื่อคุณต้องการทดสอบแอปพลิเคชันเครือข่าย (หรือโปรโตคอล) บางอย่างอย่างรวดเร็ว และพัฒนา PoC ตัวอย่างการใช้งาน:

Python พร็อกซีฟัซ -l -ร -พี

รายการตัวเลือกประกอบด้วย:

• w - ระบุจำนวนคำขอที่ส่งก่อนที่จะเริ่มการฟัซซี่
• c - คลุมเครือเฉพาะลูกค้า (ไม่เช่นนั้นทั้งสองฝ่าย)
• s - ฟัซซี่เฉพาะเซิร์ฟเวอร์ (ไม่เช่นนั้นทั้งสองด้าน)
• คุณ - โปรโตคอล UDP (มิฉะนั้นจะใช้ TCP)

คนกลาง

ยูทิลิตี้สำหรับการโจมตี MITM บนโปรโตคอลต่างๆ ที่นำเสนอในการประชุม DEF CON เวอร์ชันอัลฟ่ารองรับโปรโตคอล HTTP และมีปลั๊กอินเจ๋งๆ สามปลั๊กอินในคลังแสง:

• Plugin-beef.py - แทรก Browser Exploitation Framework (BeEF) ลงในคำขอ HTTP ใด ๆ ที่มาจากเครือข่ายท้องถิ่น
• Plugin-metasploit.py - ฝัง IFRAME ลงในคำขอที่ไม่ได้เข้ารหัส (HTTP) ซึ่งโหลดช่องโหว่ของเบราว์เซอร์จาก Metasploit
• Plugin-keylogger.py - ฝังตัวจัดการเหตุการณ์ JavaScript onKeyPress สำหรับช่องข้อความทั้งหมดที่จะถูกส่งผ่าน HTTPS ทำให้เบราว์เซอร์ส่งรหัสผ่านที่ผู้ใช้ป้อนทีละอักขระไปยังเซิร์ฟเวอร์ของผู้โจมตีก่อนที่จะส่งแบบฟอร์มทั้งหมด

Middler ไม่เพียงแต่วิเคราะห์การรับส่งข้อมูลเครือข่ายโดยอัตโนมัติและค้นหาคุกกี้ในนั้น แต่ยังร้องขอคุกกี้จากไคลเอนต์อย่างอิสระด้วย นั่นคือกระบวนการจะเป็นแบบอัตโนมัติสูงสุด โปรแกรมรับประกันการรวบรวมบัญชีที่ไม่มีการป้องกันทั้งหมด เครือข่ายคอมพิวเตอร์(หรือฮอตสปอตสาธารณะ) ที่สามารถรับส่งข้อมูลได้ เพื่อให้โปรแกรมทำงานได้อย่างถูกต้อง จะต้องติดตั้งแพ็คเกจต่อไปนี้บนระบบ: Scapy, libpcap, readline, libdnet, python-netfilter น่าเสียดายที่พื้นที่เก็บข้อมูลไม่ได้รับการอัปเดตเป็นเวลานาน ดังนั้นคุณจะต้องเพิ่มฟังก์ชันการทำงานใหม่ด้วยตนเอง

ยูทิลิตี้คอนโซลที่ช่วยให้คุณสามารถตรวจสอบและแก้ไขการรับส่งข้อมูล HTTP แบบโต้ตอบได้ ด้วยทักษะดังกล่าว ยูทิลิตี้นี้จึงไม่เพียงแต่ถูกใช้โดยเพนเทสเตอร์/แฮกเกอร์เท่านั้น แต่ยังรวมถึงนักพัฒนาทั่วไปที่ใช้มันด้วย เช่น เพื่อดีบักแอปพลิเคชันบนเว็บ ด้วยความช่วยเหลือคุณสามารถรับได้ ข้อมูลรายละเอียดเกี่ยวกับคำขอที่แอปพลิเคชันทำและคำตอบที่ได้รับ นอกจากนี้ mitmproxy ยังสามารถช่วยในการศึกษาลักษณะเฉพาะของการทำงานของ REST API บางตัวได้ โดยเฉพาะที่มีการจัดทำเอกสารไว้ไม่ดี

การติดตั้งนั้นง่ายมาก:

$ sudo aptitude ติดตั้ง mitmproxy

เป็นที่น่าสังเกตว่า mitmproxy ยังช่วยให้คุณสามารถสกัดกั้นการรับส่งข้อมูล HTTPS โดยการออกใบรับรองที่ลงนามเองให้กับไคลเอนต์ ตัวอย่างที่ดีคุณสามารถเรียนรู้วิธีกำหนดค่าการสกัดกั้นและการแก้ไขการรับส่งข้อมูลได้

ดมกลิ่น

โดยทั่วไปยูทิลิตี้นี้เป็นหนึ่งในสิ่งแรกที่ควรคำนึงถึงทันทีที่คุณได้ยิน
"การโจมตีของเอ็มไอทีเอ็ม" เครื่องมือนี้ค่อนข้างเก่า แต่ยังคงได้รับการอัปเดตอย่างต่อเนื่องซึ่งเป็นข่าวดี ไม่มีประโยชน์ที่จะพูดถึงรายละเอียดเกี่ยวกับความสามารถของมัน ตลอดระยะเวลา 14 ปีของการดำรงอยู่ มันถูกกล่าวถึงบนอินเทอร์เน็ตมากกว่าหนึ่งครั้ง ตัวอย่างเช่น ในคำแนะนำเช่นนี้:

หรือคำแนะนำจากเว็บไซต์ของเรา:

สุดท้าย..

ตามปกติเราไม่ได้ดูสาธารณูปโภคทั้งหมด แต่เฉพาะโครงการที่ได้รับความนิยมมากที่สุดเท่านั้น ยังมีโครงการที่ไม่ค่อยมีใครรู้จักอีกมากมายที่เราอาจพูดถึงสักวันหนึ่ง อย่างที่คุณเห็น ไม่มีเครื่องมือขาดแคลนสำหรับการโจมตี MITM และซึ่งไม่ได้เกิดขึ้นบ่อยนัก เครื่องมือเจ๋งๆ ตัวหนึ่งก็ถูกนำมาใช้กับ Windows ไม่มีอะไรจะพูดเกี่ยวกับระบบ nix - มีความหลากหลายทั้งหมด ดังนั้นฉันคิดว่าคุณสามารถหาเครื่องมือที่เหมาะสมสำหรับการโจรกรรมได้เสมอ
ข้อมูลรับรองของผู้อื่น อ๊ะนั่นคือเพื่อการทดสอบ

ในบทความนี้ เราจะพยายามทำความเข้าใจทฤษฎีการโจมตีแบบคนกลางและประเด็นเชิงปฏิบัติบางประการที่จะช่วยป้องกันการโจมตีประเภทนี้ สิ่งนี้จะช่วยให้เราเข้าใจความเสี่ยงที่การบุกรุกดังกล่าวก่อให้เกิดความเป็นส่วนตัวของเรา เนื่องจากการโจมตีของ MitM ทำให้เราสามารถก้าวก่ายการสื่อสารและดักฟังการสนทนาของเราได้

ทำความเข้าใจวิธีการทำงานของอินเทอร์เน็ต

เพื่อให้เข้าใจหลักการโจมตีแบบแทรกกลาง เราควรทำความเข้าใจก่อนว่าอินเทอร์เน็ตทำงานอย่างไร ประเด็นหลักของการโต้ตอบ: ไคลเอนต์ เราเตอร์ เซิร์ฟเวอร์ โปรโตคอลการสื่อสารที่พบบ่อยที่สุดระหว่างไคลเอนต์และเซิร์ฟเวอร์คือ Hypertext Transfer Protocol (HTTP) ท่องอินเทอร์เน็ตโดยใช้เบราว์เซอร์ อีเมล ข้อความโต้ตอบแบบทันที - ทั้งหมดนี้ทำได้ผ่าน HTTP

เมื่อคุณเข้ามา แถบที่อยู่เบราว์เซอร์ของคุณ ลูกค้า (คุณ) ส่งคำขอไปยังเซิร์ฟเวอร์เพื่อแสดงหน้าเว็บ แพ็กเก็ต (คำขอ HTTP GET) ถูกส่งผ่านเราเตอร์หลายตัวไปยังเซิร์ฟเวอร์ จากนั้นเซิร์ฟเวอร์จะตอบกลับด้วยหน้าเว็บซึ่งถูกส่งไปยังไคลเอนต์และแสดงบนจอภาพ ต้องส่งข้อความ HTTP ไปที่ เซฟโหมดเพื่อให้มั่นใจถึงการรักษาความลับและการไม่เปิดเผยตัวตน

รูปที่ 1. การโต้ตอบระหว่างไคลเอนต์และเซิร์ฟเวอร์

การรักษาความปลอดภัยโปรโตคอลการสื่อสาร

โปรโตคอลการสื่อสารที่ปลอดภัยต้องมีคุณสมบัติแต่ละอย่างต่อไปนี้:

1. ความเป็นส่วนตัว- เฉพาะผู้รับที่ต้องการเท่านั้นที่สามารถอ่านข้อความได้
2. ของแท้- ตัวตนของฝ่ายที่มีปฏิสัมพันธ์ได้รับการพิสูจน์แล้ว
3. ความซื่อสัตย์- การยืนยันว่าข้อความไม่ได้รับการแก้ไขระหว่างการขนส่ง

หากไม่ปฏิบัติตามกฎข้อใดข้อหนึ่งเหล่านี้ โปรโตคอลทั้งหมดจะถูกบุกรุก

การโจมตีแบบแทรกกลางผ่านโปรโตคอล HTTP

ผู้โจมตีสามารถทำการโจมตีแบบแทรกกลางได้อย่างง่ายดายโดยใช้เทคนิคที่เรียกว่าการปลอมแปลง ARP ใครก็ตามที่อยู่ในของคุณ เครือข่าย Wi-Fiอาจส่งแพ็กเก็ต ARP ปลอมแปลงให้คุณ ส่งผลให้คุณส่งการรับส่งข้อมูลทั้งหมดของคุณผ่านผู้โจมตีแทนที่จะเป็นเราเตอร์ของคุณโดยไม่รู้ตัว

หลังจากนี้ ผู้โจมตีจะสามารถควบคุมการรับส่งข้อมูลได้อย่างสมบูรณ์และสามารถตรวจสอบคำขอที่ส่งไปทั้งสองทิศทางได้

รูปที่ 2 รูปแบบการโจมตีแบบแทรกกลาง

เพื่อป้องกันการโจมตีดังกล่าว จึงได้สร้างโปรโตคอล HTTP เวอร์ชันที่ปลอดภัยขึ้น Transport Layer Security (TLS) และ Secure Socket Layer (SSL) รุ่นก่อนหน้าเป็นโปรโตคอลการเข้ารหัสที่ให้ความปลอดภัยสำหรับการส่งข้อมูลผ่านเครือข่าย ดังนั้นโปรโตคอลที่ปลอดภัยจะเรียกว่า HTTPS คุณสามารถดูวิธีการทำงานของโปรโตคอลที่ปลอดภัยได้โดยพิมพ์แถบที่อยู่ของเบราว์เซอร์ของคุณ (สังเกตตัว S ใน https)

การโจมตีแบบ Man-in-the-Middle บน SSL ที่ใช้งานไม่ดี

การใช้ SSL สมัยใหม่ อัลกอริธึมที่ดีการเข้ารหัส แต่ไม่สำคัญว่าจะมีการใช้งานไม่ถูกต้องหรือไม่ หากแฮกเกอร์สามารถสกัดกั้นคำขอได้ พวกเขาสามารถแก้ไขได้โดยการลบ "S" ออกจาก URL ที่ร้องขอ ดังนั้นจึงเป็นการข้าม SSL

การสกัดกั้นและการแก้ไขคำขอดังกล่าวสามารถสังเกตได้ ตัวอย่างเช่น หากคุณขอ https://login.yahoo.com/ และคำตอบคือ http://login.yahoo.com/ สิ่งนี้จะทำให้เกิดความสงสัย ในขณะที่เขียน การโจมตีนี้ใช้งานได้จริงกับบริการ อีเมลยาฮู.

รูปที่ 3 ขอสกัดกั้นและแก้ไข

เพื่อป้องกันการโจมตีดังกล่าว เซิร์ฟเวอร์สามารถใช้ HTTP Strict Transport Security (HSTS) ซึ่งเป็นกลไกที่เปิดใช้งานการเชื่อมต่อที่ปลอดภัยแบบบังคับผ่านโปรโตคอล HTTPS ในกรณีนี้ หากผู้โจมตีแก้ไขคำขอโดยลบ "S" ออกจาก URL เซิร์ฟเวอร์จะยังคงเปลี่ยนเส้นทางผู้ใช้ด้วยการเปลี่ยนเส้นทาง 302 ไปยังหน้าที่มีโปรโตคอลที่ปลอดภัย

รูปที่ 4 แผนภาพการทำงานของ HSTS

วิธีการปรับใช้ SSL นี้เสี่ยงต่อการโจมตีประเภทอื่น - ผู้โจมตีสร้างการเชื่อมต่อ SSL ไปยังเซิร์ฟเวอร์ แต่ใช้กลอุบายต่าง ๆ เพื่อบังคับให้ผู้ใช้ใช้ HTTP

รูปที่ 5 รูปแบบการโจมตี HSTS

เพื่อป้องกันการโจมตีดังกล่าว เบราว์เซอร์ที่ทันสมัยเช่น Chrome, Firefox และ Tor ตรวจสอบไซต์โดยใช้ HSTS และบังคับเชื่อมต่อกับไซต์เหล่านั้นจากฝั่งไคลเอ็นต์ผ่าน SSL ในกรณีนี้ ผู้โจมตีที่ดำเนินการโจมตีแบบแทรกกลางจะต้องสร้างการเชื่อมต่อ SSL กับเหยื่อ

รูปที่ 6 รูปแบบการโจมตีที่ผู้โจมตีสร้างการเชื่อมต่อ SSL กับเหยื่อ

เพื่อให้การเชื่อมต่อ SLL แก่ผู้ใช้ ผู้โจมตีจะต้องรู้วิธีทำหน้าที่เป็นเซิร์ฟเวอร์ มาทำความเข้าใจด้านเทคนิคของ SSL กันดีกว่า

ทำความเข้าใจเกี่ยวกับ SSL

จากมุมมองของแฮ็กเกอร์ การประนีประนอมโปรโตคอลการสื่อสารใดๆ ลงมาจนถึงการค้นหาจุดอ่อนระหว่างองค์ประกอบต่างๆ ที่ระบุไว้ข้างต้น (ความเป็นส่วนตัว ความถูกต้อง และความสมบูรณ์)

SSL ใช้อัลกอริธึมการเข้ารหัสแบบไม่สมมาตร ปัญหาเกี่ยวกับการเข้ารหัสแบบสมมาตรคือใช้คีย์เดียวกันในการเข้ารหัสและถอดรหัสข้อมูล วิธีการนี้ใช้ไม่ได้กับอินเทอร์เน็ตโปรโตคอล เนื่องจากผู้โจมตีสามารถติดตามคีย์นี้ได้

การเข้ารหัสแบบอสมมาตรประกอบด้วย 2 ปุ่มสำหรับแต่ละด้าน: กุญแจสาธารณะใช้สำหรับการเข้ารหัส และคีย์ส่วนตัวที่ใช้ในการถอดรหัสข้อมูล

รูปที่ 7 การทำงานของคีย์สาธารณะและคีย์ส่วนตัว

SSL มีคุณสมบัติสามประการที่จำเป็นสำหรับการสื่อสารที่ปลอดภัยอย่างไร

1. เนื่องจากการเข้ารหัสแบบอสมมาตรถูกใช้ในการเข้ารหัสข้อมูล SSL จึงมีการเชื่อมต่อส่วนตัว การเข้ารหัสนี้ไม่ใช่เรื่องง่ายที่จะทำลายและไม่ถูกตรวจจับ
2. เซิร์ฟเวอร์ยืนยันความถูกต้องโดยการส่งใบรับรอง SSL ที่ออกโดยผู้ออกใบรับรองซึ่งเป็นบุคคลที่สามที่เชื่อถือได้ให้กับลูกค้า

หากผู้โจมตีจัดการเพื่อให้ได้ใบรับรอง พวกเขาสามารถเปิดประตูสู่การโจมตีแบบแทรกกลางได้ ดังนั้นมันจะสร้างการเชื่อมต่อ 2 แบบ - กับเซิร์ฟเวอร์และกับเหยื่อ เซิร์ฟเวอร์ในกรณีนี้คิดว่าผู้โจมตีเป็นไคลเอนต์ธรรมดา และเหยื่อไม่มีวิธีระบุตัวผู้โจมตี เนื่องจากเขาได้ให้ใบรับรองที่พิสูจน์ว่าเขาคือเซิร์ฟเวอร์

ข้อความของคุณมาถึงและได้รับการเข้ารหัส แต่ข้อความเหล่านั้นถูกล่ามโซ่ผ่านคอมพิวเตอร์ของอาชญากรไซเบอร์ ซึ่งเขาสามารถควบคุมได้อย่างสมบูรณ์

รูปที่ 8 รูปแบบการโจมตีหากผู้โจมตีมีใบรับรอง

ไม่จำเป็นต้องปลอมแปลงใบรับรองหากผู้โจมตีสามารถโจมตีเบราว์เซอร์ของเหยื่อได้ ในกรณีนี้ เขาสามารถแทรกใบรับรองที่ลงนามด้วยตนเอง ซึ่งจะได้รับความเชื่อถือตามค่าเริ่มต้น นี่คือวิธีการโจมตีแบบคนกลางส่วนใหญ่ ในกรณีที่ซับซ้อนมากขึ้น แฮกเกอร์ต้องใช้เส้นทางอื่น - ปลอมใบรับรอง

ปัญหาผู้ออกใบรับรอง

ใบรับรองที่ส่งโดยเซิร์ฟเวอร์นั้นออกและลงนามโดยผู้ออกใบรับรอง แต่ละเบราว์เซอร์มีรายชื่อผู้ออกใบรับรองที่เชื่อถือได้ และคุณสามารถเพิ่มหรือลบออกได้ ปัญหาคือ หากคุณตัดสินใจที่จะลบหน่วยงานขนาดใหญ่ คุณจะไม่สามารถเยี่ยมชมไซต์ที่ใช้ใบรับรองที่ลงนามโดยหน่วยงานเหล่านั้นได้

ใบรับรองและผู้ออกใบรับรองคือลิงก์ที่อ่อนแอที่สุดในการเชื่อมต่อ HTTPS เสมอ แม้ว่าทุกอย่างจะได้รับการดำเนินการอย่างถูกต้องและผู้ออกใบรับรองแต่ละรายก็มีอำนาจที่มั่นคง แต่ก็ยังเป็นเรื่องยากที่จะยอมรับความจริงที่ว่าคุณต้องเชื่อถือบุคคลที่สามจำนวนมาก

ปัจจุบันมีองค์กรมากกว่า 650 องค์กรที่สามารถออกใบรับรองได้ หากผู้โจมตีแฮ็กสิ่งใดสิ่งหนึ่ง เขาจะได้รับใบรับรองอะไรก็ได้ที่เขาต้องการ

แม้ว่าจะมีผู้ออกใบรับรองเพียงแห่งเดียว VeriSign ก็มีปัญหา - ผู้ที่ควรจะป้องกันการโจมตีแบบแทรกกลางกำลังขายบริการสกัดกั้น

นอกจากนี้ ยังมีการสร้างใบรับรองจำนวนมากเนื่องจากการแฮ็กผู้ออกใบรับรอง มีการใช้เทคนิคและลูกเล่นต่างๆ เพื่อหลอกผู้ใช้เป้าหมายให้เชื่อถือใบรับรองที่ฉ้อโกง

นิติเวช

เนื่องจากผู้โจมตีส่งแพ็กเก็ต ARP ที่ปลอมแปลง จึงไม่สามารถมองเห็นที่อยู่ IP ของผู้โจมตีได้ แต่คุณต้องให้ความสนใจกับที่อยู่ MAC ซึ่งเป็นที่อยู่เฉพาะของอุปกรณ์แต่ละเครื่องในเครือข่ายแทน หากคุณทราบที่อยู่ MAC ของเราเตอร์ คุณสามารถเปรียบเทียบกับที่อยู่ MAC ของเกตเวย์เริ่มต้นเพื่อดูว่าเป็นเราเตอร์ของคุณหรือผู้โจมตีจริงๆ

ตัวอย่างเช่น บน Windows OS คุณสามารถใช้คำสั่ง ipconfig ได้ บรรทัดคำสั่ง(CMD) เพื่อดูที่อยู่ IP เกตเวย์เริ่มต้นของคุณ (บรรทัดสุดท้าย):

รูปที่ 9. การใช้คำสั่ง ipconfig

จากนั้นใช้คำสั่ง arp –a เพื่อค้นหาที่อยู่ MAC ของเกตเวย์นี้:

รูปที่ 10 การใช้คำสั่ง arp –a

แต่มีวิธีอื่นในการสังเกตการโจมตี - หากคุณกำลังตรวจสอบกิจกรรมเครือข่ายในขณะที่เริ่มต้นและดูแพ็กเก็ต ARP ตัวอย่างเช่น คุณสามารถใช้ Wireshark เพื่อจุดประสงค์นี้ได้ โปรแกรมนี้จะแจ้งให้คุณทราบหากที่อยู่ MAC ของเกตเวย์เริ่มต้นมีการเปลี่ยนแปลง

หมายเหตุ: หากผู้โจมตีปลอมแปลงที่อยู่ MAC อย่างถูกต้อง การติดตามเขาจะกลายเป็นปัญหาใหญ่

บทสรุป

SSL เป็นโปรโตคอลที่บังคับให้ผู้โจมตีต้องทำงานหลายอย่างเพื่อทำการโจมตี แต่จะไม่ปกป้องคุณจากการโจมตีที่ได้รับการสนับสนุนจากรัฐหรือจากองค์กรแฮ็กที่มีทักษะ

งานของผู้ใช้คือการปกป้องเบราว์เซอร์และคอมพิวเตอร์เพื่อป้องกันไม่ให้มีการแทรกใบรับรองปลอม (เป็นเทคนิคทั่วไป) นอกจากนี้ยังควรให้ความสนใจกับรายการใบรับรองที่เชื่อถือได้และลบใบรับรองที่คุณไม่ไว้วางใจออก

10/18/2559 | วลาดิเมียร์ คาซอฟ

แผนของ FSB กระทรวงโทรคมนาคมและสื่อสารมวลชนและกระทรวงอุตสาหกรรมและการค้าในการดำเนินการตามบทบัญญัติของกฎหมาย Yarovaya เกี่ยวกับการสกัดกั้นและถอดรหัสการติดต่อทางจดหมายของรัสเซียไม่ได้เป็นเพียงแผนอีกต่อไป แต่ได้เริ่มดำเนินการแล้ว ดำเนินการตามคำสั่งเพื่อจัดทำความเห็นของผู้เชี่ยวชาญเกี่ยวกับความเป็นไปได้ของการสกัดกั้น ข้อความ Whatsappไวเบอร์ เฟซบุ๊กแมสเซนเจอร์, Telegram, Skype โดยใช้การโจมตี MITM และการสาธิตต้นแบบของเครื่องมือดังกล่าว

เราได้เขียนเกี่ยวกับโครงการจัดการการโจมตี MITM ที่ "ถูกต้องตามกฎหมาย" ในบทความที่แล้ว วันนี้เราจะกล่าวถึงรายละเอียดเพิ่มเติมเกี่ยวกับหลักการของการโจมตีและวิธีการนำไปใช้

การโจมตี MITM คืออะไร

Man In The Middle (MITM) แปลว่า “คนอยู่ตรงกลาง” คำนี้หมายถึง การโจมตีเครือข่ายเมื่อผู้โจมตีอยู่ระหว่างผู้ใช้อินเทอร์เน็ตกับแอปพลิเคชันที่เขากำลังเข้าถึง แน่นอนว่าไม่ใช่ทางกายภาพ แต่ด้วยความช่วยเหลือจากซอฟต์แวร์พิเศษ แสดงตัวเองต่อผู้ใช้ว่าเป็นแอปพลิเคชันที่ร้องขอ (อาจเป็นเว็บไซต์หรือบริการอินเทอร์เน็ต) จำลองการทำงานกับแอปพลิเคชัน และทำในลักษณะที่ให้ความรู้สึก การทำงานปกติและการแลกเปลี่ยนข้อมูล

เป้าหมายของการโจมตีคือข้อมูลส่วนบุคคลของผู้ใช้ เช่น ข้อมูลการเข้าสู่ระบบ ระบบต่างๆ, รายละเอียดธนาคารและหมายเลขบัตร จดหมายส่วนตัว และอื่นๆ ข้อมูลที่เป็นความลับ- ในกรณีส่วนใหญ่ แอปพลิเคชันทางการเงิน (ลูกค้าธนาคาร ธนาคารออนไลน์ บริการชำระเงินและการโอนเงิน) บริการ SaaS ของบริษัท ไซต์อีคอมเมิร์ซ (ร้านค้าออนไลน์) และไซต์อื่น ๆ ที่จำเป็นต้องได้รับอนุญาตเพื่อเข้าสู่ระบบจะถูกโจมตี

ข้อมูลที่ผู้โจมตีได้รับสามารถนำไปใช้เพื่อวัตถุประสงค์ที่หลากหลาย รวมถึงการโอนเงินที่ผิดกฎหมาย การเปลี่ยนแปลงบัญชี การสกัดกั้นการติดต่อส่วนตัว การซื้อของด้วยค่าใช้จ่ายของผู้อื่น การประนีประนอม และการแบล็กเมล์

นอกจากนี้ หลังจากขโมยข้อมูลประจำตัวและแฮ็กระบบแล้ว อาชญากรก็สามารถติดตั้งได้ เครือข่ายองค์กรเป็นอันตราย ซอฟต์แวร์เพื่อจัดระเบียบการโจรกรรมทรัพย์สินทางปัญญา (สิทธิบัตร โครงการ ฐานข้อมูล) และก่อให้เกิดความเสียหายทางเศรษฐกิจด้วยการลบข้อมูลสำคัญ

การโจมตี MITM สามารถเปรียบได้กับบุรุษไปรษณีย์ที่เปิดจดหมาย เขียนเนื้อหาใหม่เพื่อใช้ส่วนตัว หรือแม้แต่ปลอมแปลงลายมือ เพิ่มบางสิ่งที่เป็นของตัวเอง จากนั้นปิดผนึกซองจดหมายและส่งไปยังผู้รับ ราวกับว่าไม่มีอะไรเกิดขึ้น ยิ่งไปกว่านั้น หากคุณได้เข้ารหัสข้อความในจดหมาย และต้องการสื่อสารรหัสถอดรหัสเป็นการส่วนตัวกับผู้รับ บุรุษไปรษณีย์จะแนะนำตัวเองว่าเป็นผู้รับในลักษณะที่คุณจะไม่สังเกตเห็นการแทนที่ด้วยซ้ำ

การโจมตี MITM ดำเนินการอย่างไร

การดำเนินการโจมตี MITM ประกอบด้วยสองขั้นตอน: การสกัดกั้นและการถอดรหัส

• การสกัดกั้น

ขั้นตอนแรกของการโจมตีคือการสกัดกั้นการรับส่งข้อมูลจากผู้ใช้ไปยังเป้าหมายที่ต้องการและส่งไปยังเครือข่ายของผู้โจมตี

วิธีสกัดกั้นที่พบบ่อยและง่ายที่สุดคือการโจมตีแบบพาสซีฟ เมื่อผู้โจมตีสร้างจุด Wi-Fi พร้อมการเข้าถึงฟรี (โดยไม่ต้องใช้รหัสผ่านหรือการอนุญาต) ทันทีที่ผู้ใช้เชื่อมต่อกับจุดดังกล่าว ผู้โจมตีจะสามารถเข้าถึงการรับส่งข้อมูลทั้งหมดที่ผ่านจุดนั้น และสามารถดึงข้อมูลใดๆ จากจุดดังกล่าวเพื่อสกัดกั้นได้

วิธีที่สองคือการสกัดกั้นแบบแอคทีฟซึ่งสามารถทำได้ด้วยวิธีใดวิธีหนึ่งต่อไปนี้:

การปลอมแปลง IP– แทนที่ที่อยู่ IP ของเป้าหมายในส่วนหัวของแพ็คเก็ตด้วยที่อยู่ของผู้โจมตี เป็นผลให้ผู้ใช้ไปที่เว็บไซต์ของผู้โจมตีแทนที่จะไปที่ URL ที่ร้องขอ

การปลอมแปลง ARP– การทดแทนที่อยู่ MAC ที่แท้จริงของโฮสต์สำหรับที่อยู่ของผู้โจมตีในตาราง ARP ของเหยื่อ เป็นผลให้ข้อมูลที่ผู้ใช้ส่งไปยังที่อยู่ IP ของโหนดที่ต้องการจะไปสิ้นสุดที่ที่อยู่ของผู้โจมตี

การปลอมแปลง DNSการติดเชื้อแคช DNS เจาะเข้าไป เซิร์ฟเวอร์ DNSและการทดแทนบันทึกการจับคู่ที่อยู่เว็บไซต์ เป็นผลให้ผู้ใช้พยายามเข้าถึงไซต์ที่ร้องขอ แต่ได้รับที่อยู่ของไซต์ของผู้โจมตีจากเซิร์ฟเวอร์ DNS

• การถอดรหัส

เมื่อดักจับแล้ว การรับส่งข้อมูล SSL แบบสองทางจะต้องถอดรหัสในลักษณะที่ผู้ใช้และทรัพยากรที่เขาร้องขอไม่สังเกตเห็นการรบกวน

มีหลายวิธีสำหรับสิ่งนี้:

การปลอมแปลง HTTPS– ใบรับรองปลอมจะถูกส่งไปยังเบราว์เซอร์ของเหยื่อเมื่อมีการเชื่อมต่อกับไซต์ผ่านโปรโตคอล HTTPS ใบรับรองนี้ประกอบด้วย ลายเซ็นดิจิทัลแอปพลิเคชันที่ถูกบุกรุกทำให้เบราว์เซอร์ยอมรับการเชื่อมต่อกับผู้โจมตีว่าเชื่อถือได้ เมื่อสร้างการเชื่อมต่อแล้ว ผู้โจมตีจะสามารถเข้าถึงข้อมูลใด ๆ ที่เหยื่อป้อนก่อนที่จะถูกส่งไปยังแอปพลิเคชัน

SSL สัตว์ร้าย(เบราว์เซอร์ใช้ประโยชน์จาก SSL/TLS) – การโจมตีใช้ประโยชน์จากช่องโหว่ SSL ใน TLS เวอร์ชัน 1.0 และ 1.2 คอมพิวเตอร์ของเหยื่อติด JavaScript ที่เป็นอันตราย ซึ่งสกัดกั้นคุกกี้ที่เข้ารหัสซึ่งส่งไปยังเว็บแอปพลิเคชัน การดำเนินการนี้จะกระทบต่อโหมดการเข้ารหัส "ciphertext block chaining" เพื่อให้ผู้โจมตีได้รับคุกกี้ที่ถอดรหัสและคีย์การรับรองความถูกต้อง

การแย่งชิง SSL– ถ่ายโอนคีย์การรับรองความถูกต้องปลอมไปยังผู้ใช้และแอปพลิเคชันเมื่อเริ่มต้นเซสชัน TCP สิ่งนี้จะสร้างลักษณะของการเชื่อมต่อที่ปลอดภัย เมื่อแท้จริงแล้วเซสชันถูกควบคุมโดย "คนตรงกลาง"

การปอก SSL– ดาวน์เกรดการเชื่อมต่อจาก HTTPS ที่ปลอดภัยเป็น HTTP ธรรมดาโดยสกัดกั้นการตรวจสอบสิทธิ์ TLS ที่แอปพลิเคชันส่งไปยังผู้ใช้ ผู้โจมตีให้สิทธิ์ผู้ใช้ในการเข้าถึงเว็บไซต์โดยไม่เข้ารหัส ในขณะที่เขารักษาเซสชั่นที่ปลอดภัยด้วยแอปพลิเคชัน ทำให้สามารถดูข้อมูลที่ส่งของเหยื่อได้\

ป้องกันการโจมตี MITM

การป้องกันการโจมตี MITM ที่เชื่อถือได้นั้นเป็นไปได้หากผู้ใช้ดำเนินการป้องกันหลายอย่าง และใช้การผสมผสานระหว่างวิธีการเข้ารหัสและการรับรองความถูกต้องโดยนักพัฒนาแอปพลิเคชันเว็บ

การกระทำของผู้ใช้:

• หลีกเลี่ยงการเชื่อมต่อกับฮอตสปอต Wi-Fi ที่ไม่มี การป้องกันด้วยรหัสผ่าน- ปิดการใช้งานคุณสมบัติ การเชื่อมต่ออัตโนมัติไปยังจุดเชื่อมต่อที่รู้จัก - ผู้โจมตีสามารถปลอมแปลง Wi-Fi ของเขาว่าถูกกฎหมาย
• ให้ความสนใจกับการแจ้งเตือนของเบราว์เซอร์เกี่ยวกับการไปที่ไซต์ที่ไม่ปลอดภัย ข้อความดังกล่าวอาจบ่งบอกถึงการเปลี่ยนไปใช้เว็บไซต์ปลอมของผู้โจมตีหรือปัญหาเกี่ยวกับการปกป้องเว็บไซต์ที่ถูกต้องตามกฎหมาย
• สิ้นสุดเซสชันด้วยแอปพลิเคชัน (ออกจากระบบ) หากไม่ได้ใช้งาน
• อย่าใช้ เครือข่ายสาธารณะ(ร้านกาแฟ สวนสาธารณะ โรงแรม และอื่นๆ) สำหรับการทำธุรกรรมที่เป็นความลับ (การติดต่อทางธุรกิจ ธุรกรรมทางการเงิน การซื้อในร้านค้าออนไลน์ ฯลฯ)
• ใช้โปรแกรมป้องกันไวรัสที่มีฐานข้อมูลล่าสุดบนคอมพิวเตอร์หรือแล็ปท็อปของคุณ ซึ่งจะช่วยป้องกันการโจมตีโดยใช้ซอฟต์แวร์ที่เป็นอันตราย

นักพัฒนาเว็บแอปพลิเคชันและเว็บไซต์ต้องใช้โปรโตคอล TLS และ HTTPS ที่ปลอดภัย ซึ่งทำให้การโจมตีด้วยการปลอมแปลงมีความซับซ้อนอย่างมากโดยการเข้ารหัสข้อมูลที่ส่ง การใช้งานยังป้องกันการสกัดกั้นการรับส่งข้อมูลเพื่อรับพารามิเตอร์การอนุญาตและคีย์การเข้าถึง

ถือเป็นแนวปฏิบัติที่ดีในการปกป้อง TLS และ HTTPS ไม่เพียงแต่สำหรับหน้าการอนุญาตเท่านั้น แต่ยังรวมถึงส่วนอื่นๆ ทั้งหมดของไซต์ด้วย สิ่งนี้จะช่วยลดโอกาสที่ผู้โจมตีจะขโมยคุกกี้ของผู้ใช้ในขณะที่เขานำทางผ่านเพจที่ไม่มีการป้องกันหลังจากการอนุญาต

การป้องกันการโจมตี MITM เป็นความรับผิดชอบของผู้ใช้และผู้ดำเนินการโทรคมนาคม สิ่งที่สำคัญที่สุดสำหรับผู้ใช้คือไม่ต้องสูญเสียความระมัดระวัง ใช้เฉพาะวิธีการพิสูจน์แล้วในการเข้าถึงอินเทอร์เน็ต และเลือกไซต์ที่มีการเข้ารหัส HTTPS เมื่อถ่ายโอนข้อมูลส่วนบุคคล ผู้ให้บริการโทรคมนาคมสามารถแนะนำให้ใช้ระบบ Deep Packet Inspection (DPI) เพื่อตรวจจับความผิดปกติในเครือข่ายข้อมูลและป้องกันการโจมตีด้วยการปลอมแปลง

หน่วยงานภาครัฐวางแผนที่จะใช้การโจมตี MITM เพื่อปกป้องประชาชนไม่สร้างความเสียหายไม่เหมือนผู้โจมตี การสกัดกั้นข้อความส่วนตัวและการรับส่งข้อมูลของผู้ใช้อื่น ๆ ดำเนินการภายใต้กรอบของกฎหมายปัจจุบัน ซึ่งดำเนินการโดยการตัดสินใจของหน่วยงานตุลาการในการต่อสู้กับการก่อการร้าย การค้ายาเสพติด และกิจกรรมต้องห้ามอื่น ๆ สำหรับผู้ใช้ทั่วไป การโจมตี MITM “ที่ถูกต้องตามกฎหมาย” จะไม่ก่อให้เกิดภัยคุกคาม

กระบวนการเริ่มต้นเซสชัน TCP ประกอบด้วย สามขั้นตอน- ไคลเอนต์ส่งแพ็คเก็ตที่มีการตั้งค่าสถานะ SYN ไปยังเซิร์ฟเวอร์ เมื่อได้รับแพ็กเก็ตที่มีแฟล็ก SYN จากไคลเอนต์ เซิร์ฟเวอร์จะตอบสนองด้วยแพ็กเก็ตที่มีแฟล็ก SYN+ACK และเข้าสู่สถานะ ESTABLISHED เมื่อได้รับการตอบกลับที่ถูกต้องจากเซิร์ฟเวอร์ ลูกค้าจะส่งแพ็กเก็ตที่มีแฟล็ก ACK และเข้าสู่สถานะ ESTABLISHED

รายการแบน

รายชื่อลูกค้าที่ไม่มีสิทธิ์ในการดำเนินการบางอย่าง เมื่อใช้รายการแบน คุณจะจำกัดความสามารถของบอทเมื่อตรวจพบการโจมตี DDoS นอกจากนี้ ในความเป็นจริงของเซิร์ฟเวอร์เกม ผู้เล่นที่มีชื่อเสียงไม่ดีซึ่งใช้รหัสโกงหรือกระทำการที่ผิดกฎหมายจะรวมอยู่ในรายการนี้ด้วย

บอท

คอมพิวเตอร์ที่ใช้ในการดำเนินการ การโจมตีดีดอสการจราจร "จริง" ในกรณีส่วนใหญ่นี่คือคอมพิวเตอร์ ผู้ใช้ปกติ, ติดเชื้อไวรัส บ่อยครั้งที่ผู้ใช้ไม่สามารถสังเกตได้ว่าคอมพิวเตอร์ของเขาติดไวรัสและถูกใช้เพื่อวัตถุประสงค์ที่ผิดกฎหมาย

เว็บเซิร์ฟเวอร์

คอมพิวเตอร์บนเครือข่ายที่ยอมรับคำขอ HTTP จากไคลเอ็นต์ ซึ่งโดยทั่วไปคือเว็บเบราว์เซอร์ และจัดเตรียมการตอบกลับ HTTP โดยทั่วไปแล้ว เว็บเซิร์ฟเวอร์จะตอบสนองด้วยเพจ HTML รูปภาพ สตรีมสื่อ หรือข้อมูลอื่นๆ พร้อมด้วยการตอบสนอง HTTP

บริการเว็บ

บริการทางเว็บเป็นบริการที่มีให้บนอินเทอร์เน็ต เมื่อใช้คำนี้ เราสามารถพูดถึงการค้นหา เว็บเมล การจัดเก็บเอกสาร ไฟล์ บุ๊กมาร์ก ฯลฯ โดยทั่วไปแล้ว บริการทางเว็บสามารถใช้ได้โดยไม่คำนึงถึงคอมพิวเตอร์ เบราว์เซอร์ หรือตำแหน่งที่คุณเข้าถึงอินเทอร์เน็ต

โดเมน

แนวคิดของ "โดเมน" สามารถนำมาใช้ในบริบทต่างๆ เมื่อพูดถึงได้ เทคโนโลยีเครือข่าย- ส่วนใหญ่มักหมายถึงตามโดเมน ชื่อโดเมนเว็บไซต์. โดเมนแบ่งออกเป็นระดับต่างๆ เช่น ในโดเมน example.com com คือโดเมนระดับแรก และ example คือโดเมนระดับที่สอง เพื่อให้การสื่อสารง่ายขึ้น ผู้คนยังใช้คำว่า "โดเมนย่อย" ซึ่งหมายถึงโดเมนที่มีความลึกมากกว่าสองระดับ ตัวอย่างเช่น ในโดเมน mail.example.com เมลคือโดเมนย่อย

หุ่นยนต์ค้นหา

บริการ เครื่องมือค้นหาเพื่อค้นหาหน้าใหม่บนอินเทอร์เน็ตและเปลี่ยนแปลงหน้าที่มีอยู่ หลักการทำงานคล้ายกับเบราว์เซอร์ จะวิเคราะห์เนื้อหาของหน้า จัดเก็บในรูปแบบพิเศษบนเซิร์ฟเวอร์ของเครื่องมือค้นหาที่หน้านั้นอยู่ และส่งลิงก์ไปยังหน้าถัดไป

แบนด์วิธ

จำนวนข้อมูลสูงสุดที่เป็นไปได้ที่ส่งต่อหน่วยเวลา บ่อยครั้งที่ผู้ให้บริการอินเทอร์เน็ตที่สัญญาว่าจะเข้าถึงอินเทอร์เน็ตด้วยความเร็วสูงกว่านั้นไม่ปฏิบัติตามสัญญาของตน ในกรณีส่วนใหญ่ นี่เป็นเพราะแบนด์วิธถูกครอบครองโดยสมบูรณ์