什么是中间人攻击？攻击的形式有哪些？

中间人攻击是一种常见的网络攻击方式，这种攻击使用拦截的方式从中窃听客户端与网站的内容。如果您是中间人攻击的受害者，有人可能会监视您的网络活动。中间人攻击会造成毁灭性的结果，本文将介绍如何避免中间人攻击，这种攻击如何运作？以及会造成哪些伤害？

中间人攻击

中间人攻击（Man in the Middle attack）简称MITM 攻击，在这种攻击行为中，骇客能监视您的浏览活动，并等待完美的攻击时机。攻击者能在客户端与网站之间分别建立独立的网络，并交换两端所接收到的资讯，通讯的两端认为双方直接对话，但事实上整个通讯的过程完全被攻击者控制。

中间人攻击的方法就是拦截，也就是从中窃听两端通讯的内容。它包含三个主要组成：

• 受害者
• 中间人
• 预期的接收者或应用程式

受害者在网络上发送某种机密资料，例如使用电子邮件发送密码给一个预期的接收者（可能是应用程式、网站或个人）。

在受害者和接收者之间存在「中间人」，这是一个恶意的攻击者。当数据在受害者与接收者之间传输时，中间人会监控数据，并准备在适当时机拦截和操纵通讯。因此骇客可以窥探传送的内容，甚至窜改资料或将连结导向钓鱼网站，过程中受害者不会察觉异状。

中间人攻击的运作方式

中间人攻击的手法都从拦截开始。骇客拦截数据的一种简单方式是设置Wi-Fi 陷阱。这种Wi-Fi 没有密码保护，任何人都能连上，Wi-Fi 名称使用普通的命名，例如餐厅名称，以诱骗受害者连上这个Wi-Fi 陷阱。只要受害者连线，骇客就能拦截受害者的网络活动。

有其他不同方式的中间人攻击，但它们都有相同的公式：在受害者和目标接收者之间进行拦截。

中间人攻击的形式

• IP 欺骗

IP 欺骗能让骇客绕过身份验证程序，直接存取设备或应用程式。这种攻击在封闭网络特别有效。在公司内网，只要用户发送数据的IP 位址是可信任的，经常会允许用户不需登入就能使用网站或服务。这就是IP 欺骗能攻击之处，如果骇客在发送到目标设备的封包中加入一个修改过的IP 位址，就能欺骗网站或服务以为是从受信任的IP 位址发出的，进而授予存取权限。

• DNS 欺骗

DNS 是一种将IP 位址解析为网址的服务，只要知道网址，就能透过DNS 转换成相对应的IP 位址。 DNS 欺骗是攻击者假冒DNS 资料，或利用DNS 漏洞来污染DNS 快取，诱骗受害者透过正确网址连上错误的IP 位址，进而导向恶意网站。

• Email 挟持

Email 挟持也就是网络钓鱼（Phishing），骇客利用钓鱼邮件伪造寄件人地址，他们通常会假装是受害者充分信任的对象。以此引导受害者打开一封网络钓鱼邮件，点开邮件附档下载恶意软件，或点开邮件上的恶意连结。以诱骗用户泄漏敏感资讯，例如密码、身分证字号或信用卡号码。

• 浏览器中间人攻击（MITB 攻击）

MITB 攻击使用恶意程式进行攻击，这种木马程式能将流量重新路由，让受害者进入伪造的网站进行登入，以窃取受害者的登入资讯。

• Wi-Fi 窃听

骇客透过Wi-Fi 窃听受害者的网络活动。可能是骇客设置Wi-Fi 陷阱，或是入侵公用Wi-Fi 热点。这种攻击之后，通常会伴随其他类似的攻击。例如使用一种称为SSL 剥离的技术，能让存在Wi-Fi 热点窃听的攻击者，经由完全未加密的连线收集到用户发送的数据，让攻击者能查看受害者的网络活动。

• SSL 剥离

攻击者拦截受害者的HTTPS请求，再将其转送给受害者欲连线的网站。然后攻击者会收到网站的回应，并将HTTPS 转成不安全的HTTP，再转送给受害者。之后，受害者会在不安全的HTTP 连线之下进行操作，攻击者得以在HTTP 连线中窃取资料。

• 窃取浏览器Cookie

浏览器Cookie是网站储存在设备上的小型资料集，这个资料集包含登入资讯，对骇客非常有用。如果有人在您的设备上取得Cookie，也许能从中取得某些网站的登入资讯。

著名案例

2014年，中国发生Google 在中国教育网（CERNET）遭受中间人攻击。部分中国用户在中国教育网中试图用HTTPS 连接Google 网站时，都收到SSL 凭证错误的讯息，疑似连上伪造的网站。虽然浏览器出现警告并阻挡网页的显示，但如果强行打开，用户的Google 帐户资讯可能会被窃取。除了Google 之外，Yahoo 和Github 也都曾经遭受类似的中间人攻击。

Tags：

转载请注明出处：https://www.eoje.cn/wlbk/6138.html