中间人攻击(MITM)
中间人攻击原理
中间人攻击原理中间人攻击(Man-in-the-Middle Attack,简称MITM攻击)是一种常见的网络安全威胁,它利用恶意攻击者窃取、篡改或者伪造通信数据的方法,对通信双方进行欺骗,使得双方认为他们正在与对方直接通信,但实际上所有的通信都经过了攻击者的篡改和监控。
中间人攻击的原理非常巧妙,攻击者可以在通信的两端分别与双方建立连接,然后将双方的通信数据全部经过自己的服务器进行处理,实现对通信内容的窃取和篡改。
下面我们将详细介绍中间人攻击的原理及其防范措施。
中间人攻击的原理主要是利用了网络通信的不安全性,攻击者可以通过多种手段介入通信过程,例如ARP欺骗、DNS劫持、SSL劫持等。
在ARP欺骗中,攻击者可以发送伪造的ARP响应包,将受害者的IP地址映射到自己的MAC地址上,从而使得受害者的通信数据都经过攻击者的设备,攻击者可以对通信数据进行窃取和篡改。
在DNS劫持中,攻击者可以篡改DNS解析结果,将受害者的域名解析到攻击者控制的恶意网站上,使得受害者在访问正常网站时被重定向到恶意网站,从而窃取用户的账号密码等信息。
在SSL劫持中,攻击者可以利用自签名证书欺骗受害者,使得受害者认为自己正在和目标网站进行SSL加密通信,但实际上通信数据都经过了攻击者的服务器,攻击者可以窃取SSL通信中的敏感信息。
针对中间人攻击,我们可以采取一些有效的防范措施。
首先,使用加密通信协议可以有效防止中间人攻击,例如HTTPS协议可以保护通信数据的机密性和完整性,使得攻击者无法窃取和篡改通信数据。
其次,使用双向认证可以有效防止中间人攻击,双向认证要求服务端和客户端都需要验证对方的身份,防止攻击者冒充合法的通信对端进行攻击。
此外,加强网络安全意识教育也是防范中间人攻击的重要手段,用户需要警惕不明身份的网络连接和网站,避免在不安全的网络环境下进行重要的通信和交易。
总之,中间人攻击是一种常见的网络安全威胁,攻击者可以利用各种手段窃取、篡改或者伪造通信数据,对通信双方进行欺骗。
中间人攻击
我的主机(192.168.4.17)的mac地址;1,打开Cain软件,激活嗅探器,扫描主机。
如下设定扫描的mac地址范围:扫描所在范围的mac地址:点击配置对话框,设定中间人扫描时使用真实的mac地址;2.点击标签切换到ARP窗口。
点击工具栏上+符号类似图标,设置ARP中毒目标ip。
3.点击切换到ARP选项窗口。
点击工具栏类似放射性标志的图标。
表示开始使目标ip 中毒。
4,在主机192.168.4.17端使用telnet去访问主机192.168.4.116。
如下5.打开wireshark软件抓包,过滤arp协议,同时切换到口令窗口。
如下:可以看到中间人将自己的mac地址,换成接收方的mac地址了切换到嗅探器,右键telnet建立的连接条目,查看,可以看到接收方的管理员的登陆密码:我们可以看到用户名为AAddmmiinnssttssttoorr,密码为123.(实际用户名Administator,密码为123);6,在主机192.168.4.17查看arp信息如下:可以看到目标192.168.4.116对应的mac为00-0c-1a-17-cc。
且为动态的。
二arp攻击预防。
Arp攻击预防可以通过静态绑定的方法来实现。
方法如下:1)在发送方绑定接收方的mac地址:使用命令进行绑定:arp –s 192.168.4.116 mac地址2)再用arp –a检查是否mac地址是否已变成静态的五、实验结果及分析通过这次的实验了解了arp工作的原理,以及利用arp协议的漏洞来进行中间人攻击,只是在实验的后面,被中间人攻击后,发送方无法ping通接收方。
可能是中间攻击人所在的虚拟机未完成对发送方帧的发送,致使接收方无法收到。
[文档可能无法思考全面,请浏览后下载,另外祝您生活愉快,工作顺利,万事如意!]。
SSLTLS协议中的中间人攻击与防范
SSLTLS协议中的中间人攻击与防范SSL/TLS协议中的中间人攻击与防范在现如今的数字世界中,信息安全成为了一个极为重要的议题。
特别是在数据传输过程中,SSL/TLS协议被广泛应用于保护敏感信息的安全传输。
然而,中间人攻击却是一个令人担忧的问题。
本文将讨论SSL/TLS协议中的中间人攻击,并提出防范该攻击的方法。
一、中间人攻击的原理中间人攻击(Man-in-the-Middle Attack,简称MITM攻击)是指黑客在通信的两端之间插入自己的恶意设备或程序,获取通信双方之间的敏感信息。
在SSL/TLS协议中,中间人攻击的原理如下:1. 客户端发起握手请求,向服务器发送一个初次握手报文。
2. 黑客利用技术手段,将自己伪装成服务器,向客户端发送一个伪造的握手报文。
3. 客户端接收到伪造的握手报文后,错误地认为这是服务器发送的报文,于是将敏感信息加密并发送给黑客。
4. 黑客将接收到的报文进行解密,并将其中的敏感信息记录下来。
5. 黑客再将伪造的握手报文转发给真正的服务器。
6. 服务器接收到伪造的握手报文后,错误地认为这是客户端发送的报文,于是将回应的报文加密并发送给黑客。
7. 黑客解密并记录下服务器返回的报文,然后将报文转发给客户端。
通过这一系列的操作,黑客成功地在通信双方之间插入自己,获取了双方之间的敏感信息。
因此,中间人攻击对于SSL/TLS协议的安全性构成了一定的威胁。
二、中间人攻击的防范方法针对中间人攻击的威胁,我们可以采取以下多种方法来进行防范:1. 数字证书验证SSL/TLS协议中使用了数字证书来验证通信双方的身份真实性。
客户端在与服务器建立连接时,会验证服务器发送的数字证书是否合法、是否由受信任的证书机构签发。
这样可以防止黑客使用伪造的数字证书进行攻击。
2. 加强握手协议加强SSL/TLS协议的握手过程,使用更加复杂的加密算法和密钥管理机制,增加攻击者破解的难度。
同时,建议客户端和服务器在通信过程中定期更换密钥,以减少密钥泄露的风险。
无线网络的中间人攻击及防御方法
针对Wi-Fi的中间人攻击技术已经相当成熟,可以选用 的软件工具也可谓是品种花色齐全。在双无线网卡的Linux 系统下可以用dhcpd工具配置DHCP服务,并使用aircrack-ng套件中的airbase-ng配合hostapd工具搭建虚假 APO也可以使用FakeAP.pl或Fluxion等集成的工具一步完 成。Airpwn等工具还拥有进一步进行无线欺骗的能力。除了 基于软件的虚假AP搭建,基于硬件的虚假AP也是不错的选 择。准备充分的攻击者会提前安置或携带无线APO 一旦攻击 者攻入目标AP,也可以将此AP作为跳板。
以上是对无线局域网进行攻击的方式,对蜂窝移动数据 的攻击有着异曲同工之妙° 2018年5月,一群美国研究人员 已经成功通过破解关键的4GLTE协议来生成假信息、窥探 用户并收集用户位置数据%攻击者首先通过架设LTE伪基 站吸引目标LTE手机前来附着,在附着过程中通过RRC重 定向信令将该手机重定向到攻击者预先架设的恶意网络,通 常是GSM伪基站,然后攻击者用另一部手机作为攻击手机, 以目标手机的身份在运营商现网注册,从而在现网拥有目标 手机的全部身份,能够以目标手机的身份接打电话、收发短 信黑这种攻击方法能够拦截掉发给目标手机的所有短信,因 此可以攻破以短信验证码作为身份认证机制的任何网络服 务,包括手机银行和手机支付系统叫
随后攻击者通过各种方式诱导STA连接到虚假AP上。 比如当虚假AP的强度大于原AP的强度时,被攻击者更彳顷向 于连接到虚假AP上。攻击者也可以通过嗅探无线电广播的 报文,捕获手机发出的自动连接WiFi的信息,根据802.11协 议规定可知,STA可通过Probe Request探测请求)帧来探测 周围是否存在曾经连接过的AP,这样当STA进入该热点覆 盖区域时,就能实现自动连接%有的攻击手段,如欺骗干扰的
mitmproxy win 使用 -回复
mitmproxy win 使用-回复如何在Windows上使用mitmproxy进行中间人攻击(MITM攻击)一、介绍中间人攻击(MITM攻击)是一种网络攻击技术,攻击者会在通信过程中窃取、篡改或伪造通信数据。
然而,中间人攻击也可以用于安全测试和漏洞分析。
mitmproxy是一款功能强大的中间人代理工具,可以用于拦截和修改网络流量。
本文将介绍如何在Windows上使用mitmproxy进行中间人攻击。
二、准备工作在开始之前,您需要完成以下准备工作:1. 下载并安装Python:mitmproxy是用Python编写的,因此您需要安装Python来运行mitmproxy。
您可以从Python官方网站(2. 安装mitmproxy:打开命令提示符(CMD),运行以下命令来安装mitmproxy:pip install mitmproxy三、打开mitmproxy一旦您完成了准备工作,可以按照以下步骤打开mitmproxy:1. 打开命令提示符(CMD):按下Win + R键,然后输入"CMD"并按下Enter键,以打开命令提示符。
2. 运行mitmproxy:在命令提示符中,输入以下命令来启动mitmproxy:mitmproxy四、设置浏览器代理mitmproxy已经在您的计算机上成功运行后,您需要将浏览器配置为使用mitmproxy作为代理服务器。
以下是如何配置不同浏览器的步骤:1. Google Chrome:打开Chrome浏览器,点击右上角的菜单图标,选择"设置"。
在"设置"页面的底部,点击"高级"。
然后,在"系统"部分,点击"打开你的计算机的代理设置"。
这将打开计算机的"Internet属性"对话框。
在对话框的"连接"选项卡中,点击"局域网设置",然后勾选"使用代理服务器"复选框。
了解计算机网络中的中间人攻击及其防范措施
了解计算机网络中的中间人攻击及其防范措施近年来,计算机网络中安全问题备受关注。
其中,中间人攻击是一种常见的网络安全威胁之一。
本文将详细介绍中间人攻击的概念、原理、类型及其防范措施。
一、中间人攻击的概念中间人攻击(Man-in-the-middle Attack,简称MITM)是指攻击者通过某种手段,将数据包拦截并篡改,在不知情的情况下将篡改后的数据送达目的地,从而达到欺骗用户、窃取信息、篡改数据等目的的行为。
中间人指的是攻击者置身于两个通信实体之间,拦截并篡改数据流,使得通信双方误以为与对方直接通信。
二、中间人攻击的原理中间人攻击利用了计算机网络的基本通信原理,即通信双方通过公共信道进行信息传递。
攻击者在信息传递途中,采取不同的方式将自己伪装成通信双方之一,从而实现对通信内容的篡改、窃取等操作。
攻击者的操作会影响通信双方之间的信息传递,通常使得攻击者自己能够获得一些原本应该属于对方的信息。
三、中间人攻击的类型1. 无线网络中的中间人攻击:攻击者通过在公共场所伪造虚假热点或对目标网络进行抓包等方式,将受害者连接至伪造的网络中,实现数据窃取等操作。
2. ARP欺骗中的中间人攻击:ARP欺骗是指攻击者伪造物理地址(MAC地址),将其映射到目标计算机真实IP地址的过程,从而实现对网络流量的拦截和篡改。
3. DNS欺骗中的中间人攻击:攻击者通过篡改DNS服务器,将受害者访问合法网站的请求重定向到攻击者自己的伪造网站上,以达到窃取用户信息的目的。
四、中间人攻击的防范措施1. 使用HTTPS进行通信:HTTPS通信采用加密协议,能够有效防止中间人攻击。
2. 避免使用公共Wi-Fi:当用户必须在公共场所上网时,应避免直接连接公共Wi-Fi,或者使用自己的移动热点进行连接。
3. 加强本地安全防护:用户可以在本地计算机操作系统上安装安全软件,防范中间人攻击。
4. 关注DNS的安全性:建议使用可靠的DNS服务器,以防止DNS 被攻击者篡改。
计算机网络(第五版)谢希仁 课后答案第七章
7-01 计算机网络都面临哪几种威胁?主动攻击和被动攻击的区别是什么?对于计算机网络的安全措施都有哪些?答:计算机网络面临以下的四种威胁:截获(interception),中断(interruption),篡改(modification),伪造(fabrication)。
网络安全的威胁可以分为两大类:即被动攻击和主动攻击。
主动攻击是指攻击者对某个连接中通过的PDU进行各种处理。
如有选择地更改、删除、延迟这些PDU。
甚至还可将合成的或伪造的PDU送入到一个连接中去。
主动攻击又可进一步划分为三种,即更改报文流;拒绝报文服务;伪造连接初始化。
被动攻击是指观察和分析某一个协议数据单元PDU而不干扰信息流。
即使这些数据对攻击者来说是不易理解的,它也可通过观察PDU的协议控制信息部分,了解正在通信的协议实体的地址和身份,研究PDU的长度和传输的频度,以便了解所交换的数据的性质。
这种被动攻击又称为通信量分析。
还有一种特殊的主动攻击就是恶意程序的攻击。
恶意程序种类繁多,对网络安全威胁较大的主要有以下几种:计算机病毒;计算机蠕虫;特洛伊木马;逻辑炸弹。
对付被动攻击可采用各种数据加密动技术,而对付主动攻击,则需加密技术与适当的鉴别技术结合。
7-02 试解释以下名词:(1)重放攻击;(2)拒绝服务;(3)访问控制;(4)流量分析;(5)恶意程序。
答:(1)重放攻击:所谓重放攻击(replay attack)就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。
(2)拒绝服务:DoS(Denial of Service)指攻击者向因特网上的服务器不停地发送大量分组,使因特网或服务器无法提供正常服务。
(3)访问控制:(access control)也叫做存取控制或接入控制。
必须对接入网络的权限加以控制,并规定每个用户的接入权限。
(4)流量分析:通过观察PDU的协议控制信息部分,了解正在通信的协议实体的地址和身份,研究PDU的长度和传输的频度,以便了解所交换的数据的某种性质。
什么是MitM 攻击?如何预防?
什么是MitM 攻击?如何预防?作者:作者 Dan Swinhoe 编译:Charles来源:《计算机世界》 2019年第11期利用中间人网络攻击,攻击者能够秘密地拦截通信或者改变通信。
虽然很难检测MitM 攻击,但却是可以预防的。
中间人(Man-in-the-Middle,MitM)攻击是指当双方进行通信时,攻击者拦截通信,秘密地窃听或者修改双方之间的数据流。
攻击者会使用MitM 攻击来窃取登录凭证和个人信息、窥探受害者、破坏通信,甚至损坏数据。
CrowdStrike 公司的EMEA 技术策略师ZekiTuredi 指出,“MitM 攻击是为达到目的而实施的战术手段。
其目的可能是监视个人或者团体,以转移人们的工作方向、资金、资源或者注意力。
”虽然可以通过加密措施来防御MitM,但成功的攻击者要么把数据流重新路由到设计为看起来合法的网络钓鱼网站,要么只是在收集或者记录后将数据流传送到其预定目的地,这意味着很难检测此类攻击。
中间人攻击的工作原理MitM 攻击是最古老的一种网络攻击形式。
20 世纪80 年代初以来,计算机科学家一直在寻找能够防止有威胁的犯罪分子篡改或者窃听通信的方法。
MitM 攻击包括位于通信双方连接之间的坐席,他们观察并控制数据流。
这可以通过干扰合法网络或者创建攻击者能够控制的假网络来实现。
然后,为了窃取、更改和重新路由这些数据流到攻击者所选择的目的地(例如,网络钓鱼登录网站),会对被攻破的这些数据流进行解密。
由于攻击者在记录或者编辑被截获的数据流后,只是静默地观察,或者重新加密这些数据流,将其传送到预定的目的地,因此很难发现这种攻击。
SANS 技术研究所的研究主任Johannes Ullrich 说:“MitM 攻击是攻击者实际上位于受害者和受害者想要连接的合法主机之间的一种攻击。
所以,他们要么被动地监听连接,要么实际上截获连接,终止连接,并建立到目的地的新连接。
”取决于目标和目的,MitM 包含了很多技术,会带来各种可能的结果。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
黑客技术:详细解说MITM攻击手段摘要:中间人攻击(Man-in-the-Middle Attack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机……错误引导——DNS欺骗临近过年,一辆长途客车满载着归家的旅人们在高速公路上行驶着,此时已是深夜,旅客们多半都已进入梦乡。
司机发现前面不远处摆满了石块,还有一块指向告诉公路旁岔路口的牌子写着:“因前方公路塌方,严禁车辆通过,请绕道。
”司机迟疑了一下,把车驶进了岔路。
不远处,几双不安分的眼睛正在注视着客车……中间人攻击(Man-in-the-Middle Attack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。
然后入侵者把这台计算机模拟一台或两台原始计算机,使“中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息,然而两个原始计算机用户却认为他们是在互相通信。
通常,这种“拦截数据——修改数据——发送数据”的过程就被称为“会话劫持”(Session Hijack)。
DNS欺骗(DNS Spoofing),就是其中的一种惯用手法。
攻击者通过入侵DNS服务器、控制路由器等方法把受害者要访问的目标机器域名对应的IP解析为攻击者所控制的机器,这样受害者原本要发送给目标机器的数据就发到了攻击者的机器上,这时攻击者就可以监听甚至修改数据,从而收集到大量的信息。
如果攻击者只是想监听双方会话的数据,他会转发所有的数据到真正的目标机器上,让目标机器进行处理,再把处理结果发回到原来的受害者机器;如果攻击者要进行彻底的破坏,他会伪装目标机器返回数据,这样受害者接收处理的就不再是原来期望的数据,而是攻击者所期望的了。
例如让DNS服务器解析银行网站的IP 为自己机器IP,同时在自己机器上伪造银行登录页面,那么受害者的真实账号和密码就暴露给入侵者了。
如此说来,这种攻击理应是最强大最危险的,然而实际上它却很少派上大用场,为什么?因为DNS欺骗的攻击模型太理想了。
在实际生活中,大部分用户的DNS解析请求均是通过自己的ISP服务器进行的,换句话说,就是系统在连接网络时会获取到ISP服务器提供的DNS服务器地址,所有解析请求都是直接发往这个DNS服务器的,攻击者根本无处入手,除非他能入侵更改ISP服务器上DNS服务的解析指向。
所以这种手法在广域网上成功的几率不大。
当然,这种攻击的成功率也有例外存在,例如一个ISP服务器上存在Bind漏洞,攻击者就能通过Bind漏洞进入服务器更改掉DNS解析指向,甚至取得最高权限;另一种方法是入侵路由设备,修改里面的DNS服务器地址为自己控制的机器地址,这种方法只能在用户机器自身是通过路由器返回域名解析的情况下才能成功,多见于一些使用小区宽带连接Internet的用户,因为这种用户机器的DNS地址通常必须指向小区宽带内部的某台服务器地址或者交给路由进行转向,这时候只要攻击者入侵了路由或者那台关系到所有人的服务器修改掉DNS记录,整个小区用户的网络都完了。
当然,攻击者不能把全世界网站都伪造到他硬盘上,他只需要改几个重要商务站点的指向即可,这样便可导致用户访问某些商务站点时被转向到攻击者的机器去。
但是,这种攻击手法同时对攻击者自身也是一种伤害:如果小区内有许多用户都访问这些商务站点,则大量数据请求会疯狂消耗攻击者的机器资源,攻击者非但不能实时处理数据,更是面临着机器瘫痪和暴露自己的双重危险。
聪明的攻击者不会选择去入侵DNS服务器,他们会想办法替换掉Hosts文件,从而引导受害者走向自己的机器……不可信任的陌生人——会话劫持客车沿着岔路行驶下去,怎料道路越来越颠簸,根本不像能开回高速公路的样子,满车的旅客被晃醒了,不住的抱怨起来。
司机心里也有点发慌,客车在荒山野岭停了下来。
在众人不知所措的时候,车外有几个看似本地居民的人请求搭个便车外出,并表示自己懂得出去的道路。
司机虽然半信半疑,可终究还是打开了车门。
谁也没有察觉到那几个人的嘴边正浮现出一丝阴险的笑容……“会话劫持”(Session Hijack)是一种结合了嗅探以及欺骗技术在内的攻击手段。
广义上说,会话劫持就是在一次正常的通信过程中,攻击者作为第三方参与到其中,或者是在数据里加入其他信息,甚至将双方的通信模式暗中改变,即从直接联系变成有攻击者参与的联系。
简单地说,就是攻击者把自己插入到受害者和目标机器之间,并设法让受害者和目标机器之间的数据通道变为受害者和目标机器之间存在一个看起来像“中转站”的代理机器(攻击者的机器)的数据通道,从而干涉两台机器之间的数据传输,例如监听敏感数据、替换数据等。
由于攻击者已经介入其中,他能轻易知道双方传输的数据内容,还能根据自己的意愿去左右它。
这个“中转站”可以是逻辑上的,也可以是物理上的,关键在于它能否获取到通信双方的数据。
典型的会话劫持是利用TCP/IP的工作原理来设计攻击的。
在谈TCP/IP会话劫持前先解释一下TCP/IP用于确认数据传输的判断机制。
许多人一定都有过这样的疑问:我们已经知道TCP/IP是使用点对点(Point to Point)连接进行数据传输的,但是它是如何知道上一条数据和下一条数据存在的联系的呢?如果我发送数据后不慎掉线,恰好另一个人接着我的IP地址连接到了Internet,那他会不会收到服务器返回给我的数据?其实只要看过TCP/IP 协议的书籍就会明白,TCP协议采用了两种条件来确认每条已经建立连接的TCP通道,第一个是基础连接确认,即TCP连接中的四大必备条件:源IP、源TCP端口、目标IP、目标TCP端口;第二个条件是“序号标识”(Sequence numbers,SEQ),它们是成对出现的,分为“Sequence”(SEQ,序号字段)和“Acknowledgement Sequence”(ACK SEQ,确认序号字段),TCP每次建立一个连接时,会给双方指定这样一条规则:序号字段指出了本报文中传送的数据在发送主机所要传送的整个数据流中的顺序号,而确认序号字段指出了发送本报文的主机希望接收的对方主机中下一个八位组的顺序号。
(这里可能比较难理解,可以举个不专业的例子解释:流水线上的工人被规定好了每人负责安装8个不同的零件,则每次传输到他们手上的都应该是只留下给他们安装的8个零件位置,这就是序号字段;而下一个工人则被规定在前一个工人的基础上安装另一个部分的8个零件,这就是确认序号字段,如果这个工人发现传到自己手上的产品多了或少了零件,则说明前一个工人出错,这个产品就被从流水线提取出来返工,这就是TCP对序号的严密审查和丢弃制度)。
TCP如此谨慎,就是为了避免出现前面提到的假设,虽然这种假设发生的几率很小(需要满足TCP的基础连接确认条件),但是它总有机会发生的。
然而不幸的是,这对序号是可以预测的,因为TCP必须遵从以下守则:一台主机即将发出的报文中的SEQ值应等于它所刚收到的报文中的ACK SEQ值,而它所要发送报文中的ACK SEQ值应为它所收到报文中的SEQ值加上该报文中所发送的TCP数据的长度,即两者存在“本次发送的SEQ=上次收到的ACK SEQ;本次发送的ACK SEQ=上次收到的SEQ+本次发送的TCP数据长度”的联系。
知道这个规律后,攻击者就不难发起“中间人攻击”了,他只需要设法监听到受害者TCP连接中的第一个条件(源IP、源TCP端口、目标IP、目标TCP端口),就可以得知其中一台主机对将要收到的下一个TCP报文段中SEQ和ACK SEQ值的要求,这样攻击者就能在原来的合法主机收到另一台合法主机发送的TCP报文前根据所截获的信息向该主机发出一个符合条件二(序号标识)的TCP报文,如果该主机先收到攻击报文,就会受到欺骗而把合法的TCP会话建立在攻击主机与被攻击主机之间,而且攻击报文会让被攻击主机对下一次要收到的TCP报文中的确认序号值的要求发生变化,最终使另一台合法的主机向被攻击主机发出的报文被拒绝,这种模式被称为“主动劫持”。
换句话说,就是其中一方合法主机被攻击者掠夺了连接的权限,而攻击者却成为了合法的连接方之一。
这种会话劫持让攻击者避开了被攻击主机对访问者的身份验证和安全认证,从而使攻击者直接进入对被攻击主机的的访问状态,因而危害严重。
例如,你刚向某站点发送完账户密码,就被攻击者抢先冒充你的TCP连接上了,那你的损失可就难预料了。
不过,会话劫持对网络环境的一点要求可以让大家松口气,它必须在使用MAC寻址的网络环境中才能发挥作用,必要时还要配合ARP协议欺骗,能同时满足这两个条件的只有局域网。
而广域网不是靠MAC地址来查找计算机的,因此攻击者很难从现有的广域网结构里插入到某两台计算机之间。
但是,下面的MITM攻击就没那么好运了……披着羊皮的狼——不再可靠的代理服务器网络上存在许多各种各样的代理服务器,其中的一些,是披着羊皮的狼……客车在一个“老乡”的指引下缓缓前进,司机这时候却感到有点不对劲,因为这条小路越来越泥泞!他还没来得及思考更多,就觉得车子颠簸了一下,再也动弹不得:车轮陷进水坑里了!满车旅其它协议的代理工作模式也都差不多,代理服务器充当了一个数据转向的工作站,相当于一个专门负责数据转发的“勤劳工人”。
然而,再忠诚的狗也会偷吃的,代理服务器有时候也并非完全透明的……不知道大家在看我描述代理服务器原理的时候,有没有产生一个“似曾相识”的感觉?没错!代理服务器的工作模式,正是典型的“中间人攻击”模型!代理服务器在其中充当了一个“中间人”的角色,通讯双方计算机的数据都要通过它!因此,“代理服务器进行的…中间人攻击‟”逐步成为现实,相对于其他“中间人攻击”方法,这种利用代理服务器暗渡陈仓的做法简直天衣无缝,攻击者可以自己写一个带有数据记录功能的代理服务程序,放到任意一台稳定的肉鸡甚至直接在自己机器上,然后通过一些社会工程学手段让受害者使用这个做了手脚的“代理服务器”,便可守株待兔了。
这种方法最让人不设防,因为它利用的是人们对代理的无条件信任和贪便宜的想法,使得一个又一个“兔子”自动撞了上来,在享受这顿似乎美味的“胡萝卜”的同时却不知道安全正在逐渐远离自己。
如果制作这个代理服务器的攻击者仅限于窥探数据,那么受害者的损失可能还能估量,但是如果攻击者在目标服务器返回的数据里加入一个带有木马程序的数据呢?例如在HTTP代理返回的HTML报文里加入一个MIME攻击漏洞代码,而受害者的计算机恰好没有打相应补丁,那么由此带来的损失就难以估量了,而且计算机技术不高的受害者也难以查出木马究竟是从哪里来的,因为很少有人怀疑代理服务器自身会有问题!拒绝“中间人”——我们该怎么做谈了这些MITM攻击,许多用户会觉得恐惧,其实,攻防为一家,有攻就有防,只要措施正确,MITM攻击是可以预防的。