1 中間人攻擊概述

中間人攻擊（Man-in-the-Middle Attack, MITM）是一種由來(lái)已久的網(wǎng)絡(luò)入侵手段，并且在今天仍然有著廣泛的發(fā)展空間，如SMB會(huì)話(huà)劫持、DNS欺騙等攻擊都是典型的MITM攻擊。簡(jiǎn)而言之，所謂的MITM攻擊就是通過(guò)攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù)，并進(jìn)行數(shù)據(jù)篡改和嗅探，而通信的雙方卻毫不知情。

隨著計(jì)算機(jī)通信網(wǎng)技術(shù)的不斷發(fā)展，MITM攻擊也越來(lái)越多樣化。最初，攻擊者只要將網(wǎng)卡設(shè)為混雜模式，偽裝成代理服務(wù)器監(jiān)聽(tīng)特定的流量就可以實(shí)現(xiàn)攻擊，這是因?yàn)楹芏嗤ㄐ艆f(xié)議都是以明文來(lái)進(jìn)行傳輸?shù)?，如HTTP、FTP、Telnet等。后來(lái)，隨著交換機(jī)代替集線(xiàn)器，簡(jiǎn)單的嗅探攻擊已經(jīng)不能成功，必須先進(jìn)行ARP欺騙才行。如今，越來(lái)越多的服務(wù)商（網(wǎng)上銀行，郵箱登陸）開(kāi)始采用加密通信，SSL(Secure Sockets Layer 安全套接層)是一種廣泛使用的技術(shù)，HTTPS、FTPS等都是建立在其基礎(chǔ)上的。筆者將以常見(jiàn)的Gmail郵箱登陸為例，探討針對(duì)SSL的MITM攻擊的兩種實(shí)現(xiàn)方式。

2  環(huán)境的搭建

網(wǎng)絡(luò)環(huán)境：

網(wǎng)關(guān)：192.168.18.254；

攻擊主機(jī)：192.168.18.102，VMware虛擬機(jī)；

被攻擊主機(jī)：192.168.18.100，Windows7，IE9；

攻擊目標(biāo)：

Gmail郵箱登陸 (HTTPS協(xié)議)

賬戶(hù)：test0101.ssl@gmail.com

密碼：abcd7890

3 兩種針對(duì)SSL的中間人攻擊

Cain & Abel

Cain&Abel是由Oxid.it公司開(kāi)發(fā)的一款針對(duì)Microsoft操作系統(tǒng)的網(wǎng)絡(luò)攻擊利器，它操作簡(jiǎn)單、功能強(qiáng)大，尤以ARP欺騙攻擊著稱(chēng)。Cain不僅能實(shí)現(xiàn)針對(duì)HTTP的MITM攻擊，也能對(duì)HTTPS進(jìn)行攻擊?；镜墓暨^(guò)程為：

ARP欺騙，使得攻擊者能截獲所有目標(biāo)主機(jī)的網(wǎng)絡(luò)流量；

攻擊者不是一個(gè)簡(jiǎn)單的中繼，一方面它在服務(wù)器端與瀏覽器進(jìn)行SSL握手，同時(shí)作為一個(gè)SSL客戶(hù)又與目標(biāo)服務(wù)器進(jìn)行另一次SSL握手；

通過(guò)建立兩條SSL連接，使得攻擊者成為一個(gè)“中間人”。

由于SSL握手時(shí)要通過(guò)證書(shū)來(lái)驗(yàn)證彼此的身份，攻擊者并不知道目標(biāo)服務(wù)器所使用的私鑰，在這種情況下，要成功實(shí)施攻擊，攻擊者必須進(jìn)行證書(shū)的偽造，瀏覽器通常會(huì)向用戶(hù)發(fā)出警告，并由用戶(hù)自行決定是否信任該證書(shū)。下面進(jìn)行詳細(xì)的圖文說(shuō)明。

正常Gmail的登陸畫(huà)面。

被攻擊者需要選擇是否信任證書(shū)，可以看到偽造的證書(shū)信息與上圖中真實(shí)證書(shū)還是有很大的區(qū)別的。

登陸郵箱后的畫(huà)面，可以看到證書(shū)錯(cuò)誤的提示依然是很醒目的。

攻擊者已成功嗅探到Gmail郵箱的登陸用戶(hù)名和密碼。

通過(guò)以上分析可以發(fā)現(xiàn)，用戶(hù)對(duì)于偽造證書(shū)的判斷是攻擊能否成功的關(guān)鍵，如果用戶(hù)有著較強(qiáng)的安全意識(shí)和豐富的網(wǎng)絡(luò)知識(shí)那么被攻擊的可能性將大大降低，畢竟瀏覽器中的安全提示還是非常醒目的。筆者相信隨著網(wǎng)絡(luò)知識(shí)的不斷普及，這種攻擊手段的生存空間會(huì)不斷被擠壓。

sslstrip

Cain & Abel雖然能實(shí)現(xiàn)SSL攻擊，但是偽造證書(shū)的局限性還是很明顯的， sslstrip是在09年黑帽大會(huì)上由Moxie Marlinspike提出的一種針對(duì)SSL攻擊的方法，其思想非常簡(jiǎn)單：

ARP欺騙，使得攻擊者能截獲所有目標(biāo)主機(jī)的網(wǎng)絡(luò)流量；

攻擊者利用用戶(hù)對(duì)于地址欄中HTTPS與HTTP的疏忽，將所有的HTTPS連接都用HTTP來(lái)代替；

同時(shí)，與目標(biāo)服務(wù)器建立正常的HTTPS連接；

由于HTTP通信是明文傳輸，攻擊者能輕松實(shí)施嗅探。

筆者將采用BackTrack作為攻擊平臺(tái)，BackTrack是基于Linux的一套滲透測(cè)試工具包，目前，國(guó)內(nèi)各大論壇有很多關(guān)于使用BackTrack來(lái)進(jìn)行無(wú)線(xiàn)wifi密碼破解的教程，其實(shí)它在其他領(lǐng)域也有著極其強(qiáng)大的功能。

步驟一：?jiǎn)⒂脙?nèi)核包轉(zhuǎn)發(fā)，修改/proc/sys/net/ipv4/ip_forward文件，內(nèi)容為1;

# echo 1 > /proc/sys/net/ipv4/ip_forward步驟二：端口轉(zhuǎn)發(fā)，10000為sslstrip的監(jiān)聽(tīng)端口；

# iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000

步驟三：shell1，ARP欺騙；

# arpspoof -i eth0 -t 192.168.18.100 192.168.18.254

步驟四：shell2，開(kāi)啟sslstrip；

# sslstrip -a -k -f<img wp-image-2530"="" height="499" data-cke-saved-src=http://images.51cto.com/files/uploadimg/20121120/1326016.jpg" src=http://images.51cto.com/files/uploadimg/20121120/1326016.jpg">

步驟五：嗅探得到登陸Gmail郵箱的用戶(hù)名和密碼；

# ettercap -T -q -i eth0

那么這種方法是否是萬(wàn)能的呢，下面就來(lái)看看被攻擊者瀏覽器的變化。

可以看到，網(wǎng)頁(yè)上沒(méi)有任何不安全的警告或是提示，只是原先的HTTPS連接已經(jīng)被HTTP連接所替換，并且為增加迷惑性，網(wǎng)頁(yè)的圖標(biāo)被修改成了一個(gè)銀色的鎖圖案。但是，假的畢竟是假的，一方面無(wú)法查看到任何證書(shū)的信息，另外如果在網(wǎng)址前輸入https://，則網(wǎng)頁(yè)無(wú)法發(fā)開(kāi)。因此，sslstrip并不是萬(wàn)能的攻擊方法。

4 小結(jié)

本文的目的主要是想告訴讀者，網(wǎng)絡(luò)安全技術(shù)日新月異的同時(shí)，攻擊方法也在悄然發(fā)生著變化，采用了SSL加密通信并不一定能保證通信的隱密性和完整性，為此，筆者展示了兩種SSL的中間人攻擊方法，前者是常規(guī)思路，后者則另辟蹊徑。希望今后大家能提高警惕，準(zhǔn)確辨識(shí)你的通信是否正遭到攻擊，尤其是在完成重要操作時(shí)，如網(wǎng)銀交易等。