在那些好萊塢大片中，總是對(duì)于電腦黑客有一些夸大不實(shí)的描述，譬如《虎膽龍威4》里，就把黑客神化，短短數(shù)秒就能夠破解別人的密碼、穿越網(wǎng)絡(luò)防火墻，取得機(jī)密資料…。雖然有些夸張，但在現(xiàn)實(shí)生活里，技術(shù)高深的黑客也確實(shí)能在在短短數(shù)分鐘之內(nèi)，竊聽網(wǎng)絡(luò)上的一舉一動(dòng)，當(dāng)然也包括了你剛才輸入過(guò)的帳號(hào)密碼！今天本文要解析的內(nèi)容，就在于如何進(jìn)行網(wǎng)絡(luò)竊聽，而且神不知、鬼不絕，完全不在被竊聽的電腦上留下任何蛛絲馬跡！

MITM中間人攻擊

一、中間人攻擊原理

中間人攻擊（Man-in-the-Middle Attack，簡(jiǎn)稱MITM攻擊)是一種通過(guò)竊取或竄改通信物理、邏輯鏈路間接完成攻擊行為的網(wǎng)絡(luò)攻擊方法。這種攻擊模式通過(guò)各種攻擊手段入侵控制，或者直接以物理接入方式操控兩臺(tái)通信計(jì)算機(jī)之間的主機(jī)，并通過(guò)這臺(tái)主機(jī)達(dá)到攻擊兩臺(tái)通信計(jì)算機(jī)中任意一方的目的。這個(gè)被攻擊者控制的通信節(jié)點(diǎn)就是所謂的“中間人”。

中間人攻擊很早就成為了黑客常用的一種攻擊手段，其思想可以追溯到上千年前的古代，春秋戰(zhàn)國(guó)時(shí)期竊符救趙的信陵君，竊取兵符控制軍隊(duì)即是針對(duì)魏王與軍隊(duì)之間信息傳遞方式的典型中間人攻擊。

MITM中間人攻擊

在網(wǎng)絡(luò)通信系統(tǒng)最被被設(shè)計(jì)出來(lái)時(shí)，安全因素并沒有被考慮到，互聯(lián)網(wǎng)工程任務(wù)組（IETF）設(shè)計(jì)的ARP、DNS、DHCP等常用協(xié)議都沒有考慮網(wǎng)絡(luò)通信被人惡意竄改的情況，即使在局域網(wǎng)中沒有攻擊者，只要有個(gè)別操作人員錯(cuò)誤的配置了網(wǎng)絡(luò)中的一個(gè)非關(guān)鍵結(jié)點(diǎn)（如多啟動(dòng)一個(gè)DHCP服務(wù)器），就有可能影響網(wǎng)絡(luò)中其它結(jié)點(diǎn)的正常網(wǎng)絡(luò)通信。

這些早期的協(xié)議更無(wú)法對(duì)簡(jiǎn)單的物理連接改變而可能引發(fā)的安全問題進(jìn)行防御。網(wǎng)絡(luò)標(biāo)準(zhǔn)的向下兼容性決定了現(xiàn)代網(wǎng)絡(luò)繼承了這些問題，大家依然會(huì)被這些問題困擾。嚴(yán)格說(shuō)起來(lái)，中間人攻擊算是一種“概念”，它有很多實(shí)現(xiàn)方式。進(jìn)行攻擊的黑客，首先要找到網(wǎng)絡(luò)協(xié)議的漏洞，對(duì)中間的網(wǎng)絡(luò)設(shè)備進(jìn)行偷天換日，神不知鬼不覺的把自己替換成網(wǎng)絡(luò)傳輸過(guò)程必經(jīng)的中間站，再紀(jì)錄下特定網(wǎng)段內(nèi)的數(shù)據(jù)包。

中間人攻擊難以防御的地方在于：

1. 黑客在進(jìn)行竊聽時(shí)，一般網(wǎng)絡(luò)鏈接仍能正常運(yùn)行不會(huì)斷線，故而少有人會(huì)主動(dòng)發(fā)現(xiàn)。

2. 使用者電腦上不會(huì)被安裝木馬或惡意軟件，也難以被殺毒軟件發(fā)現(xiàn)。

3. 黑客在欺騙網(wǎng)絡(luò)協(xié)議時(shí)，雖然可能會(huì)留下一些蛛絲馬跡，但由于網(wǎng)絡(luò)設(shè)備不會(huì)保留太多紀(jì)錄檔案，事后難以追蹤。

4. 絕大多數(shù)的網(wǎng)絡(luò)協(xié)議，仍然是基于“對(duì)方的數(shù)據(jù)是安全可靠”的假設(shè)來(lái)運(yùn)作的，這導(dǎo)致黑客有太多漏洞可以鉆，欺騙網(wǎng)絡(luò)設(shè)備、偽裝成中間人。

搭線竊聽與中間人攻擊

二、中間人攻擊的典型網(wǎng)絡(luò)環(huán)境及其防御

中間人攻擊有兩種常見形式：基于監(jiān)聽的信息竊取與身份仿冒，與基于代理的信息竊取與竄改。以下為中間人攻擊比較典型方式及其網(wǎng)絡(luò)環(huán)境

1.基于監(jiān)聽的信息竊取

在同一個(gè)沖突域的局域網(wǎng)絡(luò)中攻擊者只要將網(wǎng)卡設(shè)為混雜模式，就可以輕松監(jiān)聽網(wǎng)絡(luò)中的流量，通過(guò)Wireshark，Tcpdump等工具軟件就可以過(guò)濾出密碼、通信內(nèi)容等敏感信息實(shí)現(xiàn)攻擊。由于很多通信協(xié)議都是以明文來(lái)進(jìn)行傳輸?shù)?，如HTTP、FTP、Telnet等，如果通信數(shù)據(jù)被監(jiān)聽，就會(huì)造成相當(dāng)大的安全問題。

通過(guò)集線器連接的以太網(wǎng)絡(luò)或是以太網(wǎng)線路中被惡意物理接入集線器及監(jiān)聽節(jié)點(diǎn)就是這種攻擊方式的常見網(wǎng)絡(luò)環(huán)境。其防御方法也很簡(jiǎn)單，就是確保物理連接不被改動(dòng)，沖突域中不存在第三方節(jié)點(diǎn)，如改用計(jì)算機(jī)直接連接交換機(jī)的組網(wǎng)方式。

2. 基于監(jiān)聽的身份仿冒

在物理上不能保證通信不被監(jiān)聽的情況下，為了保護(hù)重要信息不被泄露，網(wǎng)絡(luò)系統(tǒng)一般會(huì)對(duì)口令、敏感內(nèi)容進(jìn)行加密傳輸或引入Kerbose、SSL等協(xié)議對(duì)登錄認(rèn)證等關(guān)鍵通信過(guò)程進(jìn)行加密保護(hù)。但是限于性能、效率等因素，并不是所有網(wǎng)絡(luò)系統(tǒng)都能保證所有傳輸內(nèi)容得到加密保護(hù)。

如一般的Web網(wǎng)站系統(tǒng)，只會(huì)對(duì)登錄認(rèn)證過(guò)程進(jìn)行加密，而后續(xù)用戶與網(wǎng)站的交互采用明文的HTTP協(xié)議傳輸。基于監(jiān)聽的中間人攻擊，在口令或認(rèn)證過(guò)程加密的情況下，通過(guò)其它技術(shù)手段也會(huì)對(duì)網(wǎng)絡(luò)造成安全威脅，比較典型的手法是針對(duì)HTTP Cookie的攻擊。

網(wǎng)站用戶在訪問網(wǎng)站前常常需要輸入用戶名與密碼。網(wǎng)站會(huì)為通過(guò)驗(yàn)證的登錄用戶建立會(huì)話，一般會(huì)用Cookie（網(wǎng)站儲(chǔ)存在用戶本地瀏覽器上的數(shù)據(jù)，并在每次訪問時(shí)提交給網(wǎng)站）保持對(duì)會(huì)話追蹤以確認(rèn)訪問者的身份及登陸狀態(tài)，并根據(jù)身份及登錄狀態(tài)為訪問者設(shè)置訪問網(wǎng)站資源的權(quán)限。當(dāng)會(huì)話結(jié)束時(shí)，登陸信息就會(huì)被清除，但Cookie可能不會(huì)馬上失效。

盡管訪問者在瀏覽網(wǎng)站過(guò)程中通常沒有意識(shí)到這種會(huì)話的存在，但它確實(shí)發(fā)生在每一次的鏈接點(diǎn)擊過(guò)程中，是網(wǎng)站中最常見的會(huì)話形式。如果能夠獲取用于維持瀏覽器和登陸網(wǎng)站間會(huì)話狀態(tài)的Cookie，攻擊者可以模擬真實(shí)用戶的訪問，將竊取的Cookie發(fā)給網(wǎng)站服務(wù)器，這樣就能冒充合法的會(huì)話連接獲得在網(wǎng)站資源的相應(yīng)權(quán)限（如圖1所示）。攻擊者一旦通過(guò)竊取Cookie完成對(duì)網(wǎng)站服務(wù)器的會(huì)話欺騙，受害者在網(wǎng)站上的個(gè)人數(shù)據(jù)將被任意查看和修改，受害者的帳號(hào)也可能被用于基于社交網(wǎng)絡(luò)的攻擊與詐騙。

圖1 基于Cookie的中間人攻擊示意圖

防御基于Cookie的中間人攻擊，服務(wù)器端可以把Cookie的有效時(shí)間設(shè)置為較短時(shí)間，以使已經(jīng)結(jié)束會(huì)話的緩存狀態(tài)盡快失效。另外，服務(wù)器或IPS設(shè)備在處理Cookie時(shí)，可以綁定一些用戶信息如IP地址等，并對(duì)其進(jìn)行驗(yàn)證，這樣可以有效防止相當(dāng)一部分的攻擊。作為Web用戶，在登錄后結(jié)束瀏覽時(shí)，應(yīng)該使用退出功能明確通知服務(wù)器會(huì)話已經(jīng)結(jié)束，使Cookie立即失效

3.基于中間代理的中間人攻擊

1) ARP欺騙（ARP Spoofing）

ARP欺騙是現(xiàn)代中間人攻擊中最早出現(xiàn)的攻擊形式，能夠讓與受害主機(jī)在相同子網(wǎng)的攻擊者主機(jī)竊取目標(biāo)主機(jī)的所有網(wǎng)絡(luò)流，是比較容易執(zhí)行且相當(dāng)有效的中間人攻擊形式。

從ARP工作機(jī)制可以看出，ARP協(xié)議簡(jiǎn)單易用，但是卻沒有任何安全機(jī)制，使用ARP協(xié)議的設(shè)備會(huì)接受在任何時(shí)間源自任何主機(jī)的ARP更新。這意味著攻擊者可以向子網(wǎng)內(nèi)另一臺(tái)主機(jī)發(fā)送ARP數(shù)據(jù)包，并迫使目標(biāo)主機(jī)更新其ARP緩存。ARP欺騙主要有仿冒網(wǎng)關(guān)或仿冒用戶兩類，由于子網(wǎng)內(nèi)的主機(jī)與外網(wǎng)通信均需要經(jīng)過(guò)網(wǎng)關(guān)，仿冒網(wǎng)關(guān)而進(jìn)行的中間人攻擊最為常見。

ARP欺騙

如圖2所示，因?yàn)楣糁鳈C(jī)A仿冒網(wǎng)關(guān)向主機(jī)B發(fā)送了偽造的網(wǎng)關(guān)ARP報(bào)文，導(dǎo)致主機(jī)B的ARP表中記錄了錯(cuò)誤的網(wǎng)關(guān)地址映射關(guān)系，正常的數(shù)據(jù)從而不能被網(wǎng)關(guān)接收。主機(jī)Ｂ原本通過(guò)網(wǎng)關(guān)發(fā)送到外網(wǎng)的所有數(shù)據(jù)報(bào)文都按照學(xué)習(xí)到的錯(cuò)誤ARP表項(xiàng)發(fā)送到了攻擊者控制的主機(jī)Ａ，此時(shí)主機(jī)Ａ可以把主機(jī)Ｂ的報(bào)文解析修改后轉(zhuǎn)發(fā)給網(wǎng)關(guān)，并在后續(xù)將網(wǎng)關(guān)轉(zhuǎn)回的外網(wǎng)回應(yīng)報(bào)文解析修改后轉(zhuǎn)發(fā)給主機(jī)Ｂ，成為主機(jī)Ｂ與網(wǎng)關(guān)之間的“中間人”。

防御ARP欺騙的主要方法有在整個(gè)局域網(wǎng)使用靜態(tài)ARP，及通過(guò)主機(jī)ARP防護(hù)軟件或交換機(jī)、路由器對(duì)ARP進(jìn)行過(guò)濾及安全確認(rèn)，其核心目標(biāo)均是建立正確的ARP表項(xiàng)。靜態(tài)ARP通過(guò)手動(dòng)配置或自動(dòng)學(xué)習(xí)后再固化的方式，在主機(jī)及網(wǎng)絡(luò)設(shè)備上建立靜態(tài)不變的正確ARP表項(xiàng)。

圖2  ARP欺騙仿冒網(wǎng)關(guān)示意圖

而偽造ARP報(bào)文的檢測(cè)，需要由主機(jī)或網(wǎng)絡(luò)設(shè)備提借額外的安全功能。偽造ARP報(bào)文具有如下特點(diǎn)：源MAC地址/目的MAC地址和以太網(wǎng)幀封裝中的源MAC地址/目的MAC地址不一致；源IP地址和源MAC地址的映射關(guān)系不是合法用戶真實(shí)的映射關(guān)系。精確的過(guò)濾與安全確認(rèn)能有效的阻止ARP欺騙的發(fā)生。

2) DNS欺騙（DNS Spoofing）

DNS欺騙是攻擊者冒充域名服務(wù)器讓目標(biāo)主機(jī)把域名轉(zhuǎn)換成錯(cuò)誤IP的一種欺騙行為，其目的是讓受害主機(jī)把通過(guò)域名查詢到的IP地址設(shè)為攻擊者所控制主機(jī)的IP地址。如果受到此類攻擊，用戶通過(guò)域名連接的目標(biāo)服務(wù)器可能被悄無(wú)聲息地替換成了偽造服務(wù)。攻擊者也可以在偽服務(wù)器上把受害主機(jī)的流量解析修改后冒名轉(zhuǎn)發(fā)給真實(shí)的服務(wù)器，由“冒名頂替者”變?yōu)?ldquo;中間人”。

DNS欺騙攻擊是一種非常危險(xiǎn)的中間人攻擊，它容易被攻擊者利用并且竊取用戶的機(jī)密信息。其常被用于與釣魚網(wǎng)站配合，如將用戶對(duì)銀行主頁(yè)的訪問重定向到攻擊者所控制的釣魚網(wǎng)站，騙取銀行密碼等。

圖3 SSL欺騙攻擊示意圖

三、結(jié)束語(yǔ)

中間人攻擊是一種非常危險(xiǎn)的攻擊形式，時(shí)常與釣魚網(wǎng)站、掛馬網(wǎng)站等攻擊形式結(jié)合，讓你不知不覺中泄漏電腦里的秘密，另外它會(huì)主動(dòng)引導(dǎo)你下載病毒木馬或木碼。更重要的是，這種攻擊可能將我們認(rèn)為絕對(duì)安全的網(wǎng)絡(luò)連接變成完全被人監(jiān)聽控制的連接，使得網(wǎng)絡(luò)連接的私密性得不到保障，造成重要數(shù)據(jù)輕易落入攻擊者之手。由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性，我們有必要對(duì)中間人攻擊有進(jìn)行了解，具備初步判斷網(wǎng)絡(luò)連接安全性的能力。