你可能聽說過“中間人攻擊(MiTM)”這個詞，甚至可能對它還存在一個模糊的概念。但是，你仍舊會想“到底什么才是中間人攻擊?”下面這篇文章就將為您提供解答。

總的來說，中間人(man-in-the-middle，MITM)攻擊非常難以識別和防御。作為一種由來已久的網絡入侵手段，MITM攻擊依賴于控制人、計算機或服務器之間的通信路線，它并不總是需要一臺受感染的計算機，這就意味著存在多種攻擊途徑。

那么，究竟什么才是中間人攻擊?我們又該如何防止自身淪為獵物呢?

[[381907]]

什么是中間人攻擊?

中間人攻擊是一種可以回溯到早期計算時代的網絡入侵方式。當未授權的實體將自己置于兩個通訊系統之間并試圖截獲正在傳遞的信息時，便會發(fā)生此類攻擊，其本質便是竊聽攻擊。為了更好地理解中間人攻擊的工作原理，可以參考如下兩個示例。

離線中間人攻擊

離線中間人攻擊聽起來比較基礎，但目前仍在全球范圍內使用。

例如，有人攔截了你發(fā)布的消息，對其進行了讀取和重新打包，然后將其發(fā)回給您或您的原始收件人。然后，當對方回復您時，同樣的情況會再次上演，該中間人會繼續(xù)截獲并閱讀原本通信雙方互發(fā)的所有信息。

如果操作得當的話，通信雙方完全不會知道自己遭遇了中間人攻擊，因為他們根本看不到這些信息曾被截獲和竊取過。

接管兩個參與者之間的通信通道是中間人攻擊的核心。

它還為攻擊者打開了其他欺騙途徑。如果攻擊者控制了通信方式，那么他們就可以篡改傳輸中的消息。就我們上述示例而言，攻擊者不僅可以攔截并讀取通信雙方傳遞的信息，甚至還可以篡改消息內容，提出特定請求作為其攻擊活動的一部分。

當中間人控制您的通信時，他們還可以在完成攻擊后立即刪除與此次攻擊相關的任何信息記錄，讓通信雙方無法察覺任何異常。

在線中間人攻擊

盡管使用計算機或其他數字硬件代替了傳統的信件，但是在線中間人攻擊的工作原理幾乎與離線中間人攻擊相同。

例如，您用計算機設備連接到咖啡館的免費公共Wi-Fi上，然后試圖訪問銀行的網站。隨后，您可能會遇到如下錯誤提示。

如上圖所示，您會遇到一個證書錯誤，通知您該銀行的網站不具備有效的加密證書。這表面上好像是提醒您銀行的配置存在問題，真實情況卻是中間人攻擊正在進行中。

盡管如此，很多人仍然選擇單擊該錯誤信息并繼續(xù)訪問該銀行網站。之后，他們進行銀行賬戶登錄、匯款、賬單支付等操作，貌似一切如常。

而實際上，攻擊者可能已經建立好了一個虛假的服務器和偽造的銀行網站。當你連接到虛假的銀行服務器時，他們會將目標銀行的真實頁面略作修改，并呈現給您。您所有輸入的登錄詳細信息，都將被發(fā)送到中間人服務器的后臺。

這也就解釋了上圖中出現的加密證書錯誤的安全提醒。中間人服務器根本就沒有與真實銀行相同的安全證書，盡管它可能也具有其他的安全證書。

中間人攻擊的類型

具體來說，中間人攻擊有多種不同的類型：

(1) Wi-Fi欺騙

攻擊者可以創(chuàng)建與本地免費Wi-Fi選項同名的虛假Wi-Fi接入點(AP)。例如，在上例的咖啡館中，攻擊者可能會模仿Wi-Fi名稱或創(chuàng)建一個名為“Guest Wi-Fi”或類似名稱的偽造選項。一旦您連接到了惡意訪問點，攻擊者就可以監(jiān)視您的一切在線活動。

(2) HTTPS欺騙

攻擊者通過欺騙您的瀏覽器，使您認為自己訪問的是可信任站點，而實際上卻將流量重定向到了不安全的網站。當您輸入登錄憑據時，攻擊者就會竊取它們。

(3) SSL劫持

當您嘗試連接或訪問不安全的HTTP站點時，瀏覽器可以將您重定向到安全的HTTPS選項。但是，攻擊者可以劫持重定向過程，將指向其自建服務器的鏈接植入其中，進而竊取您的敏感數據以及您輸入的所有憑據。

(4) DNS欺騙

為了幫您準確地瀏覽目標網站，域名系統會將地址欄中的URL從人類可讀的文本格式轉換為計算機的IP地址。然而，DNS欺騙則會迫使您的瀏覽器訪問攻擊者控制的特定地址。

(5) 電子郵件劫持

如果攻擊者獲得了受信任機構(例如銀行)的郵箱甚至是郵件服務器的訪問權限，那么他們就可能會攔截包含敏感信息的客戶電子郵件，甚至開始以該機構的身份發(fā)送各種電子郵件。

這只是一些典型的中間人攻擊方式。除此之外，此類攻擊還存在許多變種和不同的組合。

HTTPS是否可以阻止中間人攻擊?

上述情況如果發(fā)生在使用HTTPS(HTTP的安全版本)的銀行網站上，用戶就會收到一個彈出消息，提示其加密證書不正確?，F在，幾乎每個網站都使用HTTPS，您可以在地址欄中的URL旁邊看到一個帶鎖的圖標。

過去很長一段時間，只有那些提供敏感信息的網站才會使用HTTPS。但是現在情況已經發(fā)生了改變，特別是自從Google宣布它將使用HTTPS作為SEO的排名參考標準以來。據統計，2014年，在全球排名前一百萬的網站中，只有1-2%使用了HTTPS。到2018年，這一數字激增，在全球排名前一百萬的網站中，已有超過50%的企業(yè)實施了HTTPS。

在未加密的網站上使用標準的HTTP連接，你就不會收到上述示例中收到的警告，也就更容易遭遇中間人攻擊。

那么，HTTPS是否真的可以防御MITM攻擊?

MITM和SSLStrip

答案是，是的，HTTPS可以防止中間人攻擊。但是，攻擊者可以通過多種方法來破壞HTTPS，從而消除通過加密為您的連接提供的額外安全性。

以SSL剝離(SSLStrip)類型的中間人攻擊為例。SSL剝離或SSL降級攻擊是MiTM攻擊的一種十分罕見的方式，但是也是最危險的一種。眾所周知，SSL/TLS證書通過加密保護著我們的通訊安全。在SSL剝離攻擊中，攻擊者使SSL/TLS連接剝落，隨之協議便從安全的HTTPS變成了不安全的HTTP。

對于這種攻擊方式，你甚至可能完全察覺不到任何異常。通過細心觀察Google Chrome瀏覽器和其他瀏覽器的地址欄是否帶有大紅叉或驚嘆號的通知，可以幫助你發(fā)現一絲異常。如今，HTTPS添加的帶鎖標記無疑讓用戶能夠更容易發(fā)現自己是否正在使用HTTPS。

除此之外，另一種安全升級也削弱了SSL剝離的功效，它就是HTTP嚴格傳輸安全性(HTTP Strict Transport Security，HSTS)。

HTTP嚴格傳輸安全性(HSTS)的開發(fā)旨在防止中間人攻擊，尤其是SSL剝離等協議降級攻擊。HSTS具有一項特殊功能，它能夠強制要求Web服務器與所有用戶僅使用HTTPS進行交互。

但這并不意味著HSTS能夠一直奏效，因為HSTS只能在用戶首次訪問后與用戶進行配置。因此，理論上來說，攻擊者可以利用這種短暫的時間差，在HSTS配置到位之前使用SSL剝離之類的中間人攻擊。

這還不是全部。如今，SSL剝離已經讓位于其他現代工具，它們將許多中間人攻擊類型整合到一個工具包中，開展更為復雜的攻擊。

MITM惡意軟件

除此之外，用戶還必須應對使用中間人攻擊或帶有中間人模塊的惡意軟件變種。例如，某些針對Android用戶的惡意軟件類型(例如SpyEye和ZeuS)，就允許攻擊者竊聽傳入和傳出智能手機的所有數據通信形式。

這些惡意軟件一旦安裝在Android設備上，攻擊者就可以用其攔截所有形式的通信。其中最關鍵的信息是雙因素驗證碼。攻擊者可以在真實的安全網站上請求雙因素身份驗證碼，然后在用戶作出反應甚至了解正在發(fā)生的事情之前，對該驗證碼進行攔截。

如您所料，臺式機也并非不存在威脅。事實上存在很多專為中間人攻擊而設計的惡意軟件類型和漏洞利用工具包。更別提聯想曾在發(fā)貨之前在其筆記本電腦上安裝了支持SSL剝離的惡意軟件的事件了。

如何防范中間人攻擊?

中間人攻擊很難防御。攻擊者存在多種攻擊組合，這也就意味著防范中間人攻擊的方法也必須是多方位的：

• 使用HTTPS：確保您訪問的每個網站都使用HTTPS標頭。畢竟面對SSL剝離和中間人惡意軟件，確保使用HTTPS仍然是最好的防御選擇之一;
• 不要忽略警告：如果您的瀏覽器提示，您正在訪問的網站存在安全問題，那么就請引起足夠的重視。畢竟安全證書警告可以幫您直觀地判定您的登錄憑據是否會被攻擊者截獲;
• 不要使用公共Wi-Fi：如果可以的話，盡量不要使用公共Wi-Fi。有時，無法避免使用公共Wi-Fi，那么請下載并安裝虛擬專用網，為連接增加安全性。此外，在使用公共Wi-Fi連接時，請留意瀏覽器的安全警告。如果警告的數量突然猛增，那么很可能表明存在中間人攻擊或漏洞;
• 點擊電子郵件前，檢查電子郵件的發(fā)件人;
• 如果你是一個網站管理員，你應當執(zhí)行HSTS協議;
• 如果你的網站使用了SSL，確保你禁用了不安全的SSL/TLS協議。你應當只啟用了TLS 1.1和TLS 1.2;
• 運行并更新防病毒軟件：請確保防病毒軟件處于最新狀態(tài)，此外也可以考慮使用其他安全工具，例如Malwarebytes。

本文翻譯自：https://www.makeuseof.com/what-is-a-man-in-the-middle-attack/