什么是中间人攻击?

在中间人攻击中,攻击者将自己放置到受害者和他们要访问的服务之间,目的通常是为了窃取数据。

Share facebook icon linkedin icon twitter icon email icon

中间人

学习目标

阅读本文后,您将能够:

  • 定义中间人攻击
  • 探索几种类型的中间人攻击
  • 概述防止中间人攻击的方法

什么是中间人攻击?

在中间人攻击中,攻击者将自己放置到两个设备(通常是 Web 浏览器和 Web 服务器)之间,并拦截或修改这两者之间的通信。然后,攻击者可以收集信息并且假冒这两者中的任何一个。除了网站之外,这些攻击也可以针对电子邮件通信、DNS 查找和公共 WiFi 网络中间人攻击的典型目标包括 SaaS 业务、电子商务业务和金融应用的用户。

Man-in-the-middle Attack

您可以将中间人攻击者比作一个无赖的邮政工作人员,他坐在邮局里拦截了两个人之间通信。该邮政工作人员可以阅读私人邮件,甚至可以编辑这些信件的内容,然后再将其投递给预期的收件人。

举一个更现代的例子,中间人攻击者可以介入用户和他们想要访问的网站之间,并且收集其用户名和密码。这可以通过将用户和网站之间的 HTTP 连接作为目标来完成;劫持此连接后,攻击者可以充当代理来收集和修改用户与站点之间发送的信息。或者,攻击者可以窃取用户的 Cookie(由网站创建并存储在用户计算机上的小段数据,用于识别和其他用途)。攻击者可以使用窃取的这些 Cookie 来劫持用户的会话,从而在网站上假冒该用户。

中间人攻击也可以针对 DNS 服务器。DNS 查找过程允许 Web 浏览器通过将域名转换为 IP 地址来查找网站。在 DNS 中间人攻击(例如 DNS 欺骗和 DNS 劫持)中,攻击者可以盗用 DNS 查找过程,并将用户发送到错误的站点,通常是散布恶意软件和/或收集敏感信息的站点。

Man In The Middle Attack

什么是电子邮件劫持?

另一种常见的中间人攻击是电子邮件劫持;攻击者利用这种攻击将自己放置到电子邮件服务器和网络之间,从而潜入电子邮件服务器。一旦服务器失守,攻击者便可出于各种目的来监视电子邮件通信。一种这样的诈骗涉及了等待一人需要将钱转给另一人的机会(例如,顾客向企业付款)。然后,攻击者可以使用仿冒的电子邮件地址来要求将钱转入攻击者的帐户。电子邮件在收件人看来似乎合法且无害(“对不起,我的上一封电子邮件中有错字!我的帐号实际上是:XXX-XXXX”),让攻击得逞并造成经济损失。2015 年,比利时的一个网络犯罪团伙利用电子邮件劫持从多家欧洲公司窃取了超过 600 万欧元。

为什么使用公共 WiFi 网络会有风险?

WiFi 网络上常常发生中间人攻击。攻击者可以创建似乎无害的恶意 WiFi 网络,或者克隆合法的 WiFi 网络。一旦用户连接到失守的 WiFi 网络,攻击者可以监视该用户的网上活动。老练的攻击者甚至还可以将用户的浏览器重定向到合法网站的伪造副本。

有什么方法可以防止中间人攻击?

由于存在多种实施中间人攻击的方法,因此没有针对这类攻击的万能解决方案。防止针对 HTTP 流量的中间人攻击的一种最基本方法是采用 SSL/TLS,在用户和 Web 服务之间创建安全连接。不幸的是,这不是万无一失的解决方案,因为一些更复杂的中间人攻击可以绕过 SSL/TLS 保护。为了进一步防范此类攻击,一些 Web 服务实施了HTTP 严格传输安全(HSTS),强制与任何浏览器或应用进行安全的SSL/TLS 连接,以阻止任何不安全的 HTTP 连接,并防止 Cookie 盗窃。通过 Cloudflare 博客进一步了解 HSTS,或检查您的网站的 HTTPS 使用情况

也可以利用身份验证证书来防止中间人攻击。组织可以在其所有设备上实施基于证书的身份验证,以便只有具有正确配置的证书的用户才能访问其系统。

要防止电子邮件劫持,可以使用安全/多用途 Internet 邮件扩展(S/MIME)。此协议对电子邮件进行加密,并允许用户用唯一数字证书对电子邮件进行数字签名,让接收者知道该邮件是合法的。

个人用户也可以避免在任何公共 WiFi 网络上提交任何敏感信息,除非有安全虚拟专用网络(VPN)的保护,从而保护自己免受中间人攻击。