By Stanley
中間人攻擊 Man-in-the-middle Attack
在 之前的文章 我們提到了有關Wi-Fi的安全性演化,以及如何有效提升自身的連線安全,而在文中對於可能受到之危害僅以「中間人攻擊」五個字簡單帶過,那麼這次就讓小編簡單來介紹何為中間人(Man-in-the-Middle)攻擊,以及大致上會透過那些方式來進行攻擊吧!
何為中間人攻擊
所謂中間人攻擊是指攻擊者冒充受害者與他人的連線,藉此插入受害者的通話連線中,並透過嗅探等方式獲取通話間的資料,如下圖所示,受害者根據網站要求填入資料時,攻擊者趁機插入了雙方之間的連線,若是受害者將自身帳號、密碼等機密資料傳送給網站時,攻擊者便能攔截這些封包,並將上面的資料複製一份後再傳至網站伺服器,由於上述情況發生的當下及事後網站皆正常運行,受害者的操作也能正常地得到回應,因此很難去察覺到攻擊的發生。
除了上面的範例外,中間人攻擊還具有各種各樣手法,以下是六個較為常見的方式。
- IP欺騙 (IP Spoofing)
這種方式是攻擊者透過偽造來源地址,讓受害者以為自身的連線對象是他們所信任的目標,藉此讓受害者的機密資料洩漏給攻擊者。
- DNS欺騙(DNS Spoofing)
DNS (Domain Name System)簡單來說就是能讓都是數字的IP位址更改為人類較容易記憶的名稱,為了加快讀取,DNS通常會以快取的方式存取已對應的IP位址,並短時間內都不會再次詢問其IP,而DNS欺騙便是攻擊者利用提供錯誤的IP位址,使得伺服器將DNS導向至惡意的網頁。
- ARP欺騙 (ARP spoofing)
ARP(Address Resolution Protocol)是一種通訊協定,其用處是以網路位址定位MAC位址,而每台電腦都會有ARP表來記錄這些對應,攻擊者可以不斷傳送竄改過MAC位址的封包給受害電腦,並讓該電腦持續將錯誤的紀錄寫入ARP表,此後若是受害者欲連接至其他電腦時,便會把封包傳至遭竄改後的MAC位址,攻擊者則能在此位址截取封包。
- Email挾持 (Email hijacking)
所謂的Email挾持其實就是所謂的釣魚郵件,攻擊者透過偽造自己的寄件地址,或是利用帳密外流的信箱冒充受害者所信任的對象,以此將人引導至惡意網頁或是誘騙人去下載惡意程式。
- SSL剝離 (SSL Stripping)
HTTPS可用於保護用戶的資訊不被人竊取,許多網站也都逐漸以這種方式進行連線,而在此種攻擊手法中,攻擊者攔截受害者的HTTPS請求,再將其轉送到受害者欲連線之伺服器,隨後攻擊者便能收到伺服器的回應並能將其從HTTPS降級成HTTP再轉傳至受害者,在這之後受害者將會變成在HTTP的連線下進行操作,而眾所皆知的是HTTP並不安全。
- WiFi竊聽 (WiFi Eavesdropping)
此種情形通常發生在公共場所中,由於手機或是具有無線網路卡的設備常會自動連入信號較強的WiFi,因此受害者若是未禁止自動連線功能的話,便有可能遭遇這種危害,首先公共場所的WiFi很多都是未加密的,未加密的連線若是遭人竊聽後,其內容將會以明文的方式洩漏給對方;此外攻擊者也可以自行提供WiFi熱點,將其公開給所有人,然後等人上鉤,一旦有人連入這個WiFi後,攻擊者便能自由地監聽受害者的網路流量。
結論
雖然中間人攻擊相當多變,但基本上都有共通點,那便是透過冒充身分,使受害者誤認為自己是在與他們所信任的對象進行聯繫。以上便是中間人攻擊的簡單介紹,小編在此建議讀者養成良好的習慣,不隨意點擊來路不明的信件,並隨時注意網頁是以HTTPS進行連線,至於WiFi相關的防護 這一篇文章 有更詳細的說明。
Reference
What is a Man in the Middle Attack? How Does it Work?