【网络安全】一文带你了解什么是【中间人攻击】

目录

[1 什么是中间人攻击？](#1 什么是中间人攻击？)

[2 中间人攻击的实现过程](#2 中间人攻击的实现过程)

[2.1 攻击者插入通信链路](#2.1 攻击者插入通信链路)

[2.2 实施中间人攻击](#2.2 实施中间人攻击)

[2.3 获取并处理数据](#2.3 获取并处理数据)

[2.4 清除痕迹](#2.4 清除痕迹)

[2.5 实际操作中的示例](#2.5 实际操作中的示例)

[3 基于拦截和篡改加密通信的具体技术实现细节](#3 基于拦截和篡改加密通信的具体技术实现细节)

[3.1 中间人攻击基础知识](#3.1 中间人攻击基础知识)

[3.2 实现中间人攻击的步骤](#3.2 实现中间人攻击的步骤)

[3.2.1 获取公钥](#3.2.1 获取公钥)

[3.2.2 截取和篡改数据](#3.2.2 截取和篡改数据)

[3.2.3 重新加密和发送](#3.2.3 重新加密和发送)

---

1 什么是中间人攻击？

中间人攻击（Man-in-the-Middle Attack，简称MITM）是一种网络攻击方式，攻击者在通信的双方之间插入自己，并充当中间人，能够拦截、篡改或伪造通信内容。具体来说，

中间人攻击通常包括以下几个步骤：

1. 拦截通信：攻击者通过各种手段（如Wi-Fi嗅探、DNS篡改等）截获通信双方之间的数据流。
2. 伪装身份：攻击者伪装成通信的一方，与另一方建立连接，使得双方都认为自己是在与合法的通信对象进行交流。
3. 篡改或窃取数据：一旦成功插入通信链路，攻击者可以读取、修改、删除或伪造传输的数据。

中间人攻击常见的实施方法包括：

• Wi-Fi嗅探：攻击者在公共Wi-Fi环境中，使用特定工具捕获并分析传输的数据。
• ARP欺骗：攻击者通过发送伪造的ARP消息，欺骗局域网内的设备，使得其流量通过攻击者的设备。
• DNS篡改：攻击者通过篡改DNS解析结果，将用户引导到伪造的恶意网站。

防御中间人攻击的措施包括：

1. 使用加密通信：确保使用HTTPS、TLS等加密协议，保护数据传输的安全性。
2. 验证证书：检查并验证服务器的SSL/TLS证书，防止连接到伪造的服务器。
3. 使用VPN：通过VPN加密所有网络流量，增加通信的安全性。
4. 注意网络环境：避免在不安全的公共Wi-Fi网络上进行敏感信息的传输。

通过这些防御措施，可以有效降低中间人攻击的风险，保护个人和企业的网络安全。

2 中间人攻击的实现过程

中间人攻击的实现过程因具体方法和目标不同而有所差异，但基本流程通常可以分为以下几个步骤：

2.1 攻击者插入通信链路

1. 监听网络流量：攻击者首先需要进入目标网络，例如连接到目标的Wi-Fi网络。这可以通过公共Wi-Fi、未加密的家庭网络等方式实现。

2. 拦截通信：攻击者通过工具（如Wireshark、Ettercap等）捕获并分析网络流量，识别目标设备和通信方式。

2.2 实施中间人攻击

1. ARP欺骗：

   • 发送伪造的ARP消息：攻击者向目标设备和网关发送伪造的ARP响应，更新其ARP缓存，使得目标设备认为攻击者的MAC地址是网关的地址，而网关则认为攻击者的MAC地址是目标设备的地址。
   • 中继流量：此时，目标设备和网关之间的所有流量都会经过攻击者的设备，攻击者可以读取、修改或注入数据。

2. DNS欺骗：

   • DNS劫持：攻击者通过伪造DNS响应，使得目标设备将域名解析到攻击者控制的IP地址。
   • 伪造网站：攻击者设置一个与合法网站看起来相似的伪造网站，诱导用户输入敏感信息，如登录凭据、支付信息等。

3. SSL剥离（SSL Stripping）：

   • 劫持HTTPS请求：攻击者将目标设备的HTTPS请求降级为HTTP请求，通过伪造的HTTP页面与目标设备通信。
   • 转发请求：攻击者将目标设备的请求转发给真实的HTTPS服务器，并将服务器的响应转发回目标设备。在这个过程中，攻击者可以查看并修改传输的数据。

2.3 获取并处理数据

1. 读取数据：攻击者可以捕获并查看未加密的敏感信息，如登录凭据、电子邮件、聊天记录等。

2. 篡改数据：攻击者可以在数据传输过程中插入恶意代码、修改通信内容，甚至注入广告等。

3. 记录数据：攻击者可以将捕获的数据记录下来，用于后续分析或进一步的攻击。

2.4 清除痕迹

1. 恢复网络配置：在完成攻击后，攻击者会清除或还原对目标网络的修改，以避免被发现。例如，清除伪造的ARP缓存条目。

2. 删除日志：攻击者会删除工具生成的日志文件，以掩盖其活动痕迹。

2.5 实际操作中的示例

ARP欺骗攻击示例：

1. 攻击者使用ARP欺骗工具（如Ettercap）发送伪造的ARP消息，将目标设备的网关MAC地址更改为攻击者的MAC地址。
2. 目标设备的所有网络流量都会经过攻击者的设备。
3. 攻击者使用Wireshark捕获并分析流量，提取敏感信息。

DNS欺骗攻击示例：

1. 攻击者在本地网络中设置DNS服务器，并通过DHCP或ARP欺骗将目标设备的DNS请求指向该服务器。
2. 当目标设备请求解析某个域名时，攻击者返回伪造的IP地址，将目标引导到恶意网站。
3. 目标设备连接到伪造网站，攻击者窃取用户输入的敏感信息。

SSL剥离攻击示例：

1. 攻击者使用SSL剥离工具（如SSLStrip）监听目标设备的HTTPS请求，并将其降级为HTTP请求。
2. 攻击者在HTTP请求和HTTPS服务器之间充当中间人，捕获并转发通信数据。
3. 攻击者可以查看并修改传输的数据。

通过这些具体步骤和工具，中间人攻击可以在目标设备和网络环境中悄无声息地进行，造成严重的安全威胁。

3 基于拦截和篡改加密通信的具体技术实现细节

3.1 中间人攻击基础知识

在HTTPS通信中，服务器会向客户端提供一个SSL/TLS证书，该证书包含服务器的公钥。客户端使用这个公钥来加密会话密钥，然后服务器使用其私钥解密会话密钥，之后的通信都用这个会话密钥进行加密。

3.2 实现中间人攻击的步骤

3.2.1 获取公钥

1. 拦截初始连接：

   • 当客户端与服务器建立连接时，攻击者拦截此连接并与双方分别建立连接。
   • 攻击者充当中间人，与服务器建立真实的SSL/TLS连接，获取服务器的公钥。

2. 生成伪造证书：

   • 攻击者生成一个伪造的证书，并在该证书中包含攻击者自己的公钥。
   • 伪造证书通常会使用自签名证书或伪造的根证书。如果客户端没有严格检查证书链或不正确配置证书验证，则可能不会察觉到伪造证书。

3.2.2 截取和篡改数据

1. 中继通信：

   • 攻击者将伪造的证书发送给客户端，客户端认为它是在与目标服务器通信并使用伪造证书的公钥加密会话密钥。
   • 攻击者使用自己的私钥解密会话密钥，从而能够解密和篡改客户端发送的数据。

2. 篡改数据：

   • 攻击者解密传输的数据包，可以读取和修改其中的内容，然后重新加密后发送给目标服务器。
   • 攻击者可以通过中间人代理（如Mitmproxy）实时修改数据内容，例如修改HTTP响应中的HTML代码、注入恶意脚本等。

3.2.3 重新加密和发送

• 攻击者在篡改数据后，使用服务器的公钥重新加密数据，然后发送给服务器。
• 对于服务器发送的数据，攻击者同样可以解密、篡改并重新加密后发送给客户端。