根據(jù)Domo 的“ Data Never Sleeps 6.0”報告，每天有超過250億字節(jié)的數(shù)據(jù)被創(chuàng)建并上傳到互聯(lián)網(wǎng)上。這些數(shù)據(jù)很多都是保密的：個人信息，銀行轉(zhuǎn)帳，文件，憑證。在網(wǎng)絡(luò)端點之間安全地傳輸這些數(shù)據(jù)是很重要的。

[[345089]]

TCP/IP是目前應(yīng)用最廣泛的數(shù)據(jù)傳輸協(xié)議，具有很高的兼容性。然而，TCP/IP漏洞對黑客來說是眾所周知的。TCP協(xié)議使用開放通道進(jìn)行數(shù)據(jù)傳輸，攻擊者可以濫用此通道來訪問、監(jiān)聽和修改流量。

網(wǎng)絡(luò)犯罪分子可以使用多種類型的攻擊來攔截傳輸中的數(shù)據(jù)，這些攻擊的模式、目標(biāo)和部署各不相同。在這里，我們將討論如何保護(hù)網(wǎng)絡(luò)免受中間人（MITM）攻擊。

在本文中，我們模擬了在未受保護(hù)的網(wǎng)絡(luò)上的這種攻擊。我們使用帶有兩個網(wǎng)絡(luò)接口卡的計算機(jī)來攔截流量，并使用Wireshark分析流量。我們還討論了加密是否是保護(hù)數(shù)據(jù)免受MITM攻擊的有效方法。

什么是MITM攻擊？

中間人攻擊（Man-in-the-MiddleAttack，簡稱“MITM攻擊”）是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的一臺計算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺通信計算機(jī)之間，這臺計算機(jī)就稱為“中間人”。

MITM攻擊是一種由來已久的網(wǎng)絡(luò)入侵手段，并且當(dāng)今仍然有著廣泛的發(fā)展空間，如SMB會話劫持、DNS欺騙等攻擊都是典型的MITM攻擊。簡而言之，所謂的MITM攻擊就是通過攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù)，并進(jìn)行數(shù)據(jù)篡改和嗅探，而通信的雙方卻毫不知情。所以很難檢測到這種攻擊，因為它不會直接影響網(wǎng)絡(luò)。

MITM攻擊的典型情況：

· 有一個由多臺機(jī)器交換數(shù)據(jù)的網(wǎng)絡(luò)。

· 攻擊者想要攔截數(shù)據(jù)，甚至更改其中一臺計算機(jī)通過網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)。

· 攻擊者充當(dāng)目標(biāo)計算機(jī)和網(wǎng)絡(luò)之間的中介，攔截它們之間的流量。

默認(rèn)連接和MITM連接之間的區(qū)別

MITM攻擊有多種形式。ARP欺騙是最普遍的一種，它基于一個地址解析協(xié)議（ARP）漏洞：該協(xié)議無法確認(rèn)ARP請求和響應(yīng)的真實性。ARP欺騙很常見，因為計算機(jī)網(wǎng)絡(luò)接口允許免費(fèi)的ARP。

現(xiàn)在，讓我們模擬一個MITM攻擊，看看我們是否可以攔截流量并從目標(biāo)獲取數(shù)據(jù)。

配置MITM攻擊

對于我們的MITM攻擊示例，我們將創(chuàng)建一個簡單的網(wǎng)絡(luò)，其中兩臺計算機(jī)交換數(shù)據(jù)并在它們之間放置一個MITM設(shè)備。我們將使用一臺帶有兩個網(wǎng)絡(luò)接口卡的計算機(jī)作為MITM設(shè)備。我們的網(wǎng)絡(luò)如下所示：

我們的示例網(wǎng)絡(luò)方案

以下是如何將標(biāo)準(zhǔn)Windows計算機(jī)轉(zhuǎn)換為MITM設(shè)備：

1.將MITM設(shè)備放置在要攔截其數(shù)據(jù)的設(shè)備與網(wǎng)絡(luò)其余部分之間。在我們的示例中，我們將第一臺計算機(jī)連接到MITM設(shè)備的一個以太網(wǎng)端口，并將第二臺計算機(jī)插入同一設(shè)備上的第二個以太網(wǎng)端口。

2.在MITM設(shè)備上橋接這些以太網(wǎng)連接。默認(rèn)情況下，Windows可以執(zhí)行此操作。只需轉(zhuǎn)到設(shè)置-以太網(wǎng)-網(wǎng)絡(luò)和共享中心-更改適配器選項。

創(chuàng)建MITM設(shè)備-步驟1。

創(chuàng)建MITM設(shè)備-步驟2。

3.選擇具有要橋接的連接的網(wǎng)絡(luò)接口，右鍵單擊它們，然后選擇“橋接連接”。

創(chuàng)建MITM設(shè)備-步驟3。

創(chuàng)建網(wǎng)橋后，我們的中間人攻擊就可以使用了。目標(biāo)計算機(jī)將連接到網(wǎng)絡(luò)，而不會發(fā)出有關(guān)流量被攔截、掃描或更改的警報。

現(xiàn)在我們可以攔截目標(biāo)的流量。讓我們看看能否恢復(fù)“它發(fā)送的數(shù)據(jù)”。

使用Wireshark分析網(wǎng)絡(luò)流量

有很多分析流量的工具：

· Wireshark

· tcpdump

· Kismet

· Cain & Abel

在我們的例子中，我們將使用Wireshark。它是最流行的協(xié)議分析程序之一，具有強(qiáng)大的網(wǎng)絡(luò)診斷功能。Wireshark配備了功能強(qiáng)大的過濾器系統(tǒng)和用戶友好的界面，可與各種類型的網(wǎng)絡(luò)協(xié)議配合使用。此外，Wireshark可以截取流媒體視頻和圖像，與SIP，RTCP，SRTP和其他語音協(xié)議配合使用，并節(jié)省語音流量。

在其監(jiān)視模式下，Wireshark允許您將所有流量轉(zhuǎn)儲到一個文件中，并通過應(yīng)用不同的過濾器對其進(jìn)行分析或解密。

為了開始使用Wireshark，我們必須選擇要攔截其流量的接口。 

啟動Wireshark

讓我們選擇連接到第一臺計算機(jī)的接口并分析傳入的數(shù)據(jù)。運(yùn)行嗅探器后，我們可以輸入目標(biāo)計算機(jī)的IP地址和TCP數(shù)據(jù)包類型：

ip.host==10.100.5.149 && tcp

現(xiàn)在，我們可以偵聽來自第一臺計算機(jī)的流量了。

為了模擬MITM攻擊，我們在第一臺計算機(jī)上生成了一個秘密文件?，F(xiàn)在，我們將這個未加密的文件通過不受保護(hù)的通道發(fā)送到第二臺計算機(jī)。

未加密數(shù)據(jù)

我們已經(jīng)在第二臺計算機(jī)上成功接收了此文件，現(xiàn)在我們可以查看它的數(shù)據(jù)。

截獲的數(shù)據(jù)

同時，我們的MITM設(shè)備攔截了目標(biāo)計算機(jī)之間的流量并進(jìn)行了復(fù)制。

現(xiàn)在我們可以檢查截獲的TCP數(shù)據(jù)包中的數(shù)據(jù)，并將其與第二臺計算機(jī)上的數(shù)據(jù)進(jìn)行比較。

比較數(shù)據(jù)

如您所見，在我們的場景中，不受保護(hù)的數(shù)據(jù)最終落入了攻擊者的手中?，F(xiàn)在讓我們看看加密是否有助于減輕這種威脅。

通過加密保護(hù)數(shù)據(jù)

防止中間人攻擊的最流行方法是對通信進(jìn)行加密。它的工作原理如下：當(dāng)服務(wù)器傳輸數(shù)據(jù)時，它通過提供數(shù)字證書來向客戶機(jī)標(biāo)識自己。然后，在客戶端和服務(wù)器之間建立加密的通信通道。

有兩種流行的加密客戶端或服務(wù)器數(shù)據(jù)的方法：

1.對稱加密，是一種使用一個加密密鑰對消息進(jìn)行加密和解密的系統(tǒng)。密鑰成為通信雙方之間的共享秘密。

這種保護(hù)方法的主要優(yōu)點是加密速度快。缺點是需要一個安全通道在所有通信參與者之間分發(fā)密鑰。如果黑客截獲了密鑰，他們可以輕松地解密傳輸?shù)臄?shù)據(jù)。

[[345091]]

對稱加密是一種古老而廣泛使用的加密數(shù)據(jù)的方法。例如，美國政府有義務(wù)使用高級加密標(biāo)準(zhǔn)（AES）對通信進(jìn)行加密。AES是一種對稱塊加密算法。 

2.非對稱加密，使用公共和專用加密密鑰來保護(hù)傳輸?shù)臄?shù)據(jù)。公鑰是每個人都知道的。它通過開放的通信通道傳輸，并用于加密數(shù)據(jù)。私鑰僅對于消息接收者是已知的，并用于解密該數(shù)據(jù)。

這種加密類型允許通過開放通道交換密鑰。只有私有密鑰必須由其所有者安全地存儲。一方面，非對稱加密比對稱加密更可靠。另一方面，加密過程需要更多的計算和時間。當(dāng)需要加密和解密數(shù)據(jù)并且不追求過程的速度時，此方法比較適用。

非對稱加密用于具有HTTPS支持，銀行系統(tǒng)，信使和其他服務(wù)的網(wǎng)站對數(shù)據(jù)進(jìn)行加密。甚至為加密貨幣提供支持的流行區(qū)塊鏈技術(shù)也使用基于非對稱加密的電子簽名來驗證交易。 

3.混合加密是對稱加密和非對稱加密方法的結(jié)合版。通過這種加密，可以使用單個密鑰通過對稱加密對數(shù)據(jù)進(jìn)行加密。然后使用非對稱加密對該密鑰進(jìn)行加密，并與數(shù)據(jù)一起發(fā)送。

這樣，您既可以擁有對稱方法的加密速度，又可以擁有非對稱方法的可靠性。但是，這種類型的加密仍然不是完美的。例如，它容易受到自適應(yīng)選擇密文攻擊。

TLS和PGP協(xié)議是基于混合加密。

在加密通信中，傳輸級加密協(xié)議確保了受保護(hù)的客戶端及服務(wù)器數(shù)據(jù)交換。該協(xié)議有兩種版本： 

· 安全套接字層（SSL）-舊版本

· 傳輸層安全性（TLS）–較新的

SSL不如新的TLS安全。這兩種協(xié)議都使用非對稱加密來驗證通信方的身份，對稱加密用于確保數(shù)據(jù)交換的機(jī)密性。此外，這些加密協(xié)議通過消息認(rèn)證碼確保消息的完整性。這些保護(hù)措施允許TLS/SSL在沒有加密密鑰的情況下不能竊聽或訪問流量。

現(xiàn)在我們已經(jīng)介紹了基本的加密方法。讓我們用TLS協(xié)議加密一段數(shù)據(jù)，看看它是否能提供可靠的保護(hù)來抵御MITM攻擊。

當(dāng)我們重新創(chuàng)建本文前面部分所述的攻擊時，我們的MITM設(shè)備仍然能夠截獲在兩臺目標(biāo)計算機(jī)之間傳輸?shù)腡CP包。但現(xiàn)在截獲的數(shù)據(jù)用TLS協(xié)議加密：

加密數(shù)據(jù)的內(nèi)容

如您所見，加密的數(shù)據(jù)包看起來像是符號的混亂集合。如果攻擊者截獲這些數(shù)據(jù)包，他們將幾乎沒有機(jī)會破譯加密數(shù)據(jù)。即使攻擊成功，被截獲的數(shù)據(jù)對攻擊者也沒有任何用處，因此不會受到威脅。

結(jié)論

MITM攻擊是最廣泛，最有效的黑客攻擊類型之一。雖然無法完全保護(hù)您的網(wǎng)絡(luò)不會受到此類攻擊，但您可以確保您的數(shù)據(jù)保持受保護(hù)。

加密通信是任何網(wǎng)絡(luò)安全項目的重要組成部分。這是最可靠的方法，即使攻擊者可以攔截，也可以確?？缇W(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)受到保護(hù)。

本文翻譯自：https://www.apriorit.com/dev-blog/648-cybersecurity-encryption-for-mitm-attacks如若轉(zhuǎn)載，請注明原文地址