什么是中间人攻击？

中间人攻击（通常缩写为MitM或MiM）是一种会话劫持网络攻击。黑客拦截数字共享的信息，通常是作为窃听者或冒充他人。这种类型的攻击非常危险，因为它可能会导致一些风险，如信息被盗或虚假通信，通常很难检测到这些危险，因为情况对合法用户来说似乎完全正常。

本文将涵盖您需要了解的关于中间人攻击的点，包括：

什么是中间人攻击？

中间人攻击是怎样的？

中间人攻击有哪些不同的攻击类型？

中间人攻击的潜在风险是什么？

中间人攻击是如何演变的？

现实生活遭受中间人攻击的例子

如何防范中间人攻击？

什么是中间人攻击？

中间人攻击发生在第三方不知道合法参与者的情况下拦截数字对话时。此对话可以发生在两个人类用户、一个人类用户和一个计算机系统或两个计算机系统之间。

在任何这些情况下，攻击者都可能只是简单地窃听对话以获取信息（考虑登录凭据、私人账户信息等）。或者他们可能会模拟其他用户来操纵对话。在后一种情况下，攻击者可能会发送错误信息或共享恶意链接，这可能会导致系统崩溃，或为其他网络攻击打开大门。通常情况下，合法用户不会意识到他们实际上正在与非法第三方通信，直到发生损害以后才意识到。

中间人攻击的一个例子是会话劫持。其他类型的会话劫持攻击包括站点脚本、会话侧劫持、会话固定和暴力攻击。

中间人攻击是怎样的？

执行中间人攻击需要黑客访问用户的连接。最常见的方法之一是创建一个公共的wifi热点，附近的任何人都可以加入，不需要密码。一旦用户加入这个网络，黑客就可以访问他们所有的数字通信，甚至记录基建，充当中间人。

公共wifi的例子是发动中间人攻击最常见和最简单的方法，但这并不是唯一的方法。其他常见方法包括：

将用户引导到假网站：黑客可以通过IP或DNS进行欺骗，将用户引导到假网站，而不是他们的预期的网站。当黑客更改IP地址中的数据包头时，就会发生IP欺骗，而当黑客访问DNS服务器并更改网站的DNS记录时，就会发生DNS欺骗。在哪种情况下，用户最后都会访问到黑客设置的假网站（在那里他们可以捕获所有信息），尽管它看起来非常真实。

变更数据传输路径：黑客可以通过进行ARP欺骗来重新路由通信的目的地。当黑客将其MAC地址连接到属于参与通信的合法用户之一的IP地址时，就会发生这种情况。一旦他们建立连接，黑客就可以接收合法用户IP地址的任何数据。

在某些情况下，通信数据可能会被泄露，但在数据加密的情况下，中间人攻击需要另一个步骤，才能读取这些信息。黑客可以尝试通过以下方法来解密任何加密的信息：

SSL劫持：黑客伪造身份验证密钥来建立一个看似合法、安全的会话。然而，由于黑客拥有这些密钥，他们实际上可以控制整个对话。

SSL BEAST:黑客针对SSL中的一个漏洞，在用户的设备上安装恶意软件，该恶意软件可以拦截保持数字通信隐私和安全的加密Cookie。

SSL剥离：黑客可以将更安全的HTTPS连接转换为不太安全的HTTP连接，进而从Web会话中删除加密，并公开在会话期间的所有通信。

中间人攻击的不同类型

中间人攻击有不同的种类：每一种对受害者可能产生不同的后果。中间人攻击的常见类型包括：

监听获取信息

黑客可以在任何一段时间内窥探对话，以捕获他们以后需要用到的信息。他们不一定需要以任何方式改变通信，但如果他们能够访问共享的详细信息，他们就可以随时了解到机密信息或获得随时使用的登录凭据。

改变通信

黑客可以使用像SSL劫持这样的技术，通过假装是另一个用户来改变通信。例如：假设Alice和认为他们是在互相交流。在这种情况下，黑客可能会坐在对话的中间，改变彼此发送的信息。这种方法可用于发送虚假信息，共享恶意链接，甚至拦截重要的细节，如用户发送他们的银行账户和路由号码存款。

将用户引导到一个假网站

黑客可以将用户引导到一个假网站(一个常见的例子是通过网络钓鱼尝试)，看起来与用户的预期目的网站完全相同。此设置允许他们获取任何用户给合法网站提交的信息，如登录凭据或账户详细信息。反过来，黑客可以利用这些信息冒充实际网站上的用户，访问财务信息，更改信息，甚至发送虚假信息。

中间人攻击的潜在风险是什么？

中间人攻击可能导致各种负面影响。事实上，中间人攻击往往是黑客发动更大更有影响力的攻击的垫脚石。考虑到这一点，中间人攻击最大的潜在风险包括：

欺诈性交易

中间人攻击可能导致欺诈性交易，通过窃听收集登录和账户信息，或重新路由转移。通常情况下，这适用于银行或信用卡直接支付的金融交易。

盗窃机密信息

捕获用户的登录凭证，将其发送到虚假网站，甚至只是窃听电子邮件，都会导致机密信息被盗。对于那些保护知识产权或收集客户健康记录或社会安全号码等敏感数据的大型组织来说，这一后果令人担忧。随着越来越多的隐私立法的出现，要求各种企业保护他们处理有关客户的信息，这也是一个担忧。

访问其他系统

通过中间人攻击窃取用户的登录凭证也可以让黑客访问任何数量的额外系统。这意味着，即使只有一个系统容易受到攻击，它也可能使其他更安全的系统更容易受到攻击。总的来说，这种情况需要组织的安全团队确保没有薄弱环节，无论任何给定的连接点看起来多么简单。

通过恶意软件进行广泛攻击

黑客可以利用中间人攻击与用户共享恶意软件。反过来，这种恶意软件可能会导致广泛的攻击，例如摧毁整个系统，或提供对信息或系统的持续访问，以执行长期攻击。

中间人攻击是如何演变的？

两种趋势引起了中间人攻击的演变，并因此增加了组织的风险。

首先是移动和分布式工作环境的兴起，这最终意味着更多人通过公共wifi网络进行连接（供个人和商业使用）。这种情况越常见，它为黑客通过这些不安全连接获得访问的机会就越多。

其次，也是未来组织更关注的，是物联网（IoT）设备和机器身份的增加。物联网设备不仅需要不同类型的安全措施而且还可以创建更多需要身份验证的连接点和认证。如果没有适当的保护，这些机器会为黑客创建各种访问点，其中许多似乎是无辜的（即HVAC单元)。无论它们看起来多么微不足道，所有这些机器都需要强大的安全性，例如通过加密和定期更新，以确保它们遵守最新的安全协议，以避免使它们容易受到中间人攻击。

现实生活中一个人处于中间人攻击的例子是什么？

不幸的是，中间人攻击很常见。这种攻击的一些最著名的例子包括：

欧洲的企业银行账户盗窃案

2015年，欧洲当局逮捕了49名嫌疑人，他们在欧洲各地使用中间人攻击实施了一系列银行账户盗窃案。该组织通过访问企业电子邮件账户，监控通信来查看付款交易，然后将这些交易转移到自己的账户，从欧洲公司窃取了大约600万美元。这次攻击包括网络钓鱼的尝试，以及建立起来旨在看起来真实的假网站。

移动银行应用程序的错误证书使用情况

2017年，研究人员发现了包括汇丰银行、NatWest银行、Co-op、桑坦德银行和爱尔兰联合银行等主要银行在移动应用中使用的认证技术的一个缺陷。该缺陷意味着，与合法用户在同一网络上的黑客可以通过未正确验证应用程序的主机名来访问登录用户名、密码和Pin等登录凭据。

有了这种访问，黑客可以让中间人攻击者查看和收集信息，假冒合法用户采取行动，甚至启动应用内网络钓鱼攻击。有趣的是，在这种情况下提供访问权限的弱点源于处理证书的过程管理不当，这些过程实际上是为了提高安全性。

Equaxl域安全故障

2017年，美国最大的信用报告机构之一Equifax成为无安全域名连接中间人攻击的受害者，导致超过1亿消费者的个人信用信息被盗。该攻击始于Equifax未能修复其使用的开发框架中的一个漏洞，该漏洞允许黑客将恶意代码插入到HTTP请求中。从那里，黑客能够访问内部系统，并窃听用户会话，收集各种信息长达数月。

如何保护防范中间人攻击？

中间人攻击仍然频繁出现，因此对用户和组织安全构成严重威胁。尽管这些攻击的威胁很大，但您的组织的安全团队和用户都可以采取以下几个步骤来防范这些风险。最佳的保护措施包括：

1）注意连接点

黑客获得执行中间人攻击最常见的方式之一是通过不安全的连接点，比如公共wifi。因此，用户小心连接点是非常重要的。应该避免使用公共wifi（如果系统连接到公共网络，当然不会登录到任何系统），并使用VPN对网络连接进行加密。

2）对用户开展关于网络钓鱼攻击知识的宣传

网络钓鱼攻击是中间人攻击的另一个常见入口，最好的网络钓鱼攻击可能令人非常信服。教育用户关于这些攻击以及它们是如何发展的，可以帮助他们发现网络钓鱼攻击，避免成为受害者。

3）通过输入URL和单击一个链接来导航到网站

通过输入URL而不是点击链接导航到网站是帮助防止钓鱼攻击成功的最佳做法，因为黑客的常用策略是通过将用户引导到虚假网站或嵌入恶意软件来启动中间人攻击。这样做可以避免黑客发送一个稍微修改过的链接，从而打开攻击的大门。

4）始终通过使用HTTPS来验证站点的合法性和安全性

当用户输入一个网站的URL地址时，他们还应该包括HTTPS，并确保他们访问的任何网站都具有这种级别的安全性。检查HTTPS协议可能看起来很简单，但在共享敏感信息之前，它可以帮助验证站点的合法性和安全性。

5）教育用户了解正常登录过程

最近几次中间人攻击要求用户通过某些步骤登录一个实际上非正常登录过程的网站，尽管他们看起来完全合法。教育用户关于正常的登录过程所做的和不需要的事情，可以帮助他们更容易地识别出不寻常的情况。

6）了解用户的正常登录习惯

在安全团队方面，了解用户的正常登录习惯可以帮助更容易地标记任何异常的模式。例如，如果大多数用户倾向于在工作日登录，但突然之间在周末的活动激增，这可能令人担忧，需要进一步的调查。

7）尽可能使用多因素身份验证

要求用户使用多因素身份验证登录可以提供另一层保护，防止中间人攻击，即使黑客设法获得用户名/密码组合，没有其他的验证，他们也无法登录账户。（比如通过短信发送的信息。）

这种方法并不是无懈可击的，因为最近一些处于中间人攻击已经破解了这种方法，但它确实提供了明显的保护。

8）完成后退出安全会话

强制用户在完成安全会话后就退出是一个重要的做法，因为关闭会话将结束从合法和非法来源对它的任何访问。换句话说，一个会话持续的时间越长，黑客能够以任何方式访问它的风险就越大。

9）优先考虑PKI，特别是对于越来越多的机器身份

最后，一个强大的PKI程序对于验证用户（包括人类和机器）之间的连接和加密他们的通信是至关重要的。PKI的最佳实践方法需要一个高度敏捷的系统，能够跟上快速增加的身份数量，一致应用安全标准，并定期更新加密密钥，以避免密钥泄露等风险。