中间人劫持攻击

最新推荐文章于 2024-07-16 10:30:27 发布
最新推荐文章于 2024-07-16 10:30:27 发布
阅读量3k 收藏 4
点赞数 2
分类专栏: 安全 文章标签: 中间人攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bulldozer_gd/article/details/109459075
版权

中间人劫持攻击

HTTPS在建立了TCP连接之后,会进行SSL握手(SSL Handshake)来校验证书,协商加密协议和对称加密的密钥,之后就会使用协商好的密钥来进行传输。所以HTTPS攻击一般分为SSL连接建立前的攻击,以及HTTPS传输过程中的攻击

常见的HTTPS中间人攻击,首先需要结合ARP、DNS欺骗等技术,来对会话进行拦截,

1、SSL证书欺骗攻击

此类攻击较为简单常见。首先通过ARP欺骗、DNS劫持甚至网关劫持等等,将客户端的访问重定向到攻击者的机器,让客户端机器与攻击者机器建立HTTPS连接(使用伪造证书),而攻击者机器再跟服务端连接。这样用户在客户端看到的是相同域名的网站,但浏览器会提示证书不可信,用户不点击继续浏览就能避免被劫持的。所以这是最简单的攻击方式,也是最容易识别的攻击方式。
在这里插入图片描述

ssl证书欺骗
防范措施 :
钓鱼类攻击,App直接调用系统API创建的HTTPS连接(NSURLConnection)一般不会受到影响,只使用默认的系统校验,只要系统之前没有信任相关的伪造证书,校验就直接失败,不会SSL握手成功;但如果是使用WebView浏览网页,需要在UIWebView中加入较强的授权校验,禁止用户在校验失败的情况下继续访问。

2 SSL剥离攻击(SSLStrip)

SSL剥离,即将HTTPS连接降级到HTTP连接。假如客户端直接访问HTTPS的URL,攻击者是没办法直接进行降级的,因为HTTPS与HTTP虽然都是TCP连接,但HTTPS在传输HTTP数据之前,需要在进行了SSL握手,并协商传输密钥用来后续的加密传输;假如客户端与攻击者进行SSL握手,而攻击者无法提供可信任的证书来让客户端验证通过进行连接,所以客户端的系统会判断为SSL握手失败,断开连接。
在这里插入图片描述

该攻击方式主要是利用用户并不会每次都直接在浏览器上输入https://xxx.xxx.com 来访问网站,或者有些网站并非全网HTTPS,而是只在需要进行敏感数据传输时才使用HTTPS的漏洞。中间人攻击者在劫持了客户端与服务端的HTTP会话后,将HTTP页面里面所有的 https:// 超链接都换成 http:// ,用户在点击相应的链接时,是使用HTTP协议来进行访问;这样,就算服务器对相应的URL只支持HTTPS链接,但中间人一样可以和服务建立HTTPS连接之后,将数据使用HTTP协议转发给客户端,实现会话劫持。

这种攻击手段更让人难以提防,因为它使用HTTP,不会让浏览器出现HTTPS证书不可信的警告,而且用户很少会去看浏览器上的URL是 https:// 还是 http:// 。特别是App的WebView中,应用一般会把URL隐藏掉,用户根本无法直接查看到URL出现异常。

ssl剥离攻击
防范措施:

该种攻击方式同样无法劫持App内的HTTPS连接会话,因为App中传入请求的URL参数是固定带有“https://” 的;但在WebView中打开网页同样需要注意,在非全网HTTPS的网站,建议对WebView中打开的URL做检查,检查应该使用 “https://” 的URL是否被篡改为 “http://” ;也建议服务端在配置HTTPS服务时,加上“HTTP Strict Transport Security”配置项。

3 针对SSL算法进行攻击

上述两种方式,技术含量较低,而且一般只能影响 WebApp,而很难攻击到 Native App , 所以高阶的 Hacker,会直接针对SSL算法相关漏洞进行攻击,期间会使用很多的密码学相关手段。由于本人非专业安全相关人员,没有多少相关实践经验,所以本节不会深入讲解相关的攻击原理和手段,有兴趣的同学可以查看以下拓展阅读:
OpenSSL漏洞
常见的HTTPS攻击方法
防范措施:
这类攻击手段是利用SSL算法的相关漏洞,所以最好的防范措施就是对服务端 SSL/TLS 的配置进行升级:
只支持尽量高版本的TLS(最低TLS1);
禁用一些已爆出安全隐患的加密方法;
使用2048位的数字证书;

防范措施:
不要随意连入公共场合内的WiFi,或者使用未知代理服务器
不要安装不可信或突然出现的描述文件,信任伪造的证书;
App内部需对服务器证书进行单独的对比校验,确认证书不是伪造的;

二、中间人攻击的典型网络环境及其防御

中间人攻击有两种常见形式:基于监听的信息窃取与身份仿冒,与基于代理的信息窃取与窜改。以下为中间人攻击比较典型方式及其网络环境

1.基于监听的信息窃取

在同一个冲突域的局域网络中攻击者只要将网卡设为混杂模式,就可以轻松监听网络中的流量,通过Wireshark,Tcpdump等工具软件就可以过滤出密码、通信内容等敏感信息实现攻击。由于很多通信协议都是以明文来进行传输的,如HTTP、FTP、Telnet等,如果通信数据被监听,就会造成相当大的安全问题。

通过集线器连接的以太网络或是以太网线路中被恶意物理接入集线器及监听节点就是这种攻击方式的常见网络环境。其防御方法也很简单,就是确保物理连接不被改动,冲突域中不存在第三方节点,如改用计算机直接连接交换机的组网方式。

2. 基于监听的身份仿冒

在物理上不能保证通信不被监听的情况下,为了保护重要信息不被泄露,网络系统一般会对口令、敏感内容进行加密传输或引入Kerbose、SSL等协议对登录认证等关键通信过程进行加密保护。但是限于性能、效率等因素,并不是所有网络系统都能保证所有传输内容得到加密保护。

如一般的Web网站系统,只会对登录认证过程进行加密,而后续用户与网站的交互采用明文的HTTP协议传输。基于监听的中间人攻击,在口令或认证过程加密的情况下,通过其它技术手段也会对网络造成安全威胁,比较典型的手法是针对HTTP Cookie的攻击。

网站用户在访问网站前常常需要输入用户名与密码。网站会为通过验证的登录用户建立会话,一般会用Cookie(网站储存在用户本地浏览器上的数据,并在每次访问时提交给网站)保持对会话追踪以确认访问者的身份及登陆状态,并根据身份及登录状态为访问者设置访问网站资源的权限。当会话结束时,登陆信息就会被清除,但Cookie可能不会马上失效。

尽管访问者在浏览网站过程中通常没有意识到这种会话的存在,但它确实发生在每一次的链接点击过程中,是网站中最常见的会话形式。如果能够获取用于维持浏览器和登陆网站间会话状态的Cookie,攻击者可以模拟真实用户的访问,将窃取的Cookie发给网站服务器,这样就能冒充合法的会话连接获得在网站资源的相应权限(如图1所示)。攻击者一旦通过窃取Cookie完成对网站服务器的会话欺骗,受害者在网站上的个人数据将被任意查看和修改,受害者的帐号也可能被用于基于社交网络的攻击与诈骗。

在这里插入图片描述
防御基于Cookie的中间人攻击,服务器端可以把Cookie的有效时间设置为较短时间,以使已经结束会话的缓存状态尽快失效。另外,服务器或IPS设备在处理Cookie时,可以绑定一些用户信息如IP地址等,并对其进行验证,这样可以有效防止相当一部分的攻击。作为Web用户,在登录后结束浏览时,应该使用退出功能明确通知服务器会话已经结束,使Cookie立即失效

3.基于中间代理的中间人攻击

1) ARP欺骗(ARP Spoofing)

ARP欺骗是现代中间人攻击中最早出现的攻击形式,能够让与受害主机在相同子网的攻击者主机窃取目标主机的所有网络流,是比较容易执行且相当有效的中间人攻击形式。

从ARP工作机制可以看出,ARP协议简单易用,但是却没有任何安全机制,使用ARP协议的设备会接受在任何时间源自任何主机的ARP更新。这意味着攻击者可以向子网内另一台主机发送ARP数据包,并迫使目标主机更新其ARP缓存。ARP欺骗主要有仿冒网关或仿冒用户两类,由于子网内的主机与外网通信均需要经过网关,仿冒网关而进行的中间人攻击最为常见。

在这里插入图片描述
在这里插入图片描述
如图2所示,因为攻击主机A仿冒网关向主机B发送了伪造的网关ARP报文,导致主机B的ARP表中记录了错误的网关地址映射关系,正常的数据从而不能被网关接收。主机B原本通过网关发送到外网的所有数据报文都按照学习到的错误ARP表项发送到了攻击者控制的主机A,此时主机A可以把主机B的报文解析修改后转发给网关,并在后续将网关转回的外网回应报文解析修改后转发给主机B,成为主机B与网关之间的“中间人”。

防御ARP欺骗的主要方法有在整个局域网使用静态ARP,及通过主机ARP防护软件或交换机、路由器对ARP进行过滤及安全确认,其核心目标均是建立正确的ARP表项。静态ARP通过手动配置或自动学习后再固化的方式,在主机及网络设备上建立静态不变的正确ARP表项。

在这里插入图片描述
而伪造ARP报文的检测,需要由主机或网络设备提借额外的安全功能。伪造ARP报文具有如下特点:源MAC地址/目的MAC地址和以太网帧封装中的源MAC地址/目的MAC地址不一致;源IP地址和源MAC地址的映射关系不是合法用户真实的映射关系。精确的过滤与安全确认能有效的阻止ARP欺骗的发生。

2) DNS欺骗(DNS Spoofing)

DNS欺骗是攻击者冒充域名服务器让目标主机把域名转换成错误IP的一种欺骗行为,其目的是让受害主机把通过域名查询到的IP地址设为攻击者所控制主机的IP地址。如果受到此类攻击,用户通过域名连接的目标服务器可能被悄无声息地替换成了伪造服务。攻击者也可以在伪服务器上把受害主机的流量解析修改后冒名转发给真实的服务器,由“冒名顶替者”变为“中间人”。

DNS欺骗攻击是一种非常危险的中间人攻击,它容易被攻击者利用并且窃取用户的机密信息。其常被用于与钓鱼网站配合,如将用户对银行主页的访问重定向到攻击者所控制的钓鱼网站,骗取银行密码等。

在这里插入图片描述
使用WireShark模拟中间人证书伪造攻击http://blog.csdn.net/phunxm/article/details/38590561
**使用Charles模拟中间人证书伪造攻击
**http://www.jianshu.com/p/a81b496348bc

Bulldozer++
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【投稿】中间人攻击劫持会话
Coisini的博客
06-21 741
前段时间redrain大神和一个学院派教授争执最后连国民老公—-王思聪都来观战啦!! 局域网再次进入了公众的视野~ 局域网内无隐私! 这两天没什么事情查了查中间人攻击 结果发现网络上面的资料并不是很完全 所以写了这篇文章给小黑们进行参考 本人水平有限 大牛们不喜勿喷。。。 本次的中间人攻击使用DHCP来劫持DNS 个人感觉测试了几回后效果比arp欺骗要好很多 拓扑 路由器:192.168...
【实战】用 Python 实现中间人攻击
weixin_48923393的博客
02-13 3934
文 |豆豆来源:Python 技术「ID: pythonall」中间人攻击,顾名思义,就是客户端和服务端的通信被第三者拦截了,这样通信双方的通信内容就会被窃听。你可能会认为,没关系啊,窃...
什么是中间人攻击
SSL加密技术
09-07 9163
中间人攻击(通常缩写为MitM或MiM)是一种会话劫持网络攻击。黑客拦截数字共享的信息,通常是作为窃听者或冒充他人。这种类型的攻击非常危险,因为它可能会导致一些风险,如信息被盗或虚假通信,通常很难检测到这些危险,因为情况对合法用户来说似乎完全正常。 本文将涵盖您需要了解的关于中间人攻击的点,包括: 什么是中间人攻击中间人攻击是怎样的? 中间人攻击有哪些不同的攻击类型? 中间人攻击的潜在风险是什么? 中间人攻击是如何演变的? 现实生活遭受中间人攻击的例子 如何防范中间人攻击? 什么是中间
Web 安全之点击劫持(Clickjacking)攻击详解_点击劫持攻击
最新发布
2401_85773496的博客
07-16 942
点击劫持(Clickjacking)攻击,又称为界面伪装攻击,是一种利用视觉欺骗手段进行攻击的方式。攻击者通过技术手段欺骗用户点击本没有打算点击的位置,当用户在被攻击攻击的页面上进行操作时,实际点击结果被劫持,从而被攻击者利用。这种攻击方式利用了用户对网站的信任,通过覆盖层(通常是透明的iframe)覆盖在另一个网页之上,使受害者无法察觉。
简述中间人劫持攻击
GdutLq的博客
04-07 729
中间人攻击(Man-in-the-Middle Attack, MITM)就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。 ![image](https://img-blog.csdnimg.cn/img_convert/c59b157adb92b5c3d73da1343f6e07a9.png#pic_center) 假设爱丽丝(Alice)希望与鲍伯(Bob)通信。同时,马洛里(Mallory)希望拦截窃会话以进行窃听并可能在某些时候传送给鲍伯一个虚假的消息。 首先,爱丽丝
详解HTTPS连接过程以及中间人攻击劫持
Linuxprobe18的博客
03-19 5655
一 、HTTPS连接过程及中间人攻击原理https协议就是http+ssl协议,如下图所示为其连接过程:1.https请求客户端向服务端发送https请求;2.生成公钥和私钥服务端收到请求之后,生成公钥和私钥。公钥相当于是锁,私钥相当于是钥匙,只有私钥才能够打开公钥锁住的内容;3.返回公钥服务端将公钥(证书)返回给客户端,公钥里面包含有很多信息,比如证书的颁发机构、过期时间等等;4.客户端验证公钥...
中间人攻击劫持cookie
ChenD的学习笔记
10-26 1090
中间人攻击劫持cookie
安全防范知识点(XSS、CSRF、点击劫持中间人攻击
远方
03-11 2438
什么是XSS攻击?如何防范XSS攻击?什么是CSP? XSS简单来说,就是攻击者想尽一切办法可以执行的代码注入到网页中。 XSS可以分为多种类型,但是总体上分为两类:持久型和非持久型。 持久型也就是攻击的代码被服务端写入数据库中,这种攻击危害性很大,因为如果网站访问量很大的话,就会到导致大量正常访问页面的用户都受到攻击。 举个例子,对于评论功能来说,就是防范持久型XSS攻击,因为我可以在评论中输入...
移动应用APP中间人攻击的分析与测试.pdf
08-26
移动应用APP中间人攻击的分析与测试 移动应用APP中的安全问题日益突出,从侵犯个人隐私到截取敏感数据,都给使用者带来巨大的风险。本文通过对移动应用APP中间人攻击基本原理的概述,详细分析了造成移动APP中间人...
ProxiesForRemovingFxckingAds依靠代理实现中间人劫持删除那些傻x的广告
08-12
**中间人攻击与广告拦截** 中间人攻击(Man-in-the-Middle Attack,MITM)是一种网络安全威胁,其中攻击者在两个通信方之间插入自己,截取、修改或伪造双方的通信内容。在PFRFA(Proxies For Removing Fxcking Ads...
RDP中间人攻击
帅醉了的博客
10-04 911
前言:靠着网上的资源一点一点的啃。 内网渗透中,发觉有机器开了远程桌面,可以使用RDP中间人攻击进行持久控制和横向渗透。 攻击成功具备的条件 同一个网段 知道连接者ip,被连接ip。 工具:Seth git clone https://github.com/SySS-Research/Seth.git 使用方法 ./seth.sh <INTERFACE> <ATTACKER_IP> <VICTIM_IP> <GATEWAY_IP|HOST_IP> [&
HTTPS协议中间人攻击的防御方法_邓真.pdf
06-06
https原理及中间人劫持防御方法论文,知网上下载的论文,在这里分享出来。
中间人攻击劫持登录会话(cookies)
weixin_30532759的博客
01-23 435
关于中间人攻击 中间人攻击(Man-in-the-MiddleAttack,简称"MITM攻击")是一种"间接"的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为"中间人"。 因为FreeBuf几位前辈已经给出了大量的中间人攻击的方法,这里就不再重复了。恰好看到FreeBuf目前没有关于中间人攻击劫持登陆回...
HTTPS连接过程以及中间人攻击劫持
maogugu0319的博客
05-08 423
HTTPS连接过程 https协议就是http+ssl协议,如下图所示为其连接过程: 1.https请求 客户端向服务端发送https请求; 2.生成公...
【担心黑客WIFI窃取用户隐私信息】Android HTTPS中间人劫持漏洞浅析
weixin_33772645的博客
03-18 281
1. Android HTTPS中间人劫持漏洞描述 在密码学和计算机安全领域中,中间人攻击 ( Man-in-the-middle attack,通常缩写为MITM )是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻...
【网络安全】——中间人攻击
A1_3_9_7的博客
01-09 3658
中间人攻击(Man-in-the-Middle Attack,简称MITM),是一种会话劫持攻击攻击者作为中间人劫持通信双方会话并操纵通信过程,而通信双方并不知情,从而达到窃取信息或冒充访问的目的。中间人攻击是一个统称,具体的攻击方式有很多种,例如Wi-Fi仿冒、邮件劫持、DNS欺骗、SSL劫持等。中间人攻击常用于窃取用户登录凭据、电子邮件和银行账户等个人信息,是对网银、网游、网上交易等在线系统极具破坏性的一种攻击方式。
解析中间人攻击(3/4)---会话劫持
weixin_30344131的博客
03-31 471
  本文我们将探讨会话劫持的理论以及演示,并讨论相关检测和防御技巧。   导言   在前面两篇文章中我们分别探讨了ARP缓存中毒和DNS欺骗,从前面展示的例子我们可以看到,中间人攻击是非常有效的攻击形式,并且越来越难以被察觉。而在本文中,我们将探讨会话劫持攻击的理论以及演示,并讨论相关检测和防御技巧。   会话劫持   我们经常会听到会话劫持,通常情况下,任何涉及对设备间会话的攻击就是会话...
[网络安全]中间人攻击
神隐寻觅的博客
12-08 5228
中间人攻击 中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。 中间人攻击主要有会话劫持、DNS欺骗两种 一、会话劫持 会话劫持利用了TCP/IP工作原理来设计攻击。TCP会话劫持攻击方式可以对基于TCP的任何应用发起攻击,如HTTP、FTP、Telnet等。 实现流程 对于攻击者来说,所必须要做的就是窥探到正在进行
Fiddler特殊中间人劫持数据
热门推荐
Codeooo 博客
08-18 1万+
Fiddler中间人特殊劫持数据 如果遇到加密严重的情况下,又想拿到数据,可采取该方法。 1.在菜单栏中 Rules下找到Customize Rules (快捷键 CTRL + R) 2.在 Fiddler ScriptEditor 中 修改 OnBeforeResponse 函数,达到控制Response返回的数据。 3.将修改的函数保存,重启后可以将数据写入本地。 public static var company_id: String = ''; static function OnBefo
python中间人攻击
11-21
Python中间人攻击是指黑客通过篡改网络通信数据包,来窃取用户的敏感信息或者进行其他恶意行为的一种攻击方式。常见的中间人攻击方式包括ARP欺骗、DNS欺骗、SSL劫持等。在Python中,可以使用一些第三方库来实现中间人攻击,例如Scapy、mitmproxy等。其中,mitmproxy是一款功能强大的中间人代理工具,可以用Python编写插件来实现各种攻击和防御功能。 以下是一个使用mitmproxy实现中间人攻击的例子: ```python from mitmproxy import http def request(flow: http.HTTPFlow) -> None: if "login" in flow.request.pretty_url: # 修改POST请求中的用户名和密码 flow.request.urlencoded_form["username"] = "hacker" flow.request.urlencoded_form["password"] = "123456" # 打印修改后的请求信息 print(flow.request.urlencoded_form) ``` 上述代码中,我们使用mitmproxy的http模块来拦截HTTP请求,并修改其中的用户名和密码。这样,黑客就可以通过中间人攻击来获取用户的登录信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bulldozer++

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值