1、基本概念
属于被动攻击的一种,也称为嗅探或侦听攻击
攻击者通过窃听手段来窃取计算机、智能手机或其他设备在网络中的传输信息
利用不安全的网络通信来访问正在发送和接收的数据,可以对网络中传输的明文信息进行嗅探
很难检测,不会主动向网络注入攻击数据,不会改变网络的流量特征,不会出发入侵保护系统的预警
2、窃听攻击常见的形式
-
网络数据嗅探:对网络中所有的通信数据进行侦听
-
以太网中广播通信
-
IP报文头部中包含了应该接收数据包的主机的IP地址
-
监听网卡工作在混杂模式下时,可以接受所有数据包
-
集线器网络:直接嗅探 交换机网络:ARP欺骗嗅探
-
-
中间人攻击:采用多种技术手段将被攻击者控制的一台计算机虚拟放置在正常计算机的通信链路之间
-
通过拦截正常的网络数据并加以篡改或嗅探,而参与通信的双方并不知情
-
数据劫持技术
-
常见形式:
-
HTTPS中间人攻击
-
SMB会话劫持
-
DNS劫持
-
-
HTTPS中间人攻击
-
使用了SSL作为子层的超文本传输安全协议
-
-
HTTPS降级
-
“中间人”拦截浏览器的HTTP流量
-
将流量中的HTTPS接全部替换为HTTP,并记录所有被修改的链接
-
使用HTTP与受害者机器建立连接
-
与服务器建立HTTPS
-
浏览器与服务器之间的全部通信经过了“中间人”的转发
-
浏览器安全提示消失
-
“中间人”成功窃取密码、账号等信息
-
-
-
移动恶意软件窃听
-
麦克风窃听、传感器窃听
-
Marcher theFatRat xHelper SpyNote
-
攻击场景
-
局域网监听
-
用户上网行为分析
-
业务流分析
-
加密数据解惑 主要在HTTPS中间人攻击场景中出现
-
-
防御方法
-
数据加密,采用安全协议传输数据
-
网络检查,通过专用工具检查局域网内被设置成混杂模式的网络接口
-
合理划分网络结构
-
将网络按照最小业务需求划分子网,使用交换机连接不同网段,限制窃听的范围
-
-
-