it-swarm-vi.com

Tôi có thể phát hiện một cuộc tấn công MITM không?

Dựa trên câu hỏi này tại đây: Có phải các cuộc tấn công "người ở giữa" cực kỳ hiếm không?

Có thể phát hiện các cuộc tấn công trung gian, và nếu vậy, làm thế nào một người sẽ đi về nó?

Ngoài ra, điều gì sẽ xảy ra nếu cuộc tấn công đang diễn ra thông qua kết nối vào mạng cục bộ, chẳng hạn như đường dây điện thoại? Có cách nào để phát hiện ra nó?

41
TigerCoding

Trong khi duyệt, bạn có thể kiểm tra mỗi lần nếu chứng chỉ được trang web cung cấp cho bạn được cấp bởi một CA hợp pháp hoặc chứng chỉ giả do một số CA cấp mà trình duyệt của bạn tin tưởng. Rõ ràng là không thể làm điều đó bằng tay. Vì vậy, có những công cụ làm điều đó cho bạn.

Chứng nhận tuần traPhối cảnh là các plugin trình duyệt thực hiện điều đó. Họ lưu ý rằng tên miền nào là vấn đề mà CA (ví dụ: Google => Thwate, v.v.) và nhiều tham số khác liên quan đến chứng chỉ và sẽ cảnh báo người dùng nếu CA thay đổi OR = nếu khóa công khai trong chứng chỉ thay đổi.

Đây rõ ràng không phải là phát hiện của MITM, chúng giống như các kế hoạch phòng ngừa bằng cách phát hiện ra rằng có điều gì đó kỳ lạ về chứng chỉ được trình bày bởi trang web.

Ngoài ra, trong khi kết nối với máy chủ SSH, nó yêu cầu lấy dấu vân tay của máy chủ. Tôi sẽ hoảng hốt nếu khách hàng ssh của tôi đưa cho tôi một dấu vân tay mới sau khi tôi đã kết nối với máy chủ trước đó. Khóa máy chủ được lưu vào tệp know_hosts sau lần kết nối đầu tiên, lý do duy nhất khách hàng yêu cầu tôi xác thực lại dấu vân tay là do máy chủ SSH đã khởi động lại/cập nhật OR Tôi đang MITMed.

Chứng hoang tưởng tuyệt đối yêu cầu bạn gọi cho quản trị viên hệ thống qua điện thoại và xác nhận dấu vân tay bằng cách làm cho anh ta nói phím.

27
CodeExpress

Bạn có thể phát hiện một cuộc tấn công MitM? Phụ thuộc vào loại hệ thống bị tấn công và loại tấn công.

Giả sử một số kẻ tấn công tinh vi đã kiểm soát được bộ định tuyến ngược dòng giữa bạn và internet nói chung và chuyển hướng lưu lượng truy cập của bạn đến các máy chủ giả dưới sự kiểm soát của họ đối với MitM (ví dụ: bắt các yêu cầu DNS và trả lời giả mạo cho máy chủ của họ hoặc sử dụng Dịch địa chỉ mạng (NAT)).

Bây giờ, hãy giả sử bạn truy cập http://www.facebook.com Và được chuyển đến trang đăng nhập http dưới sự kiểm soát của kẻ tấn công. Kẻ tấn công có thể thấy một trang bắt chước trang đăng nhập của facebook, nắm bắt thông tin xác thực của bạn và sử dụng thông tin đó để kết nối với facebook thật, sau đó chuyển nội dung từ facebook thật sang trình duyệt của bạn. Điều này có thể được thực hiện gần như không có ngoại lệ, ngoại trừ hành động bài viết ẩn không được https trên trang đăng nhập ban đầu. Giả sử thay vì cài đặt của bạn là luôn sử dụng https cho facebook và bạn đã truy cập https://www.facebook.com. Cuộc tấn công MitM sẽ gửi cờ đỏ đến trình duyệt, vì kẻ tấn công sẽ không có chứng chỉ tin cậy cho facebook.com. Cấp, nhiều người dùng sẽ bỏ qua các cảnh báo trình duyệt này (vì đôi khi chúng xảy ra vì những lý do lành tính như khóa hết hạn hoặc trang web mạng nội bộ không sử dụng khóa tự ký). Tất cả điều này cho rằng kẻ tấn công đã không quản lý thêm để hack vào facebook và lấy chứng chỉ riêng của họ OR thỏa hiệp CA (cơ quan chứng nhận) để có thể tạo chứng chỉ giả mạo được hầu hết các trình duyệt web tin cậy OR trước đây đã thay đổi trình duyệt web của bạn để nó tin tưởng/không cảnh báo về các chứng chỉ không hợp lệ.

Nói chung với http gần như không thể phát hiện các cuộc tấn công MitM, nhưng với https trình duyệt của bạn sẽ tự động phát hiện và cảnh báo bạn, trừ khi kẻ tấn công đã xâm phạm hệ thống của bạn hoặc hệ thống khác end (bao gồm CA là một hệ thống ở đầu kia).

Ví dụ tiếp theo: ssh. Một lần nữa, sử dụng bàn phím máy chủ công cộng riêng để xác thực máy tính. Vì vậy, nếu tôi thường xuyên ssh vào máy làm việc từ máy tính ở nhà, máy tính ở nhà của tôi đã ghi lại và tin cậy khóa công khai của máy làm việc của tôi (được giữ trong một tệp ~/.ssh/known_hosts). Nếu một cuộc tấn công MitM đã được cố gắng khi tôi kết nối từ máy chủ của mình, ssh sẽ ngay lập tức nhận thấy rằng máy MitM không có khóa riêng của máy công việc của tôi và sẽ không cho phép tôi đăng nhập (trừ khi tôi gỡ bỏ cụ thể khóa công khai từ danh sách known_hosts của tôi, điều mà tôi sẽ chỉ làm nếu nói rằng tôi đã nâng cấp lên máy mới hoặc thay đổi khóa máy chủ). Một lần nữa, MitM tấn công ssh rất dễ bị phát hiện trừ khi kẻ tấn công đã xâm nhập vào máy làm việc của tôi với quyền root và sao chép khóa riêng vào Máy chủ của anh ta OR đã đột nhập vào máy chủ của tôi và thay đổi khóa chung cho máy công việc của tôi được ghi trong ~/.ssh/known_hosts OR đây là lần đầu tiên tôi kết nối với máy chủ (và tôi không có máy chủ trong known_hosts hoặc nhận ra Dấu vân tay máy chủ của nó).

11
dr jimbob

Phát hiện sơ đồ MitM là mục tiêu cơ bản của bất kỳ giao thức xác thực nào. Để làm việc đó bạn cần:

  • Cách an toàn để lấy thông tin xác thực (Chứng chỉ máy chủ, khóa chung, ...)
  • Xác minh tính xác thực của tin nhắn trao đổi với máy chủ.

Máy chủ nên làm tương tự với máy khách. Với sơ đồ đối xứng, nó nên được thực hiện dễ dàng. Khi sử dụng các giao thức bất đối xứng như SSL, bạn phải:

  • Nhận chứng chỉ máy chủ và có thể xác thực đúng
  • Giao tiếp với máy chủ bằng khóa chung được nhúng trong chứng chỉ đó để không ai có thể giải mã tin nhắn
  • Máy chủ và bạn sẽ đồng ý về một bí mật duy nhất được chia sẻ để sử dụng mã hóa đối xứng cho các kết nối trong tương lai.
4
M'vy

Không, bạn không thể, có nhiều cách để làm điều này.

Nhiều câu trả lời ở đây sẽ cho bạn biết cách kiểm tra các cuộc tấn công MITM cụ thể, mà tôi tin rằng không phải là vấn đề.

MITM không có nghĩa là kẻ tấn công sẽ cố gắng giải mã luồng dữ liệu của bạn và đưa cho bạn một khóa/dấu vân tay khác. Anh ta chỉ là một nút giữa bạn và máy chủ đích của bạn.

Có nhiều cách để vào tình huống MITM, mỗi cách có thể được ngăn chặn bằng cách quản trị mạng phù hợp, tất cả các nút giữa bạn và Máy chủ đích của bạn sẽ được bảo mật. Mỗi mạng phải được thiết kế để chống lại mọi MITM có thể, bao gồm lạm dụng các giao thức định tuyến, giả mạo ARP, giả mạo DNS, chỉ cần cài đặt một cây cầu vật lý, v.v.

Để đạt được bảo mật, việc bị bắt trong một cuộc tấn công MITM không thành vấn đề, bạn không thể dựa vào niềm tin và may mắn và bạn không thể kiểm soát internet, bạn phải cho rằng mình đang ở trong một môi trường thù địch trừ khi được kiểm toán an toàn. Sử dụng các giao thức bảo mật như TLS, SSH và có khả năng IPSec, có thể làm cho mạng của bạn an toàn hơn, xác thực và mã hóa dữ liệu của bạn. Tuy nhiên, nó luôn luôn dễ bị tổn thương tại một số điểm và hầu hết thời gian xuất phát từ việc cấu hình sai hoặc lỗ hổng trong chính giao thức/triển khai.

Nói tóm lại, đừng phát hiện MITM, mà thay vào đó:

  • Bảo vệ mạng LAN của bạn hoặc yêu cầu ai đó làm điều đó
  • Thiết lập các giao thức đường hầm an toàn để truy cập các mạng và hệ thống an toàn ở xa

Có thể phát hiện MITM nhưng nó liên quan đến những gì bạn sử dụng, bảo mật cổng cho Cisco IOS hoặc chỉ sử dụng SNORT trên bất kỳ hộp Unix nào. Bạn không thể có được danh sách đầy đủ, nó chỉ phù hợp với một danh sách cụ thể và bên cạnh đó, những kẻ tấn công luôn đủ sáng tạo để tìm ra thứ gì đó bạn không nghĩ tới, vì vậy hãy tham khảo 2 lời khuyên trên của tôi.

3
Aki

Bạn có thể kiểm tra bảng ARP của bạn. Hoặc bạn có thể xem trang web tốt MITM TUTORIALs [ https://toschprod.wordpress.com/2012/03/04/mitm-8-c gặpmeasure /] giải thích một cách sâu sắc một người đàn ông ở giữa và làm thế nào để tránh họ. Tôi đoán đọc hướng dẫn của nó sẽ cho bạn một ý tưởng tuyệt vời về những gì đang xảy ra và làm thế nào để ngăn chặn nó, cũng như làm thế nào để phát hiện ra chúng.

0
noktec