中間人攻擊詳解
中間人 (MITM) 攻擊是一種網絡安全威脅,攻擊者會攔截並干擾正常的網絡通訊或數據傳輸。 這種攻擊的手法是將自己置於通訊雙方之間,偽裝成合法的通訊參與者,進行欺騙行為。
在實際操作中,攻擊者會部署在傳入請求和傳出響應的路徑上。 用戶通常會認為他們正在與合法的目標伺服器或應用程式(例如社交媒體、線上銀行等)直接互動。 然而,實際上,用戶的請求會先傳送到中間人,然後中間人再代表用戶與目標伺服器或應用程式通訊。
圖片來源:Imperva
因此,中間人可以檢視所有傳輸的資料,包括用戶向目標伺服器發送的請求,以及目標伺服器返回的響應。 除了檢視這些通訊內容外,中間人還有能力修改請求和響應,竊取用戶的憑證,將用戶重新導向至他們控制的惡意伺服器,或是執行其他網絡犯罪活動。
通常,攻擊者可以攔截通訊中任何一方的數據流或資料。 他們可以隨意修改資訊,或者向通訊的合法參與者傳送惡意連結或響應。 這種攻擊通常在一段時間內難以被察覺,直到造成嚴重的損害後才被發現。
常見的中間人攻擊技術
數據包嗅探: 攻擊者會利用各種工具,在底層檢查網路數據包。 這種「嗅探」行為讓攻擊者可以檢視他們本不應存取的數據包。
數據包注入: 攻擊者會將惡意數據包注入到數據傳輸通道中。 在注入惡意數據包之前,攻擊者會先進行嗅探,以找出適合注入的時間點和方式。 注入後,惡意數據包會與正常的數據包混合在一起。
會話劫持: 在許多網路應用程式中,登入過程會產生一個臨時的會話令牌,這樣用戶就不必在每個頁面或後續請求中都輸入密碼。 不幸的是,攻擊者可能會使用嗅探工具來獲取並利用這些會話令牌,然後他們就能冒充合法用戶發送請求。
SSL 剝離: 攻擊者可以使用 SSL 剝離技術攔截合法數據包,修改基於 HTTPS 的請求,並將其重新導向至不安全的 HTTP 版本。 這樣一來,用戶的裝置將會開始向伺服器發出未加密的請求,使得敏感資料暴露在純文字狀態下,容易被竊取。
中間人攻擊的後果
中間人攻擊對任何組織都構成嚴重的威脅,可能會導致財務損失和聲譽受損。
犯罪分子通常可以獲取並濫用組織的敏感和私人資訊。 例如,他們可以竊取用戶名、密碼、信用卡資訊等憑證,並用來轉移資金或進行未經授權的購買。 他們還可能使用竊取的憑證來安裝惡意軟體或竊取其他敏感資訊,然後以此來勒索公司。
因此,保護用戶和數位系統,將中間人攻擊的風險降到最低,至關重要。
安全團隊的 MITM 攻擊工具
除了採用可靠的安全解決方案和措施外,您還需要必要的工具來檢查系統,並找出攻擊者可能利用的漏洞。 以下是一些安全研究人員可使用的 HTTP MITM 攻擊工具,希望能幫助您做出正確的選擇。
赫蒂(Hetty)
赫蒂(Hetty) 是一個快速的開源 HTTP 工具包,提供強大的功能來支援安全研究人員、團隊和漏洞賞金社群。 這個輕量級工具內建了 Next.js 網頁介面,在中間代理中包含一個 HTTP 中間人功能。
主要特點:
- 支援全文檢索功能。
- 具有發送器模組,允許您根據代理日誌中先前請求或從頭建立請求,手動發送 HTTP 請求。
- 具有攻擊者模組,可以自動發送 HTTP 請求。
- 安裝簡單,介面易於使用。
- 可以從頭建立、製作請求,或從代理日誌中複製來手動發送 HTTP 請求。
貝特凱普(Bettercap)
貝特凱普(Bettercap) 是一個全面且可擴展的網路偵察和攻擊工具。
這個易於使用的解決方案,為逆向工程師、安全專家和紅隊提供了測試或攻擊 Wi-Fi、IP4、IP6 網路、低功耗藍牙 (BLE) 裝置和無線 HID 裝置的所有功能。 此外,該工具還具有網路監控功能和其他功能,例如建立虛假存取點、密碼嗅探、DNS 欺騙、握手捕獲等。
主要特點:
- 內建強大的網路嗅探器,可以識別身份驗證數據和收集憑證。
- 具有強大且可擴展的架構。
- 主動和被動地偵測和測試 IP 網路主機是否存在潛在的 MITM 漏洞。
- 提供易於使用的基於 Web 的互動式使用者介面,允許您執行各種 MITM 攻擊、嗅探憑證、控制 HTTP 和 HTTP 流量等。
- 可以提取收集到的所有數據,例如 POP、IMAP、SMTP 和 FTP 憑證、造訪過的 URL 和 HTTPS 主機、HTTP cookie、HTTP 發布的資料等,並將其儲存在外部檔案中。
- 支援即時操縱或修改 TCP、HTTP 和 HTTPS 流量。
proxy.py
proxy.py 是一個輕量級的開源 WebSockets、HTTP、HTTPS 和 HTTP2 代理伺服器。 這個快速工具以單一 Python 檔案形式提供,使研究人員能夠檢查網路流量,包括 TLS 加密的應用程式,同時消耗最少的資源。
主要特點:
- 是一個快速且可擴展的工具,每秒可以處理數萬個連線。
- 具有可編程功能,例如內建網頁伺服器、代理和 HTTP 路由客製化等。
- 採用輕量級設計,僅使用 5-20MB RAM。 此外,它僅依賴標準 Python 函式庫,不需要任何外部依賴項。
- 可以使用插件擴展的即時客製化儀表板。 它還提供在執行時檢查、監控、配置和控制 proxy.py 的選項。
- 安全工具使用 TLS 在 proxy.py 和用戶端之間提供端對端加密。
中間代理(mitmproxy)
這個 中間代理(mitmproxy) 是一種易於使用的開源 HTTPS 代理解決方案。
這個易於安裝的工具通常作為 SSL 中間人 HTTP 代理使用,並具有控制台介面,允許您即時檢查和修改流量。 您可以使用基於命令列的工具作為 HTTP 或 HTTPS 代理,來記錄所有網路流量,檢視用戶請求的內容並重播它們。 通常,mitmproxy 是指一組三個強大的工具:mitmproxy(控制台介面)、mitmweb(基於 Web 的介面)和 mitmdump(命令列版本)。
主要特點:
- 互動式且可靠的 HTTP 流量分析和修改工具。
- 靈活、穩定、可靠、易於安裝和使用的工具。
- 允許您即時攔截和修改 HTTP 和 HTTPS 請求和響應。
- 記錄並儲存 HTTP 用戶端和伺服器端的通訊,以便在未來重播和分析。
- 生成 SSL/TLS 憑證以即時攔截。
- 反向代理功能,允許您將網路流量轉發到不同的伺服器。
Burp Suite
Burp Suite 是一個自動化且可擴展的漏洞掃描工具。 該工具是許多安全專業人員的優良選擇。 通常,它使研究人員能夠測試 Web 應用程式並識別犯罪分子可能利用和發起 MITM 攻擊的漏洞。
它使用使用者驅動的工作流程,直接呈現目標應用程式及其運作方式的概觀。 作為 Web 代理伺服器,Burp 充當 Web 瀏覽器和目標伺服器之間的中間人。 因此,這允許您攔截、分析和修改請求和響應流量。
主要特點:
- 攔截和檢查 Web 瀏覽器和伺服器之間雙向的原始網路流量。
- 可以破解瀏覽器和目標伺服器之間 HTTPS 流量中的 TLS 連線,讓攻擊者可以檢視和修改加密資料。
- 選擇使用 Burp 的內建瀏覽器或外部標準網頁瀏覽器。
- 自動化、快速、可擴展的漏洞掃描解決方案,讓您可以更快、更有效率地掃描和測試 Web 應用程式,從而識別各種漏洞。
- 顯示單個攔截的 HTTP 請求和響應。
- 手動檢視攔截的流量,以了解攻擊的詳細資訊。
伊特卡普(Ettercap)
伊特卡普(Ettercap) 是一個開源網路流量分析器和攔截器。
這個全面的 MITM 攻擊工具允許研究人員剖析和分析各種網路協議和主機。 它還可以在 LAN 和其他環境中記錄網路數據包。 此外,多功能網路流量分析器可以偵測和阻止中間人攻擊。
主要特點:
- 攔截網路流量並捕獲密碼等憑證。 此外,它還可以解密加密資料並提取用戶名和密碼等憑證。
- 適用於深度數據包嗅探、測試、監控網路流量,並提供即時內容過濾。
- 支援主動和被動竊聽、剖析和分析網路協議,包括加密協議。
- 分析網路拓撲並確定安裝的作業系統。
- 使用者友善的圖形化使用者介面,具有互動式和非互動式 GUI 操作選項。
- 利用 ARP 攔截、IP 和 MAC 過濾等分析技術來攔截和分析流量。
防止 MITM 攻擊
識別 MITM 攻擊並不容易,因為它們發生在遠離使用者的位置,而且很難偵測到,因為攻擊者會偽裝一切看起來都很正常。 但是,組織可以採取一些安全措施來預防中間人攻擊,這些措施包括:
- 保護工作或家庭網路中的網際網路連線,例如在伺服器和電腦上使用有效的安全解決方案和工具,以及可靠的身分驗證解決方案。
- 對存取點實施強 WEP/WAP 加密。
- 確保您造訪的所有網站都是安全的,並且 URL 中有 HTTPS。
- 避免點擊可疑的電子郵件訊息和連結。
- 強制執行 HTTPS 並禁用不安全的 TLS/SSL 協議。
- 盡可能使用虛擬私人網路 (VPN)。
- 使用上述工具和其他 HTTP 解決方案,來識別和解決攻擊者可能利用的所有中間人漏洞。