什么是中间人攻击？类型和示例

中间人攻击定义

中间人攻击（Man-in-the-Middle Attack ）是一种网络攻击形式，犯罪分子利用薄弱的基于网络的协议插入通信渠道中的实体之间以窃取数据。

发送电子邮件、短信或视频通话中聊天的任何一方都不知道攻击者已经将他们的存在插入到对话中并且正在窃取他们的数据。

尽管大多数网络攻击都是悄无声息的，且在受害者不知情的情况下进行，但一些中间人攻击却恰恰相反。它们可能包括一个机器人，它可以生成可信的文本消息，在通话中模仿某人的声音，或者欺骗整个通信系统以从参与者的设备中抓取攻击者认为重要的数据。

最容易遭受中间人攻击的行业和人物类型

如果网络犯罪分子认为有任何机会获取经济利益，MitM 攻击就会针对任何企业、组织或个人。潜在的经济收益越大，发起攻击的可能性就越大。

暗网上，被盗的个人财务或健康信息的每条记录的售价可能高达几美元。乍一看，这听起来可能没什么，直到人们意识到一次数据泄露就可能泄露数百万条记录。

中间人攻击的热门行业包括银行及其银行应用程序、金融公司、医疗保健系统以及运营使用物联网 (IoT) 连接的工业设备网络的企业。在制造业、工业流程、电力系统、关键基础设施等领域，数以百万计的此类易受攻击的设备都可能受到攻击。

SCORE 和 SBA报告称，中小型企业面临更大的风险，由于缺乏强大的安全保护，43% 的网络攻击都针对中小型企业。

中间人 (MitM) 攻击的类型

1. 电子邮件劫持

顾名思义，在这种类型的攻击中，网络犯罪分子会控制银行、金融机构或其他可访问敏感数据和资金的受信任公司的电子邮件帐户。一旦进入银行，攻击者就可以监控银行与客户之间的交易和通信。

在更恶意的情况下，攻击者会欺骗或伪造银行的电子邮件地址并向客户发送电子邮件，指示他们重新发送他们的凭证 - 或者更糟的是，向攻击者控制的账户汇款。在此 MitM 攻击版本中，社会工程学或与受害者建立信任是成功的关键。

2. Wi-Fi窃听

在 Wi-Fi 窃听中，网络犯罪分子让受害者连接到附近一个名称听起来合法的无线网络。但实际上，该网络就是为从事恶意活动而设立的。该无线网络可能看起来属于用户经常光顾的附近企业，或者可能有一个听起来很普通、看似无害的名称，例如“免费公共 Wi-Fi网络”。在某些情况下，用户甚至不需要输入密码即可连接。

一旦受害者连接到恶意 Wi-Fi，攻击者就可以选择：监视用户的在线活动或抓取登录凭据、信用卡或支付卡信息以及其他敏感数据。

为了防范这种攻击，用户应该始终检查他们所连接的网络。使用手机时，应在本地移动时关闭Wi-Fi自动连接功能，以防止设备自动连接到恶意网络。

3. DNS欺骗

域名系统 (DNS)欺骗或 DNS 缓存中毒是指使用操纵的 DNS 记录将合法在线流量转移到虚假或欺骗性的网站，而该网站的构建类似于用户最有可能了解和信任的网站。

与所有欺骗技术一样，攻击者会提示用户不知不觉地登录虚假网站，并说服他们需要采取特定的操作，例如支付费用或将钱转入特定账户。在此过程中，攻击者从受害者那里窃取尽可能多的数据。

4. 会话劫持

会话劫持是一种中间人攻击，攻击者等待受害者登录应用程序（例如银行或电子邮件），然后窃取会话 cookie。然后，攻击者使用该 cookie 登录到受害者拥有的同一帐户，但是从攻击者的浏览器登录。

会话是标识两个设备之间或计算机与用户之间的临时信息交换的数据。攻击者利用会话是因为它们可用于识别已登录网站的用户。然而，攻击者需要迅速行动，因为会话会在一定时间后过期，这个时间可能短至几分钟。

5. 安全套接字层 (SSL) 劫持

如今大多数网站都显示他们正在使用安全服务器。浏览器地址栏中显示的统一资源定位器 (URL) 的第一部分中使用“HTTPS”（超文本传输协议安全）的缩写，而不是“HTTP”或超文本传输协议。即使用户输入 HTTP（或者根本不输入 HTTP），HTTPS 或安全版本也会呈现在浏览器窗口中。这是一个标准的安全协议，与该安全服务器共享的所有数据都受到保护。

SSL 及其后继的传输层安全性 (TLS) 是在联网计算机之间建立安全性的协议。在 SSL 劫持中，攻击者会拦截服务器和用户计算机之间传递的所有数据。这是可能的，因为 SSL 是一种较旧且易受攻击的安全协议，因此需要用更强大的 TLS 协议替换它（3.0 版已于 2015 年 6 月弃用）。

5. ARP 缓存中毒

地址解析协议 (ARP) 是一种通信协议，用于发现与给定互联网层地址相关联的链路层地址，例如媒体访问控制 (MAC) 地址。 ARP 很重要，因为它将链路层地址转换为本地网络上的 Internet 协议 (IP) 地址。

在这个骗局中，网络犯罪分子利用虚假信息欺骗受害者的计算机，使其认为欺诈者的计算机是网络网关。因此，受害者的计算机一旦连接到网络，基本上就会将其所有网络流量发送给恶意行为者，而不是通过真正的网络网关。然后，攻击者使用这些转移的流量来分析和窃取他们需要的所有信息，例如存储在浏览器中的个人身份信息 (PII) 。

6. IP欺骗

IP 欺骗与 DNS 欺骗类似，攻击者将来自合法网站的互联网流量转移到欺诈网站。攻击者不会欺骗网站的 DNS 记录，而是修改恶意网站的 IP 地址，使其看起来像是用户想要访问的合法网站的 IP 地址。

7. 窃取浏览器 Cookie

在计算中，Cookie 是存储的一小段信息。浏览器 cookie（也称为 HTTP cookie）是由 Web 浏览器收集并本地存储在用户计算机中的数据。浏览器 cookie 可帮助网站记住信息，以增强用户的浏览体验。例如，启用 cookie 后，用户不必在表单上不断填写相同的项目，例如名字和姓氏。

窃取浏览器 cookie 必须与另一种 MitM 攻击技术（例如 Wi-Fi 窃听或会话劫持）相结合才能进行。网络犯罪分子可以使用其他 MitM 技术之一来访问用户的设备，以窃取浏览器 cookie 并充分利用 MitM 攻击的潜力。通过访问浏览器 cookie，攻击者可以获取用户经常存储在浏览器中的密码、信用卡号和其他敏感信息。

中间人（MitM）攻击如何运作？

无论实施中间人攻击需要何种具体技术或技术堆栈，都有一个基本的工作顺序：

1. 人 A 向人 B 发送一条消息。
2. MitM 攻击者在 A 和 B 不知情的情况下拦截了消息。
3. MitM 攻击者会在 A 或 B 不知情的情况下更改消息内容或完全删除消息。

从计算角度来看，MitM 攻击通过利用网络、Web 或基于浏览器的安全协议中的漏洞来转移合法流量并窃取受害者的信息。

中间人攻击示例

2013年，爱德华·斯诺登泄露了他担任国家安全局（NSA）顾问期间获得的文件。文件显示，美国国家安全局意图通过拦截所有流量来模仿谷歌，并具有欺骗 SSL 加密认证的能力。 NSA利用这次MitM攻击获取了所有Google用户（包括所有美国人）的搜索记录，这是对美国公民的非法国内监视。

互联网服务提供商康卡斯特使用 JavaScript 将其广告替代来自第三方网站的广告。这种 MitM 攻击称为代码注入。通过康卡斯特系统的网络流量使康卡斯特能够注入代码并替换所有广告，将其更改为康卡斯特广告，或者将康卡斯特广告插入无广告的内容中。

一个著名的中间人攻击例子是三大信用历史报告公司之一的Equifax 。该公司在 2017 年发生了中间人数据泄露事件，导致超过 1 亿客户的财务数据在数月内暴露给犯罪分子。

银行应用程序存在漏洞，犯罪分子可以利用该漏洞窃取个人信息和凭证，包括密码和邮政编码。

MitM 攻击导致大量数据泄露。 2021 年最大的数据泄露事件包括Cognyte（50 亿条记录）、Twitch（50 亿条记录）、LinkedIn（7 亿条记录）和 Facebook（5.53 亿条记录）。

移动应用中的中间人攻击问题

每个使用移动设备的人都是潜在目标。  许多应用程序无法使用证书固定。证书固定将 SSL 加密证书链接到正确目的地的主机名。该过程需要通过使用已知、有效、固定的关系来包含应用程序开发。如果恶意代理已经在运行，则以后无法实现该功能，因为代理会使用假证书欺骗SSL 证书。

代理拦截从发送方到接收方的数据流。如果它是恶意代理，它会更改数据，而发送者或接收者都不知道发生了什么。

如何检测中间人（MitM）攻击？

由于中间人攻击依赖于与其他网络攻击更密切相关的元素，例如网络钓鱼或欺骗（员工和用户可能已经接受过识别和阻止这些恶意活动的培训），因此中间人攻击乍一看似乎很容易被发现。

然而，鉴于网络犯罪分子的手段日益复杂，检测应该包括一系列协议，包括人力和技术。与所有网络威胁一样，预防是关键。

以下迹象表明您的网络可能存在恶意窃听者，并且正在进行 MitM 攻击：

1. 异常断开连接：服务意外或反复断开连接（当用户奇怪地被踢出服务并且必须一次又一次登录时）通常是 MitM 尝试或攻击的迹象。网络犯罪分子会寻找许多机会来获取用户名和密码，虽然反复输入用户名和密码对用户来说似乎只是小小的不便，但中间人攻击者需要一遍又一遍地进行这一操作才能成功。
2. 奇怪的 URL ：在欺骗诈骗中，网络犯罪分子会创建与可识别的、可信的网站完全相同的虚假网站，以诱骗受害者输入他们的凭证。在这种攻击的 MitM 版本中，浏览器中传递给用户的网页是一个欺骗性的网站，地址窗口中的 URL 显然不是受信任网站或应用程序的可识别地址。 MitM 攻击者使用DNS 劫持，以便用户与欺骗网站进行交互和参与，同时恶意代码拦截他们的消息并收集他们的数据。对于任何个人金融交易，用户应仔细检查其金融机构的网页，以确定是否有任何不熟悉的地方。
3. 公共、不安全的 Wi-Fi ：如果可能，应避免使用陌生机构提供的公共 Wi-Fi。这与市政 Wi-Fi 不同，市政 Wi-Fi 是城市提供的免费连接，以便居民可以连接到互联网。即使用户不在公共 Wi-Fi 上进行银行交易或其他涉及敏感数据的任务，MitM 攻击仍然可以向设备发送恶意代码来窃听聊天和消息。据了解，犯罪分子通常会使用听起来无害的 Wi-Fi 网络名称，例如“本地免费无线”，因此要小心。攻击者可能提供免费连接，但他们也会观察用户的所有活动。

中间人攻击对企业的影响

MitM 攻击非常严重，需要预防中间人攻击。由于业务移动性、远程工作人员、物联网设备漏洞、移动设备使用增加以及使用不安全的 Wi-Fi 连接的危险，企业面临的风险越来越大。

《网络犯罪杂志》发布的《 2022年网络安全年鉴》报告称，2021年网络犯罪造成的损失为6万亿美元。预计到2025年，这一数字将达到每年10万亿美元。

MitM 攻击收集个人凭证和登录信息。攻击可能会安装包含恶意软件的受损软件更新。移动设备通过不安全的网络连接发送的未加密通信尤其容易受到攻击。

《商业新闻日报》报道，小型企业遭受网络攻击造成的损失平均为 55,000 美元。

如何预防中间人攻击？

良好的网络安全实践通常有助于保护个人和组织免受 MitM 攻击。

1. 更新并保护家用 Wi-Fi 路由器：这也许是最重要的，因为在家办公 (WFH) 政策通常要求员工使用家用路由器连接到互联网以访问公司网络。 Wi-Fi 路由器软件（称为固件）应时常更新。由于固件更新不是自动的，因此此过程需要手动进行。另外，请确保路由器的安全设置达到最强，根据 Wi-Fi 联盟的说法，目前是WPA3 。
2. 连接到互联网时使用虚拟专用网络 (VPN)： VPN 会对设备和 VPN 服务器之间传输的数据进行加密。加密流量更难修改。
3. 使用端到端加密：在可能的情况下，指导员工打开电子邮件和其他通信渠道的加密。为了增加安全性，请仅使用提供开箱即用加密的通信软件。一些应用程序会在后台自动开启加密，例如WhatsApp Messenger 。但是，如果员工希望验证他们的信息确实被加密，他们将需要执行一个特殊的过程，例如扫描和比较每个人手机上 WhatsApp 应用程序中的二维码。
4. 安装补丁并使用防病毒软件：这些可能是基本的网络安全实践，但值得一提，因为它们很容易被忘记。此外，根据 WFH 政策，员工现在有责任确保在其设备上安装所有补丁并更新安全软件。 IT人员可能需要向员工解释这一点的重要性，以加强端点安全。
5. 使用强密码和密码管理器：由于密码不会很快消失，因此鼓励员工使用强密码和密码管理器。对于公司拥有的设备，IT 人员可以安装移动设备管理软件，该软件具有密码策略，其中包含有关密码长度、复杂性（即使用特殊字符）、时效、历史记录/重复使用以及远程擦除设备之前的最大密码尝试次数的规则。
6. 如果可用，请部署多因素身份验证 (MFA)：这样您就不仅仅依赖密码，组织应该鼓励使用 MFA 来访问设备和在线服务。这种做法很快成为组织抵御威胁的最佳防御手段。
7. 仅连接到安全的网站：这意味着在浏览器的地址栏中寻找网站 URL 左侧的小挂锁图标。这表明您访问的网页是安全的并且使用 HTTPS 协议。为了安全起见，员工（以及整个网络用户）绝不应该连接到常规 HTTP 网站或没有挂锁图标的网站。为了确保这一点，用户可以考虑安装可以强制执行此规则的免费浏览器插件。此外，大多数综合网络安全平台都包含网络过滤协议，限制员工访问非 HTTPS 网站。 Fortinet 通过其FortiGuard Web 过滤服务提供此功能。
8. 加密 DNS 流量： DNS 是互联网的分布式目录服务。应用程序使用 DNS 将域名解析为 IP 地址。但是，当 DNS 想要连接到外部递归 DNS 解析器时，隐私和安全就会成为一个问题，因为 DNS 是分布式的，并且不存在单一的安全协议。已经出现的少数机制，包括 DNS over TLS（DoT）和 DNS query over HTTPS，对用户计算机和外部 DNS 解析器之间的 DNS 流量进行加密，以使用证书验证解析器的真实性，确保没有其他方可以冒充解析器。
9. 采用零信任理念：零信任是一种安全概念，要求组织不自动信任其边界内外的任何事物。相反，他们必须首先验证尝试连接到其系统的任何内容，然后才授予访问权限。该模型是“永不信任，始终验证”，并且依赖于对每个设备、用户和应用程序的持续验证。零信任方法可以防止 MitM 攻击开始，或者在 MitM 攻击已经开始时保护组织的资产。
10. 部署 UEBA 解决方案：用户和实体行为分析 (UEBA) 使用机器学习来检测连接到公司网络的用户和设备行为中最微小的异常。随着网络攻击变得越来越复杂，威胁载体可以出现在任何地方，机器学习工具越来越多地被用于监控可能可疑并预示着中间人攻击的行为的细微变化。 Fortinet UEBA 解决方案FortiInsight 不仅持续监控所有用户和端点的行为，而且还采用自动化技术实时应对威胁。

中间人攻击常见问题解答

中间人攻击如何运作？

一般来说，中间人 (MitM) 攻击通过利用网络、Web 或基于浏览器的安全协议中的漏洞来转移合法流量并窃取受害者的信息。

VPN 能防御中间人攻击吗？

叉子。 VPN 对设备和网络之间传输的数据进行加密。

TLS 能防止中间人攻击吗？

叉子。传输层安全性 (TLS) 是安全套接字层 (SSL) 的后继协议，该协议被证明存在漏洞，并最终于 2015 年 6 月弃用。TLS 提供了联网计算机之间最强大的安全协议。