CJ7*_*CJ7 36 networking security man-in-the-middle
互联网安全中“中间人”攻击的可能性有多大?
除了 ISP 服务器之外,还有哪些实际的机器将处于互联网通信的“中间”?
与理论风险相比,与 MITM 攻击相关的实际风险是什么?
编辑:我对这个问题中的无线接入点不感兴趣。他们当然需要得到保护,但这是显而易见的。无线接入点的独特之处在于,每个人都可以听到广播通信。正常的有线互联网通信被路由到他们的目的地——只有路由中的机器才能看到流量。
ŹV *_*V - 44
首先,让我们谈谈边界网关协议。互联网由数千个称为 AS(自治系统)的端点组成,它们使用称为 BGP(边界网关协议)的协议路由数据。近年来,BGP 路由表的大小呈指数级增长,超过 100,000 个条目。即使路由硬件的功能越来越强大,它也几乎无法跟上不断扩大的 BGP 路由表大小的步伐。
在我们的 MITM 场景中,棘手的部分是 BGP 隐式信任其他自治系统提供的路由,这意味着,如果来自 AS 的垃圾邮件足够多,任何路由都可以通向任何自治系统。这是最明显的 MITM 流量方式,它不仅仅是理论上的 - Defcon 安全公约的网站在 2007 年被重定向到安全研究人员的网站以演示攻击。当巴基斯坦审查该网站并错误地宣布其自己的(已死)路线是巴基斯坦以外的几个 AS 的最佳路线时,Youtube 在几个亚洲国家/地区出现故障。
少数学术团体从合作 AS收集BGP 路由信息,以监控改变流量路径的 BGP 更新。但是如果没有上下文,就很难区分合法更改和恶意劫持。交通路径不断变化以应对自然灾害、公司合并等。
接下来要讨论的“全球 MITM 攻击向量”列表是域名系统(DNS)。
尽管 ISC 的 Fine DNS 服务器BIND经受住了时间的考验并且相对完好无损(Microsoft 和 Cisco 的 DNS 产品也是如此),但还是发现了一些值得注意的漏洞,这些漏洞可能会危及互联网上使用规范化名称的所有流量(即几乎所有交通)。
我什至不想讨论Dan Kaminsky对 DNS 缓存中毒攻击的研究,因为它在其他地方已经被打败了,只是被 Blackhat - Las Vegas 评为“有史以来最被炒作的错误”。但是,还存在其他几个严重危害互联网安全的 DNS 错误。
动态更新区错误使DNS 服务器崩溃,并有可能远程危害机器和 DNS 缓存。
交易签名漏洞允许在漏洞公布时对任何运行 BIND 的服务器进行完全远程根入侵,显然允许 DNS 条目被入侵。
最后,我们必须讨论ARP Poisoning、 802.11q Retracing、 STP-Trunk Hijacking、 RIPv1 路由信息注入和 OSPF 网络的大量攻击。
这些攻击对于一家独立公司的网络管理员来说是“熟悉的”(这是理所当然的,考虑到这些可能是他们唯一可以控制的)。现阶段讨论每种攻击的技术细节有点无聊,因为每个熟悉基本信息安全或 TCP 的人都了解 ARP Poisoning。对于许多网络管理员或服务器安全爱好者来说,其他攻击可能是熟悉的面孔。如果您担心这些,那么存在许多非常好的网络防御实用程序,从Snort等免费和开源实用程序到Cisco和HP的企业级软件. 或者,许多信息丰富的书籍都涵盖了这些主题,数量太多无法讨论,但我发现有几本对追求网络安全很有帮助,包括网络安全监控之道、网络安全架构和经典的网络战士
无论如何,我觉得有些令人不安的是,人们认为此类攻击需要 ISP 或政府级别的访问权限。他们需要的网络知识和适当的工具(即 HPING 和 Netcat,不完全是理论工具)与 CCIE 的平均水平相同。如果您想保持安全,请保持警惕。
Den*_*son 15
这是我关注的一个 MITM 场景:
假设在一家酒店有一个大型会议。ACME Anvils 和 Terrific TNT 是卡通危险行业的主要竞争对手。对他们的产品有既得利益的人,尤其是开发中的新产品,会非常喜欢让他的爪子参与他们的计划。我们将称他为 WC 以保护他的隐私。
WC 提前在 Famous Hotel 登记入住,以便给他一些时间来安排。他发现酒店有名为 FamousHotel-1 到 FamousHotel-5 的 wifi 接入点。因此,他设置了一个接入点并将其命名为 FamousHotel-6,以便它融入景观并将其桥接到其他接入点之一。
现在,参会人员开始登记入住。碰巧两家公司最大的客户之一,我们将称他为 RR,登记入住并在 WC 附近找到一个房间。他设置了他的笔记本电脑并开始与他的供应商交换电子邮件。
WC疯狂地咯咯笑!“我狡猾的计划正在奏效!”,他惊呼道。繁荣!碰撞!同时,他被铁砧和一捆 TNT 击中。ACME Anvils、Terrific TNT、RR 和 Famous Hotel 的安全团队似乎正在共同努力,共同预测这次攻击。
哔哔!
编辑:
多么及时* :旅行提示:提防机场 Wi-Fi“蜜罐”
* 好吧,它刚好出现在我的 RSS 提要中。
这完全取决于情况。您有多信任您的 ISP?您对 ISP 的配置了解多少?您自己的设置有多安全?
现在大多数像这样的“攻击”很可能是木马恶意软件从文件中拦截击键和密码。一直发生,只是它没有引起太多注意或报告。
信息在 ISP 级别内部泄露的频率如何?当我为一家小型 ISP 工作时,我们转售了另一个更高级别的访问权限。所以一个拨入我们的人进入了我们的网络,如果你没有与我们的网络服务器或邮件服务器通话,流量就会流向更高层的提供商,我们不知道谁对你的网络中的数据做了什么,或者他们的管理员是多么值得信赖。
如果您想知道有多少人“可能”看到您的流量,请执行跟踪路由,您将看到每个路由点的响应数量。那是假设隐形设备不在其中一些设备之间。而且这些设备实际上都是路由器,而不是伪装成路由器的东西。
问题是你无法知道这些攻击有多普遍。没有任何规定要求公司必须披露发现的攻击,除非您的信用信息受到损害。大多数公司不会这样做,因为这很尴尬(或工作量太大)。随着大量恶意软件的传播,它可能比您想象的要普遍得多,即便如此,关键还是要发现攻击。当恶意软件正常工作时,大多数用户不会知道它何时发生。而实际的人感到恼火并窥探提供商的流量情况是公司除非必须报告的情况,否则不会报告。
当然,这些忽略了公司被迫保留您的流量记录并在不告诉您的情况下将其披露给政府机构的情况。如果您在美国,多亏了爱国者法案,图书馆和 ISP 可以被迫记录您的数据旅行、电子邮件和浏览历史记录,而不会告诉您他们正在收集有关您的信息。
换句话说,没有关于 MITM 和拦截攻击对用户的流行程度的硬数据,但有证据表明它高于舒适度,并且大多数用户不太关心获取这些信息。
MitM 攻击几乎只在本地网络中遇到。利用互联网连接需要 ISP 或政府级别的访问权限 - 拥有这种级别资源的人很少会追踪您的数据。
一旦有人进入您的网络,您就会遇到严重的问题,但除此之外,您可能会没事。