谁可以窃听用户的 HTTP 流量？

Question

我多次听说应该使用 HTTPS 传输私人数据，因为 HTTP 容易被窃听。但实际上，谁有能力窃听特定冲浪者的 HTTP 流量？他们的ISP？同一局域网上的其他人？谁知道他们的IP地址？

Answer 1

简单 - 只需按照从您的 PC 到服务器的电缆。

这可能是奥地利特有的，但它可能在世界各地看起来都相似。

假设我们有一个 DSL 用户：

• PC -> 以太网 -> 调制解调器

任何可以访问本地基础设施的人都可以嗅探流量

• 调制解调器 -> 2 线铜缆 -> DSLAM

任何能够访问能够解码数据的铜缆基础设施和设备的人都可以窃听。如果您知道去哪里查看，这些线路中的大部分都相对不受保护且易于访问，但要实际解码数据，您可能需要一些非常特殊的设备。

• DSLAM -> ISP 基础设施 -> ISP 核心路由器

大多数 DSLAM 通过光纤连接到某种光纤环/MAN 到 ISP 的路由器。

在德国曾有报道称，来自美国的 A 三个字母的机构窃听了城域网的流量。有现成的设备可以做到这一点，您只需要正确的预算、意图和当地基础设施的知识。

• ISP 核心路由器 -> BGP -> 目标 AS

鉴于目标服务器与用户不在同一个自治系统中，流量必须通过“互联网”发送。如果您通过 Internet 访问，请使用 Snatch 中的引述，“All Bets Are Off”。有很多角落和缝隙是恶意操作员可以附着在自己身上的，因此您最好假设您的所有流量都将被读取。

美国国土安全部（或其他机构）在这个层面上积极窃听美国的骨干基础设施。

• 目标 AS 边界路由器 -> ISP 基础设施 -> 房屋中心

看上面。

• 房中心路由器 -> 交换机 -> 服务器

这就是相当多的网站已经受到攻击的方式。以太网对同一 (V)LAN/广播域中的主机不提供保护，因此任何主机都可以尝试 ARP 欺骗/中毒以冒充另一台服务器。这意味着给定服务器的所有流量都可以通过同一 (V)LAN 中的机器进行隧道传输。

Answer 2

在交换 LAN（如大多数以太网网络）上，您可以在许多情况下使用 ARP 缓存中毒来窃听此类流量。基本上，您可以伪造客户端计算机并使其认为您的窃听站是 LAN 外的路由器。

在共享媒体 LAN 上——即非交换式的，比如没有加密或破解加密的无线以太网——你甚至不需要这样做。听就是了！

在 ISP、ISP 的 ISP 和 ISP 的 ISP 的 ISP 等，攻击者只需要嗅探流量。流量流经的路径中的任何一点都可能受到窃听。两者之间也有 LAN，所以总是有可能被 ARP 缓存中毒等窃听。

最后，在远端将有另一个 LAN，与源 LAN 一样容易被窃听。

J. 知道您的 IP 地址的随机白痴不会窃听您的流量，而不会沿途窃听某些东西，或者将流量从正常路径转移到他们身上。

是的 - 明文很糟糕。

Answer 3

如果您将无线连接到链路中，沿途的任何地方（WiFi 卡、无线桥接器等），那么即使在网络附近的任何人都可以收听。

WEP 很容易被破坏，只要在繁忙的网络旁边有一段相当短的时间，一旦你在网络上，你就可以查看每个人的流量。

如果您愿意，请自己尝试一下。下载一个名为 WireShark 的程序，并让它在 Promiscious 模式下捕获。看看会出现什么！

任何敏感、机密、私人和业务相关的内容都应通过 HTTPS 发送。签名证书并不昂贵，如果您在域中，则可以创建自己的证书颁发机构，该证书颁发机构可用于分配证书以加密流量，这些流量将自动被同一域中的客户端信任。