中间人(MITM)攻击
什么是MITM攻击
中间人(MITM)攻击是一个通用术语,表示当犯罪者将自己置于用户与应用程序之间的对话中时 - 窃听或模仿其中一方,使其看起来好像是正常的信息交换进展中。
攻击的目标是窃取个人信息,例如登录凭据,帐户详细信息和信用卡号码。目标通常是金融应用程序,SaaS企业,电子商务网站和其他需要登录的网站的用户。
攻击期间获得的信息可用于多种目的,包括身份盗窃,未经批准的资金转移或非法密码更改。
此外,在高级持续威胁(APT)攻击的渗透阶段,它可用于在安全边界内获得立足点 。
一般来说,MITM攻击相当于邮递员打开您的银行对账单,写下您的账户信息,然后重新封装信封并将其发送到您的门。
MITM攻击进展
成功的MITM执行有两个截然不同的阶段:拦截和解密。
截击
第一步在攻击者的网络到达预定目的地之前拦截用户流量。
这种做法最常见(也是最简单)的方式是被动攻击,攻击者可以向公众提供免费的恶意WiFi热点。通常以与他们的位置相对应的方式命名,它们不受密码保护。一旦受害者连接到这样的热点,攻击者就可以全面了解任何在线数据交换。
希望采取更积极的拦截方法的攻击者可能会发起以下攻击之一:
- IP欺骗涉及攻击者通过更改IP地址中的数据包标头将自己伪装成应用程序。因此,试图访问连接到应用程序的URL的用户将被发送到攻击者的网站。
- ARP欺骗是指使用假ARP消息将攻击者的MAC地址与局域网上合法用户的IP地址相关联的过程。结果,用户向主机IP地址发送的数据被转发给攻击者。
- DNS欺骗(也称为DNS缓存中毒)涉及渗透DNS服务器并更改网站的地址记录。因此,试图访问该站点的用户将通过修改后的DNS记录将其发送到攻击者的网站。
解密
拦截后,任何双向SSL流量都需要解密,而不会提醒用户或应用程序。有很多方法可以实现这一点:
- 一旦向安全站点发起初始连接请求,HTTPS欺骗就会向受害者的浏览器发送虚假证书。它拥有与受损应用程序关联的数字指纹,浏览器根据现有的受信任网站列表验证该数字指纹。攻击者可以在传递给应用程序之前访问受害者输入的任何数据。
- SSL BEAST(针对SSL / TLS的浏览器漏洞利用)针对SSL中的TLS 1.0版漏洞。在这里,受害者的计算机感染了拦截由Web应用程序发送的加密cookie的恶意JavaScript。然后,应用程序的密码块链接(CBC)被破解,以解密其Cookie和认证令牌。
- 当攻击者在TCP握手期间将伪造的认证密钥传递给用户和应用程序时,就会发生SSL劫持。当中间的人控制整个会话时,这设定了似乎是安全连接的东西。
- 通过拦截从应用程序发送给用户的TLS认证,SSL剥离将HTTPS连接降级为HTTP。攻击者发送应用程序站点的未加密版本给用户,同时保持与应用程序的安全会话。同时,攻击者可以看到用户的整个会话。
中间人攻击预防
阻止MITM攻击需要用户的几个实际步骤,以及应用程序的加密和验证方法的组合。
对于用户来说,这意味着:
- 避免没有密码保护的WiFi连接。
- 关注报告网站的浏览器通知是不安全的。
- 不使用时立即注销安全应用程序。
- 在进行敏感交易时不使用公共网络(例如咖啡店,酒店)。
对于网站运营商而言,包括TLS和HTTPS在内的安全通信协议通过对发送的数据进行强健的加密和认证来帮助减轻欺骗攻击。这样做可以防止拦截网站流量并阻止敏感数据(如身份验证令牌)的解密。
对于应用程序来说,使用SSL / TLS来保护其网站的每一页都是最佳做法,而不仅仅是需要用户登录的页面。这样做有助于降低攻击者窃取用户浏览未加密的用户的会话cookie的几率部分网站登录后。'
使用INCAPSULA防止MITM
由于SSL / TLS实现不太理想,MITM攻击经常发生,就像启用SSL BEAST或支持使用过时和欠安全密码的那些攻击一样。
为了解决这些问题,Imperva Incapsula为其客户提供了优化的端到端SSL / TLS加密,作为其安全服务套件的一部分。
托管在Incapsula 内容交付网络(CDN)上的证书可以最佳实施,以防止SSL / TLS危害攻击,例如降级攻击(例如SSL剥离),并确保符合最新的PCI DSS要求。
作为托管服务提供,SSL / TLS配置由专业安全保持最新状态,以满足兼容性需求并抵御新兴威胁(例如Heartbleed)。
最后,通过Incapsula仪表板,客户还可以配置HTTP严格传输安全(HSTS)策略,以强制跨多个子域使用SSL / TLS安全性。这有助于进一步保护来自协议降级攻击和cookie劫持尝试的网站和Web应用程序。