什么是中间人攻击？

中间人攻击将网络犯罪分子置于他们想要的位置——即用户与网站之间。那些技术娴熟的中间人攻击者可以悄无声息地窃取数据，而这种行为往往会导致极其严重的后果。了解这种攻击的工作原理，以及如何防止中间人攻击的发生。

中间人攻击的定义

中间人攻击是指一种网络攻击方式。这是一种窃听型网络攻击，它通过利用协议中的漏洞来拦截用户或设备之间的通信数据。用户错误地认为他们的数据传输是合法的。与此同时，中间人攻击使得犯罪分子能够劫持对话内容并控制网络连接。

MITM攻击对目标组织来说可能带来严重的后果。如果这种攻击被忽视，攻击者就可以监听用户的对话并获取敏感信息。攻击者甚至可以获取用户的登录信息和银行账号等信息——因为所有通过互联网传输的数据都可能成为攻击者的目标。

中间人攻击是如何进行的呢？

在 MITM 攻击中，犯罪分子会介入两个被信任的实体之间。例如，他们可能会劫持数据传输过程、破坏 Wi-Fi 服务器，或者监控电子邮件通信内容。

那些隐藏的攻击者能够获取关于我们发送的信息、访问的网站以及我们在网页表单中输入的文本等详细信息。MITM攻击主要有两种类型。主动与被动这两种情况都会对网络安全构成严重的威胁。

主动的中间人攻击

主动的中间人攻击通常包含两个环节：拦截和解密。这两个环节共同作用，以劫持连接并获取相关信息。

这种主动中间人攻击通常始于恶意软件的感染。攻击者可能会通过这种方式来实施攻击。数据包嗅探工具通过钓鱼邮件、虚假网站或物理设备来实现。

数据包嗅探器使得攻击者能够检测到不安全的连接情况（例如，当用户访问未加密的HTTP网站时）。之后，他们就可以利用这些信息来实施攻击了。主动拦截交通流量——通常发生在客户端与网络服务器之间。

接下来，就是攻击者了。故意让目标用户误以为他们访问的网站是安全的。代码注入或篡改行为本质上是在未经用户同意的情况下创建代理服务器。攻击者利用这些代理服务器来拦截数据。将目标页面重定向到一个虚假的网站。.

这个虚假的网站看起来与真实网站非常相似，但有一个关键的区别：输入到该网站中的数据是由MITM攻击者直接获取的。

由于使用了SSL加密技术，攻击者可能无法读取被截获的数据。他们必须采取其他措施来破解这些数据。解密数据这些攻击手段通常用于二次攻击，或者用于在暗网上进行销售。犯罪分子可以通过伪造HTTPS证书、利用TLS漏洞，或者通过SSL劫持来获取加密密钥来实现这些目的。

被动式中间人攻击

其他类型的攻击则采取了一种被动的方式。这种被动的中间人攻击方式，会渗透到网络基础设施中，然后等待用户泄露自己的数据。攻击者不会篡改数据来伪造网络连接。

Wi-Fi被攻破/Wi-Fi的安全性受到威胁这是一种常见的中间人攻击方式。在这种攻击中，网络攻击者会创建出看似真实的Wi-Fi热点，这些热点的名称也相当逼真。任何在没有使用VPN保护的情况下使用这些热点的人，其数据都会面临被窃取的风险。

其他形式包括数据包捕获，这种攻击方式通常会影响那些仍使用旧版电子邮件协议的用户。而无线电信号拦截则是一种非数字化的被动中间人攻击方式。

中间人攻击类型

犯罪分子们已经开发出许多强大的手段来劫持网络连接并欺骗目标用户。下面列出的这些方法都是最常见的中间人攻击方式。企业在制定网络安全策略时，应该考虑所有这些方式。

电子邮件劫持/窃取

在这些中间人攻击中，犯罪分子会控制企业的电子邮件账户，并伪装成合法的联系人。攻击者可以监控所有发送的和接收的电子邮件，同时将这些信息用于后续的社交工程攻击中。

IP地址欺骗

IP欺骗会改变网站或电子邮件地址的IP地址。这样，犯罪分子就可以隐藏自己的活动。从目标的角度来看，这些网站的IP地址看起来是合法的。然而，当目标用户访问这些网站时，攻击者会将其浏览器引导到伪造的网站上，从而窃取数据。

DNS欺骗

域名系统欺骗是一种另一种手段，通过这种手段，犯罪分子可以误导网站访问者，让他们误以为那些虚假的网站其实是真实的网站。与篡改IP地址数据不同，这种欺骗方式是通过改变网站的DNS地址来实现的（例如，将security.com的DNS地址改为其他地址）。

犯罪分子们通过一种被称为“技术”的方法来达到这一目的。DNS缓存欺骗缓存中毒攻击的目标，是那些用于将域名转换为可访问地址的DNS服务器。攻击者会将恶意DNS信息注入到服务器注册表中。当受害者试图访问合法网站时，DNS解析器会将其指向这些被“污染”的域名。

会话劫持

会话实际上是一种临时性的安全连接，用于实现客户端与服务器之间的通信。中间人攻击可以通过窃取浏览器的Cookie信息来劫持这种连接关系。

会话劫持行为会窃取包含密码和登录凭据的会话Cookie。这些Cookie可能包括保存在浏览器中的密码，或者用于在线银行应用程序的登录信息。

ARP缓存欺骗

地址解析协议（ARP）在网络链路层工作，用于解析本地网络或子网中的IP地址。攻击者可以利用ARP欺骗技术来入侵网络资源，并窃取本地存储的数据。

这种技术会欺骗本地用户，让他们误以为攻击者的设备实际上是一个网络网关。在这种情况下，各个设备会通过这个虚假的网关发送网络访问请求，其中包括向外部互联网传输的数据。这些数据中可能包含敏感信息，比如登录凭据或个人身份信息。

通过公共Wi-Fi进行窃听

Wi-Fi劫持行为通常针对那些存在安全漏洞的无线网络，而这些网络往往出现在公共场所。攻击者可以创建看似合法的Wi-Fi网络来实施攻击，比如酒店或咖啡馆中的网络。他们还可以拦截那些安全性较低的公共Wi-Fi网络上的数据传输。

一旦连接成功，如果未使用加密技术，攻击者就可以获取用户的数据。这样一来，诸如登录凭据或个人详细信息之类的敏感信息就会暴露出来，从而被窃取。

SSL劫持

安全套接层（SSL）协议旨在实现用户与网站之间的安全连接。然而，攻击者可以通过会话劫持技术来破坏SSL协议的安全性。

犯罪分子通常位于用户设备与服务器之间。SSL漏洞使得数据可以被提取或转移到虚假的网站上。

中间人攻击的例子

在实际中，中间人攻击是如何发生的呢？不幸的是，许多现实中的中间人攻击案例都表明，这种窃听攻击具有极大的破坏性。

Okta

在2022年，认证解决方案提供商Okta遭遇了一次中间人攻击事件。在这起事件中，Lapsus$黑客团伙成功欺骗了一名第三方工程师，使其点击了带有恶意内容的多因素认证通知。结果，该工程师并没有完成安全的身份验证流程，而是将自己的凭据传递给了攻击者。这些攻击者随后利用这些凭据访问了Okta的客户端系统。

这种中间人攻击非常重要，因为它……针对的是通过多因素认证进行保护的远程连接。攻击者需要获取目标的电话号码，才能发送通知。他们还需要知道该工程师使用的是Okta平台。此外，他们还需要说服该工程师点击链接。

尽管有这些要求，攻击者仍然成功实施了攻击。这表明，MITM攻击方式正在不断发展，以应对更复杂的认证方法。

联想Superfish广告程序

Lenovo Superfish漏洞并非直接针对Lenovo的攻击行为，但它创造了一个漏洞，使得许多中间人攻击成为可能。

从2014年开始，联想在某些电脑上预装了Superfish VisualDiscovery广告程序。为了拦截HTTPS流量，该广告程序安装了可信的根证书。这样一来，该软件就可以在不引起浏览器警告的情况下，拦截、解密并重新加密被加密的网页数据。这其实是一种典型的中间人攻击行为。

由于私钥很容易被恢复，攻击者可以伪造任何网站的证书。这意味着攻击者可以在用户不知情的情况下，伪造出看似安全的网站，比如银行或电子邮件的界面。

中间人攻击会对企业产生怎样的影响呢？

中间人攻击通常会对目标组织的运营造成严重影响。

像Equifax这样的金融服务公司，需要依靠安全的数据传输方式来处理各种交易，同时保护客户的账户信息。而中间人攻击则会导致这些服务受到破坏。声誉损害以及监管风险。例如，Equifax已经支付了超过7亿美元作为赔偿款项。

MITM攻击也包含在内。会损害隐私和保密性各组织依赖隐私来保护知识产权，避免其被竞争对手或国家所获取。中间人攻击会截获信息流。正如爱德华·斯诺登所揭露的那样，美国国家安全局利用这种中间人攻击手段来模仿谷歌的行为，从而追踪美国公民的浏览行为。

解决这种中间拦截事件也需要花费一定的资金。咨询公司Accenture的测算结果显示，2020年，中间人攻击给企业带来的损失达到了20亿美元。

如何防止中间人攻击

上述所提到的后果表明，必须采取措施来保护网络免受中间人攻击的威胁。以下是一些降低这种风险、保护数据的最佳实践。

使用安全的Wi-Fi网络以及经过加密的网站。

请只访问带有“HTTPS”前缀的加密网站，而避免使用所有带有“HTTP”前缀的网站。可以通过网站地址旁边的小锁图标来判断某个网站是否使用了正确的前缀。另外，Chrome还支持仅浏览经过加密的HTTPS连接。用户还可以查看该网站的SSL证书，这无疑是该网站安全的有力证明。

在允许员工使用公共Wi-Fi网络时，必须非常谨慎。正如上文所提到的，Wi-Fi欺骗是一种典型的中间人攻击手段。

添加多因素认证功能，以防止凭证被盗用。

要求员工在访问网络资源时使用多因素认证。多因素认证可以有效防止凭证被盗用。攻击者虽然可能获取密码和身份信息，但多因素认证需要一次性验证，从而难以截获传输的数据。

培训工作人员识别钓鱼邮件的技巧。

钓鱼邮件常被用来传播恶意软件，而攻击者可以利用这些恶意软件来实施中间人攻击。虽然钓鱼行为本身并不是直接的中间人攻击方式，但它确实为这类攻击提供了机会。

请培训员工识别可疑的电子邮件地址和链接。在打开任何未经请求的附件之前，必须先进行恶意软件扫描。这些措施有助于降低感染恶意软件的风险，从而避免引发更严重的安全威胁。

使用虚拟私人网络（VPN）

VPNs能够加密远程连接过程中的数据。即使攻击者截获了这些数据，他们也很难解密并利用这些数据进行攻击。在使用公共Wi-Fi时，VPNs尤为重要。它们为可能被入侵的网络提供了额外的保护层。

安装用于威胁检测与消除的工具。

应定期使用那些能够利用全球威胁数据库进行威胁检测的工具。主动的网络扫描可以迅速发现那些试图拦截网络流量的恶意程序。安全团队可以在攻击发生之前，从网络终端中清除这些恶意软件。

更新固件