什么是MITM攻击
中间人(MITM)攻击是当犯罪者将自己置于用户与应用程序之间的对话中时的一般术语 - 要么是窃听,要么冒充其中一方,使其看起来好像是正常的信息交换进展中。
攻击的目的是窃取个人信息,例如登录凭据,帐户详细信息和信用卡号。目标通常是财务应用程序,SaaS企业,电子商务站点和其他需要登录的网站的用户。
在攻击期间获得的信息可用于多种目的,包括身份盗窃,未经批准的资金转移或非法密码更改。
此外,它还可用于在高级持续威胁(APT)攻击的渗透阶段在安全边界内获得立足点 。
从广义上讲,MITM攻击相当于邮递员打开您的银行对帐单,写下您的帐户详细信息,然后重新封装信封并将其发送到您的门口。
MITM攻击进展
成功的MITM执行有两个不同的阶段:拦截和解密。
截击
第一步是在攻击者的网络到达预定目的地之前拦截用户流量。
最常见(也是最简单)的方法是进行被动攻击,攻击者可以向公众提供免费的恶意WiFi热点。通常以与其位置相对应的方式命名,它们不受密码保护。一旦受害者连接到这样的热点,攻击者就可以完全了解任何在线数据交换。
希望采取更积极的拦截方法的攻击者可能会发动以下攻击之一:
- IP欺骗涉及攻击者通过改变IP地址中的包头来伪装成应用程序。因此,尝试访问连接到应用程序的URL的用户将被发送到攻击者的网站。
- ARP欺骗是使用伪ARP消息将攻击者的MAC地址与局域网上的合法用户的IP地址链接起来的过程。结果,用户发送到主机IP地址的数据被发送给攻击者。
- DNS欺骗,也称为DNS缓存中毒,涉及渗透DNS服务器和更改网站的地址记录。因此,尝试访问该站点的用户将通过更改的DNS记录发送到攻击者的站点。
解密
拦截后,任何双向SSL流量都需要解密,而不会提醒用户或应用程序。有许多方法可以实现这一目标:
- 一旦向安全站点发出初始连接请求,HTTPS欺骗就会向受害者的浏览器发送虚假证书。它包含与受感染应用程序关联的数字指纹,浏览器根据现有的受信任站点列表进行验证。然后,攻击者能够访问受害者在传递给应用程序之前输入的任何数据。
- SSL BEAST(针对SSL / TLS的浏览器漏洞利用)针对SSL中的TLS版本1.0漏洞。在这里,受害者的计算机感染了恶意JavaScript,拦截了Web应用程序发送的加密cookie。然后应用程序的密码块链接(CBC)被泄露,以便解密其cookie和身份验证令牌。
- 当攻击者在TCP握手期间将伪造的身份验证密钥传递给用户和应用程序时,会发生SSL劫持。实际上,当中间的人控制整个会话时,这会设置看似安全的连接。
- SSL剥离通过拦截从应用程序发送给用户的TLS身份验证,将HTTPS连接降级为HTTP。攻击者向用户发送应用程序站点的未加密版本,同时维护与应用程序的安全会话。同时,攻击者可以看到用户的整个会话。
中间人攻击预防的人
阻止MITM攻击需要用户执行几个实际步骤,以及应用程序的加密和验证方法的组合。
对于用户,这意味着:
- 避免未受密码保护的WiFi连接。
- 注意报告网站不安全的浏览器通知。
- 在不使用时立即退出安全应用程序。
- 在进行敏感交易时不使用公共网络(例如,咖啡店,酒店)。
对于网站运营商而言,安全通信协议(包括TLS和HTTPS)通过对传输数据进行强大的加密和身份验证来帮助缓解欺骗攻击。这样做可以防止拦截站点流量并阻止敏感数据的解密,例如身份验证令牌。
应用程序最好使用SSL / TLS来保护其站点的每个页面,而不仅仅是需要用户登录的页面。这样做有助于降低攻击者从浏览无保护的用户窃取会话cookie的机会登录时网站的一部分。'
使用IMPERVA来防范MITM
MITM攻击通常由于次优SSL / TLS实现而发生,例如启用SSL BEAST或支持使用过时和安全不足的密码的实施。
为了解决这些问题,Imperva为其客户提供优化的端到端SSL / TLS加密,作为其安全服务套件的一部分。
在Imperva 内容分发网络(CDN)上托管,证书被最佳地实施以防止SSL / TLS危害攻击,例如降级攻击(例如SSL剥离),并确保符合最新的PCI DSS要求。
作为托管服务提供,SSL / TLS配置由专业安全人员保持最新,以满足强制要求并应对新出现的威胁(例如Heartbleed)。
最后,通过Imperva云仪表板,客户还可以配置HTTP严格传输安全(HSTS)策略,以强制跨多个子域使用SSL / TLS安全性。这有助于进一步保护网站和Web应用程序免受协议降级攻击和cookie劫持尝试的影响。
閱讀更多 每天一份乾貨 的文章