top of page

網安攻防系列專題─中間人攻擊Man-in-the-middle attack

什麼是中間人攻擊(Man-in-the-middle attack)?

中間人攻擊從字面上很好想像,就是駭客躲在你跟網站連線的中間,偷聽你們的對話,偷偷修改你們對話的內容,駭客能在客戶端與網站之間分別建立獨立的網路,並交換兩端所接收到的資訊,通訊的兩端會認為雙方是直接對話,但事實上整個通訊的過程完全被駭客控制,駭客除了監聽封包、竄改通訊內容外,還可以在你下載的檔案中植入惡意程式,或是將連線導到惡意網站。


讓我們舉個關於加密通訊軟體的例子:

Alice、Bob運用通訊軟體聊天(如下圖), Alice和Bob交換彼此的金鑰後,就可以開始通訊,Alice會將要傳送的訊息透過Bob的公鑰進行加密,Bob透過自己的私鑰解密後就能得知Alice傳送的內容,反之亦然。若沒有取得私鑰,攻擊者便無法得知通訊內容。



駭客Eve若要展開中間人攻擊,只需要在Alice要將金鑰交換給Bob時,截收Alice的金鑰,並把自己的金鑰傳給Bob,Bob就會誤把Eve的金鑰當作是Alice的;Bob交換金鑰時,Eve亦會進行同樣的操作(如下圖)。如此一來,Alice和Bob的通訊內容,都會透過Eve的金鑰來加密,Eve可以利用自己的私鑰解密訊息,清楚地知道聊天內容,甚至還可以將Bob傳送的內容進行竄改,之後再透過Alice或Bob的金鑰重新加密訊息傳給對方。



中間人攻擊的運用手法相當多元,只要能夠在通訓鏈中成功偽裝成參與對談的終端,並且不被其他終端識破,就是一次成功的攻擊,這邊介紹幾種中間人攻擊的常見手法:

1、ARP欺騙(ARP Spoofing):ARP是位址解析協定(Address Resolution Protocol)的縮寫,是用來查詢IP位址與實體位址 (MAC Address)的對應關係。 ARP欺騙的運作原理是由攻擊者發送假的ARP封包到網路上,其目的是要覆蓋掉路由器上原本的ARP表,讓特定的IP位址所對應到的實體位址,被改寫成駭客的位址,如此便會使原本該IP的流量被錯誤送到駭客的位址,駭客就可以截收封包展開惡意行為。

2、DNS快取記憶體中毒(DNS Cache Poisoning): DNS(Domain Name System)也就是網域名稱系統,是用來將網址轉換為IP位址,一般我們要連上GOOGLE,會在網址輸入www.google.com,再透過DNS找到對應的IP。DNS快取記憶體中毒,又稱為DNS詐騙,是向 DNS 快取記憶體中輸入錯誤資訊,以便使 DNS 查詢返回錯誤回應,將使用者的封包導向到駭客的IP。


而比起辛苦的攻擊網路設備,駭客更喜歡布置陷阱等待受害者自投羅網。利用Wi-Fi,駭客便可以輕鬆地達成中間人攻擊的環境,他可以攔截連上Wi-Fi的使用者所有的網路連線,而這個Wi-Fi可以是駭客自己架設的免費Wi-Fi,或是透過使用弱密碼(如:00000000)的公共Wi-Fi。Wi-Fi分享機都會有一個管理頁面,只要連上Wi-Fi並在網址打192.168.1.1或192.168.0.1,通常就能連到管理介面,而管理介面的登入密碼,很高機率是使用預設密碼或弱密碼,駭客可輕易地登入管理介面,進而取得整個Wi-Fi的控制權。

中間人攻擊是很常見的網路攻擊,若要避免被駭客監聽,除了要定時更新網路設備修補漏洞,避免駭客透過漏洞攻擊網路設備,還要記得將Wi-Fi分享機設定高強度密碼。使用公共Wi-Fi時,不要處理隱私事物,因為我們無法得知連上的網路是否安全。若想更加安全的使用網路,也可以使用SSL-VPN技術,SSL-VPN可以開闢一條加密通道,透過這個通道進行通訊,駭客便很難監聽通訊的內容,如此便能確保網路連線安全。


-艾斯飛利國際ISMS主任稽核員 Dan Lin

Comments


bottom of page