Виявлення атаки людина посередині (Man in the middle, MitM-атак). Все про атаку "Людина посередині" (Man in the Middle, MitM) Що таке man in the middle

Процес початку сеансу TCP, що складається із трьох кроків. Клієнт надсилає серверу пакет із прапором SYN. Отримавши від клієнта пакет із прапором SYN, у відповідь сервер відправляє пакет із SYN+ACK прапорами та переходить у стан ESTABLISHED. Отримавши коректну відповідь від сервера, клієнт надсилає пакет із прапором ACK і переходить у стан ESTABLISHED

Бан-лист

Список клієнтів, які не мають певних дій. За допомогою бан-ліста зазвичай обмежують можливості роботів при виявленні DDoS-атаки. Також у реаліях ігрових серверівв даний списокзаносяться гравці з поганою репутацією, що використовують чіт-коди, або які здійснюють протиправні дії.

Бот

Комп'ютер, за допомогою якого ведеться DDoS атака"Реальним" трафіком. Найчастіше це комп'ютер звичайного користувача, заражений вірусом Часто користувач не може помітити, що комп'ютер заражений і використовується в протиправних цілях

Веб-сервер

Комп'ютер у мережі, який приймає HTTP-запити від клієнтів, зазвичай веб-браузерів, і видає їм HTTP-відповіді. Як правило, разом з HTTP-відповіддю веб-сервер відповідає HTML-сторінкою, зображенням, медіа-потоком або іншими даними

Веб-сервіс

Веб-сервісами називають послуги, що надаються в Інтернеті. При вживанні даного терміна мова може вестись про пошук, веб-пошту, зберігання документів, файлів, закладок тощо. Зазвичай веб-сервіси можна користуватися незалежно від комп'ютера, браузера або місця доступу до Інтернету.

Домен

Поняття "Домен" може використовуватися в різному контексті, коли йдеться про мережевих технологій. Найчастіше під доменом мають на увазі доменне ім'ясайту. Домени поділяються на різні рівні, наприклад в домені example.com, com є доменом першого рівня, а example доменом другого рівня. Для спрощення спілкування люди також використовують термін "Піддомен", що означає домен, рівень якого більше двох. Наприклад, у домені mail.example.com, mail є піддоменом.

Пошуковий робот

Сервіс пошукової системидля виявлення нових сторінок в Інтернеті та зміни вже існуючих. За принципом дії нагадує браузер. Він аналізує вміст сторінки, зберігає його в певному вигляді на сервері пошукової машини, якій належить, і відправляється за посиланнями на наступні сторінки.

Смуга пропуску

Максимально можлива кількість даних, що передаються в одиницю часу. Часто інтернет-провайдери, обіцяючи велику швидкість доступу до Інтернету, не виконують своїх обіцянок. Найчастіше це відбувається через повного заняття смуги пропускання.

Принцип атаки

Атака зазвичай починається з прослуховування каналу зв'язку і закінчується тим, що криптоаналітик намагається підмінити перехоплене повідомлення, витягти з нього корисну інформацію, перенаправити його на якийсь зовнішній ресурс.

Припустимо, об'єкт A планує передати об'єкту B певну інформацію. Об'єкт C володіє знаннями про структуру і властивості використовуваного методу передачі даних, а також про факт планованої передачі власне інформації, яку планує перехопити. Для здійснення атаки З «представляється» об'єкту А як В, а об'єкту В - як А. Об'єкт А, помилково вважаючи, що він спрямовує інформацію, посилає її об'єкту С. Об'єкт С, отримавши інформацію, і здійснивши з нею деякі дії (наприклад , скопіювавши або модифікувавши у своїх цілях) пересилає дані власне одержувачу - В; Об'єкт В, у свою чергу, вважає, що інформація була отримана ним безпосередньо від А.

Приклад атаки

Використання шкідливого коду

Атака «людина посередині» дозволяє криптоаналітику вставляти свій код у електронні листи, SQL вирази та веб-сторінки (тобто дозволяє здійснювати SQL-ін'єкції , HTML/script-ін'єкції або XSS-атаки), і навіть модифікувати бінарні файли, що завантажуються користувачем, для того, щоб отримати доступ до облікового записукористувача або змінити поведінку програми, завантаженої користувачем з Інтернету.

Downgrade Attack

Терміном «Downgrade Attack» називають таку атаку, коли криптоаналітик змушує користувача використовувати менш безпечні функції, протоколи, які все ще підтримуються з міркувань сумісності. Такий вид атаки може бути проведений на протоколи SSH, IPsec та PPTP.

SSH V1 замість SSH V2

Атакуючий може спробувати змінити параметри з'єднання між сервером та клієнтом під час встановлення між ними з'єднання. Згідно з доповіддю, зробленою на конференції Blackhat Conference Europe 2003, криптоаналітик може «змусити» клієнта розпочати сесію SSH1 замість SSH2, змінивши номер версії «1.99» для SSH сесії на «1.51», що означає використання SSH V1 . Протокол SSH-1 має вразливість, якими може скористатися криптоаналітик.

IPsec

При такому сценарії атаки криптоаналітик вводить свою жертву в оману, змушуючи її думати, що сесія IPsec не може початися на іншому кінці (сервері). Це призводить до того, що повідомлення будуть пересилатися в явному вигляді, якщо хост-машина працює в режимі rollback.

PPTP

На етапі узгодження параметрів PPTP сесії атакуючий може змусити жертву використовувати менш безпечну автентифікацію PAP, MSCHAP V1 (тобто «відкотитися» з MSCHAP V2 до версії 1), або не використовувати шифрування взагалі.

Атакуючий може змусити свою жертву повторити етап узгодження параметрів PPTP сесії (надіслати Terminate-Ack-пакет), викрасти пароль з існуючого тунелю і повторити атаку.

Чи врятує шифрування?

Розглянемо випадок стандартної транзакції HTTP. У цьому випадку зловмисник досить легко може розбити оригінальне TCP-з'єднання на два нових: одне між собою та клієнтом, інше між собою та сервером. Це досить легко зробити, так як дуже рідко з'єднання між клієнтом і сервером пряме, і в більшості випадків вони пов'язані через кілька проміжних серверів. MITM-атаку можна проводити будь-якому з цих серверів.

Виявлення MITM-атаки

Для виявлення атаки "людина посередині" необхідно проаналізувати мережевий трафік. Наприклад, для детектування атаки по SSL слід звернути увагу на такі параметри:

IP-адреса сервера
DNS-сервер
X.509 -сертифікат сервера
- Чи підписано сертифікат самостійно?
- Чи підписано сертифікат?
- Чи був сертифікат анульований?
- Чи змінювався сертифікат нещодавно?
- Чи отримували інші клієнти в інтернеті такий самий сертифікат?

Реалізації MITM-атаки

Перелічені програми можуть бути використані для здійснення атак "людина посередині", а також для їх виявлення та тестування системи на вразливості.

Приклад у літературі

Наочний літературний приклад можна побачити в «Казці про царя Салтана» А. С. Пушкіна, де фігурують три «людини посередині»: ткаля, кухарка і Бабаріха. Саме вони підмінюють листи, адресовані царю, і його кореспонденцію у відповідь.

Див. також

Aspidistra (англ.) – британський радіопередавач, який використовувався під час Другої світової війни «вторгнення», варіант MITM-атаки.
Змова Бабінгтона (англ.) - змова проти Єлизавети I, під час якого Уолсінгем перехоплював кореспонденцію.

Інші атаки

"Людина в браузері" (Man in the Browser) - вид атаки, при якій зловмисник отримує можливість миттєво змінювати параметри транзакції, змінювати сторінки абсолютно прозоро для жертви.
"Зустріч посередині" (Meet-in-the-middle attack) - криптографічна атака, яка також, як і атака "днів народження", використовує компроміс між часом і пам'яттю.
"Втрата посередині" (Miss in the middle attack) - ефективний методТак званий неможливий різний криптаналіз.
Relay attack - варіант MITM-атаки, заснований на пересиланні перехопленого повідомлення припустимому одержувачу, але не тому, якому повідомлення призначалося.
Руткіт – програма, призначена для приховування слідів присутності зловмисника.

Література

Посилання

Wikimedia Foundation. 2010 .

Дивитися що таке "Людина посередині" в інших словниках:

Атака «людина посередині» (англ. Man in the middle, MitM атака) термін у криптографії, що позначає ситуацію, коли атакуючий здатний читати і видозмінювати за своєю волею повідомлення, якими обмінюються кореспонденти, причому жоден з ... Вікіпедія

Що означає ситуацію, коли атакуючий здатний читати і видозмінювати з власної волі повідомлення , якими обмінюються кореспонденти, причому жоден з останніх неспроможна здогадатися про його присутність у каналі.

Wikimedia Foundation. 2010 .

Дивитися що таке "Людина посередині (атака)" в інших словниках:

Атака «людина посередині», MITM атака (англ. Man in the middle) термін у криптографії, що позначає ситуацію, коли криптоаналітик (атакуючий) здатний читати і видозмінювати за своєю волею повідомлення, якими обмінюються… Вікіпедія

- … Вікіпедія

Криптоаналіз (від грец. κρυπτός прихований та аналіз) наука про методи отримання вихідного значення зашифрованої інформації, не маючи доступу до секретної інформації (ключу), необхідної для цього. Найчастіше під цим мається на увазі… … Вікіпедія

Хакерська атака у вузькому значенні слова в даний час під словосполученням розуміється «Замах на систему безпеки», і схиляється скоріше до змісту наступного терміна атаки Крєкер. Це сталося через спотворення сенсу самого слова «хакер»… Вікіпедія

- (від ін. грец. κρυπτός прихований та аналіз) наука про методи розшифрування зашифрованої інформації без призначеного для такого розшифрування ключа. Термін був запроваджений американським криптографом Вільямом Ф. Фрідманом у 1920 році. Неформально… … Вікіпедія

При якому зломщик, підключившись до каналу між контрагентами, здійснює втручання у протокол передачі, видаляючи чи спотворюючи інформацію.

Енциклопедичний YouTube

1 / 3

✪ №4 ЯК СТАТИ ХАКЕРОМ? "Атака Посередника"! |ХАКІНГ від А до Я|

✪ MiTM напад на iOS. Техніка та наслідки

✪ Біткоїн Хронологія Хакерських атакта Зломів Бірж на Криптовалютному ринку (2012 - 2018)

Субтитри

Принцип атаки

Приклад атаки

Використання шкідливого коду

Атака «людина посередині» дозволяє криптоаналітику вставляти свій код в електронні листи, SQL-вирази та веб-сторінки (тобто дозволяє здійснювати SQL-ін'єкції, HTML/script-ін'єкції або XSS-атаки), і навіть модифікувати бінарні файли, що завантажуються користувачем. , щоб отримати доступ до облікового запису користувача або змінити поведінку програми, завантаженої користувачем з Інтернету.

Downgrade Attack

Для захисту від Downgrade Attack небезпечні протоколимають бути відключені як мінімум на одному боці; просто підтримки та використання за промовчанням безпечних протоколів недостатньо!

SSH V1 замість SSH V2

Атакуючий може спробувати змінити параметри з'єднання між сервером та клієнтом під час встановлення між ними з'єднання. Згідно з доповіддю, зробленою на конференції Blackhat Conference Europe 2003, криптоаналітик може «змусити» клієнта розпочати сесію SSH1 замість SSH2 змінивши номер версії «1.99» для SSH-сесії на «1.51», що означає використання SSH V1. Протокол SSH-1 має вразливість, якими може скористатися криптоаналітик.

IPsec

За такого сценарію атаки криптоаналітик вводить свою жертву в оману, змушуючи її думати, що IPsec-сесія не може початися на іншому кінці (сервері). Це призводить до того, що повідомлення будуть пересилатися в явному вигляді, якщо хост-машина працює в rollback-режимі.

PPTP

На етапі узгодження параметрів сесії PPTP атакуючий може змусити жертву використати менш безпечну PAP-автентифікацію, MSCHAP V1 (тобто «відкотитися» з MSCHAP V2 до версії 1), або використовувати шифрування взагалі.

Атакуючий може змусити свою жертву повторити етап узгодження параметрів PPTP-сесії (надіслати Terminate-Ack-пакет), викрасти пароль з існуючого тунелю і повторити атаку.

Громадські засоби комунікацій без захисту достовірності, конфіденційності, доступності та цілісності інформації

Найбільш поширені засоби комунікацій цієї групи – це соціальна мережа, публічний сервіс електронної поштита система миттєвого обміну повідомленнями. Власник ресурсу, що забезпечує обслуговування комунікацій має повний контроль над інформацією, якою обмінюються кореспонденти і, на свій розсуд, у будь-який момент часу безперешкодно може здійснити атаку.

На відміну від попередніх сценаріїв, заснованих на технічних та технологічних аспектах засобів комунікацій, даному випадкуатака ґрунтується на ментальних аспектах, а саме на укоріненні у свідомості користувачів концепції ігнорування вимог інформаційної безпеки.

Чи врятує шифрування?

Однак якщо клієнт і сервер спілкуються по HTTPS - протоколу, що підтримує шифрування - теж може бути проведена атака «людина посередині». При такому вигляді з'єднання використовується TLS або SSL для шифрування запитів, що, здавалося б, робить канал захищеним від сніфінгу та MITM-атак. Атакуючий може для кожного з'єднання TCP створити дві незалежні SSL-сесії. Клієнт встановлює SSL-з'єднання з атакуючим, той, своєю чергою, створює з'єднання з сервером. Браузер у таких випадках зазвичай попереджає про те, що сертифікат не підписаний довіреним центром сертифікації, але рядові користувачі застарілих браузерів легко оминають це попередження. До того ж у зловмисника може бути сертифікат, підписаний кореневим центром сертифікації (наприклад, такі сертифікати іноді використовуються для DLP ) і не створює попереджень. Крім того, існує низка атак на HTTPS. Таким чином, протокол HTTPS не можна вважати захищеним від MITM-атак у рядових користувачів. [ ] Існує ряд заходів, що запобігають частині атак MITMна https сайти, зокрема, HSTS , який забороняє використовувати http-з'єднання з сайтів, Certificate pinning та HTTP Public Key Pinning , що забороняють заміну сертифіката.

Виявлення MITM-атаки

IP-адреса сервера
DNS-сервер
X.509 -сертифікат сервера
- Чи підписано сертифікат самостійно?
- Чи підписано сертифікат центром сертифікації ?
- Чи був сертифікат анульований?
- Чи змінювався сертифікат нещодавно?
- Чи отримували інші клієнти в інтернеті такий самий сертифікат?

Реалізації MITM-атаки

Див. також

Aspidistra (англ.) - британський радіопередавач, що використовувався під час Другої світової війни «вторгнення», варіант MITM-атаки.
Змова Бабінгтона (англ.) - змова проти Єлизавети I, в ході якого Уолсінгем перехоплював кореспонденцію.

Інші атаки

"Людина-в-браузері" (Man in the Browser) - вид атаки, при якій зловмисник отримує можливість миттєво змінювати параметри транзакції, змінювати сторінки абсолютно прозоро для жертви.
«Зустріч посередині» (Meet-in-the-middle Attack) - криптографічна атака, яка так само, як і атака «днів народження», використовує компроміс між «часом» і пам'яттю.
«Втрата посередині» (Miss in the middle attack) - ефективний метод так званого impossible differential cryptanalysis.
Relay attack - варіант MITM-атаки, заснований на пересиланні перехопленого повідомлення припустимому одержувачу, але не тому, якому повідомлення призначалося.