กำลังตรวจจับการโจมตีจากคนกลางหรือไม่?


3

ดูเหมือนจะมีวิธีที่เป็นไปได้มากมายในการสร้างการโจมตีแบบ Man-in-the-middle บนจุดเชื่อมต่อสาธารณะโดยการขโมยที่อยู่ IP ของจุดเชื่อมต่อด้วยการปลอมแปลง ARP การโจมตีที่เป็นไปได้มีตั้งแต่การปลอมฟิลด์คำขอรหัสผ่านการเปลี่ยนการเชื่อมต่อ HTTPS เป็น HTTP และแม้แต่การค้นพบที่เป็นไปได้เมื่อเร็ว ๆ นี้ของการฉีดส่วนหัวที่เป็นอันตรายในการเริ่มต้นการเชื่อมต่อ TLS ที่ปลอดภัย

อย่างไรก็ตามดูเหมือนว่าจะอ้างว่าการโจมตีเหล่านี้ไม่ธรรมดามาก มันจะน่าสนใจที่จะเห็นด้วยตัวเอง จะมีวิธีใดในการตรวจสอบว่ามีการพยายามโจมตีโดยบุคคลใดในเครือข่าย

ฉันเดาว่าการรับใช้หน้าเข้าสู่ระบบ HTTP ธรรมดาจะเป็นเงื่อนงำที่ชัดเจนและแน่นอนว่าคุณสามารถรัน Wireshark และอ่านการรับส่งข้อมูล ARP ที่น่าสนใจทั้งหมด ... แต่โซลูชันอัตโนมัติจะมีประโยชน์มากกว่านิดหน่อย สิ่งที่วิเคราะห์สิ่งต่าง ๆ บนพื้นหลังและแจ้งเตือนหากตรวจพบการโจมตีบนเครือข่าย มันน่าสนใจที่จะเห็นด้วยตัวเองว่าการโจมตีเหล่านี้เกิดขึ้นจริงที่ไหนสักแห่ง


1
ค้นหา sourceforge มีเครื่องมือต่อต้านการปลอมแปลง ARP
geek

คำตอบ:


5

ไม่มีวิธีการตรวจจับ MITM โดยพลการเนื่องจากมีหลายเทคนิคในการดำเนินการ

อย่างไรก็ตามการโจมตี MITM ส่วนใหญ่ใช้ Ethernet หรือ WLAN การปลอมแปลง ARP เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูล มีเครื่องมือในการตรวจจับการปลอมแปลง ARP สิ่งเหล่านี้ควรระบุการโจมตี MITM ส่วนใหญ่ ดูเช่น หน้า Wikipedia สำหรับเครื่องมือบางอย่าง


1

ไม่มีวิธีพิสูจน์ความล้มเหลวในการตรวจจับสิ่งนี้ (ถ้ามีการโจมตี MitM จะไม่เป็นปัญหา!) มีเทคนิคที่เป็นไปได้อยู่สองสามข้อ

คุณสามารถลองดูเวลาที่ต้องรับใช้บางสิ่งบางอย่าง ความล่าช้าอาจบ่งบอกถึงการโจมตี MitM ที่เกิดขึ้น หรืออาจระบุได้ว่าเครือข่ายกำลังทำงานช้า

หากคุณคิดว่ามีใครบางคนกำลังแก้ไขเนื้อหาของสิ่งที่คุณกำลังส่ง / รับผ่านเครือข่ายสาธารณะคุณสามารถตรวจสอบลายนิ้วมือ / MD5 แฮช / ฯลฯ จากข้อมูลที่คุณกำลังส่ง / รับ

ตามที่ Maciek ชี้ให้เห็นว่าหาก MitM กำลังเล่นกับการเชื่อมต่อใบรับรองและ SSL นั้นน่าจะเห็นได้ชัดพอสมควรเนื่องจากเบราว์เซอร์จะเตือนคุณหากใบรับรองไม่ตรงกัน (แม้ว่าคุณจะต้องเชื่อถือเบราว์เซอร์ของคุณได้ก็ตาม ใบรับรองปลอมในคอมพิวเตอร์ของคุณนี้ใช้ไม่ได้มากนัก)


1

การโจมตีด้วย MiM นั้นกระทำกับทราฟฟิกที่เข้ารหัส (คุณไม่ต้องทำ MiM ในทราฟฟิกที่ไม่มีการเข้ารหัสคุณก็สามารถดมกลิ่นได้)

มีคณิตศาสตร์อยู่ข้างหลัง แต่เรื่องสั้นยาว: คุณต้องตรวจสอบการพิมพ์ลายนิ้วมือ ตัวอย่างเช่นเมื่อคุณล็อกอินผ่าน ssh ครั้งแรกไคลเอ็นต์ ssh แสดงลายนิ้วมือเซิร์ฟเวอร์ หากคุณต้องการป้องกัน MiM คุณต้องรู้จักลายนิ้วมือนี้ ก่อน พยายามเข้าสู่ระบบ (เช่นขอให้ผู้ดูแลระบบใช้ช่องทางที่ปลอดภัยอื่น ๆ เช่นการสนทนาแบบตัวต่อตัว)

นี่คือการทำไม่ได้มาก คำตอบสำหรับปัญหานี้คือหน่วยงานผู้ออกใบรับรอง ( http://en.wikipedia.org/wiki/Certificate_authority ) ในสถานการณ์สมมตินี้คอมพิวเตอร์เก็บลายนิ้วมือที่รู้จักของคีย์ของ บริษัท ที่เชื่อถือได้ บริษัท เหล่านั้นลงนามกุญแจสำหรับ บริษัท อื่น ๆ สิ่งสำคัญคือการตรวจสอบว่าใบรับรองที่ใช้มีการลงชื่ออย่างถูกต้องหรือไม่ เบราว์เซอร์ที่ทันสมัยโชคดีที่ทำสิ่งนี้โดยอัตโนมัติและแสดงคำเตือนจำนวนมากหากมีสิ่งผิดปกติ


7
ไม่การโจมตี MiM สามารถใช้กับทราฟฟิกที่ไม่มีการเข้ารหัสได้เช่นกัน ไม่จำเป็นถ้าสิ่งที่คุณต้องการคือการสูดอากาศ แต่มีประโยชน์ถ้าคุณต้องการเปลี่ยนข้อมูลบางส่วนก่อนที่จะผ่านมันไป
quack quixote

1

arpwatch เหมาะกับฉัน:

sudo aptitude install arpwatch
echo "wlan3 -a -n 10.10.0.0/24 -m me@gmail.com" | sudo tee -a /etc/arpwatch.conf
/etc/init.d/arpwatch start

อย่างที่คุณพูดมันจะเป็นการดีที่จะทำให้การป้องกันเป็นไปโดยอัตโนมัติ http://ifttt.com ดูเหมือนว่าจะช่วยส่ง SMS แจ้งเตือน ฯลฯ ส่วนที่เหลือขึ้นอยู่กับคุณและ MTA ของคุณ ( postfix ) และตัวกรองอีเมล

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.