กำลังตรวจจับการโจมตีจากคนกลางหรือไม่?

ดูเหมือนจะมีวิธีที่เป็นไปได้มากมายในการสร้างการโจมตีแบบ Man-in-the-middle บนจุดเชื่อมต่อสาธารณะโดยการขโมยที่อยู่ IP ของจุดเชื่อมต่อด้วยการปลอมแปลง ARP การโจมตีที่เป็นไปได้มีตั้งแต่การปลอมฟิลด์คำขอรหัสผ่านการเปลี่ยนการเชื่อมต่อ HTTPS เป็น HTTP และแม้แต่การค้นพบที่เป็นไปได้เมื่อเร็ว ๆ นี้ของการฉีดส่วนหัวที่เป็นอันตรายในการเริ่มต้นการเชื่อมต่อ TLS ที่ปลอดภัย

อย่างไรก็ตามดูเหมือนว่าจะอ้างว่าการโจมตีเหล่านี้ไม่ธรรมดามาก มันจะน่าสนใจที่จะเห็นด้วยตัวเอง จะมีวิธีใดในการตรวจสอบว่ามีการพยายามโจมตีโดยบุคคลใดในเครือข่าย

ฉันเดาว่าการรับใช้หน้าเข้าสู่ระบบ HTTP ธรรมดาจะเป็นเงื่อนงำที่ชัดเจนและแน่นอนว่าคุณสามารถรัน Wireshark และอ่านการรับส่งข้อมูล ARP ที่น่าสนใจทั้งหมด ... แต่โซลูชันอัตโนมัติจะมีประโยชน์มากกว่านิดหน่อย สิ่งที่วิเคราะห์สิ่งต่าง ๆ บนพื้นหลังและแจ้งเตือนหากตรวจพบการโจมตีบนเครือข่าย มันน่าสนใจที่จะเห็นด้วยตัวเองว่าการโจมตีเหล่านี้เกิดขึ้นจริงที่ไหนสักแห่ง

ไม่มีวิธีการตรวจจับ MITM โดยพลการเนื่องจากมีหลายเทคนิคในการดำเนินการ

อย่างไรก็ตามการโจมตี MITM ส่วนใหญ่ใช้ Ethernet หรือ WLAN การปลอมแปลง ARP เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูล มีเครื่องมือในการตรวจจับการปลอมแปลง ARP สิ่งเหล่านี้ควรระบุการโจมตี MITM ส่วนใหญ่ ดูเช่น หน้า Wikipedia สำหรับเครื่องมือบางอย่าง

ไม่มีวิธีพิสูจน์ความล้มเหลวในการตรวจจับสิ่งนี้ (ถ้ามีการโจมตี MitM จะไม่เป็นปัญหา!) มีเทคนิคที่เป็นไปได้อยู่สองสามข้อ

คุณสามารถลองดูเวลาที่ต้องรับใช้บางสิ่งบางอย่าง ความล่าช้าอาจบ่งบอกถึงการโจมตี MitM ที่เกิดขึ้น หรืออาจระบุได้ว่าเครือข่ายกำลังทำงานช้า

หากคุณคิดว่ามีใครบางคนกำลังแก้ไขเนื้อหาของสิ่งที่คุณกำลังส่ง / รับผ่านเครือข่ายสาธารณะคุณสามารถตรวจสอบลายนิ้วมือ / MD5 แฮช / ฯลฯ จากข้อมูลที่คุณกำลังส่ง / รับ

ตามที่ Maciek ชี้ให้เห็นว่าหาก MitM กำลังเล่นกับการเชื่อมต่อใบรับรองและ SSL นั้นน่าจะเห็นได้ชัดพอสมควรเนื่องจากเบราว์เซอร์จะเตือนคุณหากใบรับรองไม่ตรงกัน (แม้ว่าคุณจะต้องเชื่อถือเบราว์เซอร์ของคุณได้ก็ตาม ใบรับรองปลอมในคอมพิวเตอร์ของคุณนี้ใช้ไม่ได้มากนัก)

การโจมตีด้วย MiM นั้นกระทำกับทราฟฟิกที่เข้ารหัส (คุณไม่ต้องทำ MiM ในทราฟฟิกที่ไม่มีการเข้ารหัสคุณก็สามารถดมกลิ่นได้)

มีคณิตศาสตร์อยู่ข้างหลัง แต่เรื่องสั้นยาว: คุณต้องตรวจสอบการพิมพ์ลายนิ้วมือ ตัวอย่างเช่นเมื่อคุณล็อกอินผ่าน ssh ครั้งแรกไคลเอ็นต์ ssh แสดงลายนิ้วมือเซิร์ฟเวอร์ หากคุณต้องการป้องกัน MiM คุณต้องรู้จักลายนิ้วมือนี้ ก่อน พยายามเข้าสู่ระบบ (เช่นขอให้ผู้ดูแลระบบใช้ช่องทางที่ปลอดภัยอื่น ๆ เช่นการสนทนาแบบตัวต่อตัว)

นี่คือการทำไม่ได้มาก คำตอบสำหรับปัญหานี้คือหน่วยงานผู้ออกใบรับรอง ( http://en.wikipedia.org/wiki/Certificate_authority ) ในสถานการณ์สมมตินี้คอมพิวเตอร์เก็บลายนิ้วมือที่รู้จักของคีย์ของ บริษัท ที่เชื่อถือได้ บริษัท เหล่านั้นลงนามกุญแจสำหรับ บริษัท อื่น ๆ สิ่งสำคัญคือการตรวจสอบว่าใบรับรองที่ใช้มีการลงชื่ออย่างถูกต้องหรือไม่ เบราว์เซอร์ที่ทันสมัยโชคดีที่ทำสิ่งนี้โดยอัตโนมัติและแสดงคำเตือนจำนวนมากหากมีสิ่งผิดปกติ

arpwatch เหมาะกับฉัน:

sudo aptitude install arpwatch
echo "wlan3 -a -n 10.10.0.0/24 -m me@gmail.com" | sudo tee -a /etc/arpwatch.conf
/etc/init.d/arpwatch start

อย่างที่คุณพูดมันจะเป็นการดีที่จะทำให้การป้องกันเป็นไปโดยอัตโนมัติ http://ifttt.com ดูเหมือนว่าจะช่วยส่ง SMS แจ้งเตือน ฯลฯ ส่วนที่เหลือขึ้นอยู่กับคุณและ MTA ของคุณ ( postfix ) และตัวกรองอีเมล