根据Domo 的“ Data Never Sleeps 6.0”该报告每天创建并上传超过250亿字节的数据。其中许多数据是保密的:个人信息、银行转账、文件、银行转账、文件、凭证。在网络端点之间安全传输这些数据非常重要。
TCP/IP它是目前应用最广泛的数据传输协议,兼容性。TCP/IP黑客们都知道漏洞。TCP该协议使用开放通道传输数据,攻击者可以滥用该通道访问、监控和修改流量。
网络犯罪分子可以使用各种类型的攻击来拦截传输中的数据,这是不同的模式、目标和部署。在这里,我们将讨论如何保护网络免受中间人的影响(MITM)攻击。
在本文中,我们模拟了未受保护的网络上的攻击。我们使用带有两个网络接口卡的计算机来拦截流量,并使用它Wireshark分析流量。我们还讨论了加密是否保护数据免受MITM有效的攻击方法。
什么是MITM攻击?
中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”入侵攻击,该攻击模式是技术手段将入侵者控制的计算机虚拟放置在网络连接中的两台通信计算机之间,称为“中间人”。
MITM攻击是一种历史悠久的网络入侵手段,目前仍有广阔的发展空间,如SMB会话劫持、DNS欺骗等攻击是典型的MITM攻击。简而言之,所谓的MITM攻击是拦截正常的网络通信数据,篡改和嗅探数据,但通信双方都不知道。因此,很难检测到这种攻击,因为它不会直接影响网络。
MITM典型的攻击情况:
·有一个由多台机器交换数据的网络。
·攻击者想要拦截数据,甚至更改其中一台计算机通过网络发送的数据。
·攻击者在目标计算机和网络之间充当中介,拦截它们之间的流量。
MITM攻击有多种形式。ARP欺骗是基于地址分析协议基于地址分析协议(ARP)漏洞:本协议无法确认ARP请求和响应的真实性。ARP欺骗很常见,因为计算机网络接口允许免费ARP。
现在,让我们模拟一个MITM攻击,看看我们是否能拦截流量并从目标中获取数据。
配置MITM攻击
对于我们的MITM在攻击示例中,我们将创建一个简单的网络,其中两台计算机交换数据并在它们之间放置一个MITM设备。我们将使用带有两个网络接口卡的计算机MITM设备。我们的网络如下:
以下是如何标准化的Windows计算机转换为MITM设备:
1.将MITM设备放置在要拦截其数据的设备与网络其余部分之间。在我们的示例中,我们将第一台计算机连接到MITM设备的一个以太网端口,第二个以太网端口插入同一设备的第二台计算机。
2.在MITM这些以太网连接在设备上桥接。默认情况下,Windows这个操作可以执行。只需转到设置。-以太网-网络与共享中心-更改适配器选项。
3.选择要桥接的网络接口,右键单击,然后选择“桥接连接”。
创建网桥后,可以使用我们的中间攻击。目标计算机将连接到网络,而不会发出关于拦截、扫描或更改流量的警报。
现在我们可以拦截目标流量了。让我们看看能否恢复“它发送的数据”。
使用Wireshark分析网络流量
分析流量的工具有很多:
·Wireshark
·tcpdump
·Kismet
·Cain & Abel
我们将在我们的例子中使用它Wireshark。它是最流行的协议分析程序之一,具有很强的网络诊断功能。Wireshark配备强大的过滤系统和友好的用户界面,可与各种类型的网络协议一起使用。Wireshark可以截取流媒体视频和图像SIP,RTCP,SRTP配合其它语音协议,节省语音流量。
在其监控模式下,Wireshark允许您将所有流量转移到文件中,并使用不同的过滤器进行分析或解密。
开始使用Wireshark,必须选择要拦截其流量的接口。
让我们选择连接到第一台计算机的接口,并分析输入的数据。运行嗅探器后,我们可以输入目标计算机IP地址和TCP数据包类型:
ip.host==10.100.5.149&&tcp
现在,我们可以从第一台电脑算机的流量。
为了模拟MITM攻击,我们在第一台计算机上生成了一个秘密文件。现在,我们通过不受保护的通道将未加密的文件发送到第二台计算机。
我们已经在第二台计算机上成功接收了此文件,现在我们可以查看它的数据。
同时,我们的MITM该设备拦截了目标计算机之间的流量并复制。
现在我们可以检查截获情况了TCP将数据包中的数据与第二台计算机上的数据进行比较。
如你所见,在我们的场景中,不受保护的数据最终落入攻击者手中。现在让我们来看看加密是否有助于减少这种威胁。
通过加密保护数据
防止中间人攻击最流行的方法是加密通信。其工作原理如下:当服务器传输数据时,它通过提供数字证书向客户识别自己。然后在客户端和服务器之间建立加密通信通道。
有两种流行的加密客户端或服务器数据的方法:
1.对称加密是一种使用加密密钥加密和解密信息的系统。密钥成为通信双方共享的秘密。
这种保护方法的主要优点是加密速度快。缺点是需要一个安全通道在所有通信参与者之间分发密钥。如果黑客截获了密钥,他们可以很容易地解密传输的数据。
对称加密是一种古老而广泛使用的加密数据的方法。例如,美国政府有义务使用先进的加密标准(AES)加密通信。AES对称块加密算法。
2.非对称加密,使用公共和特殊的加密钥来保护传输的数据。公钥是每个人都知道的。它通过开放的通信通道传输,并用于加密数据。私钥只为消息接收器知道,并用于解密数据。
这种加密类型允许通过开放通道交换密钥。只有私钥必须由所有者安全存储。一方面,非对称加密比对称加密更可靠。另一方面,加密过程需要更多的计算和时间。该方法更适用于加密和解密数据,不追求过程速度。
具有非对称加密HTTPS支持、银行系统、信使和其他服务网站加密数据。即使是支持加密货币的流行区块链技术也使用基于不对称加密的电子签名来验证交易。
3.混合加密是对称加密和非对称加密方法的组合版本。通过这种加密,单个密钥可以通过对称加密来加密数据。然后用非对称加密加密密钥,并与数据一起发送。
这样,您不仅可以有对称方法的加密速度,还可以有非对称方法的可靠性。然而,这种类型的加密仍然不完美。例如,它很容易受到自适应选择密文的攻击。
TLS和PGP协议以混合加密为基础。
在加密通信中,传输级加密协议确保受保护的客户端和服务器数据交换。本协议有两种版本:
·安全套接字层(SSL)-旧版本
·传输层的安全性(TLS)–较新的
SSL不如新的TLS安全。这两种协议都使用不对称加密来验证通信人的身份,以确保数据交换的机密性。此外,这些加密协议通过信息认证码确保信息的完整性。这些保护措施是允许的TLS/SSL无加密钥不能窃听或访问流量。
现在我们已经介绍了基本的加密方法。让我们使用它TLS协议加密一段数据,看看它是否能提供可靠的保护来抵抗MITM攻击。
当我们重建本文前面提到的攻击时,我们MITM设备仍然可以截获两台目标计算机之间的传输TCP但是现在截获的数据是用来使用的。TLS协议加密:
正如你所看到的,加密数据包看起来像是符号的混乱集合。如果攻击者截获了这些数据包,他们几乎没有机会破译加密数据。即使攻击成功,被截获的数据对攻击者也没有用处,因此不会受到威胁。
结论
MITM攻击是黑客攻击最广泛、最有效的类型之一。虽然你不能完全保护你的网络免受此类攻击,但你可以确保你的数据得到保护。
加密通信是任何网络安全项目的重要组成部分。这是最可靠的方法,即使攻击者可以拦截,也可以保护跨网络传输的数据。
本文翻译自:https://www.apriorit.com/dev-blog/648-cybersecurity-encryption-for-mitm-attacks如果转载,请注明原始地址