یک مرد در حمله میانه چیست و چگونه می توان از آن جلوگیری کرد؟

مرد در حمله میانهحملات مرد در میانه (MitM) از زمان طلوع زمان بوده است. اصل ساده است - یک مرد بدجنسی خود را وارد میانه مکالمه بین دو طرف می کند و پیام های یکدیگر را منتقل می کند بدون اینکه هیچ یک از طرفین از شخص ثالث آگاهی داشته باشند. در بستر اینترنت ، این بدان معناست که حزب میانه توانایی خواندن همه چیزهایی را که توسط هر یک از طرفها ارسال شده و همچنین تغییر آن را دارد ، دارد.

چگونه یک مرد در حمله میانه کار می کند?

در روزهای دور از شرط این عبارت به یک شخص تحت اللفظی در وسط گفته می شود. ژنرال باب پیام رسان خود را با اسب به صورت اعزام می کند تا به سرهنگ آلیس بگوید که به جناح چپ حمله کند. لیدی مالوری ، یک مرد شر (وسو) در وسط ، آن پیام رسان را سرقت می کند و پیام را سرقت می کند. وی سپس پیام را به سرهنگ آلیس تغییر داد و به او دستور داد كه به عقب بیفتد ، و پاسخی را به ژنرال باب كه اذعان داشت دستورات اصلی سمت راست است ، ارسال می كند. اندکی پس از آن ، ژنرال باب جنگ را در یک خجالت تاکتیکی خیره کننده از دست داد زیرا جناح چپ وی کاملاً محافظت نشده بود.

حملات اینترنتی MitM به همین شکل است. یک حمله متداول برای MitM این است که مالوری بتواند یک نقطه دسترسی بی سیم جعلی را در یک مکان عمومی ایجاد کند. مثلاً کافی شاپ او به نقاط دسترسی جعلی یک نام صدایی مشروع مانند "کافی شاپ بدون مشتری" می دهد و قبل از اینکه مشتریان طولانی شروع به اتصال به آن نقطه دسترسی بجای نام مشروع کنند. در این مرحله ، Mallory خودش را به جریان داده بین دستگاه شما و اینترنت در کل وارد کرده است و می تواند همه ترافیک شما را ضبط کند. اگر از رمزگذاری استفاده نمی کنید ، این بدان معنی است که Mallory هم اکنون می تواند کل ترافیک شما را بخواند و به طور بالقوه آن را تغییر دهد.

برخی از نتایج احتمالی این رهگیری عبارتند از:

جلسه ربودن: موردی را در نظر بگیرید که در حال استفاده از ایمیل برای ارسال ایمیل هستید. هنگامی که به وب ایمیل خود وارد شوید ، Mallory هنگام ارسال به مرورگر ، نسخه ای از کوکی تأیید هویت شما را گرفت و اکنون او می تواند از آن کوکی برای دسترسی به پست الکترونیکی شما نیز استفاده کند..

توجه: در مقالات قبلی من چگونگی عملکرد وب را توضیح دادم ، در مقابل نحوه کار به ما گفته می شود. ما به وب سایت ها "وارد سیستم" نمی شویم. در عوض ، مرورگر ما وب سایت را درخواست می کند و سپس به رایانه محلی ما ارسال می شود. سپس مدارک ورود به سیستم را که به سرور وب سایت ارسال می شود وارد می کنیم. اگر اعتبار آن صحیح باشد ، وب سایت با نوعی کد تأیید اعتبار ، معمولاً یک کوکی ، پاسخ می دهد. هنگامی که از رایانه خود درخواست بیشتری می کنیم ، آن کوکی به همراه آن درخواست ها ارسال می شود تا وب سایت به ما بشناسد که ما چه کسی هستیم و هر بار که بخواهیم به صفحه دیگری برویم ، نمی تواند ما را وارد سیستم کند. آن کوکی یک نشانه حساس است و اگر به سرقت برود ارزشمند است.

حمله مجدد: Mallory می تواند یک حمله مجدد را انجام دهد. از آنجا که او تمام داده های شما را دارد ، ممکن است "کاری را که انجام داده اید" دوباره پخش کنید. به عنوان مثال ، اگر شما 100 اعتبار Runescape را به دوست خود منتقل کرده اید ، ارسال مجدد بسته هایی که شامل انتقال اصلی آن است ، ممکن است باعث انتقال دیگری شود و شما اکنون 200 اعتبار دریافت کرده اید.

محتوای تغییر یافته: ممکن است به وکیل خود توصیه می کنید که وجوه یک معامله حقوقی اخیر را پس نگیرد ، به عنوان مثال در مورد ایمیل استفاده کنید. از آنجا که مالوری تمام بسته های موجود در آن ایمیل را دارد ، می تواند کلمه "خودداری" را به "انتشار" تغییر داده و انواع سردرگمی ایجاد کند. این یک نوع از حملات محبوب MitM است که ما در حملات افزودنی مرکز رسانه ای Kodi Media Center دیده ایم ، و همچنین این حمله تخیلی است که Mallory برای سرنگونی ژنرال باب استفاده شده است..

محتوای موجود نیست: نوع دیگر محتوای تغییر یافته باعث می شود محتوا به طور کلی ناپدید شود. شاید منتظر یک سیگنال برای انجام کاری باشید. مالوری می تواند اطمینان حاصل کند که هرگز به آنجا نمی رسد.

چه محافظاتی برای جلوگیری از حمله انسان در میانه وجود دارد?

با وجود راههای بی پایان که می توان از این حملات استفاده کرد ، واقعاً فقط موارد معدودی وجود دارد که بارها و بارها مورد سوء استفاده قرار می گیرند. برای محافظت در برابر حملات MitM ، موارد زیر باید وجود داشته باشد:

عدم رد: این پیام از طرف شخص یا دستگاهی که می گوید از آن آمده است آمده است.

تمامیت پیام: از آنجا که کنترل فرستنده را ترک کرده است ، پیام تغییر نکرده است

به خاطر داشته باشید که کلمه "پیام" بطور کلی برای اشاره به بسیاری از مفاهیم مانند ایمیل های کامل یا بسته های داده پایین تر در پشته استفاده می شود. صرف نظر از نوع داده ، همان مفاهیم کاربرد دارند.

راه هایی که برای جلوگیری از قربانی شدن حمله MitM شامل موارد زیر است:

هر جا ممکن است از HTTPS استفاده کنید

بنر HTTPS

دیدن HTTPS در نوار آدرس مرورگر شما اطمینان حاصل می کند که اتصال شما به وب سایت رمزگذاری شده است. این بدان معنا نیست که شما باید بیش از هر سایت دیگری به آن وب سایت اعتماد کنید ، این بدان معناست که داده های شما هنگام مسافرت بین دستگاه و سایت شما رمزگذاری می شوند. وب سایت های مخرب می توانند در تنظیم شما برای حمله MitM نقش ایفا کنند ، بنابراین باید در مورد هر وب سایتی که بازدید می کنید محتاط باشید تا اطمینان حاصل کنید که شروع این کار قانونی است.

HTTPS از Security Layer Security (TLS) استفاده می کند.

توجه: TLS تقریباً به طور نادرست به عنوان SSL (Secure Sockets Layer) خوانده می شود. SSL یک پیشرو TLS است اما به نظر می رسد که این اسم گیر کرده است.

TLS و HTTP با هم برای تولید HTTPS کار می کنند که رمزنگاری و عدم انکار را ارائه می دهد. هنگامی که مرورگر شما برای اولین بار به یک سایت HTTPS متصل می شود ، با سرور مذاکره می کند. در طی این فرآیند ، مرورگر گواهی سرور را بررسی می کند تا تأیید کند که به سایتی که فکر می کند به آن متصل می شود (غیرقابل رد کردن) و همچنین مجموعه ای از کلیدهای رمزنگاری جلسه را تولید می کند. این کلیدها در طول جلسه بعدی برای رمزگذاری داده ها استفاده می شوند که به نوبه خود صداقت پیام را تضمین می کند.

برای اینکه Mallory بتواند داده های ارسال شده از سرور به شما را با موفقیت تغییر دهد ، او باید کلیدهای مرورگر و جلسات جلسه سرور را در اختیار داشته باشد که هیچکدام از آنها تا کنون منتقل نشده اند. این بدان معناست که وی مجبور است بر مشتری و سرور کنترل داشته باشد و اگر اینگونه باشد لازم نیست در وهله اول حمله MitM را انجام دهید..

افزونه های مرورگر وجود دارد که مرورگر شما را مجبور می کند تا هر زمان که در یک سایت موجود باشد از HTTPS استفاده کند. از آنجا که بسیاری از سایت ها از HTTPS پشتیبانی می کنند ، اما لزوماً برای مجبور کردن مرورگرها برای استفاده از آن پیکربندی نشده اند ، افزونه هایی مانند این می توانند به خیلی کمک کنند.

از مرورگری استفاده کنید که از پین کردن کلید عمومی پشتیبانی می کند

برخی از حملات MitM می تواند بسیار مفصل باشد. از آنجا که حفاظت زیادی از TLS و رمزگذاری ناشی می شود ، و از آنجا که رمزگذاری به سختی قابل شکستن است ، برای مهاجمین پیشرفته می توان به جای تقلید از یک وب سایت راحت تر عمل کرد. به عنوان مثال ، گواهینامه های TLS به مرورگرها اعتماد دارند زیرا توسط مجوزهای گواهی (CA) امضا شده اند که مرورگر به آن اعتماد دارد. اگر Mallory با موفقیت CA را به خطر بیاندازد ، می تواند گواهینامه های معتبری را برای هر دامنه ای صادر کند که توسط مرورگرهای وب قابل اعتماد باشد. هنگامی که Mallory می تواند با موفقیت از یک وب سایت قانونی جعل هویت کند ، تنها چالش باقی مانده این است که کاربران برای بازدید از آن سایت از طریق تکنیک های استاندارد فیشینگ استفاده کنند..

این مورد در سال 2011 بود که CA CA DigiNotar هلندی به خطر افتاد و گواهینامه هایی برای فریب تعداد زیادی از کاربران Gmail ایرانی در کنار گذاشتن نام کاربری و رمزعبورهای Google خود ایجاد شد..

پین کردن کلید عمومی HTTP (HPKP) روشی است که به وسیله آن صاحبان وب سایت می توانند مرورگرهایی را که از کلیدهای عمومی وب سایت استفاده خواهد کرد مطلع سازند. اگر یک مرورگر از آن سایت بازدید کند و با یک کلید عمومی دیگر که در لیست نیست ارائه شود ، این نشانگر این است که سایت یا حداقل گواهی TLS معتبر نیست..

پینینگ باید توسط صاحب سرور انجام شود ، اما می توانید با استفاده از یک مرورگر که از پین کردن کلید عمومی پشتیبانی می کند ، خود را به عنوان کاربر محافظت کنید. از این تاریخ ، Firefox (نسخه 32) ، Chrome (نسخه 56) و Opera (33) از آن پشتیبانی می کنند. Internet Explorer و Edge این کار را نمی کنند. Firefox تنظیمات مربوط به موارد زیر را دارد: پیکربندی به نام Security.cert_pinning.engment_level؛ 1 که به شما امکان می دهد HPKP را غیرفعال کنید ، اما چرا می خواهید؟ اگر می خواهید تست کنید که آیا مرورگر شما از HKPK پشتیبانی می کند ، به این URL تست HPKP مراجعه کنید. این هدرهای HPKP و یک کلید عمومی نامعتبر را ارائه می دهد. اگر مرورگر شما از HPKP پشتیبانی کند ، یک پیام خطا نشان می دهد.

استفاده از یک شبکه خصوصی مجازی (VPN)

موزائیک VPN

VPN یک تونل رمزگذاری شده بین دستگاه شما و سرور VPN ایجاد می کند. تمام ترافیک شما از این تونل عبور می کند. این بدان معناست که حتی اگر مجبور به استفاده از سایت غیر HTTPS شوید ، یا حتی اگر در استفاده از یک نقطه دسترسی وای فای مخرب فریب خورده اید ، هنوز مقداری از محافظت در برابر MitM را حفظ می کنید.

موضوع دسترسی wifi را در نظر بگیرید. اگر به نقطه دسترسی جعلی Mallory وصل شده باشید ، Mallory قادر خواهد بود تمام ترافیک شما را ببیند. اما ، از آنجا که تمام ترافیک شما هنگام استفاده از VPN رمزگذاری می شود ، تمام حباب های رمزگذاری نشده قابل خواندن هستند که اطلاعات بسیار کمی ارائه می دهند. استفاده از VPN در تمام مدت ایده خوبی است ، اما استفاده از آن در موقعیت های طراحی مانند Wi-Fi عمومی یک ضرورت است.

از مرورگری استفاده کنید که از HTTP Strict Transport Security (HSTS) پشتیبانی می کند

HTTPS یک گام بسیار خوب برای جلوگیری از حملات MitM در وب است ، اما یک ضعف بالقوه نیز در آن وجود دارد. برای اینکه صاحب وب سایت بازدید کنندگان را مجبور به استفاده از HTTPS کند ، دو گزینه وجود دارد. اولین مورد این است که بندر HTTP بدون رمزگذاری 80 را به طور کامل خاموش کنید. این بدان معناست که افرادی که با استفاده از http: // تلاش می کنند به سایت برسند ، چیزی دریافت نخواهند کرد و سایت فقط زمان تمام خواهد شد. بیشتر صاحبان وب سایت نمی خواهند بازدید کنندگان خود از این تجربه منفی برخوردار باشند ، بنابراین در عوض پورت 80 را باز می گذارند ، بلکه فقط از آن استفاده می کنند تا یک کد هدایت HTTP 301 را برای مرورگرها ارسال کنند https: //.

در عمل ، این کار به خوبی انجام می شود ، اما فرصتی برای یک مهاجم وجود دارد که بتواند در حین آن تغییر مسیر ، یک Downgrade Attack را اجرا کند. حمله نزول می تواند یک سرور وب را مجبور به استفاده از رمزنگاری رمزنگاری ضعیف تر کند که باعث می شود حمله MitM متعاقب آن آسان تر شود. وب سایت هایی که از HSTS استفاده می کنند در اولین اتصال هدرها به مرورگر ارسال می کنند که مرورگر را به سمت استفاده از HTTPS هدایت می کند. سپس مرورگر جلسه موجود را قطع کرده و با استفاده از HTTPS دوباره وصل می شود. اگرچه ممکن است این یک تفاوت کوچک به نظر برسد ، اما بردار حمله HTTP استاندارد به هدایت HTTPS را تا حد زیادی کاهش می دهد. تقریباً همه مرورگرهای مدرن از HSTS پشتیبانی می کنند اما مرورگرهای زیادی در بازار وجود دارد ، بنابراین باید تأیید کند که مرورگر خاص شما از آن پشتیبانی می کند.

حملات میتمن بی حرکت

همچنین شایان ذکر است که برخی از حملات MitM کاملاً غیر مؤثر و اساسی هستند. به عنوان مثال ، بدون داشتن تخصص فنی بسیار ، Mallory می تواند دو آدرس ایمیلی را تنظیم کند که از نزدیک با آلیس و باب مطابقت داشته باشد و سپس با یکی از آنها مکالمه را شروع کند ، و اظهار داشت که دیگری است. از آنجا که بسیاری از مشتریان ایمیل فقط نام آدرس ها و نه آدرس ایمیل آنها را نشان می دهند ، این روسی بیشتر از آنچه لازم است نشان می دهد. پس از آن امکان وجود دارد که مالوری بتواند هر دو صندوق نامه الکترونیکی را کار کند و به طور نامحدود در وسط گفتگو بماند.

بهترین دفاع در برابر این نوع حمله MitM هوشیاری است. به دنبال علامت های گفتن مانند زبان غیر معمول باشید و در آدرس ایمیل فرستنده شناور شوید تا مطمئن شوید که قانونی است.

نمونه هایی از حملات شناخته شده MitM

من قبلاً به وای فای و حملات مجدد حمله کرده ام ، اما تقریباً هیچ محدودیتی در استفاده از تکنیک های عمومی MitM به عنوان حمله وجود ندارد. هر فرآیندی که دو یا چند طرف با هم ارتباط برقرار کنند (اسپویلر: این است همه چیز) چیزهای مناسبی برای یک پسر بد برای تزریق خود به وسط دارد.

ARP مسمومیت: پروتکل رزولوشن آدرس یک قهرمان حل نشده شبکه های IP است که تضمین می کند بسته ها به کارت شبکه دقیقی که برایشان مقاصد شده است برسند. هنگامی که یک بسته وارد LAN مقصد شد ، باید آدرس شبکه کنترل (MAC) کارت شبکه مورد نظر خود را بداند. این توسط یک ARP که درخواست کرده است انجام می شود و از هر رایانه ای در شبکه محلی می پرسد "چه کسی" آدرس IP مقصد بسته را دارد. در تئوری ، کارت شبکه اختصاص داده شده است که آدرس IP با آدرس MAC خود پاسخ دهد و بسته تحویل شود. در عمل ، هیچ تصدیقی در پروتکل ARP وجود ندارد ، بنابراین Mallory می تواند پاسخ دهد که وی IP دارد و ترافیک به او تحویل داده می شود. برای اینکه این حمله به یک MitM با اعتماد به نفس تبدیل شود ، باید اطمینان حاصل شود که بسته نیز به آدرس MAC صحیح ارسال شده است..

سرقت بندر: این یک حمله پیشرفته است که می تواند در شبکه های بزرگتر که سوئیچ شبکه را بکار می برند ، مورد استفاده قرار گیرد. سوئیچ ها حاوی یک جدول Memoryableable Content Memory (CAM) هستند که روابط بین آدرس های MAC کارت های شبکه ای که آن ها را ارائه می دهند و پورت های مربوطه آنها را ثبت می کند. اگر تنظیم امنیتی دیگری وجود نداشته باشد ، جدول CAM به صورت پویا ساخته شده و با هر بسته ای که سوئیچ می بیند ، دوباره ساخته می شود. یک مهاجم می تواند یک بسته با آدرس MAC قربانی را فریب دهد و سوئیچ آن انجمن را ضبط می کند. این بدان معناست که بسته های بعدی که برای قربانی تعیین شده است به جای آن به مهاجم ارسال می شوند.

حملات MitM برای کشف بسیار سخت است و هیچ دفاعی "گلوله نقره" در برابر آن وجود ندارد. عمدتاً ، این عدم توانایی در دفاع کاملاً در برابر حملات MitM ناشی از این واقعیت است که تقریباً هیچ نوع خاتمه ای برای انواع حملات وجود ندارد که یک مرد بد فکر کند. فرآیند دریافت یک بسته از داده از رایانه شما به سرور در جایی از اینترنت شامل بسیاری از پروتکل ها ، بسیاری از برنامه ها و بسیاری از دستگاه ها مانند روترها و سوئیچ ها است که همه این ها امکان بهره برداری دارند. بهترین کاری که می توانید انجام دهید این است که به "میوه ای آویز بالا" تبدیل شوید و قدم هایی بردارید تا تبدیل شدن به قربانی حمله MitM سخت تر شود. بیشتر حملات به تعداد زیادی از افراد انجام می شود تا بیشترین پتانسیل موفقیت را داشته باشند. مگر در مواردی که به طور اختصاصی مورد هدف طرف مقابل قرار بگیرید ، مراحل این مقاله باید دفاع خوبی را ارائه دهد.

همچنین شما ممکن است دوست دارید VPNUnderstanding VPN ورود به سیستم و جستجوی حکم های VPN70 + کلاهبرداری آنلاین رایج که توسط مجرمان سایبری و کلاهبرداران سایبری استفاده می شودVPN چگونه حذف نرم افزارهای جاسوسی به صورت رایگان و کدام ابزارها برای استفاده از VPN VPN کجا قانونی هستند و کجا ممنوع هستند؟

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

2 + 4 =

Adblock
detector