Come fa qualcuno diventare un uomo nel mezzo?

46

Come ho capito per poter effettuare un attacco MiTM di successo, devi essere "seduto" da qualche parte lungo il percorso del traffico. Suppongo che questo significhi essere agganciato a uno dei nodi tra i punti terminali, fisicamente legando il filo che li connette o intercettando le onde d'aria.

  • Le mie supposizioni sono corrette?
  • Il terminale di un avversario deve essere collegato direttamente al filo, al nodo, entro la portata del wifi, o qualcuno in Kansas può usare un percorso esterno per accedere a un percorso da Los Angeles a San Francisco?
    • Forse è più corretto chiedere se qualcuno ha bisogno di essere in prossimità del percorso target. Al contrario, può "usare Internet" per mitizzare il percorso: non tutti i nodi su Internet sono essenzialmente connessi tra loro?
posta user5948022 07.04.2016 - 12:28
fonte

5 risposte

37

Ci sono molti, molti modi per diventare un MITM, praticamente a tutti i livelli dello stack di rete, non solo quello fisico. Essere fisicamente vicino al tuo obiettivo può aiutare, ma non è assolutamente necessario.

Al livello fisico , gli attacchi che puoi ottenere sono molto evidenti: unisci un cavo ethernet, usa un toccare l'immagine o acquisire segnali radio.

Unareteotticapassiva,tocca-fotodiRoens

Alcuniattacchiattivipossonoavereaccessofisicocomeprecondizione,moltialtrino.

Allivellocollegamentodati,gliattacchipassivisonoincredibilmentesemplici:bastainserirelaschedadiretein modalità promiscua e puoi vedere tutto il traffico sul tuo segmento di rete. Anche su una rete cablata moderna (commutata), flooding MAC ti garantirà di vedere più di quanto tu possa.

Per attacchi attivi su reti locali, ARP spoofing è abbastanza popolare e facile da eseguire, in pratica fa finta che il tuo computer è qualcun altro - di solito un gateway, in modo che tu possa ingannare altri dispositivi per inviare traffico a te.

ARPspoofing-diagrammadi0x55534C

Gliattacchialcollegamentodatifunzionanofinchéticonnettiallastessaretelocaledeltuotarget.

Attaccareillivellodireteèfacilesehaiaccessofisico-puoisolo impersonare un router che utilizza qualsiasi macchina Linux moderna .

Se non hai accesso fisico, attacchi di reindirizzamento ICMP sono un po 'oscuri, ma a volte utilizzabili.

Naturalmente, se hai abbastanza soldi in tasca puoi fai i router in stile NSA e intercettazione quando vengono spediti a destinazione da (snail) mail - basta modificare leggermente il firmware e sei pronto per partire.

Gli attacchi a livello di rete possono essere eseguiti da qualsiasi punto della rete (internet) tra i due partecipanti - sebbene in pratica queste reti siano generalmente ben difese.

Non sono personalmente a conoscenza di attacchi al livello di trasporto.

A livello di applicazione, gli attacchi possono essere un po 'più sottili.

DNS è un obiettivo comune: hai DNS hijacking e DNS spoofing . Gli attacchi di avvelenamento da cache contro BIND , in particolare, erano molto popolari un paio di anni fa.

Lo spoofing DHCP (che pretende di essere un server DHCP ) è abbastanza semplice da eseguire. Il risultato finale è simile allo spoofing ARP, ma meno "rumoroso" sulla rete e probabilmente più affidabile.

Gli attacchi a livello di applicazione più ampi possono essere eseguiti da qualsiasi punto di Internet.

    
risposta data 08.04.2016 - 00:06
fonte
34

TL; DR: Ottieni il traffico instradato attraverso un sistema sotto il tuo controllo e hai il MITM ovunque tu, la vittima o la destinazione.

A: Non proprio.

Prima di tutto, Internet viene commutato a pacchetto, quindi potrebbe non esserci un solo filo reale in cui passano tutti i pacchetti.

Per stabilire un MITM, è necessario che MITM si assicuri che le richieste dell'utente vengano indirizzate a lui anziché alla destinazione corretta. Ci sono diversi modi in cui ciò può essere fatto, per esempio:

  • Nella rete locale tramite lo spoofing ARP del gateway e / o del server DNS,
  • In tutte le reti sul percorso,
  • Restituendo il suo IP anziché quello corretto dal server DNS delle vittime

Dopo che è stato stabilito, il MITM interagisce con la destinazione effettiva per conto delle vittime, modificando i dati tra i Mi piace del MITM.

Il modo più semplice per stabilirlo è all'interno della rete locale, perché solitamente sono meno monitorati e / o governati. Inoltre, hanno regolarmente più dispositivi consumer con più rischi per la sicurezza che possono essere utilizzati per reindirizzare le richieste DNS su un server sotto controllo MITM dopo un errore.

Tuttavia, come puoi vedere da sopra: se riesci a impostare il server DNS della vittima su uno sotto il tuo controllo, puoi benissimo fare MITM da dove vuoi.

Lo stesso vale per i nodi di routing / ISP: puoi pubblicizzare i percorsi a basso costo verso la destinazione usando il BGP per ottenere tutto il traffico instradato attraverso il tuo sistema. Eppure questo di solito non è fattibile e / o possibile per le connessioni dei consumatori.

    
risposta data 07.04.2016 - 12:53
fonte
10

L'avversario non deve necessariamente trovarsi fisicamente sulla rotta di rete che sta hackerando. Potrebbero aver precedentemente compromesso un dispositivo di rete che è sul percorso, e quindi essere in grado di accedere ad esso e condurre il loro attacco da qualsiasi posizione.

    
risposta data 07.04.2016 - 12:46
fonte
8

Supponi di avere una ragazza e hai salvato il suo numero come GF nel telefono. E allo stesso modo, la tua ragazza ha salvato il tuo numero come BF nel suo telefono.

Ora un utente malintenzionato X riesce a ottenere l'accesso al telefono e a modificare il numero GF come numero. Allo stesso modo, riesce ad accedere al suo telefono e cambia il tuo numero come numero.

Quindi il numero salvato come GF nel telefono e il numero salvato come BF nel suo telefono è il numero di telefono di X.

Se invii un messaggio al tuo GF, questo verrà ricevuto da X, lo leggerà e lo inoltrerà al tuo GF. Poiché il numero di X viene salvato come BF nel suo telefono, riceve un messaggio come Da: BF , che in realtà è l'autore dell'attacco. Legge e risponde, e ripete lo stesso.

Ora X è Man-In-The-Middle

    
risposta data 08.04.2016 - 15:42
fonte
2

Sembra che tu abbia una certa confusione su come le comunicazioni avvengono in Internet. Ti suggerisco di leggere:

Ma è interessante notare che le informazioni scambiate sul transito di rete sono piccoli pacchetti, attraverso diversi nodi. La posizione esatta dei nodi dipende da molti fattori. Ma quando Alice in LA usa skype per chattare con Bob in SF, i suoi messaggi (in pacchetto) possono transitare in Canada, Germania e ritorno.

E più alla tua domanda, un attacco MitM si ottiene ogni volta che Mallory riesce a impersonare una relazione tra Alice e Bob. Riceve il messaggio di Alice e li invia ulteriormente a Bob.

Mallory potrebbe essere situata in qualsiasi parte del mondo. Ricorda che i pacchetti viaggiano in molti posti. Ma ha bisogno di assicurarsi che tutto il traffico da Alice a Bob possa transitare attraverso di lei. Per questo deve prendere il controllo di un nodo attraverso il quale il messaggio di Alice o Bob deve transitare. Ad esempio, direttamente il computer di Alice, il suo ISP o un router WiFi pubblico.

Puoi ottenere maggiori dettagli sul corrispondente articolo di Wikipedia .

    
risposta data 07.04.2016 - 13:05
fonte

Leggi altre domande sui tag