Esiste un metodo per rilevare un man-in-the-middle attivo? [duplicare]

10

Soppressione di un utente malintenzionato che ha ottenuto l'accesso al router. C'è un modo, per la vittima, di notare che è stato attaccato?

Penso che uno dei miei amici sia vittima di questo tipo di attacco. Come posso essere sicuro che questo è l'attacco che viene eseguito su di lui?

Maggiori dettagli: qualcuno cambia costantemente le sue password di Facebook ecc.

    
posta eversor 30.09.2012 - 21:49
fonte

5 risposte

4

Ci sono più "tell" che il tuo amico può rilevare se è vittima di un vettore mitm.

La connessione dei tuoi amici è più lenta del solito? La pagina di Facebook è esattamente come quella che vede al lavoro, a scuola, ecc? (Confronta sorgente) Ettercap ha alcune modalità progettate per rilevare un attacco mitm che il tuo amico può utilizzare.

Nessuno dei metodi sopra descritti è infallibile, ma insieme creano un'immagine dei possibili effetti collaterali. Il tuo amico può bypassare un dns_spoof navigando su facebook con il suo ip (66.220.149.88) e noi un tunnel VPN (tor è gratuito ma lento)

Detto questo, è improbabile che il tuo amico sia vittima di un attacco mitm. È estremamente probabile che la loro macchina sia infettata da keylogger. Chiedi al tuo amico di eseguire una scansione antivirus, puliscila e controlla tutte le impostazioni di sicurezza di Facebook.

Inoltre, se il tuo amico usa yahoo, passa a gmail.

    
risposta data 30.09.2012 - 21:58
fonte
3

In generale, no. Non esiste un modo affidabile per scoprire che sei vittima di un attacco man-in-the-middle.

Ci sono alcune cose che puoi fare per rilevare gli attacchi imperfetti: il primo è cercare di usare SSL (https) ogni volta che è possibile, e controllare la barra degli indirizzi del browser per confermare che SSL è in uso (es. un bagliore verde o blu dietro l'indirizzo). Se si utilizza SSL e se si evita di fare clic sugli avvisi del certificato, si dovrebbe essere relativamente al sicuro da un attacco man-in-the-middle. Ma c'è poco che puoi fare per rilevare un attacco man-in-the-middle quando usi http.

Detto questo, sono scettico sul fatto che il tuo amico sia stato violato da un attacco man-in-the-middle. È più probabile che la sua password o il suo account siano stati compromessi. Suggerisco le seguenti misure da recuperare:

  • Esegui la scansione del suo computer alla ricerca di malware / spyware utilizzando Malware Bytes o qualche altro scanner di malware. Rimuovi tutti i malware / spyware rilevati.

  • Cambia la sua password e la sua password di amministratore sul suo computer.

  • Attiva l'anti-virus (ad esempio, Microsoft Security Essentials, Avast, ecc.).

  • Attiva Windows Update. Eseguire Windows Update per aggiornare il sistema operativo. Aggiorna il suo browser, se non è in esecuzione l'ultimo browser.

  • Se usa Firefox, chiedigli di installare HTTPS ovunque.

  • Configura Facebook per utilizzare SSL (HTTPS) per tutte le connessioni.

  • Ora, chiedigli di cambiare la sua password e-mail (ad es. la sua password Gmail) e la sua password Facebook. Inoltre, chiedigli di rimuovere / disinstallare tutte le app di Facebook. Le app Facebook dannose sono un modo comune per le persone a cui le persone vengono attaccate. Assicurati che la nuova password sia lunga e potente.

  • Se il problema scompare, sei bravo!

risposta data 01.10.2012 - 05:31
fonte
2

Sì, puoi rilevare un attacco man-in-the-middle su https nel browser controllando che l'impronta digitale della connessione https sia corretta.

Ad esempio, se si desidera controllare il collegamento non è MiTM attaccato in Internet Explorer 11 (utilizza due finestre diverse, perché la finestra di dialogo Visualizza certificati è modale):

  1. Apri link in IE11 sul desktop
  2. Apri una nuova finestra di IE (ctrl-N sul desktop) e vai al link
  3. Fai clic sul lucchetto accanto all'indirizzo, fai clic sul pulsante Visualizza certificati e viene visualizzata una finestra di dialogo modale.
  4. Nella scheda Generale, controlla che "Rilevato a" sia * .facebook.com
  5. Nella scheda Dettagli, scorri fino in fondo, fai clic sull'impronta digitale e verifica che i numeri e le lettere dell'impronta digitale corrispondano a quelli visualizzati su link per * .facebook.com (quando si confrontano le impronte digitali ignorare le differenze tra maiuscole e minuscole e ignorare spazi / due punti).

Se desideri controllare altri browser, segui le istruzioni molto più in basso nella pagina sotto l'intestazione "Come visualizzare l'impronta digitale del certificato SSL di questa pagina (o di qualsiasi pagina):" su link . Se desideri controllare qualsiasi altro dominio, sotto l'intestazione "Custom Site Fingerprinting" nella parte superiore della pagina, puoi richiedere il nome ufficiale del certificato e l'impronta digitale per qualsiasi dominio.

Questo è un modo abbastanza robusto per rilevare attacchi proxy man-in-the-middle (per i proxy sulla macchina o sulla rete). Non rileverà virus ecc. Che hanno infettato il browser (cosiddetti attacchi man-in-the-browser).

    
risposta data 26.05.2014 - 07:15
fonte
0

I miei due centesimi: Se il tuo amico è su un sistema * nix, può prima notare l'indirizzo MAC del router dal pannello web del router, quindi eseguire il seguente comando:

arp -a

Può verificare l'indirizzo MAC in cui si trova il router nella tabella ARP. Se l'indirizzo MAC del router è diverso da quello che dovrebbe essere, questa è un'indicazione.

In secondo luogo, Puoi verificare le risoluzioni DNS per dire facebook.com eseguendo:

nslookup facebook.com

, se l'indirizzo restituito è un indirizzo locale che dice, 192.168.0.105 o qualcosa del genere, questo dovrebbe indicare che le tue risoluzioni DNS vengono dirottate.

Più facile a livello di applicazione nel browser, ogni volta che navighi in un sito Web che utilizza credenziali o qualcosa di sensibile, controlla la barra degli URL per determinare se la comunicazione avviene su HTTPS. Anche se il traffico viene rilevato da una connessione LAN a uno switch, il traffico potrebbe essere illeggibile per l'utente malintenzionato a causa di HTTPS.

    
risposta data 03.03.2015 - 10:39
fonte
-1

Una tecnica comune è l'arp spoofing. Quindi controlla i cambiamenti della tabella arp (ci sono strumenti come arpwatch). Inoltre, controlla le risposte multiple alle tue richieste arp.

    
risposta data 11.10.2012 - 18:34
fonte

Leggi altre domande sui tag