Qual è la differenza tra attacco mitm e sniffing?

È come chiedere la differenza tra un'auto e lo sterzo. Quando stai guidando una macchina, puoi (e probabilmente dovrebbe!) Guidarla. Ma puoi anche guidare una bicicletta ...

Basta con l'analogia, la differenza, secondo me, è che MitM è una classe di attacco e lo sniffing è semplicemente la parola per analizzare i pacchetti sulla rete (e spesso solo i pacchetti che vanno / dalla tua scheda di rete) .

Una volta che qualcuno è diventato "l'uomo" in un attacco man-in-the-middle, è in grado di fiutare i pacchetti in entrata / uscita del proprio bersaglio.

Altri attacchi / termini correlati (per citarne alcuni) sarebbe Avvelenamento arp e DNS dirottamento

In genere, un intercettatore (sniffer) sarà passivo, ovvero non modificherà il traffico.

Gli attacchi Man-in-the-middle (MiTM) di solito implicano un avversario attivo - uno che cambierà il contenuto del messaggio prima di trasmetterlo.

I due non sono completamente distinti, poiché un MiTM può usare il suo attacco attivo per leggere il contenuto dei messaggi o semplicemente per interrompere le comunicazioni.

Un attacco sniffing è un attacco alla riservatezza. Può essere tramite una porta di span su uno switch, processi sui server attraverso i quali passa il traffico, sul client dell'utente finale. Lo sniffing è spesso un attacco MITM ma è passivo.

Un attacco MITM è in genere un attacco più attivo in cui la rotta è stata alterata per includere l'avversario, come un punto di accesso canaglia o avvelenamento ARP / DNS, per consentire un attacco di sniffing, interruzione della crittografia e / o manomissione con la consegna del contenuto (un attacco di integrità e riservatezza).

Una volta stabilito come attacco attivo, un MITM può dirottare sessioni, modificare il contenuto per nascondere attività, inserire codice dannoso e, a seconda del servizio a cui si accede, eseguire funzioni sensibili. Alcuni, ma non tutto questo, è possibile in seguito a un attacco di sniffing passivo che utilizza le informazioni raccolte.

Gli attacchi correlati / simili sono MiTB (uomo nel browser), keylogging, session hijacking, click jacking e XSF.

La domanda dovrebbe in realtà essere "Differenza tra avvelenamento ARP e Network Sniffing"

L'attacco MITM può verificarsi in entrambi i casi. Lo sniffing della rete è possibile in ogni singola rete interna e non esiste altra cura oltre alla crittografia o alla sicurezza del punto finale. Se si è in una rete pubblica o in una rete non protetta, non si dovrebbero utilizzare servizi non crittografati su rete o internet. Ad esempio, un utente malintenzionato può dirottare la sessione all'interno di una rete se si naviga e si è connessi a un sito Web non-https.

Durante l'avvelenamento ARP, l'attaccante può anche alterare il traffico perché la macchina dell'attaccante diventa il gateway della macchina target. Un esempio potrebbe essere lo spoofing del DNS tramite l'avvelenamento ARP. Dal momento che la macchina dell'attaccante è il gateway dell'obiettivo, può simulare il DNS e risolvere Facebook.com sul proprio IP. Può quindi ospitare una pagina di phishing sul suo IP. Ecco perché ogni volta che visiti facebook.com o altri, dovresti controllare il greenlock in cima. Se vedi qualche errore SSL su link allora probabilmente significa che qualcuno è nel mezzo di te e facebook.com e non dovresti forzare il browser procedere. L'avvelenamento da ARP può essere prevenuto e per lo più non è possibile nelle grandi organizzazioni.