Considera questo tipo di attacco man-in-the-middle non standard, che è fondamentalmente la stessa natura dell'attacco senza che sia richiesta la fase di avvelenamento:
Someone cuts the internet line at your house, or anywhere between you and your ISP, and re-joins it with a piece of hardware designed to let the data pass through as usual but also record it.
Come hai potuto rilevare e difendere da questo tipo di attacco?
Il risultato di questo attacco non è molto diverso da qualcuno che compromette il router, l'ISP, l'endpoint VPN o simili: l'utente malintenzionato sarà in grado di intercettare e modificare il traffico.
A seconda del modo in cui viene effettuato l'attacco e in base alle caratteristiche della linea (es. FTTH vs. xDSL rispetto a cavo ...) è possibile rilevare le modifiche al comportamento della linea come aumento della frequenza di errore, larghezza di banda inferiore o latenza maggiore ma se l'attaccante ha fatto un buon lavoro, tutto andrà bene e nessuno se ne accorgerà.
A parte i problemi descritti con hack non professionali (larghezza di banda, latenza) non ci saranno differenze visibili sul livello di rete se viene utilizzato solo lo sniffing passivo. Ma se la modifica del traffico è fatta, la noterai con protocolli che hanno un controllo di integrità integrato, come nel caso di HTTPS o VPN.
Una difesa contro l'attacco sarebbe ovviamente quella di proteggere fisicamente la linea contro l'attacco. Ma di solito la linea non ha il pieno controllo. L'altro modo non è difendersi dall'hack in sé ma dai suoi risultati: dal momento che l'hacker vuole sniffare e / o modificare il traffico, è necessario utilizzare solo protocolli con crittografia e integrità integrate, ovvero inviare tutto il traffico attraverso una VPN.
Leggi altre domande sui tag man-in-the-middle