Ho sentito che il MITM coinvolge anche l'avvelenamento del DNS, che in pratica dice alla rete prendere una strada diversa da quella che doveva andare ..
(Non sono sicuro che la mia interpretazione sia corretta ..)
Dato che c'è un attacco MITM che sta accadendo al mio computer, sarebbe possibile invertire il veleno e tagliare il MITM?
Quando sei sotto un attacco MITM, in genere l'attaccante ha il controllo completo di parte del collegamento tra te e la destinazione prevista. Per questo motivo, di solito è difficile "bypassare" il MITM, se fatto correttamente, perché l'attaccante ha il pieno controllo del tuo traffico e libero di indirizzarlo dove preferisce. In pratica, l'autore dell'attacco può semplicemente ignorare tutti i protocolli di routing e indirizzare tutti del traffico al server dell'aggressore, indipendentemente dalla destinazione prevista.
Inoltre, un MITM non deve coinvolgere qualcuno che "si intrometta". Chiunque controlli un router o un collegamento via cavo tra te e la tua destinazione può facilmente MITM perché già controlla il tuo traffico Internet. Ogni volta che comunichi attraverso Internet, il tuo traffico probabilmente passa attraverso almeno una dozzina di router di proprietà di varie compagnie Internet prima che raggiunga la sua destinazione. Puoi visualizzarlo da solo se esegui un comando traceroute .
Se uno di questi operatori di router decide che vuole fare qualcosa di malevolo, può facilmente riconfigurare i propri router per inviare il traffico da qualche altra parte, piuttosto che seguire il protocollo di routing e inoltrarlo al router successivo.
È tuttavia possibile rilevare che si sta verificando un MITM utilizzando la crittografia a chiave pubblica combinata con un sistema di certificati per verificare l'identità della persona con cui si sta comunicando, come fa HTTPS. Ma una volta che si rileva un MITM, di solito non si può fare molto: le opzioni sono fondamentalmente o per interrompere immediatamente ciò che si sta facendo, o tentare di stabilire un tunnel VPN crittografato in una posizione attendibile e sperare che l'attaccante non notifica e blocca la tua VPN.
Se vuoi veramente "bypassare" il MITM, devi ottenere che il tuo traffico prenda un'altra strada verso la destinazione, una che circonda l'attaccante. In alcune situazioni, è impossibile: ad esempio, se l'attaccante è il tuo ISP, non c'è letteralmente nessun altro percorso che il tuo traffico può intraprendere perché il tuo ISP è il tuo unico collegamento a Internet. Ma anche se esiste un percorso alternativo, è ancora difficile perché non hai alcun controllo su come viene instradato il tuo traffico. Sarebbe bello se potessi dire a tutti i router che gestiscono il tuo traffico, "Ehi, penso che il router XXX sta facendo il MITM, potresti per favore non inviare nessuno del mio traffico lì? Grazie." Ma dal momento che non esiste un modo semplice per farlo, sei sostanzialmente alla mercé delle decisioni dei router. Se sei fortunato, forse un operatore di router benevolo si accorgerà che un router vicino si comporta in modo divertente e smette di inviare traffico lì, ma questo è piuttosto scioccante.
Spesso però, l'attaccante non è qualcuno che è "naturalmente" tra te e la tua destinazione, ma è invece sulla tua rete locale e sta giocando brutti scherzi (come lo spoofing ARP o l'avvelenamento del DNS) per far inviare il tuo computer traffico verso un luogo dove normalmente non lo invierà. Questo è dove diventa più oscuro, e dove la risposta dipenderà sia dalla tecnica utilizzata sia dalla quantità di controllo che si ha sulla rete in cui ci si trova. Ad esempio, se si è sulla rete Wi-Fi di casa e l'attaccante riesce a connettersi al WiFi per eseguire MITM, allora è semplice: basta cambiare la password WiFi e avviare l'attaccante dalla rete. Ma se è in un luogo pubblico, ovviamente sarà più difficile.
Dal tuo post capisco che stai parlando di un attacco MITM da avvelenamento da ARP. Dopo l'avvelenamento ARP, l'attaccante cambia semplicemente le risposte della tua richiesta DNS con il suo input desiderato. Se è possibile rilevare le risposte ARP dannose, è sufficiente passare all'ARP statico (se si conosce il gateway della rete), quindi è possibile interrompere l'attacco.
Leggi altre domande sui tag network man-in-the-middle