導覽
近期變更
隨機頁面
新手上路
新頁面
優質條目評選
繁體
不转换
简体
繁體
3.21.244.97
登入
工具
閱讀
檢視原始碼
特殊頁面
頁面資訊
求真百科歡迎當事人提供第一手真實資料,洗刷冤屈,終結網路霸凌。
檢視 中間人攻擊 的原始碼
←
中間人攻擊
前往:
導覽
、
搜尋
由於下列原因,您沒有權限進行 編輯此頁面 的動作:
您請求的操作只有這個群組的使用者能使用:
用戶
您可以檢視並複製此頁面的原始碼。
{| class="wikitable" style="float:right; margin: -10px 0px 10px 20px; text-align:left" |<center>'''中間人攻擊'''<br><img src="https://img.chainnews.com/material/images/187154d7b5054aec63644d0db69b8517.jpg-article" width="280"></center><small>[https://www.chainnews.com/zh-hant/articles/809751516769.htm 圖片來自chainnews]</small> |} '''中间人攻击'''('''M'''an-'''i'''n-'''t'''he-'''m'''iddle attack,缩写:'''MITM''')在[[密码学]]和[[计算机安全]]领域中是指攻击者与通讯的两端分别建立独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。在许多情况下这是很简单的(例如,在一个未加密的[[Wi-Fi]] [[无线接入点]]<ref>[https://wiki.mbalib.com/zh-tw/%E6%97%A0%E7%BA%BF%E6%8E%A5%E5%85%A5%E7%82%B9 无线接入点],mbalib</ref> 的接受范围内的中间人攻击者,可以将自己作为一个中间人插入这个网络)。 一个中间人攻击能成功的前提条件是攻击者能将自己伪装成每一个参与会话的终端,并且不被其他终端识破。中间人攻击是一个(缺乏)相互[[认证]]的攻击。大多数的加密协议都专门加入了一些特殊的认证方法以阻止中间人攻击。例如,[[SSL]]协议可以验证参与通讯的一方或双方使用的证书是否是由权威的受信任的[[数字证书认证机构]]颁发,并且能执行双向身份认证。 == 攻击示例 == 假设[[爱丽丝与鲍伯|爱丽丝]](Alice)希望与[[爱丽丝与鲍伯|鲍伯]](Bob)通信。同时,[[爱丽丝与鲍伯|马洛里]](Mallory)希望拦截窃会话以进行窃听并可能在某些时候传送给鲍伯一个虚假的消息。 首先,爱丽丝会向鲍勃索取他的[[公钥]]。如果Bob将他的[[公钥]]发送给Alice,并且此时马洛里能够拦截到这个[[公钥]],就可以实施中间人攻击。马洛里发送给爱丽丝一个伪造的消息,声称自己是鲍伯,并且附上了马洛里自己的[[公钥]](而不是鲍伯的)。 爱丽丝收到公钥后相信这个[[公钥]]是鲍伯的,于是爱丽丝将她的消息用马洛里的公钥(爱丽丝以为是鲍伯的)加密,并将加密后的消息回给鲍伯。马洛里再次截获爱丽丝回给鲍伯的消息,并使用马洛里自己的私钥对消息进行解密,如果马洛里愿意,她也可以对消息进行修改,然后马洛里使用鲍伯原先发给爱丽丝的公钥对消息再次加密。当鲍伯收到新加密后的消息时,他会相信这是从爱丽丝那里发来的消息。 1.爱丽丝-{zh-hans:发; zh-hant:發}-送给鲍伯一条消息,卻被马洛里截获: '''爱丽丝'''''“嗨,鲍勃,我是爱丽丝。给我你的公钥”'' --> '''马洛里''' '''鲍勃''' 2.马洛里将这条截获的消息转送给鲍伯;此时鲍伯並無法分辨这条消息是否从真的爱丽丝那里发来的: '''爱丽丝''' '''马洛里'''''“嗨,鲍勃,我是爱丽丝。给我你的公钥”'' --> '''鲍伯''' 3.鲍伯回应爱丽丝的消息,并附上了他的公钥: '''爱丽丝''' '''马洛里'''<-- ''[鲍伯的公钥]''-- '''鲍伯''' 4.马洛里用自己的密钥替换了消息中鲍伯的密钥,并将消息转发给爱丽丝,声称这是鲍伯的公钥: '''爱丽丝'''<-- ''[马洛里的公钥]''-- '''马洛里''' '''鲍勃''' 5.爱丽丝用她以为是鲍伯的公钥加密了她的消息,以为只有鲍伯才能读到它: '''爱丽丝'''''“我们在公共汽车站见面!”--[使用马洛里的公钥加密]'' --> '''马洛里''' '''鲍勃''' 6.然而,由于这个消息实际上是用马洛里的密钥加密的,所以马洛里可以解密它,阅读它,并在愿意的时候修改它。他使用鲍伯的密钥重新加密,并将重新加密后的消息转发给鲍伯: '''爱丽丝''' '''马洛里'''''“在家等我!”--[使用鲍伯的公钥加密]'' --> '''鲍伯''' 7.鲍勃认为,这条消息是经由安全的传输通道从爱丽丝那里传来的。 这个例子显示了爱丽丝和鲍伯需要某种方法来确定他们是真正拿到了属于对方的[[公钥]],而不是拿到来自攻击者的公钥。否则,这类攻击一般都是可行的,在原理上,可以针对任何使用公钥——密钥技术的通讯消息发起攻击。幸运的是,有各种不同的技术可以帮助抵御MITM攻击。 == 防御攻击 == 许多抵御中间人攻击的技术基于以下认证技术: *[[公开金钥基础建设|公钥基础建设]] **在[[PKI]]方案中,主要防御中间人攻击的方案就是PKI的[[相互认证]]的机制。使用这样的机制并由应用程序验证用户,用户设备验证应用程序。但在某些流氓应用的情况下,这不是很有用,所以需要注意对流氓软件应与正规软件进行区分。 *更强力的相互认证,例如: **密钥(通常是高信息熵的密钥,从而更安全),或 **密码(通常是低的信息熵的密钥,从而降低安全性) *延迟测试,例如使用复杂加密哈希函数进行计算以造成数十秒的延迟;如果双方通常情况下都要花费20秒来计算,并且整个通讯花费了60秒计算才到达对方,这就能表明存在第三方中间人。 *第二(安全的)通道的校验 *一次性密码本可以对中间人攻击免疫,这是在对一次密码本的安全性和信任上建立的。公钥体系的完整性通常必须以某种方式得到保障,但不需要进行保密。密码和共享密钥有额外的保密需求。公钥可以由[[数字证书认证机构|证书颁发机构]]验证,这些公钥通过安全的渠道(例如,随Web[[浏览器]]或[[操作系统]]安装)分发。公共密钥也可以经由Web在线信任进行在线验证,可以通过安全的途径分发公钥(例如,通过面对面的途径分发公钥)。 查看[[密钥交换协议]]以了解不同类别的使用不同密钥形式或密码以抵御中间人攻击的协议。 == 中间人攻击的取证分析 == 从被怀疑是中间人攻击的链接中捕捉网络数据包并进行分析可以确定是否存在中间人攻击。在进行网络分析并对可疑的SSL中间人攻击进行取证时,重要的分析证据包括: *远程服务器的IP地址 *DNS域名解析服务器 *X.509证书服务器 **证书是自签名证书吗? **证书是由信任的颁发机构颁发的吗? **证书是否已被吊销? **证书最近被更改过吗? **在互联网上的其他的客户端是否也得到了相同的证书? == 其他的非加密的中间人攻击 == 一个著名的非加密中间人攻击的例子是[[贝尔金]][[无线路由器]]2003年的某一个版本所造成的。它会周期性地接管通过它的[[HTTP]]连接,阻止数据包到达目的地。并将它自己对请求的回应作为应答返回。而它发送的回应,则是在用户原本应该显示网页的地方,显示一个关于其他贝尔金产品的广告。在遭到了解技术详情的用户的强烈抗议后,这个功能被贝尔金从路由器后续版本的[[固件]]中删除。 另一个典型的非加密中间人攻击的例子是“[[图灵]][[色情]]农场”。布赖恩·华纳说,这是垃圾邮件发送者用来绕过[[验证码]]的“可以想象的攻击”。垃圾邮件发送者设置了一个色情网站,而访问这个色情网站需要用户解决一些验证问题。这些验证问题实际上是其他网站的验证问题。这样就可以达到绕开网站验证发送垃圾邮件的目的。然而,Jeff Atwood指出,这次袭击仅仅是理论上的——没有任何证据指出垃圾邮件发送者曾经在2006年建立了图灵色情农场。然而,2007年10月有新闻报道称,[[垃圾邮件]]发送者确实建立了一个[[Windows]][[游戏]],当用户键入从[[雅虎]]收到的注册邮箱[[验证码]]后,程序将奖励用户色情图片。这将允许垃圾邮件发送者创建临时的免费[[电子邮件]]帐户以发送[[垃圾邮件]]。 == 參考文獻 == {{reflist}} [[Category: 310 數學總論]]
此頁面使用了以下模板:
Template:Main other
(
檢視原始碼
)
Template:Reflist
(
檢視原始碼
)
模块:Check for unknown parameters
(
檢視原始碼
)
返回「
中間人攻擊
」頁面