Обнаружение атак "человек посередине"?
Кажется, существует много возможных способов создать атаки "человек посередине" на точках открытого доступа путем кражи локального IP-адреса точки доступа со спуфингом ARP. Возможные нападения колеблются от ковки полей запроса пароля к изменяющимся Подключениям HTTPS к HTTP и даже недавно обнаруженной возможности введения злонамеренных заголовков в начале безопасных соединений TLS.
Однако это, кажется, требуется, что эти нападения не очень распространены. Было бы интересно лично убедиться. Что там состоят в том, чтобы обнаружить пути, если такое нападение предпринимается кем-то в сети?
Я предполагаю быть подаваемым плоскости, страница входа в систему HTTP была бы очевидной подсказкой, и конечно Вы могли выполнить Wireshark и продолжать читать весь интересный трафик ARP... Но автоматическое решение было бы крошечным более удобным битом. Что-то, что анализирует материал на фоне и предупреждает, если нападение обнаруживается в сети. Было бы интересно лично убедиться, если они нападают, на самом деле продолжаются где-нибудь.
3 ответа
Нет никакого способа обнаружить произвольный MITM, потому что существует несколько методов для выполнения их.
Однако большинство нападений на MITM на Ethernet или WLAN использует спуфинг ARP для перенаправления трафика. Существуют инструменты для обнаружения спуфинга ARP, они должны указать на большинство нападений на MITM. Посмотрите, например, страница Wikipedia для некоторых инструментов.
Нет никакого отказоустойчивого способа обнаружить это (если бы было, то нападения на MitM не были бы проблемой!). Существует несколько возможных методов, все же.
Вы могли попытаться смотреть на времена, которые требуется для обслуживания чего-то; задержка могла бы указать на появление нападения на MitM. Или это могло просто указать, что сеть является медленной.
Если Вы думаете, что кто-то редактирует содержание вещей, которые Вы отправляете/получаете по сети общего пользования, Вы могли проверить хеши/и т.д. fingerprints/MD5. из данных Вы отправляете/получаете.
Как Maciek указывает, если MitM играет с сертификатами и соединениями SSL, которые должны быть довольно очевидными, поскольку браузеры предупредят Вас, если сертификаты не совпадут (хотя необходимо смочь доверять браузеру; если кто-то уже установил поддельные сертификаты на Вашем компьютере, это не полезно).
Нападения на MiM сделаны против зашифрованного трафика (Вы не должны выполнять в MiM не зашифрованный трафик, можно просто осуществить сниффинг его).
Существует некоторая математика позади него, но длинная короткая история: Вы имеете к отпечатку пальца ключа от английского замка. Так, например, когда Вы входите через ssh в первый раз ssh в дисплеи клиента цифровой отпечаток серверов. Если Вы хотите защитить от MiM, Вы ставите мачту, знают, этот цифровой отпечаток перед попыткой входа в систему (например, спрашивают администратора, использующего другой безопасный канал, например, разговор лицом к лицу).
Это - очень непрактичное. Ответ для этой проблемы является полномочиями Сертификата (http://en.wikipedia.org/wiki/Certificate_authority). В этом сценарии компьютер содержит известные цифровые отпечатки ключей доверяемых компаний. То, что ключи подписи компаний для других компаний. Важно проверить, подписывается ли используемый сертификат правильно. К счастью, современные браузеры делают это автоматически и отображают много предупреждений, если что-то неправильно.