1、中间人攻击 ( Man-in-the-middle attack,通常缩写为MITM )是指攻击者与通讯的两端分别建立独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。
2、一个中间人攻击能成功的前提条件是攻击者能将自己伪装成每一个参与会话的终端,并且不被其他终端识破。中间人攻击是一个(缺乏) 相互认证的攻击。大多数的加密协议都专门加入了一些特殊的认证方法以阻止中间人攻击。例如,SSL协议可以验证参与通讯的一方或双方使用的证书是否是由权威的受信任的数字证书认证机构颁发,并且能执行双向身份认证。
3、中间人攻击的取证分析:
从被怀疑是中间人攻击的链接中捕捉网络数据包并进行分析可以确定是否存在中间人攻击。 在进行网络分析并对可疑的SSL中间人攻击进行取证时,重要的分析证据包括:
- 远程服务器的IP地址
- DNS域名解析服务器
- X.509证书服务器
- 证书是自签名证书吗?
- 证书是由信任的颁发机构颁发的吗?
- 证书是否已被吊销?
- 证书最近被更改过吗?
- 在互联网上的其他的客户端是否也得到了相同的证书?
4、两个工具:
- SSLStrip一个基于SSL的MITM攻击的工具。
- SSLSniff一个基于SSL的MITM攻击的工具。原本是利用一个在Internet Explorer上缺陷实现的。