什么是中间人攻击?在中间人攻击中,攻击者将自己放置在两个设备(通常是Web浏览器和Web服务器)之间,并拦截或修改两者之间的通信。然后,攻击者可以收集信息并模拟这两个特工中的任何一个。除了网站之外,这些攻击还可以针对电子邮件通信,DNS查找和公共WiFi网络。中间人攻击的典型目标包括SaaS业务,电子商务业务和金融应用程序用户。
您可以将中间人攻击者想象成一个无赖的邮政工作人员,他坐在邮局里,拦截了两个人之间写的信。该邮递员可以阅读私人邮件,甚至可以编辑这些信件的内容,然后再将其传递给预期的收件人。
在一个更现代的示例中,中间人攻击者可以坐在用户和他们想要访问的网站之间,并收集其用户名和密码。可以通过将用户和网站之间的HTTP连接作为目标来完成;劫持此连接可使攻击者充当代理,收集和修改在用户与站点之间发送的信息。或者,攻击者可以窃取用户的Cookie(由网站创建并存储在用户计算机上的用于识别和其他目的的小段数据)。这些被盗的Cookie可以用于劫持用户的会话,从而使攻击者可以在网站上模拟该用户。
中间人攻击也可以针对DNS服务器。DNS查找过程允许Web浏览器通过将域名转换为IP地址来查找网站。在DNS中间人攻击(例如DNS欺骗和DNS劫持)中,攻击者可以破坏DNS查找过程,并将用户发送到错误的站点,这些站点通常是分发恶意软件和/或收集敏感信息的站点。
什么是电子邮件劫持?
另一个常见的中间人攻击是电子邮件劫持,攻击者通过将其置于电子邮件服务器和Web之间来渗透电子邮件服务器。一旦服务器受损,攻击者便可以出于各种目的监视电子邮件通信。一个这样的骗局涉及等待一个人需要将钱转移到另一个人(例如,一家公司付款的客户)的场景。然后,攻击者可以使用欺骗的电子邮件地址来请求将钱转入攻击者的帐户。电子邮件对于收件人而言似乎是合法且无害的(“对不起,我的上一封电子邮件中有错字!我的帐号实际上是:XXX-XXXX”),使此攻击非常有效且造成了经济损失。2015年,比利时的一个网络犯罪集团利用电子邮件劫持从多家欧洲公司窃取了超过600万欧元。
为什么使用公共WiFi网络会有风险?
中间人攻击通常是通过WiFi网络实施的。攻击者可以创建似乎无害或为合法WiFi网络克隆的恶意WiFi网络。一个用户连接到受损的WiFi网络,攻击者可以监视该用户的在线活动。复杂的攻击者甚至可能将用户的浏览器重定向到合法网站的伪造副本。
有什么方法可以防止中间人攻击?
由于存在多种实施中间人攻击的方法,因此没有针对这些攻击的多合一解决方案。防止针对HTTP流量的中间人攻击的最基本方法之一是采用SSL / TLS,该SSL / TLS在用户和Web服务之间创建安全连接。不幸的是,这并不是一个万无一失的解决方案,因为有些更复杂的中间人攻击可以绕过SSL / TLS保护。为了进一步防御此类攻击,某些Web服务实现了HTTP严格传输安全性(HSTS),该功能强制与任何浏览器或应用程序进行安全的SSL / TLS连接,阻止任何不安全的HTTP连接,并防止cookie失窃。在Cloudflare博客上了解有关HSTS的更多信息,或查看您的网站以了解HTTPS的使用。
身份验证证书还可以用于防止中间人攻击。组织可以在其所有设备上实施基于证书的身份验证,以便只有具有正确配置的证书的用户才能访问其系统。
为了防止电子邮件劫持,可以使用安全/多功能Internet邮件扩展(S / MIME)。该协议对电子邮件进行加密,并允许用户使用唯一的数字证书对电子邮件进行数字签名,让接收者知道该消息是合法的。
除非受到安全的虚拟专用网(VPN)的保护,否则单个用户还可以避免在任何公共WiFi网络上提交任何敏感信息,从而保护自己免受中间人攻击。