Shartlar. O'rtadagi odam (MitM) hujumi haqida hamma narsa Internet qanday ishlashini tushunish

TCP seansini boshlash uchun uch bosqichli jarayon. Mijoz serverga SYN bayrog'i bilan paketni yuboradi. Mijozdan SYN bayrog'i bo'lgan paketni olgandan so'ng, server bunga javoban SYN + ACK bayroqlari bilan paketni yuboradi va ESABLISHED holatiga kiradi. Serverdan to'g'ri javob olgandan so'ng, mijoz ACK bayrog'i bilan paketni yuboradi va O'rnatilgan holatga kiradi.

Taqiqlash ro'yxati

Muayyan harakatlar qilish huquqiga ega bo'lmagan mijozlar ro'yxati. Taqiqlash ro'yxati odatda DDoS hujumi aniqlanganda botlarning imkoniyatlarini cheklash uchun ishlatiladi. Bundan tashqari, o'yin serverlari haqiqatida, bu ro'yxatga yomon obro'ga ega bo'lgan, firibgar kodlardan foydalangan yoki noqonuniy harakatlar qilgan o'yinchilar kiradi.

Bot

Kompyuter "haqiqiy" trafik bilan DDoS hujumini amalga oshirish uchun ishlatilgan. Ko'pgina hollarda, bu oddiy foydalanuvchining kompyuteri virus bilan zararlangan. Ko'pincha foydalanuvchi o'z kompyuteri infektsiyalanganligini va noqonuniy maqsadlarda foydalanilayotganini sezmaydi

Veb-server

Mijozlardan, odatda veb-brauzerlardan HTTP so'rovlarini qabul qiladigan va ularga HTTP javoblarini chiqaradigan tarmoqdagi kompyuter. Odatda, HTTP javobi bilan bir qatorda veb-server HTML sahifasi, rasm, media oqimi yoki boshqa ma'lumotlar bilan javob beradi.

Veb-xizmat

Veb-xizmatlar Internetda ko'rsatiladigan xizmatlardir. Ushbu atamadan foydalanganda biz qidirish, veb-pochta, hujjatlar, fayllar, xatcho'plarni saqlash va hokazolar haqida gapirishimiz mumkin. Odatda, veb-xizmatlardan kompyuter, brauzer yoki Internetga kirish joyidan qat'iy nazar foydalanish mumkin.

Domen

Tarmoq texnologiyalari haqida gap ketganda, domen turli kontekstlarda ishlatilishi mumkin. Ko'pincha domen saytning domen nomini anglatadi. Domenlar turli darajalarga bo'linadi, masalan, example.com domenida com birinchi darajali domen, misol esa ikkinchi darajali domendir. Muloqotni osonlashtirish uchun odamlar "Subdomain" atamasidan ham foydalanadilar, ya'ni ikkidan yuqori darajaga ega domen. Masalan, mail.example.com domenida pochta subdomen hisoblanadi.

Qidiruv robot

Internetda yangi sahifalarni topish va mavjudlarini o'zgartirish uchun qidiruv tizimi xizmati. Harakat printsipi brauzerga o'xshaydi. U sahifa mazmunini tahlil qiladi, uni o'zi tegishli bo'lgan qidiruv tizimining serverida qandaydir maxsus shaklda saqlaydi va keyingi sahifalarga havolalar orqali yuboriladi.

Tarmoqli kengligi

Vaqt birligi uchun uzatiladigan ma'lumotlarning maksimal mumkin bo'lgan miqdori. Ko'pincha Internet-provayderlar yuqori tezlikdagi Internetga kirishni va'da qilib, o'z va'dalarini bajarmaydilar. Ko'pgina hollarda, bu to'liq tarmoqli kengligi iste'moli bilan bog'liq.

18.10.2016 | Vladimir Xazov

FSB, Telekommunikatsiya va ommaviy kommunikatsiyalar vazirligi va Sanoat va savdo vazirligining ruslarning yozishmalarini ushlash va parolini ochish bo'yicha Yarovaya qonuni qoidalarini amalga oshirish rejalari endi shunchaki rejalar emas va allaqachon amalga oshirila boshlandi. WhatsApp, Viber, Facebook Messenger, Telegram, Skype xabarlarini MITM hujumlari yordamida ushlash imkoniyati bo‘yicha ekspert xulosasini tayyorlash va bunday vosita prototipini namoyish etish buyrug‘i bilan harakatga keltirildi.

Biz oxirgi maqolada "qonuniy" MITM hujumini tashkil qilish sxemasi haqida yozgan edik. Bugun biz bunday hujumning printsipi va uni amalga oshirish usullari haqida batafsilroq to'xtalamiz.

MITM hujumi nima

Man In The Middle (MITM) "o'rtadagi odam" deb tarjima qilinadi. Bu atama tajovuzkor Internet foydalanuvchisi va ular kirayotgan dastur o'rtasida bo'lgan tarmoq hujumiga ishora qiladi. Albatta, jismoniy tekislikda emas, balki maxsus dasturiy ta'minot yordamida. U foydalanuvchiga so'ralgan ilova tomonidan taqdim etiladi (u veb-sayt yoki Internet xizmati bo'lishi mumkin), u bilan ishlashni taqlid qiladi va buni normal ishlash va ma'lumot almashish taassurotini beradigan tarzda amalga oshiradi.

Hujum maqsadi - foydalanuvchining shaxsiy ma'lumotlari, masalan, turli tizimlar uchun login ma'lumotlari, bank rekvizitlari va karta raqamlari, shaxsiy yozishmalar va boshqa maxfiy ma'lumotlar. Aksariyat hollarda hujumlar moliyaviy dasturlarga (mijoz banklari, onlayn-banklar, toʻlov va pul oʻtkazmalari xizmatlari), kompaniyaning SaaS xizmatlariga, elektron tijorat saytlariga (onlayn doʻkonlar) va tizimga kirish uchun avtorizatsiya talab qilinadigan boshqa saytlarga qaratilgan.

Buzg‘unchi tomonidan olingan ma’lumotlar turli maqsadlarda, jumladan, noqonuniy pul o‘tkazmalari, hisoblarni o‘zgartirish, shaxsiy yozishmalarni ushlash, birovning hisobidan sotib olish, kompromat va shantaj qilish uchun ishlatilishi mumkin.

Bundan tashqari, hisob ma'lumotlarini o'g'irlash va tizimni buzishdan so'ng, jinoyatchilar korporativ tarmoqqa intellektual mulk (patentlar, loyihalar, ma'lumotlar bazalari) o'g'irlanishini tashkil qilish uchun zararli dasturlarni o'rnatishi va muhim ma'lumotlarni o'chirish orqali iqtisodiy zarar etkazishi mumkin.

MITM hujumini sizning yozishmalaringizni etkazib berish paytida xatni ochadigan, shaxsiy foydalanish uchun uning mazmunini qayta yozadigan yoki hatto soxta qo'lyozma qilib, o'ziga xos narsalarni qo'shib, keyin konvertni muhrlab, etkazib beradigan pochtachi bilan taqqoslash mumkin. adresatga hech narsa bo'lmagandek ... Bundan tashqari, agar siz xat matnini shifrlagan bo'lsangiz va siz parolni hal qilish kodini qabul qiluvchiga shaxsan aytmoqchi bo'lsangiz, pochtachi o'zini adresat sifatida tanishtiradi, shunda siz almashtirishni sezmaysiz.

MITM hujumi qanday amalga oshiriladi

MITM hujumini amalga oshirish ikki bosqichdan iborat: tutib olish va shifrni ochish.

Tutib olish

Hujumning birinchi bosqichi foydalanuvchidan belgilangan maqsadgacha bo'lgan trafikni ushlab turish va uni tajovuzkor tarmog'iga yo'naltirishdir.

To‘sishning eng keng tarqalgan va eng oson yo‘li passiv hujum bo‘lib, tajovuzkor Wi-Fi ulanish nuqtalarini erkin foydalanish imkoniyatiga ega (parolsiz va avtorizatsiyasiz) yaratganida. Foydalanuvchi bunday nuqtaga ulanganda, tajovuzkor u orqali o'tadigan barcha trafikka kirish huquqiga ega bo'ladi va tutib olish uchun undan istalgan ma'lumotlarni olishi mumkin.

Ikkinchi usul - faol tutib olish, uni quyidagi variantlardan biri bilan amalga oshirish mumkin:

IP-spoofing- paket sarlavhasidagi maqsad IP-manzilini tajovuzkor manzili bilan aldash. Natijada, foydalanuvchilar so'ralgan URL manziliga o'tish o'rniga, tajovuzkorning saytiga kirishadi.

ARP spoofing- jabrlanuvchining ARP jadvalidagi tajovuzkor manziliga xostning haqiqiy MAC manzilini almashtirish. Natijada, foydalanuvchi tomonidan kerakli xostning IP-manziliga yuborilgan ma'lumotlar tajovuzkorning manziliga tushadi.

DNS spoofing - DNS keshini yuqtirish, DNS serveriga kirish va veb-sayt manzilini almashtirish yozuvi. Natijada, foydalanuvchi so'ralgan saytga kirishga harakat qiladi, lekin DNS serverdan tajovuzkorning sayt manzilini oladi.

Shifrni ochish

Tutib qo'ygandan so'ng, ikki tomonlama SSL trafik shifrlanishi kerak va bu foydalanuvchi va u so'ragan resurs shovqinni sezmasligi uchun amalga oshirilishi kerak.

Buning uchun bir nechta usullar mavjud:

HTTPS-spoofing- HTTPS protokoli yordamida saytga ulanishni o'rnatish vaqtida qurbonning brauzeriga soxta sertifikat yuboriladi. Ushbu sertifikat buzilgan dasturning raqamli imzosini o'z ichiga oladi, bu esa brauzerni tajovuzkor bilan ulanishni ishonchli deb qabul qiladi. Bunday aloqa o'rnatilgandan so'ng, tajovuzkor jabrlanuvchi tomonidan kiritilgan har qanday ma'lumotlar ilovaga o'tkazilishidan oldin unga kirish huquqiga ega bo'ladi.

SSL YAYVON(brauzerning SSL/TLS ga qarshi ekspluatatsiyasi) - Hujum TLS 1.0 va 1.2 versiyalarida SSL zaifligidan foydalanadi. Jabrlanuvchining kompyuteri veb-ilovaga yuborilgan shifrlangan cookie-fayllarni ushlab turadigan zararli JavaScript-ni yuqtirgan. Bu “shifr bloki zanjiri” shifrlash rejimini buzadi, shunda tajovuzkor shifrlangan cookie-fayllarni va autentifikatsiya kalitlarini oladi.

SSL o'g'irlash- soxta autentifikatsiya kalitlarini TCP seansi boshlanishida foydalanuvchi va ilovaga o'tkazish. Bu xavfsiz ulanish ko'rinishini yaratadi, aslida sessiya o'rtadagi odam tomonidan boshqariladi.

SSL o'chirish- Ilova tomonidan foydalanuvchiga yuborilgan TLS autentifikatsiyasini ushlab turish orqali ulanishni xavfsiz HTTPS dan oddiy HTTP ga pasaytiradi. Buzg'unchi foydalanuvchiga saytga shifrlanmagan kirishni ta'minlaydi va o'zi jabrlanuvchining uzatilgan ma'lumotlarini ko'rish imkoniyatini qo'lga kiritib, ilova bilan xavfsiz seansni amalga oshiradi.

MITM hujumlaridan himoya

MITM hujumlaridan ishonchli himoya, agar foydalanuvchi bir nechta profilaktik harakatlarni amalga oshirsa va veb-ilovalarni ishlab chiquvchilar tomonidan shifrlash va autentifikatsiya usullari kombinatsiyasidan foydalanganda mumkin.

Foydalanuvchi harakatlari:

Parol bilan himoyalanmagan Wi-Fi ulanish nuqtalariga ulanishdan saqlaning. Ma'lum kirish nuqtalariga avtomatik ulanish funksiyasini o'chirib qo'ying - tajovuzkor Wi-Fi-ni qonuniy deb yashirishi mumkin.
Brauzerning himoyalanmagan saytga o'tish haqidagi xabariga e'tibor bering. Bunday xabar tajovuzkorning soxta saytiga o'tishni yoki qonuniy saytni himoya qilish bilan bog'liq muammolarni ko'rsatishi mumkin.
Agar ilova ishlatilmasa, tizimdan chiqing.
Umumiy tarmoqlardan (kafelar, parklar, mehmonxonalar va boshqalar) maxfiy operatsiyalarni amalga oshirish uchun foydalanmang (biznes yozishmalar, moliyaviy operatsiyalar, onlayn-do'konlarda xaridlar va boshqalar).
Kompyuteringizda yoki noutbukingizda yangilangan ma'lumotlar bazalariga ega antivirusdan foydalaning, bu zararli dasturlardan foydalangan holda hujumlardan himoya qilishga yordam beradi.

Veb-ilovalar va saytlarni ishlab chiquvchilar xavfsiz TLS va HTTPS protokollaridan foydalanishlari kerak, bu esa uzatilgan ma'lumotlarni shifrlash orqali firibgarlik hujumlarini ancha murakkablashtiradi. Shuningdek, ulardan foydalanish avtorizatsiya parametrlari va kirish kalitlarini olish uchun trafikni ushlab turishni oldini oladi.

TLS va HTTPS ni nafaqat avtorizatsiya sahifalarini, balki saytning boshqa barcha bo'limlarini ham himoya qilish yaxshi amaliyot hisoblanadi. Bu tajovuzkor avtorizatsiyadan o‘tgandan so‘ng himoyalanmagan sahifalar bo‘ylab harakatlanayotgan vaqtda foydalanuvchi cookie-fayllarini o‘g‘irlash imkoniyatini kamaytiradi.

MITM hujumlaridan himoya qilish foydalanuvchi va aloqa operatorining zimmasidadir. Foydalanuvchi uchun eng muhimi, hushyorlikni yo'qotmaslik, Internetga kirishning faqat tasdiqlangan usullaridan foydalanish va shaxsiy ma'lumotlarni uzatish uchun HTTPS shifrlangan saytlarni tanlashdir. Aloqa operatorlariga ma'lumotlar tarmoqlaridagi anomaliyalarni aniqlash va firibgarlik hujumlarining oldini olish uchun Deep Packet Inspection (DPI) tizimlaridan foydalanish tavsiya etilishi mumkin.

Hukumat idoralari MITM hujumidan tajovuzkorlardan farqli ravishda zarar yetkazmaslik uchun fuqarolarni himoya qilish uchun foydalanishni rejalashtirmoqda. Shaxsiy xabarlarni va foydalanuvchilarning boshqa trafiklarini ushlash terrorizmga, narkotik moddalarning noqonuniy aylanishiga va boshqa taqiqlangan faoliyatga qarshi kurashish bo‘yicha adliya organlarining qarori bilan amalga oshiriladigan amaldagi qonun hujjatlari doirasida amalga oshiriladi. Oddiy foydalanuvchilar uchun "qonuniy" MITM hujumlari xavfli emas.

Tajovuzkor muxbirlar almashgan xabarlarni o'z xohishiga ko'ra o'qishi va o'zgartirishi mumkin bo'lgan vaziyatni belgilash va ularning hech biri uning kanalda mavjudligini taxmin qila olmaydi.

Wikimedia fondi. 2010 yil.

Boshqa lug'atlarda "O'rtadagi odam (hujum)" nima ekanligini ko'ring:

"O'rtadagi odam" hujumi, MITM hujumi (inglizcha odam o'rtada) kriptografiyadagi atama bo'lib, kriptoanalitik (hujumchi) almashiladigan xabarlarni o'z xohishiga ko'ra o'qiy oladigan va o'zgartira oladigan vaziyatni bildiradi ... .. Vikipediya

- ... Vikipediya

Kriptanaliz (yunoncha yashirin va tahlil) - buning uchun zarur bo'lgan maxfiy ma'lumotlarga (kalitga) kirish huquqiga ega bo'lmagan holda shifrlangan ma'lumotlarning boshlang'ich qiymatini olish usullari haqidagi fan. Ko'p hollarda, bu ... ... Vikipediya degan ma'noni anglatadi

Hacker hujumi so'zning tor ma'nosida hozirgi kunda "xavfsizlik tizimiga urinish" deb tushuniladi va ko'proq quyidagi atamaning ma'nosiga intiladi Cracker hujumi. Bu "hacker" so'zining ma'nosining buzilishi tufayli sodir bo'ldi ... Vikipediya

- (boshqa yunoncha. Yashirin va tahlil qilish) shifrlangan axborotni kalitsiz ochish usullari haqidagi fan. Bu atama 1920 yilda amerikalik kriptograf Uilyam Fridman tomonidan kiritilgan. Norasmiy ... ... Vikipediya

O'rtadagi odam hujumi vositachi sifatida trafikka kirishga qaratilgan turli usullarning umumiy nomidir. Ushbu usullarning xilma-xilligi tufayli barcha mumkin bo'lgan vaziyatlarda ishlaydigan ushbu hujumlarni aniqlash uchun yagona vositani amalga oshirish muammoli. Masalan, mahalliy tarmoqqa o'rtadagi odam hujumida odatda ARP spoofing qo'llaniladi. O'rtada hujumni aniqlash vositalarining ko'pchiligi Ethernet/manzil juftligidagi o'zgarishlarni kuzatadi yoki ARP so'rovlari/javoblarini passiv kuzatish orqali shubhali ARP faoliyati haqida xabar beradi. Ammo agar bu hujum zararli konfiguratsiya qilingan proksi-serverda, VPN-da yoki ARP zaharlanishi ishlatilmaydigan boshqa holatlarda ishlatilsa, bunday vositalar yordam bermaydi.

Ushbu bo'limning maqsadi o'rtadagi odam hujumlarini aniqlashning ba'zi usullarini, shuningdek, sizga qarshi MitM hujumi sodir bo'layotganligini aniqlash uchun mo'ljallangan ba'zi vositalarni ko'rib chiqishdir. Turli usullar va amalga oshirish stsenariylari tufayli 100% aniqlashni kafolatlash mumkin emas.

1. Yo'l harakati o'zgarishini aniqlash

Yuqorida aytib o'tilganidek, ARP spoofing har doim ham o'rtadagi odam hujumlarida qo'llanilmaydi. Shuning uchun, ARP darajasidagi faoliyatni aniqlash eng mashhur aniqlash usuli bo'lsa-da, trafikni o'zgartirishni aniqlash yanada umumiy usuldir. Bunda bizga mitmcanary dasturi yordam berishi mumkin.

Dasturning printsipi shundaki, u "nazorat" so'rovlarini amalga oshiradi va olingan javoblarni saqlaydi. Shundan so'ng, u ma'lum vaqt oralig'ida bir xil so'rovlarni takrorlaydi va olingan javoblarni taqqoslaydi. Dastur etarlicha aqlli va noto'g'ri ijobiy holatlarning oldini olish uchun javoblardagi dinamik elementlarni aniqlaydi va ularni to'g'ri qayta ishlaydi. Dastur MitM hujumlari uchun vositalar faolligi izlarini aniqlashi bilanoq, bu haqda xabar beradi.

Ba'zi vositalar qanday qilib "meros olishi" mumkinligiga misollar:

MITMf, sukut bo'yicha, HTML kodidagi barcha HTTPS URL manzillarini HTTP ga o'zgartiradi. HTTP kontentini solishtirish orqali aniqlandi.
Zarp + MITMProxy, MITMProxy HTTP siqishni tozalash imkonini beruvchi funksiyaga ega, bu uzatiladigan trafikning shaffofligi uchun ishlatiladi, bu to'plam ilgari mavjud bo'lgan siqishni yo'qolishi bilan aniqlanadi.
mDNS javoblarini konvertatsiya qilishda keskin o'zgarishlar bilan aniqlangan javob beruvchi: kutilmagan javob; javob ichki, lekin tashqi bo'lishi kutilmoqda; javob kutilgan IP dan farq qiladi

MITMCanary va MITMf:

MITMCanary va javob beruvchi:

MITMCanary vs Zarp + MITMProxy:

Sudo pip o'rnatish Cython sudo apt-get o'rnatish python-kivy python-dbus sudo pip o'rnatish plyer uuid urlopen tahlil so'rovi simplejson datetime git clone https://github.com/CylanceSPEAR/mitmcanary.git cd mitmcanary /

Yuqorida aytib o'tilganidek, mitmcanary nazorat so'rovlari bilan boshlanishi kerak. Buning uchun katalogga o'ting

CD xizmati /

Va faylni ishga tushiring setup_test_persistence.py:

Python2 setup_test_persistence.py

Bu biroz vaqt talab etadi - oxirigacha kuting. Hech qanday xato xabarlari ko'rsatilmasligi kerak (agar shunday bo'lsa, sizda ba'zi bog'liqliklar etishmayapti).

Shunga o'xshash narsa chiqariladi:

[elektron pochta himoyalangan]: ~ / bin / mitmcanary / service $ python2 setup_test_persistence.py Konfiguratsiyaning eski versiyasi aniqlandi (14 oʻrniga 0) Konfiguratsiya yangilanmoqda. Jurnalni tozalash ishga tushirildi. Tahlil qilinmoqda... Tozalash tugallandi! /home/mial/.kivy/logs/kivy_16-11-01_0.txt v1.9.1 v2.7.12 + (standart, 2016 yil 1-sentabr, 20:27:38)

Ushbu jarayon tugagandan so'ng, xuddi shu katalogda bajaring (bu fon jarayonini boshlaydi):

Python2 main.py

Shundan so'ng yangi terminal oynasini oching va mitmcanary bilan ot katalogiga o'ting. Menda bu katalog bin / mitmcanary / bor, shuning uchun men kiritaman

CD qutisi / mitmcanary /

va u erda bajaring:

Python2 main.py

Birinchi oynada quyidagilar ko'rsatiladi:

[elektron pochta himoyalangan]: ~ / bin / mitmcanary / service $ python2 main.py Tizimga kirish /home/mial/.kivy/logs/kivy_16-11-01_1.txt v1.9.1 v2.7.12 + (standart, 2016 yil 1-sentabr, 20:27) : 38) yordamida 127.0.0.1:3000 da Tuio uchun socket tinglash uchun 60 soniya uxlash 60 soniya uxlash 60 soniya uxlash 60 soniya uxlash 60 soniya uxlash 60 soniya uxlash 60 soniya uxlash

Bular. dastur daqiqada bir marta nazorat so'rovlarini amalga oshiradi va ularda odam-in-the-midle hujumi belgilarini qidiradi.

Ikkinchi oynada shuningdek chiqish mavjud + qorong'i oyna ochiladi, dastur mualliflari ushbu oynani "grafik interfeys" deb atashadi:

Dastur hech qanday noto'g'ri ogohlantirishlar bermasligiga ishonch hosil qilish uchun siz biroz kutishingiz mumkin, Internetda ko'ring.

Keling, klassik Ettercap dasturini sinab ko'raylik.

Men ARP spoofing bilan muntazam MitM hujumini amalga oshiraman. Mitmkanariy o'z-o'zidan etchingga reaksiyaga kirishmaydi. Mitmcanary vositasi trafikni o'zi yaratadi, ya'ni foydalanuvchi harakati talab qilinmaydi. Biroz vaqt o'tgach, keyingi tekshiruvlarda tasdiqlanmaydigan bitta ogohlantirish paydo bo'ladi. Ammo shunga o'xshash ogohlantirish bir necha daqiqadan so'ng paydo bo'ladi. Qo'shimcha tahlillarsiz, bu noto'g'ri ijobiy misolmi yoki yo'qligini aytish qiyin - bu unga juda o'xshash. Ehtimol, bu ogohlantirish qo'shimcha marshrutlardan o'tish uchun trafik zarurati yoki sifatsiz Internet ulanishimning o'ziga xos xususiyatlari tufayli aloqa uzilishidan kelib chiqqan bo'lishi mumkin.

Natija aniq bo'lmagani uchun ("ha"dan ko'ra "yo'q" ko'proq), keling, turli xil modullarga ega Bettercap dasturini sinab ko'raylik. Funktsionallikni kengaytirish uchun turli xil Ettercap plaginlari va / yoki qo'shimcha dasturlardan foydalanganda, biz mitmcanary uchun ham "yorug'lik" qilishimizga shubham yo'q.

Tajribaning tozaligi uchun men uskunani qayta ishga tushiraman, hujum qilingan mashinada mitmcanary va hujum qilayotganda Bettercapni ishga tushiraman. Shu bilan birga, hujum qilingan mashinada nazorat so'rovlarini qayta bajarish shart emas - ular dastur bilan katalog ichidagi faylda saqlanadi. Bular. faqat xizmatni va GUIni ishga tushiring.

Va hujum mashinasida biz Bettercap-ni tahlil qiluvchilar yoqilgan holda ishga tushiramiz:

Sudo bettercap -X

Shaxsiy ogohlantirishlar paydo bo'ladi, ular ham noto'g'ri pozitivlarga o'xshaydi.

Ammo shunga o'xshash buyruqni bajarish:

Sudo bettercap -X --proksi

Hujum qilingan mashinada u o'rtadagi odam hujumi haqida juda ko'p ogohlantirishlarni yaratadi:

Shunday qilib, o'rtadagi odam hujum vositasi qanchalik funktsional bo'lsa, u tirbandlikda shunchalik ko'p iz qoldiradi. Mitmkanariydan amaliy foydalanish uchun quyidagi shartlar bajarilishi kerak:

trafikni uzatishda vositachi yo'qligiga ishonchingiz komil bo'lganda, ishonchli tarmoqqa dastlabki so'rovlarni amalga oshirish;
tekshirish so'rovlari yuboriladigan resurslarni tahrirlang, chunki professional tajovuzkor istisnolarga standart resurslarni qo'shishi mumkin, bu esa uni ushbu vositaga ko'rinmas qiladi.

2. ARP spoofing (ARP keshini zaharlash)

Ko'pincha, LANga o'rtadagi odam hujumi ARP zaharlanishi bilan boshlanadi. Shuning uchun MitM hujumlarini aniqlash uchun mo'ljallangan ko'plab vositalar Ethernet (MAC manzillari) va IP manzillari o'rtasidagi yozishmalar tayinlangan ARP keshidagi o'zgarishlarni kuzatish mexanizmiga asoslangan.

Bunday dasturlarga arpwatch, arpalert va ko'p sonli yangi dasturlarni misol qilib keltirish mumkin. ArpON nafaqat ARP keshidagi o'zgarishlarni kuzatadi, balki ularni ulardan himoya qiladi.

Misol tariqasida, arpwatch-ni disk raskadrovka rejimida ishga tushiramiz, orqa fonda ajralmasdan va xatlarni pochta orqali jo'natamiz. Buning o'rniga, xabarlar stderr ga yuboriladi (standart xato chiqishi).

Sudo / usr / sbin / arpwatch -d

Hujum qiluvchi mashinada Ettercap-ni ishga tushiring va ARP spoofingni boshlang. Hujum qilingan mashinada biz quyidagilarni kuzatamiz:

Arpwatch dasturi mahalliy tarmog'ingizga yangi ulangan qurilmalar, shuningdek, ARP keshidagi o'zgarishlar haqida tezda bilib olishga yordam beradi.

Haqiqiy vaqtda ARP spoofingni aniqlashning yana bir vositasi Ettercap plaginining o'zi deb ataladi arp_cop... Hujum qilingan mashinada Ettercap-ni quyidagi tarzda ishga tushiring:

Sudo ettercap -TQP arp_cop ///

Va tajovuzkorda, keling, ARP qirqishini boshlaylik. Hujum qilingan mashina darhol ogohlantirishlarni ko'rsatishni boshlaydi:

3. DNS-spoofingni aniqlash

DNS-spoofing, siz va maqsadingiz o'rtasida trafikni o'zgartirishi mumkin bo'lgan vositachi borligini ko'rsatadi. DNS yozuvlari soxtalashtirilganligini qanday aniqlash mumkin? Buni qilishning eng oson yo'li ishonchli nom serverining javoblari bilan solishtirishdir. Ammo so'rovingizga yuborilgan javobdagi yozuvlar ham soxta bo'lishi mumkin ...

Bular. siz shifrlangan kanal orqali (masalan, Tor orqali) tekshirishingiz yoki nostandart sozlamalardan foydalanishingiz kerak (UDP o'rniga boshqa port, TCP). XiaoxiaoPu-ning sans dasturi taxminan bu uchun (hech bo'lmaganda men buni tushunaman). Ushbu dasturdan foydalanib, men DNS so'rovlarini Tor orqali va nostandart sozlamalar orqali DNS serverimga yo'naltirishga muvaffaq bo'ldim. Lekin men uni DNS javoblarini soxtalashtirish haqidagi xabarlarni ko'rsatishga hali ham majburlay olmadim. Va bu holda, dasturning ma'nosi yo'qoladi.

Yana munosib muqobillarni topa olmadim.

Printsipial jihatdan, DNS-spooferlar odatda faqat 53-portni va faqat UDP protokolini nazorat qilishini hisobga olsak, DNS-spoofing faktini qo'lda tekshirish kifoya qiladi, garchi bu sizning nostandart konfiguratsiyaga ega bo'lgan DNS serveringizni talab qiladi. Masalan, hujum qiluvchi mashinada men faylni yaratdim dns.conf quyidagi mazmun bilan:

Mahalliy mi-al.ru

Bular. mi-al.ru sayti uchun DNS yozuvini so'raganda, haqiqiy IP o'rniga tajovuzkor mashinasining IP manzili yuboriladi.

Men uni hujum mashinasida ishga tushiraman:

Sudo bettercap --dns dns.conf

Va hujum qilinganida men ikkita tekshiruv o'tkazaman:

Dig mi-al.ru # va dig mi-al.ru -p 4560 @ 185.117.153.79

Natijalar:

[elektron pochta himoyalangan]: ~ $ dig mi-al.ru;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru ;; global variantlar: + cmd ;; Javob oldim: ;; - >> Sarlavha<<- opcode: QUERY, status: NOERROR, id: 51993 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 86400 IN A 192.168.1.48 ;; Query time: 2 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Nov 02 09:25:20 MSK 2016 ;; MSG SIZE rcvd: 42 [elektron pochta himoyalangan]: ~ $ dig mi-al.ru -p 4560 @ 185.117.153.79;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru -p 4560 @ 185.117.153.79 ;; global variantlar: + cmd ;; Javob oldim: ;; - >> Sarlavha<<- opcode: QUERY, status: NOERROR, id: 401 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 3799 IN A 185.26.122.50 ;; Query time: 304 msec ;; SERVER: 185.117.153.79#4560(185.117.153.79) ;; WHEN: Wed Nov 02 09:25:27 MSK 2016 ;; MSG SIZE rcvd: 53

Ko'rinib turibdiki, mahalliy IP 192.168.1.48 "muntazam" DNS so'rovi uchun yuborilgan va atipik portda DNS so'rovida to'g'ri server IP yuboriladi.

Agar server TCP (UDP emas) bilan ishlash uchun sozlangan bo'lsa, buyruq quyidagicha ko'rinadi:

Dig mi-al.ru -p 4560 + tcp @ 185.117.153.79

Trafikdagi DNS-javoblarni kuzatib boradigan, ularni muqobil manbadan qayta tekshiradigan va aldash holatlarida signal beruvchi vositaning etishmasligi aniq.

O'zingizning masofaviy DNS-ni o'rnatmaslik uchun siz Tor orqali nom serverini so'rashingiz mumkin. Barcha Tor trafigi shifrlanganligi sababli, shu tarzda olingan DNS javoblari vositachi uchun juda qiyin. Agar Tor hali o'rnatilmagan bo'lsa, uni o'rnating.

Sudo apt-get o'rnatish tor

Sudo pacman -S tor

Xizmatni ishga tushiring:

Sudo systemctl start tor

Agar sizga kerak bo'lsa, ishga tushirish uchun ushbu xizmatni qo'shing:

Sudo systemctl torni yoqish

Faylni oching / etc / tor / torrc va u erga quyidagi qatorlarni qo'shing:

DNSPort 530 AutomapHostsOnResolve 1 AutomapHostsSuffixes .exit, .onion

530 raqamiga e'tibor bering. Bu port raqami, 530 o'rniga boshqa har qanday (bo'sh) portni belgilashingiz mumkin. Asosiysi, uni eslab qolish.

Biz yana tekshiramiz:

Dig mi-al.ru # va dig mi-al.ru -p 530 @localhost

Endi biz server sifatida belgilaymiz localhost, va / etc / tor / torrc sozlamalarida ko'rsatgan port raqamini yozing.

Quyidagi skrinshotdan ko'rinib turibdiki, tekshiruv o'tkazilgan mashinaga nisbatan DNS spoofing hujumi amalga oshirilmoqda:

4. Tarmoq interfeyslarini promiscuous rejimda qidirish

Agar sizning mahalliy tarmog'ingizda (ayniqsa, u to'satdan paydo bo'lgan bo'lsa) o'qib bo'lmaydigan rejimda uskuna bo'lsa, bu juda shubhali, garchi bu o'rtadagi odam hujumini aniq ko'rsatmasa ham.

Ushbu rejimda tarmoq kartasi barcha paketlarni kimga qaratilganligidan qat'iy nazar qabul qilish imkonini beradi.

Oddiy holatda Ethernet interfeysi havola qatlami paketini filtrlashdan foydalanadi va agar qabul qilingan paketning maqsad sarlavhasidagi MAC manzili joriy tarmoq interfeysining MAC manziliga mos kelmasa va translyatsiya qilinmasa, u holda paket tushiriladi. Noxush rejimda tarmoq interfeysida filtrlash o'chiriladi va barcha paketlar, shu jumladan joriy xost uchun mo'ljallanmagan paketlar tizimga kirishga ruxsat etiladi.

Aksariyat operatsion tizimlar noxush rejimni yoqish uchun administrator huquqlarini talab qiladi. Bular. NICni targ'ib qilish - bu hidlash maqsadiga xizmat qilishi mumkin bo'lgan qasddan qilingan harakat.

Tarmoq interfeyslarini tajovuzkor rejimda qidirish uchun Ettercap plagini mavjud search_promisc.

Plaginni ishga tushirishga misol:

Sudo ettercap -TQP search_promisc ///

Plagin to'liq ishonchli emas, tarmoq interfeysi rejimini aniqlashda xatolar bo'lishi mumkin.

Xulosa

Ba'zi o'rtadagi odam hujumlari ko'plab izlarni qoldiradi va ba'zilari (masalan, proksi-serverda hisob ma'lumotlarini passiv izlash) aniqlanmaydi yoki deyarli imkonsizdir.

Hujum printsipi

Hujum, odatda, aloqa kanalini tinglashdan boshlanadi va kriptoanalitikning ushlangan xabarni almashtirishga, undan foydali ma'lumotlarni chiqarib olishga va uni qandaydir tashqi manbaga yo'naltirishga urinishi bilan yakunlanadi.

Aytaylik, A ob'ekti B ob'ektiga ba'zi ma'lumotlarni etkazishni rejalashtirmoqda. C ob'ekti foydalanilgan ma'lumotlarni uzatish usulining tuzilishi va xususiyatlari, shuningdek C ushlab olishni rejalashtirgan haqiqiy ma'lumotni rejalashtirilgan uzatish fakti haqida ma'lumotga ega. Hujumni amalga oshirish uchun C A ob'ektiga B, B ob'ektiga esa A ko'rinishida "ko'rinadi". A ob'ekti B ga ma'lumot yuboradi, deb noto'g'ri ishonib, uni C ob'ektiga yuboradi. C ob'ekti ma'lumotni qabul qilib, u bilan ba'zi harakatlarni amalga oshirgan (masalan, o'z maqsadlari uchun nusxa ko'chirish yoki o'zgartirish) ma'lumotlarni qabul qiluvchiga tegishli ravishda yuboradi - B; B sub'ekti, o'z navbatida, ma'lumot to'g'ridan-to'g'ri A dan olingan deb hisoblaydi.

Hujumga misol

Zararli kodni kiritish

O'rtadagi odam hujumi kriptoanalitikga o'z kodini elektron pochta xabarlari, SQL bayonotlari va veb-sahifalarga kiritish imkonini beradi (ya'ni, SQL in'ektsiyasi, HTML/skriptni kiritish yoki XSS hujumlariga ruxsat beradi) va hatto foydalanuvchi tomonidan yuklangan ikkilik fayllarni o'zgartiradi. foydalanuvchi hisobiga kirish yoki foydalanuvchi tomonidan Internetdan yuklab olingan dasturning harakatini o'zgartirish uchun.

Past darajali hujum

"Pastlash hujumi" atamasi kriptoanalitik foydalanuvchini muvofiqlik sabablari tufayli hali ham qo'llab-quvvatlanadigan kamroq xavfsiz funktsiyalardan, protokollardan foydalanishga majbur qiladigan hujumga ishora qiladi. Ushbu turdagi hujum SSH, IPsec va PPTP protokollariga qarshi amalga oshirilishi mumkin.

SSH V2 o'rniga SSH V1

Buzg'unchi server va mijoz o'rtasida aloqa o'rnatishda ulanish parametrlarini o'zgartirishga harakat qilishi mumkin. Blackhat Conference Europe 2003da aytilgan ma'ruzaga ko'ra, kriptoanalitik mijozni SSH2 o'rniga SSH1 seansini boshlashga "majburlashi" mumkin, bu SSH sessiyasi uchun "1.99" versiya raqamini "1.51" ga o'zgartirib, SSH V1 dan foydalanishni anglatadi. SSH-1 protokolida kriptoanalitik foydalanishi mumkin bo'lgan zaifliklar mavjud.

IPsec

Ushbu stsenariyda kriptoanalitik o'z qurbonini IPsec seansi boshqa tomondan (server) boshlay olmaydi deb o'ylaydi. Bu, agar xost mashinasi orqaga qaytarish rejimida ishlayotgan bo'lsa, xabarlar aniq yo'naltirilishiga olib keladi.

PPTP

PPTP seansi parametrlarini muhokama qilish bosqichida tajovuzkor jabrlanuvchini kamroq xavfsiz PAP autentifikatsiyasi, MSCHAP V1 (ya'ni, MSCHAP V2 dan 1-versiyaga "orqaga qaytish") foydalanishga majbur qilishi yoki shifrlashdan umuman foydalanmasligi mumkin.

Tajovuzkor o'z qurbonini PPTP seansi parametrlari bo'yicha muzokaralar bosqichini takrorlashga majbur qilishi mumkin (Terminate-Ack paketini yuborish), mavjud tunneldan parolni o'g'irlash va hujumni takrorlash.

Shifrlash sizni qutqaradimi?

Standart HTTP tranzaksiyasi misolini ko'rib chiqing. Bunday holda, tajovuzkor dastlabki TCP ulanishini ikkita yangi ulanishga osongina ajratishi mumkin: biri o'zi va mijoz o'rtasida, ikkinchisi esa o'zi va server o'rtasida. Buni qilish juda oson, chunki mijoz va server o'rtasidagi aloqa juda kam uchraydi va ko'p hollarda ular bir qator oraliq serverlar orqali ulanadi. MITM hujumi ushbu serverlarning har qandayida amalga oshirilishi mumkin.

Biroq, agar mijoz va server HTTPS, shifrlashni qo'llab-quvvatlaydigan protokol orqali muloqot qilsa, o'rtadagi odam hujumi ham amalga oshirilishi mumkin. Ushbu turdagi ulanish so'rovlarni shifrlash uchun TLS yoki SSL dan foydalanadi, bu esa kanalni hidlash va MITM hujumlaridan himoya qiladi. Buzg'unchi har bir TCP ulanishi uchun ikkita mustaqil SSL seansini yaratishi mumkin. Mijoz tajovuzkor bilan SSL ulanishini o'rnatadi, u o'z navbatida serverga ulanishni yaratadi. Bunday hollarda brauzer odatda sertifikat ishonchli sertifikatlashtirish organi tomonidan imzolanmaganligi haqida ogohlantiradi, ammo oddiy foydalanuvchi bu ogohlantirishni osongina e'tiborsiz qoldirishi mumkin. Bundan tashqari, tajovuzkor sertifikatlashtirish organi tomonidan imzolangan sertifikatga ega bo'lishi mumkin. Shunday qilib, HTTPS protokolini MITM hujumlariga qarshi xavfsiz deb hisoblash mumkin emas.

MITM hujumini aniqlash

O'rtadagi odam hujumini aniqlash uchun siz tarmoq trafigini tahlil qilishingiz kerak. Masalan, SSL hujumini aniqlash uchun siz quyidagi parametrlarga e'tibor berishingiz kerak:

Server IP
DNS server
X.509 - server sertifikati
- Sertifikat o'z-o'zidan imzolanadimi?
- Sertifikat imzolanganmi?
- Sertifikat bekor qilinganmi?
- Sertifikat yaqinda o'zgarganmi?
- Internetdagi boshqa mijozlar ham xuddi shunday sertifikat olganmi?

MITM hujumlarini amalga oshirish

Ro'yxatda keltirilgan dasturlardan odamning o'rtadagi hujumlarini amalga oshirish, shuningdek, ularni aniqlash va tizimda zaifliklarni tekshirish uchun foydalanish mumkin.

Adabiyotdagi misol

Yorqin adabiy misolni Aleksandr Pushkinning "Tsar Saltan haqidagi ertak" asarida ko'rish mumkin, unda uchta "o'rtadagi odam" paydo bo'ladi: to'quvchi, oshpaz va Babarixa. Aynan ular podshoh nomiga yozilgan xatlar va uning qaytish yozishmalarini almashtiradilar.

Shuningdek qarang

Aspidistra (inglizcha) - Ikkinchi Jahon urushi "bosqin" davrida ishlatilgan ingliz radio uzatgichi, MITM hujumining bir varianti.
Babington fitnasi (inglizcha) - Yelizaveta I ga qarshi fitna, uning davomida Uolsingem yozishmalarni ushlagan.

Boshqa hujumlar

Brauzerdagi odam - bu hujumning bir turi bo'lib, unda tajovuzkor tranzaksiya parametrlarini bir zumda o'zgartirishi va jabrlanuvchi uchun sahifalarni butunlay shaffof o'zgartirishi mumkin.
Meet-in-the-middle hujumi kriptografik hujum bo'lib, u tug'ilgan kun hujumi kabi vaqt va xotira o'rtasidagi kelishuvdan foydalanadi.
Miss in o'rta hujum deb atalmish imkonsiz differensial kriptoanalizning samarali usuli hisoblanadi.
Relay hujumi MITM hujumining varianti boʻlib, ushlangan xabarni moʻljallangan qabul qiluvchiga emas, balki joriy qabul qiluvchiga yoʻnaltirishga asoslangan.
Rootkit - bu tajovuzkorning borligi izlarini yashirish uchun mo'ljallangan dastur.

Adabiyot

Havolalar