MITM攻击-可能性如何？

互联网安全中“中间人”攻击的可能性有多大？

除了ISP服务器之外，哪些实际机器将处于Internet通信的“中间”？

与MITM攻击相关的实际风险是多少，而不是理论上的风险？

编辑：我对这个问题的无线接入点不感兴趣。当然需要保护它们，但这很明显。无线接入点的独特之处在于，广播可以广播给所有人。普通的有线Internet通信被路由到它们的目的地-只有路由中的机器才能看到流量。

首先，让我们谈谈边界网关协议。互联网由成千上万个称为ASes（自治系统）的端点组成，它们使用称为BGP（边界网关协议）的协议路由数据。近年来，BGP路由表的大小呈指数增长，远远超过了100,000个条目。即使路由硬件的功能不断增强，它也几乎无法跟上BGP路由表不断扩大的规模。

在我们的MITM场景中，棘手的部分是BGP隐式信任其他自治系统提供的路由，这意味着，如果来自AS的垃圾邮件过多，则任何路由都可以通向任何自治系统。这是进行MITM流量的最明显方式，而不仅仅是理论上的-Defcon安全约定的站点在2007年被重定向到安全研究人员的站点，以演示攻击。当巴基斯坦审查该网站并错误地宣布自己的（死路）路线是巴基斯坦境外数个AS的最佳选择时，Youtube在几个亚洲国家/地区倒闭了。

少数学术团体从合作的AS 收集BGP路由信息，以监视更改流量路径的BGP更新。但是如果没有上下文，可能很难区分合法更改和恶意劫持。交通路径一直在变化，以应对自然灾害，公司合并等。

接下来要讨论的“全球MITM攻击媒介”列表上是域名系统（DNS）。

尽管ISC的Fine DNS服务器BIND经受了时间的考验，而且相对来说毫发无损（微软和Cisco的DNS产品也是如此），但已经发现了一些值得注意的漏洞，这些漏洞可能会使用Internet上的规范化名称危害所有流量（即几乎所有流量）。交通）。

我什至不愿讨论Dan Kaminsky对DNS缓存中毒攻击的研究，因为它在其他地方被殴打致死，只是被Blackhat（拉斯维加斯）授予“有史以来最被大肆宣传的错误”。但是，还存在其他几个严重损害了Internet安全性的DNS错误。

动态更新区域错误使 DNS服务器崩溃，并有可能远程破坏计算机和DNS缓存。

交易签名错误允许在漏洞发布时对运行BIND的任何服务器进行完全远程root破坏，显然可以破坏DNS条目。

最后，我们必须讨论 ARP中毒， 802.11q跟踪， STP-中继劫持， RIPv1路由信息注入以及OSPF网络的各种攻击。

这些攻击是独立公司的网络管理员的“助手”（理所当然，考虑到这些攻击可能是他们唯一可以控制的攻击）。由于熟悉基本信息安全性或TCP的每个人都已经学会了ARP中毒，因此在此阶段讨论每种攻击的技术细节有些无聊。其他攻击可能是许多网络管理员或服务器安全爱好者的熟悉面孔。如果您担心这些问题，那么这里有许多非常好的网络防御实用程序，从Snort的免费和开源实用程序到Cisco和HP的企业级软件，一应俱全。。另外，许多内容丰富的书籍涵盖了这些主题，讨论的内容太多了，但是我发现对追求网络安全有所帮助的几本书包括《网络安全监控之道》，《网络安全体系结构》和《经典网络勇士》。

无论如何，我发现人们认为这类攻击需要ISP或政府级别的访问感到有些不安。他们只需要CCIE具备的一般网络知识和适当的工具（即HPING和Netcat，并不完全是理论工具）即可。如果您想保持安全，请保持警惕。

这是一个与我有关的MITM场景：

假设酒店有个大型会议。ACME Anvils和Terrific TNT是卡通危险行业的主要竞争对手。对产品有既得利益的人，尤其是正在开发中的新产品，会很乐意让自己的爪子出现在他们的计划上。我们称他为WC以保护他的隐私。

WC尽早在Famous Hotel登记入住，以便给他一些时间进行设置。他发现该酒店具有通过FamousHotel-5称为WiFi的无线接入点，称为FamousHotel-1。因此，他建立了一个接入点，并将其命名为FamousHotel-6，以便将其融合到景观中并将其桥接到其他AP之一。

现在，会议参加者开始办理入住手续。碰巧这两家公司的最大客户之一（我们称他为RR），办理了入住手续，并在WC附近找到了房间。他安装了笔记本电脑，并开始与供应商交换电子邮件。

WC疯狂地咯咯笑着！他大声说道：“我曲折的计划正在奏效！” 繁荣！崩溃！同时，他被铁砧和一捆TNT击中。看来ACME Anvils，Trrific TNT，RR和Famous Hotel的安全团队正在共同努力，预料到这次袭击。

哔哔！

编辑：

如何及时^*：旅行提示：当心机场无线网络“蜜罐”

^{*好吧，这很及​​时，它刚刚出现在我的RSS feed中。}

这完全取决于情况。您有多信任您的ISP？您对ISP的配置了解多少？您自己的设置有多安全？

现在，大多数此类“攻击”很可能是木马恶意软件拦截了文件中的击键和密码。一直在发生，只是它没有引起太多注意或报道。

信息在ISP级别内部泄漏的频率是多少？当我在一家小型ISP工作时，我们在转售另一层更高的访问权限。因此，有一个拨入我们电话的人进入了我们的网络，如果您不与我们的Web服务器或邮件服务器通信，流量将流向更高层的提供商，并且我们不知道谁对他们的网络中的数据进行了处理，或他们的管理员多么值得信赖。

如果您想知道某人可以“潜在地”看到您的流量进行了跟踪路由，那么您将看到在每个路由点上将得到尽可能多的响应。假设隐藏的设备不在其中一些设备之间。而且这些设备实际上都是路由器，而不是伪装成路由器的东西。

问题是您不知道攻击的普遍程度。没有任何法规要求公司必须披露被发现的攻击，除非您的信用信息遭到破坏。大多数公司不会这样做，因为这很尴尬（或工作量太大）。随着大量恶意软件的涌现，它的流行程度可能比您想像的要普遍得多，即使如此，关键还是在于发现了这种攻击。当恶意软件正常运行时，大多数用户不会知道它何时发生。而真正的被人嘲笑和窥探提供商的人的情况是公司不报告的，除非他们必须这样做。

当然，这些都忽略了公司被迫保留您的流量记录并在不通知您的情况下将其披露给政府机构的情况。如果您在美国，由于《爱国者法案》的颁布，图书馆和ISP可以被迫记录您的数据旅行和电子邮件以及浏览历史记录，而不必告诉您他们正在收集有关您的信息。

换句话说，目前尚无关于如何对用户进行普遍的MITM和拦截攻击的硬数据，但是有证据表明，该数据要比普通用户高，大多数用户并不在意获取这些信息。

真正的问题是“我应将有限的资源中的多少用于MITM攻击而不是其他方面？”

这取决于所涉及的通信的本质，没有一个答案。以我的经验，相对于其他安全风险而言，这并不是一个大风险，但是通常可以将其最小化（例如，使用SSL证书并使用HTTPS通常就足够了），因此与花费时间评估多少安全性相比，修复此问题要便宜得多。可能会有风险。

家里有无线接入点吗？代理服务器在工作吗？

无需大量的政府/ isp阴谋就可以妥协这些入口/出口点中的任何一个。ISP基础结构的组件也可能受到损害。

您是否使用网络浏览器？配置浏览器以将流量定向到中间位置的人非常简单。浏览器恶意软件使用此方法重新路由了某些银行和经纪交易，特别是对于具有电汇特权的小型企业。

安全与风险管理有关...处理风险的方式有两个基本属性：发生的概率和影响。发生严重车祸的实际可能性很小，但是对人身安全的影响很大，因此请系好安全带并将婴儿放在汽车安全座椅中。

当人们变得懒惰和/或便宜时，灾难往往是结果。在墨西哥湾，BP忽略了各种风险因素，因为他们认为自己将风险转移给了承包商，并认为他们已经钻了足够的井而没有发生事故，因此发生事故的可能性非常低。

MitM攻击几乎是在本地网络中唯一遇到的。接入Internet的连接需要ISP或政府级别的访问权限-拥有这种级别的资源的任何人都在追随您的数据是非常罕见的。

一旦有人进入您的网络，您就会遇到严重的问题，但是除此之外，您可能还可以。

@克雷格：在您的编辑中，您有一些错误信息。无线网络不是基于广播的。在无线通信会话中（在无线客户端和无线访问点之间）传输的数据不是“广播”的，每个人都可以听到。无线客户端与AP关联，并且在所述客户端和AP之间进行通信。如果您是说由于数据封装在“广播”的无线电信号中而正在广播数据，那么可以用非常特定的无线设备（支持RMON的无线适配器）和软件工具来嗅探数据。除上述设备外，未与同一AP关联的无线客户端没有机制来拦截或“监听”无线流量。TCP \ IP网络中的无线通信基本上与有线网络相同，除了传输介质：与物理线路相反的无线电波。如果广播了WiFi通信，让每个人都可以窃听，那么它将永远不会离开绘图板。

话虽如此，我认为无线网络对MITM攻击构成更大的风险，因为不需要物理访问即可访问无线网络来“注入”恶意系统以拦截流量。