題 檢測中間人攻擊?


通過使用ARP欺騙竊取接入點的本地IP地址,似乎有許多可能的方法來在公共接入點上創建中間人攻擊。可能的攻擊範圍從偽造密碼請求字段到更改HTTPS連接到HTTP,甚至是最近發現的在安全TLS連接開始時注入惡意頭的可能性。

然而,似乎聲稱這些攻擊並不常見。親眼看看會很有趣。 有哪些方法可以檢測網絡上是否有人試圖進行此類攻擊?

我想獲得一個普通的HTTP登錄頁面將是一個明顯的線索,當然你可以運行Wireshark並繼續閱讀所有有趣的ARP流量......但自動化解決方案將更加方便。在背景上分析內容並在網絡上檢測到攻擊時發出警報的東西。如果這些攻擊實際上發生在某個地方,那麼我自己也會感興趣。


3
2017-12-11 11:07


起源


在sourceforge上搜索,那裡有一些反arp欺騙工具。 - geek


答案:


無法檢測任意MITM,因為有幾種技術可以執行它們。

但是,大多數MITM攻擊以太網或WLAN使用 ARP欺騙 重定向流量。有一些工具可以檢測ARP欺騙,這些應該表明大多數MITM攻擊。參見例如一些工具的維基百科頁面。


5
2017-11-30 20:24





沒有防止故障的方法來檢測這種情況(如果有的話,MitM攻擊不會成為問題!)。但是,有一些可能的技術。

你可以試著看看服務的時間;延遲可能表示發生了MitM攻擊。或者它可能只是表明網絡速度很慢。

如果您認為某人正在編輯您通過公共網絡發送/接收的內容,則可以檢查指紋/ MD5哈希/等。您正在發送/接收的數據。

正如Maciek所指出的,如果MitM正在使用證書和SSL連接,這應該是相當明顯的,因為瀏覽器會警告你,如果證書不匹配(儘管你必須能夠信任你的瀏覽器;如果有人安裝了你的電腦上已經有假證書了,這個用處不大。


1
2017-12-11 15:17





MiM攻擊是針對加密流量完成的(您不必在非加密流量中執行MiM,您可以嗅探它)。

背後有一些數學,但長話短說:你必須檢查關鍵指紋。因此,例如當您首次通過ssh登錄時,ssh客戶端會顯示服務器指紋。如果你想要防禦MiM,你就會知道這個指紋 之前 登錄嘗試(例如,請求管理員使用其他安全通道,例如面對面會話)。

這是非常不切實際的。這個問題的答案是證書頒發機構(http://en.wikipedia.org/wiki/Certificate_authority)。在這種情況下,計算機擁有可信公司密鑰的已知指紋。那家公司為其他公司簽名。 檢查使用的證書是否正確簽名很重要。幸運的是,現代瀏覽器會自動執行此操作,並在出現問題時顯示大量警告。


1
2017-12-11 11:28



不,MiM攻擊也可用於防止未加密的流量。沒有必要,如果您想要的只是嗅探流量,但如果您想在傳遞之前更改某些數據,則非常有用。 - quack quixote


arpwatch適合我:

sudo aptitude install arpwatch
echo "wlan3 -a -n 10.10.0.0/24 -m me@gmail.com" | sudo tee -a /etc/arpwatch.conf
/etc/init.d/arpwatch start

就像你說的那樣,自動防禦會很不錯。 http://ifttt.com 看起來它有助於發送短信提醒等。其餘的由您和您的MTA決定(postfix)和電子郵件過濾器。


1
2017-09-24 17:02