حمله MITM چیست

حمله MITM چیست : حمله یک مرد میانی (MITM) اصطلاحی کلی برای زمانی است که خرابکارخود را در مکالمه بین کاربر ۱ و کاربر ۲ قرار می دهد – یا برای شنود یا جعل هویت یکی از طرفین ، وخرابکار اینطور نشان می دهد که همه چیز در حالت عادی و بدون مشکل است.
هدف از حمله ، سرقت اطلاعات شخصی مانند اعتبار ورود به سیستم ، جزئیات حساب و شماره کارت اعتباری است. اهداف آنها معمولاً کاربران برنامه های مالی ، مشاغل SaaS ، سایت های تجارت الکترونیکی و سایر وب سایت هایی هستند که ورود به آنها لازم است.
اطلاعات به دست آمده در هنگام حمله می تواند برای اهداف مختلفی از جمله سرقت هویت ، انتقال وجه تأیید نشده یا تغییر رمز عبور غیرقانونی استفاده شود.به طور کلی ، حمله MITM برابر است با این که یک پستچی صورت حساب بانکی شما را باز کند ، مشخصات حساب خود را بنویسد و سپس پاکت را دوباره بسته و آن را به درب منزل تحویل دهد.
موفقیت حمله MITM
اجرای موفقیت آمیز MITM دارای دو مرحله مشخص است: رهگیری و رمزگشایی.
استراق سمع
مرحله اول ،قبل از رسیدن به مقصد مورد نظر ، ترافیک کاربر را از طریق شبکه مهاجم رهگیری می شود.
متداول ترین (و ساده ترین) روش برای انجام این کار حمله غیرفعال است که در آن یک مهاجم نقاط رایگان و مخرب WiFi را در دسترس عموم قرار می دهد. به طور معمول به روشی متناسب با مکان آنها نامگذاری می شود ، معمولا بدون پسورد می باشند. هنگامی که یک قربانی به چنین شبکه وای فای ،متصل شود، مهاجم دید کامل نسبت به هرگونه تبادل اطلاعات آنلاین را بدست می آورد.
مهاجمین که مایلند رویکرد فعال تری برای رهگیری داشته باشند ، ممکن است یکی از حملات زیر را انجام دهند:
- IP spoofing : جعل IP شامل یک مهاجم است که با تغییر دادن هدرهای بسته در آدرس IP ، خود را به عنوان یک برنامه تبدیل می کند. در نتیجه ، کاربرانی که سعی در دسترسی به URL متصل به برنامه دارند به وب سایت مهاجم ارسال می شوند.
- ARP spoofing : کلاهبرداری ARP فرآیند پیوند دادن آدرس MAC مهاجم با آدرس IP یک کاربر قانونی در یک شبکه محلی با استفاده از پیام های جعلی ARP است. در نتیجه ، داده های ارسال شده توسط کاربر به آدرس IP میزبان، به مهاجم منتقل می شود.
- DNS spoofing : کلاهبرداری DNS ، همچنین به عنوان (DNS cache poisoning) مسمومیتDNS cache شناخته می شود ، شامل نفوذ به یک سرور DNS و تغییر در آدرس وب سایت است. در نتیجه ، کاربرانی که قصد دسترسی به سایت را دارند با تغییر رکورد DNS به سایت مهاجم ارسال می شوند.
رمزگشایی
پس از رهگیری ، هرگونه ترافیک SSL دو طرفه باید بدون هشدار به کاربر یا برنامه رمزگشایی شود. تعدادی از روش ها برای دستیابی به این هدف وجود دارد:
- HTTPS spoofing : جعل HTTPS پس از ایجاد درخواست اتصال اولیه به یک سایت امن ، یک گواهی جعلی به مرورگر قربانی می فرستد. این یک اثر انگشت دیجیتالی است که مرتبط با برنامه به خطر افتاده دارد ، که مرورگر آن را با توجه به لیست موجود از سایت های معتبر تأیید می کند. سپس مهاجم می تواند به هر داده وارد شده و با توسط قربانی قبل از انتقال به برنامه دسترسی داشته باشد.
- SSL BEAST : در SSL BEAST (browser exploit against SSL/TLS) آسیب پذیری نسخه ۱.۰ TLS را در SSL هدف قرار می دهد. در اینجا ، کامپیوتر قربانی با JavaScript مخرب آلوده می شود و کوکی های رمزگذاری شده توسط یک برنامه وب ارسال شده را رهگیری می کند. سپس زنجیره بلوک رمزگذاری برنامه (CBC) به خطر می افتد تا کوکی ها و نشانه های احراز هویت آن رمزگشایی شود.
- SSL hijacking : دزدی SSL زمانی اتفاق می افتد که یک مهاجم در هنگام تماس به TCP ، کلیدهای احراز هویت جعلی را هم به کاربر و هم به برنامه بفرستد. این امر هنگامی تنظیم می شود که به نظر می رسد یک اتصال ایمن است ، در حقیقت ، مرد میانی کل جلسه را کنترل می کند.
- SSL stripping : حذف SSL با رهگیری احراز هویت TLS که از برنامه به کاربر ارسال شده است ، اتصال HTTPS را به HTTP کاهش می دهد. مهاجم ضمن حفظ جلسه ایمن با برنامه ، یک نسخه رمزگذاری نشده از سایت برنامه را برای کاربر ارسال می کند. در همین حال ، کل جلسه کاربر برای مهاجم قابل مشاهده است.
حمله MITM چیست و پیشگیری از حمله مرد میانی
مسدود کردن حملات MITM به چندین مرحله عملی از طرف کاربران و همچنین ترکیبی از روش های رمزگذاری و تأیید برای برنامه ها نیاز دارد.
مواردی که کاربران باید دقت کنند:
- از اتصال WiFi که با رمز عبور ندارد و اکثرا رایگان هستند،از اتصال به آنها خودداری کنید.
- توجه به اعلان های مرورگر که یک وب سایت را به عنوان ناامن گزارش می کنند.
- هنگامی که از یک برنامه ایمن استفاده نمی شود ، بلافاصله از آن خارج شوید.
- هنگام انجام معاملات حساس و مهم از شبکه های عمومی (به عنوان مثال ، کافی شاپ ها ، هتل ها) استفاده نکنید.
برای اپراتورهای وب سایت ، پروتکل های ارتباطی ایمن ، از جمله TLS و HTTPS ، با رمزگذاری و احراز هویت قوی داده های ارسالی ، به کاهش حملات جعل کمک می کنند. با این کار از رهگیری ترافیک سایت جلوگیری شده و رمزگشایی داده های حساس مانند رمزهای احراز هویت را مسدود می کند.
بهترین روش در نظر گرفته می شود که برنامه هایی که از SSL / TLS برای ایمن سازی هر صفحه از سایت خود استفاده کنند و نه فقط از صفحه هایی که کاربران برای ورود به آن نیاز دارند. این کار به شما کمک می کند تا یک حمله مهاجم به سرقت کوکی های جلسه از کاربر در حال بازدید از یک سایت بدون امنیت بپردازد. بخش از یک وب سایت هنگام ورود به سیستم. ‘
برای محافظت در برابر حملات MITM در زود وب
برای مقابله با این گونه حملات، زود وب به عنوان بخشی از مجموعه خدمات امنیتی خود ، رمزگذاری بهینه شده SSL / TLS را برای مشتری خود فراهم می کند.پیکربندی SSL / TLS که به عنوان یک سرویس مدیریت شده ارائه می شود ، توسط امنیت حرفه ای به روز نگه داشته می شود ، هم برای مطابقت با خواسته های سازگاری و هم برای مقابله با تهدیدات ظهور (به عنوان مثال Heartbleed).
سرانجام ، با زود وب ، مشترکین همچنین می توانند سیاست های امنیتی حمل و نقل سخت HTTP (HSTS) را پیکربندی کنند تا امنیت SSL / TLS را در چندین زیر دامنه اعمال کنند. این به امنیت وب سایت و برنامه وب در برابر حملات پایین آوردن درجه پروتکل و تلاش برای ربودن کوکی کمک می کند.