什麼是中間人攻擊?
中間人 (Man-in-the-middle , MITM) 攻擊是一種複雜的網路攻擊方式,惡意行為者在雙方不知情的情況下攔截雙方之間的通訊。這種類型的攻擊可能發生在任何形式的線上通訊中,例如電子郵件交換、網頁瀏覽和任何其他資料傳輸。攻擊者透過將自己置於「中間」位置,而能夠竊聽、操縱資料或冒充其中一方,以獲得對敏感資訊的未經授權存取。
中間人攻擊對個人和組織都構成嚴重威脅。如果洩露敏感的客戶資料,可能會導致財務損失、資料外洩、聲譽受損,甚至法律後果。
MITM 攻擊如何發生
要發動中間人攻擊,攻擊者必須取得能夠監視並攔截傳輸訊息的網路位置。在成功插入通訊路徑後,攻擊者會採取以下三種常見惡意行動:
- 被動監聽對話,取得機密資訊(例如登入憑證、信用卡號碼、個人資訊或敏感商業資料)
- 在傳遞訊息給預定收件人之前,修改通訊內容(例如插入虛假資訊來誤導收件人或引導其做出特定反應)。例如,在銀行交易中,攻擊者可能會篡改帳戶號碼,將資金轉入自己的帳戶。
- 在驗證完成後接管使用者和伺服器之間的工作階段。這是一種複雜的攻擊類型,在此期間,攻擊者可以假裝自己是通過驗證的使用者,以建立未經授權的連線或傳送惡意負載。
了解中間人攻擊的常見技術有助於確保採取正確的安全防禦措施,來保護使用者並確保網路免受這類攻擊。
以下是中間人攻擊常用的幾種技術。
位址解析通訊協定 (ARP) 欺騙
攻擊者操控本機網路中的ARP(Address Resolution Protocol)訊息,將其媒體存取控制 (MAC) 位址與合法裝置(通常是閘道或路由器)的網際網路通訊協定 (IP) 位址建立關聯。這樣一來,原本應該傳送至合法裝置的流量會被重新導向至攻擊者的裝置,使其得以攔截、修改或封鎖網路流量,以執行中間人攻擊。
藍牙(Bluetooth)攻擊
攻擊者利用藍牙裝置中的漏洞來破壞其安全性,並攔截配對裝置之間的通訊。
基於瀏覽器(Browser)的攻擊
網路瀏覽器及其關聯外掛程式的漏洞被攻擊者利用,以將惡意程式碼植入合法網站。當使用者造訪這些網站時,便會執行惡意程式碼。
網域名稱系統 (DNS) 欺騙
也稱為 DNS 快取污染,透過 DNS 欺騙攻擊,攻擊者會破壞 DNS 伺服器或污染 DNS 快取,然後將合法網域請求重新導向至其控制的惡意 IP 地址。
電子郵件詐騙
攻擊者透過操縱電子郵件標頭訊息,來偽造合法的電子郵件地址,使其看起來像是來自受信任的來源。
偽裝副檔名
利用副檔名欺騙,攻擊者透過修改檔案的副檔名,使惡意檔案偽裝成無害的檔案類型。例如,惡意軟體 .exe 檔案可能會被重新命名,使其看起來像是合法的 .pdf 或 .jpg 檔案。當收件者開啟該檔案時,隱藏的惡意軟體就會被執行。
偽造IP
攻擊者使用偽造的來源 IP 位址建立 IP 封包,以隱藏其身分或冒充其他系統。透過偽造來源 IP 位址,攻擊者能夠欺騙網路裝置,使其誤將惡意流量視為合法通訊。
惡意 Proxy 伺服器
攻擊者架設 Proxy 伺服器來攔截並轉送用戶端與伺服器之間的通訊,進而竊聽或操控透過 Proxy 傳輸的資料。這些伺服器通常看似合法,且往往能夠規避偵測。
封包竊聽
攻擊者使用封包竊聽工具來擷取並分析網路流量。
實體存取
當攻擊者取得網路基礎設施或裝置的實體存取權限時,他們可以透過接取網路線或安裝惡意監控裝置直接攔截通訊。
SSL 剝離
攻擊者透過攔截初始 HTTPS 請求並向使用者瀏覽器提供偽造的安全通訊端層 (SSL) 驗證,將超文字安全傳輸通訊協定 (HTTPS) 連線降級為未加密的超文字傳輸通訊協定 (HTTP)。
工作階段劫持
攻擊者竊取工作階段 cookie 或權杖(Token),來冒充通過驗證的使用者,進而未經授權存取他們的帳戶和敏感資訊。
網站或網域詐騙
網站詐騙是一種中間人攻擊,攻擊者會使用與合法網站非常相似的網域名稱,誘使使用者誤以為自己正在與真正的網站互動。例如,合法網站可能是 organization.com,而偽造的網站可能是 organzation.com(少了一個字母),或是 organization.support.com(加入虛假的子網域)。
Wi-Fi 竊聽
攻擊者會設定名稱與合法網路相似的惡意 Wi-Fi 存取點,誘騙使用者連線。一旦使用者連上這些存取點,攻擊者便能攔截並監控所有經過該存取點的網路流量。
防範中間人攻擊
防範中間人攻擊需要結合多項主動的安全措施。以下是有助於降低中間人攻擊風險的幾種安全策略。
檢查網路設備組態
確認所有路由器、交換器及其他網路設備皆已針對安全性進行最佳化設定。這包括停用不必要的服務、確保已變更預設密碼,以及針對遠端管理實作安全通訊協定。
持續監控網路
網路監控與入侵偵測系統也可用來識別可能代表中間人攻擊的異常活動。這些工具能提供即時警示與自動化應對機制,以在發現威脅時減輕威脅。
教育使用者
教育使用者瞭解中間人攻擊的風險。重點應放在以下幾個方面:點擊連結前應確認網站真偽、開啟附件前應先檢查內容、查看電子郵件時需確認寄件者身分、提高對網路釣魚(Spear phishing)與其他社交工程手法的警覺,以及避免連接未加密的公共 Wi-Fi 網路。
實施憑證綁定
實施憑證綁定 (Certificate Pinning) 將特定的安全通訊端層與傳輸層安全性 (SSL/TLS) 憑證綁定至應用程式,以防止攻擊者藉由偽造憑證攔截通訊內容。
加密通訊通道
實施高度加密機制(例如 SSL/TLS 與虛擬私人網路 (VPN)),以保護通訊內容與傳輸中的資料安全。
安裝軟體更新和修補程式
保持所有軟體、作業系統和韌體為最新狀態,以消除攻擊者可能利用的漏洞。
分段網路
透過將網路劃分為多個區段,隔離關鍵系統與敏感資料,以限制橫向移動,限制攻擊者的存取能力,並降低其危害整個網路的能力。
使用 HTTPS(超文字安全傳輸通訊協定)
網站應始終使用 HTTPS,以確保使用者瀏覽器與網站之間的資料經過加密傳輸。
不要低估中間人攻擊
中間人攻擊很常見,而且由於其實施方式繁多,因此經常會成功。不過,仍有多種對應方式可以防範這類攻擊,而且往往只需善用現有技術並加以正確應用,就能有效預防。
投入資源與心力來防範中間人攻擊是值得的。能夠防禦此類攻擊的系統同時也會帶來其他額外的安全效益。
