Können Sie einen MitM-Angriff erkennen? Hängt von der Art des angegriffenen Systems und der Art des Angriffs ab.
Angenommen, ein hoch entwickelter Angreifer hat die Kontrolle über einen Router zwischen Ihnen und dem Internet im Allgemeinen erlangt und leitet Ihren Datenverkehr an gefälschte Server weiter, für die er die Kontrolle hat Ein MitM (z. B. erfasst DNS-Anforderungen und gibt falsche Antworten an ihre Server oder verwendet Network Address Translation (NAT)).
Nehmen wir nun an, Sie gehen zu http: //www.facebook. com
und werden zu einer http
-Anmeldeseite geleitet, die der Kontrolle des Angreifers unterliegt. Vorhersehbar könnte der Angreifer eine Seite aufrufen, die die Anmeldeseite von Facebook nachahmt, Ihre Authentifizierungsinformationen erfasst und diese Informationen verwendet, um eine Verbindung zum echten Facebook herzustellen, und dann den Inhalt vom echten Facebook zu Ihrem Browser weiterleiten. Dies kann nahezu nahtlos erfolgen, mit der Ausnahme, dass die versteckte Formularpostaktion auf der ersten Anmeldeseite nicht https
lautet. Angenommen, Ihre Einstellungen lauten stattdessen immer https für Facebook, und Sie haben https://www.facebook.com
aufgerufen. Der MitM-Angriff würde rote Fahnen an den Browser senden, da der Angreifer kein vertrauenswürdiges Zertifikat für facebook.com hat. Zugegeben, viele Benutzer ignorieren diese Browser-Warnungen (da sie manchmal aus harmlosen Gründen auftreten, z. B. aufgrund eines abgelaufenen Schlüssels oder einer Intranetsite, die keinen selbstsignierten Schlüssel verwendet). Dies alles ging davon aus, dass der Angreifer es nicht zusätzlich geschafft hat, sich in Facebook zu hacken und seine privaten Zertifikate zu erhalten ODER eine Zertifizierungsstelle (Zertifizierungsstelle) zu gefährden, um falsche Zertifikate zu generieren, denen die meisten Webbrowser vertrauen, ODER Ihren Webbrowser zuvor so zu ändern, dass er vertraut / nicht warnen nicht vor ungültigen Zertifikaten.
Im Allgemeinen ist es mit http
nahezu unmöglich, MitM-Angriffe zu erkennen. Mit https
sollte Ihr Browser Sie jedoch automatisch erkennen und warnen, es sei denn, der Angreifer hat Ihre bereits gefährdet System oder das System am anderen Ende (einschließlich der Zertifizierungsstelle als System am anderen Ende).
Nächstes Beispiel: ssh
. Verwendet wiederum privat-öffentliche Server-Schlüsselpaare zur Authentifizierung von Computern. Wenn ich also häufig von meinem Heimcomputer aus in meine Arbeitsmaschine ssh, hat mein Heimcomputer den öffentlichen Schlüssel meiner Arbeitsmaschine aufgezeichnet und ihm vertraut (der in einer Datei ~ / .ssh / unknown_hosts
gespeichert ist). Wenn ein MitM-Angriff versucht wurde, während ich von meinem Heimcomputer aus eine Verbindung herstellte, bemerkte ssh
sofort, dass der MitM-Computer nicht über den privaten Schlüssel meines Arbeitscomputers verfügte, und ließ mich nicht anmelden (es sei denn, ich habe dies ausdrücklich angegeben) hat den öffentlichen Schlüssel aus meiner Liste bekannte_Hosts
entfernt (was ich nur tun würde, wenn ich sagen würde, ich hätte auf einen neuen Computer aktualisiert oder den Serverschlüssel geändert). Auch hier sind MitM-Angriffe über ssh
sehr einfach zu erkennen, es sei denn, der Angreifer ist entweder bereits als Root in meinen Arbeitscomputer eingebrochen und hat den privaten Schlüssel auf seinen Host kopiert, oder er ist bereits in meinen Heimcomputer eingebrochen und hat die Öffentlichkeit geändert Schlüssel für meine Arbeitsmaschine, aufgezeichnet in ~ / .ssh / unknown_hosts
ODER es ist meine erste Verbindung zum Server (und ich habe den Server nicht in meinen bekannten_Hosts
oder erkenne ihn Host-Fingerabdruck).