Frage:
Wie wird jemand ein Mann in der Mitte?
user5948022
2016-04-07 15:28:12 UTC
view on stackexchange narkive permalink

Soweit ich weiß, müssen Sie irgendwo auf dem Verkehrsweg "sitzen", um einen erfolgreichen MiTM-Angriff zu begehen. Ich gehe davon aus, dass dies bedeutet, an einen der Knoten zwischen den Endpunkten angeschlossen zu werden, den Draht, der sie verbindet, physisch zu spleißen oder Luftwellen abzufangen.

  • Sind meine Annahmen richtig?
  • Muss das Terminal eines Gegners direkt mit dem Kabel, dem Knoten oder innerhalb der WLAN-Reichweite verbunden sein, oder kann jemand in Kansas einen externen Pfad verwenden, um Zugriff auf einen Pfad von LA nach San Francisco zu erhalten?
    • Vielleicht ist es richtiger zu fragen, ob sich jemand in der Nähe des Zielpfads befinden muss. Kann er umgekehrt "das Internet nutzen", um den Pfad einzuschränken: Ist nicht jeder Knoten im Internet im Wesentlichen miteinander verbunden?
Antwort auf Titel F: Wenn Ihre beste Freundin eine Weile mit Ihrer Schwester zusammen war, können diese Dinge passieren.
@iszi vielleicht hätte ich auf Relationships.stack posten sollen
Fünf antworten:
#1
+37
goncalopp
2016-04-08 03:06:39 UTC
view on stackexchange narkive permalink

Es gibt viele, viele Möglichkeiten, wie Sie ein MITM werden können, praktisch auf allen Ebenen des Netzwerkstapels - nicht nur auf der physischen. Die physische Nähe zu Ihrem Ziel kann hilfreich sein, ist jedoch keineswegs erforderlich.


Auf der physischen Ebene können Sie angreifen get sind sehr offen: Spleißen Sie ein Ethernet-Kabel, verwenden Sie einen optischen Abgriff oder erfassen Sie Funksignale.

A passive optical network,  tap - photo by Roens

Ein passives optisches Netzwerk, tippen Sie auf - Foto von Roens

Einige aktiv Angriffe können als Voraussetzung physischen Zugriff haben - viele andere nicht.


Auf der Datenverbindungsebene sind passive Angriffe unglaublich einfach: Legen Sie einfach Ihre Netzwerkkarte in Promiscuous-Modus und Sie können den gesamten Datenverkehr in Ihrem Netzwerksegment sehen. Selbst in einem modernen (geschalteten) kabelgebundenen Netzwerk wird durch MAC-Flooding sichergestellt, dass Sie mehr sehen können, als Sie sollten.

Bei aktiven Angriffen auf lokale Netzwerke ARP-Spoofing ist sehr beliebt und einfach durchzuführen - es lässt Ihren Computer im Grunde so tun, als wäre es jemand anderes - normalerweise ein Gateway, sodass Sie andere Geräte dazu verleiten, stattdessen Datenverkehr an Sie zu senden.

ARP spoofing - diagram by 0x55534C ARP-Spoofing - Diagramm von 0x55534C

Datenverbindungsangriffe funktionieren, solange Sie mit demselben lokalen Netzwerk wie Ihr Ziel verbunden sind


Der Angriff auf die Netzwerkschicht ist einfach, wenn Sie physischen Zugriff haben. Sie können sich einfach als Router mit einem modernen Linux-Computer ausgeben.

Wenn Sie keinen physischen Zugriff haben, sind ICMP-Umleitungsangriffe etwas dunkel, aber manchmal verwendbar.

Natürlich, wenn Sie genug Geld haben Auf Ihrer Tasche können Sie dies im NSA-Stil tun und Router abfangen, wenn diese per (Schnecken-) Post an ihr Ziel geliefert werden - optimieren Sie einfach die Firmware ein wenig und schon kann es losgehen.

Angriffe auf die Netzwerkebene können von jedem Punkt der (Internet-) Netzwerkroute zwischen den beiden Teilnehmern aus durchgeführt werden - obwohl diese Netzwerke in der Praxis normalerweise gut verteidigt sind.


Ich persönlich kenne keine Angriffe auf der Transportebene.


Auf der Anwendungsebene können Angriffe etwas subtiler sein.

DNS ist ein häufiges Ziel - Sie haben DNS-Hijacking und DNS-Spoofing. Insbesondere Cache-Vergiftungsangriffe gegen BIND waren vor einigen Jahren sehr beliebt.

DHCP-Spoofing (das vorgibt, ein DHCP -Server zu sein) ist recht einfach aufführen. Das Endergebnis ist ein ähnliches ARP-Spoofing, jedoch weniger "laut" im Netzwerk und möglicherweise zuverlässiger.

Die breitesten Angriffe auf Anwendungsebene können von überall im Internet ausgeführt werden.

"Angriffe auf Netzwerkebene können von jedem Punkt der (Internet-) Netzwerkroute zwischen den beiden Teilnehmern aus durchgeführt werden." Oder fast überall sonst, wenn Sie in der Lage sind, [BGP-Hijacking] durchzuführen (https://en.wikipedia.org/wiki)/ IP_hijacking).
Auf der Transportebene unterliegt UDP genau wie IP IP-Spoofing, während TCP viel widerstandsfähiger, aber theoretisch immer noch anfällig ist.Weitere Informationen [hier] (http://lcamtuf.coredump.cx/oldtcp/tcpseq.html#abs).
@black Das ist ein guter Punkt.AFAIK, es gibt keine Möglichkeit, einen MITM-Angriff nur mit Quell-Spoofing zu erzielen, oder?(da die Antworten nicht an Sie weitergeleitet werden)
#2
+34
Tobi Nary
2016-04-07 15:53:57 UTC
view on stackexchange narkive permalink

TL; DR: Leiten Sie den Datenverkehr durch ein System unter Ihrer Kontrolle und haben Sie MITM, wo immer Sie, das Opfer oder das Ziel sind.

A: Nicht ganz.

Zunächst einmal wird das Internet paketvermittelt, sodass möglicherweise nicht alle Pakete miteinander verbunden sind.

Um ein MITM einzurichten, dieses MITM muss sicherstellen, dass die Anforderungen des Benutzers an ihn anstatt an das richtige Ziel weitergeleitet werden. Dies kann auf verschiedene Arten geschehen, z. B.:

  • Im lokalen Netzwerk durch ARP-Spoofing des Gateways und / oder des DNS-Servers
  • In allen Netzwerken des route,
  • Indem er seine IP-Adresse anstelle der richtigen vom DNS-Server des Opfers zurückgibt

Nachdem dies festgelegt wurde, interagiert das MITM im Namen des Opfers mit dem tatsächlichen Ziel Ändern von Daten dazwischen, wie es dem MITM gefällt.

Der einfachste Weg, dies festzustellen, besteht in der Tat innerhalb des lokalen Netzwerks, da diese normalerweise weniger gut überwacht und / oder gesteuert werden. Außerdem verfügen sie regelmäßig über mehr Consumer-Geräte mit mehr Sicherheitsrisiken, die nach einer Kompromittierung verwendet werden können, um DNS-Anforderungen unter MITM-Kontrolle an einen Server umzuleiten.

Wie Sie oben sehen können: Wenn Sie verwalten Um den DNS-Server des Opfers auf einen unter Ihrer Kontrolle stehenden Server einzustellen, können Sie MITM sehr gut von jedem beliebigen Ort aus ausführen.

Gleiches gilt für das Weiterleiten von Knoten / ISPs: Sie können günstige Routen zum Ziel ankündigen Verwenden des BGP, um den gesamten Datenverkehr durch Ihr System zu leiten. Dies ist jedoch normalerweise für Verbraucherverbindungen nicht möglich und / oder möglich.

Ist einer der Vorteile des Weiterleitens des Datenverkehrs an Sie, dass Sie alle Pakete empfangen?Umgeht die Bereitstellung Ihrer eigenen IP-Adresse anstelle der DNS-Zertifikate des Opfers?Die Angabe Ihrer eigenen IP scheint Ihr tatsächlicher Versuch zu sein, sich auszugeben, während die anderen Methoden nicht so sicher sind.Gibt es eine Unterscheidung?Was genau meinst du mit "In allen Netzwerken auf der Route"?Danke für die tolle Antwort
scheint * ein tatsächlicher Versuch zu sein
Der Vorteil eines Angriffs auf DNS-Ebene ist: Sie müssen das Routing des Datenverkehrs nicht ändern - Sie sind sowieso das eigentliche Ziel.Das Zertifikatproblem wird dadurch nicht behoben. Wenn Sie jedoch eine Zertifizierungsstelle mit MITM erstellen, können Sie möglicherweise ein gültiges Zertifikat erhalten.
#3
+10
Mike Scott
2016-04-07 15:46:36 UTC
view on stackexchange narkive permalink

Der Gegner muss sich nicht unbedingt physisch auf der Netzwerkroute befinden, die er hackt. Möglicherweise haben sie zuvor ein Netzwerkgerät kompromittiert, das sich auf der Route befindet, und können sich daher bei diesem Gerät anmelden und von jedem Ort aus angreifen.

Greift der Angreifer also nur opportunistisch den Datenverkehr, der über dieses Gerät übertragen wird, anstatt auf eine bestimmte Verbindung abzuzielen?Kommt es auch zu einer tatsächlichen Beeinträchtigung des Geräts durch eine Remote- / TCP-Verbindung?
@user5948022 Die einzige wirkliche Antwort darauf ist "Es kommt darauf an".Es gibt viele verschiedene mögliche Szenarien.
* KANN der eigentliche Kompromiss passieren durch ....
Ja, der ursprüngliche Kompromiss kann ein Remote-Kompromiss über TCP / IP sein, wenn das Netzwerkgerät nicht ausreichend geschützt ist und eine nicht gepatchte oder Zero-Day-Sicherheitsanfälligkeit aufweist oder eine standardmäßige Anmeldung aktiviert wurde.
#4
+8
Sibidharan
2016-04-08 18:42:08 UTC
view on stackexchange narkive permalink

Angenommen, Sie haben eine Freundin und haben ihre Nummer als GF in Ihrem Telefon gespeichert. Und auf die gleiche Weise hat Ihre Freundin Ihre Nummer als BF in ihrem Telefon gespeichert.

Jetzt kann ein Angreifer X auf Ihr Telefon zugreifen und Ihre GF-Nummer als seine Nummer ändern. Auf die gleiche Weise schafft er es, Zugang zu ihrem Telefon zu erhalten und ändert Ihre Nummer als seine Nummer.

Die in Ihrem Telefon als GF und in ihrem Telefon als BF gespeicherte Nummer ist also die Telefonnummer von X.

Wenn Sie eine Nachricht an Ihre GF senden, wird dies der Fall sein Von X erhalten, liest er es und leitet es an Ihre Freundin weiter. Da die Nummer von X in ihrem Telefon als BF gespeichert ist, erhält sie eine Nachricht als Von: BF , bei der es sich tatsächlich um den Angreifer handelt. Sie liest und antwortet, und er wiederholt dasselbe.

Jetzt ist X der Man-In-The-Middle

So erklären Sie den Massen die Netzwerksicherheit.
@allanonmage Ich denke für die Frage "Wie wird jemand ein Mann in der Mitte?", Diese Antwort passt :)
Sie müssen sich nicht als Absender (BF) ausgeben, da die Rückgabe-IP im Header des abgefangenen Pakets enthalten ist.Sie müssen sich nur um die Prüfsumme kümmern, wenn Sie die Nachricht geändert haben.
@user5948022 müssen wir uns auch um die Offenlegung der Tasche kümmern
@user5948022 Und hier geht es nicht um die technische Sache.Es geht um das Konzept von MiTM - wie es funktioniert !!Wenn Sie es einem 8-Jährigen erklären möchten, sagen Sie, dass die IP-Adresse im Header des vom TCP gesendeten Pakets enthalten ist?
Ich verstehe, woher du kommst, wollte nur klarstellen, da ich das immer noch selbst lerne.Nur noch eine Sache, was meinst du mit "Offenlegung von Paketen"?Vielen Dank
Was ich unter "Offenlegung von Paketen" verstehe, ist: Da Sie gesagt haben ** Alles, worüber Sie sich Sorgen machen müssen, ist die Prüfsumme, wenn Sie die Nachricht geändert haben. **, Das Ändern der Nachricht ist nicht nur das Problem.Die im Paket enthaltenen Informationen werden an Herrn X weitergegeben. Jetzt verfügt Herr X über neue Informationen, die er für ein Social Engineering verwenden und weitere Angriffe planen kann.
Ah, der Kompromiss der eigentlichen Informationen selbst hat es danke
#5
+2
clem steredenn
2016-04-07 16:05:46 UTC
view on stackexchange narkive permalink

Sie scheinen einige Verwirrung darüber zu haben, wie die Kommunikation im Internet stattfindet. Ich empfehle Ihnen zu lesen:

  • Internet (Wikipedia)
  • Interessant ist jedoch, dass Sie Informationen austauschen Über den Netztransit werden kleine Pakete über verschiedene Knoten übertragen. Die genaue Position der Knoten hängt von vielen Faktoren ab. Wenn Alice in LA Skype verwendet, um mit Bob in SF zu chatten, werden ihre Nachrichten (im Paket) möglicherweise nach Kanada, Deutschland und zurück übertragen.

    Und was Ihre Frage betrifft, wird ein MitM-Angriff immer dann erzielt, wenn Mallory es geschafft hat sich als Staffel zwischen Alice und Bob zu setzen. Sie empfängt Alices Nachricht und sendet sie weiter an Bob.

    Mallory könnte sich überall auf der Welt befinden. Denken Sie daran, dass Pakete an viele Orte reisen. Aber sie muss sicherstellen, dass der gesamte Verkehr von Alice nach Bob durch sie fließt. Dafür muss sie die Kontrolle über einen Knoten übernehmen, durch den entweder Alice oder Bobs Nachricht übertragen werden muss. Zum Beispiel direkt Alices Computer, ihr ISP oder ein öffentlicher WLAN-Router.

    Weitere Informationen finden Sie im entsprechenden Wikipedia-Artikel.

    Die LA nach SF war ein schlechtes Beispiel, auch ich wusste nicht, dass die einzelnen Pakete unterschiedliche Routen nahmen.Ist dies nach der Einrichtung eines VPN noch der Fall?Konzeptionell dachte ich an einen Angriff, bei dem Malory den Verkehr des Knotens still beobachtete, ohne die Route vor und hinter ihm zu manipulieren.Ist es stattdessen richtig zu sagen, dass Mallory das Senden an Bob aktiv kontrolliert, sobald sie von Alice empfangen wird?
    @user5948022: Ein Man-in-the-Middle-Angriff ist per Definition ein aktiver Angriff. Ja, Mallory kontrolliert aktiv, was Bob und Alice erhalten.Wenn Sie nur den Verkehr hören, spricht man von "Abhören".MitM könnte als "aktives Abhören" bezeichnet werden.


    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...