什么是“中间人攻击“？怎样防止这种攻击？_百度知道
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。
什么是“中间人攻击“？怎样防止这种攻击？
什么是“中间人攻击“？怎样防止这种攻击？
我有更好的答案
即使遇上做了手脚的代理也难察觉。
攻防为一家，而且代理也不涉及MAC等因素，所以一般的防范措施都不起作用。除非你是要干坏事，或者IP被屏蔽，或者天生对网络有着恐惧，否则还是不要整天找一堆代理来隐藏自己了，没必要的，一般水平的攻击者无法成功进入；如果是依靠网关设备自带的DNS解析来连接Internet的，就要拜托管理员定期检查网关设备是否遭受入侵。 　　至于局域网内各种各样的会话劫持（局域网内的代理除外），因为它们都要结合嗅探以及欺骗技术在内的攻击手段，必须依靠ARP和MAC做基础，因为目前ISP服务器的安全工作还是做得比较好的，这台计算机就称为“中间人”，只要措施正确，MITM攻击是可以预防的；其次要确认自己使用的DNS服务器是ISP提供的。
中间人攻击对于DNS欺骗，要记得检查本机的HOSTS文件，以免被攻击者加了恶意站点进去，因为代理服务器本来就是一个“中间人”角色，攻击者不需要进行任何欺骗就能让受害者自己连接上来中间人攻击（Man-in-the-MiddleAttack，简称“MITM攻击”）是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间、捆绑MAC+IP等方法来限制欺骗，以及采用认证方式的连接等，所以网管应该使用交换式网络（通过交换机传输）代替共享式网络（通过集线器传输），这可以降低被窃听的机率，当然这样并不能根除会话劫持，还必须使用静态ARP，有攻就有防。常在河边走。 　　但是对于“代理中间人攻击”而言，以上方法就难以见效了
采纳率：25%
为您推荐：
其他类似问题
您可能关注的内容
中间人的相关知识
换一换
回答问题，赢新手礼包当前位置： && 资讯详情
SSL/TLS中间人劫持漏洞告警
阅读：753次
尊敬的用户：安全研究人员发现新的SSL/TLS上的严重漏洞。发现该漏洞的研究人员指出，利用这一加密技术的漏洞，黑客可以窃取苹果Safari和谷歌Android浏览器的用户通信。漏洞描述：安全专家发现一种被称作FREAK（Factoring RSA Export Keys，分解RSA导出密钥）的攻击。该攻击利用NSA在20世纪90年代早期加密战争期间授权支持但已被弃用很久的“出口级”加密支持。尽管NSA在2000年便已放弃这个策略，但许多SSL/TLS客户端及服务器依然支持此类连接。当易受攻击的客户端试图连接到仍然允许出口级密码的主机时，会产生问题。攻击者能够从服务器获得并预先破解较弱的出口密码，随后将其伪装成合法主机发动中间人攻击。漏洞危害：利用该漏洞攻击者可以劫持存在漏洞的客户端与存在漏洞的服务端之间的会话，从而进行中间人攻击。受影响的网站：大约36%的开启了openssl的网站受到影响。该网站列出了存在漏洞的网站。受影响的客户端：目前苹果Safari浏览器和谷歌Android浏览器受到影响。验证方法：可以使用openssl来进行验证，命令如下&root@kali:~# openssl s_client -connect :443 -cipher EXPORT&如果服务器不受此漏洞的影响，则返回受到此漏洞影响的话，则返回修复方法：服务端请更新最新版的openssl&针对客户端的修复，目前还没有厂商提供补丁，请密切关注
本文由 安全客 原创发布，如需转载请注明来源及本文地址。本文地址：/news/detail/1272.html
参与讨论，请先
安全播报APP
Copyright & 360网络攻防实验室 All Rights Reserved 京ICP证080047号[京ICP备号-6]确认一下，https能防止中间人攻击么_百度知道
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。
确认一下，https能防止中间人攻击么
我有更好的答案
您可能关注的内容
换一换
回答问题，赢新手礼包中国领先的IT技术网站
51CTO旗下网站
中间人攻击&防御方式全解
随着云计算、物联网(IoT)、BYOT等网络技术的发展，攻击者也开始寻找新的方式以使那些古老的攻击方式可以重新被利用。下面是每个专业的网络人员都应该知道的关于MiTM攻击的各种方式。
作者：作者：Michael Gregg 翻译：周南来源：TechTarget中国| 10:41
关于网络安全有一个非常有意思的事，就是随着技术的变化，古老的网络攻击方式还会再次被利用。正如中间人攻击(MiTM)。这种攻击的目的很简单，就是在有线或者无线连接的中间放置一个攻击者。但是，随着云计算、物联网(IoT)、BYOT等网络技术的发展，攻击者也开始寻找新的方式以使那些古老的攻击方式可以重新被利用。下面是每个专业的网络人员都应该知道的关于MiTM攻击的各种方式。
MiT-cloud (MiTC)
过去这几年，云计算越来越受欢迎，一个常见的云服务就是云存储，很多企业都在使用。这些云服务使得庞大的数据传输和存储工作变得很简单。这个领域的参与者有Dropbox、OneDrive以及Google
Drive等等。通常情况下，这些服务不会要求你每次使用服务的时候都要重新登录，因为你验证后，它会在你的本地系统上保留会话令牌(token)。MiTC就是利用的会话管理。如果攻击者获取了你的token，他们就能访问你的账户，这样，他们就能窃取你的数据，更改文件信息，或是上传恶意软件使你的电脑感染病毒。
MiT-browser (MiTB)
你上一次写支票是什么时候?我是想说，如今大多数人都使用网上银行。MiTB攻击就发生在这个时候，攻击者会诱导你下载木马(Trojan)。一旦你访问特定的财务或银行网站的时候，恶意软件就会往你访问的页面注入新的HTML代码，然后诱导你输入SSN号、ATM
PIN码或是银行路由代码。MiTB会把它自己直接集成到网页上，还能保持原有的域名和SSL设置，看起来和真正的网页一样。
MiT-mobile (MiTMO)
攻击者不光针对台式机和笔记本。很多用户可能更多的是在他们的智能手机上进行转账付款等操作，这就给攻击者创造了更多的机会。这也是为什么MiTMO越来越受到关注的原因。这种攻击关注移动交易验证码(mTANs)以及其它各种类型的交易验证码。这种类型的中间人攻击会拦截SMS流量，并且捕捉这些代码，然后把它们转发给攻击者。MiTMO给带外身份验证系统带来了很大的挑战。
MiT-app (MiTA)
不知道你是不是和我一样，还记得有智能手机以前的生活，那时你可能会有很多灵感，如今这些想法都已经被智能手机替代了。随着智能手机的发展，应用程序也迅速激增，如果应用程序没有执行有效的证书验证，那就给了MiTA攻击的机会。MiTA会让攻击者插入一个自签名的证书，来和应用程序通信。它的工作原理是利用应用程序处理信任的方式，扩展MiTM攻击模式。
随着越来越多的用户和企业都开始采用IoT(物联网)，MiTM攻击也越来越受到关注。其中有一种类型的攻击就是MiT-IoT，这种攻击方式是利用传递信任和较差的证书验证。举个例子来说，一种能够显示用户的Google
日历的IoT冰箱就发现没有验证SSL证书。这会导致攻击者利用这种漏洞安装一个MiTM攻击，窃取用户的Google证书。
上面说的每种攻击都是对网络安全专业人士的挑战，但是，有一些方法可以减少这些攻击发生。具体方法如下：
& 通过采用动态ARP检测、DHCP Snooping等控制操作来加强网络基础设施
& 采用传输加密：SSL和TLS可以阻止攻击者使用和分析网络流量。像Google等公司如今都有高级的网站搜索引擎优化，默认状态下都提供HTTPS。
& 使用CASBs(云访问安全代理)：CASBs可以提供加密、访问控制、异常保护以及数据丢失保护等一系列功能。
& 创建RASP(实时应用程序自我保护)：这是一个新概念，内置于应用程序中，用来防止实时攻击。
& 阻止自签名证书：自签名证书很容易伪造。但是目前还没有撤销它们的机制。所以，应该使用有效证书颁发机构提供的证书。
& 强制使用SSL
pinning：这是对抗MiTM攻击的另一种方式。使用有效证书颁发机构提供的证书是第一步，它是通过返回的受信任的根证书以及是否与主机名匹配来验证该服务器提供的证书的有效性。通过SSL
pinning可以验证客户端检查服务器证书的有效性。
& 安装DAM(数据库活动监控)：DAM可以监控数据库活动，检测篡改数据。
MiTM攻击是一个很大的挑战，它是利用用户和用户连接的服务器之间的信任。这种攻击的危险之处在于，用户想当然的认为他们的连接很安全。只有我们开始意识到这种攻击的危险真正存在，并且花很多时间去进行适当的控制时，比如加密、适当的验证、强大的应用程序验证以及通过系统来检测篡改等，才可以防御MiTM攻击。【编辑推荐】【责任编辑： TEL：（010）】
大家都在看猜你喜欢
专题热点热点热点热点
24H热文一周话题本月最赞
讲师：7604人学习过
讲师：29404人学习过
讲师：490人学习过
精选博文论坛热帖下载排行
精选目前国内外最流行的程序设计语言――Java作为本书的选题，并以丰富的内容来解决读者学习该语言时可能遇到的各种问题。以专业的论坛为基...
订阅51CTO邮刊这几天不少朋友私信我，问我到底个人云是否安全。针对爆库这种攻击方式我随便聊两句，谨为抛砖之作。&br&&br&互联网服务（包括个人云服务）大多有用户系统，有用户系统就有存放用户名、联系方式、密码、等信息地方，这个地方就叫做用户数据库。黑客常利用操作系统、防火墙、数据库的漏洞对用户数据库发起攻击，以获得对用户数据库的访问权，俗称爆库。有的时候黑客甚至通过盗取物理硬盘来盗取用户数据库。只有通过对系统软件的持续维护和升级和严格保障机房的物理安全才能有效地防止用户数据库攻击。&br&&br&&b&使用成熟的大公司账号系统能够大幅度提高用户系统的安全。&/b&&br&&br&Google ID 以及国内的网易通行证、QQ账号等都是成熟运营10年以上的账号系统。因为有相应团队的持续维护和升级，很少有成熟的账号系统被大规模破解的报导。个人云服务可以让用户使用大公司账号系统来登录自己的服务，而不是单独地创建用户名和密码，从而降低个人云服务自建用户账号系统带来的风险。&br&&br&采用这种设计的个人云服务的用户数据库里面不保存用户的密码，而是账号系统生成的令牌（Token）。针对爆库攻击，这样的设计有诸多好处。&br&&ul&&li&由于黑客无法从令牌（Token）推断出用户的密码，从而保证用户密码不会被泄露。&br&&/li&&li&令牌是可以通过失效来回收。万一真的被爆库了，个人云服务的运维人员可以强制让用户的令牌失效，以保证用户数据的安全。而作为用户，不需要修改密码，只需要重新登录就能生成新的安全的令牌。从而将对用户的影响降到最低。&br&&/li&&li&个人云服务可以对账号系统生成的令牌进行2次加密，以保证自己的用户令牌与其他使用同一个账号系统的互联网服务的用户令牌无关。也就是说，基于同一个账号系统的互联网服务的用户库泄露了，个人云服务也不受影响。就我所知，一些大公司账号系统本身已经开始提供类似的隔离机制。&br&&/li&&/ul&&b&自建账号系统对密码要严格加密，用户数据库层数据要与验证层隔离。&/b&&br&&ul&&li&如果个人云服务因某些考虑，决定要自建账号系统，那么对用户数据库里的密码进行高强度的加密是必须的。在用户数据库中明文保存用户密码固然不可取，简单地保存单向加密算法加密过的密码也不再安全。由于互联网上已存在很庞大的md5碰撞库，在被爆库之后常规的单向加密过的密码仍然有很大几率被破解还原。因此，当前大多数成熟的账号系统都对用户密码进行加随机salt二次md5这样高强度的加密。通过这样高强度的加密，可以保证在爆库后用户密码不被黑客获悉。&br&&/li&&li&通过将用户数据库层的数据与验证层隔离。一种常见的实现隔离的方式是对验证层的验证码（加密过的密码）进行再次单向加密后保存到用户数据库中。采用这样设计的账号系统可以防止黑客用用户数据库内的数据来假扮用户登录个人云服务，从而确保个人云服务内的数据的安全。&br&&/li&&/ul&&br&互联网的安全问题并不是新问题，而这几年随着个人云计算服务的兴起，它的重要再次被广大互联网用户所关注。提高互联网服务的安全是一个综合的问题，需要从运维、技术架构、产品设计等多个方面综合考虑。我相信作为大趋势，个人云服务是能够为广大互联网用户提供既便利又安全的服务的。
这几天不少朋友私信我，问我到底个人云是否安全。针对爆库这种攻击方式我随便聊两句，谨为抛砖之作。 互联网服务（包括个人云服务）大多有用户系统，有用户系统就有存放用户名、联系方式、密码、等信息地方，这个地方就叫做用户数据库。黑客常利用操作系统…
&a class=&member_mention& data-editable=&true& data-title=&@Rio& data-hash=&0d81a29a497b91e0f374aed& href=&///people/0d81a29a497b91e0f374aed& data-hovercard=&p$b$0d81a29a497b91e0f374aed&&@Rio&/a& 的故事虽然生动，但是是有错误的。通过TLS加密通信，一旦会话初始化完成，想要完成中间人攻击是非常困难的。TLS的中间人攻击是针对&b&加密会话的初始化阶段&/b&进行的，而不是实际通信的阶段。加密通信的初始化阶段，需要通过非对称密码算法来协商密钥，然后用协商好的密钥，使用对称加密算法进行实际的通信。&br&&br&不知道各位有没有见过一种锁，当用钥匙打开这种锁之后，钥匙就可以拔出来了，剩下一个开着的锁头。拿着这个开着的锁，没有钥匙，一旦锁上了就开不了。这是现实生活这的一种非对称加密的物件，能上锁，但是不能开锁。&br&&br&现在故事开始，假设我们回到了那个只能寄信的时代，大家都需要和知乎通信，而且通信的内容必须要保密。于是负责接收大家消息的&a class=&member_mention& data-editable=&true& data-title=&@顾惜朝& data-hash=&17bff67f1b6afb& href=&///people/17bff67f1b6afb& data-hovercard=&p$b$17bff67f1b6afb&&@顾惜朝&/a& 想出来一个办法，找了很多把上面说的那种锁（&b&公钥&/b&），都用钥匙打开，挂在外面。需要和知乎通信的人，在通信之前，需要拥有另外一把有两个钥匙的锁（&b&对称加密算法&/b&），然后把这把锁和其中一把钥匙（&b&对称密钥&/b&），放进一个无法被破拆的铁盒子里面，用知乎提供的那把开着的锁把铁盒子锁上。&br&&br&这时候，这个铁盒子就无法打开了，除了拥有钥匙的顾惜朝。这个装有一把锁和钥匙的铁盒子，可以放心地交到任何一个人手上，然后让他拿去给顾惜朝。顾惜朝拿到这个铁盒子之后，加密通信会话就建立了。她就会用钥匙打开铁盒子，取出锁和钥匙，写下“亲爱的知乎用户，你好，我是顾惜朝”小纸条，放进铁盒子里，然后用你提供的锁把铁盒子锁上，然后交回到你的手上。这个时候，铁盒子被你提供的锁锁上了，除了你和顾惜朝，没有别人有钥匙能够打开这个铁盒子，铁盒子也就可以安全地经过邮递送到你的手上；你收到铁盒子之后，用你自己的钥匙打开锁，读铁盒子里面的消息，然后放进新的小纸条，再寄送回去。&br&&br&以上是&b&加密通信的过程&/b&。&br&&br&接下来，别有用心的@匿名用户 出现了，偷偷地换掉了几个知乎打开放在外面的锁，并且自己充当了邮递员的身份在外面晃悠。当你需要和知乎通信的时候，匿名用户递给你一把他自己的锁，骗你说这把是知乎挂在外面的锁。当你把你自己的锁和钥匙放进去，然后交给匿名用户，麻烦他把这些送给顾惜朝的时候，匿名用户就可以找到另外一个铁盒子，装上自己的另外一把两个钥匙的锁，用真正的知乎提供的锁锁上，然后寄给顾惜朝。我们辛勤的顾惜朝依然会正常的收到一个铁盒子，里面装着一把锁和一把钥匙，只不过，这个锁已经不是你的了，而是匿名用户的，你的那把锁实际上在匿名用户手上。顾惜朝把“亲爱的知乎用户，你好，我是顾惜朝”的小纸条放进铁盒，然后让匿名用户带回去给你，而这个时候，匿名用户就可以打开这个小铁盒，偷看你们之间的消息，然后自己编造一条消息，放进铁盒里面，然后传回去给你。&br&&br&以上是&b&中间人攻击&/b&。&br&&br&为了避免中间人攻击，我们聪明的顾惜朝，发明了一种神奇的、无法撕毁、涂改和变造的小纸条（&b&数字签名&/b&），上面写着“这把锁经过顾惜朝认证，是知乎加密通信专用锁”，然后在每一把知乎提供的锁上贴上，这样子匿名用户就不能伪造锁了，这时候这个锁叫作&b&证书&/b&。&br&&br&但是问题又来了，许多新来的知乎用户不认识顾惜朝，他们怎么知道顾惜朝就是可信的，她认证的锁就是可用的？于是&a class=&member_mention& data-editable=&true& data-title=&@黄继新& data-hash=&b6fb0b7b9c680& href=&///people/b6fb0b7b9c680& data-hovercard=&p$b$b6fb0b7b9c680&&@黄继新&/a&在这个小纸条的下方又贴了一个小纸条，“顾惜朝经过黄继新的认证，可以对知乎加密通信专用锁进行认证”。黄继新不仅可以认证锁，还可以认证顾惜朝等管理员的权力，这时候黄继新就是&b&CA&/b&。可是问题还没有解决，还是有很多知乎用户不认识黄继新，于是李开复又在黄继新的小纸条上又贴了一个小纸条，“黄继新经过李开复的认证，可以对知乎加密通信专用锁进行认证”。问题依然没有解决，还是有人不认识李开复，于是这时候需要一个权威的、人们&u&无条件相信&/u&的机构来对李开复进行认证，这个机构就是&b&根CA&/b&，他贴上去的小纸条就叫作&b&根证书&/b&。&br&&br&以上是&b&信任体系&/b&，另见《&a href=&/question//answer/& class=&internal&&既然这个世界没有绝对的“权威”，那么我们该相信谁？&/a&》。&br&&br&最后一个问题，TLS的中间人攻击怎么实施。这时候&a class=&member_mention& data-editable=&true& data-title=&@Rio& data-hash=&0d81a29a497b91e0f374aed& href=&///people/0d81a29a497b91e0f374aed& data-hovercard=&p$b$0d81a29a497b91e0f374aed&&@Rio&/a&出场了，因为是知乎的工作人员，具有一个可信的证书，类似于“Rio经过黄继新的认证，可以对知乎加密通信专用锁进行认证”。于是他自己伪造了一个锁，然后利用上一级CA对他的信任，去骗取知乎用户使用他提供的锁初始化加密会话。因为他的锁上面有上一级CA的认证，所以你会认为这个锁是可信的，而实际上Rio通过自己拥有的证书，可以实施中间人攻击，窃取你和顾惜朝之间通信的内容。&br&&br&以上便是TLS的中间人攻击。&br&&br&手里掌握权力的人，只有道德能够防止他做坏事。
的故事虽然生动，但是是有错误的。通过TLS加密通信，一旦会话初始化完成，想要完成中间人攻击是非常困难的。TLS的中间人攻击是针对加密会话的初始化阶段进行的，而不是实际通信的阶段。加密通信的初始化阶段，需要通过非对称密码算法来协商密钥，然后…
已有帐号？
无法登录？
社交帐号登录
7232 人关注
1041 条内容
286 人关注
124 条内容
806 人关注
244 人关注}