我弟弟多次利用中间人攻击用他的手机锁定我的电脑并破坏我的 DNS 缓存。
我怎样才能让我的电脑拒绝与 192.168.0.65 交互并阻止他乱搞?
答案1
你不能停止无需物理断开执行 MITM 的计算机 / 人员 / 软件即可进行 MITM 攻击(您是否尝试过痛处踢他们?)。
你能要做的就是与远程主机建立端到端连接防篡改,这意味着您将能够知道 (a) 您的兄弟是否正在监听,或 (b) 是否正在修改连接的内容。这就是 SSL/TLS 的用途。
在 Amazon AWS 上设置一个免费的微型实例并在其中运行 OpenVPN。只有在服务器证书验证成功的情况下才信任它。您可以完全通过 SSL 进行设置(https://aws.amazon.com首先是 SSH,然后是 SSH,然后将所有其他流量都通过它进行隧道传输。如果您收到证书警告,则说明您受到了中间人攻击。如果您已经筋疲力尽地冲进他的房间,从墙上的插座上拔下他的电脑,或者用家里的断路器切断他房间的电源,那么至少您可以坐下来等待,直到他停止试图修改/窃听您的流量,方法是放弃任何互联网活动,而 VPN 服务器证书验证失败。
所有 SSL / TLS / PKI 系统都假设您本地受信任的根 CA 存储是安全的,因此如果他能够物理访问您的计算机,那么所有赌注都将失效 - 他可以安装他拥有签名密钥的根 CA,而您的浏览器将一无所知(它不会给您任何错误或任何东西;您必须手动检查信任链才能分辨,在最坏的情况下,您必须使用可靠的渠道获取您正在通过 SSL 连接的站点的根 CA,并将精确的公钥字节与您计算机上的根 CA 进行比较。)
当然,最好的办法是获得您自己的互联网连接,可能是 4G 蜂窝连接,并拒绝他访问网关/硬件(无论什么设备主要负责连接到 4G 网络)。假设他无法以某种方式物理控制硬件,那么您就安全了。
答案2
如果您只想让您的计算机停止与 192.168.0.65 交互,只需向 Windows 防火墙添加一条规则即可。这会暂时阻止他,但仅仅阻止 IP 地址是不够的。更可靠的方法是从 @allquxotic 在他的回答中所说的开始。
也许您的兄弟只是命名了一个与您通常连接的 wifi 完全相同的 wifi,但当他在您附近时,他的 wifi 信号更强,因此您的计算机会连接到它而不是您想要连接的 wifi。如果是这种情况,您必须在网络配置中手动设置 wifi 接入点的 BSSID,以便您的计算机仅连接到正确的 wifi。
答案3
您需要在路由器中静态分配 IP 地址,然后设置有关网关的严格规则,即仅与 xyz 通信。即使您使用 tls/ssl,他也可以使用密码交换来解密流量。听起来他在玩游戏并将框架注入您的 html 内容。在您的 PC 和路由器之间设置静态路由将阻止这种情况。假设您没有设置静态路由,让我们让他继续偏离。在 Windows 下,您可以随时通过在提示符中发出命令 route print 来检查您的机器所采用的路由。这应该返回您的网关地址,即 192.168./1、172.16/1 或 10./1。如果这些数字末尾不是 1,那么您就找到了您的兄弟。