在这种情况下是否可能发生 MITM 攻击?

在这种情况下是否可能发生 MITM 攻击?

操作系统是Debian。想象一下,我在专用网络内设置了自己的 apt 存储库。

该存储库的设置是为了向该网络上的其他服务器提供单个包。

我可以轻松地为我的 repo 创建一个签名密钥,但是这种情况引起了我的思考。

据我了解,需要密钥,以便任何下载该软件包的系统都知道该软件包没有被篡改。

服务器和我的存储库之间是否会发生 MITM 攻击?如果是这样,那会怎样发生呢?似乎不可能,因为存储库和服务器都位于专用网络内,但我想更好地理解这一点。

答案1

对于要在您的专用网络内进行 MITM 攻击的入侵者,他们必须:

  • 访问该专用网络
  • 危害您的一台机器或安装他们自己的恶意服务器
  • 进行 ARP 欺骗攻击,将其 MAC 地址与托管存储库的合法网络节点的 IP 地址相关联,或进行 DNS 欺骗,将其 IP 地址与存储库节点的主机名相关联。

此时,他们可以成功拦截和操纵发往该存储库节点的流量。他们甚至不需要执行 MITM;他们可以设置一个假的回购节点来将所有客户端请求定向到它。值得注意的是,如果客户端已经下载了存储库的公钥,那么它将收到一条警告,提示公钥已更改(如 @symcbean 在评论中所述)。

然而,这里重要的是要了解,您的网络内部现在有一个入侵者,他们可以利用其特权位置执行任何类型的攻击:嗅探流量、注入病毒、窃取和更改数据、执行 DoS、替换合法应用程序因此,您不应该专注于特定类型的攻击(在本例中为 MITM),而应确保您的专用网络免受外部和内部攻击。

相关内容