我曾多次听说,应该使用 HTTPS 来传输私人数据,因为 HTTP 很容易被窃听。但实际上,谁有能力窃听特定浏览者的 HTTP 流量?他们的 ISP?同一 LAN 上的其他人?知道他们 IP 地址的人?
答案1
很简单——只需沿着电缆从您的 PC 连接到服务器即可。
这可能是奥地利特有的,但在世界各地可能看起来都很相似。
假设我们有一个 DSL 用户:
- PC -> 以太网 -> 调制解调器
任何能够访问本地基础设施的人都可以嗅探流量
- 调制解调器 -> 2 线铜线 -> DSLAM
任何能够访问铜缆基础设施和能够解码数据的设备的人都可以窃听。大部分此类线路相对不受保护,如果您知道在哪里查找,很容易访问,但要真正解码数据,您可能需要一些非常特殊的设备。
- DSLAM -> ISP 基础设施 -> ISP 核心路由器
大多数 DSLAM 通过光纤连接到某种光纤环/MAN 再到 ISP 的路由器。
在德国,曾有传闻称来自美国的三个字母的机构窃听了城域网的流量。有现成的设备可以做到这一点,你只需要适当的预算、意图和对当地基础设施的了解。
- ISP 核心路由器 -> BGP -> 目标 AS
鉴于目标服务器与用户不在同一个自治系统中,流量必须通过“互联网”发送。如果您通过互联网,引用 Snatch 的一句话,“所有赌注都已取消”。有太多的角落和缝隙可以让恶意操作员自己附着,因此您最好假设您的所有流量都将被读取。
国土安全部(或者可能是其他机构)积极窃听美国这一级别的骨干基础设施。
- 目标 AS 边界路由器 -> ISP 基础设施 -> 住房中心
往上看。
- 住房中心路由器->交换机->服务器
已经有不少网站遭受过这种攻击。以太网无法为位于同一 (V)LAN/广播域中的主机提供保护,因此任何主机都可以尝试 ARP 欺骗/投毒来冒充另一台服务器。这意味着,给定服务器的所有流量都可以通过同一 (V)LAN 中的机器进行隧道传输。
答案2
在交换式 LAN(如大多数以太网)上,您可以使用 ARP 缓存中毒在许多情况下窃听此类流量。基本上,您可以欺骗客户端计算机,让它认为您的窃听站是 LAN 上的路由器。
在共享媒体局域网(即非交换局域网)上,像没有加密或加密被破解的无线以太网——你甚至不需要这么做。只要听就行了!
在 ISP、ISP 的 ISP 以及 ISP 的 ISP 等处,攻击者只需嗅探流量即可。流量流经的路径上的任何一点都可能被窃听。中间还有 LAN,因此始终存在通过 ARP 缓存中毒等方式进行窃听的可能性。
最后,远端将会有另一个 LAN,与源 LAN 一样容易受到窃听。
J. 知道您的 IP 地址的随机白痴是不会在不进行黑客攻击或将流量从正常路径转移到他们的情况下窃听您的流量的。
是的——明文不好。
答案3
如果您将无线接入链路,无论是在链路的任何地方(WiFi 卡、无线桥接器等),那么任何在网络附近的人都可以监听。
只要在繁忙的网络旁边待上相当短的时间,WEP 就很容易被破解,而且一旦您进入网络,您就可以查看每个人的流量。
如果您愿意,可以亲自尝试一下。下载一个名为 WireShark 的程序,并要求其以混杂模式进行捕获。看看会出现什么!
任何敏感、机密、私人和业务相关的信息都应通过 HTTPS 发送。签名证书并不昂贵,如果您在域中,则可以创建自己的证书颁发机构,该机构可用于分配证书以加密流量,这些流量将自动受到同一域中的客户端的信任。
答案4
任何能够访问您计算机和 Web 服务器之间的路由器、交换机或其他网络设备的人都可以监视您的流量。他们也能看到您的 https 流量,只是无法理解。