MITM 攻击 —— 发生的可能性有多大？

Question 1

首先，让我们谈谈边界网关协议互联网由数千个称为 AS（自治系统）的端点组成，它们使用称为 BGP（边界网关协议）的协议路由数据。近年来，BGP 路由表的大小呈指数级增长，远远超过 100,000 个条目。即使路由硬件的功能不断增强，也几乎无法跟上 BGP 路由表不断扩大的速度。

我们的 MITM 场景中棘手的部分是 BGP 隐式信任其他自治系统为其提供的路由，这意味着，只要 AS 发送了足够多的垃圾邮件，任何路由都可以通向任何自治系统。这是 MITM 流量最明显的方式，而且这不仅仅是理论上的 - Defcon 安全大会的网站在 2007 年被重定向到安全研究人员的网站以演示攻击。当巴基斯坦审查该网站并错误地将其自己的（死）路由宣布为巴基斯坦以外几个 AS 的最佳路由时，Youtube 在几个亚洲国家瘫痪。

几个，不多;屈指可数学术团体收集BGP 路由信息通过协作 AS 来监控改变流量路径的 BGP 更新。但如果没有上下文，就很难区分合法更改和恶意劫持。流量路径一直在变化，以应对自然灾害、公司合并等。

“全球 MITM 攻击媒介”列表中的下一个要讨论的是域名系统（DNS）。

尽管 ISC 的 Fine DNS 服务器绑定经受住了时间的考验并且相对未受损害（微软和思科的 DNS 产品也是如此），但发现了一些值得注意的漏洞，这些漏洞可能会危及互联网上使用规范化名称的所有流量（即几乎所有流量）。

我甚至懒得讨论Dan Kaminsky 的研究深入研究 DNS 缓存中毒攻击，因为它在其他地方已经被彻底击败，但被 Blackhat - Las Vegas 评为“有史以来最被夸大的漏洞”。然而，还有其他几个 DNS 漏洞严重危害了互联网安全。

动态更新区域错误导致 DNS 服务器崩溃，并有可能远程危害机器和 DNS 缓存。

交易签名漏洞在漏洞公布时，允许对运行 BIND 的任何服务器进行完全远程根攻击，显然会导致 DNS 条目被攻击。

最后，我们必须讨论ARP 中毒，802.11q 回溯，STP 中继劫持，RIPv1路由信息注入以及针对 OSPF 网络的大量攻击。

这些攻击对于独立公司的网络管理员来说是“熟悉的”（理所当然，因为这些可能是他们唯一能控制的攻击）。在这个阶段讨论这些攻击的技术细节有点无聊，因为熟悉基本信息安全或 TCP 的每个人都学过 ARP 中毒。其他攻击对许多网络管理员或服务器安全爱好者来说可能很熟悉。如果您担心这些，那么有很多非常好的网络防御实用程序，包括免费和开源实用程序，例如呼噜到企业级软件思科和生命值另外，还有许多信息丰富的书籍涵盖了这些主题，数量太多，无法一一讨论，但我发现其中几本对追求网络安全很有帮助，包括网络安全监控之道，网络安全架构和经典的网络战士

无论如何，我发现人们认为这类攻击需要 ISP 或政府级别的访问权限，这有点令人不安。它们所需的网络知识和适当的工具（即 HPING 和 Netcat，不是理论工具）不超过普通 CCIE 所拥有的水平。如果您想保持安全，请保持警惕。

Answer

首先，让我们谈谈边界网关协议互联网由数千个称为 AS（自治系统）的端点组成，它们使用称为 BGP（边界网关协议）的协议路由数据。近年来，BGP 路由表的大小呈指数级增长，远远超过 100,000 个条目。即使路由硬件的功能不断增强，也几乎无法跟上 BGP 路由表不断扩大的速度。

我们的 MITM 场景中棘手的部分是 BGP 隐式信任其他自治系统为其提供的路由，这意味着，只要 AS 发送了足够多的垃圾邮件，任何路由都可以通向任何自治系统。这是 MITM 流量最明显的方式，而且这不仅仅是理论上的 - Defcon 安全大会的网站在 2007 年被重定向到安全研究人员的网站以演示攻击。当巴基斯坦审查该网站并错误地将其自己的（死）路由宣布为巴基斯坦以外几个 AS 的最佳路由时，Youtube 在几个亚洲国家瘫痪。

几个，不多;屈指可数学术团体收集BGP 路由信息通过协作 AS 来监控改变流量路径的 BGP 更新。但如果没有上下文，就很难区分合法更改和恶意劫持。流量路径一直在变化，以应对自然灾害、公司合并等。

“全球 MITM 攻击媒介”列表中的下一个要讨论的是域名系统（DNS）。

尽管 ISC 的 Fine DNS 服务器绑定经受住了时间的考验并且相对未受损害（微软和思科的 DNS 产品也是如此），但发现了一些值得注意的漏洞，这些漏洞可能会危及互联网上使用规范化名称的所有流量（即几乎所有流量）。

我甚至懒得讨论Dan Kaminsky 的研究深入研究 DNS 缓存中毒攻击，因为它在其他地方已经被彻底击败，但被 Blackhat - Las Vegas 评为“有史以来最被夸大的漏洞”。然而，还有其他几个 DNS 漏洞严重危害了互联网安全。

动态更新区域错误导致 DNS 服务器崩溃，并有可能远程危害机器和 DNS 缓存。

交易签名漏洞在漏洞公布时，允许对运行 BIND 的任何服务器进行完全远程根攻击，显然会导致 DNS 条目被攻击。

最后，我们必须讨论ARP 中毒，802.11q 回溯，STP 中继劫持，RIPv1路由信息注入以及针对 OSPF 网络的大量攻击。

这些攻击对于独立公司的网络管理员来说是“熟悉的”（理所当然，因为这些可能是他们唯一能控制的攻击）。在这个阶段讨论这些攻击的技术细节有点无聊，因为熟悉基本信息安全或 TCP 的每个人都学过 ARP 中毒。其他攻击对许多网络管理员或服务器安全爱好者来说可能很熟悉。如果您担心这些，那么有很多非常好的网络防御实用程序，包括免费和开源实用程序，例如呼噜到企业级软件思科和生命值另外，还有许多信息丰富的书籍涵盖了这些主题，数量太多，无法一一讨论，但我发现其中几本对追求网络安全很有帮助，包括网络安全监控之道，网络安全架构和经典的网络战士

无论如何，我发现人们认为这类攻击需要 ISP 或政府级别的访问权限，这有点令人不安。它们所需的网络知识和适当的工具（即 HPING 和 Netcat，不是理论工具）不超过普通 CCIE 所拥有的水平。如果您想保持安全，请保持警惕。

Question 2

以下是我关心的一个 MITM 场景：

假设某家酒店有一场大型会议。ACME Anvils 和 Terrific TNT 是卡通危险行业的主要竞争对手。对他们的产品（尤其是正在开发的新产品）有既得利益的人会非常想参与他们的计划。为了保护他的隐私，我们称他为 WC。

WC 提前入住 Famous Hotel，以便有时间进行设置。他发现酒店有 wifi 接入点，分别称为 FamousHotel-1 到 FamousHotel-5。因此，他设置了一个接入点，并将其命名为 FamousHotel-6，以便它与周围环境融为一体，并将其连接到其他 AP 之一。

现在，与会者开始登记入住。碰巧的是，这两家公司最大的客户之一（我们称他为 RR）也登记入住了，并在 WC 附近订了一间房间。他设置好笔记本电脑，开始与供应商交换电子邮件。

WC 正在狂笑！“我的阴谋得逞了！”他大叫道。砰！砰！同时，他被一块铁砧和一捆 TNT 炸药击中。看来 ACME Anvils、Terrific TNT、RR 和 Famous Hotel 的安全团队正在共同努力，以应对这次袭击。

哔哔！

编辑：

及时性^*：旅行提示：警惕机场 Wi-Fi“蜜罐”

^{* 嗯，它正好出现在我的 RSS 源中。}

Answer

以下是我关心的一个 MITM 场景：

假设某家酒店有一场大型会议。ACME Anvils 和 Terrific TNT 是卡通危险行业的主要竞争对手。对他们的产品（尤其是正在开发的新产品）有既得利益的人会非常想参与他们的计划。为了保护他的隐私，我们称他为 WC。

WC 提前入住 Famous Hotel，以便有时间进行设置。他发现酒店有 wifi 接入点，分别称为 FamousHotel-1 到 FamousHotel-5。因此，他设置了一个接入点，并将其命名为 FamousHotel-6，以便它与周围环境融为一体，并将其连接到其他 AP 之一。

现在，与会者开始登记入住。碰巧的是，这两家公司最大的客户之一（我们称他为 RR）也登记入住了，并在 WC 附近订了一间房间。他设置好笔记本电脑，开始与供应商交换电子邮件。

WC 正在狂笑！“我的阴谋得逞了！”他大叫道。砰！砰！同时，他被一块铁砧和一捆 TNT 炸药击中。看来 ACME Anvils、Terrific TNT、RR 和 Famous Hotel 的安全团队正在共同努力，以应对这次袭击。

哔哔！

编辑：

及时性^*：旅行提示：警惕机场 Wi-Fi“蜜罐”

^{* 嗯，它正好出现在我的 RSS 源中。}

Question 3

这完全取决于具体情况。您对 ISP 的信任程度有多高？您对 ISP 的配置了解多少？您自己的设置有多安全？

目前大多数此类“攻击”很可能都是木马病毒拦截文件中的按键和密码造成的。这种情况经常发生，只是没有引起太多注意或报告。

ISP 内部信息泄露的频率有多高？我在一家小型 ISP 工作时，我们转售的是另一种更高级别的访问权限。因此，拨入我们网络的人会进入我们的网络，如果您没有与我们的 Web 服务器或邮件服务器通信，流量就会流向更高级别的提供商，我们不知道谁在他们的网络中对您的数据做了什么，也不知道他们的管理员有多可信。

如果您想知道有多少个点有人“可能”看到您的流量，请执行跟踪路由，您将看到每个路由点都会响应的流量。这是假设隐藏设备不在这些点之间。并且这些设备实际上是路由器，而不是伪装成路由器的东西。

问题是你无法知道攻击有多普遍。没有任何法规规定公司有除非您的信用信息被泄露，否则不要披露被发现的攻击。大多数公司不会这样做，因为这很尴尬（或工作量太大）。由于恶意软件数量众多，它可能比您想象的更为普遍，即使如此，关键还是要发现攻击。当恶意软件正常运行时，大多数用户都不知道何时发生。而实际的“某人生气并窥探提供商流量”的情况是公司在除非必要的情况下不会报告的情况。

当然，这些都忽略了公司被迫记录您的流量并在不告知您的情况下向政府机构披露的情况。如果您在美国，由于《爱国者法案》，图书馆和 ISP 可能会被迫记录您的数据行程、电子邮件和浏览历史记录，而不会告知您他们正在收集您的信息。

换句话说，没有确凿的数据表明 MITM 和拦截攻击对用户的普遍程度，但有证据表明这种攻击的频率高于可接受的水平，并且大多数用户并不关心获取这些信息。

Answer

这完全取决于具体情况。您对 ISP 的信任程度有多高？您对 ISP 的配置了解多少？您自己的设置有多安全？

目前大多数此类“攻击”很可能都是木马病毒拦截文件中的按键和密码造成的。这种情况经常发生，只是没有引起太多注意或报告。

ISP 内部信息泄露的频率有多高？我在一家小型 ISP 工作时，我们转售的是另一种更高级别的访问权限。因此，拨入我们网络的人会进入我们的网络，如果您没有与我们的 Web 服务器或邮件服务器通信，流量就会流向更高级别的提供商，我们不知道谁在他们的网络中对您的数据做了什么，也不知道他们的管理员有多可信。

如果您想知道有多少个点有人“可能”看到您的流量，请执行跟踪路由，您将看到每个路由点都会响应的流量。这是假设隐藏设备不在这些点之间。并且这些设备实际上是路由器，而不是伪装成路由器的东西。

问题是你无法知道攻击有多普遍。没有任何法规规定公司有除非您的信用信息被泄露，否则不要披露被发现的攻击。大多数公司不会这样做，因为这很尴尬（或工作量太大）。由于恶意软件数量众多，它可能比您想象的更为普遍，即使如此，关键还是要发现攻击。当恶意软件正常运行时，大多数用户都不知道何时发生。而实际的“某人生气并窥探提供商流量”的情况是公司在除非必要的情况下不会报告的情况。

当然，这些都忽略了公司被迫记录您的流量并在不告知您的情况下向政府机构披露的情况。如果您在美国，由于《爱国者法案》，图书馆和 ISP 可能会被迫记录您的数据行程、电子邮件和浏览历史记录，而不会告知您他们正在收集您的信息。

换句话说，没有确凿的数据表明 MITM 和拦截攻击对用户的普遍程度，但有证据表明这种攻击的频率高于可接受的水平，并且大多数用户并不关心获取这些信息。

Question 4

你家里有无线接入点吗？公司有代理服务器吗？

在没有政府/ISP 大阴谋的情况下，上述任何一个入口/出口点都可能被攻陷。ISP 基础设施的组件也有可能被攻陷。

您使用网络浏览器吗？配置浏览器以将流量导向中间人非常简单。有些浏览器恶意软件会使用此方法重新路由某些银行和经纪交易，尤其是针对拥有电汇特权的小型企业。

安全就是风险管理……处理风险的方法有两个基本属性：发生概率和影响。发生严重车祸的实际概率非常低，但对你个人安全的影响很大，所以你要系好安全带，把婴儿放在汽车座椅上。

当人们变得懒惰和/或吝啬时，往往会导致灾难。在墨西哥湾，BP 忽略了各种风险因素，因为他们认为他们把风险转移给了承包商，并认为他们已经钻了足够多的井而没有发生事故，因此发生事故的可能性非常低。

Answer