我对了解中间人攻击的机制很感兴趣。我知道,在 LAN 场景中,为了进行中间人攻击,攻击者通常会更改目标设备的路由表(ARP 中毒)。但在互联网环境中,有可能进行中间人攻击吗?
答案1
这确实是可能的,并且被称为“{BGP|IP|路由|前缀} 劫持“。
然而,这些攻击比局域网中间人攻击更为复杂,但不太隐蔽。
2010年4月8日,一家中国 ISP 公布了很多前缀,世界各地的 BGP 探测器都发现了这一点。
答案2
MITM 攻击有很多种。每种攻击都取决于攻击者想要滥用的协议或他相对于您的拓扑/流量的位置。正如您所提到的,存在基于 LAN 的 MITM 攻击(ARP 缓存中毒或 DHCP 欺骗)。对路由基础设施的 MITM 攻击(在启用 RIP/EIGRP/OSPF 的 WAN 上注入前缀)。以及对您组织外部但您依赖的基础设施的攻击,即 BGP 前缀劫持、DNS 欺骗等。
一经典的例如,当攻击者 [ISP /政府/坏人] 修改您的 DNS 响应并让您所有的 HTTP /电子邮件流量在您不知情的情况下通过他的一个恶意代理。
答案3
有可能吗?是的。某个 ISP 中的某个人可能会在承载您流量的路由器附近放置一些东西,然后窃听数据并进行拦截。
据说,政府机构一直在这样做。你所需要的只是一个合作运营商和/或访问 A 点和 B 点之间的某个设备,然后 Bob 就是你的叔叔了……
我还要补充一点,这是可能的......可能的...黑帽黑客在获得特定设备的访问权限后,通过嗅探/重定向流量,在某处拦截流量。我并没有听说过这种事,但话又说回来,如果没有必要,公司不会宣传这种事。员工也有可能滥用访问权限。
不过,除非您是一名黑客,希望通过这种方式获得经济或个人利益,或者您是被黑客攻击的公开目标,否则您很可能不需要担心这一点。