حمله MITM یا مرد میانی چیست؟ - نسخهی قابل چاپ +- باشگاه کاربران روماک (https://forum.romaak.ir) +-- انجمن: انجمن کامپیوتر، سرور و شبکه (https://forum.romaak.ir/forumdisplay.php?fid=3) +--- انجمن: هک و امنیت (https://forum.romaak.ir/forumdisplay.php?fid=5) +--- موضوع: حمله MITM یا مرد میانی چیست؟ (/showthread.php?tid=7387) |
حمله MITM یا مرد میانی چیست؟ - saberi - ۹۹/۱/۲۲ حمله Man In The Middle (یا MITM ، MitM ، MIM یا MITMA ) یکی از خطرناکترین حملات در شبکه های کامپیوتری می باشد. دلیل این میزان اهمیت این حمله این است که در اکثر مواقع کاربر متوجه نمی شود که مورد حمله قرار گرفته است و اطلاعات او مورد سواستفاده قرار گرفته است.
MITM یا مرد میانی ، یک از متدهای هکینگ است که هکر در آن در یک نقطه میانی بین مبداء و مقصد قرار می گیرد و شروع به جاسوسی اطلاعات کاربران می کند . ترافیک های عبوری شبکه توسط هکر جمع آوری شده و هکر با این اطلاعات به دست آمده می تواند با آنالیز کردن آنها ، داده های مفید را به دست آورده و از آنها سوء استفاده کند.
Man-in-the-Middle حمله ای است که مهاجم در بین راه ارتباط دو دستگاه با مقاصدی مانند جمع آوری اطلاعات ، دستکاری اطلاعاتی که بین این دو دستگاه در حال مبادله است و ... قرار می گیرد. این حمله می تواند در لایه دو یا سه اتفاق بیافتد و فقط محدود به یک پروتکل نمی شود . این حمله هر اطلاعاتی را می تواند در بر داشته باشد، مثلا با این حمله می توان صحبت های تلفنی بین دو کاربر را حتی شنود کرد.
هدف اصلی این حملات استراق سمع است بنابراین مهاجم می تواند کل ترافیک در حال انتقال را ببیند.اگر در لایه دو اتفاق بیافتد مهاجم آدرس MAC در لایه دو را جعل می کند و سعی می کند دستگاه های موجود در شبکه LAN باور کنند که آدرس لایه دو مهاجم ، آدرس لایه دو default gateway است. به این عمل ARP poisoning گفته می شود. فریم هایی که قرار است به default gateway ارسال شوند توسط سوئیچ براساس آدرس لایه دو به مهاجم به جای default gateway ارسال می شوند.
بعد از اینکه فریم ها دست مهاجم رسید و استفاده خود را از آنها کرد مهاجم می تواند فریم ها را به مقصد درست آنها ارسال کند درنتیجه کلاینت ارتباط مورد نظر خودش را با مقصد دارد و در این میان مهاجم کل اطلاعات مبادله شده بین کلاینت و مقصدش را می بینید بدون اینکه کلاینت از این اتفاق باخبر شود. برای کاهش این Risk باید از تکنیک هایی مانند (dynamic Address Resolution Protocol (ARP) inspection (DAI در سوئیچ استفاده کنید تا جلوی جعل آدرس لایه دو گرفته شود.
همچنین مهاجم می تواند با قرار دادن یک سوئیچ در شبکه و تنظیم (Spanning Tree Protocol (STP در آن باعث شود که این سوئیچ تبدیل root switch شود و به این صورت تمام ترافیک هایی که نیاز به عبور از root switch را دارند را ببیند و به این شکل یک حمله را پایه ریزی کند.
حمله man-in-the-middle می تواند در لایه سه با قرار دادن یک روتر غیرمجاز در شبکه و فریب دادن سایر روترها که این یک روتر جدید است و دارای بهترین مسیر است انجام شود. این باعث می شود ترافیک شبکه از طریق این روتر غیر مجاز جریان پیدا کند و این اجازه به مهاجم داده می شود که دیتا شبکه را سرقت کند. شما می توانید با استفاده از تکنیک های مختلفی مانند استفاده از authentication برای پروتکل های مسیریابی یا استفاده از فیلترینگ برای جلوگیری از ارسال یا دریافت update های مرتبط با مسیریابی روی اینترفیس های خاص ، این حملات را کاهش دهید.
چگونه میتوانیم جلوی حملات مرد میانی را در شبکه گرفت؟
بطور کلی، محافظت در برابر ARP spoofing با استفاده از ابزارهای امنیتی معمول روی کامپیوترهای شخصی، سخت است. یکی از راه های جلوگیری از این حمله رمزنگاری اطلاعات برای حفظ محرمانگی اطلاعات در زمان انتقال است. پروتکل های plaintext مثل http , ftp , telnet و… اطلاعات رو به صورت clear text ارسال میکنند و در نتیجه اگر هکر در شبکه ما حمله مرد میانی رو اجرا کند به راحتی به اطلاعاتی که توسط ما انتقال پیدا میکند دسترسی دارد و در نتیجه هر اطلاعاتی از ما ، که از که طریق دستگاه هکر عبور کند توسط او دیده خواهد شد که این اطلاعات می تواند شامل یوزر و پسوردهای ما باشد.
راه حل استفاده از پروتکل هایی است که دارای مکانیزم های رمزنگاری هستند مانند (Secure Shell (SSH و (Hypertext Transfer Protocol Secure (HTTPS و همچنین می توان از VPN برای محافظت از اطلاعات حساس که به صورت cleartext هستند استفاده کرد و جلوی لو رفتن اطلاعات رو در شبکه بگیریم.
HTTPS اطلاعاتی که بین مرورگر شما و سرور مقصد ارسال و دریافت میشود را رمزنگاری میکند تا اطلاعات شما را از دید اشخاص غیرمجاز مخفی نگاه دارد؛ پس حتما برای سرور خود گواهی ssl تهیه نمایید.
طرز کار VPN هم تقریبا به همین صورت است یعنی مخفی کردن اطلاعات شما از دید اشخاص غیر مجازبه وسیله رمزنگاری. در هر دوی این روشها هکر باز هم میتواند بین راه اطلاعات را دریافت کند، اما با این تفاوت که برایش قابل خواندن نیستند و باید کلید رمزگشایی آن را داشته باشد. هر چند این عمل غیر ممکن نیست، ولی هزینه زیادی میطلبد و همین کار را سخت میکند.
RE: حمله MITM یا مرد میانی چیست؟ - sima - ۹۹/۱/۲۲ مرسی از این مطلب خوب RE: حمله MITM یا مرد میانی چیست؟ - soroush - ۹۹/۱/۲۲ عالی بود متشکرم مهندس RE: حمله MITM یا مرد میانی چیست؟ - zeynab - ۹۹/۱/۲۲ مرسی از مطالب مفیدتون RE: حمله MITM یا مرد میانی چیست؟ - elshan - ۹۹/۱/۲۴ مرسی مطلب خیلی خوبی بود متشکرم |