攻击与威胁
中间人攻击 (MitM)
别称: 中间人, On-path 攻击
定义
攻击者在通信双方之间秘密转发或篡改消息,而双方均以为是在直接对话的一种攻击。
中间人攻击使攻击者处于两端通信节点之间的网络路径上,可以截取、查看、修改或注入消息而不被双方察觉。常见接入方式包括局域网内的 ARP 欺骗、伪造的 Wi-Fi 接入点、BGP 或 DNS 劫持、恶意代理,以及被攻陷的 TLS 解密设备。攻击目标包括窃取凭据、劫持会话、篡改交易,以及针对弱加密的降级攻击。防御依赖于强认证加密(使用有效证书的 TLS、mTLS)、HSTS、证书绑定、DNSSEC 与加密 DNS、安全的无线网络(WPA3、802.1X),以及禁用旧版 SSL/TLS 等协议加固措施。
示例
- 在咖啡店开放 Wi-Fi 中,攻击者截获未加密 HTTP 流量,将软件更新链接替换为恶意二进制文件。
- BGP 劫持将支付服务的 IP 前缀引导至攻击者控制的 ISP,在该路径上执行 TLS 拦截。
相关术语
ARP 欺骗
在本地网络中发送伪造 ARP 消息,将攻击者的 MAC 地址与他人 IP 绑定,从而将流量导向攻击者的攻击。
DNS 欺骗
通过注入伪造的 DNS 响应,将受害者从合法域名重定向到攻击者控制的 IP 地址的攻击。
SSL 剥离
一种中间人攻击,悄悄将受害者的 HTTPS 连接降级为明文 HTTP,使攻击者能够读取并篡改流量。
会话劫持
通过窃取或伪造会话标识符,接管受害者已认证的会话,使攻击者无需密码即可冒充其身份的攻击。
邪恶双子攻击
攻击者搭建模仿合法 SSID 的伪造接入点,使受害者连入,从而泄露流量或凭据的 Wi-Fi 攻击。
非法接入点
未经授权接入网络的无线 AP,可能是攻击者植入,也可能是员工无意中接入,会绕过网络安全控制。