攻击与威胁
中继攻击
别称: 认证中继
定义
在两方之间实时转发认证交互的攻击,攻击者无需知道凭据即可被认证通过。
与重放攻击不同,中继(Relay)攻击是把消息实时转发于受害者与目标服务之间。典型案例包括 Windows 网络中的 NTLM 中继(利用 SMB/LDAP 签名薄弱,把被诱发的认证转发给特权服务)、SIM 卡欺骗式的电信中继,以及无钥匙车辆开门攻击——通过两台无线电将房屋内钥匙的信号桥接到街边停放的车辆。中继不需要提取秘密,仅靠转发交互即可击败基于密钥的认证。缓解措施包括通道绑定、签名/封装(SMB、LDAP、EPA)、近距离检测/UWB 测距、双向 TLS,以及对时间敏感的挑战-响应。
示例
- NTLM-relay 工具(ntlmrelayx、PetitPotam、PrinterBug)诱使域控向中继器发起认证。
- 车钥匙中继:一台无线电置于屋内钥匙旁,另一台靠近停在街上的车,从而解锁并启动车辆。
相关术语
重放攻击
捕获合法网络流量(通常是身份令牌或交易),并稍后重新发送以冒充原始发送方的攻击。
中间人攻击 (MitM)
攻击者在通信双方之间秘密转发或篡改消息,而双方均以为是在直接对话的一种攻击。
NTLM 认证
一种基于挑战-响应的传统 Windows 认证协议,通过用户密码哈希证明身份,以现代标准衡量已被视为弱协议。
双向 TLS(mTLS)
TLS 的扩展模式,客户端和服务器都出示 X.509 证书,从而以加密方式相互认证对方身份。
Kerberos
基于票据的网络认证协议,利用对称加密和受信的密钥分发中心实现跨服务的安全单点登录。
会话劫持
通过窃取或伪造会话标识符,接管受害者已认证的会话,使攻击者无需密码即可冒充其身份的攻击。