it-swarm.com.de

Wie wird jemand ein Mann in der Mitte?

Soweit ich weiß, müssen Sie irgendwo auf dem Verkehrsweg "sitzen", um einen erfolgreichen MiTM-Angriff zu begehen. Ich gehe davon aus, dass dies bedeutet, an einen der Knoten zwischen den Endpunkten angeschlossen zu werden, den sie verbindenden Draht physisch zu spleißen oder Luftwellen abzufangen.

  • Sind meine Annahmen richtig?
  • Muss das Terminal eines Gegners direkt mit dem Kabel, dem Knoten oder innerhalb der WLAN-Reichweite verbunden sein, oder kann jemand in Kansas einen externen Pfad verwenden, um Zugang zu einem Pfad von LA nach San Francisco zu erhalten?
    • Vielleicht ist es richtiger zu fragen, ob sich jemand in der Nähe des Zielpfads befinden muss. Kann er umgekehrt "das Internet nutzen", um den Pfad einzuschränken: Ist nicht jeder Knoten im Internet im Wesentlichen miteinander verbunden?
46
user5948022

Es gibt viele, viele Möglichkeiten, wie Sie ein MITM werden können, praktisch auf allen Ebenen des Netzwerkstapels - nicht nur auf der physischen. Die physische Nähe zu Ihrem Ziel kann helfen, ist aber keineswegs eine Notwendigkeit.


Auf der physischen Ebene sind die Angriffe, die Sie erhalten können, sehr offenkundig: Verbinden Sie ein Ethernet-Kabel, verwenden Sie einen optischen Abgriff oder Funksignale erfassen.

(A passive optical network, tap - photo by Roens

Ein passives optisches Netzwerk, tippen Sie auf - Foto von Roens

Einige aktive Angriffe können als Voraussetzung physischen Zugriff haben - viele andere nicht.


Auf der Ebene Datenverbindung sind passive Angriffe unglaublich einfach: Versetzen Sie Ihre Netzwerkkarte einfach in Promiscuous-Modus und Sie können alle sehen Verkehr in Ihrem Netzwerksegment. Selbst in einem modernen (geschalteten) kabelgebundenen Netzwerk sorgt MAC-Flooding dafür, dass Sie mehr sehen können, als Sie sollten.

Bei aktiven Angriffen auf lokale Netzwerke ist ARP-Spoofing sehr beliebt und einfach durchzuführen. Ihr Computer gibt im Grunde genommen vor, jemand anderes zu sein - normalerweise ein Gateway, sodass Sie andere Geräte dazu verleiten, stattdessen Datenverkehr an Sie zu senden .

(ARP spoofing - diagram by 0x55534C ARP-Spoofing - Diagramm von 0x55534C

Datenverbindungsangriffe funktionieren, solange Sie mit demselben lokalen Netzwerk wie Ihr Ziel verbunden sind .


Das Angreifen der Netzwerkschicht ist einfach, wenn Sie physischen Zugriff haben - Sie können einfach sich als Router mit einem modernen Linux-Computer ausgeben .

Wenn Sie keinen physischen Zugriff haben, sind ICMP-Umleitungsangriffe etwas dunkel, aber manchmal verwendbar.

Wenn Sie genug Geld in Ihrer Tasche haben, können Sie natürlich tun Sie es im NSA-Stil und fangen Sie Router ab, wenn sie per (Schnecken-) Post an ihr Ziel geschickt werden - Passen Sie einfach die Firmware ein wenig an und Sie ' Es ist gut zu gehen.

Angriffe auf die Netzwerkebene können von jedem Punkt der (Internet-) Netzwerkroute zwischen den beiden Teilnehmern aus durchgeführt werden - obwohl diese Netzwerke in der Praxis normalerweise gut verteidigt sind .


Ich persönlich kenne keine Angriffe auf die Transportschicht.


Auf der Anwendungsebene können Angriffe etwas subtiler sein.

DNS ist ein häufiges Ziel - Sie haben DNS-Hijacking und DNS-Spoofing . Cache-Vergiftungsangriffe gegen BIND waren vor ein paar Jahren besonders beliebt.

DHCP-Spoofing (das vorgibt, ein DHCP Server zu sein) ist recht einfach durchzuführen. Das Endergebnis ist ein ähnliches ARP-Spoofing, jedoch weniger "laut" im Netzwerk und möglicherweise zuverlässiger.

Die breitesten Angriffe auf Anwendungsebene können von überall im Internet ausgeführt werden.

37
goncalopp

TL; DR: Lassen Sie den Datenverkehr durch ein System unter Ihrer Kontrolle leiten und haben Sie MITM, wo immer Sie, das Opfer oder das Ziel sind.

A : Nicht ganz.

Zunächst einmal wird das Internet paketvermittelt, sodass möglicherweise nicht alle Pakete miteinander verbunden sind.

Um ein MITM einzurichten, muss dieses MITM sicherstellen, dass die Anforderungen des Benutzers an ihn anstatt an das richtige Ziel weitergeleitet werden. Dies kann auf verschiedene Arten geschehen, zum Beispiel:

  • Im lokalen Netzwerk durch ARP-Spoofing des Gateways und/oder DNS-Servers,
  • In allen Netzwerken auf der Route,
  • Indem Sie seine IP-Adresse anstelle der richtigen vom DNS-Server des Opfers zurückgeben

Nachdem dies festgelegt wurde, interagiert das MITM im Namen des Opfers mit dem tatsächlichen Ziel und ändert die Daten dazwischen, wie es dem MITM gefällt.

Der einfachste Weg, dies festzustellen, ist in der Tat innerhalb des lokalen Netzwerks, da diese normalerweise weniger gut überwacht und/oder gesteuert werden. Außerdem verfügen sie regelmäßig über mehr Consumer-Geräte mit mehr Sicherheitsrisiken, die nach einer Kompromittierung verwendet werden können, um DNS-Anforderungen an einen Server unter MITM-Kontrolle umzuleiten.

Wie Sie oben sehen können: Wenn Sie es schaffen, den DNS-Server des Opfers auf einen unter Ihrer Kontrolle stehenden Server einzustellen, können Sie MITM sehr gut von jedem beliebigen Ort aus ausführen.

Gleiches gilt für Routing-Knoten/ISPs: Sie können mithilfe des BGP günstige Routen zum Ziel ankündigen, um den gesamten Datenverkehr über Ihr System weiterzuleiten. Dies ist jedoch für Verbraucherverbindungen normalerweise nicht möglich und/oder möglich.

34
Tobi Nary

Der Gegner muss sich nicht unbedingt physisch auf der Netzwerkroute befinden, die er hackt. Möglicherweise haben sie zuvor ein Netzwerkgerät kompromittiert, das is auf der Route ist, und können sich daher bei diesem Gerät anmelden und ihren Angriff von jedem Ort aus ausführen.

10
Mike Scott

Angenommen, Sie haben eine Freundin und haben ihre Nummer als GF in Ihrem Telefon gespeichert. Und auf die gleiche Weise hat Ihre Freundin Ihre Nummer als BF in ihrem Telefon gespeichert.

Jetzt schafft es ein Angreifer X, Zugriff auf Ihr Telefon zu erhalten und Ihre GF Nummer als seine Nummer zu ändern. Auf die gleiche Weise schafft er es, Zugriff auf ihr Telefon zu erhalten und Ihre Nummer als seine zu ändern Nummer.

Die Nummer, die in Ihrem Telefon als GF und in ihrem Telefon als BF gespeichert ist, ist die Telefonnummer von X).

Wenn Sie eine Nachricht an Ihre Freundin senden, wird diese von X empfangen, er liest sie und leitet sie an Ihre Freundin weiter. Da die Nummer von X in ihrem Telefon als BF gespeichert ist, erhält sie eine Nachricht als Von: BF, bei der es sich tatsächlich um den Angreifer handelt. Sie liest und antwortet, und er wiederholt dasselbe.

Jetzt ist X das Man-In-The-Middle

8
Sibidharan

Sie scheinen einige Verwirrung darüber zu haben, wie die Kommunikation im Internet stattfindet. Ich empfehle Ihnen zu lesen:

Interessant ist jedoch, dass die Informationen, die Sie über den Netztransit austauschen, kleine Pakete über verschiedene Knoten sind. Die genaue Position der Knoten hängt von vielen Faktoren ab. Wenn Alice in LA Skype verwendet, um mit Bob in SF zu chatten, werden ihre Nachrichten (im Paket) möglicherweise nach Kanada, Deutschland und zurück übertragen.

Und mehr noch zu Ihrer Frage: Ein MitM-Angriff wird immer dann erzielt, wenn Mallory es geschafft hat, sich als Staffel zwischen Alice und Bob zu etablieren. Sie erhält Alices Nachricht und sendet sie weiter an Bob.

Mallory könnte überall auf der Welt liegen. Denken Sie daran, dass Pakete an viele Orte reisen. Aber sie muss sicherstellen, dass der gesamte Verkehr von Alice nach Bob durch sie fließt. Dafür muss sie die Kontrolle über einen Knoten übernehmen, durch den entweder Alice oder Bobs Nachricht übertragen werden muss. Zum Beispiel direkt Alices Computer, ihr ISP oder ein öffentlicher WLAN-Router.

Weitere Details finden Sie im entsprechenden Wikipedia-Artikel .

2
clem steredenn