حمله مرد میانی چیست ؟ توضیحاتی در مورد Man in the Middle

1762 بازدید

دسته بندی: امنیت - وبلاگ منتشر شده در 1401-02-24 نویسنده: مهدی حسنی زمان مطالعه: 5 دقیقه 0 نظر به روز شده در 1401-02-23

حمله مرد میانی چیست ؟ توضیحاتی در مورد Man in the Middle

با یکی دیگر از مقالات تیم بلک سکوریتی خدمت شما کاربران محترم هستیم.
در این پست آموزشی قصد داریم در مورد حملات مرد میانی چیست ؟ یا همان حمله Man in the Middle صحبت کنیم. با ما همراه باشید !

حمله مرد میانی چیست ؟

حمله مرد میانی (MITM) یک اصطلاح کلی برای زمانی است که هکر خود را بین یک کاربر
و یک برنامه به صورت غیر مجاز قرار می دهد. گاها این کار برای شنود یا جعل هویت یکی از طرفین انجام میشود که به نظر می رسد
یک تبادل عادی اطلاعات است. در جریان است. هدف از حمله سرقت اطلاعات شخصی مانند اعتبار ورود، جزئیات حساب و شماره کارت اعتباری است. هدف ها معمولاً کاربران برنامه های مالی ، سایت های تجارت الکترونیک و سایر وب سایت هایی هستند که ورود به سیستم در آنها ضروری است. اطلاعات به‌دست‌آمده در طول یک حمله می‌تواند برای اهداف بسیاری، از جمله سرقت هویت، انتقال وجه تایید نشده یا تغییر غیرقانونی رمز عبور استفاده شود. به طور کلی، حمله MITM معادل این است که یک پستچی صورت حساب بانکی شما را باز می کند، جزئیات حساب شما را می نویسد و سپس پاکت را دوباره مهر می کند و آن را به درب منزل شما تحویل می دهد.

مبحث استراق سمع (SniFF) در حمله مرد میانی

اولین مرحله، مهاجم ترافیک کاربر را از طریق شبکه مهاجم قبل از رسیدن به مقصد مورد نظر خود رهگیری می کند.

رایج ترین (و ساده ترین) راه برای انجام این کار، حمله غیرفعال است که در آن مهاجم هات اسپات های WiFi رایگان و مخرب
را در دسترس عموم قرار می دهد. معمولاً به گونه‌ای نامگذاری می‌شوند که با موقعیت مکانی آنها مطابقت دارد، از رمز عبور محافظت نمی‌شوند. هنگامی که قربانی به چنین نقطه‌ای متصل می‌شود، مهاجم در هر تبادل اطلاعات آنلاین، دید کامل را به دست می‌آورد. مهاجمانی که مایل به اتخاذ رویکرد فعال تری برای رهگیری هستند ممکن است یکی از حملات زیر را انجام دهند :

IP Spoofing

شامل یک مهاجم است که با تغییر هدرهای پکت در یک آدرس IP خود را به عنوان یک برنامه کاربردی پنهان می کند. در نتیجه، کاربرانی که تلاش می کنند به یک URL متصل به برنامه دسترسی پیدا کنند، به وب سایت مهاجم فرستاده می شوند.

ARP Spoofing

فرآیند پیوند دادن آدرس MAC مهاجم با آدرس IP یک کاربر قانونی در یک شبکه محلی با استفاده از پیام‌های جعلی ARP است.
در نتیجه، داده ها بجای ارسال به آدرس IP میزبان (مودم) ، به مهاجم منتقل می شود. (مهاجم خود را Gate Way یا همان مودم روتر به قربانی معرفی میکند و بسته ها بجای ارسال به مودم به مهاجم ارسال می شود).

DNS Spoofing

جعل DNS، همچنین به عنوان مسمومیت کش DNS شناخته می شود شامل نفوذ به سرور DNS
و تغییر رکورد آدرس وب سایت است. در نتیجه، کاربرانی که تلاش می کنند به سایت دسترسی پیدا کنند، توسط رکورد DNS تغییر یافته به سایت مهاجم فرستاده می شوند.

مبحث رمزگشایی (Decrypting) در حمله مرد میانی

پس از رهگیری ترافیک هر ترافیک SSL دو طرفه (Two-Way SSL)
باید بدون هشدار به کاربر یا برنامه، رمزگشایی شود. تعدادی روش برای دستیابی به این امر وجود دارد :

HTTPS Spoofing

جعل HTTPS پس از انجام درخواست اتصال اولیه به یک سایت امن، یک گواهی ساختگی
به مرورگر قربانی ارسال می کند. این یک اثر انگشت دیجیتال (digital thumbprint) مرتبط با برنامه در معرض خطر را در خود دارد
که مرورگر آن را بر اساس فهرست موجود از سایت‌های مورد اعتماد تأیید می‌کند. سپس مهاجم می‌تواند به هر داده‌ای که قربانی وارد کرده است، قبل از ارسال به برنامه دسترسی پیدا کند.

SSL BEAST

SSL BEAST (سوء استفاده مرورگر در برابر SSL/TLS) آسیب‌پذیری TLS نسخه 1.0 در SSL را هدف قرار می‌دهد.
در اینجا، رایانه قربانی به جاوا اسکریپت مخرب آلوده می شود که کوکی های رمزگذاری شده ارسال شده توسط یک برنامه وب را رهگیری می کند. سپس زنجیره بلوک رمز برنامه (CBC) به خطر می افتد تا کوکی ها و توکن های احراز هویت آن رمزگشایی شود.

SSL Hijacking

ربودن SSL زمانی اتفاق می‌افتد که یک مهاجم کلیدهای احراز هویت جعلی را هم به کاربر و هم به برنامه
در طول یک دست دادن TCP (three way handshake ) ارسال می‌کند. این یک اتصال امن به نظر می رسد را تنظیم می کند، در حالی که در واقع، حمله مرد میانی صورت گرفته است و هکر داده ها رو کنترل میکند.

SSL Stripping

حذف SSL یک اتصال HTTPS به HTTP را با رهگیری تأیید اعتبار TLS ارسال شده از برنامه به کاربر کاهش می دهد.
مهاجم یک نسخه رمزگذاری نشده از سایت برنامه را برای کاربر ارسال می کند در حالی که جلسه ایمن با برنامه را حفظ می کند. در همین حال، کل جلسه کاربر برای مهاجم قابل مشاهده است.

روش های پیشگیری از حمله Man in the Middle

مسدود کردن حملات MITM به چندین مرحله عملی از جانب کاربران و همچنین ترکیبی از روش‌های رمزگذاری و تأیید برای برنامه‌ها نیاز دارد.

برای کاربران، این به این معنی است :

اجتناب از اتصالات به وای فا های عمومی و بدون رمز عبور .
توجه به اعلان‌های مرورگر که یک وب‌سایت را ناامن گزارش می‌کنند.
خروج فوری از یک برنامه ایمن در زمانی که از آن استفاده نمی شود.
عدم استفاده از شبکه های عمومی (مانند کافی شاپ ها، هتل ها) هنگام انجام تراکنش های حساس.

برای اپراتور های وب‌ سایت، پروتکل‌های ارتباطی ایمن، از جمله TLS و HTTPS، با رمزگذاری قوی و احراز هویت داده‌ های ارسال‌ شده
به کاهش حملات جعل کمک می‌کنند. انجام این کار از شنود ترافیک سایت جلوگیری می کند و رمزگشایی داده های حساس مانند توکن های احراز هویت را مسدود می کند. بهترین روش برای برنامه‌ ها استفاده از SSL/TLS برای ایمن کردن هر صفحه از سایتشان و نه فقط صفحاتی که کاربران را ملزم به ورود به سیستم می‌کنند، در نظر گرفته می‌شود. انجام این کار به کاهش احتمال سرقت کوکی‌ های سیشن از کاربر در حال مرور یک صفحه نا امن توسط مهاجم کمک می‌کند.