中间人攻击(Man-in-the-middle Attack) - TWAREN.PPT

中間人攻擊 (Man-in-the-middle Attack) A0953318 黃雅蕙 甚麼是中間人攻擊? 利用ARP協議的設定中，主機即使收到ARP請求並非出自本身請求，也會把其IP位置跟MAC地址的對應關係添加到ARP的對照表中，這樣可以減少網路上過多的ARP請求，但也創造了ARP欺騙的條件 正常情況 中間人攻擊難以防禦 使用者在被竊聽時，網路仍能正常運作 使用者電腦不會被安裝木馬或惡意程式 即使有留下入侵的蛛絲馬跡，但因為網路裝置通常不會保留記錄檔，難以事後追蹤 絕大多數的網路裝置，相信其他人傳來的訊息，導致許多漏洞 案例 竊取數百萬美元! 新木馬專攻銀行賬戶 『Prg Trojan』的銀行木馬程序成功地在美國竊取商業銀行顧客數百萬美元。 用戶計算機被『Prg Trojan』感染，該程式就可以模擬使用者在使用線上銀行操作的數據傳送給控制該城市的駭客 『Prg Trojan』在使用者開始進行銀行交易時提醒駭客，讓駭客挾持整段通訊過程，在不用使用者的用戶名或是密碼即可取走使用者帳戶中的錢 ARP spoofing(ARP欺騙) ARP spoofing(ARP欺騙) 防範中間人攻擊 使用密碼編譯 傳送前先加密資料，攻擊者雖可中途攔截，但卻不能閱讀或變更。 如果攻擊者盲目地修改加密的訊息，原始的收件者便無法成功的開啟訊息，就會知道訊息已遭竄改過。 使用雜湊訊息驗證碼(HMAC) 如果攻擊者變更訊息，收件者 HMAC 的重新計算就會失敗，資料就會被視為無效而遭拒絕。 * Host?A和Host?C通過Switch進行通信。此時，如果有黑客(Host?B)想探聽Host?A和Host?C之間的通信，它可以分別給這兩台主機發送偽造的ARP應答報文，使Host?A和Host?C用MAC_B更新自身ARP映射表中與對方IP地址相應的表項。 此后，Host?A?和Host?C之間看似“直接”的通信，實際上都是通過黑客所在的主機間接進行的，即Host?B擔當了“中間人”的角色，可以對信息進行了竊取和篡改。 * Host?A和Host?C通過Switch進行通信。此時，如果有黑客(Host?B)想探聽Host?A和Host?C之間的通信，它可以分別給這兩台主機發送偽造的ARP應答報文，使Host?A和Host?C用MAC_B更新自身ARP映射表中與對方IP地址相應的表項。 此后，Host?A?和Host?C之間看似“直接”的通信，實際上都是通過黑客所在的主機間接進行的，即Host?B擔當了“中間人”的角色，可以對信息進行了竊取和篡改。