[网络协议]MITM中间人攻击

MITM中间人攻击

定义：中间人攻击是一种间接的入侵攻击，通过各种手段将入侵者控制的一台电脑放置在两台连接在网络中的电脑之间，这台入侵的电脑就叫做中间人。

常见的攻击手段：

1、ARP欺骗：攻击者将网卡设置为混杂模式，伪装成代理服务器监听特定的流量来实现攻击，这是因为很多通信协议都是以明文来传输的，比如HTTP，FTP，Telnet等。不过，随着交换机代替集线器，简单的嗅探已经不能成功，必须使用ARP欺骗才能实现攻击。

2、SMB会话劫持：

3、DNS欺骗：

4、为HTTPS提供假证书：

ARP欺骗原理：

ARP协议是将IP地址转换为MAC地址的协议，因为主机的IP地址是可变的，所以两台主机的通信需要用到MAC地址，两台电脑在通信的时候需要先查看ARP表，如果表中存在该条映射，就会直接记录，如果没有就会发出广播，另一台主机回应后，记录到ARP表中，之后可以进行通信。

ARP欺骗：由于主机缓存中的IP-MAC映射是会根据ARP响应包动态变化的，攻击者只需要不断的发出伪造的ARP响应包就能更改主机的ARP缓存表条目，进而完成ARP欺骗。

主机在完成ARP欺骗之后可以窃听两台主机之间的信息，为了更加的隐蔽，攻击者可以将信息转发给信息接受方，使得通信双方无法察觉，这就是中间人攻击。

主机通过ARP欺骗，还可以冒充网关，就是在主机和网关之间进行中间人攻击。这种攻击会使被攻击者找不到正确的网关，从而无法访问网络，造成上网中断，此时，攻击者通过开始IP转发功能，完成中间人攻击，也可以在数据中添加恶意程序。同时监听整个网段的数据通信。

ARP欺骗的防范：

1、在主机绑定网关MAC和IP地址为静态，默认为动态；命令 arp -s 网关IP 网关MAC。

2、在网关绑定主机MAC和IP地址，

3、使用ARP防火墙，