“中间人”袭击极少发生吗？

#1 楼

我目前最喜欢的冷，硬，真实世界数据资源是《 Verizon 2011数据泄露调查报告》。该报告第69页的摘录：

动作
前三个威胁动作类别是
黑客，恶意软件和社交。所使用的最常见的黑客行为类型是：使用
被盗的登录凭据，利用后门，
和中间人攻击。

来自读到这一点，我推断这是有人在系统中立足后才采取的第二种行动，但是荷兰高科技犯罪部门的数据表明，这值得关注。在构成统计数据的32个数据泄露中，有15个涉及MITM动作。
绝对不能止步于此。整个报告是阅读的金矿，也是我展示最佳威胁来源时遇到的最好的工作。
对于模糊地引用MiTM攻击和方法的信息，另请参阅对MITM攻击的出色回答-他们有多大可能？在Serverfault上。
我还要进一步说，任何SSL根证书咳嗽不良证书的实例都是攻击的迹象，否则它们将毫无用处。最后，因为我就是那个人，所以如果我要进行渗透测试，我一定会尝试将其拼接到建筑物外部的网络框中。即使是有线连接，也可以通过软件无线电完成出色的事情。

#2 楼

简单的答案是没有-有各种各样的证据表明这种类型的攻击很常见。

银行采取的某些控制措施（两因素认证等）在某种程度上需要与银行对抗。越来越多的MITM攻击客户。

虽然还有其他形式的攻击（以客户端为妥协是一种很好的攻击），但现在可以通过使用恶意软件在其上放置特洛伊木马来更容易地进行攻击。在大多数情况下，客户端PC MITM仍然相对容易。

要记住的核心事实是，犯罪分子倾向于以良好的投资回报率工作。攻击者的投资回报率非常好：


被捕获的风险低
物理风险低
编写漏洞利用代码的一些努力可以导致现实世界的金钱收益
然后该代码可以重新使用或出售给其他罪犯

正如@CanBerk所说，我们永远不会获得任何“完全安全”的协议，但是使罪犯的生活更加艰难部分解决方案。直到变得难以盈利为止，MITM才会消失。

#3 楼

证书颁发机构DigiNotar最近的妥协导致google.com，microsoft.com，cia.gov和其他数百个站点发行了500多个伪证书。这些证书以某种方式进入了40个不同的伊朗ISP，造成了大规模的中间人攻击，并证实在几个月的时间内影响了300,000伊朗用户。

负责-被确认与先前对CA Comodo的攻击负责的人相同-声称可以完全访问其他五个CA，尽管他（他们）仅命名了其中一个。

所以是的，即使在今天，中间人攻击也是一个非常现实的威胁。


注意：为防止此类攻击发生在您身上，请考虑使用一个程序/附件，用于跟踪证书的可疑更改，例如“证书巡逻”，或尝试用大家喜欢谈论的证书授权模型的新奇替代品之一。

#4 楼

这个答案主要是关于克里斯·迪克森（Chris Dixon）的说法，而不是回答“有多少攻击来自MiTM”。

如果我们断言可能成为MiTM的方式和给定的后果，我认为我们可以得出一些结论，即我们是否关心MiTM攻击的普遍程度。

如果我们看一下不同情况下的风险，我们可能会遇到以下情况：


有人通过利用Web应用程序本身来窃取数据库吗？
有人通过MiTM攻击攻击用户/管理员

我想说（通常）前者的影响要大得多，应该从很多方面减轻最大并对待第一个。

因此，要使第2点胜过第1点，我认为MiTM真的要疯狂地疯狂，要让我们将其视作与第1点一样高的安全障碍（正如克里斯在引文中所言）！

现在，如果我们看到不同的攻击媒介。 MiTM的第一个。要成为MiTM，例如：


拥有一个恶意无线接入点。这是微不足道的，但是对于有针对性的攻击，您必须使用您的Web应用程序将其置于受害者的同一物理位置。
嗅探未加密的无线数据或通过HUB传输的数据（它们甚至已经存在了吗？）
使用ARP中毒攻击用户。除非您与使用您的Web应用程序的目标用户位于同一网络上，否则这并非易事。
DNS缓存中毒。为此，您需要对目标用户正在使用的DNS进行毒害。如果DNS设置不正确，则执行此攻击将变得微不足道，但是，要使此方法起作用，有很多依赖。
网络钓鱼攻击。这些仍然愚弄了毫无戒心和天真的用户，但是用户要承担很多责任。

所有这些仅攻击一个或一小部分用户。即使那样，攻击这些用户也会在他们的浏览器中向他们发出警告（也有攻击的方法，但是我在这里不做说明）。只有通过破坏根CA或发现用于生成证书的算法中的缺陷，您才可以成为受信任的证书颁发者。

另一方面，如果我们查看所有潜在的讨厌的东西，如果我们不对Webapp本身的安全性进行投资，我们会看到攻击向量，例如：


SQL注入-简单且易于利用和发现。极高的伤害影响。
XSS（跨站点脚本）-易于发现，更难以利用。我认为将来我们会看到越来越多的用户影响。我可以预见，这将成为我们过去一直看到的“新SQL注入”趋势。
CSRF（跨站点请求伪造）-中等发现，中等开发。这将要求用户导航到已经拥有的站点，从而触发对您的webapp的请求，该请求将代表用户进行交易。

因此，只需提及攻击Webapp并成为MiTM的少数几个但很流行的方法，我就可以将其留给您要保护的特定组织的特定风险/后果分析，无论是您不应该通过实施SSL或整体保护Web应用程序（其中还包括知识产权，用户数据，敏感数据，可能破坏其他应用程序的潜在数据等）直接保护用户。

所以，以我的拙见，我非常同意克里斯·迪克森的说法。在开始考虑保护传输层之前，请尽可能优先考虑保护Web应用程序的安全。

编辑：
附带一提：Firesheep唤醒后，Facebook，Gmail等页面受到严重的MiTM攻击。这只能通过SSL和认知来缓解。

但是，如果您考虑一下，使用Firesheep嗅探无线流量并劫持会话将要求您所连接的无线局域网没有任何加密。

今天我开车去开车时，它大大减少了开放无线AP的数量，也大大减少了启用WEP的AP的数量。我们一直看到越来越多的WPA2加密AP在大多数情况下为我们提供了足够的安全性。

现在，有人创建用于侦听和劫持用户会话的简便工具的风险是什么？对这些用户有什么影响？也可以通过不同的方式来缓解这种情况（当来自不同足迹的用户同时进行身份验证，出现问题时通知用户（gmail是一个很好的例子）。）

#5 楼

它找不到包含您想要的真实世界数据的任何静态或白皮书。

但是，我想补充一点，公司内部的MitM攻击每天都发生并且不止一次。一些安全厂商提供了扫描加密流量的解决方案（例如，Palo Alto Networks），至少我目前工作的公司已激活了此功能。

为此，只需从内部证书颁发机构（CA）授予防火墙/代理设备一个证书，该证书已被所有客户端信任。当应用程序请求安全连接时，防火墙/代理设备会为目标服务器动态生成一个新证书，并将其发送给客户端。由于客户端信任内部CA，因此它也信任设备证书，并会愉快地启动“安全”连接。

#6 楼

我同意daramarak的观点，很难找到有关MitM攻击的真实数据。原因之一是，MitM攻击本质上通常针对个人，而DDoS或SQL注入之类的攻击通常针对公司，组织等。

因此，尽管我们看到了DDoS /注入/无论几乎每天报告什么，有关MitM攻击的信息通常都是学术性的（例如，“ Twitter被DDoS攻击！”与“ SSL易受MitM攻击”）。

但是，应注意的是，“罕见”并不一定意味着“困难”。可以说，大多数MitM攻击比大多数其他类型的攻击更容易受到攻击，而且我们每天使用的许多协​​议都可能以一种或另一种方式容易受到此类攻击，这仅仅是因为很难设计出一种能够完全抵御MitM的协议。实际上，对于大多数安全问题，大多数解决方案都是“尽力而为”，而不是“完全和绝对安全”。

因此，我认为MitM攻击不那么普遍的主要原因是通常不需要执行一项激励措施。

#7 楼

我敢肯定，在无线网络上嗅探密码非常普遍。只需通过简单的Google搜索或Bing搜索即可查看网络上有多少教程。

#8 楼

好吧，我想如果它们很少见，没有人会破坏CA，但是我们已经看到了许多尝试和成功（怀疑包括伊朗）。

所以我想它已经并且将会做完了。否则，他们为什么要打扰CA呢？这不是世界上最简单的任务。为什么不直接攻击目标呢？

那也许很少见。破坏CA的任何人都可能足以掩盖他们的工作经历，因此我们不知道他们的工作范围。老实说，我不会在美国政府内部和国外都做过同样的事情。如果他们没有，我实际上会感到惊讶。支持这一点的经历让我想不起曾经读过HTTPS以美国政府的方式获得。我确实经常听到有关Skype加密，TrueCrypt或PGP磁盘加密的消息。