有没有办法检测一个活跃的中间人?

信息安全 攻击 中间人
2021-08-28 05:18:59

假设攻击者已获得对路由器的访问权限。有没有办法让受害者注意到正在被攻击?

我认为我的一个朋友是这种攻击的受害者。我如何确定这是对他进行的攻击?

更多细节:有人不断更改他的 facebook 等密码。

4个回答

如果您的朋友是中间人攻击媒介的受害者,他可能会接受多个“告诉”。

你朋友的连接速度比平时慢吗?facebook 页面是否与他在工作、学校等中看到的完全一样?(比较来源) Ettercap 有几种模式旨在检测您的朋友可以利用的中间人攻击。

以上方法都不是万无一失的,但它们共同构成了可能的副作用的图景。您的朋友可以通过其 ip (66.220.149.88) 和我们的 vpn 隧道导航到 facebook 来绕过 dns_spoof(tor 是免费的,但速度很慢)

说了这么多,您的朋友不太可能成为中间人攻击的受害者。他们的机器极有可能感染了键盘记录程序。让您的朋友运行病毒扫描,清除它们,然后检查所有 facebook 安全设置。

此外,如果您的朋友使用 yahoo,请让他们切换到 gmail。

一般来说,没有。没有可靠的方法来检测您是中间人攻击的受害者。

您可以采取一些措施来检测不完善的攻击——其中主要是尽可能尝试使用 SSL (https),​​并检查浏览器地址栏以确认 SSL 正在使用中(例如,有一个绿色或地址后面的蓝色光芒)。如果您使用 SSL,并且避免单击证书警告,那么您应该相对安全地免受中间人攻击。但是,当您使用 http 时,您几乎无法检测到中间人攻击。

也就是说,我怀疑您的朋友是否被中间人攻击入侵。他的密码或帐户更有可能已被盗用。我建议采取以下措施来恢复:

  • 使用 Malware Bytes 或其他一些好的恶意软件扫描程序扫描他的计算机中的恶意软件/间谍软件。删除所有检测到的恶意软件/间谍软件。

  • 在他的计算机上更改他的密码和管理员密码。

  • 打开防病毒软件(例如,Microsoft Security Essentials、Avast 等)。

  • 打开 Windows 更新。运行 Windows Update 以更新操作系统。更新他的浏览器,如果它没有运行最新的浏览器。

  • 如果他使用 Firefox,请让他安装 HTTPS Everywhere。

  • 将 Facebook 配置为对所有连接使用 SSL (HTTPS)。

  • 现在,让他更改他的电子邮件密码(例如,他的 Gmail 密码)和他的 Facebook 密码。此外,让他删除/卸载所有Facebook 应用程序。恶意 Facebook 应用程序是人们受到攻击的常见方式。确保新密码长且强。

  • 如果问题消失了,你很好!

是的,您可以通过检查 https 连接指纹是否正确来检测浏览器中对 https 的中间人攻击。

例如,如果您希望检查https://www.facebook.com在 Internet Explorer 11 中是否受到 MiTM 攻击(使用两个不同的窗口,因为查看证书对话框是模态的):

  1. 在桌面用IE11打开https://www.grc.com/fingerprints.htm
  2. 打开一个新的 IE 窗口(在桌面上按 ctrl-N)并转到https://www.facebook.com
  3. 点击地址旁边的锁,点击查看证书按钮,弹出一个模式对话框。
  4. 在 General 选项卡上,检查“Issued to”是否为 *.facebook.com
  5. 在详细信息选项卡上,滚动到底部,单击指纹,并检查指纹的数字和字母是否与https://www.grc.com/fingerprints.htm上 *.facebook.com 上显示的一致(当比较指纹忽略大写/小写差异,并忽略空格/冒号)。

如果您想检查任何其他浏览器,请按照页面下方“如何显示此页面(或任何页面)的 SSL 证书指纹:”标题下的说明进行操作,网址为https://www.grc.com/fingerprints.htm . 如果您想检查任何其他域,在页面顶部附近的“自定义站点指纹”标题下,您可以请求任何域的官方证书名称和指纹。

这是检测中间人代理攻击(针对机器或网络上的代理)的一种相当稳健的方法。它不会检测到任何感染浏览器的病毒等(所谓的浏览器中的人攻击)。

我的两分钱:如果你的朋友在 *nix 系统上,他可以先从路由器 web 面板记下路由器的 MAC 地址,然后运行以下命令:

ARP -a

他可以在 ARP 表中验证路由器所在的 MAC 地址。如果路由器的 MAC 地址与应有的不同,这是一种指示。

其次,您可以通过运行来验证 facebook.com 的 DNS 解析:

nslookup facebook.com

,如果返回的地址是本地地址,比如 192.168.0.105 或其他什么,这应该表明你的 DNS 解析被劫持了。

在应用程序层(即浏览器)更容易,每当您浏览使用凭据或任何敏感信息的网站时,请检查 URL 栏以确定通信是否通过 HTTPS 进行。即使通过 LAN 连接到交换机来嗅探流量,由于 HTTPS,攻击者将无法读取您的流量。

其它你可能感兴趣的问题
上一篇如何分配和管理 CVE 标识符? 下一篇记录用户下载或打印 PHI 的事件时使用什么术语?