MITM攻击 – 他们有多大可能？

首先，我们来谈谈边界网关协议 。 互联网由成千上万称为AS（自治系统）的端点组成，它们使用称为BGP（边界网关协议）的协议路由数据。 近年来，BGP路由表的规模一直呈指数级增长，突破了10万个条目。 即使随着路由硬件功率的增加，它也几乎无法跟上BGP路由表不断扩大的规模。

我们MITMscheme中棘手的部分是BGP隐式地信任其他自治系统提供的路由，这意味着，如果有足够的来自AS的垃圾邮件，任何路由都可能导致任何自治系统。 这是中间人stream量最明显的方式，这不仅仅是理论上的 – 2007年，Defcon安全会议的网站被redirect到一个安全研究人员的网站上来展示攻击。 当巴基斯坦审查该网站，并错误地宣布自己的（死亡）路线是巴基斯坦以外几个亚洲国家的最佳路线时，Youtube在几个亚洲国家被摧毁。

lessmath术组织从合作的AS收集BGP路由信息以监测改变stream量path的BGP更新。 但是没有上下文，就很难区分合法的变化和恶意的劫持。 交通path一直在变化，以应对自然灾害，公司兼并等。

接下来讨论“全球MITM攻击媒介”列表是域名系统 （DNS）。

尽pipeISC的精细DNS服务器BIND经受了时间的考验，并且相对安全（如微软和思科的DNS产品），但是一些显着的漏洞已经被发现，可能会危及所有使用互联网上规范化名称的stream量（即几乎所有交通）。

我甚至不会讨论Dan Kaminsky关于DNS高速caching中毒攻击的研究 ，因为它已经在其他地方被打死了，只被Blackhat – Las Vegas授予“最高级的臭虫”。 但是，还存在其他几个DNS错误，严重影响了networking安全。

dynamic更新区域Bug使 DNS服务器崩溃，并有可能远程危害机器和DNScaching。

事务签名Bug允许在发布漏洞时运行BIND的任何服务器的完全远程根目录泄露，显然允许DNS条目被泄露。

最后 ，我们必须讨论ARP中毒 ， 802.11q Retracing ， STP-Trunk劫持 ， RIPv1路由信息注入以及针对OSPFnetworking的大量攻击。

这些攻击是一个独立公司的networkingpipe理员的“宠儿”（理所当然地，考虑到这些可能是他们唯一可以控制的）。 每个熟悉基本信息安全或TCP的人都已经学习了ARP中毒，所以在这个阶段讨论这些攻击的技术细节有点无聊。 其他攻击可能是许多networkingpipe理员或服务器安全爱好者熟悉的面孔。 如果您担心这些问题，则可以使用许多非常好的networking防御工具，从Snort等免费和开源工具到思科和惠普的企业级软件。 另外，很多资料性的书籍都涵盖了这些主题，不胜枚举，但是我发现其中一些对networking安全的追求有帮助，包括“networking安全监控之道” ，“ networking安全体系结构 ”以及经典的“ networking战士”

无论如何，我感到有些不安，人们认为这类攻击要求ISP或政府级别的访问。 它们只需要CCIE在networking知识和相应工具（例如HPING和Netcat，不完全是理论工具）方面的平均水平。 保持警惕，如果你想保持安全。

这里有一个关于我的MITM情况：

假设在酒店有一个大的会议。 ACME Anvils和Terrific TNT是卡通危险行业的主要竞争对手。 有人对自己的产品有兴趣，尤其是在开发新产品的人，会认真地爱上他们的计划。 我们会叫他WC来保护他的隐私。

WC早点入住着名酒店，给他一些时间设置。 他发现酒店拥有着名的HotelHotel-5的无线接入点FamousHotel-1。 于是他build立了一个接入点，称之为FamousHotel-6，这样它就融入了景观，并将其连接到其他接入点之一。

现在，会议参与者开始办理入住手续。两家公司最大的客户之一就是这样，我们叫他RR，在WC附近办理入住手续。 他build立了自己的笔记本电脑，开始与供应商交换电子邮件。

WC疯狂地咯咯笑！ “我狡猾的计划正在奏效！”他大声说道。 繁荣！ 崩溃！ 同时，他被一个铁砧和一堆TNT击中。 看来ACME砧，安装好的TNT，RR和着名酒店的安全团队正在共同预测这次袭击事件。

哔哔！

编辑：

如何及时^* ： 旅游提示：小心机场的Wi-Fi“蜜jar”

^{*那是刚刚在我的RSS feed中显示的时间。}

这完全取决于情况。 你相信你的ISP多less钱？ 你对ISP的configuration了解多less？ 你自己的安装有多安全？

现在大多数“攻击”很可能是木马病毒拦截文件中的击键和密码。 总是会发生，只是它没有得到注意或报道太多。

信息在ISP级别内泄露的频率如何？ 当我为一家小型ISP工作时，我们转售了另一个更高级别的访问。 因此，一个拨入我们的人进入我们的networking，如果您不是在与我们的networking服务器或邮件服务器交谈，那么stream量就会stream向更高层的提供商，我们不知道谁在networking中对您的数据做了什么，或者他们的pipe理员如何值得信赖。

如果你想知道有多less人可以“潜在地”看到你的stream量做跟踪路由，你会看到尽可能多的每个路由点回应。 这是假设隐形设备不在其中一些之间。 而且这些设备每个都是路由器，而不是伪装成路由器。

事情是，你无法知道攻击是多么普遍。 没有任何法规要求公司必须披露被发现的攻击，除非您的信用信息受到损害。 大多数公司不会因为这是令人尴尬的（或太多的工作）。 随着恶意软件数量的增加，这可能比你想象的要普遍得多，即使如此，关键还是要发现这种攻击。 当恶意软件正常工作时，大多数用户不知道什么时候发生。 而实际上，那些公司只有在必须的情况下才报告的情况下，实际上是一个什么样的人。

当然，这些都忽视了这样的情景：公司不得不logging下你的stream量，并且不告诉你就把它们披露给政府机构。 如果你在美国，感谢“爱国者法案”，图书馆和互联网服务提供商可能不得不logging你的数据传输，电子邮件和浏览logging，而不告诉你他们正在收集你的信息。

换句话说，目前还没有关于MITM和拦截攻击对用户多么stream行的硬数据，但有证据表明，这种攻击会比较舒适，而且大多数用户不太关心获取这些信息。

真正的问题是“我应该把多less有限的资源投入到MITM攻击而不是其他地方？

这取决于所涉及的通信的很多性质，并没有单一的答案。 根据我的经验，与其他安全风险相比，这不是一个很大的风险，但通常是最小化的一个很便宜的风险（例如：SSL证书，并且使用HTTPS通常就足够了），所以修复比花时间评估多less这可能是一个风险。

你家有无线接入点吗？ 代理服务器在工作？

这些入口/出口点都可以在没有大量政府/企业共谋的情况下进行妥协。 ISPs基础设施的组件也可能会受到影响。

你使用networking浏览器吗？ 将浏览器configuration为将stream量引导至中间的人是非常简单的。 有浏览器恶意软件，使用这种方法重新路由某些银行和经纪交易，特别是对于有线特权的小企业。

安全是关于风险pipe理的……如何处理风险有两个基本属性：发生的可能性和影响。 您发生严重车祸的实际可能性非常低，但对您的人身安全造成的影响很大，所以您扣上安全带并将您的婴儿放在汽车座椅上。

当人们懒惰和/或廉价时，灾难往往是结果。 在墨西哥湾，BP忽略了各种风险因素，因为他们认为他们把风险转嫁给了承包商，并且认为他们已经钻了足够多的井没有发生事故，所以发生事故的可能性非常低。

MitM攻击在本地networking中几乎是唯一遇到的。 跨互联网连接需要ISP或政府级别的访问权限 – 任何拥有这种资源级别的人都很难追踪到您的数据。

一旦有人进入你的networking，那么你有严重的问题，但除此之外，你可能没问题。

@克雷格：在你的编辑中，你有一些错误的信息。 无线networking不是基于广播的。 在无线通信会话（无线客户端和无线接入点之间）中传输的数据不是“广播”给大家听的。 无线客户端与AP关联，并且在所述客户端和AP之间进行通信。 如果你的意思是数据被广播，因为它被封装在一个“广播”的无线电信号中，那么是的，它可以被非常具体的无线设备（RMON无线适配器）和软件工具所吸引。 与相同的AP没有关联的无线客户机除了上述设备之外没有机制来截取或“听到”无线业务。 TCP / IPnetworking中的无线通信基本上与除传输介质之外的有线networking相同：与物理线路相反的无线电波。 如果WiFistream量被广播给每个人窃听，它将永远不会离开绘图板。

话虽如此，我认为无线networking给MITM攻击带来了更大的风险，因为访问无线networking“注入”非法系统以拦截stream量不需要物理访问。