偽造CA證書,實施中間人攻擊方法?

通過偽造CA證書,實現SSL中間人攻擊_kfirst_新浪博客

現在,用戶上網情況:

ISP:電信寬頻(電話線),電信貓。

網路:一台電腦,沒組建區域網。

系統:ubuntu12.04

文件:設置了hosts文件。

問題:

1.上面鏈接說,中間人攻擊,是利用ARP欺騙,和DNS欺騙。這兩種方法。

還有,其它方法么?

2.上面連接實例,是在區域網利用APR欺騙,實施中間人攻擊。

用戶所有數據,都先轉去代理伺服器(攻擊者的伺服器),再轉去客服端。對么?

3.用戶與ISP電信之間,是什麼網路?區域網么?

4.用戶設置了hosts文件,這樣可以完全杜絕DNS欺騙么?

5.假設,ISP實施中間人攻擊。參考上面鏈接的方法。

怎樣實施中間人攻擊?


中間人欺騙,MIM,顧名思義就是利用傳輸通道的位置欺騙兩端的用戶,讓他們分別以為欺騙者就是對方,從而欺騙、竊取、篡改數據的方式。

所以任何可以讓欺騙者處於「中間位置」的方法都可以協助進行「中間人欺騙」,除了題主說的區域網ARP欺騙和廣域網DNS欺騙外,還包括且不僅限於:物理接入、Wi-Fi欺詐、偽基站、木馬植入等等。

用戶和ISP之間可能是任何網路:區域網、無線網、專線……

改Hosts文件僅對特定網站有效,畢竟你不可能把所有需要訪問的網站都寫進Hosts

ISP端中間人的話方法一樣的,可以通過改路由或者DNS。


1.上面鏈接說,中間人攻擊,是利用ARP欺騙,和DNS欺騙。這兩種方法。

還有,其它方法么?

據我的知識來說沒有了。當然如果你是直接站在目標和網站中間的路由的話,欺騙也可以免了。

2.上面連接實例,是在區域網利用APR欺騙,實施中間人攻擊。

用戶所有數據,都先轉去代理伺服器(攻擊者的伺服器),再轉去客服端。對么?

是的

3.用戶與ISP電信之間,是什麼網路?區域網么?

不一定。一般情況下是 peer to peer 的鏈接。

4.用戶設置了hosts文件,這樣可以完全杜絕DNS欺騙么?

可以。 設置了 hosts 就完全的繞過了 DNS 了。

5.假設,ISP實施中間人攻擊。參考上面鏈接的方法。

怎樣實施中間人攻擊?

你貼的鏈接的這篇文章不就是講怎麼實施的么……


1、ARP欺騙是本地區域網的中間人攻擊,攻擊方需要和你在同一個區域網內。它通過欺騙將自己加入到你和伺服器連接的路由中(偽裝身份是路由器)。

2、DNS欺騙是第三方的中間人攻擊,也就是第三方並不是在你到指定伺服器的路由中。它通過欺騙將自己加入到你和伺服器連接的路由中(偽裝身份是目標伺服器)。

3、ISP根本不需要通過欺騙來攻擊,因為ISP就是中間人。它可以直接攻擊。

所以,設置hosts文件只能避免DNS欺騙,不能避免本地ARP欺騙和ISP直接攻擊。

那麼,不管是偽造的中間人還是真的中間人(ISP),怎麼樣才能確保數據在傳輸中不會被攻擊(監控/偽造)?

目前的解決方案是 SSL 加密。

但是單純的加密無法區分是否可信,加密只能保證隱秘,不能保證對方的身份。

所以,才會有可信 CA 頒發的證書才證明對方伺服器的身份。CA 根證書是預置在你本地的,通過證書鏈來一層一層證明身份。中間人只能申請到中間人的身份,而不是你要訪問的指定伺服器的身份。

那麼,實施中間人攻擊就需要偽造身份。題主所引的文章就是偽造假的證書來欺騙用戶接受。

實際上,對於普通用戶來說,永遠不要接受任何證書提示才是最安全的。


推薦閱讀:

不藉助殺毒軟體,有沒有辦法確認一台計算機是否已經被入侵,或者有沒有被植入後門?
那些網路安全的書籍到底寫給誰看的?
如何應對大站掛iframe攻擊小站?

TAG:DNS劫持 | 黑客攻擊 | Ubuntu1204 | 中間人攻擊 |