help-header

حمله Man in the Middle چیست؟

حمله Man in the Middle یا حمله مرد میانی یکی از انواع حمله‌های سایبری است که مهاجم با روش‌هایی، میان مقصد و مبدا قرار می‌گیرد و هویت هر کدام از طرفین را جعل و مکالمات یا داده‌های در حال انتقال را روی بستر شبکه شنود یا به سرقت می‌برد. در این روش قربانی این حمله سایبری متوجه سرقت اطلاعات یا شنود مکالمات نمی‌شود. به این روش، حمله MITM نیز می‌گویند. مهاجم زمانی می‌تواند به‌شکل مخفیانه به اطلاعات دسترسی داشته باشد که جریان ارتباطی رمزنگاری نشده باشد.

 

انواع حمله MITM

انواع مختلفی از حمله‌های سایبری، در دسته‌ی حمله‌‌های Man in the Middle قرار می‌گیرند. برخی از این حمله‌ها وسعتی به اندازه‌ی یک شبکه محلی و برخی ابعادی بسیار بزرگ‌تر دارند. در این بخش به معرفی انواع مختلف حملات MITM می‌پردازیم.

 

حمله IP Spoofing

در این روش مهاجم تلاش می‌کند که هویت یکی از طرفین را جعل و ترافیک میان یک ارتباط دوطرفه را به سمت آدرس IP خودش هدایت کند. به زبانی ساده هکر خودش را به جای IP مورد اعتماد و مجاز برای سیستم طرف مقابل می‌گذارد و قربانی با اعتماد به این آدرس IP تمام اطلاعات را منتقل و درنهایت در اختیار مهاجم قرار می‌گیرد. به عنوان مثال ممکن است یک فایروال فقط به یک IP اجازه دسترسی بدهد، در هکر می‌تواند از طریق IP Spoofing که یکی از روش‌های حمله Man in the Middle است آدرس Trust IP را جعل و از فایروال عبور می‌کند.

 

حمله DNS Spoofing

همانطور که می‌دانید DNS از طریق یک آدرس IP که در روتر ثبت شده است، وظیفه تبدیل نام و‌سایت به آدرس‌های اینترنتی (و برعکس) و در نتیجه نشان دادن سایت مورد نظرتان را در مرورگر دارد. سرور DNS در یک سازمان می‌تواند یک روتر، فایروال یا سرویس DNS Server ویندوز یا یک سرور لینوکس باشد. مهاجم با دسترسی به Cache سرورِ DNS می‌تواند تغییراتی را اعمال کند تا در زمان وارد کردن نام یک وبسایت به وبسایت جعلی هدایت شوید.

 

حمله URL Spoofing

جعل وبسایت یا جعل URL یکی دیگر از انواع حمله MITM هست و زمانی اتفاق می‌افتد که هکر سایتی جعلی را به یک ‌سایت قانونی شبیه می‌کند. و‌سایت جعلی دارای همان طراحیِ آشنا، لوگو، صفحه ورود، علامت‌های تجاری مشابه و یک آدرس IP بسیار شبیه به آدرس سایت اصلی است. هکر معمولا از طریق ایمیلی حاوی یک لینک، هدف را به و‌سایتی جعلی هدایت می‌کند.

 

حمله Session Hijacking

در این روش هکر یک Session ID را به سرقت می‌برد و خودش را در آن موقعیت به‌شکل جعلی قرار می‌دهد و می‌تواند دیتای انتقالی را از این طریق سرقت کند. روش سرقت نشست یا Session Hijacking معمولا در Sessionهای نرم‌افزارهای تحت وب رایج است.

 

حمله Wi-Fi Eavesdropping

در روش شنود Wi-Fi مهاجم با روش‌هایی قربانی را وادار به اتصال به یک شبکه بی‌سیم می‌کند. قربانی ممکن است در مکانی مثل یک هتل باشد و به یکی از SSIDهای اطراف که روی لپ‌تاپ یا تلفن هوشمند خود می‌بینند متصل شود. پس از ارتباط با اکسس‌پوینت، مهاجم امکان سرقت اطلاعات را دارد، زیرا قربانی به یک SSID نامعتبر متصل شده است.

 

تشخیص وقوع حمله Man in the Middle

آگاهی از حمله‌ی MITM نیازمند مانیتورینگ لحظه‌ای شبکه از طریق نرم‌افزارهای مانیتورینگ است و با توجه به اینکه این روش به صورت پنهانی و جهت سرقت اطلاعات و شنود مکالمه رخ می‌دهد، قربانی معمولا از این اتفاق مطلع نمی‌شود و ممکن است مهاجم مدت طولانی به شنود اطلاعات ادامه دهد. بنابراین مهم‌ترین روش برای تشخیص، مانیتورینگ لحظه‌ای شبکه درون‌سازمانی است. 

 

روش‌های پیشگیری از وقوع حمله Man in the Middle

در کنار موارد ذکر شده در بخش قبل، یک روش مهم دیگر نیز برای جلوگیری از حملات MITM وجود دارد و آن پیشگیری است. با استفاده از چند اقدام تا حد زیادی امکان پیشگیری از وقوع این حمله وجود دارد.

 

استفاده از VPN

شبکه خصوصی محلی یک بستر امن برای سازمان‌ها محسوب می‌شود. در روش استفاده از VPN شبکه سازمان از طریق احراز هویت به افراد اجازه ورود به شبکه را می‌دهد. حتی اگر مهاجم بتواند وارد این شبکه خصوصی شبکه به دلیل رمزنگاری امکان شنود را ندارد.

 

فعال‌سازی HTTPS

پروتکل HTTPS به جای HTTP برای صفحات وب یک امر حیاتی، هم برای سرویس‌دهنده و هم سرویس‌گیرنده است. زمانی که این پروتکل برای یک صفحه وب فعال باشد، ارتباط از طریق یک کلید خصوصی برقرار می‌شود و همین امر باعث می‌شود کار مهاجم برای حمله به‌شکل مرد میانی بسیار دشوار شود.

 

استفاده از کلید عمومی (Public Key Authentication)

حمله MITM معمولا شامل جعل چیزی یا فرد دیگری است. احراز هویت مبتنی بر کلید عمومی مانند RSA می‌تواند در لایه‌های مختلف، شبکه یا سرویس شما را در مقابل این همه محافظت کند. زیرا از طریق احراز هویت باPublic Key  این اطمینان حاصل می‌شود که نقطه مقابل همان نقطه مورد اعتماد و امن است.

 

رمزنگاری روی اکسس‌پوینت با WEP/WAP

استفاده از مکانیزم WEP/WAP برای رمزنگاری باعث ایجاد رمزهایی طولانی و چندکارکتری می‌شود. اگر رمز ورود به Access Point قوی نباشد، مهاجم از طریق روش حمله Brute Force وارد شبکه می‌شود و از طریق روش حمله مرد میانی اطلاعات را شنود و به سرقت می‌برد.

 

رمز چندکاراکتری برای Login به روتر

علاوه بر ایمن‌سازی رمز در اکسس‌پوینت، تغییر رمز ورود به روتر به یک رمز چندکاراکتری قوی می‌تواند یکی دیگر از روش‌های پیشگیری باشد. مهاجم اگر به روتر شما دسترسی پیدا کند، می‌تواند به اطلاعات DNS نیز دسترسی و آنها را به نفع خود تغییر دهد.