حمله Man in the Middle چیست؟
حمله Man in the Middle یا حمله مرد میانی یکی از انواع حملههای سایبری است که مهاجم با روشهایی، میان مقصد و مبدا قرار میگیرد و هویت هر کدام از طرفین را جعل و مکالمات یا دادههای در حال انتقال را روی بستر شبکه شنود یا به سرقت میبرد. در این روش قربانی این حمله سایبری متوجه سرقت اطلاعات یا شنود مکالمات نمیشود. به این روش، حمله MITM نیز میگویند. مهاجم زمانی میتواند بهشکل مخفیانه به اطلاعات دسترسی داشته باشد که جریان ارتباطی رمزنگاری نشده باشد.
انواع حمله MITM
انواع مختلفی از حملههای سایبری، در دستهی حملههای Man in the Middle قرار میگیرند. برخی از این حملهها وسعتی به اندازهی یک شبکه محلی و برخی ابعادی بسیار بزرگتر دارند. در این بخش به معرفی انواع مختلف حملات MITM میپردازیم.
حمله IP Spoofing
در این روش مهاجم تلاش میکند که هویت یکی از طرفین را جعل و ترافیک میان یک ارتباط دوطرفه را به سمت آدرس IP خودش هدایت کند. به زبانی ساده هکر خودش را به جای IP مورد اعتماد و مجاز برای سیستم طرف مقابل میگذارد و قربانی با اعتماد به این آدرس IP تمام اطلاعات را منتقل و درنهایت در اختیار مهاجم قرار میگیرد. به عنوان مثال ممکن است یک فایروال فقط به یک IP اجازه دسترسی بدهد، در هکر میتواند از طریق IP Spoofing که یکی از روشهای حمله Man in the Middle است آدرس Trust IP را جعل و از فایروال عبور میکند.
حمله DNS Spoofing
همانطور که میدانید DNS از طریق یک آدرس IP که در روتر ثبت شده است، وظیفه تبدیل نام وسایت به آدرسهای اینترنتی (و برعکس) و در نتیجه نشان دادن سایت مورد نظرتان را در مرورگر دارد. سرور DNS در یک سازمان میتواند یک روتر، فایروال یا سرویس DNS Server ویندوز یا یک سرور لینوکس باشد. مهاجم با دسترسی به Cache سرورِ DNS میتواند تغییراتی را اعمال کند تا در زمان وارد کردن نام یک وبسایت به وبسایت جعلی هدایت شوید.
حمله URL Spoofing
جعل وبسایت یا جعل URL یکی دیگر از انواع حمله MITM هست و زمانی اتفاق میافتد که هکر سایتی جعلی را به یک سایت قانونی شبیه میکند. وسایت جعلی دارای همان طراحیِ آشنا، لوگو، صفحه ورود، علامتهای تجاری مشابه و یک آدرس IP بسیار شبیه به آدرس سایت اصلی است. هکر معمولا از طریق ایمیلی حاوی یک لینک، هدف را به وسایتی جعلی هدایت میکند.
حمله Session Hijacking
در این روش هکر یک Session ID را به سرقت میبرد و خودش را در آن موقعیت بهشکل جعلی قرار میدهد و میتواند دیتای انتقالی را از این طریق سرقت کند. روش سرقت نشست یا Session Hijacking معمولا در Sessionهای نرمافزارهای تحت وب رایج است.
حمله Wi-Fi Eavesdropping
در روش شنود Wi-Fi مهاجم با روشهایی قربانی را وادار به اتصال به یک شبکه بیسیم میکند. قربانی ممکن است در مکانی مثل یک هتل باشد و به یکی از SSIDهای اطراف که روی لپتاپ یا تلفن هوشمند خود میبینند متصل شود. پس از ارتباط با اکسسپوینت، مهاجم امکان سرقت اطلاعات را دارد، زیرا قربانی به یک SSID نامعتبر متصل شده است.
تشخیص وقوع حمله Man in the Middle
آگاهی از حملهی MITM نیازمند مانیتورینگ لحظهای شبکه از طریق نرمافزارهای مانیتورینگ است و با توجه به اینکه این روش به صورت پنهانی و جهت سرقت اطلاعات و شنود مکالمه رخ میدهد، قربانی معمولا از این اتفاق مطلع نمیشود و ممکن است مهاجم مدت طولانی به شنود اطلاعات ادامه دهد. بنابراین مهمترین روش برای تشخیص، مانیتورینگ لحظهای شبکه درونسازمانی است.
روشهای پیشگیری از وقوع حمله Man in the Middle
در کنار موارد ذکر شده در بخش قبل، یک روش مهم دیگر نیز برای جلوگیری از حملات MITM وجود دارد و آن پیشگیری است. با استفاده از چند اقدام تا حد زیادی امکان پیشگیری از وقوع این حمله وجود دارد.
استفاده از VPN
شبکه خصوصی محلی یک بستر امن برای سازمانها محسوب میشود. در روش استفاده از VPN شبکه سازمان از طریق احراز هویت به افراد اجازه ورود به شبکه را میدهد. حتی اگر مهاجم بتواند وارد این شبکه خصوصی شبکه به دلیل رمزنگاری امکان شنود را ندارد.
فعالسازی HTTPS
پروتکل HTTPS به جای HTTP برای صفحات وب یک امر حیاتی، هم برای سرویسدهنده و هم سرویسگیرنده است. زمانی که این پروتکل برای یک صفحه وب فعال باشد، ارتباط از طریق یک کلید خصوصی برقرار میشود و همین امر باعث میشود کار مهاجم برای حمله بهشکل مرد میانی بسیار دشوار شود.
استفاده از کلید عمومی (Public Key Authentication)
حمله MITM معمولا شامل جعل چیزی یا فرد دیگری است. احراز هویت مبتنی بر کلید عمومی مانند RSA میتواند در لایههای مختلف، شبکه یا سرویس شما را در مقابل این همه محافظت کند. زیرا از طریق احراز هویت باPublic Key این اطمینان حاصل میشود که نقطه مقابل همان نقطه مورد اعتماد و امن است.
رمزنگاری روی اکسسپوینت با WEP/WAP
استفاده از مکانیزم WEP/WAP برای رمزنگاری باعث ایجاد رمزهایی طولانی و چندکارکتری میشود. اگر رمز ورود به Access Point قوی نباشد، مهاجم از طریق روش حمله Brute Force وارد شبکه میشود و از طریق روش حمله مرد میانی اطلاعات را شنود و به سرقت میبرد.
رمز چندکاراکتری برای Login به روتر
علاوه بر ایمنسازی رمز در اکسسپوینت، تغییر رمز ورود به روتر به یک رمز چندکاراکتری قوی میتواند یکی دیگر از روشهای پیشگیری باشد. مهاجم اگر به روتر شما دسترسی پیدا کند، میتواند به اطلاعات DNS نیز دسترسی و آنها را به نفع خود تغییر دهد.
