حملات Man-in-the-middle attacks: تعریف، انواع و راهکارها

حملات Man-in-the-middle (MITM) در حوزه امنیت شبکه به نوعی حملات است که در آن هکرها توانایی رهگیری و تغییر داده‌هایی که بین دو طرف در یک ارتباط شبکه‌ای انجام می‌شود را دارند. در این نوع حملات، هکرها به عنوان یک مهاجم در میان ارتباط بین دو طرف حاضر می‌شوند و تلاش می‌کنند اطلاعات را برای خودشان دزدیده و در برخی موارد آن‌ها را تغییر دهند.

در این مقاله از ایوسی، به تعریف و انواع حملات Man-in-the-middle و راهکارها برای جلوگیری از آن‌ها خواهیم پرداخت.

حملات Man-in-the-middle تعریف و انواع آن‌ها:

حملات Man-in-the-middle یا MITM حملاتی هستند که در آن هکرها بین ارتباط دو طرف وارد شده و تلاش می‌کنند اطلاعات را رهگیری کنند و در برخی موارد آن‌ها را تغییر دهند. این حملات در شبکه‌های عمومی و رده‌های امنیتی در حوزه اینترنت و اینترانت شایع هستند.

انواع حملات Man-in-the-middle عبارتند از:

1. ARP Spoofing: در این نوع حملات، هکر دسترسی غیرمجاز به جدول ARP یک شبکه را بدست می‌آورد و اطلاعات ARP را تغییر می‌دهد تا بتواند ترافیک شبکه را رهگیری کند و اطلاعات را تغییر دهد.
2. DNS Spoofing: در حملات DNS Spoofing، هکر تلاش می‌کند دامنه‌های شبکه را قربانی کند و ترافیک DNS را رهگیری کند و اطلاعات را تغییر دهد. هکر می‌تواند آدرس IP یا نتایج جستجو را به هر نحوی که بخواهد تغییر دهد و کاربر را به سایت‌های جعلی هدایت کند.
3. SSL Stripping: در این نوع حملات، هکر تلاش می‌کند پروتکل امنیتی SSL را قربانی کند و با تغییر اطلاعات بین کلاینت و سرور، اطلاعات حساس را رهگیری کند. این نوع حمله معمولاً با استفاده از تکنیک‌های تجاوزی مثل کاذب سازی گواهینامه SSL انجام می‌پذیرد.
4. Wi-Fi eavesdropping: در این حمله، هکر به دنبال دسترسی به شبکه‌های Wi-Fi عمومی است و با رهگیری ترافیک شبکه، اطلاعات حساس را رهگیری می‌کند. این نوع حمله معمولاً در محل‌های عمومی مانند فرودگاه‌ها، کافه‌ها و هتل‌ها رخ می‌دهد.
5. تروجان‌ها و کیلوگرها: تروجان‌ها و کیلوگرها نوعی نرم‌افزار مخرب هستند که بدون اطلاع کاربر نصب شده و اقدام به جمع‌آوری اطلاعات شخصی کاربران می‌کنند. این نوع حملات معمولاً از طریق ایمیلهای آلوده، سایت‌های مخرب و نرم‌افزارهای آلوده انجام می‌شوند.
6. فیشینگ: در حملات فیشینگ، هکران تلاش می‌کنند با ارسال ایمیل‌ها و پیام‌های متقلب، اطلاعات حساس کاربران را به دست بیاورند. معمولاً این پیام‌ها به صورت جعل شده شبیه به سازمان‌های قابل اعتماد (مانند بانک‌ها، شرکت‌های اینترنتی معتبر و …) طراحی می‌شوند تا کاربران ترغیب به ورود اطلاعات خود شوند.
7. حملات DDoS: در حملات DDoS (Distributed Denial of Service) هکران از یک یا چندین دستگاه مختلف استفاده می‌کنند تا به صورت همزمان، ترافیک زیادی به یک سرور یا شبکه فرستاده و آن را بیش از حد بارش دهند. این عمل باعث اختلال در عملکرد سرور و سرویس‌های آن می‌شود و ممکن است باعث قطع ارتباط با آن سرویس شود.
8. فریب امنیتی: این نوع حملات به عنوان اجتناب‌ناپذیر، دست‌کاری در رفتار کاربران را هدف قرار می‌دهند. هکران سعی می‌کنند کاربران را متقاعد کنند تا اقداماتی مخرب را انجام دهند مانند نصب نرم‌افزار مشکوک یا ارسال اطلاعات شخصی به آنها.
9. نفوذ از طریق فرآیندهای ضعیف: هکران ممکن است از طریق تروجان‌ها، نرم‌افزارهای آلوده و ضعف‌های امنیتی در سیستم‌ها و شبکه‌ها به طور مستقیم وارد سیستم‌های هدف شوند و از اطلاعات حساس استفاده کنند یا روند کسب‌وکار کمپانی را تخریب کنند.

هکران همچنین از تکنیک‌هایی مانند اجرای کد ایجاد کراش (Code Injection), حملات تزریق SQL (SQL Injection), اسکن پورت‌ها (Port Scanning) و بهره‌برداری از ضعف‌های امنیتی شناخته شده (Exploiting Known Vulnerabilities) نیز استفاده می‌کنند.

مرتبط: HTTP در مقابل HTTPS: تفاوت ها را بیاموزید

راهکارها برای مقابله با حملات Man-in-the-middle:

حفاظت از شبکه‌ها و اطلاعات در مقابل حملات Man-in-the-middle یک چالش بزرگ در حوزه امنیت شبکه است. در زیر تعدادی از راهکارهای مهم برای مقابله با این نوع حملات را بررسی خواهیم کرد:

1. استفاده از پروتکل‌های امن: استفاده از پروتکل‌های امن مانند SSL و TLS برای ارتباطات اینترنتی مفید است. این پروتکل‌ها بتوانند اطلاعات را به صورت رمزنگاری شده منتقل کند و از حملات Man-in-the-middle جلوگیری کنند.
2. اعتماد به گواهی‌نامه‌ها: بررسی صحت و اعتبار گواهی‌نامه‌ها می‌تواند از حملات Man-in-the-middle جلوگیری کند. توسعه دهندگان برنامه‌ها و مرورگرها باید همواره گواهی‌نامه‌ها را از موسسات قابل اعتماد دریافت کنند.
3. استفاده از شبکه‌های امن: استفاده از شبکه‌های امن و رمزنگاری شده مانند شبکه‌های مجازی خصوصی (VPN) می‌تواند از حملات MITM جلوگیری کند. شبکه‌های VPN به ترافیک شبکه رمزگذاری شده فراهم می‌کنند و از رهگیری توسط هکرها جلوگیری می‌کنند.
4. بروزرسانی سیستم‌عامل و برنامه‌ها: بروزرسانی سیستم‌عامل و برنامه‌ها به طور منظم می‌تواند از آسیب‌پذیری‌هایی که هکرها ممکن است برای حملات MITM استفاده کنند، جلوگیری کند.
5. دقت در اتصال به شبکه‌های عمومی: با توجه به اینکه بسیاری از حملات MITM در شبکه‌های عمومی اتفاق می‌افتند، به طور دقیق به شبکه‌هایی که به آن متصل می‌شوید توجه کنید و برای انتقال اطلاعات حساس از شبکه‌های خصوصی استفاده کنید.
6. آموزش کاربران: آموزش کاربران در مورد روش‌هایی که هکرها برای حملات MITM استفاده می‌کنند، می‌تواند از این نوع حملات به صورت قابل ملاحظه‌ای جلوگیری کند. کاربران باید آگاهی کامل در مورد تهدیدهای امنیتی باشند و رفتارهای امنیتی را در ارتباطات خود رعایت کنند.
7. استفاده از فایروال: استفاده از فایروال‌های قوی و کانفیگ شده صحیح می‌تواند از حملات MITM جلوگیری کند. فایروال‌ها می‌توانند ترافیک شبکه را بررسی کنند و هرگونه تلاش برای حمله MITM را متوقف کنند.
8. استفاده از الگوریتم‌های رمزنگاری قوی: استفاده از الگوریتم‌های رمزنگاری قوی و امن می‌تواند از تلاش‌های هکرها برای خواندن و تغییر داده‌های مربوط به ارتباطات، جلوگیری کند.
9. استفاده از شناسایی دو عاملی: استفاده از سیستم‌های تشخیص دو عاملی می‌تواند از حملات MITM جلوگیری کند. این سیستم‌ها با اطمینان از هویت افراد در فرآیند احراز هویت کمک می‌کنند و تلاش‌های هکرها برای به دست آوردن اطلاعات از طریق حملات MITM را بی‌اثر می‌سازند.
10. استفاده از ابزارهای کاهش خطر: استفاده از ابزارها و برنامه‌های کاهش خطر می‌تواند از حملات MITM جلوگیری کند. این ابزارها می‌توانند تغییرات ناخواسته در پورت‌ها و سرویس‌ها را تشخیص دهند و از حملات MITM پیشگیری کنند.
11. محافظت از دستگاه‌های هوشمند: در حال حاضر بسیاری از ارتباطات از طریق دستگاه‌های هوشمند انجام می‌شوند. در نظر داشتن امنیت دستگاه‌های هوشمند و استفاده از رمز‌های پیچیده و تغییر آن‌ها به منظور جلوگیری از حملات MITM اهمیت دارد.

سوالات متداول:

نمونه ای از انسان در حملات مرد میانی (MITM) در زندگی واقعی چیست؟

یکی از نمونه هایی که میتوان به عنوان حملات MITM در زندگی واقعی اشاره کرد، حمله به یک شبکه بی سیم عمومی است. در این حمله، یک مهاجم با نصب یک نقطه دسترسی جعلی به نام “evil twin” یا همچنین شناخته شده به عنوان Wi-Fi جعلی، تلاش می کند تا ترافیک شبکه را به طریق پیش فرض خود تغییر دهد و اطلاعات حساس مانند نام کاربری و رمز عبور را جمع آوری کند.

هنگامی که یک فرد کاربر تلاش میکند برای اتصال به شبکه Wi-Fi، او ممکن است به صورت خودکار به evil twin مهاجم وصل شود به جای شبکه اصلی. از آنجا که ترافیک تمامی کامپیوترها و دستگاه ها از طریق evil twin عبور می کند، مهاجم می تواند برای تنظیمات DNS غیرمجاز استفاده کند و تمامی درخواست های وب را به سرورهای خود فرستاده لذا اطلاعات کاربران هدف گرفته خواهد شد.

این حمله به صورت رایج در مکان های عمومی مانند فرودگاه ها، کافی شاپ ها و هتل ها رخ می دهد. برای جلوگیری از آن، مهم است که همیشه به دقت شبکه ها را قبل از اتصال چک کنید و از اتصال به شبکه های Wi-Fi عمومی بدون رمز عبور پرهیز کنید.

چرا به آن حمله مرد میانی می گویند؟

MITM مخفف عبارت Man-in-the-Middle که به حملاتی اطلاق می‌شود که هنگام برقراری ارتباط بین دو طرف، یک حضور واسطه را میان آنها تصور می‌کند. این واسطه (مرد میانی) قادر است ارتباط بین طرفین را دستکاری کند و اطلاعاتی را برداشت یا تغییر داده و حتی می‌تواند به صورت ناشناس در این ارتباط حضور داشته باشد.

به عنوان مثال، در یک حمله MITM بر روی یک شبکه بی‌سیم، مهاجم میتواند به عنوان یک مراقب مخفی در میان محل قرارگیری دو طرف ارتباطی (مانند کامپیوتر شخص A و شبکه معناداری مانند یک مودم) حضور یابد. او می‌تواند ارتباط بین A و مودم را تحت کنترل خود قرار داده و از ارتباط این دو طرف تغییراتی انجام دهد. آنچه که شخص A ارسال و دریافت می‌کند را نمی‌توان به طور کل به مودم معتمد دانست، زیرا ده‌ها ابتدا از آن‌ها گذر و حضور مرد میانی می‌کند.

به همین دلیل این حمله به عنوان MITM نامیده می‌شود، زیرا مانند یک مرد میانی هست که به صورت پنهانی در میان طرفین یک ارتباط حضور دارد.

آیا VPN از حمله مرد میانی جلوگیری می کند؟

بله، VPN (شبکه خصوصی مجازی) از حمله مرد میانی جلوگیری می کند. VPN یک راهکار امنیتی است که اطلاعات شما را در حین انتقال از دسترس برخی حملات میانبری محافظت می کند. با استفاده از VPN، ترافیک اینترنت شما رمزنگاری می شود و از طریق یک زیرساخت امن به مقصد موردنظر ارسال می شود، بدون اینکه بتوانند داده های شما را مورد آزمایش قرار دهند یا آن را جاسازی کنند. بنابراین، حمله مرد میانی در صورت استفاده از یک VPN به شدت سخت‌تر می‌شود.

چگونه یک حمله MITM را شناسایی کنید؟

حمله MITM یا Man-in-the-Middle به زمانی اشاره دارد که یک فرد یا گروه از افراد درونی یا خارجی بین دو طرف در تبادل ارتباطات قرار می‌گیرند و تلاش می‌کنند تا ترافیک ارسالی را تغییر دهند یا مشاهده کنند. برخی راه‌های احتمالی برای شناسایی یک حمله MITM عبارتند از:

1. بررسی گواهینامه SSL: اگر شما یک وبسایت را با استفاده از اتصال امن SSL می‌بینید (با پروتکل HTTPS) اما گواهینامه SSL آن زنجیره ای نامعتبر را نشان می‌دهد، این یک نشانه ممکن برای حمله MITM است. در این حالت، ممکن است مهاجم نیز یک سرور با گواهی SSL نامعتبر را بر روی سایت خود نصب کرده و ارتباط را از طریق خود ردیابی کند.
2. تغییرات ناخواسته IP آدرس: اگر ترافیک شما از یک آدرس IP خاص به یک دیگر تغییر می‌کند، حمله MITM ممکن است صورت گرفته باشد. شما می‌توانید با نگاه کردن به IP آدرس ها در تنظیمات شبکه خود تغییرات را تشخیص دهید.
3. هشدارهای مرورگر وب: در برخی از مرورگرها، ممکن است ارورها یا هشدارهایی راجع به امنیت ارتباط نمایش داده شوند. این هشدارها ممکن است به حمله MITM اشاره کنند و مرورگر شما را از ادامه ارتباط با سرور مشکوک منع کند.
4. بررسی عملکرد شبکه: اگر شما احساس می‌کنید که شبکه خود غیرعادی عمل می‌کند، ممکن است نشانه‌های نفوذ متنوعی وجود داشته باشد. مثلاً اگر سرعت اینترنت شما ناگهان پایین می‌آید یا شما تأخیر بیش از حدی در دریافت یا ارسال داده‌ها تجربه می‌کنید، این می‌تواند نشانه‌ای از یک MITM باشد.
5. نرم‌افزارهای شنود شبکه: استفاده از نرم‌افزارهایی مانند Wireshark می‌تواند به شما کمک کند تا ترافیک شبکه را بررسی کرده و هر تغییراتی که ممکن است توسط یک MITM صورت گرفته است راناسایی کنید. با استفاده از این نرم‌افزارها، می‌توانید بسته‌های داده‌ای را در مسیر بین شما و سرور مقصد مشاهده کنید.

به طور کلی، بررسی صفحات امنیتی و اطمینان حاصل کردن از اعتبار و دقت ارتباطات در اینترنت کمک می‌کند تا حملات MITM شناسایی شوند.

مرتبط: ۱۷ نوع حمله سایبری که معمولاً توسط هکرها استفاده می شود

حمله MITM چه مراحلی دارد؟

حمله MITM (Man-in-the-Middle) یا حمله انسان در میان، به شکلی است که هکر میانجی فرضی بین دو طرف ارتباط برقرار می کند و تلاش می کند تمام ارتباطات از طریق خود عبور کند. این نوع حمله می تواند به سرقت اطلاعات حساس طرفین منجر شود.

مراحل یک حمله MITM به صورت زیر است:

1. تهیه نقشه شبکه: هکر ابتدا باید نقشه کلی شبکه را تهیه کند تا بتواند پورت ها و ریسه های ارتباطی بین طرفین را شناسایی کند.
2. حمله ARP Spoofing: با استفاده از تکنیک ARP Spoofing، هکر برای تغییر آدرس MAC خود با آدرس MAC یکی از طرفین، بر روی شبکه ارسال درخواست ARP جعلی می کند. این کار باعث می شود تا تمام اطلاعات ارسالی از جانب طرفین، از طریق هکر عبور کند.
3. حفظ پوشش: هکر سعی می کند تا تمام ارتباطات را بدون آگاهی طرفین برقرار کند. برای این کار، هکر باید ارتباطات را طوری تغییر دهد که طرفین از هیچ تغییری مطلع نشوند. به عنوان مثال، هکر می تواند فرستنده اصلی را به عنوان مقصد جعلی بنویسد.
4. رهسپاری ارتباطات: هکر باید تمام ارتباطات از طریق خود عبور کند. این شامل پیام های شخصی، اطلاعات حساس، گذرواژه ها و غیره می شود.
5. بلاغ کردن به طرفین: در این مرحله، هکر ممکن است طرفین را در مورد وجود حمله مطلع کند تا از آنها بپرسد که اطلاعات خود را بدهند یا عملیات خاصی انجام دهند که به سود هکر باشد.

مراحل حمله MITM ممکن است در هر حمله خاصی متفاوت باشد، اما عموماً این مراحل را شامل می شود. در هر صورت، مهم است که از ارتباطات امن و رمزنگاری شده استفاده کنید تا از این نوع حمله جلوگیری کنید.

هدف حمله MITM چیست؟

هدف حمله Man-in-the-Middle (MITM) همانطور که از نامش پیداست، کنترل و تلاش برای تحقق قدرت مستقیم درون شبکه بین دو قطعه اطلاعات است. در این نوع حملات، حمله کننده با موفقیت بین مکان های ارتباطی دو طرف اصلی قرار می گیرد و اطلاعاتی که بین آنها تبادل می شوند را می خواند و حتی ممکن است آنها را تغییر دهد یا حتی از مهارت های اسپوفینگ استفاده کند تا خطر اطلاعاتی ناخواسته و مخرب را ایجاد کند. این حمله باعث تهدید امنیت ارتباطات و حریم خصوصی افراد می شود.

آیا man-in-the-middle یک جاسوس افزار است؟

نه، man-in-the-middle (MITM) یک تکنیک حمله هکری است که در آن هکر باقیمانده میانجی و ارتباط رمزگذاری شده بین دو طرف را تغییر می‌دهد و به اطلاعات ارسال شده دسترسی می‌یابد. MITM به عنوان یک تهدید برای امنیت ارتباطات اینترنتی شناخته شده است و با استفاده از انواع تکنیک ها مانند ARP spoofing یا SSL stripping انجام می‌شود. MITM در واقع یک نوع حمله است و نه یک جاسوس افزار.

جمع بندی

در این مقاله به تعریف و انواع حملات Man-in-the-middle و راهکارهای مقابله با آن‌ها پرداختیم. درک این حملات و استفاده از راهکارهای امنیتی میتواند به ما در حفاظت از اطلاعاتمان در شبکه کمک کند.