حملات Man-in-the-middle (MITM) در حوزه امنیت شبکه به نوعی حملات است که در آن هکرها توانایی رهگیری و تغییر دادههایی که بین دو طرف در یک ارتباط شبکهای انجام میشود را دارند. در این نوع حملات، هکرها به عنوان یک مهاجم در میان ارتباط بین دو طرف حاضر میشوند و تلاش میکنند اطلاعات را برای خودشان دزدیده و در برخی موارد آنها را تغییر دهند.
در این مقاله از ایوسی، به تعریف و انواع حملات Man-in-the-middle و راهکارها برای جلوگیری از آنها خواهیم پرداخت.
حملات Man-in-the-middle تعریف و انواع آنها:
حملات Man-in-the-middle یا MITM حملاتی هستند که در آن هکرها بین ارتباط دو طرف وارد شده و تلاش میکنند اطلاعات را رهگیری کنند و در برخی موارد آنها را تغییر دهند. این حملات در شبکههای عمومی و ردههای امنیتی در حوزه اینترنت و اینترانت شایع هستند.
انواع حملات Man-in-the-middle عبارتند از:
- ARP Spoofing: در این نوع حملات، هکر دسترسی غیرمجاز به جدول ARP یک شبکه را بدست میآورد و اطلاعات ARP را تغییر میدهد تا بتواند ترافیک شبکه را رهگیری کند و اطلاعات را تغییر دهد.
- DNS Spoofing: در حملات DNS Spoofing، هکر تلاش میکند دامنههای شبکه را قربانی کند و ترافیک DNS را رهگیری کند و اطلاعات را تغییر دهد. هکر میتواند آدرس IP یا نتایج جستجو را به هر نحوی که بخواهد تغییر دهد و کاربر را به سایتهای جعلی هدایت کند.
- SSL Stripping: در این نوع حملات، هکر تلاش میکند پروتکل امنیتی SSL را قربانی کند و با تغییر اطلاعات بین کلاینت و سرور، اطلاعات حساس را رهگیری کند. این نوع حمله معمولاً با استفاده از تکنیکهای تجاوزی مثل کاذب سازی گواهینامه SSL انجام میپذیرد.
- Wi-Fi eavesdropping: در این حمله، هکر به دنبال دسترسی به شبکههای Wi-Fi عمومی است و با رهگیری ترافیک شبکه، اطلاعات حساس را رهگیری میکند. این نوع حمله معمولاً در محلهای عمومی مانند فرودگاهها، کافهها و هتلها رخ میدهد.
- تروجانها و کیلوگرها: تروجانها و کیلوگرها نوعی نرمافزار مخرب هستند که بدون اطلاع کاربر نصب شده و اقدام به جمعآوری اطلاعات شخصی کاربران میکنند. این نوع حملات معمولاً از طریق ایمیلهای آلوده، سایتهای مخرب و نرمافزارهای آلوده انجام میشوند.
- فیشینگ: در حملات فیشینگ، هکران تلاش میکنند با ارسال ایمیلها و پیامهای متقلب، اطلاعات حساس کاربران را به دست بیاورند. معمولاً این پیامها به صورت جعل شده شبیه به سازمانهای قابل اعتماد (مانند بانکها، شرکتهای اینترنتی معتبر و …) طراحی میشوند تا کاربران ترغیب به ورود اطلاعات خود شوند.
- حملات DDoS: در حملات DDoS (Distributed Denial of Service) هکران از یک یا چندین دستگاه مختلف استفاده میکنند تا به صورت همزمان، ترافیک زیادی به یک سرور یا شبکه فرستاده و آن را بیش از حد بارش دهند. این عمل باعث اختلال در عملکرد سرور و سرویسهای آن میشود و ممکن است باعث قطع ارتباط با آن سرویس شود.
- فریب امنیتی: این نوع حملات به عنوان اجتنابناپذیر، دستکاری در رفتار کاربران را هدف قرار میدهند. هکران سعی میکنند کاربران را متقاعد کنند تا اقداماتی مخرب را انجام دهند مانند نصب نرمافزار مشکوک یا ارسال اطلاعات شخصی به آنها.
- نفوذ از طریق فرآیندهای ضعیف: هکران ممکن است از طریق تروجانها، نرمافزارهای آلوده و ضعفهای امنیتی در سیستمها و شبکهها به طور مستقیم وارد سیستمهای هدف شوند و از اطلاعات حساس استفاده کنند یا روند کسبوکار کمپانی را تخریب کنند.
هکران همچنین از تکنیکهایی مانند اجرای کد ایجاد کراش (Code Injection), حملات تزریق SQL (SQL Injection), اسکن پورتها (Port Scanning) و بهرهبرداری از ضعفهای امنیتی شناخته شده (Exploiting Known Vulnerabilities) نیز استفاده میکنند.
مرتبط: HTTP در مقابل HTTPS: تفاوت ها را بیاموزید
راهکارها برای مقابله با حملات Man-in-the-middle:
حفاظت از شبکهها و اطلاعات در مقابل حملات Man-in-the-middle یک چالش بزرگ در حوزه امنیت شبکه است. در زیر تعدادی از راهکارهای مهم برای مقابله با این نوع حملات را بررسی خواهیم کرد:
- استفاده از پروتکلهای امن: استفاده از پروتکلهای امن مانند SSL و TLS برای ارتباطات اینترنتی مفید است. این پروتکلها بتوانند اطلاعات را به صورت رمزنگاری شده منتقل کند و از حملات Man-in-the-middle جلوگیری کنند.
- اعتماد به گواهینامهها: بررسی صحت و اعتبار گواهینامهها میتواند از حملات Man-in-the-middle جلوگیری کند. توسعه دهندگان برنامهها و مرورگرها باید همواره گواهینامهها را از موسسات قابل اعتماد دریافت کنند.
- استفاده از شبکههای امن: استفاده از شبکههای امن و رمزنگاری شده مانند شبکههای مجازی خصوصی (VPN) میتواند از حملات MITM جلوگیری کند. شبکههای VPN به ترافیک شبکه رمزگذاری شده فراهم میکنند و از رهگیری توسط هکرها جلوگیری میکنند.
- بروزرسانی سیستمعامل و برنامهها: بروزرسانی سیستمعامل و برنامهها به طور منظم میتواند از آسیبپذیریهایی که هکرها ممکن است برای حملات MITM استفاده کنند، جلوگیری کند.
- دقت در اتصال به شبکههای عمومی: با توجه به اینکه بسیاری از حملات MITM در شبکههای عمومی اتفاق میافتند، به طور دقیق به شبکههایی که به آن متصل میشوید توجه کنید و برای انتقال اطلاعات حساس از شبکههای خصوصی استفاده کنید.
- آموزش کاربران: آموزش کاربران در مورد روشهایی که هکرها برای حملات MITM استفاده میکنند، میتواند از این نوع حملات به صورت قابل ملاحظهای جلوگیری کند. کاربران باید آگاهی کامل در مورد تهدیدهای امنیتی باشند و رفتارهای امنیتی را در ارتباطات خود رعایت کنند.
- استفاده از فایروال: استفاده از فایروالهای قوی و کانفیگ شده صحیح میتواند از حملات MITM جلوگیری کند. فایروالها میتوانند ترافیک شبکه را بررسی کنند و هرگونه تلاش برای حمله MITM را متوقف کنند.
- استفاده از الگوریتمهای رمزنگاری قوی: استفاده از الگوریتمهای رمزنگاری قوی و امن میتواند از تلاشهای هکرها برای خواندن و تغییر دادههای مربوط به ارتباطات، جلوگیری کند.
- استفاده از شناسایی دو عاملی: استفاده از سیستمهای تشخیص دو عاملی میتواند از حملات MITM جلوگیری کند. این سیستمها با اطمینان از هویت افراد در فرآیند احراز هویت کمک میکنند و تلاشهای هکرها برای به دست آوردن اطلاعات از طریق حملات MITM را بیاثر میسازند.
- استفاده از ابزارهای کاهش خطر: استفاده از ابزارها و برنامههای کاهش خطر میتواند از حملات MITM جلوگیری کند. این ابزارها میتوانند تغییرات ناخواسته در پورتها و سرویسها را تشخیص دهند و از حملات MITM پیشگیری کنند.
- محافظت از دستگاههای هوشمند: در حال حاضر بسیاری از ارتباطات از طریق دستگاههای هوشمند انجام میشوند. در نظر داشتن امنیت دستگاههای هوشمند و استفاده از رمزهای پیچیده و تغییر آنها به منظور جلوگیری از حملات MITM اهمیت دارد.
سوالات متداول:
نمونه ای از انسان در حملات مرد میانی (MITM) در زندگی واقعی چیست؟
یکی از نمونه هایی که میتوان به عنوان حملات MITM در زندگی واقعی اشاره کرد، حمله به یک شبکه بی سیم عمومی است. در این حمله، یک مهاجم با نصب یک نقطه دسترسی جعلی به نام “evil twin” یا همچنین شناخته شده به عنوان Wi-Fi جعلی، تلاش می کند تا ترافیک شبکه را به طریق پیش فرض خود تغییر دهد و اطلاعات حساس مانند نام کاربری و رمز عبور را جمع آوری کند.
هنگامی که یک فرد کاربر تلاش میکند برای اتصال به شبکه Wi-Fi، او ممکن است به صورت خودکار به evil twin مهاجم وصل شود به جای شبکه اصلی. از آنجا که ترافیک تمامی کامپیوترها و دستگاه ها از طریق evil twin عبور می کند، مهاجم می تواند برای تنظیمات DNS غیرمجاز استفاده کند و تمامی درخواست های وب را به سرورهای خود فرستاده لذا اطلاعات کاربران هدف گرفته خواهد شد.
این حمله به صورت رایج در مکان های عمومی مانند فرودگاه ها، کافی شاپ ها و هتل ها رخ می دهد. برای جلوگیری از آن، مهم است که همیشه به دقت شبکه ها را قبل از اتصال چک کنید و از اتصال به شبکه های Wi-Fi عمومی بدون رمز عبور پرهیز کنید.
چرا به آن حمله مرد میانی می گویند؟
MITM مخفف عبارت Man-in-the-Middle که به حملاتی اطلاق میشود که هنگام برقراری ارتباط بین دو طرف، یک حضور واسطه را میان آنها تصور میکند. این واسطه (مرد میانی) قادر است ارتباط بین طرفین را دستکاری کند و اطلاعاتی را برداشت یا تغییر داده و حتی میتواند به صورت ناشناس در این ارتباط حضور داشته باشد.
به عنوان مثال، در یک حمله MITM بر روی یک شبکه بیسیم، مهاجم میتواند به عنوان یک مراقب مخفی در میان محل قرارگیری دو طرف ارتباطی (مانند کامپیوتر شخص A و شبکه معناداری مانند یک مودم) حضور یابد. او میتواند ارتباط بین A و مودم را تحت کنترل خود قرار داده و از ارتباط این دو طرف تغییراتی انجام دهد. آنچه که شخص A ارسال و دریافت میکند را نمیتوان به طور کل به مودم معتمد دانست، زیرا دهها ابتدا از آنها گذر و حضور مرد میانی میکند.
به همین دلیل این حمله به عنوان MITM نامیده میشود، زیرا مانند یک مرد میانی هست که به صورت پنهانی در میان طرفین یک ارتباط حضور دارد.
آیا VPN از حمله مرد میانی جلوگیری می کند؟
بله، VPN (شبکه خصوصی مجازی) از حمله مرد میانی جلوگیری می کند. VPN یک راهکار امنیتی است که اطلاعات شما را در حین انتقال از دسترس برخی حملات میانبری محافظت می کند. با استفاده از VPN، ترافیک اینترنت شما رمزنگاری می شود و از طریق یک زیرساخت امن به مقصد موردنظر ارسال می شود، بدون اینکه بتوانند داده های شما را مورد آزمایش قرار دهند یا آن را جاسازی کنند. بنابراین، حمله مرد میانی در صورت استفاده از یک VPN به شدت سختتر میشود.
چگونه یک حمله MITM را شناسایی کنید؟
حمله MITM یا Man-in-the-Middle به زمانی اشاره دارد که یک فرد یا گروه از افراد درونی یا خارجی بین دو طرف در تبادل ارتباطات قرار میگیرند و تلاش میکنند تا ترافیک ارسالی را تغییر دهند یا مشاهده کنند. برخی راههای احتمالی برای شناسایی یک حمله MITM عبارتند از:
- بررسی گواهینامه SSL: اگر شما یک وبسایت را با استفاده از اتصال امن SSL میبینید (با پروتکل HTTPS) اما گواهینامه SSL آن زنجیره ای نامعتبر را نشان میدهد، این یک نشانه ممکن برای حمله MITM است. در این حالت، ممکن است مهاجم نیز یک سرور با گواهی SSL نامعتبر را بر روی سایت خود نصب کرده و ارتباط را از طریق خود ردیابی کند.
- تغییرات ناخواسته IP آدرس: اگر ترافیک شما از یک آدرس IP خاص به یک دیگر تغییر میکند، حمله MITM ممکن است صورت گرفته باشد. شما میتوانید با نگاه کردن به IP آدرس ها در تنظیمات شبکه خود تغییرات را تشخیص دهید.
- هشدارهای مرورگر وب: در برخی از مرورگرها، ممکن است ارورها یا هشدارهایی راجع به امنیت ارتباط نمایش داده شوند. این هشدارها ممکن است به حمله MITM اشاره کنند و مرورگر شما را از ادامه ارتباط با سرور مشکوک منع کند.
- بررسی عملکرد شبکه: اگر شما احساس میکنید که شبکه خود غیرعادی عمل میکند، ممکن است نشانههای نفوذ متنوعی وجود داشته باشد. مثلاً اگر سرعت اینترنت شما ناگهان پایین میآید یا شما تأخیر بیش از حدی در دریافت یا ارسال دادهها تجربه میکنید، این میتواند نشانهای از یک MITM باشد.
- نرمافزارهای شنود شبکه: استفاده از نرمافزارهایی مانند Wireshark میتواند به شما کمک کند تا ترافیک شبکه را بررسی کرده و هر تغییراتی که ممکن است توسط یک MITM صورت گرفته است راناسایی کنید. با استفاده از این نرمافزارها، میتوانید بستههای دادهای را در مسیر بین شما و سرور مقصد مشاهده کنید.
به طور کلی، بررسی صفحات امنیتی و اطمینان حاصل کردن از اعتبار و دقت ارتباطات در اینترنت کمک میکند تا حملات MITM شناسایی شوند.
مرتبط: ۱۷ نوع حمله سایبری که معمولاً توسط هکرها استفاده می شود
حمله MITM چه مراحلی دارد؟
حمله MITM (Man-in-the-Middle) یا حمله انسان در میان، به شکلی است که هکر میانجی فرضی بین دو طرف ارتباط برقرار می کند و تلاش می کند تمام ارتباطات از طریق خود عبور کند. این نوع حمله می تواند به سرقت اطلاعات حساس طرفین منجر شود.
مراحل یک حمله MITM به صورت زیر است:
- تهیه نقشه شبکه: هکر ابتدا باید نقشه کلی شبکه را تهیه کند تا بتواند پورت ها و ریسه های ارتباطی بین طرفین را شناسایی کند.
- حمله ARP Spoofing: با استفاده از تکنیک ARP Spoofing، هکر برای تغییر آدرس MAC خود با آدرس MAC یکی از طرفین، بر روی شبکه ارسال درخواست ARP جعلی می کند. این کار باعث می شود تا تمام اطلاعات ارسالی از جانب طرفین، از طریق هکر عبور کند.
- حفظ پوشش: هکر سعی می کند تا تمام ارتباطات را بدون آگاهی طرفین برقرار کند. برای این کار، هکر باید ارتباطات را طوری تغییر دهد که طرفین از هیچ تغییری مطلع نشوند. به عنوان مثال، هکر می تواند فرستنده اصلی را به عنوان مقصد جعلی بنویسد.
- رهسپاری ارتباطات: هکر باید تمام ارتباطات از طریق خود عبور کند. این شامل پیام های شخصی، اطلاعات حساس، گذرواژه ها و غیره می شود.
- بلاغ کردن به طرفین: در این مرحله، هکر ممکن است طرفین را در مورد وجود حمله مطلع کند تا از آنها بپرسد که اطلاعات خود را بدهند یا عملیات خاصی انجام دهند که به سود هکر باشد.
مراحل حمله MITM ممکن است در هر حمله خاصی متفاوت باشد، اما عموماً این مراحل را شامل می شود. در هر صورت، مهم است که از ارتباطات امن و رمزنگاری شده استفاده کنید تا از این نوع حمله جلوگیری کنید.
هدف حمله MITM چیست؟
هدف حمله Man-in-the-Middle (MITM) همانطور که از نامش پیداست، کنترل و تلاش برای تحقق قدرت مستقیم درون شبکه بین دو قطعه اطلاعات است. در این نوع حملات، حمله کننده با موفقیت بین مکان های ارتباطی دو طرف اصلی قرار می گیرد و اطلاعاتی که بین آنها تبادل می شوند را می خواند و حتی ممکن است آنها را تغییر دهد یا حتی از مهارت های اسپوفینگ استفاده کند تا خطر اطلاعاتی ناخواسته و مخرب را ایجاد کند. این حمله باعث تهدید امنیت ارتباطات و حریم خصوصی افراد می شود.
آیا man-in-the-middle یک جاسوس افزار است؟
نه، man-in-the-middle (MITM) یک تکنیک حمله هکری است که در آن هکر باقیمانده میانجی و ارتباط رمزگذاری شده بین دو طرف را تغییر میدهد و به اطلاعات ارسال شده دسترسی مییابد. MITM به عنوان یک تهدید برای امنیت ارتباطات اینترنتی شناخته شده است و با استفاده از انواع تکنیک ها مانند ARP spoofing یا SSL stripping انجام میشود. MITM در واقع یک نوع حمله است و نه یک جاسوس افزار.
جمع بندی
در این مقاله به تعریف و انواع حملات Man-in-the-middle و راهکارهای مقابله با آنها پرداختیم. درک این حملات و استفاده از راهکارهای امنیتی میتواند به ما در حفاظت از اطلاعاتمان در شبکه کمک کند.