酒类网站建设,专门做运动鞋的网站,企业网站建设的主要内容,杭州网站优化服务转载自 漫画#xff1a;什么是中间人攻击故事发生在上世纪40年代......在解放战争初期#xff0c;东北牡丹江一带#xff0c;奶头山有一个土匪副官叫栾平。他计划将包含重要信息的先遣图#xff0c;献给威虎山的土匪头子座山雕。而后栾平被共军抓获#xff0c;侦查员杨子荣…转载自 漫画什么是中间人攻击故事发生在上世纪40年代......在解放战争初期东北牡丹江一带奶头山有一个土匪副官叫栾平。他计划将包含重要信息的先遣图献给威虎山的土匪头子座山雕。而后栾平被共军抓获侦查员杨子荣利用审讯栾平获得的情报以及先遣团巧妙混入威虎山。结局不用多说栾平和座山雕自然都倒了大霉。虽然那个时候没有互联网但杨子荣采取的谋略却相当于现在威胁网络安全的中间人攻击MITMAman in the middle attack。中间人攻击是一种间接的入侵攻击这种攻击模式是将一台计算机虚拟放置在网络连接中的两台通信计算机之间这台计算机就称为“中间人”。黑客利用这台“中间人”计算机模拟相互通信的一端或者两端使“中间人”能够与原通信计算机建立活动连接并允许其读取或修改通信两端所传递的信息。在故事里栾平与座山雕就好比网络通信端A和通信端B杨子荣好比是攻击者C几人传递的先遣图和联络暗号则好比是网络传输的数据信息。大多数情况下中间人攻击是发生在局域网中。1.DNS欺骗对于DNS服务器相信小伙伴们都很熟悉了。在互联网的世界里DNSDomain Name System域名系统用于把访问域名解析成IP地址使得用户发出的网络请求可以寻找到正确的目标服务器。攻击者往往可以通过入侵DNS服务器或是篡改用户本地hosts文件从而截获到用户发出的请求。截获请求以后根据不同目的攻击者既可以让用户“误入歧途”引导用户访问一个假网站也可以把用户请求依旧转发给目标服务器仅仅实现监听的目的。欺骗的流程如下图所示需要注意的是这里为了便于描述大大简化了DNS解析的过程。实际场景涉及到DNS的递归查询、root DNS、A记录解析、CName解析等概念以后有可能专门写文介绍相关知识。2.APR欺骗如果说DNS欺骗是在广域网中的拦截用户请求那么APR欺骗就是在局域网中的拦截用户请求。ARPAddress Resolution Protocol地址解析协议是一种将IP地址转化成物理地址的协议。在局域网中主机A想要跟主机B假设IP是123通信不仅需要知道对方的IP也要需要知道对方的MAC地址。如果主机A的本地ARP缓存表没有主机B的地址缓存主机A就会在向局域网内的所有主机发起广播请求IP为123的主机。主机B收到广播检查自己的IP地址与主机A请求中的IP地址一致就会把自己的MAC地址返回给主机A。主机A接收到反馈以后会把主机B的MAC地址存入本地ARP缓存表以便下次直接使用。如何实现APR欺骗呢攻击者利用了APR协议的漏洞通过局域网内部的一台主机IP并不是123冒充主机B向主机A发送自己的MAC地址。主机A接到消息以后无法识别消息是真的来自主机B还是来自一个冒名顶替者只能照样把接受到的新MAC地址存入ARP缓存表取代原先的记录。下一次当主机A想要向主机B发送请求的时候会先查询自己的ARP缓存表查出主机B的MAC地址是def本来应该是abc结果把请求发给了主机D。从而让攻击者拦截到了请求信息。3.代理服务器这个概念就很简单了。所谓代理服务器就是用户主机在访问网站时所使用的各种代理比如wifi比如VPN比如翻墙工具。这些代理未必都是可靠的有些可能会遭到黑客攻击有些可能自身就有问题。当用户通过这些代理发送请求的时候请求信息自然而然就会被劫持。1.使用DNSSEC机制Domain Name System Security Extensions (DNSSEC)DNS安全扩展是一系列DNS安全认证的机制可以验证用户访问的站点地址是否有效解决DNS欺骗的问题。2.使用防火墙和杀毒软件在局域网内发起ARP欺骗的主机往往是中了病毒的机器从而被黑客控制因此需要定期查杀病毒。而防火墙可以有效地阻挡疑似APR欺骗的消息。3.使用HTTPS协议HTTPS协议在HTTP协议的基础上增加了SSL层SSL依靠证书来验证服务器的身份并为浏览器和服务器之间的通信加密。这样一来即使攻击者截获了用户发出的请求信息也无法解密信息更无法篡改信息。
