中间人（Man-in-the-Middle，MitM）攻击是指当双方进行通信时，攻击者拦截通信，秘密地窃听或者修改双方之间的数据流。攻击者会使用MitM攻击来窃取登录凭证和个人信息、窥探受害者、破坏通信，甚至损坏数据。

CrowdStrike公司的EMEA技术策略师Zeki Turedi指出，“MitM攻击是为达到目的而实施的战术手段。其目的可能是监视个人或者团体，以转移人们的工作方向、资金、资源或者注意力。”

虽然可以通过加密措施来防御MitM，但成功的攻击者要么把数据流重新路由到设计为看起来合法的网络钓鱼网站，要么只是在收集或者记录后将数据流传送到其预定目的地，这意味着很难检测此类攻击。

中间人攻击的工作原理

MitM攻击是最古老的一种网络攻击形式。20世纪80年代初以来，计算机科学家一直在寻找能够防止有威胁的犯罪分子篡改或者窃听通信的方法。

MitM攻击包括位于通信双方连接之间的坐席，他们观察并控制数据流。这可以通过干扰合法网络或者创建攻击者能够控制的假网络来实现。然后，为了窃取、更改和重新路由这些数据流到攻击者所选择的目的地（例如，网络钓鱼登录网站），会对被攻破的这些数据流进行解密。由于攻击者在记录或者编辑被截获的数据流后，只是静默地观察，或者重新加密这些数据流，将其传送到预定的目的地，因此很难发现这种攻击。

SANS技术研究所的研究主任Johannes Ullrich说：“MitM攻击是攻击者实际上位于受害者和受害者想要连接的合法主机之间的一种攻击。所以，他们要么被动地监听连接，要么实际上截获连接，终止连接，并建立到目的地的新连接。”

取决于目标和目的，MitM包含了很多技术，会带来各种可能的结果。例如，在SSL剥离过程中，攻击者在自己与服务器之间建立了一个HTTPS连接，但与用户之间使用不安全的HTTP连接，这意味着以纯文本形式发送信息，而不加密。Evil Twin攻击对合法的Wi-Fi接入点进行镜像处理，完全由恶意攻击者控制，他们能够监视、收集和控制用户发送的所有信息。

Turedi说：“这类攻击可能是为了间谍活动或者获取经济利益，也可能就是为了搞破坏。造成的损害有大有小，这取决于攻击者的目的和造成损害的能力。”

在银行业务场景中，攻击者能看到用户正在进行转账，并能更改要发送的目的帐号和金额。有威胁的犯罪分子可以使用中间人攻击来获取个人信息或者登录凭证。如果攻击者检测到有正在下载或者更新的应用程序，就会发送安装了恶意软件的被攻破的更新，而不是合法的更新。EvilGrade漏洞工具包是专门针对安全性较差的更新而设计的。鉴于移动设备通常无法加密数据流，因此，移动设备尤其容易遭受这类攻击。

SANS研究所的Ullrich说：“这些攻击很容易实现自动化。有一些工具能够自动执行这类操作，包括查找密码，在看到密码时将其写入到文件中，或者等待特定的请求（例如，下载请求），并将恶意数据流发送回去。”

虽然这些Wi-Fi或者物理网络攻击一般要靠近受害者或者目标网络才能实施，但也能远程破坏路由协议。Ullrich解释道：“这是一种更困难、更复杂的攻击。攻击者会在互联网上宣传自己负责这些IP地址，然后通过互联网把这些IP地址路由给攻击者，他们就能够一次次的发动中间人攻击。”

Ullrich继续说：“他们还可以更改某一域名的DNS设置（称为DNS欺骗）。因此，如果您想访问某一网站，实际上是连接到攻击者所提供的错误IP地址，攻击者可以再次发动中间人攻击。”

尽管大部分攻击都是通过有线网络或者Wi-Fi进行的，但也有可能使用假手机信号塔进行MitM攻击。美国、加拿大和英国的执法机构发现有人使用假手机信号塔（称为“黄貂鱼”）来收集大量的信息。可以在暗网上买到黄貂鱼设备。

来自柏林技术大学、苏黎世联邦理工学院和挪威SINTEF Digital公司的研究人员最近发现了3G、4G所使用的、以及5G无线技术将要使用的身份验证和密钥协议（AKA）协议的缺陷——这可能导致攻击者进行MitM攻击。 

中间人攻击有多常见？

虽然MitM攻击不像勒索软件和网络钓鱼攻击那样常见，但对企业来说却是一种永远存在的威胁。IBM X-Force的《2018年威胁情报指数》指出，35%的攻击活动涉及到攻击者试图实施MitM攻击，但难以得出确切的数字。

Palo Alto网络公司第42部的威胁情报分析师Alex Hinchliffe说：“不太确切地说，MitM攻击并不是非常普遍。很多相同的目标——监视数据/通信、重定向数据流等等，都可以通过安装在受害者系统上的恶意软件来实现。如果有更简单的方法来进行攻击，攻击者通常会选择更简单的路线。”

最近一个值得注意的例子是一群俄罗斯GRU特工试图利用Wi-Fi欺骗设备入侵海牙禁止化学武器组织（OPCW）的办公系统。

更多地采用HTTPS和更多的浏览器内置警告功能已经减少了一些MitM攻击可能带来的威胁。2017年，电子前沿基金会（Electronic Frontier Foundation，EFF）报告说，超过一半的互联网数据流现在是加密的，而谷歌报告说，一些国家90%以上的数据流现在都被加密了。Chrome和Firefox等主要浏览器也会在用户面临MitM攻击风险时发出警告。CrowdStrike的Turedi说：“随着越来越多地采用SSL以及引入Google Chrome等现代浏览器，对公共WiFi热点的MitM攻击在逐渐减少。”

Turedi补充道：“如今，常见的是在非常复杂的攻击中利用了MitM原理。最近在开源报告中观察到的一个例子是针对大型金融机构的SWIFT网络的恶意软件，这其中利用了MitM技术提供假账户余额，目的是在资金被恶意转移到网络罪犯分子的账户过程中不被发现。”

这种威胁仍然存在。例如，Retefe银行木马通过攻击者控制的服务器重新路由来自银行域的数据流，在重新加密数据并将其发送到银行之前对请求进行解密和修改。利用最近发现的一个TLS协议缺陷（包括最新的1.3版本），攻击者能够破坏RSA密钥交换并拦截数据。

中间人攻击的预防

尽管时不时的能发现缺陷，而TLS这样的加密协议是防范MitM攻击的最佳方法。最新版本的TLS于2018年8月成为正式标准。还有其他一些协议，例如SSH，以及谷歌的QUIC等更新的协议。

在最终用户教育方面，应督促员工尽可能不要在公共场所使用开放公共Wi-Fi或者Wi-Fi服务，因为这比手机连接更容易被欺骗，并告诉他们要注意浏览器的警告，即网站或者连接可能不合法。使用VPN有助于保证安全的连接。

Palo Alto公司的Hinchliffe说：“最好的方法包括多重身份验证、最大限度地增强网络控制和可视性，以及对网络进行划分。”

预防胜于攻击后的事后诸葛亮，尤其是很难发现的攻击。CrowdStrike公司的Turedi说：“对于大部分传统的安全设备来说，这些攻击基本上是偷偷摸摸进行的，一开始很难检测到。”

如果量子加密技术在商业上可行，那么它能提供强有力的保护，以防范MitM攻击，其理论是不可能复制量子数据，也不可能在不改变状态的情况下进行观察，因此，如果数据流在传输途中受到了干扰，就会发出很强的指示。

物联网会成为MitM攻击的下一目标吗？

分析人士预测，未来五年，连接互联网的设备的数量可能会激增至数百亿台。然而，很多设备缺乏安全性意味着物联网的增长可能会导致MitM攻击的激增。CSO先前报告过有可能在物联网设备上进行MitM式攻击，向企业发送回错误信息，或者向设备本身发送错误的指令。

Ullrich说：“物联网设备往往更容易受到攻击，因为它们没有采用很多针对MitM攻击的标准缓解措施。很多物联网设备还没有采用TLS，或者所采用的老版本没有最新版本那么强大。”

Ponemon研究所和OpenSky公司的一项新调查发现，美国61%的安全从业人员表示，他们无法控制物联网和工业物联网设备在其公司内部的扩散，而60%的人说他们无法避免物联网和工业物联网带来的安全漏洞和数据泄露问题。

Ullrich说：“对于移动应用程序和周围没有人的物联网设备，这是一个问题；其中一些应用程序会忽略这些错误，仍然进行连接，这就违背了TLS的目的。”

责任编辑：何周重