Целью MITM атаки зачастую является получения конфиденциальных данных пользователя, примером таких данных является: учётные данные пользователя, данные банковского счёта, номер банковской карты и т.д. Злоумышленник имеет в арсенале несколько способов проведения MITM атаки.

Типы проведения атаки:

  • Подмена IP-адреса

Каждое устройство, подключенное к интернету, имеет свой интернет-протокол. Злоумышленник, подменив IP-адрес заставляет жертву думать, что она взаимодействует с интернет-ресурсом, но на деле не обменивается никакими данными с сервером, а отправляет данные злоумышленнику.

  • Спуфинг DNS

Во время подмены DNS злоумышленник получает полное управление над запросами пользователя и может перенаправлять его на поддельные веб-страницы и сайты.

  • Спуфинг ARP

Злоумышленник, отправляет жертве поддельные ARP-ответы с информацией что поддельный MAC-адрес совпадает с настоящим IP-адресом маршрутизатора.

Пример атаки с использованием APR спуфинга: ример атаки с использованием APR спуфинга:

  1. Атакующий узнаёт IP-адрес сетевого интерфейса

  2. С помощью утилиты netdiscover обнаруживает узлы в сети

  3. Выбирает жертву

  4. Запускает arpspoof

Рисунок 1.1 Переход трафика жертвы через злоумышленника
Рисунок 1.1 Переход трафика жертвы через злоумышленника

 Жертва всё так же может пользоваться интернетом, но теперь весь трафик идёт через злоумышленника.

Признаки атаки MITM:

  1. Частые разрывы и переподключения к сети.

  2. Изменение MAC-адреса точки доступа.

  3. Несколько точек доступа с одинаковым SSID.

  4. Задержки при отправке запроса.

Обнаружение и предотвращение атаки. Для обнаружения MITM атаки используется Arduino UNO и Wi-Fi модуль ESP32, при помощи модуля можно осуществлять мониторинг различных параметров сети, что приведёт к дальнейшему обнаружение атаки. Преимущества использования микроконтроллера заключается в простоте внедрения этого устройства в интернет вещей.

  • Проверка изменений MAC-адреса точки доступа

Обнаружение нескольких точек доступа с одинаковыми SSID, но с другим MAC-адресом. Можно обнаружить атаку если мониторить MAC-адрес точки доступа и реагировать на его изменение.

  • Анализ уровня сигнала

Поддельная точка доступа имеет другой уровень сигнала в отличие от настоящей. Если уровень сигнала резко изменился это может свидетельствовать о атаке.

  • Мониторинг переподключения и сбоев соединения

Частые разрывы и переподключения к сети Wi-Fi могут быть признаком атаки. Злоумышленник может пытаться перебросить устройство на поддельную точку доступа путём искусственных сбоев соединения.

Пример обнаружения APR атаки при помощи утилиты Wireshark:

Рисунок 1.2 Анализ трафика через утилиту Wireshark
Рисунок 1.2 Анализ трафика через утилиту Wireshark

Жёлтым цветом помечена аномалия, на которую нужно обратить внимание.

Выводы

Атаки типа «Человек посередине», будут эффективным способом получения конфиденциальных данны�� до тех пор, пока злоумышленники не смогут перехватывать важные данные, такие как пароли и номера банковских карт. Использование вышепоказанных способов решения проблемы сократит количество успешных атак что приведёт к снижению эффективности метода «человек посередине».

Список литературы

  1. Грэм Дэниел Г. «Этичный хакинг. Практическое руководство по взлому.» — СПб.: Питер, 2022. — 384 с.: ил. — (Серия «Библиотека программиста»). Стр. 44-72

  2. Brijith A. (2024) Man-in-the-Middle Attack, Insights2Techinfo, pp.1 https://insights2techinfo.com/man-in-the-middle-attack-2/  (20.10.2024)

  3. Copyright © 2000-2002 <Alberto Ornaghi, Marco Valleri> (GNU/FDL License) This article is under the GNU Free Documentation License, http://www.gnu.org/copyleft/fdl.html  (21.10.2024)

  4. Man-in-the-Middle: советы по обнаружению и предотвращению https://www.securitylab.ru/news/553281.php  (19.10.2024)