حمله مرد در میان

این حملات که به عنوان حملات شنود نیز شناخته می­ شوند، زمانی رخ می­ دهند که مهاجمان خود را وارد یک تراکنش دو طرفه می­ کنند. هنگامی که مهاجمان ترافیک را قطع می­ کنند، می­ توانند با فیلتر کردن داده ­ها، اطلاعات را سرقت نمایند. اطلاعات دزدیده شده ممکن است برای سرقت هویت یا نقل و انتقالات مالی تأیید نشده استفاده شود و یا اطلاعات ممکن است به شخص ثالث فروخته شود. معمولاً حملات مرد در میان بر روی نهادهای مالی و تجارت الکترونیک یا سایر وب­سایت­ هایی که به لاگین ­های معتبر نیاز دارند متمرکز می­ شوند. علاوه­ براین می­توان ازاین حمله برای بدست آوردن جای پا در یک محیط ایمن در طول مرحله نفوذ یک حمله ATP استفاده کرد.

اجرای موفق حمله MITM دارای دو مرحله مجزا است: رهگیری و رمزگشایی

رهگیری: در اولین مرحله مهاجم ترافیک کاربر را از طریق شبکه  قبل از رسیدن به مقصد مورد نظر خود رهگیری می­ کند. رایج­ ترین و ساده­ ترین راه برای انجام این کار، حمله غیرفعال است که در آن مهاجم، هات اسپات ­های Wi-Fi رایگان و مخرب را در دسترس عموم قرار می­ دهد. معمولاً به گونه ­ای نامگذاری می ­شوند که با موقعیت مکانی آنها مطابقت دارد و از رمز عبور محافظت نم ی­شود. هنگامی که قربانی به چنین نقطه ای متصل می شود، مهاجم در هر تبادل اطلاعات آنلاین، دید کامل را بدست می ­آورد. مهاجمان برای رهگیری ممکن است یکی از حملات زیر را انجام بدهند:

  • جعل IP: مهاجم با تغییر headerهای بسته در یک آدرس IP، خود را به عنوان یک برنامه پنهان می­ کند. در نتیجه، کاربرانی که تلاش می­ کنند به یک URL متصل به برنامه دسترسی پیدا کنند، به وب سایت مهاجم فرستاده می­ شوند.
  • جعل ARP: فرآیند پیوند دادن آدرس MAC مهاجم با آدرس IP یک کاربر قانونی در یک شبکه محلی با استفاده از پیام­ های جعلی ARP است. در نتیجه، داده ­های ارسال شده توسط کاربر به آدرس IP میزبان، به مهاجم منتقل می­ شوند.
  • جعل DNS: شامل نفوذ به سرور DNS و تغییر رکورد آدرس وب سایت است. در نتیجه، کاربرانی که تلاش می ­کنند به سایت دسترسی پیدا کنند، توسط رکورد DNS تغییر یافته به سایت مهاجم فرستاده می­ شوند.

رمزگشایی: پس از رهگیری، هر ترافیک SSL دو طرفه باید بدون هشدار به کاربر یا برنامه رمزگشایی شود. تعدادی روش برای دستیابی به این امر وجود دارد:

  • جعل HTTPS: پس از انجام درخواست اتصال اولیه به یک سایت امن، یک گواهی ساختگی به مرورگر قربانی ارسال می­ کند. این یک اثر انگشت دیجیتال مرتبط با برنامه در معرض خطر را در خود دارد که مرورگر آن را بر اساس فهرست موجود از سایت­ های مورد اعتماد تأیید می­ کند. سپس مهاجم می ­تواند به هر داده ­ای که قربانی وارد کرده است، قبل از ارسال به برنامه دسترسی پیدا کند.
  • SSL BEAST: سوء­استفاده مرورگر در برابر SSL/TLS است که آسیب­ پذیری TLS نسخه 1.0 در SSL را هدف قرار می­ دهد. در این حالت، رایانه قربانی به جاوا اسکریپت مخرب، کوکی­ های رمزگذاری و ارسال شده توسط یک برنامه وب را رهگیری کرده و آلوده می­ کند.
  • ربودن SSL: زمانی اتفاق می ­افتد که یک مهاجم کلیدهای احراز هویت جعلی را در طول یک TCP handshake هم به کاربر و هم به برنامه ارسال می­ کند. این اتفاق ظاهراً یک اتصال امن را تنظیم می­ کند در حالی که مرد در میان کل جلسه را کنترل می­ کند.
  • حذف SSL: یک اتصال HTTPS به HTTP را با رهگیری تأیید اعتبار TLS ارسال شده از برنامه به کاربر کم ارزش می­ کند. مهاجم یک نسخه رمزگذاری نشده از سایت برنامه را برای کاربر ارسال می­ کند در حالی که جلسه بی­ خطر با برنامه را حفظ می ­کند. در همین حال، کل جلسه کاربر برای مهاجم قابل مشاهده است.