Comment quelqu'un devient-il un homme au milieu?

Question:

Comment quelqu'un devient-il un homme au milieu?

user5948022

2016-04-07 15:28:12 UTC

view on stackexchange narkive permalink

Si je comprends bien, pour commettre une attaque MiTM réussie, vous devez être "assis" quelque part le long du chemin du trafic. Je suppose que cela signifie être connecté à l'un des nœuds entre les points d'extrémité, épisser physiquement le fil qui les relie ou intercepter les ondes aériennes.

Mes hypothèses sont-elles correctes?
Le terminal d'un adversaire doit-il être directement connecté au fil, au nœud, à portée du wifi, ou quelqu'un au Kansas peut-il utiliser un chemin extérieur pour accéder à un chemin de Los Angeles à San Francisco?
- Il est peut-être plus correct de demander si quelqu'un a besoin d'être à proximité du chemin cible. Inversement, peut-il "utiliser Internet" pour contourner le chemin: tous les nœuds sur Internet ne sont-ils pas essentiellement connectés les uns aux autres?

Réponse au titre Q: Lorsque votre meilleur ami est avec votre sœur depuis un certain temps, ces choses peuvent arriver.

@iszi peut-être que j'aurais dû poster sur relations.stack

Cinq réponses:

goncalopp

2016-04-08 03:06:39 UTC

view on stackexchange narkive permalink

Il existe de nombreuses, nombreuses façons de devenir un MITM, pratiquement à toutes les couches de la pile réseau - pas seulement physique. Être physiquement proche de votre cible peut aider, mais ce n'est en aucun cas une nécessité.

Au niveau de la couche physique , les attaques que vous pouvez get sont très manifestes: épissez un câble Ethernet, utilisez une prise optique ou capturez des signaux radio.

Un réseau optique passif, appuyez sur - photo de Roens

Certains actifs les attaques peuvent avoir un accès physique comme condition préalable - beaucoup d'autres n'en ont pas.

Au niveau de la couche liaison de données , les attaques passives sont incroyablement faciles: il suffit de mettre votre carte réseau dans mode promiscuité et vous pouvez voir tout le trafic sur votre segment de réseau. Même sur un réseau câblé moderne (commuté), l'inondation MAC vous assurera de voir plus que vous ne le devriez.

Pour les attaques actives sur les réseaux locaux, usurpation ARP est assez populaire et facile à exécuter - cela fait essentiellement croire à votre ordinateur que c'est quelqu'un d'autre - généralement une passerelle, de sorte que vous trompez d'autres appareils pour qu'ils vous envoient du trafic à la place.

Usurpation ARP - diagramme par 0x55534C

Les attaques de liaison de données fonctionnent tant que vous êtes connecté au même réseau local que votre cible .

Attaquer la couche réseau est facile si vous avez un accès physique - vous pouvez simplement usurper l'identité d'un routeur en utilisant n'importe quelle machine Linux moderne.

Si vous n'avez pas d'accès physique, les attaques de redirection ICMP sont assez obscures, mais parfois utilisables.

Bien sûr, si vous avez assez d'argent dans votre poche, vous pouvez le faire à la NSA et intercepter les routeurs lorsqu'ils sont expédiés à leur destination par courrier (escargot) - il suffit de modifier un peu le micrologiciel et vous êtes prêt à partir.

Les attaques au niveau de la couche réseau peuvent être effectuées à partir de n'importe quel point de la route réseau (Internet) entre les deux participants - bien qu'en pratique ces réseaux soient généralement bien défendus.

Je ne suis personnellement au courant d'aucune attaque au niveau de la couche de transport.

Au niveau de l'application, les attaques peuvent être un peu plus subtiles.

DNS est une cible courante - vous avez un piratage DNS et un usurpation DNS. Les attaques d'empoisonnement du cache contre BIND en particulier étaient très populaires il y a quelques années.

L'usurpation DHCP (se faisant passer pour un serveur DHCP) est assez facile pour effectuer. Le résultat final est une usurpation ARP similaire, mais moins «bruyante» sur le réseau et peut-être plus fiable.

Les attaques de couche d'application les plus larges peuvent être effectuées de n'importe où sur Internet.

"Les attaques au niveau de la couche réseau peuvent être effectuées à partir de n'importe quel point de la route réseau (Internet) entre les deux participants" Ou presque partout ailleurs si vous êtes capable de [détournement BGP] (https://en.wikipedia.org/wiki/ IP_hijacking).

Au niveau de la couche de transport, UDP est sujet à l'usurpation IP tout comme IP, alors que TCP est beaucoup plus résistant mais toujours théoriquement vulnérable.Plus d'infos [ici] (http://lcamtuf.coredump.cx/oldtcp/tcpseq.html#abs).

@black C'est un bon point.AFAIK, il n'y a aucun moyen d'obtenir une attaque MITM avec juste une usurpation de source, non?(car les réponses ne vous sont pas acheminées)

Tobi Nary

2016-04-07 15:53:57 UTC

view on stackexchange narkive permalink

TL; DR: acheminez le trafic à travers un système sous votre contrôle et ayez MITM où que vous soyez, la victime ou la destination.

R: Pas tout à fait.

Tout d'abord, Internet est commuté par paquets, il se peut donc qu'il n'y ait pas un seul câble réel que tous les paquets passent.

Pour établir un MITM, ce MITM doit s'assurer que les demandes de l'utilisateur lui sont acheminées au lieu de la bonne destination. Cela peut être fait de plusieurs manières, par exemple:

Dans le réseau local par usurpation ARP de la passerelle et / ou du serveur DNS,
Dans tous les réseaux sur le route,
En renvoyant son adresse IP au lieu de la bonne du serveur DNS des victimes

Une fois que cela est établi, le MITM interagit avec la destination réelle au nom des victimes , en modifiant les données intermédiaires comme le MITM le souhaite.

Le moyen le plus simple d'établir cela est en fait au sein du réseau local, car ceux-ci sont généralement moins bien surveillés et / ou gouvernés. En outre, ils ont régulièrement plus d'appareils grand public avec plus de risques de sécurité qui peuvent, après avoir été compromis, être utilisés pour rediriger les requêtes DNS vers un serveur sous contrôle MITM.

Pourtant, comme vous pouvez le voir ci-dessus: si vous gérez pour définir le serveur DNS de la victime sur un serveur sous votre contrôle, vous pouvez très bien faire le MITM où vous le souhaitez.

Il en va de même pour les nœuds de routage / FAI: vous pouvez annoncer des itinéraires bon marché vers la destination en utilisant le BGP pour acheminer tout le trafic via votre système. Pourtant, cela n'est généralement pas faisable et / ou possible pour les connexions de consommateurs.

L'un des avantages du routage du trafic vers vous est-il que vous receviez tous les paquets?Le fait de fournir votre propre adresse IP plutôt que le DNS de la victime évite-t-il les certificats?Fournir votre propre adresse IP semble être votre véritable tentative d '«usurpation d'identité» alors que les autres méthodes ne sont pas si sûres;y a-t-il une distiction?Qu'entendez-vous exactement par "dans tous les réseaux sur l'itinéraire?"Merci pour la bonne réponse

ressemble à * une tentative réelle

L'avantage d'attaquer au niveau DNS est que vous n'avez pas à modifier le routage du trafic - vous êtes de toute façon la destination réelle.Cela ne résout pas le problème de certificat, mais si vous MITM une CA, vous pouvez peut-être obtenir un certificat valide.

Mike Scott

2016-04-07 15:46:36 UTC

view on stackexchange narkive permalink

L'adversaire n'a pas nécessairement besoin d'être physiquement localisé sur la route réseau qu'il pirate. Ils peuvent avoir précédemment compromis un appareil réseau qui se trouve sur la route, et ainsi être en mesure de s'y connecter et de mener leur attaque depuis n'importe quel endroit.

Est-ce que l'attaquant saisit de manière opportuniste tout le trafic qui passe par cet appareil plutôt que de cibler une connexion spécifique?La compromission réelle de l'appareil se produit-elle également par une connexion à distance / TCP?

@user5948022 La seule vraie réponse à cela est "Cela dépend".Il existe de nombreux scénarios possibles.

* Le compromis réel PEUT-il se produire par ....

Oui, le compromis d'origine peut être un compromis à distance sur TCP / IP si le périphérique réseau n'est pas correctement protégé et a une vulnérabilité non corrigée ou zero-day, ou s'il a été laissé avec une connexion par défaut activée.

Sibidharan

2016-04-08 18:42:08 UTC

view on stackexchange narkive permalink

Supposons que vous ayez une petite amie et que vous ayez enregistré son numéro sous GF dans votre téléphone. Et de la même manière, votre petite amie a enregistré votre numéro comme BF dans son téléphone.

Désormais, un attaquant X, parvient à accéder à votre téléphone et à changer votre numéro GF comme son numéro. De la même manière, il parvient à accéder à son téléphone et change votre numéro en son numéro.

Donc, le numéro enregistré en tant que GF dans votre téléphone et le numéro enregistré en tant que BF dans son téléphone est le numéro de téléphone de X.

Si vous envoyez un message à votre GF, il sera reçu par X, il le lit et le transmet à votre GF. Puisque le numéro de X est enregistré en tant que BF dans son téléphone, elle reçoit un message sous le nom De: BF , qui est en fait l'attaquant. Elle lit et répond, et il répète la même chose.

Maintenant, X est le Man-In-The-Middle

C'est ainsi que vous expliquez la sécurité du réseau aux masses.

@allanonmage Je pense que pour la question «Comment quelqu'un devient-il un homme au milieu?», Cette réponse convient :)

Vous n'êtes pas obligé de vous faire passer pour l'expéditeur (BF), car l'adresse IP de retour est incluse dans l'en-tête du paquet intercepté.Tout ce dont vous auriez à vous soucier est la somme de contrôle, si vous modifiez le message.

@user5948022 nous devons également nous soucier de la divulgation de la poche

@user5948022 Et ce n'est pas une question technique.Il s'agit du concept de MiTM - Comment ça marche !!Si vous voulez l'expliquer à un enfant de 8 ans, dites-vous que l'adresse IP est incluse dans l'en-tête du paquet envoyé depuis le TCP?

Je comprends d'où tu viens, je voulais juste clarifier car j'apprends toujours cela moi-même.Encore une chose, que voulez-vous dire par «divulgation de paquet»?Merci

Ce que je veux dire par «divulgation du paquet», c'est que, puisque vous avez dit ** Tout ce dont vous auriez à vous soucier est la somme de contrôle, si vous modifiez le message. **, Modifier le message n'est pas seulement le problème.Les informations contenues dans le paquet sont divulguées à M. X. Maintenant, M. X a de nouvelles informations, qu'il peut utiliser pour une ingénierie sociale et planifier d'autres attaques.

ah, le compromis de l'info elle-même, je l'ai obtenu grâce

clem steredenn

2016-04-07 16:05:46 UTC

view on stackexchange narkive permalink

Vous semblez avoir une certaine confusion sur la façon dont les communications se déroulent sur Internet. Je vous suggère de lire:

Internet (Wikipedia)

Mais intéressant à noter, serait que les informations que vous échangez sur le réseau, le transit est de petits paquets, via différents nœuds. L'emplacement exact des nœuds dépend de nombreux facteurs. Mais quand Alice à LA utilise skype pour discuter avec Bob à SF, ses messages (en paquet) peuvent transiter vers le Canada, l'Allemagne et retour.

Et plus à votre question, une attaque MitM est réalisée chaque fois que Mallory a réussi se définir comme un relais entre Alice et Bob. Elle reçoit le message d'Alice et les envoie ensuite à Bob.

Mallory pourrait être localisé n'importe où dans le monde. N'oubliez pas que les paquets voyagent dans de nombreux endroits. Mais elle doit s'assurer que tout le trafic d'Alice à Bob transiterait par elle. Pour cela, elle doit prendre le contrôle d'un nœud par lequel le message d'Alice ou de Bob doit transiter. Par exemple, directement sur l'ordinateur d'Alice, son FAI ou un routeur WiFi public.

Vous pouvez obtenir plus de détails sur l ' article wikipedia correspondant.

Le LA vers SF était un mauvais exemple, je ne savais pas non plus que les paquets individuels empruntaient des routes différentes.Est-ce toujours le cas après l'établissement d'un VPN?Conceptuellement, je pensais à une attaque où malory observait silencieusement le trafic du nœud sans manipuler l'itinéraire devant et derrière.Est-il plutôt correct de dire que Mallory contrôle activement l'envoi à Bob une fois qu'elle reçoit d'Alice?

@user5948022: Une attaque d'homme du milieu est par définition une attaque active, donc oui, Mallory contrôle activement ce que Bob et Alice reçoivent.Si vous n'écoutez que le trafic, cela s'appelle «écoute clandestine».MitM pourrait être appelé «écoute clandestine active».

ⓘ

Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.

Continuer la lecture sur narkive:

Résultats de recherche pour 'Comment quelqu'un devient-il un homme au milieu?' (Questions et réponses)

Au chomage en ces temps de crise ... Comment puis-je garder mon emploi?

démarré 2009-09-03 08:56:13 UTC

carrière et emploi

comment pensez vous que le premier homme a apparu sur terre?

démarré 2007-02-12 09:43:29 UTC

sciences de la terre et géologie

Quelle est votre opinion à propos du racisme ?

démarré 2008-02-28 23:52:20 UTC

sciences sociales

Les êtres humains sont-ils vraiment tous doué d'intelligence ?

démarré 2008-08-22 07:35:08 UTC

pour les chretiens : comment le saint esprit est il venu vous montrer la vérité?

démarré 2008-07-13 08:38:26 UTC

religions et spiritualité

À propos - jargon juridique

Loading...