Обнаружение атак «человек посередине»?

Question

Похоже, существует множество возможных способов создания атак типа «человек посередине» на общедоступные точки доступа путем кражи локального IP-адреса точки доступа с помощью спуфинга ARP. Возможные атаки варьируются от подделки полей запроса пароля до смены HTTPS-соединений на HTTP и даже недавно обнаруженной возможности внедрения вредоносных заголовков в начале безопасных TLS-соединений.

Тем не менее, кажется, что эти атаки не очень распространены. Было бы интересно посмотреть на себя. Какие есть способы обнаружить, если кто-то в сети предпринимает попытку такой атаки?

Я предполагаю, что получение простой страницы входа HTTP было бы очевидной подсказкой, и, конечно, вы могли бы запустить Wireshark и продолжать читать весь интересный трафик ARP ... Но автоматизированное решение было бы немного более удобным. Что-то, что анализирует вещи в фоновом режиме и предупреждает, если атака обнаружена в сети. Было бы интересно лично убедиться, что эти атаки где-то происходят.

Answer 1

Нет никакого способа обнаружить произвольный MITM, потому что есть несколько методов для их выполнения.

Однако большинство MITM-атак на Ethernet или WLAN используют ARP-спуфинг для перенаправления трафика. Существуют инструменты для обнаружения спуфинга ARP, они должны указывать на большинство атак MITM. Смотрите, например, страницу Википедии для некоторых инструментов.

Answer 2

MiM-атаки выполняются против зашифрованного трафика (вам не нужно использовать MiM в незашифрованном трафике, вы можете просто его прослушать).

За этим стоит математика, но короче говоря: вы должны проверить отпечаток пальца. Например, при первом входе в систему через ssh клиент ssh отображает отпечаток сервера. Если вы хотите защитить от MiM, вы должны знать этот отпечаток до попытки входа в систему (например, попросите администратора использовать другой защищенный канал, например, разговор лицом к лицу).

Это очень непрактично. Ответом на эту проблему являются Центры сертификации (http://en.wikipedia.org/wiki/Certificate_authority). В этом сценарии компьютер хранит известные отпечатки ключей доверенных компаний. Это компании, подписывающие ключи для других компаний. Важно проверить, правильно ли подписан используемый сертификат. К счастью, современные браузеры делают это автоматически и отображают множество предупреждений, если что-то не так.

Answer 3

Не существует надежного способа обнаружения этого (если бы он был, атаки MitM не были бы проблемой!). Хотя есть несколько возможных методов.

Вы можете попытаться посмотреть, сколько времени нужно, чтобы что-то подать; задержка может указывать на то, что произошла атака MitM. Или это может означать, что сеть работает медленно.

Если вы думаете, что кто-то редактирует содержимое вещей, которые вы отправляете / получаете через общедоступную сеть, вы можете проверить отпечатки пальцев / хеши MD5 / и т.д. данных, которые вы отправляете / получаете.

Как указывает Maciek, если MitM играет с сертификатами и соединениями SSL, это должно быть довольно очевидно, поскольку браузеры будут предупреждать вас, если сертификаты не совпадают (хотя вы должны быть в состоянии доверять своему браузеру; если кто-то установил поддельные сертификаты на вашем компьютере уже, это не очень много пользы).

Answer 4

у меня работает arpwatch :

sudo aptitude install arpwatch
echo "wlan3 -a -n 10.10.0.0/24 -m me@gmail.com" | sudo tee -a /etc/arpwatch.conf
/etc/init.d/arpwatch start

Как вы сказали, было бы неплохо автоматизировать защиту. http://ifttt.com, похоже, поможет отправлять SMS-оповещения и т. д. Остальное зависит от вас, ваших MTA (postfix) и фильтров электронной почты.