حمله مرد میانی (MiTM) + روش های جلوگیری و مقایسه با سایر حملات هک! 🚨

اگر در این سایت حضور دارید برای این است که می خواهید چیز های بیشتری را در مورد هک و امنیت بدانید. یکی از مهمترین مواردی که در هک ممکن است دیده باشید حمله مرد میانی است. البته این ترجمه فارسی این نوع از حمله برای هک است. در ادامه مقاله همه چیز در مورد حمله مرد میانی به شما گفته می شود. اگر می خواهید در فضای مجازی و اینترنتی امنیت بالایی داشته باشید، آشنا شدن با انواع هک می تواند به شما کمک زیادی کند.

حمله مرد میانی (MITM) چیست؟

حمله یک مرد در وسط (MITM) یا حمله مرد میانی یک اصطلاح کلی برای زمانی است که فرد انجام دهنده ی آن خود را در مکالمه بین یک کاربر و یک برنامه قرار می دهد . چه برای استراق سمع و چه برای جعل هویت یکی از طرفین. که به نظر می رسد یک تبادل عادی اطلاعات است. اما باید بدانید که بخش مهمی از هک هایی که امروزه انجام می شود به واسطه ی همین حمله مرد میانی است. درست مانند بسیاری از حملاتی که باعث هک واتساپ می شود. این حملات می توانند برای اطلاعات شبکه شما به شدت تخریب کننده باشند.

هدف از حمله سرقت اطلاعات شخصی مانند اعتبار ورود به سیستم، جزئیات حساب و شماره کارت اعتباری است. هدف ها معمولاً کاربران برنامه های مالی، مشاغل SaaS، سایت های تجارت الکترونیک و سایر وب سایت هایی هستند که ورود به سیستم در آنها ضروری است.اطلاعات به‌دست‌آمده در طول حمله می‌تواند برای اهداف بسیاری، از جمله سرقت هویت، انتقال وجه تایید نشده یا تغییر غیرقانونی رمز عبور استفاده شود.علاوه بر این، می توان از آن برای به دست آوردن جای پایی در داخل یک محیط امن در طول مرحله نفوذ یک حمله تهدید مداوم پیشرفته (APT) استفاده کرد.

به طور کلی، حمله MITM معادل این است که یک پستچی صورت حساب بانکی شما را باز می کند، جزئیات حساب شما را می نویسد . سپس پاکت را دوباره مهر می کند و آن را به درب منزل شما تحویل می دهد.

پیشرفت حمله MITM

اجرای موفق MITM دارای دو مرحله مجزا است: رهگیری و رمزگشایی.

1-رهگیری یا استراق سمع

اولین مرحله ترافیک کاربر را از طریق شبکه مهاجم قبل از رسیدن به مقصد مورد نظر خود رهگیری می کند.رایج ترین (و ساده ترین) راه انجام این کار، حمله غیرفعال است . که در آن مهاجم، هات اسپات های WiFi رایگان و مخرب را در دسترس عموم قرار می دهد. معمولاً به گونه ای نامگذاری می شوند که با مکان آنها مطابقت دارد، آنها با رمز عبور محافظت نمی شوند. هنگامی که قربانی به چنین نقطه‌ای متصل می‌شود، مهاجم در هر تبادل اطلاعات آنلاین، دید کاملی پیدا می‌کند.

مهاجمانی که مایل به اتخاذ رویکرد فعال تری برای رهگیری هستند ممکن است یکی از حملات زیر را انجام دهند:

جعل IP شامل یک مهاجم است که با تغییر هدر بسته ها در یک آدرس IP، خود را به عنوان یک برنامه پنهان می کند. در نتیجه، کاربرانی که تلاش می کنند به یک URL متصل به برنامه دسترسی پیدا کنند، به وب سایت مهاجم فرستاده می شوند.

جعل ARP فرآیند پیوند دادن آدرس MAC مهاجم با آدرس IP یک کاربر قانونی در یک شبکه محلی با استفاده از پیام‌های جعلی ARP است. در نتیجه، داده های ارسال شده توسط کاربر به آدرس IP میزبان در عوض به مهاجم منتقل می شود.

جعل DNS، همچنین به عنوان مسمومیت کش DNS شناخته می شود، شامل نفوذ به سرور DNS و تغییر رکورد آدرس وب سایت است. در نتیجه، کاربرانی که تلاش می کنند به سایت دسترسی پیدا کنند، توسط رکورد DNS تغییر یافته به سایت مهاجم فرستاده می شوند.

حمله مرد میانی باعث می شود که بین شما و سرور مورد نظرتان یک فرد میانی وجود داشته باشد!

2-رمزگشایی

پس از رهگیری، هر ترافیک SSL دو طرفه باید بدون هشدار به کاربر یا برنامه رمزگشایی شود. تعدادی روش برای دستیابی به این امر وجود دارد:

جعل HTTPS پس از انجام درخواست اتصال اولیه به یک سایت امن، یک گواهی ساختگی به مرورگر قربانی ارسال می کند. این یک اثر انگشت دیجیتال مرتبط با برنامه در معرض خطر را در خود دارد که مرورگر آن را مطابق با لیست موجود از سایت‌های مورد اعتماد تأیید می‌کند. سپس مهاجم می تواند به هر داده ای که قربانی وارد کرده است، قبل از اینکه به برنامه منتقل شود، دسترسی پیدا کند.

SSL BEAST (سوء استفاده مرورگر در برابر SSL/TLS) آسیب‌پذیری TLS نسخه 1.0 در SSL را هدف قرار می‌دهد. در اینجا، رایانه قربانی به جاوا اسکریپت مخرب آلوده می شود که کوکی های رمزگذاری شده ارسال شده توسط یک برنامه وب را رهگیری می کند. سپس زنجیره بلوک رمز برنامه (CBC) به خطر می افتد تا کوکی ها و نشانه های احراز هویت آن رمزگشایی شود.

ربودن SSL زمانی اتفاق می‌افتد که یک مهاجم کلیدهای احراز هویت جعلی را هم به کاربر و هم به برنامه در طول یک دست دادن TCP ارسال می‌کند. این یک اتصال ایمن به نظر می رسد را تنظیم می کند، در حالی که در واقع، مرد وسط کل جلسه را کنترل می کند.

حذف SSL یک اتصال HTTPS به HTTP را با رهگیری تأیید اعتبار TLS ارسال شده از برنامه به کاربر کاهش می دهد. مهاجم یک نسخه رمزگذاری نشده از سایت برنامه را برای کاربر ارسال می کند در حالی که جلسه ایمن با برنامه را حفظ می کند. در همین حال، کل جلسه کاربر برای مهاجم قابل مشاهده است.

پیشگیری از حمله مرد میانی

مسدود کردن حملات MITM به چندین مرحله عملی از جانب کاربران و همچنین ترکیبی از روش‌های رمزگذاری و تأیید برای برنامه‌ها نیاز دارد.

برای کاربران روش های جلوگیری از حمله مرد میانی به شیوه زیر است.

اجتناب از اتصالات WiFi که دارای رمز عبور نیستند.

توجه به اعلان های مرورگر که یک وب سایت را ناامن گزارش می کنند.

خروج فوراً از یک برنامه ایمن زمانی که از آن استفاده نمی شود.

عدم استفاده از شبکه های عمومی (به عنوان مثال، کافی شاپ ها، هتل ها) هنگام انجام تراکنش های حساس.

مهم:

برای اپراتورهای وب‌سایت، پروتکل‌های ارتباطی امن، از جمله TLS و HTTPS، با رمزگذاری قوی و احراز هویت داده‌های ارسالی، به کاهش حملات جعل کمک می‌کنند. انجام این کار از رهگیری ترافیک سایت جلوگیری می کند و رمزگشایی داده های حساس مانند توکن های احراز هویت را مسدود می کند.

بهترین روش برای برنامه‌ها استفاده از SSL/TLS برای ایمن کردن هر صفحه سایت خود و نه فقط صفحاتی که نیاز به استفاده دارند، در نظر گرفته می‌شود.

انجام این کار به کاهش احتمال سرقت کوکی‌های جلسه از کاربر در حال مرور بخش ناامن یک وب‌سایت در حین ورود به سیستم کمک می‌کند.

ببینید چگونه فایروال برنامه وب Imperva می تواند به شما در حملات MITM کمک کند.

بیشتر بخوانید🚀🚀🚀🚀🚀 : برنامه هک واتساپ

آیا حملات مرد میانی خطرناک هستند؟

حملات مرد میانی (که مرد در وسط هم گفته می شوند!) خطرناک هستند و عموماً دو هدف دارند:

دسترسی به داده های حساس و اطلاعات شخصی؛ و/یا
محتوای یک پیام ارسال شده

در عمل این به معنای دسترسی به موارد زیر است:

اطلاعات قابل شناسایی شخصی (PII) و سایر اطلاعات حساس برای سرقت هویت
برای دسترسی غیرمجاز به حساب های بانکی آنلاین، اعتبارنامه ها را در یک شبکه Wi-Fi عمومی وارد کنید
سرقت شماره کارت اعتباری در یک سایت تجارت الکترونیک
هدایت ترافیک در نقاط دسترسی عمومی Wi-Fi از وب سایت های قانونی به سایت های میزبان بدافزار

اهداف رایج برای حملات MITM وب سایت ها و ایمیل ها هستند. ایمیل‌ها به‌طور پیش‌فرض از رمزگذاری استفاده نمی‌کنند، و مهاجم را قادر می‌سازد تا ایمیل‌های فرستنده را تنها با اعتبار ورود به سیستم، رهگیری و جعل کند.

تفاوت بین حمله مرد میانی و اسنیف چیست؟

با توجه به ماهیت پروتکل های اینترنتی، بسیاری از اطلاعات ارسال شده به اینترنت در دسترس عموم است. هنگامی که به یک شبکه محلی (LAN) متصل می شوید، هر رایانه دیگری می تواند بسته های داده شما را ببیند.

هنگامی که یک مهاجم در همان شبکه شما قرار دارد، می‌تواند از یک sniffer برای خواندن داده‌ها استفاده کند و در صورتی که بتواند به رایانه‌های بین کلاینت و سرور شما (از جمله کلاینت و سرور) دسترسی داشته باشد، به ارتباطات شما گوش دهد.

در یک حمله مرد میانی، مهاجم شما یا رایانه شما را فریب می دهد تا با رایانه خود ارتباط برقرار کنید. این باعث می شود باور کنید که آنها مکانی هستند که می خواهید به آن متصل شوید. سپس آنها به مقصد واقعی شما متصل می شوند و وانمود می کنند که شما هستید و در صورت تمایل اطلاعات را به هر دو صورت تغییر می دهند. این یک خطر امنیت سایبری بسیار بزرگتر است زیرا اطلاعات را می توان تغییر داد.

از آنجایی که امنیت سایبری به طور پیش‌فرض به سمت رمزگذاری گرایش پیدا می‌کند، sniffing و حملات انسان در وسط دشوارتر می‌شود اما غیرممکن نیست. مهاجمان می‌توانند از تکنیک‌های مختلف برای فریب دادن کاربران یا سوءاستفاده از ضعف‌های پروتکل‌های رمزنگاری برای تبدیل شدن به یک مرد میانی استفاده کنند. یک اتصال امن برای جلوگیری از رهگیری ارتباط شما توسط یک مرد در وسط کافی نیست.

حمله مرد میانی به عنوان یکی از مهمترین حملات هکی جهان مخصوصا در مورد کاربران شناخته می شود

حملات Man-in-the-Middle کجا اتفاق می‌افتد؟

انواع مختلفی از حملات Man-in-the-Middle یا همان حمله مرد میانی وجود دارد اما به طور کلی به چهار روش انجام می شود:

شبکه‌های عمومی:

هنگام اتصال به هر شبکه عمومی در معرض بیشترین خطر هستید. این به معنای اتصالات Wi-Fi عمومی در فرودگاه ها یا کافه ها، هر شبکه ای بدون محدودیت دسترسی است. برای یک مهاجم راحت‌تر است که به یک مرد میانی تبدیل شود، زیرا بسیاری از تکنیک‌ها در شبکه‌های محلی و شبکه‌های Wi-Fi بهترین کار را دارند.

در رایانه :

می‌توانید بدافزاری را نصب کنید که بر اتصال اینترنت شما نظارت می‌کند و آن را تغییر می‌دهد (مانند یک انسان در مرورگر) یا از یک حمله فیشینگ رنج می‌برید که اتصال شما را با فریب دادن شما به سایت‌هایی که به‌عنوان مرد درون‌فرهنگ عمل می‌کنند ربوده است.

روتر:

روترها اغلب توسط ارائه دهنده خدمات اینترنت شما عرضه می شوند و دارای تنظیمات امنیتی پیش فرض هستند. این بدان معناست که بسیاری از روترها دارای اعتبارنامه های پیش فرض ورود به سیستم (مانند admin/password) هستند یا دارای سیستم عامل قدیمی هستند که می تواند آسیب پذیری شناخته شده ای داشته باشد.

وب سرور:

مهاجم به وب سرور واقعی که قصد برقراری ارتباط با آن را داشتید دسترسی پیدا می کند.

حملات Man-in-the-Middle چگونه کار می کنند؟

حمله انسان در وسط را می توان به سه مرحله تقسیم کرد:

مرحله اول: برای انجام حمله به مکانی دسترسی پیدا کنید.
دوم: تبدیل به مرد میانی شوید.
مرحله سوم: در صورت لزوم بر رمزگذاری غلبه کنید.

هنگامی که مهاجم بتواند بین شما و مقصد مورد نظر شما قرار بگیرد، تبدیل به مرد میانی می شود. برای موفقیت آمیز بودن این کار، آنها سعی می کنند کامپیوتر شما را با یک یا چند تکنیک مختلف حمله جعل فریب دهند.

آیا VPN می تواند از حمله مرد میانی جلوگیری کند؟

هم بله و هم خیر!×!. استفاده از VPN بسیاری از مکان‌هایی را که ممکن است حمله MiTM رخ دهد خاموش می‌کند. اما نه همه آنها را . به طور خاص، از ترافیک شما بین دستگاه شما و دروازه VPN محافظت می کند و از انجام یک حمله MiTM به سمت شما جلوگیری می کند.

با این حال، هنگامی که ترافیک شما از دروازه VPN به مقصد نهایی خود می رسد، در برابر حمله MiTM آسیب پذیر می شود. با یک VPN، ترافیک شما نیمه ناشناس می شود. بنابراین هدف قرار دادن هر حمله ای به سمت شخص خاصی بسیار دشوارتر است. اما حمله بی رویه علیه همه کاربران یک وب سایت خاص هنوز بسیار امکان پذیر است.

به عنوان مثال، در ژانویه 2011، دولت تونس، در ترس از خیزش مردمی که در نهایت رژیم را سرنگون می کرد، توانست یک حمله MiTM به کاربران فیس بوک که از داخل تونس متصل می شدند، انجام دهد و ورود و رمز عبور آنها را ضبط کند. در این مورد، تا زمانی که دروازه VPN در خارج از کشور تونس قرار داشت، یک VPN از این نوع حمله محافظت می کرد.

بیشتر بخوانید🚀🚀🚀🚀🚀 : برنامه هک واتساپ PLC

تفاوت حمله MiTM و DDoS

یکی از انواع دیگر حمله های مهمی که انجام می شود مربوط به DDoS است. این حمله هم در نقض امنیت شرکت ها و همچنین اشخاص نقش بسیار مهمی را داشته است. به همین دلیل هم باید به تفاوت بین این حمله و حمله مرد میانی بپردازیم.

حمله انکار سرویس توزیع شده DDOS با غرق کردن یک سیستم با درخواست داده کار می کند. مهاجم ممکن است از رایانه شما برای حمله به رایانه دیگری با ارسال درخواست های بسیار به وب سرور استفاده کند و در صورت تقاضا از کار بیفتد. حمله DDoS از چندین سیستم انجام می شود. ما به عنوان یک انسان، یک تا 10 بار برای سرور تلاش می کنیم، اما مهاجم یک ربات پرس و جو ایجاد می کند و آنها میلیون ها درخواست پرس و جو را در یک زمان ارسال می کنند. یعنی تعداد زیادی پرس و جو سرور را در یک زمان دریافت می کنند. در این شرایط حفظ امنیت برای شبکه ممکن است دشوار باشد.

حمله DDoS یک تلاش مخرب برای خاموش کردن سرویس آنلاین شما یا در دسترس نبودن موقت یا تعلیق خدمات سرور میزبان آن است. شما  می توانید سازمان خود را از تماس حمله DDoS با تیم خدمات مشاوره فناوری اطلاعات محافظت کنید . همچنین بهترین خدمات را برای سازمان دریافت کنید و داده های خود را در برابر حملات مجرمان سایبری ایمن کنید.

حمله مرد میانی با سایر حملات هکی تفاوت های مهمی دارد که باید بدانید

3 نوع حملات DDOs

1. حملات بر اساس حجم

حملات مبتنی بر حجم از حجم عظیمی از ترافیک تقلبی برای از بین بردن منابعی مانند وب سایت یا سرور استفاده می کنند. شامل ICMP، سیل‌های UPD و سایر سیل‌های بسته جعلی. اندازه حمله بر حسب بیت در ثانیه (bps) اندازه گیری می شود.

2. حملات پروتکلی

ارسال تعداد زیادی بسته به زیرساخت شبکه و ابزارهای زیرساختی هدف. شامل سیل های SYN، حملات بسته های تکه تکه شده، Ping of Death، Smurf DDoS در میان سایر موارد، و اندازه آنها بر حسب بسته در ثانیه (PPS) اندازه گیری می شود.

3. حملات لایه برنامه

حملات لایه برنامه شامل حملات کم و آهسته است، آنها توسط سیل برنامه های کاربردی با درخواست های ترسیم شده خصمانه انجام می شوند که هدف این حملات برای از کار انداختن سرور است. اندازه این حملات بر حسب درخواست در ثانیه (RPS) اندازه گیری می شود.

اینها انواع رایج حملات DDoS هستند

سیل UDP
ICMP (پینگ) سیل
SYN Flood
پینگ مرگ
لوریس آهسته
تقویت NTP
HTTP Flood

لیستی از انواع رایج حملات در بالا آورده شده است. هر نوع هدف حمله همیشه یکسان است. اما با حمله مرد میانی تفاوت هایی دارد.

حمله MitM با حملات DDoS متفاوت است. حملات سایبری انسان در وسط زمانی انجام می شود که دو طرف با یکدیگر ارتباط برقرار می کنند. یا به صورت مخفیانه استراق سمع می کنند یا ترافیکی را که بین آن دو حرکت می کند تغییر می دهند. مهاجمان از طریق تکنیک حمله MitM برای سرقت اطلاعات کاربری یا اطلاعات شخصی، جاسوسی از قربانی، یا خراب کردن ارتباطات یا خراب کردن داده‌ها. در امنیت رایانه و رمزنگاری، یک مرد در وسط حمله می کند که به آن “ربایی” نیز می گویند. شناسایی حملات MitM دشوار است، اما آنها قابل فرار هستند. شناسایی حملات MitM دشوار است، اما آنها قابل فرار هستند.

7 نوع حملات MITM

1. هک وای فای
2. ربودن ایمیل
3. حملات جعل IP
4. جعل DNS
5. جعل HTTPS
6. SSL Stripping
7. ربودن session

نتیجه

در این مقاله سعی شد با زبان ساده حمله مرد میانی گفته شود. این مسئله را بدانید که در دنیای امروزی در صورتی که امنیت اطلاعات را نادیده بگیرید به راحتی هک می شوید. البته برای افرادی عادی این هک شدن می تواند فقط از دست دادن یک سری عکس های قدیمی و خاطرات باشد!. اما برای افرادی که اطلاعات مهم مالی دارند این موارد به شدت مهم تر است. به دلیل این که با یک هم ممکن است زندگی مالی خود را به صورت کامل تغییر دهند!.