Что нового?

Обнаружение и предотвращение атак человека посередине

Добро пожаловать на наш форум!

Спасибо за посещение нашего сообщества. Пожалуйста, зарегистрируйтесь или войдите, чтобы получить доступ ко всем функциям.


Gibby

Gibby

Автор
Команда проекта

Регистрация
Сообщений
1,665
Репутация
46
Сделок
Целью MITM атаки зачастую является получения конфиденциальных данных пользователя, примером таких данных является: учётные данные пользователя, данные банковского счёта, номер банковской карты и т.д. Злоумышленник имеет в арсенале несколько способов проведения MITM атаки.

Типы проведения атаки:
  • Подмена IP-адреса
Каждое устройство, подключенное к интернету, имеет свой интернет-протокол. Злоумышленник, подменив IP-адрес заставляет жертву думать, что она взаимодействует с интернет-ресурсом, но на деле не обменивается никакими данными с сервером, а отправляет данные злоумышленнику.
  • Спуфинг DNS
Во время подмены DNS злоумышленник получает полное управление над запросами пользователя и может перенаправлять его на поддельные веб-страницы и сайты.
  • Спуфинг ARP
Злоумышленник, отправляет жертве поддельные ARP-ответы с информацией что поддельный MAC-адрес совпадает с настоящим IP-адресом маршрутизатора.

Пример атаки с использованием APR спуфинга: ример атаки с использованием APR спуфинга:

  1. Атакующий узнаёт IP-адрес сетевого интерфейса
  2. С помощью утилиты netdiscover обнаруживает узлы в сети
  3. Выбирает жертву
  4. Запускает arpspoof

2.png
Рисунок 1.1 Переход трафика жертвы через злоумышленника
Жертва всё так же может пользоваться интернетом, но теперь весь трафик идёт через злоумышленника.

Признаки атаки MITM:
  1. Частые разрывы и переподключения к сети.
  2. Изменение MAC-адреса точки доступа.
  3. Несколько точек доступа с одинаковым SSID.
  4. Задержки при отправке запроса.
Обнаружение и предотвращение атаки. Для обнаружения MITM атаки используется Arduino UNO и Wi-Fi модуль ESP32, при помощи модуля можно осуществлять мониторинг различных параметров сети, что приведёт к дальнейшему обнаружение атаки. Преимущества использования микроконтроллера заключается в простоте внедрения этого устройства в интернет вещей.

  • Проверка изменений MAC-адреса точки доступа
Обнаружение нескольких точек доступа с одинаковыми SSID, но с другим MAC-адресом. Можно обнаружить атаку если мониторить MAC-адрес точки доступа и реагировать на его изменение.

  • Анализ уровня сигнала
Поддельная точка доступа имеет другой уровень сигнала в отличие от настоящей. Если уровень сигнала резко изменился это может свидетельствовать о атаке.

  • Мониторинг переподключения и сбоев соединения
Частые разрывы и переподключения к сети Wi-Fi могут быть признаком атаки. Злоумышленник может пытаться перебросить устройство на поддельную точку доступа путём искусственных сбоев соединения.

Пример обнаружения APR атаки при помощи утилиты Wireshark:
3.jpg
Рисунок 1.2 Анализ трафика через утилиту Wireshark

Жёлтым цветом помечена аномалия, на которую нужно обратить внимание.

Выводы​

Атаки типа «Человек посередине», будут эффективным способом получения конфиденциальных данных до тех пор, пока злоумышленники не смогут перехватывать важные данные, такие как пароли и номера банковских карт. Использование вышепоказанных способов решения проблемы сократит количество успешных атак что приведёт к снижению эффективности метода «человек посередине».
 
Войдите или зарегистрируйтесь для ответа.
Сверху