到底什么是中间人攻击，你该如何防范？

中间人攻击是一种危害性大但隐蔽性强的网络攻击模式，一般大众往往遭受损失后还难以察觉。中间人攻击能够同时对多个潜在目标开展网络劫持攻击，实施成功的前提是需要一个接近潜在目标的“跳板”，通过这个“跳板”对目标的通信进行劫持和接管。

中间人攻击主动构建新的网络攻击路径，同时能够影响的潜在目标更加广泛，是在一地部署能够影响多个目标的网络攻击模式，与此同时，攻击者比以往任何时候更加隐蔽，因此，需要大家高度警惕。本期，为大家介绍中间人网络攻击的相关情况。

MitM网络钓鱼攻击是一种绕过基于内容的防御和双因素身份验证的新型网络钓鱼攻击。与传统的网络钓鱼攻击不同，MitM攻击显示的是合法登录页面的独立但虚假的版本，它向用户显示的内容与他们在合法登录页面上看到的内容完全相同。MitM服务器没有托管合法登录页面的副本，而是简单地获取合法站点上呈现的内容并将其转发给最终用户，如下图所示。

换句话说，MitM服务器充当目标和合法登录页面之间的代理。当目标将其凭据输入到代理页面时，MitM服务器将凭据存储起来，并将其转发到合法的登录页面，从而成功登录。从受害者的角度来看和登录到了合法页面非常相似。

此外这两个连接(MitM服务器到合法站点，受害者到MitM服务器)都是通过HTTPS协议提供的，因此受害者将根据web浏览器地址栏中的挂锁图标看到连接是“安全的”。

（MitM网络钓鱼攻击的可视化表示）

由于显示给目标的内容与他们在合法登录页面上看到的内容完全相同，这种基于代理的方法使受害者更难从视觉上辨别出可疑的事情正在发生，并且使基于内容的网络钓鱼检测引擎很难检测到可疑目标。

MitM网络钓鱼攻击就像通过隐藏得很好的镜子观看原画。MitM攻击除了上述好处外，还有其他几个好处。例如，如果用户设置了双因素身份验证，这种基于代理的方法允许MitM服务器自动绕过这个双因素身份验证。在MitM服务器将用户名和密码转发到合法站点后，合法站点将按照其正常行为向其客户端发送OTP。如果被欺骗，则目标将在MitM网络钓鱼页面中输入一次性密码，允许MitM服务器将密码中继到合法站点，从而完全完成登录尝试。 

此时，MitM服务器将从合法站点接收一个真实的会话cookie。这种持久的登录允许受害者继续正常浏览网站（尽管仍然通过攻击者的web服务器），从而进一步保持网络钓鱼攻击的合法性。

与传统的钓鱼套件类似，MitM钓鱼套件提供了脚本、甚至图形用户界面（GUI），使攻击者可以轻松配置和发起MitM钓鱼攻击。

这些工具包都采用了将原始登录页面传递给受害者浏览器的核心策略，但它们在实现细节和附加功能(例如，隐身和TLS证书生成)方面有所不同。例如Evilginx2生成唯一的标记化URL(又名“诱饵”)，必须直接访问以显示钓鱼内容。对任何其他路径的请求都会导致重定向到良性站点。

4.1 Evilginx2

4.2 Modlishka

4.3 Muraena

4.4 EvilnoVNC

4.5 EvilProxy

MitM网络钓鱼攻击已经造成了严重影响，随着MitM网络钓鱼工具包的不断普及，预计其流行程度将会上升。因此对于各类组织来说，保护自己免受这类网络钓鱼攻击变得越来越重要。

目前，终端用户可以采取的保护自己免受MitM网络钓鱼攻击的措施包括:

• 在输入任何凭证之前验证URL的有效性，例如确保一个URL真的是“github[.]com”，而不是“github-impersonator[.]org”；

• 使用密码管理器存储和输入凭据，如果发现自己处于密码管理器无法识别的网站上的MitM钓鱼页面，密码管理器将在输入凭据之前发出警告；

• 使用最先进的MFA方法，如硬件安全密钥或网络认证双因素身份验证；

• 公共网络环境下（例如公共 WiFi），没有 HTTPS 加密的敏感网站不要随便登录，一般不可信；

• 在任何网站上登录自己的账号前确保网址为 HTTPS 加密协议。

长风实验室发布、转载的文章中所涉及的技术、思路和工具，仅供以网络安全为目的的学习交流使用，不得用作它途。部分文章来源于网络，如有侵权请联系删除。