امنیت به زبان ساده: حمله مرد میانی چیست و چطور انجام می شود؟

«حمله مرد میانی - Man-in-the-Middle Attack» (یا به اختصار MITM) نوع رایجی از حملات در حوزه امنیت سایبری است که به مهاجمین اجازه می‌دهد قادر به استراق سمع ارتباطات میان دو هدف باشند. این حمله در جایی میان دو هاست ارتباطی انجام می‌شود و هکر قادر به «شنیدن» مکالمات اهدافی خواهد بود که در حالت عادی نباید بتواند آن‌ها را بشنود. نام «مرد میانی» نیز بر همین اساس انتخاب شده است.

یک مثال ساده می‌زنیم: آلیس و باب در حال گفتگو هستند. ایو می‌خواهد به این مکالمه به شکل پنهان گوش دهد و در عین حال مخفی باقی بماند. ایو می‌تواند به آلیس بگوید که او باب است و بعد به باب بگوید که آلیس است. به این ترتیب، آلیس فکر می‌کند که دارد با باب صحبت می‌کند ولی در واقع بخش‌هایی از مکالمات خود را برای ایو فاش می‌کند. حالا ایو می‌تواند اطلاعات مورد نیاز را جمع‌آوری کرده، پاسخ‌ها را دستکاری کند و پیام را به باب انتقال دهد (که او نیز تصور می‌کند در حال صحبت با آلیس است). در نتیجه، ایو به شکلی مخفیانه مکالمات این دو را به سرقت برده است.

انواع حمله مرد میانی

نقاط دسترسی سرکش (Rogue Access Point)

دیوایس‌های مجهز به کارت‌های وایرلس معمولا سعی می‌کنند به صورت خودکار به اکسس پوینتی که قدرتمندترین سیگنال را مخابره می‌کند متصل شوند. مهاجمین می‌توانند اکسس پوینت وایرلس خودشان را راه انداخته و دیوایس‌ها را فریب دهند تا به دامنه بپیوندند. به این ترتیب، تمام ترافیک شبکه قربانی توسط مهاجم دستکاری می‌شود. این موضوع از آن جهت خطرناک است که هکر حتی نیازی به یک شبکه قابل اعتماد برای انجام کار خود ندارد و فقط کافیست که در مجاورت فیزیکی باشد.

جعل آرپ (ARP Spoofing)

آرپ مخفف Address Resolution Protocol است. از این پروتکل برای تطبیق دادن آی‌پی آدرس با مک آدرس فیزیکی در شبکه محلی استفاده می‌شود. وقتی یک هاست نیازمند مکالمه با هاستی که یک آی‌پی آدرس مشخص دارد باشد، از کش آرپ برای تطبیق دادن آدرس آی‌پی و آدرس مک استفاده می‌کند. اگر آدرس ناشناخته باشد، یک درخواست شکل می‌گیرد که خواستار مک آدرس دیوایس‌هایی که آی‌پی آدرس دارند می‌شود.

مهاجمی که بخواهد خودش را یک هاست جای بزند، می‌تواند با مک آدرس خودش به درخواست‌ها پاسخ بدهد. با استفاده از چند پکت که به صورت دقیق جای‌گذاری شده‌اند، مهاجم می‌تواند ترافیک خصوصی میان دو هاست را اسنیف (استراق سمع) کند. و از این ترافیک، اطلاعات ارزشمندی به دست خواهد آمد، مانند تبادلات توکن‌های نشست که دسترسی کامل به اکانت‌های اپلیکیشن را به مهاجم می‌دهند.

جعل mDNS

Multicast DNS شباهت زیادی به DNS دارد، اما روی شبکه‌های محلی (لن) که از آرپ استفاده می‌کنند به اجرا در می‌آید. همین باعث می‌شود هدفی معرکه برای حملات جعل باشد. سیستم Name Resolution محلی قرار است تنظیمات دیوایس‌های شبکه را شدیدا آسان کند. کاربران لازم نیست دقیقا از آدرس‌های سیستم خود برای برقراری ارتباط با خبر باشند و سیستم خودش تمام کار را انجام می‌دهد.

دستگاه‌هایی نظیر تلویزیون‌ها، پرینترها و سیستم‌های سرگرمی‌محور از این پروتکل استفاده می‌کنند چون معمولا به شبکه‌های قابل اعتماد متصل می‌شوند. وقتی یک اپلیکیشن لازم است آدرس یک دستگاه خاص را بداند،‌ مانند یک تلویزیون، مهاجم می‌تواند با اطلاعات دروغین، به آن درخواست پاسخ دهد و آدرسی که خودش روی آن کنترل دارد را وارد کند. از آن‌جایی که دیوایس‌ها یک کش محلی از آدرس‌ها را نگهداری می‌کنند، دستگاه قربانی حالا دیوایس مهاجم را به عنوان سیستمی قابل اعتماد می‌شناسد.

جعل DNS

به صورت مشابه با کاری که آرپ با آی‌پی آدرس‌ها و مک‌ آدرس‌ها روی لن می‌کند، DNS نام‌های دامنه را با آی‌پی آدرس‌ها تطبیق می‌دهد. هنگام پیاده‌سازی یک حمله جعل DNS، مهاجم تلاش می‌کند تا کش DNS آلوده را به میزبان بشناساند تا با استفاده از نام دامنه، به یک هاست دیگر دسترسی بیابد. به این ترتیب، قربانی اطلاعاتی حساس را برای هاستی بدخواهانه ارسال می‌کند اما تصور بر اینست که اطلاعات دارد به دست منبعی قابل اعتماد می‌رسد. هکری که آی‌پی آدرس را با موفقیت جعل کرده باشد، با تطبیق دادن یک سرور DNS با آدرس خود، به آسانی قادر به جعل DNS خواهد بود.

تکنیک‌های حملات مرد میانی

اسنیفینگ

مهاجمین می‌توانند با استفاده از ابزارهای ضبط پکت برای بازرسی‌ پکت‌ها در سطوح پایین استفاده کنند. با استفاده از دیوایس‌های وایرلس خاصی که وارد حالت پایش می‌شوند، مهاجم قادر به مشاهده پکت‌هایی خواهد بود که نباید توسط هیچکس دیده شوند. مانند پکت‌هایی که باید به دست هاست‌های دیگر برسند.

تزریق پکت

یک هکر ضمنا می‌تواند از حالت پایش دستگاه خود برای تزریق پکت‌های بدخواهانه درون جریان ارتباطات داده استفاده کند. این پکت‌ها در میان جریان واقعی داده پنهان می‌شوند اما در ذات ماهیتی بدخواهانه دارند. تزریق پکت معمولا نخست شامل اسنیفینگ می‌شود تا چگونگی ساخت و ارسال پکت‌ها مشخص گردد.

سرقت نشست

اکثر وب اپلیکیشن‌ها از یک مکانیزم لاگین برای ایجاد یک کلید نشست (Session) موقتی استفاده می‌کنند تا نیازی نباشد که کاربر هنگام باز کردن هر صفحه، مجددا پسوورد خود را وارد کند. یک مهاجم می‌تواند ترافیک را پایش کرده و کلید نشست کاربر را به دست آورد تا به این ترتیب، به جای او برای شبکه درخواست بفرستد. به محض دست یافتن به کلید نشست، مهاجم دیگر نیازی به جعل داده نخواهد داشت.

حملات مرد میانی چطور تشخیص داده می‌شوند؟

بدون برداشتن گام‌های صحیح، تشخیص حملات مرد میانی می‌تواند کاری دشوار باشد. اگر به صورت فعالانه به دنبال تداخل در ارتباطات شبکه نگردید، حمله مرد میانی آنقدر پنهان باقی می‌ماند تا دیگر دیر شده باشد. استفاده از سیستم‌های احراز هویت مناسب و تعبیه یک‌جور سیستم تشخیص دستکاری، معمولا بهترین متدها برای شناسایی حملات بالقوه به حساب می‌آید.

مهم‌ترین مسئله اینست که تدابیری اندیشیده شود که از حملات مرد میانی، پیش از وقوع جلوگیری کنند و نیازی به تلاش برای شناسایی آن‌ها در زمانی که دارند انجام می‌شوند وجود نداشته باشد. در ادامه به برخی از رویکردهایی پرداخته‌ایم که به خوبی از شما و مکالمات‌تان در برابر حملات مرد میانی محافظت می‌کنند

رمزنگاری قدرتمند WEP/WAP روی اکسس پوینت‌ها

دسترسی به یک مکانیزم رمزنگاری قدرتمند روی اکسس پونت‌های وایرلس منجر به این می‌شود که هیچ کاربری به صرف مجاورت فیزیکی، قادر به پیوستن به شبکه شما نباشد. یک مکانیزم رمزنگاری ضعیف باعث می‌شود مهاجم از روش «بروت فورس» راهش را به شبکه باز و حمله مرد میانی را آغاز کند. هرچه مکانیزم رمزنگاری قدرتمندتر باشد، بیشتر در امان خواهید بود.

اطلاعات لاگین بهتر در روتر

بسیا مهم است که اطلاعات لاگین پیش‌فرض روتر را تغییر داده باشید. فقط درباره پسوورد وای‌فای صحبت نمی‌کنیم و اطلاعات لاگین روتر هم مهم است. اگر یک مهاجم به اطلاعات لاگین روتر شما دست پیدا کند، می‌تواند سرورهای DNS را به سرورهای بدخواهانه خودش تغییر دهد. یا بدتر از این، روترتان به نرم‌افزارهای دلخواه او آلوده خواهد شد.

شبکه خصوصی مجازی

شبکه خصوصی مجازی (یا وی‌پی‌ان) محیطی امن برای اطلاعات حساس شما درون شبکه محلی می‌سازد. این شبکه‌ها یک سیستم رمزنگاری مبتنی بر کلید ایجاد می‌کنند تا ارتباطات به شکلی امن‌تر انجام شوند. به این ترتیب، اگر مهاجم راهش را به شبکه‌ای باز کند که اشتراکی است، نمی‌تواند به ترافیک وی‌پی‌ان دسترسی پیدا کند.

HTTPS اجباری

از HTTPS می‌توان برای ارتباط امن از طریق HTTP و با بهره‌گیری از تبادلات عمومی-خصوصی کلید استفاده کرد. این باعث می‌شود هکر نتواند از دیتاهای اسنیف شده استفاده کند. وب‌سایت‌ها باید فقط از HTTPS استفاده کنند و به سراغ جایگزین‌های HTTP نروند. کاربران هم می‌توانند پلاگین‌هایی را روی مرورگر خود نصب کنند که استفاده از HTTPS را روی درخواست‌ها اجباری می‌کنند.