本章見證安靜且致命的攻擊。
中間人攻擊(Man-in-the-Middle,簡稱 MITM),有時也稱為中間敵手攻擊(Adversary-in-the-Middle,AITM),是指攻擊者位於資料傳輸的「中間」,而傳送雙方通常毫無察覺。藉此,攻擊者能夠竊聽、竊取資訊、注入惡意資料,或冒充其中一方,進行各種攻擊行為。
ARP 欺騙(ARP Spoofing / Address Resolution Protocol Spoofing)
偽造 DHCP 伺服器攻擊(Rogue DHCP Server Attack)
DNS 欺騙 / 快取污染(DNS Spoofing / Cache Poisoning)
流氓接入點(Rogue Access Point)/ 邪惡雙胞胎攻擊(Evil Twin Attack)
SSL 降級攻擊(SSL Stripping)
會話劫持(Session Hijacking)
電子郵件劫持(Email Hijacking / Mailserver MITM)
HTTPS / 憑證相關攻擊(HTTPS Spoofing、偽造憑證)
MITB 攻擊是指攻擊者透過惡意軟體或瀏覽器外掛,在使用者本地端的瀏覽器中注入惡意程式碼,通常在資料被加密或送出之前就下手,即使是使用 HTTPS 也可能被攻擊。對使用者與網頁應用程式來說,這種攻擊幾乎無法察覺。
MITM(中間人攻擊)主要針對使用者與伺服器之間的網路通訊,攻擊者會攔截或竄改傳輸中的資料,對網路層造成威脅;而MITB(瀏覽器中間人攻擊)則直接入侵使用者的瀏覽器環境,繞過網路層的安全防護,對使用者端造成更深入且難以察覺的威脅。
惡意程式會以能夠讀取或修改瀏覽器內容的方式運作
例如:注入程式碼到瀏覽器進程、掛鉤瀏覽器 API、或作為惡意外掛運行。
MITB 與 MITM 的主要差異
特徵 | MITM(中間人攻擊) | MITB(瀏覽器中間人) |
---|---|---|
主要目標 | 網路通訊(封包/協議) | 使用者端瀏覽器進程 / DOM |
攻擊位置 | 網路路徑或設備(路由器、AP) | 受感染裝置內(惡意程式或外掛) |
是否繞過 HTTPS | 否(HTTPS 可防護) | 是(在送出前就被攔截或改寫) |
常見手法 | ARP spoofing、DNS poisoning、Evil Twin | DLL injection、惡意外掛、WebInject(JS 注入) |
基本防護 | TLS、DNSSEC、網段隔離 | 裝置端防毒、瀏覽器硬化、外掛白名單 |
網路竊聽,也稱為 嗅探(sniffing) 或 被動攔截(passive interception),是指在資料於網路中傳輸時,靜默地監聽並擷取資料 的行為。與其他形式的中間人攻擊不同,竊聽通常 不會修改資料——它只是偷聽。
攻擊者使用 封包嗅探器(packet sniffers) 或 網路分析工具 來擷取網路上的流量。
常用工具:
WiFi
Bluetooth
其他:有線網路、手機短信(SMS)等
竊聽與中間人攻擊的關聯
✅ 範例: 攻擊者在竊聽時擷取到會話 cookie,然後用它冒充使用者 — 經典的會話劫持。
被動竊聽的中間人攻擊,由於沒有進行任何干預操作,進行溝通的雙方,沒有任何可以察覺的異樣。
即使是主動干預的中間人攻擊,雖然進行了操弄,但受害者處於蒙蔽狀態下有可能完全沒注意到,或是注意到時已經造成傷害。
中間人攻擊往往可以進一步入侵受害者裝置,但若攻擊只停留於網路中,則受害者端點裝置幾乎不會留下操作痕跡,鑑識追緝難度高。