Estou interessado em entender o mecanismo do ataque man-in-the-middle. Eu sei que, em um cenário de LAN, para fazer um ataque MitM, um invasor geralmente altera a tabela de roteamento dos dispositivos de destino (envenenamento por ARP). Mas, em um contexto da internet, é possível realizar um ataque man-in-the-middle?
Isso é realmente possível e chamado de " {BGP | IP | rota | prefixo} seqüestro " .
Esses ataques são, no entanto, mais complicados do que os de uma rede, mas não são muito discretos.
Em 8 de abril de 2010, um ISP chinês anunciou MUITOS prefixos , e isso foi visto por sondas bgp em todo o mundo.
A Wired tem um bom artigo descrevendo-o e você também pode ler < a entrada da Wikipedia .
Existem muitos tipos de ataques MITM. Cada um deles depende do protocolo que o invasor quer abusar ou de sua posição em relação à sua topologia / tráfego. Como você mencionou, há ataques MITM baseados em LAN (envenenamento de cache ARP ou falsificação de DHCP). Ataques MITM à infraestrutura de roteamento (injeção de prefixo em uma WAN habilitada para RIP / EIGRP / OSPF). E ataques à infraestrutura fora de sua organização, mas dos quais você depende, ou seja, sequestro de prefixo BGP, falsificação de DNS, etc.
Um exemplo clássico é o caso quando um invasor [ISP / Government / Bad Guy] modifica suas respostas DNS e faz com que todo o seu tráfego HTTP / email passe por um de seus proxies desonestos sem que você saiba.
É possível? Sim. Alguém sentado em um ISP em algum lugar poderia colocar algo perto de um roteador carregando seu tráfego e tocar nos dados para interceptá-lo.
Existem agências governamentais que fazem isso, supostamente, o tempo todo. Tudo o que você precisa é de uma operadora cooperativa e / ou acesso a um dispositivo em algum lugar entre os pontos A e B e Bob é seu tio ...
Também gostaria de acrescentar que é possível ... possível ... que o tráfego seja interceptado em algum lugar por um hacker que fareja / redirecione o tráfego após obter acesso a um equipamento específico. Eu realmente não ouvi falar disso, mas, novamente, não é o tipo de coisa que uma empresa iria anunciar acontecendo se não fosse necessário. E também é possível que os funcionários abusem de seus privilégios de acesso.
A menos que você tenha uma posição de ganhar dinheiro financeiramente ou pessoalmente ao fazer isso, ou se você for um alvo particularmente público para ser hackeado, é provável que não precise se preocupar com isso.
Tags man-in-the-middle