中间人攻击(MITM,Man-in-the-Middle Attack)是一种网络安全威胁。攻击者会在通信双方(例如你和某个网站)不知情的情况下,秘密插入双方建立的连接之间,拦截、中继甚至篡改通信数据。
可以把这种攻击想象成:你(Alice)寄出一封信给朋友(Bob),但信件在半路被攻击者(Mallory)截获了。她拆开看完、修改内容,然后用原信封重新封好寄给Bob。你和Bob都以为是在直接通信,并不知道中间还有第三者。更关键的是,Mallory还可以同时冒充你和Bob,让你们双方都以为自己正与对方本人交流。
攻击的工作原理(以典型场景为例)
- 拦截:攻击者让通信经过自己的设备。常见方法包括:
- 伪造Wi-Fi热点(如“Free Wi-Fi”)
- ARP欺骗(在局域网内冒充网关)
- DNS欺骗(把网站地址解析到攻击者的IP)
- 解密/读取:如果通信是加密的(如HTTPS),攻击者可能通过伪造证书或强制降级协议来解密。
- 篡改或监听:攻击者可以窃听数据(如密码、聊天内容),或者修改请求/响应(如把转账收款人改掉)。
- 转发:为了不暴露,攻击者会把处理后的数据继续发送给原本的目标。
常见的中间人攻击方式
- Wi-Fi 中间人:设置一个没有密码的假Wi-Fi热点,比如取名“Starbucks Wi-Fi”。一旦你连上,攻击者就能看到你的所有流量。
- SSL/HTTPS 劫持:攻击者伪造一个你看不出差异的假网站证书。如果你忽视浏览器的安全警告,就会中招。
- 邮件或会话劫持:截获你与银行之间的会话,在你登录后,攻击者利用你的会话Token执行转账操作。
- ARP 欺骗:在局域网中告诉路由器“我是那台电脑”,告诉那台电脑“我是路由器”,从而让所有数据都经过攻击者。
攻击的后果
- 窃取登录凭证、银行卡号、隐私信息
- 篡改转账目的账户、购物订单信息
- 植入恶意软件或开展钓鱼攻击
- 长期监控你的通信内容
如何防范中间人攻击
- 加密通信:对个人用户来说,确保访问的是使用HTTPS的网站(浏览器地址栏有锁图标),不要忽略证书警告。对组织来说,使用VPN可有效加密全部流量。
- 警惕公开Wi-Fi:尽量不连接无密码或名称可疑的公共Wi-Fi。如果必须连,也要确保应用使用强加密(如HTTPS)并且不使用敏感账户。
- 验证对方身份:使用可信方式核实关键通信对象的指纹(比如首次使用某些加密软件时,手动比对公钥或二维码)。
- 网络层防护:企业网络中可使用支持动态ARP检测的交换机;家庭路由器管理页面选择强密码、关闭WPS功能。
- 多因素认证(MFA):即使攻击者窃取到密码,没有第二因子(例如手机验证码)也无法登录。
简单记忆要点:不随便连免费Wi-Fi,不轻易点击他人发来的短链接,对浏览器弹出的证书安全警告永远选择“不继续访问”。
