A Man in the Middle attack (MitM támadás) egy olyan kifejezés a kriptográfiában, amely arra a helyzetre utal, amikor a támadó tetszés szerint képes elolvasni és módosítani a levelezők között váltott üzeneteket, és egyikük sem tudja kitalálni a csatornán való jelenlétét .

Kommunikációs csatorna kompromittálására szolgáló módszer, amelyben a támadó a felek közötti csatornához csatlakozva aktívan beavatkozik az átviteli protokollba, információkat töröl, torzít vagy hamis információkat állít fel.

Támadás elve:

Tegyük fel, hogy "A" objektum azt tervezi, hogy bizonyos információkat továbbít a "B" objektumnak. A "C" objektum ismeri az alkalmazott adatátviteli módszer szerkezetét és tulajdonságait, valamint a "C" elfogni tervezett tényleges információ tervezett továbbításának tényét.

A támadáshoz „C” „A”-nak „B”-nek, „B”-nek „A”-nak tűnik. Az "A" objektum, tévesen azt gondolva, hogy információt küld "B"-nek, elküldi a "C" objektumnak.

A "C" objektum, miután információt kapott és bizonyos műveleteket végrehajtott vele (például másolta vagy módosította saját céljaira), elküldi az adatokat magának a címzettnek - "B"; A "B" objektum viszont úgy véli, hogy az információt közvetlenül "A"-tól kapta.

Példa MitM támadásra:

Tegyük fel, hogy Alice-nek pénzügyi problémái vannak, és egy azonnali üzenetküldő program segítségével úgy dönt, hogy pénzt kér Johntól az üzenet elküldésével:

Alice: John, szia!
Alice: Kérem, küldje el a titkosítási kulcsot, lenne egy kis kérésem!
János: Helló! Várjunk csak!

Ekkor azonban X úr, aki a forgalmat szippantó segítségével elemezte, észrevette ezt az üzenetet, és a „titkosító kulcs” szavak felkeltették a kíváncsiságot. Ezért döntött úgy, hogy elfogja a következő üzeneteket, és lecseréli azokat a szükséges adatokkal, és amikor megkapta a következő üzenetet:

János: Itt van a kulcsom: 1111_D

Lecserélte John kulcsát a sajátjára, és üzenetet küldött Alice-nek:

János: Itt van a kulcsom: 6666_M

Alice, aki nem tudja, és azt hiszi, hogy ez John kulcsa, a privát kulcsot használja 6666_M, titkosított üzeneteket küld Johnnak:

Alice: John, problémáim vannak, és sürgősen pénzre van szükségem, kérem, utaljon át 300 dollárt a számlámra: Z12345. Köszönöm. p.s. Kulcsom: 2222_A

Miután megkapta az üzenetet, Mr. X visszafejti azt a kulcsával, elolvassa, és örömében lecseréli Alice számlaszámát és titkosítási kulcsát a sajátjára, titkosítja az üzenetet a kulccsal 1111_D, és üzenetet küld Johnnak:

Alice: John, problémáim vannak, és sürgősen pénzre van szükségem, kérem, utaljon át 300 dollárt a számlámra: Z67890. Köszönöm. p.s. Kulcsom: 6666_A

Miután megkapta az üzenetet, John visszafejti a kulcs segítségével 1111_D, és habozás nélkül pénzt utal át a számlára Z67890...

Így Mr. X, aki a középső támadást alkalmazta, 300 dollárt keresett, de Alice-nek most meg kell magyaráznia, hogy nem kapta meg a pénzt... És John? Johnnak be kell bizonyítania Alice-nek, hogy ő küldte őket...

Végrehajtás:

Ezt a fajta támadást egyeseknél alkalmazzák szoftver termékek a hálózat hallgatásához, például:

NetStumbler- egy program, amellyel sok hasznos adatot gyűjthetsz róla vezetéknélküli hálózatés megoldja a működésével kapcsolatos néhány problémát. A NetStumbler lehetővé teszi a hálózat hatótávolságának meghatározását, és segít pontosan irányítani az antennát a távolsági kommunikációhoz. Minden talált hozzáférési pontnál megtudhatja a MAC-címet, a jel-zaj arányt, a szolgáltatás nevét és a biztonságának mértékét. Ha a forgalom nincs titkosítva, akkor hasznos lesz a program azon képessége, hogy észleli a jogosulatlan kapcsolatokat.

szippantás- egy hálózat-auditálási és penetrációs tesztelési programcsomag, amely passzív hálózatfigyelést biztosít az érdeklődésre számot tartó adatok (jelszavak, címek) kereséséhez Email, fájlok stb.), a hálózati forgalom elfogása, amely általában nem lenne hozzáférhető elemzés céljából (például kapcsolt hálózatban), valamint az SSH- és HTTPS-munkamenetek elfogására alkalmas MITM-támadások megszervezése a PKI-hibák kihasználásával.

Káin és Ábel - ingyenes program, amely lehetővé teszi az elveszett jelszavak helyreállítását operációs rendszer Windows család. Számos helyreállítási mód támogatott: brute force hackelés, szótárválasztás, csillagokkal rejtett jelszavak megtekintése stb. Lehetőségek vannak a jelszó azonosítására az információs csomagok elfogásával és azok későbbi elemzésével, a hálózati beszélgetések rögzítésével, a gyorsítótár elemzésével és egyebekkel.

Ettercap- egy szippantó, csomagelfogó és rögzítő helyi Ethernet hálózatokhoz, amely támogatja több protokoll aktív és passzív elemzését, valamint lehetőség van saját adatok „bedobására” egy meglévő kapcsolatra és „menet közben” szűrésre a kapcsolat megszakítása nélkül. szinkronizálás. A program lehetővé teszi az SSH1, HTTPS és más biztonságos protokollok lehallgatását, és lehetőséget biztosít a jelszavak visszafejtésére a következő protokollokhoz: TELNET, ftp, POP, RLOGIN, SSH1, icq, SMB, Mysql, HTTP, NNTP, X11, NAPSTER, IRC , RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG.

KARMA– a vezeték nélküli kliensek biztonságának felmérésére szolgáló segédprogramok készlete, egy vezeték nélküli szippantó, amely a 802.11 Probe Request keretek passzív hallgatásával lehetővé teszi az ügyfelek és az általuk preferált/megbízható hálózatok észlelését. Ezután az egyik kért hálózathoz létrehozható egy hamis hozzáférési pont, amelyhez az automatikusan csatlakozhat. A magas szintű hamis szolgáltatások felhasználhatók személyes adatok ellopására vagy a gazdagépen lévő ügyfél sebezhetőségeinek kihasználására.

AirJack- egy programkészlet, amely a WiFi-hackelés szakértői szerint az legjobb eszköz különböző 802.11-es keretek létrehozásához. Az AirJack számos segédprogramot tartalmaz, amelyek célja a rejtett ESSID észlelése, a munkamenet-lezáró keretek hamis MAC-fel való küldése, a MitM támadások végrehajtása és módosítása.

Ellenhatás:

Az ilyen típusú támadások elkerülése érdekében az „A” és „B” előfizetőknek csak megbízható csatornán kell egymásnak közvetíteniük. digitális aláírások nyilvános titkosítási kulcsok. Ezután a titkosítási munkamenetekben a kulcsaláírások összehasonlításakor meg lehet határozni, hogy melyik kulcsot használták az adatok titkosításához, és hogy a kulcsokat lecserélték-e.

Szinte mindig többféle módon lehet elérni a kívánt eredményt. Ez vonatkozik az információbiztonság területére is. Néha egy cél elérése érdekében nyers erőt alkalmazhat, lyukakat kereshet, és saját maga fejleszthet kizsákmányolást, vagy meghallgathatja a hálózaton keresztül továbbított tartalmat. Ráadásul utolsó lehetőség gyakran optimális. Éppen ezért ma olyan eszközökről fogunk beszélni, amelyek segítségével MITM támadásokat használva elkaphatjuk a számunkra értékes információkat a hálózati forgalomból.

MITMf

Kezdjük az egyik legérdekesebb jelölttel. Ez egy teljes keret a lebonyolításhoz emberközép támadások, sergio-proxyra épült. Nemrég szerepelt Kali Linux. A telepítéshez csak klónozza a tárolót, és futtassa néhány parancsot:

# setup.sh # pip install -r követelmények.txt

# pip install -r követelmények.txt

Olyan architektúrája van, amely bővíthető pluginekkel. A főbbek közé tartoznak a következők:

• Spoof – lehetővé teszi a forgalom átirányítását ARP/DHCP hamisítással, ICMP átirányításokkal és DNS-lekérdezések módosításával;
• Sniffer – ez a beépülő modul nyomon követi a különböző protokollok bejelentkezési kísérleteit;
• BeEFAutorun - lehetővé teszi a BeEF modulok automatikus elindítását az operációs rendszer és a kliens böngésző típusa alapján;
• AppCachePoison - gyorsítótár-mérgezési támadást hajt végre;
• SessionHijacking – eltéríti a munkameneteket, és az eredményül kapott cookie-kat a Firefly profilban tárolja;
• BrowserProfiler - megpróbálja lekérni a böngésző által használt bővítmények listáját;
• FilePwn - lehetővé teszi a HTTP-n keresztül küldött fájlok cseréjét a Backdoor Factory és a BDFProxy használatával;
• Inject – tetszőleges tartalmat szúr be egy HTML oldalba;
• jskeylogger – JavaScript keyloggert ágyaz be az ügyféloldalakba.

Ha ez a funkció elégtelennek tűnik, bármikor hozzáadhatja a sajátját a megfelelő kiterjesztéssel.

PuttyRider

Egy másik segédprogram, amely figyelmet érdemel. Igaz, minden más manapság figyelembe vett eszközzel ellentétben ez nagyon szűken specializálódott. Mint a projekt szerzője maga mondja, egy ilyen segédprogram elkészítéséhez az ihlette, hogy a penetrációs tesztek során a legfontosabb adatok Linux/UNIX szervereken helyezkedtek el, amelyekhez az adminisztrátorok SSH/Telnet/rlogin segítségével csatlakoztak. Ráadásul a legtöbb esetben sokkal könnyebb volt hozzáférni a rendszergazdák gépéhez, mint a célszerverhez. A rendszergazda gépén való behatolás után már csak meg kell győződni arról, hogy a PuTTY fut, és ezzel az eszközzel háthidat építeni a támadó felé.

A segédprogram nem csak az adminisztrátor és az adminisztrátor közötti „kommunikáció” rögzítését teszi lehetővé távoli szerver(beleértve a jelszavakat), hanem tetszőleges shell-parancsokat is végrehajthat egy adott munkameneten belül. Ráadásul mindez a felhasználó (adminisztrátor) számára abszolút átláthatóan fog megtörténni. Ha érdeklik a technikai részletek, például a PuTTY beépítése a folyamatba, ajánlom, hogy olvassa el a szerző előadását.

Elég régi segédprogram, több mint nyolc éve született. Cookie-k ellopásával történő klónozásra szolgál. A munkamenetek eltérítéséhez alapvető készségekkel rendelkezik a gazdagépek észlelésében (ha nyílt vezeték nélküli hálózathoz vagy hubhoz csatlakozik) és az ARP-mérgezés végrehajtásához. A probléma csak az, hogy ma, a nyolc évvel ezelőttitől eltérően, szinte minden nagy cég, mint például a Yahoo vagy a Facebook használ SSL titkosítást, ami teljesen használhatatlanná teszi ezt az eszközt. Ennek ellenére még mindig van elég forrás az interneten, amely nem használ SSL-t, így még korai lenne leírni a segédprogramot. Előnyei közé tartozik, hogy automatikusan integrálódik a Firefoxba, és külön profilt hoz létre minden elfogott munkamenethez. Forrás elérhető a tárolóban, és saját maga is elkészítheti a következő parancsok segítségével:

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # setcap cap_net_raw,cap_net_admin=eip üléstolvaj

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # setcap cap_net_raw,cap_net_admin=eip sessionthief

ProxyFuzz

A ProzyFuzznak semmi köze közvetlenül a MITM támadásokhoz. Ahogy a névből sejthető, az eszközt fuzzingra tervezték. Ez egy Pythonban megvalósított kis, nem determinisztikus hálózati fuzzer, amely véletlenszerűen módosítja a hálózati forgalmi csomagok tartalmát. Támogatja TCP protokollokés UDP. Beállíthatja úgy, hogy csak az egyik oldalt fuzzolja. Hasznos lehet, ha gyorsan kell tesztelnie néhány hálózati alkalmazást (vagy protokollt), és ki kell fejlesztenie egy PoC-t. Használati példa:

Python proxyfuzz -l -r -o

python proxyfuzz -l -r -o

Az opciók listája a következőket tartalmazza:

• w - megadja a fuzzing megkezdése előtt elküldött kérések számát;
• c - csak az ügyfelet fuzzolja meg (egyébként mindkét oldalt);
• s - csak a szerver fuzz-ja (egyébként mindkét oldal);
• u - UDP protokoll (egyébként TCP-t használnak).

A Középső

A DEF CON konferencián bemutatott különféle protokollok elleni MITM-támadások lebonyolítására szolgáló segédprogram. Az alfa verzió támogatta a HTTP protokollt, és három nagyszerű bővítményt tartalmazott az arzenáljában:

• plugin-beef.py – beilleszti a böngészőkihasználási keretrendszert (BeEF) a helyi hálózatról érkező HTTP-kérésekbe;
• plugin-metasploit.py – beágyaz egy IFRAME-et a titkosítatlan (HTTP) kérésekbe, ami betölti a böngésző exploitjait a Metasploitból;
• plugin-keylogger.py – JavaScript onKeyPress eseménykezelőt ágyaz be minden HTTPS-en keresztül beküldött szövegmezőbe, így a böngésző karakterenként elküldi a felhasználó által megadott jelszót a támadó szerverének, mielőtt a teljes űrlapot elküldené.

A Middler nemcsak automatikusan elemzi hálózati forgalomés cookie-kat talál benne, de önállóan is kéri azokat a klienstől, vagyis a folyamat maximálisan automatizált. A program garantálja az összes nem védett fiók begyűjtését számítógép hálózat(vagy nyilvános hotspot), amelynek forgalmához hozzáfér. A program megfelelő működéséhez a következő csomagokat kell telepíteni a rendszerre: Scapy, libpcap, readline, libdnet, python-netfilter. Sajnos az adattárat hosszú ideje nem frissítették, így Önnek kell új funkciókat hozzáadnia.

Konzolsegédprogram, amely lehetővé teszi a HTTP-forgalom interaktív vizsgálatát és módosítását. Az ilyen készségeknek köszönhetően a segédprogramot nem csak a pentesterek/hackerek használják, hanem a hétköznapi fejlesztők is, akik például webes alkalmazások hibakeresésére használják. Segítségével kaphat részletes információk arról, hogy az alkalmazás milyen kéréseket tesz és milyen válaszokat kap. Ezenkívül a mitmproxy segíthet egyes REST API-k működésének sajátosságainak tanulmányozásában, különösen a rosszul dokumentáltoké.

A telepítés rendkívül egyszerű:

$ sudo aptitude install mitmproxy

Érdemes megjegyezni, hogy a mitmproxy lehetővé teszi a HTTPS-forgalom lehallgatását is azáltal, hogy önaláírt tanúsítványt ad ki az ügyfélnek. Jó példa Megtanulhatja, hogyan konfigurálhatja a forgalom elfogását és módosítását.

Dsniff

Nos, ez a segédprogram általában az egyik első dolog, ami eszébe jut, amint meghallja
"MITM támadás". Az eszköz meglehetősen régi, de továbbra is aktívan frissítik, ami jó hír. Fennállásának tizennégy éve alatt nincs értelme részletesen beszélni a képességeiről, nem egyszer foglalkoztak vele az interneten. Például egy ilyen útmutatóban:

vagy utasításokat a weboldalunkról:

Végül..

Szokás szerint nem néztük meg az összes segédprogramot, de csak a legnépszerűbbeket, sok olyan kevéssé ismert projektet is találunk, amelyekről egyszer beszélhetünk. Amint látható, a MITM támadások végrehajtására szolgáló eszközökből nincs hiány, és ami nem túl gyakran fordul elő, az egyik menő eszközt Windowsra implementálják. Nincs mit mondanunk a nix rendszerekről – egész sokféleség. Szóval szerintem mindig meg lehet találni a megfelelő eszközt a lopáshoz
mások hitelesítő adatai. Hoppá, mármint tesztelésre.

Támadás elve

A támadás általában a kommunikációs csatorna lehallgatásával kezdődik, és azzal végződik, hogy a kriptoanalitikus megpróbálja pótolni az elfogott üzenetet és kivonat belőle. hasznos információ, irányítsa át valamilyen külső forráshoz.

Tegyük fel, hogy az A objektum bizonyos információkat szeretne továbbítani a B objektumnak. A C objektum ismeri az alkalmazott adatátviteli módszer felépítését és tulajdonságait, valamint a C által elfogni tervezett aktuális információ tervezett továbbításának tényét. A támadás végrehajtásához C „megjelenik” A objektumnak B-nek, B objektumnak pedig A-nak. Az A objektum, tévesen azt gondolva, hogy információt küld B-nek, elküldi C objektumnak. A C objektum, miután megkapta az információt, és bizonyos műveleteket végez vele (például másolás vagy módosítás saját célra) továbbítja az adatokat magának a címzettnek - B; A B objektum viszont úgy véli, hogy az információt közvetlenül A-tól kapta.

Példa támadásra

Rosszindulatú kód beadása

A középső támadás lehetővé teszi a kriptoanalitikus számára, hogy beillessze a kódját e-maileket, SQL-kifejezéseket és weboldalakat (vagyis lehetővé teszi az SQL-befecskendezést, a HTML/script-injektálást vagy az XSS-támadást), és még a felhasználó által betöltött bináris fájlok hozzáférés érdekében fiókot felhasználó által, vagy megváltoztathatja a felhasználó által az internetről letöltött program viselkedését.

Attack leminősítése

A „leépülő támadás” kifejezés olyan támadásra utal, amelyben a kriptoanalizátor kevésbé biztonságos funkciók, protokollok használatára kényszeríti a felhasználót, amelyek kompatibilitási okokból továbbra is támogatottak. Ez a fajta támadás végrehajtható az SSH, IPsec és PPTP protokollokon.

SSH V1 helyett SSH V2

A támadó megpróbálhatja megváltoztatni a kapcsolat paramétereit a kiszolgáló és az ügyfél között, amikor kapcsolat jön létre közöttük. A Blackhat Conference Europe 2003 konferencián elhangzott előadás szerint a kriptoanalitikus „kényszerítheti” az ügyfelet, hogy SSH2 helyett SSH1-munkamenetet indítson, ha az SSH-munkamenet „1.99” verziószámát „1.51-re” módosítja, ami az SSH V1 használatát jelenti. . Az SSH-1 protokollnak vannak olyan sebezhetőségei, amelyeket egy kriptoanalizátor kihasználhat.

IPsec

Ebben a támadási forgatókönyvben a kriptaelemző félrevezeti áldozatát, és azt gondolja, hogy az IPsec-munkamenet nem kezdődhet el a másik végén (szerveren). Ez azt eredményezi, hogy az üzenetek kifejezetten elküldésre kerülnek, ha a gazdagép visszaállítási módban fut.

PPTP

A PPTP-munkamenet-paraméterek egyeztetésének szakaszában a támadó arra kényszerítheti az áldozatot, hogy kevésbé biztonságos PAP-hitelesítést, MSCHAP V1-et használjon (vagyis „visszalépjen” az MSCHAP V2-ről az 1-es verzióra), vagy egyáltalán ne használjon titkosítást.

A támadó arra kényszerítheti áldozatát, hogy megismételje a PPTP munkamenet-paraméterek egyeztetésének szakaszát (Terminate-Ack csomagot küldjön), ellophatja a jelszót egy meglévő alagútból, és megismételheti a támadást.

Segít a titkosítás?

Tekintsük egy szabványos HTTP-tranzakció esetét. Ebben az esetben a támadó meglehetősen könnyen feloszthatja az eredeti TCP-kapcsolatot két új kapcsolatra: az egyikre saját maga és a kliens, a másik pedig saját maga és a szerver között. Ez meglehetősen egyszerű, mivel nagyon ritkán közvetlen a kapcsolat a kliens és a szerver között, és a legtöbb esetben több köztes szerveren keresztül kapcsolódnak egymáshoz. A MITM támadások bármelyikén végrehajthatók.

Ha azonban a kliens és a szerver HTTPS protokollon keresztül kommunikál, amely támogatja a titkosítást, akkor a köztes támadás is végrehajtható. Ez a típusú kapcsolat TLS-t vagy SSL-t használ a kérések titkosításához, ami úgy tűnik, hogy a csatornát védi a szippantással és MITM-támadásokkal szemben. A támadó két független SSL-munkamenetet hozhat létre minden TCP-kapcsolathoz. Az ügyfél SSL-kapcsolatot létesít a támadóval, aki viszont kapcsolatot hoz létre a szerverrel. Ilyenkor a böngésző általában figyelmeztet, hogy a tanúsítványt nem megbízható hitelesítés-szolgáltató írta alá, de az átlagfelhasználó könnyen figyelmen kívül hagyja ezt a figyelmeztetést. Ezenkívül a támadó rendelkezhet egy hitelesítés-szolgáltató által aláírt tanúsítvánnyal. Így a HTTPS protokoll nem tekinthető biztonságosnak a MITM támadásokkal szemben.

MITM támadás észlelése

A köztes támadás észleléséhez elemeznie kell a hálózati forgalmat. Például egy SSL-támadás észleléséhez a következő paraméterekre kell ügyelnie:

• Szerver IP cím
• DNS szerver
• X.509 – szervertanúsítvány
  • A tanúsítvány önaláírt?
  • A tanúsítvány alá van írva?
  • A tanúsítványt visszavonták?
  • Változott mostanában a tanúsítvány?
  • Más ügyfelek is megkapták ugyanezt a tanúsítványt az interneten?

MITM támadás megvalósítások

A felsorolt ​​programokkal man-in-the-middle támadások hajthatók végre, ezek észlelhetők és tesztelhetők a rendszer sérülékenységei szempontjából.

Példa a szakirodalomban

Világos irodalmi példa látható A. S. Puskin „Saltán cár meséjében”, ahol három „középen lévő ember” jelenik meg: egy takács, egy szakács és Babarikha. Ők váltják fel a cárnak címzett leveleket és válaszleveleit.

Lásd még

• Aspidistra (angol) - a második világháborús "invázió" során használt brit rádióadó, a MITM támadás egy változata.
• The Babington Plot (angolul) - I. Erzsébet elleni összeesküvés, amelynek során Walsingham lehallgatta a levelezést.

Egyéb támadások

• A „Man in the Browser” egy olyan támadás, amelyben a támadó azonnal képes megváltoztatni a tranzakciós paramétereket és az áldozat számára teljesen átlátható oldalakat.
• A Meet-in-the-middle támadás egy kriptográfiai támadás, amely a születésnapi támadáshoz hasonlóan az idő és a memória közötti kompromisszumot használja ki.
• „Középső támadás” – hatékony módszer az úgynevezett lehetetlen differenciális kriptoanalízis.
• A továbbító támadás a MITM támadás egy olyan változata, amely az elfogott üzenet továbbításán alapul egy érvényes címzetthez, de nem ahhoz, akinek az üzenetet szánták.
• A rootkit egy olyan program, amelyet arra terveztek, hogy elrejtse a támadó jelenlétének nyomait.

Irodalom

Linkek

Wikimédia Alapítvány. 2010.

Nézze meg, mi az „Ember a közepén” más szótárakban:

A „Man in the middle” támadás (angolul: Man in the middle, MitM attack) egy olyan kifejezés a kriptográfiában, amely azt a helyzetet jelöli, amikor a támadó tetszés szerint képes elolvasni és módosítani a levelezők között váltott üzeneteket, és egyiket sem. ... Wikipédia

Szinte mindig többféle módon lehet elérni a kívánt eredményt. Ez vonatkozik az információbiztonság területére is. Néha egy cél elérése érdekében nyers erőt alkalmazhat, lyukakat kereshet, és saját maga fejleszthet kizsákmányolást, vagy meghallgathatja a hálózaton keresztül továbbított tartalmat. Sőt, gyakran az utolsó lehetőség az optimális. Éppen ezért ma olyan eszközökről fogunk beszélni, amelyek segítségével a hálózati forgalomból kifoghatjuk a számunkra értékes információkat, ehhez MITM támadásokat használva.

MITMf

Kezdjük az egyik legérdekesebb jelölttel. Ez egy teljes keret a köztes támadások végrehajtásához, sergio-proxy alapján. Nemrég bekerült a Kali Linuxba. A telepítéshez csak klónozza a tárolót, és futtassa néhány parancsot:

# setup.sh # pip install -r követelmények.txt

Olyan architektúrája van, amely bővíthető pluginekkel. A főbbek közé tartoznak a következők:

• Spoof – lehetővé teszi a forgalom átirányítását ARP/DHCP hamisítással, ICMP átirányításokkal és DNS-lekérdezések módosításával;
• Sniffer – ez a beépülő modul nyomon követi a különböző protokollok bejelentkezési kísérleteit;
• BeEFAutorun - lehetővé teszi a BeEF modulok automatikus elindítását az operációs rendszer és a kliens böngésző típusa alapján;
• AppCachePoison - gyorsítótár-mérgezési támadást hajt végre;
• SessionHijacking – eltéríti a munkameneteket, és az eredményül kapott cookie-kat a Firefly profilban tárolja;
• BrowserProfiler - megpróbálja lekérni a böngésző által használt bővítmények listáját;
• FilePwn - lehetővé teszi a HTTP-n keresztül küldött fájlok cseréjét a Backdoor Factory és a BDFProxy használatával;
• Inject – tetszőleges tartalmat szúr be egy HTML oldalba;
• jskeylogger – JavaScript keyloggert ágyaz be az ügyféloldalakba.

Ha ez a funkció elégtelennek tűnik, bármikor hozzáadhatja a sajátját a megfelelő kiterjesztéssel.

PuttyRider

Egy másik segédprogram, amely figyelmet érdemel. Igaz, minden más manapság figyelembe vett eszközzel ellentétben ez nagyon szűken specializálódott. Mint a projekt szerzője maga mondja, egy ilyen segédprogram elkészítéséhez az ihlette, hogy a penetrációs tesztek során a legfontosabb adatok Linux/UNIX szervereken helyezkedtek el, amelyekhez az adminisztrátorok SSH/Telnet/rlogin segítségével csatlakoztak. Ráadásul a legtöbb esetben sokkal könnyebb volt hozzáférni a rendszergazdák gépéhez, mint a célszerverhez. A rendszergazda gépén való behatolás után már csak meg kell győződni arról, hogy a PuTTY fut, és ezzel az eszközzel háthidat építeni a támadó felé.

A segédprogram nem csak az adminisztrátor és a távoli szerver közötti „kommunikáció” rögzítését teszi lehetővé (beleértve a jelszavakat is), hanem tetszőleges shell-parancsok végrehajtását is egy adott munkameneten belül. Ráadásul mindez a felhasználó (adminisztrátor) számára abszolút átláthatóan fog megtörténni. Ha érdeklik a technikai részletek, például a PuTTY beépítése a folyamatba, ajánlom, hogy olvassa el a szerző előadását.

Elég régi segédprogram, több mint nyolc éve született. Cookie-k ellopásával történő klónozásra szolgál. A munkamenetek eltérítéséhez alapvető készségekkel rendelkezik a gazdagépek észlelésében (ha nyílt vezeték nélküli hálózathoz vagy hubhoz csatlakozik) és az ARP-mérgezés végrehajtásához. A gond csak az, hogy ma – a nyolc évvel ezelőttitől eltérően – szinte minden nagy cég, mint a Yahoo vagy a Facebook használ SSL titkosítást, ami teljesen használhatatlanná teszi ezt az eszközt. Ennek ellenére még mindig van elég forrás az interneten, amely nem használ SSL-t, így még korai lenne leírni a segédprogramot. Előnyei közé tartozik, hogy automatikusan integrálódik a Firefoxba, és külön profilt hoz létre minden elfogott munkamenethez. A forráskód elérhető a tárolóban, és saját maga is elkészítheti a következő parancsok segítségével:

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # setcap cap_net_raw,cap_net_admin=eip üléstolvaj

ProxyFuzz

A ProzyFuzznak semmi köze közvetlenül a MITM támadásokhoz. Ahogy a névből sejthető, az eszközt fuzzingra tervezték. Ez egy Pythonban megvalósított kis, nem determinisztikus hálózati fuzzer, amely véletlenszerűen módosítja a hálózati forgalmi csomagok tartalmát. Támogatja a TCP és UDP protokollokat. Beállíthatja úgy, hogy csak az egyik oldalt fuzzolja. Hasznos lehet, ha gyorsan kell tesztelnie néhány hálózati alkalmazást (vagy protokollt), és ki kell fejlesztenie egy PoC-t. Használati példa:

Python proxyfuzz -l -r -o

Az opciók listája a következőket tartalmazza:

• w - megadja a fuzzing megkezdése előtt elküldött kérések számát;
• c - csak az ügyfelet fuzzolja meg (egyébként mindkét oldalt);
• s - csak a szerver fuzz-ja (egyébként mindkét oldal);
• u - UDP protokoll (egyébként TCP-t használnak).

A Középső

A DEF CON konferencián bemutatott különféle protokollok elleni MITM-támadások lebonyolítására szolgáló segédprogram. Az alfa verzió támogatta a HTTP protokollt, és három nagyszerű bővítményt tartalmazott az arzenáljában:

• plugin-beef.py – beilleszti a böngészőkihasználási keretrendszert (BeEF) a helyi hálózatról érkező HTTP-kérésekbe;
• plugin-metasploit.py – beágyaz egy IFRAME-et a titkosítatlan (HTTP) kérésekbe, ami betölti a böngésző exploitjait a Metasploitból;
• plugin-keylogger.py – JavaScript onKeyPress eseménykezelőt ágyaz be minden HTTPS-en keresztül beküldött szövegmezőbe, így a böngésző karakterenként elküldi a felhasználó által megadott jelszót a támadó szerverének, mielőtt a teljes űrlapot elküldené.

A Middler nemcsak automatikusan elemzi a hálózati forgalmat és talál benne cookie-kat, hanem önállóan is kéri azokat a klienstől, vagyis a folyamat maximálisan automatizált. A program garantálja az összes nem védett fiók összegyűjtését egy számítógépes hálózaton (vagy nyilvános hotspoton), amelynek forgalmához hozzáfér. A program megfelelő működéséhez a következő csomagokat kell telepíteni a rendszerre: Scapy, libpcap, readline, libdnet, python-netfilter. Sajnos az adattárat hosszú ideje nem frissítették, így Önnek kell új funkciókat hozzáadnia.

Konzolsegédprogram, amely lehetővé teszi a HTTP-forgalom interaktív vizsgálatát és módosítását. Az ilyen készségeknek köszönhetően a segédprogramot nem csak a pentesterek/hackerek használják, hanem a hétköznapi fejlesztők is, akik például webes alkalmazások hibakeresésére használják. Segítségével részletes tájékoztatást kaphat arról, hogy az alkalmazás milyen kéréseket tesz és milyen válaszokat kap. Ezenkívül a mitmproxy segíthet egyes REST API-k működésének sajátosságainak tanulmányozásában, különösen a rosszul dokumentáltoké.

A telepítés rendkívül egyszerű:

$ sudo aptitude install mitmproxy

$ pip mitmproxy telepítése

$easy_install mitmproxy

Érdemes megjegyezni, hogy a mitmproxy lehetővé teszi a HTTPS-forgalom lehallgatását is azáltal, hogy önaláírt tanúsítványt ad ki az ügyfélnek. Itt található egy jó példa a forgalom elfogásának és módosításának beállítására.

Elfogó-NG

Furcsa lenne, ha ez a legendás hangszer nem szerepelne a felülvizsgálatunkban. Még ha soha nem is használtad, valószínűleg hallottál róla (és egyszerűen csak jobban meg kell ismerned) – elég gyakran megjelenik a magazin oldalain. Nem fogom teljesen leírni a funkcióját - először is érdekel minket a MITM, másodszor pedig egy ilyen leírás az egész cikket felöleli.

A folytatás csak a tagok számára elérhető

1. lehetőség: Csatlakozzon a „webhely” közösséghez, hogy elolvassa az oldalon található összes anyagot

A meghatározott időszakon belüli közösségi tagság hozzáférést biztosít az ÖSSZES Hacker anyaghoz, növeli a személyes kumulatív kedvezményt, és lehetővé teszi, hogy professzionális Xakep Score értékelést gyűjtsön!

A középső támadás a forgalomhoz közvetítőként való hozzáférést célzó különféle technikák általános neve. A technikák sokfélesége miatt problémás egyetlen olyan eszközt megvalósítani e támadások észlelésére, amely minden lehetséges helyzetben működne. Például egy helyi hálózat elleni „man-in-the-middle” támadásnál általában ARP-hamisítást (mérgezést) használnak. És sok köztes támadásészlelő eszköz figyeli az Ethernet-címpárok változásait/vagy jelenti a gyanús ARP-tevékenységet az ARP-kérések/válaszok passzív figyelésével. De ha ezt a támadást rosszindulatúan konfigurált proxyszerveren, VPN-en vagy más olyan opciókon használják, amelyek nem használnak ARP-mérgezést, akkor az ilyen eszközök tehetetlenek.

Ennek a szakasznak az a célja, hogy áttekintsen néhány technikát a köztes támadások észlelésére, valamint néhány eszközt, amelyek célja annak megállapítása, hogy Ön-e MitM-támadás célpontja. A különféle módszerek és megvalósítási forgatókönyvek miatt a 100%-os észlelés nem garantálható.

1. Forgalommódosítás észlelése

Amint már említettük, a köztes támadások nem mindig használnak ARP-hamisítást. Ezért, bár az ARP szintű aktivitásérzékelés a legnépszerűbb kimutatási módszer, több univerzális módon a forgalomváltozás észlelése. Ebben segíthet nekünk a mitmcanary program.

A program működési elve, hogy „ellenőrzési” kéréseket hajt végre, és a kapott válaszokat elmenti. Ezt követően bizonyos időközönként megismétli ugyanazokat a kéréseket, és összehasonlítja a kapott válaszokat. A program meglehetősen intelligens, és a hamis pozitívumok elkerülése érdekében azonosítja a dinamikus elemeket a válaszokban, és helyesen dolgozza fel azokat. Amint a program észlelte a MitM támadóeszközök tevékenységének nyomait, ezt jelenti.

Példák arra, hogy egyes eszközök hogyan „örökölhetnek”:

• A MITMf alapértelmezés szerint a HTML-kódban lévő összes HTTPS URL-t HTTP-re változtatja. HTTP-tartalom összehasonlításával észlelve.
• A Zarp + MITMProxy, a MITMProxy olyan funkcióval rendelkezik, amely lehetővé teszi a HTTP-tömörítés törlését, ez az átvitt forgalom átláthatóságára szolgál, ezt a kombinációt a korábban meglévő tömörítés eltűnése észleli.
• Válaszadó, amelyet az mDNS-válaszok átalakulásának hirtelen változásai azonosítanak: váratlan válasz; a válasz belső, de külső elvárás; a válasz eltér a várt IP-től

• MITMCanary vs MITMf:

• MITMCanary vs Responder:

• MITMCanary vs Zarp + MITMProxy:

Sudo pip install Cython sudo apt-get install python-kivy python-dbus sudo pip install plyer uuid urlopen elemzési kérés simplejson datetime git klón https://github.com/CylanceSPEAR/mitmcanary.git cd mitmcanary/

Mint már említettük, a mitmcanarynak el kell kezdenie dolgozni a vezérlőlekérdezésekkel. Ehhez lépjen a könyvtárba

CD szerviz/

És futtassa a fájlt setup_test_persistence.py:

Python2 setup_test_persistence.py

Ez eltart egy ideig – várja meg, amíg befejeződik. Nem lehetnek hibaüzenetek (ha igen, akkor hiányzik néhány függőség).

A kimenet valami ilyesmi lesz:

Mial@HackWare:~/bin/mitmcanary/service$ python2 setup_test_persistence.py Régebbi konfigurációs verzió észlelve (14 helyett 0) A konfiguráció frissítése folyamatban van. Tisztítónapló kilőve. Elemzés... A tisztítás befejeződött! Bejelentkezés rögzítése /home/mial/.kivy/logs/kivy_16-11-01_0.txt v1.9.1 v2.7.12+ (alapértelmezett, 2016. szeptember 1., 20:27:38)

Miután ez a folyamat befejeződött, ugyanabban a könyvtárban futtassa (ez elindít egy háttérfolyamatot):

Python2 main.py

Ezután nyisson meg egy új terminálablakot, és lépjen a végkönyvtárba a mitmcanary segítségével. A könyvtáram a bin/mitmcanary/, ezért belépek

Cd bin/mitmcanary/

és tedd ott:

Python2 main.py

Az első ablak valami ilyesmit jelenít meg:

Mial@HackWare:~/bin/mitmcanary/service$ python2 main.py Bejelentkezés rögzítése /home/mial/.kivy/logs/kivy_16-11-01_1.txt v1.9.1 v2.7.12+ (alapértelmezett, 2016. szeptember 1., 20:27:38) segítségével Alvás 60 másodpercig 60 másodpercig alvás 60 másodpercig alvás 60 másodpercig alvás 60 másodpercig alvás 60 másodpercig alvás 60 másodpercig

Azok. A program percenként egyszer vezérlési kéréseket küld, és keresi a köztes támadás jeleit.

A második ablak kimenetet is tartalmaz + megnyílik egy sötét ablak, amelyet a program készítői „grafikus felületnek” neveznek:

Várhat egy kicsit, és böngészhet az interneten, hogy megbizonyosodjon arról, hogy a program nem ad ki hamis figyelmeztetéseket.

Próbáljuk meg klasszikus program ettercap.

Rendszeres MitM támadást indítok ARP hamisítással. A mitmcanary magára a maratásra nem reagál. A mitmcanary eszköz maga generálja a forgalmat, azaz nincs szükség felhasználói beavatkozásra. Egy idő után egyetlen figyelmeztetés jelenik meg, amelyet a későbbi ellenőrzések nem erősítenek meg. De néhány perc múlva hasonló figyelmeztetés jelenik meg. További elemzés nélkül nehéz megmondani, hogy ez egy téves pozitív példa-e – nagyon úgy néz ki. Nagyon valószínű, hogy ezt a figyelmeztetést kommunikációs hiba okozza, amely a forgalomnak további útvonalak áthaladásának szükségessége miatt vagy a rossz minőségű internetkapcsolat sajátosságai miatt következik be.

Mivel az eredmény nem egyértelmű (valószínűbb, hogy „nem”, mint „igen”), próbáljuk ki a Bettercap programot, amely számos modullal rendelkezik. Nincs kétségem afelől, hogy különféle Ettercap és/vagy bővítmények használatakor további programokat a funkcionalitás bővítése érdekében a mitmcanaryra is "világítanánk".

A kísérlet tisztasága érdekében újraindítom a berendezést, futtatom a Mitmcanary-t a támadott gépen, a Bettercap-et pedig a támadón. Ugyanakkor a megtámadott gépen nem szükséges újra vezérlési kéréseket végrehajtani - a program a könyvtáron belül egy fájlba menti őket. Azok. Csak indítsa el a szolgáltatást és a grafikus felületet.

A támadógépben pedig elindítjuk a Bettercap-et bekapcsolt értelmezőkkel:

Sudo bettercap -X

Egyedi figyelmeztetések jelennek meg, amelyek szintén inkább hamis pozitívnak tűnnek.

De futtassa ezt a parancsot:

Sudo bettercap -X --proxy

A megtámadott gép hívásairól nagyszámú figyelmeztetések egy lehetséges ember a közepén támadással kapcsolatban:

Tehát minél erősebb egy ember a közepén támadó eszköz, annál több nyomot hagy a forgalomban. A mitmcanary gyakorlati használatához a következő feltételeknek kell teljesülniük:

• első kéréseket tegyen egy megbízható hálózaton, ha biztos abban, hogy nincs közvetítő a forgalom továbbításában;
• szerkessze azokat az erőforrásokat, amelyekhez az ellenőrzési kérelmeket küldik, mivel a professzionális támadó alapértelmezett erőforrásokat adhat hozzá a kivételekhez, ami láthatatlanná teszi őt az eszköz számára.

2. ARP-hamisítás (ARP-gyorsítótár-mérgezés) észlelése

A helyi hálózat ellen elkövetett köztes támadás nagyon gyakran ARP-mérgezéssel kezdődik. Ezért van az, hogy sok MitM-támadások észlelésére tervezett eszköz az ARP-gyorsítótár változásait figyelő mechanizmuson alapul, amely az Ethernet (MAC-címek) és az IP-címek közötti megfelelést rendeli hozzá.

Ilyen programokra példaként felidézhetjük az arpwatchot, az arpalert és számos új programot. Az ArpON program nemcsak figyeli az ARP gyorsítótár változásait, hanem meg is védi azoktól.

Példaként futtassuk az arpwatch-ot hibakeresési módban anélkül, hogy a háttérben elágazásokat hoznánk létre, és nem küldenénk üzeneteket e-mailben. Ehelyett az üzenetek az stderr-nek (normál hibakimenet) kerülnek elküldésre.

Sudo /usr/sbin/arpwatch -d

Indítsuk el az Ettercap-et a támadó gépen, és kezdjük el az ARP-hamisítást. A megtámadott gépen megfigyeljük:

Az arpwatch program segít gyorsan tájékozódni az Önhöz csatlakoztatott új eszközökről helyi hálózat, valamint az ARP gyorsítótár módosításai.

Egy másik eszköz az ARP-hamisítás valós idejű észleléséhez magának az Ettercap-nek a bővítménye, amelyet ún arp_cop. A megtámadott gépen indítsa el az Ettercap programot az alábbiak szerint:

Sudo ettercap -TQP arp_cop ///

És a támadón elkezdjük az ARP-mérgezést. A megtámadott gépen azonnal megjelennek a figyelmeztetések:

3. DNS-hamisítás észlelése

A DNS-hamisítás azt jelzi, hogy van egy közvetítő Ön és az úti cél között, aki módosíthatja a forgalmat. Hogyan állapítható meg, hogy a DNS-rekordokat hamisították? Ennek legegyszerűbb módja, ha összehasonlítja egy megbízható névszerver válaszait. De a kérésére küldött válasz bejegyzései is pótolhatók...

Azok. vagy titkosított csatornán (például Toron keresztül) kell ellenőriznie, vagy nem szabványos beállításokat kell használnia (egy másik port, TCP az UDP helyett). Nagyjából erre tervezték a XiaoxiaoPu sans programját (legalábbis ahogy én értem). Ezzel a programmal át tudtam irányítani a DNS-kéréseket Toron keresztül és nem szabványos beállításokon keresztül a sajátomra DNS szerver. De nem tudtam rávenni, hogy mutasson üzeneteket a DNS-válaszok hamisításáról. E nélkül a program értelme elvész.

Nem találtam méltóbb alternatívát.

Elvileg, tekintettel arra, hogy a DNS-spooferek általában csak az 53-as portot és csak az UDP-protokollt figyelik, még manuálisan is elegendő egyszerűen ellenőrizni a DNS-hamisítás tényét, bár ehhez saját DNS-kiszolgáló szükséges, nem szabványos konfigurációval. Például a támadó gépen létrehoztam egy fájlt dns.conf a következő tartalommal:

Helyi mi-al.ru

Azok. amikor DNS-rekordot kér a mi-al.ru webhelyhez, a támadó gépének IP-címe kerül elküldésre a valódi IP-cím helyett.

A támadógépen futok:

Sudo bettercap --dns dns.conf

És a megtámadottnál két ellenőrzést végzek:

Dig mi-al.ru # és dig mi-al.ru -p 4560 @185.117.153.79

Eredmények:

Mial@HackWare:~$ dig mi-al.ru ;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru ;; globális beállítások: +cmd ;; Válasz érkezett: ;; ->>Fejléc<<- opcode: QUERY, status: NOERROR, id: 51993 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 86400 IN A 192.168.1.48 ;; Query time: 2 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Nov 02 09:25:20 MSK 2016 ;; MSG SIZE rcvd: 42 mial@HackWare:~$ dig mi-al.ru -p 4560 @185.117.153.79 ; <<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru -p 4560 @185.117.153.79 ;; globális beállítások: +cmd ;; Válasz érkezett: ;; ->>Fejléc<<- opcode: QUERY, status: NOERROR, id: 401 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 3799 IN A 185.26.122.50 ;; Query time: 304 msec ;; SERVER: 185.117.153.79#4560(185.117.153.79) ;; WHEN: Wed Nov 02 09:25:27 MSK 2016 ;; MSG SIZE rcvd: 53

Látható, hogy „rendes” DNS-kérés esetén a 192.168.1.48 helyi IP-címet küldték el, az atipikus porton történő DNS-kéréskor pedig a megfelelő szerver IP-t.

Ha a szerver TCP (nem UDP) használatára lett beállítva, akkor a parancs így néz ki:

Dig mi-al.ru -p 4560 +tcp @185.117.153.79

Egyértelműen hiányzik egy olyan eszköz, amely maga figyelné a DNS-válaszokat a forgalomban, még egyszer ellenőrizné azokat egy alternatív forrással, és hamisítás esetén riasztást adna.

A saját távoli DNS beállításának elkerülése érdekében névszerver-lekérdezéseket végezhet a Toron keresztül. Mivel az összes Tor-forgalom titkosított, az így kapott DNS-válaszok meghaladják a közvetítő képességeit. Ha a Tor még nincs telepítve, telepítse.

Sudo apt-get install tor

Sudo pacman -S tor

Indítsa el a szolgáltatást:

Sudo systemctl start tor

Ha szüksége van rá, adja hozzá ezt a szolgáltatást az induláshoz:

Sudo systemctl enable tor

Nyissa meg a fájlt /etc/tor/torrcés add hozzá a következő sorokat:

DNSPort 530 AutomapHostsOnResolve 1 AutomapHostsSuffixes .exit,.onion

Ügyeljen az 530-as számra. Ez a portszám 530 helyett, megadhat bármilyen más (nem használt) portot. A legfontosabb, hogy emlékezzen rá.

Megint ellenőrizzük:

Dig mi-al.ru # és dig mi-al.ru -p 530 @localhost

Most megadjuk szerverként helyi kiszolgáló, és írja be az /etc/tor/torrc beállításokban megadott portszámot.

Amint az a következő képernyőképen látható, DNS-hamisítási támadást hajtanak végre azon a gépen, amelyen az ellenőrzést elvégezték:

4. Keressen hálózati interfészeket promiscuous módban

Ha a helyi hálózaton van (és különösen akkor, ha hirtelen megjelenik) a promiscuous módban lévő berendezés, ez nagyon gyanús, bár nem utal egyértelműen a köztes támadásra.

Ebben az üzemmódban a hálózati kártya lehetővé teszi az összes csomag fogadását, függetlenül attól, hogy kinek szól.

Normál állapotban az Ethernet interfész kapcsolati rétegű csomagszűrést használ, és ha a fogadott csomag célfejlécében lévő MAC-cím nem egyezik az aktuális hálózati interfész MAC-címével, és nem kerül szórásra, akkor a csomag eldobásra kerül. „Promiscuous” módban a hálózati interfészen a szűrés le van tiltva, és minden csomag, beleértve azokat is, amelyek nem az aktuális csomóponthoz tartoznak, bekerülhet a rendszerbe.

A legtöbb operációs rendszer rendszergazdai jogosultságokat igényel a promiszkuális mód engedélyezéséhez. Azok. A hálózati kártya promiszkuális módba állítása szándékos művelet, amely szippantásos célokat szolgálhat.

Hálózati interfészek keresésére promiszkuális módban van egy Ettercap nevű bővítmény search_promisc.

Példa a plugin futtatására:

Sudo ettercap -TQP search_promisc ///

A beépülő modul működése nem teljesen megbízható, a hálózati interfész mód meghatározása során hibák léphetnek fel.

Következtetés

Egyes köztes támadási módszerek sok nyomot hagynak maguk után, és néhányat (például a passzív proxy hitelesítő adatok keresését) lehetetlen vagy szinte lehetetlen észlelni.