什么是中间人攻击（MITM）？

在隐秘地介入双方通信后，中间人攻击（MITM）攻击者拦截了敏感数据，例如信用卡号、帐户信息和登录凭据。黑客随后利用这些信息实施其他网络犯罪，例如未经授权的购买、劫持金融帐户和身份盗窃。

除了用户和应用程序之间的交换之外，中间人攻击（MITM）攻击者还可能窃听两个人之间的私密通信。在这种情况下，攻击者会在两个人之间转移和中继消息，有时会更改或替换消息以控制对话。

一些组织和网络安全专家正在放弃“中间人”一词，因为有些人认为该称呼可能存在偏见。该术语可能也无法表明中间的实体是机器人、设备或恶意软件而非人的情形。

此类网络攻击的其他术语包括中间机器、路径攻击、中间对手 (AITM) 和中间操纵者。

网络、网络浏览器、电子邮件帐户、用户行为和安全协议中的漏洞是中间人攻击（MITM）的起点。网络罪犯利用这些弱点，将自己插入用户和受信任的应用程序之间，从而控制通信并实时拦截数据。

网络钓鱼攻击是中间人攻击（MITM）攻击者常见的入侵手段之一。通过单击电子邮件中的恶意链接，用户可以在不知不觉启动浏览器中间人攻击。中间人攻击（MITM）者通常依靠这种策略来用恶意软件感染用户的网络浏览器，从而使他们能够秘密更改网页、操纵交易并监视用户的活动。

中间人攻击（MITM）的另一个常见来源是公共 WiFi 热点。公共 WiFi 路由器的安全协议比家庭或工作场所的 WiFi 路由器少。如此一来，附近的用户便可更轻松地连接到网络。但这也让黑客更容易入侵路由器，从而窃听互联网流量并收集用户数据。

中间人攻击（MITM）者有时会创建自己的恶意公共 WiFi 网络来引诱毫无戒心的用户并获取他们的个人数据。

中间人攻击（MITM）者还可能创建看似合法但实际上正在收集登录凭据等关键数据的虚假网站。然后，黑客可以使用这些凭据登录真实网站上的用户帐户。或者他们可能会使用虚假网站欺骗用户进行付款或转账。

中间人攻击（MITM）要求网络罪犯：1) 拦截在两个目标之间传递的数据，2) 解密该信息。

为了介入两个通信目标（例如用户和 Web 应用程序）的中间，攻击者必须拦截两者之间传输的数据。然后，攻击者在目标之间中继经改换的信息，就好像正在进行正常通信一样，这样受害者就不会有怀疑。

如今的大多数互联网通信都经过加密，因此中间人(MITM) 攻击者拦截到的任何数据很可能需要解密才能使用。攻击者可以通过窃取加密密钥、运行暴力攻击或使用专门的 MITM 技术来解密数据（参见下一节）。

攻击者在中间人攻击（MITM）期间使用各种技术来拦截和解密数据。常见的技术包括：

IP 欺骗：Internet Protocol (IP) 地址可识别在线实体，例如网站、设备和电子邮件地址。中间人攻击（MITM）者更改或“伪造”他们的 IP 地址，使用户看起来像是在与真实主机通信，而实际上却连接到了恶意源。

ARP 欺骗或 ARP 缓存毒化：地址解析协议 (ARP) 将 IP 地址与局域网中正确的媒体访问控制 (MAC) 地址连接起来。通过伪造 ARP 地址，攻击者可以将此连接路由到自己的 Mac 地址以提取信息。

DNS 欺骗：域名系统 (DNS) 将网站的域名连接到其分配的 IP 地址。通过更改 DNS 记录中的域名，MITM 攻击者可以将用户从合法网站路由到欺诈网站。

HTTPS 欺骗：超文本传输安全协议 (HTTPS) 通过加密在用户和网站之间来回传输的数据来确保安全通信。MITM 攻击者会秘密地将用户路由到未经加密的标准 HTTP 页面，以便他们可以访问未受保护的数据。

SSL 劫持：安全套接层 (SSL) 是一种使用 SSL 证书在 Web 浏览器和 Web 服务器之间提供身份验证和加密的技术。中间人攻击（MITM）者使用虚假 SSL 证书劫持此进程，并在数据加密之前拦截数据。

SSL 剥离：当网站接受传入的 HTTP 连接，然后将流量导向安全的 HTTPS 连接时，就会使用这种技术。中间人攻击（MITM）者会破坏此转换过程，以便他们可以在未加密的数据移动到安全的 HTTPS 连接之前访问这些数据。

在此类攻击中，网络罪犯会控制企业或组织的电子邮件帐户。MITM 攻击者通常针对银行或信用卡公司等金融机构进行此类攻击。

黑客监控通信、收集个人数据并收集交易情报。在某些情况下，他们会伪造公司电子邮件地址来说服客户或合作伙伴向欺诈帐户存款或转账。

当用户的网络浏览器与网站通信时，它会暂时存储有关会话 cookie 的信息。MITM 攻击者可以访问这些 Cookie，并使用它们来冒充用户或窃取其中信息，其中可能包含密码、信用卡号和其他帐户信息。

由于 cookie 会在会话结束时过期，因此黑客必须在信息消失之前迅速采取行动。

MITM 攻击者有时会在机场、餐厅和市中心等热门公共场所创建公共 WiFi 网络和热点。这些欺诈网络的名称通常与附近的企业或其他受信任的公共 WiFi 连接相似。黑客还可以入侵公众使用的合法公共 WiFi 热点。

无论哪种情况，当毫无戒心的用户登录时，攻击者都会收集敏感数据，例如信用卡号、用户名和密码。

2017 年，信用报告机构 Equifax 成为中间人攻击的受害者，原因是其网络应用程序框架中的漏洞未修补。这次攻击暴露了近 1.5 亿人的财务信息。

与此同时，Equifax 发现其移动应用程序中存在安全漏洞，这些漏洞可能使客户容易受到进一步的中间人攻击（MITM）。Equifax 从 Apple App Store 和 Google Play 中下架了这些应用程序。

2011 年，黑客利用虚假网站收集密码，对荷兰数字安全权威机构 DigiNotar 成功发起了 MITM 攻击。

此次泄露事件的严重性在于，它导致 DigitalNotar 向包括 Google、Yahoo! 和 Microsoft 在内的主要网站发放了 500 多个被破解的安全证书。最终，Diginotar 被从安全证书提供商中除名并宣布破产。

2024 年，安全研究人员报告，一个漏洞可让黑客利用 MITM 攻击来解锁和窃取 Tesla 车辆。1

攻击者在 Tesla 充电站使用虚假的无线热点，可以获取 Tesla 车主的帐户凭据。研究人员称，攻击者随后可以添加新的“电话钥匙”，在车主不知情的情况下解锁和启动车辆。

组织和个人可以实施网络安全措施来防范中间人攻击。专家建议重点关注这些策略：

HTTPS：用户只应访问具有安全连接的网站，安全连接在浏览器地址栏中显示为“HTTPS”和挂锁图标。应避免使用仅提供不安全 HTTP 连接的网页。此外，应用程序的 SSL 和传输层安全 (TLS) 协议可以抵御恶意 Web 流量并防止欺骗攻击。

端点安全：笔记本电脑、智能手机、工作站和服务器等端点是中间人攻击（MITM）者的主要目标。端点安全，包括最新的补丁和防病毒软件，对于防止攻击者在这些设备上安装恶意软件至关重要。

虚拟专用网络：VPN 通过加密网络流量提供针对中间人攻击（MITM）的强大防御。即使发生泄露，黑客也将无法读取敏感数据，例如登录凭据、信用卡号和帐户信息。

多重身份验证 (MFA)：MFA 需要在输入密码之外执行一个额外步骤来访问帐户、设备或网络服务。即使中间人攻击（MITM）者能够获取登录凭据，多重身份验证也可以帮助阻止攻击者接管帐户。

加密：加密是网络安全和防御中间人攻击（MITM）的基本要求。对所有网络流量和资源（包括电子邮件内容、DNS 记录、消息传递应用程序和接入点）进行强大的端到端加密，可以阻止许多中间人攻击（MITM）。

公共 WiFi 网络：用户应避免在进行涉及敏感数据的交易（例如购物时）时，使用公共 WiFi 网络。