¿Cuál es la diferencia entre el ataque MITM y el rastreo? ¿También podría alguien nombrar algunos otros ataques similares a esos?
Es como preguntar la diferencia entre un automóvil y una dirección. Cuando conduce un automóvil, puede (y probablemente debería) conducirlo. Pero también puedes conducir una bicicleta ...
Basta con la analogía, la diferencia, en mi opinión, es que MitM es una clase de ataque y el rastreo es simplemente la palabra para analizar paquetes en la red (y, a menudo, solo los paquetes que van hacia / desde su tarjeta de red) .
Una vez que alguien se ha convertido en el "hombre" en un ataque de hombre en el medio, pueden detectar los paquetes entrantes / salientes de su objetivo.
Otros ataques / términos relacionados (por nombrar algunos) serían Arp Envenenamiento y secuestro de DNS
Normalmente, un intruso (sniffer) será pasivo, es decir, no modificará el tráfico.
Los ataques Man-in-the-middle (MiTM) generalmente implican un adversario activo, uno que cambiará el contenido del mensaje antes de transmitirlo.
Los dos no son completamente distintos, ya que un MiTM puede usar su ataque activo para leer el contenido de los mensajes, o simplemente para interrumpir las comunicaciones.
Un ataque de olfateo es un ataque a la confidencialidad. Puede ser a través de un puerto span en un switch, procesos en servidores a través de los cuales pasa el tráfico, en el cliente del usuario final. La inhalación es a menudo un ataque MITM pero es pasivo.
Un ataque MITM suele ser un ataque más activo en el que la ruta de tráfico se ha modificado para incluir al adversario, como un punto de acceso no autorizado o envenenamiento ARP / DNS, para permitir un ataque de rastreo, cifrado de ruptura y / o manipulación. con la entrega de contenido (un ataque de integridad y confidencialidad).
Una vez establecido como un ataque activo, un MITM puede secuestrar sesiones, alterar el contenido para ocultar la actividad, inyectar código malicioso y, según el servicio al que se acceda, realizar funciones confidenciales. Parte de esto, pero no todo, es posible como consecuencia de un ataque de rastreo pasivo utilizando la información recopilada.
Los ataques relacionados / similares son MiTB (hombre en el navegador), registro de teclas, secuestro de sesión, secuestro de clics y XSF.
La pregunta en realidad debería ser "La diferencia entre el envenenamiento ARP y el rastreo de la red"
El ataque MITM puede ocurrir en ambos casos. El rastreo de la red es posible en todas y cada una de las redes internas y no existe otra solución que no sea el cifrado o la seguridad del punto final. Si está utilizando una red wifi o no confiable, no debe usar servicios no cifrados a través de la red o internet. Por ejemplo, un atacante puede secuestrar su sesión dentro de una red si está navegando e iniciando sesión en un sitio web que no sea https.
Durante el envenenamiento ARP, el atacante puede incluso alterar el tráfico porque la máquina del atacante se convierte en la puerta de entrada de la máquina objetivo. Un ejemplo sería la falsificación de DNS a través del envenenamiento ARP. Dado que la máquina del atacante es la puerta de acceso del objetivo, puede falsificar el DNS y resolver facebook.com con su propia IP. Entonces puede alojar una página de phishing en su IP. Es por eso que cada vez que visita facebook.com u otros, debe revisar el greenlock en la parte superior. Si ve algún error de SSL en enlace , es probable que haya alguien en medio de usted y en facebook.com y no debe forzar el navegador. para proceder. El envenenamiento por ARP se puede prevenir y, en su mayoría, no es posible en grandes organizaciones.
Lea otras preguntas en las etiquetas network man-in-the-middle