¿Cómo alguien se convierte en un hombre en el medio?

46

Como lo entiendo para cometer un ataque MiTM exitoso, necesitas estar "sentado" en algún lugar a lo largo de la ruta del tráfico. Supongo que esto significa estar conectado a uno de los nodos entre los puntos finales, empalmar físicamente el cable que los conecta o interceptar ondas de aire.

  • ¿Son correctas mis suposiciones?
  • ¿El terminal de un adversario necesita estar conectado directamente al cable, nodo, dentro del rango de wifi, o puede alguien en Kansas usar una ruta externa para obtener acceso a una ruta desde Los Ángeles a San Francisco?
    • Tal vez sea más correcto preguntar si alguien necesita estar cerca de la ruta de destino. A la inversa, ¿puede "usar internet" para mitigar el camino: no están todos los nodos en internet esencialmente conectados entre sí?
pregunta user5948022 07.04.2016 - 12:28
fuente

5 respuestas

37

Hay muchas, muchas formas de convertirse en un MITM, prácticamente en todas las capas de la pila de red, no solo en la física. Estar físicamente cerca de tu objetivo puede ayudar, pero no es una necesidad.

En la capa física , los ataques que puede obtener son muy evidentes: empalme un cable Ethernet, use un toque óptico , o capturar señales de radio.

Unaredópticapasiva,toque-fotodeRoens

Algunosataquesactivospuedenteneraccesofísicocomocondiciónprevia,muchosotrosno.

Enlacapaenlacededatos,losataquespasivossonincreíblementefáciles:simplementecoloquesutarjetadereden modo promiscuo y puede ver todo el tráfico en su segmento de red. Incluso en una red cableada (conmutada) moderna, inundación de MAC se asegurará de que pueda ver más de lo que debería.

Para ataques activos en redes locales, suplantación ARP es bastante popular y fácil de realizar. Básicamente, hace que su computadora pretenda es otra persona, por lo general una puerta de enlace, para que trates a otros dispositivos para que te envíen tráfico.

ARPspoofing-diagramapor0x55534C

Losataquesdeenlacededatosfuncionansiemprequeseconectealamismaredlocalquesuobjetivo.

Atacaralacapaderedesfácilsitieneaccesofísico;puedesimplemente suplantar un enrutador que utiliza cualquier máquina moderna de Linux .

Si no tiene acceso físico, Los ataques de redirección ICMP son un tanto oscuros, pero a veces son utilizables.

Por supuesto, si tiene suficiente dinero en su bolsillo, puede hágalo al estilo NSA e intercepte los enrutadores cuando se envían a su destino por correo (snail) : solo modifique un poco el firmware y estará listo.

Los ataques en la capa de red pueden realizarse desde cualquier punto de la ruta de la red (internet) entre los dos participantes , aunque en la práctica estas redes suelen estar bien defendidas.

No tengo conocimiento personal de ningún ataque en la capa de transporte.

En la capa de aplicación, los ataques pueden ser un poco más sutiles.

DNS es un objetivo común: tienes DNS Hijacking y DNS spoofing . Los ataques de envenenamiento de caché contra BIND en particular fueron muy populares hace un par de años.

La

falsificación DHCP (que pretende ser un servidor DHCP ) es bastante fácil de realizar. El resultado final es una falsificación ARP similar, pero menos "ruidosa" en la red y posiblemente más confiable.

Los ataques de la capa de aplicación más amplia se pueden realizar desde cualquier lugar de Internet.

    
respondido por el goncalopp 08.04.2016 - 00:06
fuente
34

TL; DR: obtenga el tráfico enrutado a través de un sistema bajo su control y tenga MITM donde sea que esté, la víctima o el destino.

A: No del todo.

Primero que nada, internet se cambia de paquetes, por lo que es posible que no haya un solo cable real por el que pasan todos los paquetes.

Para establecer un MITM, ese MITM debe asegurarse de que las solicitudes del usuario se enruten a él en lugar del destino correcto. Hay varias formas de hacerlo, por ejemplo:

  • En la red local mediante la falsificación ARP de la puerta de enlace y / o el servidor DNS,
  • En todas las redes de la ruta,
  • Devolviendo su IP en lugar de la correcta desde el servidor DNS de las víctimas

Después de que se establezca, el MITM interactúa con el destino real en nombre de las víctimas, modificando los datos intermedios según lo desee el MITM.

La forma más fácil de establecer esto es, de hecho, dentro de la red local porque, por lo general, están menos controladas y / o controladas. Además, regularmente tienen más dispositivos de consumo con más riesgos de seguridad que, después de haber sido comprometidos, pueden utilizarse para redirigir las solicitudes de DNS a un servidor bajo el control MITM.

Sin embargo, como puede ver en la parte superior: si logra establecer el servidor DNS de la víctima en uno bajo su control, es muy posible que realice MITM desde donde quiera.

Lo mismo ocurre con los nodos de enrutamiento / ISP: puede anunciar rutas baratas al destino utilizando el BGP para que todo el tráfico se enrute a través de su sistema. Sin embargo, esto generalmente no es factible y / o posible para las conexiones de los consumidores.

    
respondido por el Tobi Nary 07.04.2016 - 12:53
fuente
10

El adversario no necesariamente tiene que estar ubicado físicamente en la ruta de red que está pirateando. Es posible que hayan comprometido previamente un dispositivo de red que está en la ruta y, por lo tanto, puedan iniciar sesión en él y realizar su ataque desde cualquier ubicación.

    
respondido por el Mike Scott 07.04.2016 - 12:46
fuente
8

Supongamos que tienes una novia y guardaste su número como GF en tu teléfono. Y de la misma manera, tu novia guardó tu número como BF en su teléfono.

Ahora, un atacante X, logra obtener acceso a su teléfono y cambia su número de GF como su número. De la misma manera, él logra acceder a su teléfono y cambia su número como su número.

De modo que el número guardado como GF en su teléfono y el número guardado como BF en su teléfono es el número de X.

Si envía un mensaje a su GF, X lo recibirá, él lo leerá y lo reenviará a su GF. Como el número de X se guarda como BF en su teléfono, recibe un mensaje como De: BF , que en realidad es el atacante. Ella lee y responde, y él repite lo mismo.

Ahora X es el Man-In-The-Middle

    
respondido por el Sibidharan 08.04.2016 - 15:42
fuente
2

Parece que tienes alguna confusión sobre cómo se realizan las comunicaciones en Internet. Te sugiero que leas:

Pero es interesante notar que sería que la información que intercambias a través del tránsito de la red son paquetes pequeños, a través de diferentes nodos. La ubicación exacta de los nodos depende de muchos factores. Pero cuando Alicia en LA usa skype para chatear con Bob en San Francisco, sus mensajes (en paquete) pueden transitar a Canadá, Alemania y viceversa.

Y más a tu pregunta, un ataque MitM se logra cada vez que Mallory logró establecerse como un relevo entre Alice y Bob. Ella recibe el mensaje de Alice y se lo envía a Bob.

Mallory podría estar ubicada en cualquier parte del mundo. Recuerda que los paquetes viajan a muchos lugares. Pero ella necesita asegurarse de que todo el tráfico de Alicia a Bob pase por ella. Para eso ella tiene que tomar el control de un nodo a través del cual el mensaje de Alicia o Bob tiene que transitar. Por ejemplo, directamente la computadora de Alice, su ISP o un enrutador WiFi público.

Puede obtener más detalles sobre el artículo de wikipedia correspondiente .

    
respondido por el bilbo_pingouin 07.04.2016 - 13:05
fuente

Lea otras preguntas en las etiquetas