Considere este tipo de ataque de hombre en el medio no estándar, que es fundamentalmente la misma naturaleza de ataque sin que se requiera la fase de envenenamiento:
Alguien corta la línea de Internet en su casa o en cualquier lugar entre usted y su ISP, y lo vuelve a unir con una pieza de hardware diseñada para permitir los datos pasan de la forma habitual, pero también se registran.
¿Cómo podrías detectar y defenderte contra este tipo de ataque?
El resultado de este ataque no es realmente diferente de alguien que comprometa su enrutador, su ISP, su punto final de VPN o similar: el atacante podrá interceptar y modificar el tráfico.
Dependiendo de la forma en que se realiza el ataque y de las características de la línea (es decir, FTTH vs. xDSL vs. cable ...) se pueden detectar cambios en el comportamiento de la línea, como un aumento de la tasa de error, un menor ancho de banda o una mayor latencia. pero si el atacante ha hecho un trabajo adecuado, todo se verá bien y nadie lo notará.
Aparte de los problemas descritos con hacks no profesionales (ancho de banda, latencia) no habrá una diferencia visible en la capa de red si solo se utiliza el rastreo pasivo. Pero si se realiza la modificación del tráfico, lo notará con los protocolos que tienen un control de integridad incorporado, como en el caso de HTTPS o VPN.
Una defensa contra el ataque, por supuesto, sería asegurar físicamente la línea contra el ataque. Pero normalmente la línea no está en su control total. La otra forma no es defenderse contra el pirateo en sí, sino contra sus resultados: como el atacante quiere rastrear y / o modificar el tráfico, solo debe usar protocolos con encriptación e integridad incorporados, es decir, enviar todo su tráfico a través de una VPN.
Lea otras preguntas en las etiquetas man-in-the-middle