¿Es posible recuperar el control de un MITM en curso? [cerrado]

Cuando estás bajo un ataque MITM, normalmente el atacante tiene el control completo de parte del enlace entre tú y tu destino. Por esta razón, generalmente es difícil "omitir" MITM, si se hace correctamente, porque el atacante tiene el control total de su tráfico y es libre de dirigirlo a donde quiera. Básicamente, el atacante simplemente puede ignorar todo el protocolo de enrutamiento y dirigir todo de su tráfico al servidor del atacante, independientemente del destino previsto.

Además, un MITM no tiene que involucrar a alguien que "se está abriendo camino". Cualquiera que controle un enrutador o un enlace de cable entre usted y su destino puede MITM fácilmente porque ya controla su tráfico de Internet. Cuando se comunica a través de Internet, es probable que su tráfico pase por al menos una docena de enrutadores que son propiedad de varias compañías de Internet antes de que lleguen a su destino. Puede ver esto por sí mismo si ejecuta un comando traceroute .

Si cualquiera de esos operadores de enrutadores decide que quiere hacer algo malicioso, pueden reconfigurar fácilmente sus enrutadores para enviar su tráfico a otro lugar, en lugar de seguir el protocolo de enrutamiento y enviarlo al siguiente enrutador.

Sin embargo, es posible detectar que se está produciendo un MITM mediante el uso de criptografía de clave pública combinada con un sistema de certificado para verificar la identidad de la persona con la que se está comunicando, como lo hace HTTPS. Pero una vez que detecta un MITM, generalmente no hay mucho que pueda hacer al respecto: sus opciones son básicamente para detener de inmediato lo que está haciendo o intentar establecer un túnel VPN cifrado en una ubicación de confianza y esperar que el atacante no lo haga. Notifica y bloquea tu VPN.

Si realmente desea "pasar por alto" el MITM, tendría que hacer que su tráfico tome otra ruta hacia el destino, una que circule alrededor del atacante. En algunas situaciones, eso es imposible; por ejemplo, si el atacante es su ISP, entonces literalmente no hay otra ruta que su tráfico pueda tomar porque su ISP es su único enlace a Internet. Pero incluso si hay una ruta alternativa, todavía es difícil porque realmente no tiene ningún control sobre cómo se enruta su tráfico. Sería bueno si pudiera decirle a todos los enrutadores que manejan su tráfico, "Oye, creo que el Router XXX está haciendo MITM, ¿podría por favor no enviar nada de mi tráfico allí? Gracias". Pero como no hay una manera fácil de hacerlo, básicamente estás a merced de las decisiones de los enrutadores. Si tiene suerte, tal vez un operador benévolo de enrutadores notará que un enrutador vecino está actuando de forma extraña y dejará de enviar tráfico allí, pero eso es bastante impredecible.

A menudo, sin embargo, el atacante no es alguien que se encuentre "naturalmente" entre usted y su destino, sino que se encuentra en su red local y está jugando trucos en la LAN (como la falsificación de ARP o el envenenamiento de DNS) para que su computadora envíe tráfico a un lugar donde normalmente no lo enviaría. Aquí es donde se vuelve más turbio y donde la respuesta dependerá de la técnica utilizada y de la cantidad de control que tenga sobre la red en la que se encuentra. Por ejemplo, si está en la red WiFi de su hogar y el atacante logra conectarse a su WiFi para realizar MITM, entonces es fácil: simplemente cambie su contraseña de WiFi y arranque el atacante desde su red. Pero si es en un lugar público, obviamente será más difícil.

Por tu publicación, entiendo que estás hablando de ARP envenenando el ataque MITM. Después de que el ARP envenenó, el atacante simplemente cambia las respuestas de su solicitud de DNS con su entrada deseada. Si puede detectar las respuestas ARP maliciosas, simplemente puede cambiar a ARP estática (si conoce la puerta de enlace de su red) puede cortar el ataque.