حمله مرد مياني(MITM Attack) چيست و چگونه انجام ميشود؟

ابزار های سایبری، امنیت سایبری

شناخت حملات رایج سایبری نه‌تنها به متخصصان امنیت، بلکه به تمام کاربران فضای مجازی کمک می‌کند تا با آگاهی بیشتری از دارایی‌های دیجیتال خود محافظت کنند. این حملات اغلب از ضعف‌های انسانی، آسیب‌پذیری‌های فنی یا خطاهای طراحی بهره‌برداری کرده و در اشکال و سطوح مختلفی اجرا می‌شوند.

برخی از این حملات پیچیده و هدفمند هستند (مانند APT)، در حالی که برخی دیگر به‌صورت انبوه و خودکار علیه طیف وسیعی از قربانیان انجام می‌شوند. درک مکانیزم پایه، اهداف و علائم این تهدیدات، اولین گام اساسی در ساخت یک سطح دفاعی مؤثر و تبدیل شدن از یک هدف منفعل به یک کاربر فعال و ایمن در فضای سایبر است. در این مقاله با نوع حمله مرد میانی میپردازیم .

خطرات حمله MITM

حمله MITM مخفف Man-in-the-Middle (به فارسی: حمله مرد میانی یا مستقیم در میانه) است. یک نوع حمله استراق‌سَمَع و جاسوسی فعال است که در آن، مهاجم به‌طور مخفیانه خود را بین دو طرف در حال ارتباط (مانند کاربر و سرور، دو کاربر یا دو دستگاه) قرار می‌دهد و مانند یک رله نامرئی عمل می‌کند. به این ترتیب، او نه تنها می‌تواند تمام داده‌های مبادله‌شده را ببیند و ضبط کند، بلکه ممکن است بتواند آنها را دستکاری یا تغییر نیز بدهد، بدون اینکه هیچ‌یک از دو طرف اصلی متوجه حضور او شوند.

خطراتی این نوع حمله مانند موارد زیر است که نیاز به دقت بالای است :

كاربرد و چگونگي اجراي حمله

حمله MITM معمولاً به عنوان یک ابزار واسطه برای دستیابی به اهداف بزرگ‌تر استفاده می‌شود، نه لزوماً به عنوان حمله نهایی. کاربردهای اصلی آن عبارتند از:

1. جاسوسی و نظارت (Espionage): هدف اصلی اغلب کسب اطلاعات است.
2. جاسوسی شخصی: نظارت بر مکالمات، پیام‌ها و فعالیت‌های آنلاین یک فرد خاص.
3. جاسوسی صنعتی/تجاری: سرقت اسرار تجاری، اطلاعات مالی، طرح‌های محصولات یا استراتژی‌های رقبا.

نحوه اجرای حمله حمله ARP Spoofing در یک شبکه محلی سناریو  با یک مثال گام به گام:

 در یک شبکه داخلی شرکت (مثلاً وای‌فای مشترک)، سه دستگاه وجود دارد: · قربانی: لپ‌تاپ کارمند

کارمند با آدرس IP: 192.168.1.10 

درگاه خروجی شبکه (Gateway) یا روتر با آدرس IP: 192.168.1.1

 حمله کنند لپ‌تاپی که به همان شبکه متصل است با آدرس IP: 192.168.1.99

گام ۱: شناخت شبکه
مهاجم ابتدا با ابزاری مثل nmap یا  arp-scan شبکه را اسکن و  آدرس IP قربانی و روتر را شناسایی می‌کند.

گام ۲: مسموم کردن جدول ARP قربانی

پروتکل ARP وظیفه تبدیل آدرس IP به آدرس فیزیکی (MAC) را در شبکه محلی بر عهده دارد. این پروتکل به طور پیش‌فرض اعتباری ندارد.مهاجم با ابزاری مثل arpspoof (از مجموعه ابزارهای dsniff) یا Ettercap شروع به ارسال بسته‌های ARP جعلی به قربانی می‌کند.
 این بسته‌های جعلی حاوی این پیام دروغین هستند:
· به قربانی می‌گوید: “من روتر هستم. آدرس MAC من این است: [آدرس MAC مهاجم]”
· به روتر می‌گوید: “من قربانی هستم. آدرس MAC من این است: [آدرس MAC مهاجم]”

گام ۳: تغییر مسیر ترافیک

قربانی و روتر، با اعتماد به پیام‌های ARP، جدول ARP کش خود را به روز می‌کنند و آدرس MAC مهاجم را برای یکدیگر ثبت می‌کنند.
 اکنون:
 وقتی قربانی بخواهد بسته‌ای به اینترنت بفرستد، آن را به آدرس MAC مهاجم (به جای روتر) ارسال می‌کند.
 وقتی روتر بخواهد پاسخی از اینترنت برای قربانی بیاورد، آن را به آدرس MAC مهاجم (به جای قربانی) می‌فرستد.

گام ۴: مرد میانی شدن

 مهاجم حالا در مسیر تمام ارتباطات قرار گرفته است. او می‌تواند:
 فقط استراق‌سمع کند: بسته‌ها را ثبت کرده و سپس به مقصد واقعی‌شان (روتر یا قربانی) فوروارد کند.
 دستکاری کند: محتوای بسته‌ها را تغییر دهد و سپس ارسال کند.
 جلوگیری کند: بسته‌ها را اصلاً فوروارد نکند (حملۀ DoS).

گام ۵: رمزگشایی (اگر ترافیک رمزنگاری شده باشد)

 اگر قربانی از HTTPS استفاده کند، مهاجم با روش‌هایی مثل SSL Stripping سعی می‌کند او را مجبور به استفاده از HTTP ناامن کند.
 یا با استفاده از یک گواهی SSL جعلی و فریفتن کاربر برای پذیرش هشدار مرورگر، ارتباط HTTPS را نیز مستقیماً زیر نظر می‌گیرد.

نتیجه در این مثال:
کارمند (قربانی) فکر می‌کند مستقیماً با اینترنت در ارتباط است، اما تمام فعالیت‌های اواز جمله سایت‌هایی که باز می‌کند، متن فرم‌هایی که پر می‌کند (به جز HTTPS واقعی) از جلوی چشم مهاجم عبور می‌کند.

چگونه جلوي اين نوع حمله را بگيريم

راه های تشخیص :

  • هشدار گواهی SSL/HTTPS نامعتبر: مهم‌ترین نشانه! اگر مرورگر در سایت‌های معتبر (مثل بانک) هشدار “اتصال امن نیست” یا “گواهی معتبر نیست” بدهد، احتمال MITM قوی است.
  • افت غیرعادی سرعت اینترنت: به دلیل پردازش اضافه توسط مهاجم.
  • قطع و وصلی مکرر ارتباط در شبکه‌های وای‌فای عمومی.
  • مشاهده تبلیغات غیرمعمول یا پاپ‌آپ‌های عجیب در سایت‌های معتبر.
روش های جلوگیری  و کاهش خطر :
1- مانیتورینگ جدول ARP: استفاده از ابزارهایی مثل arpwatch یا ARP AntiSpoof برای تشخیص آدرس‌های MAC تکراری یا تغییرات غیرعادی در جدول ARP.
2-  تحلیل ترافیک شبکه با ابزارهای مانند Wireshark: جستجوی:
3-  بسته‌های ARP غیرعادی با حجم بالا.
4-  آدرس‌های MAC یکسان برای IPهای مختلف.
5- TTL (Time to Live) غیرمنتظره: اگر TTL بسته‌های دریافتی از یک منبع ثابت، ناگهان کاهش یابد (به دلیل عبور از یک hop اضافه یعنی مهاجم).
6- لاگ‌گیری از روتر/سوییچ: بررسی لاگ‌ها برای تغییرات سریع در آدرس‌های MAC مرتبط با IPهای خاص.
7- سیستم‌های تشخیص نفوذ (IDS/IPS): قوانینی برای تشخیص الگوهای ARP Spoofing یا DNS Spoofing دارند.
8- کاربران شبکه هرگز هشدار گواهی SSL را نادیده نگیرید. اگر دیدید، ارتباط را قطع کنید. · از شبکه‌های وای‌فای عمومی و ناشناس برای کارهای حساس استفاده نکنید.
9- همیشه از VPN معتبر استفاده کنید (مخصوصاً در شبکه‌های عمومی). VPN ترافی0ک را رمزگذاری می‌کند و حتی اگر MITM رخ دهد، مهاجم فقط داده‌های رمز شده می‌بیند.
10- استفاده از پروتکل‌های رمزنگاری قوی و احراز هویت متقابل:
HTTPS (TLS/SSL) با گواهی معتبر: برای وب.
 SSH به جای Telnet.
 SFTP/SCP به جای FTP.
 WPA2/WPA3 Enterprise برای وای‌فای (نه WPA-PSK ساده)

امیدارم این موارد مهم را جدی بگیرید و از حملات و آسیب رسانی به شبکه خودجلوگیری کنید. 

دیدگاهتان را بنویسید