Es scheint viele Möglichkeiten zu geben, Man-in-the-Middle-Angriffe auf öffentliche Zugangspunkte zu erstellen, indem die lokale IP-Adresse des Zugangspunkts mit ARP-Spoofing gestohlen wird. Die möglichen Angriffe reichen vom Fälschen von Kennwortanforderungsfeldern über das Ändern von HTTPS-Verbindungen zu HTTP und sogar die kürzlich entdeckte Möglichkeit, böswillige Header zu Beginn sicherer TLS-Verbindungen einzuspeisen.
Es scheint jedoch, dass diese Angriffe nicht sehr häufig sind. Es wäre interessant für mich zu sehen. Wie kann man erkennen, ob ein solcher Angriff von jemandem im Netzwerk versucht wird?
Ich denke, es wäre ein offensichtlicher Anhaltspunkt, eine einfache HTTP-Anmeldeseite zu erhalten, und natürlich könnten Sie Wireshark ausführen und den gesamten interessanten ARP-Datenverkehr lesen. Eine automatisierte Lösung wäre jedoch ein wenig praktischer. Diese Analyse analysiert Hintergrundinformationen und benachrichtigt Sie, wenn ein Angriff im Netzwerk erkannt wird. Es wäre interessant zu sehen, ob diese Angriffe tatsächlich irgendwo stattfinden.
Es ist nicht möglich, ein beliebiges MITM zu erkennen, da es verschiedene Techniken gibt, um sie auszuführen.
Die meisten MITM-Angriffe auf Ethernet oder WLAN verwenden jedoch ARP-Spoofing, um den Verkehr umzuleiten. Es gibt Tools zum Erkennen von ARP-Spoofing. Diese sollten auf die meisten MITM-Angriffe hindeuten. Siehe auch die Wikipedia-Seite für einige Tools.
MiM-Angriffe werden gegen verschlüsselten Datenverkehr durchgeführt (Sie müssen MiM nicht im nicht verschlüsselten Datenverkehr ausführen, Sie können ihn nur abhören).
Dahinter steckt etwas Mathematik, aber kurz gesagt: Sie müssen den Fingerabdruck des Schlüssels überprüfen. Wenn Sie sich zum Beispiel zum ersten Mal über SSH anmelden, zeigt der SSH-Client den Fingerabdruck der Server an. Wenn Sie sich vor MiM schützen möchten, kennen Sie den Fingerabdruck vor dem Anmeldeversuch (z. B. fragen Sie den Administrator über einen anderen sicheren Kanal, z. B. direkte Konversation).
Das ist sehr unpraktisch. Die Antwort auf dieses Problem sind Zertifizierungsstellen ( http://en.wikipedia.org/wiki/Certificate_authority ). In diesem Szenario enthält der Computer bekannte Fingerabdrücke von Schlüsseln vertrauenswürdiger Unternehmen. Dass Unternehmen Schlüssel für andere Unternehmen unterschreiben. Es ist wichtig zu prüfen, ob das verwendete Zertifikat korrekt signiert ist. Glücklicherweise tun moderne Browser dies automatisch und zeigen viele Warnungen an, wenn etwas nicht stimmt.
Es gibt keine ausfallsichere Möglichkeit, dies zu erkennen (wenn dies der Fall wäre, wären MitM-Angriffe kein Problem!). Es gibt jedoch einige mögliche Techniken.
Sie könnten versuchen, sich die Zeiten anzusehen, die erforderlich sind, um etwas zu servieren. Eine Verzögerung kann auf einen MitM-Angriff hindeuten. Oder es könnte nur darauf hinweisen, dass das Netzwerk langsam ist.
Wenn Sie glauben, dass jemand den Inhalt von Dingen bearbeitet, die Sie über das öffentliche Netzwerk senden / empfangen, können Sie Fingerabdrücke / MD5-Hashes / etc überprüfen. der Daten, die Sie senden / empfangen.
Wie Maciek feststellt, sollte das MitM mit Zertifikaten und SSL-Verbindungen spielen, was offensichtlich ist, da Browser Sie warnen, wenn Zertifikate nicht übereinstimmen (obwohl Sie Ihrem Browser vertrauen können müssen, falls jemand installiert hat gefälschte Zertifikate auf Ihrem Computer bereits, dies ist nicht sehr nützlich.
arpwatch funktioniert bei mir:
sudo aptitude install arpwatch echo "wlan3 -a -n 10.10.0.0/24 -m me@gmail.com" | sudo tee -a /etc/arpwatch.conf /etc/init.d/arpwatch start Wie Sie gesagt haben, wäre es schön, die Verteidigung zu automatisieren. http://ifttt.com sieht so aus, als würde es beim Senden von SMS-Benachrichtigungen usw. helfen. Der Rest liegt bei Ihnen und Ihrem MTA ( postfix) - und E-Mail-Filter.