MITM
Принцип работы
В нормальных условиях данные передаются напрямую от отправителя (А) к получателю (Б). При MITM-атаке злоумышленник (В) позиционирует себя как получатель для отправителя и как отправитель для получателя. Весь трафик проходит через атакующего, который может:
- пассивно перехватывать информацию (логины, пароли, ключи, содержимое переписки);
- активно модифицировать данные (подменять сообщения, внедрять вредоносный код, перенаправлять на фальшивые ресурсы);
- имитировать отказ в обслуживании или разрыв соединения.
Цели атаки
- Кража учётных данных и персональной информации.
- Перехват сессионных cookie для угона аккаунтов.
- Подмена реквизитов (например, кошельков в криптотранзакциях).
- Внедрение вредоносного ПО через подмену загружаемых файлов.
- Компрометация устройств и сетевой инфраструктуры.
Основные методы реализации
| Метод | Описание |
|---|---|
| ARP-спуфинг | Злоумышленник отправляет поддельные ARP-пакеты в локальную сеть, привязывая свой MAC-адрес к IP-адресу шлюза или жертвы. Весь трафик перенаправляется через атакующего. |
| DNS-спуфинг | Подмена ответов DNS-сервера: пользователь, набравший легитимный адрес, попадает на фишинговый сайт, контролируемый злоумышленником. |
| SSL-стриппинг | Принудительное понижение протокола с HTTPS до HTTP. Соединение с сервером остаётся защищённым, но клиент общается с атакующим по открытому каналу. |
| Подмена сертификатов | Внедрение поддельного корневого сертификата в доверенное хранилище устройства. Позволяет расшифровывать трафик, защищённый TLS/SSL. |
| Wi-Fi Evil Twin | Создание поддельной точки доступа с именем легитимной сети. Жертва подключается к ней, и весь трафик проходит через атакующего. |
| BGP-перехват | Атака на уровне интернет-маршрутизации: злоумышленник анонсирует чужие IP-сети, перенаправляя трафик через свои узлы. |
Примеры из реальной практики
Банковская сфера - Клиент подключается к публичному Wi-Fi в кафе. Злоумышленник в той же сети проводит ARP-спуфинг, перехватывает запрос к банку и подменяет номер счёта в платёжном поручении. Средства уходят мошеннику.
Криптоиндустрия - Владелец майнера получает доступ к устройству через веб-интерфейс. Атакующий, ранее внедривший подмену DNS на роутере, перенаправляет запрос на фальшивую панель управления. Введённый пароль перехватывается, после чего злоумышленник меняет пул и адрес кошелька.
Корпоративный сектор - Сотрудник подключается к удалённому рабочему столу компании. Злоумышленник, контролирующий промежуточный узел сети, перехватывает сессию RDP и запускает шифровальщик от имени легитимного пользователя.
Как обнаружить
- Внезапные предупреждения браузера о недействительности SSL-сертификата.
- Несоответствие между ожидаемым и фактическим URL (визуально похожий, но другой домен).
- Необычные ARP-таблицы в локальной сети (два IP с одним MAC, незнакомые MAC-адреса шлюза).
- Аномалии в сетевых логах: массовая загрузка сертификатов, подозрительные DNS-запросы.
- Резкое изменение скорости соединения без объективных причин.
Методы защиты
Для пользователей и администраторов:
- Использование только HTTPS-соединений (расширение HTTPS Everywhere, ручная проверка сертификатов).
- Отказ от открытых и незащищённых Wi-Fi-сетей для передачи чувствительных данных.
- Применение VPN с надёжным шифрованием создаёт дополнительный туннель поверх потенциально скомпрометированной сети.
- Настройка статических ARP-таблиц в критически важных сегментах.
- Двухфакторная аутентификация (перехват пароля не даст доступа без второго фактора).
- Регулярное обновление прошивок роутеров и сетевых устройств.
Для разработчиков и владельцев сервисов:
- Внедрение HSTS (HTTP Strict Transport Security) — принудительное шифрование на уровне браузера.
- Использование Certificate Pinning — привязка приложения к конкретному сертификату сервера.
- Применение протоколов с взаимной аутентификацией (mTLS).
- Мониторинг подозрительных сертификатов в публичных CT-логах (Certificate Transparency).
Правовой аспект
MITM-атаки классифицируются как неправомерный доступ к компьютерной информации и нарушение тайны переписки. В зависимости от юрисдикции и нанесённого ущерба ответственность может наступать по статьям о мошенничестве, краже данных или создании вредоносных программ. В ряде стран использование MITM-методов государственными органами допускается только на основании судебного решения.
Вывод:
| Параметр | Значение |
|---|---|
| Тип угрозы | Сетевая атака на конфиденциальность и целостность |
| Сложность реализации | Низкая (в локальной сети) / Средняя (в глобальной) |
| Уровень опасности | Критический при работе с финансами и конфиденциальными данными |
| Основной вектор защиты | Сквозное шифрование + проверка подлинности сторон |
Лучшие посты
