MITM 中间人攻击攻击简介及说明

MITM 攻击简介？

这也就是我们常说的“中间人攻击”，在网上讨论比较多的就是 SMB 会话劫持， 这也是一个典型的中间人攻击。要想正确的实施中间人攻击，攻击者首先需要使 用 ARP 欺骗或 DNS 欺骗，将会话双方的通讯流暗中改变，而这种改变对于会 话双方来说是完全透明的。关于 ARP 欺骗黑客防线介绍的比较多，网上的资料也比较多，我就不在多说了，我只简单谈谈 DNS 欺骗。DNS（Domain Name System），即域名服务器，我们几乎天天都要用到。对于正常的 DNS 请求，例 如在浏览器输入 www.xxx.com，然后系统先查看 Hosts 文件，如果有相 对应的 IP，就使用这个 IP 地址访问网站（其实，利用 Hosts 文件就可以实现 DNS 欺骗）；如果没有，才去请求 DNS 服务器；DNS 服务器在接收到请求之 后，解析出其对应的 IP 地址，返回给我本地，最后你就可以登陆到黑客防线的 网站。而 DNS 欺骗则是，目标将其 DNS 请求发送到攻击者这里，然后攻击者 伪造 DNS 响应，将正确的 IP 地址替换为其他 IP，之后你就登陆了这个攻击者 指定的 IP，而攻击者早就在这个 IP 中安排好了恶意网页，可你却在不知不觉中 已经被攻击者下了“套”……DNS 欺骗也可以在广域网中进行，比较常见的有 “Web 服务器重定向”、“邮件服务器重定向”等等。但不管是 ARP 欺骗，还 是 DNS 欺骗，中间人攻击都改变正常的通讯流，它就相当于会话双方之间的一 个透明代理，可以得到一切想知道的信息，甚至是利用一些有缺陷的加密协议来 实现。

用户在访问http页面的时候，会打开http连接而http连接有可能会被窃听，因此存在MITM（man-in-the-middle）攻击。

https协议提供的内容和会话信息可以被ssl加密因此可以防止MITM攻击。然而有些https页面中会包含http的内容（mixed content），这种情况下页面中只有一部分内容被加密（http服务器提供的内容是未加密的）。其中一部分的http内容会被浏览器block掉（为了防止MITM攻击）。

Mixed Content 分类

Mixed passive Content(a.k.a. Mixed Display Content)

Mixed passive Content 是一些静态资源（比如图片，音乐，视频）。如果用户在访问一张图片，攻击者会拦截http请求或响应，然后把图片替换掉，或者返回给用户一些误导信息。或者攻击者会根据http请求的header来获取其中的user agent信息以及cookie信息，如果图片和https页面在同一个域，那么攻击者就可以用这些信息来模拟用户请求https的资源，https就失去作用了。

Mixed Active Content(a.k.a. Mixed Script Content)

这些是可以操作DOM的动态脚本，包括Javascript, CSS, objects, xhr requests, iframes。这种情况下，攻击者可以拦截改写http响应，往http响应中注入脚本来窃取form表单的数据（比如用户名，密码），或者往响应中注入恶意插件。

所以当页面包含Mixed Content 时，浏览器默认会block掉部分内容(for security)。console会提示Mixed Content: The page at 'https://***' was loaded over HTTPS, but requested an insecure image 'http://****'. This content should also be served over HTTPS.

如果需要在https网站的页面中嵌入http服务器的图片或者页面，可以使用反向代理服务器，用https协议来代理http服务器