TCP/IP协议栈中间人攻击原理与过程

1. 原理： 中间人攻击者（MITM）通过拦截通信双方的流量，冒充通信的一方与另一方进行通信，使得通信双方误以为在直接通信，而实际数据都经过攻击者。在TCP/IP协议栈中，攻击者可以利用协议漏洞或网络配置缺陷来实现中间人位置的介入。例如，ARP（地址解析协议）欺骗是常见的手段，ARP用于将IP地址解析为MAC地址，攻击者通过发送伪造的ARP响应包，修改目标主机ARP缓存表，将目标主机原本指向正确网关的IP - MAC映射关系修改为指向攻击者的MAC地址，从而截获目标主机发往网关的数据。
2. 过程：
   • 网络嗅探：攻击者首先使用网络嗅探工具（如Wireshark等）监听网络流量，了解网络拓扑结构、IP地址分配、通信模式等信息，确定目标主机和网关的IP地址与MAC地址。
   • ARP欺骗：攻击者向目标主机发送伪造的ARP响应包，告知目标主机自己的MAC地址是网关的MAC地址。同时，攻击者也向网关发送伪造的ARP响应包，告知网关自己的MAC地址是目标主机的MAC地址。这样，目标主机与网关之间的通信数据都会流经攻击者的主机。
   • 数据篡改与转发：攻击者截获目标主机与网关之间的通信数据后，可以根据需求对数据进行篡改，如修改HTTP请求中的参数、替换网页内容等，然后再将修改后的数据转发给目标接收方，使得通信双方难以察觉数据被篡改。

防护策略

1. 网络架构设计层面：
   • VLAN划分：将不同功能或区域的设备划分到不同的VLAN（虚拟局域网）中，限制广播域范围，减少ARP欺骗的影响范围。不同VLAN之间的通信通过三层交换机或路由器进行，攻击者难以跨VLAN进行中间人攻击。
   • 端口安全：在交换机上配置端口安全功能，限制端口允许连接的MAC地址数量，绑定合法设备的MAC地址与端口，防止非法设备接入网络进行中间人攻击。例如，设置某个端口只允许绑定一个MAC地址，若有其他MAC地址尝试接入则关闭该端口。
   • 使用加密网络设备：采用具有加密功能的路由器、防火墙等网络设备，对网络流量进行加密传输，如IPsec（IP安全协议），即使攻击者截获数据，由于数据加密也难以篡改和获取有效信息。
2. 代码层面：
   • SSL/TLS加密：在应用层开发中，对于HTTP通信，使用HTTPS协议代替HTTP协议。在代码中通过调用SSL/TLS库（如OpenSSL）来实现通信加密。例如，在Java中使用OkHttp库进行网络请求时，可以配置SSL/TLS证书验证，确保通信双方身份的真实性和数据传输的加密性。
   • 证书验证：在代码中对服务器证书进行严格验证，防止攻击者伪造证书进行中间人攻击。以Python的requests库为例，在发起HTTPS请求时，可以通过设置verify=True参数，requests库会自动验证服务器证书的有效性，若证书无效则请求失败。
   • 随机数与密钥协商：在应用层协议设计中，引入随机数和密钥协商机制。通信双方在建立连接时，通过交换随机数，使用密钥协商算法（如Diffie - Hellman算法）生成会话密钥，用于加密后续通信数据。这样即使攻击者截获了初始的握手信息，由于不知道会话密钥，也无法解密和篡改数据。