Man In The Middle Attack (MITM)

tumaji — Sun, 25 Jan 2009 17:13:04 +0000

�� Man In The Middle Attack (MITM) หรือในภาษาไทยคือ “การแทรกแซงการสื่อสาร” เป็นการโจมตีที่ Attacker เข้ามาแทรกระหว่างการสื่อสารของ A และ B (A—–>attacker—–>B) โดยในการโจมตีนี้ Attacker สามารถดักจับข้อมูลของ A และ B ได้
�� ในการโจมตีด้วย MITM ส่วนใหญ่จะพบในวง Lan (Local Area Network) โดยในระยะแรกที่มีการใช้ Hub ก็จะใช้พวกโปรแกรม Sniffer ต่างๆในการดักจับข้อมูล เนื่องจากการทำงานของ Hub จะทำการส่งข้อมูลไปทุก Port บน Hub ดังนั้นเมื่อใช้โปรแกรมจำพวก Sniffer ก็สามารถดักจับข้อมูลได้ไม่ยาก
�� ต่อมาเมื่อมีการนำ Switching มาใช้แทน Hubการโจมตีก็จะต้องปรับเปลี่ยนวิธีเนื่องจาก Switching จะส่งข้อมูลไปที่ Port ปลายทางเท่านั้นการดักจับข้อมูลด้วยวิธีเดิมจึงทำงานไม่ได้ในวงแลนที่ใช้ Switching
ในปัจจุบันการโจมตีด้วย MITM จะอาศัยการทำงานที่เรียกว่า ARP Spoofing หรือ ARP Poisoning พื่อที่จะหลอกให้ Gateway เข้าใจว่าเครื่องของ Attacker เป็นเครื่องของเหยื่อ และจะหลอกเหยื่อให้เข้าใจว่าเครื่องของ Attacker เป็น Gateway
ดังในรูปที่ 1 ด้วยเหตุนี้จะทำใหข้อมูลที่ส่งจากเครื่องเหยื่อจะมาที่เครื่องของ Attacker ก่อนที่จะส่งต่อไป Gateway จึงทำให้ Attacker สามารถดักจับข้อมูลของเหยื่อได้

�� แนวทางการป้องกัน
�� เนื่องจากการโจมตีด้วย MITM อาศัย ARP Spoofing หรือ ARP Poisoning แนวทางการแก้ปัญหาที่ดีที่สุดคือการทำ Static ARP โดยใช้คำสั่ง arp -s 157.55.85.212 00-aa-00-62-c6-09

157.55.85.212 เป็น IP ของ Gateway ของคุณ
00-aa-00-62-c6-09 เป็น Mac Address ของ Gateway
ปล. การป้องกันด้วยวิธีนี้ต้องมีความรู้ Network อยู่บ้าง สำหรับคนที่ไม่มีความรู้ทางเลือกคือหาโปรแกรมจำพวก Anti ARP มาลองใช้ดูครับ

ในหัวข้อต่อไปจะเป็นเนื้อหาของ Monkey In The Middle Attack

ข้อมูลอ้างอิง
http://www.pburkholder.com/sysadmin/SSL-mitm/index.php

Php LifeStyle :My Php and My LifeStyle » security

Man In The Middle Attack (MITM)