Мне интересно понять механизм атаки «человек посередине». Я знаю, что в сценарии локальной сети, чтобы выполнить атаку MitM, злоумышленник обычно изменяет таблицу маршрутизации целевых устройств (отравление ARP). Но возможно ли в контексте Интернета провести атаку «человек посередине»?
Это действительно возможно и называется "Перехват {BGP | IP | маршрута | префикса}".
Эти атаки, однако, более сложны, чем ланмит, но не очень скрытны.
8 апреля 2010 г. китайский интернет-провайдер анонсировал МНОГО префиксов, и это было замечено зондами bgp по всему миру.
Проводной имеет хорошая статья описывая это, и вы также можете прочитать запись в Википедии.
Есть много типов атак MITM. Каждый из них зависит от протокола, которым злоумышленник хочет злоупотребить, или его позиции по отношению к вашей топологии / трафику. Как вы упомянули, существуют атаки MITM на основе локальной сети (отравление кеша ARP или подмена DHCP). MITM-атаки на инфраструктуру маршрутизации (внедрение префикса в WAN с включенным RIP / EIGRP / OSPF). И атаки на инфраструктуру за пределами вашей организации, от которой вы зависите, например, перехват префикса BGP, подмена DNS и т. Д.
Один классический Примером является случай, когда злоумышленник [ISP / Government / Bad Guy] изменяет ваши ответы DNS и заставляет весь ваш HTTP / почтовый трафик проходить через один из своих мошеннических прокси-серверов без вашего ведома.
Является ли это возможным? Да. Кто-то, сидящий где-то у провайдера, может разместить что-то рядом с маршрутизатором, передающим ваш трафик, и перехватить данные, чтобы перехватить их.
Есть государственные структуры, которые якобы делают это постоянно. Все, что вам нужно, это кооперативный носитель и / или доступ к устройству где-то между точками A и B и вашим дядей Бобом ...
Еще добавлю, что это возможно ...возможно... для перехвата трафика хакером в черной шляпе, который отслеживает / перенаправляет трафик после получения доступа к определенному оборудованию. Я действительно не слышал об этом, но опять же, это не то, что компания рекламировала бы, если бы им не было необходимости. Кроме того, сотрудники могут злоупотреблять своими правами доступа.
Однако, если вы не являетесь темнокожим лицом, желающим получить финансовую или личную выгоду от этого, или если вы не являетесь особо публичной целью для взлома, скорее всего, вам не стоит об этом беспокоиться.