> For the complete documentation index, see [llms.txt](https://notes.kraken-security.ru/kraken/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://notes.kraken-security.ru/kraken/krupicy-znanii/uyazvimosti/ob-atake-mitm.md). # Об атаке MITM ### В чем смысл атаки? Злоумышленник пропускает веб-трафик жертвы через себя. Жертва в этот момент думает, что работает напрямую с нужным ему веб-сайтом или приложением. Но на самом деле трафик проходит через промежуточный узел, что позволяет хакеру получить важные данные: логин, пароль и т.д. Это атака характера и для пары *человек-компания* → когда мы смотрим что-то в банке. \ И для пары *компания-компания* → когда мы смотрим что-то в том же банке через корпоративный аккаунт.\ \ Благодаря просмотру этого трафика злоумышленник может увидеть и украсть данные, чтобы использовать их для дальнейшей кражи или вымогательства. ### Какие есть виды MITM-атак

Общедоступный Wi-Fi

Общедоступные сети часто не защищают. Это приводит к тому, что преступник может видеть веб-трафик с любого подключенного устройства.


Мошенническая точка доступа

Злоумышленник создают свою точку доступа в сети. Так он перехватывает, отслеживает трафик, а ещё часто перенаправляет его в другую сеть, чтобы загрузить вредоносное ПО. А дальше по классике: шпионаж, вымогательство, кража.

IP-спуфинг

Злоумышленник подделывает адрес, меняя заголовки пакетов, чтобы быть похожим на настоящий веб-сайт или приложение.


ARP-спуфинг

Связывает MAC-адрес злоумышленника с IP-адресом жертвы в локальной сети с помощью поддельных сообщений ARP. Вот что после происходит:

1. Любые данные от жертвы направляются не в локальную сеть, а на МАС-адрес злоумышленника.
2. Кибержулик перехватывает данные и пользуется ими в своих целях.

DNS-спуфинг

Злоумышленник заходит на DNS-сервер веб-сайта и изменяет запись веб-адреса.

После этого DNS-запись перенаправляет входящий трафик на веб-сайт киберпреступника.


HTTPS-спуфинг

Злоумышленник отправляет в браузер поддельный сертификат безопасности в момент, когда пользователь подключается через HTTPS. Браузер считает это безопасным, хотя злоумышленник, возможно, крадет и перенаправляет данные.

Перехват сеанса

Перехватывание сеанса для контроля над ним. При этом пользователь исключается из сеанса, а злоумышленник остается внутри и просматривает все данные.


Внедрение пакетов

Создает пакетов с целью доступа и мониторинга трафика. А порой для инициирования DDoS.

SSL-стриппинг

Кибержулик перехватывает сигнал TLS от приложения или веб-сайта. Меняет его, чтобы сайт загружался по незащищенному соединению HTTP вместо HTTPS. А дальше — раскрытие конфиденциальной информации.


SSL-спуфинг

Подделка сайта под настоящий. Жертва думает, что взаимодействует с реальным ресурсом, но это не так. Преступник в этот момент крадет данные.


SSL BEAST

Заражение устройства вредоносным кодом JavaScript. Программа перехватывает cookie и токены аутентификации веб-сайтов для дешифрования, открывая злоумышленнику доступ к сеансу жертвы.


SSL-кража cookie-файлов браузера

Кража информации с разных веб-сайтов, которую можно использовать для других атак.



Сниффинг


Слежка за трафиком обычно с помощью приложений или специального оборудования.



### Как обнаруживать MiTM? 1\. Следить за веб-адресами. Это можно заметить по строке поиска и URL-адресу в браузере. При перехвате DNS могут подделывать используемые адреса, как правило, с едва заметными изменениями.\ \ [www.google](http://www.google).com → это окей\ [www.go0gle.com](http://www.go0gle.com) → не окей 2\. Замечать неожиданные сетевые задержки или полные отключения. Если всё хорошо по соединению → это окей.\ Частные сетевые отсоединения или задержки → это не окей, лучше проверить 3\. Мониторить общественный Wi-Fi. Злоумышленники часто перехватывают информацию через этот канал, как и создают поддельные сети. Лучше вообще избегать общедоступных сетей Wi-Fi, ну или использовать VPN, если вам необходимо подключиться к Интернету. Само собой, тут тоже стоит избегать подключения к сетям со странными именами.\ \ Подключиться к ozmall\_wifi\_guest → это окей\ Подключиться к 0zmallwifi234 → это не окей, лучше не стоит ### Как предотвращать атаки MiTM? 1\. Использовать всегда и везде менеджеры паролей. Мы советуем [keepass](https://keepass.info/). 2\. Использовать VPN, чтобы перенаправлять весь трафик на несколько серверов. Мы за [WireGuard](https://www.wireguard.com/) и [OpenVPN](https://openvpn.net/).
--- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://notes.kraken-security.ru/kraken/krupicy-znanii/uyazvimosti/ob-atake-mitm.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.