web-dev-qa-db-ja.com

アクティブな中間者を検出する方法はありますか?

ルーターにアクセスした攻撃者を偽装。被害者が攻撃されていることに気づく方法はありますか?

私の友人の一人はこの種の攻撃の犠牲者だと思います。これが彼に対する攻撃であることをどのように確認できますか?

詳細:誰かがFacebookなどのパスワードを常に変更しています。

attacksman-in-the-middle
10
eversor

友人がミットベクターの犠牲者である場合、あなたの友人が取り上げる可能性がある複数の「テル」があります。

友達の接続はいつもより遅いですか? Facebookのページは、職場や学校などで表示されるページとまったく同じですか?.

上記の方法はどれも間違いのないものではありませんが、一緒に使用すると、起こり得る副作用の状況を把握できます。あなたの友人はそのIP(66.220.149.88)でFacebookに移動することでdns_spoofをバイパスでき、VPNトンネル(torは無料ですが遅い)

これをすべて言っても、あなたの友人がミット攻撃の犠牲者である可能性は低いです。彼らのマシンがキーロガーに感染している可能性は非常に高いです。友達にウイルススキャンを実行させ、駆除してから、すべてのFacebookのセキュリティ設定を確認します。

また、友達がyahooを使用している場合は、Gmailに切り替えてもらいます。

4
November

一般的には違います。あなたが中間者攻撃の犠牲者であることを検出する信頼できる方法はありません。

不完全な攻撃を検出するためにできることはいくつかあります。それらの主なものは、可能な限りSSL(https)を使用して、ブラウザのアドレスバーをチェックして、SSLが使用されていることを確認することです(たとえば、緑またはアドレスの背後にある青い輝き)。 SSLを使用していて、証明書の警告をクリックすることを避けている場合は、中間者攻撃から比較的安全であるはずです。しかし、httpを使用している場合、中間者攻撃を検出するためにできることはほとんどありません。

とはいえ、あなたの友人が中間者攻撃によってハッキングされているのではないかと疑っています。彼のパスワードまたはアカウントが侵害された可能性が高いです。回復するには、次の方法をお勧めします。

  • Malware Bytesまたはその他の優れたマルウェアスキャナーを使用して、マルウェア/スパイウェアがないかコンピューターをスキャンします。検出されたすべてのマルウェア/スパイウェアを削除します。

  • コンピューターで彼のパスワードと管理者パスワードを変更します。

  • ウイルス対策(Microsoft Security Essentials、Avastなど)をオンにします。

  • Windows Updateをオンにします。 Windows Updateを実行してOSを更新します。最新のブラウザを実行していない場合は、ブラウザを更新します。

  • Firefoxを使用している場合は、HTTPS Everywhereをインストールするように依頼します。

  • すべての接続にSSL(HTTPS)を使用するようにFacebookを構成します。

  • 次に、彼のメールパスワード(Gmailパスワードなど)とFacebookパスワードを変更してもらいます。また、彼に削除/アンインストールしてもらうall Facebookアプリ。悪意のあるFacebookアプリは、人々が攻撃される一般的な方法です。新しいパスワードは長くて強力であることを確認してください。

  • 問題が解消されれば、問題ありません。

3
D.W.

はい、https接続のフィンガープリントが正しいことを確認することで、ブラウザでhttpsに対するman-in-the-middle攻撃を検出できます。

たとえば、確認したい場合 https://www.facebook.com はInternet Explorer 11でMiTM攻撃を受けていません([証明書の表示]ダイアログがモーダルであるため、2つの異なるウィンドウを使用します)。

  1. デスクトップのIE11で https://www.grc.com/fingerprints.htm を開きます
  2. 新しいIEウィンドウ(デスクトップではctrl-N))を開いて https://www.facebook.com に移動します
  3. アドレスの横にあるロックをクリックし、[証明書の表示]ボタンをクリックすると、モーダルダイアログがポップアップ表示されます。
  4. [全般]タブで、[発行先]が* .facebook.comであることを確認します
  5. [詳細]タブで、一番下までスクロールし、指紋をクリックして、指紋の数字と文字が https://www.grc.com/fingerprints.htm に表示されているものと一致することを確認します* .facebook.com(指紋を比較する場合、大文字/小文字の違いは無視し、スペース/コロンは無視します)。

他のブラウザを確認する場合は、ページの下の方にある「このページ(または任意のページ)のSSL証明書のフィンガープリントを表示する方法:」の説明に従ってください https://www.grc.com /fingerprints.htm 。他のドメインを確認する場合は、ページの上部にある[カスタムサイトのフィンガープリント]見出しの下で、任意のドメインの公式の証明書名とフィンガープリントをリクエストできます。

これは、中間者プロキシ攻撃(マシンまたはネットワーク上のプロキシの場合)を検出するためのかなり堅牢な方法です。ブラウザーに感染したウイルス(いわゆるブラウザー攻撃)は検出されません。

2
robocat

私の2セント:友達が* nixシステムを使用している場合、彼は最初にルーターのWebパネルからルーターのMACアドレスを確認してから、次のコマンドを実行できます。

arp -a

彼はルーターがARPテーブルにあるMACアドレスを確認できます。ルータのMACアドレスが本来あるべきものと異なる場合、それは1つの指標です。

次に、次のコマンドを実行して、say facebook.comのDNS解決を確認できます。

nslookup facebook.com

、返されたアドレスがローカルアドレス、たとえば192.168.0.105か何かである場合、これはur DNS解決がハイジャックされていることを示しているはずです。

より簡単ですが、アプリケーションレイヤー、つまりブラウザーでは、資格情報や機密情報を使用するWebサイトを閲覧するときはいつでも、URLバーをチェックして、通信がHTTPS経由で行われているかどうかを確認します。スイッチへのLAN接続によってトラフィックが盗聴されている場合でも、HTTPSが原因で攻撃者がトラフィックを読み取ることはできません。

0
racec0ndition