Принципы работы перехвата трафика
Объясните принцип работы перехвата трафика. Вот схема подключения к сети:
WiFi роутер -> ноутбук жертвы.
Тот же самый WiFi роутер -> устройство злоумышленника.
Жертва отсылает запрос на соединение к серверу, ожидает получить сертификат в ответ. Каким образом злоумышленник может не только прослушать, что приходит в ответ жертве, но и полностью погасить ответ от сервера для жертвы для последующей подмены? Ведь подключение к интернету у них на равных условиях. Объясните, пожалуйста, как это работает?
Ответы (1 шт):
Раз речь идёт о Wi-Fi, то можно привести пример ARP-spoofing. При данной атаке злоумышленник отправляет поддельные ARP-ответы, чтобы жертва начала считать его роутером, а роутер считал злоумышленника жертвой. В результате трафик между жертвой и роутером "ходит" через злоумышленника: жертва <-> атакующий <-> роутер.
Иначе говоря, выполняется атака типа Man-In-The-Middle - мы с жертвой не на равных условиях подключены к интернету через Wi-Fi, а выглядим для неё как роутер.
Если трафик не шифрован, то его можно сразу читать. Если же речь идёт о HTTPS-соединении, то также имеются способы атаки на него. Один из таких - SSL Stripping. При такой атаке злоумышленник переключает HTTPS на HTTP, обрабатывая перехваченные запросы. Пример SSL Stripping + ARP Spoofing.