6个安全研究人员使用的HTTP MITM攻击工具

作者姚伟斌

中间人攻击(MITM)是指恶意行为者中断已建立的网络对话或数据传输。攻击者位于传输路径的中间位置,然后假装或扮演合法参与者进行对话。

在实际操作中,攻击者将自己置于传入请求和传出响应之间。作为用户,你将继续相信自己正在直接与合法的目标服务器或网络应用(如Facebook、Twitter、在线银行等)进行对话。然而,实际上,你将向中间人发送请求,然后中间人代表你与你的银行或应用进行对话。

Imperva的图像

因此,中间人将看到一切,包括你发送给目标服务器或目标服务器返回的所有请求和响应。除了查看所有对话,中间人还可以修改你的请求和响应,窃取你的凭据,将你引导到他们控制的服务器,或执行其他网络犯罪行为。

一般来说,攻击者可以截取对话中任意一方的通信流或数据。然后,攻击者可以修改信息或向合法参与者发送恶意链接或响应。在大多数情况下,这种攻击可能在一段时间内不被察觉,直到造成了大量损害后才会被发现。

常见的中间人攻击技术

数据包嗅探:攻击者使用各种工具在低层级进行数据包嗅探。嗅探可以让攻击者查看他们未经授权访问的数据包。

数据包注入:攻击者将恶意数据包注入到数据通信渠道中。在注入之前,犯罪分子首先使用嗅探来确定何时以及如何发送恶意数据包。注入后,恶意数据包将与通信流中的有效数据包混合在一起。

会话劫持:在大多数Web应用程序中,登录过程会创建一个临时会话令牌,使用户无需在每个页面或任何未来请求中都输入密码。不幸的是,攻击者使用各种嗅探工具可能会识别并使用会话令牌,然后冒充合法用户进行请求。

SSL剥离:攻击者可以使用SSL剥离技术截取合法数据包,并修改基于HTTPS的请求并将其重定向到不安全的HTTP等效目标。因此,主机将开始向服务器发出未加密的请求,从而将敏感数据暴露为易于窃取的明文。

中间人攻击的后果

中间人攻击对任何组织来说都是危险的,因为它们可能导致财务和声誉损失。

通常,犯罪分子可以获取和滥用组织的敏感和私密信息。例如,他们可以窃取用户名和密码、信用卡详细信息,并使用它们转移资金或进行未经授权的购买。他们还可以使用窃取的凭据安装恶意软件或窃取其他敏感信息,然后用于勒索公司。

因此,保护用户和数字系统以最小化中间人攻击的风险是至关重要的。

安全团队使用的中间人攻击工具

除了使用可靠的安全解决方案和practices,你还需要使用必要的工具来检查你的系统并识别攻击者可能利用的漏洞。为了帮助你做出正确的选择,以下是一些供安全研究人员使用的HTTP中间人攻击工具。

Hetty

Hetty是一个快速的开源HTTP工具包,具有强大的功能,以支持安全研究人员、团队和漏洞赏金社区。这个轻量级工具内置了Next.js网页界面,包括一个HTTP中间代理。

主要特点

  • 使您能够进行全文搜索
  • 它有一个发送器模块,允许您根据代理日志中的离线请求或从头开始创建的请求手动发送HTTP请求。
  • 一个攻击者模块,允许您自动发送HTTP请求
  • 安装简单,界面易于使用
  • 通过从头开始发送HTTP请求,编写请求或仅从代理日志中复制,可以手动发送HTTP请求。

Bettercap

Bettercap是一款全面而可扩展的网络侦查和攻击工具。

这个易于使用的解决方案为逆向工程师、安全专家和红队提供了所有测试或攻击Wi-Fi、IP4、IP6网络、蓝牙低功耗(BLE)设备和无线HID设备的功能。此外,该工具具有网络监控功能和其他功能,如虚假接入点创建、密码嗅探器、DNS欺骗器、握手捕获等。

主要特点

  • 用于识别身份验证数据和获取凭据的强大内置网络嗅探器
  • 功能强大、可扩展
  • 主动和被动地探测和测试IP网络主机的潜在MITM漏洞。
  • 易于使用的交互式基于Web的用户界面,可进行各种MITM攻击、嗅探凭据、控制HTTP和HTTP流量等。
  • 提取它收集的所有数据,如POP、IMAP、SMTP和FTP凭据、访问的URL和HTTPS主机、HTTP cookie、HTTP发布的数据等,并将其呈现在外部文件中。
  • 实时操作或修改TCP、HTTP和HTTPS流量。

Proxy.py

Proxy.py是一个轻量级的开源WebSockets、HTTP、HTTPS和HTTP2代理服务器。这个快速工具以一个单独的Python文件提供,可以在消耗最少资源的情况下检查Web流量,包括TLS加密应用。

主要特点

  • 它是一个快速且可扩展的工具,可以处理每秒数万个连接。
  • 可编程特性,如内置的Web服务器、代理和HTTP路由定制等
  • 它具有轻量级设计,使用5-20MB的RAM。此外,它依赖于标准的Python库,不需要任何外部依赖。
  • 一个实时可定制的仪表板,您可以使用插件扩展它。它还提供了检查、监视、配置和控制proxy.py的运行时选项。
  • 这个安全工具使用TLS提供了proxy.py和客户端之间的端到端加密。

Mitmproxy

mitmproxy是一个易于使用的开源HTTPS代理解决方案。

通常,这个易于安装的工具可以作为SSL中间人HTTP代理工作,并具有控制台界面,允许您即时检查和修改流量流动。您可以使用基于命令行的工具作为HTTP或HTTPS代理来记录所有网络流量,查看用户的请求并重新播放它们。通常,mitmproxy指的是一组三个强大的工具;mitmproxy(控制台界面),mitmweb(基于Web的界面)和mitmdump(命令行版本)。

主要特点

  • 交互式和可靠的HTTP流量分析和修改工具
  • 灵活、稳定、可靠、易于安装和使用的工具
  • 允许你在传输过程中拦截和修改HTTP和HTTPS请求和响应
  • 记录并保存HTTP客户端和服务器端的对话,然后可以在未来进行重放和分析
  • 生成SSL/TLS证书以进行即时拦截
  • 反向代理功能允许你将网络流量转发到不同的服务器上。

Burp

Burp是一种自动化和可扩展的vulnerability scanning tool。该工具是许多安全专业人员的不错选择。一般来说,它使研究人员能够测试Web应用程序并识别犯罪分子可以利用和发起中间人攻击的漏洞。

它使用用户驱动的工作流来直观地查看目标应用程序及其工作原理。作为Web代理服务器,Burp位于Web浏览器和目标服务器之间,因此可以拦截、分析和修改请求和响应流量。

主要功能

  • 在Web浏览器和服务器之间的双向原始网络流量之间进行拦截和检查
  • 在浏览器和目标服务器之间的HTTPS流量中断开TLS连接,从而允许攻击者查看和修改加密数据
  • 可以选择使用Burp的内置浏览器或外部标准Web浏览器
  • 自动化、快速和可扩展的漏洞扫描解决方案,它可以更快、更高效地扫描和测试Web应用程序,从而识别出各种漏洞
  • 显示单个拦截的HTTP请求和响应
  • 手动审查拦截的流量以了解攻击的详细信息。

Ettercap

Ettercap是一个开源的网络流量分析和拦截工具。

这款全面的中间人攻击工具允许研究人员分解和分析各种网络协议和主机。它还可以在局域网和其他环境中注册网络数据包。此外,这款多功能网络流量分析工具可以检测和阻止中间人攻击。

主要功能

  • Intercept network traffic并捕获凭据,如密码。此外,它还可以解密加密数据并提取用户名和密码等凭据。
  • 适用于深度数据包嗅探、测试、监控网络流量和提供实时内容过滤。
  • 支持主动和被动窃听、分解和分析各种具有加密功能的网络协议
  • 分析网络中的主机和确定已安装的操作系统。
  • 用户友好的图形用户界面,具有交互式和非交互式GUI操作选项
  • 利用ARP拦截、IP和MAC过滤等分析技术来拦截和分析流量

防止中间人攻击

识别中间人攻击并不容易,因为它发生在用户之外,而且很难检测,因为攻击者让一切看起来正常。然而,组织可以采取一些安全措施来防止中间人攻击。这些措施包括:

  • 在工作或家庭网络上保护互联网连接,例如在服务器和计算机上使用有效的安全解决方案和工具,可靠的身份验证解决方案
  • 对访问点强制使用强大的WEP/WAP加密
  • 确保您访问的所有网站都是安全的,并在URL中具有HTTPS。
  • 避免点击可疑的电子邮件信息和链接
  • 强制使用HTTPS并禁用不安全的TLS/SSL协议。
  • 在可能的情况下使用Virtual Private Networks
  • 使用以上工具和其他HTTP solutions来识别和解决攻击者可以利用的所有中间人漏洞。
姚伟斌

程序猿

我是姚伟斌,也被称为文景。我的专业领域涵盖了开放源代码的深度探索、网络编程和网络建站。我热衷于分享我的编程和建站实践经验,尤其擅长于Nginx和Proxy服务器的管理。此外,我还对Python和NodeJS这两种编程语言有着深刻的理解和独到的见解。

最近,我致力于爬虫技术的研究,探索如何通过高效的数据抓取为项目增添价值。我的目标是通过持续的学习和创新,为开放源代码社区贡献我的力量,并帮助那些对网络编程和网站建设感兴趣的人士。

类似文章