MITM 中間人攻擊

MITM 全名為（Man-in-the-middle attack），是指攻擊者與通訊的兩端分別建立獨立的聯絡，並交換其所收到的資料，使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話，但事實上整個對談都被攻擊者完全控制。 - wiki

老樣子上個簡單易懂的圖

MITM 攻擊形式

大致上 MITM 攻擊手段有三種：

1. IP（ARP 污染）
      主機必須發送一個 ARP 請求到某個 TCP/IP 網路上來查詢對應的實體位址。但 ARP 協定安全性的問題，歹徒可能利用一種叫做 假冒 ARP 資料 (ARP Spoofing) 的方式來發動 MITM 攻擊。而由於 ARP 協定缺乏認證機制，因此駭客可以發送一個假的 ARP 訊息到區域網路讓駭客鎖定的目標主機 IP 位址修改對應到駭客電腦的實體位址。說白了有點像是火車的轉轍器被駭客轉去他自己的電腦上的感覺。如此一來，原本要傳送給目標主機的網路流量都會改傳送至駭客的電腦。駭客接收到網路流量之後就能從事監聽或篡改通訊內容。
      
      防範方法：
      在路由器端開啟 Anti ARP Spoofing，或在終端設定靜態 ARP 表即可。

2. SSL 或 TLS 挾持
      攻擊方通常會在戶外散播免費 WiFi，使陌生人連上並從事有機敏資料的操作。期間可能會誘使使用者安裝攻擊者的憑證，只要使用者一安裝攻擊者便可輕易解密使用者與網站之前的傳輸資料。

防範方式：
   不要安裝不認識的憑證，以及使用公共 WiFi 可以搭配 VPN 使用，以及認明 SSL 或 TLS 憑證簽發機構。

3. DNS 污染
      攻擊方式與 SSL 挾持步驟差不多，攻擊者只需設定 DNS 至指定的假冒的伺服器 IP，並發送經過動手腳的 Proxy Server 從中做加解密的動作即可獲取使用者的資料了。
      
      防範方式：
      使用 DNS-over-HTTPS、DNS-over-TLS、DNS-over-QUIC 這類加密 DNS 流量的協議。

Ref.

• https://zh.wikipedia.org/zh-tw/%E4%B8%AD%E9%97%B4%E4%BA%BA%E6%94%BB%E5%87%BB
• https://infosecblogger.blogspot.com/2016/01/man-in-middle.html
• https://blog.trendmicro.com.tw/?p=52362