Was ist Man-in-the-Middle Angriff (MITM)?
Ein Man-in-the-Middle-Angriff (MITM) ist eine Form des Abhörens, bei der die Kommunikation zwischen zwei Benutzern von einer nicht autorisierten Partei überwacht und modifiziert wird. Im Allgemeinen belauscht der Angreifer durch Abfangen eines öffentlichen Schlüsselnachrichtenaustauschs aktiv und überträgt die Nachricht erneut, während er den angeforderten Schlüssel durch seinen eigenen ersetzt.
In diesem Prozess scheinen die beiden ursprünglichen Parteien normal zu kommunizieren. Der Nachrichtensender erkennt nicht, dass der Empfänger ein unbekannter Angreifer ist, der versucht, auf die Nachricht zuzugreifen oder sie zu modifizieren, bevor sie erneut an den Empfänger gesendet wird. Der Angreifer steuert somit die gesamte Kommunikation. Dieser Begriff wird auch als Janus-Angriff oder Feuerwehr-Angriff bezeichnet.
MITM ist nach einem Ballspiel benannt, bei dem zwei Leute fangen, während eine dritte Person in der Mitte versucht, den Ball abzufangen. MITM ist auch als Feuerwehr Angriff bekannt, ein Begriff aus dem Notfall Prozess der Übergabe Wasser Eimer, um ein Feuer zu löschen.
Das MITM fängt die Kommunikation zwischen zwei Systemen ab und wird ausgeführt, wenn der Angreifer die Kontrolle über einen Router entlang des normalen Verkehrspunktes hat. Der Angreifer befindet sich in fast allen Fällen in derselben Broadcast-Domäne wie das Opfer. Zum Beispiel existiert in einer HTTP-Transaktion eine TCP-Verbindung zwischen Client und Server.
Der Angreifer teilt die TCP-Verbindung in zwei Verbindungen auf – eine zwischen dem Opfer und dem Angreifer und die andere zwischen dem Angreifer und dem Server. Beim Abfangen der TCP-Verbindung agiert der Angreifer als Proxy, liest Daten ein und ändert und fügt Daten in abgefangene Kommunikation ein. Das Session-Cookie, das den HTTP-Header liest, kann vom Eindringling leicht erfasst werden.
In einer HTTPS-Verbindung werden zwei unabhängige SSL-Verbindungen über jede TCP-Verbindung hergestellt. Ein MITM-Angriff nutzt die Schwäche des Netzwerkkommunikationsprotokolls aus und überzeugt das Opfer, den Verkehr durch den Angreifer anstatt durch den normalen Router zu leiten, und wird allgemein als ARP-Spoofing bezeichnet.