想請問河道上的同業一個資安知識。

中間人攻擊（man in the middle attack）目前有什麼偵測或防範的方法嗎？

會想知道是因為看到有人用這方法成功側錄使用者跟網站之間的通訊，即使用了https加密也是一樣

這個問題問得很好, 我們請樓下來回答

好奇+1

好奇，側錄了之後，有成功解碼嗎？

如果是 https 那你應該會發現憑證不一樣了

那側錄了之後發生了什麼事呢？雖然我稱不上是同業不過至少可以算同好

名無乚 : l• ܫ•) Davyキュルッ :

0x00000070★旮東 : 有辦法解出明文資料啊

0xdeadbeef : 就....解出明文資料，至於用途就....自行想象

小 兔 : 額 我是說它的憑證或是其他性質有啥不同
我絕不會說在看到那個 https 以前想的是不同種 Diffie-Hellman

這類加密都是非對稱式加密
也就是加密與解密使用不同金鑰（公鑰、私鑰）
以 https 為例，如果有惡意者用 MITM 的方式攔截到了封包，除非他本身手上就有解密用金鑰，否則是沒有辦法讀取內容的
換言之，如果他想要讀取訊息，那他就必須要有對應的金鑰，所以 MITM 常見的作法是，對雙方各別偽裝成另一側，對 Client 假冒自己是 Server，使用自己另外產生的金鑰進行加密互動；在竊取內容之餘，回頭向 Server 假冒自己是 Client，將解密的資料用原本 Server 的方式進行互動，如此就可以營造出中間沒有人的情境
但這樣做的破綻是 Client 會看到他用來通訊的加密憑證是 MITM 方發出的，而非原始 Server 的憑證，這也是為什麼使用者會看到不安全憑證的話可以用來當作警示

因為惡意者並沒有真的取得該對應的網域跟真實的金鑰，所以他自己簽發的憑證會在 client 端被識別成不安全

許多公司企業管理員工網路也是透過 MITM 的方式進行
唯一的差別是，公司電腦統一管理之下，可以強制這些裝置信任公司用來 MITM 的憑證

另外，有些防毒軟體或安全上網軟體也是用類似的手法，在連線中間插入中間人，然後在安裝防毒軟體的裝置上設定強制信任防毒軟體的憑證，藉此查看連線內容而不會干擾使用者正常使用

我知道的至少就有卡巴斯基

以上小科普希望有解答到噗主ㄉ疑問

l• ܫ•) Davyキュルッ :