Разработка системы мер по защите информационного взаимодействия абонентов от атак «man-in-the-middle».

Смысл атаки ARP-spoofing[6] состоит в том, что злоумышленник направляет в адрес жертвы заранее сформированные ARP-пакеты, представляясь конечным адресатом. В итоге нарушитель прослушивает сетевые пакеты и отправляет их конечному адресату, подменив MAC-адрес отправителя, и, при необходимости, само сообщение. В результате подмены MAC-адреса, злоумышленник также получает ответ. По сути – злоумышленник в данной ситуации становится шлюзом для трафика, что является классической реализацией MITM-атаки.
В ходе обмена сообщениями, ни жертва, ни адресат не подозревают, что отправляемые пакеты перехватываются. Однако, если произойдет переполнение ARP-таблиц, то возможно нарушение корректной работы локальной сети и может привести к «раскрытию» действий злоумышленника.
MITM-атаки могут быть произведены в результате эксплуатации уязвимостей различных протоколов. Рассмотрим протокол маршрутизации RIP. Маршрутизатор «слушает» сетевой трафик на 520 порту (udp). В случае недостаточной защиты аутентификации злоумышленник имеет возможность направить в адрес сетевого устройства некорректные данные о сетевых маршрутах. В результате маршрутизатор принимает новые маршруты и сетевой трафик будет проходить через узлы, доступные злоумышленнику.
На сегодняшний момент существует большое количество утилит, которые могут быть использованы для проведения MITM-атак. Ниже представлены самые популярные утилиты[7]:
Bettercap;
MITMF;
Ettercap;
Dsnif;
Driftnet;
Sslstrip;
Intercepter-ng.