RexE Asked: 2009-06-04 18:23:28 +0800 CST2009-06-04 18:23:28 +0800 CST 2009-06-04 18:23:28 +0800 CST 谁可以窃听用户的 HTTP 流量? 772 我多次听说应该使用 HTTPS 传输私人数据,因为 HTTP 容易受到窃听者的攻击。但实际上,谁能窃听给定冲浪者的 HTTP 流量?他们的ISP?同一局域网上的其他人?谁知道他们的IP地址? http networking security 9 个回答 Voted Best Answer Michael Renner 2009-06-04T18:42:46+08:002009-06-04T18:42:46+08:00 简单 - 只需按照电缆从您的 PC 连接到服务器。 这可能是奥地利特有的,但它可能在世界各地看起来都相似。 假设我们有一个 DSL 用户: PC -> 以太网 -> 调制解调器 任何有权访问本地基础设施的人都可以嗅探流量 调制解调器 -> 2 线铜线 -> DSLAM 任何有权访问能够解码数据的铜线基础设施和设备的人都可以窃听。如果您知道在哪里查找,则大多数这种接线相对没有保护且易于访问,但是要实际解码数据,您可能需要一些非常特定的设备。 DSLAM -> ISP 基础设施 -> ISP 核心路由器 大多数 DSLAM 通过光纤连接到某种光纤环/MAN 到 ISP 的路由器。 在德国曾发生过一些故事,据称来自美国 A 的三个字母的机构窃听了城域网的流量。有现成的设备可以做到这一点,您只需要正确的预算、意图和当地基础设施的知识。 ISP 核心路由器 -> BGP -> 目标 AS 鉴于目标服务器与用户不在同一个自治系统中,因此必须通过“Internet”发送流量。如果您要通过 Internet,请使用 Snatch 的一句话,“All Bets are Off”。恶意运营商可以附着的角落和缝隙太多了,您最好假设您的所有流量都将被读取。 国土安全部(或其他机构)在这个级别上积极窃听美国的骨干基础设施。 目标 AS 边界路由器 -> ISP 基础设施 -> 住房中心 看上面。 房屋中心路由器 -> 交换机 -> 服务器 这就是很多网站已经受到攻击的方式。以太网不为同一 (V)LAN/广播域中的主机提供保护,因此任何主机都可以尝试 ARP 欺骗/中毒来冒充另一台服务器。这意味着给定服务器的所有流量都可以通过同一 (V)LAN 中的机器进行隧道传输。 Evan Anderson 2009-06-04T18:28:09+08:002009-06-04T18:28:09+08:00 在交换 LAN(如大多数以太网)上,您可以使用 ARP 缓存中毒在许多情况下窃听此类流量。基本上,您可以伪造客户端计算机,使其认为您的窃听站是 LAN 外的路由器。 在共享媒体 LAN 上——即非交换式,如无线以太网,无加密或无加密——你甚至不需要这样做。听就是了! 在 ISP 和 ISP 的 ISP 以及 ISP 的 ISP 的 ISP 等处,攻击者只需要嗅探流量即可。流量流经的路径中的任何点都可能受到窃听。那里也有局域网,所以总是有可能被 ARP 缓存中毒等窃听。 最后,在远端会有另一个 LAN,与源 LAN 一样容易被窃听。 J. 知道您的 IP 地址的随机白痴不会窃听您的流量,而不会沿途入侵某些东西,或者将流量从正常路径转移到它们。 是的 - 明文很糟糕。 Mark Henderson 2009-06-04T18:30:58+08:002009-06-04T18:30:58+08:00 如果您将 Wireless 放入链接中,沿途的任何地方(WiFi 卡、无线网桥等),那么即使在网络附近的任何人都可以收听。 WEP 很容易被破坏,给定一个相当短的时间坐在繁忙的网络旁边,一旦你在网络上,你可以查看每个人的流量。 如果您愿意,可以自己尝试一下。下载一个名为 WireShark 的程序,并要求它以 Promiscious 模式进行捕获。看看会发生什么! 任何敏感、机密、私人和业务相关的内容都应通过 HTTPS 发送。签名证书并不昂贵,如果您在域中,则可以创建自己的证书颁发机构,该证书颁发机构可用于分配证书以加密将自动被同一域上的客户端信任的流量。 Eddie 2009-06-04T18:35:54+08:002009-06-04T18:35:54+08:00 根据您的 ISP 以及您的连接是否共享,您本地环路上的其他人可能能够嗅探您的所有流量。这通常是邻居。这是其他答案提到的人员列表的补充。 此外,除了窃听之外,还有“中间人”攻击,即有人将自己置于您和相关 Web 服务器之间。如果您将 SSH 与远程服务器通信,那么中间人攻击将无处可去。如果您在谈论明文,他们可以充当代理并查看您所做的一切。 关键是即使不在您的局域网或远程局域网上,人们也可以监听您的对话。对本地网络上的人(或入侵本地网络的人)造成的 ARP 缓存中毒,还有 DNS 中毒,让您认为您正在与其他人交谈,而不是您自己。如果您将 HTTPS 与购买的签名证书一起使用,人们就有机会知道他们没有与正确的服务器通信,因为证书将是错误的。 kbyrd 2009-06-04T18:28:03+08:002009-06-04T18:28:03+08:00 任何有权访问您的计算机和 Web 服务器之间的路径中的路由器、交换机或其他网络设备的人都可以监视您的流量。他们也看到了您的 https 流量,只是无法理解。 Zoredache 2009-06-04T21:06:39+08:002009-06-04T21:06:39+08:00 看到这个问题,您使用 http 的曝光与那里提到的协议相同。 cjs 2009-06-04T22:00:11+08:002009-06-04T22:00:11+08:00 请注意,如果您没有在带外验证对方使用的证书,您也可能在使用 HTTPS 时被暴露。也就是说,如果系统提示您显示由于某种原因无法验证远程站点的消息,您可能不是在与站点本身交谈,而是与将您的流量中继到实际站点的攻击者交谈,一直在记录。 bortzmeyer 2009-06-09T10:53:36+08:002009-06-09T10:53:36+08:00 除了所有已经提到的嗅探数据的方法之外,最近还有一种旧方法引起了更多的兴趣:使用 BGP 表。在 2008 年 8 月的 Defcon 上,Anton Kapela 和 Alex Pilosov 展示了一种制作“BGP 分流”的新方法,将所有流量转移到通常不会去的地方,并且(这是他们谈话中的主要新事物)在发送者或接收者不注意的情况下进行操作。 因此,即使潜在的嗅探器不在数据的正常路径中,它们仍然可能捕获它。正如其他人所说,加密。 sucuri 2009-06-05T04:37:44+08:002009-06-05T04:37:44+08:00 正确的思考方式是,如果您使用明文,那么任何人都可以访问此信息(公共信息)。无论是在网络上还是访问外部网站。可以进行的攻击和重定向太多,无法预览。 因此,仅以明文形式发送公共信息(或不是非常机密的信息)。是的,包括电子邮件。 *顺便说一句,尝试跟踪路由到任何网站,看看中间有多少跃点。您的数据正在通过所有这些:
简单 - 只需按照电缆从您的 PC 连接到服务器。
这可能是奥地利特有的,但它可能在世界各地看起来都相似。
假设我们有一个 DSL 用户:
任何有权访问本地基础设施的人都可以嗅探流量
任何有权访问能够解码数据的铜线基础设施和设备的人都可以窃听。如果您知道在哪里查找,则大多数这种接线相对没有保护且易于访问,但是要实际解码数据,您可能需要一些非常特定的设备。
大多数 DSLAM 通过光纤连接到某种光纤环/MAN 到 ISP 的路由器。
在德国曾发生过一些故事,据称来自美国 A 的三个字母的机构窃听了城域网的流量。有现成的设备可以做到这一点,您只需要正确的预算、意图和当地基础设施的知识。
鉴于目标服务器与用户不在同一个自治系统中,因此必须通过“Internet”发送流量。如果您要通过 Internet,请使用 Snatch 的一句话,“All Bets are Off”。恶意运营商可以附着的角落和缝隙太多了,您最好假设您的所有流量都将被读取。
国土安全部(或其他机构)在这个级别上积极窃听美国的骨干基础设施。
看上面。
这就是很多网站已经受到攻击的方式。以太网不为同一 (V)LAN/广播域中的主机提供保护,因此任何主机都可以尝试 ARP 欺骗/中毒来冒充另一台服务器。这意味着给定服务器的所有流量都可以通过同一 (V)LAN 中的机器进行隧道传输。
在交换 LAN(如大多数以太网)上,您可以使用 ARP 缓存中毒在许多情况下窃听此类流量。基本上,您可以伪造客户端计算机,使其认为您的窃听站是 LAN 外的路由器。
在共享媒体 LAN 上——即非交换式,如无线以太网,无加密或无加密——你甚至不需要这样做。听就是了!
在 ISP 和 ISP 的 ISP 以及 ISP 的 ISP 的 ISP 等处,攻击者只需要嗅探流量即可。流量流经的路径中的任何点都可能受到窃听。那里也有局域网,所以总是有可能被 ARP 缓存中毒等窃听。
最后,在远端会有另一个 LAN,与源 LAN 一样容易被窃听。
J. 知道您的 IP 地址的随机白痴不会窃听您的流量,而不会沿途入侵某些东西,或者将流量从正常路径转移到它们。
是的 - 明文很糟糕。
如果您将 Wireless 放入链接中,沿途的任何地方(WiFi 卡、无线网桥等),那么即使在网络附近的任何人都可以收听。
WEP 很容易被破坏,给定一个相当短的时间坐在繁忙的网络旁边,一旦你在网络上,你可以查看每个人的流量。
如果您愿意,可以自己尝试一下。下载一个名为 WireShark 的程序,并要求它以 Promiscious 模式进行捕获。看看会发生什么!
任何敏感、机密、私人和业务相关的内容都应通过 HTTPS 发送。签名证书并不昂贵,如果您在域中,则可以创建自己的证书颁发机构,该证书颁发机构可用于分配证书以加密将自动被同一域上的客户端信任的流量。
根据您的 ISP 以及您的连接是否共享,您本地环路上的其他人可能能够嗅探您的所有流量。这通常是邻居。这是其他答案提到的人员列表的补充。
此外,除了窃听之外,还有“中间人”攻击,即有人将自己置于您和相关 Web 服务器之间。如果您将 SSH 与远程服务器通信,那么中间人攻击将无处可去。如果您在谈论明文,他们可以充当代理并查看您所做的一切。
关键是即使不在您的局域网或远程局域网上,人们也可以监听您的对话。对本地网络上的人(或入侵本地网络的人)造成的 ARP 缓存中毒,还有 DNS 中毒,让您认为您正在与其他人交谈,而不是您自己。如果您将 HTTPS 与购买的签名证书一起使用,人们就有机会知道他们没有与正确的服务器通信,因为证书将是错误的。
任何有权访问您的计算机和 Web 服务器之间的路径中的路由器、交换机或其他网络设备的人都可以监视您的流量。他们也看到了您的 https 流量,只是无法理解。
看到这个问题,您使用 http 的曝光与那里提到的协议相同。
请注意,如果您没有在带外验证对方使用的证书,您也可能在使用 HTTPS 时被暴露。也就是说,如果系统提示您显示由于某种原因无法验证远程站点的消息,您可能不是在与站点本身交谈,而是与将您的流量中继到实际站点的攻击者交谈,一直在记录。
除了所有已经提到的嗅探数据的方法之外,最近还有一种旧方法引起了更多的兴趣:使用 BGP 表。在 2008 年 8 月的 Defcon 上,Anton Kapela 和 Alex Pilosov 展示了一种制作“BGP 分流”的新方法,将所有流量转移到通常不会去的地方,并且(这是他们谈话中的主要新事物)在发送者或接收者不注意的情况下进行操作。
因此,即使潜在的嗅探器不在数据的正常路径中,它们仍然可能捕获它。正如其他人所说,加密。
正确的思考方式是,如果您使用明文,那么任何人都可以访问此信息(公共信息)。无论是在网络上还是访问外部网站。可以进行的攻击和重定向太多,无法预览。
因此,仅以明文形式发送公共信息(或不是非常机密的信息)。是的,包括电子邮件。
*顺便说一句,尝试跟踪路由到任何网站,看看中间有多少跃点。您的数据正在通过所有这些: