Man-In-The-Middle-Angriff
Ein Man-In-The-Middle-Angriff ist eine Angriffsform, welche in Computernetzen ihre Anwendung findet. Auch die Bezeichnung Mittelsmannangriff wird gelegentlich verwendet. Bei dieser Bezeichnung handelt es sich jedoch um einen falschen Freund.
Der Angreifer steht dabei entweder physikalisch, aber heute meist logisch, zwischen den beiden Kommunikationspartnern und hat dabei mit seinem System komplette Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern und kann die Informationen nach Belieben einsehen und sogar manipulieren.
Diese Sonderstellung kann auf verschiedene Arten erreicht werden:
- Der Angreifer hat Kontrolle über einen Router, durch den der Datenverkehr geschleust wird. Dies funktioniert sowohl im Internet als auch im LAN.
- Im Ethernet modifiziert der Angreifer die ARP-Tabellen der Opfersysteme und leitet dadurch den gesamten Datenverkehr durch sein System durch. Diese Methode funktioniert nur im LAN, ermöglicht aber auch das Abhören des Datenverkehrs an Switches, siehe ARP-Spoofing. Dieser Methode funktionert immer dann, wenn der Angreifer und das Opfer im gleichen lokalen Netz sind. Dies ist auch bei Kabelnetzanbietern und z.B. bei öffentlichen WLAN-Hotspots gegeben.
- Der Angreifer hängt am selben Netzwerkbus wie das Opfer, wodurch sowieso alle Pakete bei ihm ankommen. Dies funktioniert allerdings nur noch bei Netzwerken mit Busstruktur, wie z.B. Ethernet mit Hub oder Cheapernet.
- Eine weitere Angriffsmethode, die ebenfalls ein gemeinsames lokales Netz voraussetzt, ist das Vorspielen eines falschen DHCP-Servers. Durch Angabe einer falschen Gateway-Adresse zum Internet kann die Kommunikation durch einen Rechner des Angreifers geleitet werden
- Ebenfalls möglich ist im speziellen Fall des öffentlichen WLAN-Hotspots das Vortäuschen eines falschen WLAN Access Points. Auch in diesem Fall leitet der falsche Access Point die Daten dann zum korrekten Access Point weiter.
- Durch DNS-Cache Poisoning gibt der Angreifer eine falsche Zieladresse für die Internet-Kommunikation vor und leitet dadurch den Verkehr durch seinen eigenen Rechner. (Poison Routing)
Am effektivsten lässt sich dieser Angriffsform mit einer Verschlüsselung der Datenpakete entgegenwirken, wobei allerdings die Fingerprints der Schlüssel über ein zuverlässiges Medium verifiziert werden sollten. D.h. es muss eine gegenseitige Authentifizierung stattfinden, die beiden Kommunikationspartner müssen auf anderem Wege ihre digitalen Zertifikate oder einen gemeinsammen Schlüssel ausgetauscht haben, d.h. sie müssen sich "kennen". Sonst kann z.B. ein Angreifer bei einer ersten SSL- oder SSH-Verbindung beiden Opfern falsche Schlüssel vortäuschen und somit auch den verschlüsselten Datenverkehr mitlesen.