사용자의 HTTP 트래픽을 도청 할 수있는 사람은 누구입니까?

HTTP는 도청에 취약하기 때문에 개인 데이터를 전송하는 데 HTTPS를 사용해야한다고 여러 번 들었습니다. 그러나 실제적인 관점에서 누가 특정 서퍼의 HTTP 트래픽을 도청 할 수 있습니까? 그들의 ISP? 같은 LAN에 다른 사람들이 있습니까? IP 주소를 아는 사람이 있습니까?

간단-PC에서 서버로 케이블을 연결하십시오.

이것은 아마도 오스트리아에만 국한된 것이지만 아마도 전 세계에서 비슷하게 보일 것입니다.

DSL 사용자가 있다고 가정 해 봅시다.

• PC-> 이더넷-> 모뎀

로컬 인프라에 액세스 할 수있는 사람은 누구나 트래픽을 스니핑 할 수 있습니다.

• 모뎀-> 2-wire-Copper-> DSLAM

데이터를 해독 할 수있는 구리 인프라 및 장비에 액세스 할 수있는 사람이라면 누구나 도청 할 수 있습니다. 이 배선의 대부분은 어디에서 볼지 알지만 실제로 데이터를 디코딩하려면 비교적 보호되지 않으며 액세스하기가 쉽습니다. 아주 특정 장비가 필요할 것입니다.

• DSLAM-> ISP 인프라-> ISP 코어 라우터

대부분의 DSLAM은 Fibre를 통해 ISP의 라우터에 Fibre Ring / MAN에 연결됩니다.

독일에는 A의 미국에서 온 3 개의 대행사가 수도권 네트워크의 트래픽을 도청 한 이야기가 있습니다. 이를 수행 할 수있는 상용 장치가 있으므로 로컬 인프라에 대한 적절한 예산, 의도 및 지식 만 있으면됩니다.

• ISP 코어 라우터-> BGP-> Target AS

대상 서버가 사용자와 동일한 자율 시스템에 있지 않은 경우 트래픽은 "인터넷"을 통해 전송되어야합니다. 인터넷을 사용하는 경우 Snatch의 인용문을 사용하려면 "모든 베팅이 해제되어 있습니다". 악의적 인 운영자가 자신을 첨부 할 수있는 구석과 수렁이 너무 많아 모든 트래픽을 읽을 것이라고 가정하는 것이 가장 좋습니다.

DHS (또는 다른 기관)는이 수준에서 미국의 백본 인프라를 적극적으로 도청했습니다.

• Target AS Border router-> ISP 인프라-> 하우징 센터

위 참조.

• 하우징 센터 라우터-> 스위치-> 서버

이것은 몇 개의 사이트가 이미 공격을받은 방식입니다. 이더넷은 동일한 (V) LAN / 브로드 캐스트 도메인에있는 호스트에 대한 보호 기능을 제공하지 않으므로 모든 호스트가 ARP 스푸핑 / 중독을 시도하여 다른 서버를 가장 할 수 있습니다. 이는 주어진 서버의 모든 트래픽이 동일한 (V) LAN의 컴퓨터를 통해 터널링 될 수 있음을 의미합니다.

대부분의 이더넷 네트워크와 같은 교환 LAN에서 ARP 캐시 포이즈 닝을 사용하여 이러한 트래픽을 도청 할 수 있습니다. 기본적으로 클라이언트 컴퓨터를 위조하여 도청 스테이션이 LAN의 라우터라고 생각할 수 있습니다.

공유 미디어 LAN (예 : 암호화 가없는 무선 이더넷 또는 암호화가 끊긴 스위치와 같은 비 전환)에서는 그렇게 할 필요조차 없습니다. 그냥 들어 봐!

ISP, ISP의 ISP 및 ISP의 ISP 등에서 공격자는 트래픽을 스니핑하기 만하면됩니다. 트래픽이 통과하는 경로의 모든 지점은 도청 가능성이 있습니다. 그 사이에도 LAN이 있으므로 ARP 캐시 중독 등에 의한 도청 가능성은 항상 있습니다.

마지막으로, 맨 끝에 소스 LAN처럼 도청되기 쉬운 다른 LAN이 있습니다.

J. 귀하의 IP 주소를 아는 임의의 바보는 길을 따라 무언가를 해킹하거나 트래픽 흐름을 정상 경로에서 트래픽 경로로 전환하지 않고 트래픽을 도청하지 않을 것입니다.

예. 일반 텍스트가 나쁩니다.

길을 따라 (WiFi 카드, Wireless Bridge 등) 링크에 무선을 연결하면 네트워크 근처에있는 사람도들을 수 있습니다.

사용량이 많은 네트워크 옆에 꽤 짧은 시간이 걸리면 WEP가 쉽게 중단됩니다. 일단 네트워크에 연결되면 모든 사람의 트래픽을 볼 수 있습니다.

원하는 경우 직접 사용해보십시오. WireShark이라는 프로그램을 다운로드하여 Promiscious 모드에서 캡처하도록 요청하십시오. 무엇이 나오는지보십시오!

민감한 기밀, 개인 및 비즈니스 관련 정보는 HTTPS를 통해 전송해야합니다. 서명 된 인증서는 비싸지 않으며 도메인에있는 경우 동일한 도메인의 클라이언트가 자동으로 신뢰하는 트래픽을 암호화하기 위해 인증서를 할당하는 데 사용할 수있는 자체 인증 기관을 만들 수 있습니다.

ISP 및 연결 공유 여부에 따라 로컬 루프의 다른 사용자가 모든 트래픽을 스니핑 할 수 있습니다. 이것은 일반적으로 이웃입니다. 이것은 다른 답변에서 언급 한 사람들의 목록에 추가됩니다.

또한 도청 외에도, 누군가가 귀하와 웹 서버 사이에 침입하는 "중간자"공격도 있습니다. 원격 서버와 SSH로 대화하는 경우 중간자 공격이 발생하지 않습니다. 일반 텍스트로 말하면 프록시 역할을하고 모든 작업을 볼 수 있습니다.

요점은 사람들이 LAN이나 원격 LAN에 있지 않아도 대화를들을 수 있다는 것입니다. 로컬 네트워크 (또는 로컬 네트워크를 해킹 한 사람)의 사용자를위한 ARP 캐시 중독뿐만 아니라 자신이 아닌 다른 사람과 대화하고 있다고 생각하는 DNS 중독. 구매 한 서명 된 인증서와 함께 HTTPS를 사용하는 경우 인증서가 잘못되어 사람들이 올바른 서버와 통신하고 있지 않다는 것을 알 수 있습니다.

컴퓨터와 웹 서버 사이의 경로에있는 라우터, 스위치 또는 기타 네트워크 장비에 액세스 할 수있는 사람은 누구나 트래픽을 볼 수 있습니다. 그들은 당신의 https 트래픽도 볼 수 있습니다, 그들은 단지 이해할 수 없습니다.

이 질문을 참조하십시오 .http를 사용한 노출은 언급 된 프로토콜과 동일합니다.

상대방이 사용한 인증서를 대역 외로 확인하지 않은 경우 HTTPS를 사용할 때 노출 될 수도 있습니다. 즉, 어떤 이유로 원격 사이트를 확인할 수 없다는 메시지가 표시되면 사이트 자체가 아니라 실제 사이트와 트래픽을 중계 할 공격자와 대화 할 수 있습니다. , 그것을 계속 기록합니다.

앞서 언급 한 모든 데이터 스니핑 방법 외에도 최근에 BGP 테이블을 사용하는 것이 훨씬 더 관심을 끌었습니다. 2008 년 8 월 Defcon에서 Anton Kapela와 Alex Pilosov 는 "BGP 션트"를 만드는 새로운 방법 을 보여주었습니다 . 발신자 또는 수신자에게 알리지 않고 수행합니다.

따라서 잠재적 스니퍼가 데이터의 정상적인 경로에 있지 않더라도 여전히 캡처 할 수 있습니다. 다른 사람들이 말했듯이 암호화하십시오.

생각하는 올바른 방법은 일반 텍스트를 사용하는 경우 누구나이 정보 (공개 정보)에 액세스 할 수 있다는 것입니다. 네트워크에 있거나 외부 웹 사이트에 액세스하십시오. 수행 할 수있는 공격 및 리디렉션이 너무 많아 미리보기가 불가능합니다.

따라서 일반 텍스트로만 공개 정보 (또는 매우 기밀이 아닌 정보) 만 보내십시오. 예, 이메일 포함

* btw, 어떤 웹 사이트로의 traceroute를 시도하고 중간에 몇 개의 홉이 있는지 확인하십시오. 귀하의 데이터는 다음을 모두 수행합니다.