一、中间人攻击(MITM)是什么?
中间人攻击(Man-in-the-Middle Attack,简称MITM)是指攻击者在通信双方之间“充当中间人”,拦截、监听甚至篡改双方的数据传输。
简单理解:
👉 你以为在和网站通信,其实中间有人在“偷看甚至改内容”
举个简单例子:
用户 ↔ 网站
(正常通信)
被攻击后:
用户 ↔ 攻击者 ↔ 网站
👉 攻击者可以:
监听数据
修改内容
冒充服务器
二、MITM攻击是如何发生的?(核心原理)
正常通信流程:
浏览器 → 服务器 → 返回数据
MITM攻击流程:
浏览器 → 攻击者 → 服务器
↓
修改数据
👉 关键点:
攻击发生在“通信链路中间”
三、中间人攻击的5种常见类型
1️⃣ HTTP劫持(最常见)
攻击方式:
👉 修改HTTP返回内容
表现:
页面被插广告
自动跳转
2️⃣ DNS劫持
攻击方式:
👉 篡改域名解析
表现:
访问错误网站
3️⃣ ARP欺骗(局域网攻击)
攻击方式:
👉 欺骗网关
特点:
局域网内常见
WiFi环境高发
4️⃣ SSL劫持
攻击方式:
👉 降级HTTPS或伪造证书
表现:
浏览器提示不安全
5️⃣ 公共WiFi攻击
攻击方式:
👉 构建假热点
👉 用户连接后被监听
四、MITM攻击的典型表现
⚠️ 1. 浏览器提示不安全
证书错误
HTTPS异常
⚠️ 2. 页面内容异常
广告插入
内容被篡改
⚠️ 3. 自动跳转
访问网站被跳转
⚠️ 4. 登录信息异常
账号被盗
五、MITM攻击的危害
1️⃣ 数据泄露
密码
支付信息
2️⃣ 钓鱼攻击
伪造网站骗取信息
3️⃣ 网站被劫持
用户访问异常
4️⃣ SEO影响(重点)
页面内容被篡改
搜索引擎信任下降
👉 导致:
排名下降
流量流失
六、如何检测中间人攻击?
方法1:检查HTTPS证书
查看:
是否有效
是否可信
👉 异常提示可能是MITM攻击
方法2:多网络对比
WiFi
手机流量
👉 不同结果说明存在问题
方法3:抓包分析
工具:
Wireshark
Fiddler
👉 检测数据是否被篡改
方法4:查看DNS解析
👉 判断是否被引导到错误IP
方法5:检测网络延迟异常
👉 MITM可能增加延迟
七、如何防止MITM攻击?(重点)
🔐 1. 使用HTTPS(最重要)
👉 加密通信,防止篡改
🔐 2. 验证SSL证书
👉 避免访问不可信网站
🔐 3. 使用加密DNS
DoH
DoT
🔐 4. 避免公共WiFi
🔐 5. 使用VPN(合规前提)
👉 加密网络通道
🔐 6. 路由器安全
修改密码
更新固件
八、MITM攻击 vs HTTP劫持 vs DNS劫持
| 项目 | MITM | HTTP劫持 | DNS劫持 |
|---|---|---|---|
| 层级 | 全链路 | 传输层 | 解析层 |
| 是否监听 | 是 | 否 | 否 |
| 是否篡改 | 是 | 是 | 是 |
| 复杂度 | 高 | 中 | 低 |
👉 关系:
👉 MITM是更高级的攻击方式
九、常见误区
❌ HTTPS就不会被攻击?
👉 仍可能被伪造证书攻击
❌ 只有电脑会被攻击?
👉 手机同样会被影响
❌ 普通用户不会遇到?
👉 公共WiFi环境很常见
十、总结
中间人攻击(MITM)的本质是:
👉 通信被第三方控制
👉 核心特点:
隐蔽性强
危害严重
👉 防护关键:
👉 HTTPS + 安全网络环境
