
Ein Man in the Middle Angriff (zu deutsch: Mann in der Mitte) kommt in vielen Varianten und Formen vor, denen jedoch stets dasselbe Prinzip zugrunde liegt: dem der „stillen Post“.
Die Kommunikation zwischen zwei Teilnehmern wird über einen dritten, unbekannten oder vermeintlich vertrauenswürdigen Teilnehmer geführt, der die gesendeten Informationen zwischen ihnen abfängt, weiterleitet und verändert, sofern es ihm nützt.
In Anlehnung an dieses Prinzip fungieren Proxys, VPNs und Firewalls, die Deep Packet Inspection anwenden, gleichfalls als Man in the Middle – auch wenn hier zum Schutz der Nutzer.
Ein Man in the Middle Angriff kann sowohl in internen Netzwerken, dem Internet, wie auch allen Formen von Funknetzen erfolgen.
Man in the Middle Angriffe sind vor allem zeitbasierte Angriffe. Je länger sie betrieben werden können, desto erfolgreicher und desaströser sind ihre Auswirkungen.
Häufigstes Ziel ist das Erlangen persönlicher Informationen, wie Benutzernamen, Passwörter, Pins oder Hashes für Zugänge oder Identitätsdiebstahl. Diese Informationen können auch in Form von Nachrichtenverläufen oder Telefonmitschnitten erlangt werden. Aber auch die Verteilung von Malware ist gängig.
In internen Netzwerken kann ein Man in the Middle Angriff z. B. unter Ausnutzung von NBTNS (NetBIOS Name Services) oder LLMNR (Link-Local Multicast Name Resolution) erfolgen, indem die MAC-Adresse des Angreifers mit der IP-Adresse eines anderen Host verknüpft wird (dem sogenannten Spoofing).
Im Zuge der fortschreitenden Verbreitung von IPv6 kann sich ein Angreifer auch als Router auf Basis von IPv6 in einem eigentlich nur IPv4 basierend Netzwerk den anderen Geräten anbieten und so an sensible Daten zu kommen.
Ein Angreifer könnte auch den DNS Cache manipulieren (DNS Poisining), um so seine Opfer auf gefälschte Webseiten zu lotsen oder über einen Proxy um im Anschluss etwa Clickjacking zu betreiben.
Bei WiFi-Netzen können Man in the Middle Angriffe teilweise ohne größeren Aufwand durchgeführt werden.
Ein Angreifer muss nur einen freien WLAN-Hotspot aufspannen und auf den Faktor Mensch setzen bzw. auf die automatische Verbindungsfunktion der Geräte.
Aber auch abseits des Faktors Mensch und des Automatismus kann ein Man in the Middle Angriff durch einen Evil Twin beziehungsweise Rogue Access Point erfolgen. Indem der Angreifer einen legitimen Access Point durch das Ausstrahlen der gleichen SSID (Service Set Identifier) imitiert, werden sich Geräte, für die sein Signal das Stärkere ist, bei ihm einwählen.
Bereits am anderen Access Point eingewählte Geräte kann der Angreifer durch das Fluten der Geräte oder des legitimen Access Points mit Deauthentication-Frames dazu bringen, sich an seinem Evil Twin anzumelden.
Wir verwenden Cookies, und Google reCAPTCHA, das Google Fonts lädt und mit Google-Servern kommuniziert. Durch die weitere Nutzung unserer Website stimmen Sie der Verwendung von Cookies und unserer Datenschutzerklärung zu.