Man in the Middle Angriff

Inhaltsverzeichnis

Was ist ein Man in the Middle Angriff?

Ein Man in the Middle Angriff (zu deutsch: Mann in der Mitte) kommt in vielen Varianten und Formen vor, denen jedoch stets dasselbe Prinzip zugrunde liegt: dem der „stillen Post“.

Die Kommunikation zwischen zwei Teilnehmern wird über einen dritten, unbekannten oder vermeintlich vertrauenswürdigen Teilnehmer geführt, der die gesendeten Informationen zwischen ihnen abfängt, weiterleitet und verändert, sofern es ihm nützt.

In Anlehnung an dieses Prinzip fungieren Proxys, VPNs und Firewalls, die Deep Packet Inspection anwenden, gleichfalls als Man in the Middle – auch wenn hier zum Schutz der Nutzer.

Mann der tausend Gesichter

Ein Man in the Middle Angriff kann sowohl in internen Netzwerken, dem Internet, wie auch allen Formen von Funknetzen erfolgen.

Man in the Middle Angriffe sind vor allem zeitbasierte Angriffe. Je länger sie betrieben werden können, desto erfolgreicher und desaströser sind ihre Auswirkungen.

Die Ziele des Angriffs

Häufigstes Ziel ist das Erlangen persönlicher Informationen, wie Benutzernamen, Passwörter, Pins oder Hashes für Zugänge oder Identitätsdiebstahl. Diese Informationen können auch in Form von Nachrichtenverläufen oder Telefonmitschnitten erlangt werden. Aber auch die Verteilung von Malware ist gängig.

Wie funktioniert ein Man in the Middle Angriff?

In internen Netzwerken kann ein Man in the Middle Angriff z. B. unter Ausnutzung von NBTNS (NetBIOS Name Services) oder LLMNR (Link-Local Multicast Name Resolution) erfolgen, indem die MAC-Adresse des Angreifers mit der IP-Adresse eines anderen Host verknüpft wird (dem sogenannten Spoofing).

Im Zuge der fortschreitenden Verbreitung von IPv6 kann sich ein Angreifer auch als Router auf Basis von IPv6 in einem eigentlich nur IPv4 basierend Netzwerk den anderen Geräten anbieten und so an sensible Daten zu kommen.

Ein Angreifer könnte auch den DNS Cache manipulieren (DNS Poisining), um so seine Opfer auf gefälschte Webseiten zu lotsen oder über einen Proxy um im Anschluss etwa Clickjacking zu betreiben.

Man in the Middle Angriff im WiFi-Netz

Bei WiFi-Netzen können Man in the Middle Angriffe teilweise ohne größeren Aufwand durchgeführt werden.

Ein Angreifer muss nur einen freien WLAN-Hotspot aufspannen und auf den Faktor Mensch setzen bzw. auf die automatische Verbindungsfunktion der Geräte.

Aber auch abseits des Faktors Mensch und des Automatismus kann ein Man in the Middle Angriff durch einen Evil Twin beziehungsweise Rogue Access Point erfolgen. Indem der Angreifer einen legitimen Access Point durch das Ausstrahlen der gleichen SSID (Service Set Identifier) imitiert, werden sich Geräte, für die sein Signal das Stärkere ist, bei ihm einwählen.

Bereits am anderen Access Point eingewählte Geräte kann der Angreifer durch das Fluten der Geräte oder des legitimen Access Points mit Deauthentication-Frames dazu bringen, sich an seinem Evil Twin anzumelden.

Die Verteidigung vor einem Angriff

Eine einzelne Verteidigung gegen Man in the Middle Angriffe gibt es nicht, sondern nur verschiedene Bausteine, die Administratoren und Nutzer zu einem Mosaik zusammensetzen können, um dem Angriff so wenig Angriffsfläche wie möglich zu bieten und den Aufwand für den Angreifer so hoch wie möglich zu setzen.
Willst du als Penetration Tester durchstarten?
Qualifiziere dich mit unserem praxisorientierten Intensivkurs für deinen Traumjob!
Zum Junior Penetration Tester Zertifikatslehrgang
Newsletter Form (#7)

Become a Cyber Security Insider

Sichere dir frühen Zugang und exklusive Inhalte!


Mit deiner Anmeldung erklärst du dich damit einverstanden, gelegentlich Marketing-E-Mails von uns zu erhalten.
ANDERE BEITRÄGE

Inhaltsverzeichnis

PSN_KU_Cover
NewsLetter Form Pop Up New

Become a Cyber Security Insider

Abonniere unsere Knowledge Base und erhalte:

Frühen Zugriff auf neue Blogbeiträge
Exklusive Inhalte
Regelmäßige Updates zu Branchentrends und Best Practices


Mit deiner Anmeldung erklärst du dich damit einverstanden, gelegentlich Marketing-E-Mails von uns zu erhalten.