中间人攻击（Man in the Middle）作为黑客常用的一种古老的攻击手段，一直到今天还具有极大的扩展空间，由于国内的网络结构这种攻击仍然无法避免。由于中间人攻击从传统的主动攻击转向为被动式攻击，从理论上讲此攻击方法不容易被发现，本文针对多个方面，讲述中间人攻击的原理和特点，并提出一些防范方法，希望读者朋友能了解到更多的网络攻击技术原理，加强自身的网络安全防范。注：本文只是讲解中间人攻击的危害及防范，如利用此方法对任何人造成损失与非安全及本人无关！

中间人攻击网络情形；

1、信息篡改
当主机A、和机B通信时，都由主机C来为其“转发”，如图一，而A、B之间并没有真正意思上的直接通信，很遗憾的是A、B主机都不清楚那里又出来个C，他可以不仅窃听了A、B的通信还可以对信息的改动在传给对方，攻击主机在中间成为了一个转发器。



2、信息窃取
当A、B通信时，C不主动去为其“转发”，只是把他们的传输的数据备份，以获取用户网络的活动，包括账户、密码等敏感信息，这是被动攻击也是非常难被发现的，如图二。



3、DNS劫持
很多时候在窃取密码之时，得到的都是加密的密码，他们会用DNS劫持来伪造一个假的网站来骗取用户输入他们想得到的信息，如银行账号及密码等。

我们简单讲个例子：当您入侵某公司内网后，发现目标主机和您所在的内网的接入点的路由设备，过滤了目标主机与外部通信的，或网络中有IDS设备，你不能运用常用的扫描软件，也无法和目的主机通信，不知道设备的密码，也就无法跨过网络设备，入侵失败了吗？当然不是，我们可以在你控制的主机安装嗅探软件，来“等待”网管登录！得到用户名及密码后登录他的设备后更改他的配置信息，使你可以正常和目标主机通信。现在国内比较流行的是小榕写的交换环境下的嗅探器，当然也有收费的，功能是非常很强大，可以嗅探到所有的协议还可以把嗅探的东西分类，以省去我们拿到数据分析之苦。

话说当你嗅探软件运行了一个多星期，而网管也没登录，当然你也没有得到用户名及密码，这很正常一个比较稳定的网络几个月网管都不用登录设备。当您嫉妒+愤怒的时候（没完成任务也就收不到工钱），想骗几个银行密码先花着（我说假设），您在机器上运行ifconfig发现机器的DNS是该网段的另一台主机如10.1.1.254，大的公司一般会有几个DNS服务器，我们假设你同网段就有一个。你可以拿个ARP欺骗的工具，向网络持续不断的发低速假的广播包，让所有网络主机误认为你就是DNS服务器，这时所有的DNS解析功能由你当前主机完成，如果有非银行网站的请求将请求转给正确的DNS服务器。当有去银行的地址时候给他们一个错误的地址，这个地址就是你精心设计的，能不能让用户输入账号、密码就要看你的能力了。小菜说了：我们安装嗅探软件直接不就得到他的账户和密码了吗？呵呵，现在和银行网站大多都要求128位加密啦，得到加密的东西像我们这样的小菜是破解不了的，所以我们也要创新。当然说了这么多，不是建意大家去骗人，我们只不过是知道原理来做好防范。

一、对于这种中间人攻击最有效的方法就是对网络数据进行加密，就算我们可爱的黑客朋友嗅探到我们重要信息，他也要先泡一杯速效降火茶在来研究这个东西是怎么来加密的。

二、从传统的共享网络解脱出来，我们可以用硬件隔离卡来物理隔离，其实这是最不现实的，因为硬件隔离卡很贵，除重要部门一般是不会花这种钱的。

三、我们一般是在网络里配置VLAN—虚拟局域网，VLAN是一个可以在二层设备上实现的一种逻辑隔离，不同的VLAN中是不可以相互收到不同的广播包的，在无第三层设备支持时无法通信，我们在一个网段在隔离出几个小“局域网”来，并将交换机接口上配置成表态MAC地址表，这种方法可以防止ARP欺骗、网络嗅探。VLAN的配置大同小异，之前的黑客手册中我也提到过，而在网络上也有大量的教程，只不过大部分是用cisco19系列交换机加cisco25系列路由器写的文章，这种设备早以停产了，我作了一个配置VLAN的动画，采用29系列的交换机其命令和考CCIE的3550也是相同的，文章内就不过多解释了。

对于DNS劫持很多情况是在公网来完成的，对DNS劫持的防范主要是我们单个用户，比如：不点击不明的连接、不去来利不明的网站、不要在小网站进行交易，最重要的一点记清你想去网站的域名。

好了，文章没什么技术可言，只是想让和我一样菜的朋友多了解一些原理上的东西，如有不正确之处还请各位读者批评指正evilangel@china.com.cn。