mitm атака

Ответ от Киса[гуру]
Аббревиатура MIM, или MITM, происходит от английского Man-in-the-Middle, то есть «атака с человеком посередине» . Суть MIM-атаки в том, что между двумя (или более) узлами, обменивающимися данными, вмешивается третья сторона, которая перехватывает, прослушивает или блокирует передачу информации. Существует множество разновидностей MIM-атак под различные среды передачи информации.Вот типичная MIM-атака - ARP Redirect (ARP-spoofing). Суть ее состоит в следующем. Допустим, хакеру нужно перехватить трафик между узлами A и B в коммутируемой (построенной на свитчах) сети. Любой узел в сети Ethernet, посылая данные по какому-либо IP-адресу, должен знать также MAC-адрес своего собеседника. Поэтому каждая машина, перед тем как послать данные, всегда сначала просматривает свой ARP-кэш, в котором хранятся соответствия «IP-MAC», на наличие нужного MAC-адреса. Если такого соответствия не обнаруживается, узел посылает широковещательный ARP-запрос. Хакер может послать фальсифицированное ARP-сообщение узлу A, указав, что MAC-адрес машины хакера соответствует IP-адресу узла B. Узел A занесет эти сведения в свой ARP-кэш и, когда будет посылать пакеты узлу B, в реальности отправит их узлу хакера. Для полноценного двустороннего перехвата хакеру нужно проделать аналогичные действия с ARP-кэшем узла B. После этого весь трафик между узлами A и B будет идти через машину хакера. Хакеру необходимо периодически посылать фальсифицированные ARP-сообщения узлам A и B для обновления их ARP-таблиц, иначе они рано или поздно сформируют правильную таблицу.