MITM (Man-in-the-Middle) та ARP Spoofing: повне технічне дослідження атак перехоплення трафіку

MITM (Man-in-the-Middle) — одна з найнебезпечніших і найскладніших категорій атак у кібербезпеці. Її суть полягає у тому, що зловмисник «вклинюється» між двома сторонами комунікації — наприклад, між користувачем і сайтом, між пристроями в локальній мережі, між клієнтом і сервером. При цьому сторони продовжують вважати, що спілкуються напряму, не підозрюючи про перехоплення.

У цій статті ми детально розглянемо:

• що таке MITM і як він працює;
• повну технічну механіку ARP Spoofing;
• сучасні варіанти MITM-атак у Wi-Fi, LAN та інтернеті;
• перехоплення HTTPS, SSL-stripping, DNS-spoofing;
• інструменти, які реально використовують хакери та пентестери;
• методи захисту та виявлення MITM;
• реальні приклади атак, кейси й технічні схеми.

1. Що таке MITM і чому ця атака така небезпечна

MITM — це техніка, в якій зловмисник отримує можливість бачити, змінювати або підміняти трафік між двома пристроями. Це робиться так, щоб жодна зі сторін не помічала стороннього втручання. MITM небезпечний тим, що він практично невидимий, а шкода може бути величезною — від викрадення даних до повного контролю над пристроями.

Цілі MITM:

• перехоплення логінів, паролів, токенів;
• читання або модифікація трафіку;
• впровадження шкідливого коду;
• заміна DNS-запитів;
• атаки на протоколи без шифрування;
• автоматичне зараження пристроїв;
• крадіжка cookie та сесій;
• підміна оновлень ПЗ;
• компрометація корпоративних мереж;
• повне спостереження за трафіком жертви.

2. Основна механіка MITM: як зловмисник отримує контроль над трафіком

MITM зазвичай використовує одну з наступних технік:

• ARP Spoofing — обман таблиці ARP у локальній мережі;
• DNS Spoofing — підміна доменів та IP;
• Wi-Fi Evil Twin — зловмисна точка доступу;
• SSL Stripping — зниження HTTPS до HTTP;
• HTTP/HTTPS proxy hijacking — перехоплення стандартних протоколів;
• Rogue DHCP Server — підміна налаштувань мережі;
• Session Hijacking — захоплення cookie та сесій;
• MITM через VPN/Proxy інфраструктуру;
• підміна сертифікатів;
• атаки на протоколи без шифрування (FTP, Telnet, POP3, IMAP, SMB).

Класичний MITM найчастіше базується саме на ARP Spoofing, тому розглянемо цю техніку детально.

3. ARP Spoofing / ARP Poisoning: повний технічний розбір

ARP (Address Resolution Protocol) — протокол, який відповідає за відповідність IP-адреси фізичній MAC-адресі у локальній мережі.

Будь-який пристрій у LAN підтримує ARP-таблицю, де зберігається:

• IP → MAC відповідність.

ARP Spoofing — це техніка, за якої зловмисник надсилає фейкові ARP-повідомлення жертві та роутеру, змушуючи їх думати, що атакуючий має «правильний» MAC-адрес.

3.1. Як працює ARP Spoofing:

1. Зловмисник надсилає жертві ARP-packet виду:
   «Роутер має MAC = МІЙ MAC».
2. Паралельно він відправляє роутеру ARP-packet виду:
   «Жертва має MAC = МІЙ MAC».
3. Тепер і жертва, і роутер вважають зловмисника правильним адресатом.
4. Увесь трафік йде через атакуючого.
5. Атакуючий може:
   • читати пакети;
   • змінювати їх;
   • вставляти свої;
   • виконувати SSL-stripping;
   • підмінювати DNS.

3.2. Технічна схема ARP Spoofing:

Жертва  → (зламаний ARP) →  Атакуючий  →  Роутер
Роутер → (зламаний ARP) →  Атакуючий  →  Жертва

Зовні все працює, але трафік проходить через чужі руки.

4. Які дані можна перехопити через MITM?

4.1. Якщо трафік HTTP (незашифрований):

• логіни / паролі;
• cookie та сесії;
• повний текст листів, чату, запитів;
• файли, які передаються;
• внутрішні API-запити сайтів.

4.2. Якщо HTTPS — залежить від техніки MITM

Сучасні MITM дозволяють:

• робити SSL Stripping (HTTPS → HTTP);
• підмінювати сертифікати;
• використовувати комплексні Proxy-MITM схеми.

5. MITM у Wi-Fi: Evil Twin, Hotspot Hijacking

Evil Twin — це підроблена точка доступу, що використовує ім’я справжньої мережі (наприклад, «Coffee_WiFi»).
Людина бачить знайому назву — підключається — і весь трафік іде до атакуючого.

Класичний сценарій:

1. Атакер створює точку з таким самим SSID.
2. Посилює сигнал або «глушить» оригінальну точку.
3. Жертва автоматично перепідключається.
4. MITM готовий: трафік йде через атакуючого.

Далі атака розвивається: ARP Spoofing + DNS Hijack + SSL Stripping.

6. Інструменти для MITM та ARP Spoofing

Класичні інструменти хакерів / пентестерів:

• Bettercap — найпотужніший MITM framework;
• Ettercap — старий але дуже популярний;
• MITMf — фреймворк для комплексних атак;
• arpspoof — проста утиліта ARP-спуфінгу;
• dsniff — збір логінів та паролів;
• Wireshark — аналіз перехопленого трафіку;
• Responder — атаки на SMB/NBT-NS;
• EvilAP / Wifiphisher — створення Evil Twin.

7. Виявлення MITM-атак: як зрозуміти, що вас перехоплюють

7.1. Ознаки ARP Spoofing:

• ARP-таблиця показує, що IP роутера має інший MAC;
• пінг роутера стає нестабільним;
• HTTPS сайти показують помилки сертифікатів;
• з’єднання постійно обривається;
• користувач бачить перенаправлення на дивні сайти.

7.2. Технічні методи виявлення:

• arpwatch — контроль ARP-змін;
• xarp — захист від ARP Poisoning;
• IDS/IPS системи — виявляють MITM шаблони;
• аналіз MAC-адрес у мережі.

8. Захист від MITM та ARP Spoofing

8.1. Для звичайних користувачів:

• використання VPN;
• ніколи не працювати через публічний Wi-Fi без шифрування;
• перевіряти HTTPS та сертифікати;
• вимкнути автоматичне підключення до Wi-Fi мереж;
• оновлювати ОС та браузери.

8.2. Для організацій:

• вимикати ARP вільний режим (Dynamic ARP Inspection);
• використовувати DHCP Snooping;
• розділяти мережі VLAN-ами;
• використовувати IDS/IPS;
• впроваджувати HTTPS та HSTS скрізь;
• моніторинг ARP-таблиць.

9. Реальні кейси MITM-атак

Атака #1: Компрометація готельних Wi-Fi

Хакери встановили Evil Twin з назвою справжньої мережі — 300+ жертв ввели паролі та дані карток.

Атака #2: Перехоплення корпоративного трафіку через ARP Spoofing

Локальна мережа не мала жодного захисту — зловмисник отримав VNC-доступ і вивів фінансові документи.

Атака #3: SSL Stripping на HTTP-ресурсах банків

Користувачі бачили HTTPS, але насправді працювали через підроблений HTTP-вузол.

10. Висновок

MITM-атаки — одні з найбільш небезпечних у світі кібербезпеки. Вони поєднують простоту реалізації, непомітність та величезні можливості контролю над жертвою. ARP Spoofing залишається основним технічним фундаментом MITM у локальних мережах.

Комплексний захист, шифрування, контроль мережевих протоколів і використання сучасних засобів моніторингу — ключ до протидії MITM.