中间人攻击（Man-in-the-Middle Attack，简称 MITM）是一种网络安全攻击方式。在这种攻击中，攻击者秘密地拦截并可能篡改两个正在通信的双方（通常是用户和服务器）之间的消息。

通信的双方都认为他们是在直接与对方进行私密对话，但实际上，整个对话都被攻击者控制了。

通俗易懂的比喻

想象一下 小明（用户） 给 小红（银行） 写信：

1. 正常情况： 小明把信直接寄给小红，小红收到后回信。
2. 中间人攻击：
   • 小明把信寄出，被 坏人（攻击者） 截获了。
   • 坏人打开信，读了内容（窃取隐私）。
   • 坏人甚至可能把信里的“存100块”改成了“转账给坏人100块”（篡改数据）。
   • 坏人把伪造的信重新封好，寄给小红。
   • 小红以为是小明写的，照做了，并回信。
   • 坏人再次截获回信，修改后再给小明。

在这个过程中，小明和小红都不知道有一个“中间人”在操纵一切。

---

MITM 攻击是如何运作的？

攻击通常分为两个阶段：拦截 和 解密/篡改。

1. 拦截 (Interception)： 攻击者必须将自己置于用户和目标服务器的网络路径之间。
2. 解密与篡改 (Decryption & Manipulation)： 攻击者解密流量，读取敏感信息（如密码、信用卡号），甚至修改数据包的内容，然后再将其转发给目标。

常见的攻击手段

攻击者通过多种技术来实现“插队”：

1. 恶意 Wi-Fi 热点 (Rogue Wi-Fi / Evil Twin)：

   • 攻击者在咖啡厅或机场建立一个名字很像官方的 Wi-Fi（例如“Starbucks_Free_WiFi”）。
   • 一旦你连接上，你的所有网络流量都会经过攻击者的设备。

2. ARP 欺骗 (ARP Spoofing)：

   • 在局域网内，攻击者欺骗你的电脑，让你的电脑误以为攻击者的电脑是路由器（网关）。
   • 同时，攻击者欺骗路由器，让路由器误以为攻击者的电脑是你的电脑。
   • 这样，你所有的上网流量都会先流向攻击者。

3. DNS 欺骗 (DNS Spoofing)：

   • 当你输入 www.bank.com 时，DNS 服务器负责将其翻译成 IP 地址。
   • 攻击者篡改 DNS 记录，将你引导到一个伪造的银行网站（钓鱼网站），而不是真正的银行服务器。

4. HTTPS 降级 (SSL Stripping)：

   • 攻击者拦截你与服务器建立安全连接（HTTPS）的请求，强制将连接降级为不安全的 HTTP。这样你的数据就是明文传输的，攻击者可以直接看到。

攻击的后果

• 信息窃取： 登录凭证（用户名/密码）、银行卡号、个人身份信息。
• 资金损失： 篡改转账交易。
• 身份冒充： 攻击者利用截获的会话令牌（Session Token）冒充用户登录账户。
• 植入恶意软件： 攻击者可以在你下载的正常文件中“夹带”病毒。

如何预防中间人攻击？

作为普通用户，你可以采取以下措施来保护自己：

1. 看清 HTTPS：

   • 确保你访问的网站（特别是涉及登录和支付的）地址栏以 https:// 开头，并且有一把小锁图标。如果浏览器提示“连接不安全”，千万不要继续访问。

2. 小心公共 Wi-Fi：

   • 尽量避免使用公共场所的免费 Wi-Fi 进行敏感操作（如网银转账）。
   • 如果必须使用，请务必开启 VPN（虚拟专用网络）。VPN 会加密你的所有流量，即使中间人截获了数据，看到的也是一堆乱码。

3. 使用双重认证 (2FA)：

   • 开启短信验证码或 Google Authenticator。即使攻击者截获了你的密码，没有验证码他们也无法登录。

4. 不要忽视安全警告：

   • 如果浏览器弹出“证书无效”或“安全证书有问题”的警告，不要点击“继续访问”，这通常意味着有人正在尝试进行中间人攻击。

5. 保持软件更新：

   • 更新浏览器和操作系统，修补已知的安全漏洞。

总结来说，中间人攻击就像是网络世界的“窃听者”和“篡改者”，保持警惕并使用加密连接（HTTPS/VPN）是最好的防御手段。