Pertama, mari kita bicara Border Gateway Protocol . Internet terdiri dari ribuan titik akhir yang dikenal sebagai AS (Sistem Otonomi), dan merutekan data dengan protokol yang dikenal sebagai BGP (Border Gateway Protocol). Dalam beberapa tahun terakhir ukuran tabel perutean BGP telah meningkat secara eksponensial, menembus lebih dari 100.000 entri. Bahkan dengan perutean perangkat keras yang meningkat dalam daya, ia hampir tidak dapat mengimbangi ukuran tabel perutean BGP yang terus meluas.
Bagian rumit dalam skenario MITM kami adalah bahwa BGP secara implisit mempercayai rute yang diberikan oleh sistem otonom lain, yang berarti bahwa, dengan cukup spam dari AS, rute apa pun dapat mengarah ke sistem otonom apa pun. Ini adalah cara paling jelas untuk lalu lintas MITM, dan itu bukan hanya teoretis - Situs konvensi keamanan Defcon dialihkan ke situs web peneliti keamanan pada 2007 untuk mendemonstrasikan serangan itu. Youtube turun di beberapa negara Asia ketika Pakistan menyensor situs tersebut dan secara keliru menyatakan rute (mati) terbaik bagi beberapa AS di luar Pakistan.
Sejumlah kelompok akademik mengumpulkan informasi perutean BGP dari ASE yang bekerja sama untuk memantau pembaruan BGP yang mengubah jalur lalu lintas. Tetapi tanpa konteks, akan sulit untuk membedakan perubahan yang sah dari pembajakan yang jahat. Jalur lalu lintas berubah setiap saat untuk mengatasi bencana alam, merger perusahaan, dll.
Berikutnya untuk membahas daftar 'Global MITM attack vektor' adalah Domain Name System (DNS).
Meskipun server DNS Baik ISC, BIND telah bertahan dalam ujian waktu dan keluar relatif tanpa cedera (seperti halnya penawaran DNS Microsoft dan Cisco), beberapa kerentanan terkenal telah ditemukan yang berpotensi membahayakan semua lalu lintas menggunakan nama kanonik di internet (yaitu hampir semua lalu lintas).
Saya bahkan tidak akan repot-repot mendiskusikan penelitian Dan Kaminsky tentang serangan keracunan DNS cache, karena telah dipukuli sampai mati di tempat lain, hanya untuk diberikan 'bug yang paling sering dikalahkan' oleh Blackhat - Las Vegas. Namun, ada beberapa bug DNS lain yang sangat membahayakan keamanan internet.
Dynamic Update Zone Bug menabrak server DNS dan berpotensi untuk mengkompromikan mesin dan cache DNS dari jarak jauh.
Bug Tanda Tangan Transaksi memungkinkan kompromi root jarak jauh penuh dari server mana pun yang menjalankan BIND pada saat kerentanan diumumkan, jelas memungkinkan entri DNS dikompromikan.
Akhirnya , kita harus mendiskusikan ARP Poisoning , 802.11q Retracing , STP-Trunk Hijacking , injeksi informasi routing RIPv1 dan pembunuhan serangan untuk jaringan OSPF.
Serangan-serangan ini adalah 'familier' bagi admin jaringan untuk perusahaan independen (memang seharusnya demikian, mengingat ini mungkin satu-satunya yang mereka kendalikan). Membahas perincian teknis dari masing-masing serangan ini sedikit membosankan pada tahap ini, karena setiap orang yang akrab dengan keamanan informasi dasar atau TCP telah mempelajari ARP Poisoning. Serangan lain mungkin merupakan wajah yang biasa bagi banyak admin jaringan atau penggemar keamanan server. Jika ini yang menjadi perhatian Anda, ada banyak utilitas pertahanan jaringan yang sangat baik yang ada, mulai dari utilitas Free dan Open Source seperti Snort hingga perangkat lunak tingkat perusahaan dari Cisco dan HP. Atau, banyak buku informatif membahas topik-topik ini, terlalu banyak untuk dibahas, tetapi beberapa yang saya temukan membantu dalam pengejaran keamanan jaringan termasuk The Tao of Network Security Monitoring , Network Security Architecture , dan Network Warrior klasik
Bagaimanapun, saya merasa agak mengganggu bahwa orang menganggap bahwa serangan semacam ini memerlukan akses tingkat ISP atau Pemerintah. Mereka membutuhkan tidak lebih dari rata-rata CCIE dalam pengetahuan jaringan dan alat yang sesuai (yaitu HPING dan Netcat, bukan alat teoretis). Tetap waspada jika Anda ingin tetap aman.