Вернуться к списку вопросов

Какие существуют способы защиты от MITM-атак?

Тип вопроса: Безопасность Вероятность: 10% Категория: Python Developer

Ответ

Для защиты от MITM (Man-in-the-Middle) атак, при которых злоумышленник перехватывает и модифицирует трафик между двумя сторонами, используются следующие основные методы:

  1. HTTPS/TLS – обязательное использование шифрования данных с помощью протоколов SSL/TLS. Это гарантирует конфиденциальность и целостность передаваемых данных, делая их нечитаемыми для перехватчика. Проверка сертификата сервера клиентом является ключевым аспектом.

    • Пример с requests в Python: 
      import requests
# По умолчанию requests проверяет SSL-сертификаты. verify=True явно указывает на это.
response = requests.get('https://example.com', verify=True)

  2. Верификация сертификатов – проверка подлинности SSL/TLS сертификата сервера. Клиент убеждается, что общается с легитимным сервером, а не с поддельным, проверяя цепочку доверия до корневого центра сертификации и статус отзыва (CRL/OCSP).

  3. Certificate Pinning – привязка к конкретному сертификату или публичному ключу сервера. Это предотвращает подмену сертификата даже в случае компрометации центра сертификации, так как клиент будет доверять только заранее известному ключу.

    • Пример с requests: 
      import requests
# Указание пути к файлу, содержащему только доверенный сертификат сервера или его CA.
# requests будет доверять только этому сертификату (или CA, который его выдал).
response = requests.get('https://example.com', verify='path/to/trusted_cert.pem')

      Примечание: Этот метод требует тщательного управления сертификатами и может вызвать проблемы при их обновлении. Используйте с осторожностью.

  4. Двусторонняя аутентификация (mTLS) – клиент и сервер обмениваются и проверяют сертификаты друг друга. Это гарантирует, что обе стороны являются доверенными, предотвращая атаки как на сервер, так и на клиента.

    • Пример с requests: 
      import requests
# Указание клиентского сертификата и ключа
response = requests.get('https://example.com', cert=('client.crt', 'client.key'))

  5. Использование VPN или SSH-туннелей – создание защищенного туннеля для всего сетевого трафика, что добавляет дополнительный уровень шифрования и защиты от перехвата в недоверенных сетях, особенно в публичных Wi-Fi.

  6. HSTS (HTTP Strict Transport Security) – механизм, который принуждает браузеры всегда использовать HTTPS для определенного домена, даже если пользователь ввел http://. Это предотвращает атаки, которые пытаются понизить соединение до незащищенного HTTP.

Важно: Регулярное обновление операционных систем, браузеров и библиотек (например, cryptography, pyOpenSSL) критически важно для защиты от известных уязвимостей в реализации криптографических протоколов.

© ХакСобесов, 2025
support@hacksobesov.com