中間人攻擊如何發生?MITM 常見手法、風險與企業防護策略
當我們在網站登入帳號、使用公司系統、連接 Wi-Fi 或傳送付款資訊時,通常會認為這些私密資料是「直接」從自己的設備傳到對方手上。然而,在網路世界中,有一種隱蔽性極高的資安威脅,正悄悄改變這個規則——它就像一個隱形的第三者,靜靜站在通訊雙方的正中間,攔截、監看,甚至隨意修改傳輸內容,這就是資安界常提到的中間人攻擊(Man-in-the-Middle Attack,簡稱 MITM)。
中間人攻擊指的是攻擊者介入兩端通訊之間,讓雙方誤以為自己在安全溝通,但資料實際上早已被第三方掌握,是企業常見的網路威脅之一。Cloudflare 也常以 on-path attack 來描述這類攻擊,意指攻擊者已站上通訊路徑,具備干預資料傳輸的能力。
中間人攻擊是什麼?
簡單來說,中間人攻擊就像有人站在寄件人與收件人之間,先偷看信件內容,再決定要原封不動轉交、竄改文字,或冒充其中一方回覆。若網站未正確使用加密連線、使用者連上惡意 Wi-Fi,或 DNS 被竄改導向假網站,攻擊者就可能趁機介入。
這類攻擊最可怕之處在於,受害者往往不會立即察覺異常——畫面看起來仍像平常一樣正常運作,資料卻已悄悄外流。

中間人攻擊如何發生?
第一步:攔截通訊
要發動中間人攻擊,攻擊者通常會先讓流量經過自己控制的位置。常見方式包括:
- 在同一區域網路內利用 ARP 欺騙,將原本要送往路由器的封包導向攻擊者設備
- 架設名稱貌似合法的惡意 Wi-Fi 熱點,誘導使用者連線
- 透過 DNS 欺騙,讓使用者輸入正確網址時,實際卻被帶往假網站
第二步:竊聽、竄改或冒充
成功插入通訊路徑後,攻擊者可能採取以下行動:
- 被動竊聽:擷取帳號密碼、Cookie、交易資訊或內部機密資料
- 主動竄改:替換付款帳號、修改下載連結、植入惡意程式
- 身分冒充:利用工作階段權杖(Session Token)假冒使用者登入服務
對企業而言,這不僅是個人帳密外洩問題,更可能影響整個業務流程與客戶信任。

六種常見中間人攻擊手法
1. ARP 欺騙(ARP Spoofing)
多發生於區域網路環境。攻擊者發送偽造的 ARP 回應,將特定 IP 位址與自身 MAC 位址綁定,使網路封包被導向攻擊者裝置,再轉送至正常目的地,藉此在使用者毫不知情的情況下攔截或竄改傳輸內容。
2. DNS 欺騙(DNS Spoofing)
攻擊者竄改 DNS 解析紀錄,將網域導向惡意伺服器。即使使用者輸入正確的網址,瀏覽器仍會被帶往攻擊者架設的假網站,進而遭到帳密竊取或惡意程式感染。
3. SSL 剝離(SSL Stripping)
攻擊者攔截使用者與網站之間的連線,強行將安全的 HTTPS 降級為未加密的 HTTP,使傳輸中的敏感資料暴露於明文狀態,輕易遭到竊取。
4. 惡意 Wi-Fi 熱點(Evil Twin / Rogue AP)
攻擊者在咖啡廳、機場、展場等公共場所架設名稱與合法網路相似的假 Wi-Fi 熱點。使用者一旦連線,所有上網流量與傳輸內容便直接暴露在攻擊者的監控之下。
5. 會話劫持(Session Hijacking)
攻擊者竊取使用者登入後產生的工作階段權杖(Session Token),在不需要帳號密碼的情況下直接冒充合法使用者操作系統,常見於未妥善保護 Cookie 的網路應用程式。
6. 電子郵件偽冒(Email Hijacking)
攻擊者潛伏於電子郵件傳輸路徑中,監看往來信件內容,並在關鍵時機——如付款確認或合約簽署——替換收款帳號或插入惡意連結,誘使收件人在不知情下完成匯款或洩漏機密。
中間人攻擊會造成哪些風險?
中間人攻擊可能對企業造成多層面的損害:
- 帳密外洩與帳號接管:攻擊者取得登入憑證後,可進一步入侵內部系統
- 客戶資料被竊:個人資料外洩可能觸發 GDPR、個資法等法規罰則
- 交易內容遭竄改:付款帳號被替換,造成直接財務損失
- 內部系統遭入侵:攻擊者藉由竊取的憑證橫向移動,擴大攻擊範圍
- 品牌信任受損:資安事件曝光後,客戶信心與企業聲譽難以迅速回復
更棘手的是,這類攻擊有時不會立即造成系統中斷。若企業缺乏日誌監控與異常告警機制,往往要等到損失已經發生,才有辦法察覺問題根源。
企業如何防禦中間人攻擊?三大防護策略
策略一:全面加密通訊
- 網站、API 與後台系統應全面部署 HTTPS/TLS
- 搭配 HSTS(HTTP Strict Transport Security),防止瀏覽器被降級至不安全連線
- 重要服務應定期更新 TLS 憑證,並停用已知存在漏洞的舊版加密協議(如 TLS 1.0/1.1)
策略二:強化身分驗證與存取控制
- 遠端連線應透過 VPN 或**零信任存取架構(ZTNA)**進行,避免直接暴露內部服務
- 重要系統啟用多因素驗證(MFA),降低帳密被竊後遭濫用的機率
- 落實最小權限原則,限制使用者僅能存取工作所需的資源
策略三:監控異常、定期維運
- 監控異常 ARP 廣播、DNS 查詢異常、TLS 憑證錯誤與大量對外連線行為
- 定期更新網路設備韌體,停用不必要的服務與通訊埠
- 建立資安日誌集中管理機制,縮短異常事件的偵測與應變時間
使用者端的習慣同樣重要: 不忽略瀏覽器憑證警告、不隨意連接陌生 Wi-Fi、不點擊可疑連結,都是降低個人風險的基本防線。

常見問題 FAQ
Q1:使用 HTTPS 的網站還會遭受中間人攻擊嗎?
HTTPS 能有效加密傳輸內容,大幅提升安全性,但並非萬無一失。若攻擊者能取得受信任的偽造憑證、或透過 SSL 剝離強制降級連線,仍有機會介入通訊。因此,除了 HTTPS 之外,還需搭配 HSTS、憑證透明度監控(Certificate Transparency)等機制共同防護。
Q2:VPN 能完全防止中間人攻擊嗎?
VPN 能加密使用者與 VPN 伺服器之間的流量,有效防止在公共網路上遭到竊聽,但並非萬能。若 VPN 本身設定不當、或攻擊已發生在 VPN 隧道之外(如企業內網),仍可能面臨風險。零信任架構(ZTNA)可作為更全面的補充方案。
Q3:企業如何判斷是否曾遭受中間人攻擊?
常見跡象包括:使用者反映瀏覽器出現憑證警告、系統出現非預期的登入紀錄、網路流量異常增加,或 DNS 解析結果與預期不符。建議企業部署 SIEM(資安資訊與事件管理)系統,搭配網路流量分析工具,主動偵測潛在威脅。
保護通訊路徑,就是保護資料信任
中間人攻擊的核心,不是單一惡意程式的問題,而是攻擊者利用通訊路徑與身分驗證的漏洞,讓原本可信的資料傳輸變得不安全。企業若能將網站加密、雲端網路安全、身分驗證、端點防護與監控告警整合規劃,就能大幅降低資料遭攔截或竄改的風險。
想強化網站 HTTPS 防護、部署零信任架構,或透過 Cloudflare 等國際頂級防護技術阻斷 on-path 威脅?歡迎諮詢 2ECloud 尚贏科技,由專業顧問協助您建立更穩健的雲端與網路安全防線,守護企業與客戶之間的每一條通訊路徑。