我最喜歡的當前冷，硬，真實世界數據資源是 Verizon 2011數據洩露調查報告。該報告第69頁的節選：

操作

排名前三的威脅操作類別為黑客，惡意軟件和社交。使用的黑客行為最常見的類型是使用被盜的登錄憑據，利用後門和中間人攻擊。曾經有人在該系統中立足，但是荷蘭高科技犯罪部門的數據表明，它值得關注。在構成統計數據的32個數據洩露中，有15個涉及MITM動作。

絕對不能止步於此。 整個報告是一個閱讀的金礦，也是我在展示威脅真正存在的地方所遇到的最好的工作。

對於MiTM攻擊和方法，另請參見 MITM攻擊的絕佳答案-它們有多大可能？在Serverfault上。

我會進一步說，任何SSL根證書咳嗽不良證書的實例都是攻擊的跡象，否則它們將是毫無用處的妥協。最後，因為我是那個人，所以如果我進行筆試，我肯定會嘗試將其拼接到建築物外的網絡框中。即使是有線連接，也可以使用軟件無線電來完成出色的工作。

簡單的答案是否定的-各種各樣的證據表明這種攻擊很普遍。

銀行引入的某些控制措施（兩因素驗證等）部分需要抵制對客戶的日益常見的MITM攻擊。

雖然還有其他形式的攻擊（以客戶端為妥協是一種很好的攻擊），但現在可以通過使用惡意軟件來放置特洛伊木馬來更輕鬆地實施攻擊在大多數情況下，在客戶端PC上，MITM仍然相對容易。

要記住的核心事實是，犯罪分子傾向於以良好的投資回報率工作。攻擊者的投資回報率非常好：

• 低被抓住風險
• 低身體風險
• 對漏洞利用進行編碼的某些工作可能導致現實世界中的金錢收益
• 然後可以重複使用該代碼或將其出售給其他罪犯

正如@CanBerk所說，我們永遠不會獲得任何“完全安全”的信息協議，但使罪犯的生活更加困難是部分解決方案。直到變得難以盈利為止，MITM才會消失。

證書頒發機構DigiNotar的最近的危害導致為google.com，microsoft.com，cia.gov和其他數百個偽造了500多個假證書網站。這些證書以某種方式進入了40個不同的伊朗ISP，導致了大規模中間人攻擊，已確認在此過程中影響了30萬伊朗用戶 幾個月。

負責-確認的黑客與應對先前攻擊的負責人相同CA Comodo-聲稱可以完全訪問其他五個CA，儘管他（只）命名了其中一個。

是的，即使在今天，中間攻擊也是非常真實的威脅。

注意：為防止發生此類攻擊，請考慮使用一個程序/ addon來跟踪證書中是否存在可疑更改，例如 Certificate Patrol，或嘗試使用每個人都在談論的新的證書授權模型替代品。

這個答案主要是關於克里斯·迪克森（Chris Dixon）的聲明，而不是回答“有多少攻擊來自MiTM”。

如果我們斷言可能成為MiTM的方式和給定的後果，我認為我們可以對我們是否關心MiTM攻擊的流行程度做出一些結論。

如果我們考慮不同情況下的某些風險，我們可能會遇到以下問題：

• 有人通過利用Web應用程序本身來竊取數據庫嗎？
• 有人會通過MiTM攻擊來攻擊用戶/管理員

我想說（通常）前者的影響要大得多，應該從很多方面減輕最大的負擔，並對待第一個。

因此，要使第2點勝過第1點，我認為MiTM真的必須瘋狂地將其視為與第1點一樣高的安全障礙（正如Chris在引文中所指出的那樣）！

現在，如果我們看到不同的攻擊媒介。 MiTM的第一個。要成為MiTM，可以例如：

• 擁有一個惡意無線接入點。這是微不足道的，但是對於有針對性的攻擊，您必須使用您的Web應用程序將其置於受害者的同一個物理位置。
• 嗅探未加密的無線數據或通過HUB傳入的數據（它們甚至已經存在了嗎？）
• 使用ARP中毒來攻擊用戶。除非您與使用您的Web應用程序的目標用戶位於同一網絡上，否則這並非易事。
• DNS緩存中毒。為此，您需要對目標用戶正在使用的DNS進行毒害。如果DNS設置不正確，則執行此攻擊將變得微不足道，但是，要使此方法起作用，必須依靠很多手段。
• 網絡釣魚攻擊。這些仍然愚弄了毫無戒心和天真的用戶，但是用戶承擔了很多責任。

所有這些僅攻擊一個或一小部分用戶。即使那樣，攻擊這些用戶也會在他們的瀏覽器中向他們發出警告（也有攻擊的方法，但是我在這裡不做說明）。僅通過破壞根CA或發現用於生成證書的算法中的缺陷，您才可以冒充為受信任的證書頒發者。

另一方面，如果我們查看所有潛在的討厭問題，我們可以看到的東西，如果我們沒有對Web應用程序本身進行足夠的安全性投資，我們會看到類似以下的攻擊媒介：

• SQL注入-瑣碎且易於利用和發現。極高的傷害影響。
• XSS（跨站點腳本）-易於發現，更難以利用。我認為今後我們會看到越來越多的用戶影響。我可以預見，這將成為我們過去一直看到的“新SQL注入”趨勢。
• CSRF（跨站點請求偽造）-中等發現，中等利用。這將要求用戶導航到一個已經擁有的站點，從而觸發對您的webapp的請求，該請求將代表用戶進行交易。

因此，僅需提及攻擊網絡應用程序並成為MiTM的少數幾個但很流行的方法，我就可以將其留給您要保護的特定組織的特定風險/後果分析，您是否應該通過實施SSL或通過整體保護Web應用程序（還包括知識產權，用戶數據，敏感數據，可能破壞其他應用程序的潛在數據等等）直接保護用戶。

所以，以我的拙見，我非常同意克里斯·迪克森的說法。在開始考慮保護傳輸層之前，請盡可能優先考慮保護Web應用程序的安全。

修改： 附帶一提：Firesheep喚醒後，Facebook，Gmail等頁面受到嚴重的MiTM攻擊。這只能通過SSL和認知來緩解。

但是，如果考慮一下，使用Firesheep嗅探無線流量並劫持會話將要求您連接的無線局域網沒有任何加密。

今天我開車去開車時，它大大減少了開放無線AP的數量，也大大減少了啟用WEP的AP的數量。我們一直看到越來越多的WPA2加密AP在大多數情況下為我們提供了足夠的安全性。

現在，有人創建一個簡單易用的工具來嗅探和劫持用戶會話的風險是什麼？對這些用戶有什麼影響？也可以通過不同的方式來緩解這種情況（當來自不同足蹟的用戶同時進行身份驗證，出現問題時通知用戶（gmail是一個很好的例子）。

它沒有找到包含您想要的真實數據的任何靜態或白皮書。

不過，我想補充一點，公司內部的MitM攻擊每天發生一次，而且不止一次。一些安全廠商提供了掃描加密流量的解決方案（例如， Palo Alto Networks），至少我目前所服務的公司已激活了此功能。

為此，只需從內部證書頒發機構（CA）授予防火牆/代理設備一個證書，該證書已被所有客戶端信任。當應用程序請求安全連接時，防火牆/代理設備會為目標服務器動態生成一個新證書，並將其發送給客戶端。由於客戶端信任內部CA，因此它也信任設備證書，並會愉快地啟動“安全”連接。

我敢肯定，在無線網絡上嗅探密碼非常普遍。只需通過簡單的 Google搜索或 Bing搜索看看網上有多少教程。

我同意daramarak的觀點，很難找到有關MitM攻擊的真實數據。原因之一是，MitM攻擊本質上通常針對個人，而DDoS或SQL注入之類的攻擊通常針對公司，組織等。

因此，儘管我們看到了DDoS /注入/無論幾乎每天都在報告什麼，有關MitM攻擊的信息通常都是學術性的（例如“ Twitter被DDoS攻擊！”與“ SSL易受MitM攻擊”）

但是，應注意的是，“罕見”不一定表示“艱苦”。可以說，大多數MitM攻擊比大多數其他類型的攻擊更容易受到攻擊，而且我們每天使用的許多協議都可能以一種或另一種方式容易受到此類攻擊，這僅僅是因為很難設計出一種能夠完全抵禦MitM的協議。實際上，對於大多數安全問題，大多數解決方案都是“盡力而為”，而不是“完全和絕對安全”。

因此，我認為MitM攻擊較不普遍的主要原因是：通常不需要執行一項激勵措施。

好吧，我想如果它們很少見，沒有人會破壞CA，但是我們已經看到了許多嘗試和成功（懷疑者包括伊朗）。

所以我認為它已經並將完成。否則，他們為什麼要打擾CA呢？這不是世界上最簡單的任務。為什麼不直接攻擊目標呢？

話說回來，它們可能很少見。破壞CA的任何人都可能足以掩蓋他們的工作經歷，因此我們不知道他們的工作範圍。老實說，我不會在美國政府內部和國外都做過同樣的事情。如果他們沒有，我實際上會感到驚訝。支持這一點的經歷使我想不起曾經讀過HTTPS以美國政府的方式獲得過。我確實經常聽到有關Skype加密，TrueCrypt或PGP磁盤加密的消息。