آموزش رایگان دوره CEH همگام با سرفصل‌های بین‌المللی – 32
آموزش CEH (هکر کلاه سفید): مسموم‌سازی ARP و حملات سیلابی MAC چگونه انجام می‌شوند
بررسی دقیق نحوه کار پروتکل ARP به زمان زیادی نیاز دارد، اما به عنوان یک کارشناس امنیتی باید ببنید که فرآیند جعل ARP چگونه انجام می‌شود. فرآیند جعل با ارسال درخواست‌ یا پاسخ‌های مختلف ARP به سوئیچ و سایر دستگاه‌ها با هدف هدایت ترافیک به سمت سیستمی که قرار است شنود کند انجام می‌شود. در این حالت بسته‌های Bogus ARP توسط سوئیچ و سایر دستگاه‌های دریافت کننده بسته‌ها ذخیره ‌می‌شوند. با توجه به این‌که سوئیچ و دستگاه‌های تحت شبکه این اطلاعات را در حافظه نهان ARP قرار می‌دهند، هکر می‌تواند برنامه خود برای جعل یک دستگاه را پیاده‌سازی کند. در این حالت مک‌آدرس دستگاه که عمدتا روتر است جعل می‌شود تا هکر بتواند تمامی ترافیک برون مرزی را ضبط کند.

برای مطالعه قسمت قبل آموزش رایگان  دوره CEH اینجا کلیک کنید.

شنود غیرفعال

شنود غیرفعال زمانی که کاربر در حال استفاده از هاب است انجام می‌شود. از آن‌جایی که کاربر در حال استفاده از هاب است، ترافیک کل شبکه به سمت تمامی پورت‌ها می‌رود. در این حالت هکرها فرآیند شنود را آغاز کرده و به انتظار می‌نشینند تا فردی در بخشی از شبکه که احتمال برخورد بسته‌های اطلاعاتی با یکدیگر روی آن بخش وجود دارد اقدام به ارسال یا دریافت داده‌ها کند. یک دامنه دارای تصادم (collision domain) یک بخش منطقی از شبکه است که در آن یک یا چند بسته داده‌ای می‌توانند با یکدیگر برخورد کنند. در حالی که سوییچ‌ها می‌توانند دامنه‌های دارای تصادم را جدا کنند، هاب‌ها فاقد چنین قابلیتی هستند. شنود نسبت به گذشته کارایی خود را از دست داده است، زیرا بسیاری از کاربران از الگوریتم‌های رمزنگاری برای محافظت از داده‌های خود استفاده می‌کنند. پروتکل‌هایی مانند SSL و SSH امروزه ب شکل گسترده‌ای جایگزین HTTP و FTP شده‌اند.

شنود فعال

هکرها برای آن‌که موفق شوند مجبور هستند در شبکه محلی یا در یک نقطه واسطه مهم همچون روترهای رمزی مستقر شوند تا بتوانند ترافیکی که از این بخش‌ها عبور می‌کند را رصد کنند. مهاجم همچنین باید بداند که چگونه شنود فعال را انجام دهد، به این معنا که او باید ترافیک را تغییر مسیر دهد تا بتواند آن‌را ببیند. به‌طور معمول، یک سوئیچ ترافیکی را که یک شنودگر قادر به مشاهده آن‌ها را محدود می‌کند. در نتیجه در این حالت ترافیکی که میان دو میزبان مبادله می‌شود همچون گذشته به سادگی قابل مشاهده نیستند، زیرا هکرها نمی‌توانند در حالت عادی به پورتی از سوییچ متصل شده و ترافیک آن‌را تغییر دهند. از جمله راهکارهایی که یک مهاجم می‌تواند برای غلبه بر این محدودیت‌ها از آن‌ها استفاده کرده و سوییچ را دور بزند به شرح زیر هستند:

■ Address Resolution Protocol (ARP) poisoning

■ Media Access Control (MAC) flooding

■ Rogue DHCP servers

■ Spoofing

■ DNS poisoning

شناخت دقیق نحوه کار فرآیند ARP به شما در چگونگی آلوده‌سازی ARP کمک فراوانی می‌کند.

نکته: برای آزمون CEH باید از این موضوع مطلع باشید که هکرها می‌توانند یک کارت شبکه را در وضعیت بی قاعده (promiscuous mode) قرار دهند.

Address Resolution Protocol

ARP یک پروتکل کمکی است که از بسیاری جهات شبیه به سامانه نام دامنه (DNS) است. DNS نام دامنه شناخته شده را به آدرس‌های آی‌پی  ناشناخته تبدیل می‌کند. ARP آدرس‌های آی‌پی شناخته شده را به آدرس‌های ناشناخته مک تبدیل می‌کند. DNS و ARP پروتکل‌های دو مرحله‌ای هستند. محل قرارگیری آن‌ها در پشته TCP / IP در شکل زیر نشان داده شده است.

ARP به این ترتیب عمل می‌کند که چگونه دستگاه‌های شبکه دارای یک مک‌آدرس خاص و مرتبط با یک آدرس آی‌پی روی دستگاه محلی می‌توانند یکدیگر را پیدا کنند. مک آدرس‌ها را می‌توانید به عنوان آدرس‌های فیزیکی خیابان تصور کنید، در حالی که آدرس‌های آی‌پی نام‌های منطقی هستند. شاید بدانید که نام من حمیدرضا تائبی است و از آن‌جایی که نویسنده این کتاب هستم، شما در نظر دارید یادداشتی در ارتباط با این آموزش برای من ارسال کنید. مشکل این است که دانستن نام من کافی نیست. شما نیاز به یک آدرس فیزیکی دارید تا بتوانید یادداشت خود را برای من ارسال کنید. ARP برای پاسخ‌گویی به این مشکل به وجود آمده تا دو گره را به یکدیگر مرتبط کند. ARP یک پروتکل ساده است که از دو نوع پیام تشکیل شده است:

1. یک درخواست ARP: کامپیوتر A از شبکه می‌پرسد ، "چه کسی این آدرس آی‌پی را دارد؟"

2. پاسخ ARP: کامپیوتر B به کامپیوتر A می‌گوید: "من آن آدرس آی‌پی را دارم. مک‌آدرس من XYZ است."

توسعه‌دهندگان ARP با دیدگاهی که همه چیز قابل اعتماد است، پروتکل فوق را طراحی کردند. با توجه به عدم وجود مکانیزم‌های قدرتمندی برای غلبه بر چالش‌ها، امروزه شاهد هستیم که هکرها می‌توانند از رویکرد مسموم‌سازی ARP برای حمله به اهداف مدنظر خود استفاده کنند. زمانی‌که یک درخواست ARP ارسال می‌شود، سامانه‌ها به سادگی به درخواست فوق اعتماد می‌کند و به آن پاسخ می‌دهند و تصور می‌کنند درخواست از جانب یک دستگاه معتبر ارسال شده است. ARP هیچ راهی برای تأیید اینکه دستگاه پاسخگو واقعاً همان دستگاهی است که ادعا می‌کند در اختیار ندارد. همین موضوع باعث می‌شود تا سیستم‌عامل‌ها به درخواست‌های ARP حتما زمانی که یک درخواست به شکل واقعی ارسال نشده پاسخ دهند. برای کاهش میزان ترافیک ARP در یک شبکه، کارشناسان شبکه می‌توانند یک کش ARP را پیاده‌سازی کنند تا آدرس‌های آی‌پی، مک‌آدرس‌ها و یک تایمر برای هر ورودی را ذخیره کند. عملکرد تایمر در سیستم‌عامل‌های مختلف فرق می‌کند، به‌طور مثال، سیستم عامل‌هایی شبیه به مایکروسافت از 2 دقیقه استفاده می‌کنند، در حالی که بسیاری از توزیع‌های لینوکسی از تایمر 15 دقیقه‌ای استفاده می‌کنند. شما می‌توانید از فرمان arp -a برای مشاهده کش ARP سیستم خود استفاده کنید.

مسموم‌سازی ARP و حملات سیلابی مبتنی بر MAC

بررسی دقیق نحوه کار پروتکل ARP به زمان زیادی نیاز دارد، اما به عنوان یک کارشناس امنیتی باید ببنید که فرآیند جعل ARP چگونه انجام می‌شود. فرآیند جعل با ارسال درخواست‌ یا پاسخ‌های مختلف ARP به سوئیچ و سایر دستگاه‌ها با هدف هدایت ترافیک به سمت سیستمی که قرار است شنود کند انجام می‌شود. در این حالت بسته‌های Bogus ARP توسط سوئیچ و سایر دستگاه‌های دریافت کننده بسته‌ها ذخیره ‌می‌شوند. با توجه به این‌که سوئیچ و دستگاه‌های تحت شبکه این اطلاعات را در حافظه نهان ARP قرار می‌دهند، هکر می‌تواند برنامه خود برای جعل یک دستگاه را پیاده‌سازی کند. در این حالت مک‌آدرس دستگاه که عمدتا روتر است جعل می‌شود تا هکر بتواند تمامی ترافیک برون مرزی را ضبط کند.

در اینجا مثالی از چگونگی عملکرد این حمله ارائه می‌کنیم. در ابتدا، مهاجم آدرس آی‌پی روتر را به مک آدرس خود نگاشت می‌کند. در ادامه  قربانی سعی می‌کند به آدرسی خارج از زیر شبکه وصل شود. قربانی دارای نقشه ARP است که نشان می‌دهد آی‌پی روتر به مک‌آدرس هکر نگاشت شده است. در نتیجه، بسته‌های فیزیکی از طریق سوئیچ برای هکر ارسال می‌شوند. رویکردی که در نهایت به هکر اجازه می‌دهد ترافیک روی روتر را هدایت ‌کند. شکل زیر نحوه انجام این‌کار را نشان می‌دهد:

بعد از انجام این‌کار، هکر می‌تواند انواع مختلفی از حملات همچون مرد میانی را پیاده‌سازی کند. این فعالیت‌ها می‌تواند شامل انتقال بسته‌های به یک مقصد قابل اطمینان، اسکن آن‌ها برای دسترسی به اطلاعات مفید یا ضبط بسته‌ها برای بازپخشی در جلسات بعدی باشد. ارسال IP یک گام مهم در این فرآیند است. بدون در اختیار داشت آی‌پی، حملات فوق تبدیل به منع سرویس می‌شود. انتقال آی‌پی می‌تواند همان‌گونه که در جدول زیر مشاهده می‌کنید پیکربندی شود.

ابزارهای زیادی برای انجام جعل هویت ARP برای ویندوز و لینوکس طراحی شده‌اند که در ادامه به چند مورد از آن‌ها اشاره می‌کنیم.

■ Cain and Abel: بسته‌ای از ابزارها است که برای مسموم‌سازی حافظه نهان ARP استفاده می‌شود. ابزار فوق با جعل پاسخ‌های ARP، بسته‌هایی را از سیستم مورد نظر در شبکه محلی را به سمت میزبانی در شبکه محلی دیگر هدایت کرده و به این شکل اقدام به جعل پاسخ‌های ARP می‌کند.

■ Ufasoft Snif: یک شنودکننده شبکه است که برای ضبط، تجزیه و تحلیل بسته‌هایی که از طریق شبکه محلی عبور می‌کنند استفاده می‌شود.

■ WinARPAttacker: می‌تواند برای اسکن، شناسایی و حمله به کامپیوترهای روی شبکه محلی استفاده شود.

■ Ettercap: یکی از ترسناک‌ترین ابزارها در این زمینه است، زیرا می‌توان از آن برای مسموم‌سازی ARP، انجام شنودهای غیر فعال، رمزگشای یک پروتکل و به عنوان یک ابزار grabber از آن استفاده کرد. ابزار فوق دارای یک منو بوده و کار کردن با آن ساده است. به عنوان مثال، ettercap -Nzs  برنامه Ettercap  را در حالت خط فرمان (-N) اجرا  می‌کند، سوییچ -z هیچ‌گونه طوفانی از ARP را  برای شناسایی میزبان به وجود نمی‌آورد و سوییچ -s اقدام به شنود غیرفعال یک آدرس آی‌پی می‌کند. خروجی در قالب بسته‌هایی برای یک کنسول در فرمتی شبیه به WinDump یا TCPdump ارسال می‌شود. زمانی که کلید q را تایپ کنید از ابزار Ettercap خارج می‌شوید. ابزار فوق زمانی که با سوییچ -C استفاده شود اجازه جمع‌آوری گذرواژه‌ها و نام‌های کاربری را می‌دهد. از دیگر سوییچ‌های رایج ابزار فوق به موارد زیر می‌توان اشاره کرد:

N حالت غیرفعال است

z در حالت پنهان کار کرده و برای پیشگیری از بروز طوفانی از درخواست‌ها و پاسخ‌های ARP استفاده می‌شود.

a برای شنود در شبکه‌های مبتنی بر سوییچ استفاده می‌شود.

نکته: Ettercap  یکی از ابزارهای محبوب در زمینه مسموم‌سازی ARP است که برای روبایش نشست‌ها نیز استفاده می‌شود. به‌طور مثال، برای آن‌که ابزار فوق را در وضعیت شنود فعال قرار دهید باید از سوییچ -a و متفاوت از سوییچ -s  به صورت ettercap -Nza <srcIP> <destIP> <srcMAC> <destMAC> استفاده کنید.

حملات سیلابی مک دومین روش اصلی است که هکرها برای غلبه بر کارکرد عادی یک سوییچ از آن استفاده می‌کنند. حملات سیلابی مک به تلاش در بارگذاری بیش از حد در جدول حافظه قابل آدرس‌دهی با محتوا (CAM) سرنام content addressable memory سوئیچ است. همه سوئیچ‌ها یک جدول جست‌وجو ایجاد می‌کنند که آدرس‌های مک را به شماره پورت سوئیچ نگاشت می‌کند. رویکرد فوق به سوییچ اجازه می‌دهد تا بداند چه پورتی بسته‌های خاص را ارسال می‌کند. با این‌حال، رویکرد فوق در سوئیچ‌های قدیمی‌تر یا دارای حافظه محدود با مشکلاتی همراه است. اگر جدول CAM پر شود و سوئیچ نتواند ورودهای بیشتری را نگه دارد، ممکن است مشکل حالت باز را به وجود آورد. نمونه‌ای از یک حمله سیل‌آسا را در شکل زیر مشاهده می‌کنید. دقت کنید که چگونه جزئیات بسته خالی است و هر بسته آدرس مک متفاوتی دارد.

حملات سیلاب به سو‌ئیچ‌ با آدرس‌های مک ‌تصادفی به‌طوری که داده‌هایی فراتر از ظرفیت حافظه سوییچ به آن وارد شود، به مهاجم اجازه می‌دهد تا ترافیکی که ممکن است در حالت عادی قابل مشاهده نباشد را شنود کند. مشکل روش فوق این است که مهاجم مجبور است حجم بسیار زیادی از ترافیک را به شبکه وارد کند و توجه سرپرست شبکه را به سمت خود جلب کند. در این نوع حمله، شنودکننده باید از سیستم دومی استفاده کند، زیرا اولی که فرآیند ارسال سیل‌آسا را بر عهده دارد حجم بسیار زیادی از بسته‌ها را تولید می‌کند و قادر نخواهد بود به موقع بسته‌ها را ضبط کند. ابزارهایی که برای انجام این نوع حملات استفاده می‌شوند به شرح زیر هستند:

■ EtherFlood: یک شبکه مبتنی بر سوییچ را با استفاده از بسته‌های اترنت و بر مبنای آدرس‌های سخت‌افزاری تصادفی تحت تاثیر قرار می‌دهد. تأثیر این‌کار روی برخی از سوئیچ‌ها این است که آن‌ها شروع به ارسال ترافیک در تمامی درگاه‌ها می‌کنند و این‌کار شانس شنود تمامی ترافیک شبکه را افزایش می‌دهد. شما می‌توانید EtherFlood را از آدرس http://ntsecurance.nu/toolbox/etherflood دانلود کنید.

■ Macof: به امید این‌که اضافه باری در سوییچ به وجود آید، شبکه محلی را با آدرس‌های مک جعلی به شکل سیل‌آسا هدف قرار می‌دهد. شما می‌توانید ابزار فوق را از طریق http://monkey.org/~dugsong/dsniff دانلود کنید.

گاهی اوقات هکرها علاوه بر مسموم‌سازی ARP یا ارسال سیل‌آسای بسته‌ها از روش‌های دیگری استفاده می‌کنند. یکی از این روش‌ها، سرور طغیان‌گر پروتکل پیکربندی میزبان پویا (DHCP) سرنام Dynamic Host Configuration Protocol  است. فلسفه پشت به‌کارگیری روش فوق پیاده‌سازی حمله گرسنگی (starvation attack) است. هدف از این حمله صرفاً از بین بردن تمام آدرس‌های آی‌پی است که در دسترس سرور DHCP قرار دارد. ابتدا ممکن است مهاجم از ابزارهایی مانند Gobbler یا Yersinia برای درخواست و استفاده از آدرس‌های DHCP موجود استفاده کند. هنگامی که سرور قانونی DHCP آدرس آی‌پی دیگری در دسترس نداشته باشد، مهاجم می‌تواند سرور سرکش DHCP خود را با یک گیت‌وی بازتاب دهنده که آدرس آی‌پی هکر را دارد ارائه کند. راهکار فوق باعث می‌شود تمام ترافیک‌ها از طریق هکر مسیریابی شوند. در نتیجه امکان رهگیری داده‌ها برای هکر فراهم می‌شود. شکل زیر نمونه‌ای از انجام این حمله را نشان می‌دهد.

دو دفاع اصلی برای این نوع حمله وجود دارد که شامل امنیت پورت (Port-security) و تجسس DHCP است. در رویکرد اول (امنیت پورت)  تعداد آدرس‌های مک روی یک پورت محدود می‌شوند. همچنین می‌توان از رویکرد محدودسازی به یکسری آدرس‌های خاص مک استفاده کرد. در ارتباط با امنیت پورت سه حالت زیر متصور است:

■ محدود کردن: رها کردن فریم‌ها و تولید هشدارهای SNMP

■ محافظت کردن: بدون صدا و در اختفا فریم‌ها را رها کنید

■ خاموش کردن: خطای غیرفعال بودن پورت‌ها را ارسال کردن.

حالت دوم تجسس در DHCP مکانیسم کنترلی دیگری است که در اختیار مدیران شبکه قرار دارد. در این روش با اطلاعاتی که از یک سرور DHCP به شرح زیر دریافت می‌شود کار می‌شود:

■ دنبال کردن موقعیت فیزیکی میزبان‌ها.

■ حصول اطمینان از این‌که میزبان‌ها فقط از آدرس‌های آی‌پی اختصاص داده شده به آن‌ها استفاده می‌کنند.

■ حصول اطمینان از این‌که فقط سرورهای مجاز DHCP در دسترس هستند.

تجسس در DHCP که در لایه پیوند داده از طریق سوئیچ‌های موجود اجرا می‌شود‌، می تواند حملات را متوقف کرده و سرورهای DHCP غیر مجاز را مسدود کند. رویکرد فوق به سوییچ‌های لایه 2 اجازه می‌دهد فریم‌های دریافت شده در یک پورت خاص را بررسی کنند تا ببینند آیا آن‌ها اطلاعات را از یک DHCP قانونی دریافت می‌کنند یا خیر.

این فرایند لایه 2 شامل چند مرحله است. ابتدا باید DHCP را در وضعیت سراسری فعال کنید و سپس آن‌را در هر شبکه محلی مجازی (VLAN) فعال کنید. سرانجام پورت‌هایی که قابل اعتماد هستند را پیکربندی کنید. در ادامه به مثالی در ارتباط با به‌کارگیری رویکرد فوق توجه کنید.

Switch(config)# ip dhcp snooping

Switch(config)# ip dhcp snooping vlan 30

Switch(config)# interface gigabitethernet1/0/1

Switch(config-if)# ip dhcp snooping trust

در مثال فوق، snooping DHCP در وضعیت سراسری و سپس برای VLAN 30 فعال شده است. تنها رابط مورد اعتماد در این‌جا  gigabitEthernet1 / 0/1 است. Snooping DHCP اطمینان می‌دهد که میزبان فقط از آدرس‌های آی‌پی اختصاص یافته به آن‌ها استفاده می‌کند و همچنین تأیید می‌کند که فقط سرورهای مجاز DHCP در دسترس هستند. پس از پیاده‌سازی رویکرد DHCP snooping پیام‌های DHCP که از یک سرور DHCP غیرقابل اعتماد دریافت می‌شوند دورریخته می‌شوند.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه رایگان تمام بخش‌های دوره CEH  روی لینک زیر کلیک کنید:

آموزش رایگان دوره CEH

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

نظر شما چیست؟