آموزش رایگان دوره CEH همگام با سرفصل‌های بین‌المللی – 35
آموزش CEH (هکر کلاه سفید): ابزارهای سرقت نشست‌ها و بازپخش جلسات
دو مکانیسم اصلی پیشگیری و تشخیص برای مقابله با حمله روبایش جلسات وجود دارد. راه اصلی برای محافظت در برابر روبایش رمزگذاری است. اقدامات پیشگیرانه شامل محدود کردن اتصالاتی است که می‌توانند وارد شبکه شوند. اپراتورها باید شبکه را به شکلی تنظیم کنند تا بسته‌های اینترنت که ادعا می‌کنند از طریق یک آدرس محلی ارسال شده‌اند را رد کنند. اگر مجبور هستید اتصالات خارج از میزبان قابل اعتماد را مجاز تصور کنید باید از Kerberos یا IPsec استفاده کنید. به‌کارگیری پروتکل‌های ایمن‌تر راهگشا هستند.

1606683296_1_0.gif

برای مطالعه قسمت قبل آموزش رایگان  دوره CEH اینجا کلیک کنید.

حملات بازپخش جلسه/نشست

حملات بازپخش نشت اجازه می‌دهد تا یک مهاجم تظاهر کند که یک کاربر معتبر و شناخته شده در یک وب سایت تعاملی است. این حمله با سرقت شناسه نشست کاربر امکان‌پذیر است. زمانی که مزاحم دسترسی مربوطه را به دست آورد توانایی انجام هر کاری را که کاربر مجاز می‌تواند در وب سایت انجام دهد را کسب می‌کند. در حمله فوق مهاجم باید نشانه احراز هویت را ضبط کند و دوباره آن‌را دوباره به سرور بازگرداند تا دسترسی غیرمجاز فراهم شود.

حملات Session fixation

حمله تثبیت جلسه نوعی حمله روبایش جلسه است که با سرقت شناسه جلسه انجام می‌شود. در ادامه مهاجم سعی می‌کند کاربر را با استفاده از این شناسه فریب دهد. پس از تأیید اعتبار، مهاجم دسترسی مربوطه را به دست می‌آورد. حمله Session fixation سعی می‌کند محدودیتی در نحوه مدیریت برنامه وب را با یک شناسه نشست کشف کند. در این حمله هکر سعی می‌کند، توکن‌های پنهان نشست در یک آرگومان آدرس اینترنتی، توکن‌های پنهان در فیلد فرم و توکن‌های پنهان در یک کوکی را بررسی کند.

ابزارهای ربودن جلسه

برنامه‌های مختلفی وجود دارد که عملیات روبایش جلسه را انجام می‌دهند. از جمله این ابزارها به موارد زیر می‌توان اشاره کرد:

Ettercap اولین ابزاری است که پیش‌تر به آن اشاره شد. Ettercap روی لینوکس، BSD ، Solaris 2.x و اکثر نسخه‌های ویندوز و macOS قابل اجرا است. ابزار فوق به شکل پیش‌فرض در سیستم‌عامل کالی لینوکس قرار گرفته است. Ettercap با جعل ARP میزبان هدف را جعل می‌کند. در ادامه هرگونه درخواست ARP آدرس آی‌پی میزبان را با مک‌آدرس شنودکننده پاسخ می‌دهد و اجازه می‌دهد ترافیک از طریق سامانه شنودکننده مبادله شود. راهکار فوق اجازه می‌دهد تا Ettercap به عنوان یک ابزار عالی در حملات مرد میانی استفاده شود. Ettercap از چهار حالت زیر برای پیاده‌سازی حملات استفاده می‌کند:

■ IP: بسته‌ها بر اساس مبدا و مقصد فیلتر می‌شوند.

■ MAC: بسته‌ها بر اساس آدرس مک فیلتر می‌شوند.

■ ARP: از مسموم‌سازی ARP برای شنود یا روبایش اتصالات در شبکه‌های محلی مبتنی بر سوییچ استفاده می‌کند (این حمله در وضعیت فول دوپلکس انجام می‌شود).

■ ARP عمومی: با مسموم‌سازی ARP برای شنود یک میزبان از طریق میزبان دیگر استفاده می‌کند.

به‌کارگیری Ettercap برای حمله به جلسات نسبتاً ساده است. زمانی که Ettercap اجرا شد با فشار کلیدهای Shift + U یا رفتن به منوی Sniff> Unified Sniffing  امکان ضبط ترافیک فراهم می‌شود. در ادامه باید رابط شبکه‌ای را مشخص کنید که قصد ضبط بسته‌های مربوط به آن‌را دارید  و در انتها کلید اینتر را فشار دهید. در این مرحله، اگر سیستم شخصی فرآیند احراز هویت را انجام دهد یا اگر رابط شما به یک هاب متصل شده است، ممکن است رشته‌هایی که حاوی کلمات عبور هستند یا سایر مکانیزم‌های احراز هویت مربوط به میزبان‌های دیگر را ضبط کنید. Ettercap همچنین دارای تعدادی افزونه به شرح زیر است:

■ autoadd: به‌طور خودکار قربانیان جدید را در محدوده هدف اضافه می‌کند.

■ chk_poison: وضعیت موفقیت‌آمیز بودن مسموم‌سازی را بررسی می‌کند.

■ dos_attack: حمله DoS را در برابر آدرس آی‌پی انجام می‌دهد.

■ find_conn: جست‌وجویی در ارتباط با اتصالات روی یک شبکه محلی مبتنی بر سوییچ انجام می‌دهد.

■ find_ip: به جست‌وجوی یک آدرس آی‌پی استفاده نشده در زیر شبکه می‌پردازد.

■ gw_discover: سعی می‌کند گیت‌وی‌ شبکه محلی را دوباره پیدا کند.

■ izolation: یک میزبان را از شبکه محلی جدا می‌کند.

■ pptp_pap: PPTP: تأیید هویت PAP را انجام می‌دهد.

■ rand_flood: شبکه محلی را در معرض طوفانی از آدرس‌های مک تصادفی قرار می‌دهد.

■ repoison_arp: پس از بازپخشی ARP دومرتبه مسموم‌سازی را انجام می‌دهد.

■ smb_down: تلاش می‌کند تا SMB را مجبور کند از کلید NTLM2 استفاده نکند.

بهتر است ابزار فوق را بررسی کنید، زیرا اکثر ابزارهایی که در این زمینه ارائه شده‌اند کاربردی شبیه به ابزار فوق دارند. از دیگر ابزارهایی که برای سرقت جلسات استفاده می‌شوند به موارد زیر می‌توان اشاره کرد:

■ Hunt: یک ابزار معروف روبایش جلسات که قابلیت مشاهده اتصالات TCP، ربودن یا تنظیم مجدد را ارائه می‌کند. Hunt از اترنت استفاده کرده و دارای مکانیزم‌های فعال برای شنود ارتباطات است. ویژگی‌های پیشرفته این ابزار عبارتند از بازپخش انتخابی ARP و هماهنگ‌سازی اتصال پس از انجام حملات.

■ SSLstrip: به یک مهاجم اجازه می‌دهد تا اتصال SSL و ترافیک HTTPS را در یک شبکه به سرقت ببرد. SSLstrip از حالت‌هایی استفاده می‌کند تا نشان دهد favicon یا همان آیکون نشان داده شده در آدرس اینترتی قفل است، برای این منظور از حالت‌هایی شبیه به نماد قفل، ورود به سیستم انتخابی و انکار جلسه استفاده می‌کند.

■ Cookie Cadger: ابزاری برای ربودن جلسه است که برای رهگیری و بازپخش درخواست‌های غیر ایمن HTTP GET در یک مرورگر طراحی شده است. Cookie Cadger به شناسایی نشت اطلاعات از برنامه‌هایی می‌پردازد که از درخواست‌های نا امن HTTP GET استفاده می‌کنند.

■ Burp Suite: یک بستر یکپارچه برای انجام آزمایشات امنیتی برنامه‌های وب است. Burp Suite به عنوان یک ابزار ربودن جلسه مفید است زیرا به کاربر اجازه می‌دهد ترافیک را بازرسی کند و تشخیص دهد که آیا شناسه‌های جلسه به صورت ناامن منتقل می‌شوند، بازپخش جلسه امکان‌پذیر است و آیا از درخواست‌های نا امن HTTP GET استفاده می‌کند یا خیر.

■ Firesheep: یک افزونه شخص ثالث است که اگرچه برای فایرفاکس ساخته نشده، اما به کاربران فایرفاکس راهی ساده برای شنود گذرواژه و نام کاربری برخی از سایت‌های مهم همچون فیسبوک می‌دهد. این ابزار برای نشان دادن آسیب‌پذیری بسیاری از سایت‌ها با هدف ایمن‌سازی احراز هویت کاربران ایجاد شده است، اما می‌تواند توسط مهاجمین برای دسترسی به برنامه‌های آسیب‌پذیر وب استفاده شود.

■ Hamster: مجموعه‌ای از ابزارهای جانبی استفاده شده برای روبایش تأیید اعتبار برنامه‌ها است.

■ Session Thief : شبیه‌سازی جلسه HTTP را با استفاده از سرقت کوکی‌ها انجام می‌دهد.

پیشگیری از روبایش جلسه

دو مکانیسم اصلی پیشگیری و تشخیص برای مقابله با حمله روبایش جلسات وجود دارد. راه اصلی برای محافظت در برابر روبایش رمزگذاری است. اقدامات پیشگیرانه شامل محدود کردن اتصالاتی است که می‌توانند وارد شبکه شوند. اپراتورها باید شبکه را به شکلی تنظیم کنند تا بسته‌های اینترنت که ادعا می‌کنند از طریق یک آدرس محلی ارسال شده‌اند را رد کنند. اگر مجبور هستید اتصالات خارج از میزبان قابل اعتماد را مجاز تصور کنید باید از Kerberos یا IPsec استفاده کنید. به‌کارگیری پروتکل‌های ایمن‌تر راهگشا هستند. دقت کنید دو پروتکل FTP و Telnet در صورت نیاز به دسترسی از راه دور آسیب‌پذیر هستند. حداقل به SSH یا شکل امن Telnet بروید. حملات جعل خطرناک هستند و می‌توانند یک اتصال قانونی در اختیار مهاجمان قرار دهند که در ادامه دسترسی بیشتر به شبکه را فراهم می‌کند. به‌خاطر داشته باشید که طی چند سال گذشته هکرها روش‌ها و ابزارهای جدیدی برای دور زدن HTTPS پیدا کرده‌اند. این ابزارها به اسامی SSLstrip ، CRIME ، BEAST ، Lucky13 و BREACH در دسترس هکرها قرار دارد.

نکته: با استفاده از پروتکل‌های رمزگذاری شده مانند SSH ، SSL ، IPsec و غیره می‌توان روبایش جلسات را برای مهاجم دشوارتر کرد‌، با این حال این امکان وجود دارد تا ابزارهایی شبیه به SSLstrip را برای ربودن جلسات استفاده کرد.

انکار سرویس و انکار سرویس توزیع شده

در دنیای امنیت سه مؤلفه اصلی محرمانگی، دسترس‌پذیری و یکپارچگی وجود دارند. هکرها معمولاً به یک یا هر سه این مولفه‌ها حمله می‌کنند. بیشتر حملاتی که به آن‌ها پرداختیم به اصل محرمانگی و یکپارچگی حمله می‌کردند. با این حال، حمله انکار سرویس اصل دسترس‌پذیری را هدف قرار می‌دهد. فقط به این موضوع فکر کنید که جمعه شب در خانه هستید و از تماشای یک فیلم لذت می‌برید و در همان زمان تلفن هوشمند شما شروع به زنگ زدن می‌کند و جواب آن‌را می‌دهید، اما کسی در آن سوی خط نیست. این‌کار دومرتبه اتفاق می‌افتد، اما کسی جواب شما را نمی‌دهد. از آن‌جایی که تحمل این وضع سخت است، تلفن هوشمند را خاموش می‌کنید تا بتوانید در آرامش ادامه فیلم را مشاهده کنید. فردای آن روز دوست‌تان سؤال می‌کند که چرا آخر هفته آخر تلفن همراهت را جواب ندادی، من چند بلیط اضافی تماشای یک مسابقه ورزشی داشتم. کاری که شما انجام داید مصداق بارز انکار سرویس بود. ممکن است در این حمله مهاجم دسترسی به دست نیاورد، اما این قابلیت را دارد که دسترسی شما به اطلاعات و خدمات قانونی را مختل کند. انکار سرویس ابزاری شفاف، اما قدرتمند است که به راحتی قابل اجرا است و پیشگیری از بروز آن کار سختی است. DoS از روزهای آغازین یک تهدید جدی پیرامون سامانه‌های کامپیوتری بود. نقش حمله انکار سرویس در پیشبرد اهداف هکرها در تصویر زیر نشان داده شده است:

در حالی که حملات DoS به اندازه باج‌افزارها، حملات نقطه فروش یا نقض داده‌ای در خرده‌فروشی‌ها حائز اهمیت نیستند، با این حال، این پتانسیل را دارند تا کاربران زیادی را تحت تأثیر قرار دهند. آنچه این حملات را متوقف نمی‌کند این است که به راحتی قابل اجرا هستند و دفاع کاملاً در برابر آن‌ها دشوار است. در حالی که حملات DoS تنها اصلی دسترس‌پذیری را هدف قرار می‌دهد، اما راهکاری ساده برای مختل کردن ارائه خدمات ارائه می‌کنند. جمله معروفی وجود دارد که می‌گوید هر ابزار یا وسیله قدیمی زمانی به کار خواهد آمد. در دنیای حملات سایبری نیز حملات انکار سرویس رو به افزایش هستند. گزارشی که توسط موسسه Akamai Technologies  به نشانی زیر منتشر شده است:

https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/akamai-state-of-the-internet-report-q1-2016-executive-review.pdf

نشان می‌دهد در سه ماهه اول سال 2017، حملات انکار سرویس رشد 125 درصدی نسبت به نمونه مشابه سال گذشته داشته‌اند. در همین حال، جدیدترین گزارش Verizon نشان داد صنایع و سازمان‌های دولتی، خرده‌فروشی‌ها، خدمات مالی و حتا موسسات آموزشی شبیه به مدارس و دانشگاه‌ها را هدف این حملات قرار دارند. برخی از دانشجویان از این تکنیک به عنوان روشی ساده برای به تعویق انداختن آزمون‌ها استفاده می‌کنند. کافی است تنها چند ساعت سرورهای موسسه از کار بیفتند تا نگرانی از بابت برگزاری آزمون برطرف شود. آنچه این حملات را بسیار ساده می‌کند این است که ابزارهای موجود برای پیاده‌سازی این حملات به راحتی در دسترس قرار ندارند و نیازی نیست کاربران به وب تاریک برای خرید این ابزارها مراجعه کنند. یک جست‌وجوی ساده برای اصطلاح booter صدها سرویس DoS را باز می‌گرداند. بسیاری از سایت‌های بوت‌کننده پرداخت‌ها را از طریق کارت اعتباری، پی‌پال، وسترن یونیون و بیت‌کوین قبول می‌کنند. شکل زیر تنها چند مورد ساده در ارتباط با جست‌وجوی سایت‌های بوت‌کننده را نشان می‌دهد.

بسیاری از هکرها علاقه‌ای به خاموش کردن یک وب‌سایت ندارند، بلکه می‌خواهند از فعالیت‌های هکری خود سود ببرند. در این حالت، حمله DoS ممکن است به عنوان تهدیدی برای اخاذی باشد. در ادامه با قربانی تماس گرفته می‌شود و از آن‌ها درخواست پول می‌شود تا سایت آن‌ها در معرض حمله انکار سرویس قرار نگیرد. کسانی که باج را پرداخت نمی‌کنند، هدف حمله قرار می‌گیرند. به عنوان مثال، Multibet.com از پرداخت باج خودداری کرد و بیش از 20 روز تحت تاثیر حمله DoS قرار گرفت. پس از پرداخت باج، حمله متوقف شد. شرکت‌هایی که هدف حمله هدف قرار می‌گیرند دو گزینه در اختیار دارند: باج را پرداخت کنند و امیدوار باشید که دیگر هدف قرار نگیرند یا پرداخت هرگونه باجی را رد کرده و آماده تبعات آن باشند.

برخی از هکرها حمله انکار سرویس را به عنوان راهکاری برای بیان نظارت خود یا هک به کار می‌گیرند. به این حمله در اصطلاح هکتیویسم می‌گویند که اشاره به استفاده از رایانه‌ها و شبکه‌های کامپیوتری برای بیان عقاید گفته می‌شود. به عنوان مثال، به دنبال حملات DoS در اکتبر سال 2016 سایت‌هایی مانند GitHub ، Twitter ، Reddit ، Netflix ، Airbnb و صدها وب‌سایت دیگر که بازدیدهای میلیونی داشتند از دسترس خارج شدند. در این چند ساعت سایت‌های بزرگ دنیا تحت تاثیر حمله بدافزار Mirai که از تجهیزات اینترنت اشیا استفاده می‌کرد قرار گرفتند، به گونه‌ای که این سایت‌ها برای چند ساعت از دسترس خارج شدند.

نکته: حملات DoS يكي از بزرگترين تهديدات پیرامون اينترنت هستند. حملات DoS ممکن است کاربر یا یک سازمان را هدف قرار داده و اصل دسترس‌پذیری را نقض کنند.

تکنیک‌های مورد استفاده در حمله DoS

حملات انکار سرویس (DoS) با هدف ایجاد اختلال در عملکردهای عادی و ارتباطات عادی انجام می‌شود. پیاده‌سازی یک چنین حملاتی برای هکرها خیلی ساده‌تر از دسترسی به شبکه‌ها است. حملات DoS را می‌توان به شرح زیر طبقه‌بندی کرد:

حملات پهنای‌باند

حملات سیلابی SYN

حملات پروتکل کنترل پیام اینترنت (ICMP)

حملات همتا به همتا (P2P)

حملات در سطح نرم‌افزارها و برنامه‌های کاربردی

حملات انکار سرویس دایمی

حملات پهنای باند

حملات مصرف پهنای باند با مسدود کردن قابلیت ارتباطی یک دستگاه یا گروهی از تجهیزات با هدف مصرف سریع پهنای باند شبکه انجام می‌شود. مهم نیست پهنای باند چقدر زیاد باشد، زیرا همواره محدودیتی در میزان پهنای باند موجود است. اگر مهاجم بتواند پهنای باند را اشباع کند، می‌تواند ارتباطات عادی را به‌طور موثری مسدود کند. در حالی که این حملات قدیمی هستند، اما پیاده‌سازی آن‌ها هنوز هم به شکل قابل توجهی انجام می‌شود. از جمله این حملات به موارد زیر می‌توان اشاره کرد:

■ Fraggle: هدف از این حمله منابع مورد استفاده در تامین پهنای باند است. Fraggle از بسته‌های echo UDP استفاده می‌کند. بسته‌های UDP به شکل پخشی برای آدرس شبکه ارسال می‌شوند. درگاه 7 UDP یک درگاه محبوب است، زیرا این درگاه عملکرد اکو داشته و باعث ایجاد ترافیک اضافی می‌شود. حتی اگر پورت 7 بسته باشد، قربانی همچنان با تعداد زیادی پیام غیرقابل دسترسی ICMP روبرو شده و پس از مدت زمانی از کار خواهد افتاد. در صورت ایجاد ترافیک کافی پهنای باند شبکه به‌طور کامل از دست رفته و ارتباطات متوقف می‌شود.

■ Chargen : سیستم‌های لینوکس و یونیکس گاهی اوقات دارای Echo (پورت 7) و Chargen (پورت 19) هستند. اکو همان کاری که از نامش پیدا است را انجام می‌دهد: یعنی هرآن‌چه دریافت می‌کند را تکرار می‌کند. Chargen مجموعه‌ای کامل از کاراکترهای اسکی را با سرعت زیاد تولید کرده و برای آزمایش و ارسال آماده می‌کند. در این حمله، هکر از بسته‌های جعلی UDP برای اتصال سیستم سرویس Echo به سرویس Chargen که درون سامانه دیگری است استفاده می‌کند. در نتیجه پیاده‌سازی این حمله، ارتباطی دایمی میان دو سیستم به وجود می‌آید که تمام پهنای باند شبکه موجود را مصرف کنند. درست مانند Fraggle و Smurf، پهنای باند شبکه کم شده یا حتا ممکن است اشباع شود.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه رایگان تمام بخش‌های دوره CEH  روی لینک زیر کلیک کنید:

آموزش رایگان دوره CEH

 

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟