شنود ترافیک شبکه Sniffing چیست؟
Sniffing و یا شنود (در طی مقاله از هر دو نام استفاده خواهیم کرد.) فرآیندی برای نظارت و ضبط کلیه بسته های داده ای است که از طریق شبکه عبور می کنند. Sniffers ها توسط سرپرست شبکه و یا سیستم ها برای نظارت و عیب یابی ترافیک شبکه استفاده می شود. مهاجمان از sniffers ها برای گرفتن بسته های داده ای حاوی اطلاعات حساس مانند رمز ورود، اطلاعات حساب و غیره استفاده می کنند. Sniffers می تواند سخت افزاری یا به صورت نرم افزار نصب شده در سیستم باشد. با قرار دادن یک packet sniffer در شبکه در حالت promiscuous mode، یک متجاوز مخرب می تواند تمام ترافیک شبکه را ضبط و تحلیل کند. انواع مختلفی از ابزارهای استشمام وجود دارد که شامل Wireshark، Ettercap، BetterCAP، Tcpdump، WinDump و غیره می باشد.
تفاوت بین Sniffing و Spoofing
در Sniffing، مهاجم به ترافیک داده های شبکه گوش می دهد و بسته های داده را با استفاده از ابزارهای Sniffing بسته ها را ضبط می کند. در Spoofing ، مهاجم اعتبار یک کاربر را می دزد و از آنها در سیستم به عنوان یک کاربر قانونی استفاده می کند. حملات Sniffing به عنوان man-in-the–middle نیز شناخته می شوند.
انواع شنود (Sniffing)
دو نوع استشمام وجود دارد – فعال و منفعل. همانطور که از نامش پیداست ، فعال شامل برخی فعالیت ها یا تعاملات توسط مهاجم به منظور کسب اطلاعات است. در حالت منفعل ، مهاجم فقط در حالت پنهان است و اطلاعات را بدست می آورد. بیایید ابتدا در مورد استشمام منفعل بحث کنیم.
انواع Sniffing:
Passive Sniffing:
این نوع استشمام در hub اتفاق می افتد. هاب وسیله ای است که ترافیک یک پورت را دریافت می کند و سپس آن ترافیک را در سایر پورت ها دوباره انتقال می دهد. این در نظر گرفته نمی شود که ترافیک برای سایر مقاصد منظور نشده است. در این حالت ، اگر دستگاه اسنیفر در مرکز قرار گرفته باشد، تمام ترافیک شبکه می تواند مستقیماً توسط sniffer دریافت شود. اسنیفیر می تواند مدتها آنجا بدون شناسایی نشسته و از شبکه جاسوسی کند. از آنجا که این روزها از هاب استفاده نمی شود، این نوع حملات یک ترفند قدیمی برای اجرا خواهد بود. هاب ها با سوئیچ جایگزین می شوند و اینجاست که Sniffing به صورت فعال استفاده می شود.
Active Sniffing:
به طور خلاصه، یک سوئیچ یک جدول CAM را تشکیل می دهد که در آن آدرس mac مقصد مربوط به سیستم ها را دارد. بر اساس این جدول، سوییچ می تواند تصمیم بگیرد که پکت شبکه به کجا ارسال شود. در Active Sniffing، هکر با ارسال درخواست های ساختگی به سوئیچ جدول CAM را پر می کند. هنگامی که CAM پر شد، سوئیچ به عنوان یک هاب عمل می کند و ترافیک شبکه را به همه پورت ها ارسال می کند. اکنون ، این ترافیک اصلی سیستم هاست است که به روی همه پورت ها توزیع می شود. به این ترتیب مهاجم می تواند ترافیک را از طریق سوئیچ Sniff کند.
بیایید در مورد برخی از روش های حمله Sniffing در شبکه صحبت کنیم:
MAC flooding:
سیل سوئیچ با آدرس های MAC به طوری که جدول CAM سرریز شده و Sniffing انجام شود.
DNS cache poisoning:
تغییر پرونده های حافظه پنهان DNS به گونه ای که درخواست ها را به وب سایتی مخرب هدایت کند که مهاجم بتواند ترافیک را ضبط کند. وب سایت مخرب ممکن است یک وب سایت واقعی باشد که توسط مهاجم راه اندازی شده است تا قربانیان به وب سایت اعتماد کنند. کاربر ممکن است اطلاعات حساب کاربری خود را وارد کند و هکر بلافاصله آنها را Sniff کند.
Evil Twin attack:
مهاجم از نرم افزار مخربی برای تغییر DNS قربانی استفاده می کند. مهاجم یک DNS دوقلو از قبل راه اندازی کرده است (دوقلوی شیطانی)، که به درخواست ها پاسخ می دهد. به راحتی می توان از این طریق برای اسنیف ترافیک و تغییر مسیر آن به وب سایتی که مهاجم می خواهد، استفاده کرد.
MAC spoofing:
مهاجم می تواند آدرس (های MAC) متصل به سوئیچ را جمع آوری کند. دستگاه اسنیفر با همان آدرس های MAC تنظیم شده است تا پیام هایی که برای دستگاه اصلی در نظر گرفته شده اند، به دستگاه اسنیفر تحویل داده شوند زیرا اسنیفر با سیستم قربانی آدرس MAC یکسانی دارد.
چگونه یک اسنیفر را شناسایی کنیم؟
شناسایی اسنیفر می تواند به میزان پیچیده حمله بستگی داشته باشد. این احتمال وجود دارد که یک اسنیفر برای مدت زمان زیادی پنهان باشد در شبکه و شناسایی نشود. برخی از نرم افزارهای anti-sniffer برای جلب مزاحمان در بازار موجود است اما ممکن است که اسنیفرها از پس آن برآیند و ایجاد امنیت کاذب کنند. اسنیفر می تواند نرم افزاری باشد که بر روی سیستم شما نصب شده باشد، یک دستگاه سخت افزاری متصل شده باشد ویا اسنیفر در سطح DNS یا سایر سیستم های متصل به شبکه باشد. از آنجا که شناسایی آنها تا حدی دشوار است، ما در مورد روشهای بی فایده قرار دادن اطلاعات اسنیف شده برای مهاجم بحث خواهیم کرد.
پروتکل های آسیب پذیر در برابر حملات Sniffing
همانطور که می دانیم شبکه از یک مدل لایه ای پیروی می کند، هر لایه وظیفه ای اختصاصی دارد که لایه بعدی به آن اضافه می کند. تاکنون ما درمورد اینکه چه اتفاقی در حملات اسنیفینگ می افتد صحبت نکردیم. حملات اسنیفینگ پکت ها بر اساس هدف حمله روی لایه های مختلف شبکه انجام می شود. Sniffers می تواند اطلاعات را از لایه های مختلف ضبط کند اما لایه ۳ (شبکه) و ۷ (برنامه) از اهمیت اساسی برخوردار است. از بین همه پروتکل ها، برخی مستعد حملات اسنیفینگهستند. نسخه امن پروتکل ها نیز موجود است اما اگر برخی از سیستم ها هنوز از نسخه های بدون امنیت استفاده می کنند، خطر نشت اطلاعات قابل توجه است. بیایید در مورد برخی از پروتکل های آسیب پذیر در برابر حملات اسنیفینگ صحبت کنیم.
۱. HTTP:
پروتکل انتقال متن در لایه ۷ مدل OSI استفاده می شود. این یک پروتکل لایه برنامه است که اطلاعات را به صورت متن ساده منتقل می کند. این پروتکل زمانی خوب بود که وب سایت ها محتوای استاتیک داشتند یا وب سایت هایی وجود داشتند که نیازی به ورود کاربر نداشتند. هر کسی می تواند یک پروکسی MITM در این بین تنظیم کند و به تمام ترافیک گوش دهد یا آن ترافیک را برای منافع شخصی تغییر دهد. اکنون که وارد دنیای وب ۲ شدیم، باید اطمینان حاصل کنیم که تعامل کاربر با وب ایمن است. این با استفاده از نسخه ایمن HTTP یعنی HTTPS تضمین می شود. با استفاده از https ، ترافیک رمزگذاری می شود.
۲. TELNET:
Telnet یک پروتکل سرویس دهنده-سرویس گیرنده است که امکانات ارتباطی را از طریق پایانه مجازی فراهم می کند. Telnet به طور پیش فرض ترافیک را رمزگذاری نمی کند. هر کسی که به سوئیچ یا هاب دسترسی داشته باشد که سرویس گیرنده و سرور را به هم متصل می کند ، می تواند ترافیک شبکه راه دور را برای نام کاربری و رمز عبور خود بشنود. SSH به عنوان جایگزینی امن برای Telnet استفاده می شود. SSH از رمزنگاری برای انتقال ترافیک استفاده می کند و محرمانگی و یکپارچگی را در ترافیک فراهم می کند.
۳. FTP:
FTP برای انتقال فایل ها بین سرویس گیرنده و سرور استفاده می شود. برای احراز هویت، FTP از نام کاربری متن ساده و مکانیسم رمز عبور استفاده می کند. مانند telnet ، یک مهاجم می تواند برای بدست آوردن دسترسی به تمام فایل های موجود در سرور، از ترافیک شنود کند. FTP می تواند توسط SSL / TLS امن شود یا می توان آن را با نسخه امن تری به نام SFTP (پروتکل انتقال پرونده SSH) جایگزین کرد.
۴ POP:
مخفف پروتکل Post Office است و توسط سرویس گیرندگان ایمیل برای بارگیری نامه های ایمیل از سرور ایمیل استفاده می شود. همچنین برای برقراری ارتباط از مکانیزم متن ساده استفاده شده است از این رو در برابر حملات شنود نیز آسیب پذیر است. POP توسط POP2 و POP3 دنبال می شود که کمی ایمن تر از نسخه اصلی هستند.
۵ SNMP:
پروتکل مدیریت شبکه ساده برای ارتباط با دستگاه های شبکه مدیریت شده در شبکه استفاده می شود. SNMP برای انجام احراز هویت مشتری از پیام های مختلف برای ارتباطات و رشته های جامعه استفاده می کند. رشته های جامعه در واقع دقیقاً مانند گذرواژه ای هستند که با متن واضحی منتقل می شوند. SNMP توسط SNMPV2 و V3 جایگزین شده است نسخه v3 جدیدترین و ایمن ترین است.
برترین ابزارهای شنود ترافیک
۱. Wireshark:
وایرشارک ضبط کننده و تحلیلگر بسته های اپن سورس با پشتیبانی از ویندوز ، لینوکس و غیره ابزاری مبتنی بر GUI است. جایگزین Tcpdump این ابزار از pcap برای نظارت و ضبط بسته ها از شبکه استفاده می کند. بسته ها می توانند بر اساس IP ، پروتکل و بسیاری از پارامترهای دیگر فیلتر شوند. بسته ها را می توان گروه بندی و یا ارتباط اساسی را مشخص کرد. هر بسته را می توان بر اساس نیاز انتخاب و تجزیه کرد.
۲. dSniff:
برای تجزیه و تحلیل شبکه و شنود رمز عبور از پروتکل های مختلف شبکه استفاده می شود. این می تواند انواع پروتکل های (FTP ، Telnet ، POP ، rLogin ، Microsoft SMB ، SNMP ، IMAP و غیره) را برای بدست آوردن اطلاعات تجزیه و تحلیل کند.
مانیتور شبکه مایکروسافت: همانطور که از نام آن پیداست برای ضبط و تحلیل شبکه استفاده می شود. برای عیب یابی شبکه استفاده می شود. برخی از ویژگی های این نرم افزار عبارتند از: گروه بندی ، مجموعه بزرگی از پشتیبانی پروتکل (۳۰۰+)، حالت مانیتور بی سیم مونتاژ مجدد پیام های قطعه قطعه شده و غیره
۳. Debookee:
این یک ابزار پولی است که می تواند برای نظارت و تجزیه و تحلیل شبکه مورد استفاده قرار گیرد. این دستگاه بدون توجه به نوع دستگاه (لپ تاپ ، دستگاه ها ، تلویزیون و غیره) می تواند ترافیک دستگاه هایی را که در آن شبکه هستند رهگیری و تجزیه و تحلیل کند. ماژول های مختلفی را ارائه می دهد:
- ماژول تجزیه و تحلیل شبکه: اسکن برای دستگاه های متصل ، رهگیری ترافیک در یک زیر شبکه ، اسکنر پورت TCP ، تجزیه و تحلیل شبکه و نظارت بر پروتکل های HTTP ، DNS ، TCP ، DHCP ، تجزیه و تحلیل تماس های VoIP و غیره
- ماژول نظارت بر WiFi: جزئیات نقاط دسترسی در محدوده رادیو ، جزئیات مشتری بی سیم ، آمار wifi و غیره
- ماژول رمزگشایی SSL / TLS: پشتیبانی از نظارت و تجزیه و تحلیل پروتکل های ایمن.
اقدامات پیشگیرانه در برابر حملات Sniffing
اتصال به شبکه های مورد اعتماد: آیا به Wi-Fi رایگان ارائه شده توسط کافی شاپ اعتماد دارید؟ اتصال به هر شبکه عمومی خطر شنود ترافیک را دارد. مهاجمان با استفاده از عدم دانش کاربر، این مکان های عمومی را انتخاب می کنند. شبکه های عمومی در حال راه اندازی هستند و پس از آن ممکن است از نظر هرگونه نفوذ یا اشکال کنترل شود. مهاجمان می توانند آن شبکه را بو بکشند یا شبکه جدیدی با نامهای مشابه برای خود ایجاد کنند تا کاربران فریب عضویت در آن شبکه را بخورند. مهاجمی که در فرودگاه نشسته است می تواند Wi-Fi با نام “Free Airport Wi-Fi” ایجاد کند و کاربران اطراف می توانند با ارسال همه داده ها از طریق سیستم مهاجم به آن متصل شوند. در اینجا نکته احتیاط این است که شما فقط باید به شبکه مورد اعتماد خود متصل شوید شبکه خانگی ، شبکه دفتر و غیره
رمزگذاری کنید! رمزگذاری کنید! رمزگذاری کنید! : تمام ترافیکی را که از سیستم شما خارج می شود رمزگذاری کنید. این اطمینان می دهد که حتی در صورت شنود شدن ترافیک، مهاجم قادر به درک آن نخواهد بود. نکته ای که در اینجا باید به آن توجه شود این است که امنیت شبکه در اصل در دفاع در عمق است. رمزگذاری داده ها به این معنای این نیست که اکنون همه چیز ایمن است. مهاجم ممکن است بتواند داده های زیادی را بدست آورد و حملات رمزنگاری شده را انجام دهد تا چیزی از آن خارج شود. استفاده از پروتکل های امن رمزگذاری شده در ترافیک را تضمین می کند و باعث ایجاد امنیت در ترافیک می شود. وب سایت هایی که از پروتکل https استفاده می کنند نسبت به وب سایت هایی که از HTTP استفاده می کنند امنیت بیشتری دارند چگونه این امر محقق می شود؟ با استفاده از رمزگذاری
اسکن و نظارت بر شبکه: شبکه ها باید برای هر نوع اقدام به نفوذ یا دستگاه های متقلبی که ممکن است در حالت شنود برای دریافت ترافیک تنظیم شوند، اسکن شوند. سرپرستان شبکه باید بر روی شبکه نظارت داشته باشند تا از امنیت دستگاه اطمینان حاصل کنند. تیم فناوری اطلاعات می تواند از تکنیک های مختلفی برای تعیین حضور تجهیزات شنود در شبکه استفاده کند. نظارت بر پهنای باند یکی از موارد مهم است ، ممیزی دستگاه هایی که روی حالت promiscuous mode تنظیم شده اند و غیره. اگر به مطالب این مقاله علاقه داشتید شاید بد نیست نگاهی به دوره آموزش CEH داشته باشید.
امیدوارم از خواندن این مقاله لذت برده باشید، در صورت تمایل سوالات خود را در بخش نظرات زیر ارسال کنید.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.