منبع اصلی نوشتار زیر در این لینک قرار دارد

تمرین ۲

25

مارس

تمرین : در cmd ویندوز عبارت arp –a را بزنید . شکل زیر را مشاهده کنید.

همانطور که می بینید آدرس های زیادی وجود دارد . چون سیستم های دیگر با آن ارتباط برقرار کرده اند و کلا بین این سیستم و سیستم های دیگر ارتباط شبکه ای برقرار شده است . مثلا ما به یک IP ، telnet زده ایم . بسته می خواست به آن IP برود ولی سوئیچینگ در لایه mac و فیزیکی انجام می شود یعنی نیاز به آدرس mac است . درشکل 1 یک  آی­پی 192.168.100.155 وجود دارد که broadcast است و mac آن نیز FF- FF-FF-FF-FF-FF است.

-    اگر wireshark را اجرا کنید کلی بسته ARP را می بینید . مثلا یک بسته ARP ایجاد کرده و در آن گفته است چه کسی صاحب فلان IP است و آن را به صورت broadcast ارسال کرده است . ( حال این فرد این IP را برای هرکاری ممکن است خواسته باشد ، telnet ، دیدن web ، ssh و ...) . همین جا ممکن است یک حمله دیگر اتفاق افتد . کسی خود را جای دیگری بزند و یک پاسخ نادرست به درخواست ARP ارسال کند و بگوید آن کسی که به دنبالش هستی من هستم. پاسخ یک بسته ARP شامل mac آن IP درخواست شده است ) .

حالا می توان این IP و macها را تغییر داد و منجر به انجام حملاتی شد .

اگر mac سیستم من با سیستم یک نفر دیگر یکسان باشد ( فرض سوئیچ لایه 3 نیست و Port Security نداریم ) سیستم کار می کند به هر دو بسته را نمی دهد به هر کدام که سریعتر جدولش را به روزرسانی کرده باشد می دهد . یعنی سوییچ فکر می کند که این فرد دائما جای خود را بین دو پورت عوض می کند ( جدول را به روزرسانی می کند ) . اگر IP ها یکسان باشد چه اتفاقی می افتد ؟ ( mac متفاوت ) می شود یک کامپیوتر . اگر هم IP و هم mac یکسان باشد ؟ Conflict انجام نمی شود دوباره مثل حالت اول می شود ( فکر می کند دائما در حال جابه جا شدن است ). Conflict زمانی رخ می دهد که مکان دو سیستم را بداند که متفاوت است اما IP هایشان یکسان باشد .

-    در صورتی که Port Security  فعال باشد اگر از یک پورت به پورت دیگر جا به جا شویم دیگر نمی توانیم ارتباط برقرار کنیم .

-    برای مثال یک حمله می تواند این گونه باشد که تا می توانیم جدول arp خود را با برقراری ارتباط با جاهای مختلف ( دریک شبکه ) پرکنیم و IPهای مختلف را ببینیم سازمان ها از میان این IPها ، غالبا آی­پی 192.168.100.1 یا 192.168.100.10را برای server ، gateway و ... قرار می دهند حال می توان mac و IP خود را یکی از IPهای بالا ( که مطمئن شده ایم برای ما نفع دارند) قرار می دهیم ( یکی از این نفع ها این است که مثلاً آی­پی 192.168.100.1 به اینترنت وصل است پس ما هم می توانیم به اینترنت وصل شویم!). راهکار جلوگیری از این کار دفاع در عمق است . مثلا login به ازای اتصال به اینترنت را می توان انجام داد. در مثال بالا اگر برنامه ای که login برای دسترسی به اینترنت را انجام می داد مبتنی بر IP و mac می­بود بعد از انجام یک login موفق ( فرض کنید ما account اینترنت 1 ساعته را داشتیم ) دیگر چون دارای IP و mac فردی هستیم که دسترسی نامحدود به اینترنت دارد ، نامحدود می توانیم از اینترنت استفاده کنیم .

-    به تکنیک قبلی ( که Sourceها را جا می زدیم ) Switch Port Stealing می گویند . یعنی می گویم که  تمام  پورت های سوئیچ خودم هستم .

-    با توجه به تغییر پذیر بودن محتویات look up table توسط Alice و Ali، نفوذگر (Eve) می بایست سرعت لازم در مسموم کردن (Poisoning) این جدول را داشته باشد .

-    تکنیک های دیگری نیز علیه سوئیچ ها به کار گرفته میشود که از آن جمله می توان به تکنیک CAM table flooding اشاره نمود CAM table سوئیچ که پر شود ، سوئیچ مثل hub عمل می کند . از ابزاری به نام hping می توان برای CAM table flooding استفاده نمود .

-    تحقیق : درباره ی حمله APR تحقیق کنید .

-    یکی دیگر از تکنیک هایی که در حمله علیه شبکه ها به کاربرده می شود تکنیک ARP Cache Poisoning نامیده می شود .

-    این تکنیک با توجه به ساختار پروتکل ARP و ضعف برخی سیستم های عامل در مدیریت اطلاعات آن می تواند موثر واقع شود .

مثلا سیستم شما وقتی بسته ای از آن عبور می کند نگاه می کند به اینکه مبدأ آن چه کسی است . IP آن چیست  و این اطلاعات را برای خود نگاه می دارد برای اینکه mac address کاملی داشته باشد . آدرس mac و IP مبدا را برای خود نگه می دارد .

-    اساس کار این تکنیک نیز بر تغییر دادن دلخواه محتویات جدولی در سیستم قربانی استوار است  .