منبع اصلی نوشتار زیر در این لینک قرار دارد

LAN و حملات شبکه‌ای

25

مارس

حملات شبکه ای چیست ؟ به طور کلی هر فعالیتی که در راستای بر هم زدن تعامل شبکه ، اختلال در سرویس دهی و دسترسی به اطلاعات غیرمجاز انجام پذیرد در ردیف حملات شبکه ای قرار خواهد گرفت . سه حمله رایج که در شبکه ها انجام می شود و به نوعی ، سایر حملات زیرشاخه هایی از این حملات هستند عبارت اند از : Sniffing،  Spoofing و (DoS(DDoS

کاری که ما انجام دادیم Passive Sniffing بود ، Active Sniffing نیز وجود دارد که در آن فرد با استفاده از ابزارهایی مثل cain شبکه را آلوده می کند. جوری کار می کند که روتر و سوئیچ شبکه شما فریب بخورند . مثلا بسته می خواهد به سیستم شما فرستاده شود، فرستاده می شود به سیستم من . این می شود Active. یعنی نفوذگر در حال فعالیت است وقتی فعالیت می کند می توان شناسایی اش کرد پس حملات Active با توجه به اثراتی که بر روی شبکه دارند قابل شناسایی هستند .

-    Spoofing یا جعل عنوان ( جعل کردن ، خود را به جای فرد دیگری جازدن ) مثلا جا زدن به عنوان DHCP ، DNS یک host. هدف از Spoof غالبا دریافت اطلاعات است برای اینکه به sniff درست برسد . sniff  به صورت passive اصل محرمانگی را تحت تاثیر قرار می دهد و با صحت و دسترس پذیری کاری ندارد . active sniffing ممکن است دسترس پذیری را هم تحت تاثیر قرار دهد ، یعنی شما یک بسته را می خواهید به فرد x برسانید . اما فرد y خود را به جای فرد x جا می زند و بسته های شما به دست y خواهد رسید به جای x . پس محرمانگی و دسترس پذیری تحت تاثیر قرار می گیرند . اگر نفوذگری روی داده شما تغییراتی ایجاد کند یا man in the middle انجام دهد ، session hijacking انجام دهد ، ویا نامه را تغییر دهد و به x بفرستد، آن گاه محرمانگی و صحت تحت تاثیر قرار می گیرند ، اگر نفوذگر سیستمش ضعیف باشد ، کارت شبکه اش ضعیف باشد، شبکه هم مشکل داشته باشد ، دسترس پذیری هم تحت تاثیر قرار میگیرد . پس یکی از اثرات حمله در شبکه می تواند مختل کردن دسترس پذیری باشد .

Dos  :در نهایت حمله­ای که یک نفوذگر ناامید انجام می دهد DoS   است یعنی اگر هیچ کاری نتوانست بکند کاری می کند که سیستم شما هم عملکردش مختل شود .

Sniffing : استراق سمع اطلاعات مبادله شده در شبکه

  • قابل اجرا در شبکه های قدیمی و شبکه های با طراحی و توپولوژی نامناسب ( توپولوژی : به هم بندی و ساختار موجود در شبکه )
  • عامل اصلی ضربه خوردن اکثر شبکه ها
  • این حملات ، غالبا با هدف جمع آوری اطلاعات برای بالا بردن سطح دسترسی و گسترش سیطره نفوذ انجام می شوند .

یک نفوذگر attack vector های مختلف را برری می کند.

 وب، LAN , Social engineering, wireless ، حالت های مختلف exploit کردن واز هر کدام سعی می کند به نتایجی برسد بعد، از نتایجی که بدست اورده است برای ادامه کار استفاده می کند تا به هدفش برسد . مثلا ما Sniff کردیم خوب چه اتفاقی افتاد ؟ باید ببینیم هدفمان چیست ؟ آیا می خواستیم داده ای بدست بیاوریم یا نه می خواستیم پسورد سیستم را عوض بکنیم یا خود سیستم شبکه را کند بکنیم . پس همه ی این تکنیک هایی که می گوییم باید در راستای هدفی که داریم انجام شود.

Sniff در توپولوژی BUS : توپولوژی BUS یا توپولوژی خطی هنوز در بعضی از سازمان ها استفاده می شود . به شکل زیر نگاه کنید.

-    Alice می خواهد به Charley پیغام بفرستد پیغام را روی BUS می فرستد . همه می توانند این پیغام را دریافت بکنند . پس می تواند یک کامپیوتر بر روی BUS قرار بگیرد و Wireshark را جرا کند و به ترافیکی که عبور می کند می توان دسترسی داشت ولی خوب یک سری ویژگی ها را دارد . سئوال : چگونه می توان لپ تاپ خود را به یک شبکه کواکسیال وصل کرد این مستلزم این است که کابل را Cut کنیم . Tconnector را وصل کنیم و یعنی کاری فیزیکی زیاد دارد پس اگر physical security  اش خوب رعایت شود ، sniff آن عملا امکان پذیر نیست .

-    Sniff در توپولوژی Star : یکی از مسائلی که وجود دارد این است که مثلا در یک سازمان دیده می شود که سوییچ در سالن انتظار رها شده است و کابل هم از آن آویزان است که می توان از آن استفاده کرد . در حال حاضر ابزارهایی مثل سیستم های embedded است که کار Sniff را انجام می دهد ( کارت شبکه رها شده را به آن وصل می کنی و می روی . حال آن ابزار اطلاعات را برایتان ارسال می کند ). و یا ماجرای تکه سنگی که درون آن پر از ابزارهایی بود که از تکنولوژی Sensor network استفاده می کردند که اطلاعات را Sense می کردند و از طریق مثلا سنگ های دیگری در کویر آن را پخش می کردند تا به یک سرور برسد (تکه سنگ شنود ) پس اگر امنیت فیزیکی را رعایت کنیم خیلی از مسائل حل می شود .

-    Sniff در توپولوژی Star را در شکل زیر می بینید.

  • سادگی Sniff به علت ساختار ناامن شبکه های استفاده کننده از این توپولوژی و عدم وجود قابلیت های مدیریتی هاب-سوئیچ (توپولوژی star از هاب استفاده می کند  ).
  • ساختار اتصال خارجی به علت سادگی کار هاب
  • دسترسی اطلاعات تمامی ایستگاهها در صورت نفوذ به یکی از سیستم ها . هاب اطلاعات را به همه خروجی هایش broadcast می کند .

با فرض اینکه همه از ساختار تبعیت کنند . حال اگر یک نفوذگر بیاید و به هاب وصل شود . می تواند تمام اطلاعات را Sniff کند .

-    سوئیچ های که الان استفاده می شود ( حتی manageable های آن ) هم در شرایط خاص مانند هاب عمل می کنند . وقتی CAM table پر شود ، دوباره بسته را به همه broadcast می کند . چون اولویت این است که بستر شبکه down نشود؛ اولویت این است که دسترسی برقرار باشد تا اینکه جلوی حمله یک نفوذگر گرفته شود .

-    اگر از سوئیچ به جای هاب استفاده شود مشکلات تماماً حل می شود ؟ در سوییچ به دلیل اینکه به ازای هر پورت یک lookup table ، CAM table دارد که می داند بسته ای که به مقصد x می خواهد برود و نگاه می کند که x کدام پورت است به او می فرستد به نظر می آید که همه چیز امن باشد اما باز هم راه نفوذ در آن وجود دارد .

-    برخی از سوئیچ ها مدیریت پذیر بوده و کنترل جریان داده ها در آن ها موثرتر و ساده می باشد .

سوئیچینگ با mac انجام می شود . سوئیچ ممکن است اصلا لایه IP را نشناسد . انتقال اطلاعات با توجه به آدرس mac انجام می شود . پس نمی­توان به یک سوییچ لایه 2 حمله لایه 3 و4 انجام داد.