متدولوژی نفوذ به شبکه
Hacker ها می توانند از تعدادی از متدها برای فرار از امنیت شبکه و کسب دستیابی به اطلاعات استفاده کنند از جمله:
- تجسس(snooping)
- تقلید(Spoofing)
- کشف کلمه رمز(Password Compromise)
- حمله سلب سرویس(Denial-of-service attack)
- حمله شخص واسط(Man-in-the-middle attack)
- حمله سطح برنامه(Application-level attack)
- کشف کلید(Key Compromise)
تجسس(snooping):
اکثر داده هایی که از طریق اینترنت فرستاده می شوند،به شکل متن خوانا و رمز نشده اند.هر کسی (Hacker)با یک ردیاب شبکه مثل برنامه Network Monitor که با Systems Management server
و یا برنامه های غیره .... می تواند به آسانی پیغام های رمزنگاری نشده را در هنگامی که از شبکه عبور می کنند ، بخواند.
برخی از برنامه های سرور که لیست کلمه عبور و اسم کاربری خاص خود را حفظ می کنند ف اجازه می دهند که اطلاعات Logon ه شکل متن آزاد از طریق شبکه عبور کنند.Hacker ها با استفاده از برنامه های ردیابی که به راحتی قابل دستیابی هستند ، می توانند به یک پورت موجود در یک هاب یا سوئیچ وصل شوند و به این اطلاعات دستیابی پیدا کنند.استفاده از متن رمزنگاری نشده ، دستیابی به اطلاعات را برای جاسوس آسان می کند.چنین اطلاعاتی ممکن است شامل شماره کارت های اعتباری،شماره Social security ، محتویات پیغام های Email شخصی و اسرار اختصاصی سازمان باشد.
تقلِِید(Spoofing):
آدرس هاِِی، IP منبع و مقصد،پِِیش نِِیاز برقرارِِی نشست بِِین كامپِِیوتر ها روِِی ِِیك شبكه مبتنِِی بر (TCP/IP) مِِی باشد.عمل تقلِِید IP ِِیعنِِی به خود گرفتن هوِِیت ِِیك كامپِِیوتر مِِیزبان مجاز روِِی شبكه ، براِِی كسب دستِِیابِِی به كامپِِیوتر هاِِی روِِی شبكه داخلِِی.اصطلاح دِِیگر براِِی تقلِِید impersonation است.مهاجم،ِِیك كامپِِیوتر با ِِیك آدرس IP مجاز را تقلِِید مِِی كند.ِِیك حمله مبتنِِی بر تقلِِید راِِیج حمله شماره سرِِیال TCP/IP است.
حمله شماره سرِِیال TCP/IP
TCP مسئول اطمِِینان ارتباطات روِِی ِِیك شبكه مبتنِِی بر TCP/IP است.اِِین مسئولِِیت شامل تاِِیِِید اطلاعاتِِی است كه به مِِیزان مقصد فرستاده مِِی شود.براِِی ردِِیابِِی باِِیت كه از طرِِیق شبكه فرستاده مِِی شوند به هر قطعه ِِیك شماره سرِِیال داده مِِی شود.ِِیك Hacker با تجربه مِِی تواند بِِین دو كامپِِیوتر، الگوِِی شماره سرِِیال اِِیجاد كند، زِِیرا الگوِِی سرِِیال تصادفِِی نِِیست.
ابتدا Hacker باِِید به شبكه دستِِیابِِی پِِیدا كند.بعد باِِید به ِِیك سرور وصل شود و الگوِِی سرِِیال بِِین سرور و مِِیزبان معتبرِِی كه در حال ارتباط با آن است را تجزِِیه و تحلِِیل كند.بعد حمله كننده به شماره سرِِیال TCP/IP سعِِی مِِی كند با تقلِِید (وانمود نمودن) آدرس IP ِِیك مِِیزبان معتبر به سرور وصل شود.براِِی جلوگِِیرِِی از پاسخ مِِیزبان معتبر، تقلِِید كننده روِِی مِِیزبان معتبر،ِِیك حمله DDOS را شروع مِِی كند.
از آنجاِِیِِی كه مِِیزبان معتبر نمِِی تواند پاسخ دهد، تقلِِید كننده منتظر مِِی ماند تا سرور پاسخ خود را بفرستد و بعد با شماره سرِِیال درست پاسخ مِِی دهد.بعد سرور فكر مِِی كند كه كامپِِیوتر تقلِِید كننده، همان مِِیزبان معتبر است و تقلِِید كننده مِِی تواند شروع به انتقال داده ها كند.
كشف كلمه عبور(Password Compromise):
كاربرانِِی كه دستِِیابِِی غِِیر مجاز به كلمات عبور شبكه بدست مِِی آورند مِِی توانند به منابعِِی دست ِِیابِِی پِِیدا كنند كه به طرِِیق دِِیگرِِی نمِِی توانستند از آنها استفاده كنند. چند راه وجود دارد كه مهاجم مِِی تواند از كلمات عبور آگاهِِی پِِیدا كند:
• مهندسِِی اجتماعِِی(Social engineering): Hacker با استفاده از ِِیك هوِِیت تقلِِیدِِی (وانمود شده) با ِِیك شخص تماس برقرار مِِی كند و بعد از كسِِی كه حق دستِِیابِِی به اطلاعات مورد نظر را دارد درخواست كلمه عبور مِِی كند.
• ردِِیابِِی (Sniffing): بسِِیارِِی از برنامه هاِِی شبكه اِِی اجازه مِِی دهند كه اسم كاربرِِی و كلمه عبور به صورت رمزنگارِِی نشده از شبكه عبور كنند.Hacker مِِی تواند از ِِیك برنامه ردِِیاب براِِی بدست آوردن اِِین اطلاعات استفاده كند.
• شكستن (Cracking):شكستن كلمه عبور(cracker)مِِی تواند از چند تكنِِیك براِِی دست ِِیابِِی غِِیر مجاز به كلمات عبور استفاده كند.حملات دِِیكشنرِِی و حملات brute force از جمله تكنِِیك هاِِی شكستن كلمه عبور هستند.(براِِی اطلاعات بِِیشتر مقاله آقاِِی مسافر را بخوانِِید.)
اگر كلمه عبور ِِیك Admin كشف شود Hacker مِِی تواند به تمام منابع شبكه كه با كنترل هاِِی دستِِیابِِی محافظت شده اند دستِِیابِِی پِِیدا كند. به اِِین ترتِِیب Hacker به كل پاِِیگاه داده account هاِِی كاربرِِی دست ِِیابِِی دارد و مِِی تواند از اِِین اطلاعات براِِی دستِِیابِِی به تمام فاِِیل ها و پوشه ها ، تغِِیر اطلاعات مسِِیر ِِیابِِی و تغِِیر اطلاعات بدون اطلاع از كاربرانِِی كه به ان اطلاعات وابسته اند استفاده كند.
حملات سلب سروِِیس(Denial-of-Service Attacks):
چند حمله سلب سروِِیس وجود دارد.تمام اِِیت تكنِِیك ها در تواناِِیِِی مختل كردن كاركرد طبِِیعِِی كامپِِیوتر ِِیا سِِیستم عامل روِِی ماشِِین هدف مشترك هستند.اِِین حملات مِِی توانند شبكه را با جرِِیانِِی از بسته هاِِی بِِی استفاده پر كنند،منابع حافظه را خراب و ِِیا به طور كامل از آن استفاده كنند و ِِیا از ِِیك نقطه ضعف در ِِیك برنامه شبكه اِِی سو استفاده كنند حملات DDOS اِِینها هستند:
♦ حمله TCP SYN
♦ حمله SMURF
♦ حمله Teardrop
♦ حمله Ping of Death
توضِِیحات جزئِِی درباره اِِین نوع حملاتß
حملات TCP SYN
وقتِِی كه كامپِِیوتر ها روِِی ِِیك شبكه مبتنِِی بر TCP/IP،ِِیك نشست برقرار مِِی كنند،ِِیك روند handshake(دست دادن) سه طرفه را به صورت زِِیر دنبال مِِی كنند:
1- سروِِیس گِِیرنده مبدا ِِیك بسته مِِی فرستد كه SYN flag آن on شده است.اِِین مِِیزبان ، ِِیك شماره سرِِیال در بسته (Packet)دارد.سرور از اِِین شماره سرِِیال در مرحله بعد استفاده مِِی كند.
2- سرور ِِیك بسته را به مِِیزبان مبدا بر مِِی گرداند كه SYN flag آن on شده است.اِِین بسته، ِِیك شماره سرِِیال دارد كه نسبت به شماره اِِی كه بوسِِیله كامپِِیوتر درخواست كننده فرستاده شده است ِِیك واحد اضافه مِِی شود.
3- سروِِیس گِِیرنده با ِِیك بسته كه شماره سرِِیال را با افزاِِیش دادن شماره سرِِیال به اندازه ِِیك واحد تاِِیِِید مِِی كند، به درخواست پاسخ مِِی دهد.
هر وقت كه ِِیك مِِیزبان درخواست ِِیك نشست با ِِیك سرور مِِی كند، اِِین دو روند handshake سه طرفه را انجام مِِی دهد.Hacker مِِی تواند با اِِیجاد چند درخواست نشست كه از آدرس هاِِی IP با مبدا جعلِِی شروع مِِی شوند از اِِین روند سوء استفاده كند.وقتِِی كه سرور منتظر رخ دادن مرحله 3 است، هر درخواست باز را در ِِیك صف قرار مِِی دهد.مدخل هاِِی صف معمولا هر 60 ثانِِیه خالِِی مِِی شوند.
اگر Hacker بتواند صف را پر نگه دارد، به درخواست هاِِی مجاز براِِی اتصال، پاسخ داده نخواهد شد و به اِِین صورت سروِِیس به كاربران مجاز email،wb،FTP و سروِِیس هاِِی دِِیگر مرتبط با IP داده نمِِی شود.
حملات SMURF
حمله SMURF سعِِی مِِی كند تا شبكه را با فرستادن جرِِیان زِِیادِِی از درخواست ها و پاسخ هاِِی انعكاسِِی(ICMP) به شبكه غِِیر فعال كند. Hackerِِیك آدرس IP مبدا را تقلِِید مِِی كند و بعد ِِیك درخواست انعكاسِِی ICMP به ِِیك آدرس ارسال همگانِِی مِِی فرستد.اِِین عمل باعث مِِی شود كه تمام ماشِِین هاِِی روِِی ِِیك قطعه به درخواست جعلِِی پاسخ دهند.اگر Hacker بتواند اِِین حمله را به مدت طولانِِی حفظ كند، به علت جرِِیان زِِیاد پِِیغام هاِِی پاسخ و در خواست انعكاسِِی ICMP كه از سِِیم عبور مِِی كنند،هِِیچ اطلاعات سودمندِِی نمِِی تواند از طرِِیق شبكه عبور كند.
حملات Teardrop
حمله Teardrop با استفاده از ِِیك برنامه مثل Teardrop كه باعث جدا سازِِی شبِِیه جداسازِِی مشاهده شده در حمله Ping of Death مِِی شود،اِِین حمله از ِِیك نقطه ضعف در روند تركِِیب،استفاده مِِی كند و مِِی تواند باعث hang كردن ِِیا crash سِِیستم شود.
Ping of Death
Ping of Death از قابلِِیت هاِِی ICMP و اندازه واحد متوسط انتقال (MTU)معمارِِی هاِِی مختلف شبكه بهره مِِی گِِیرد.فرمان Ping،ِِیك درخئاست انعكاسِِی ICMP را مِِی فرستد و بوسِِیله مِِیزبان مقصد،ِِیك پاسخ انعكاسِِی ICMP به آن برگردانده مِِی شود.1ِِیغام درخواست انعكاسِِی ICMP در ِِیك بسته IP قرار مِِی گِِیرد كه به 65.535 و octet محدود است.MTU،حداكثر اندازه ِِیك واحد براِِی معمارِِی شبكه تعرِِیف شده را تعِِیِِین مِِی كند كه بسته به نوع وسِِیله (رسانه)تغِِیِِیر مِِی كند.
اگر اندازه ِِیك بسته بزرگتر از MTU باشد،بسته قطعه قطعه مِِی شود و بعد در مقصد دوباره تركِِیب مِِی شود. فرستادن ِِیك بسته با بِِیش از تعدادمجاز octetها ، غِِیر ممكن است.وقتِِی كه بسته ها قطعه قطعه مِِی شوند،ِِیك مقدار offset براِِی تركِِیب و سر هم كردن قطعات در مقصد به كار مِِی رود.Hacker مِِی تواند به همراه آخرِِین قطعه ، ِِیك offset مجاز و ِِیك اندازه بسته بزرگتر همراه كند.اِِین از تعداد مجاز octetها در بخش داده هاِِی درخواست انعكاسِِی ICMP تجاوز مِِی كند.وقتِِی كه سعِِی مِِی شود تا تركِِیب صورت گِِیرد كامپِِیوتر مقصد مِِی تواند با reboot شدن و ِِیا crash كردن پاسخ دهد.
حملات شخص واسط(Man-in-the-Middle Attacks):
حمله شخص واسط وقتِِی رخ مِِی دهد كه هر دو طرف فكر مِِی كنند كه فقط با ِِیكدِِیگر ارتباط برقرار كرده اند ولِِی در واقع ِِیك شخص واسط وجود دارد كه بِِی صدا به مكالمه گوش مِِی دهد.شخص واسط مِِی تواند با تقلِِید هوِِیت فرستنده ِِیا درِِیافت كننده ، در مكالمه مداخله كند،Hacker مِِی تواند پِِیغام ها در هنگام انتقال تغِِیِِیر داده ِِیا از بِِین ببرد.
با استفاده از ِِیك ردِِیاب شبكه ، Hacker مِِی تواند پِِیغام ها را براِِی استفاده هاِِی بعدِِی ثبت و ذخِِیره كند و به اِِین صورت به Hacker امكان داده مِِی شود كه حمله تكرارِِی دِِیگرِِی را انجام دهد.شخص واسط با ثبت كردن جنبه هاِِیِِی از مكالمه ، مِِی تواند از اِِین اطلاعات استفاده كند تا در آِِینده بتواند بر مكانِِیزم هاِِی اعتبار سنجِِی شبكه غلبه كند.اِِین ِِیك حمله replay نامِِیده مِِی شود.
حملات هداِِیت شده توسط برنامه(Application-Directed Attacks):
حملات هداِِیت شده توسط برنامه،سعِِی مِِی كنند تا از نقطه ضعف هاِِی موجود در برخِِی برنامه هاِِی شبكه اِِی بهره گِِیرند.ِِیك مهاجم با بهره كِِیرِِی از نقطه ضعف هاِِی موجود در اِِین برنامه هاِِی شبكه اِِی مِِی تواند:
◘ فاِِیل هاِِی مهم سِِیستم عامل را خراب كند و ِِیا تغِِیِِیر دهد.
◘ محتواِِی فاِِیل هاِِی داده اِِی را تغِِیِِیر دهد.
◘ باعث شود كه برنامه شبكه اِِی و ِِیا كل سِِیستم عامل به صورت غِِیر طبِِیعِِی كار كند و ِِیا حتِِی crash كند.
◘ امنِِیت طبِِیعِِی و كنترل هاِِی دستِِیابِِی كه بوسِِیله برنامه ِِیا سِِیستم عامل حفظ مِِی شود را مختل كند.
◘ برنامه ِِیا برنامه هاِِیِِی را كار بگذارد كه بتوانند اطلاعات را به مهاجم برگردانند.Back Orifice مثالِِی از چنِِین برنامه است.چندِِین مثال از چنِِین حمله هاِِی هداِِیت شده توسط برنامه وجود دارد.سرورهاِِی وب،اغلب هدف چنِِین حمله هاِِی قرار مِِی گِِیرند.براِِی مثال كرم Code Red ِِیا وِِیروس ساسر كه هر كدام كار خاصِِی انجام مِِی دادند از جمله نصب Back door براِِی Hackerها نصب ابزارهاِِی DDOS و غِِیره
حملات كلِِید كشف شده:
ِِیك كلِِید،ِِیك عدد ِِیا ِِیك رمز است كه مِِی توان از آن براِِی صحت سنجِِی جامعِِیت ِِیك ارتباط و ِِیا رمزنگارِِی محتوِِیات ِِیك ارتباط استفاده كرد.جندِِین نوع كلِِید وجود دارد.ِِیك نوع كلِِید،كلِِید سرِِی نامِِیده مِِی شود.كامپِِیوتر فرستنده،محتوِِیات ِِیك پِِیغام را با استفاده از ِِیك كلِِید سرِِی رمزنگارِِی مِِی كند و كامپِِیوتر درِِیافت كننده پِِیغام را با همان كلِِید سرِِی رمزگشاِِیِِی مِِی كند.با استفاده از اِِین كلِِید سرِِی مشترك دو كامپِِیوتر مِِی توانند به صورت خصوصِِی با هم ارتباط داشته باشند.
ِِیك نوع دِِیگر از كلِِید سرِِی،كلِِید خصوصِِی است.از كلِِید خصوصِِی سرِِی مِِی توان براِِی تاِِیِِید هوِِیت ِِیك فرستنده استفاده كرد.اِِین روند،امضاِِی ِِیك پِِیغام نامِِیده مِِی شود.ِِیك درِِیافت كننده كه پِِیغام را درِِیافت مِِی كند كه بوسِِیله كلِِید خصوصِِی شخص دِِیگرِِی امضاء شده است،مِِی تواند مطمئن باشد كه شخصِِی كه ادعا مِِی كند پِِیغام را فرستاده است در حقِِیقت خود شخص است.
هكرِِی كه به نحوِِی به اِِین كلِِید ها دستِِیابِِی پِِیدا كند،مِِی تواند با اِِین هوِِیت جعلِِی با استفاده از كلِِید خصوصِِی شخص دِِیگرِِی ارتباط برقرار كند.هكرِِی كه به ك كلِِید سرِِی مشترك دستِِیابِِی پِِیدا كند،مِِیتواند پِِیغام هاِِیِِی را كه بوسِِیله اِِین كلِِید رمزنگارِِی شده اند،رمزگشاِِیِِی كند.
وقتِِی كه كلِِیدهاِِی سرِِی دِِیگر به صورت سرِِی باقِِی نمانند مِِی گوِِیند كشف شده اند،دِِیگر نمِِی توانند براِِی امنِِیت دادن به هوِِیت ها و اطلاعات به كار روند.فهم اِِین مطلب كه كلِِیدِِی كشف شده است اغلب تلاش سختِِی است.اغلب تنها راه فهمِِیدن اِِینكه كلِِیدِِی كشف شده است وقتِِی مِِی باشد كه اطلاعات حِِیاتِِی كشف شده است،درست مثل جاسوسِِی در شركت ها.
