چکیده :
در دنیای اینترنت و شبکه, هرگاه شخصی از هویت کسی دیگر استفاده کرده و اقدام به سواستفاده نماید را spoofing گویند. این دزدیدن هویت می تواند دزدیدن شناسه کاربری یک شخص و یا استفاده نا به جا از شماره آی پی وی و یا هرگونه اقدام دیگری در جهت جعل هویت شخص مورد نظر باشد. هرگاه شخصی بتواند از راه های گوناگون کارهایی را که شما انجام می دهید از روی اینترنت و شبکه مخفیانه دنبال کند می گویند وی در حال sniff کردن است. از دیدگاه مهندسین شبکه و کامپیوتر این می تواند به مثابه کنترل ترافیک ورودی و خروجی اطلاعات ما بین کامپیوترهای مختلف باشد. کسانی که اقدام به این کار می کنند عموماً برنامه ای را بر روی سیستم شخص قربانی نصب کرده و هرگاه فرد قربانی به اینترنت وصل شد اطلاعات زیر نظر گرفته شده ( بسته به نوع نرم افزار نصب شده روی سیستم قربانی) به ایمیل شخص هکر و یا بهتر است بگوییم شخص sniffer فرستاده می شود.
کلمات کلیدی
ARP , IP , TCP/IP , IP/Ethernet , MAC , IP Spoofing , ARP Spoofing , Web Spoofing , MiM attack , DoS,ARPoison ,Parasite, Ettercap , RARP , DNS , man in the middle attack , non-blind spoofing , blind spoofing , ARPWATCH , Hijacking , Cloning , IP/MAC .
مقدمه
Spoofing به معنی وانمود کردن به چیزی است که وجود ندارد. در اصطلاحات اینترنتی Spoofing به معنی وانمود کردن به یک آدرس اینترنتی متفاوت از کسی است که شما برای به دست آوردن چیزی آن را دارا هستید که می توان اطلاعاتی مثل شماره های کارت اعتباری، رمزها، اطلاعات شخصی و یا توانایی انجام اعمالی بااستفاده از هویت شخص دیگری باشد.
برخی از حملات بالقوه Spoofing از نظر تکنیکی دشوار هستند و بقیه معمولی.
برای اینکه شما بتوانید در مقابل Spoofing از خود دفاع کنید؛ راه های متفاوتی وجود دارد. برخی از حملات روی اشتباه یا درک نادرست کاربر تکیه دارند. ممانعت از نوع حملات مشکل تر است چون کاربران لزوماً دارای مهارت فنی مورد نیاز برای درک آنچه در حال رخ دادن است نیستند. ضمن اینکه تکنولوژی ای که آن ها از آن استفاده می کنند، با استفاده از واژه های غیر فنی خود را بیان نمی کند.
در این مقاله چندین حمله Spoofing و راه های دفاعی ممکن در مقابل آن ها مورد بررسی قرار گرفته است.
Spoofing : یک دید کلی از برخی تهدیدات کنونی Sooping
مقدمه
Spoofing به شکل های زیادی در جهان کامپیوتر به کار گرفته می شود که هر کدام نیاز به برخی از انواع نمایش جهلی اطلاعات دارند. متدهای متنوع و انواع گوناگونی از spoofing وجود دارد که چهار نوع از آن ها عبارتند از:
• IP
• ARP
• Web
• DNS
هیچ نوع استفاده قانونی یا مفیدی برای به کار بردن هیچ کدام از انواع spoofing وجود ندارد. برخی از اهداف می تواند سرگرمی، دزدی ،انتقام و یا برخی اهداف بد خواهانه دیگر باشد. اثر این حملات می تواند خیلی شدید باشد و می تواند میلیون ها دلار هزینه برای ما ایجاد کند و نباید توسط جامعه امنیت اینترنت نادیده گرفته شود.
IP Spoofing
IP spoofing برای دسترسی غیر مجاز به یک کامپیوتر مورد استفاده قرار می گیرد. حمله کننده بسته های کوچکی را به همراه یک آدرس منبع به یک کامپیوتر می فرستد که این آدرس مشخص می کند که بسته از طرف یک پورت یا سیستم معتبر آمده است. حمله کننده ها باید برای اجرای این کار برخی مراحل پیچیده را با دقت انجام دهند. آنها باید :
• یک مقصد پیدا کنند
• آدرس IP یک ماشین معتبر را بیابند
• ارتباطات ماشین معتبر را غیر فعال کنند
• از یک ارتباط بین مقصد و میزبان های معتبر نمونه برداری کنند
• شماره های ترتیبی ماشین معتبر را حدس بزنند
• Header بسته را تغییر دهند به طوری که در ظاهر نشان دهد که بسته ها از میزبان معتبری می آیند
• برای برقراری ارتباط با آدرس یک سرویس یا پورت معتبر تلاش کنند
• اگر تلاش ها موفقیت آمیز بود حمله کننده برخی از انواع دسترسی پنهانی را برای رجوع بعدی مستقر خواهد کرد
سیستم A با فرستادن آدرس سیستم B به جای آدرس خود هویت سیستم B را جعل خواهد کرد. دلیل این کار این است که سیستم ها به فعالیت درون گروه هایی از سیستم های "معتبر" گرایش دارند.این اعتبار به صورت یک به یک پیاده سازی شده است. سیستم A سیستم B را معتبر می سازد. IP spoofing به صورت زیر اتفاق می افتد:
اگر سیستم A سیستم B را معتبر کند و سیستم C سیستم B را spoof کند، در نتیجه سیستم C می تواند به سیستم A دسترسی غیرمجاز پیدا کند.
یکی از نقاط ضعف IP spoofing این است که C هرگز پاسخ های A را نمی بیند که این یک حمله کاملاً کور ( blind) است. تجربه زیاد و آگاهی از پاسخ های مورد انتظار از طرف مقصد برای اجرای موفقیت آمیز حمله مورد نیاز است. برخی از روش های متداول برای جلوگیری از این نوع حمله، غیرفعال کردن بسته های مسیریابی شده و غیرفعال کردن تمام بسته های خارجی ورودی با آدرس منبع مشابه به عنوان یک میزبان محلی می باشد.
ARP Spoofing
ARP (Address Resolution Protocol) جهت انتساب آدرس های IP به آدرس های سخت افزاری مورد استفاده قرار می گیرد. از یک جدول، معمولاً به نام ARP cache جهت نگهداری رابطه بین هر آدرس MAC با آدرس IP متناظر با آن استفاده می شود. ARP قوانین پروتکل برای ایجاد این ارتباط و فراهم کردن تحلیل آدرس در هر دو جهت را فراهم می سازد. زمانی که یک بسته دریافتی به یک ماشین میزبان روی یک شبکه فرستاده می شود، وارد یک مسیریاب می شود و از برنامه ARP می خواهد تا یک آدرس MAC مطابق با آدرس IP بیابد. برنامه ARP در ARP cache جستجو می کند و اگر آدرس را پیدا کرد آن را طوری آماده می کند که بسته بتواند به طول و شکل صحیح بسته تبدیل شده و به ماشین فرستاده شود. اگر هیچ ورودی برای آدرس IP پیدا نشد ARP یک بسته درخواست با شکلی خاص را به تمام ماشین های روی شبکه ارسال می کند تا بفهمد که آیا ماشینی می داند که آن آدرس IP برای چه کسی است. ماشینی که آدرس IP را به عنوان آدرس خود تشخیص دهد یک پاسخ برمی گرداند. ARP ، ARP cache را برای رجوع بعدی به روز رسانی می کند و بسته ای را به آدرس MAC پاسخ دهنده می فرستد. یک مثال از درخواست ارسال ARP :
یک نفر ممکن است نتیجه گیری کند که این مدل آدرس دهی نیز می تواند برای تآمین یک میزبان با اطلاعات ناصحیح spoof شود. ARP spoofing نیاز به ساختن درخواست ARP و بسته های پاسخ جعلی دارد. با فرستادن پاسخ های ARP جعلی، یک کامپیوتر مقصد برای فرستادن فریم ها به کامپیوتر A به جای ارسال به کامپیوتر B ملزم می شود که این کار به فرآیند مسموم کردن ARP اشاره دارد.
هم اکنون برنامه هایی وجود دارند که فراین مسموم کردن ARP را اتوماتیک می کند. ARPoiso - ، Ettercap و Parasite. هر سه این برنامه ها دارای قابلیت ایجاد بسته های spoof ARP شده، ارسال از مسیر دیگر و یا اجرای برخی از انواع حملات man in the middle می باشد.
فعال کردن مقید سازی MAC در یک سوییچ یا پیاده سازی جداوول ARP ثابت، ممانعت از ARp spoofing را محقق می سازند. مقید سازی MAC باغث می شود تا یک آدرس یکبار به یک آداپتور انتقال داده شود که بدون مجوز نمی تواند تغییر کند.
مدیریت ARP ثابت تنها در یک شبکه خیلی کوچک به طور واقع بینانه ای تحقق یافته است. در یک شبکه دینامیکی بزرگ مدیریت وظیفه نگهداری از ورودی های به روز رسانی شده غیر ممکن خواهد بود. ARPWATCH برای سیستم های بر پایه Unix تغییرات ARP cache را نظارت کرده و درباره تغییرات به مدیر هشدار می دهد.
Web Spoofing
Web Spoofing یک حمله امنیتی است که اجازه می دهد یک دشمن تمام صقحات وب فرستاده شده به ماشین قربانی را مشاهده کرده و تغییر دهد و تمام اطلاعات وارد شده در فرم ها توسط قربانی را مشاهده نماید. Web Spoofing روی هر در جستجوگر (browser) اصلی کار می کند و توسط ارتباطات امن از ممانعت شده است.
حمله کننده می تواند تمام صفحات وب و محتویات فرم را مشاهده کرده و تغییر دهد ، حتی زمانی که جستجوگر نشان می دهد که ارتباط امنی وجود دارد و کابرا هیچ چیز غیر عادی نمی بیند.
حمله با استفاده از JavaScript و plug-in سرور وب پیاده سازی شده است و در دو بخش کار می کند. ابتدا حمله کننده باعث می شود یک پنجره browser با برخی شرایط نرمال و اطلاعات منوی جایگزین شده توسط مولفه های مشابه فراهم شده توسط حمله کننده، روی ماشین قربانی ایجاد شود. سپس حمله کننده باعث می شود تمام صفحات وب معین شده برای ماشین قربانی توسط سرور حمله کننده از مسیری دیگر فرستاده شود. روی سرور حمله کننده صفحات دوباره به گونه ای نوشته می شووند که ظاهر آن ها اصلاً تغییری نکند، اما هر عمل انجام شده توسط قربانی ( از قبیل کلیک کردن روی یک لینک) توسط حمله کننده ثبت خواهد شد. به علاوه هر تلاش قربانی برای load کردن یک صفحه جدید باعث خواهد شد که صفحه به تازگی load شده توسط سرور حمله کننده فرستاده شود به طوریکه حمله روی صفحه جدید ادامه خواهد یافت.
زمانی که قربانی یک صفحه وب آلوده را بازدید کند یا یک پیام e-mail آلوده را دریافت کند، حمله آغاز خواهد شد.
Browser های کنونی از Web Spoofing جلوگیری نمی کنند و به نظر می رسد حرکت کوچکی در جهت مورد توجه قرار دادن این مشکل شکل گرفته است. ما اعتقاد داریم که تجارت الکترونیکی ایمن روی وب نمی تواند وجود داشته باشد تا زمانی که آسیب پذیری Web Spoofing مورد توجه قرار گیرد.
تعداد زیادی ادعاهای نادرست درباره Web Spoofing ایجاد شده است و برخی از افرادی که اضهارات عمومی درباره Web Spoofing می سازند، درک کاملی از مشکل ندارند.
DNS Spoofing
DNS spoofing در سه روش اتفاق می افتد :
• یک حمله کننده یک سرور DNS را به مخاطره می اندازد و نام میزبان را به نگاشت آدرس IP تغییر می دهد.زمانی که فردی URL یک سایت را درخواست می کند نگاشت تغییر یافته آن به ماشینی که تحت کنترل کامل حمله کننده است، فرستاده می شود.
• یک حمله کننده می تواند پاسخ های سرور DNS را قبل از این که فرد واقعی بیاید spoof کند ،با حدس زدن بدون اتصال، شماره های ترتیب UDP این کار را انجام می دهند.اگر حمله کننده بتواند یک تراکنش از سرور DNS را sniff کند قادر خواهد بود تا به درستی شمارش ترتیبی را حدس بزند.
• DNS cache میتواند به سادگی با فرستادن پاسخ های نادرست با یک TTL بالا برای درخواست کردن از سرور DNS مسموم شود.یک سرور دور که توسط حمله کننده کنترل شده است با تحلیل های اسمی نا درست نصب می شود و سپس توسط در خواست کننده ذخیره می گردد.
DNS spoofing می تواند با برخی روش های مشابه web spoofing به کار گرفته شود.اگر کسی توسط یک سرور به مخاطره افتاده هدایت شود ، هر نوع داده وارد شده به یک وب سایت یا فرم سفارش می تواند دیده شود.بیشتر داده های شخصی می توتند به این وسیله جمع آوری شود . e-mail نیز می تواند توسط یک سرور دارای سوء نیت از مسیر دیگری ارسال شود که این کار می تواند برای شرکت هایی که از طریق e-mail در اطلاعات اختصاصی با یکدیگر مشارکت دارند، خطرناک باشد.
نتیجه گیری
با به کارگیری کنونی spoofing جامعه امنیت شبکه نیاز دارد تا از اهمیت و هزینه بالقوه این حملات آگاهی داشته باشد. مردم می توانند به طور موثری از تصحیح و نظارت بر وقایع برای به حداقل رساندن خسارات، پشتیبانی کنند.
IP Spoofing
مقاله " مشکلات امنیتی در مجموعه پروتوکل TCP/IP " نوشته S.M.Bellovin در سال ۱۹۸۹ حملات IP Spoofing را بررسی کرد. او شرح داد که چگونه Robert Morris ( خالق کرم مشهور اینترنت ) دریافت چگونه TCP شماره های ترتیب را ایجاد کرد و یک ترتیب بسته TCP را جعل کرد.
این بسته TCP شامل آدرس مقصد قربانی اش بود و او با استفاده از IP Spoofing قادر بود تا دستیابی ریشه ای به سیستم مقصدش را بدون یک شناسه کاربری یا رمز عبور به دست آورد.
مقدمه
IP Spoofing یک تکنیک مورد استفاده برای بدست آوردن دسترسی غیرمجاز به کامپیوترها می باشد که به این وسیله حمله کننده با یک آدرس IP جعلی که نشان می دهد پیام از یک میزبان معتبر می آید، پیام هایی را به یک کامپیوتر می فرستد. تنوع کمی در انواع حملات IP Spoofing وجود دارد.
حملات Spoofing
۱- non-blind spoofing
این حمله زمانی اتفاق می افتد که حمله کننده روی زیر شبکه مشابه با زیر شبکه مقصد قرار دارد که می تواند ترتیب و تآیید بسته ها را ببیند. تهدید این نوع spoofing سرقت جلسه (session ) است و یک حمله کننده می تواند هر نوع روش تعیین هویت برای ایجاد ارتباط را نادیده بگیرد. این کار با خراب کردن جریان داده های یک ارتباط برقرار شده و سپس برقرار کردن مجدد آن بر پایه شماره های ترتیب و تآیید صحیح توسط ماشین حمله کننده ، انجام می شود.
۲- Blind spoofing
این حمله ممکن است خارج از مکانی اتفاق بیفتد که شماره های ترتیب و اطلاعات ، غیرقابل دسترس اند. حمله کننده ها معمولاً جهت نمونه برداری از شماره های ترتیب که در روزهای قبل قابل اجرا بوده اند،چندین بسته به ماشین مقصد میفرستند. امروزه بیشتر سیستم های عامل تولید شماره ترتیب تصادفی را پیاده سازی می کنند که این کار باعث می شود که پیش بینی دقیق آن ها دشوار شود. به هر حال اگر شماره ترتیب به مخاطره بیفتد داده می تواند به مقصد فرستاده شود.
۳- حمله Man in the Middle
این حمله سرقت ارتباط نیز نامیده می شود. در این حملات یک شخص دارای سوء نیت،ارتباط قانونی بین دو میزبان را جهت کنترل جریان ارتباط و برای پاک کردن یا تغییر دادن اطلاعات ارسال شده توسط یکی از میزبانان اصلی بدون آگاهی آنها به دست می آورد. در این روش یک حمله کننده می تواند با آشکار ساختن اطلاعات محرمانه با spoof کردن هویت فرستنده یا گیرنده اصلی ، مقصد را فریب دهد. سرقت کردن ارتباط یک وضعیت ناهماهنگ در ارتباط TCP ایجاد می کند. زمانی که شماره ترتیب در یک بسته دریافت شده با شماره ترتیب مورد انتظار یکسان نباشد، ارتباط " نا هماهنگ " نامیده می شود. بسته به مقدار واقعی شماره ترتیب دریافت شده لایه TCP ممکن است بسته را دور بیندازد یا به طور موقت ذخیره کند. زمانی که دو میزبان به اندازه کافی ناهماهنگ باشند ، بسته های یکدیگر را دور ریخته و یا نادیده می گیرند. سپس یک حمله کننده می تواند بسته های جعلی را با شماره های ترتیب صحیح پر کند و به طور بالقوه پیام هایی را به ارتباط اضافه کرده یا آنها را تغییر دهد. این کار نیاز دارد تا حمله کننده روی مسیر ارتباطی بین دو میزبان قرار گیرد تا بسته های ارسالی را تکذیب کند. راه حل کلیدی برای این حمله ایجاد وضعیت ناهماهنگ است.
۴- حمله Denial of Service
IP spoofing تقریباً همیشه در حملات denial of service ( تکذیب خدمات DoS ) به کار می رود، که با مصرف پهنای باند و منابع با در برگرفتن مقصد با تعداد بسته های ممکن در یک بازه زمانی کوتاه ، ارتباط دارند. برای هدایت حمله صورت مؤثر حمه کننده ها آدرس های IP منبع را برای پیگیری و توقف DoS ، spoof می کنند.زمانی که چندین میزبان به مخاطره افتاده درحمله حضور دارند و همه در حال ارسال ترافیک spoof شده هستند، بلاک کردن سریع ترافیک بسیار مشکل است.
برداشت اشتباه از IP Spoofing
یک برداشت اشتباه متداول این است که " IP Spoofing " میتواند برای پنهان کردن آدرس IP شما در حال جستجو در اینترنت ، چت کردن ، فرستادن e-mail و... به کار گرفته شود که این برداشت به طور کلی درست نمی باشد. جمع آوری آدرس IP منبع باعث می شود که پاسخ ها به آدرس هایی اشتباه فرستاده شوند. یعنی شما نمی توانید یک ارتباط شبکه ای نرمال را ایجاد کنید. به هر حال IP spoofing یک بخش جدایی ناپذیر از تعداد زیادی از شبکه هایی است که نیاز ندارند که پاسخ ها را ببینند. شناسایی IP spoofing : ما می توانیم بسته ها را با استفاده از نرم افزار بازرسی شبکه بررسی کنیم. یک بسته روی یک رابط خارجی که هم آدرس IP منبعش و هم آدرس IP مقصدش را در حوزه محلی داراست، یک نشانه از IP spoofing است. راه دیگر برای شناسایی IP spoofing مقایسه کردن log های حساب های پردازش بین سیستم های روی شبکه داخلی است. اگر حمله IP spoofing روی یکی از سیستم های شما موفقیت آمیز بود، ممکن است یک ورودی log روی ماشین قربانی دریافت کنید که یک دسترسی از راه دور را نشان می دهد. روی ماشین منبه ظاهری هیچ ورودی متناسب برای شروع آن دسترسی از راه دور ووجود نخواهد داشت.
جلوگیری از IP spoofing :
برای جلوگیری از IP spoofing رخ داده در شبکه شما، برخی از شیوه های متداول عبارتند از:
• از به کارگیری شناسایی آدرس منبع پرهیز کنید. شبکه خود را برای رد کردن بسته ها از شبکه های که مدعی متعلق بودن به یک آدرس محلی است، پیکربندی کنید.
• فیلتر کردن و محل ورود و خروج روی مسیریاب های مرزی و یک ACL ( لیست کنترل دستیابی) که آدرس های IP خصوصی را روی رابط downstream شما بلاک می کند، را پیاده سازی کنید.
حمله DNS server spoofing
پیچیده ترین حمله، تغییر آدرس سرورهای DNS است که برای یک URL ارائه شده تصمیم می گیرند. URL ای که کاربر اینترنت تایپ می کند، آدرس عددی سایت درخواستی نیست اما یک ساختار آدرس الفبایی-عددی دارد. سرورهای DNS این آدرس تایپ شده را به یک آدرس اینترنتی واقعی تبدیل می کنند، به عنوان مثال 195.217.192.145 . این تبدیل باید انجام شود چون عموماً مردم شماره های ۱۲ رقمی را به یاد نمی آورند.
حمله ای از این نوع که به طور موفقیت آمیزی انجام شده باشد، لیست سرور را تغییر می دهد به طوریکه در یک دوره زمانی کاربران درخواست کننده برخی سایت ها، به آدرس های اشتباه هدایت می شوند.
این نوع حمله یک تهدید بزرگ است و در واقع مجوزهای آدرس دهی و نام دهی اینترنتی به طور جدی در معرض خطر قرار می گیرند. سروورهای DNS روش های امنیتی بسیا زیادی برای جلوگیری از موفقیت این حمله طراحی کرده اند، که این روش ها شامل داشتن سرورهای mirror و نظارت هر کدام و همچنین کنترل بسیار دقیق بر روی چگونگی به روز رسانی ها می باشد که به سرورها معرفی شده است.
این نوع مشکل می تواند با شناسایی سایت مثبت رفع شود به طوریکه کاربر نهایی قادر است به طور خودکار URL وب سایت درخواستی را با محتوای آماده شده کنترل کند.
نام ها و آدرس های وب سایت
راه های زیادی برای spoofing یک وب سایت وجود دارد. این بخش روش های متداول را در بردارد.
سرقت محتوا
یک کپی از یک سایت می تواند از اصل آن با کپی کردن تمام صفحات قابل دسترس عموم، از یک سایت به سرور دیگر ایجاد شود.
کپی کردن یک سایت قابل دسترس عموم به طور خودکار با استفاده از برنامه هائی به نام spiders انجام می شود.تعداد زیادی از برنامه ها به صورت رایگان وجود دارند که جهت کپی کردن کل یک وب سایت طراحی شده اند.به طوری که کاربر برنامه می تواند یک وب سایت را به صورت offline بخواند به جای اینکه مجبور باشد به اینترنت وصل باشد. برخی از فعالیت های spiderقانونی هستند: پشتیبانی از کپی های mirror سایت برای بهبود دسترسی و یا افزودن کپی این صفحات در کاتالوگ موتورهای جستجو جهت جستجوی متن یا کلمات کلیدی. موتورهای جستجو نیزاز caehe هایی از صفحات برای کاربران خود پشتیبانی می کنند. به طوری که دفعات load کردن کاهش یابد. فعالیتهای دیگر spiderها ممکن است قانونی نباشد. دارنده وب سایت ممکن است از اینکه یک spider در حال خواندن سایتش است آگاه باشد اما او نمی تواند نیت واقعی او را بفهمد. تعداد راه های دفاعی تکنیکی در برابر این حمله کم است. سایتها مجبورند که مقدارعظیمی از محتویات عمومی موجود خود را که طبعاً می خواهند مردم به ان ها دست یابند، را ایجاد کنند.
ARP Spoofing
هدف
این مقاله در ارتباط با موضوع ARP spoofing می باشد. ARP spoofing یک راه سوء استفاده از تعامل میان پروتکل های IP و Ethernet است که تنها برای شبکه های Ethernet اجرا کننده IP قابل کاربرد می باشد.
این مقاله قابل توجه کسی خواهد بود که با تجربه پایه ای شبکه سازی، می تواند نکات کلیدی موضوع را درک کند. دانش و اطلاعاتی در مورد مدل مرجع TCP/IP که دانش عملکرد شبکه های سوویچی و غیر سوییچی می باشد، برای درک کامل موضوع ضروری می باشد. برخی از پیش زمینه ها در بخش مقدمه ارائه خواهد شد.
فرمت این مقاله به صورت Word و با قابلیت ویرایش میباشد
تعداد صفحات این مقاله 20 صفحه
پس از پرداخت ، میتوانید مقاله را به صورت انلاین دانلود کنید
دانلود مقاله SPOOFING