امروزه ابداع فن آوری های جدید در عرصه گسترده امنیت اطلاعات فراوان میباشد که این عامل از یک طرف کارشناسان این حوزه را ترغیب مینماید تا نگهداری یک شبکه ایمن را اولویت عملیات خود قرار دهند و از طرف دیگر مشوق مهاجمان در راستای تدارک حملاتی با شانس موفقیت بیشتری میباشد. هکرها بطور معمول از آخرین فن آوری های موجود در گستره امنیت اطلاعات بهره مناسبی میبرند و کارشناسان فن آوری اطلاعات و ارتباطات بر این موضوع اتفاق نظر دارند تا زمانیکه دانش هکرها بیش از کارشناسان امنیت باشد، امکان مقابله منطقی و به موقع با بسیاری از حملات وجود نخواهد داشت. با وجود این واقعیت، پتانسیل های تسهیل دهنده استفاده از سیستم های کامپیوتری و کارایی ابزارها و محصولات مربوطه کاهش دوچندانی میابند، یکی از مهم ترین مواردی که از حملات مصون نیست بسته های اطلاعاتی میباشد. در این مقاله قصد بر آن است تا موضوع packet sniffing را مورد نقد و بررسی قرار دهیم.
از ابتدای بروز مسائل امنیتی و حملات به سرویس های اینترنتی و کامپیوتری استفاده از فرآیندی موسوم به packet sniffing مورد استفاده قرار گرفته است. هکرها از روش هایی جهت افزایش بسته های اطلاعاتی محرک در طول شبکه استفاده نموده و با آنالیز بسته های افزایش یافته از وجود اطلاعات حساس در یک شبکه مطلع میشوند، پروتکلی نظیر IPSec به منظور پیشگیری این فرآیند طراحی شده است که رمزنگاری بسته های اطلاعاتی را برعهده دارد. حال با استفاده از تکنولوژی IPSec بخش کوچکی از داده ها و بسته های اطلاعاتی رمزنگاری میگردند و همین امر باعث شده است که packet sniffing همچنان یکی از روش های متداول به منظور سرقت اطلاعات باشد. مدیران و ادمین های شبکه به منظور عیب یابی و مشاهده مشکلات ترافیکی به کمک packet sniffer که به عنوان network monitor یا network analyzer نیز یاد میشود، بسته های اطلاعاتی خطاگونه و گلوگاه های حساس شبکه را شناسایی کرده و بستر امن به منظور انتقال داده ها را فراهم می آورند. با این تعاریف میتوان گفت packet sniffer تمامی بسته های اطلاعاتی ارسال شده از طریق یک اینترفیس مشخص را جمع آوری مینماید تا بررسی و آنالیز آن بسته ها در فرصت مقتضی فراهم گردد، پس برنامه های packet sniffer به منظور جمع آوری بسته های اطلاعاتی مقصدی خاص و یا صرف نظر از مقصد ، مورد استفاده قرار می گیرند.
هکر از طریق تولید یک packet sniffer در شبکه مورد نظر به جمع آوری و آنالیز تمامی ترافیک شبکه میپردازد، باتوجه به اینکه اطلاعات مربوط به نام و رمز عبور به صورت متن معمولی و رمز نشده در شبکه ارسال می گردد با آنالیز ترافیک شبکه امکان مشاهده اطلاعات حساس از این دست برای مهاجمان وجود خواهد داشت. این ترفند تنها قابلیت جمع آوری اطلاعات مربوط به بسته های اطلاعاتی درون یک subnet شبکه را دارد یعنی مهاجم با ایجاد packet sniffer در شبکه خود نمیتواند دسترسی به شبکه میزبان برای جمع آوری اطلاعات و سوء استفاده از آن را داشته باشد، پس این افراد اهداف مخرب خود را با نصب بدافزار ایجاد بسته اضافی برروی یک کامپیوتر موجود در شبکه میزبان عملی مینمایند .با این توضیحات متوجه خواهیم شد که packet sniffing با روش اترنت شبکه موازی کار میکند، به این صورت که هر زمان کامپیوتری یک بسته اطلاعاتی را ارسال می نماید آن بسته به عنوان یک broadcast بوده و بجز کامپیوتر مقصد تمامی دستگاه های موجود در شبکه این بسته را رؤیت کرده و کامپیوتری که مهاجم به آن دسترسی دارد یک کپی از بسته را برای سازماندهی عملیات هکر در خود نگهداری مینماید.
موارد استفاده از Packet Sniffer ها را میتوان به لیست زیر تقسیم کرد:
• تحلیل مشکلات شبکه ای
• تشخیص حمله های نفوذی
• استفاده غیر معمول از شبکه توسط کاربران داخلی و خارجی
• بدست آوردن اطلاعات مربوط به یک شبکه برای نفوذ به آن
• مانیتورینگ پهنای باند شبکه های WAN
• مانیتورینگ استفاده های کاربران خارجی و داخلی شبکه
• مانیتورینگ داده های موجود در جریان داده یک شبکه
• مانیتورینگ وضعیت های امنیتی شبکه WAN
• جمع آوری و گزارش آمارهای مربوط به شبکه
• فیلتر سازی اطلاعات مشکوک از ترافیک شبکه
• جاسوسی بر روی شبکه های دیگر برای جمع آوری اطلاعات حساس مانند رمزهای عبور
• اشکال زدایی مربوط به ارتباط Client/Server بر روی شبکه
• اشکال زدایی طراحی پروتکل های شبکه
انواع حملات Packet Sniffing
1. حالت غیر فعال یا Passive: مهاجم بر روی کلیه کامپیوترهای یک شبکه LAN نرم افزار شنود را راه اندازی مینماید ، البته باتوجه به افزایش اهمیت امنیت شبکه های کابلی امروزه این روش کمتر رخ میدهد ولی در شبکه های وایرلسی مهاجم با دسترسی به کارت شبکه وایرلس سیستم موجود در مجموعه امکان شنود و Capture اطلاعات را دارد. درگذشته باتوجه به مکانیزم فعالیتی که HUB ها داشتند، داده ها در کلیه پورت ها ارسال و نرم افزار Sniffer امکان شنود کلی و یکجا اطلاعات تبادلی در شبکه را داشتند. در اصطلاح به این نوع حملات Passive Sniffing گفته میشود چون هکر نیازی به انجام هیچ کاری برای دریافت اطلاعات از شبکه ندارد و عملاً کسی متوجه حضور مهاجم نمی شود .
2. حالت فعال یا Active: در این حالت تعداد فراوانی MAC Address جعلی به سمت سوییچ از طرف نرم افزار شنود ارسال میگردد و جدول آدرس MAC یا MAC Table سرریز شده که باعث تغییر وضعیت سوییچ به یک HUB خواهد شد، سوییچی که با هاب تبدیل گردیده است ترافیک را بر روی تمامی پورت های خود ارسال می کند و فرآیند شنود راه اندازی میگردد. شنود در این روش برای شبکه های وایرلس نیز ممکن است به اینصورت که در Passive Wireless Sniff، مهاجم به محض ارسال بسته Access Point به سیستم مورد نظر همزمان درخواست های زیادی را به Access Point ارسال مینماید و این دستگاه مجبور به پاسخگویی شده و در نتیجه امکان شنود آن فراهم خواهد شد. تکنیک های Sniffing فعال عبارتند از MAC Flooding، DHCP Attacks، DNS Poisoning، Spoofing Attacks و ARP Poisoning.
پروتکل های آسیب پذیر در مقابل حملات Packet Sniffing
• با بهره گیری از این سرویس امکان دسترسی امن با رایانه کاری به سرور پست الکترونیکی یا پرونده ها محیا میشود.
• پروتکل HTTP که برای ارسال متن کارایی دارد.
• پروتکل SMTP که اساساً در انتقال ایمیل ها مورد استفاده قرار می گیرد.
• پروتکل NNTP که برای تمامی ارتباطات استفاده می شود و داده ها را بصورت متن واضح یا clear text بر روی شبکه ارسال مبادله مینماید.
• پروتکل POP که دریافت ایمیل از سرور را فراهم میسازد.
• پروتکل FTP که ارسال و دریافت فایل بصورت متن ساده را ممکن مینماید.
• پروتکل IMAP که همچون SMTP در عملیات ایمیل مورد استفاده قرار میگیرد.
• پروتکل Telnet که همه اطلاعات مانند نامهای کاربری و رمزهای عبور را بر روی شبکه به عنوان clear text ارسال می کند.
در حملات sniffing بطور معمول اطلاعات حساس زیر شنود میگردند:
1. Email traffic
2. FTP passwords
3. Web traffics
4. Telnet passwords
5. پیکربندی روتر یا Router configuration
6. جلسات گفتگو یا Chat sessions
7. DNS traffic
ابزارهای پرکاربرد Sniffer یا Packet Analyzers
با پیشرفت در علوم کامپیوتری ابزارهای متعدی برای sniff شبکه با ویژگی های خاص تولیده شده اند تا تجزیه و تحلیل ترافیک و اطلاعات بر اساس سلیقه افراد امکان پذیر باشد، برخی از این ابزار به شرح زیر میباشند:
• ابزار قدرتمند BetterCAP که انعطاف پذیر و قابل حمل بوده و برای انجام انواع حملات MITM علیه شبکه، دستکاری و HTTP HTTPS همچنین ترافیک TCP به صورت لایو به کار میرود.
• ابزار Ettercap که مجموعه جامع برای حملات میانی میباشد و قابلیت شنود ارتباطات زنده و فیلتر کردن محتوا از جمله ویژگی های آن است.
• ابزار Wireshark که معروف ترینsniffer به شمار میرود و دارای ویژگی کمک به تجزیه و تحلیل ترافیک و اطلاعات میباشد.
• ابزار Tcpdump که تجزیه و تحلیل ترافیک در خط فرمان را عهده دار است و توانایی پیگیری و مشاهده TCP / IP و دیگر بسته ها را در هنگام انتقال در شبکه فراهم میسازد.
• ابزار WinDump که ابزار خط فرمانی برای نمایش اطلاعات هدر رفته در شبکه میباشد.
• ابزار Dsniff که مجموعه ای از ابزارهای شنود با پروتکل های مختلف با هدف سرقت پسوردها در شبکه برای سیستم عامل های یونیکس و لینوکس را در اختیاز مهاجمان قرار میدهد.
• ابزار EtherApe که برای لینوکس یا یونیکس میباشد و نمایش گرافیکی اتصالات ورودی و خروجی سیستم را طراحی مینماید.
• ابزار NetWitness و NextGen که مبتنی بر سخت افزار به همراه ویژگی های زیادی میباشند و برای نظارت و تجزیه و تحلیل تمام ترافیک در شبکه طراحی شده اند.
• ابزار Microsoft Network Monitor
• ابزار Kismet
• ابزار Fiddler
• ابزار ngrep Network Grep
• ابزار Packet Capture
• ابزار PRTG Network Monitor
• ابزار Steel Central Packet Analyzer
• ابزار SolarWinds Packet Analysis Bundle
• ابزار Wireshark