حمله مردی در میانه ( Man in the middle ) : الگوها و اقدامات متقابل

حمله مردی در میانه ( حمله MitM ) ( Man in the middle ) : الگوهای حمله و اقدامات مقابله با آن

امروزه دنیای اینترنت روش های ظریفی را برای انجام جاسوسی ارائه می دهد که حمله مردی در میانه ( حمله MitM ) ( Man in the middle ) یکی از آنهاست . زمانی که مردم شروع به ارسال ایمیل به یکدیگر میکنند افراد دیگری نیز سعی می کنند این پیام ها را به دست آورده و آنها را دستکاری کنند. اکثر ترافیک داده در سراسر جهان از طریق شبکه های عمومی انتقال می یابد. گاهی اوقات حتی رمزگذاری برای جلوگیری از حمله نفوذگران کافی نیست و هیچ کمکی به امنیت مسیرهای انتقال در شبکه جهانی انجام نمیدهد . بسته های داده ها در بسیاری از ایستگاه های مختلف در طول مسیر متوقف می شوند و هر ایستگاه دارای سطح امنیتی متنوعی است .

حمله مردی در میانه ( حمله MitM ) ( Man in the middle ) چیست؟

یک حمله مردی در میانه ( حمله MitM ) ( Man in the middle ) به شیوه ای اشاره دارد که در آن هکر یک ترافیک داده بین دو ارتباط را متوقف می کند و هر دو طرف فکر می کنند که فقط با یکدیگر ارتباط برقرار می کنند . این نوع حملات در زمان شبکه های ارتباطی عمومی مشترک،  توسط دستکاری کانال های ارتباطی انجام میشده است که شخص ثالث خود را بین دو یا چند شرکت ارتباطی قرار می داده است . حملات ( حمله MitM ) ( Man in the middle ) عمدتا در شبکه های کامپیوتری دیده می شود که در آن تلاش برای لغو رمزگذاری SSL / TLS با هدف به دست آوردن اطلاعات مخفی، نام های کاربری، رمزهای عبور یا جزئیات بانکی وجود دارد.

دوره اساسی حمله MitM به شرح زیر است :

سیستم A تلاش برای ایجاد یک اتصال رمزگذاری شده با سیستم B را دارد . در عوض، جریان داده توسط شخص ثالث نفوذی هدایت می شود، که نتیجه اتصال رمز شده از سیستم A به  سمت سیستم C است و پس از آن به سیستم B هدایت می شود. این به این معنی است که یکی در کنترل سیستم C (معمولا مهاجم) می تواند ترافیک داده را در کاملا  ببیند، آن را رکورد کند یا دستکاری کند – اغلب کاربران اینترنتی از فرآیند ذکر شده آگاه نیستند. سیستم C خود را به سیستم A به عنوان یک وب سرور و به سیستم B به عنوان یک مرورگر وب معرفی می کند .

مردی در میانه

الگوی حمله – Attack pattern

به منظور نفوذ ترافیک داده ها بین دو یا چند سیستم، هکرها از تکنیک های مختلفی استفاده می کنند که آسیب پذیری های شناخته شده در جهان ارتباطات آنلاین را هدف قرار می دهند . مثلا :

 DHCP (پروتکل پیکربندی میزبان)، که مسئولیت اختصاص آدرس های محلی و همچنین سیستم (ARP (Address Resolution Protocol ، که آدرس سخت افزاری

(MAC (Media Access Control را تعیین می کند.

حملات ( حمله MitM ) ( Man in the middle ) در سطح جهانی با دستکاری سرورهای DNS انجام می شود که مسئولیت تحلیل آدرس های اینترنتی در IP های عمومی را دارند. هکرها همچنین از شکاف های امنیتی در مرورگرهای قدیمی و یا از دسترسی کاربران اینترنت روی شبکه های بیسیم نا امن استفاده می کنند . این الگوهای حمله معمولا توسط نرم افزار به صورت خودکار انجام می شود.

حملات DHCP

هنگامی که هکر به حملات مبتنی بر DHCP روی می آورد ، کامپیوتر شخصی فرد نفوذگر (کامپیوتری که تحت دسترسی هکر می باشد ) به عنوان یک سرور DHCP در یک شبکه محلی (LAN) شروع به اختصاص آی پی میکند . این نوع سرور یک جزء مرکزی شبکه محلی است و مسئول تخصیص پیکربندی شبکه به سایر رایانه های LAN است و معمولا فرایند فوق به صورت خودکار انجام می شود .

به محض اینکه یک کامپیوتر اولین اتصال به شبکه را ایجاد می کند، سرویس گیرنده DHCP سیستم عامل درخواست اطلاعاتی مانند آدرس IP محلی، مسک شبکه، آدرس پورت پیش فرض و آدرس DNS سرور را می دهد و یک پیغام broadcast برای همه دستگاه ها در شبکه می فرستد و منتظر تایید از سرور DHCP می ماند .

سرور جعلی DHCP ساخته شده به هکرها امکان کنترل تخصیص آدرس IP های محلی، وارد کردن پورت های پیش فرض و سرورهای DNS را در مبادله رایانه می دهد و ترافیک خروجی را بر روی هر رایانه به منظور دستکاری محتوا هدایت می کند.

آلودگی  ARP cache

ARP یک پروتکل شبکه است که برای نشان دادن آدرس های IP شبکه به آدرس های سخت افزاری مورد استفاده در پروتکل های پیوند داده استفاده می شود در صورتی که یک کامپیوتر بخواهد بسته های داده را در یک شبکه ارسال کند، باید آدرس سخت افزاری سیستم گیرنده را بداند . برای این منظور یک درخواست ARP به عنوان یک MAC به تمام سیستم های LAN ارسال می شود. این شامل هر دو آدرس MAC و IP کامپیوتر مورد نظر و همچنین آدرس آی پی سیستم درخواست شده می باشد .

اگر یک رایانه در شبکه یکی از این درخواستهای ARP را دریافت کند، آن را بررسی می کند که آیا بسته دارای آدرس IP خاص خود به عنوان IP دریافت کننده است یا خیر . اگر این مورد صحیح باشد، پاسخ ARP با آدرس MAC مورد نظر به سیستم درخواست شده فرستاده می شود .

تخصیص این آدرس MAC به کامپیوتر محلی در فرم جدول در حافظه ARP رایانه درخواست شده ذخیره می شود. این مرحله جایی است که آلودگی با کش ARP شروع می شود . هدف این الگوریتم حمله، دستکاری جداول ARP از کامپیوترهای مختلف در شبکه از طریق پاسخ های جعلی ARP است، برای مثال، نمایش کامپیوتری که تحت کنترل مهاجم است، به عنوان یک نقطه دسترسی WiFi یا gateway به اینترنت است

در صورتی که حمله ARP spoofing موفقیت آمیز باشد، مهاجمان قبل از فرستادن آن به gateway واقعی قادر به خواندن، ضبط یا مدیریت تمام ترافیک داده های خروجی از کامپیوترهای آلوده را دارا می باشند. همانند DHCP spoofing ، مسدود شدن کش ARP تنها زمانی اتفاق می افتد که مهاجم همان سیستم قربانی را در یک شبکه محلی قرار دهد. این نوع حمله MitM می تواند با استفاده از برنامه های ساده مانند ابزار نرم افزار رایگان، Cain & Abel، که در ابتدا برای ردیابی کلمه عبور از دست رفته، یا جایگزین استفاده از نرم افزار Ettercap باشد، انجام می شود .

همانطور که با حملات مبتنی بر DHCP، کاربران که در یک شبکه دارای آسیب پذیری هستند ، شانسی برای دفاع از خود در برابر سوء استفاده از ARP ندارند . این به این معنی است که برای جلوگیری از این اتفاق، کاربران باید در استفاده از شبکه کاملا محتاط باشند یا از آنها عاقلانه استفاده کنند .

حملات مبتنی بر DNS

در حالی که آلودگی ARP cache هدف آسیب پذیری است تحلیل آدرس در Ethernet ، آلودگی cache در یک DNS بر روی سیستم نام دامنه اینترنت تمرکز دارد که مسئول تحلیل URL در آدرس های IP عمومی است . با این نوع حمله، هکرها مطالب را در حافظه پنهان یک سرور DNS دستکاری می کنند تا بتوانند با آدرس های جعلی هدف پاسخ دهند . هکر می تواند کاربران اینترنت (بدون اطلاع آنها را) به هر سایت دیگری در شبکه هدایت کند . آنها معمولا از شکاف امنیتی معروف سرور DNS قدیمی استفاده می کنند.

اساسا، اطلاعات DNS بر روی یک سرور DNS ذخیره نمی شود، بلکه بر روی کامپیوترهای متعدد در شبکه ذخیره می شود. اگر یک کاربر می خواهد از یک سایت بازدید کند، معمولا از یک نام دامنه استفاده می کند با این حال، برای دسترسی به سرور مناسب معمولا یک آدرس IP مورد نیاز است. روتر کاربران این IP را با ارسال یک درخواست DNS به سرور استاندارد DNS تعیین شده در پیکربندی تعیین می کند که معمولا DNS سرور ارائه دهنده خدمات اینترنت (ISP) است.

اگر منابع رجیستر شده در URL درخواست شده یافت شوند، سرور DNS به درخواست با آدرس IP مناسب پاسخ می دهد. در غیر این صورت، سرور DNS IP درخواست شده را با کمک سرورهای دیگر که دارای وظایف DNS هستند تعیین می کند. سرور همچنین یک درخواست مربوط به سایر سرورهای DNS را ارسال می کند و پاسخ های آنها را به صورت موقت در حافظه ذخیره می کند.

سرورهایی که از نسخه قدیمی نرم افزار DNS استفاده می کنند، عمدتا قربانی هک شدن این نوع حملات می شوند. اگر هکرها تنها یک سرور DNS را در اختیار گرفته باشند ، ساختن سوابق جعلی با هر آدرس IP صحیح بسیار آسان است و به همین دلیل می توانند سایتی را از سرور درخواست کننده DNS آلوده کنند .

اثربخشی حمله مردی در میانه ( حمله MitM ) ( Man in the middle ) می تواند در namespaces هایی که هدایت می شود رخ دهد .  عملا غیرممکن است که کاربران از خودشان در مقابل چنین حملاتی محافظت کنند زیرا آنها به طور مستقیم در زیرساخت اینترنت قرار دارند بنابراین این مسئولیت اپراتور است که اطمینان حاصل کند سرورهای DNS ارائه شده از نرم افزار به روز رسانی استفاده می کنند و به اندازه کافی امن هستند .

سند امنیتی سیستم نام دامنه : استانداردهای مختلف اینترنت برای ارتقاء سیستم DNS با مکانیزم های مختلف امنیتی و بهبود صحت داده ها توسط ما توسعه داده خواهد شد . توزیع این استانداردها متاسفانه طول می کشد.

شبیه سازی نقاط دسترسی WiFi

یک الگوی حمله نیز وجود دارد که مخصوصا کاربران تلفن همراه را هدف قرار می دهد این حمله بر اساس شبیه سازی یک نقطه دسترسی در یک شبکه عمومی WiFi مانند آنچه در کافه ها و فرودگاه ها ارائه می شود، پایه ریزی شده است . در اینجا هکر کامپیوتر خود را طوری پیکربندی میکند تا بتواند از طریق شبکه بیسیم اینرنت را به دیگران با کیفیت سیگنال بهتر نسبت به نقطه دسترسی واقعی تخصیص دهد .

اگر یک مهاجم یا نفوذگر موفق شود کاربر را وادار به استفاده از نقطه دسترسی خود برساند ، می تواند تمام ترافیک داده را که از طریق سیستم اجرا می شود را ببینند و سپس قادر به خواندن آن و دستکاری آن قبل از رسیدن به نقطه دسترسی واقعی می باشد . اگر نقطه دسترسی به احراز هویت نیاز داشته باشد، هکر می تواند اطلاعات زیادی از جمله نام کاربری و کلمه عبور که کاربر در هنگام ثبت نام وارد می کند را دریافت کند .

این مسئله بسیار خطرناک است و اگر اتصال دستگاه کاربر توسط نفوذگر پیکربندی شود ، به احتمال زیاد به عنوان قربانی یک حمله مردی در میانه ( حمله MitM ) ( Man in the middle ) تبدیل خواهد شد و به طور خودکار با قوی ترین سیگنال به نقطه دسترسی متصل می شود . به منظور محافظت از خود در برابر این الگوهای حمله ، کاربران اینترنت فقط باید دستگاه های خود را به شبکه های وای فای شناخته شده بسپارند و اطمینان حاصل کنند که از نقطه دسترسی رسمی استفاده می کنند.

حمله Man in the browser

یک نوع از حمله مردی در میانه ( حمله MitM ) ( Man in the middle ) است که در آن مهاجم یک نرم افزار مخرب را در یک مرورگر اینترنت کاربر نصب می کند تا ترافیک داده را رد کند و به عنوان حمله به مرورگر شناخته می شود. کامپیوترهایی که به طور کامل به روزرسانی نمی شوند، شکاف های امنیتی برای آنها فراهم میشود که به نفع مهاجم امکان کامل نفوذ به سیستم را می دهد . اگر هکر به برنامه های خاص مرورگر کاربر نفوذ کند می تواند در background پنهان شود و تمام داده هایی را که بین سیستم قربانی و وب سایت های مختلف در شبکه رد و بدل شده است را رکورد کند . این الگوی حمله به هکرها اجازه می دهد تعداد زیادی از سیستم ها را با تلاش نسبتا کمی رهگیری کند .

کاربران اینترنت می توانند به طور موثر از حملات در مرورگر جلوگیری کنند و مطمئن شوند که تمام اجزای نرم افزاری سیستم به روز می شوند و هر گونه شکاف امنیتی شناخته شده با اجرای سیستم های امنیتی بسته شده است.

فرآیند تجزیه و تحلیل شکاف امنیتی و نقض امنیتی GAP ANALYSIS

human-assisted-attack

زمانی که یک الگوی حمله کاملا اتوماتیک نیست، اما به جای یک یا چند مهاجم در زمان واقعی کنترل می شود. این نوع حمله (حمله MitM) (Man in the middle) می تواند به شرح زیر باشد:

هنگامی که یک کاربر اینترنتی وارد وب سایت بانک خود می شود، هکر (که خود را بین مرورگر کاربر و سرور بانک قرار داده است) یک سیگنال دریافت می کند  و بدیت ترتیب قادر به سرقت کوکی ها و اطلاعات احراز هویت در زمان واقعی هستند و از آنها برای دسترسی به نام های کاربری، رمزهای عبور استفاده می کنند.

سرقت اطلاعات با وجود رمزگذاری

با توجه به اهمیت رو به رشد ارتباطات اینترنتی در تمامی زمینه های زندگی، علاقه به تکنیک های رمزگذاری داده نیز افزایش می یابد . پروتکل ارتباطی HTTPS برای برقراری ارتباط بین مرورگرها (مشتریان) و سرورها درسطح وب جهانی ایجاد شده است. این احراز هویت وب سرور بر پایه SSL handshake  را بررسی می کند و یک کانال حمل و نقل رمز شده بر اساس یک کلید عمومی متقارن ایجاد می کند . تأیید اعتبار سرور با استفاده از گواهی SSL انجام می شود.

در تئوری ، مکانیسم های احراز هویت اصولا حفاظت قابل اطمینانی در برابر حملات ( حمله MitM ) ( Man in the middle ) را فراهم می کنند: برای انتقال با همان الگویی که در بالا ذکر شد، سیستم C به یک گواهی SSL قابل اعتماد نیاز دارد تا به عنوان سیستم B به روی سیستم A ظاهر شود. با این وجود، این حفاظت بستگی به یکپارچگی گواهی استفاده شده دارد. مرورگر بررسی می کند که گواهی سرور توسط یک گواهی معتبر گواهینامه (CA) شناخته شده است. با این حال، بسیاری از نفوذگران در چند سال به CAs گذشته نفوذ کرده اند .

همچنین هکرها می توانند خود گواهی SSL را نیز صادر کنند . این نوع گواهی های گواهی صادر شده منجر به اخطار در مرورگر می شود، و مرورپر توضیح می دهد که ممکن است وب سایت ناامن باشد در صورتی که بسیاری از کاربران به آن توجه زیادی نمی کنند و به هر حال از سایت بازدید می کنند.

با استفاده از یک گواهینامه جعلی SSL، هکرها می توانند حتی با وب سایت های رمزگذاری شده SSL به عنوان سرور مقصد دلخواه عمل کنند. مهاجم درخواست اصلی (مشابه با نحوه کارکرد پروکسی) را به سمت گیرنده واقعی هدایت می کند در اصل، دستیابی به SSL باعث تایید هویت سرویس گیرنده از طریق گواهی می شود. با این حال، این حمله به ندرت در عمل استفاده می شود .

wiki

 

تهیه کننده : سید محمد اسماعیلی

 

نوشته های مرتبط

مدیریت دستگاه های IOT

۰۵

آبان
همه موضوعات

مدیریت از راه دور دستگاه های IOT با استفاده از ابزار Upswift

انتشار محتوای سایت ایران سایبر فقط با ذکر منبع رسمی مجاز است اگر فقط از یک دستگاه IoT استفاده می کنید و درحال توسعه پروژه های خود هستید، به روزرسانی و مدیریت آن سریع و آسان است. اما اگر ۱۰ ، ۵۰ یا ۱۰۰ دستگاه داشته باشید چه می کنید؟ مدیریت همه آنها ناگهان به یک دردسر […]

رکوردهای DNS

۱۹

مهر
همه موضوعات

مدیریت رکوردهای DNS با DNStable

یافتن اطلاعات در مورد سوابق DNS فرآیندی است که متخصصان امنیتی با عملیات های خاصی انجام می دهند. این اطلاعات از چند طریق قابل دستیابی است که در این مقاله به آنها خواهیم پرداخت. مشکل این است که بیشتر ابزارها برای یافتن سوابق DNS به روز شده و استفاده از آنها دشوار است. بیشتر متخصصان با تجربه[…]