مبحث یکم : مقدمه و تاریخچه
مبحث دوم: مراحل نفوذ کردن / جلوگیری از نفوذ
مبحث سوم: حملات شبکه ای
مبحث چهارم - کار عملی
مبحث پنجم - DHCP
مبحث ششم - وب و حملات مطرح در آن
مبحث هفتم - حملات DoS
مبحث هشتم - سیستم عامل
مبحث نهم - مهندسی اجتماعی
مبحث دهم - Vulnerability (آسیب پذیری)

ARP Spoofing

اساس کار این نوع حملات بر منبای آلوده سازی جدول ARP–Cache در سیستم قربانی می باشد تا بدین ترتیب ، کلیه بسته های ارسالی، به سمت نفوذگر ارسال شوند . فرضاً MAC نفوذ گر 00-00-00-00-00-BB است؛ حال نفوذگر سعی می کند تناظری که در جدول وجود دارد طوری باشد که در کنار هر IP  موجود در جدول arp ، Mac خودش را قرار دهد ( شکل 2 )

شکل 2

موفقیت این حمله به خاطر ضعف در پیاده سازی پروتکل ARP در سیستم های عامل می باشد . بدین ترتیب که سیستم قربانی ، جواب های ARP را بدون اینکه سوالی ارسال شده باشد ، معتبر می داند .

شبکه روبرو را در نظر بگیرید Eve یک پیغام ارسال می کند

که من Reza هستم . بعد از آن Eve پیغام دیگری ارسال می کند که من Sara هستم و با فلان MAC . به همین ترتیب … ( شکل 3 )

شکل 3

حال وقتی که Alice  می خواهد به Reza پیغام بفرستد به جدول خود نگاه می کند  ومی بیند که MAC رضا وجود دارد . و بسته خود را به آن MAC ( که آدرس Eve است و نه رضا ) ارسال می کند .

سوال : در حمله بالا که برروی سیستم قربانی انجام می شود نقش سوئیچ چیست ؟ اگر سوئیچ Update شود این حمله خنثی می شود ؟ اتفاقی که در این حمله افتاد این است که : کسی که می خواهد بسته را بفرستد بسته را اشتباه تنظیم می کند . سوئیچ مسیریابی خود را درست انجام می دهد ( حتی با فرض فعال بودن Port Security، نصب بودن IDS روی سوئیچ ). مثل اینکه می خواهیم یک نامه بفرستیم : حالت اول اینکه یک شخص نفوذی در اداره پست داریم که مقصد نامه را برایمان عوض می کند مثلا نامه به مقصد x را برای y می فرستند . حالت دوم زمانی است که فرستنده نامه به اشتباه آدرس گیرنده را آدرس نفوذگر قرار می دهد . حال اداره پست آن را به مقصد نفوذگر می فرستند .

توجه : سیستم عامل می تواند Patch  هایی را در صورت امکان داشته باشد که این مشکل را حل کند . اما کاری که ویندوز انجام داد این بود که فایروال خود را در اختیار شما قرار داد و فایروال ، IDS می توانند این حملات را تشخیص دهند ( بحث دفاع لایه ای )

توجه : از پیاده سازی پروتکل ARP که در خیلی از OS ها وجود دارد ، نفوذگر سوء استفاده می کند . اگر بخواهیم اصلاح کنیم باید پروتکل ARP را اصلاح کنیم .

کار عملی : نرم افزار cain را در سیستم خود نصب کنید . می خواهیم حمله Poison  که در بالا گفته شد را با cain  انجام دهیم .

خوب برای اینکه جداول شما را بتوانم Poison بکنم چه کاری باید انجام دهم ؟ باید ARP Reply بفرستم و در هر کدام از آنها  IP  یکی از سیستم های موجود در شبکه را متناظر با MAC خودم قرار دهم . Cain خیلی راحت می تواند شبکه را دچار مشکل کند. Cain قابلیت انتخاب به شما می دهد که بین کدام یک از کامپیوتر ها می خواهید sniff کنید و کاری که Cain  می کند اینکه اگرشما دو کامپیوتر را انتخاب کنید فقط ARP های آن دو کامپیوتر را Poison می کند ( reply به آن دو می فرستد ). پس دقت کنید وقتی می خواهید از Cain استفاده کنید از همان ابتدای کار، sniff بین همه ی کامپیوترها را با همه کامپیوترها را انجام ندهید.

نرم افزار Cain را اجرا کنید . درقسمت Configure (برای اینکه مطمئن شوید که cain درست کار می کند) باید device شبکه به درستی تشخیص داده شده باشد . MAC و IP باید درست Set شده باشد ، ممکن است IP و MAC تماما صفر باشد در آن صورت Cain درست کار نمی کند ( Cain را ببندید و دوباره اجرا کنید و مجددا بررسی کنید و اگر باز هم صحیح نبود سیستم را reset کنید ) ( شکل 4)

شکل 4

حال می خواهیم شبکه مان را Sniff کنیم . برای این کار به برگه Sniffer می رویم . کاری که انجام می شود بررسی  وجود host ها در شبکه است طوری که در مرحلا بعد بتوانیم دو host را انتخاب کنیم و آن ها را دستکاری کنیم برای اینکار باید Sniffer را Start کنیم ( با استفاده از دکمه Start / Stop Sniffer ) ( شکل 5)

شکل 5

قبلا گفتیم که wireshark   هم می تواند یک sniffer باشد .. wireshark کارت شبکه را در حالت بی قید (promiscuous)قرار می دهد و هر بسته ای که می آید را دریافت می کند.

اگر پس از کلیک بر روی دکه Start با پیغام خطا مربوط به winpcap مواجه شدید cain را ببندید و دوباره باز کنید.

Winpcap(Packet Capture) یک API است که با استفاده از آن کار با بسته ها انجام می شود .

ممکن است پس از کلیک بر روی گزینه start با پیغام warning شکل 6 مواجه شوید .

شکل 6

این پیغام می گوید که یک feature روی کارت شبکه شما فعال است . درنتیجه ممکن است حملاتی مثل cain SSL دچار مشکل شوند . البته یک راه حل هم داده است. ذکر این نکته هم لازم می باشد که کارتهای شبکه چه در wired و چه در وایرلس ( مخصوصا در وایرلس ) تفاوت هایی در درایورهایشان موجود می باشد که این تفاوت ها منجر به ارائه یا عدم ارائه یک سری از قابلیت ها می شود . پس باید دقت کرد که آیا آن کارت شبکه و درایور آن قابلیت های مورد نیاز ما را دارد یا خیر .

اسکرول به بالا