چکیده : در دنیای اینترنت و شبکه, هرگاه شخصی از هویت کسی دیگر استفاده کرده و اقدام به سواستفاده نماید را spoofing گویند.
این دزدیدن هویت می تواند دزدیدن شناسه کاربری یک شخص و یا استفاده نا به جا از شماره آی پی وی و یا هرگونه اقدام دیگری در جهت جعل هویت شخص مورد نظر باشد.
هرگاه شخصی بتواند از راه های گوناگون کارهایی را که شما انجام می دهید از روی اینترنت و شبکه مخفیانه دنبال کند می گویند وی در حال sniff کردن است.
از دیدگاه مهندسین شبکه و کامپیوتر این می تواند به مثابه کنترل ترافیک ورودی و خروجی اطلاعات ما بین کامپیوترهای مختلف باشد.
کسانی که اقدام به این کار می کنند عموماً برنامه ای را بر روی سیستم شخص قربانی نصب کرده و هرگاه فرد قربانی به اینترنت وصل شد اطلاعات زیر نظر گرفته شده ( بسته به نوع نرم افزار نصب شده روی سیستم قربانی) به ایمیل شخص هکر و یا بهتر است بگوییم شخص sniffer فرستاده می شود.
کلمات کلیدی ARP , IP , TCP/IP , IP/Ethernet , MAC , IP Spoofing , ARP Spoofing , Web Spoofing , MiM attack , DoS,ARPoison ,Parasite, Ettercap , RARP , DNS , man in the middle attack , non-blind spoofing , blind spoofing , ARPWATCH , Hijacking , Cloning , IP/MAC .
مقدمه Spoofing به معنی وانمود کردن به چیزی است که وجود ندارد.
در اصطلاحات اینترنتی Spoofing به معنی وانمود کردن به یک آدرس اینترنتی متفاوت از کسی است که شما برای به دست آوردن چیزی آن را دارا هستید که می توان اطلاعاتی مثل شماره های کارت اعتباری، رمزها، اطلاعات شخصی و یا توانایی انجام اعمالی بااستفاده از هویت شخص دیگری باشد.
برخی از حملات بالقوه Spoofing از نظر تکنیکی دشوار هستند و بقیه معمولی.
برای اینکه شما بتوانید در مقابل Spoofing از خود دفاع کنید؛ راه های متفاوتی وجود دارد.
برخی از حملات روی اشتباه یا درک نادرست کاربر تکیه دارند.
ممانعت از نوع حملات مشکل تر است چون کاربران لزوماً دارای مهارت فنی مورد نیاز برای درک آنچه در حال رخ دادن است نیستند.
ضمن اینکه تکنولوژی ای که آن ها از آن استفاده می کنند، با استفاده از واژه های غیر فنی خود را بیان نمی کند.
در این مقاله چندین حمله Spoofing و راه های دفاعی ممکن در مقابل آن ها مورد بررسی قرار گرفته است.
Spoofing : یک دید کلی از برخی تهدیدات کنونی Sooping مقدمه Spoofing به شکل های زیادی در جهان کامپیوتر به کار گرفته می شود که هر کدام نیاز به برخی از انواع نمایش جهلی اطلاعات دارند.
متدهای متنوع و انواع گوناگونی از spoofing وجود دارد که چهار نوع از آن ها عبارتند از: IP ARP Web DNS هیچ نوع استفاده قانونی یا مفیدی برای به کار بردن هیچ کدام از انواع spoofing وجود ندارد.
برخی از اهداف می تواند سرگرمی، دزدی ،انتقام و یا برخی اهداف بد خواهانه دیگر باشد.
اثر این حملات می تواند خیلی شدید باشد و می تواند میلیون ها دلار هزینه برای ما ایجاد کند و نباید توسط جامعه امنیت اینترنت نادیده گرفته شود.
IP Spoofing IP spoofing برای دسترسی غیر مجاز به یک کامپیوتر مورد استفاده قرار می گیرد.
حمله کننده بسته های کوچکی را به همراه یک آدرس منبع به یک کامپیوتر می فرستد که این آدرس مشخص می کند که بسته از طرف یک پورت یا سیستم معتبر آمده است.
حمله کننده ها باید برای اجرای این کار برخی مراحل پیچیده را با دقت انجام دهند.
آنها باید : یک مقصد پیدا کنند آدرس IP یک ماشین معتبر را بیابند ارتباطات ماشین معتبر را غیر فعال کنند از یک ارتباط بین مقصد و میزبان های معتبر نمونه برداری کنند شماره های ترتیبی ماشین معتبر را حدس بزنند Header بسته را تغییر دهند به طوری که در ظاهر نشان دهد که بسته ها از میزبان معتبری می آیند برای برقراری ارتباط با آدرس یک سرویس یا پورت معتبر تلاش کنند اگر تلاش ها موفقیت آمیز بود حمله کننده برخی از انواع دسترسی پنهانی را برای رجوع بعدی مستقر خواهد کرد سیستم A با فرستادن آدرس سیستم B به جای آدرس خود هویت سیستم B را جعل خواهد کرد.
دلیل این کار این است که سیستم ها به فعالیت درون گروه هایی از سیستم های "معتبر" گرایش دارند.این اعتبار به صورت یک به یک پیاده سازی شده است.
سیستم A سیستم B را معتبر می سازد.
IP spoofing به صورت زیر اتفاق می افتد: اگر سیستم A سیستم B را معتبر کند و سیستم C سیستم B را spoof کند، در نتیجه سیستم C می تواند به سیستم A دسترسی غیرمجاز پیدا کند.
یکی از نقاط ضعف IP spoofing این است که C هرگز پاسخ های A را نمی بیند که این یک حمله کاملاً کور ( blind) است.
تجربه زیاد و آگاهی از پاسخ های مورد انتظار از طرف مقصد برای اجرای موفقیت آمیز حمله مورد نیاز است.
برخی از روش های متداول برای جلوگیری از این نوع حمله، غیرفعال کردن بسته های مسیریابی شده و غیرفعال کردن تمام بسته های خارجی ورودی با آدرس منبع مشابه به عنوان یک میزبان محلی می باشد.
ARP Spoofing ARP (Address Resolution Protocol) جهت انتساب آدرس های IP به آدرس های سخت افزاری مورد استفاده قرار می گیرد.
از یک جدول، معمولاً به نام ARP cache جهت نگهداری رابطه بین هر آدرس MAC با آدرس IP متناظر با آن استفاده می شود.
ARP قوانین پروتکل برای ایجاد این ارتباط و فراهم کردن تحلیل آدرس در هر دو جهت را فراهم می سازد.
زمانی که یک بسته دریافتی به یک ماشین میزبان روی یک شبکه فرستاده می شود، وارد یک مسیریاب می شود و از برنامه ARP می خواهد تا یک آدرس MAC مطابق با آدرس IP بیابد.
برنامه ARP در ARP cache جستجو می کند و اگر آدرس را پیدا کرد آن را طوری آماده می کند که بسته بتواند به طول و شکل صحیح بسته تبدیل شده و به ماشین فرستاده شود.
اگر هیچ ورودی برای آدرس IP پیدا نشد ARP یک بسته درخواست با شکلی خاص را به تمام ماشین های روی شبکه ارسال می کند تا بفهمد که آیا ماشینی می داند که آن آدرس IP برای چه کسی است.
ماشینی که آدرس IP را به عنوان آدرس خود تشخیص دهد یک پاسخ برمی گرداند.
ARP ، ARP cache را برای رجوع بعدی به روز رسانی می کند و بسته ای را به آدرس MAC پاسخ دهنده می فرستد.
یک مثال از درخواست ارسال ARP : یک نفر ممکن است نتیجه گیری کند که این مدل آدرس دهی نیز می تواند برای تآمین یک میزبان با اطلاعات ناصحیح spoof شود.
ARP spoofing نیاز به ساختن درخواست ARP و بسته های پاسخ جعلی دارد.
با فرستادن پاسخ های ARP جعلی، یک کامپیوتر مقصد برای فرستادن فریم ها به کامپیوتر A به جای ارسال به کامپیوتر B ملزم می شود که این کار به فرآیند مسموم کردن ARP اشاره دارد.
هم اکنون برنامه هایی وجود دارند که فراین مسموم کردن ARP را اتوماتیک می کند.
ARPoiso - ، Ettercap و Parasite.
هر سه این برنامه ها دارای قابلیت ایجاد بسته های spoof ARP شده، ارسال از مسیر دیگر و یا اجرای برخی از انواع حملات man in the middle می باشد.
فعال کردن مقید سازی MAC در یک سوییچ یا پیاده سازی جداوول ARP ثابت، ممانعت از ARp spoofing را محقق می سازند.
مقید سازی MAC باغث می شود تا یک آدرس یکبار به یک آداپتور انتقال داده شود که بدون مجوز نمی تواند تغییر کند.
مدیریت ARP ثابت تنها در یک شبکه خیلی کوچک به طور واقع بینانه ای تحقق یافته است.
در یک شبکه دینامیکی بزرگ مدیریت وظیفه نگهداری از ورودی های به روز رسانی شده غیر ممکن خواهد بود.
ARPWATCH برای سیستم های بر پایه Unix تغییرات ARP cache را نظارت کرده و درباره تغییرات به مدیر هشدار می دهد.
Web Spoofing Web Spoofing یک حمله امنیتی است که اجازه می دهد یک دشمن تمام صقحات وب فرستاده شده به ماشین قربانی را مشاهده کرده و تغییر دهد و تمام اطلاعات وارد شده در فرم ها توسط قربانی را مشاهده نماید.
Web Spoofing روی هر در جستجوگر (browser) اصلی کار می کند و توسط ارتباطات امن از ممانعت شده است.
Web Spoofing یک حمله امنیتی است که اجازه می دهد یک دشمن تمام صقحات وب فرستاده شده به ماشین قربانی را مشاهده کرده و تغییر دهد و تمام اطلاعات وارد شده در فرم ها توسط قربانی را مشاهده نماید.
حمله کننده می تواند تمام صفحات وب و محتویات فرم را مشاهده کرده و تغییر دهد ، حتی زمانی که جستجوگر نشان می دهد که ارتباط امنی وجود دارد و کابرا هیچ چیز غیر عادی نمی بیند.
حمله با استفاده از JavaScript و plug-in سرور وب پیاده سازی شده است و در دو بخش کار می کند.
ابتدا حمله کننده باعث می شود یک پنجره browser با برخی شرایط نرمال و اطلاعات منوی جایگزین شده توسط مولفه های مشابه فراهم شده توسط حمله کننده، روی ماشین قربانی ایجاد شود.
سپس حمله کننده باعث می شود تمام صفحات وب معین شده برای ماشین قربانی توسط سرور حمله کننده از مسیری دیگر فرستاده شود.
روی سرور حمله کننده صفحات دوباره به گونه ای نوشته می شووند که ظاهر آن ها اصلاً تغییری نکند، اما هر عمل انجام شده توسط قربانی ( از قبیل کلیک کردن روی یک لینک) توسط حمله کننده ثبت خواهد شد.
به علاوه هر تلاش قربانی برای load کردن یک صفحه جدید باعث خواهد شد که صفحه به تازگی load شده توسط سرور حمله کننده فرستاده شود به طوریکه حمله روی صفحه جدید ادامه خواهد یافت.
زمانی که قربانی یک صفحه وب آلوده را بازدید کند یا یک پیام e-mail آلوده را دریافت کند، حمله آغاز خواهد شد.
Browser های کنونی از Web Spoofing جلوگیری نمی کنند و به نظر می رسد حرکت کوچکی در جهت مورد توجه قرار دادن این مشکل شکل گرفته است.
ما اعتقاد داریم که تجارت الکترونیکی ایمن روی وب نمی تواند وجود داشته باشد تا زمانی که آسیب پذیری Web Spoofing مورد توجه قرار گیرد.
تعداد زیادی ادعاهای نادرست درباره Web Spoofing ایجاد شده است و برخی از افرادی که اضهارات عمومی درباره Web Spoofing می سازند، درک کاملی از مشکل ندارند.
DNS Spoofing DNS spoofing در سه روش اتفاق می افتد : یک حمله کننده یک سرور DNS را به مخاطره می اندازد و نام میزبان را به نگاشت آدرس IP تغییر می دهد.زمانی که فردی URL یک سایت را درخواست می کند نگاشت تغییر یافته آن به ماشینی که تحت کنترل کامل حمله کننده است، فرستاده می شود.
یک حمله کننده می تواند پاسخ های سرور DNS را قبل از این که فرد واقعی بیاید spoof کند ،با حدس زدن بدون اتصال، شماره های ترتیب UDP این کار را انجام می دهند.اگر حمله کننده بتواند یک تراکنش از سرور DNS را sniff کند قادر خواهد بود تا به درستی شمارش ترتیبی را حدس بزند.
DNS cache میتواند به سادگی با فرستادن پاسخ های نادرست با یک TTL بالا برای درخواست کردن از سرور DNS مسموم شود.یک سرور دور که توسط حمله کننده کنترل شده است با تحلیل های اسمی نا درست نصب می شود و سپس توسط در خواست کننده ذخیره می گردد.
DNS spoofing می تواند با برخی روش های مشابه web spoofing به کار گرفته شود.اگر کسی توسط یک سرور به مخاطره افتاده هدایت شود ، هر نوع داده وارد شده به یک وب سایت یا فرم سفارش می تواند دیده شود.بیشتر داده های شخصی می توتند به این وسیله جمع آوری شود .
e-mail نیز می تواند توسط یک سرور دارای سوء نیت از مسیر دیگری ارسال شود که این کار می تواند برای شرکت هایی که از طریق e-mail در اطلاعات اختصاصی با یکدیگر مشارکت دارند، خطرناک باشد.
نتیجه گیری با به کارگیری کنونی spoofing جامعه امنیت شبکه نیاز دارد تا از اهمیت و هزینه بالقوه این حملات آگاهی داشته باشد.
مردم می توانند به طور موثری از تصحیح و نظارت بر وقایع برای به حداقل رساندن خسارات، پشتیبانی کنند.
IP Spoofing مقاله " مشکلات امنیتی در مجموعه پروتوکل TCP/IP " نوشته S.M.Bellovin در سال ۱۹۸۹ حملات IP Spoofing را بررسی کرد.
او شرح داد که چگونه Robert Morris ( خالق کرم مشهور اینترنت ) دریافت چگونه TCP شماره های ترتیب را ایجاد کرد و یک ترتیب بسته TCP را جعل کرد.
این بسته TCP شامل آدرس مقصد قربانی اش بود و او با استفاده از IP Spoofing قادر بود تا دستیابی ریشه ای به سیستم مقصدش را بدون یک شناسه کاربری یا رمز عبور به دست آورد.
مقدمه IP Spoofing یک تکنیک مورد استفاده برای بدست آوردن دسترسی غیرمجاز به کامپیوترها می باشد که به این وسیله حمله کننده با یک آدرس IP جعلی که نشان می دهد پیام از یک میزبان معتبر می آید، پیام هایی را به یک کامپیوتر می فرستد.
تنوع کمی در انواع حملات IP Spoofing وجود دارد.
حملات Spoofing ۱- non-blind spoofing این حمله زمانی اتفاق می افتد که حمله کننده روی زیر شبکه مشابه با زیر شبکه مقصد قرار دارد که می تواند ترتیب و تآیید بسته ها را ببیند.
تهدید این نوع spoofing سرقت جلسه (session ) است و یک حمله کننده می تواند هر نوع روش تعیین هویت برای ایجاد ارتباط را نادیده بگیرد.
این کار با خراب کردن جریان داده های یک ارتباط برقرار شده و سپس برقرار کردن مجدد آن بر پایه شماره های ترتیب و تآیید صحیح توسط ماشین حمله کننده ، انجام می شود.
۲- Blind spoofing این حمله ممکن است خارج از مکانی اتفاق بیفتد که شماره های ترتیب و اطلاعات ، غیرقابل دسترس اند.
حمله کننده ها معمولاً جهت نمونه برداری از شماره های ترتیب که در روزهای قبل قابل اجرا بوده اند،چندین بسته به ماشین مقصد میفرستند.
امروزه بیشتر سیستم های عامل تولید شماره ترتیب تصادفی را پیاده سازی می کنند که این کار باعث می شود که پیش بینی دقیق آن ها دشوار شود.
به هر حال اگر شماره ترتیب به مخاطره بیفتد داده می تواند به مقصد فرستاده شود.
۳- حمله Man in the Middle این حمله سرقت ارتباط نیز نامیده می شود.
در این حملات یک شخص دارای سوء نیت،ارتباط قانونی بین دو میزبان را جهت کنترل جریان ارتباط و برای پاک کردن یا تغییر دادن اطلاعات ارسال شده توسط یکی از میزبانان اصلی بدون آگاهی آنها به دست می آورد.
در این روش یک حمله کننده می تواند با آشکار ساختن اطلاعات محرمانه با spoof کردن هویت فرستنده یا گیرنده اصلی ، مقصد را فریب دهد.
سرقت کردن ارتباط یک وضعیت ناهماهنگ در ارتباط TCP ایجاد می کند.
زمانی که شماره ترتیب در یک بسته دریافت شده با شماره ترتیب مورد انتظار یکسان نباشد، ارتباط " نا هماهنگ " نامیده می شود.
بسته به مقدار واقعی شماره ترتیب دریافت شده لایه TCP ممکن است بسته را دور بیندازد یا به طور موقت ذخیره کند.
زمانی که دو میزبان به اندازه کافی ناهماهنگ باشند ، بسته های یکدیگر را دور ریخته و یا نادیده می گیرند.
سپس یک حمله کننده می تواند بسته های جعلی را با شماره های ترتیب صحیح پر کند و به طور بالقوه پیام هایی را به ارتباط اضافه کرده یا آنها را تغییر دهد.
این کار نیاز دارد تا حمله کننده روی مسیر ارتباطی بین دو میزبان قرار گیرد تا بسته های ارسالی را تکذیب کند.
راه حل کلیدی برای این حمله ایجاد وضعیت ناهماهنگ است.
۴- حمله Denial of Service IP spoofing تقریباً همیشه در حملات denial of service ( تکذیب خدمات DoS ) به کار می رود، که با مصرف پهنای باند و منابع با در برگرفتن مقصد با تعداد بسته های ممکن در یک بازه زمانی کوتاه ، ارتباط دارند.
برای هدایت حمله صورت مؤثر حمه کننده ها آدرس های IP منبع را برای پیگیری و توقف DoS ، spoof می کنند.زمانی که چندین میزبان به مخاطره افتاده درحمله حضور دارند و همه در حال ارسال ترافیک spoof شده هستند، بلاک کردن سریع ترافیک بسیار مشکل است.
برداشت اشتباه از IP Spoofing یک برداشت اشتباه متداول این است که " IP Spoofing " میتواند برای پنهان کردن آدرس IP شما در حال جستجو در اینترنت ، چت کردن ، فرستادن e-mail و...
به کار گرفته شود که این برداشت به طور کلی درست نمی باشد.
جمع آوری آدرس IP منبع باعث می شود که پاسخ ها به آدرس هایی اشتباه فرستاده شوند.
یعنی شما نمی توانید یک ارتباط شبکه ای نرمال را ایجاد کنید.
به هر حال IP spoofing یک بخش جدایی ناپذیر از تعداد زیادی از شبکه هایی است که نیاز ندارند که پاسخ ها را ببینند.
شناسایی IP spoofing : ما می توانیم بسته ها را با استفاده از نرم افزار بازرسی شبکه بررسی کنیم.
یک بسته روی یک رابط خارجی که هم آدرس IP منبعش و هم آدرس IP مقصدش را در حوزه محلی داراست، یک نشانه از IP spoofing است.
راه دیگر برای شناسایی IP spoofing مقایسه کردن log های حساب های پردازش بین سیستم های روی شبکه داخلی است.
اگر حمله IP spoofing روی یکی از سیستم های شما موفقیت آمیز بود، ممکن است یک ورودی log روی ماشین قربانی دریافت کنید که یک دسترسی از راه دور را نشان می دهد.
روی ماشین منبه ظاهری هیچ ورودی متناسب برای شروع آن دسترسی از راه دور ووجود نخواهد داشت.
جلوگیری از IP spoofing : برای جلوگیری از IP spoofing رخ داده در شبکه شما، برخی از شیوه های متداول عبارتند از: از به کارگیری شناسایی آدرس منبع پرهیز کنید.
شبکه خود را برای رد کردن بسته ها از شبکه های که مدعی متعلق بودن به یک آدرس محلی است، پیکربندی کنید.
فیلتر کردن و محل ورود و خروج روی مسیریاب های مرزی و یک ACL ( لیست کنترل دستیابی) که آدرس های IP خصوصی را روی رابط downstream شما بلاک می کند، را پیاده سازی کنید.
حمله DNS server spoofing پیچیده ترین حمله، تغییر آدرس سرورهای DNS است که برای یک URL ارائه شده تصمیم می گیرند.
URL ای که کاربر اینترنت تایپ می کند، آدرس عددی سایت درخواستی نیست اما یک ساختار آدرس الفبایی-عددی دارد.
سرورهای DNS این آدرس تایپ شده را به یک آدرس اینترنتی واقعی تبدیل می کنند، به عنوان مثال 195.217.192.145 .
این تبدیل باید انجام شود چون عموماً مردم شماره های ۱۲ رقمی را به یاد نمی آورند.
حمله ای از این نوع که به طور موفقیت آمیزی انجام شده باشد، لیست سرور را تغییر می دهد به طوریکه در یک دوره زمانی کاربران درخواست کننده برخی سایت ها، به آدرس های اشتباه هدایت می شوند.
این نوع حمله یک تهدید بزرگ است و در واقع مجوزهای آدرس دهی و نام دهی اینترنتی به طور جدی در معرض خطر قرار می گیرند.
سروورهای DNS روش های امنیتی بسیا زیادی برای جلوگیری از موفقیت این حمله طراحی کرده اند، که این روش ها شامل داشتن سرورهای mirror و نظارت هر کدام و همچنین کنترل بسیار دقیق بر روی چگونگی به روز رسانی ها می باشد که به سرورها معرفی شده است.
این نوع مشکل می تواند با شناسایی سایت مثبت رفع شود به طوریکه کاربر نهایی قادر است به طور خودکار URL وب سایت درخواستی را با محتوای آماده شده کنترل کند.
نام ها و آدرس های وب سایت راه های زیادی برای spoofing یک وب سایت وجود دارد.
این بخش روش های متداول را در بردارد.
سرقت محتوا یک کپی از یک سایت می تواند از اصل آن با کپی کردن تمام صفحات قابل دسترس عموم، از یک سایت به سرور دیگر ایجاد شود.
کپی کردن یک سایت قابل دسترس عموم به طور خودکار با استفاده از برنامه هائی به نام spiders انجام می شود.تعداد زیادی از برنامه ها به صورت رایگان وجود دارند که جهت کپی کردن کل یک وب سایت طراحی شده اند.به طوری که کاربر برنامه می تواند یک وب سایت را به صورت offline بخواند به جای اینکه مجبور باشد به اینترنت وصل باشد.
برخی از فعالیت های spiderقانونی هستند: پشتیبانی از کپی های mirror سایت برای بهبود دسترسی و یا افزودن کپی این صفحات در کاتالوگ موتورهای جستجو جهت جستجوی متن یا کلمات کلیدی.
موتورهای جستجو نیزاز caehe هایی از صفحات برای کاربران خود پشتیبانی می کنند.
به طوری که دفعات load کردن کاهش یابد.
فعالیتهای دیگر spiderها ممکن است قانونی نباشد.
دارنده وب سایت ممکن است از اینکه یک spider در حال خواندن سایتش است آگاه باشد اما او نمی تواند نیت واقعی او را بفهمد.
تعداد راه های دفاعی تکنیکی در برابر این حمله کم است.
سایتها مجبورند که مقدارعظیمی از محتویات عمومی موجود خود را که طبعاً می خواهند مردم به ان ها دست یابند، را ایجاد کنند.
ARP Spoofing هدف این مقاله در ارتباط با موضوع ARP spoofing می باشد.
ARP spoofing یک راه سوء استفاده از تعامل میان پروتکل های IP و Ethernet است که تنها برای شبکه های Ethernet اجرا کننده IP قابل کاربرد می باشد.
این مقاله قابل توجه کسی خواهد بود که با تجربه پایه ای شبکه سازی، می تواند نکات کلیدی موضوع را درک کند.
دانش و اطلاعاتی در مورد مدل مرجع TCP/IP که دانش عملکرد شبکه های سوویچی و غیر سوییچی می باشد، برای درک کامل موضوع ضروری می باشد.
برخی از پیش زمینه ها در بخش مقدمه ارائه خواهد شد.
مقدمه هر کامپیوتر متصل به یک شبکه IP/Etherner LAN دارای دو آدرس می باشد.
اولی آدرس کارت شبکه است که آدرس MAC نامیده می شود.
MAC از نظر تئوری، یک ادرس منحصر به فرد سراسری و غیر قابل تغییر است که روی خود کارت شبکه ذخیره شده است.
آدرس های MAC ضروری هستند برای اینکه پروتکل Ethernet بتواند داده ها را ارسال کند ( مستقل از انچه که پروتکل های کاربردی روی آن، استفاده می کنند).
Ethernet فریم هایی از داده ها می سازد که شامل بلاک های ۱۵۰۰ بایتی است.
هر فریم یک Ethernet header دارد که شامل آدرس MAC کامپیوتر منبع و مقصد می باشد.
آدرس دوم آدرس IP است.
IP یک پروتکل به کارگرفته شده توسط برنامه های کابردی است و از آنچه که تکنولوژی شبکه در زیر آن عمل می کند، مستقل می باشد.
هر کامپیوتر روی شبکه باید یک آدرس IP منحصر به فرد برای ارتباط داشته باشد.
آدرس های IP ضروری هستند و توسط نرم افزاری تخصیص داده شده اند.
Ethernet و IP باید با یکدیگر کار کنند.
IP با ساختن بسته هایی شبیه به فریم ها اما با ساختاری متفاوت، ارتباط برقرار می کند.
این بسته ها نمی توانند بدون لایه شبکه فرستاده شوند.
در این مورد آنها توسط Ethernet فرستاده می شوند، به طوریکه بسته ها را به فریم ها می شکنند، یک Ethernet header جهت ارسال اضافه می کنند .
آنها را توسط کابل به سوییچ می فرستند.
سپس سوییچ با مقایسه آدرس مقصد فریم با یک جدول داخلی که شماره های پورت را به آدرس های MAC نسبت می دهد، تصمیم می گیرد که فریم ها توسط کدام پورت فرستاده شوند.
زمانی که یک فریم Ethernet طراحی شد باید از یک بسته IP ساخته شود.
به هر حال، Ethernet در زمان ساخت برای ایجاد یک header Ethernet هیچ اطلاعی در مورد آدرس MAC ماشین مقصد ندارد.
تنها اطلاع در دسترس آن، IP مقصد از header بسته است.
باید راهی برای پروتکل Ethernet جهت یافتن آدرس MAC ماشین مقصد از آدرس IP ارائه شده آن، وجود داشته باشد.
اینجاست که ARP، پروتکل تحلیل آدرس (Address Resolution Protocol) مطرح می شود.
عملکرد ARP با فرستادن بسته های "درخواست ARP" کار می کند.
یک درخواست ARP سوآل زیر را می پرسد: " آیا آدرس IP شما x.x.x.x است؟
اگر هست، MAC خود را برای من بفرستید." این بسته ها به تمام کامپیوتر های روی شبکه حتی روی یک شبکه سوییچی، فرستاده می شود.
هر کامپیوتر درخواست ARP را تست می کند و چک می کند که آیا هم اکنون به IP مشخص شده نسبت داده می شود و یک پاسخ ARP شامل آدرس MAC خود ارسال می کند.
برای به حداقل رساندن تعداد بسته های ARP ارسالی ، سیستم عامل از یک cache از پاسخ های ARP نگهداری می کند.
زمانی که یک کامپیوتر یک پاسخ ARP را دریافت می کند، ARP cache خود را با رابطه IP/MAC جدید به روز رسانی می کند.
از آنجایی که ARP یک پروتکل بدون حالت است، بیشتر سیستم های عامل اگر یک پاسخ را دریافت کنند بدون توجه به اینکه آیا آنها یک درخواست واقعی را فرستاده اند یا نه، cache خود را به روز رسانی خواهند کرد.
ARP spoofing نیاز به ساخت درخواست ARP و بسته های پاسخ جعلی دارد ، با فرستادن پاسخ های ARP جعلی ، یک کامپیوتر مقصد به فرستادن فریم های معین به کامپیوتر A به جای ارسال به کامپیوتر B ، ملزم می شود.
زمانی که کار به درستی انجام شود، کامپیوتر A از این تغییر مسیر ارسال هیچ اطلاعی نخواهد داشت.
فرآیند به روز رسانی ARP cache یک کامپیوتر مقصد با یک ورودی جعلی ، به عنوان " مسموم کردن" شناخته می شود.
حملات SNIFFING سوییچ ها با مقایسه MAC مقصد روی یک فریم با یک جدول تعیین می کند که کدام فریم ها به کدام پورت ها بروند.
این جدول شامل یک لیست از پورت ها و آدرس های MAC ضمیمه می باشد.
زمانی جدول ساخته می شود که سوییچ با تست کردن MAC منبع از فریم اول ارسال شده روی هر پورت روشن شود.
کارت های شبکه می توانند وارد یک وضعیت به نام " وضعیت بی قاعده " شوند که در این حالت آنها اجازه دارند تا فریم های تعیین شده برای آدرس های MAC را نسبت به آدرس های MAC خود تست کنند.
این حالت روی شبکه سوییچی یک نگرانی نیست.
چون سوییچ فریم هایی بر پایه جدول شرح داده شده در بالا را مسیر یابی کنند و این کار از sniffing فریم های افراد دیگر جلوگیری می کند.
به هر حال با استفاده از ARP spoofing چندین روش برای sniffing روی یک شبکه سوییچی وجود دارد.
حمله " man-in-the-middle" یکی از این روش ها است.
زمانی که یک MiM اجرا شد ، یک کاربر دارای سوء نیت کامپیوتر خود را بین مسیر ارتباطی دو کامپیوتر مقصد قرار می دهد.
سپس sniffing می تواند اجرا شود.
کامپیوتر دارای سوء نیت فریم های بین دو کامپیوتر مقصد را ارسال خواهد کرد به طوری که ارتباطات دچار وقفه نشوند.
حمله به صورت زیر اجرا می شود: ( Xکامپیوتر حمله کننده است و T1 و T2 کامپیوتر های مقصد هستند ) - X ، ARP cache T1 و T2 را مسموم می کند.
- T1، IP T2 را با MAC X مرتبط می کند.
- T2، IP T1 را با MAC X مرتبط می کند.
- سپس تمام ترافیک IP T1 ,T2 به جای اینکه به طورمستقیم به یکدیگر فرستاده شود، ابتدا به X بزرگ فرستاده می شود.
این روش به صورت فوق العاده ای مؤثر است زمانی که ملاحظه می شود که نه تنها کامپیوتر ها بلکه مسیریاب ها /گذرگا ه ها نیز می توانند مسموم شوند.
تمام ترافیک اینترنت برای یک میزبان با استفاده از این روش با اجرای یک MiM روی یک کامپیوتر مقصد و مسیریاب LAN ، می تواند قطع شود.
روش دیگر sniffing روی یک شبکه سوییچ شده MAC flooding است .
با ارسال پاسخ های spoof ARP شده به میزان خیلی زیاد به یک سوییچ ، جدول port / MAC سوییچ بیش از اندازه پر خواهد شد.
نتایج با علامت ویژه تغییر می کنند ، اما برخی از سوییچ ها در این نقطه به حالت انتشار بر می گردند.
سپس sniffing می تواند انجام شود.
DoS به روز رسانی cache های ARP با آدرس های MAC ای که وجود ندارند، باعث خواهد شد که فریم ها از قلم بیفتند.
این فریم ها می توانند با یک روش فراگیر به تمام client های روی شبکه جهت حملهDenial of Service ( تکذیب خدمات ) فرستاده شوند.
این کار نیز یک اثر جانبی از حملات post- MiM است ، زمانی که کامپیوترهای مقصد به فرستادن فریم ها به آدرس MAC حمله کننده ادامه می دهند حتی بعد از اینکه آنها خود را از مسیر ارتباطی حذف می کنند.
برای اجرای یک حمله MiM تمیز ، کامپیوترهای مقصد به داشتن ورودی های ARP اصلی بازیابی شده توسط کامپیوتر حمله کننده، مجبور خواهند شد.
HIJACKING با سرقت ارتباط یک حمله کننده اجازه خواهد داشت تا با استفاده از روش های مشابه با حملات MiM ، کنترل یک ارتباط بین دو کامپیوتر را در دست بگیرد.
این انتقال کنترل می تواند به هر نوع جلسه ( session ) ارسالی منجر شود.
به عنوان مثال یک حمله کننده می تواند کنترل یک جلسه telnet را بعد از کامپیوتر مقصد وارد شده به سیستم یک کامپیوتر دور ، در دست بگیرد.
CLONING آدرس های MAC به عنوان شناسه منحصر به فرد سراسری برای هر رابط شبکه در نظر گرفته شده اند.
امروزه آدرس های MAC به آسانی تغییر یافته اند.
کاربران Linux می توانند حتی MAC خود را بدون نرم افزار spoofing با استفاده از یک پارامتر واحد به " ifconfig " ( برنامه پیکر بندی رابط برای سیستم عامل) تغییر دهند.
حمله کننده ها می توانند یک کامپیوتر مقصد را DoS کرده و سپس خودشان IP و MAC کامپیوتر مقصد را تخصیص دهند و تمام فریم های در نظر گرفته شده برای مقصد را دریافت کنند.
ابزار ARPOISON ARPoisonیک ابزار فرمان- خط برای UNIX است که بسته های ARP spoof شده را ایجاد می کند.
کاربران می توانند آدرس های IP/ MAC مقصد و منبع را مشخص کنند.
ETTERCAP Ettercap یک برنامه قدرتمند UNIX است که با به کار بردن یک GUI حالت متنی به سادگی توسط" script kiddies " استفاده می شود.
تمام عملیات اتوماتیک هستند و کامپیوتر های مقصد از یک لیست طولانی از میزبانان شناسایی شده روی LAN انتخاب شده اند.
Ettercap می تواند چهار متد از sniffing را اجرا کند : IP، MAC ، ARP و Public ARP .
Ettercap همچنین می تواند رویه های زیر را اتوماتیک کند: تزریق کردن کاراکترها به ارتباطات Sniffing جلسات SSH جمع آوری رمز کشتن ارتباط PARASITE Parasite یک برنامه daemon ( برنامه خودکار ) است که برای درخواست های ARP بر یک LAN نظارت می کند و به طور خودکار پاسخ های spoof ARP شده را ارسال می کند که این باعث می شود کامپیوترهای حمله کننده به عنوان MiM برای هر کامپیوتری که پاسخ های ARP را ارسال می کند، قرار گیرند.
سرانجام ، این کار باعث یک حمله MiM روی شبکه LAN گسترده و sniff شدن تمام داده ها روی سوییچ می شود.
Parasite زمانی که متوقف شد پاک سازی مناسبی انجام نمی دهد.
این کار باعث می شود که تمام کامپیوترهای مسموم شده DoS شوند.
ورودی های مسموم شده ARP باید قبل از اینکه عملیات نرمال دوباره از سر گرفته شوند، به پایان برسند.
راه های دفاعی بهترین دفاع در مقابل ARP spoofing فعال کردن مقید سازی ( binding ) MAC روی سوییچ می باشد.این ویژگی معولاً روی سوییچ های با کیفیت بالا یافت می شود که اجازه نمی دهند آدرس MAC مربوط به یک پورت زمانی که یکبار تنظیم شده است، تغییر کند.
تغییرات قانونی MAC توسط مدیر شبکه بر اساس هر مورد انجام می شود.
راه دفاعی دیگر استفاده از مسیرهای ثابت است.
cache های ARP می توانند ورودی های ثابت( غیر قابل تغییر) داشته باشند، به طوریکه از پاسخ های ARP spoof شده چشم پوشی خواهد شد.
این روش هر شبکه ای عملی نیست به جز شبکه های LAN خانگی کوچک که در این شبکه ها ARP spoofing نگرانی بزرگی نیست.
همچنین رفتار مسیرهای ثابت تحت ویندوز قابل توجه است.
آزمایش ها نشان داده اند که هنوز پاسخ های spoof ARP شده را می پذیرد و به جای مسیرهای ثابت از مسیرهای دینامیکی استفاده می کند که هر تآثیر حاصل استفاده از مسیرهای ثابت تحت ویندوز را بی اثر می سازد.
علاوه بر این دو روش تنها روش دفاعی موجود، شناسایی (detection) است.
Arpwatch یک برنامه رایگاه UNIX است که به پاسخ های ARP روی یک شبکه گوش می دهد و یک جدول از ارتباطات IP/ MAC ساخته و آنها را در یک فایل ذخیره می کند.
زمانی که آدرس MAC مربوط به یک IP تغییر می کند ( که به عنوان یک flip-flop شناخته می شود) یک e-mail به یک مدیر فرستاده می شود.
آزمایش ها نشان داده اند که اجرای Parasite روی یک شبکه باعث اطمینان flip-flop ها می شود.
Ettercap چندین flip-flop ایجاد می کند اما شناسایی روی یک شبکه DHCP که flip-flop ها در بازه زمانی منظم رخ می دهند، دشوار خواهد بود.