چکیده :
در دنیای اینترنت و شبکه, هرگاه شخصی از هویت کسی دیگر استفاده کرده و اقدام به سواستفاده نماید را spoofing گویند. این دزدیدن هویت می تواند دزدیدن شناسه کاربری یک شخص و یا استفاده نا به جا از شماره آی پی وی و یا هرگونه اقدام دیگری در جهت جعل هویت شخص مورد نظر باشد. هرگاه شخصی بتواند از راه های گوناگون کارهایی را که شما انجام می دهید از روی اینترنت و شبکه مخفیانه دنبال کند می گویند وی در حال sniff کردن است. از دیدگاه مهندسین شبکه و کامپیوتر این می تواند به مثابه کنترل ترافیک ورودی و خروجی اطلاعات ما بین کامپیوترهای مختلف باشد. کسانی که اقدام به این کار می کنند عموماً برنامه ای را بر روی سیستم شخص قربانی نصب کرده و هرگاه فرد قربانی به اینترنت وصل شد اطلاعات زیر نظر گرفته شده ( بسته به نوع نرم افزار نصب شده روی سیستم قربانی) به ایمیل شخص هکر و یا بهتر است بگوییم شخص sniffer فرستاده می شود.
کلمات کلیدی
ARP , IP , TCP/IP , IP/Ethernet , MAC , IP Spoofing , ARP Spoofing , Web Spoofing , MiM attack , DoS,ARPoison ,Parasite, Ettercap , RARP , DNS , man in the middle attack , non-blind spoofing , blind spoofing , ARPWATCH , Hijacking , Cloning , IP/MAC .
مقدمه
Spoofing به معنی وانمود کردن به چیزی است که وجود ندارد. در اصطلاحات اینترنتی Spoofing به معنی وانمود کردن به یک آدرس اینترنتی متفاوت از کسی است که شما برای به دست آوردن چیزی آن را دارا هستید که می توان اطلاعاتی مثل شماره های کارت اعتباری، رمزها، اطلاعات شخصی و یا توانایی انجام اعمالی بااستفاده از هویت شخص دیگری باشد.
برخی از حملات بالقوه Spoofing از نظر تکنیکی دشوار هستند و بقیه معمولی.
برای اینکه شما بتوانید در مقابل Spoofing از خود دفاع کنید؛ راه های متفاوتی وجود دارد. برخی از حملات روی اشتباه یا درک نادرست کاربر تکیه دارند. ممانعت از نوع حملات مشکل تر است چون کاربران لزوماً دارای مهارت فنی مورد نیاز برای درک آنچه در حال رخ دادن است نیستند. ضمن اینکه تکنولوژی ای که آن ها از آن استفاده می کنند، با استفاده از واژه های غیر فنی خود را بیان نمی کند.
در این مقاله چندین حمله Spoofing و راه های دفاعی ممکن در مقابل آن ها مورد بررسی قرار گرفته است.
Spoofing : یک دید کلی از برخی تهدیدات کنونی Sooping
مقدمه
Spoofing به شکل های زیادی در جهان کامپیوتر به کار گرفته می شود که هر کدام نیاز به برخی از انواع نمایش جهلی اطلاعات دارند. متدهای متنوع و انواع گوناگونی از spoofing وجود دارد که چهار نوع از آن ها عبارتند از:
IP
ARP
Web
DNS
هیچ نوع استفاده قانونی یا مفیدی برای به کار بردن هیچ کدام از انواع spoofing وجود ندارد. برخی از اهداف می تواند سرگرمی، دزدی ،انتقام و یا برخی اهداف بد خواهانه دیگر باشد. اثر این حملات می تواند خیلی شدید باشد و می تواند میلیون ها دلار هزینه برای ما ایجاد کند و نباید توسط جامعه امنیت اینترنت نادیده گرفته شود.
IP Spoofing
IP spoofing برای دسترسی غیر مجاز به یک کامپیوتر مورد استفاده قرار می گیرد. حمله کننده بسته های کوچکی را به همراه یک آدرس منبع به یک کامپیوتر می فرستد که این آدرس مشخص می کند که بسته از طرف یک پورت یا سیستم معتبر آمده است. حمله کننده ها باید برای اجرای این کار برخی مراحل پیچیده را با دقت انجام دهند. آنها باید :
یک مقصد پیدا کنند
آدرس IP یک ماشین معتبر را بیابند
ارتباطات ماشین معتبر را غیر فعال کنند
از یک ارتباط بین مقصد و میزبان های معتبر نمونه برداری کنند
شماره های ترتیبی ماشین معتبر را حدس بزنند
Header بسته را تغییر دهند به طوری که در ظاهر نشان دهد که بسته ها از میزبان معتبری می آیند
برای برقراری ارتباط با آدرس یک سرویس یا پورت معتبر تلاش کنند
اگر تلاش ها موفقیت آمیز بود حمله کننده برخی از انواع دسترسی پنهانی را برای رجوع بعدی مستقر خواهد کرد
سیستم A با فرستادن آدرس سیستم B به جای آدرس خود هویت سیستم B را جعل خواهد کرد. دلیل این کار این است که سیستم ها به فعالیت درون گروه هایی از سیستم های "معتبر" گرایش دارند.این اعتبار به صورت یک به یک پیاده سازی شده است. سیستم A سیستم B را معتبر می سازد. IP spoofing به صورت زیر اتفاق می افتد:
اگر سیستم A سیستم B را معتبر کند و سیستم C سیستم B را spoof کند، در نتیجه سیستم C می تواند به سیستم A دسترسی غیرمجاز پیدا کند.
یکی از نقاط ضعف IP spoofing این است که C هرگز پاسخ های A را نمی بیند که این یک حمله کاملاً کور ( blind) است. تجربه زیاد و آگاهی از پاسخ های مورد انتظار از طرف مقصد برای اجرای موفقیت آمیز حمله مورد نیاز است. برخی از روش های متداول برای جلوگیری از این نوع حمله، غیرفعال کردن بسته های مسیریابی شده و غیرفعال کردن تمام بسته های خارجی ورودی با آدرس منبع مشابه به عنوان یک میزبان محلی می باشد.
ARP Spoofing
ARP (Address Resolution Protocol) جهت انتساب آدرس های IP به آدرس های سخت افزاری مورد استفاده قرار می گیرد. از یک جدول، معمولاً به نام ARP cache جهت نگهداری رابطه بین هر آدرس MAC با آدرس IP متناظر با آن استفاده می شود. ARP قوانین پروتکل برای ایجاد این ارتباط و فراهم کردن تحلیل آدرس در هر دو جهت را فراهم می سازد. زمانی که یک بسته دریافتی به یک ماشین میزبان روی یک شبکه فرستاده می شود، وارد یک مسیریاب می شود و از برنامه ARP می خواهد تا یک آدرس MAC مطابق با آدرس IP بیابد. برنامه ARP در ARP cache جستجو می کند و اگر آدرس را پیدا کرد آن را طوری آماده می کند که بسته بتواند به طول و شکل صحیح بسته تبدیل شده و به ماشین فرستاده شود. اگر هیچ ورودی برای آدرس IP پیدا نشد ARP یک بسته درخواست با شکلی خاص را به تمام ماشین های روی شبکه ارسال می کند تا بفهمد که آیا ماشینی می داند که آن آدرس IP برای چه کسی است. ماشینی که آدرس IP را به عنوان آدرس خود تشخیص دهد یک پاسخ برمی گرداند. ARP ، ARP cache را برای رجوع بعدی به روز رسانی می کند و بسته ای را به آدرس MAC پاسخ دهنده می فرستد. یک مثال از درخواست ارسال ARP :
یک نفر ممکن است نتیجه گیری کند که این مدل آدرس دهی نیز می تواند برای تآمین یک میزبان با اطلاعات ناصحیح spoof شود. ARP spoofing نیاز به ساختن درخواست ARP و بسته های پاسخ جعلی دارد. با فرستادن پاسخ های ARP جعلی، یک کامپیوتر مقصد برای فرستادن فریم ها به کامپیوتر A به جای ارسال به کامپیوتر B ملزم می شود که این کار به فرآیند مسموم کردن ARP اشاره دارد.
هم اکنون برنامه هایی وجود دارند که فراین مسموم کردن ARP را اتوماتیک می کند. ARPoiso - ، Ettercap و Parasite. هر سه این برنامه ها دارای قابلیت ایجاد بسته های spoof ARP شده، ارسال از مسیر دیگر و یا اجرای برخی از انواع حملات man in the middle می باشد.
فعال کردن مقید سازی MAC در یک سوییچ یا پیاده سازی جداوول ARP ثابت، ممانعت از ARp spoofing را محقق می سازند. مقید سازی MAC باغث می شود تا یک آدرس یکبار به یک آداپتور انتقال داده شود که بدون مجوز نمی تواند تغییر کند.
مدیریت ARP ثابت تنها در یک شبکه خیلی کوچک به طور واقع بینانه ای تحقق یافته است. در یک شبکه دینامیکی بزرگ مدیریت وظیفه نگهداری از ورودی های به روز رسانی شده غیر ممکن خواهد بود. ARPWATCH برای سیستم های بر پایه Unix تغییرات ARP cache را نظارت کرده و درباره تغییرات به مدیر هشدار می دهد.
Web Spoofing
Web Spoofing یک حمله امنیتی است که اجازه می دهد یک دشمن تمام صقحات وب فرستاده شده به ماشین قربانی را مشاهده کرده و تغییر دهد و تمام اطلاعات وارد شده در فرم ها توسط قربانی را مشاهده نماید. Web Spoofing روی هر در جستجوگر (browser) اصلی کار می کند و توسط ارتباطات امن از ممانعت شده است.