مروری بر حملات فریب‌کاری (Spoofing)

مروری بر حملات فریب‌کاری (Spoofing)
تاریخ انتشار : ۰۹ آذر ۱۳۹۹

شما تابه‌حال پیامکی دریافت کرده‌اید که در آن پیام، آدرسی برایتان ارسال شود؟ اگر جواب مثبت است، به‌احتمال فراوان شما یک پیام جعلی دریافت نموده‌اید.

به گزارش گرداب، در دنیای شبکه‌ای، استفاده از هویت دیگری و جعل آن به‌منظور سوءاستفاده را، فریب‌کاری یا Spoofing می‌نامند. هنگامی‌که یک شخص یا برنامه، با جعل موفق داده‌ها و درنتیجه به دست آوردن یک مزیت نامشروع خود را به‌عنوان شخص دیگری جا می‌زند، حمله فریب‌کاری رخ داده است. تقریباً هیچ‌کدام از روش‌های فریب‌کاری، استفاده مفید یا قانونی نداشته و اغلب برای سرقت، انتقام و یا سرگرمی صورت می‌گیرد. اثرات این حملات به دلیل مخفی بودن آن از دید قربانی حمله، اغلب شدید بوده و تا مدت‌ها پیش از شناسایی آن ادامه دارد. در ادامه برخی از انواع حملات فریب‌کاری که همچنان مورد استفاده مهاجمان قرار گرفته‌اند، بررسی می‌گردد.

حمله فریب‌کاری در شبکه تلفن همراه

آیا شما تابه‌حال پیامکی دریافت کرده‌اید که در آن پیام، آدرسی برایتان ارسال شود؟ به‌عنوان‌مثال این آدرس از بانک شخصی شما یا از طرف یک موسسه سرمایه‌گذاری به دست شما رسیده باشد. اگر جواب مثبت است، به‌احتمال فراوان شما یک پیام جعلی دریافت نموده‌اید. هنگامی‌که تلفن همراه شما پیامکی دریافت می‌کند، بررسی می‌کند که آیا شماره فرستنده پیام در دفترچه آدرس تلفن ذخیره‌شده است یا خیر. در صورت وجود نام فرستنده در دفترچه آدرس، شماره تلفن و هویت فرستنده نمایش داده می‌شود. به‌طور نمونه، قالب پیامک که از استاندارد GSM 3.40 استفاده می‌کند، مجوز استفاده از فرمت‌های حروف و اعداد را در آدرس پیامک تلفن همراه فرستنده و یا گیرنده می‌دهد. این ویژگی اجازه خواهد داد تا هر آدرسی، با هر محتوای حروف و عددی، در فیلد آدرس فرستنده، همچون نام دانشگاه محل تحصیلتان قرار بگیرد. در استاندارد فوق این قابلیت برای کمک به گیرنده پیام و به‌منظور شناسایی فرستنده طراحی‌شده است؛ حتی اگر آدرس فرستنده پیام در دفترچه آدرس گوشی گیرنده ذخیره نشده باشد.

حمله فریب‌کاری IP

برای اولین بار در سال 1989 در مقاله‌ای به مشکلات امنیتی حمله فریب‌کاری IP اشاره شد. این حمله روشی برای نفوذ غیرمجاز به رایانه قربانی است که در آن مهاجم بسته‌ای را با IP رایانه مورد اعتماد قربانی، برای او می‌فرستد. در این فرایند آدرس مقصد مورد توجه بوده و آدرس مبدأ در صورتی مورد استفاده قرار می‌گیرد كه رایانه مقصد قصد ارسال پاسخ به رایانه مبدأ را داشته باشد.

ازاین‌رو مهاجم پس از انتخاب آدرس مقصد و یافتن یک آدرس IP معتبر، داده‌های ردوبدل شده را نمونه‌برداری کرده و پس از بررسی آن، با حدس شماره‌های توالی بسته‌ها، پیام‌های جعلی را با تغییر سرآیند بسته به‌سوی قربانی ارسال می‌نماید و چنين وانمود مي‌كند كه این پيغام‌ها از يك مبدأ قابل اعتماد ارسال شده است؛ بنابراین جهت موفقيت حمله، نمايش يك آدرس IP قابل اعتماد ضروری بوده و بسته‌ها باید طوري دست‌کاری شوند تا تصور شود دارای آدرس IP مورد اعتماد برای مقصد هستند.

آدرس منبع را نیز می‌توان با دست‌کاری سرآیند IP مخفی نمود. این کار به دلایل روشنی در حملات مختلف فریب‌کاری IP مورد استفاده قرار می‌گیرد. در این‌گونه از حملات، از قبل شماره‌های توالی و شماره پیام‌های تصدیق (ack)، برای حل مشکلات بالقوه ناشی از دوباره ساختن آن‌ها با دقت شنود می‌شوند.

در این شرایط تهدید فریب‌کاری، درواقع بسیار شبیه به حمله ربایش نشست یا Hijacking Session خواهد بود که در مقالات آتی در مورد آن به تفضیل بحث خواهیم نمود. ربایش نشست با گمراه نمودن جریان داده‌های یک اتصال موجود انجام گردیده و سپس برقراری مجدد آن نشست با شماره توالی و شماره پیام تصدیق ماشین حمله‌کننده ادامه می‌یابد. با استفاده از این روش، یک مهاجم به‌طور مؤثر می‌تواند هرگونه اقدام صورت گرفته جهت احراز اصالت پیش از ساخت یک اتصال را دور بزند. البته ربایش نشست تفاوت‌هایی با حمله فریب‌کاری IP نیز دارد. در حمله فریب‌کاری IP، مهاجم تا در اختیار گرفتن نشست، سعی در کنار گذاردن کاربر ندارد و برای به دست آوردن نشست، هویت را جعل کرده و خود را به‌جای فرد دیگری معرفی می‌نماید. درواقع کاربر واقعی در حمله هیچ نقشی ایفا نمی‌کند. در مقابل در ربایش نشست، حمله‌کننده به یک نشست موجود و فعال حمله می‌کند. این یعنی آنکه مهاجم بر پایه یک کاربر مجاز عمل نموده و به این صورت قربانی عملاً کنار گذارده می‌شود.

اغلب حملات فریب‌کاری بر اساس واقعیت مسیریابی در شبکه اینترنت شکل گرفته است. مسيرياب‌ها، بهترين مسير براي ايجاد ارتباط ميان دو رایانه را با آزمودن مجموعه‌اي از آدرس‌ها انتخاب مي‌كنند. حملات Routing-redirect و Source routing از این دسته‌اند. در Routing-redirect اطلاعات مسيریابي به نحوی تغییر می‌یابد که موجب ارسال اطلاعات به مقصد موردنظر سارق شود. حمله Source routing نیز با ایجاد شکاف در فرایند مسیریابی تلاش می‌نماید تا ترافیک به نقطه معینی از شبکه هدایت شود. این کار با مسیریابی مجدد بسته‌ها امکان‌پذیر می‌گردد.

هنگامی‌که در حملات فریب‌کاری نیاز به دیدن پاسخ میزبان نباشد و تنها به‌صورت یک مبدأ قابل اطمینان عمل شود Blind spoofing یا فریب‌کاری پنهان رخ داده است. بااین‌حال می‌توان تمامی حملات فریب‌کاری را نوعی از حملات پنهان در نظر گرفت. علاوه بر موارد فوق یکی از حملات متداول و عمومی برای حمله فریب‌کاری، حمله مردمیانی است که این نیز موضوع مقاله‌ای با این عنوان در آینده نزدیک خواهد بود. در این نوع حمله، یک بخش مخرب ارتباط صحیح بین دو بخش معتبر را قطع می‌نماید. سپس این میزبان مخرب، کنترل جریان ارتباطات را به دست گرفته و پس‌ازآن می‌تواند اطلاعات ارسال‌شده توسط هریک از طرفین اصلی را بدون اطلاع گیرنده و یا فرستنده اصلی، از بین برده و یا تغییر دهد. در این روش، مهاجم می‌تواند با جعل هویت فرستنده اصلی، قربانی را برای فاش کردن اطلاعات محرمانه فریب دهد. ازاین‌رو در اغلب موارد مهاجم مورد اعتماد قرار گرفته و قربانی نادانسته اطلاعات خود را به مهاجم می‌دهد.

نتیجه

تمامی واژه‌ها و اصطلاحات فنی بیان شده در بالا پیرامون دسته‌ای از حملات است که در آن مهاجم به دنبال موقعیتی برای ورود به شبکه، همچون یک کاربر مجاز است. این حملات علاوه بر آنکه موجب کاهش عملکرد شبکه می‌شود، بسیاری از ابعاد امنیتی آن را نیز مختل می‌نماید. 

منبع: ایتنا