یکی از خطراتی که بر روی بستر شبکههایی که به صورت غیرایمن پیکربندی شدهاند، میتواند اتفاق بیفتد، شنود شبکه و یا به صورت فنیتر اسنیف شبکه است.
به گزارش گرداب، اسنیفینگ (sniffing) یا شنود شبکه به حملاتی گفته میشود که برای به دست آوردن اطلاعات محرمانه و تحقیق در مورد موضوعات پنهانی صورت میگیرد. اسنیف به فرایند نظارت و گرفتن تمام بستههایی گفته میشود که از طریق یک شبکه معین با استفاده از ابزارهایی که مختص این کار هستند و اصطلاحا Sniffer نامیده میشوند، رد و بدل میشوند.
در پاسخ به سوال Sniffer چیست؟ میتوان گفت اسنیفر یک ابزار برای مانیتور ترافیک شبکه به منظور پیدا کردن مشکل در آن است. به این ترتیب Sniffer لزوما یک ابزار یا برنامه برای اهداف مخرب نیست. اما میتواند برای اهداف مخرب نیز استفاده شود. اسنیفرها یکی از خطرناکترین حملات غیرفعال محسوب میشوند، زیرا روی اطلاعات تغییری ایجاد نمیکنند به همین علت عملیات آنها از ماشینهای شبکه مخفی میماند و قابل کشف نیست.
هکرهای مخرب از اسنیفر برای چه کارهایی استفاده میکنند؟
در این حالت مهاجم (هکر) با استفاده از ضعفهای امنیتی موجود در شبکه اقدام به شنود اطلاعات رد و بدلی بر روی شبکه کرده و میتواند از این اطلاعات سواستفاده کند. در حقیقت حمله اسنیف شبکه با سرقت ترافیک رد و بدلی در شبکه، با استفاده از ابزارهای مرسوم در این حوزه، با سرقت اطلاعات مطابقت دارد.
اگر اطلاعات انتقالی بر روی بستر شبکه، رمزنگاری نشده باشند، هکر میتواند اطلاعات موجود بر بستر شبکه را با استفاده از ابزارهایی دریافت کرده و بخواند. با استفاده از یک ابزار در این حوزه، هکر میتواند شبکه را تجزیه و تحلیل کرده و اطلاعات را دریافت کند و در نهایت میتواند باعث خرابیهایی بر روی اطلاعات شبکه شود.
در حقیقت حمله Packet Sniffing عمل بهدست آوردن، جمعآوری و لاگگیری برخی یا تمام بستههایی است که از طریق شبکه عبور میکنند، صرف نظر از اینکه آدرس این پکتها چگونه است. به این ترتیب، ممکن است هر بسته یا یک زیر مجموعه مشخص از بستهها، برای تجزیه و تحلیل بیشتر جمع شود. شما به عنوان یک مدیر شبکه میتوانید از دادههای جمع آوری شده برای اهداف متنوعی مانند نظارت بر پهنای باند و ترافیک استفاده کنید. Sniffer شبکه یک ابزار نرمافزاری یا سختافزاری است که برای نظارت بر ترافیک شبکه استفاده میشود. ممکن است با یکی از نامهای دیگر آن مانند آنالایزر بسته، آنالایزر شبکه یا آنالایزر پروتکل با این ابزار آشنا باشید. پیادهسازی سختافزارهای آنالایزر بستهای بیشتر توسط مدیران شبکه یا متخصصان امنیتی که با شبکههای بزرگ کار میکنند بکار میروند.
تفاوت Sniffing و Spoofing چیست؟
در اسنیف مهاجم به ترافیک دادههای شبکه گوش میدهد و بستههای داده را با استفاده از اسنیفرها ضبط میکند. در Spoofing، مهاجم با جعل مک آدرس خود؛ خود را Geteway خروجی میکند و واسط کاربران با اینترنت قرار میگیرد و از همین رو تمام پکتهای ورودی و خروجی ابتدا برای مهاجم ارسال میشود. حملات Sniffing به عنوان man-in-the–middle نیز شناخته میشوند.
انواع Sniffing
Sniffing میتواند فعال (Active) یا غیرفعال (Passive) باشد.
حالت غیرفعال (Passive) در حملات Sniffing
در این نوع اسنیف کردن مهاجم بر روی کلیه کامپیوترهای یک شبکه LAN نرمافزار شنود نصب میکند که تقریبا کمتر کسی این روزها امکان شنود به این روش را دارد. شنود کردن شبکه این روزها بسیار سخت شده است، قبلا با توجه به مکانیزم کاری که در HUBها وجود داشت و دادهها در کلیه پورتها ارسال میشدند، نرمافزار Sniffer هم میتوانست دادههای کل شبکه LAN را به یک باره شنود کند، اما این روزها از HUB استفاده نمیشود این نوع اسنیف کردن شبکه را Passive Sniffing مینامند، چون هکر نیازی به انجام هیچ کاری برای دریافت اطلاعات از شبکه ندارد.
ابزارهای Sniffing براحتی اطلاعات مورد نیازشان را در این محیط به دست میآورند. این نوع شنود در شبکههای وایرلس هم کاربرد دارد و وقتی صحبت از Passive Sniffing در شبکههای وایرلس میشود یعنی اینکه ما صرفا با یک کارت شبکه وایرلس نرمافزار شنود را اجرا میکنیم و منتظر میشویم که Packetای به ما برسد تا آن را Capture کنیم. در سالهای اخیر رسما Passive Sniffing در شبکههای کابلی منسوخ شده است، اما در شبکههای وایرلس همچنان قابل استفاده است. نکته مهمی که در Passive Sniffing وجود دارد این است که کسی متوجه حضور مهاجم نمیشود.
حالت فعال (Active) در حملات Sniffing
در این حالت نرمافزارهای شنود قادر هستند تعداد بسیار زیادی MAC Address جعلی را به سمت سویچ ارسال کنند و جدول آدرس MAC یا MAC Table را سرریز میکند و با سرریز شدن این جدول سوییچ ما تبدیل به یک HUB میشود و ترافیک را بر روی تمامی پورتهای خودش ارسال میکند و فرآیند شنود ما کامل میشود. طبیعی است که با توجه به ایجاد شدن ترافیک بسیار زیاد احتمال شناسایی هکر بسیار زیاد است.
اما همین مکانیزم برای شبکههای وایرلس نیز صادق است، در Passive Wireless Sniff شما منتظر میمانید که Access Point شما برای سیستم شما یک بسته ارسال کند که ممکن است مدتها زمان ببرد، در Active Wireless Sniffing ما به صورت جعلی برای Access Point درخواستهای زیادی ارسال میکنیم تا مجبور به پاسخگویی و در نتیجه امکان شنود آن شود. این روزها وقتی صحبت از شنود در شبکه میشود منظور اسنیف فعال است.
تکنیکهای Sniffing فعال عبارت است از موارد زیر:
• MAC Flooding
• DHCP Attacks
• DNS Poisoning
• Spoofing Attacks
• ARP Poisoning
پروتکلهایی که تحت تأثیر حملات Sniffing قرار دارند
به طور کلی تمام پروتکلهایی که از رمز نگاری استفاده نمیکنند به راحتی آسیبپذیر میباشند، در زیر برخی از آنها را نام بردهایم.
• - HTTP پروتکلی است که برای ارسال متن به کار میرود بدون استفاده از هیچ گونه رمزنگاری.
• SMTP - اساسا در انتقال ایمیلها مورد استفاده قرار میگیرد. این پروتکل کارآمد است، اما هیچگونه راه حفاظت در برابر sniffing را شامل نمیشود.
• NNTP- این پروتکل برای تمامی ارتباطات استفاده میشود، اما اشکال اصلی این است که دادهها و حتی پسوردهای بر روی شبکه به عنوان متن واضح (clear text) ارسال میشوند.
• - POP برای دریافت ایمیل از سرور استفاده میشود. این پروتکل هیچ محافظتی در برابر sniffing ندارد.
• - FTP برای ارسال و دریافت فایل استفاده میشود، اما هیچ ویژگی امنیتی ارائه نمیدهد. تمام دادهها به صورت متن ساده ارسال میشوند.
• - IMAP عملکردهای آن همانند SMTP است، اما در برابر اسنیف بسیار آسیب پذیر است.
• Telnet - همه چیز (نامهای کاربری، رمزهای عبور و …) را بر روی شبکه به عنوان متن ساده (clear text) ارسال میکند و از این رو میتوان به راحتی آن را اسنیف کرد.
اطلاعاتی که اسنیفرها میتوانند شنود کنند چیست؟
• ترافیک ایمیل (Email traffic)
• رمزهای عبور اف تی پی (FTP passwords)
• ترافیک وب (Web traffics)
• گذرواژههای تلنت (Telnet passwords)
• پیکربندی روتر (Router configuration)
• جلسات گفتگو (Chat sessions)
• ترافیک دی ان اس (DNS traffic)
تشخیص اسنیفرها
یک اسنیفر معمولاً غیرفعال است و فقط دادهها را جمعآوری میکند. از این رو شناسایی اسنیفرها به ویژه هنگامی که در حال اجرا در یک اترنت اشتراکی باشند، بسیار دشوار است. اما هنگامی که اسنیفر در بخشی از شبکه اترنت سوئیچ کار میکند، تشخیصش کمی سادهتر است.
هنگامی که یک اسنیفر بر روی کامپیوتر نصب میشود، مقدار کمی ترافیک تولید میکند.
در ادامه به مرور کلیِ روشهای تشخیص میپردازیم:
• روش پینگ
ترفند مورد استفاده در این روش، ارسال یک درخواست پینگ با آدرس IP دستگاه مشکوک و آدرس مک دیگری است. اما اگر دستگاه مشکوک در حال اجرای یک اسنیفر باشد، آن را پاسخ میدهد؛ زیرا اسنیفر بستههایی با آدرس MAC متفاوت را رد نمیکند. البته این یک روش قدیمی است و دیگر قابل اعتماد نیست. توصیه میشود که یک بسته Ping به IP ماشینی که به آن مشکوک هستیم بفرستیم. اگر کامپیوتر مشکوک اسنیفر داشته باشد به پینگ شما جواب میدهد. این در حالی هست که قاعدتا نباید به بستههایی که آدرس مک آنها به آن نمیخورد جواب دهد؛ این یک روش قدیمی است.
• روش ARP
یک بسته غیربرودکست Arp میفرستیم؛ کامپیوتری که در حالت بیقاعده قرار گرفته باشد، آدرس را ذخیره میکند. بعد از آن ما یک بسته Ping به صورت برودکست با آی پی خود، اما با یه آدرس مک دیگر میفرستیم. تنها کامپیوتری که آدرس مک واقعی ما را از قاب اسنیف شده Arp دارد، میتواند به درخواست برودکست پینگ ما جواب دهد.
• روش تاخیر
این روش بر اساس این فرض است که اکثر اسنیفرها برخی عملیات تجزیه و تحلیل را نیز انجام میدهند. در این روش، به سادگی، مقدار زیادی از دادهها در شبکه فرستاده میشود و دستگاه مشکوک قبل و در حین جریان دادهها پینگ میشود. اگر دستگاه در حالت بیقاعده باشد، دادهها را تجزیه و تحلیل میکند و بار پردازش بر روی آن افزایش مییابد؛ بنابراین پاسخ دادن به بسته پینگ زمان بیشتری میبرد. این تفاوت در زمان پاسخ را میتوان به عنوان شاخصی برای نشان دادن اینکه یک ماشین در حالت بیقاعده است یا نه، استفاده کرد. نکته قابل توجه این است که گاهی به دلیل بار روی سیم، ممکن است بستهها به تعویق بیافتند و نتایج مثبت کاذب (دستگاههای سالم، به عنوان دستگاهی که در حال اجرای اسنیفر است، تشخیص داده شوند) را منجر شوند.
• نظارت ARP
همانطور که قبلاً توضیح داده شد، یک روش برای شنود در شبکه سوئیچ شده، فریب ARP دروازه است. ابزاری به نام Arp watch میتواند برای نظارت بر حافظه کش ARP یک ماشین استفاده شود تا ببینید آیا نسخه دیگری برای ماشین وجود دارد یا نه. اگر وجود داشته باشد، میتواند آلارمها را منجرشده و موجب تشخیص اسنیفرها شود. متاسفانه در شبکه در حال اجرای DHCP، این روش میتواند بسیاری از آلارمهای نادرست را موجب شود. یک تغییر ساده افزایش زمان اجاره DHCP است. به این ترتیب حتی پس از اینکه کاربران شما بعد از تعطیلات آخر هفته برگردند، همان آدرس IP قبلی خود را دریافت خواهند کرد و احتمال آلارم جعلی بسیار کاهش مییابد.
• استفاده از IDS
سیستمهای تشخیص نفوذ خاص، شبکه را برای ARP Spoofing نظارت و مانیتور میکنند. به عنوان مثال، سیستم متن باز Snort، دارای یک پیش پردازنده arp-spoof است که اجازه میدهد تا بستههای شبکه با آدرس ARPهای جعلی را ثبت کند. به طور معمول، این ابزار هر زوج آدرس Mac/IP در فایل snort.conf را با جفتهای موجود در بستههایی که در شبکه جریان دارند، مقایسه میکند و هرگاه ناسازگاری وجود داشت، هشدار ارسال میشود.
ابزارهای اسنیف شبکه
اسنیف با استفاده از ابزار Cain and Abel
این ابزار یکی از قدیمیترین ابزارهای امنیت سایبری است که برای شناسایی نقاط آسیبپذیر در سیستم عامل ویندوزهای مختلف استفاده میشود. ابزار Cain and Abel به متخصصان امنیتی کمک میکند تا نقاط ضعف امنیت پسورد در سیستمهای موجود بر روی سیستم عاملهای ویندوز را شناسایی کنند. این ابزار رایگان امنیت سایبری برای بازیابی پسوردها مورد استفاده قرار میگیرد و امکانات بسیاری دارد که توانایی ضبط ارتباطهای تلفنی VoIP یکی از این امکانات است.
همچنین، ابزار Cain and Abel قادر است پروتکلهای مسیریابی (Routing Protocols) را آنالیز کند تا میزان خطرپذیری بستههای دادهی مسیریابی شده (Routed Data Packets) را تعیین کند. به علاوه، این ابزار میتواند پسوردهای کَششده و باکسهای پسورد را آشکار کند و با استفاده از حملات Brute-force پسوردهای رمزگذاریشده را کرک کند. یکی دیگر از امکانات این ابزار این است که میتواند پسوردهای Scrambled را رمزگشایی کند و در تحلیل پسوردها بسیار موثر عمل کند.
یک کامپیوتر متصل به شبکه محلی، دارای دو آدرس است. یکی آدرس MAC یا) کنترل دسترسی رسانه) که به طور منحصربه فرد، هر گره از شبکه را شناسایی کرده و روی کارت شبکه ذخیره میشود. این آدرس توسط پروتکل اترنت، هنگام ساخت فریمهایی برای انتقال داده بین دستگاهها استفاده میشود. آدرس دیگر، آدرس IP است که توسط برنامهها استفاده میگردد. لایه ارتباط داده از هدر اترنت با آدرس MAC دستگاه مقصد، به جای آدرس IP آن استفاده میکند.
لایه شبکه نیز مسئول نگاشت آدرسهای IP در شبکه به آدرسهای MAC موردنیاز پروتکل ارتباط داده است. این لایه، ابتدا آدرس MAC دستگاه مقصد را در یک جدول که معمولا حافظه کش ARP) پروتکل تفکیک آدرس ها) نامیده میشود، جستجو میکند. اگر ورودیای برای IP مورد نظر یافت نشد، پروتکل تفکیک آدرس، یک بسته درخواست (درخواست ARP) را به تمام دستگاههای موجود در شبکه ارسال میکند. سپس دستگاه با آن IP مورد نظر، آدرس MAC خود را به عنوان پاسخ به دستگاه منبع میفرستد و این آدرس MAC به جدول کش ARP دستگاه منبع اضافه میشود. پس از آن دستگاه منبع در تمام ارتباطاتش با دستگاه مقصد موردنظر، از این آدرس MAC استفاده میکند.
شرکتها باید استفاده از این ابزار را به عنوان نقطهی شروعی برای فرآیند تحلیل بستههای شبکه خود، درنظر بگیرند.
اسنیف شبکه با ابزار Ettercap
یکی از ابزارهایی که در این حوزه از آن استفاده میشود، ابزار Ettercap میباشد. Ettercap مجموعهای کامل برای حملات مرد میانی است. این برنامه از شکاف فعال و غیرفعال بسیاری از پروتکلها پشتیبانی میکند و شامل بسیاری از ویژگیهای آنالیز شبکه و میزبان است. این ابزار به صورت پیش فرض بر روی سیستم عامل کالی لینوکس وجود دارد. Ettercap یک ابزار امنیتی به منظور شنود شبکه میباشد که به صورت متن باز و رایگان در اختیار عموم قرار دارد. این ابزار میتواند برای تجزیه و تحلیل پروتکلهای شبکههای کامپیوتری و ممیزی امنیتی استفاده شود. این ابزار بر روی سیستم عاملهای مختلفی مانند ویندوز، مک، لینوکس و … قابلیت اجرا دارد.
اسنیف شبکه با ابزار easy - creads
ابزار easy creds یک اسکریپت به زبان bash میباشد که از Ettercap و ابزارهای دیگر برای انجام اسنیف شبکه و در نتیجه به دست آوردن اعتبارات استفاده میکند. این ابزار به شما امکان ایجاد حملاتی از قبیل arp poison، DHCP spoofing و Fake AP را میدهد.
Easy creds یک ابزار رایگان است که آخرین بار در تاریخ ۰۱-۰۱-۲۰۱۱ بروزرسانی شده است. این اسکریپت علاوه بر توزیعهای لینوکسی قابلیت نصب بر روی ویندوز XP، Vista و ویندوز ۷ را دارد.
ویژگیهای کلیدی این اسکریپت عبارت است از:
Easily set up a FakeAP
Menu Driven
Easily initiate a MITM
oneway Arp poison
Provides SSLstrip.log file parser
اسنیف شبکه با استفاده از ابزار DNS cache poisoning
تغییر پروندههای حافظه پنهان DNS به گونهای که درخواستها را به وب سایتی مخرب هدایت کند که مهاجم بتواند ترافیک را ضبط کند. وب سایت مخرب ممکن است یک وب سایت واقعی باشد که توسط مهاجم راهاندازی شده است تا قربانیان به وب سایت اعتماد کنند. کاربر ممکن است اطلاعات حساب کاربری خود را وارد کند و هکر بلافاصله آنها را Sniff کند.
جلوگیری از شنود شبکه
شبکههای غیر قابل اعتماد:
کاربران باید از اتصال به شبکههای بدون امنیت که شامل Wi-Fi عمومی رایگان است خودداری کنند.
این شبکههای ناامن خطرناک هستند، زیرا یک مهاجم میتواند یک بسته اسنیفر را مستقر کند تا با استفاده از آن کل شبکه را شنود کند. راه دیگری که مهاجم میتواند ترافیک شبکه را اسنیف کند ایجاد Wi-Fi عمومی جعلی و رایگان است.
رمزگذاری:
رمزگذاری فرآیند تبدیل متن ساده به سخنگو به منظور محافظت از پیام در برابر مهاجمان است.
قبل از خروج از شبکه، اطلاعات باید رمزگذاری شود تا در برابر هکرهایی که به شبکهها نفوذ میکنند محافظت شود. این امر با استفاده از یک شبکه خصوصی مجازی (VPN) حاصل میشود.
اسکن و نظارت بر شبکه:
سرپرستان شبکه برای شناسایی هرگونه ترافیک مشکوک باید شبکههای خود را اسکن و نظارت کنند. این کار با نظارت بر پهنای باند یا ممیزی دستگاه حاصل میشود. در امنیت اطلاعات، هکرهای اخلاقی همچنین از تکنیکهای شنود برای به دست آوردن اطلاعاتی که میتواند با آنها در سیستم نفوذ کند، استفاده میکنند. اگر توسط افراد حرفهای مانند هکرهای اخلاقی استفاده شود، اسنیفرهای بسته میتوانند در شناسایی آسیبپذیریهای سیستم کمک کنند.
تبدیل شدن به یک هکر اخلاقی گواهی شده (CEH)
این مسئله شما را در خط مقدم قرار میدهد تا بتوانید این حملات شنود را شناسایی کنید و کاهش دهید، در نتیجه شبکه را ایمن نگه دارید. شما میتوانید تمام تکنیکها و ابزارهایی را که هکرها برای به خطر انداختن سیستمها استفاده میکنند بیاموزید، سپس از همان ابزارها و تکنیکها برای محافظت از مشتریان خود در برابر افراد مخرب و مهاجم استفاده میکنید.
به طور کلی بهترین روش برای محافظت از خود در برابر شنود، استفاده از رمزگذاری است. با وجود اینکه این کار از عملکرد اسنیفر جلوگیری نخواهد کرد، اما اطمینان حاصل میشود که چیزی که اسنیفر خوانده است، کاملاً به دردنخور است.
اگر شما در یک شبکه سوئیچ شده قرار دارید، احتمال این وجود دارد که فریب پروتکل ARP برای اهداف خرابکارانه انجام شده باشد. دستگاهی که کاربر مخرب به احتمال زیاد سعی در ARP-spoof آن دارد، دروازه است. برای جلوگیری از این رخداد، میتوانید آدرس مک دروازه را به طور دائمی به حافظه ARP خود اضافه کنید. این کار با قرار دادن آدرس مک دروازه شما و دیگر دستگاههای مهم در فایل / etc /ethers میتواند انجام شود.
_____________________
منابع:
https://liangroup.net/blog/what-is-sniffing/
https://blacksecurityteam.com/sniffing/
https://cynetco.com/what-is-sniffing/
https://kaliboys.com/sniffing/
https://intellipaat.com/blog/tutorial/ethical-hacking-cyber-security-tutorial/sniffing-attacks/
https://kaliboys.com/sniffing-techniques/
https://www.nadp-co.com/sniffer-%DA%86%DB%8C%D8%B3%D8%AA%D8%9F-sniffer-%DA%86%DA%AF%D9%88%D9%86%D9%87-%DA%A9%D8%A7%D8%B1-%D9%85%DB%8C-%DA%A9%D9%86%D8%AF%D8%9F/
https://momtazserver.com/%D8%B4%D9%86%D9%88%D8%AF-%DB%8C%D8%A7-%D8%A7%D8%B3%D8%AA%D8%B1%D8%A7%D9%82-%D8%B3%D9%85%D8%B9/
https://kaliboys.com/common-network-sniffing-tools/
https://blacksecurityteam.com/sniffing/