Gerdab.IR | گرداب

به گزارش گرداب، اسنیفینگ (sniffing) یا شنود شبکه به حملاتی گفته می‌شود که برای به دست آوردن اطلاعات محرمانه و تحقیق در مورد موضوعات پنهانی صورت می‌گیرد. اسنیف به فرایند نظارت و گرفتن تمام بسته‌هایی گفته می‌شود که از طریق یک شبکه معین با استفاده از ابزار‌هایی که مختص این کار هستند و اصطلاحا Sniffer نامیده می‌شوند، رد و بدل می‌شوند.

در پاسخ به سوال Sniffer چیست؟ می‌توان گفت اسنیفر یک ابزار برای مانیتور ترافیک شبکه به منظور پیدا کردن مشکل در آن است. به این ترتیب Sniffer لزوما یک ابزار یا برنامه برای اهداف مخرب نیست. اما می‌تواند برای اهداف مخرب نیز استفاده شود. اسنیفر‌ها یکی از خطرناک‌ترین حملات غیرفعال محسوب می‌شوند، زیرا روی اطلاعات تغییری ایجاد نمی‌کنند به همین علت عملیات آن‌ها از ماشین‌های شبکه مخفی می‌ماند و قابل کشف نیست.

هکر‌های مخرب از اسنیفر برای چه کار‌هایی استفاده می‌کنند؟

در این حالت مهاجم (هکر) با استفاده از ضعف‌های امنیتی موجود در شبکه اقدام به شنود اطلاعات رد و بدلی بر روی شبکه کرده و می‌تواند از این اطلاعات سواستفاده کند. در حقیقت حمله اسنیف شبکه با سرقت ترافیک رد و بدلی در شبکه، با استفاده از ابزار‌های مرسوم در این حوزه، با سرقت اطلاعات مطابقت دارد.

اگر اطلاعات انتقالی بر روی بستر شبکه، رمزنگاری نشده باشند، هکر می‌تواند اطلاعات موجود بر بستر شبکه را با استفاده از ابزار‌هایی دریافت کرده و بخواند. با استفاده از یک ابزار در این حوزه، هکر می‌تواند شبکه را تجزیه و تحلیل کرده و اطلاعات را دریافت کند و در نهایت می‌تواند باعث خرابی‌هایی بر روی اطلاعات شبکه شود.

در حقیقت حمله Packet Sniffing عمل به‌دست آوردن، جمع‌آوری و لاگ‌گیری برخی یا تمام بسته‌هایی است که از طریق شبکه عبور می‌کنند، صرف نظر از اینکه آدرس این پکت‌ها چگونه است. به این ترتیب، ممکن است هر بسته یا یک زیر مجموعه مشخص از بسته‌ها، برای تجزیه و تحلیل بیشتر جمع شود. شما به عنوان یک مدیر شبکه می‌توانید از داده‌های جمع آوری شده برای اهداف متنوعی مانند نظارت بر پهنای باند و ترافیک استفاده کنید. Sniffer شبکه یک ابزار نرم‌افزاری یا سخت‌افزاری است که برای نظارت بر ترافیک شبکه استفاده می‌شود. ممکن است با یکی از نام‌های دیگر آن مانند آنالایزر بسته، آنالایزر شبکه یا آنالایزر پروتکل با این ابزار آشنا باشید. پیاده‌سازی سخت‌افزار‌های آنالایزر بسته‌ای بیشتر توسط مدیران شبکه یا متخصصان امنیتی که با شبکه‌های بزرگ کار می‌کنند بکار می‌روند.

تفاوت Sniffing و Spoofing چیست؟

در اسنیف مهاجم به ترافیک داده‌های شبکه گوش می‌دهد و بسته‌های داده را با استفاده از اسنیفر‌ها ضبط می‌کند. در Spoofing، مهاجم با جعل مک آدرس خود؛ خود را Geteway خروجی می‌کند و واسط کاربران با اینترنت قرار می‌گیرد و از همین رو تمام پکت‌های ورودی و خروجی ابتدا برای مهاجم ارسال می‌شود. حملات Sniffing به عنوان man-in-the–middle نیز شناخته می‌شوند.

انواع Sniffing

Sniffing می‌تواند فعال (Active) یا غیرفعال (Passive) باشد.

حالت غیرفعال (Passive) در حملات Sniffing

در این نوع اسنیف کردن مهاجم بر روی کلیه کامپیوتر‌های یک شبکه LAN نرم‌افزار شنود نصب می‌کند که تقریبا کمتر کسی این روز‌ها امکان شنود به این روش را دارد. شنود کردن شبکه این روز‌ها بسیار سخت شده است، قبلا با توجه به مکانیزم کاری که در HUB‌ها وجود داشت و داده‌ها در کلیه پورت‌ها ارسال می‌شدند، نرم‌افزار Sniffer هم می‌توانست داده‌های کل شبکه LAN را به یک باره شنود کند، اما این روز‌ها از HUB استفاده نمی‌شود این نوع اسنیف کردن شبکه را Passive Sniffing می‌نامند، چون هکر نیازی به انجام هیچ کاری برای دریافت اطلاعات از شبکه ندارد.

ابزار‌های Sniffing براحتی اطلاعات مورد نیازشان را در این محیط به دست می‌آورند. این نوع شنود در شبکه‌های وایرلس هم کاربرد دارد و وقتی صحبت از Passive Sniffing در شبکه‌های وایرلس می‌شود یعنی اینکه ما صرفا با یک کارت شبکه وایرلس نرم‌افزار شنود را اجرا می‌کنیم و منتظر می‌شویم که Packet‌ای به ما برسد تا آن را Capture کنیم. در سال‌های اخیر رسما Passive Sniffing در شبکه‌های کابلی منسوخ شده است، اما در شبکه‌های وایرلس همچنان قابل استفاده است. نکته مهمی که در Passive Sniffing وجود دارد این است که کسی متوجه حضور مهاجم نمی‌شود.

حالت فعال (Active) در حملات Sniffing

در این حالت نرم‌افزار‌های شنود قادر هستند تعداد بسیار زیادی MAC Address جعلی را به سمت سویچ ارسال کنند و جدول آدرس MAC یا MAC Table را سرریز می‌کند و با سرریز شدن این جدول سوییچ ما تبدیل به یک HUB می‌شود و ترافیک را بر روی تمامی پورت‌های خودش ارسال می‌کند و فرآیند شنود ما کامل می‌شود. طبیعی است که با توجه به ایجاد شدن ترافیک بسیار زیاد احتمال شناسایی هکر بسیار زیاد است.

اما همین مکانیزم برای شبکه‌های وایرلس نیز صادق است، در Passive Wireless Sniff شما منتظر می‌مانید که Access Point شما برای سیستم شما یک بسته ارسال کند که ممکن است مدت‌ها زمان ببرد، در Active Wireless Sniffing ما به صورت جعلی برای Access Point درخواست‌های زیادی ارسال می‌کنیم تا مجبور به پاسخگویی و در نتیجه امکان شنود آن شود. این روز‌ها وقتی صحبت از شنود در شبکه می‌شود منظور اسنیف فعال است.

تکنیک‌های Sniffing فعال عبارت است از موارد زیر:

• MAC Flooding

• DHCP Attacks

• DNS Poisoning

• Spoofing Attacks

• ARP Poisoning

پروتکل‌هایی که تحت تأثیر حملات Sniffing قرار دارند

به طور کلی تمام پروتکل‌هایی که از رمز نگاری استفاده نمی‌کنند به راحتی آسیب‌پذیر می‌باشند، در زیر برخی از آن‌ها را نام برده‌ایم.

• - HTTP پروتکلی است که برای ارسال متن به کار می‌رود بدون استفاده از هیچ گونه رمزنگاری.

• SMTP - اساسا در انتقال ایمیل‌ها مورد استفاده قرار می‌گیرد. این پروتکل کارآمد است، اما هیچگونه راه حفاظت در برابر sniffing را شامل نمی‌شود.

• NNTP- این پروتکل برای تمامی ارتباطات استفاده می‌شود، اما اشکال اصلی این است که داده‌ها و حتی پسورد‌های بر روی شبکه به عنوان متن واضح (clear text) ارسال می‌شوند.

• - POP برای دریافت ایمیل از سرور استفاده می‌شود. این پروتکل هیچ محافظتی در برابر sniffing ندارد.

• - FTP برای ارسال و دریافت فایل استفاده می‌شود، اما هیچ ویژگی امنیتی ارائه نمی‌دهد. تمام داده‌ها به صورت متن ساده ارسال می‌شوند.

• - IMAP عملکرد‌های آن همانند SMTP است، اما در برابر اسنیف بسیار آسیب پذیر است.

• Telnet - همه چیز (نام‌های کاربری، رمز‌های عبور و …) را بر روی شبکه به عنوان متن ساده (clear text) ارسال می‌کند و از این رو می‌توان به راحتی آن را اسنیف کرد.

اطلاعاتی که اسنیفر‌ها می‌توانند شنود کنند چیست؟

• ترافیک ایمیل (Email traffic)

• رمز‌های عبور اف تی پی (FTP passwords)

• ترافیک وب (Web traffics)

• گذرواژه‌های تلنت (Telnet passwords)

• پیکربندی روتر (Router configuration)

• جلسات گفتگو (Chat sessions)

• ترافیک دی ان اس (DNS traffic)

تشخیص اسنیفر‌ها

یک اسنیفر معمولاً غیرفعال است و فقط داده‌ها را جمع‌آوری می‌کند. از این رو شناسایی اسنیفر‌ها به ویژه هنگامی که در حال اجرا در یک اترنت اشتراکی باشند، بسیار دشوار است. اما هنگامی که اسنیفر در بخشی از شبکه اترنت سوئیچ کار می‌کند، تشخیصش کمی ساده‌تر است.
هنگامی که یک اسنیفر بر روی کامپیوتر نصب می‌شود، مقدار کمی ترافیک تولید می‌کند.

در ادامه به مرور کلیِ روش‌های تشخیص می‌پردازیم:

• روش پینگ

ترفند مورد استفاده در این روش، ارسال یک درخواست پینگ با آدرس IP دستگاه مشکوک و آدرس مک دیگری است. اما اگر دستگاه مشکوک در حال اجرای یک اسنیفر باشد، آن را پاسخ می‌دهد؛ زیرا اسنیفر بسته‌هایی با آدرس MAC متفاوت را رد نمی‌کند. البته این یک روش قدیمی است و دیگر قابل اعتماد نیست. توصیه می‌شود که یک بسته Ping به IP ماشینی که به آن مشکوک هستیم بفرستیم. اگر کامپیوتر مشکوک اسنیفر داشته باشد به پینگ شما جواب می‌دهد. این در حالی هست که قاعدتا نباید به بسته‌هایی که آدرس مک آن‌ها به آن نمی‌خورد جواب دهد؛ این یک روش قدیمی است.

• روش ARP

یک بسته غیربرودکست Arp می‌فرستیم؛ کامپیوتری که در حالت بی‌قاعده قرار گرفته باشد، آدرس را ذخیره می‌کند. بعد از آن ما یک بسته Ping به صورت برودکست با آی پی خود، اما با یه آدرس مک دیگر می‌فرستیم. تنها کامپیوتری که آدرس مک واقعی ما را از قاب اسنیف شده Arp دارد، می‌تواند به درخواست برودکست پینگ ما جواب دهد.

• روش تاخیر

این روش بر اساس این فرض است که اکثر اسنیفر‌ها برخی عملیات تجزیه و تحلیل را نیز انجام می‌دهند. در این روش، به سادگی، مقدار زیادی از داده‌ها در شبکه فرستاده می‌شود و دستگاه مشکوک قبل و در حین جریان داده‌ها پینگ می‌شود. اگر دستگاه در حالت بی‌قاعده باشد، داده‌ها را تجزیه و تحلیل می‌کند و بار پردازش بر روی آن افزایش می‌یابد؛ بنابراین پاسخ دادن به بسته پینگ زمان بیشتری می‌برد. این تفاوت در زمان پاسخ را می‌توان به عنوان شاخصی برای نشان دادن اینکه یک ماشین در حالت بی‌قاعده است یا نه، استفاده کرد. نکته قابل توجه این است که گاهی به دلیل بار روی سیم، ممکن است بسته‌ها به تعویق بیافتند و نتایج مثبت کاذب (دستگاه‌های سالم، به عنوان دستگاهی که در حال اجرای اسنیفر است، تشخیص داده شوند) را منجر شوند.

• نظارت ARP

همانطور که قبلاً توضیح داده شد، یک روش برای شنود در شبکه سوئیچ شده، فریب ARP دروازه است. ابزاری به نام Arp watch می‌تواند برای نظارت بر حافظه کش ARP یک ماشین استفاده شود تا ببینید آیا نسخه دیگری برای ماشین وجود دارد یا نه. اگر وجود داشته باشد، می‌تواند آلارم‌ها را منجرشده و موجب تشخیص اسنیفر‌ها شود. متاسفانه در شبکه در حال اجرای DHCP، این روش می‌تواند بسیاری از آلارم‌های نادرست را موجب شود. یک تغییر ساده افزایش زمان اجاره DHCP است. به این ترتیب حتی پس از اینکه کاربران شما بعد از تعطیلات آخر هفته برگردند، همان آدرس IP قبلی خود را دریافت خواهند کرد و احتمال آلارم جعلی بسیار کاهش می‌یابد.

• استفاده از IDS

سیستم‌های تشخیص نفوذ خاص، شبکه را برای ARP Spoofing نظارت و مانیتور می‌کنند. به عنوان مثال، سیستم متن باز Snort، دارای یک پیش پردازنده arp-spoof است که اجازه می‌دهد تا بسته‌های شبکه با آدرس ARP‌های جعلی را ثبت کند. به طور معمول، این ابزار هر زوج آدرس Mac/IP در فایل snort.conf را با جفت‌های موجود در بسته‌هایی که در شبکه جریان دارند، مقایسه می‌کند و هرگاه ناسازگاری وجود داشت، هشدار ارسال می‌شود.

ابزار‌های اسنیف شبکه

اسنیف با استفاده از ابزار Cain and Abel

این ابزار یکی از قدیمی‌ترین ابزار‌های امنیت سایبری است که برای شناسایی نقاط آسیب‌پذیر در سیستم عامل ویندوز‌های مختلف استفاده می‌شود. ابزار Cain and Abel به متخصصان امنیتی کمک می‌کند تا نقاط ضعف امنیت پسورد در سیستم‌های موجود بر روی سیستم عامل‌های ویندوز را شناسایی کنند. این ابزار رایگان امنیت سایبری برای بازیابی پسورد‌ها مورد استفاده قرار می‌گیرد و امکانات بسیاری دارد که توانایی ضبط ارتباط‌های تلفنی VoIP یکی از این امکانات است.

هم‌چنین، ابزار Cain and Abel قادر است پروتکل‌های مسیریابی (Routing Protocols) را آنالیز کند تا میزان خطرپذیری بسته‌های داده‌ی مسیریابی شده (Routed Data Packets) را تعیین کند. به علاوه، این ابزار می‌تواند پسورد‌های کَش‌شده و باکس‌های پسورد را آشکار کند و با استفاده از حملات Brute-force پسورد‌های رمزگذاری‌شده را کرک کند. یکی دیگر از امکانات این ابزار این است که می‌تواند پسورد‌های Scrambled را رمزگشایی کند و در تحلیل پسورد‌ها بسیار موثر عمل کند.

یک کامپیوتر متصل به شبکه محلی، دارای دو آدرس است. یکی آدرس MAC یا) کنترل دسترسی رسانه) که به طور منحصربه فرد، هر گره از شبکه را شناسایی کرده و روی کارت شبکه ذخیره می‌شود. این آدرس توسط پروتکل اترنت، هنگام ساخت فریم‌هایی برای انتقال داده بین دستگاه‌ها استفاده می‌شود. آدرس دیگر، آدرس IP است که توسط برنامه‌ها استفاده می‌گردد. لایه ارتباط داده از هدر اترنت با آدرس MAC دستگاه مقصد، به جای آدرس IP آن استفاده می‌کند.

لایه شبکه نیز مسئول نگاشت آدرس‌های IP در شبکه به آدرس‌های MAC موردنیاز پروتکل ارتباط داده است. این لایه، ابتدا آدرس MAC دستگاه مقصد را در یک جدول که معمولا حافظه کش ARP) پروتکل تفکیک آدرس ها) نامیده می‌شود، جستجو می‌کند. اگر ورودی‌ای برای IP مورد نظر یافت نشد، پروتکل تفکیک آدرس، یک بسته درخواست (درخواست ARP) را به تمام دستگاه‌های موجود در شبکه ارسال می‌کند. سپس دستگاه با آن IP مورد نظر، آدرس MAC خود را به عنوان پاسخ به دستگاه منبع می‌فرستد و این آدرس MAC به جدول کش ARP دستگاه منبع اضافه می‌شود. پس از آن دستگاه منبع در تمام ارتباطاتش با دستگاه مقصد موردنظر، از این آدرس MAC استفاده می‌کند.

شرکت‌ها باید استفاده از این ابزار را به عنوان نقطه‌ی شروعی برای فرآیند تحلیل بسته‌های شبکه خود، درنظر بگیرند.

اسنیف شبکه با ابزار Ettercap

یکی از ابزار‌هایی که در این حوزه از آن استفاده می‌شود، ابزار Ettercap می‌باشد. Ettercap مجموعه‌ای کامل برای حملات مرد میانی است. این برنامه از شکاف فعال و غیرفعال بسیاری از پروتکل‌ها پشتیبانی می‌کند و شامل بسیاری از ویژگی‌های آنالیز شبکه و میزبان است. این ابزار به صورت پیش فرض بر روی سیستم عامل کالی لینوکس وجود دارد. Ettercap یک ابزار امنیتی به منظور شنود شبکه می‌باشد که به صورت متن باز و رایگان در اختیار عموم قرار دارد. این ابزار می‌تواند برای تجزیه و تحلیل پروتکل‌های شبکه‌های کامپیوتری و ممیزی امنیتی استفاده شود. این ابزار بر روی سیستم عامل‌های مختلفی مانند ویندوز، مک، لینوکس و … قابلیت اجرا دارد.

اسنیف شبکه با ابزار easy - creads

ابزار easy creds یک اسکریپت به زبان bash می‌باشد که از Ettercap و ابزار‌های دیگر برای انجام اسنیف شبکه و در نتیجه به دست آوردن اعتبارات استفاده می‌کند. این ابزار به شما امکان ایجاد حملاتی از قبیل arp poison، DHCP spoofing و Fake AP را می‌دهد.

Easy creds یک ابزار رایگان است که آخرین بار در تاریخ ۰۱-۰۱-۲۰۱۱ بروزرسانی شده است. این اسکریپت علاوه بر توزیع‌های لینوکسی قابلیت نصب بر روی ویندوز XP، Vista و ویندوز ۷ را دارد.

ویژگی‌های کلیدی این اسکریپت عبارت است از:

Easily set up a FakeAP

Menu Driven

Easily initiate a MITM

oneway Arp poison

Provides SSLstrip.log file parser

اسنیف شبکه با استفاده از ابزار DNS cache poisoning

تغییر پرونده‌های حافظه پنهان DNS به گونه‌ای که درخواست‌ها را به وب سایتی مخرب هدایت کند که مهاجم بتواند ترافیک را ضبط کند. وب سایت مخرب ممکن است یک وب سایت واقعی باشد که توسط مهاجم راه‌اندازی شده است تا قربانیان به وب سایت اعتماد کنند. کاربر ممکن است اطلاعات حساب کاربری خود را وارد کند و هکر بلافاصله آن‌ها را Sniff کند.

جلوگیری از شنود شبکه

شبکه‌های غیر قابل اعتماد:

کاربران باید از اتصال به شبکه‌های بدون امنیت که شامل Wi-Fi عمومی رایگان است خودداری کنند.
این شبکه‌های ناامن خطرناک هستند، زیرا یک مهاجم می‌تواند یک بسته اسنیفر را مستقر کند تا با استفاده از آن کل شبکه را شنود کند. راه دیگری که مهاجم می‌تواند ترافیک شبکه را اسنیف کند ایجاد Wi-Fi عمومی جعلی و رایگان است.

رمزگذاری:

رمزگذاری فرآیند تبدیل متن ساده به سخنگو به منظور محافظت از پیام در برابر مهاجمان است.
قبل از خروج از شبکه، اطلاعات باید رمزگذاری شود تا در برابر هکر‌هایی که به شبکه‌ها نفوذ می‌کنند محافظت شود. این امر با استفاده از یک شبکه خصوصی مجازی (VPN) حاصل می‌شود.

اسکن و نظارت بر شبکه:

سرپرستان شبکه برای شناسایی هرگونه ترافیک مشکوک باید شبکه‌های خود را اسکن و نظارت کنند. این کار با نظارت بر پهنای باند یا ممیزی دستگاه حاصل می‌شود. در امنیت اطلاعات، هکر‌های اخلاقی همچنین از تکنیک‌های شنود برای به دست آوردن اطلاعاتی که می‌تواند با آن‌ها در سیستم نفوذ کند، استفاده می‌کنند. اگر توسط افراد حرفه‌ای مانند هکر‌های اخلاقی استفاده شود، اسنیفر‌های بسته می‌توانند در شناسایی آسیب‌پذیری‌های سیستم کمک کنند.

تبدیل شدن به یک هکر اخلاقی گواهی شده (CEH)

این مسئله شما را در خط مقدم قرار می‌دهد تا بتوانید این حملات شنود را شناسایی کنید و کاهش دهید، در نتیجه شبکه را ایمن نگه دارید. شما می‌توانید تمام تکنیک‌ها و ابزار‌هایی را که هکر‌ها برای به خطر انداختن سیستم‌ها استفاده می‌کنند بیاموزید، سپس از همان ابزار‌ها و تکنیک‌ها برای محافظت از مشتریان خود در برابر افراد مخرب و مهاجم استفاده می‌کنید.

به طور کلی بهترین روش برای محافظت از خود در برابر شنود، استفاده از رمزگذاری است. با وجود اینکه این کار از عملکرد اسنیفر جلوگیری نخواهد کرد، اما اطمینان حاصل می‌شود که چیزی که اسنیفر خوانده است، کاملاً به دردنخور است.

اگر شما در یک شبکه سوئیچ شده قرار دارید، احتمال این وجود دارد که فریب پروتکل ARP برای اهداف خرابکارانه انجام شده باشد. دستگاهی که کاربر مخرب به احتمال زیاد سعی در ARP-spoof آن دارد، دروازه است. برای جلوگیری از این رخداد، می‌توانید آدرس مک دروازه را به طور دائمی به حافظه ARP خود اضافه کنید. این کار با قرار دادن آدرس مک دروازه شما و دیگر دستگاه‌های مهم در فایل / etc /ethers می‌تواند انجام شود.

_____________________

منابع:

https://liangroup.net/blog/what-is-sniffing/

https://blacksecurityteam.com/sniffing/

 https://cynetco.com/what-is-sniffing/

 https://kaliboys.com/sniffing/

https://intellipaat.com/blog/tutorial/ethical-hacking-cyber-security-tutorial/sniffing-attacks/

 https://kaliboys.com/sniffing-techniques/

 https://www.nadp-co.com/sniffer-%DA%86%DB%8C%D8%B3%D8%AA%D8%9F-sniffer-%DA%86%DA%AF%D9%88%D9%86%D9%87-%DA%A9%D8%A7%D8%B1-%D9%85%DB%8C-%DA%A9%D9%86%D8%AF%D8%9F/

 https://momtazserver.com/%D8%B4%D9%86%D9%88%D8%AF-%DB%8C%D8%A7-%D8%A7%D8%B3%D8%AA%D8%B1%D8%A7%D9%82-%D8%B3%D9%85%D8%B9/

 https://kaliboys.com/common-network-sniffing-tools/

 https://blacksecurityteam.com/sniffing/