چکیده : در دنیای اینترنت و شبکه, هرگاه شخصی از هویت کسی دیگر استفاده کرده و اقدام به سواستفاده نماید را spoofing گویند.
این دزدیدن هویت می تواند دزدیدن شناسه کاربری یک شخص و یا استفاده نا به جا از شماره آی پی وی و یا هرگونه اقدام دیگری در جهت جعل هویت شخص مورد نظر باشد.
هرگاه شخصی بتواند از راه های گوناگون کارهایی را که شما انجام می دهید از روی اینترنت و شبکه مخفیانه دنبال کند می گویند وی در حال sniff کردن است.
از دیدگاه مهندسین شبکه و کامپیوتر این می تواند به مثابه کنترل ترافیک ورودی و خروجی اطلاعات ما بین کامپیوترهای مختلف باشد.
کسانی که اقدام به این کار می کنند عموماً برنامه ای را بر روی سیستم شخص قربانی نصب کرده و هرگاه فرد قربانی به اینترنت وصل شد اطلاعات زیر نظر گرفته شده ( بسته به نوع نرم افزار نصب شده روی سیستم قربانی) به ایمیل شخص هکر و یا بهتر است بگوییم شخص sniffer فرستاده می شود.
کلمات کلیدی ARP , IP , TCP/IP , IP/Ethernet , MAC , IP Spoofing , ARP Spoofing , Web Spoofing , MiM attack , DoS,ARPoison ,Parasite, Ettercap , RARP , DNS , man in the middle attack , non-blind spoofing , blind spoofing , ARPWATCH , Hijacking , Cloning , IP/MAC .
مقدمه Spoofing به معنی وانمود کردن به چیزی است که وجود ندارد.
در اصطلاحات اینترنتی Spoofing به معنی وانمود کردن به یک آدرس اینترنتی متفاوت از کسی است که شما برای به دست آوردن چیزی آن را دارا هستید که می توان اطلاعاتی مثل شماره های کارت اعتباری، رمزها، اطلاعات شخصی و یا توانایی انجام اعمالی بااستفاده از هویت شخص دیگری باشد.
برخی از حملات بالقوه Spoofing از نظر تکنیکی دشوار هستند و بقیه معمولی.
برای اینکه شما بتوانید در مقابل Spoofing از خود دفاع کنید؛ راه های متفاوتی وجود دارد.
برخی از حملات روی اشتباه یا درک نادرست کاربر تکیه دارند.
ممانعت از نوع حملات مشکل تر است چون کاربران لزوماً دارای مهارت فنی مورد نیاز برای درک آنچه در حال رخ دادن است نیستند.
ضمن اینکه تکنولوژی ای که آن ها از آن استفاده می کنند، با استفاده از واژه های غیر فنی خود را بیان نمی کند.
در این مقاله چندین حمله Spoofing و راه های دفاعی ممکن در مقابل آن ها مورد بررسی قرار گرفته است.
Spoofing : یک دید کلی از برخی تهدیدات کنونی Sooping مقدمه Spoofing به شکل های زیادی در جهان کامپیوتر به کار گرفته می شود که هر کدام نیاز به برخی از انواع نمایش جهلی اطلاعات دارند.
متدهای متنوع و انواع گوناگونی از spoofing وجود دارد که چهار نوع از آن ها عبارتند از: IP ARP Web DNS هیچ نوع استفاده قانونی یا مفیدی برای به کار بردن هیچ کدام از انواع spoofing وجود ندارد.
برخی از اهداف می تواند سرگرمی، دزدی ،انتقام و یا برخی اهداف بد خواهانه دیگر باشد.
اثر این حملات می تواند خیلی شدید باشد و می تواند میلیون ها دلار هزینه برای ما ایجاد کند و نباید توسط جامعه امنیت اینترنت نادیده گرفته شود.
IP Spoofing IP spoofing برای دسترسی غیر مجاز به یک کامپیوتر مورد استفاده قرار می گیرد.
حمله کننده بسته های کوچکی را به همراه یک آدرس منبع به یک کامپیوتر می فرستد که این آدرس مشخص می کند که بسته از طرف یک پورت یا سیستم معتبر آمده است.
حمله کننده ها باید برای اجرای این کار برخی مراحل پیچیده را با دقت انجام دهند.
آنها باید : یک مقصد پیدا کنند آدرس IP یک ماشین معتبر را بیابند ارتباطات ماشین معتبر را غیر فعال کنند از یک ارتباط بین مقصد و میزبان های معتبر نمونه برداری کنند شماره های ترتیبی ماشین معتبر را حدس بزنند Header بسته را تغییر دهند به طوری که در ظاهر نشان دهد که بسته ها از میزبان معتبری می آیند برای برقراری ارتباط با آدرس یک سرویس یا پورت معتبر تلاش کنند اگر تلاش ها موفقیت آمیز بود حمله کننده برخی از انواع دسترسی پنهانی را برای رجوع بعدی مستقر خواهد کرد سیستم A با فرستادن آدرس سیستم B به جای آدرس خود هویت سیستم B را جعل خواهد کرد.
دلیل این کار این است که سیستم ها به فعالیت درون گروه هایی از سیستم های "معتبر" گرایش دارند.این اعتبار به صورت یک به یک پیاده سازی شده است.
سیستم A سیستم B را معتبر می سازد.
IP spoofing به صورت زیر اتفاق می افتد: اگر سیستم A سیستم B را معتبر کند و سیستم C سیستم B را spoof کند، در نتیجه سیستم C می تواند به سیستم A دسترسی غیرمجاز پیدا کند.
یکی از نقاط ضعف IP spoofing این است که C هرگز پاسخ های A را نمی بیند که این یک حمله کاملاً کور ( blind) است.
تجربه زیاد و آگاهی از پاسخ های مورد انتظار از طرف مقصد برای اجرای موفقیت آمیز حمله مورد نیاز است.
برخی از روش های متداول برای جلوگیری از این نوع حمله، غیرفعال کردن بسته های مسیریابی شده و غیرفعال کردن تمام بسته های خارجی ورودی با آدرس منبع مشابه به عنوان یک میزبان محلی می باشد.
ARP Spoofing ARP (Address Resolution Protocol) جهت انتساب آدرس های IP به آدرس های سخت افزاری مورد استفاده قرار می گیرد.
از یک جدول، معمولاً به نام ARP cache جهت نگهداری رابطه بین هر آدرس MAC با آدرس IP متناظر با آن استفاده می شود.
ARP قوانین پروتکل برای ایجاد این ارتباط و فراهم کردن تحلیل آدرس در هر دو جهت را فراهم می سازد.
زمانی که یک بسته دریافتی به یک ماشین میزبان روی یک شبکه فرستاده می شود، وارد یک مسیریاب می شود و از برنامه ARP می خواهد تا یک آدرس MAC مطابق با آدرس IP بیابد.
برنامه ARP در ARP cache جستجو می کند و اگر آدرس را پیدا کرد آن را طوری آماده می کند که بسته بتواند به طول و شکل صحیح بسته تبدیل شده و به ماشین فرستاده شود.
اگر هیچ ورودی برای آدرس IP پیدا نشد ARP یک بسته درخواست با شکلی خاص را به تمام ماشین های روی شبکه ارسال می کند تا بفهمد که آیا ماشینی می داند که آن آدرس IP برای چه کسی است.
ماشینی که آدرس IP را به عنوان آدرس خود تشخیص دهد یک پاسخ برمی گرداند.
ARP ، ARP cache را برای رجوع بعدی به روز رسانی می کند و بسته ای را به آدرس MAC پاسخ دهنده می فرستد.
یک مثال از درخواست ارسال ARP : یک نفر ممکن است نتیجه گیری کند که این مدل آدرس دهی نیز می تواند برای تآمین یک میزبان با اطلاعات ناصحیح spoof شود.
ARP spoofing نیاز به ساختن درخواست ARP و بسته های پاسخ جعلی دارد.
با فرستادن پاسخ های ARP جعلی، یک کامپیوتر مقصد برای فرستادن فریم ها به کامپیوتر A به جای ارسال به کامپیوتر B ملزم می شود که این کار به فرآیند مسموم کردن ARP اشاره دارد.
هم اکنون برنامه هایی وجود دارند که فراین مسموم کردن ARP را اتوماتیک می کند.
ARPoiso - ، Ettercap و Parasite.
هر سه این برنامه ها دارای قابلیت ایجاد بسته های spoof ARP شده، ارسال از مسیر دیگر و یا اجرای برخی از انواع حملات man in the middle می باشد.
فعال کردن مقید سازی MAC در یک سوییچ یا پیاده سازی جداوول ARP ثابت، ممانعت از ARp spoofing را محقق می سازند.
مقید سازی MAC باغث می شود تا یک آدرس یکبار به یک آداپتور انتقال داده شود که بدون مجوز نمی تواند تغییر کند.
مدیریت ARP ثابت تنها در یک شبکه خیلی کوچک به طور واقع بینانه ای تحقق یافته است.
در یک شبکه دینامیکی بزرگ مدیریت وظیفه نگهداری از ورودی های به روز رسانی شده غیر ممکن خواهد بود.
ARPWATCH برای سیستم های بر پایه Unix تغییرات ARP cache را نظارت کرده و درباره تغییرات به مدیر هشدار می دهد.
Web Spoofing Web Spoofing یک حمله امنیتی است که اجازه می دهد یک دشمن تمام صقحات وب فرستاده شده به ماشین قربانی را مشاهده کرده و تغییر دهد و تمام اطلاعات وارد شده در فرم ها توسط قربانی را مشاهده نماید.
Web Spoofing روی هر در جستجوگر (browser) اصلی کار می کند و توسط ارتباطات امن از ممانعت شده است.
Web Spoofing یک حمله امنیتی است که اجازه می دهد یک دشمن تمام صقحات وب فرستاده شده به ماشین قربانی را مشاهده کرده و تغییر دهد و تمام اطلاعات وارد شده در فرم ها توسط قربانی را مشاهده نماید.
حمله کننده می تواند تمام صفحات وب و محتویات فرم را مشاهده کرده و تغییر دهد ، حتی زمانی که جستجوگر نشان می دهد که ارتباط امنی وجود دارد و کابرا هیچ چیز غیر عادی نمی بیند.
حمله با استفاده از JavaScript و plug-in سرور وب پیاده سازی شده است و در دو بخش کار می کند.
ابتدا حمله کننده باعث می شود یک پنجره browser با برخی شرایط نرمال و اطلاعات منوی جایگزین شده توسط مولفه های مشابه فراهم شده توسط حمله کننده، روی ماشین قربانی ایجاد شود.
سپس حمله کننده باعث می شود تمام صفحات وب معین شده برای ماشین قربانی توسط سرور حمله کننده از مسیری دیگر فرستاده شود.
روی سرور حمله کننده صفحات دوباره به گونه ای نوشته می شووند که ظاهر آن ها اصلاً تغییری نکند، اما هر عمل انجام شده توسط قربانی ( از قبیل کلیک کردن روی یک لینک) توسط حمله کننده ثبت خواهد شد.
به علاوه هر تلاش قربانی برای load کردن یک صفحه جدید باعث خواهد شد که صفحه به تازگی load شده توسط سرور حمله کننده فرستاده شود به طوریکه حمله روی صفحه جدید ادامه خواهد یافت.
زمانی که قربانی یک صفحه وب آلوده را بازدید کند یا یک پیام e-mail آلوده را دریافت کند، حمله آغاز خواهد شد.
Browser های کنونی از Web Spoofing جلوگیری نمی کنند و به نظر می رسد حرکت کوچکی در جهت مورد توجه قرار دادن این مشکل شکل گرفته است.
ما اعتقاد داریم که تجارت الکترونیکی ایمن روی وب نمی تواند وجود داشته باشد تا زمانی که آسیب پذیری Web Spoofing مورد توجه قرار گیرد.
تعداد زیادی ادعاهای نادرست درباره Web Spoofing ایجاد شده است و برخی از افرادی که اضهارات عمومی درباره Web Spoofing می سازند، درک کاملی از مشکل ندارند.
DNS Spoofing DNS spoofing در سه روش اتفاق می افتد : یک حمله کننده یک سرور DNS را به مخاطره می اندازد و نام میزبان را به نگاشت آدرس IP تغییر می دهد.زمانی که فردی URL یک سایت را درخواست می کند نگاشت تغییر یافته آن به ماشینی که تحت کنترل کامل حمله کننده است، فرستاده می شود.
یک حمله کننده می تواند پاسخ های سرور DNS را قبل از این که فرد واقعی بیاید spoof کند ،با حدس زدن بدون اتصال، شماره های ترتیب UDP این کار را انجام می دهند.اگر حمله کننده بتواند یک تراکنش از سرور DNS را sniff کند قادر خواهد بود تا به درستی شمارش ترتیبی را حدس بزند.
DNS cache میتواند به سادگی با فرستادن پاسخ های نادرست با یک TTL بالا برای درخواست کردن از سرور DNS مسموم شود.یک سرور دور که توسط حمله کننده کنترل شده است با تحلیل های اسمی نا درست نصب می شود و سپس توسط در خواست کننده ذخیره می گردد.
DNS spoofing می تواند با برخی روش های مشابه web spoofing به کار گرفته شود.اگر کسی توسط یک سرور به مخاطره افتاده هدایت شود ، هر نوع داده وارد شده به یک وب سایت یا فرم سفارش می تواند دیده شود.بیشتر داده های شخصی می توتند به این وسیله جمع آوری شود .
e-mail نیز می تواند توسط یک سرور دارای سوء نیت از مسیر دیگری ارسال شود که این کار می تواند برای شرکت هایی که از طریق e-mail در اطلاعات اختصاصی با یکدیگر مشارکت دارند، خطرناک باشد.
نتیجه گیری با به کارگیری کنونی spoofing جامعه امنیت شبکه نیاز دارد تا از اهمیت و هزینه بالقوه این حملات آگاهی داشته باشد.
مردم می توانند به طور موثری از تصحیح و نظارت بر وقایع برای به حداقل رساندن خسارات، پشتیبانی کنند.
IP Spoofing مقاله " مشکلات امنیتی در مجموعه پروتوکل TCP/IP " نوشته S.M.Bellovin در سال ۱۹۸۹ حملات IP Spoofing را بررسی کرد.
او شرح داد که چگونه Robert Morris ( خالق کرم مشهور اینترنت ) دریافت چگونه TCP شماره های ترتیب را ایجاد کرد و یک ترتیب بسته TCP را جعل کرد.
این بسته TCP شامل آدرس مقصد قربانی اش بود و او با استفاده از IP Spoofing قادر بود تا دستیابی ریشه ای به سیستم مقصدش را بدون یک شناسه کاربری یا رمز عبور به دست آورد.
مقدمه IP Spoofing یک تکنیک مورد استفاده برای بدست آوردن دسترسی غیرمجاز به کامپیوترها می باشد