اسنیف (شنود شبکه) چیست؟ معرفی انواع اسنیفرها

حملات Sniffing یا شنود شبکه چیست؟ آموزش اسنیف با Cain

اسنیفینگ (sniffing) یا شنود شبکه به حملاتی گفته می‌شود که برای به دست آوردن اطلاعات محرمانه و تحقیق در مورد موضوعات پنهانی صورت می‌گیرد. اسنیف به فرایند نظارت و گرفتن تمام بسته‌هایی گفته می‌شود که از طریق یک شبکه معین با استفاده از ابزارهایی که مختص این کار هستند و اصطلاحا Sniffer نامیده می شوند، رد و بدل می‌شوند.

در حقیقت حمله Packet Sniffing عمل به‌دست آوردن، جمع‌آوری و لاگ‌گیری برخی یا تمام بسته‌هایی است که از طریق شبکه عبور می کنند، طرف نظر از اینکه آدرس این پکت ها چگونه است. به این ترتیب، ممکن است هر بسته یا یک زیر مجموعه مشخص از بسته ها، برای تجزیه و تحلیل بیشتر جمع شود. شما به عنوان یک مدیر شبکه می توانید از داده های جمع آوری شده برای اهداف متنوعی مانند نظارت بر پهنای باند و ترافیک استفاده کنید. Sniffer شبکه یک ابزار نرم افزاری یا سخت افزاری است که برای نظارت بر ترافیک شبکه استفاده می شود. ممکن است با یکی از نام های دیگر آن مانند آنالایزر بسته، آنالایزر شبکه یا آنالایزر پروتکل با این ابزار آشنا باشید. پیاده سازی سخت افزارهای آنالایزر بسته ای بیشتر توسط مدیران شبکه یا متخصصان امنیتی که با شبکه های بزرگ کار می کنند بکار می روند.

اسنیف با استفاده از ابزار Cain


نحوه کار Sniffer ها

یک کامپیوتر متصل به شبکه محلی، دارای دو آدرس است. یکی آدرس MAC یا )کنترل دسترسی رسانه) که بطور منحصربه فرد، هر گره از شبکه را شناسایی کرده و روی کارت شبکه ذخیره می شود. این آدرس توسط پروتکل اترنت، هنگام ساخت فریم هایی برای انتقال داده بین دستگاه ها استفاده می شود. آدرس دیگر، آدرس IP است که توسط برنامه ها استفاده می گردد. لایه ارتباط داده از هدر اترنت با آدرس MAC دستگاه مقصد، به جای آدرس IP آن استفاده می کند. لایه شبکه نیز مسئول نگاشت آدرس های IP در شبکه به آدرس های MAC موردنیاز پروتکل ارتباط داده است.این لایه، ابتدا آدرس MAC دستگاه مقصد را در یک جدول که معمولا حافظه کش ARP )پروتکل تفکیک آدرس ها) نامیده می شود، جستجو می کند. اگر ورودی ای برای IP مورد نظر یافت نشد، پروتکل تفکیک آدرس، یک بسته درخواست (درخواست ARP) را به تمام دستگاه های موجود در شبکه ارسال می کند. سپس دستگاه با آن IP مورد نظر، آدرس MAC خود را به عنوان پاسخ به دستگاه منبع می فرستد و این آدرس MAC به جدول کش ARP دستگاه منبع اضافه می شود. پس از آن دستگاه منبع در تمام ارتباطاتش با دستگاه مقصد موردنظر، از این آدرس MAC استفاده می کند.

تشخیص اسنیفرها

یک اسنیفر معمولاً غیرفعال است و فقط داده ها را جمع آوری می کند. از این رو شناسایی اسنیفرها به ویژه هنگامی که در حال اجرا در یک اترنت اشتراکی باشند، بسیار دشوار است. اما هنگامی که اسنیفر در بخشی از شبکه اترنت سوئیچ کار می کند، تشخیص اش کمی ساده تر است.

هنگامی که یک اسنیفر بر روی کامپیوتر نصب می شود، مقدار کمی ترافیک تولید می کند. در ادامه به مرور کلیِ روش های تشخیص می پردازیم:

روش پینگ

ترفند مورد استفاده در این روش، ارسال یک درخواست پینگ با آدرس IP دستگاه مشکوک و آدرس مک دیگری است. اما اگر دستگاه مشکوک در حال اجرای یک اسنیفر باشد، آن را پاسخ می دهد؛ زیرا اسنیفر بسته هایی با آدرس MAC متفاوت را رد نمی کند. البته این یک روش قدیمی ست و دیگر قابل اعتماد نیست.

روش ARP

یک دستگاه، ARPها را ذخیره می کند. بنابراین کاری که باید انجام دهیم، ارسال یک ARP بدون پخش است. یک ماشین در حالت بی قاعده، آدرس ARPشما را ذخیره می کند. سپس یک بسته پینگ با آدرس IP خود و آدرس MAC متفاوت می فرستیم. فقط دستگاهی که آدرس MAC صحیح ما را از فریم ARP شنود شده دارد، می تواند به درخواست پینگ پخش شده، پاسخ دهد.

روش تاخیر

این روش براساس این فرض است که اکثر اسنیفرها برخی عملیات تجزیه و تحلیل را نیز انجام می دهند. در این روش، به سادگی، مقدار زیادی از داده ها در شبکه فرستاده می شود و دستگاه مشکوک قبل و در حین جریان داده ها پینگ می شود. اگر دستگاه در حالت بی قاعده باشد، داده ها را تجزیه و تحلیل می کند و بار پردازش بر روی آن افزایش می یابد. بنابراین پاسخ دادن به بسته پینگ زمان بیشتری می برد. این تفاوت در زمان پاسخ را می توان به عنوان شاخصی برای نشان دادن اینکه یک ماشین در حالت بی قاعده است یا نه، استفاده کرد. نکته قابل توجه این است که گاهی به دلیل بار روی سیم، ممکن است بسته ها به تعویق بیافتند و نتایج مثبت کاذب (دستگاه های سالم، به عنوان دستگاهی که در حال اجرای اسنیفر است، تشخیص داده شوند) را منجر شوند.

نظارت ARP

همانطور که قبلاً توضیح داده شد، یک روش برای شنود در شبکه سوئیچ شده، فریب ARP دروازه است. ابزاری به نام arpwatch می تواند برای نظارت بر حافظه کش ARP یک ماشین استفاده شود تا ببینید آیا نسخه دیگری برای ماشین وجود دارد یا نه. اگر وجود داشته باشد، میتواند آلارم ها را منجرشده و موجب تشخیص اسنیفرها شود. متاسفانه در شبکه در حال اجرایDHCP ، این روش می تواند بسیاری از آلارم های نادرست را موجب شود. یک تغییر ساده افزایش زمان اجاره DHCP است. به این ترتیب حتی پس از اینکه کاربران شما بعد از تعطیلات آخر هفته برگردند، همان آدرس IP قبلی خود را دریافت خواهند کرد و احتمال آلارم جعلی بسیار کاهش می یابد.

استفاده از IDS

سیستم های تشخیص نفوذ خاص، شبکه را برای ARP Spoofingنظارت می کنند. بعنوان مثال، سیستم متن باز Snort ، دارای یک پیش پردازنده arp-spoof است که اجازه می دهد تا بسته های شبکه با آدرس ARP های جعلی را ثبت کند. به طور معمول، این ابزار هر زوج آدرس Mac/IP در فایل snort.conf را با جفت های موجود در بسته هایی که در شبکه جریان دارند، مقایسه می کند و هرگاه ناسازگاری وجود داشت، هشدار ایجاد می شود.

جلوگیری از شنود شبکه

بهترین روش برای محافظت از خود در برابر شنود، استفاده از رمزگذاری است. با وجود اینکه این کار از عملکرد اسنیفر جلوگیری نخواهد کرد، اما اطمینان حاصل می شود که چیزی که اسنیفر خوانده است، کاملاً به دردنخور است.
اگر شما در یک شبکه سوئیچ شده قرار دارید، احتمال این وجود دارد که فریب پروتکل ARP برای اهداف خرابکارانه انجام شده باشد. دستگاهی که کاربر مخرب به احتمال زیاد سعی در ARP-spoof آن دارد، دروازه است. برای جلوگیری از این رخداد، می توانید آدرس مک دروازه را به طور دائمی به حافظه ARP خود اضافه کنید. این کار با قرار دادن آدرس مک دروازه شما و دیگر دستگاه های مهم در فایل / etc/ethers می تواند انجام شود.

شنود شبکه با ابزار Ettercap

یکی از ابزارهایی که در این حوزه از آن استفاده می شود، ابزار Ettercap می باشد. این ابزار بصورت پیش فرض بر روی سیستم عامل کالی وجود دارد. Ettercap یک ابزار امنیتی به منظور شنود شبکه می باشد که بصورت متن باز و رایگان در اختیار عموم قرار دارد. این ابزار می تواند برای تجزیه و تحلیل پروتکل های شبکه های کامپیوتری و ممیزی امنیتی استفاده شود. این ابزار بر روی سیستم عامل های مختلفی مانند ویندوز، مک، لینوکس و … قابلیت اجرا دارد.
در این آموزش ما با استفاده از این ابزار اقدام به شنود شبکه کرده و سپس اقدام به امن سازی شبکه در برابر این حملات خواهیم کرد.

اسنیف شبکه با ابزار easy-creads

ابزار easy creds یک اسکریپت به زبان bash می باشد که از Ettercap و ابزارهای دیگر برای انجام اسنیف شبکه و در نتیجه بدست آوردن اعتبارات استفاده می کند. این ابزار به شما امکان ایجاد حملاتی مانند arp poison، DHCP spoofing و Fake AP را می دهد.

Easy creds یک ابزار رایگان است که آخرین بار در تاریخ ۰۱-۰۱-۲۰۱۱ بروزرسانی شده است. این اسکریپت علاوه بر توزیع های لینوکسی قابلیت نصب بر روی ویندوز XP، Vista و ویندوز ۷ را دارد.

ویژگی ها کلیدی این اسکریپت :

  • Easily set up a FakeAP
  • Menu Driven
  • Easily initiate a MITM
  • oneway Arp poison
  • Provides SSLstrip.log file parser

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *