Sniffing چیست؟ و شنود ترافیک شبکه چگونه انجام می شود

1403/09/24
ارسال شده توسط
امنیت شبکه
7.95k بازدید
Sniffing چیست
زمان مطالعه: 20 دقیقه

شنود یا Sniffing (در طول مقاله از هر دو واژه استفاده خواهد شد) فرآیندی است که در آن کلیه بسته‌های داده‌ای عبوری از شبکه نظارت و ضبط می‌شوند. این تکنیک می‌تواند برای کاربردهای مختلفی مورد استفاده قرار گیرد. مدیران شبکه و سیستم از شنود برای پایش و عیب‌یابی ترافیک شبکه بهره می‌برند، اما در سوی دیگر، مهاجمان نیز می‌توانند از این روش برای دسترسی به اطلاعات حساس مانند رمزهای عبور، اطلاعات حساب‌های بانکی و موارد مشابه استفاده کنند.

ابزارهای شنود یا Sniffers ممکن است به شکل سخت‌افزار یا نرم‌افزار پیاده‌سازی شوند. هنگامی که یک packet sniffer در حالت promiscuous mode در شبکه‌ای مستقر شود، یک فرد مخرب قادر خواهد بود تا تمام ترافیک شبکه را ضبط و تجزیه و تحلیل کند. این امر می‌تواند پیامدهای جدی امنیتی به دنبال داشته باشد.

ابزارهای متنوعی برای شنود وجود دارند که از جمله آن‌ها می‌توان به Wireshark، Ettercap، BetterCAP، Tcpdump، WinDump و موارد دیگر اشاره کرد. هر یک از این ابزارها قابلیت‌های خاص خود را دارند و می‌توانند در سناریوهای مختلف مورد استفاده قرار گیرند.

تفاوت بین Sniffing و Spoofing

در حوزه امنیت شبکه، Sniffing و Spoofing دو مفهوم کاملاً متفاوت هستند که هر کدام روش‌ها و کاربردهای خاص خود را دارند. در ادامه توضیحات این دو اصطلاح همراه با تفاوت‌های اصلی ارائه می‌شود:

1. Sniffing (شنود):

تعریف:

  • Sniffing به فرآیند نظارت و ضبط ترافیک شبکه اشاره دارد. در این روش، یک ابزار یا دستگاه (sniffer) کلیه داده‌های عبوری از شبکه را جمع‌آوری می‌کند.
  • این داده‌ها ممکن است شامل اطلاعات حساس مثل رمزهای عبور، پیام‌ها، یا داده‌های دیگر باشند.

کاربردها:

  • مشروع: توسط مدیران شبکه برای عیب‌یابی و مانیتورینگ شبکه.
  • غیرمشروع: توسط مهاجمان برای دسترسی به داده‌های خصوصی و حساس.

روش:

  • Sniffer معمولاً در حالت Promiscuous Mode قرار می‌گیرد تا تمام ترافیک شبکه (نه فقط داده‌های مربوط به آن سیستم) را مشاهده کند.

نمونه ابزارها:

  • Wireshark، Tcpdump، Ettercap، BetterCAP.

2. Spoofing (جعل):

تعریف:

  • Spoofing به فرآیند جعل هویت یک دستگاه یا فرد اشاره دارد. در این روش، مهاجم یک بسته داده، ایمیل، یا حتی هویت یک سیستم دیگر را جعل می‌کند تا کاربر یا سیستم قربانی را فریب دهد.

کاربردها:

  • فریب کاربران برای افشای اطلاعات.
  • دور زدن کنترل‌های امنیتی مانند فایروال‌ها.
  • اجرای حملات بیشتر مانند Man-in-the-Middle (MITM).

روش‌های رایج:

  • جعل آدرس IP (IP Spoofing) برای دور زدن مکانیسم‌های امنیتی یا حمله به سیستم.
  • جعل آدرس MAC (MAC Spoofing) برای اتصال به شبکه‌های محدود.
  • جعل ایمیل یا وب‌سایت (Email/Web Spoofing) برای حملات فیشینگ.

تفاوت‌های اصلی بین Sniffing و Spoofing:

ویژگی Sniffing Spoofing
هدف اصلی شنود و جمع‌آوری اطلاعات از ترافیک شبکه. جعل هویت برای فریب کاربران یا سیستم‌ها.
نقش در حمله شنود به‌عنوان یک ابزار منفعل عمل می‌کند. جعل به‌عنوان یک ابزار فعال برای حمله.
روش عملکرد دریافت اطلاعات موجود در شبکه. تغییر و دستکاری داده یا هویت موجود.
ابزارها ابزارهای تحلیل بسته‌ها مانند Wireshark. ابزارهای جعل بسته یا ایمیل مانند hping.
کاربردها نظارت بر داده‌های عبوری یا سرقت آن‌ها. اجرای حملات فیشینگ یا حملات MITM.

در حالی که Sniffing بیشتر بر نظارت و سرقت اطلاعات متمرکز است، Spoofing با فریب و جعل هویت، هدفی فعال‌تر و مهاجمانه‌تر دارد. هر دو روش می‌توانند در حملات پیچیده‌تر مانند MITM ترکیب شوند، جایی که جعل برای نفوذ استفاده شده و شنود برای دستیابی به اطلاعات صورت می‌گیرد.

انواع شنود (Sniffing)

دو نوع استشمام وجود دارد – فعال و منفعل. همانطور که از نامش پیداست ، فعال شامل برخی فعالیت ها یا تعاملات توسط مهاجم به منظور کسب اطلاعات است. در حالت منفعل ، مهاجم فقط در حالت پنهان است و اطلاعات را بدست می آورد. بیایید ابتدا در مورد استشمام منفعل بحث کنیم.

انواع Sniffing:

شنود یا Sniffing انواع مختلفی دارد که هر کدام بسته به نوع شبکه، ابزارهای استفاده‌شده، و هدف مهاجم یا مدیر شبکه، متفاوت هستند. در ادامه، انواع شنود را به‌طور کامل با توضیحات ارائه می‌کنیم:

1. Passive Sniffing (شنود غیرفعال)

تعریف:

  • در این روش، مهاجم یا ابزار شنود فقط داده‌های موجود در شبکه را مشاهده و ضبط می‌کند، بدون آنکه تغییری در داده‌ها ایجاد کند یا توجه شبکه را جلب کند.
  • بیشتر در شبکه‌های غیرسوئیچ‌شده (Non-Switched Network) استفاده می‌شود.
  • این روش، مخفیانه‌تر و کم‌ریسک‌تر است.

عملکرد:

  • Sniffer در حالت Promiscuous Mode قرار می‌گیرد و تمام بسته‌های عبوری از شبکه را جمع‌آوری می‌کند.

کاربردها:

  • تحلیل ترافیک برای شناسایی اطلاعات حساس (مثل رمزهای عبور).

محدودیت:

  • در شبکه‌های سوئیچ‌شده عملکرد محدودی دارد، چون داده‌ها به گره‌های خاص ارسال می‌شوند.

2. Active Sniffing (شنود فعال)

تعریف:

  • برخلاف شنود غیرفعال، در این روش مهاجم برای دستیابی به داده‌ها، به‌صورت فعال با شبکه تعامل می‌کند و رفتار آن را تغییر می‌دهد.
  • این نوع شنود در شبکه‌های سوئیچ‌شده (Switched Network) استفاده می‌شود.

روش‌های مورد استفاده:

  1. MAC Flooding: مهاجم جدول MAC سوئیچ را پر می‌کند تا سوئیچ به حالت flooding (ارسال به همه گره‌ها) تغییر یابد.
  2. ARP Spoofing: مهاجم جداول ARP دستگاه‌ها را با اطلاعات جعلی تغییر می‌دهد تا تمام ترافیک از طریق او عبور کند.

کاربردها:

  • دور زدن مکانیسم سوئیچینگ برای دسترسی به داده‌های مورد نظر.

محدودیت:

  • به دلیل تغییرات شبکه، ممکن است شناسایی شود.

3. Application-level Sniffing (شنود در سطح برنامه)

تعریف:

  • در این نوع، مهاجم به دنبال داده‌های خاصی است که در برنامه‌های کاربردی استفاده می‌شوند.
  • این داده‌ها ممکن است شامل ورود اطلاعات کاربران، رمزهای عبور، یا داده‌های کارت اعتباری باشند.

مثال:

  • رهگیری داده‌های عبوری از پروتکل‌های ناامن مانند HTTP، FTP، Telnet، یا SMTP.
  • مهاجمان ممکن است از keyloggerها یا نرم‌افزارهای مشابه برای جمع‌آوری اطلاعات ورودی کاربران استفاده کنند.

4. Packet Sniffing (شنود بسته‌ها)

تعریف:

  • شنود بسته‌های داده‌ای عبوری از شبکه برای تجزیه و تحلیل محتوا و شناسایی اطلاعات مفید.
  • این نوع بیشتر توسط ابزارهای تخصصی مثل Wireshark انجام می‌شود.

کاربردها:

  • مدیران شبکه از آن برای تحلیل عمیق بسته‌ها جهت عیب‌یابی شبکه استفاده می‌کنند.
  • مهاجمان از آن برای یافتن اطلاعات حساس بهره می‌برند.

نمونه داده‌هایی که شکار می‌شوند:

  • Header بسته‌ها برای اطلاعات منبع و مقصد.
  • Payload بسته‌ها برای محتویات حساس.

5. Wi-Fi Sniffing (شنود شبکه‌های وایرلس)

تعریف:

  • در این نوع شنود، مهاجم داده‌های عبوری در شبکه‌های بی‌سیم را رهگیری می‌کند.
  • این روش به دلیل ذات ناامن برخی پروتکل‌های بی‌سیم، متداول‌تر است.

روش‌های حمله:

  1. WEP Cracking: شکستن رمزنگاری WEP.
  2. Man-in-the-Middle (MITM): قرار گرفتن میان دستگاه‌های شبکه برای شنود ترافیک.
  3. Deauthentication Attack: قطع ارتباط کاربران برای دستیابی به فرآیند handshake جهت شنود.

ابزارهای مورد استفاده:

  • Aircrack-ng، Kismet، BetterCAP.

6. SSL Sniffing (شنود پروتکل امن SSL/TLS)

تعریف:

  • شنود ارتباطات امن HTTPS از طریق روش‌های مختلف مثل MITM یا جعل گواهینامه‌های SSL.
  • مهاجم می‌تواند ارتباط رمزنگاری‌شده را رمزگشایی کرده و داده‌های حساس را استخراج کند.

کاربردها:

  • حملات به صفحات ورود کاربر، درگاه‌های بانکی، و تجارت الکترونیک.

روش‌های رایج:

  • استفاده از حملات MITM همراه با جعل گواهینامه‌های امنیتی.

7. DNS Sniffing (شنود درخواست‌های DNS)

تعریف:

  • مهاجم درخواست‌های DNS عبوری از شبکه را نظارت می‌کند تا اطلاعاتی درباره دامنه‌های مورد استفاده دستگاه‌های شبکه کسب کند.

کاربردها:

  • تشخیص اهداف بالقوه برای حملات پیشرفته‌تر (مثل phishing).
  • هدایت کاربران به وب‌سایت‌های مخرب با تغییر پاسخ‌های DNS (DNS Spoofing).

مثال ابزار:

  • Dsniff.

8. Email Sniffing (شنود ایمیل)

تعریف:

  • رهگیری داده‌های ایمیلی که از طریق پروتکل‌های غیرامن (مانند SMTP، IMAP، POP3) ارسال می‌شوند.

کاربردها:

  • دسترسی به اطلاعات حساس موجود در ایمیل‌ها.

پیشگیری:

  • استفاده از ارتباطات رمزنگاری‌شده (SMTP over SSL/TLS).

9. VoIP Sniffing (شنود مکالمات VoIP)

تعریف:

  • رهگیری مکالمات صوتی منتقل‌شده از طریق پروتکل‌های VoIP مثل SIP یا RTP.
  • مهاجم می‌تواند صدا را ضبط یا حتی مکالمات را تغییر دهد.

ابزارهای شناخته‌شده:

  • Wireshark با افزونه‌های مخصوص VoIP.

انواع مختلف شنود نشان می‌دهند که بسته به نوع شبکه، ابزارها و روش‌های خاصی برای این فرآیند وجود دارد. از ابزارهای شنود برای اهداف مشروع مثل عیب‌یابی شبکه و همچنین کاربردهای مخرب برای سرقت اطلاعات استفاده می‌شود. مقابله با این نوع حملات نیازمند پیاده‌سازی پروتکل‌های امن، مانیتورینگ دقیق شبکه و به‌روزرسانی سیستم‌ها است.

بیایید در مورد برخی از روش های حمله Sniffing در شبکه صحبت کنیم:

حمله MAC Flooding

حمله MAC flooding:

MAC Flooding یا حمله پرکردن جدول MAC یکی از روش‌های محبوب در حوزه امنیت شبکه است که مهاجم از آن برای دور زدن عملکرد یک سوئیچ (Switch) استفاده می‌کند. این حمله بیشتر در شبکه‌های سوئیچ‌شده اتفاق می‌افتد و هدف اصلی آن هدایت ترافیک شبکه به همه دستگاه‌ها به جای ارسال هدفمند به دستگاه مشخص است. در ادامه، نحوه کار این حمله را به تفصیل توضیح می‌دهیم:

نحوه عملکرد MAC Flooding:

  1. ساختار و عملکرد معمول سوئیچ:
    • یک سوئیچ از جدول MAC (که به آن CAM Table نیز می‌گویند) برای تعیین مسیر ارسال بسته‌های شبکه استفاده می‌کند.
    • این جدول شامل آدرس‌های MAC مربوط به دستگاه‌های متصل به سوئیچ و پورتی است که هر دستگاه به آن متصل است.
    • هنگامی که بسته‌ای به سوئیچ می‌رسد، سوئیچ جدول MAC را بررسی می‌کند و بسته را فقط به پورت مقصد مشخص‌شده ارسال می‌کند.
  2. هدف MAC Flooding:
    • سوئیچ‌ها دارای یک مقدار حافظه محدود برای نگهداری ورودی‌های جدول MAC هستند.
    • حمله MAC Flooding از این محدودیت حافظه سوءاستفاده می‌کند و سعی دارد تا این جدول را با آدرس‌های MAC جعلی پر کند.
  3. روند اجرای حمله:
    • مهاجم یک ابزار یا اسکریپت خاص (مانند Macof از مجموعه Dsniff) را اجرا می‌کند.
    • این ابزار تعداد زیادی بسته‌های داده جعلی (Fake Packets) تولید می‌کند که هر کدام دارای آدرس‌های MAC مبدا و مقصد تصادفی هستند.
    • این بسته‌ها به سرعت به سوئیچ ارسال می‌شوند.
  4. نتیجه حمله:
    • جدول MAC سوئیچ پر می‌شود و نمی‌تواند آدرس‌های واقعی دستگاه‌های شبکه را ذخیره کند.
    • در نتیجه، سوئیچ به حالت Fail-open می‌رود، به این معنا که دیگر نمی‌تواند ترافیک را به پورت‌های خاص هدایت کند.
    • سوئیچ همه ترافیک ورودی را به تمام پورت‌های خود ارسال می‌کند (Broadcast Mode).
  5. دسترسی مهاجم به ترافیک:
    • در این حالت، مهاجم می‌تواند با استفاده از یک Sniffer (مثل Wireshark) تمامی ترافیک عبوری از شبکه را دریافت کرده و اطلاعات حساس مانند رمزهای عبور یا داده‌های محرمانه را استخراج کند.

اثرات MAC Flooding:

  • امنیت: داده‌های حساس در معرض دید مهاجم قرار می‌گیرند.
  • عملکرد شبکه: حمله می‌تواند باعث کاهش سرعت شبکه و اختلال در عملکرد سرویس‌ها شود.
  • افزایش خطرات ثانویه: این حمله اغلب می‌تواند به عنوان بخشی از حملات پیشرفته‌تر مانند Man-in-the-Middle (MITM) یا Session Hijacking استفاده شود.

ابزارهای مورد استفاده برای MAC Flooding:

  1. Macof: ابزار مشهوری از مجموعه Dsniff که بسته‌های جعلی را تولید و ارسال می‌کند.
  2. Yersinia: ابزاری برای حملات لایه 2 شامل MAC Flooding و سایر حملات مرتبط با پروتکل‌های شبکه.
  3. Nemesis: ابزار خط فرمان برای ساخت بسته‌های شبکه جعلی.

روش‌های جلوگیری از MAC Flooding:

  1. Port Security:
    • قابلیت‌های امنیتی موجود در سوئیچ‌ها (مانند سوئیچ‌های سیسکو) اجازه می‌دهند تا تعداد مشخصی از آدرس‌های MAC به هر پورت محدود شود.
    • اگر تعداد آدرس‌های ورودی بیشتر از مقدار تعیین‌شده شود، پورت غیرفعال می‌شود یا اقدام دیگری انجام می‌شود.
  2. 802.1X Authentication:
    • این پروتکل احراز هویت اطمینان می‌دهد که تنها دستگاه‌های مجاز بتوانند به شبکه متصل شوند.
  3. Dynamic ARP Inspection (DAI):
    • این ویژگی باعث بررسی ARP و جلوگیری از ترافیک مخرب می‌شود.
  4. Access Control Lists (ACLs):
    • تنظیم لیست‌های کنترل دسترسی روی سوئیچ‌ها برای محدود کردن آدرس‌های قابل‌پذیرش.
  5. Use of VLANs:
    • تقسیم شبکه به چندین VLAN می‌تواند ترافیک را محدود کرده و خطر حملات MAC Flooding را کاهش دهد.
  6. Network Monitoring:
    • مانیتورینگ شبکه برای شناسایی رفتار غیرعادی، مانند ارسال زیاد بسته‌های با آدرس‌های جعلی.

حمله MAC Flooding یک روش مؤثر برای مهاجمان جهت دور زدن عملکرد امنیتی سوئیچ‌ها و دسترسی به اطلاعات ترافیک شبکه است. با این حال، استفاده از ابزارها و تنظیمات امنیتی مناسب می‌تواند خطرات ناشی از این حمله را به‌طور چشمگیری کاهش دهد. آگاهی از این حمله برای مدیران شبکه بسیار مهم است تا بتوانند ابزارها و سیاست‌های مناسب امنیتی را پیاده‌سازی کنند.

حمله DNS cache poisoning

حمله DNS cache poisoning:

DNS Cache Poisoning یا DNS Spoofing یکی از حملات پیشرفته در حوزه امنیت شبکه است که در آن مهاجم اطلاعات موجود در کش (Cache) سیستم نام دامنه (DNS) را دستکاری یا آلوده می‌کند تا کاربران به یک وب‌سایت یا آدرس اشتباه هدایت شوند. این حمله با هدف فریب کاربر و سرقت اطلاعات حساس مانند رمزهای عبور، اطلاعات کارت اعتباری یا اجرای حملات گسترده‌تر انجام می‌شود.

DNS چیست؟

DNS سیستمی است که نام‌های دامنه (مانند example.com) را به آدرس‌های IP متناظر (مانند 192.168.1.1) تبدیل می‌کند. این فرایند امکان ارتباط آسان‌تر کاربران با سرورها را فراهم می‌کند، چراکه حفظ نام‌ها ساده‌تر از آدرس‌های عددی است.

برای بهبود سرعت پاسخ‌دهی، DNSها اطلاعات تبدیل‌شده (دامنه به IP) را در حافظه کش (Cache) ذخیره می‌کنند.

DNS Cache Poisoning چگونه عمل می‌کند؟

  1. هدف حمله: مهاجم تلاش می‌کند تا داده‌های آلوده یا جعلی را به کش DNS یک سرور DNS یا دستگاه کاربر وارد کند.
  2. روند حمله:
    • مهاجم پاسخی جعلی برای یک درخواست DNS ارسال می‌کند.
    • این پاسخ شامل آدرس IP اشتباه (معمولاً سروری تحت کنترل مهاجم) است.
    • سرور DNS یا دستگاه قربانی این پاسخ جعلی را معتبر می‌پذیرد و آن را در کش ذخیره می‌کند.
    • از آن لحظه به بعد، هر کاربری که از آن سرور DNS برای مراجعه به دامنه هدف استفاده کند، به آدرس جعلی هدایت می‌شود.
  3. مثال ساده:
    اگر کاربری درخواست IP وب‌سایتی مانند www.bank.com را بدهد، به‌جای هدایت به آدرس صحیح بانک، به یک سرور مخرب تحت کنترل مهاجم هدایت می‌شود که ممکن است ظاهری مشابه سایت اصلی داشته باشد.

عواقب DNS Cache Poisoning:

  1. فیشینگ (Phishing):
    کاربران به وب‌سایت‌های جعلی هدایت می‌شوند که شبیه وب‌سایت اصلی طراحی شده‌اند و اطلاعات محرمانه‌ای مانند رمز عبور یا اطلاعات بانکی آن‌ها سرقت می‌شود.
  2. افزایش حملات MITM (Man-in-the-Middle):
    ترافیک کاربران به سرور مخرب هدایت شده و مهاجم می‌تواند اطلاعات ورودی یا خروجی کاربران را تحلیل کند.
  3. اختلال در دسترسی:
    کاربران نمی‌توانند به سرویس‌های موردنظر خود دسترسی داشته باشند.

روش‌های مورد استفاده در DNS Cache Poisoning:

  1. استفاده از پاسخ جعلی:
    مهاجم درخواست DNS یک کلاینت را شنود می‌کند و قبل از رسیدن پاسخ اصلی از طرف DNS، پاسخ جعلی خود را ارسال می‌کند.
  2. حمله به سرور DNS:
    مهاجم مستقیماً سرور DNS را هدف قرار داده و اطلاعات جعلی را به کش آن اضافه می‌کند. این روش باعث می‌شود همه کاربران وابسته به آن سرور به آدرس‌های نادرست هدایت شوند.
  3. فریب رکوردهای CNAME یا NS:
    مهاجم از زنجیره‌ی تبدیل نام‌ها یا زیرساخت‌های سرورهای نام استفاده می‌کند و مسیر دسترسی را تغییر می‌دهد.

تفاوت بین DNS Cache Poisoning و DNS Spoofing:

  • DNS Cache Poisoning: هدف حمله تغییر یا آلوده کردن کش DNS است تا اطلاعات جعلی در سرور یا دستگاه قربانی ذخیره شود.
  • DNS Spoofing: شامل ارسال پاسخ جعلی به یک درخواست DNS است، حتی اگر آن کش ذخیره نشود. این روش می‌تواند به طور همزمان موقت عمل کند.

چگونه از DNS Cache Poisoning جلوگیری کنیم؟

  1. استفاده از DNSSEC (DNS Security Extensions):
    • DNSSEC با اضافه کردن امضاهای دیجیتال به رکوردهای DNS، صحت و یکپارچگی داده‌ها را تضمین می‌کند. مهاجمان نمی‌توانند رکوردهای جعلی ایجاد کنند.
  2. ایمن‌سازی سرورهای DNS:
    • محدود کردن تعداد منابع قابل‌اعتماد برای پاسخ‌دهی به درخواست‌ها.
    • تنظیم سیاست‌های سختگیرانه کش DNS برای کنترل داده‌های ذخیره‌شده.
  3. استفاده از پروتکل‌های امن:
    • پروتکل‌هایی مانند HTTPS یا TLS خطر هدایت به وب‌سایت‌های جعلی را کاهش می‌دهند.
  4. پاک‌سازی و به‌روزرسانی مداوم کش DNS:
    • بازنشانی مرتب کش برای کاهش احتمال استفاده از داده‌های آلوده.
  5. افزایش طول اعداد تصادفی (Transaction ID):
    • سرورهای DNS باید از اعداد تصادفی قوی‌تر برای پاسخ‌دهی به درخواست‌ها استفاده کنند تا از حدس زدن آن‌ها توسط مهاجمان جلوگیری شود.
  6. نظارت و تحلیل ترافیک شبکه:
    • رفتار غیرعادی در ترافیک DNS می‌تواند نشان‌دهنده وجود حمله باشد.

نمونه ابزارهای رایج در DNS Cache Poisoning:

  1. Ettercap:
    • ابزاری قدرتمند برای حملات MITM و DNS Spoofing.
  2. dnsspoof (از مجموعه Dsniff):
    • برای جعل پاسخ‌های DNS و مسموم‌سازی کش.
  3. Responder:
    • ابزاری برای مسموم‌سازی شبکه و جمع‌آوری داده‌های حساس.

DNS Cache Poisoning یکی از تهدیدهای جدی در امنیت شبکه است که می‌تواند تأثیرات بزرگی از جمله دزدیدن اطلاعات و اختلال در دسترسی به سرویس‌ها داشته باشد. آگاهی و استفاده از پروتکل‌های امن مثل DNSSEC، مدیریت دقیق سرورهای DNS و مانیتورینگ شبکه می‌تواند کمک بزرگی در مقابله با این حمله باشد.

حمله Evil Twin

حمله Evil Twin attack:

حمله Evil Twin یکی از روش‌های پیشرفته در حوزه حملات امنیت شبکه بی‌سیم است که در آن مهاجم یک نقطه دسترسی بی‌سیم (Wi-Fi Access Point) جعلی و شبیه به یک نقطه دسترسی معتبر راه‌اندازی می‌کند. کاربران به اشتباه به این شبکه جعلی متصل می‌شوند، زیرا از نظر نام و ظاهر تفاوتی با شبکه اصلی ندارند.

مفهوم و روش کار Evil Twin Attack

  1. هدف حمله:
    • فریب کاربران برای اتصال به شبکه مخرب به جای شبکه واقعی.
    • رهگیری، دستکاری، یا سرقت اطلاعات کاربران از جمله رمزهای عبور، داده‌های بانکی یا سایر اطلاعات حساس.
  2. نحوه اجرای حمله:
    • مهاجم با استفاده از ابزارهای خاص، یک نقطه دسترسی (Access Point) ایجاد می‌کند که نام شبکه (SSID) و تنظیمات مشابه شبکه اصلی را دارد.
    • این نقطه دسترسی جعلی اغلب سیگنال قوی‌تری از شبکه واقعی دارد، که باعث می‌شود دستگاه‌های قربانی به طور خودکار به آن متصل شوند.
    • پس از اتصال، ترافیک اینترنت کاربر از طریق دستگاه مهاجم عبور می‌کند.
  3. ابزارهای استفاده‌شده توسط مهاجم:
    • Airbase-ng: ابزاری برای ایجاد نقطه دسترسی جعلی.
    • Wifiphisher: ابزاری برای حمله‌های Evil Twin که شامل جعل شبکه و حملات فیشینگ هم‌زمان است.
    • Karma Attack Tools: ابزارهایی که با پاسخ به درخواست‌های پروب کلاینت‌ها، دستگاه‌ها را به شبکه جعلی متصل می‌کنند.

سناریوی کامل یک حمله Evil Twin:

  1. مهاجم با استفاده از دستگاه‌هایی مثل لپ‌تاپ، تلفن همراه، یا حتی یک رَسپ‌بری‌پای (Raspberry Pi) یک شبکه جعلی Wi-Fi با همان نام و مشخصات شبکه اصلی راه‌اندازی می‌کند.
  2. کاربران قربانی، با اعتماد به نام شبکه، به این نقطه دسترسی جعلی متصل می‌شوند.
  3. مهاجم از ابزارهای خاص برای رهگیری ترافیک (Packet Sniffing) و استخراج اطلاعات مهم کاربران مانند نام‌های کاربری و رمزهای عبور استفاده می‌کند.
  4. مهاجم همچنین ممکن است حملات Man-in-the-Middle (MITM) را اجرا کند، که در آن ترافیک کاربران تغییر داده یا دستکاری می‌شود.
  5. در برخی موارد، مهاجم صفحه‌های لاگین جعلی به قربانی ارائه می‌کند (مثلاً صفحه ورود جعلی برای یک سرویس خاص)، تا اطلاعات حساب آن‌ها را مستقیم سرقت کند (Phishing Over Wi-Fi).

چرا کاربران به شبکه جعلی متصل می‌شوند؟

  • بسیاری از کاربران به نام شبکه (SSID) به‌تنهایی اعتماد می‌کنند و تنظیمات دیگر شبکه را بررسی نمی‌کنند.
  • دستگاه‌های مدرن معمولاً به طور خودکار به شبکه‌ای با نام SSID آشنا متصل می‌شوند، بدون بررسی اینکه آیا نقطه دسترسی معتبر است یا خیر.

تأثیرات و خطرات Evil Twin Attack

  1. سرقت داده‌ها:
    اطلاعات حساس کاربران مانند رمزهای عبور، پیام‌ها، یا داده‌های مالی ممکن است رهگیری شوند.
  2. جاسوسی ترافیک:
    مهاجم می‌تواند کل ترافیک قربانی را بررسی کرده و داده‌ها را ضبط کند.
  3. پخش بدافزار:
    مهاجم ممکن است بدافزاری روی سیستم کاربر نصب کند.
  4. احراز هویت جعلی:
    ارسال کاربر به صفحه‌های جعلی برای دریافت اطلاعات حساب.

ابزارها و نرم‌افزارهای مورد استفاده در Evil Twin:

  1. Airbase-ng (از مجموعه Aircrack-ng):
    • برای ایجاد نقطه دسترسی جعلی و جعل شبکه.
  2. Wifiphisher:
    • به طور خاص طراحی‌شده برای حمله Evil Twin، همراه با قابلیت نمایش صفحه‌های فیشینگ.
  3. Ettercap و Wireshark:
    • برای شنود و تحلیل ترافیک قربانی.
  4. Fluxion:
    • یکی دیگر از ابزارهای پیشرفته برای حملات Evil Twin همراه با قابلیت‌های MITM.
  5. Rogue Access Points:
    • استفاده از دستگاه‌های سخت‌افزاری مانند رَسپ‌بری‌پای یا حتی مودم‌های قابل حمل برای ایجاد نقطه دسترسی جعلی.

روش‌های پیشگیری از Evil Twin Attack:

  1. استفاده از HTTPS و VPN:
    • رمزنگاری ترافیک اینترنت می‌تواند مانع دسترسی مهاجم به اطلاعات حساس شود.
  2. تأیید هویت شبکه:
    • کاربران باید پیش از اتصال، اطلاعات شبکه (مانند BSSID و نوع امنیت) را تأیید کنند.
    • بعضی از سازمان‌ها از پروتکل‌های 802.1X برای احراز هویت استفاده می‌کنند.
  3. خاموش کردن اتصال خودکار (Auto-Connect):
    • تنظیمات دستگاه را به‌گونه‌ای تغییر دهید که به طور خودکار به شبکه‌های ذخیره‌شده متصل نشود.
  4. شبکه‌های Wi-Fi مطمئن:
    • هنگام استفاده از شبکه‌های عمومی، حتی اگر معتبر به نظر می‌رسند، از ابزارهای امنیتی مثل VPN استفاده کنید.
  5. مانیتورینگ نقاط دسترسی:
    • سازمان‌ها می‌توانند از ابزارهای امنیتی برای شناسایی و بلاک کردن نقاط دسترسی جعلی استفاده کنند.
  6. WPA3 Encryption:
    • استفاده از شبکه‌های بی‌سیم با رمزنگاری جدیدتر مانند WPA3، که امنیت بهتری فراهم می‌کند.

حمله Evil Twin یکی از روش‌های بسیار مؤثر و مخرب در دنیای امنیت شبکه است که به علت استفاده از نقطه‌ضعف‌های رایج کاربران در شبکه‌های بی‌سیم، امکان موفقیت بالایی دارد. با آموزش کاربران، به‌کارگیری ابزارهای امنیتی مناسب، و نظارت دقیق شبکه، می‌توان از این حمله پیشگیری کرد و خطرات آن را کاهش داد.

حمله mac spoofing

حمله MAC spoofing:

MAC Spoofing یا تغییر آدرس MAC روشی است که در آن مهاجم آدرس فیزیکی یا سخت‌افزاری (MAC Address) یک دستگاه را جعل یا دستکاری می‌کند تا خود را به‌عنوان یک دستگاه دیگر در شبکه معرفی کند. این حمله برای دسترسی غیرمجاز به شبکه‌ها یا دور زدن کنترل‌های امنیتی استفاده می‌شود.

MAC Address چیست؟

آدرس MAC (Media Access Control) یک شناسه یکتا است که به هر کارت شبکه (NIC) توسط سازنده اختصاص داده می‌شود.
مثال: 00:1A:2B:3C:4D:5E

  • این آدرس برای شناسایی دستگاه‌ها در یک شبکه محلی (LAN) استفاده می‌شود.
  • آدرس MAC معمولاً در لایه دوم مدل OSI (لایه پیوند داده) عمل می‌کند.

MAC Spoofing چگونه کار می‌کند؟

در MAC Spoofing، مهاجم با تغییر آدرس MAC دستگاه خود به یکی از آدرس‌های موجود در شبکه (یا آدرس معتبر دیگر) سعی می‌کند از مزایای خاص یا دسترسی غیرمجاز برخوردار شود.

مراحل حمله:

  1. شناسایی آدرس‌های معتبر:
    • مهاجم با استفاده از ابزارهایی مانند Wireshark، tcpdump یا سایر ابزارهای شنود بسته‌ها، آدرس‌های MAC معتبر در شبکه را شناسایی می‌کند.
  2. تغییر آدرس MAC:
    • مهاجم آدرس MAC دستگاه خود را به یکی از آدرس‌های معتبر تغییر می‌دهد. این کار معمولاً با فرمان‌های سیستم‌عامل یا ابزارهای خاص انجام می‌شود.
    • در لینوکس:
      sudo ifconfig eth0 hw ether 00:11:22:33:44:55
    • در ویندوز: از تنظیمات کارت شبکه یا رجیستری برای تغییر MAC استفاده می‌شود.
  3. اجرای حمله:
    • مهاجم به‌عنوان یک دستگاه مجاز یا معتبر در شبکه شناخته می‌شود و می‌تواند ترافیک شبکه را دریافت یا ارسال کند.

اهداف و انگیزه‌های MAC Spoofing

  1. دور زدن محدودیت‌ها یا احراز هویت:
    • بسیاری از شبکه‌های بی‌سیم یا سیمی دسترسی را بر اساس آدرس MAC مدیریت می‌کنند. با جعل MAC، مهاجم می‌تواند این محدودیت را دور بزند.
  2. شنود و دسترسی به ترافیک شبکه:
    • مهاجم می‌تواند ترافیک دستگاه هدف را رهگیری کند، مثلاً برای Man-in-the-Middle Attack (MITM).
  3. اجرای حملات DoS:
    • با استفاده از MAC Spoofing، مهاجم می‌تواند بسته‌های جعلی ارسال کند که باعث اختلال در شبکه شود.
  4. پنهان کردن هویت:
    • مهاجم ممکن است از MAC Spoofing برای پنهان کردن هویت واقعی خود در هنگام اجرای حملات دیگر استفاده کند.
  5. دزدیدن دسترسی کاربر دیگر:
    • اگر محدودیت شبکه بر اساس آدرس MAC باشد (مثلاً در کافی‌نت‌ها یا مکان‌های عمومی)، مهاجم می‌تواند دسترسی فرد دیگری را بدزدد.

انواع حملات مرتبط با MAC Spoofing

  1. ARP Spoofing:
    • همراه با جعل MAC، مهاجم ممکن است جداول ARP را تغییر دهد تا ترافیک بین دستگاه‌های شبکه را رهگیری یا مسیریابی کند.
  2. Session Hijacking:
    • با استفاده از MAC آدرس قربانی، مهاجم می‌تواند یک نشست فعال را ربوده و دسترسی غیرمجاز به منابع شبکه پیدا کند.
  3. Identity Theft:
    • مهاجم خود را به‌عنوان دستگاهی دیگر جا می‌زند و از دسترسی آن استفاده می‌کند.
  4. DoS Attack:
    • جعل MAC به صورت مکرر می‌تواند باعث اختلال در عملکرد سوئیچ‌ها و شبکه شود.

ابزارهای مورد استفاده برای MAC Spoofing

  1. Macchanger:
    • یک ابزار کاربردی در سیستم‌عامل‌های لینوکس برای تغییر آدرس MAC.
  2. SMAC:
    • ابزاری برای تغییر آدرس MAC در سیستم‌های ویندوز.
  3. Packet Sniffers:
    • ابزارهایی مانند Wireshark یا tcpdump برای شناسایی آدرس‌های MAC موجود در شبکه.
  4. Ettercap:
    • برای حملات شنود و جعل آدرس‌های MAC همراه با ARP Spoofing.

روش‌های پیشگیری از MAC Spoofing

  1. استفاده از احراز هویت 802.1X:
    • این پروتکل اطمینان حاصل می‌کند که فقط دستگاه‌های معتبر می‌توانند به شبکه متصل شوند، حتی اگر آدرس MAC معتبر باشد.
  2. پیاده‌سازی Dynamic ARP Inspection (DAI):
    • سوئیچ‌ها می‌توانند درخواست‌های ARP را بررسی کنند تا جعل آدرس‌های MAC را شناسایی کنند.
  3. محدود کردن دسترسی (Port Security):
    • می‌توان تعداد آدرس‌های MAC مجاز برای هر پورت را محدود کرد.
  4. شناسایی رفتار غیرعادی:
    • ابزارهای مانیتورینگ شبکه می‌توانند رفتارهای مشکوک مرتبط با تغییر آدرس MAC را شناسایی کنند.
  5. استفاده از سیستم‌های تشخیص نفوذ (IDS):
    • سیستم‌هایی مانند Snort یا Suricata می‌توانند فعالیت‌های غیرعادی مرتبط با MAC Spoofing را گزارش دهند.
  6. غیرفعال کردن اتصال خودکار (Auto-connect):
    • تنظیمات شبکه دستگاه‌ها نباید اجازه اتصال خودکار به هر شبکه ناشناسی را بدهد.

MAC Spoofing یک تکنیک ساده اما مؤثر برای دور زدن امنیت شبکه است. با توجه به وابستگی شدید بسیاری از شبکه‌ها به آدرس MAC، این حمله می‌تواند آسیب‌های قابل‌توجهی ایجاد کند. با این حال، با استفاده از ابزارها و سیاست‌های امنیتی مناسب، می‌توان خطرات ناشی از این حمله را به حداقل رساند.

چگونه یک اسنیفر را شناسایی کنیم؟

شناسایی اسنیفر (Sniffer) در شبکه می‌تواند به جلوگیری از حملات سایبری مانند شنود ترافیک کمک کند. اسنیفرها ابزارهایی هستند که برای شنود و ضبط ترافیک شبکه به کار می‌روند. این ابزارها می‌توانند به شکل مخرب (برای جاسوسی) یا مجاز (برای نظارت و عیب‌یابی) استفاده شوند. شناسایی اسنیفرها معمولاً با استفاده از روش‌های خاص و ابزارهای تخصصی انجام می‌شود.

روش‌های شناسایی اسنیفر در شبکه

1. شناسایی پورت‌های باز (Port Scanning):

  • اسنیفرها اغلب به پورت‌های مشخصی برای انتقال داده وابسته‌اند. اسکن پورت‌ها می‌تواند مشخص کند که آیا پورت مشکوکی برای شنود فعال است.
  • ابزارهای کاربردی:
    • Nmap
    • Netstat (برای بررسی پورت‌های باز در دستگاه‌های محلی)

2. ردیابی درخواست‌های غیرعادی (Promiscuous Mode Detection):

  • اگر کارت شبکه یک دستگاه در حالت promiscuous باشد، می‌تواند تمام ترافیک شبکه را مشاهده کند. می‌توان با ارسال بسته‌های خاص به دستگاه‌ها، این حالت را شناسایی کرد.
  • ابزارها و روش‌ها:
    • ARP Method:
      • بسته‌های ARP غیرعادی را به یک دستگاه ارسال کنید. اگر دستگاه به بسته‌هایی پاسخ داد که برای آن در نظر گرفته نشده‌اند، در حالت promiscuous است.
    • ابزارهای خاص مانند AntiSniff.

3. بررسی افزایش بار شبکه (Traffic Load Analysis):

  • حضور یک اسنیفر ممکن است باعث افزایش غیرمعمول بار ترافیک شبکه شود. بررسی میزان ترافیک در شرایط عادی و مقایسه آن با حال حاضر می‌تواند سرنخی برای وجود اسنیفر باشد.
  • ابزارها:
    • Wireshark
    • SolarWinds Network Performance Monitor

4. استفاده از بسته‌های دام (Decoy Packets):

  • بسته‌هایی با اطلاعات غیرواقعی ارسال می‌شود. اگر این بسته‌ها مورد استفاده قرار گیرند یا پاسخ دریافت شود، احتمال وجود اسنیفر وجود دارد.

5. جستجو برای فرآیندهای مشکوک:

  • در سیستم‌های لوکال (میزبان)، ممکن است فرآیندهای ناشناخته یا مشکوکی وجود داشته باشد که مربوط به یک ابزار اسنیف باشد.
  • در لینوکس یا مک:
    ps aux | grep wireshark
  • در ویندوز: استفاده از Task Manager برای شناسایی فرآیندهای مشکوک.

6. تشخیص رفتارهای غیرطبیعی در شبکه:

  • رفتارهای غیرمعمول مانند:
    • تأخیرهای غیرمنتظره در شبکه.
    • قطع ارتباط مکرر.
    • تداخل در ترافیک داده.

7. استفاده از ابزارهای تخصصی شناسایی اسنیفر:

  • ابزارهایی طراحی‌شده‌اند که به شناسایی و حذف اسنیفرها کمک می‌کنند:
    • AntiSniff (یک ابزار قدیمی اما کاربردی)
    • Sniffer Detector

نکات مهم برای شناسایی اسنیفرها

  1. شبکه‌های رمزگذاری‌شده امن‌ترند:
    استفاده از پروتکل‌های رمزگذاری مانند HTTPS و SSL/TLS شانس موفقیت اسنیفرها را کاهش می‌دهد.
  2. احراز هویت در شبکه:
    استفاده از مکانیزم‌های احراز هویت (مانند 802.1X) برای اطمینان از اتصال دستگاه‌های معتبر به شبکه.
  3. فایروال و IDS/IPS:
    استفاده از سیستم‌های تشخیص و جلوگیری از نفوذ می‌تواند بسته‌های غیرعادی ناشی از اسنیفرها را شناسایی و مسدود کند.
  4. پایش مداوم:
    مدیران شبکه باید به طور مداوم رفتار ترافیک شبکه را بررسی کنند.

برای شناسایی یک اسنیفر، روش‌های مختلفی مانند اسکن پورت‌ها، بررسی حالت promiscuous، آنالیز بار شبکه، و استفاده از ابزارهای تخصصی وجود دارد. ترکیب این روش‌ها، شانس کشف اسنیفرها را افزایش داده و از آسیب‌پذیری شبکه جلوگیری می‌کند. مدیران شبکه باید هوشیار باشند و سیاست‌های امنیتی مناسبی برای کاهش خطر استفاده از این ابزارها در محیط شبکه ایجاد کنند.

پروتکل‌های آسیب‌پذیر در برابر حملات Sniffing

برخی از پروتکل‌های شبکه که برای ارسال داده‌ها استفاده می‌شوند، به دلیل عدم استفاده از رمزنگاری قوی یا فقدان احراز هویت، در برابر حملات شنود (Sniffing Attacks) آسیب‌پذیر هستند. این پروتکل‌ها معمولاً داده‌ها را به صورت متن ساده (Plaintext) منتقل می‌کنند، که باعث می‌شود مهاجمان بتوانند با ابزارهای شنود به آسانی اطلاعات حساس را رهگیری کنند.

پروتکل‌های آسیب‌پذیر در برابر Sniffing

1. HTTP (Hypertext Transfer Protocol):

  • آسیب‌پذیری:
    داده‌ها بین کلاینت و سرور به صورت متن ساده ارسال می‌شوند.
  • ریسک‌ها:
    مهاجم می‌تواند اطلاعات کاربری، کوکی‌ها، یا اطلاعات ارسالی در فرم‌ها را رهگیری کند.
  • جایگزین ایمن:
    استفاده از HTTPS (با رمزنگاری SSL/TLS).

2. Telnet:

  • آسیب‌پذیری:
    یک پروتکل قدیمی برای اتصال به سیستم‌ها که نام کاربری و رمز عبور را به صورت متن ساده ارسال می‌کند.
  • ریسک‌ها:
    دسترسی به اعتبارنامه‌ها (Credentials) و امکان دسترسی غیرمجاز به سرورها.
  • جایگزین ایمن:
    استفاده از SSH (Secure Shell).

3. FTP (File Transfer Protocol):

  • آسیب‌پذیری:
    پروتکلی برای انتقال فایل که نام کاربری، رمز عبور و داده‌های فایل را بدون رمزنگاری ارسال می‌کند.
  • ریسک‌ها:
    مهاجم می‌تواند به راحتی فایل‌های حساس یا اعتبارنامه‌ها را رهگیری کند.
  • جایگزین ایمن:
    استفاده از SFTP (FTP امن) یا FTPS (FTP همراه با SSL/TLS).

4. SMTP، POP3، و IMAP (پروتکل‌های ایمیل):

  • آسیب‌پذیری:
    این پروتکل‌ها، در صورت عدم استفاده از رمزنگاری، ایمیل‌ها و اعتبارنامه‌ها را به صورت متن ساده منتقل می‌کنند.
  • ریسک‌ها:
    امکان دسترسی مهاجم به محتوای ایمیل، نام کاربری و رمز عبور.
  • جایگزین ایمن:
    استفاده از نسخه‌های امن این پروتکل‌ها (مانند SMTPS یا POP3S با TLS/SSL).

5. DNS (Domain Name System):

  • آسیب‌پذیری:
    درخواست‌ها و پاسخ‌های DNS به صورت متن ساده ارسال می‌شوند.
  • ریسک‌ها:
    مهاجم می‌تواند محتوای ترافیک را رهگیری کند یا حملاتی مانند DNS Spoofing انجام دهد.
  • جایگزین ایمن:
    استفاده از DNS-over-HTTPS (DoH) یا DNS-over-TLS (DoT).

6. ARP (Address Resolution Protocol):

  • آسیب‌پذیری:
    ARP از رمزنگاری یا مکانیزم‌های احراز هویت پشتیبانی نمی‌کند.
  • ریسک‌ها:
    حملات ARP Spoofing که منجر به شنود یا تغییر مسیر ترافیک شبکه می‌شوند.
  • راه‌حل:
    پیاده‌سازی Dynamic ARP Inspection (DAI) در سوئیچ‌های شبکه.

7. RDP (Remote Desktop Protocol):

  • آسیب‌پذیری:
    اگر از نسخه قدیمی یا بدون رمزنگاری استفاده شود، ارتباط می‌تواند شنود شود.
  • ریسک‌ها:
    مهاجم می‌تواند اعتبارنامه‌ها و محتویات دسکتاپ را رهگیری کند.
  • جایگزین ایمن:
    استفاده از نسخه‌های جدیدتر RDP با رمزنگاری TLS.

8. SNMP (Simple Network Management Protocol):

  • آسیب‌پذیری:
    نسخه‌های اولیه مانند SNMPv1 و SNMPv2 نام کاربری و رمز عبور را به صورت متن ساده ارسال می‌کنند.
  • ریسک‌ها:
    مهاجمان می‌توانند به اطلاعات حساس شبکه یا دسترسی مدیریتی دست یابند.
  • جایگزین ایمن:
    استفاده از SNMPv3 که از رمزنگاری و احراز هویت پشتیبانی می‌کند.

9. NTP (Network Time Protocol):

  • آسیب‌پذیری:
    فاقد مکانیزم‌های امنیتی برای حفاظت از داده‌های زمان.
  • ریسک‌ها:
    مهاجمان می‌توانند زمان شبکه را دستکاری کرده یا ترافیک را رهگیری کنند.
  • راه‌حل:
    استفاده از نسخه‌های امن‌تر همراه با احراز هویت.

نکات مهم برای کاهش آسیب‌پذیری

  1. استفاده از پروتکل‌های امن:
    همیشه از پروتکل‌هایی استفاده کنید که از رمزنگاری قوی (مانند TLS/SSL) پشتیبانی می‌کنند.
  2. رمزنگاری انتها به انتها (End-to-End Encryption):
    اطمینان حاصل کنید که داده‌ها در حین انتقال رمزنگاری شده‌اند.
  3. بروزرسانی نرم‌افزارها و پروتکل‌ها:
    همیشه از نسخه‌های جدید و ایمن پروتکل‌ها استفاده کنید.
  4. استفاده از VPN:
    برای رمزنگاری ترافیک شبکه به ویژه در شبکه‌های عمومی.
  5. پیاده‌سازی IDS و IPS:
    سیستم‌های تشخیص و جلوگیری از نفوذ می‌توانند ترافیک غیرعادی و فعالیت‌های شنود را شناسایی کنند.

پروتکل‌هایی که از رمزنگاری و احراز هویت استفاده نمی‌کنند، بیشتر در معرض حملات Sniffing قرار دارند. ارتقای شبکه به استفاده از پروتکل‌های امن، رمزنگاری داده‌ها، و پیاده‌سازی مکانیزم‌های امنیتی پیشرفته می‌تواند این آسیب‌پذیری‌ها را کاهش دهد و امنیت کلی شبکه را افزایش دهد.

برترین ابزارهای شنود ترافیک

1. Wireshark:

وایرشارک ضبط کننده و تحلیلگر بسته های اپن سورس با پشتیبانی  از ویندوز ، لینوکس و غیره  ابزاری مبتنی بر GUI است. جایگزین Tcpdump این ابزار از pcap برای نظارت و ضبط بسته ها از شبکه استفاده می کند. بسته ها می توانند بر اساس IP ، پروتکل و بسیاری از پارامترهای دیگر فیلتر شوند. بسته ها را می توان گروه بندی و یا ارتباط اساسی را مشخص کرد. هر بسته را می توان بر اساس نیاز انتخاب و تجزیه کرد.

2. dSniff:

برای تجزیه و تحلیل شبکه و شنود رمز عبور از پروتکل های مختلف شبکه استفاده می شود. این می تواند انواع پروتکل های (FTP ، Telnet ، POP ، rLogin ، Microsoft SMB ، SNMP ، IMAP و غیره) را برای بدست آوردن اطلاعات تجزیه و تحلیل کند.

مانیتور شبکه مایکروسافت: همانطور که از نام آن پیداست برای ضبط و تحلیل شبکه استفاده می شود. برای عیب یابی شبکه استفاده می شود. برخی از ویژگی های این نرم افزار عبارتند از: گروه بندی ، مجموعه بزرگی از پشتیبانی پروتکل (300+)، حالت مانیتور بی سیم  مونتاژ مجدد پیام های قطعه قطعه شده و غیره

3. Debookee:

این یک ابزار پولی است که می تواند برای نظارت و تجزیه و تحلیل شبکه مورد استفاده قرار گیرد. این دستگاه بدون توجه به نوع دستگاه (لپ تاپ ، دستگاه ها ، تلویزیون و غیره) می تواند ترافیک دستگاه هایی را که در آن شبکه هستند رهگیری و تجزیه و تحلیل کند. ماژول های مختلفی را ارائه می دهد:

  • ماژول تجزیه و تحلیل شبکه: اسکن برای دستگاه های متصل ، رهگیری ترافیک در یک زیر شبکه ، اسکنر پورت TCP ، تجزیه و تحلیل شبکه و نظارت بر پروتکل های HTTP ، DNS ، TCP ، DHCP ، تجزیه و تحلیل تماس های VoIP و غیره
  • ماژول نظارت بر WiFi: جزئیات نقاط دسترسی در محدوده رادیو ، جزئیات مشتری بی سیم ، آمار wifi و غیره
  • ماژول رمزگشایی SSL / TLS: پشتیبانی از نظارت و تجزیه و تحلیل پروتکل های ایمن.

اقدامات پیشگیرانه در برابر حملات Sniffing

اتصال به شبکه‌های مطمئن: آیا به شبکه‌های Wi-Fi رایگان که در کافی‌شاپ‌ها ارائه می‌شوند اعتماد دارید؟ اتصال به هر شبکه عمومی می‌تواند خطر شنود ترافیک را به همراه داشته باشد. مهاجمان معمولاً از بی‌اطلاعی کاربران سوءاستفاده کرده و مکان‌های عمومی را برای حملات خود انتخاب می‌کنند. این شبکه‌های عمومی ممکن است به صورت کنترل‌نشده باقی بمانند یا حتی توسط مهاجمان ایجاد شوند. آن‌ها می‌توانند با ایجاد شبکه‌ای جدید با نامی مشابه، کاربران را به دام بیندازند. برای مثال، مهاجمی در فرودگاه می‌تواند یک Wi-Fi با نام “Free Airport Wi-Fi” راه‌اندازی کند و کاربران بی‌خبر با اتصال به این شبکه، تمام داده‌های خود را از طریق سیستم مهاجم ارسال کنند. بنابراین، همیشه به شبکه‌های مطمئن مانند شبکه خانگی یا اداری خود متصل شوید.

اهمیت رمزنگاری در امنیت شبکه: تمامی ترافیکی که از دستگاه شما ارسال می‌شود باید رمزگذاری شود. رمزگذاری تضمین می‌کند که حتی در صورت شنود شدن اطلاعات، مهاجم قادر به خواندن آن نخواهد بود. با این حال، باید توجه داشت که امنیت واقعی، رویکرد دفاع چندلایه است. رمزگذاری تنها بخشی از این دفاع است و باید از دیگر اقدامات امنیتی نیز استفاده شود. مهاجمان ممکن است تلاش کنند از داده‌های رمزگذاری‌شده بهره‌برداری کنند. استفاده از پروتکل‌های امن مثل HTTPS می‌تواند به امنیت بالاتر کمک کند، زیرا ترافیک میان کاربر و وب‌سایت رمزگذاری می‌شود.

پایش و اسکن شبکه: شبکه‌ها باید به طور مداوم از نظر تلاش‌های نفوذ یا وجود دستگاه‌های غیرمجاز که برای شنود ترافیک تنظیم شده‌اند، پایش و اسکن شوند. مدیران شبکه باید فعالیت شبکه را تحت نظر داشته باشند تا از ایمن بودن آن مطمئن شوند. تیم فناوری اطلاعات می‌تواند از روش‌هایی مانند نظارت بر پهنای باند، شناسایی دستگاه‌های تنظیم‌شده در حالت promiscuous mode و سایر تکنیک‌ها استفاده کند.

اگر این مقاله برای شما مفید بود، پیشنهاد می‌کنیم نگاهی به دوره آموزش CEH نیز بیندازید. خوشحال می‌شویم نظرات یا سوالات خود را در بخش نظرات مطرح کنید.

 

اشتراک گذاری:
برچسب ها:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید

دیدگاهتان را بنویسید