‫ حملات Man-in-the-Middle (آلودگي حافظه نهان ARP) – قسمت اول

IRCAR201204137
تاريخ: 29/01/91
مقدمه:
يكي از شايع ترين حملات مورد استفاده عليه افراد و سازمان‌هاي بزرگ، حملات Man-in-the-Middle است. MITM، يك حمله استراق سمع فعال است كه بوسيله برقراري ارتباط با ماشين قرباني و باز پخش پيغام‌ها بين آن‌ها كار مي‌كند. در اينگونه موارد، يك قرباني بر اين باور است كه با قرباني ديگر به طور مستقيم ارتباط برقرار كرده است در حالي كه در حقيقت ارتباط از طريق ميزباني كه اين حمله را انجام مي‌دهد در جريان است. نتيجه نهايي اين است كه ميزبان حمله كننده نه تنها مي‌تواند اطلاعات حساس را رهگيري كند، بلكه مي تواند براي بدست آوردن كنترل بيشتر سيستم قرباني‌ها، يك جريان داده را تزريق و دستكاري نمايد.
در اين سري از مقالات به بررسي برخي از انواع اين حملات كه به طور گسترده مورد استفاده قرار گرفته است، مي‌پردازيم. معروفترين حملات MITM شامل آلودگي حافظه پنهان ARP، جعلDNS ، ارتباط ربايي نشست HTTP، عبور از رشته درهم و.. مي‌شود. در دنياي واقعي بيشتر ماشين‌هاي قرباني‌ها داراي سيستم عامل ويندوز مي‌باشند. در نتيجه اين سري از مقالات به طور كامل بر روي سوء استفاده MITM از ميزبان‌هايي كه در حال اجراي نسخه‌هاي ويندوز هستند، تمركز مي‌كند.
آلودگي حافظه پنهان ARP
در اين مقاله نگاهي به آلودگي حافظه پنهان ARP مي‌اندازيم. يكي از قديمي ترين اشكال حملات MITM، آلودگي حافظه پنهان ARP بوده است كه اجازه مي‌دهد مهاجم در زير شبكه قربانيان خود، ترافيك بين قربانيان در كل شبكه را استراق سمع نمايد. به اين دليل اين موضوع را به عنوان اولين حمله مورد بررسي قرار مي‌دهيم كه با وجود آن كه ساده‌ترين راه حمله است ولي به عنوان يكي از موثرترين حملاتي كه بوسيله هكرها انجام مي‌شود، مطرح شده است. 
ارتباطات عادي ARP      
پروتكل ARP به منظور تسهيل ترجمه آدرس‌ها بين لايه‌هاي دوم و سوم از مدل OSI طراحي شده بود. لايه دوم يا لايه پيوند داده‌ها، از آدرس‌هاي MAC استفاده مي‌كند بنابراين دستگاه‌هاي سخت‌افزاري مي‌توانند به طور مستقيم در يك مقياس كوچك با هم ارتباط برقرار كنند. لايه سوم يا لايه شبكه، براي ايجاد شبكه هايي در مقياس بزرگ كه مي‌توانند در سرتاسر جهان با هم ارتباط برقرار كنند، از آدرس‌هاي IP استفاده مي‌كنند. لايه پيوند داده به طور مستقيم با دستگاه‌هايي كه به هم متصل هستند، سر و كار دارد در حالي كه لايه شبكه با دستگاه‌هايي كه به طور مستقيم يا غير مستقيم با هم در ارتباط هستند، كار مي‌كند. هر لايه داراي مدل آدرس‌دهي مخصوص به خود است و اين لايه ها بايد به منظور ايجاد ارتباطات شبكه‌اي با هم كار كنند. به همين دليل ARP ( پروتكل تعيين آدرس اترنت) ايجاد شد.
شكل(1): فرآيند انتقال اطلاعات يك ARP
 
مهم‌ترين وجه عمليات ARP، تمركز داشتن پيرامون دو بسته شامل يك درخواست ARP و يك پاسخ آن است. هدف از اين درخواست و پاسخ، بدست آوردن آدرس MAC متناظر با آدرس IP داده شده است به طوري كه ترافيك مورد نظر با استفاده از اين آدرس MAC مي‌تواند مقصد خود را بر روي شبكه پيدا كند. بسته درخواست به هر يك از دستگاه‌هاي شبكه فرستاده مي‌شود با اين محتوي كه "هي، آدرس IP من XX.XX.XX.XX و آدرس MAC من XX:XX:XX:XX:XX:XX است. مي‌خواهم چيزي به كسي كه داراي آدرس IP، XX.XX.XX.XX است بفرستم ولي آدرس سخت افزاري آن را ندارم. لطفا هر كسي كه اين آدرس IP متعلق به اوست، با فرسنادن آدرس MAC خود به من پاسخ دهد". جواب اين درخواست در بسته پاسخ ARP قرار مي‌گيرد و به سمت مبدا فرستاده مي‌شود. محتوي بسته پاسخ بدين صورت است:" هي دستگاه فرستنده من صاحب آدرس IP،XX.XX.XX.XX  هستم كه به دنبال آن هستي. آدرس MAC من XX:XX:XX:XX:XX:XX است". هنگامي‌كه اين روند كامل شد، دستگاه فرستنده، جدول حافظه نهان ARP خود را به روز رساني كرده و اين دو دستگاه مي‌توانند با هم ارتباط برقرار كنند.
آلودگي حافظه نهان
آلودگي حافظه نهان ARP بدليل بهره بردن از طبيعت ناامن پروتكل ARP اتفاق مي‌افتد. بر خلاف پروتكل‌هايي مانند DNS كه مي‌تواند به گونه‌اي پيكربندي شود تا تنها به روز رساني‌هاي پوياي امن را بپذيرند، دستگاه‌هايي كه از ARP استفاده مي‌كنند، تمامي به روز رساني‌ها را مي‌پذيرند. اين بدين معني است كه هر دستگاهي مي‌تواند يك بسته پاسخ ARP را به ميزبان ديگري بفرستد و ميزبان را مجبور كند تا حافظه نهان ARP خود را با مقدار جديد به روز رساني نمايد. ارسال يك پاسخ ARP زماني كه هيچ درخواستي فرستاده نشده است، ارسال يك ARP ناخواسته ناميده مي‌شود. هنگامي‌كه قصد مخربي در كار باشد، از چند بسته ARP ناخواسته استفاده مي‌شود، در نتيجه ميزبان‌ها فكر مي‌كنند با يك ميزبان عادي در حال برقراري ارتباط هستند، در حالي كه در حقيقت با يك مهاجم در حال شنود، ارتباط برقرار كرده اند.  
شكل(2): قطع كردن ارتباط بوسيله يك حافظه نهان آلوده
 
دفاع در برابر آلودگي حافظه نهان ARP
فرآيند ARP در پس زمينه اتفاق مي‌افتد و ما به طور مستقيم مي توانيم‌ كنترل كمي روي آن داشته باشيم.  اگر شما در مورد آلودگي حافظه نهان ARP روي شبكه‌تان نگران هستيد مي‌توانيد از حالت‌هاي واكنشي و پيشگيرانه استفاده كنيد.      
ايمن سازي شبكه
هنگامي كه براي قطع شدن ترافيك بين دو ميزبان روي شبكه محلي يكسان تلاش مي‌كنيد، تنها تكنيك حمله موجود، آلودگي حافظه نهان ARP است. تنها دليل نگراني شما بايد زماني باشد كه كنترل يك دستگاه محلي در شبكه شما در اختيار فرد خرابكار قرار گرفته شود، در اين صورت يا يك كاربر مورد اعتماد نيت مخرب دارد، يا كسي توانسته است يك دستگاه غير قابل اعتماد را به اين شبكه متصل نمايد. براي از بين بردن ترس حاصل از حمله ذكر شده مي توان از روش هايي مانند متمركز كردن تمام تلاش‌هاي امنيتي روي محيط شبكه، دفاع در برابر تهديدهاي داخلي و داشتن يك حالت امنيت داخلي خوب بهره جست.
استاتيك كردن حافظه نهان ARP  
يك راه براي محافظت در برابر طبيعت ناامن درخواست ها و پاسخ هاي ARP اين است كه از پويايي فرآيند بكاهيم. اين يك گزينه است زيرا ميزبان‌هاي مبتني بر ويندوز اجازه مي‌دهند عناصر استاتيك را به حافظه نهان ARP اضافه نماييد. شما مي‌توانيد بوسيله باز كردن اعلان فرمان و وارد كردن دستور arp –a، حافظه نهان ARP يك ميزبان ويندوز را ببينيد.
شكل(3): حافظه نهان ARP را مشاهده مي‌كنيد.
شما مي‌توانيد با استفاده از دستور arp –s <IP ADDRESS> <MAC ADDRESS>، شناسه اي را به اين ليست اضافه نماييد.
از آن جايي كه اغلب پيكربندي شبكه تغيير نمي‌كند، اين امكان وجود دارد كه فهرستي از شناسه‌هاي ARP را به صورت استاتيك بسازيم و آن‌ها را از طريق يك اسكريپت خودكار به تمامي كلاينت‌ها اعمال كنيم. در نتيجه اين اطمينان حاصل مي‌شود كه دستگاه‌ها هميشه به جاي تكيه بر در خواست و پاسخ ARP، به حافظه نهان ARP محلي خودشان تكيه خواهند كرد.    
نظارت بر ترافيك ARP با برنامه‌هاي ديگر
آخرين گزينه براي دفاع در برابر آلودگي حافظه نهان ARP يك رويكرد واكنشي است كه شامل نظارت بر ترافيك شبكه‌ ميزبان‌ها مي‌شود. اين كار را مي‌توان با استفاده از يك سيستم تشخيص نفوذ كمي متفاوت يا ابزارهاي قابل دانلود كه به طور خاص‌ براي اين هدف طراحي شده اند، انجام داد. اين كار زماني امكان پذير است كه تنها نگران يك ميزبان هستيد اما زماني كه درباره كل بخش هاي شبكه نگران باشيد كار كردن با اين ابزارها كمي دشوار و سنگين مي شود.    
خلاصه
آلودگي حافظه نهان ARP يكي از منفعل‌ترين حملات MITM است زيرا اجراي آن بسيار ساده است، در شبكه‌هاي كنوني يك تهديد بسيار جدي است، و شناسايي و دفاع در برابر آن دشوار است. در مقاله بعدي از اين مجموعه به تبديل اسم به آدرس IP و مفهوم جعل DNS مي‌پردازيم.

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0