بخشی از مقاله


چکيده :
در دنياي اينترنت و شبکه, هرگاه شخصي از هويت کسي ديگر استفاده کرده و اقدام به سواستفاده نمايد را spoofing گويند. اين دزديدن هويت مي تواند دزديدن شناسه کاربري يک شخص و يا استفاده نا به جا از شماره آي پي وي و يا هرگونه اقدام ديگري در جهت جعل هويت شخص مورد نظر باشد. هرگاه شخصي بتواند از راه هاي گوناگون کارهايي را که شما انجام مي دهيد از روي اينترنت و شبکه مخفيانه دنبال کند مي گويند وي در حال sniff کردن است. از ديدگاه

مهندسين شبکه و کامپيوتر اين مي تواند به مثابه کنترل ترافيک ورودي و خروجي اطلاعات ما بين کامپيوترهاي مختلف باشد. کساني که اقدام به اين کار مي کنند عموماً برنامه اي را بر روي سيستم شخص قرباني نصب کرده و هرگاه فرد قرباني به اينترنت وصل شد اطلاعات زير نظر گرفته شده ( بسته به نوع نرم افزار نصب شده روي سيستم قرباني) به ايميل شخص هکر و يا بهتر است بگوييم شخص sniffer فرستاده مي شود.


کلمات کليدي
ARP , IP , TCP/IP , IP/Ethernet , MAC , IP Spoofing , ARP Spoofing , Web Spoofing , MiM attack , DoS,ARPoison ,Parasite, Ettercap , RARP , DNS , man in the middle attack , non-blind spoofing , blind spoofing , ARPWATCH , Hijacking , Cloning , IP/MAC .



مقدمه
Spoofing به معني وانمود کردن به چيزي است که وجود ندارد. در اصطلاحات اينترنتي Spoofing به معني وانمود کردن به يک آدرس اينترنتي متفاوت از کسي است که شما براي به دست آوردن چيزي آن را دارا هستيد که مي توان اطلاعاتي مثل شماره هاي کارت اعتباري، رمزها، اطلاعات شخصي و يا توانايي انجام اعمالي بااستفاده از هويت شخص ديگري باشد.


برخي از حملات بالقوه Spoofing از نظر تکنيکي دشوار هستند و بقيه معمولي.
براي اينکه شما بتوانيد در مقابل Spoofing از خود دفاع کنيد؛ راه هاي متفاوتي وجود دارد. برخي از حملات روي اشتباه يا درک نادرست کاربر تکيه دارند. ممانعت از نوع حملات مشکل تر است چون کاربران لزوماً داراي مهارت فني مورد نياز براي درک آنچه در حال رخ دادن است نيستند. ضمن اينکه تکنولوژي اي که آن ها از آن استفاده مي کنند، با استفاده از واژه هاي غير فني خود را بيان نمي کند.
در اين مقاله چندين حمله Spoofing و راه هاي دفاعي ممکن در مقابل آن ها مورد بررسي قرار گرفته است.


Spoofing : يک ديد کلي از برخي تهديدات کنوني Sooping
مقدمه
Spoofing به شکل هاي زيادي در جهان کامپيوتر به کار گرفته مي شود که هر کدام نياز به برخي از انواع نمايش جهلي اطلاعات دارند. متدهاي متنوع و انواع گوناگوني از spoofing وجود دارد که چهار نوع از آن ها عبارتند از:


• IP
• ARP
• Web
• DNS


هيچ نوع استفاده قانوني يا مفيدي براي به کار بردن هيچ کدام از انواع spoofing وجود ندارد. برخي از اهداف مي تواند سرگرمي، دزدي ،انتقام و يا برخي اهداف بد خواهانه ديگر باشد. اثر اين حملات مي تواند خيلي شديد باشد و مي تواند ميليون ها دلار هزينه براي ما ايجاد کند و نبايد توسط جامعه امنيت اينترنت ناديده گرفته شود.

 

IP Spoofing
IP spoofing براي دسترسي غير مجاز به يک کامپيوتر مورد استفاده قرار مي گيرد. حمله کننده بسته هاي کوچکي را به همراه يک آدرس منبع به يک کامپيوتر مي فرستد که اين آدرس مشخص مي کند که بسته از طرف يک پورت يا سيستم معتبر آمده است. حمله کننده ها بايد براي اجراي اين کار برخي مراحل پيچيده را با دقت انجام دهند. آنها بايد :


• يک مقصد پيدا کنند
• آدرس IP يک ماشين معتبر را بيابند
• ارتباطات ماشين معتبر را غير فعال کنند


• از يک ارتباط بين مقصد و ميزبان هاي معتبر نمونه برداري کنند
• شماره هاي ترتيبي ماشين معتبر را حدس بزنند


• Header بسته را تغيير دهند به طوري که در ظاهر نشان دهد که بسته ها از ميزبان معتبري مي آيند
• براي برقراري ارتباط با آدرس يک سرويس يا پورت معتبر تلاش کنند


• اگر تلاش ها موفقيت آميز بود حمله کننده برخي از انواع دسترسي پنهاني را براي رجوع بعدي مستقر خواهد کرد
سيستم A با فرستادن آدرس سيستم B به جاي آدرس خود هويت سيستم B را جعل خواهد کرد. دليل اين کار اين است که سيستم ها به فعاليت درون گروه هايي از سيستم هاي "معتبر" گرايش دارند.اين اعتبار به صورت يک به يک پياده سازي شده است. سيستم A سيستم B را معتبر مي سازد. IP spoofing به صورت زير اتفاق مي افتد:


اگر سيستم A سيستم B را معتبر کند و سيستم C سيستم B را spoof کند، در نتيجه سيستم C مي تواند به سيستم A دسترسي غيرمجاز پيدا کند.
يکي از نقاط ضعف IP spoofing اين است که C هرگز پاسخ هاي A را نمي بيند که اين يک حمله کاملاً کور ( blind) است. تجربه زياد و آگاهي از پاسخ هاي مورد انتظار از طرف مقصد براي اجراي موفقيت آميز حمله مورد نياز است. برخي از روش هاي متداول براي جلوگيري از اين نوع حمله، غيرفعال کردن بسته هاي مسيريابي شده و غيرفعال کردن تمام بسته هاي خارجي ورودي با آدرس منبع مشابه به عنوان يک ميزبان محلي مي باشد.

 


ARP Spoofing
ARP (Address Resolution Protocol) جهت انتساب آدرس هاي IP به آدرس هاي سخت افزاري مورد استفاده قرار مي گيرد. از يک جدول، معمولاً به نام ARP cache جهت نگهداري رابطه بين هر آدرس MAC با آدرس IP متناظر با آن استفاده مي شود. ARP قوانين پروتکل براي ايجاد اين ارتباط و فراهم کردن تحليل آدرس در هر دو جهت را فراهم مي سازد. زماني که يک بسته دريافتي به يک ماشين ميزبان روي يک شبکه فرستاده مي شود، وارد يک مسيرياب مي شود و از

برنامه ARP مي خواهد تا يک آدرس MAC مطابق با آدرس IP بيابد. برنامه ARP در ARP cache جستجو مي کند و اگر آدرس را پيدا کرد آن را طوري آماده مي کند که بسته بتواند به طول و شکل صحيح بسته تبديل شده و به ماشين فرستاده شود. اگر هيچ ورودي براي آدرس IP پيدا نشد ARP يک بسته درخواست با

شکلي خاص را به تمام ماشين هاي روي شبکه ارسال مي کند تا بفهمد که آيا ماشيني مي داند که آن آدرس IP براي چه کسي است. ماشيني که آدرس IP را به عنوان آدرس خود تشخيص دهد يک پاسخ برمي گرداند. ARP ، ARP cache را براي رجوع بعدي به روز رساني مي کند و بسته اي را به آدرس MAC پاسخ دهنده مي فرستد. يک مثال از درخواست ارسال ARP :

 


يک نفر ممکن است نتيجه گيري کند که اين مدل آدرس دهي نيز مي تواند براي تآمين يک ميزبان با اطلاعات ناصحيح spoof شود. ARP spoofing نياز به ساختن درخواست ARP و بسته هاي پاسخ جعلي دارد. با فرستادن پاسخ هاي ARP جعلي، يک کامپيوتر مقصد براي فرستادن فريم ها به کامپيوتر A به جاي ارسال به کامپيوتر B ملزم مي شود که اين کار به فرآيند مسموم کردن ARP اشاره دارد.


هم اکنون برنامه هايي وجود دارند که فراين مسموم کردن ARP را اتوماتيک مي کند. ARPoiso - ، Ettercap و Parasite. هر سه اين برنامه ها داراي قابليت ايجاد بسته هاي spoof ARP شده، ارسال از مسير ديگر و يا اجراي برخي از انواع حملات man in the middle مي باشد.
فعال کردن مقيد سازي MAC در يک سوييچ يا پياده سازي جداوول ARP ثابت، ممانعت از ARp spoofing را محقق مي سازند. مقيد سازي MAC باغث مي شود تا يک آدرس يکبار به يک آداپتور انتقال داده شود که بدون مجوز نمي تواند تغيير کند.


مديريت ARP ثابت تنها در يک شبکه خيلي کوچک به طور واقع بينانه اي تحقق يافته است. در يک شبکه ديناميکي بزرگ مديريت وظيفه نگهداري از ورودي هاي به روز رساني شده غير ممکن خواهد بود. ARPWATCH براي سيستم هاي بر پايه Unix تغييرات ARP cache را نظارت کرده و درباره تغييرات به مدير هشدار مي دهد.


Web Spoofing
Web Spoofing يک حمله امنيتي است که اجازه مي دهد يک دشمن تمام صقحات وب فرستاده شده به ماشين قرباني را مشاهده کرده و تغيير دهد و تمام اطلاعات وارد شده در فرم ها توسط قرباني را مشاهده نمايد. Web Spoofing روي هر در جستجوگر (browser) اصلي کار مي کند و توسط ارتباطات امن از ممانعت شده است.


حمله کننده مي تواند تمام صفحات وب و محتويات فرم را مشاهده کرده و تغيير دهد ، حتي زماني که جستجوگر نشان مي دهد که ارتباط امني وجود دارد و کابرا هيچ چيز غير عادي نمي بيند.


حمله با استفاده از JavaScript و plug-in سرور وب پياده سازي شده است و در دو بخش کار مي کند. ابتدا حمله کننده باعث مي شود يک پنجره browser با برخي شرايط نرمال و اطلاعات منوي جايگزين شده توسط مولفه هاي مشابه فراهم شده توسط حمله کننده، روي ماشين قرباني ايجاد شود. سپس حمله کننده باعث مي شود تمام صفحات وب معين شده براي ماشين قرباني توسط سرور حمله کننده از مسيري ديگر فرستاده شود. روي سرور حمله کننده صفحات دوباره به گونه اي نوشته مي شووند که ظاهر آن ها اصلاً تغييري نکند، اما هر عمل انجام شده توسط قرباني ( از قبيل کليک کردن روي يک لينک) توسط حمله کننده ثبت خواهد شد. به علاوه هر تلاش قرباني براي load کردن يک صفحه جديد باعث خواهد شد که صفحه به تازگي load شده توسط سرور حمله کننده فرستاده شود به طوريکه حمله روي صفحه جديد ادامه خواهد يافت.


زماني که قرباني يک صفحه وب آلوده را بازديد کند يا يک پيام e-mail آلوده را دريافت کند، حمله آغاز خواهد شد.
Browser هاي کنوني از Web Spoofing جلوگيري نمي کنند و به نظر مي رسد حرکت کوچکي در جهت مورد توجه قرار دادن اين مشکل شکل گرفته است. ما اعتقاد داريم که تجارت الکترونيکي ايمن روي وب نمي تواند وجود داشته باشد تا زماني که آسيب پذيري Web Spoofing مورد توجه قرار گيرد.
تعداد زيادي ادعاهاي نادرست درباره Web Spoofing ايجاد شده است و برخي از افرادي که اضهارات عمومي درباره Web Spoofing مي سازند، درک کاملي از مشکل ندارند.

DNS Spoofing
DNS spoofing در سه روش اتفاق مي افتد :


• يک حمله کننده يک سرور DNS را به مخاطره مي اندازد و نام ميزبان را به نگاشت آدرس IP تغيير مي دهد.زماني که فردي URL يک سايت را درخواست مي کند نگاشت تغيير يافته آن به ماشيني که تحت کنترل کامل حمله کننده است، فرستاده مي شود.


• يک حمله کننده مي تواند پاسخ هاي سرور DNS را قبل از اين که فرد واقعي بيايد spoof کند ،با حدس زدن بدون اتصال، شماره هاي ترتيب UDP اين کار را انجام مي دهند.اگر حمله کننده بتواند يک تراکنش از سرور DNS را sniff کند قادر خواهد بود تا به درستي شمارش ترتيبي را حدس بزند.
• DNS cache ميتواند به سادگي با فرستادن پاسخ هاي نادرست با يک TTL بالا براي درخواست کردن از سرور DNS مسموم شود.يک سرور دور که توسط حمله کننده کنترل شده است با تحليل هاي اسمي نا درست نصب مي شود و سپس توسط در خواست کننده ذخيره مي گردد.


DNS spoofing مي تواند با برخي روش هاي مشابه web spoofing به کار گرفته شود.اگر کسي توسط يک سرور به مخاطره افتاده هدايت شود ، هر نوع داده وارد شده به يک وب سايت يا فرم سفارش مي تواند ديده شود.بيشتر داده هاي شخصي مي توتند به اين وسيله جمع آوري شود . e-mail نيز مي تواند توسط يک سرور داراي سوء نيت از مسير ديگري ارسال شود که اين کار مي تواند براي شرکت هايي که از طريق e-mail در اطلاعات اختصاصي با يکديگر مشارکت دارند، خطرناک باشد.

نتيجه گيري


با به کارگيري کنوني spoofing جامعه امنيت شبکه نياز دارد تا از اهميت و هزينه بالقوه اين حملات آگاهي داشته باشد. مردم مي توانند به طور موثري از تصحيح و نظارت بر وقايع براي به حداقل رساندن خسارات، پشتيباني کنند.

IP Spoofing
مقاله " مشکلات امنيتي در مجموعه پروتوکل TCP/IP " نوشته S.M.Bellovin در سال ۱۹۸۹ حملات IP Spoofing را بررسي کرد. او شرح داد که چگونه Robert Morris ( خالق کرم مشهور اينترنت ) دريافت چگونه TCP شماره هاي ترتيب را ايجاد کرد و يک ترتيب بسته TCP را جعل کرد.
اين بسته TCP شامل آدرس مقصد قرباني اش بود و او با استفاده از IP Spoofing قادر بود تا دستيابي ريشه اي به سيستم مقصدش را بدون يک شناسه کاربري يا رمز عبور به دست آورد.

مقدمه
IP Spoofing يک تکنيک مورد استفاده براي بدست آوردن دسترسي غيرمجاز به کامپيوترها مي باشد که به اين وسيله حمله کننده با يک آدرس IP جعلي که نشان مي دهد پيام از يک ميزبان معتبر مي آيد، پيام هايي را به يک کامپيوتر مي فرستد. تنوع کمي در انواع حملات IP Spoofing وجود دارد.

حملات Spoofing
۱- non-blind spoofing
اين حمله زماني اتفاق مي افتد که حمله کننده روي زير شبکه مشابه با زير شبکه مقصد قرار دارد که مي تواند ترتيب و تآييد بسته ها را ببيند. تهديد اين نوع spoofing سرقت جلسه (session ) است و يک حمله کننده مي تواند هر نوع روش تعيين هويت براي ايجاد ارتباط را ناديده بگيرد. اين کار با خراب کردن جريان داده هاي يک ارتباط برقرار شده و سپس برقرار کردن مجدد آن بر پايه شماره هاي ترتيب و تآييد صحيح توسط ماشين حمله کننده ، انجام مي شود.

۲- Blind spoofing
اين حمله ممکن است خارج از مکاني اتفاق بيفتد که شماره هاي ترتيب و اطلاعات ، غيرقابل دسترس اند. حمله کننده ها معمولاً جهت نمونه برداري از شماره هاي ترتيب که در روزهاي قبل قابل اجرا بوده اند،چندين بسته به ماشين مقصد ميفرستند. امروزه بيشتر سيستم هاي عامل توليد شماره ترتيب تصادفي را پياده سازي مي کنند که اين کار باعث مي شود که پيش بيني دقيق آن ها دشوار شود. به هر حال اگر شماره ترتيب به مخاطره بيفتد داده مي تواند به مقصد فرستاده شود.

 

۳- حمله Man in the Middle
اين حمله سرقت ارتباط نيز ناميده مي شود. در اين حملات يک شخص داراي سوء نيت،ارتباط قانوني بين دو ميزبان را جهت کنترل جريان ارتباط و براي پاک کردن يا تغيير دادن اطلاعات ارسال شده توسط يکي از ميزبانان اصلي بدون آگاهي آنها به دست مي آورد. در اين روش يک حمله کننده مي تواند با آشکار ساختن اطلاعات محرمانه با spoof کردن هويت فرستنده يا گيرنده اصلي ، مقصد را فريب دهد. سرقت کردن ارتباط يک وضعيت ناهماهنگ در ارتباط TCP ايجاد مي کند.

زماني که شماره ترتيب در يک بسته دريافت شده با شماره ترتيب مورد انتظار يکسان نباشد، ارتباط " نا هماهنگ " ناميده مي شود. بسته به مقدار واقعي شماره ترتيب دريافت شده لايه TCP ممکن است بسته را دور بيندازد يا به طور موقت ذخيره کند. زماني که دو ميزبان به اندازه کافي ناهماهنگ باشند ، بسته هاي يکديگر را دور ريخته و يا ناديده مي گيرند. سپس يک حمله کننده مي تواند بسته هاي جعلي را با شماره هاي ترتيب صحيح پر کند و به طور بالقوه پيام هايي را به ارتباط اضافه کرده يا آنها را تغيير دهد. اين کار نياز دارد تا حمله کننده روي مسير ارتباطي بين دو ميزبان قرار گيرد تا بسته هاي ارسالي را تکذيب کند. راه حل کليدي براي اين حمله ايجاد وضعيت ناهماهنگ است.

 

۴- حمله Denial of Service
IP spoofing تقريباً هميشه در حملات denial of service ( تکذيب خدمات DoS ) به کار مي رود، که با مصرف پهناي باند و منابع با در برگرفتن مقصد با تعداد بسته هاي ممکن در يک بازه زماني کوتاه ، ارتباط دارند. براي هدايت حمله صورت مؤثر حمه کننده ها آدرس هاي IP منبع را براي پيگيري و توقف DoS ، spoof مي کنند.زماني که چندين ميزبان به مخاطره افتاده درحمله حضور دارند و همه در حال ارسال ترافيک spoof شده هستند، بلاک کردن سريع ترافيک بسيار مشکل است.

 

برداشت اشتباه از IP Spoofing
يک برداشت اشتباه متداول اين است که " IP Spoofing " ميتواند براي پنهان کردن آدرس IP شما در حال جستجو در اينترنت ، چت کردن ، فرستادن e-mail و... به کار گرفته شود که اين برداشت به طور کلي درست نمي باشد. جمع آوري آدرس IP منبع باعث مي شود که پاسخ ها به آدرس هايي اشتباه فرستاده شوند. يعني شما نمي توانيد يک ارتباط شبکه اي نرمال را ايجاد کنيد. به هر حال IP spoofing يک بخش جدايي ناپذير از تعداد زيادي از شبکه هايي است که نياز ندارند که پاسخ ها را ببينند. شناسايي IP spoofing : ما مي توانيم بسته ها را با استفاده از نرم افزار بازرسي شبکه بررسي کنيم. يک بسته روي يک رابط

خارجي که هم آدرس IP منبعش و هم آدرس IP مقصدش را در حوزه محلي داراست، يک نشانه از IP spoofing است. راه ديگر براي شناسايي IP spoofing مقايسه کردن log هاي حساب هاي پردازش بين سيستم هاي روي شبکه داخلي است. اگر حمله IP spoofing روي يکي از سيستم هاي شما موفقيت آميز بود، ممکن است يک ورودي log روي ماشين قرباني دريافت کنيد که يک دسترسي از راه دور را نشان مي دهد. روي ماشين منبه ظاهري هيچ ورودي متناسب براي شروع آن دسترسي از راه دور ووجود نخواهد داشت.

 

جلوگيري از IP spoofing :
براي جلوگيري از IP spoofing رخ داده در شبکه شما، برخي از شيوه هاي متداول عبارتند از:
• از به کارگيري شناسايي آدرس منبع پرهيز کنيد. شبکه خود را براي رد کردن بسته ها از شبکه هاي که مدعي متعلق بودن به يک آدرس محلي است، پيکربندي کنيد.
• فيلتر کردن و محل ورود و خروج روي مسيرياب هاي مرزي و يک ACL ( ليست کنترل دستيابي) که آدرس هاي IP خصوصي را روي رابط downstream شما بلاک مي کند، را پياده سازي کنيد.

در متن اصلی مقاله به هم ریختگی وجود ندارد. برای مطالعه بیشتر مقاله آن را خریداری کنید