بخشی از مقاله
اینترنت و هک
مقدمه:
با يك بررسي اجمالي مشاهده مي شود كه سرعت رشد دانش و تكنولوژي بشر با گذشت سده هاي اخير به حد چشمگيري رو به افزايش است.
در طي قرن بيستم تكنولوژي اصلي در جمع آوري پردازش و توزيع اطلاعات خلاصه مي شود در كنار اين نوآوري ها پديده هاي ديگري نظير شبكه هاي عظيم مخابراتي رشد صنعت كامپيوتر و توسعه روز افزون ماهواره ها از جايگاه ويژه اي برخورداررند گرچه صنعت كامپيوتر در مقايسه با ديگر تكنولوژي ها جوان بي نظير مي رسد ولي كامپيوتر ها قادرند در مدت زمان كوتاهي اعمال زيادي را انجام دهند كه اين خود باعث كاربرد روبه رشد و موثر آن در شاخه هاي گوناگون علمي شده است از تلفيق كامپيوتر با علم ارتباطات شاخه جديدي در علم بوجود آمد كه بعدها شبكه هاي كامپيوتري نام گرفت.
متاسفانه مزايايي متعدد و بسيار شبكه ها علاوه بر كاربران عادي اين امكان رابه هكرها (مهاجمان شبكه اي) داده است كه در پي دستيابي به اهداف سوء خود در قالب انگيزه هاي گوناگون (اعم از انگيزه هاي مالي و رواني)
فعاليتهاي اخلال گرانه خود را دنبال كنند در اين تحقيق با روشها و تكنيكهاي شناخته شده اين تهاجمات و موثرترين شيوه هاي مقابله با آنها صحبت خواهيم كرد.
هكرها، كراكرها و واكرها
قبل از هر چيز بهتر است هكرها را بشناسيم هكرها افراد باهوشي هستند كه علاقه اي به شغل ثابت نداشته و در شروع اينكار معمولاً انگيزه اي غير از پول دارند اصل اول اين گروه اطلاعات رايگان براي همه بوده و استفاده از اطلاعات و برنامه هاي ديگران را حق مسلم خود مي دانند هكرها بر اساس اصول اخلاقي خود به 3 دسته تقسيم مي شوند.
گروه اول:
با آنها Sumuraiگفته مي شود آنهايي هستند كه تنها هدفشان ورود به كامپيوتر كاربر بوده و هيچگونه آسيبي به كامپوتر نمي رسانند مهمترين اصل اين گروه آزادي اطلاعات براي عموم مي باشد و هدفشان نشان دادن ضعف سيستم حفاظتي كامپيوتر شما مي باشد.
گروه دوم :
كراگرها نام دارند در واقع هكرهايي هستند كه هدفشان دزديدن اطلاعات و خرابكاري بروي كامپيوتر و… مي باشد و در واقع هدف آنها پنهان شدن در گوشه اي و خرابكاري بروي كامپيوتر مي باشد.
گروه سوم :
گروه سوم واكرها (Wacker)كه هدف آنها استفاده از اطلاعات كامپيوتر مي باشد.
ساده ترين شيوه هاي تهاجم هكرها
الف) هك كردن به كمك ويروس
يكي از اعمال اوليه براي هك كردن نفوذ به سيستم قرباني بوده كه تنها راه بدست آوردن رمز عبور مي باشد يك هكر براي ورود به كامپيوتر كاربر به دو عامل اوليه يعني رمز عبور (Password) و اسم كاربر (User name) نياز دارد. ابتدا هكرها يك برنامه (Virus) را درون اطلاعات درخواستي كاربر قرار داده و بدين ترتيب به كامپيوتر كاربر نفوذ مي كند.
حال براي دريافت اطلاعات يك آدرس - e- mail يك كاربر شناخته شده- را براي Virus تعريف كرده تا اطلاعات بدست آورده را به آن آدرس بفرستد( بدون اينكه هكر شناسايي شود)
ب) ارسال پيام هاي نهاني
گاهي مي خواهند موضوعي را با مرجعي، شخصي و … در ميان بگذارند و در عين حال ناشناس بمانند براي اين منظور از نرم افزاري «گوست ميل» (Ghost mail) استفاده مي كنند كه در پايگاههاي وب گوناگون در دسترس مي باشد و قابل ردگيري نمي باشد.
مي توانيد از موتورهاي جستجو مانند ياهو و گوگل براي پيدا كردن آن استفاده كنيد. يا مي توانيد آن را از پايگاه اينترنتي زير دريافت كنيد.
http : //down load. My computer. Com / detail/ 60/14.html
راه ديگر ارسال اطلاعات به صورت خصوصي با رمز درآوردن كلمه هاي رمز ورود (گذر واژه ها) و نام كاربران است كه بايد قبل از اينكه ارسال شوند به رمز درآورده شوند با اين حال براي كامل شدن اين حمله لازم است ويروس به صورت پنهان در سيستم مورد نظر قرار گرفته باشد زيرا ويروس عامل نهفته شما بروي رايانه مورد حمله است گذاشتن اين تمهيد در داخل ويروس به اين معناست كه ويروس را مي توان احتمالاً بعد از اينكه شخص آن را به كاربرد اطلاعات مربوطه را رمز گشايي كند يعني دستورالعمل را بخواند.
حمله پيشگويي شماره سريال Tcp/ Ip
در اين حمله هكر كار خود را در دو مرحله انجام مي دهد .
در قدم اول هكر سعي مي كند آدرس Ip سرويس دهنده را بدست آورد اين كار معمولاً از طريق بررسي بسته هاي موجود در شبكه از طريق حدس زدن ترتيب شماره هاي ميزبانها يا از طريق اتصال به يك مرورگر وب و مشاهده آدرس Ip سايت در نوار وضعيت پنجره انجام مي شود.
چون هكر مي داند كه ديگر كامپيوتر هاي موجود در شبكه داراي آدرس هاي Ip هستند كه بخشي از اين آدرس با آدرس سرويس دهنده مشترك است بنابراين او سعي مي كند يك شماره آدرس Ip را طوري شبيه سازي كند به هكر اجازه عبور از مسيرياب و اجازه دستيابي به سيستم را به صورت يك كاربر داخلي ارائه نمايد به عنوان مثال اگر سيستمي داراي آدرس 192.00.15 باشد هكر با دانستن اين كه حداكثر 256 كامپيوتر مي تواند به يك شبكه كلاس Cمتصل شوند ممكن است سعي كند كليه شماره آدرسهايي كه آخرين بايت آنها در اين بازه جاي ميگيرند را حدس بزند.
مي دانيد كه آدرسهايي كه آخرين Ip تعداد كامپيوترهاي متصل به يك شبه را نشان مي دهند در اين حالت مقدار دو بيت با ارزش (192=64+128 ) نشان مي دهند كه كلاس شبكه از نوع Cمي باشد.
پس از آنكه هكر محدوده آدرسهاي موجود در شبكه را حدس زد سعي مي كند شماره سريالهاي بسته هاي ارسالي ميان كامپيوترهاي موجود در شكبه راكشف كند با كشف مبادلات درون شبكه هكر سعي مي كند شماره سريال بعدي را توسط سرويس دهنده توليد مي شود حدس بزند و سپس يك شماره سريال تقلبي درج نموده و خود را ميان سرويس دهنده و كاربر جاي دهد با توجه به اين كه هكر آدرس Ip سرويس دهنده را نيز در اختيار دارد مي تواند بسته هايي با شماره سريال و آدرس Ip صحيح توليد كرده و به مبادلات كاربر نفوذ نمايد.
يك هكر پس از نفوذ به يك سيستم كليه اطلاعات مورد مبادله با سرويس دهنده اعم از فايلهاي كلمه رمز اسامي Login و ديگر داده هاي حياتي را در اختيار دارد بنابراين با كشف شماره سريال مقدمه اي براي يك حمله واقعي به سرويس دهنده فراهم مي شود.
حمله به Tcp
شايد متداولترين تهاجم به سرويس دهنده هاي مرتبط با اينترنت حمله به Tcp باشد.
هدف اصلي از حمله به Tcp اين است كه هكر بتواند كنترل كامپيوتري را كه به شبكه مورد نظر وي متصل شده است در اختيار بگيرد پس آن كامپيوتر را از شكبه جدا سازد و سرويس دهنده را طوري فريب دهد كه هكر را به عنوان يك كاربر معتبر بشناسد.
پس از انجام تهاجم هكر آدرس Ip كامپيوتر مقصد را با آدرس Ip خود تعويض كرده و شماره سريالهاي مقصد را جعل مي نمايد حمله به Tcp نسبت به حدس زدن Ip كار را بسيار راحت مي كند با يك بار حمله به Tcp يكبار براي هميشه از شر پاسخگويي به كلمه رمز در سيستم هاي داراي كلمه رمز راحت مي شويد از طرفي حمله به Tcp خطرناكتر نيز مي باشد زيرا در اين شيوه منابع بسياري به صورت نا محدود در اختيار هكر قرار مي گيرد.
حمله نشست TEL NET
هكرها مي توانند تقريباً در هر نوع ارتباطات شكبه اي اختلال گري نمايند به عنوان مثال يك هكر با الگوي زير مي تواند در يك ارتباط TEL NET اخلال كند.
1ـ قبل از شروع حمله در TEL NET هكر مدتي مبادلات را نظاره مي كند.
2ـ در زماني مناسب هكر حجم زيادي از اطلاعات تهي رابه سرويس دهنده مي فرستد در نشست TEL NET هكر بايتهاي ATR – SVR- OFFSET را كه حاوي رشته اي از بايتهاي IAC Nop است ارسال مي نمايد در پروتكل TEL NET فرمان Nop بصورت “ No Operation “ (عمليات تهي) تفسير مي شود به عبارت ديگر هيچكاري انجام نشده و از اين بايتها صرفنظر مي شود تنها مزيت اين كار ايجاد وقفه اي كوتاه براي پذيرش وپردازش دستور مي باشد پس از اين مرحله سرويس دهنده زير را دريافت مي كند.
دستور
3ـ پذيرش فرمان هكر يك ارتباط ناهماهنگ بوجود مي آورد.
4ـ براي ايجاد يك وضعيت ناهماهنگ براي كاربر هكر همان مراحل انجام شده براي سرويس دهنده را براي كاربر تكرار مي نمايد.
دفاع در برابر حملات هكرها
دفاع در مقابل حدس زدن حمله هاي ناشي از حدس زدن شماره سريال
ساده و كارآمدترين شيوه براي محافظت در برابر حمله هاي ناشي از حدس زدن شماره سريال اين است كه مطمئن شويد مسيرياب Fire Wall و هر يك از سرويس دهنده هاي موجود در سيستم شما از سيستم حفاظتي بررسي رد پا برخوردار هستند با اين نوع حفاظت هرگاه يك هكر بخواهد در ميان مسيرياب يا Fire Wall قرار گيرد و عمليات نفوذي خود را انجام دهد مي توانيد حركات وي رامشاهده نماييد.
كشف حمله نشست TEL NET و نتايج جانبي
شما مي توانيد با استفاده از نقص ACKها ناشي از حمله پي به تهاجم ببريد در اين مبحث سه شيوه شناسايي حملات بررسي مي شوند.
1ـ شناسايي وضعيت نا هم زمان : با استفاده از يك برنامه خواندن بسته هاي Tcp
(برنامه اي كه تعداد بسته هاي Tcp را خوانده و مي تواند محتويات هر بسته را نشان دهد، ) مي توانيد در هر دو طرف ارتباط شماره سريالها را مشاهده كنيد با توجه به شماره سريالها مي توانيد تشخيص دهيد آيا ارتباط غير هم زمان شده است يا خير با اين حال تنها در حاليكه مطمئن هستيد شماره سريالها توسط هكر دستكاري نمي شوند اين شيوه موثر است.
2ـ شناسايي توفان ACK : برخي اطلاعات آماري درباره ترافيك Tcp در يك Ethernet محلي پيش از حمله و بعد از حمله نشان دهنده وقوع حمله هستند به عبارت بهتر در هنگام حمله تعداد بسته هاي ACK در بازه اي بين 1 تا 300 بسته رشد مي كنند .
3- شماره درصد بسته ها : با شمارش درصد بسته ها مي توانيد وضعيت ارتباط را نشان دهيد از مقايسه درصد بسته هاي شمارش شده در وضعيت عادي در هنگام حمله وجود حمله قابل شناسايي خواهد بود.
نكاتي در مورد جعل كردن
در سرويس هاي Tcp , Udp فرض مي شود كه آدرس Ip ميزبان آدرس معتبر است و بنابراين به آن اعتماد مي كنند با اين حال ميزبان يك هكر مي تواند با مسيريابي Ip خود را به عنوان يك ميزبان يا كاربر معتبر جا بزند در مثال زير مشاهده خواهيد كرد كه كامپيوتر يك هكر چگونه كاربر معتبر را جعل كند.
1. هكر آدرس Ip يك ميزبان را طوري جعل مي كند كه مطابق با آدرس يك كاربر شود
2. هكر سپس يك آدرس براي سرويس دهنده اي مي سازد كه مسيري مستقيم ميان سرويس دهنده و آدرس هكر برقرار مي كند.
3. هكر با استفاده از آدرس منبع تقاضاهاي كاربر را به سرويس دهنده مي فرستد.
4. سرويس دهنده در صورتي كه درخواست مستقيماً از كاربر برسد مي پذيرد و پاسخي براي آن مي فرستد.
