إعادة توجيه حركة مرور SSH و HTTP. إعادة توجيه حركة المرور BeEF Hooking باستخدام مرشحات Ettercap

في هذه المقالة ، سنناقش هجمات الرجل في الوسط معك ، أو بالأحرى الطريقة
إعادة توجيه حركة مرور SSH و HTTP باستخدام هجوم Man in the Middle. دعونا لا نسحب القطة من ذيلها ، ولكن لنبدأ العمل.

رجل في الوسط (باختصار ، MitM ، من اللغة الروسية ببساطة - "هجوم الوسيط" أو "الرجل
في المنتصف ") هو نوع من الهجوم يعتمد على إعادة توجيه حركة المرور بين جهازين لاعتراض المعلومات - مزيد من الدراسة أو تدميرها أو تعديلها. لذا ، فإن أول شيء نحتاجه هو حزمة dsniff (سترى رابطًا للحزمة في نهاية المقالة). لماذا لأن هذه الحزمة تحتوي على جميع الأدوات المساعدة الضرورية ، بما في ذلك sshmitm (إعادة توجيه حركة مرور SSH) و httpmitm (إعادة توجيه حركة مرور HTTP) ، والتي يمكنها تجاوز مخطط الأمان التالي: على حد علمك ، فإن بروتوكولات تشفير البيانات هي تمامًا - "آمن" (تشفير للمساعدة :)) ولا تسمح بالهجمات "فوق" طبقة الشبكة. مفتاح التشفير غير معروف للمتسلل - من المستحيل فك تشفير البيانات وإدخال الأمر أيضًا. يبدو أن كل شيء كن على ما يرام ، ولكن إليك الطريقة
نظرًا لأن برامج هجوم MitM (sshmitm و httpmitm) من حزمة dsniff قادرة على تجاوز هذا النظامالأمان (يمكنك الالتفاف حول كل شيء تقريبًا). يتم كل ذلك وفقًا للمبدأ التالي:
يتلقى المضيف الوسيط الطلب من العميل ، "يخبر" أنه هو الخادم ، ثم يتصل بالخادم الحقيقي.
الشيء الثاني الذي نحتاجه هو أذرع مستقيمة ، والشيء الرابع - والأهم - الرغبة ، وبالطبع الضحية ، أي الكمبيوتر الذي سنهاجمه.

إعادة توجيه حركة مرور SSH

بعد إعداد مجموعة الأدوات ، فهمت ماذا كان ولماذا :). احصل على sshmitm - سنقوم الآن بإعادة توجيه حركة مرور SSH (كل ما لم أفهمه مع الجزء النظري - اقرأ أعلاه)
باستخدامه ، واستغلال أوجه القصور في PKI (البنية التحتية للمفتاح العام - مخطط إدارة رئيسي يعتمد على
طرق التشفير غير المتماثل). دعونا نلقي نظرة على بناء الجملة
شميتم:

sshmitm [-d] [-I] [-p port] مضيف

د
السماح بإخراج التصحيح (أي الوضع الأكثر تقدمًا)

أنا
اختطاف الجلسة

منفذ P.
ميناء الاستماع

يستضيف
عنوان المضيف البعيد الذي سيتم اعتراض جلساته

ميناء
المنفذ على المضيف البعيد

يبدو أن كل شيء بسيط ولذيذ - لا يوجد شيء معقد :). لنبدأ الهجوم!

# sshmitm server.target.gov // حدد خادم SSH الخاص بك
sshmitm: الترحيل إلى الخادم server.target.gov

نظرًا لعدم وجود مفتاح SSH حقيقي ، مترجم الأوامر للهجوم
سيعرض طلبًا للتحقق من مفتاح المضيف ، سيبدو كل شيء مثل هذا:

العميل $ server.target.gov
@تحذير: هويه المضيف البعيد قد تغيرت! @
من المحتمل أن يقوم شخص ما بشيء سيء!
قد يتنصت شخص ما عليك الآن (هجوم رجل في الوسط)!
من الممكن أيضًا أن يكون مفتاح مضيف RSA قد تم تغييره للتو.
من فضلك تواصل مع مسؤول نظامك.

وبعد ذلك سيقرر المستخدم ما إذا كان يريد الاتصال أم لا. إذا كان الأمر كذلك ، فسوف نمتلك السيطرة الكاملة على جلسة SSH.
لكن! إذا لم يتصل المستخدم بهذه العربة مطلقًا ، فقد تظهر الرسالة التالية:

لا يمكن التحقق من أصالة المضيف "server.target.gov"
بصمة مفتاح RSA هي
بلا بلا بلا بلا بلا........
هل أنت متأكد أنك تريد متابعة الاتصال (نعم / لا)؟

هنا للمستخدم أيضًا خياران - للاتصال أم لا. إذا كانت الإجابة بنعم ، فعترضنا الجلسة ، وإذا لم يكن الأمر كذلك ، فالأسف ... :(.
بشكل عام ، كان الهجوم ناجحًا إذا كان المستخدم متصلًا ، و sshmitm ، بدوره ، يسجل جميع التمريرات وتسجيلات الدخول ، وهو سهل القراءة 🙂
بطبيعة الحال ، ليس هذا هو المعترض الوحيد لجلسة SSH ، ولكن بمجرد أن تتعرف على هذا ، ستتمكن بسهولة من إتقان الآخر 🙂

إعادة توجيه حركة مرور HTTP

الآن سنقوم بإعادة توجيه حركة مرور HTTP. مرة أخرى ، نحتاج إلى أداة محددة بالفعل: httpmitm ، الذي يستمع إلى منافذ 80- (HTTP -) و 443- (HTTPS -) ، ويعترض طلبات WEB ، ثم يتصل بالخادم ويعيد توجيه الطلبات إلى جهاز الكمبيوتر العميل. يقوم البرنامج أيضًا بإنشاء مفاتيح SSL وشهادات SSL باستخدام OpenSSL. ثم بعد المحاولة
يتصل بالموقع (target.gov) ، سيتحقق المتصفح من شهادة SSL. نظرًا لأن الشهادات لن تتطابق ، فسيقوم مستعرض المستخدم بالتحذير من ذلك
شهادة SSL خاطئة. من وجهة نظر المهاجم ، سيبدو الأمر كالتالي:

#webmitm -d
webmitm: الترحيل بشفافية
webmitm: اتصال جديد من
الحصول على [رابط] /uzerz.php؟user=hellknights&password=neskaju1qwerty HTTP / [الإصدار]
الاتصال: [النوع]
المضيف: www.target.gov
وكيل المستخدم: [معلومات حول النظام والمتصفح]
[إلخ ، وما إلى ذلك ، وما إلى ذلك]
ملف تعريف الارتباط: [ملفات تعريف الارتباط]

هذا ما يبدو عليه من الخارج -
يتم اعتراض اتصال SSL ، والاستيلاء على بيانات غير مشفرة.

استنتاج

في هذه المقالة ، ناقشنا معك إعادة توجيه حركة مرور SSH و HTTP باستخدام هجوم Man in the Middle - بوضوح ، بالتفصيل ، باختصار. برامج إعادة توجيه HTTP و SSH الأخرى
بمساعدة MitM ، سوف تتقن حركة المرور بسرعة إذا كنت قد أتقنت هذه أيضًا :)). إذا كان هناك شيء غير واضح - إذن.

يهدف النوع التالي من الهجوم إلى توجيه حركة مرور الكمبيوتر المهاجم إلى عنوان خاطئ ، والذي يمكن أن يكون عنوان مهاجم أو طرف ثالث. تدفق البيانات الذي يرسله المستخدم ، على سبيل المثال ، إلى خادم الشركة أو خادم البنك ، يمكن للمهاجم التخلص منه بطريقتين. الأول هو أن المهاجم يتنكر على أنه خادم المرسل إليه ، ويمرر إلى العميل "الصورة" والرسائل التي يتوقعها. على سبيل المثال ، يمكن للمهاجم تقليد إجراء تسجيل دخول منطقي للمستخدم الضحية ، أثناء الحصول على معرف المستخدم وكلمة المرور. يمكن استخدام هذه البيانات لاحقًا للوصول غير المصرح به إلى خادم مؤسسة أو بنك ، وهو الهدف الرئيسي للهجوم. الطريقة الثانية هي تنظيم المرور العابر. يتم تخزين و / أو تحليل كل حزمة تم اعتراضها على العقدة المهاجمة ، ثم إعادة توجيهها إلى الخادم "الحقيقي". وبالتالي ، يتم تمرير كل حركات المرور بين العميل والخادم عبر كمبيوتر المهاجم.

دعونا ننظر في بعض الأساليب المستخدمة الآن (أو في الماضي القريب) عند تنفيذ هجمات من هذا النوع. بالنسبة لمعظمهم ، تم بالفعل تطوير الإجراءات المضادة ، وأوصاف الهجمات الواردة هنا هي في الأساس تعليمية بطبيعتها.

يمكن القيام بأبسط طريقة لإعادة توجيه حركة المرور على الشبكة المحلية عن طريق إرسال ARP-omeema وهمية إلى الشبكة. (دعنا نترك جانباً السؤال عن عدد المرات التي يمكن أن تنشأ فيها مثل هذه الحالة عندما يكون المهاجم مهتمًا باعتراض حركة المرور على شبكته المحلية.) في هذه الحالة ، يكون المخطط واضحًا: بعد تلقي طلب بث ARP بخصوص بعض عناوين IP ، يرسل المهاجم استجابة ARP مخادعة حيث يتم الإبلاغ عن أن عنوان IP هذا يتوافق مع عنوان MAC الخاص به.

من الناحية النظرية ، يمكن أيضًا استخدام بروتوكول ICMP لاعتراض وإعادة توجيه حركة المرور على الشبكة المحلية. وفقًا لهذا البروتوكول ، يتم إرسال رسالة إعادة توجيه مسار ICMP بواسطة جهاز التوجيه الافتراضي إلى مضيف LAN متصل مباشرة عندما يفشل هذا المسار ، أو عندما يكتشف أن مضيفًا يستخدم مسارًا غير منطقي لبعض عناوين الوجهة. على التين. 1 ، والموجه الافتراضي R1 ، بعد تلقي حزمة من المضيف H1 موجهة إلى المضيف H2 ، يحدد أن أفضل مسار لاستضافة H2 هو من خلال جهاز توجيه آخر على هذه الشبكة المحلية ، وهو جهاز التوجيه R2. يتجاهل جهاز التوجيه R1 الحزمة المستلمة ويضع رأسها في رسالة إعادة توجيه UMP التي يرسلها إلى المضيف H1. تحتوي الرسالة على عنوان IP لجهاز التوجيه البديل R2 الذي يجب على المضيف استخدامه الآن عند إرسال البيانات إلى المضيف H2. يقوم المضيف H1 بإجراء تغييرات على جدول التوجيه الخاص به ويرسل حزمًا لاستضافة H2 عبر المسار المحدث الجديد منذ ذلك الحين. لاعتراض حركة المرور المرسلة من قبل المضيف H1 إلى المضيف H2 ، يجب على المهاجم إنشاء حزمة وإرسالها إلى المضيف HI تتنكر كرسالة UMP حول إعادة توجيه المسار (الشكل 1 ب). تطلب هذه الرسالة تعديل جدول التوجيه الخاص بالمضيف H1 بحيث يكون IPha هو عنوان جهاز التوجيه التالي في جميع الحزم التي تحتوي على عنوان IP H2. وهو عنوان المهاجم المضيف HA. لكي "يصدق" المضيف هذه الرسالة ، يجب وضع عنوان R1 ، وهو جهاز التوجيه الافتراضي ، في حقل عنوان IP المصدر. عندما تبدأ الحزم المرسلة من قبل المضيف المخادع في الوصول إلى عقدة المهاجم ، فيمكنه إما التقاط هذه الحزم وعدم إعادة توجيهها ، وتقليد التطبيق الذي تهدف هذه الحزم إلى الحفاظ على حوار معه ، أو تنظيم نقل بيانات العبور إلى المحدد IPn2 الوجهة - قراءة حركة المرور بالكامل بين العقد H1 و H2 ، يتلقى المهاجم جميع المعلومات الضرورية للوصول غير المصرح به إلى خادم H2.

هناك طريقة أخرى لاعتراض حركة المرور وهي استخدام DNS-omeemoe المزيف (الشكل 2). تتمثل مهمة المهاجم في الوصول إلى خادم الشركة. للقيام بذلك ، يحتاج إلى امتلاك اسم وكلمة مرور مستخدم مرخص له لشبكة الشركة. قرر الحصول على هذه المعلومات عن طريق تفريع تدفق البيانات الذي يرسله عميل الشركة إلى خادم الشركة. يعرف المهاجم أن العميل يتصل بالخادم عن طريق تحديد اسم DNS الرمزي www.example.com. وهي تعلم أيضًا أنه قبل إرسال الحزمة إلى الخادم ، البرمجياتيرسل جهاز العميل استعلامًا إلى خادم DNS لمعرفة عنوان IP الذي يتوافق مع هذا الاسم.

هدف المهاجم هو استباق استجابة خادم DNS وفرض رده على العميل ، والذي يكون فيه بدلاً من عنوان IP خادم الشركات(في المثال 193.25.34.125) يحدد المهاجم عنوان IP للمضيف المهاجم (203.13.1.123). هناك عدة عقبات رئيسية أمام تنفيذ هذه الخطة.

أرز. 1. توجيه إعادة التوجيه باستخدام بروتوكول UMP: أ - يتم إرسال رسالة حول مسار أكثر عقلانية إلى المضيف H2 بواسطة جهاز التوجيه الافتراضي R1 ؛
ب - يتم إرسال الرسالة الخاصة بإعادة توجيه المسار لنفسه بواسطة المضيف المهاجم HA

أرز. 2. مخطط إعادة توجيه حركة المرور باستخدام استجابات DNS وهمية

بادئ ذي بدء ، من الضروري تأخير استجابة خادم DNS ، لذلك يمكن أن يتعرض الخادم ، على سبيل المثال ، لهجوم DoS. هناك مشكلة أخرى وهي تحديد رقم منفذ عميل DNS الذي يجب تحديده في رأس الحزمة حتى تصل البيانات إلى التطبيق. وإذا كان جزء الخادم من DNS يحتوي على ما يسمى بالرقم "المعروف" رقم 53 المخصص له بشكل دائم ، فإن جزء العميل من بروتوكول DNS يتلقى رقم منفذ ديناميكيًا عند بدء التشغيل ، و نظام التشغيليختارها من مجموعة واسعة إلى حد ما.

لاحظ أن بروتوكول DNS يمكن أن يستخدم كلاً من بروتوكول UDP وبروتوكول TCP لإرسال رسائله ، بناءً على كيفية تكوينه بواسطة المسؤول. نظرًا لأن بروتوكول TCP ينشئ اتصالًا منطقيًا مع تتبع أعداد البايت المرسلة والمستلمة ، يكون "اقتحام" حوار خادم العميل في هذه الحالة أكثر صعوبة من استخدام بروتوكول مخطط بيانات UDP.

ومع ذلك ، في الحالة الأخيرة ، تظل مشكلة تحديد رقم منفذ UDP لعميل DNS قائمة. المهاجم يحل هذه المشكلة عن طريق التعداد المباشر لجميع الأرقام الممكنة. أيضًا ، من خلال تعداد القيم المحتملة ، يتغلب المهاجم على مشكلة تحديد معرفات رسالة DNS. يتم نقل هذه المعرفات في رسائل DNS ويستخدمها عميل DNS لمطابقة الاستجابات الواردة للاستعلامات المرسلة. لذلك ، يقوم المهاجم بقصف جهاز العميل باستجابات DNS خاطئة ، ويقوم بفرز جميع القيم الممكنة لتحديد الحقول بحيث يقبل العميل ، في النهاية ، أحدها كاستجابة حقيقية لنظام أسماء النطاقات. بمجرد حدوث ذلك ، يمكن اعتبار أن هدف المهاجم قد تحقق - يتم إرسال الحزم من العميل إلى عنوان المضيف المهاجم ، ويحصل المهاجم تحت تصرفه على اسم وكلمة مرور مستخدم قانوني ، ومن ثم الوصول إلى الشركة الخادم.

وصف أي أسئلة حول أمن المعلوماتغير ممكن بدون وصف المتسللين وطرق عملهم. يستخدم مصطلح "المتسلل" للإشارة إلى الشخص الذي يقتحم أجهزة الكمبيوتر.

المتسللون هم أشخاص يتمتعون بالمعرفة والخبرة الفنية ولديهم فهم واضح لكيفية عمل أجهزة الكمبيوتر والشبكات ، ويفهمون كيفية استخدام البروتوكولات لأداء عمليات النظام. يمكن أن يكون الدافع في عمل المتسللين مختلفًا ، من الرغبة في جذب الانتباه إلى أنفسهم وإلى الجشع الأكثر شيوعًا.

الأساليب الحديثة لهجمات القراصنة

يتم تنفيذ العديد من الهجمات الحديثة بواسطة ما يسمى بطريقة "script kiddies". يقوم المهاجمون ببساطة بالبحث في الإنترنت عن البرامج النصية للاستغلال وتشغيلها ضد كل نظام يمكنهم العثور عليه. البيانات طرق بسيطةالهجمات لا تتطلب معرفة أو تعليمات خاصة.

ومع ذلك ، هناك طرق أخرى تستند إلى فهم أعمق لتشغيل أجهزة الكمبيوتر والشبكات والأنظمة المعرضة للهجوم. في هذه المقالة سوف نصف هذه الأساليب.

الاستماع إلى الشبكات

الاستماع ، أو الاستنشاق (الاستنشاق) - طريقة يستخدمها المتسللون / المتسللون لجمع كلمات المرور ومعلومات النظام الأخرى. للتشغيل ، يتم تعيين واجهة شبكة الكمبيوتر على الاستماع إلى حركة المرور المختلطة (الوضع المختلط) ، أي محول الشبكةسيعترض جميع الحزم التي تتحرك عبر الشبكة ، وليس فقط الحزم الموجهة إلى هذا المحول. يعمل هذا النوع من المتشمم بشكل جيد في شبكات النطاق الترددي المشتركة مع محاور الشبكة.

الآن العثور على محور هو جدا مشكلة كبيرة- يتم استخدام مفاتيح الشبكة بشكل أساسي ، لذلك بدأت كفاءة الاستنشاق في الانخفاض. في بيئة التبديل ، لا يتم استخدام وضع البث ؛ بدلاً من ذلك ، يتم إرسال الحزم مباشرة إلى نظام الاستقبال. ومع ذلك ، فإن المفاتيح ليست أجهزة أمان. هذه عادية أجهزة الشبكةلذلك ، فإن الأمن الذي يقدمونه هو منتج ثانوي لغرض الشبكات الخاصة بهم أكثر من كونه عنصرًا من عناصر التصميم. يوجد أيضًا جهاز شم مصمم خصيصًا لبيئة التبديل

للاستماع إلى حركة المرور في بيئة التبديل ، يجب استيفاء أحد الشروط التالية:
"إقناع" المفتاح بأنه يجب توجيه حركة المرور محل الاهتمام إلى المتشمم ؛
إجبار المفتاح على إرسال كل حركة المرور إلى جميع المنافذ.

في حالة استيفاء أحد الشروط ، سيتمكن المتشمم من قراءة حركة المرور محل الاهتمام ، وبالتالي تزويد المتسلل بالمعلومات المطلوبة.

إعادة توجيه حركة المرور

يقوم المحول بتوجيه حركة المرور إلى المنافذ بناءً على عنوان التحكم في الوصول إلى الوسائط (MAC) للإطار على شبكة Ethernet. تحتوي كل واجهة شبكة على عنوان MAC فريد ، و "يعرف" المحول العناوين الموجودة على أي منفذ. لذلك ، عند إرسال إطار بعنوان MAC وجهة محددة ، يقوم المحول بإعادة توجيه الإطار إلى المنفذ الذي تم تعيين عنوان MAC المحدد له.

فيما يلي طرق يمكنك من خلالها إجبار التبديل على توجيه حركة مرور الشبكة إلى المتشمم:
انتحال ARP
ازدواجية عناوين MAC ؛
تقليد اسم المجال.

انتحال ARP (انتحال ARP). ARP هو بروتوكول تحليل العنوان المستخدم للحصول على عنوان MAC المرتبط بعنوان IP محدد. وهي تعمل على النحو التالي: عند إرسال حركة المرور ، يرسل نظام الإرسال طلب ARP إلى عنوان IP الخاص بالمستلم. يستجيب نظام الاستقبال لهذا الطلب عن طريق إرسال عنوان MAC الخاص به ، والذي سيستخدمه نظام الإرسال لإعادة توجيه حركة المرور.

إذا التقط المتشمم حركة المرور التي تهمه ، فسوف يستجيب لطلب ARP بدلاً من نظام الاستلام الحقيقي ويقدم عنوان MAC الخاص به. نتيجة لذلك ، سيرسل نظام الإرسال حركة المرور إلى المتشمم.

لكي تكون هذه العملية فعالة ، يجب إعادة توجيه كل حركة المرور إلى المتشمم بدلاً من الوجهة الفعلية. إذا لم يتم ذلك ، فسيكون هناك احتمال لرفض الوصول إلى الشبكة. انا اضفت..

لا يعمل انتحال ARP إلا على الشبكات الفرعية (مقطع شبكة واحد) لأن رسائل ARP لا يتم توجيهها. يجب أن يكون المتشمم موجودًا في نفس مقطع LAN مثل أنظمة المرسل والمستقبل.

عناوين MAC مكررة. يعد تكرار عنوان MAC الخاص بالنظام الوجهة طريقة أخرى لـ "إقناع" المحول بإرسال حركة المرور إلى المتشمم. للقيام بذلك ، يحتاج المتسلل إلى تغيير عنوان MAC على المتشمم وأن يكون موجودًا في نفس مقطع الشبكة المحلية.
سأضيف مرة أخرى.

لإجراء انتحال ARP ، يجب أن يكون المتشمم على نفس الشبكة الفرعية المحلية مثل كلا النظامين (المرسل والمستقبل) حتى يتمكن من تكرار عناوين MAC.

تقليد اسم المجال. هناك طريقة ثالثة لإجبار المفتاح على إرسال كل حركة المرور إلى المتشمم: تحتاج إلى "خداع" نظام الإرسال لاستخدام عنوان MAC الحقيقي للمتتبع لنقل البيانات. يتم ذلك عن طريق تقليد اسم المجال.

في هذا الهجوم ، يعترض المتشمم طلبات DNS من نظام الإرسال ويستجيب لها. بدلاً من عنوان IP للأنظمة التي تم إرسال الطلب إليها ، يتلقى نظام الإرسال عنوان IP الخاص بالشم ويرسل كل حركة المرور إليه. بعد ذلك ، يجب على المتشمم إعادة توجيه حركة المرور هذه إلى المستلم الحقيقي. نرى في هذه الحالة أن هجوم انتحال اسم المجال يتحول إلى هجوم خطف.

لضمان نجاح هذا الهجوم ، يحتاج المتشمم إلى النظر في جميع استعلامات DNS والرد عليها قبل أن يفعل المستلم الحقيقي ذلك. لذلك ، يجب أن يكون المتشمم موجودًا على مسار حركة المرور من نظام المرسل إلى خادم DNS ، أو حتى أفضل ، على نفس الشبكة الفرعية المحلية مثل المرسل.

يمكن للمتشمم عرض الطلبات المرسلة عبر الإنترنت ، ولكن كلما كان ذلك بعيدًا عن نظام الإرسال ، زاد صعوبة التأكد من أنه أول من يستجيب لها.

إرسال كل حركة المرور إلى جميع المنافذ

بدلاً من كل ما سبق ، يمكن للمتسلل جعل المفتاح يعمل كمحور (مركز). يستخدم كل محول قدرًا معينًا من الذاكرة لتخزين جدول تعيين بين عنوان MAC والمنفذ الفعلي للمحول. هذه الذاكرة محدودة. إذا حدث تجاوز ، فقد تبلغ بعض المفاتيح عن طريق الخطأ عن حالة "فتح". هذا يعني أن المحول سيتوقف عن إرسال حركة المرور إلى عناوين MAC معينة ويبدأ في إعادة توجيه كل حركة المرور إلى جميع المنافذ. نتيجة لذلك ، سيعمل المحول مثل المحور (المحور).

أداء الهجمات

الآن دعونا نلقي نظرة على ما هو مطلوب لتنفيذ الهجمات المذكورة أعلاه. في حالة انتحال ARP أو تكرار عنوان MAC أو فيضان MAC ، يجب عليك الاتصال مباشرة بالمحول المهاجم. مثل هذا الاتصال مطلوب أيضًا لتقليد اسم المجال.

الخلاصة - يجب على المخترق تثبيت النظام على المحول المحلي. للقيام بذلك ، يقوم بتسجيل الدخول إلى النظام من خلال ثغرة أمنية معروفة ، ويقوم بتثبيت البرنامج اللازم للاستنشاق. في نسخة أخرى ، المخترق موجود بالفعل داخل المنظمة (هو موظفها أو المقاول). في هذه الحالة ، يستخدم وصوله الشرعي إلى الشبكة المحلية ، مما يسمح له بالاتصال بالمحول.

عنوان IP محاكاة ساخرة

كما ذكرنا سابقًا ، لم يتم التحقق من صحة عناوين IP في الحزم المرسلة عبر الشبكة. لذلك ، يمكن للمتسلل تغيير عنوان المرسل بحيث يبدو أن الحزمة تأتي من أي عنوان. تكمن الصعوبة في أن الحزم التي تم إرجاعها (حزم SYN ACK على اتصال TCP) لن تتمكن من العودة إلى نظام الإرسال. لذلك ، فإن محاولة انتحال عنوان IP (انتحال IP) لإنشاء اتصال TCP أمر صعب للغاية. بالإضافة إلى ذلك ، يحتوي رأس TCP على رقم تسلسلي يستخدم للإقرار باستلام الحزمة. يتم اختيار رقم التسلسل الأولي (ISN) لكل اتصال جديد بشكل شبه عشوائي.

تفاصيل هجوم IP Spoof

يوضح الشكل تنفيذ هجوم مخادع لعنوان IP. 1 - تحديد الهدف. 2. - تحديد قيمة الزيادة في رقم التسلسل الأولي (ISN). يمكن القيام بذلك عن طريق إجراء سلسلة من الاتصالات المشروعة بالنظام المستهدف وتمييز ISNs التي تم إرجاعها (عند القيام بذلك ، يخاطر المخترق "بتعريض" عنوان IP الحقيقي). أنا آسف ، لا يعمل مع الرسم ، على الرغم من أنني أدور بهذه الطريقة وذاك! اكل اقوى مني ...

في هذه المقالة ، سنلقي نظرة على إنشاء وكلاء لحركة مرور تطبيقات iOS التي تستخدم مآخذ الويب الأصلية للتفاعل مع الخادم. ستكون المقالة مفيدة لأولئك المختبرين الذين يواجهون في عملهم اعتراض المعلومات السرية التي ترسلها تطبيقات iOS بطرق غير قياسية. هذه الأساليب ذات صلة لأن الاستخدام الإعدادات الافتراضيةقد لا يكون الخادم الوكيل الموجود على الجهاز كافيًا لاعتراض حركة مرور بعض التطبيقات.

مؤخرًا ، خلال اختبار pentest آخر ، صادفت تطبيقًا يرسل معلومات إلى المنفذ 20xx لخادم الويب. لا يمكن اعتراض حركة مرور هذا التطبيق عن طريق تغيير الإعدادات الافتراضية (الإعدادات -> Wi-Fi -> وكيل HTTP -> يدوي) وإعادة توجيه حركة المرور إلى وكيل. أحد أسباب عدم نجاح هذه الطريقة هو أن مآخذ الويب الأصلية (مآخذ الويب الأصلية) تُستخدم للتواصل مع الخادم بدلاً من فئة UIWebView. لمزيد من المعلومات حول كيفية تكوين مآخذ توصيل الويب ، راجع هذه المقالة.

ومع ذلك ، هناك حل بديل لحل هذه المشكلة. يمكننا تنفيذ خداع DNS وإعادة توجيه كل حركة مرور HTTP من جميع المنافذ من خلال وكيل مثل Burp. هذه المقالة مقسمة إلى أجزاء:

1. استنشاق حركة المرور باستخدام Wireshark للعثور على عنوان IP ومنفذ الخادم.
2. انتحال DNS وإعادة توجيه كل حركة المرور إلى الجهاز حيث تم تثبيت الوكيل.
3. اعتراض حركة المرور باستخدام خادم وكيل بعد إجراء انتحال DNS.

يوجد أدناه رسم تخطيطي خطوة بخطوة لتنفيذ اعتراض حركة المرور لتطبيقات iOS باستخدام Native Web Socket.

1. قم بإنشاء نقطة وصول لاسلكية وقم بتوصيل الجهاز بها. [ملاحظة: يجب أن يكون الجهاز متصلاً بشبكة Ethernet أو متصلًا بالإنترنت ، حيث سيتم استخدام واجهة Wi-Fi لنقطة الاتصال. تتناول هذه المقالة كيفية إعداد نقطة اتصال على جهاز يعمل بنظام Windows]

2. أطلقنا أداة شم الشبكات (على سبيل المثال ، Wireshark) ونبحث عن حركة المرور التي تمر عبر منافذ غير قياسية.

أ. نقوم بتصفية حركة المرور ، مع ترك المحتوى الذي ينتقل إلى عنوان IP الذي نحتاجه (ip.dst == ip.ip.ip.ip)

ب. ابحث عن رقم المنفذ الذي يتم إرسال حركة المرور إليه.

الشكل 1: البحث عن المنفذ غير القياسي الذي يرسل إليه التطبيق حركة المرور

3. قم بتشغيل وحدة تحكم Metasploit DNS الانتحال وأدخل الأوامر التالية:

ج. اضبط SRVHOST = (عنوان IP لنقطة الوصول اللاسلكية)

د. اضبط SRVPORT = 53 ، اضبط TARGETACTION = BYPASS ، اضبط TARGETDOMAIN = www.apple.com (ملاحظة: إعداد TARGETDOMAIN = www.apple.com سيعترض جميع حركات المرور باستثناء من apple.com).

ه. تعيين targethost = (نقطة اتصال لاسلكية IP)

الشكل 2: إعداد خادم DNS باستخدام وحدة fakedns (بتنسيقميتاسبلويت)

4. قم بتكوين Burp للاستماع إلى حركة مرور الجهاز الواردة على منافذ محددة وإعادة توجيهها إلى المنفذ الموجود سابقًا.

أ. انتقل إلى الوكيل-> خيارات-> إضافة ؛ قم بتعيين "منفذ الربط" إلى المنفذ الذي يجب أن يقوم التطبيق بإعادة توجيه حركة المرور إليه (ملاحظة: هذا أحد منافذ tcp غير القياسية التي تم العثور عليها باستخدام Wireshark).

ب. نستمع إلى جميع الواجهات.

ج. في علامة التبويب معالجة الطلب ، قم بتعيين مجال الخادم (حقل إعادة التوجيه إلى المضيف).

د. في نفس علامة التبويب ، قم بتعيين رقم المنفذ المقابل (الحقل إعادة توجيه إلى المنفذ).

ه. إذا تم إرسال حركة المرور عبر https ، فسنقوم بتعيين الاستخدام الإجباري لـ SSL.

F. انقر فوق "موافق" وكرر جميع العمليات المذكورة أعلاه لجميع المنافذ التي يرسل التطبيق حركة المرور إليها. بمعنى آخر ، يحتاج كل منفذ إلى مستمع وكيل مُكوَّن بشكل منفصل.

الشكل 3: تكوين الاستماع وإعادة توجيه حركة المرور

5. تكوين إعدادات الوكيل على الجهاز:

أ. نذهب إلى قسم Wi-Fi-> DHCP وقمنا بتعيين DNS = إلى عنوان IP الخاص بنقطة الوصول.

ب. في إعدادات وكيل HTTP ، قمنا بتعيين عنوان IP لنقطة الوصول والمنفذ المقابل الذي تم تكوين burp عليه (تُستخدم هذه الإعدادات لحركة مرور HTTP المعيارية للوكيل).

الشكل 4: تكوين IP وDNS الشحنعلى الجهاز

6. اكتب "استغلال" في وحدة التحكم Metasploit وسترى كل حركة المرور التي تم اعتراضها من المنافذ غير القياسية.

يمكن استخدام الطريقة الموصوفة للتحايل على مشاكل اعتراض حركة المرور لتطبيقات iOS التي ترسلها بطرق غير قياسية.

اعتراض البيانات عبر الشبكةيعتبر استلام أي معلومات من جهاز كمبيوتر بعيد. قد تتكون من المعلومات الشخصية للمستخدم ، ورسائله ، وسجلات زيارة المواقع الإلكترونية. يمكن أن يتم التقاط البيانات عن طريق برامج التجسس أو باستخدام متشمم الشبكة.

برنامج التجسس هو برنامج خاص قادر على تسجيل جميع المعلومات المرسلة عبر الشبكة من محطة عمل أو جهاز معين.

المتشمم هو برنامج أو جهاز كمبيوتر يعترض ويحلل حركة المرور التي تمر عبر الشبكة. يسمح لك برنامج الشم بالاتصال بجلسة ويب وإجراء عمليات مختلفة نيابة عن مالك الكمبيوتر.

إذا لم يتم نقل المعلومات في الوقت الحقيقي ، برامج التجسسإنشاء تقارير ملائمة لعرض المعلومات وتحليلها.

قد يتم تنظيم التنصت على الشبكة بشكل قانوني أو بشكل غير قانوني. الوثيقة الرئيسية التي تحدد شرعية الحصول على المعلومات هي اتفاقية الجرائم الإلكترونية. تأسست في المجر عام 2001. قد تختلف المتطلبات القانونية للدول المختلفة إلى حد ما ، لكن المعنى الرئيسي هو نفسه بالنسبة لجميع البلدان.

تصنيف وطرق اعتراض البيانات عبر الشبكة

وفقًا لما سبق ، يمكن تقسيم اعتراض المعلومات عبر الشبكة إلى نوعين: مصرح به وغير مصرح به.

يتم إجراء التقاط البيانات المصرح به لأغراض مختلفة ، بدءًا من حماية معلومات الشركة إلى ضمان أمن الدولة. يتم تحديد أسباب تنفيذ مثل هذه العملية من خلال التشريعات والخدمات الخاصة وموظفي إنفاذ القانون والمتخصصين من المنظمات الإدارية وخدمات أمن الشركات.

هناك معايير دولية لأداء اعتراض البيانات. تمكن المعهد الأوروبي لمعايير الاتصالات من إدخال عدد من العمليات الفنية إلى معيار واحد (ETSI ES 201158 "أمن الاتصالات ؛ الاعتراض القانوني (LI) ؛ متطلبات وظائف الشبكة") ، والتي يعتمد عليها اعتراض المعلومات. نتيجة لذلك ، تم تطوير بنية النظام التي تساعد المتخصصين في الخدمة السرية ومسؤولي الشبكات على تولي البيانات من الشبكة بشكل قانوني. يتم تطبيق الهيكل المطور لتنفيذ اعتراض البيانات عبر الشبكة على أنظمة الاتصال الصوتي السلكية واللاسلكية ، وكذلك على المراسلات عن طريق البريد والإرسال الرسائل الصوتيةعن طريق IP ، تبادل المعلومات عن طريق الرسائل القصيرة.

يتم الاعتراض غير المصرح به للبيانات عبر الشبكة من قبل متسللين يرغبون في الحصول على بيانات سرية وكلمات مرور وأسرار الشركة وعناوين أجهزة الكمبيوتر على الشبكة وما إلى ذلك. لتحقيق أهدافهم ، يستخدم المتسللون عادةً محلل حركة مرور الشبكة - وهو المتشمم. هذا البرنامجأو جهاز من نوع البرمجيات يمنح المحتال القدرة على اعتراض وتحليل المعلومات داخل الشبكة التي يتصل بها المستخدم الضحية ، بما في ذلك حركة مرور SSL المشفرة من خلال استبدال الشهادات. يمكن التقاط بيانات حركة المرور بطرق مختلفة:

• الاستماع على واجهة الشبكة ،
• توصيل المعترض بقطع القناة ،
• إنشاء فرع مرور ونسخه على المتشمم ،
• بشن هجوم.

هناك أيضًا تقنيات أكثر تعقيدًا لاعتراض المعلومات الحساسة التي تسمح بالتطفل على تفاعل الشبكة وتغيير البيانات. أحد هذه الأساليب هو طلبات ARP الزائفة. جوهر هذه الطريقة هو انتحال عناوين IP بين كمبيوتر الضحية وجهاز المهاجم. هناك طريقة أخرى يمكن استخدامها لاعتراض البيانات عبر الشبكة وهي التوجيه الخادع. وهو يتألف من استبدال عنوان IP الخاص بجهاز توجيه الشبكة بعنوانه الخاص. إذا كان مجرم الإنترنت يعرف مدى التنظيم الشبكة المحلية، حيث يوجد الضحية ، يمكنه بسهولة تنظيم استلام المعلومات من جهاز المستخدم إلى عنوان IP الخاص به. يعد التقاط اتصال TCP أيضًا طريقة فعالة لاعتراض البيانات. يقطع المهاجم جلسة اتصال عن طريق إنشاء حزم TCP وإرسالها إلى كمبيوتر الضحية. علاوة على ذلك ، يتم استعادة جلسة الاتصال واعتراضها واستمرارها من قبل المجرم بدلاً من العميل.

موضوع التأثير

يمكن أن تكون أهداف اعتراض البيانات عبر الشبكة وكالات الحكومة، المؤسسات الصناعية ، الهياكل التجارية ، المستخدمين العاديين. داخل منظمة أو شركة تجارية ، يمكن تنفيذ التقاط المعلومات من أجل حماية البنية التحتية للشبكة. يمكن للخدمات الخاصة ووكالات إنفاذ القانون تنفيذ اعتراض جماعي للمعلومات المرسلة من مالكين مختلفين ، اعتمادًا على المهمة.

إذا تحدثنا عن مجرمي الإنترنت ، فيمكن لأي مستخدم أو منظمة أن يصبح هدفًا للتأثير من أجل الحصول على البيانات المنقولة عبر الشبكة. مع الوصول المصرح به ، يكون الجزء الإعلامي من المعلومات المستلمة مهمًا ، بينما يهتم المهاجم أكثر بالبيانات التي يمكن استخدامها للاستيلاء على الأموال أو المعلومات القيمة لبيعها لاحقًا.

في أغلب الأحيان ، يصبح المستخدمون الذين يتصلون بشبكة عامة ، على سبيل المثال ، في مقهى به نقطة اتصال Wi-Fi ، ضحايا لاعتراض المعلومات من قبل مجرمي الإنترنت. يتصل المهاجم بجلسة ويب باستخدام المتشمم ، ويستبدل البيانات ويسرقها معلومات شخصية. مزيد من التفاصيل حول كيفية حدوث ذلك موصوفة في المقالة.

مصدر التهديد

يتم الاعتراض المصرح به للمعلومات في الشركات والمؤسسات من قبل مشغلي البنية التحتية للشبكات العامة. تهدف أنشطتهم إلى حماية البيانات الشخصية والأسرار التجارية وغيرها من المعلومات المهمة. على أسس قانونية ، يمكن مراقبة نقل الرسائل والملفات من قبل الخدمات الخاصة ووكالات إنفاذ القانون والوكالات الحكومية المختلفة لضمان سلامة المواطنين والدولة.

ينخرط المهاجمون في اعتراض غير قانوني للبيانات. لكي لا تصبح ضحية لمجرم إلكتروني ، عليك اتباع بعض التوصيات من الخبراء. على سبيل المثال ، لا يجب إجراء العمليات التي تتطلب تفويضًا ونقل البيانات الحساسة في الأماكن التي يتم فيها الاتصال بالشبكات العامة. يعتبر اختيار الشبكات المشفرة أكثر أمانًا ، بل والأفضل من ذلك ، استخدام أجهزة مودم 3G و LTE الشخصية. عند نقل البيانات الشخصية ، يُنصح بتشفيرها باستخدام بروتوكول HTTPS أو نفق VPN شخصي.

يمكنك حماية جهاز الكمبيوتر الخاص بك من اعتراض حركة مرور الشبكة باستخدام التشفير وبرامج مكافحة الشم ؛ سيؤدي الطلب الهاتفي بدلاً من الوصول إلى الشبكة اللاسلكية إلى التخفيف من المخاطر.