عرض مشاركة واحدة
قديم 03-28-2010, 11:31 AM   #1
سيسكو 1
:
 
الصورة الرمزية سيسكو 1
 
تاريخ التسجيل: Feb 2010
المشاركات: 3,318
شكراً: 118
تم شكره 1,026 مرة في 362 مشاركة
سيسكو 1 is on a distinguished road
Talking أنواع هجوم انتحال الشخصية, وطرق الحماية منها


مقدمة:

لم تزل و مازالت أجهزة الكمبيوتر والشبكات مستمرة في التطور ،و كذلك أيضا المهاجمين (attackers) لهذه الأجهزة والشبكات فقد قاموا بتطوير طرق هجومهم و استخدام أساليب جديدة ومعقدة للوصول إلى أهدافهم الخبيثة.
الموضوع الأصلى من هنا: منتديات سيسكو التعليمية | كن بين الخبراء ! http://www.ciscovb.com/vb/t131.html#post291

في هذا المقال سوف نتطرق إلى الحديث عن أنواع هجوم انتحال الشخصية (Identity attack), وكيفية الحماية من هذه الهجمات.

في هجوم انتحال الشخصية يقوم المهاجم (Attacker) بالتظاهر على انه شخص أو مستخدم ما , و انتحال هويته بتـزيـيـف بطاقة تعريفه. وينقسم هجوم انتحال الشخصية إلى ثلاثة أقسام, وهي الهجوم على برتوكول التوثيق باعتراض البيانات (MAN IN THE MIDDLE - MITM) , و هجوم إعادة الإرسال (Replay attack) , و أخيراً هجوم السطو على TCP/IP أو ما يسمى بـ (TCP/IP Hijacking) . و سوف نتحدث عن كل نوع بالتفصيـل.

أولا: الهجوم على برتوكول التوثيق باعتراض البيانات ( MITM(MAN IN THE MIDDLE:

يعرف أيضاً بـ هجمات " رجل في المنتصف ", وهو هجوم يستهدف عمل بروتوكول التصديق حيث يقوم المهاجم بوضع نفسه بين اثنين من الأجهزة , المتقدم بطلب التوثيق والطرف المسئول عن التحقق من الهوية وبالتالي يكون قادراً على القراءة و اعتراض وتعديل البيانات أو الرسائل المنقولة بينهما.

لنأخذ هذا المثال لتتضح الفكرة أكثر , عند مكالمة صديق على الهاتف ، لإنشاء الاتصال بينكما عليك بطلب رقم هاتف صديـقك أولا ، ثم الانتظار حتى يجيب ,عندما يرفع صديقك الهاتف ، يكون الاتصال بينكما قد بدأ . في حالة هجوم MITM ، يكون أحد المتطفلين أو المهاجمين قد اعترض الاتصال بينك وبين صديقك. فـبدلاً من الحديث لصديقك مباشرة ، يكون الحديث والاتصال بينكما عن طريق طرف ثالث وهو المهاجم. فكلٌ منك ومن صديقك ستبدأن التواصل فيما بينكما بدون معرفة أن هناك شخص غير مصرّح يكون هو نقطة الاتصال بينكما و يقوم بالاستماع إلى كل كلمة من هذه المحادثة. فهي أقرب ما تكون كمكالمة ثلاثية ، ولكن اثنين من ثلاثة متصلين لا يعرفون أن هناك شخص ثالث يقوم بالاستماع والتصنت . الشكل التالي يمثل هجوم MITM

أنواع هجوم انتحال الشخصية, وطرق الحماية منها

شكل 1 : يبين عملية هجوم MITM


ويعتبر هجوم MITM من الهجمات الشائعة وعلى درجه متطورة جداً.
هجمات MITM قد تكون هجمات غير نشطه (passive attack) أي يقوم المهاجم بالتقاط البيانات التي يتم إرسالها ومن ثم إرسالها إلى المتلقي الأصلي من دون أن يتم الكشف عن وجوده (بمعنى أنه يتَنَصت). أو قد تكون نشطه (active) حيث يتم اعتراض وتعديل محتوى الرسالة قبل أن يتم إرسالها إلى المتلقي الأصلي.

آلية عمله:
يستعمل المهاجم قطعه من برنامج يضعه في وسط الطريق بين مرسل المعلومات ومستقبلها بدون علمهم. إذ يظهر المهاجم بالنسبة للمرسل كمستقبل, وبالنسبة للمستخدم كملقم. ففي هذه الحالة, يستطيع المهاجم اعتراض سبيل البيانات السليمة واستبدالها بأخرى معدلّه أو سرقة هذه البيانات بدون أن ينبه المستخدم أو الملقم إلى هذا الأمر.

هجمات MITM و الشبكات:
أصعب جزء من هجوم MITM في الشبكات السلكية هو القيام بالهجمات دون أن يتم اكتشافها. عادة ما يتطلب هذا الوصول الفعلي إلى الشبكة و بالتالي زيادة فرص اكتشاف الهجوم وافتضاح أمر المهاجم.
أما بالنسبة للشبكات اللاسلكية ففي السنوات الأخيرة زادت هجمات MITM عليها, حيث أنه لم يعد من الضروري الاتصال من خلال الأسلاك , فيمكن للمهاجم إضافة جهازه في مسار الاتصال عن بعد كأن يكون خارج البناية مثلاً , فيعترض حزم البيانات, يعدلها و من ثم يرسلها, وهذه تعتبر من أخطر أنواع الهجمات اللاسلكية. ممكن أن تستخدم هذه الهجمات لقطع اتصال شبكات مثل SSL و SSH و VPN .

كيفية الحماية من هجمات MITM :
الحل الشائع لهجمات MITM على الشبكة اللاسلكية هو فرض (WEP) Wired Equivalent Privacy وهو بروتكول تشفير لحماية شبكة WIFI .

ثانياً: هجوم الرد أو إعادة الإرسال ( Replay Attack):


هذا الهجوم أصبح شائعاً جداً , وهو مماثل للهجوم النشط في MITM , ولكن الفرق أن هجوم MITM النشط يقوم بتعديل البيانات قبل أن يرسلها للمستقبل الأصلي ولكن هنا في هجوم الرد يقوم المهاجم فقط بالتقاط (capture) المعلومات ومن ثم إرسالها مرة أخرى في وقت لاحق (إعادة إرسالها من جديد).
فهجوم الرد يتم فيه إعادة إرسال أو تأخير إرسال معلومات مفيدة بهدف الاحتيال, غالباً ما يكون إعادة الإرسال من جهة واحده وهي جهة العميل (client slide) . فمثلاً في البيئة الموزعة نجد أن معلومات تسجيل الدخول (username & password ) يتم إرسالها بين العميل (Client) و نظام التحقق (authentication system ) فيقوم المهاجم بأسر هذه المعلومات ويعيد استخدامها لاحقاً لأغراض معينه.

مثال على هجوم الرد :
الشكل التالي يعرض مثال لمهاجم قام بسرقة (capture ) شهادة من نظام يتيح استعمال شهادة Kerberos .

أنواع هجوم انتحال الشخصية, وطرق الحماية منها

شكل 2: يبين أحد هجوم إعادة الإرسال

في هذا المثال يحصل المهاجم على المعلومات الشرعية من العميل(client) , ويقوم بتـخـزينها عنده , حيث يستعملها لاحقاً و يتمكن من الدخول إلى النظام .

كيفية الحماية من هجمات إعادة الإرسال:

يمكن منع هذا الهجوم باستخدام رمز الجلسة (session token), حيث يتم إرسال رمز يحتوي على الوقت مع البيانات أو المعلومات المراد إرسالها,و بعد ذلك يقوم المستقبل أو العميل (client) باستخدام هذا الرمز لتحويل رقم السر و إرسال النتيجة مرة أخرى إلى المرسل ولكن بحساب hash functions خـاص برمز الجلسة مُضاف لكلمة السر , و يقوم المرسل بنفس الحسابات و إذا حصل على نفس الـقيمة التي حصل عليها المستقبل فمعنى ذلك أن الاتصال أمناً و لا دلائل على وجود هجوم إعادة الإرسال.

فمثلا لو حصل المهاجم على هذه القيمة و حاول أن يـستخدمها بجلسة أخرى، فإن المرسِل سوف يحصل على رمز جلسة جديد، فعـندما يـقوم المهاجم بإعادة الإرسال برمز الجلسة القديم سيكون مختلفاً عن قيمة المرسِل الجديدة فلا يتم الاتصال.

أيضاً من طرق منع هذا الهجوم هو ختم الوقت (Time stamping) , ويكون ذلك عندما يقوم المرسِل ببث الوقت حسب توقيته مع رمز تصديق الرسالة(MAC) في أوقات زمنية متكررة، عندما يريد المستقبل أن يبعث رسالة إلى المرسِل، يبعث له بأفضل تقدير للوقت حسب توقيته داخل رسالته التي تكون مُصَدقة. المرسِل يقبل فقط الرسائل التي يكون ختم الوقت فيها ضمن حدود المعقول حسب توقيته .

ثالثاً: هجوم السطو على TCP/IP (TCP/IP Hijacking Attack ) :

هجوم السطو على TCP/IP هو أسلوب ذكي يستخدم الحزم المنتحلة( spoofed packets) للاستيلاء على جلسة اتصال بين الضحية والجهاز المضيف(host machine).
فالهجوم هنا يعتمد بشكل أساسي على تقنية تسمى خداع بروتوكول الانترنت (spoofing)و هو التظاهر والإدعاء بأنك مالك شرعي وحقيقي مع أنك في الواقع لست كذلك ,فهو يقوم بإرسال حزمة بيانات عبر الشبكة بحيث تبدو أنها تأتى من مصدر غير مصدرها الفعلي ويتضمن ذلك القدرة على استقبال رسالة من خلال التنكر كما لو كان هو مقر الوصول الشرعي للتسليم أو التنكر كما لو كان الجهاز المرسل ثم يرسل رسالة إلى أحد جهة الاستلام.

آلية عمله:

في الشبكات السلكية, يقوم هجوم السطو على TCP/IP باستخدام احد أنواع الـ (spoofing) وهو arp spoofing (Address Resolution Protocol) .
لفهم arp spoofing بشكل واضح علينا أولاً أن نتذكر أن كل جهاز كمبيوتر يستخدم بروتكول TCP/IP يجب أن يكون لديه عنوان بروتوكول الانترنتIP address) ) وهو رقم فريد غير قابل للتكرار , هدفه تحديد المكان الذي توجه إليه الرسائل المنقولة عبر الانترنت, فالإضافة إلى ذلك في أنواع معينة من شبكات المناطق المحلية (LAN) مثل إيثرنت ،لابد من وجود عنوان آخر وهو MAC Address (Media Access Control) لنقل المعلومات في جميع أنحاء الشبكة. أجهزة الكمبيوتر الموجودة على الشبكة تحتفظ بجدول يربط IP address مع MAC Address الخاص به كما هو مبين في الشكل التالي .

أنواع هجوم انتحال الشخصية, وطرق الحماية منها

شكل 3: مثال على جدول العناوين (Address table)


في هجوم الـ arp spoofing يقوم المهاجم بتغيير جدول العناوين , حيث يتم تحويل الحزم (packets) إلى جهازه, كما يظهر في شكل 4

أنواع هجوم انتحال الشخصية, وطرق الحماية منها

شكل 4: يبين عملية الـ arp spoofing


المهاجم استخدم arp spoofing لإرسال المعلومات من جهاز كمبيوتر المرسل الأصلي إلى جهاز كمبيوتر المهاجم عوضاً عن المستقبل الشرعي والأساسي لهذه العملية.
أما في الشبكات اللاسلكيّة, فهجوم السطو على TCP/IP يكون بطريقة مختلفة . بما أن الأجهزة اللاسلكية تتواصل مع جهاز مركزي و كأنه محطة أو نقطة وصول أساسية, فالمهاجم بإمكانه أن ينشئ محطته المزيفة ومن ثم يقوم بخداع كافة الأجهزة اللاسلكية للاتصال مع نقطة الوصول المزيفة هذه بدلا من نقطة الوصول الأساسية الشرعية. شكل 5 يبين هذه الفكرة.

أنواع هجوم انتحال الشخصية, وطرق الحماية منها

شكل 5: يبين عملية هجوم السطو على TCP/IP في الشبكة اللاسلكيّة


كيفية الحماية من هجوم السطو على TCP/IP:

هناك بعض الاحتياطات التي يمكن اتخاذها للحد من مخاطر هجوم السطو على TCP/IP ، ومن ذلك استخدام الفلترة في الموجه ((filtering router ,حيث يقوم بتنفيذ الفلترة في الدخول والخروج على أجهزة التوجيه (routers) الخاصة بك.

حيث استخدام مثل هذه الموجهات يحد من الدخول للواجهة الخارجية الخاصّة بك, وهي تعرف باسم عامل تصفية الدخول (input filter), من خلال عدم السماح للحزم بالمرور إذا كان عنوان المصدر(source address) من الشبكة الداخلية. و بالإضافة إلى ذلك ، يجب تصفية الحزم الخارجة التي تحمل عنوان للمصدر مختلف عن عنوان الشبكة الداخلية , للحيلولة دون حدوث هجوم السطو على TCP/IP نابع من موقعك أو شبكتك.

أيضاً يمكن الحماية من هذا الهجوم باستخدام التشفير والمصادقة, فتنفيذ ذلك سوف يقلل أيضا من هذه التهديدات, كل من هذه الميزات مضمنة في بروتوكول IPv6 .


الخلاصة:

كما نعلم أن الهجوم على أجهزة الكمبيوتر والشبكات لا ينحصر في هذه الأنواع فقط , فهو يأخذ أشكالاً عدة وطرق مختلفة, ولكن على المستخدم أن يحرص على حماية نفسه وحماية جهازه وشبكته من عبث المتطفلين , واستخدام جميع الوسائل الممكنة لتوفير الحماية اللاّزمة , قبل أن يحدث أمرٌ أسوأ . فكما يقال الوقاية خير من العلاج.


Hk,hu i[,l hkjphg hgaowdm< ,'vr hgplhdm lkih

__________________

سبحانك ربنا لا علم لنا الا ما علمتنا

للتواصل معي بخصوص المنتدى فقط
عبر تويتر وهو حساب رسمي لي تابع للمنتدى فقط
تويتر : ADNANKHH@


سيسكو 1 غير متواجد حالياً   رد مع اقتباس
الأعضاء الذين قالوا شكراً لـ سيسكو 1 على المشاركة المفيدة:
جليليو (05-21-2012)
 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36