آموزش CEH (هکر کلاه سفید): ابزار Traceroute چگونه اطلاعات مفیدی در اختیارمان قرار می‌دهد؟

برای مطالعه قسمت قبل آموزش رایگان  دوره CEH اینجا کلیک کنید.

مسیریابی منبع

تکنیک مسیریابی منبع (پویا) که هکرها علاقه زیادی به آن دارند، با این هدف ابدع شده تا افراد بتوانند مسیری مشخص برای تحویل بسته‌ها در شبکه انتخاب کنند. راهکار فوق به کاربران اجازه می‌دهد تا مشکلات شبکه یا ازدحام را دور بزنند. مسیریابی منبع IP به روترها اطلاع می‌دهد که از مسیرهای عادی برای تحویل بسته‌ها استفاده نکنند و به جای آن از طریق اطلاعاتی که درون سرآیند بسته‌ها قرار دارد برای انتقال استفاده کنند. با این حال، تکنیک فوق خالی از مشکلات امنیتی نیست. رویکرد فوق به یک هکر اجازه می‌دهد از آدرس آی‌پی سیستم دیگری استفاده کند و بسته‌های مختلفی فارغ از این‌که چه مسیرهایی میان هکر و مقصد وجود دارد را دریافت کن. اگر سرور وب قربانی توسط فهرست دسترسی مبتنی بر آدرس‌های منبع مححافظت شود، می‌توان از این نوع حمله استفاده کرد. اگر هکر فقط یکی از آدرس‌های منبع مجاز را جعل کند، تمام پاسخ‌ها و واکنش‌ها به سمت شبکه هکرها ارسال می‌شود. بهترین دفاع در برابر این حمله مسدود کردن مسیریابی منبع پویا و عدم پاسخ‌گویی به بسته‌هایی است که این‌گونه پیکربندی شده‌اند.

Traceroute

ابزار Traceroute نمونه‌ای روشن از ابزارهای کاربردی در دسترس کارشناسان امنیتی و هکرها که از پروتکل ICMP استفاده می‌کند. Traceroute برای تعیین مسیر یک کامپیوتر هدف استفاده می‌شود. ابزاری که در پلتفرم‌های ویندوز و یونیکس قابل استفاده است و در ویندوز به‌نام tracert شناخته می‌شود. Traceroute اولین بار توسط ون جیکسون برای مشاهده مسیر یک بسته از مبدا تا مقصد طراحی شد. Traceroute عملکرد خاص خود را در تعامل با سیرآند IP و فیلد TTL سرنام Time To Live و ICMP دارد. فیلد TTL برای محدود کردن دیتاگرام‌های آی‌پی استفاده می‌شود. بدون وجود TTL، برخی دیتاگرام‌های آی‌پی ممکن است سفری بی پایان در اینترنت داشته باشند، زیرا هیچ ابزار زمان‌بندی که نشان می‌دهد بسته در زمان مشخصی توسط گیرنده دریافت نشده در دسترس نخواهد بود. TTL عملکردی شبیه به یک کاهنده دارد. هر هاپ (hop) که یک دیتاگرام از آن عبور می‌کند یک مقدار از TTL کم می‌کند. اگر مقدار TTL به 0 برسد، دیتاگرام کنار گذاشته شده و یک پیغام عبور از محدوده زمانی مجاز توسط ICMP ارسال می‌شود مبدا در خصوص از دست رفتن بسته آگاه شود. لازم به توضیح است که ویندوز از ICMP استفاده می‌کند. نسخه‌های لینوکسی tracerout تقریباً عملکردی یکسان دارند، با این تفاوت که از UDP استفاده می‌کنند. Traceroute این بسته‌های UDP را برای مقصد و به سمت شماره پورتی ارسال می‌کند که به هیچ چیزی گوش (listen) نمی‌دهد. همان‌گونه که قبلاً توضیح داده شد، TTL تا زمانی که بسته به مقصد برسد افزایش پیدا می‌کند. از آن‌جایی که traceroute از پورت‌ شماره بالای UDP به‌طور معمول 33434 استفاده می‌کند، میزبان باید پس از تولید پیام دسترسی به پورت امکان‌پذیر نیست، بسته‌ها را نادیده بگیرد. این پیام‌های عدم دستیابی به پورت ICMP توسط traceroute استفاده می‌شود تا منبع از این موضوع مطلع شود.

نکته: در آزمون CEH باید تفاوت میان نسخه ویندوزی و لینوکسی فرمان traceroute را بدانید. ویندوز از ICMP استفاده می‌کند، در حالی که بسته به گزینه‌ها‌، لینوکس می‌تواند از UDP یا TCP استفاده کند. برای درک بهتر چگونگی عملکرد این موضوع، اجازه دهید نگاهی به نحوه کار این ابزار ردیابی داشته باشیم. به‌طور مثال، در تصویر هدف 12 هاپ از ما دور است. خروجی فرمان traceroute به شرح زیر است:

ویندوز ابتدا یک بسته TTL که مقدار 1 دارد را ارسال می‌کند. با رسیدن به اولین هاپ، مقدار TTL بسته به 0 کاهش می‌یابد و پیغام time exceeded که بیان‌گر گر انقضای مهلت قانونی بسته است و مسیریاب مجبور به حذف بسته است تولید می‌شود. این پیام به آدرس فرستنده بسته آی‌پی ارسال می‌شود تا از این موضوع اطلاع پیدا کند که بسته به میزبان راه دور نرسیده است. در مرحله بعد، ویندوز TTL را به مقدار 2 افزایش می‌دهد. دیتاگرام از اولین روتر عبور می‌کند، جایی که مقدار TTL به 1 کاهش یافته است. در ادامه دیتاگرام از روتر دوم عبور می‌کند و مقدار TTL دومرتبه کم شده و 0 می‌شود که بیان‌گر اتمام انقضای زمانی بسته است. بنابراین، روتر دوم پیغام time exceeded را تولید کرده و بسته را به سمت مقصد اصلی ارسال می‌کند. این روند تا زمانی که ما به خط 12 برسیم ادامه پیدا می‌کند. از آن‌جایی که خط 12 مقصد است، مقصد ممکن است یک پیام عادی پینگ ICMP را تولید کند اگر از سیستم‌عامل ویندوز استفاده می‌کند یا یک پیغام ICMP type 3 که پیام غیر قابل دسترسی (اگر از لینوکس استفاده می‌کند) را تولید می‌کند. بخش دیگری از اطلاعات که یک نرم‌افزار آزمایش‌کننده وضعیت مقصد یا یک هکر به دنبال آن هستند توسط traceroute به دست آورند، نوع دستگاه و شماره پورتی است که برای اتصال استفاده شده است. به‌طور مثال، خط 6 فرمان traceroute اطلاعات زیر را ارائه می‌دهد:

9 56 ms 58 ms 55 ms ae-2.r07.nycmny01.us.bb.gin.ntt.net [129.250.3.98]

قالب نام‌گذاری ae-#-#  یک دستگاه اترنت ژونیپر را نشان می‌دهد که در اسلات 2 و پورت 07 قرار دارد. همه مردم نمی‌توانند معنای دقیق این کدها را درک کنند، زیرا باید با شیوه تبدیل این مقادیر به معادل مفهومی آن‌ها آشنا باشند، اما با کمی تحقیق و مطالعه منابع مختلف می‌توانید اطلاعات مفیدی از این کدها به دست آورید. به نظر می‌رسد هاپ 11 یک دیوارآتش یا روتر است که بسته‌های ICMP را بلوکه می‌کند. اگرچه traceroute عملکرد 100٪ قابل اعتمادی ندارد، اما می‌تواند به شما کمک کند تا ببینید آخرین هاپی که به شما پاسخ داده کدام هاپ بوده و همچنین این امکان را می‌دهد تا حدس بزنید با یک دیوارآتش یا نوع دیگری از دستگاه‌های لبه روبرو شده‌اید. خز 11 در ابزار traceroute ما اطلاعاتی به صورت زیر ارائه می‌کند:

11 * * * Request timed out.

TIP Type 11 زمان عبور بیش از زمان ICMP توسط اکثر برنامه های ردیاب برای تعیین آدرس های IP روترهای متوسط استفاده می شود.

نکته: پیام انقضای مهلت قانونی Type 11 ICMP توسط بیشتر برنامه‌های ردیاب برای تعیین این موضوع که آدرس‌های آی‌پی به یک روتر میانی تعلق دارند استفاده می‌شوند.

نکته: Hping یک مثال خوبی از ابزاری است که می‌توانید برای پیدا کردن دیوارهای آتش و شناسایی کلاینت‌های داخلی از آن‌ها استفاده کنید. ابزار فوق کاملا کاربردی است، زیرا ابزار فوق نه تنها از ICMP و UDP بلکه از TCP نیز استفاده کند. از آن‌جایی که hping قادر است از TCP استفاده کند، در نتیجه می‌تواند تایید کند که آیا یک میزبان فعال است یا خیر، حتا اگر بسته‌های ICMP توسط میزبان مسدود شده باشند. از بسیاری جهات، hping شبیه به Netcat است زیرا به هر فردی اجازه می‌دهد بسته‌های انتقال برای سامانه قربانی را با بالاترین سطح از کنترل ارسال کند. این ابزار کاربردهای مختلفی دارد که از آن جمله می‌توان به شل معکوس، باز کردن درب پشتی و اتصال سامانه قربانی به شبکه بات‌نت‌ها اشاره کرد. با این حال، دو ابزار به لحاط فنی تفاوت‌هایی با یکدیگر دارند، Netcat کنترلی روی بخش داده‌ای می‌دهد، در حالی که hping روی سرآیند متمرکز است.

لایه دسترسی به شبکه

لایه دسترسی به شبکه در پایین پشته قرار دارد. این بخش از مدل شبکه TCP/IP وظیفه تحویل فیزیکی بسته‌های آی‌پی از طریق فریم‌ها را عهده‌دار است. اترنت رایج‌ترین نوع فریم LAN است. فریم‌های اترنت با مک‌آدرس‌ها مشخص می‌شود تا دستگاه‌های مبدا و مقصد مشخص شوند. آدرس‌های مک 6 بایت دارند و منحصر به‌فرد بوده و توسط تولید کننده کارت رابط شبکه روی برچسب محصولات درج می‌شوند. شکل زیر نمونه‌ای از یک مک آدرس را نشان می‌دهد.

در شکل فوق بسته‌ای را مشاهده می‌کنید که شامل مک‌آدرس‌های مبدا و مقصد است. 3 بایت اول مک‌آدرس نام سازنده را مشخص می‌کنند و در مجموع به شناسه سازمانی و منحصر به‌فرد (OUI) اشاره دارند، در حالی که 3 بایت آخر شماره سریال دستگاه را مشخص می‌کنند. نکته مهمی که باید به آن دقت کنید این است که هکرها می‌توانند از برنامه‌های متنوعی برای تغیی یا جعل آدرس‌های مک استفاده کنند. جعل مک‌آدرس‌ها قابلیت‌های زیادی در اختیار هکرها قرار داده و به آن‌ها اجازه می‌دهد از کنترل‌های بی‌سیم 802.11 گذر کرده یا زمانی که سوییچ‌ها برای کنترل ترافیک به سراغ قفل کردن پورت‌ها با آدرس مک خاص می‌روند از این مکانیزم دفاعی عبور کنند.

مک‌آدرس‌ها می‌توانند یونی‌کست، مولتی‌کست یا بروکست باشند. درست است که آدرس مقصد می‌تواند هر یک از این سه نوع باشد، اما یک فریم همیشه به صورت یک مک‌آدرس یونی‌کست ارسال می‌شود. شما می‌توانند مک‌آدرس‌های مختلف را به راحتی و به روش زیر شناسایی کنید.

Unicast: اولین بایت همیشه مقدار زوج است.

Multicast: بیت پایین همیشه روشن است. همچنین یک مک‌آدرس مولتی‌کست یک مقدار فرد است. اولین بایت (01) ‌مک‌آدرس زیر دقت کنید.

0x-01-00-0C-CC-CC-CC

Broadcast: تمامی بایت‌ها 1 باینری یا به صورت FF FF FF FF FF FF هستند.

نکته: آزمون CEH از داوطلبان انتظار دارد درباره مک‌آدرس‌ها و بدانند چگونه با استفاده از یک آدرس مشخص به جست‌وجوی OUI بپردازند.

پروتکل (ARP) سرنام Address Resolution Protocol پروتکل آخرین پروتکل لایه دسترسی به شبکه است که بررسی می‌کنیم. نقش پروتکل ARP در دنیای شبکه تبدیل آدرس‌های آی‌پی شناخته شده به مک‌آدرس‌های ناشناخته است. فرآیند تبدیل دو مرحله‌ای ARP با ارسال یک پیام پخشی به منظور درخواست آدرس فیزیکی مقصد انجام می‌شود. اگر یک دستگاه تحت شبکه آدرس خود را تشخیص دهد و متوجه شود پیام مرتبط با آن دستگاه است، پاسخ ARP را با مک آدرس خود می‌دهد. در ادامه مک‌آدرس در کش ARP ذخیره شده و در ارتباط با فریم‌های از آن استفاده می‌شود. هکرها به فرآیند ARP علاقه‌مند هستند، زیرا می‌توانند برای گذر از عملکردی امینیت سوییچ فرآیند فوق را دستکاری کنند. با توجه به این‌که پروتکل ARP با هدف به‌کارگیری در یک محیط قابل اعتماد توسعه یافته، پاسخ‌های جعلی و دستکاری شده ARP به عنوان پاسخ‌های معتبر توسط این پروتکل شناخته شده و به هکرها اجازه می‌دهند ترافیک را به سمت یک شبکه تحت نظارت خود هدایت کنند. Proxy Arps را می‌توان برای گسترش عملکردهای شبکه به کار گرفت و به یک دستگاه اجاز داد با گره مجاور خود ارتباط برقرار کند. حملات ARP به اشکال مختلفی در حملات مرد میان (man-in-the-middle)، جعل و سرقت نشست‌ها استفاده می‌شوند.

نکته‌: ARP یک پروتکل تایید نشده است و از این‌رو ممکن است در حملاتی همچون مسموم‌سازی جدول ARP، جعل میزبان دیگر یا پاسخ‌های ناخواست ARP استفاده شود.

تا این بخش از آموزش CEH سعی کردیم روی مبحث روش‌شناسی مهاجمان و برخی از روش‌های در دسترس هکرهای اخلاق‌مدار اطلاعاتی ارائه کنیم. یکبار دیگر این نکته را متذکر می‌شویم که هکرهای اخلاقی با هکرهای مخرب تفاوت دارند، زیرا هکرهای اخلاقی سعی می‌کنند همانند هکرهای مخرب آسیب‌پذیری‌ها را شناسایی کرده و پیش از آن‌که هکرهای مخرب بتوانند آسیبی به یک سامانه وارد کنند این مشکل را برطرف کنند. با توجه به این‌که مدل OSI و مجموعه پروتکل‌های TCP / IP نقش مهمی در دنیای امروز دارند و بیشتر حملات بر مبنای این پروتکل‌ها انجام می‌شود، ضروری است تا به عنوان یک هکر اخلاق‌مدار اطلاع دقیقی در مورد عملکرد این پروتکل‌ها داشته باشید. اکنون که با مباحث اولیه مربوط به هک اخلاقی آشنا شدید، زمان آن فرارسیده تا اطلاعات بیشتری در خصوص هفت مرحله جمع‌آوری اطلاعات، شناسایی ماشین‌های فعال، جمع‌آوری اطلاعات در ارتباط با سیستم‌عامل و جزییات مربوط به شبکه‌ها به‌دست آورید.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه رایگان تمام بخش‌های دوره CEH  روی لینک زیر کلیک کنید:

آموزش رایگان دوره CEH