آموزش CEH (هکر کلاه سفید): آشنایی با بردارهای حمله پیرامون سامانه نام دامنه و حمله سیبیل

برای مطالعه قسمت قبل آموزش رایگان  دوره CEH اینجا کلیک کنید.

به عنوان یک داوطلب علاقمند به شرکت در آزمون CEH نباید انتظار داشته باشید که تنها با مطالعه یک کتاب یا دوره آموزشی در آزمون CEH موفق شوید. بخش عمده‌ای از سوالات مطرح شده در آزمون CEH در ارتباط با نحوه استفاده از ابزارها و تکنیک‌های رایج است که بیشتر آن‌ها در این دوره آموزشی مورد بررسی قرار گرفتند. به‌طور مثال، به عنوان یک کارشناس امنیتی باید شناخت دقیقی از ابزارهای Wireshark ، Nmap ، Hping و نمونه‌های مشابه داشته باشید. تسلط بر دوره سیستم‌عامل کالی لینوکس نقطه شروع خوبی است. این توزیع لینوکسی شامل طیف گسترده‌ای از ابزارهای کاربردی است که در شناسایی ضعف‌های امنیتی به کارشناسان کمک فراوانی می‌کند. برای مشاهده فهرستی از ابزارهای کاربردی توزیع کالی لینوکس به آدرس http://tools.kali.org/tools-listing. مراجعه کنید. اگر هنوز آشنایی چندانی با کالی لینوکس ندارید، پیشنهاد می‌کنم از همین امروز نحوه کار با این توزیع را یاد بگیرید. کارشناسان خبره امنیتی آزمایشگاه‌های شخصی در منازل یا محیط‌های کاری خود پیاده‌سازی می‌کنند که نحوه انجام این‌کار فراتر از این دوره آموزشی است، با این‌حال، اگر می‌خواهید یک چنین کاری را انجام دهید پیشنهاد می‌کنم به سراغ کتاب راهنمای گام به گام ساخت یک آزمایشگاه امنیتی شبکه که انتشارات Wiley آن‌را منتشر کرده است، بروید. کتاب فوق نحوه نصب و استقرار ابزارهای امنیتی کاربردی را شرح داده است. به‌طور معمول، دوره‌های آموزش هک اخلاقی 50 درصد شامل تشریح مباحث نظری و 50 درصد صرف آزمایش‌های عملی می‌شود. در نتیجه این امکان وجود ندارد که تنها با مطالعه مباحث مهارت‌های عملی لازم را به‌دست آورید. به همین دلیل توصیه می‌کنم تا حد امکان ابزارهایی که در این دوره آموزشی به آن‌ها اشاره شد را به دقت بررسی کنید. همچنین قبل از شرکت در آزمون CEH روی مبحث ساخت آزمایشگاه شخصی و کار با ابزارهای امنیتی و توزیع کالی لینوکس متمرکز شوید و برای شناسایی ضعف‌های امنیتی شبکه‌ها و تکنیک‌هایی که برای هک شبکه‌ها استفاده می‌شود وقت کافی صرف کنید. در ادامه به سراغ سناریو  حمله به سامانه نام دامنه می‌رویم، اما پیش از پرداختن به این موضوع اجازه دهید توضیح کوتاهی در ارتباط با سیستم‌عاملی کالی لینوکس ارائه کنیم.

سیستم‌عامل کالی لینوکس (Kali Linux) چیست؟

کالی لینوکس یک توزیع لینوکسی مبتنی بر دبیان است که توسط شرکتOffensive Security Ltd  طراحی شده است. سیستم‌عامل فوق با هدف کمک به متخصان امنیتی برای انجام آزمایش‌های تست نفوذ و جرم‌شناسی دیجیتال و همچنین برای شناسایی ضعف‌های امنیتی سامانه‌ها استفاده می‌شود. به عبارت دقیق‌تر ابزارهای موجود در این توزیع اجازه می‌دهند تا کارشناسان امنیتی بتوانند ضعف‌های درون زیرساخت‌ها را شناسایی کنند. کالی لینوکس بیش از 600 ابزار تست نفوذ نصب شده با هدف آزمایش نفوذپذیری و شناسایی نقاط آسیب‌پذیر انواع سیستم‌های کامپیوتری را در خود جای داده است. از جمله این ابزارها آرمیتاژ (یک ابزار سایبری مدیریت حمله گرافیکی)، متاسپلویت (یک ابزار برای آزمایش امنیت و نفوذ)، اسکنر ان‌مپ (پورت اسکنر)، وایرشارک (تحلیلگر بسته)، John the Ripper (تشخیص گذرواژه‌ها)، Aircrak-ng مجموعه نرم‌افزاری برای تست نفوذ به شبکه‌های محلی بی‌سی، Burp suite و OWASP ZAP  (دو اسکنر امنیت وب و نرم‌افزار) است.

هکرها چگونه به سامانه نام دامنه حمله می‌کنند؟

جعل سامانه نام دامنه (DNS spoofing) که گاهی اوقات به مسموم‌سازی کش سامانه نام‌ دامنه (DNS cache poisoning) شهرت دارد، یک حمله سایبری است که باعث می‌شود، داده‌هایی که در کش پایگاه داده یک وب‌سرور سامانه نام دامنه قرار گرفته‌اند، هنگام مسیریابی مجدد یک درخواست برای یک صفحه وب، منجر به بازگرداندن یک آدرس آی‌پی اشتباه شده و ترافیک را به سمت کامیپوتری که در اختیار هکرها قرار دارد هدایت می‌کند. یک سرور نام دامنه، دامنه اینترنتی قابل فهم برای انسان (شبیه به shabakeh-mag.com) را به یک آدرس عددی یعنی آی‌پی ترجمه می‌کند تا از آن برای مسیریابی بین کلاینت و وب‌سرور استفاده شود. هنگامی که یک وب‌سرور سامانه نام دامنه، داده‌های غیر موثق دریافت کند و آن‌را برای بهینه‌سازی عملکرد، کش کند، فرآیند مسموم‌سازی انجام می‌شود که برای کلاینت‌های آن سرور، داده‌های جعلی تأمین می‌کند. اگر یک سرور سامانه نام دامنه مسموم شود، ممکن است یک آدرس آی‌پی نادرست برگردانده و ترافیک را به سمت کامپیوتر تحت تملک هکرها هدایت کند.

آلوده‌سازی کش سامانه نام دامنه

معمولاً یک کامپیوتر تحت شبکه، از یک سرور DNS که توسط سازمان یا یک شرکت خدمات اینترنتی فراهم می‌شود، استفاده می‌کند. وب‌سرورهای DNS به‌طور کلی برای بهبود کیفیت عملکرد پاسخ و با استفاده از ذخیره‌سازی نتایج به‌دست آمده از پرس و جوها، در شبکه یک سازمان مستقر می‌شوند. حملات مسموم‌سازی یک سرور DNS، می‌توانند کاربرانی که به‌طور مستقیم با وب‌سرور در ارتباط هستند را تحت‌الشعاع قرار دهد یا به‌طور غیرمستقیم توسط وب‌سرورهای کارساز(های) پایین دست آن، در صورت قابل اجرا بودن، تحت تأثیر قرار بگیرند. برای انجام پیاده‌سازی یک حمله مسموم‌سازی کش از ضعف‌های امنیتی مستتر در نرم‌افزار DNS استفاده می‌شود. اگر وب‌سرور به درستی نتواند پاسخ‌های DNS را برای اطمینان از اصالت یک منبع، اعتبارسنجی کند (به‌طور مثال، با استفاده از ضمیمه‌های امنیتی سامانه نام دامنه، وب‌سرور به صورت محلی، کش کردن ورودی‌های نادرست را متوقف می‌کند و این ورودی‌ها را به کاربرانی که درخواست مشابه داده بودند، ارائه می‌دهد. این تکنیک می‌تواند برای هدایت کاربران یک وب‌سایت به سایت موردنظر هکر استفاده شود. به‌طور مثال، یک مهاجم، ورودی‌های آدرس آی‌پی DNS را برای یک سایت هدف، روی وب‌سرور DNS ارائه کرده، جعل می‌کند و آن‌ها را با آدرس آی‌پی وب‌سروری که تحت کنترل خودش است، جایگزین می‌کند. در ادامه روی وب‌سرور تحت کنترلش فایل‌هایی با نام‌هایی همانند فایل‌های روی وب‌سرور هدف، ایجاد می‌کند. این فایل‌ها می‌توانند شامل محتوای مخرب، مانند بدافزارها باشند. کاربری که رایانه‌اش مورد ارجاع سرور "DNS" مسموم قرار گرفته‌، می‌تواند به پذیرش محتوایی که از یک وب‌سرور نامعتبر می‌آید اغوا شده و ناخواسته، محتوای مخرب را دانلود کند.

مثال‌هایی از نحوه آلوده‌سازی

در مثال‌های زیر، ورودی‌ها برای وب‌سرور "ns.target.example" می‌تواند مسموم شده و به سمت وب‌سرور نام مهاجم در آدرس آی‌پی w.x.y.z هدایت شود. این حمله‌ها بر این فرض استوار هستند که وب‌سرور نام برای "target.example" عبارت است از "ns.target.example.". برای انجام حملات، باید وب‌سرور "DNS" هدف را مجبور کرد تا برای یک دامنه تحت کنترل وب‌سرور نام مهاجم درخواستی ارسال کند.

تغییرمسیر وب‌سرور نام دامنه هدف

اولین نوع آلوده‌سازی سامانه نام دامنه هدایت وب‌سرور نام دامنه مهاجم به وب‌سرور نام دامنه هدف و تخصیص یک آدرس آی‌پی تعیین شده توسط مهاجم به وب‌سرور نام است. درخواست وب‌سرور سامانه نام دامنه رکوردهای آدرسی برای subdomain.attacker.example است.

subdomain.attacker.example. IN A

اکنون پاسخ هکر به شرح زیر است:

Answer:

(no response)

Authority section:

attacker.example. 3600 IN NS ns.target.example.

Additional section:

ns.target.example. IN A w.x.y.z

یک وب‌سرور آسیب‌پذیر، آدرس آی‌پی اضافی را برای "ns.target.example" کش می‌کند که به هکر اجازه می‌دهد محاوره‌های وارد شده به دامنه "target.example" را تغییر مسیر دهد.

تغییر مسیر رکورد وب‌سرور نام

دومین نوع حمله به سامانه نام دامنه آلوده کردن کش DNS است که اشاره به تغییر مسیر وب‌سرور نام دامنه دارد. در این روش درخواست کاربر به یک آدرس آی‌پی که توسط مهاجم مشخص شده هدایت می‌شود. برای روشن شدن بحث به مثال زیر دقت کنید:

subdomain.attacker.example. IN A

پاسخ مهاجم به شرح زیر است:

Answer:

(no response)

Authority section:

target.example. 3600 IN NS ns.attacker.example.

Additional section:

ns.attacker.example. IN A w.x.y.z

یک وب‌سرور آسیب‌پذیر، اطلاعات نامربوط را برای رکورد "target.example" کش می‌کند و به مهاجم اجازه می‌دهد پرس‌وجوها را به تمام دامنه "target.example" تغییر دهد.

راهکار کم کردن مخاطرات پیرامون سامانه نام دامنه

مسیریاب‌ها، دیوار آتش‌ها، پراکسی‌ها و گیت‌وی‌هایی که کار برگردان نشانی شبکه (NAT) یا برگرداندن نشانی پورت (PAT) را انجام می‌دهند، برای ردیابی حالت ارتباط باید پورت‌های مبدأ را دوباره‌نویسی ‌کنند. به هنگام تغییر پورت‌های مبدأ، تجهیزات PAT معمولاً پورت‌های مبدأ که توسط وب‌سرور نام به صورت تصادفی پیاده‌سازی شده‌اند را پاک کرده و جایگزین می‌کنند. سامانه‌های نام دامنه باید از امضای الکترونیکی رمزنگاری شده توسط یک گواهی کلید عمومی معتبر برای مشخص کردن اصالت داده‌ها استفاده کنند. این سامانه‌ها می‌توانند با حملات مسموم‌سازی مقابله کنند.

حمله سیبیل چیست؟

اگر به یاد داشته باشید در شماره‌های قبلی به حمله‌ای موسوم به Sybil اشاره کردیم. اکنون قصد داریم به شکل دقیق‌تری این حمله را ارزیابی کنیم. حمله سیبیل، حمله‌ای است که در آن مهاجم با ایجاد تعداد زیادی هویت‌ جعلی، یک سرویس شبکه را مختل می‌کند تا بتواند به این شکل تاثیرات مخربی روی شبکه به وجود آورد. اصطلاح شبه جعلی توسط ال. دتویلر به جای حمله سیبیل پیشنهاد شده و در برخی موارد از این نام برای توصیف حمله فوق استفاده می‌شود. حمله سیبیل در امنیت رایانه‌ای حمله‌ای است که در آن سیستم نام مستعار با ایجاد شناسه‌های متعدد مختل می‌شود. آسیب‌پذیری سیستم نام مستعار در برابر حمله سیبیل بستگی به فاکتورهای متعددی دارد که از آن جمله می‌توان به  میزان سادگی تولید شناسه، نرخ پذیرفته شدن اشخاصی که فاقد زنجیره اعتماد متصل به یک نهاد قابل اعتماد هستند و اینکه آیا سیستم نام مستعار با همه موجودیت‌هایش یکسان رفتار می‌کند یا خیر اشاره کرد. یک موجودیت در شبکه همتا به همتا یک مولفه نرم‌افزاری است که به منابع محلی دسترسی دارد. در یک شبکه همتا به همتا هر موجودیت خود را با ارائه یک شناسه، به سایرین معرفی می‌کند. هر موجودیت می‌تواند بیش از یک شناسه داشته باشد. به عبارت دیگر، نگاشت شناسه‌ها به موجودیت‌ها چند به یک است. موجودیت‌های شبکه‌های همتا به همتا از شناسه‌های متعدد برای فراوانی، اشتراک منابع، قابلیت اطمینان و جامعیت استفاده می‌کنند. در شبکه‌های همتا به همتا، از شناسه به عنوان یک انتزاع استفاده می‌شود تا به این وسیله یک موجودیت راه دور بدون اینکه لزوماً از ارتباط شناسه‌ها با موجودیت‌های محلی آگاه باشد، بتواند از سایر شناسه‌ها آگاه شود. به‌طور پیش‌فرض، معمولاً فرض می‌شود که هر شناسه مشخص با یک موجودیت محلی متمایز مطابقت دارد. در واقعیت، بسیاری از شناسه‌ها ممکن است متعلق به یک موجودیت محلی یکسان باشند.

یک هکر ممکن است شناسه‌های مختلفی را در یک شبکه همتا به همتا ارائه دهد تا بتواند به عنوان چندین گره مجزا ظاهر شود و عمل کند؛ بنابراین هکر ممکن است بتواند سطح نامتناسبی از کنترل بر شبکه، به عنوان مثال درتأثیرگذاری بر نتایج رای‌گیری را به‌دست آورد.

چگونه مانع پیاده‌سازی این حمله شویم

می‌توان از تکنیک‌های اعتبارسنجی برای پیشگیری از بروز حملات سیبیل استفاده کرد و موجودیت‌های مخرب را از بین برد. یک موجودیت محلی ممکن است یک شناسه از راه دور مبتنی بر یک مرجع مرکزی را بپذیرد که ارتباط یک به یک بین یک شناسه و یک موجودیت را تضمین می‌کند و حتی ممکن است امکان جستو‌جوی معکوس را فراهم سازد. یک شناسه ممکن است به‌طور مستقیم یا غیرمستقیم تأیید شود. در اعتبارسنجی مستقیم، موجودیت محلی برای تأیید شناسه‌های راه دور از مرجع مرکزی پرسش می‌کند. در اعتبارسنجی غیرمستقیم، موجودیت محلی به شناسه‌های قبلاً پذیرفته شده اعتماد می‌کند که آنها نیز به نوبه خود اعتبار شناسه از راه دور مورد نظر را تضمین می‌کنند.

تکنیک‌های اعتبارسنجی مبتنی بر شناسه، به‌طور کلی مسئولیت‌پذیری را به بهای قربانی کردن ناشناس بودن تأمین می‌کنند که می‌تواند یک موازنه نامطلوب به ویژه برای فرم‌های آنلاین باشد که مایل به حذف امکان سانسور و فراهم کردن امکان تبادل اطلاعات رایگان و بحث آزاد درباره موضوعات حساس هستند. یک مرجع اعتبار سنجی می‌تواند با امتناع از انجام جستجوی معکوس، سعی کند ناشناس بودن کاربران را حفظ کند، اما این رویکرد باعث می‌شود تا مرجع اعتبار سنجی به هدف اصلی حمله تبدیل شود. از طرف دیگر، مرجع می‌تواند از مکانیسم‌های دیگری غیر از آگاهی از هویت واقعی کاربر - مانند تأیید حضور جسمی یک شخص ناشناس در مکان و زمان خاص - برای اجرای مکاتبات یک به یک بین شناسه آنلاین و کاربران واقعی استفاده کند. .

تکنیک‌های پیشگیری از بروز سیبیل مبتنی بر ویژگی‌های اتصال گراف‌های اجتماعی همچنین می‌تواند میزان خسارت‌هایی را که می‌تواند توسط یک مهاجم سیبیل در عین حفظ ناشناس بودن ایجاد کند، محدود کند، اگرچه این تکنیک‌ها نمی‌توانند به‌طور کامل از حملات سیبیل جلوگیری کنند و ممکن است در مقابل حملات گسترده سیبیل‌های کم حجم آسیب‌پذیر باشند. نمونه‌هایی از این تکنیک‌ها شامل سیبیل گارد و معیار اعتماد آدوگاتو و همچنین معیار مبتنی بر کمبود برای شناسایی خوشه‌های سیبیل در یک سیستم شهرت توزیع شده نقطه به نقطه هستند.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه رایگان تمام بخش‌های دوره CEH  روی لینک زیر کلیک کنید:

آموزش رایگان دوره CEH