حمله جعل پروتکل تفکیک آدرس و سامانه نام دامنه چیست؟

23/08/1399 - 13:20
امنیت
حمله جعل پروتکل تفکیک آدرس و سامانه نام دامنه چیست؟
حمله جعل پروتکل تفکیک آدرس (ARP Spoofing) تکنیکی است که در آن حمله‌کننده پیام‌های جعلی آرپ را به شبکه محلی ارسال می‌کند. در اصل، هدف قرار دادن آدرس مک حمله‌کننده به همراه آدرس آی پی میزبانی دیگر است تا به جای اینکه هر ترافیکی که قرار است به آن میزبان ارسال شود برای حمله‌کننده ارسال شود.

حمله جعل پروتکل تفکیک آدرس به حمله‌کننده این امکان را می دهد تا فریم‌های داده را روی شبکه محلی از هم جدا کند، ترافیک را تغییر دهد، یا کل ترافیک را متوقف نماید. اغلب این حمله به عنوان ورودی دیگر حملات استفاده می‌شود. حملاتی نظیر محروم‌سازی از سرویس، مرد میانی، یا استراق نشست. این حمله فقط در شبکه‌هایی قابل استفاده است که از پروتکل یاد شده استفاده می‌کنند و به سگمنت‌های محلی محدود شده‌اند.

آسیب‌پذیری‌های پروتکل نگاشت آدرس پروتکل تفکیک آدرس   

زمانی که یک دیتاگرام آی پی درون شبکه محلی از میزبانی به میزبان دیگر ارسال می‌شود، آدرس آی پی مقصد باید به آدرس مک تبدیل شود تا بتواند از طریق لایه پیوند داده ارسال شود. وقتی که آدرس آی پی میزبان دیگر معلوم باشد و آدرس مک آن نیاز باشد، یک بسته انتشاری روی شبکه محلی ارسال می‌شود. این بسته به عنوان درخواست پروتکل تفکیک آدرس شناخته می‌شود. ماشین مقصد با آی‌پی مورد نظر در درخواست آرپ با جواب آرپ پاسخ می‌دهد که این پاسخ شامل مک آدرس برای آن آدرس است.

آرپ یک پروتکل بدون حالت است. میزبان‌های شبکه به‌طور خودکار تمامی جواب‌های آرپی را که دریافت می‌کنند، بدون توجه به اینکه درخواست داده باشند یا خیر آن‌ها را کش می‌کنند. حتی مقادیر آرپی که هنوز منقضی نشده‌اند با دریافت آرپ جدید از بین می‌روند. هیچ تابعی در پروتکل آرپ وجود ندارد که بتوان با استفاده از آن منبع ارسال‌کننده جواب آرپ را احراز هویت نماید. این رفتار یک آسیب‌پذیری است که اجازه می‌دهد جعل پروتکل تفکیک آدرس اتفاق افتد.

کالبدشکافی یک حمله جعل پروتکل تفکیک آدرس   

ایده اصلی در جعل پروتکل تفکیک آدرس  سوء استفاده از آسیب‌پذیری پروتکل پروتکل تفکیک آدرس از طریق فرستادن پیام‌های جعلی پروتکل تفکیک آدرس  درون شبکه محلی است. حملات جعل پروتکل تفکیک آدرس  می‌تواند از جانب میزبان قربانی در شبکه محلی یا مستقیماً از سمت ماشین حمله‌کننده که مستقیماً به شبکه متصل است، انجام گیرد. هدف قرار دادن مک آدرس حمله‌کننده به همراه آدرس آی پی میزبانی دیگر است تا هرگونه ترافیکی که قرار است به آن میزبان ارسال شود، به حمله‌کننده ارسال گردد. حمله‌کننده گزینه‌های مختلفی همچون بررسی بسته‌ها و فرستادن ترافیک به درگاه پیش‌فرض (حائل بودن)، تغییر دادن داده‌ها قبل از ارسال (حمله مرد میانی) یا انجام حمله محروم‌سازی از سرویس با استفاده از حذف کردن بعضی یا تمامی بسته‌ها در شبکه را به کار گیرد.

دفاع‌ در برابر این حمله

نگاشت‌های آی پی-به مک می‌تواند در کش پروتکل تفکیک آدرس محلی به صورت ایستا تعریف شده و سپس میزبان‌ها از تمامی بسته‌های جواب آرپ را صرف نظر کنند. هرچند مدخل‌های ایستا در صورت مدیریت صحیح توسط سیستم عامل، امنیت کاملی را در مقابل فریب کاری آرپ ارائه می دهند، منجر به تلاش برای پشتیبانی در درجه دوم است، به صورتی که تمام نگاشت‌های آی پی-MAC در شبکه باید به تمامی ماشین‌های دیگر توزیع شود.

راه‌حل‌های امنیتی شناسایی جعل پروتکل تفکیک آدرس   

نرم‌افزارهایی که حمله فوق را کشف می‌کنند بر پایه برخی از فرم‌های گواهی کردن یا بررسی‌ پاسخ‌های این پروتکل استوار هستند. در ادامه پاسخ‌های آرپی که معتبر نیستند، مسدود می‌شوند. این تکنیک‌ها بهتر است به همراه سرور DHCP یکپارچه شود که هر دو آدرس‌های آی پی ایستا و پویا معتبر شوند. ممکن است این توانایی در میزبان‌ها به صورت جداگانه یا در سوئیچ‌های شبکه یا دیگر تجهیزات شبکه پیاده‌سازی شوند. وجود چندین آی‌پی که دارای یک مک آدرس مشترک هستند ممکن است نشان دهنده حمله جعل آرپ باشد، هرچند برخی از موارد چنین استفاده‌ای کاملاً مجاز است.

حمله جعل سامانه نام دامنه

جعل سامانه نام دامنه (DNS spoofing) حمله‌ای است که باعث می‌شود داده‌هایی که در کش پایگاه داده یک سرور سامانه نام دامنه قرار دارند، هنگام مسیریابی مجدد یک درخواست برای یک صفحه وب، منجر به بازگرداندن یک آدرس آی‌پی اشتباه شده و ترافیک را به سمت کامپیوتر دیگری که متعلق به هکر است منحرف کنند.

یک سرور سامانه نام دامنه، آدرس اینترنتی یک سایت را به فرمتی قابل فهم برای انسان‌‌ها تبدیل می‌کند. به عبارت دقیق‌تر، یک آدرس عددی را به معادل کاراکتری آن که نام یک سامانه است تبدیل می‌کند. هنگامی که یک سرور سیستم نام دامنه، داده‌های غیر موثق دریافت کند و آن‌را برای بهینه‌سازی عملکرد، کش کند، مسموم در نظر گرفته می‌شود که برای کلاینت‌های آن سرور، داده‌های نامعتبر تأمین می‌کند. اگر یک سرور DNS مسموم شود، ممکن است یک آدرس آی‌پی نادرست برگردانده و ترافیک را به سمت کامپیوتر تحت کنترل هکرها ارسال کند.

آلوده‌سازی کش سامانه نام دامنه

به‌طور معمول یک کامپیوتر تحت شبکه از یک سرور DNS ارائه شده توسط یک شرکت خدمات اینترنتی استفاده می‌کند. سرورهای DNS به‌طور کلی برای بهبود وضوح عملکرد پاسخ و با استفاده از ذخیره کردن نتایج بدست آمده از پرس و جوها در شبکه یک سازمان مستقر می‌شوند. حملات مسموم‌سازی سرور DNS می‌توانند کاربرانی که به‌طور مستقیم از سرور سرویس دریافت می‌کنند یا به‌طور غیرمستقیم توسط سرورهای پایین دست آن، در صورت قابل اجرا بودن، خدمات دریافت می‌کنند را تحت تأثیر قرار دهند. برای پیاده‌سازی یک حمله مسموم‌سازی از رخنه درون نرم‌افزار سامانه نام دامنه استفاده می‌شود. در صورتی که سرور به درستی پاسخ‌های DNS را نتواند برای مطمئن شدن از معتبر بودن یک منبع، اعتبارسنجی کند، سرور به صورت محلی، کش کردن ورودی‌های نادرست را متوقف می‌کند و این ورودی‌ها را به کاربرانی که درخواست مشابه داده بودند، ارائه می‌دهد. این تکنیک می‌تواند برای هدایت کاربران یک سایت به سایت مدنظر هکر استفاده شود. به‌طور مثال، یک مهاجم، ورودی‌های آدرس آی‌پی "DNS" را برای یک سایت هدف، روی سرور "DNS" داده شده، جعل می‌کند و آن‌ها را با آدرس آی‌پی کارسازی که تحت کنترل خودش است، جایگزین می‌کند. او سپس روی کارساز تحت کنترلش فایل‌هایی با نام‌هایی همانند فایل‌های روی کارساز هدف، ایجاد می‌کند. کاربری که رایانه‌اش مورد ارجاع سرور "DNS" مسموم شده قرار گرفته، می‌تواند به پذیرش محتوایی که از یک سرور نامعتبر می‌آید اقدام کند  و باعث انتشار محتوای مخربی شود که کاربران دانلود می‌کنند.

چگوونه مانع پیاده‌سازی این حملات شویم؟

بهترین راهکار عدم اعتماد نسبت به اطلاعاتی است که از طریق سایر سرورهای DNS به آن‌ها ارسال می‌شود و با نادیده گرفتن هر رکورد DNS که به عقب برگردانده شده و مستقیماً به پرس و جو مرتبط نیستند، جلوی بسیاری از حملات مسموم‌سازی کش را گرفت. مسیریاب‌ها، دیوارآتش‌ها، پراکسی‌ها و دیگر تجهیزات دروازه‌ای که وظیفه برگردان نشانی شبکه ("NAT") انجام می‌دهند یا به‌طور خاص‌تر، برگرداندن نشانی پورت (PAT) را انجام می‌دهند، برای ردیابی حالت ارتباط، پورت‌های مبدأ را دوباره‌نویسی می‌کنند. به هنگام تغییر پورت‌های مبدأ، تجهیزات PAT، به‌طور معمول پورت‌های مبدأ که توسط سرور نام به صورت تصادفی پیاده‌سازی شده‌اند را پاک و جایگزین می‌کند. DNS امن (DNSSEC) از امضای الکترونیکی رمزنگاری امضا شده توسط یک گواهی کلید عمومی معتبر برای مشخص کردن اصالت داده‌ها، استفاده می‌کند. DNSSEC می‌تواند با حملات مسموم‌کننده مقابله کند. در سال 2010، DNSSEC در سرورهای منطقه ریشه اینترنت پیاده‌سازی شد. اگرچه برخی  کارشناسان امنیتی ادعا می‌کنند با استفاده از DNSSEC به تنهایی، بدون رمزنگاری لایه کاربرد، مهاجم هنوز هم می‌تواند داده جعلی فراهم کند. این نوع حملات همچنین می‌توانند در لایه کاربرد یا لایه انتقال، هنگامی که ارتباط برقرار شد، با اعتبارسنجی نقطه به نقطه، کاهش یابند. به‌طور مثال، با استفاده از HTTPS کاربران می‌توانند بررسی کنند که آیا گواهی دیجیتالی سرور معتبر است و وب‌گاه متعلق به کسی است که ادعا می‌کند.

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.
برچسب: 
حمله جعل پروتکل تفکیک آدرس - جعل ARP - حمله سامانه نام دامنه
به اشتراک گذاری مطلب: 
Telegram Twitter Print HTML

ایسوس

نظر شما چیست؟