عجب !
یعنی شما با 4 تا AVR اومدین ARP Table رو مستقل کردین ؟ یا با استفاده از یک application میاین mac ها رو میگیرین و بعد میریزین تو RAM دستگاهتون و بعدش درخواست ها رو مقایسه میکنید ؟ بنظر کار سخت و غیر منطقی ای میاد .
بهر حال من توضیح کامل میدم .
sniffing فقط در شبکه هایی که از هاب استفاده کردن ب راحتی قابل استفاده هستش . به این صورت که یک بسته ای که یک کامپیوتر ارسال می کنه هاب اون رو برای کل شبکه Broadcast میکنه . و شما با استفاده از یک اسنیفر مثل Ethreal می تونید کل بسته هایی که براتون میاد رو ببینید .
اما در مورد شبکه هایی که هاب سویچ هستش ( توجه کنید سویچ نه . هاب سویچ . سویچ کانفیگ می تونید بکنید و کلی امکانات داره اما سویچ هاب فقط Broadcast نمی کنه ) در این شرایط شما به Spoofing هم نیاز دارید تا بتونید شبکه رو Sniff کنید . حالا چطور ؟
این کار با استفاده از پروتکل ARp انجام میشه . همینطور که میدونید پروتکل ARP آدرس آی پی رو به Mac آدرس ترجمه می کنه . به عبارتی اونهارو با هم مچ میکنه . خوب . هر سیستمی یک ARP TAble داره که در اون آدرس آی پی ها و Mac آدرس اون هارو لیست می کنه . این ARP Table ها به صورت پیشفرض dynamic هستند .
یک مثال مزنیم .
سیستم A می خواد سیستم B رو پینگ کنه . سیستم B دارای آی پی 192.168.1.10 هستش . در ابتدا سیستم A یک پیغام who is برای کل شبکه میفرسته و میگه آدرس MAC سیستمی با آی پی 192.168.1.10 چی هستش ؟ کامپیوتری که این آدرس آی پی به اون اختصاص داده شده جواب رو به کامپیوتر A میده و در جواب مک آدرس خودش رو برای سیستم A میفرسته . در اینجا سیستم A مک آدرس سیستم B رو در جدول ARP در مقابل آی پی سیستم B ذخیره میکنه تا هر دفه پرسش نکنه . بر این اساس که میگند MAC address تغیر نمی کنه ARP هر چند دقیقه یک بار تست میکنه که آیا کامپیوتری به شبکه اضافه شده ؟ یا کامپیوتری آی پی خودش رو عوض کرده یا خیر ؟
حالا در اینجا چطور میشه Spoof کرد ؟
Spoofing به معنی جعل کردن هستش . به این عکس نگاه کنید.
روی عکس کلیک کنید تا بزرگ بشه
در اینجا آی پی سیستم B با مک آدرس مختص به اون در جدول ARP سیستم A ذخیره شده .
حالا Attacker اول یک پیغام Who is برای کل شبکه میفرسته و می خواد که سیستم B با آی پی 192.168.1.10 مک آدرس خودش رو برای Attacker بفرسته . سیستم B آدرس مک خودش رو برای هکر میفرسته و هکر با برنامه هایی مثل Cain - Mac changger آدرس مک خودش رو به حالت Hidden در میاره و مک آدرس تقلبی که همان مک آدرس سیستم b هستش رو تقلید میکنه . ( مک آدرس عوض نمیشه فقط مک آدرس قبلی نادیده گرفته میشه و مک آدرس جدید جعل میشه ) . حالا کافیه سیستم هکر سیستم A رو پینگ کنه . سیستم A با جدول Arp مقایسه میکنه و میبینه که این مک آدرس تو جدول هست اما آی پی فرق می کنه . همانطور که گفتم با این دید که مک آدرس عوض نمیشه احتمال میده که سیستم آی پی آدرس خودش رو عوض کرده . و استراتژی به شکل زیر در میاد .
روی شکل کلیک کنید تا بزرگ تر ببینید
خوب سیستم A به اشتباه تمام داده هایی که می خواد به سیستم B بفرسته به Attacker میفرسته . حالا Attacker یک اسنیفر اجرا میکنه و تمامی بسته ها رو اسنیف میکنه .
اینجا یک مشکلی هست اونم اینکه ارتباط بین A و B قطع میشه . برای اینکه حمله کمی زیرکانه باشه و ارتباط قطع نشه سیستم Attacker تمامی بسته هایی که مربوط به سیستم B هستش ( Destination = 192.168.1.10 ) رو تقلید کرده و برای سیستم B میفرسته . که به این حالت میگن ( Man In The Midle ( MITM
برای اینکه این مشکل پیش نیاد باید تمامی مک آدرس ها رو دستی وارد کنید و ARP static درست کنید . برای این کار از دستور arp -s 192.167.1.10 00-D1-F8-6C-P4-BD در ویندوز میتونید استفاده کنید . البته اگه شبکه تعداد نود هاش زیاد باشه این کار خیلی سخته و ممکن اشتباه هم رخ بده . برای اینجور مواقع برنامه های ARP Freez وجود دارن که میتونین ازشون استفاده کنید .
اگه سیستم رو ARP Freez هم کنید باز هم با وجود سویچ هایی که Mac Table شون دارای ظرفیت کمی هستش شبکه به خطر می افته . زیرا این سویچ ها دو حالت دارن وقتی جدول مک آدرسشون پر میشه .
حالت اول : بعد از پر شده به حالت Broadcast در میان و تمامی بسته ها رو broadcast می کنن و مثل یک هاب عمل می کنند که اینطوری خیلی راحت تمامی ترافیک شبکه رو میتونید اسنیف کنید
حالت دوم : در این حالت آدرس مک و آی پی جدیدی که بعد از پر شدن جدول وارد میشه بجای اولین مک آدرس و آی پی که در جدول ثبت شده overwrite میشه . هکر میتونه کل جدول رو با آی پی خودش و مک آدرس خودش overwrite کنه و باز هم به اسنیف بپردازه.
برای اینکه بفهمین کسی تو شبکه داره اسنیف می کنه یا نه هم یک راهی وجود داره اما 100% نیست . تمامی سیستم ها رو پینگ کنید . اون سیستمی که دیرتر به پینگ ها جواب میده احتمال اینکه اسنیفر کار گذاشته باشه و نقش MITM رو در شبکه ایفا میکنه بیشتره . زیرا باید تمامی بسته ها رو جعل کنه و به سیستم هدف بفرسته که این کار Usage زیادی رو به خودش اختصاص میده و ترافیک هم بالا میره .
اما در مورد Vlan که آقای افضلان کفتند به این دلیل گفتند که شما نمیتونید به دلیل tag ای که در بسته ها وجود داره به Vlan دیگه دسترسی پیدا کنید . اما برای این هم راه هست که بهش میگن Double-Tagging اگه خواستید بگید Double-tagging رو هم توضیح بدم
7سپاس
LinkBack URL
About LinkBacks
نوشته اصلی توسط Shina
اسنیف
مجوز های ارسال و ویرایش
