سلام به تمامی دوستان . در تاپیک قبلی بحث به حاشیه کشیده شده بود و من هم مقصر بودم و از همه دوستان طلب بخشش می کنم . با گفته ی آقای محمد رسول راستی موافق بودم و به همین جهت یک تاپیک اختصاصی در مورد تئوری هایی که خودم قبول دارم اونهارو باز کردم و تئوری های موجود رو در اینجا قرار میدم و جناب کلاهی هم لطف کننید یک تاپیک دیگه بزنند و تئوری های خودشون رو اونجا قرار بدن . حالا یا بهتر اینکه پایپن همین تاپیک بنده کل تئوری هایی که مورد قبول ایشون هست رو بزارند .

بحث اصلی در مورد دو نکته بود :

1. جعل آی پی برای ارسال پیام ها در محیط اینترنت و لوکال

2. تشخیص bot ها و botnet ها توسط honeypot ها

خوب ابتدا جعل آی پی در لوکال رو تئوری های موجود در مورد این موضوع رو میگم .

در شبکه های محلی به دلیل وجود ARP و نبود router شما می تونید آی پی جعل کنید و mac آدرس یک کامپیوتر دیگه رو هم جعل کنید که اینطور هم یک حمله man in the middle ( MITM ) انجام بدید و هم میتونید یک حمله Dos . شما اگر MITM انجام ندید توسط برنامه هایی مثل cain و جعل mac address رو توسط برنامه هایی مثل change mac انجام بدهید دیگر بسته های رسیده بشما به مقصد ارسال نمیشود و شما با این روش حمله ی تکذیب سرویس رو انجام دادید . نمونه ای از این نوع حمله ها در روتر ها در پروتکل HSRP وجود داره اما کمی فرق میکنه کلاً این حمله که ترافیک رو مسیرش رو تغیر بدید در حالت NLB شدن چه بین روتر ها چه کامپیوتر ها دیده شده . یک کتابی هست به نام Lan Switch security (what hackers about your switchs ) اسمش رو نگاه نکنید در مورد حمله به روتر ها هم خیلی توضیح داده .

نتیجه گیری : اگر حملات MAC spoofing که در بالا گفتم توسط برنامه هایی مثل cain انجام بشه که بعد از دریافت بسته ها اون رو به مقصد با همون source ip برسونه ارتباط برقرار می مونه و فقط هدف از این حمله اسنیف کردن ترافیک هستش که میشه Man In The Middle . اما اگر به صورت دستی توسط یک برنامه مثل Change mac مک آدرس خودتون رو جعل کنید ارتباط سیستمی که مک آدرس اون رو جعل کردید با بقیه سیستم ها قطع میشه که یک جور حمله DOS در شبکه محلی صورت گرفته در این شرایط

در شبکه های محلی چون معمولاً روتری وجود نداره که فیلد Source Ip رو چک کنه شما می تونین بسته های ارسالی رو با آی پی های generate شده به سوی هدف بفرستین اما در اینترنت روتر وجود داره و اگر فیلد source ip با رنج آی پی اینترفیسی که توسط اون به روتر متصل شده اید یکی نباشه بسته رو انتقال نمیده . جط اینکه Default route باشه که با این حال یک روتر DF route باشه دوتا روتر Df route باشه تا مقصد همه Df route نمیتونن باشن . و جایی هم از جعل آی پی به این شکل در اینترنت بحث نشده . پس به این شکل نمیشه جعل کرد . در اینترنت mac آدرسی هم به کار نمیره که mac spoofing کنین . پس ip spoofing فقط در محیط lan امکان پذیر هستش .

نکته : می تونید از پروکسی ساکس در حمله ها استفاده کنید اما یک مشکلی هست در حمله . آی پی شما وقتی از پروکسی ساکس استفاده میکنید در قسمت forward ip نشان داده میشه که اینطور میشه فهمید آی پی اصلی ماشینی که حمله می کنه مشخص شده و بلوک میشه . برای دیدن این موضوع یک پروکسی ساکس در مرورگر خودتون ست کنید بعد برید در سایت ip-address.com بعد میبینید که آی پی اصلی شما رو هم بهتون میده در قسمتForward ip و در قسمت بعدی آی پی پروکسی رو نشون میده . در این مورد بنده اطلاعات کامل ندارم شاید جایی اشتباه می کنم . اما تا جایی که فهمیدم از پروکسی ساکس استفاده بشه آی پی اصلی رو میشه فهمید . که این کار هم اصلاً بهش ip spoofing نمیگن . شما از پروکسی دارین استفاده میکنین همین .

refrence :

Hacking Exposed 5th Edition (Hacking Exposed)
Penetration Testing and Network Defense
Hacking: The Next Generation (Animal Guide)
Lan Switch security (what hackers about your switchs )
Internet Denial of Service: Attack and Defense Mechanisms By Jelena Mirkovic, Sven Dietrich, David Dittrich, Peter Reiher d

موضوع دوم در مورد این بود که چطور honeypot ها bot ها و botnet ها رو شناسایی می کنند ؟

در تاپیک قبل توضیح کلی داده شد که از وبلاگ جناب کشفی بنده برداشتم و دیگه به خودم زحمت نوشتن دادم .

اما به صورت کلی خودم هم یک توضیحی میدم .

bot ها برای نفوذ به سیستم ها و گسترش خودشون از روش های مختلفی استفاده می کنند :


  • استفاده از ضعف های امنیتی سرویس های اجرا شده توسط سیستم عامل یا نرم افزارهای جانبی ( مانند RPC , WEB , FTP , Backup,…) و اکسپلویت کردن آنها برای حصول دسترسی به سیستم قربانی جدید
  • استفاده از ضعف های امنیتی نرم افزارهای تحت وب (ضعف های منتج به اجرای کد یا دستور سیستم عامل)
  • استفاده از ضمیمه های آلوده ارسال شده به روش Spamming و ترغیب کاربر به اجرای آنها
  • استفاده از ضعف های امنیتی نرم افزارهایی که اصطاحآ Client-Side خوانده می شوند (Browsers, Mail Clients ,Media players,…)
  • استفاده از اعتماد (Trust) موجود در شبکه های داخلی بر روی پروتکل هایی مانند FTP ,SMB ,NFS و یا شبکه های به اشتراک گذاری فایل (P2P File Sharing)
  • استفاده از روش حدث کلمات عبور ضعیف پروتکل هایی مانند SSH ,Telnet,… و دسترسی به سیستم جدید از طریق آنها

شما توسط honeypot ها می تونید این محیط رو شبیح سازی کنید و bot ها رو شکار کنید و با مانیتور کردن آنها رفتار های اون ها رو شناسایی کنید و متوجه بشید که فلان bot از چه روش هایی برای گسترش استفاده میکنه . honeypot ها فقط برای گیر انداختن هکر ها استفاده نمیشه بلکه به این منظور بیشتر مورد استفاده قرار میگیره . در آزمایشگاه های شرکت های بزرگی همچون eeye digital security که پشتیبانی مباحث امنیتی microsoft هستش ( این بحث پشتیبانی مال سال 2004 - 2005 هستش حالا نمیدونم باز هم با همین شرکت قرار داد دارند یا نه ) برای شناسایی انواع Bot ها از این روش ها استفاده میشه که از honeypot های اختصاصی استفاده میکنند . شما با honeypot های مجانی نمیتونید همچین کاری کنید . اما این روش شناخته شده هستش . بعد از مشخص شدن رفتار های bot ها و چکونگی فعالیت اون ها باید متوجه شد که از کجا دستور میگیرند ؟ به کدوم کانال join می کنند ؟ از چه طریقی با سرور اصلی که این انسجام رو برای فعالیت ایجاد می کنه استفاده می کنند . معمولاً bot ها از چند روش برای ارتباط با سرور اصلی خودشون استفاده می کنند :

  • مبتنی بر IRC : استفاده از پروتکل و مکانیزم کاری IRC برای برقراری ارتباط
  • مبتنی بر Web : استفاده از پروتکل HTTP برای برقراری با کنترل کننده مرکزی و دریافت یا ارسال دستورات و داده ها
  • مبتنی بر پروتکل های Peer to Peer ( P2P) برای برقراری ارتباط با یکدیگر و C&C
  • مبتنی بر پروتکل های Instant Messaging ( مانند MSN ,YIM ,ICQ)
  • مبتنی بر پروتکل FTP

با شنود ترافیک ماشین آلوده شده میشه فهمید که ارتباط Bot ای که سیستم رو آلوده کرده با سرور از چه طریقی هستش و اصلاً از کجا دستور میگیره و با کجا ارتباط داره که اینطور میشه botnet مورد نظر رو نشاسایی کرد . حالا یک سایت باشه یا یک کانال irc . توضیحات تکمیلی در این باره در تاپیک قبلی توسط یکی از دوستان ( حمید کشفی ) داده شد که از وبلاگ ایشون برداشته بودم و گذاشته بودم .

refrence:

Botnet Detection Countering the Largest Security Threat

Botnets: The Killer Web App

The Art of Computer Virus Research and Defense
Botnet Detection: Countering the Largest Security Threat (Advances in Information Security

Crimeware: Understanding New Attacks and Defenses

Virtual Honeypots: From Botnet Tracking to Intrusion Detection


پاورقی : دوتا کتاب اولی رو خودم پارسال خوانده بودم و داشتم شون توی سیستمم که آپلود کردم براتون . اون کتاب های بالایی هم قبلاً از Flazx گرفته بودم اما تو لپ تاپ داشتم اما الان با pc اومدم که اینجا ندارمشون مجبور شدم لینک flazx بزارم . با Vpn برین و دانلودشون کنین . اگه نتونستین هر کدوم از کتاب ها رو می خوایین بگین براتون آپلود کنم . ( flazx آی پی های ایران رو بلوک کرده vpn فراموش نشه )



موضوعات مشابه: