در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

Session Hijacking چگونه انجام می شود ؟ قسمت 6 : Desync Attacks

سلام به دوستان عزیز ITPro ای و علاقه‌مندان به مباحث امنیت شبکه. همانطور که بحث session hijacking را از قسمت های قبلی دنبال میکنید، به این جا رسیدیم که علاوه بر روش TCP hijacking، روش های دیگری نیز برای ایجاد ناهمگامی (desynchronize) در روند انتقال اطلاعات از کلاینت به سرور و بلعکس وجود دارند که طبق وعده در این بخش آن ها را توضیح میدهم. پس بی مقدمه اضافه، بسراغ ادامه داستان میرویم:

IP Spoofing: Source Routed Packets

اگر بخواهم خیلی ساده IP Spoofing را تعریف کنم باید بگویم که روشی است که بوسیله آن میتوان بصورت غیرمجاز به سیستم ها دسترسی پیدا کرد. روش به این صورت است که مهاجم با IP Address ای که ظاهرا متعلق به یک سیستم مجاز است، به کامپیوتر مورد نظر پیغام ارسال میکند. در بحث hijacking، یک سیستم مجاز همان کلاینت است. کار به این صورت است که مهاجم IP کلاینت را بدست میآورد و هدر پکت های خود را طوری اصلاح میکند که انگار آن از طرف آن آدرس IP ارسال شده اند.

این روش به مهاجم این امکان را میدهد تا بتواند خود پکت های ظاهرا مجازش را بسازد و آن ها را در بین پکت های ارسالی در TCP session تزریق (inject) کند. این پکت ها source-route شده هستند به این معنی که ارسال کننده آن ها از ابتدا مسیر آن را تا رسیدن به مقصد مشخص کرده است.با استفاده از این پکت های Source-route شده، مهاجم میتواند پکت ها را به سمت هاست جعلی خودش مسیر دهی کند و این در حالی است که سرور فکر میکند که با کلاینت (قربانی) در حال رد و بدل اطلاعات است.

وقتی که مهاجم توانست با موفقیت یک IP را spoof کند، با استفاده از اطلاعات موجود در پکت دریافت شده از سرور میتواند sequence number بعدی که سرور انتظار دریافت آن را دارد، حدس بزند. بنابراین با استفاده از این اطلاعات پکت جعلی خودش را قبل از آن که کلاینت پاسخ دهد، به TCP session تزریق میکند و به این صورت همانند روش قبلی که در قسمت پیش گفته شد، ناهمگامی در ارتباط بین سرور و کلاینت پیش میآید. باقی داستان همانی است که در روش قبل ( TCP session) گفته شد.
يك Session چگونه ربوده ميشود؟  - بخش چهارم: desynchronized attacks


Blind Hijacking

اگر روش source-routing را کنار بگذاریم، مهاجم میتواند با استفاده از روش blind hijacking هم میتواند اطلاعات آلوده خود را به TCP session تزریق کند. به این روش "blind" یا "کور" گفته میشود چرا که مهاجم اطلاعات و یا دستورات خود را فقط میتواند ارسال کند و امکان مشاهده پاسخی که در برابر آن از سرور و یا کلاینت صادر میشود را ندارد. در این روش مهاجم بر اساس اصول و قوانینی که وجود دارد، پاسخی که از طرف سرور و کلاینت صادر میشود را حدس خواهد زد.
يك Session چگونه ربوده ميشود؟  - بخش چهارم: desynchronized attacks


Packet Sniffer: Man in the Middle

این روش شامل استفاده از یک شنود کننده پکت است که میتواند ارتباطات بین کلاینت و سرور را شنود و حتی ویرایش کند. در این روش مهاجم در بین راه کلاینت و سرور اطلاعات رد و بدل شده را شنود کرده و با واسطه قرار دادن در ارتباط بین کلاینت و سرور میتواند براحتی تمام محتوای پکت های رد و بدل شده را ویرایش کرده و به سمت دیگر نود مجددا ارسال کند. نکته موجود در این روش اینست که تمام پکت ها با عبور از هاست مهاجم به طرف دیگر نود خواهد رسید.


اولین تکنیکی که در این روش میتوان بکار برد، استفاده از پکت های جعلی ICMP است که ترافیک بین کلاینت و سرور را بسمت هاست مهاجم تغییر مسیر میدهد. ICMP افزونه ای از IP است و در اصل برای ارسال پیام های خطا که نشان دهنده بروز خطا در پردازش پکت های موجود در کانکشن است، استفاده میشود. در این حالت، مهاجم پیام های جعلی را برای گول زدن کلاینت و سرور ارسال میکند که محتوای آن ها اینست که مسیری که از هاست مهاجم عبور میکند، بهتر از مسیر اصلی است (بهتر از لحاظ سرعت، کوتاهی مسیر و یا مسیری بدون خطا).


تکنیک دومی که در این روش کاربرد دارد، ARP Spoofing است. ARP مخفف Address Resolution Protocol است. هر هاست-ی از جدول های ARP برای تطابق آدرس های IP لوکال به آدرس سخت افزاری یا همان MAC استفاده میکند. ARP spoofing شامل ارسال ARP reply های جعلی برای فریب هاست هایی ست که برای آپدیت جدول ARP خودشان، ARP request را broadcast کرده اند. این ARP reply های جعلی، کاری که میکنند اینست که تمام IP های موجود درجدول ARP سیستم ها را با مک آدرس سیستم مهاجم متناظر میکنند. نتیجه این میشود که جدول ARP سیستم ها پر از IP های مختلفی ست که همگی به یک آدرس مک اشاره دارند. بهمین خاطر تمام ترافیک هایی که به مقصد هرکدام از آن IP ها آدرس دهی شده اند مستقیما به سیستم مهاجم ارسال میشوند. مهاجم میتواند پس از تغییرات لازم روی پکت ها آن را بسمت مقصد واقعی شان ارسال کند.
يك Session چگونه ربوده ميشود؟  - بخش چهارم: desynchronized attacks


UDP Hijacking

Session hijacking در سطح پروتکل UDP مشابه TCP session hijacking است با این تفاوت که UDP به نسبت TCP پروتکل ضعیفتری است که در مکانیسم کاری خود از sequence number و یا ACK number استفاده نمیکند. درUDP، مهاجم تنها کاری که میکند اینست که قبل از آن که سرور بتواند با پیغام reply به درخواست کلاینت پاسخ دهد، بصورت خیلی ساده یک reply جعل کرده و بجای سرور به‌سمت کلاینت ارسال میکند. اگر موقعیت اجرای hijack از طریق Man in the Middle فراهم باشد، کار برای مهاجم ساده تر هم خواهد شد چرا که بخاطر موقعیتش در بین مسیر ارتباطی سرور و کلاینت، میتواند مانع از رسیدن پیغام reply از سرور به کلاینت شود و بنابراین با خیال راحت تری کار جعل را انجام دهد.

Side Effect: TCP ACK Packet Storms

یکی از تاثیرات جانبی که در کنار TCP session hijacking میتواند رخ دهد، TCP ACK Storm است. اگر مهاجم دقت کافی را نداشته باشد، بخاطر TCP ACK Storm شدیدی که در شبکه رخ میدهد، عمل ربایش session اش، بسیار توی چشم خواهد آمد.TCP ACK Packet Storm در نتیجه ایجاد حالت ناهمگامی در ارتباط بین سرور و کلاینت رخ میدهد. در این حالت، کلاینت و سرور نمیتوانند به همدیگر هیچ پکتی را که قابل قبول برای طرف دیگر باشد، ارسال کنند که همانطور که قبلا گفتیم این موضوع به علت ناهمگامی در sequence number هاست.

در این حالت برای آن که دو طرف ارتباط بتوانند مجددا حالت همگامی (synchronize) را بین خودشان ایجاد کنند، مرتبا برای همدیگر ACK number هایی را ارسال میکنند که قابل قبول برای طرف دیگر نیست. چرخه ارسال این پکت های ACK بحدی میرسد که سبب ایجاد TCP ACK Packet Storm میشود؛ کارایی شبکه بسیار افت خواهد کرد و به همین علت سیستم IDS در شبکه بسرعت این مشکل را شناسایی میکند.


پاک کردن ردپا: ویرایش جدول ARP و همگام سازی مجدد TCP Session

وقتی که TCP ACK Storm رخ میدهد، مهاجم باید بسرعت و در کمترین زمان ردپای خود را پاک کند. برای آن که شبکه از حالت TCP ACK Storm خارج شود، مهاجم جدول ARP را تغییر میدهد. مهاجم مشابه همان روشی که در ARP Spoofing انجام داده بود، شروع به جعل پیام های ARP Reply کرده ولی اینبار بجای آن که مشابه ARP Spoofing، به تمام آدرس های IP موجود در جدول ARP (IP هایی که در حمله session hijacking دخیل بودند) آدرس مک خود را اختصاص دهد، آن ها را با آدرس های سخت افزاری (مک) ای متناظر میکند که اصلا وجود خارجی ندارند.

بنابراین با این حرکت پکت هایی که سبب بوجود آمدن TCP ACK Storm شده بودند، به علت آدرس های اشتباه در جدول ARP دیگر به هیچ جایی ارسال نمیشوند و در نتیجه Storm (طوفان) قطع میشود.به فرض آنکه هیچ TCP ACK Storm ای رخ ندهد، مهاجم میتواند پس از آنکه حمله اش به اتمام رسید، ردپایش را با همگام سازی مجدد کلاینت و سرور (دو سر ارتباط) پاک کند. برای همگام سازی مجدد، sequence number کلاینت باید با آن عددی که سرور در ادامه از کلاینت انتظار دارد، یکسان شود. مهاجم میتواند اینکار را با ارسال درخواستی جعلی به سرور انجام دهد.


خوب دوستان عزیز تا اینجا توانستیم تمام جزئیات مربوط به hijacking در سطح Network را یاد بگیریم. در قسمت بعد سعی بر این خواهد بود تا hijack در سطح Application را بطور کامل تشریح کنم.


پایان بخش چهارم
مانا باشید.

نویسنده: احسان امجدی
منبع: جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.
#آموزش_امنیت_اطلاعات #session_hijacking_چیست؟ #arp_spoofing_چیست؟ #tcp_ack_storm_چیست؟ #tcp_session_hijacking_چیست؟ #آموزش_امنیت_شبکه #حمله_man_in_the_middle_چیست؟ #network_session_hijacking_چیست؟
عنوان
1 Session چیست و چگونه کار می کند ؟ قسمت 1 رایگان
2 Session چیست و چگونه کار می کند ؟ قسمت 2 رایگان
3 Session Hijacking چگونه انجام می شود ؟ قسمت 3 : نقش پروتکل TCP رایگان
4 Session Hijacking چگونه انجام می شود ؟ قسمت 4 : Session چیست ؟ رایگان
5 Session Hijacking چگونه انجام می شود ؟ قسمت 5 : لایه 7 و 3 شبکه رایگان
6 Session Hijacking چگونه انجام می شود ؟ قسمت 6 : Desync Attacks رایگان
7 Session Hijacking چگونه انجام می شود ؟ قسمت 7 : WebApp Hijack رایگان
8 Session Hijacking چگونه انجام می شود ؟ قسمت 8 : ابزارهای Hijack رایگان
9 روش های جلوگیری از Session Hijacking قسمت 9 : بخش 1 رایگان
10 روش های جلوگیری از Session Hijacking قسمت 10 : بخش 2 رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....