احسان امجدی
کارشناس امنیت اطلاعات و ارتباطات

آموزش انجام حمله MITM و شنود بسته های اطلاعاتی در شبکه لوکال

در این نکته قصد داریم تا بصورت ساده تکنیک دیگری را که در بحث مانیتور و شنود ترافیک شبکه بر روی یک سیستم میتواند مفید باشد، بیان کنیم.فکر کردن به آن مثل یک سیستم شنود تلفنی است. مانند زمانی که سیستم شنود هرچیزی را که شخص پشت تلفن بیان میکند را ضبط میکند، یک کپچر کننده پاکت در شبکه هر چیزی را که بر روی رسانه شبکه منتقل میشود را ذخیره میکند. اطلاعات ذخیره شده میتواند شامل نام اکانت ها، پسوردها و یا هرچیز دیگری باشد.در این روش، ما از حمله مرد میانی بر روی یک سیستم در شبکه لوکال و با استفاده از فرمان های arpspoof، urlsnif و driftnet استفاده میکنیم. با استفاده از این فرمان ها میتوانیم مشاهده کنیم که سیستم هدف در حال مشاهده چه وب سایتی است و هر عکسی را که سیستم هدف مشاهده میکند، به ما نیز نشان داده شود. در این نکته از سیستم عامل ویندوز 7 به عنوان سیستم هدف استفاده میکنیم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

ایجاد حمله مرد میانی (Man-in-the-Middle) با استفاده از Arpspoof

یک حمله مرد میانی اساسا سیستم کالی ما را بین سیستم هدف و روتر قرار میدهد. با استفاده از این روش میتوانیم تمام ترافیکی ورودی و خروجی به سیستم هدف را مشاهده کنیم. تمام ترافیکی که از سیستم هدف به سمت اینترنت خارج میشود، ابتدا در سیستم کالی ما وارد میشود و پس از آن که ترافیک را کپچر کردیم، آن را بسمت شبکه مجددا ارسال میکنیم. همین فرآیند در جهت عکس نیز اتفاق میافتد.ما این کار را با ویرایش ARP table بر روی روتر و سیستم هدف انجام میدهیم.

جدول های ARP به سیستم میگویند که چه آدرس MAC ای با کدام آدرس IP متناظر است. بنابراین وقتی ما به سیستم هدف بگوییم که ما روتر اینترنتی هستیم، و به روتر اینترنتی بگوییم که ما سیستم هدف هستیم، توانسته ایم جدول ARP در دو طرف ارتباط را به نفع خودمان ویرایش کنیم.ما میتوانیم بصورت خیلی ساده جدول ARP را با استفاده از برنامه "arpspoof" ویرایش کنیم. اما قبل از آن باید IP Forwarding را با استفاده از فرمان زیر فعال کنیم:

root@kali:~# echo 1>/proc/sys/net/ipv4/ip_forward

حالا باید فرمان arpspoof را اجرا کنیم. برای این کار بایستی، سوئیچ (i-) اینترفیس شبکه، سوئیچ (t-) آدرس سیستم هدف و آدرس روتر را طبق فرمان زیر آماده نماییم:

root@kali:~# arpspoof –i eth0 –t 192.168.198.132 192.168.198.2

ArpSpoof شروع به ارسال آدرس های MAC اصلاح شده میکند. در مرحله بعد میخواهیم ببینیم که از سیستم هدف چه چیزی را میتوانیم کپچر کنیم.

مشاهده اطلاعات URL با Urlsnarf

برای این منظور فرمان زیر را وارد میکنیم:

root@kali:~# urlsnarf –i eth0

وقتی که کاربر مشغول مشاهده وب باشد، شما ترافیک وب او را بصورت زیر خواهید دید:

وب سایت توسینسو

این کار بما اجازه میدهد تا بتوانیم تمام آدرس های وب سایتی را که کاربر از آن ها بازدید کرده است را در سیستم کالی خود مشاهده نماییم!

مشاهده تصاویر کپچر شده با استفاده از Driftnet

بصورت خیلی ساده فرمان " driftnet" را با سوئیچ (i-) برای مشخص کردن اینترفیس، وارد میکنیم:

root@kali:~# driftnet –i eth0

یک پنجره driftnet بایستی در صفحه نمایش کالی، بصورت پاپ آپ باز شود. آن را بزرگ کرده تا بتوانید راحت تر عکس هایی را که کاربر در سیستم هدف و در وب سایت مشاهده میکند، ببینید.برای تست این که این فرمان بدرستی کار میکند، به سیستم هدف رفته و وب سایتی را باز کنید. مشاهده خواهید کرد که تمام عکس های موجود بر روی صفحه وب، همزمان بر روی سیستم کالی نیز نمایش داده میشوند. به عنوان مثال اگر در سیستم هدف وب سایت مورد نظر شامل عکس هایی باشد، در سیستم کالی تمام این عکس ها بصورت زیر نمایش داده میشوند:

وب سایت توسینسو

خوب به همین سادگی به تمام اهدافمان در یک سناریو ساده رسیدیم. به همین طریق میتوان این سناریو را برای پروزه های پیچیده تر بسط داد.


احسان امجدی
احسان امجدی

کارشناس امنیت اطلاعات و ارتباطات

احسان امجدی ، مشاور امنیت اطلاعات و ارتباطات و تست نفوذ سنجی ، هکر کلاه سفید ، مدرس دوره های تخصصی امنیت اطلاعات و شبکه ، تخصص در حوزه های سرویس های مایکروسافت ، Routing و Switching ، مجازی سازی ، امنیت اطلاعات و تست نفوذ ، کشف جرائم رایانه ای و سیستم عامل لینوکس ، متخصص در حوزه SOC و ...

نظرات