Loading…

جزیره امنیت اطلاعات و ارتباطات

ارسال کننده: UNITY
محمد نصیری ، بنیانگذار TOSINSO ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، هکر کلاه سفید ، تخصص در حوزه امنیت سیستم عامل و تست های نفوذسنجی ، لینوکس ، مجازی سازی ، سرویس های کاربردی سرور و ... سابقه همکاری در بیش از 40 سازمان دولتی ، خصوصی و نظامی در حوزه پروژه ، مشاوره و آموزش ، بیش از 10 هزار ساعت سابقه آموزشی در طی 12 سال فعالیت حرفه ای ...
ارسال پیام خصوصی
امتیازات این مطلب
نکته: تکنیک های شناسایی حملات IP Spoofing قسمت اول : Direct TTL Probe
قبلا در ITPRO در خصوص حملات جعل آدرس IP یا IP Spoofing و نحوه عملکرد آن توضیح داده ایم امروز می خواهیم در اولین گام یکی از تکنیک های مقابله و شناسایی این نوع حملات را برای شما تشریح کنیم که به عنوان Direct TTL Probe شناخته می شود. همانطور که می دانید زمانیکه شما می خواهید از یک مبدا به یک مقصد در شبکه اینترنت بسته اطلاعاتی را انتقال بدهید از روترهای مختلفی این بسته عبور می کند که عددی به ما به عنوان خروجی تعداد روترهای مسیر به عنوان TTL خروجی داده می شود ( البته در این سناریو اینطور شما فرض کنید ) . برای شناسایی IP Spoofing ما برای یک مقصد که تصور می کنیم آلوده به IP Spoofing شده است در شبکه یک Packet ارسال می کنیم و منتظر پاسخ از آن مقصد می شویم. در زمان بازگشت باید بررسی کنید که TTL بسته ارسالی با TTL بسته دریافتی یکسان و هماهنگ است و تغییری در آن ایجاد نشده است. اگر بسته اطلاعاتی شما در رفت و برگشت یک مقدار ثابت و مشخص TTL را به عنوان خروجی ارسال کرد یعنی پروتکل در این میان مشکلی نداشته و ارتباط از نظر IP Spoofing مشکلی ندارد. البته توجه کنید که مقدار TTL اولیه در پروتکل های مختلف متفاوت است برای بسته های TCP یا UDP بصورت کلی این عدد یا 64 است یا 128 اما برای بسته های ICMP این مقدار 128 و 255 می باشد. خوب اگر با هر یک از این پروتکل ها بسته ای به سمت مقصد اطلاعاتی خودتان ارسال کردید و عدد متفاوتی را دریافت کردید حتما بایستی Hop Count های وسط مسیر را بررسی کنید چون احتمالا حمله IP Spoofing در حال انجام است.

شناسایی حملات IP Spoofing


تعداد Hop Count ای که در مسیر وجود دارد را می توان با کسر کردن مقدار بازگشی TTL از مقدار اولیه TTL محاسبه کرد.اگر TTL ای که در بازگشت وجود داشته است با TTL بسته ای که شما ارسال کرده اید یکسان نبود احتمال وجود Spoofed Packet یا بسته جعلی وجود دارد. اگر هکر زرنگ باشد و مقدار Hop Count های بین کلاینت و سرور را بداند برای هکر انجام حمله بسیار ساده تر خواهد بود . در این حالت نتیجه ای که ما بدست می آوریم در اصطلاح False Negative خواهد بود ! یعنی به اشتباه تشخیص می دهیم که ترافیک آلوده سالم است ... حالا همه اینها را گفتیم که خیلی خیلی ساده تر به زبان ITPRO بیان کنیم ، شما از مبدا تا مقصد تعدادی روتر دارید که تعدادشان قابل محاسبه است ، با استفاده از مکانیزم گفته شده ما تعداد روترهای مبدا تا مقصد را محاسبه می کنیم ، اگر بسته ای که می فرستیم از تعداد روترهایی برای مثال 10 عدد عبور می کند اما بسته بازگشتی به ما تعداد 12 عدد روتر را نشان می دهد بدین معناست که در این میان مسیر بسته شما تغییر کرده است و بسته آلوده است ، حالا اگر هکر این موضوع را بداند و تعداد روترها را دقیقا مشابه تعدادی قرار بدهد که باید در حالت عادی باشد شناسایی این حمله مشکل خواهد بود.این تکنیک زمانی کاربرد دارد که هکر از Subnet متفاوتی حمله را انجام بدهد که هدف در آن قرار ندارد. ITPRO باشید

نویسنده : محمد نصیری
منبع : ITPRO
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
دیدگاه ها
  • ارسال توسط:
  • زمان ارسال: 5 ماه قبل
مهندس نصيري با اين نكته ها و مقاله هاي جالب داري يواش يواش علاقمندمون ميكني به مبحث امنيت ،،،واقعا عالي هست،،
برای ارسال نظر وارد شوید.