درخواست های ارتباط
جستجو تنظیمات
لیست دوستان من
صندوق پیام
همه را دیدم تنظیمات
  • در حال دریافت لیست پیام ها
صندوق پیام
  • در حال دریافت لیست رویدادها
همه رویدادهای من

تکنیک های شناسایی حملات IP Spoofing قسمت اول : Direct TTL Probe

1 نظرات
قبلا در ITPRO در خصوص حملات جعل آدرس IP یا IP Spoofing و نحوه عملکرد آن توضیح داده ایم امروز می خواهیم در اولین گام یکی از تکنیک های مقابله و شناسایی این نوع حملات را برای شما تشریح کنیم که به عنوان Direct TTL Probe شناخته می شود. همانطور که می دانید زمانیکه شما می خواهید از یک مبدا به یک مقصد در شبکه اینترنت بسته اطلاعاتی را انتقال بدهید از روترهای مختلفی این بسته عبور می کند که عددی به ما به عنوان خروجی تعداد روترهای مسیر به عنوان TTL خروجی داده می شود ( البته در این سناریو اینطور شما فرض کنید ) . برای شناسایی IP Spoofing ما برای یک مقصد که تصور می کنیم آلوده به IP Spoofing شده است در شبکه یک Packet ارسال می کنیم و منتظر پاسخ از آن مقصد می شویم. در زمان بازگشت باید بررسی کنید که TTL بسته ارسالی با TTL بسته دریافتی یکسان و هماهنگ است و تغییری در آن ایجاد نشده است. اگر بسته اطلاعاتی شما در رفت و برگشت یک مقدار ثابت و مشخص TTL را به عنوان خروجی ارسال کرد یعنی پروتکل در این میان مشکلی نداشته و ارتباط از نظر IP Spoofing مشکلی ندارد. البته توجه کنید که مقدار TTL اولیه در پروتکل های مختلف متفاوت است برای بسته های TCP یا UDP بصورت کلی این عدد یا 64 است یا 128 اما برای بسته های ICMP این مقدار 128 و 255 می باشد. خوب اگر با هر یک از این پروتکل ها بسته ای به سمت مقصد اطلاعاتی خودتان ارسال کردید و عدد متفاوتی را دریافت کردید حتما بایستی Hop Count های وسط مسیر را بررسی کنید چون احتمالا حمله IP Spoofing در حال انجام است.

شناسایی حملات IP Spoofing


تعداد Hop Count ای که در مسیر وجود دارد را می توان با کسر کردن مقدار بازگشی TTL از مقدار اولیه TTL محاسبه کرد.اگر TTL ای که در بازگشت وجود داشته است با TTL بسته ای که شما ارسال کرده اید یکسان نبود احتمال وجود Spoofed Packet یا بسته جعلی وجود دارد. اگر هکر زرنگ باشد و مقدار Hop Count های بین کلاینت و سرور را بداند برای هکر انجام حمله بسیار ساده تر خواهد بود . در این حالت نتیجه ای که ما بدست می آوریم در اصطلاح False Negative خواهد بود ! یعنی به اشتباه تشخیص می دهیم که ترافیک آلوده سالم است ... حالا همه اینها را گفتیم که خیلی خیلی ساده تر به زبان ITPRO بیان کنیم ، شما از مبدا تا مقصد تعدادی روتر دارید که تعدادشان قابل محاسبه است ، با استفاده از مکانیزم گفته شده ما تعداد روترهای مبدا تا مقصد را محاسبه می کنیم ، اگر بسته ای که می فرستیم از تعداد روترهایی برای مثال 10 عدد عبور می کند اما بسته بازگشتی به ما تعداد 12 عدد روتر را نشان می دهد بدین معناست که در این میان مسیر بسته شما تغییر کرده است و بسته آلوده است ، حالا اگر هکر این موضوع را بداند و تعداد روترها را دقیقا مشابه تعدادی قرار بدهد که باید در حالت عادی باشد شناسایی این حمله مشکل خواهد بود.این تکنیک زمانی کاربرد دارد که هکر از Subnet متفاوتی حمله را انجام بدهد که هدف در آن قرار ندارد. ITPRO باشید

نویسنده : محمد نصیری
منبع : ITPRO
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
برچسب ها
ردیف عنوان قیمت
1 تکنیک های شناسایی حملات IP Spoofing قسمت اول : Direct TTL Probe رایگان
2 تکنیک های شناسایی حملات IP Spoofing قسمت دوم : IP Identification Number رایگان
3 تکنیک های شناسایی حملات IP Spoofing قسمت سوم : TCP Flow Control رایگان
مطالب مرتبط
نظرات

برای ارسال نظر ابتدا به سایت وارد شوید

arrow