محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

Direct TTL Probe چیست؟ تشخیص حمله IP Spoofing

قبلا در توسینسو در خصوص حملات جعل آدرس IP یا IP Spoofing و نحوه عملکرد آن توضیح داده ایم امروز می خواهیم در اولین گام یکی از تکنیک های مقابله و شناسایی این نوع حملات را برای شما تشریح کنیم که به عنوان Direct TTL Probe شناخته می شود. همانطور که می دانید زمانیکه شما می خواهید از یک مبدا به یک مقصد در شبکه اینترنت بسته اطلاعاتی را انتقال بدهید از روترهای مختلفی این بسته عبور می کند که عددی به ما به عنوان خروجی تعداد روترهای مسیر به عنوان TTL خروجی داده می شود ( البته در این سناریو اینطور شما فرض کنید ) .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

برای شناسایی IP Spoofing ما برای یک مقصد که تصور می کنیم آلوده به IP Spoofing شده است در شبکه یک Packet ارسال می کنیم و منتظر پاسخ از آن مقصد می شویم. در زمان بازگشت باید بررسی کنید که TTL بسته ارسالی با TTL بسته دریافتی یکسان و هماهنگ است و تغییری در آن ایجاد نشده است. اگر بسته اطلاعاتی شما در رفت و برگشت یک مقدار ثابت و مشخص TTL را به عنوان خروجی ارسال کرد یعنی پروتکل در این میان مشکلی نداشته و ارتباط از نظر IP Spoofing مشکلی ندارد.

البته توجه کنید که مقدار TTL اولیه در پروتکل های مختلف متفاوت است برای بسته های TCP یا UDP بصورت کلی این عدد یا 64 است یا 128 اما برای بسته های ICMP این مقدار 128 و 255 می باشد. خوب اگر با هر یک از این پروتکل ها بسته ای به سمت مقصد اطلاعاتی خودتان ارسال کردید و عدد متفاوتی را دریافت کردید حتما بایستی Hop Count های وسط مسیر را بررسی کنید چون احتمالا حمله IP Spoofing در حال انجام است.


شناسایی حملات IP Spoofing


تعداد Hop Count ای که در مسیر وجود دارد را می توان با کسر کردن مقدار بازگشی TTL از مقدار اولیه TTL محاسبه کرد.اگر TTL ای که در بازگشت وجود داشته است با TTL بسته ای که شما ارسال کرده اید یکسان نبود احتمال وجود Spoofed Packet یا بسته جعلی وجود دارد. اگر هکر زرنگ باشد و مقدار Hop Count های بین کلاینت و سرور را بداند برای هکر انجام حمله بسیار ساده تر خواهد بود .

در این حالت نتیجه ای که ما بدست می آوریم در اصطلاح False Negative خواهد بود ! یعنی به اشتباه تشخیص می دهیم که ترافیک آلوده سالم است ... حالا همه اینها را گفتیم که خیلی خیلی ساده تر به زبان ITPRO بیان کنیم ، شما از مبدا تا مقصد تعدادی روتر دارید که تعدادشان قابل محاسبه است ، با استفاده از مکانیزم گفته شده ما تعداد روترهای مبدا تا مقصد را محاسبه می کنیم .

اگر بسته ای که می فرستیم از تعداد روترهایی برای مثال 10 عدد عبور می کند اما بسته بازگشتی به ما تعداد 12 عدد روتر را نشان می دهد بدین معناست که در این میان مسیر بسته شما تغییر کرده است و بسته آلوده است ، حالا اگر هکر این موضوع را بداند و تعداد روترها را دقیقا مشابه تعدادی قرار بدهد که باید در حالت عادی باشد شناسایی این حمله مشکل خواهد بود.این تکنیک زمانی کاربرد دارد که هکر از Subnet متفاوتی حمله را انجام بدهد که هدف در آن قرار ندارد. ITPRO باشید


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات