موضوع ارائه مورد نظر

1

موضوع ارائه مورد نظر

Sniff :موضوع ارائه

Y o u r N a m e : m a r y a m k h e z r i a n

امنیت در شبکه های کامپوتری )دکتر بهروز ترک (1386الدانی

امنیت در شبکه های کامپوتری )دکتر بهروز)ترک الدانی 1386

2

Packet Sniff

استراق سمع بسته و اطالعات در حال مبادله روی شبکه یکی از حمالت بسیار موثر می باشد که

ترافیک شبکه نفوذگر از این طریق به همه .دسترسی پیدا می کند

مریم خضریان


3

های شبکه سمع استراق مصرف موارد:کامپیوتری

کشف مشکالت ارتباطی شبکه های برای قادر به برقراری aکامپیوتری)مثال این که کامپیوتر

نیست .(bارتباط با کامپیوتر تبدیل ترافیک شبکه به متن قابل خواندن 1آنالیز کارایی شبکه به منظور کشف گلوگاه ها

کشف نفوذ های احتمالی به شبکه از سوی نفوذگران

از شبکه به منظور جلوگیری از اینکه 2واقعه نگاری نفوذگران نتوانندبه شبکه نفوذ کرده وردپاهای خود را از

بین ببرند .

_______________________________________ 1.Bottleneck 2. Create logs


4

وجود شبکه ترافیک سمع استراق امکان چگونهدارد؟

پرتکل اترنت بر مبنای مدیریت اشتراک در شبکه های کامپیوتری طراحی شده است تمام ماشین ها در یک شبکه محلی از یک سیم مشترک استفاده می کنند پس این امکان وجود دارد که ماشین ها

تمامی ترافیک شبکه را استراق سمع کنند.پس اترنت فیلتری را طراحی کرد که هر ماشین فقط ترافیک مربوط به آدرس فیزیکی خود

را از روی شبکه بردارد.یک برنامه استراق سمع این فیلتر را برداشته و سخت افزار اترنت را در

قرار می دهد. که در این حالت کلیه بسته های عبوری 1حالت بی قیداز شبکه را دریافت می کند .

_________________________________________________________________________________________1.Promiscuous mode


5

سمع استراق افزار نرم یک : اجزا1سخت افزار•

اکثر این نرم افزار ها با کارت های شبکه معمولی کار می کنند و نیاز به سخت افزار اضافی ندارند.

2گرداننده مسیر•

مهمترین قسمت نرم افزار است که ترافیک را از شبکه ضبط می کند آنرا به صورت دلخواه نفوذگر فیلتر می کند و در بافر

ذخیره می کند 3بافر •

بسته هایی که ضبط شده اند در این قسمت نگه داری می شوند.

____________________________________________________ 1.Hardware 2. Capture driver 3.Buffer


6

1تحلیل گر روی خط•امکان دیدن بسته های عبوری از شبکه را فراهم می کند .

2کد گشا •

امکان نمایش بسته های عبوری از شبکه را به صورت متن قابل فهم فراهم می کند

3ویرایشگر بسته یا حمل کننده آن •

برخی از نرم افزارها امکان ویرایش بسته های عبوری از شبکه و هدایت آن ها در مسیر مورد نظر را دارند

____________________________________________________1 .Real-time analysis 2. Decode 3. Packet editing/transmission


7

است؟ پذیر امکان هایی شبکه چه در سمع استراقع عمل

(LANشبکه های محلی)(WANشبکه های گسترده)

(WIRELESSشبکه های بی سیم )


8

هاب بر مبتنی محلی های شبکه در سمع استراق:

برای همه 1 از آنجایی که بسته ها در هاب به صورت پخشی•ارسال می شوند بنابراین نفوذ گر قادر خواهد بود با نصب یک

کلیه ترافیک شبکه را استراق snifferاسب تراوای آلوده به سمع کند.

____________________________________________________ 1.Broad cast


9

) سوئیچ ) گسترده های شبکه سمع :استراق

Switch jamming:)اختالل در سوئیچ( خارج شده و به حالت تکرار bridgeدر این روش سوئیچ از حالت

کننده در می آید و این کار با سریز کردن جدول سوئیچ با آدرس های فیزیکی جعلی صورت می گیرد .

به روش های گوناگونی صورت می پذیرد مثال فرستادن یک جریان از آشغال های تصادفی به سمت سوئیچ یا توسط یک تولید 1دائمی

کننده ترافیک فاز مرحله ای . “ گفته می شود .fail openبه این حالت در اصطالح امنیتی “

_______________________________________________1 .continual stream of random garbage


10

ARP redirect:

1. Broadcast a ARP request containing the victim’s IP address and this host’s MAC address as the source. The victim can be a router.

2. Others will believe that this host has the victim’s IP address, and send packets for the victim to this host.

3. This host should forward the packets to the victim.

ARP Redirect

switch

Internet

B VA

ARP Req

ARP Redirect

Switch

Internet

B VA

ARP Req

ARP Req

ARP Redirect

Switch

Internet

B VA

Data


15

ICMP redirect:

در این روش به ماشین فرمان داده می شود که بسته های ارسالی خود را در جهت دیگری ارسال کند .یک مثال معمول

در این مورد زمانی است که دو زیر شبکه منطقی در یک سگمنت فیزیکی قرار دارند و آلیس از یک زیر شبکه می

خواهد با باب که در زیر شبکه دیگر قرار دارد ارتباط برقرار کند مسیر یاب محلی این موضوع را میداند و با ارسال یک

به آلیس اطالع می دهد که می تواند بسته های icmpپیغام خود را مستقیما به سمت باب ارسال کند .

یک هکر می تواند این مسیر را خراب کند با فرستادن یک redirect و ادعا کردن اینکه باید بسته های ارسالی به باب از

جانب آلیس ابتدا باید به سمت وی ارسال شوند


16

ICMP router advertisement:

دراین اعالن مسیریاب به سایر ماشین اعالن آگهی مسیر یاب:•ها اعالم می کند که مسیریاب چه کسی است؟

نفوذ گر می تواند با جعل این اعالن ادعا کند که مسیریاب •است بنابراین ماشین های قربانی ترافیک خود را به سمت

نفوذ گرارسال می کنند.


17

Fake the MAC address of victim:

در این مورد سوئیچ بسته هایی که مقصد آنها قربانsی است را به سمت نفوذگر ارسال می کند این کار به سادگی با ارسال بسته هایی از سمت نفوذگر با

auto“آدرس مبدا قربانی صورت می گیرد .در واقع سوئیچ به خاطر خصیصه learning فوذگر، قربانی است و بسته های قربانی را بهsباور می کند که ن ”

سمت او ارسال می کند. اما مشکلی که وجود دارد این است که قربانی هنوز بسته با آدرس فیزیکی

خودش ارسال می کند و در ضمن اگر قربانی بسته ای دریافت نکند ارتباط 1قطع می شود و دیگر چیزی برای استراق سمع وجود نsخواهد داشت.

____________________________________________________1 .MAC address


18

برای رفع این موانع چند راه حل وجود دارد نفوذگر این ارتباط را جعل • باعث قطع DoSکرده و سوئیچ را دوباره هدایت کرده و با حمالت

ارتباط قربانی شود و ارتباط خود را ادامه می دهد .

میکند و در فواصل زمانی بسته 1یا این که از ترافیک شبکه نمونه برداری•هایی را با آدرس فیزیکی قربانی ارسال می کند و تعداد کمی از بسته

timeهایی را که مقصد آنها قربانی است دریافت می کند ولی قربانی out. می دهد و ارتباط را بازیابی می کند

__________________________________________________1 .sample

Fake the MAC address of victim:


19

Reconfigure span /monitor port on switch :

هر یک از پورت های سوئیچ قابلیت برنامه ریزی در حالت •“span” “monitor را دارند که در این حالت قادر به دریافت ”

کل یا بخشی از ترافیک شبکه خواهند بود در واقع این حالت برای کشف خطاهای شبکه توسط مدیران تعبیه شده است.که نفوذگر می تواند با تلنت به سوئیچ آنرا در این حالت پیکر بندی

کند


20

Cable taps:

برخی از شرکت ها اخیرا محصوالتی را ارائه می دهند که –بوسیله آن ها می توان ترافیک شبکه را از طریق کابل های

شبکه اترنت استراق سمع کرد.


21

Wireless sniff:

اولین سوالی که در مورد استراق سمع بی سیم به نظر می •رسد مسئله سیگنالینگ است .استاندارد های بی سیم از

”استفاده می کنند در این Spread Spectrum“تکنولوژی تکنولوژی به جای اینکه داده ها روی یک فرکانس یکتا منتقل

شوند روی یک رنج فرکانسی منتقل می شوند که این به تعداد زیادی کاربر این امکان را می دهد که یک طیف فرکانسی را بین خودشان به اشتراک بگذارند.که در تئوری امکان استراق

” spreadingسمع داده ها ممکن نیست مگر این که تابع “گیرنده و فرستنده کامال مشخص باشد .

در مقابل spread-spectrumکه البته در عمل مشاهده شده که•استراق سمع داده ها اثر کمی دارد. برای مثال با آنتن های

پارابولیک استراق سمع کننده ها می توانند سیگنالها را دریافت کنند. در این موارد بهتر است از داده های رمزگذاری شده

جهت تبادل اطالعات استفاده نمود .


22

سمع استراق جلوی توان می گرفت؟ دادهچگونه را

می توان شبکه محلی را طوری پیکر بندی کرد که استراق •سمع آن مشکل تر باشد.اما در مورد جلوگیری از استراق

سمع به خصوص از بیرون شبکه و از طریق اینترنت قدرت کمتری خواهید داشت.بهترین دفاع در این مورد رمز گذاری

داده هاست. بنابراین زمانی که داده ها استراق سمع می شوند.قابل خواندن نیستند.

بعضی از تکنیک های رمزگذاری داده ها عبارتند از: • SSL Secure را میدهد.( web ( اجازه رمزکردن

socket layer PGP & S/MIMEها(Email(برای رمز کردن

SSh Secure shell

Detection of Sniffing (1)

• Ping method– Ping the suspected host with its IP address, but with

a different MAC address. If you receive a reply, that means the suspected host is sniffing.

– Can be enhanced by using any protocol that generates a response, like TCP connection req.

• ARP method– Send an ARP request for with the IP address of the

suspected host, but to a non-broadcast MAC address.

Detection of Sniffing (2)

• DNS method– Many sniffing programs do automatic reverse-DNS

lookups.• The Decoy method– Transmits faked plain-text username/password over

the network, and alerts when the attacker attempts to logon with such faked username /password.

– Works everywhere

Protection against Sniffing

• Never transmit sensitive information in plain-text. Use encryption to protect data.

• Never install software from untrusted source.• Replace the hub with a switch.• Install a sniffer to monitor the traffic,

collecting information like the changes in the mapping of IP address and MAC address.

NTop

• A open-source, portable tool to monitor the network.

• Features:– Capable of handling multiple network interface

simultaneously, using the libpcap library.– A embedded http server that allows users to view

the report through a web browser.– Runtime application extensibility.

Ntop Architecture

Ntop Web Interface


29

نرم شناسایی به قادر که ابزارهایی از برخیهستند سمع استراق : افزارهای

– Anti sniff– CPM(check promiscuous mode for unix machine)– Neped(work on local network )– sentinel


30

سمع استراق های ابزار از بعضی :معرفی

Windows • Ethereal• winDump• Network Associates Sniffer (for Windows)• BlackICE Pro• CiAll• EtherPeek• Intellimax LanExplorer• Triticom LANdecoder32• SpyNet/PeepNet

http://web.archive.org/web/20050221103207/


31

سمع استراق های ابزار از بعضی :معرفی

UNIX– Ethereal – Sniffit– snort – trinux – snoop

MAIN REFERNECES

• How to Handle and Identify Network ProbesBy Ron Gula, http://www.clark.net/~roesch/probes.html

• Sniffing FAQBy Robert Graham, http://www.robertgraham.com/pubs/sniffing-faq.html

• Monitoring Networks Using NtopBy L. Deri, R. Carbone, http://luca.ntop.org/IM2001.pdf.gz

موضوع ارائه مورد نظر

Documents