📕 المحور التاسع: Network Sniffing

 بسم الله والصلاة والسلام على رسول الله

اليوم ان شاءالله راح اشرح المحور التاسع من سلسلة "مراحل اختبار الاختراق" وهو:-

📕 Network Sniffing

    · هي عملية مراقبة والتقاط جميع حزم البيانات التي تمر عبر شبكة معينة. يتم إيستخدمها من قبل مسؤول الشبكة لمراقبة حركة مرور الشبكة واستكشاف الأخطاء وإصلاحها. فيما يستخدمها المهاجمون لالتقاط حزم البيانات التي تحتوي على معلومات حساسة مثل كلمة المرور ومعلومات الحساب وما إلى ذلك. يمكن أن تكون هذه العملية اما بإستخدام أجهزة أو برامج مثبتة في النظام.

🚩 انواع الـ Network Sniffing:

    · النشط: لا يقتصر هذا النوع فقط على مراقبة الشبكة بل يقوم المهاجم بتغيير مسار مرور الجزم على الـSwitch وفقًا لما يحدده الهجوم. تتضمن هذه العملية بحقن حزل الـARP في شبكة مستهدفة لإغراق جدول ذاكرة التبديل (CAM) بعناوين MAC مزيفة.

    · الغير نشط: في هذه الحالة يكتفي المهاجم لمراقبة الشبكة دون قيام باي تغيرات على مسار الحزم او التعلاب بالـMAC او الـCAM.

📍 يمكن لـSniff ان يتصيد لمعلومات حساسه مثل:-

    · Email traffic

    · FTP passwords

    · Web traffic

    · Telnet passwords

    · Router configuration

    · Chat sessions

    · DNS traffic

📍 دوافع الـSniffing:

    · الحصول على اسم المستخدم وكلمات المرور

    · سرقة المعلومات المتعلقة بالبنك / المعاملات ذات الصلة

    · التجسس على رسائل البريد الإلكتروني والدردشة

    · سرقة الهوية

🚩 البرتوكولات المعرضة لهذا الهجوم:-

    · HTTP: جميع البيانت التي تمر عبر هذا البرتوكل تكون غير مشفرة مما يساعد في لـMITM بمراقبة جميع تحركات الشبكة و تعديل مسارها لتحقيق مكاسب شخصية. ولتفادي هذا الهجوم، قم بإستخدام HTTPS، حيث يتم تشفير حركة المرور بمجرد خروجها من الطبقة السابعه.

    · TELNET: لا يقوم هذا البروتوكول بتشفير حركة المرور افتراضيًا ويمكن لأي شخص لديه وصول إلى مفتاح أو لوحة وصل تربط Client & Server أن يراقب حركة جزم لاسم المستخدم وكلمة المرور. ولتفادي هذا الهجوم، قم بإستخدام SSH، حيث يتم تشفير حركة الحزم داخل الشبكة.

    · SNMP: يستخدم هذا اببروتوكول لإدارة الشبكة بين الـServer والوكيل Clientيستخدم SNMP رسائل مختلفة للتواصل حيث تكون هذه المعلومات بنص واضح. لتفادي هذا الهجوم، قم بإستخدام SMNPv3 وهو الأحدث والأكثر أمانًا.

    · POP: يستخدم هذا البرتوكل لإرسال وإستقبال البريد الإلكتروني الخاص للموؤسسة. فإن هذا البرتكول يتستخدم آلية النص العادي للتواصل. ولتفادي هذا الهجوم، قم بإستخدام POP3، حيث يتم تشفير حركة الحزم داخل الشبكة.

 🚩 WireTapping

    · وهي عملية يقوم بها المخترق من التنصت لمكالمات عبر الهواتف النقال او عبر VoIP. هيث يقوم بوضع جهاز للتنصت او تحميل ملف في جهاز الضحية من اجل مراقبة، تدخل او تسجيل الحوار ما بين الطرفين. ويمكن ان يكون هذا قانونيا في حال تدخل الجهات المعنية، ويكون هجوم للخصوصية في حال الإختراق.

🚩 انواع هجمات الـSniffing:

📍 MAC flooding

    · لكل جهاز Switch به عناوين للـMAC Address مخزنة في جدول بيانته إسمه CAM Table، حيث يعتمد هذا الهجوم على إرسال عناوين MAC Address و IP Address مزيفة بمكية كبيرة لملئ ذلك الجدول وبالتالي يتم التلاعب في مسار إرسال الحزم ما بين الاطراف في الشبكة. يمكن التصدي لهذا الهجوم عبر Port Security وتفعيل ميزة الـMAC Security. يمكنك عمل هذا الهجوم بإستخدام:-

    · Macof -I eth#

📍 DHCP Starvation

    · يقوم المهاجم بإستخدام ادوات وبرامج يمكنه من إرسال رسائل ARP مزيفة باحثا عن عنوان IP وبالتالي يقوم الـDHCP Server بتوفير عنوان الـIP لكل طلب. يتم تكرار العملية إلى ان يتم نفاذ جميع العناوين من الـDHCP وبالتالي لايمكن لاي جهاز حقيقي من الإتصال بالشبكة والحصول على عنوان الـIP.  يمكنك عمل هذا الهجوم بإستخدام:-

    · Yersinia

    · Hyenae

    · DHCPig

    · dhcpstarv

🚩 Rogue DHCP Server

    · يقوم المخترق بتعيين خادم DHCP مزيف في الشبكة مما يمكنه من الإستجابه لطلباتت DHCP الحقيقة ويوفر لها عنوان IP خاطئة مما يؤدي إلى مشاكل في إتصال الجهاز للشبكة. يمكن التصدي لهذا الهجوم عبر Port Security وتفعيل DHCP Snooping.

🚩 ARP Spoofing

    · يقوم المخترق بتغير مجريات حزم الـARP بدلاً من ذهابها إلى الـRouter. في صياغة آخرى، يقوم المخترق بإنتحال شخصية الـRouter حيث تتم تنقلات الحزم عبر جهازة بدلاً من الـRouter الحقيقي ويمكنه من ذلك مراقبة جميع الحزم في الشبكة. يمكن التصدي على هذا الهجوم عبر تفعيل خاصية Dynamic ARP Inspection على اجهز الـCisco. او إستخدام احدى البرامج التالية:-

    · XArp

    · Capsa Network Analyzer

    · ARPStraw

    · ArpOn

    · BetterCAP

    · ArpSpoofing

    · MITMF

    · Cain & Abel

    · Hping3

    · Ufasoft

🚩 MAC Spoofing

    · هي عملية بحث يقوم بها المخترق لبحث عن MAC Address صالح داخل الشبكة وإنتحال شخصيته ليتمكن مد تخطي جدار الحماية ومخاطبة اجهزة دخال الشبكة. ثم يقدم نفسه على أنه الـGateway ليتم تمرير جميعالبيانت عبر جهازة ليتمكن من نسخها جميعاً ثم تم إعادة توجيهها إلى البوابة الافتراضية دون أن يتم اكتشافه. يمكنك عمل هذا الهجوم بإستخدام:-

    · MAC Changer

    · GhostMAC

    · SpoofMAC

    · SMAC

🚩 ICMP Router Discovery Protocol

    · يعد IRDP امتدادًا لبروتوكول ICMP الذي يسمح للاجهزة على الشبكة باكتشاف أجهزة الـRouter من خلال الاستماع إلى عمليات بث "إعلان جهاز التوجيه" على الشبكة. يمكن للمخترق من إرسال رسائل إعلان جهاز توجيه IRDP مخادعة او كاذبة إلى اجهزة الشبكة، مما يتسبب في تغيير المساره الافتراضي إلى أي شيء يختاره المخترق. مما ينتج عن ذلك رفض كامل للخدمة (أي تغيير عنوان الـRouter إلى شيء غير صالح) أو DoS Attack او MiTM Attack. يمكن تفادي هذا الهجوم بإستخدام Snooping Binding، ARP Inspection او Source Guard

🚩 DNS Spoofing

    · هي عملية يقوم بها المخترق بتغير سجلات الـDNS الحقيقة إلى عنواين مزيفة وبالتي تتم إعادة توجيه الحزم عبر الإنترنت بدلاً من الذهاب إلى الموقع الحقيقي يتم توجيهها إلى مواقع احتيالية تشبه وجهتها المقصودة.

📍ادوات الـSniffing للكمبوتر:-

    · Wireshark

    · SteelCenter Packet Analyzer

    · OmniPeek

    · PRTG

    · SmartSniff

    · Network Prob

    · NetFlew Analyzer

    · WinDump

    · BetterCAP

هكذا ولله الحمد انهيت شرح مبسط عن ماهو الـSniffing بشتى انواعه وكيف يمكن ان تؤثر على مستوى الخصوصية وكيفية التغلب عليه.

ملخص من مادة CEHv10 

واسال الله لي ولكم التوفيق والنجاح

تحياتي لكم جميعاً 🌹 IronHulk