در عصر دانایی با دانا خبر      دانایی؛ توانایی است      دانا خبر گزارشگر هر تحول علمی در ایران و جهان      دانایی کلید موفقیت در هزاره سوم      
کد خبر: ۱۳۰۶۳۰۰
تاریخ انتشار: ۱۳ آذر ۱۴۰۱ - ۱۰:۳۸
اسنیفر برنامه یا ابزاری برای استراق سمع کردن ترافیک شبکه آن هم بوسیله گرفتن اطلاعاتی که روی شبکه در حال تبادل هستند، می باشد. اگر می خواهید روش مقابله با این بدافزار را بدانیم خواندن این مطلب را از دست ندهید.

تقی حسن زاده، پایگاه خبری دانا، سرویس دانش و فناوری؛اسنیفر برنامه یا ابزاری است برای استراق سمع کردن ترافیک شبکه آن هم بوسیله گرفتن اطلاعاتی که روی شبکه در حال تبادل هستند که در این روش از تکنولوژی جلوگیری اطلاعاتی استفاده میشود . مکانیزم انجام این کار این است که اترنت بر مبنای اشتراک گذاری ساخته شده است و بیشتر شبکه ها از تکنولوؤی broadCast استفاده میکنند که یک پیام به یک کامپیوتر میتواند توسط کامپیوتر های دیگر هم خوانده شود .

به صورت معمولی کلیه کامپیوتر ها بجز کامپیوتری که مقصد پیام هست پیام را نادیده میگیرند . اما میشود کاری کرد که کامپیوتر پیامی را هم که به اون مربوط نیست را بخوانند . این کار هم همان اسنیف کردن اطلاعات است . بسیاری از افرادی که توسط سوئیچ به شبکه وصل هستند از شر اسنیف در امان هستند . اما همین کامپیوتر ها نسبت به اسنیف کردن هم نقطه ضعف خواهند داشت در صورتی که سوئیچ به یک هاب وصل شده باشد .

کامپیوتری که به یک LAN وصل باشد، دو تا آدرس دارد یکی آدرس مک که برای هر سخت افزار که آدرس مک دارد یکی است و دو تا کارت را پیدا نمی کنید که ادرس مک اون با یکی دیگه یکی باشد . از این آدرس مک برای ساختن قاب های اطلاعاتی برای ارسال اطلاعات به و یا از ماشین ها استفاده میشود . اما اون یکی آدرس IP نام دارد. لایه شبکه وظیفه نگاشت کردن آدرس آی پی را به آدرس مک به عهده دارد که برای پروتکل ارتباط دیتا مورد نیاز می باشد.

برای ارسال اطلاعات به یک کامپیوتر سیستم اول توی جدول ARP به دنبال آدرس مک سیستم مقابل میگردد اگر هیچ مدخلی برای این آی پی که دارد پیدا نکند یه دونه پاکت درخواست برای همه برودکست میکند و از همه می خواهد تا اگر آدرس آی پی اونها همین هست که می خواهد آدرس مک خودشو اعلام کند . اینجوری اگر سیستم توی شبکه آدرس آی پی پاکت را با خودش یکی ببیند ادرس مکش را میذاره توی یه پاکت و برای سیستم درخواست کننده میفرستد .

حالا سیستم آدرس فیزیکی آن یکی سیستم را دارد و این آدرس را به جدول ARP خودش اضافه میکند. از این به بعد کامپیوتر مبدا برای ارتباط با سیستم مقصد از این آدرس فیزیکی استفاده میکند .

بیشتر شبکه‌ها از تکنولوژی broadCast استفاده می‌کنند بدین روش که ارسال یک پیام به یک کامپیوتر می‌تواند توسط دیگر کامپیوترها هم خوانده شود اما به صورت معمولی کلیه کامپیوترها بجز کامپیوتری که مقصد پیام است، پیام را نادیده میگیرند. نکته بسیار مهم این است که می‌شود کاری کرد که یک کامپیوتر پیامی را هم که به اون مربوط نیست بخواند. این کار هم همان اسنیف کردن اطلاعات است .

در پکت اسنیفرها اطلاعات دریافتی از داده‌های خام دیجیتال، رمزگشایی شده و به زبان قابل خواندن توسط انسان یا در اصطلاح زبان human-readable تبدیل می‌شوند که به کاربر این اجازه را می‌دهند که به راحتی اطلاعات رد و بدل شده را تحلیل نمایند.
اسنیفرها یکی از خطرناک ترین حملات غیرفعال محسوب می‌شوند زیرا روی اطلاعات تغییری ایجاد نمی‌کنند به همین علت عملیات آن‌ها از ماشین‌های شبکه مخفی می‌ماند و قابل کشف نیست.

Snifferها داده‌های جاری بر روی یک شبکه کامپیوتری را می‌رباید و آن‌ها را در یک فایل ذخیره می‌کنند و در اختیار هکر قرار می‌دهند.

هکرها از Sniffer برای جاسوسی در شبکه، سرقت اطلاعات و بدست آوردن اطلاعات مهم کاربران مانند نام کاربری و رمز عبور حساب های بانکی، شبکه‌های اجتماعی استفاده می‌کنند.
مهاجم‌ها معمولا از اسنیفر در شبکه‌‌های ناامن، مانند شبکه WiFi عمومی (کافی‌شاپ‌ها، هتل‌ها، فرودگاه‌ها و غیره) استفاده می‌کنند.

 

انواع اسنیفر

اسنیفر فعال یا Active: شنود Active مستلزم مسموم کردن ARP در برابر یک سوییچ می‌باشد. در این حالت اسنیفرها می‌توانند تعداد بسیار زیادی MAC Address جعلی را به سمت سوئیچ ارسال کنند در نتیجه MAC Table سرریز می‌شود و با سرریز شدن این جدول سوییچ به یک HUB تبدیل می‌شود و ترافیک را بر روی تمامی پورت‌های خودش ارسال می‌کند و فرآیند شنود ما کامل می‌شود. شنود Active قابل تشخیص می‌باشد در صورتیکه شنود Passive  غیر قابل شناسایی می‌باشد.

اسنیفر غیرفعال یا Passive: هکر بر روی همه‌ی کامپیوترهای یک شبکه نرم‌افزار شنود را نصب می‌کند. اسنیفر Passive در شبکه‌هایی که از طریق هاب به هم متصل شده باشند و شبکه‌های وایرلس بکار می‌رود.

کاربران معمولی قادر به شناسایی اسنیفر در شبکه نخواهند بود. آن‌ها می‌توانند روی دستگاهشان یک Sniffer نصب و ترافیک DNS را مانیتور کنند تا اسنیفر دیگر در شبکه داخلی را شناسایی کنند. یا روی سیستمشان یک برنامه امنیتی ضد اسنیفر نصب کنند. همچنین می‌توانند با استفاده از راه‌حل‌های امنیتی ترافیک اینترنت شان را از دید هکر خارج کنند.

 

راه‌های مقابله با sniffing:

•    محدود کردن دسترسی فیزیکی به شبکه و مطمئن شدن ازینکه packet sniffer نمیتواند نصب شود
•    استفاده از رمزنگاری برای محافظت از اطلاعات
•    اضافه کردن مک آدرس gateway شبکه به arp table به صورت استاتیک
•    استفاده از مک آدرس های static و اضافه کردن آنها به arp table و همینطور ip static استفاده کردن
•    استفاده از ipv6 به جای ipv4
•    استفاده از پروتکل های امن برقراری session مثل ssh و secure copy‪(SCP)‬ و …
•    استفاده از https بجای http
•    استفاده از سوییچ بجای هاب
•    استفاده از sftp به جای ftp
•    استفاده از PGP,S/MIPE,VPN,IPSec,SSL/TLS و همچنین استفاده از پسوردهای یکبار مصرف
•    استفاده از پروتکل های رمزنگاری قوی در شبکه های وایرلس نظیر wpa3 و wpa2
•    استفاده از ابزارهایی که تشخیص promiscuous mode را میدهند.

ارسال نظر