اگر کارتان به نحوی است که با لاگ های مختلف سر و کله میزنید و تحلیل های خود را از آن ها ارائه میدهید، بی شک با اصطلاح IP Spoofing بسیار برخورده اید. اما واقعا IP Spoofing چیست؟ IP Spoofing به معنای ساخت IP Packet بدست هرکسی جز آدرس های اصلی مبداء (IP source addresses) است. این روش با دلایل روشنی مورد استفاده قرار میگیرد و چندین نوع حمله که بعدا مورد بحث قرار خواهد گرفت، با استفاده از این روش انجام میشوند. با بررسی هدر IP، میتوانیم ببینیم که 12 بیت اول شامل اطلاعات مختلفی درباره packet است.
8 بیت بعدی شامل آدرس های مبداء و مقصد است. هکر با استفاده از یکی از چندین ابزار موجود در این زمینه، میتواند براحتی این ادرس ها را ویرایش کند ( بخصوص فیلد آدرس مبداء). تصور غلطی که در این باره وجود دارد اینست که IP Spoofing میتواند آدرس Ip ما را به هنگام وبگردی، چت انلاین، ارسال ایمیل و ... مخفی نگه دارد. این موضوع بصورت کلی درست نیست. جعل آدرس IP مبداء باعث میشود که پاسخی که به درخواست های ارسال از این مبداء جعلی از طرف مقصد ارسال میشود، گمراه کننده باشد، به این معنی که شما نمیتوانید یک ارتباط نرمال را ایجاد کنید.
مبداء ای که آدرسش معتبر است، نشان میدهد که یک تعامل داخلی بین یک workstation (با آدرس مبداء معتبری که درخواست ها را ارسال میکند) با با وب سروری که درخواست ها را اجرا میکند، وجود دارد. وقتی که workstation درخواست صفحه وبی را به وب سرور ارسال کند، این درخواست شامل هر دو آدرس workstation ( مثلا 192.168.0.5) و وب سرور (مثلا 10.0.0.23) خواهد بود. وب سرور صفحه وب مورد نظر را با استفاده از آدرس مبداء ای که در درخواست مشخص شده بود، این بار به عنوان آدرس مقصد ( 192.168.0.5) جایگذاری کرده و آدرس خودش (10.0.0.23) را به عنوان آدرس مبداء لحاظ میکند.
آدرس مبداء جعلی ارتباط بین یک workstation (درخواست دهنده وب پیج با آدرس مبداء جعلی) با وب سروری را نشان میدهد که درخواست ها را اجرا میکند. اگر آدرس جعلی (به عنوان مثال 172.16.0.6) توسط workstation مورد استفاده باشد، وب سرور درخواست ها را اجرا کرده و سعی میکند تا آن ها را بجای ارسال به workstation با آدرس جعلی، به سیستمی بفرستند که آدرس واقعی آن 172.16.0.6 است. سیستمی که آدرس آن مورد spoof قرار گرفته است، با دریافت کانکشن هایی ناخواسته از طرف وب سرور مواجهه میشود که چون از ابتدا خود درخواست دهنده آن ها نبوده، آن ها را از بین خواهد برد.
مکانیزم مسیریابی IP بصورت هاپ به هاپ است. هر IP Packet بصورت جداگانه مسیریابی میشود. مسیرنهایی یک IP Packet بر اساس تصمیم تمامی روترهایی که packet از آن ها عبور میکند، تعیین میشود. جعل IP به این خاطر امکان پذیر است که روترها برای مسیریابی به آدرس مقصد هر Packet احتیاج دارند تا بتوانند تصمیم درستی برای مسیریابی بگیرند. روترها با آدرس مبداء برای مسیریابی کاری ندارند؛ بنابراین آدرس مبداء غیرمعتبر تاثیری بر تحویل Packet نخواهد داشت. این آدرس فقط زمانی مورد استفاده قرار خواهد گرفت که سیستم مقصد بخواهد پاسخ مناسبی به درخواست رسیده شده بدهد.
مسیریابی نامتقارن ( مسیریابی تقسیم شده) : مسیریابی نامتقارن به این معنی است که ترافیک از اینترفیس های مختلفی در مسیرهای رفت و برگشت برای عبور استفاده خواهد کرد. به عبارت دیگر مسیریابی نامتقارن زمانی رخ میدهد که پاسخ (Response) به یک packet از مسیر متفاوتی نسبت به آنچه که packet در مسیر رفت طی کرده است، عبور خواهد نمود. اگر بخواهیم بصورت قانون این موضوع را بیان کنیم، خواهیم داشت: "برای هر آدرس مبداء A و مقصد B، مسیر دنبال شده برای هر Packet (درخواست یا پاسخ) از A به B متفاوت است از مسیر طی شده هر Packet از B به A.
در ادامه به معرفی حملاتی که بر پایه جعل آدرس صورت میگیرند، میپردازیم. به عنوان نمونه دو مورد اول را توضیح داده و بقیه موارد را در قسمت دوم این آموزش توضیح خواهیم داد:
معمولا اینطور است که حمله کننده روی پاسخ ارسالی از مقصد (reply) دسترسی ندارد، به همین علت از اعتمادی (trust) که بین هاست ها برقرار است، سوء استفاده میکند. برای مثال هاست C یک IP packet با آدرس هاست دیگر (A) به عنوان آدرس مبداء به هاست B ارسال میکند. در نتیجه هاست B که مورد حمله قرار گرفته است، به هاست A پاسخ ها را ارسال خواهد کرد.
اگر حمله کننده کنترل gateway ای که در مسیر تحویل packet وجود دارد، بدست گیرد، او میتواند:
این کار در بستر اینترنت بخاطر وجود مسیریابی هاپ به هاپ کار ساده ای نیست، مگر آن که شما کنترل یکی از هاست های میانی و یا کنترل مبداء مسیریابی را بدست بگیرید.
3 . حملات مرتبط با پروتکل های مسیریابی
4 . حمله جعل آدرس IP با استفاده از ICMP
5 . حملات ICMP ECHO
6 . حملات ICMP Destination Unreachable
7 . حملات UDP
8 . حملات TCP
در قسمت بعد سعی خواهیم نمود تا ضمن توضیح مختصر راجع به هریک از حملات معرفی شده در بالا، به ارائه راهکارهایی جهت جلوگیری از آسیب رسانی جعل IP به شبکه خواهیم پرداخت.
سربلند و ITPro باشید.
پایان
نویسنده: احسان امجدی
منبع: انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.
کارشناس امنیت اطلاعات و ارتباطات
احسان امجدی ، مشاور امنیت اطلاعات و ارتباطات و تست نفوذ سنجی ، هکر کلاه سفید ، مدرس دوره های تخصصی امنیت اطلاعات و شبکه ، تخصص در حوزه های سرویس های مایکروسافت ، Routing و Switching ، مجازی سازی ، امنیت اطلاعات و تست نفوذ ، کشف جرائم رایانه ای و سیستم عامل لینوکس ، متخصص در حوزه SOC و ...
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود