شنود در چه شبکه هایی با چه توپولوژی امکان پذیر است
سلام به همگی
مطالب زیادی در خصوص sniff در شبکه وجود دارد اما یکی از سوالات مفهومی که برای بنده بی پاسخ موند ، زمینه شنود در شبکه است
در واقع میخوام بدونم در چه شبکه هایی میشه شنود کرد؟
مثلا در نظر بگیرید در یک شبکه کوچک اداری که تمام سیستم ها توسط هاب به همدیگه وصل هستن و در اون شبکه سرویس های مختلفی هست و تجهیزاتی مثل چاپگر و مودم و ... نیز هست ، pc1 میتونه ارتباط بین pc2 و pc3 رو شنود کنه؟ احتمالا چون هاب این وسطه میشه. خب حالا اگه سویچ باشه چی؟
یا ابزاری مثل وایرشارک ایا میتونه بسته های سیستم خودش رو بررسی کنه یا داده هایی که بین کامپیوتر های دیگر شبکه رد و بدل میشه رو هم میتونه شنود کنه؟
تصویر زیر دو شبکه مختلف رو نشون میده میخوام بدون در چه شبکه هایی امکان شنود وجود داره؟ و در چه شبکه هایی امکان پذیر نیست؟
5 پاسخ
ببینید فرض کنید نرم افزاری داریم با مکانیزم خاصی برای شنود یک شبکه که با هاب ساخته شده
این نرم افزار نمیتونه تو شبکه ای که با سویچ طراحی شده کار کنه
چون همه داده ها به دستش نمیرسه که اونها رو بگیره بخونه چون سوئیچ داده های کامیپیوتر 1 رو برای کامپیوتر 2 میفرسته و دیگه کامپیوتر 3 که سیستم من و شما باشه این وسط کاره ای نیست الان اینجا چجوری میخواد شنود اتفاق بیفته؟
سلام
ممنون اما سوال من چیز دیگری بود
ببینید شنود کردن یک شبکه که سیستم های اون با هاب به هم متصل هستند با شبکه ای که از سویچ استفاده شده بسیار متفاوت هست
چرا که hub داده هارو برودکست میکنه و همین باعث میشه داده ها به تمام سیستم ها ارسال بشه و کار شنود امکان پذیر باشه
اما در سویچ یونیکست و مولتی کست رو داریم فلذا این مسئله کاملا متفاوت هست و نیاز به پیاده سازی حملات تحت شبکه مثل حمله به ARP و... داریم
ما در هر شبکه ای نمیتونیم شنود کنیم سوال من این بود که در چه شبکه هایی امکان شنود هست؟ و شرایط شنود چیه؟
اصلا کاری به پروتکل ها و نرم افزار ها ندارم منظور من زیرساخت های سخت افزاری و بستری هست که پتانسیل شنود رو داره
برای اسنیف کردن اطلاعات در همچین شرایطی راه کار های بسیار زیادی وجود داره.
مثلا یکی از راه کار ها جعل هویت هستش. اسنفیر میتونه با عوض کردن ای پی و مک آدرس خودش , خودش رو به جای کامپیوتر 1 یا 2 جا بزنه و اطلاعات رو بدون هیچ مشکلی بگیره.
شما باید روش اسنیف کردن رو بدونید تا متوجه بشید که اسنیف کردن به چه صورتی هستش.
کامپیوتری که به یک LAN وصل باشه دو تا ادرس داره یکی آدرس مک که برای هر سخت افزار که آدرس مک داره یکه است و دو تا کارت را پیدا نمی کنید که ادرس مک اون با یکی دیگه یکی باشه . از این آدرس مک برای ساختن قاب های اطلاعاتی برای ارسال اطلاعات به و یا از ماشین ها استفاده میشه . اما اون یکی آدرس ادرس IP هست . لایه شبکه وظیفه نگاشت کردن آدرس آی پی را به آدرس مک به عهده داره که واسه پروتکل ارتباط دیتا مورد نیازه . برای ارسال اطلاعات به یه کامپیوتر سیستم اول توی جدول ARP به دنبال آدرس مک سیستم مقابل میگرده اگر هیچ مدخلی برای این آی پی که داره پیدا نکنه یه دونه پاکت درخواست برای همه برودکست میکنه و از همه می خواهد تا اگر آدرس آی پی اونها همین هست که می خواهد آدرس مک خودشو اعلام کنه . اینجوری اگر سیستم توی شبکه آدرس آی پی پاکت را با خودش یکی ببینه ادرس مکش را میذاره توی یه پاکت و برای سیستم درخواست کننده میفرسته . حالا سیستم آدرس فیزیکی اون یکی سیستم را داره و این آدرس را به جدول ARP خودش اضافه میکنه . از این به بعد کامپیوتر مبدا برای ارتباط با سیستم مقصد از این آدرس فیزیکی استفاده میکنه. به طور کلی دو نوع از تجهیزات اترنت وجود داره و اسنیفر ها به طرق مختلف روی این دو نوع کار میکنند.
توضیح بالا ابتدایی ترین نوع اسنیف هستش.
دوست عزیز پنهان کردن اطلاعات از sniffers ها کار بسیار دشوار و غیر ممکنی هستش. وقتی فردی به شبکه شما دسترسی داره میتونه تمامی اطلاعات رو شنود کنه.
ولی به دست آوردن اطلاعات مفید از قبیل پسوورد ها و....... و یا رمز گشایی کردن بسته های ارسالی اسنیف شده کار sniffers ها رو مشکل میکنه.
برای مثال اسنیف کردن درگاه های HTTPS کار مشکل ولی شدنی است ولی استخراج اطلاعات مفید از اون کار خیلی سختیه.
در شبکه هم ابزار های بسیار زیادی برای اسنیف وجود دارن. اگر فرد sniffer مستقیما به سوییچ متصل باشه به راحتی میتونه تمامی اطلاعات رو شنود کنه و اگه اطلاعات شما رمز نگاری نشده باشه و یا از از پورت هایی با امنیت کم رد و بدل شود به راحتی قابل مشاهده است.
برای اینکه بهتر مطلب رو متوجه بشی بهت پیشنهاد میکنم که انواع پورت ها و نوع رمزنگاری بسته ها رو یاد بگیری و حداقل از ابزار sslscan یا weirshark در سیستم عامل کالی لینوکس استفاده کنی.
دوست عزیز پیاده سازی حملات تحت شبکه و یا ARP poisoning و یا فعالیت های مشابه به این هم sniff کردن به حساب میان.
اصلا هم فکر نکنم که سخت افزاری وجود داشته باشه که بتونه کاملا بسته های ارسالی رو از شنود کردن توسط اسنیفر ها مخفی کنه و تنها کاری که سخت افزار ها میتونن انجام بدن این هست که در مقابل تزریق اصلاعات و یا انواع اتک ها مقاومت نشون بدن.
sniff کردن در hub به دلیل این که کل پهنا باند رو میگیره بسایر راحت تر هستش اما در سوییچ همان طور که خودتون گفتید روش ارسال اصلاعات متفاوت هستش.
در واقع سوئیچ ماشین هوشمندی هست که میدونه با این پاکت هایی که بهش وارد میشه چه کار کنه . واسه همین هم سرعت سوئیچ از هاب بیشتره و گرونتر هم هست . و همه پاکت ها را برود کست نمیکنه . این باعت میشه تا پهنای باند هدر نره و مصرف پهنای باند بهینه بشه و امنیت بالاتر بره . حالا اگر کامپیتوری را توی این شبکه بذارن توی حالت اسنیفر واسه انکه پاکت ها را جمع کنن این کار عملی نمیشه . به همین دلیل هم هست که مدیران شبکه ها برای امنیت بیشتر این شبکه بندی را تجیح میدن.
اما باز هم هر چه قدر که شما در شبکه خودتون امن سازی کنید باز هم قابلیت اسنیف وجود داره و تنها اتفاقی که مفید واقع میشه سخت کردن کار اسنیفر هاست.