Packet Sniffing
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Packet Sniffing as PDF for free.
More details
- Words: 1,390
- Pages: 5
چيست ؟packet sniffing packet sniffing نحوه کار در شبکهpacket sniffing روش های تشخيص
packet sniffingچيست ؟ يکی از قديمی ترين روش های سرقت اطلعات در يک شبکه ،استفاده از فرآيندی موسوم به packet sniffingاست .در اين روش مهاجمان از تکنيک هائی به منظور تکثير بسته های اطلعاتی که در طول شبکه حرکت می کنند ،استفاده نموده و در ادامه با آناليز آنان از وجود اطلعات حساس در يک شبکه آگاهی می يابند .امروزه پروتکل هائی نظيرر IPSecربه منظور پيشگيری از packet sniffingطراحی شده است که با استفاده از آن بسته های اطلعاتی رمزنگاری می گردند .در حال حاضر تعداد بسيار زيادی از شبکه ها از تکنولوژی IPSecاستفاده نمی نمايند و يا صرفا" بخش اندکی از داده های مربوطه را رمزنگاری می نمايند و همين امر باعث شده است که packet sniffingهمچنان يکی از روش های متداول به منظور سرقت اطلعات باشد . يک packet snifferکه در برخی موارد از آن به عنوان network monitorو يا network analyzerنيز ياد می شود ،می تواند توسط مديران شبکه به منظور مشاهده و اشکال زدائی ترافيک موجود بر روی شبکه استفاده گردد تا به کمک آن بسته های اطلعاتی خطاگونه و گلوگاه های حساس شبکه شناسائی و زمينه لزم به منظور انتقال موثر داده ها فراهم گردد .به عبارت ساده تر ،يک packet snifferتمامی بسته های اطلعاتی که از طريق يک اينترفيش مشخص شده در شبکه ارسال می گردند را حمع آْوری تا امکان بررسی و آناليز آنان فراهم گردد .عموما" از برنامه های packet snifferبه منظور جمع آوری بسته های اطلعاتی به مقصد يک دستگاه خاص استفاده می گردد .برنامه های فوق قادر به جمع آوری تمامی بسته های اطلعاتی قابل حرکت در شبکه صرفنظر از مقصد مربوطه نيز می باشند . يک مهاجم با استقرار يک packet snifferدر شبکه ،قادر به جمع آوری و آناليز تمامی ترافيک شبکه خواهد بود .اطلعات مربوط به نام و رمز عبور عموما" به صورت متن معمولی و رمز نشده ارسال می گردد و اين بدان معنی است که با آناليز بسته های اطلعاتی ،امکان مشاهده اينگونه اطلعات حساس وجود خواهد داشت .يک packet snifferصرفا" قادر به جمع آوری اطلعات مربوط به بسته های اطلعاتی درون يک subnetمشخص شده است .بنابراين يک مهاجم نمی تواند يک packet snifferرا در شبکه خود نصب نمايد و از آن طريق به شبکه شما دستيابی و اقدام به جمع آوری نام و رمز عبور به منظور سوء استفاده از ساير ماشين های موجود در شبکه نمايد .مهاجمان به منظور نيل به اهداف مخرب خود می بايست يک packet snifferرا بر روی يک کامپيوتر موجود در شبکه اجراء نمايند .
نحوه کار packet sniffing نحوه کار packet sniffingبه روشی برمی گردد که شبکه های اترنت بر اساس آن کار می کنند .در يک شبکه اترنت ،هر زمان که کامپيوتری يک بسته اطلعاتی را ارسال می نمايد ،بسته اطلعاتی به عنوان يک broadcastارسال می گردد .اين بدان معنی است که هر کامپيوتر موجود در شبکه بسته های اطلعاتی ارسالی را مشاهده نموده و بجزء کامپيوتر مقصد ساير دستگاه های موجود از بسته اطلعاتی صرفنظر خواهند کرد .ر packet sniffingربا کپی يک نسخه از بسته های اطلعاتی ارسالی در شبکه، فعاليت خود را سازماندهی می نمايد . آيا روش هائی به منظور تشخيص وجود يک packet snifferدر شبکه وجود دارد ؟ تشخيص وجود يک packet snifferبر روی شبکه کار آسانی نخواهد بود .برنامه های فوق به صورت passiveدر شبکه عمل نموده و به سادگی اقدام به جمع آوری بسته های اطلعاتی می نمايند .خوشبختانه ،امروزه با استفاده از روش هائی می توان وجود احتمالی يک packet snifferرا در شبکه تشخيص داد .
روش های تشخيص packet sniffingدر شبکه همانگونه که اشاره گرديد تشخيص اين موضوع که يک فرد در يک بازه زمانی محدود و همزمان با حرکت بسته های اطلعاتی در شبکه از يک packet snifferاستفاده می نمايد ،کار مشکلی خواهد بود .با بررسی و آناليز برخی داده ها می توان تا اندازه ای اين موضوع را تشخيص داد : • استفاده از امکانات ارائه شده توسط برخی نرم افزارها :در صورتی که مهاجمان دارای منابع محدودی باشند ممکن است از برنامه کاربردی Network Monitorبرای packet sniffingاستفاده نمايند .يک نسخه محدود از Network Monitorبه همراه ويندوزر NTرور 2000رو يک نسخه کامل از آن به همراهر SMS Serverرارائه شده است .برنامه فوق ،گزينه ای مناسب برای مهاجمانی است که می خواهند در کوتاه ترين زمان به اهداف خود دست يابند چراکه استفاده از آن در مقايسه با ساير نرم افزارهای مشابه راحت تر است .خوشبختانه می توان بسادگی از اجرای اين برنامه توسط ساير کاربران در يک شبکه ،آگاهی يافت .بدين منظور کافی است از طريق منوی Toolsگزينه Identify Network Monitor Usersرا انتخاب نمود .
• بررسی سرويس دهنده DNS
:در صورتی که مهاجمان از يکی از صدها نرم افزار ارائه شده برای packet sniffingاستفاده
نمايند ،امکان تشخيص سريع آن همانند برنامه Network Monitorوجود نخواهد داشت .توجه داشته باشيد که يک روش صدرصد تضمينی به منظور تشخيص وجود يک برنامه packet sniffingدر شبکه وجود ندارد ولی با مشاهده نشانه هائی خاص می توان احتمال وجودر packet sniffingردر شبکه را تشخيص داد .شايد بهترين نشانه وجود يکر packet sniffingردر شبکه به بانک اطلعاتی سرويس دهندهر DNSربرگردد .سرويس دهندهر DNSروظيفه جستجو در بانک اطلعاتی به منظور يافتن نامر hostرو برگرداندن آدرس IPمربوطه را بر عهده دارد .در صورتی که مهاجمی يک packet sniffingرا اجراء نمايد که اسامی hostرا نمايش می دهد ( اکثر آنان چنين کاری را انجام می دهند ) ،ماشينی که فرآيند packet sniffingرا انجام می دهد يک حجم بال از درخواست های DNSرا اجراء می نمايد .در مرحله اول سعی نمائيد ماشينی را که تعداد زيادی درخواست های DNS lookupsرا انجام می دهد ،بررسی نمائيد .با اين که وجود حجم بالئی از درخواست هایر DNS lookupربه تنهائی نشاندهندهر packet sniffingنمی باشد ولی می تواند به عنوان نشانه ای مناسب در اين زمينه مطرح گردد .در صورتی که به يک ماشين خاص در شبکه مشکوک شده ايد ،سعی نمائيد يک ماشين طعمه را پيکربندی و آماده نمائيد .ماشين فوق يک کامپيوتر شخصی است که کاربران از وجود آن آگاهی ندارد .پس از اتصال اين نوع کامپيوترها به شبکه ،يک حجم بال ی ترافيک بر روی شبکه را ايجاد نموده و به موازات انجام اين کار درخواست های DNSرا بررسی نمائيد تا مشخص گردد که آيا ماشين مشکوک يک درخواست DNSرا بر روی ماشين طعمه انجام می دهد .در صورتی که اينچنين است می توان با اطمينان گفت که ماشين مشکوک همان ماشين packet sniffingاست . • اندازه گيری زمانر پاسخر ماشين هایر مشکوک :ريکی ديگر از روش ها ی متداول برا ی شناسائی افراد ی که ازر packet sniffingراستفاده می نمايند ،اندازه گيری زمان پاسخ ماشين مشکوک است .روش فوق مستلزم دقت زياد و تا اندازه ای غيرمطمئن است .بدين منظور از دستور Pingماشين مشکوک به منظور اندازه گيری مدت زمان پاسخ استفاده می شود .بخاطر داشته باشيد فردی که عمليات packet sniffingرا انجام می دهد تمامی بسته های اطلعاتی را کپی نخواهد کرد ،چراکه حجم اطلعات افزايش خواهد يافت .آنان با تعريف يک فيلتر مناسب ،صرفا" بسته های اطلعاتی مورد علقه خود را تکثير می نمايند (نظير آنانی که برای تائيد کاربران استفاده می گردد ) .بنابراين از تعدادی از همکاران خود بخواهيد که چندين مرتبه عمليات log inو log outرا انجام داده و در اين همين وضعيت مدت زمان پاسخ کامپيوتر مشکوک را محاسبه نمائيد .در صورتی که مدت زمان پاسخ زياد تغيير نکند ،آن ماشين احتمال" عمليات packet sniffingرا انجام نمی دهد ولی در صورتی که زمان پاسخ کند گردد ،اين احتمال وجود خواهد داشت که ماشين مشکوک شناسائی شده باشد.
• استفاده از ابزارهای مختصر AntiSniff
:رشرکت های متعددی اقدام به طراحی و پياده سازی نرم افزارهائی به منظور
رديابی و شناسائی packet sniffingنموده اند .برنامه های فوق از روش های اشاره شده و ساير روش های موجود به منظور شناسائی packet sniffingدر يک شبکه استفاده می نمايند .
http://www.rasekhoon.net/Article/Show-16272.aspx
packet sniffingچيست ؟ يکی از قديمی ترين روش های سرقت اطلعات در يک شبکه ،استفاده از فرآيندی موسوم به packet sniffingاست .در اين روش مهاجمان از تکنيک هائی به منظور تکثير بسته های اطلعاتی که در طول شبکه حرکت می کنند ،استفاده نموده و در ادامه با آناليز آنان از وجود اطلعات حساس در يک شبکه آگاهی می يابند .امروزه پروتکل هائی نظيرر IPSecربه منظور پيشگيری از packet sniffingطراحی شده است که با استفاده از آن بسته های اطلعاتی رمزنگاری می گردند .در حال حاضر تعداد بسيار زيادی از شبکه ها از تکنولوژی IPSecاستفاده نمی نمايند و يا صرفا" بخش اندکی از داده های مربوطه را رمزنگاری می نمايند و همين امر باعث شده است که packet sniffingهمچنان يکی از روش های متداول به منظور سرقت اطلعات باشد . يک packet snifferکه در برخی موارد از آن به عنوان network monitorو يا network analyzerنيز ياد می شود ،می تواند توسط مديران شبکه به منظور مشاهده و اشکال زدائی ترافيک موجود بر روی شبکه استفاده گردد تا به کمک آن بسته های اطلعاتی خطاگونه و گلوگاه های حساس شبکه شناسائی و زمينه لزم به منظور انتقال موثر داده ها فراهم گردد .به عبارت ساده تر ،يک packet snifferتمامی بسته های اطلعاتی که از طريق يک اينترفيش مشخص شده در شبکه ارسال می گردند را حمع آْوری تا امکان بررسی و آناليز آنان فراهم گردد .عموما" از برنامه های packet snifferبه منظور جمع آوری بسته های اطلعاتی به مقصد يک دستگاه خاص استفاده می گردد .برنامه های فوق قادر به جمع آوری تمامی بسته های اطلعاتی قابل حرکت در شبکه صرفنظر از مقصد مربوطه نيز می باشند . يک مهاجم با استقرار يک packet snifferدر شبکه ،قادر به جمع آوری و آناليز تمامی ترافيک شبکه خواهد بود .اطلعات مربوط به نام و رمز عبور عموما" به صورت متن معمولی و رمز نشده ارسال می گردد و اين بدان معنی است که با آناليز بسته های اطلعاتی ،امکان مشاهده اينگونه اطلعات حساس وجود خواهد داشت .يک packet snifferصرفا" قادر به جمع آوری اطلعات مربوط به بسته های اطلعاتی درون يک subnetمشخص شده است .بنابراين يک مهاجم نمی تواند يک packet snifferرا در شبکه خود نصب نمايد و از آن طريق به شبکه شما دستيابی و اقدام به جمع آوری نام و رمز عبور به منظور سوء استفاده از ساير ماشين های موجود در شبکه نمايد .مهاجمان به منظور نيل به اهداف مخرب خود می بايست يک packet snifferرا بر روی يک کامپيوتر موجود در شبکه اجراء نمايند .
نحوه کار packet sniffing نحوه کار packet sniffingبه روشی برمی گردد که شبکه های اترنت بر اساس آن کار می کنند .در يک شبکه اترنت ،هر زمان که کامپيوتری يک بسته اطلعاتی را ارسال می نمايد ،بسته اطلعاتی به عنوان يک broadcastارسال می گردد .اين بدان معنی است که هر کامپيوتر موجود در شبکه بسته های اطلعاتی ارسالی را مشاهده نموده و بجزء کامپيوتر مقصد ساير دستگاه های موجود از بسته اطلعاتی صرفنظر خواهند کرد .ر packet sniffingربا کپی يک نسخه از بسته های اطلعاتی ارسالی در شبکه، فعاليت خود را سازماندهی می نمايد . آيا روش هائی به منظور تشخيص وجود يک packet snifferدر شبکه وجود دارد ؟ تشخيص وجود يک packet snifferبر روی شبکه کار آسانی نخواهد بود .برنامه های فوق به صورت passiveدر شبکه عمل نموده و به سادگی اقدام به جمع آوری بسته های اطلعاتی می نمايند .خوشبختانه ،امروزه با استفاده از روش هائی می توان وجود احتمالی يک packet snifferرا در شبکه تشخيص داد .
روش های تشخيص packet sniffingدر شبکه همانگونه که اشاره گرديد تشخيص اين موضوع که يک فرد در يک بازه زمانی محدود و همزمان با حرکت بسته های اطلعاتی در شبکه از يک packet snifferاستفاده می نمايد ،کار مشکلی خواهد بود .با بررسی و آناليز برخی داده ها می توان تا اندازه ای اين موضوع را تشخيص داد : • استفاده از امکانات ارائه شده توسط برخی نرم افزارها :در صورتی که مهاجمان دارای منابع محدودی باشند ممکن است از برنامه کاربردی Network Monitorبرای packet sniffingاستفاده نمايند .يک نسخه محدود از Network Monitorبه همراه ويندوزر NTرور 2000رو يک نسخه کامل از آن به همراهر SMS Serverرارائه شده است .برنامه فوق ،گزينه ای مناسب برای مهاجمانی است که می خواهند در کوتاه ترين زمان به اهداف خود دست يابند چراکه استفاده از آن در مقايسه با ساير نرم افزارهای مشابه راحت تر است .خوشبختانه می توان بسادگی از اجرای اين برنامه توسط ساير کاربران در يک شبکه ،آگاهی يافت .بدين منظور کافی است از طريق منوی Toolsگزينه Identify Network Monitor Usersرا انتخاب نمود .
• بررسی سرويس دهنده DNS
:در صورتی که مهاجمان از يکی از صدها نرم افزار ارائه شده برای packet sniffingاستفاده
نمايند ،امکان تشخيص سريع آن همانند برنامه Network Monitorوجود نخواهد داشت .توجه داشته باشيد که يک روش صدرصد تضمينی به منظور تشخيص وجود يک برنامه packet sniffingدر شبکه وجود ندارد ولی با مشاهده نشانه هائی خاص می توان احتمال وجودر packet sniffingردر شبکه را تشخيص داد .شايد بهترين نشانه وجود يکر packet sniffingردر شبکه به بانک اطلعاتی سرويس دهندهر DNSربرگردد .سرويس دهندهر DNSروظيفه جستجو در بانک اطلعاتی به منظور يافتن نامر hostرو برگرداندن آدرس IPمربوطه را بر عهده دارد .در صورتی که مهاجمی يک packet sniffingرا اجراء نمايد که اسامی hostرا نمايش می دهد ( اکثر آنان چنين کاری را انجام می دهند ) ،ماشينی که فرآيند packet sniffingرا انجام می دهد يک حجم بال از درخواست های DNSرا اجراء می نمايد .در مرحله اول سعی نمائيد ماشينی را که تعداد زيادی درخواست های DNS lookupsرا انجام می دهد ،بررسی نمائيد .با اين که وجود حجم بالئی از درخواست هایر DNS lookupربه تنهائی نشاندهندهر packet sniffingنمی باشد ولی می تواند به عنوان نشانه ای مناسب در اين زمينه مطرح گردد .در صورتی که به يک ماشين خاص در شبکه مشکوک شده ايد ،سعی نمائيد يک ماشين طعمه را پيکربندی و آماده نمائيد .ماشين فوق يک کامپيوتر شخصی است که کاربران از وجود آن آگاهی ندارد .پس از اتصال اين نوع کامپيوترها به شبکه ،يک حجم بال ی ترافيک بر روی شبکه را ايجاد نموده و به موازات انجام اين کار درخواست های DNSرا بررسی نمائيد تا مشخص گردد که آيا ماشين مشکوک يک درخواست DNSرا بر روی ماشين طعمه انجام می دهد .در صورتی که اينچنين است می توان با اطمينان گفت که ماشين مشکوک همان ماشين packet sniffingاست . • اندازه گيری زمانر پاسخر ماشين هایر مشکوک :ريکی ديگر از روش ها ی متداول برا ی شناسائی افراد ی که ازر packet sniffingراستفاده می نمايند ،اندازه گيری زمان پاسخ ماشين مشکوک است .روش فوق مستلزم دقت زياد و تا اندازه ای غيرمطمئن است .بدين منظور از دستور Pingماشين مشکوک به منظور اندازه گيری مدت زمان پاسخ استفاده می شود .بخاطر داشته باشيد فردی که عمليات packet sniffingرا انجام می دهد تمامی بسته های اطلعاتی را کپی نخواهد کرد ،چراکه حجم اطلعات افزايش خواهد يافت .آنان با تعريف يک فيلتر مناسب ،صرفا" بسته های اطلعاتی مورد علقه خود را تکثير می نمايند (نظير آنانی که برای تائيد کاربران استفاده می گردد ) .بنابراين از تعدادی از همکاران خود بخواهيد که چندين مرتبه عمليات log inو log outرا انجام داده و در اين همين وضعيت مدت زمان پاسخ کامپيوتر مشکوک را محاسبه نمائيد .در صورتی که مدت زمان پاسخ زياد تغيير نکند ،آن ماشين احتمال" عمليات packet sniffingرا انجام نمی دهد ولی در صورتی که زمان پاسخ کند گردد ،اين احتمال وجود خواهد داشت که ماشين مشکوک شناسائی شده باشد.
• استفاده از ابزارهای مختصر AntiSniff
:رشرکت های متعددی اقدام به طراحی و پياده سازی نرم افزارهائی به منظور
رديابی و شناسائی packet sniffingنموده اند .برنامه های فوق از روش های اشاره شده و ساير روش های موجود به منظور شناسائی packet sniffingدر يک شبکه استفاده می نمايند .
http://www.rasekhoon.net/Article/Show-16272.aspx
Related Documents
Packet Sniffing
December 2019 15
Layer Sniffing
May 2020 4
Paket Sniffing
November 2019 16
0207 - Mengintip Dengan Paket Sniffing
November 2019 6
Sniffing Out Trouble - Guardian Weekly
June 2020 0