راههاي نفوذ به شبكه هاي آامپيوتري
يكي از مهمترين مشغله هاي آارشناسان شبكه امنيت شبكه و مقابله با نفوذگران
مي باشد . بنابراين آشف راه هاي نفوذ به شبكه بايد همواره مورد توجه مسئولان
شبكه هاي آامپيوتري قرار بگيرد.
يك مسئول شبكه و حتي يك آاربر ساده بايد با راه هاي نفوذ به شبكه آشنا باشد تا با
بستن و آنترل اين راهها شبكه يا سيستم موردنظر را از حملات هكرها محفوظ بدارد.
در ذهنيت عمومي هكر يك انسان شرور و خرابكار است ولي در واقع اينگونه نيست و
هكرها در بسياري از موارد هدفشان پيدا آردن صعف هاي شبكه و برطرف آردن آنهاست
به همين دليل در اواخر دهه 80 هكرها را بر اساس فعاليتهايشان دست هبندي آردند.
(White Hacker Group) گروه نفوذگران آلاه سفيد ( .I
(Black Hacker Grpoup) گروه نفوذگران آلاه سياه ( .II
(Gray Hat Haker Group) گروه نفوذگران آلاه خاآستري ( .III
(Pink Hat Haker Group) گروه نفوذگران آلاه صورتي ( .IV
اين گروه در واقع دانشجويان و اساتيدي هستند آه هدفشان نشان دادن ضعف .I
سيستم هاي امنيتي شبكه هاي آامپيوتري م يباشد. اين گروه به هكرهاي خوب
معروفند آه در تحكيم ديواره حفاظتي شبك ههاي نقش اساسي دارند. اين گروه
خلاقيت عجيبي دارند و معمولاً هر بار با روشهاي نو و جديدي از ديواره هاي امنيتي
عبور مي آنند.
ها معروف هستند. آلاه Cracker اين گروه خرا بآارانه ترين نوع هكرها هستند و به .II
سياه ها اغلب ويروس نويسند و با ارسال ويروس نوشته شده خود بر روي سيستم
قرباني به آن نفوذ مي آنند. اين گروه هميشه سعي در پنهان نمودن هويت خود را
دارند.
هدف اصلي واآرها استفاده از ."whacker" نام ديگر اين گروه واآرها است .III
اطلاعات ساير آامپيوترها به مقاصد مختلف م يباشد. در صورتي آه با نفوذ به شبكه
صدمه اي به آامپيوترها وارد نم يآنند. مثلاً در سال 1994 يك هكر "آلاه خاآستري"
آمريكا نفوذ پيدا آرد و تمامي اسناد محرمانه متعلق به اين Nasa ژاپني به سايت ناسا
سازمان را ربود و به طور رايگان بر روي اينترنت در اختيار عموم قرار داد.
اين گروه افراد ب يسوادي هستند آه فقط قادرند به وسيله نر مافزارهاي ديگران .IV
گفته Booter در سيستمها اختلال به وجود بياورند و مزاجمت ايجاد آنند. به اين افراد
مي شود. بوترها خود سواد برنام هنويسي ندارند ولي در بعضي از موارد همين نوع
هكرها مي توانند خطرهاي جدي براي شبكه به وجود آورند.
انواع حملات هكرها )))…
“Modification” حمله از نوع دستكاري اطلاعات
به اين معني آه هكر در حين انتقال اطلاعات به مقصد آنها را مطابق خواسته خود تغيير
داده و به آاربر م يفرستد و آاربر بدون اطلاع از تغيير آنها را مورد استفاده قرار م يدهد.
“Farication” حمله از نوع افزودن اطلاعات
در اين نوع از حمله هكر به جاي تغيير دادن اطلاعات، اطلاع ات جديدي را به آن م يافزايد
مانند يك ويروس جهت اقدامات بعدي.
“Interception” حمله از نوع استراق سمع
در اين نوع حمله هكر فقط به اطلاعات در حين تبادل گوش مي دهد و در صورت لزوم از
آن نسخ هبرداري مي آند.
“Interruption” حمله از نوع وقفه
در اين نوع حمله هكر با ايج اد اختلال در شبكه و وقفه در انتقال اطلاعات براي خود
فرصت لازم جهت اقدامات بعدي را فراهم م يآورد.
موارد مورد نياز هكر)))…
اطلاعاتي هر چند بي اهميت از ديد شما مي تواند براي هكر بسيار مهم باشد اما براي
قرباني مورد نياز است . شما IP داشتن TCP/IP نفوذ به هر گونه شبكه آامپيوتري تحت
منحصر به فرد جديد مي باشيد آه اين IP هر گاه به ا ينترنت متصل مي شويد داراي يك
در حقيقت آدرس آامپيوتر شما در شبكه م يباشد. IP
دومين مورد آه براي نفوذ به آامپيوتر قرباني لازم م ي باشد داشتن حداقل يك پورت باز
آدرس اين IP مي باشد. اگر آامپيوتر قرباني را در شبكه به يك خانه در شهر تشبيه آنيم
خانه و پور تها راههاي ورودي اين خانه از قبيل در، پنجره، ديوار و … مي باشند.
بديهي است آه بدون در اختيار داشتن آدرس منزل و پيدا آردن يكي از ورودي هاي خانه
آه مسدود نم يباشد ورود به آن خانه تقريباً غيرممكن است.
از چهار عدد از صفر تا 255 تشكيل شده آه با نقطه از هم جدا مي شوند . IP نشاني
به صورت زير عمل م يشود. IP براي پيدا آردن محل يك آامپيوتر در شبكه از روي
آدرس ماشين. آدرس زير شبكه. آدرس شبكه
هكر با استفاده از روشها و ابزارهايي آه در ادامه به آن اشاره خواهد شد قادر است
نقشه شبكه را بدست آورد و اين براي هكر يك موفقيت بزرگ محسوب مي شود.
فرستاده م ي شود و مشخص م يآند آه ICP شماره پورت همراه اطلاعات در بسته هاي
بسته از چه برنامه آاربردي در لايه بالاتر توليد و به چه برنام ه اي ارسال گردد و در
ماشين مقصد به آن تحويل داده شود . برخي از برنامه هاي آاربردي استاندارد و جهاني
داراي شماره پورت استاندارد و مشخص مي باشند. به عنوان مثال سرويس دهنده پست
TelNet از شماره پورت 25 استفاده مي آند و يا پورت استاندارد برنامه SMTP الكترونيك
23 مي باشد. با دانستن پورت استاندارد نرم افزارها و بستن آن پورت در آامپيوتر م ي توان
از تبادل اطلاعات آن برنامه با آامپيوترها جلوگيري آرد.
موجود در ويندوز مي توانيد آامپيوترها و پورت هايي را آه Netstat با استفاده از برنامه
آامپيوتر شما با آنها در حال تبادل اطلاعات م يباشد، شناسايي آنيد.
را تايپ آنيد و Netstat ويندوز عبارت Ms – Dos Prompt براي اجراي اين نرم افزار در
را فشار دهيد . در اين هنگام ليستي از اتصال هاي اينترنتي آه در حال حاضر Enter آليد
مشغول آار هستند قابل مشاهده م يباشد.
را تايپ آنيد. تمام پور تهايي آه در ح ال تبادل Netstat – na اگر روي خط فرمان عبارت
اطلاعات هستند گزارش داده م يشود.
مي توان براي شناسايي شبكه و نيز آشف حملات هكرها نيز استفاده آرد. Netstat از
را مشاهده کنيد : Netstat نمونه خروجي دستور
D:>netstat
Active Connections
Proto Local Address Foreign Address State
TCP afshin:1026 afshin:1208 TIME_WAIT
TCP afshin:1026 afshin:1218 TIME_WAIT
TCP afshin:1216 afshin:1026 TIME_WAIT
TCP afshin:1220 afshin:1026 TIME_WAIT
TCP afshin:1031 cs21.msg.dcn.yahoo.com:5050 ESTABLISHED
TCP afshin:1212 18.67-18-50.reverse.theplanet.com:80 TIME_WAIT
TCP afshin:1213 207.46.249.56:80 TIME_WAIT
TCP afshin:1215 18.67-18-50.reverse.theplanet.com:80 TIME_WAIT
TCP afshin:1217 18.67-18-50.reverse.theplanet.com:80 TIME_WAIT
TCP afshin:1222 207.46.249.56:80 TIME_WAIT
TCP afshin:1226 v4.windowsupdate.microsoft.com:80 TIME_WAIT
TCP afshin:1227 v4.windowsupdate.microsoft.com:80 ESTABLISHED
TCP afshin:1229 207.46.253.188:80 ESTABLISHED
TCP afshin:5101 217.219.173.216:3407 ESTABLISHED
براي آامپيوترهايي آه نقش سرور را دارند . "مانند سايت ها و يا آامپيوترهايي آه غير IP
به اينترنت متصل م ي شوند عددي ثابت تعريف م ي شود ولي براي افراد Dial up از
تغيير مي آند. IP هاي معمولي در هر بار اتصال به انيترنت "Client"
در خط فرمان ويندوز IpconfiG خود در شبكه مي توانيد از دستور IP براي بدست آوردن
شما در شبكه به عنوان خروجي دستور نمايش داده IP استفاده آنيد . در اين صورت
مي شود.
D:>ipconfig
Windows 2000 IP Configuration
PPP adapter 20 saate alborz roozane
Connection-specific DNS Suffix
IP Address. . . . . . . . . . . . : 217.218.120.144
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 217.218.120.144
يك سايت روشهاي زيادي وجود دارد . يكي از اين روشها استفاده IP براي بدست آوردن
دستوري است آه مشخص م يآند آيا آامپيوتري آه ما Ping . مي باشد ping از دستور
آن را م يدانيم روشن و فعال است يا نه. اين دستور با ارسال چهار بسته domain يا IP
به مقصد مورد نظر و گرفتن پاسخ آنها اطلاعاتي را در اين رفت و برگشت بسته ها از اين
سايت نيست ولي IP براي بدست آوردن ping ارتباط به برخي مي برد. اگر چه دستور
سايت را پيدا آرد. IP مي توان از اين روش به صورت زير
Ping www. نام سايت .com
شايد بهترين روش "yahoo • اين روش در بعضي از موارد "مثلاً سايتهاي بزرگي مانند
نباشد ولي با آمي دقت م يتوان به نتيجه درست رسيد.
D:>ping www.yahoo.com
Pinging www.yahoo.akadns.net [68.142.197.79] with 32 bytes of data:
Reply from 68.142.197.79: bytes=32 time=1022ms TTL=47
Request timed out.
Request timed out.
Reply from 68.142.197.79: bytes=32 time=1382ms TTL=47
Ping statistics for 68.142.197.79:
Packets: Sent = 4, Received = 2, Lost = 2 (50% loss),
Approximate round trip times in milli-seconds:
Minimum = 1022ms, Maximum = 1382ms, Average = 601ms
شما مي توانيد تمامي آامپيوترهايي را آه بسته هاي Tracert با استفاده از دستور
ديگر را مشاهده آنيد . مثلاً اگر شما “IP” اطلاعاتي رد و بدل شده بين آامپيوتر شما و
دستور زير را در خط فرمان بنويسيد . خروجي حاصل تمامي آامپيوترها و يا گره هايي آه
بسته شما براي رسيدن به مقصد بايد از آنها عبور آند م يتوانيد بيابيد.
Tracert www. Yahoo. Com
کنيد . (البته Telnet براي اينکه عملکرد يک پورت براي شما روشن شود، بايد به آن پورت
معمولا تعدادي از پورت هايي را که ممکن است اطلاعاتي مهم را در اختيار هک ر ها قرار
telnet دهند مثل پورت 79 م عمولا بسته است و ارتباط با آنها شايد برقرار نشود .) براي
دستور زير را تايپ کنيد: command prompt کردن در
portnum hostname telnet
و يا نام سايت را وارد مي کنيد و به جاي ip شماره hostname در اين دستور به جاي
شماره پورت و يا معادل آن از جدو ل. مثلا براي تلنت کردن به پورت 13 که portnum
ساعت و تاريخ را به دست مي دهد
telnet 194.225.184.13 13
است. daytime البته در آن دستورات به جاي عدد 13 مي توان معادلش را نوشت که
پورت 13 کارش اينه که زمان و تاريخ رو در اون کامپ يوتر به ما مي ده. فقط کافيه که بهش
وصل بشويم تا اطلاعات بيرون بريزه . البته اين پورت رو خيلي از کامپيوترها بسته است .
(يادتون باشه که وقتي م يتوان با يه پورت کار کرد که باز باشد).!!!
… ((( TCP نكاتي لازم در مورد پروتكل
قبل از آنكه داد هها به مقصد ارسال شوند يك ارتباط بايد بين منبع و مقصد TCP در پروتكل
به هر بسته يك شماره سريال اختصاص مي دهد. در مقصد اين شماره TCP . برقرار شود
سريال براي آليه بسته ها مورد بررسي قرار مي گيرد تا از دريافت صحيح آليه آنها
اطمينان حاصل شود . هنگامي آه در طرف گيرنده يك بسته دريافت مي شود با اعلام
شماره سريال بسته بعدي به م نبع دريافت صحيح بسته اعلام مي شود. اگر منبع پاسخ
را در مدت زمان معيني دريافت نكند بسته قبلي را مجدداً ارسال خواهد آرد.
آشنايي آامل داشته باشد و از فيلدهاي هر بسته از TCP تذآر: هكر بايد با پروتكل
وظيفه هر يك از آنها اطلاعات لازم را داشته باشد . Urg وFin, Syn, Ack, Rst, Psh قبيل
در اينجا به دليل اينكه بحث ما در مورد راه هاي نفوذ به شبكه مي باشد . فرض بر اين
آشنايي آافي داريد. TCP است آه شما با پروتكل
راه هاي نفوذ
سرويس دهنده IP در اين روش ابتدا هكر به روشهاي مختلف :IP • حمله از طريق
و .. ) را بدست مي آورد. اين آار با پيدا آردن نقشه شبكه راحت تر ISP ، (ايگاه وب
است سپس هكر خود را در بين سرويس دهنده و آاربر قرار مي دهد و با ارسال
بسته هاي تقلبي اطلاعات را به سرقت مي برد . در اين روش در واقع هكر خود را
براي سرويس دهنده، گيرنده و براي آاربر سرويس دهنده معرفي مي آند و به عنوان
قادر است بسته هاي خود را با شماره هاي صحيح انتقال Server واسط بين آاربر و
دهد.
اين حمله از متداولترين نوع حمله به سرويس دهنده ها در اينترنت :TCP • حمله به
خود را IP مي باشد. هكر در اين روش ارتباط آاربر را از سرويس دهنده قطع مي آند و
به جاي آ اربر به سرويس دهنده معرفي مي آند و از اين پس هر گونه تبادل اطلاعات
اين IP بين سرويس دهنده و هكر صورت م ي گيرد. مزيت اين روش به روش حمله به
است آه در اين روش هكر تنها يك بار حمله م ي آند و از مقابله با سيستمهاي
"IP امنيتي رمز عبور در مراحل بعد فرار م يآند. "برخلاف حمله به
ناهماهنگي ايجاد TCP • حملات جاسوسي : در نمونه اي از اين روش هكر در ارتباط
مي آند. شماره سريال بسته هايي آه براي سرويس دهنده ارسال م ي شوند . در
بين راه توسط هكر با سريال بسته هاي بعدي تعويض مي شود و در اين حالت آه
شماره سريال با سريال بسته آار بر متفاوت است، سرويس دهنده آن بسته را به
آاربر مرجوع آرده و هكر آه منتظر چنين عملي است بسته را براي خود
نسخه برداري مي آند.
پس از اين آار هكر براي بار ديگر بسته مورد نظر خود را م ي فرستد . ولي اين بار با
شماره سريال صحيح و چون شماره سريال تصحيح شده سرويس دهن ده آنها را قبول
مي آند و بدين صورت بدون اينكه آاربر و سرويس دهنده بفهمند اطلاعات توسط هكر آم
و زياد مي گردد.
ويندوز يكي از راه هاي حملات جاسوسي مي باشد . با اجراي Telnet استفاده از برنامه
آن و برقراري اتصال IP ويندوز و پس از گفتن نام ميزبان راه دور يا Run اين برنامه از منوي
با ميزبان سيستم به عنوان بخشي از سرويس شروع به نمايش اطلاعات م يآند!
• جعل اطلاعات :
IP - جعل
Email - جعل
- جعل يك وب
به آدرس ميزبان اطمينان داريد، هكر م ي تواند با TCP و UDP در سرويسهاي : IP جعل
مسيريابي خود را به عنوان ميزبان و يا آاربر معتبر معرفي آند . هكر آدرس سرويس
دهنده را مطابق با آدرس آاربر جعل و سپس براي آاربر يك آدرس جديد م ي سازد و به
اين صورت هكر ارتباط آاربر را با سرويس دهنده قطع و ارتباط خود را با همان آدرس جعل
شده آاربر با سرويس دهنده برقرار مي آند. در بسياري از موارد نيز ممكن است ه كر
منتظر بماند تا آاربر آامپيوتر خود را خاموش آند سپس يك ارتباط با ميزبان برقرار مي آند
و خود را به عنوان آاربر معرفي م يآند.
Email در اينترنت بسيار آسان م يباشد و غالباً نم ي توان به Email جعل : Email جعل
مي توان TelNet هاي فاقد سيستمهاي امنيتي اطمينان 100 % پيدا آرد . با استفاده از
IP جعلي از طرف يك آاربر با Email متصل شد . همچنين فرستادن SMTP به پورت
مشخص توسط هكر به راحتي امكان پذير است . آافيست هكر اطلاعاتي در زمينه
آشنايي داشته SMTP داشته باشد و با پروتكل هاي Email برنامه نويسي و فرستادن
باشد.
جعل وب : يكي ديگر از شيوه هاي حمله هكرها جعل يك صفحه وب مي باشد . در اين
روش يك نسخه از وب سايت نسخه برداري مي گردد و هكر نسخه ذخيره شده را تغيير
مي دهد ولي تمامي ظواهر وب بدون تغيير باقي مي ماند . هكر صفحه جعل شده را
مي آند و به طريقي توجه آاربر را براي ورود به آن صفحه جلب مي آند. آاربر با Upload
آليك روي لينك فرستاده شده هكر به صفحه جعل شده هدايت مي شود و چون شكل
ظاهري صفحه درست م ي باشد احتمال استفاده آاربر از آن صفحه وجود دارد. آه در اين
صورت هكر به هدف خود مي رسد. اين شيوه بيشتر در امور تجاري نقش دارد . مثلاً در
بسياري از خريدهاي اينترنتي از خريدار خواسته مي شود تا آد آارت اعتباري خود را وارد
آند. حال اگر اين سايت جعلي باشد آد آارت اعتباري شما به هكر فرستاده م يشود.
هك آردن از طريق جعل وب از روشهاي هك از طريق مهندسي اجتماعي محسوب
مي شود.
هاي جاوا در طراحي صفحاتن وب انجام Applet ها : علاوه بر خدماتي آه Applet •
ها مستقيماً توسط مرورگر Applet مي دهند. اين آدها مي توانند خطرناك باشند . زيرا
به حافظه بارگذاري مي گردند يعني با ورود به يك صفحه وب مرورگر به طور اتوماتيك
آدهاي جاوا را اجرا مي آند. هكر مي تواند آدهاي مخربي بنويس د و برنامه جاسوس
خود را بر روي آامپيوتر آاربر نصب آند و يا اطلاعات مورد نياز را بدست بياورد ... . اين
نوع حمله از متداولترين و مخر بترين نوع حملات هكرها محسوب م يشود.
ها : آوآي ها فايلهاي آوچكي هستند آه صفحات پوياي وب مي تواند روي Cookie •
آامپيوتر آاربر ايجاد آند . حداآثر طول اين فايلها 4 آيلوبايت مي باشد . بسياري از
صفحات وب اطلاعات پر شده فرمهاي سايت توسط آاربر و يا اطلاعات مورد نياز خود
در آامپيوتر Cookie را براي ورودهاي بعدي به صفحه توسط آاربر در فايلهايي به نام
آاربر ذخيره مي آنند. اين آار با اجازه خود آاربر و يا در مواردي بدون نظرخواهي آاربر
روي آامپيوتر او ذخيره مي گردد. هكر مي تواند از اطلاعات داخل اين آوآيها نهايت
استفاده را ببرد و با دزديدن اين اطلاعات زمينه نفوذ را فراهم آند.
• حمله به آلمات عبور : در اين روش هكر با پيدا آردن آلمات عبور شامل رمز عبور
افراد آنترل تمامي Email اطلاعات محرمانه، تجاري، امنيتي و حتي آلمه عبور
قسمتهاي مورد نياز را به دست م يگيرد.
شكستن آلمات عبور به دو صورت انجام م يشود:
-1 توليد آليه رمزهاي محتمل و امتحان آردن آنها در اين روش از نرم افزارهايي استفاده
مي شود آه قادرند در هر ثانيه چندين آلمه عبور را جستجو آنند و با پيدا آردن
تمامي ترآيبات حروف و تست آردن اتوماتيك آنها رمز عبور شكسته م يشود.
بهترين حالت براي هكر اين است آه رمز عبور از آلمات با معني باشد آه در اين صورت
DB ديكشنري ها يا DataBase نرم افزار هكر به جاي توليد تمامي ترآيبات حروف از
اسامي و … براي پيدا آردن رمز عبور استفاده مي آند. اتفاقاً افراد در بسياري از موارد
آلمات عبور خود را ساده و طوري انتخاب مي آنند تا فراموش نشود.
-2 در روش ديگري از پيدا آ ردن رمز عبور هكر از ديكد آردن رمز آد شده استفاده
مي آند . در هر سيستم معمولاً آلمات عبور به صورت رمز شده در فايلي روي
آامپيوتر آاربر يا شبكه ذخيره مي شوند هكر با دزديدن اين فايل و يافتن الگوريتم رمز
گشايي آن آلمه عبور را پيدا مي آند. در اين موارد اگر رمز گذ اري فايل از روشهاي
معمول و شناخته شده نباشد ديكد آردن رمز براي هكر بسيار مشكل است . مثلاً
SAM درون فايلي با نام NT ها در ويندوز Account number تمامي پسوردها و آليه
در ويندوز نگهداري مي شود آه علاوه بر اينكه از رمز گذاري قوي و پيچيده نظير
استفاده شده ولي باز هم شكست پذير است. ( MD4)
صورت مي گيرد آلمه عبور به صورت 14 NT آه براي رمزهاي ويندوز Hash در روش
سه بار اعمال مي شود تا آلمه عبور MD آاراآتر تنظيم مي شود و سپس روي آن روش 4
به رمز در آيد . اين روش با تمام قدرتي آه دارد باز هم با ترآيبي از روش ( 1) و استفاده از
قابل شكستن است. MD4
هكر نمي تواند به راحتي آن را در حال اجراي سيستم … NT ويندوز SAM در مورد فايل
عامل بدست آورد زيرا اين فايل آاملاً توسط هسته ويندوز محافظت م ي شود و حتي خود
آاربر نمي تواند مستقيماً اين فايل را دستكاري آند و يا آن را پاك آند يا از آن
نسخه برداي آند!
• حمله به برنامه هاي آاربردي : در اين روش هكر مستقيماً به برنامه هاي آاربردي
عبور را Password و User ID تحت وب حمله م يآند. هكر در اين روش معمولاً
بدست مي آورد.
درخواست يك آلمه Internet explorer به اين ترتيب آه وقتي يك برنامه آاربردي مانند
عبور م ي شود. اگر آاربر نام عبور را اشتباه وارد آند . در خط آدرس دستور نوع نادرستي
نام عبور گزارش داده مي شود و در واقع در اين روش يك بيت صحت و يا نادرستي آلمه
عبور مشخص مي شود. هكر به اين وسيله مرحله به مرحله نام عبور را پيدا م ي آند و
سپس با يك جستجوگر رمز عبور آن نام را پيدا م يآند.
آلاً هكرها در بسياري از موارد از ضع ف هاي برنامه هاي تحت وب آگاهي پيدا م يآنند و از
اين ضعفها براي نفوذ استفاده مي آنند. اين ضعف ها گاهي در نسخه هاي بعدي اين
نرم افزارهاي آاربردي رفع مي شوند و گاهي امكان رفع آن براي شرآ ت سازنده نيست و
اين موضوع به نفع هكر تمام م يشود.
استراق سمع داده ها
در اين روشها هكر قادر است اقدام به استراق سمع داده ها در شبكه : Sniffing •
هكر روي يكي Sniffer آند ولي در تغيير داده ها نقشي ندارد . اين آار با نصب برنامه
از آامپيوترهاي شبكه صورت مي گيرد و بسته هاي روي آانال فيزيكي شبكه را به
هكر مي فرستد.
در سه مرحله آار م يآند: Sniffer يك
- اول از همه سخت افزار شبكه را در حالت بي قيد تنظيم مي آند تا اطلاعات تمام
آدرس ها و پور تها براي اين برنامه ارسال شود.
از بين بسته هاي ارسال شده بست ههاي مورد نياز هكر را جدا Sniffer - سپس
مي آند.
- و در نهايت اطلاعات مورد نياز هكر را براي او ارسال م يآند.
به معني اخلال در سرويس دهي Denial of service اين حمله با نام : Dos • حملات
فقط يك تشابه اسمي است و Dos مي باشد و تشابه اسمي آن با سيستم عامل
هيچ ارتباطي با آن ندارد.
در اين روش هكر در عمل سعي جلوگيري از سرويس دهي شبكه مي آند و هدف
در هم شكستن سرويس دهنده و قطع ارتباط قرباني براي مدتي Dos اصلي از حملات
يا به طور دائم با شبكه مي باشد. اين حمله انواع مختلفي دارد و هكر از هر روشي براي
ممكن است از درون شبكه و يا از خارج Dos استفاده مي آند. حمله TCP ايجاد اخلال در
شبكه صورت گيرد . در حمله از درون شبكه هكر به عنوان مدير يا در سطوح پايي ن تر قادر
است هر پروسه سرويس دهنده اي را متوقف آند حمله از بيرون معمولاً حمله اي است
آه منجر به ترافيك شبكه و از بين رفتن منابع م يگردد.
برخي از انواع اين حمله به اختصار شرح داده م يشود:
با شرايط زير به TCP در اين نوع حمله انبوهي از بسته هاي : land حمله از نوع
آامپيوتر سرويس دهنده فرستاده م يشود.
دقيقاً مانند هم و به مقدار يكي از Destination port و Source port 1. فيلدهاي
پورت هاي باز هر دو ماشين در شبكه.
و با هم مانند هم و به Destination IP Address و Source IP Address 2. فيلدهاي
ماشيني مقصد. IP مقدار آدرس
با اين آار پس از ارسال بسته به ماشين هدف چون آدرس مبدأ و مقصد يكي است .
مورد قبول نمي باشد و به ماشين اصلي بر مي گردد و در ماشين اصلي نيز TCP توسط
تنظيم شده بسته "ماشين هدف " برگشت داده IP چون همين مشكل وجود دارد به
شكست بخورد و مختل TCP مي شود و اين آار همينطور ادامه پيدا مي آند تا زماني آه
گردد.
: Ping Of Death حمله
ارسال ICMP 64 براي پروسه k با اندازه بيش از ping در اين نوع حمله يك بسته
براي چنين حالتي طراحي نگرديده TCP مي گردد با دريافت چنين بسته اي به دلي ل اينكه
مختل مي گردد.
: Jolt حمله نوع 2
در اين نوع حمله يك جريان طولاني و وسيع از بست ه هاي قطعه قطعه شده به سمت
بايد اين قطعه ها را در TCP ماشين هدف در شبكه هدايت مي شوند. از اين رو پروسه
خود نگهداري آند و چون تحت بمباران قرار گرفته در هم مي شكند و ارتباط آن ماشين با
شبكه قطع مي گردد. طبق گزارشها تمامي سيستمهاي عامل ويندوز از اين مشكل رنج
مي برند.
: Smurf حمله نوع
255 براي ارسال پيامهاي فراگير به ماشي ن هاي شبكه . 255. 255. 255 IP از آدرس
محلي استفاده م ي گردد به وسيله اين آدر س مي توان يك پيام را براي تمام ماشي نهايي
هكر بسته اي Smurf آنها متفاوت هست ارسال آرد . در حمله IP آه فقط سمت راست
را با مشخصات فراگير به شبكه محلي مي فرستد. با اين تذآر آه آدرس قرباني را به
جاي آدرس خود قرار مي دهد. در نتيجه آليه ماشينهايي آه اين بسته را د ريافت آرده اند
مي آنند. چون به يكباره تمامي اين بست ه ها ICMP Echo Reply سعي در ارسال بسته
به سوي سيستم قرباني ارسال مي گردد و سيستم قرباني قادر به جواب دادن به آنها
نيست هنگ م يآند و ارتباط مختل م يگردد.
به ماشينهاي مورد استفاده هكر زامبي مي گويند . زامبي اصطلاحي Smurf در حمله
است آه به آامپيوترهايي آه بدون داشتن اطلاع صاحبشان توسط هكر به عنوان ابزار
قرار مي گيرند، اطلاق م يگردد. Dos حمله
در اين روش بسته هاي قطعه قطعه شده با تنظيم غلط فيلدهاي : Treadrop حمله
بسته پشت سر هم ارسال مي شوند و در نهايت به طر ز صحيحي بازسازي نخواهند
گردد. TCP شد و مي تواند موجب اختلال
• ويروسها:
آاربران آامپيوترهاي شخصي و شبك ه هاي آامپيوتري از ويروسها خسارات زيادي
ديده اند. ويروس فقط يك برنامه آامپيوتري است آه ممكن است با هر زبان
برنامه نويسي نوشته شده باشد با اين تفاوت آه ويرو سها برنام ههاي مخفي، مخرب و
خطرناآي هستند آه برخلاف برنامه هاي آاربردي مفيد به نرم افزارها و حتي در مواردي
به سخت افزارهاي سيستم صدمه م يزنند.
هكر با استفاده از ويروسي مي تواند آامپيوتر قرباني را تا حد بسيار زيادي در مقابل
حمله و نفوذ هكر شكست پذير و ضعيف آند و راه را براي نفوذ هكر باز آند . هكر بايد به
طريقي ويروس را در آامپيوتر قرباني اجرا آند.
• اسبهاي تراوا :
اسبهاي تراوا يكي از پرآاربردترين برنامه ها در جهت نفوذ به سيستم ها مي باشد .
استفاده از اين ابزار براي تمامي گروههاي هكرها و در هر سطحي امكان پذير اس ت.
اسبهاي تراوا ساختاري ساده و آاربردي راحت دارند . نامگذاري اين برنامه ها به اسب
تراوا به واقعه تاريخي در سالها قبل مربوط مي شود. اسب تراوا، اسب چوبي و توخالي
بود آه يونانيان در جنگ تراوا وقتي آه ديدند نمي توانند راه بازي را به درون قلعه پيدا
آنند. اين اسب را به آنها هديه دادند . در حالي آه تعدادي از سربازان يوناني درون آن
مخفي شده بودند . با وارد آردن اسب تراوا به درون قلعه سربازان يوناني مخفيانه
درهاي قلعه را براي نفوذ يونانيان باز آردند و از درون قلعه آنترل را بدست گرفتند.
اسب هاي تراواي آامپيوتري نيز به ه مين گونه با ظاهري ساده و فريبنده بر سيستم
قرباني وارد مي شوند. - ( با اجراي برنامه توسط خود قرباني ) – و پس از ورود پنهان و
مسكوت م يمانند و در موقعيت لازم آنترل آامپيوتر قرباني را به هكر م يسپارند.
اسب هاي تراوا برخلاف ويروسهاي آامپيوتري خودشان هيچ گونه عمليات تخريبي انجام
نمي دهند و فقط منتظر دستورهاي هكر م يمانند.
هر گاه آاربر فريب بخورد و اين برنامه را در آامپيوتر خود اجرا آند . اسب تراوا معمولاً
پيكربندي سيستم عامل را به گونه اي تغيير مي دهد تا هرگاه آاربر به شبكه متصل شود
برنامه نيز اجرا گردد . اسب هاي تراوا هيچگونه علامت ظاهري و پنجره خاصي ندارند و
آاملاً مخفي هستند.
و Bo2k Sub از نمون ههاي معروف و پرآاربردترين اس بهاي تراوا براي هكرها م ي توان 7
… را نام برد.
• درب هاي پشتي:
اين ابزارها بسيار مورد علاقه هكرها مي باشند. چون نفوذ با اين ابزارها بسيار راحت تر
مي باشد. درب پشتي به روشهايي مي گويند آه هكر به وسيله آنها بتواند بدون آنكه به
تشريفات (آلمه رمز عبور و … ) احتياج داشته باشد به آامپيوتر قرباني وارد شود.
يكي از ساد ه ترين و آارآمدترين روشهاي درب پشتي آه هنوز هم برقرار است، استفاده
براي ارتباط روي يك پورت م يباشد. Netcat از
به عنوان يك درب پشتي استفاده آرد. Netcat به وسيله دستور زير م يتوان از
ويندوز Nc – I – P[port] – e cmd, exe
Unix $ Nc – I – P[port] – w/ bin/ sh
بعد از اين آار سريعاً برنامه پوسته فرمان اجرا مي شود و هر چه هكر از طريق
ماشين خود تايپ آند . به عنوان دستور تحويل سيستم مقابل داده و اجرا مي شود . و
هكر مي تواند خروجي اين دستورات را نيز در آامپيوتر خود مشاهده آند.
هكر براي نفوذ به در پشتي نياز به هيچ عملي به جز برقراري يك ارتباط با پورت 12345
نداشته و احراز هويت و رمزنگاري معنايي ند ارد و به اين وسيله هكر مي تواند اختيار آن
سيستم را بدست بگيرد.
: Rootkit •
ها و اسب هاي تراوا عمل مي آنند . به اين Virus ها بسيار بسيار قدرتمندتر از Rootkit
ها مستقيماً اجزاي سيستم عامل را هدف قرار م ي دهند و با Rootkit دليل آه
دستكاري سيستم عامل عملاً بيشترين نفوذ و بالاترين سطح دسترسي را براي خود
براي قرباني اين است آه هكر مستقيماً به Rootkit نزديكتر مي آند. بدترين حالت
هسته سيستم عامل نفوذ آند و آن را مطابق ميل خود تغيير دهد . در اين حالت هكر
خود را غيرقابل شناسايي براي آاربر و حتي برنام ههاي بررسي شبكه و آنت يها
مي سازد زيرا به قلب سيستم عامل نفوذ آرده و تمامي برنامه ها و موارد ديگر در اختيار
اوست.
و خانواده آن نوشته م ي شوند . زيرا اين Unix ها بيشتر براي سيستم عامل Rootkit
هستند و برنام هنويسي براي اجزاي ويندوز بسيار راح تتر Open source ويندوزها
و Unix سيستمهاي LKM مي باشد و از طرفي نيز در سطح هسته از قابليت
سيستمهاي سازگار با آن نهايت استفاده را م يبرند.
قابليتي است آه براي توسعه سيستم عامل Loadable Kernel Module مخفف LKM
و پشتيباني از آن قرار داده شده و اجازه بارگذاري ماژولهاي نوشته شده Unix
و Unix برنامه نويس به هست ه سيستم عامل را مي دهد. در اين سيستم عاملها (اغلب
ها Rootkit برخلاف ويندوز نياز به راه اندازي مجدد سيستم عامل نيست و ( Solaris
بسيار راحت نصب شوند و زمان را براي هكر تلف نم يآنند. LKM مي توانند توسط
و Unix ها در سيستم هاي تحت ويندوز بسيار بسيار پيچيده تر از Rootkit نفوذ از طريق
ها است و به نسبت خيلي آم اتفاق مي افتد آه LKM سيستمهاي پشتيباني آننده از
ويندوز شود ولي از Kernell بخصوص در سطح هسته Rootkit هكر موفق به نوشتن
هايي نيز براي ويندوز Rootkit آنجايي آه هيچ آاري براي هكرها غيرممكن نيست
ها تا حدود Dll نوشته شده است آه بعضاً با تغيير در فايلهاي سيستمي ويندوز مانند
ها آامپيوتر Dll زيادي آنترل سيستم عامل را بدست مي گيرد و با جايگزين آردن اين
قرباني را در برابر نفوذ شكس تپذير مي آند.
ها قابل بارگذار ي Rootkit استفاده نمي شود LKM در سيستمهاي ويندوز چون از
سيستم زماني Path استفاده مي گردد. پس از اجراي Path نيستند ولي در اين موارد از
آلوده مي گردد آه سيستم عامل مجدداً راه اندازي شود . سپس برنامه هكر قسمتهاي
Rootkit مختلف موردنظر را دست آاري مي آند. براي جلوگيري از نفوذ هكرها به وسيله
پيشگيري هميشه بهتر از در مان مي باشد و براي درمان نيز بهترين و مطمئن ترين راه حل
نصب مجدد ويندوز يا هر سيستم عامل ديگر مي باشد. زيرا زحمت و دردسري آه درمان
دارد بسيار بيشتر از نصب و راه اندازي مجدد سيستم عامل Rootkit سيستم آلوده به
مي باشد.
در آخر متذکر ميشوم که حتي با دانستن تمامي راههاي نفوذ به شبکه که در اين مقاله
گفته شد و يا راههاي مطرح نشده ( که از حيطه اين مقاله خارج بوده ) نميتوان به طور
%100 از نفوذ ناپذيري شبکه اطمينان حاصل کرد زيرا هکر ها همواره در تلاش براي
کشف راههاي نفوذ جديد و ناشناخته ميباشند . ولي با رعايت بسياري از اين موارد
ميتوان ضريب نفوذپذيري شبکه را به صفر نزديک کرد ...

نظرات شما عزیزان:

نام :

آدرس ایمیل:

وب سایت/بلاگ :

متن پیام:

نظر خصوصی

 کد را وارد نمایید:

 

 

 

عکس شما

آپلود عکس دلخواه: