وبلاگ

حمله MITM چیست؟ ( آموزش حملات MITM )

حمله MITM چیست ؟

حمله مرد میانی یا همان man in the middle attack روشی برای دستیابی به اطلاعات حساس مانند پسورد ها(passwords) و نام های کاربری (usernames) این روش ها میتواند شامل جعل یا فرایند spoofing و همینطور  و شنود آنها است که پروسه های مختلفی دارد 🙂 

این حمله به چه شکل است؟

طرح شماتیک زیر را ببینید ما در این طرح سه بخش داریم یک سرور داریم که به صورت عادی با یک victim در ارتباط است این بین از ناکجا آباد یک attacker یهو میاد این وسط و حمله mitm میزنه این به چه شکله؟ طرح پایین رو ببینید ما بین victim و server یک هکر یا حالا attacker داریم اینکه این بین این ها قرار گرفته و داره دیتا ها رو میبینه بهش میگن mitm یعنی ترافیک اول از سیستم هکر عبور میکنه هکر میتونه دیتا ها رو جعل کنه بخونه و…. به این میگن حمله mitm یعنی یک بنده خدایی اومده بین این دوتا قرار گرفته و داره ترافیک رو میبینه

سناریو های کلی به چه شکل است؟

سناریو کلی همینه ولی خب توی لایه های مختلفی اتفاق میوفته مثل SSL stripping و DNS SPOOFING که در دو بحث جدا هستن هرکدام به هکر قابلیت ها و دسترسی هایی رو میدن هرکدام هم مکانیزم های مختلفی رو دارند برای مثال شما ترافیک شبکه را جعل می کنید و با وایرشارک دیتا هایی که اسپوف کردین رو مانیتور میکنید مورد دوم شما ترافیک رو جعل می کنید و دیتای مورد نظر رو به burp هدایت میکنید حالا با dns spoof و… اینها دو حمله کاملا متفاوت با مکانیزم های جدا هستن مثلا حمله دوم رو بهش میگیم data modification که حمله جالبی هم هست (منم خیلی دوسش دارم)

انواع حملات مرد میانی

  •   Active session attack
  •   Passive session attack 

  Active session attack:

توی این نوع از حمله attacker میتونه ارتباط کلاینت رو با سرور اصلی قطع کنه و بعد خودش رو در جلسه جایگزین کنه از این مرحله به بعد مهاجم با سرور در ارتباط است و میتونه هر کاری که یک کاربر معمولی انجام میده رو اونم انجام بده میتونه دیتا ها رو دستکاری کنه یا اطلاعات حساس رو جمع آوری کنه ممکنه بعدها خیلی تاثیر بذاره

 Passive session attack:

توی این نوع حمله مهاجم دیتا های در حال رد و بدل توی کل شبکه را آنالیز میکند و بعد بدون وقفه اطلاعات رو sniff میکنه . مهاجم ارتباطات رو شنود میکنه اما جریان پیام را به هیچ عنوان تغییر نمیده او میتونه داده های عبوری از شبکه رو جمع کنه (ممکنه این دیتا بعدا باعث Active session attack بشه)

روش های شناسایی حملات مرد میانی 

میتونید با آنالیز شبکه و یجورایی عیب یابیش حمله رو شناسایی کنید (یه جورایی بجز این ids,ips ها هم هستن) برای مثال در حمله arp spoofing این packet های arp به طور قابل مشاهده ای با تعداد زیاد و در یک بازه زمانی کم رد و بدل میشوند

[ آموزش انجام حمله Arp Spoofing و روش جلوگیری از آن ]

روش های جلوگیری  MITM:

  • Public Key Infrastructure
  • Stronger Mutual Authentication
  • secure channel verification
  • One-Time Pads
  • Carry-Forward verification

لیست کوچکی از این حملات:

  1. Rogue Access Point

  2. Address Resolution Protocol (ARP) Spoofing

  3. Domain Name System (DNS) Spoofing

  4. Email Hijacking

  5. Internet Control Message Protocol (ICMP) redirection

  6. Dynamic Host Configuration Protocol (DHCP) spoofing

  7. SSL stripping

ROGUE ACCESS POINT :

در این حمله attacker یک اکسس پوینت نرم افزاری ایجاد میکند که بین کلاینت و اکسس پوینت حالت یک مسیر برای عبور دیتا رو انجام میده در این صورت میشه تمام ترافیک ورودی کلاینت های متصل به اکسس پوینت جعلی رو شنود کرد. این یک تهدید خیلی خیلی خطرناک برای شبکه است.

ARP SPOOFING :

توی هر شبکه مبتنی بر آیپی ترجمه آدرس یا Address resolution مقدمات میشه گفت برای اینکه یک نقشه از شبکه بدست بیاره بین لایه های osi است. وقتی کلاینت نیاز به برقراری ارتباط با دیوایس مربوط به شبکه دیگری روی لایه ۲ دارد اینجا برای ترجمه آدرس IP به مک آدرس ریکوئست میفرسته.

به این فرایند arp میگویند که از طریق پروتکل ترجمه آدرس انجام می شود. نتیجه این پروسه نقشه IP به مک آدرس میشود و یجورایی نقشه شبکه رو توی یک جدول ARP ذخیره میکنه و بعد از پایان فرایند در صورتیکه نیاز به ارسال داده به دیوایس دیگه ای باشه در همان سگمنت شبکه باشد از جدول ARP برای تشخیص مک آدرس و ارسال آن درخواست میشود. در صورتیکه هکر قادر به دستکاری جدول باشد میتواند arp مربوط به کلاینت را عوض کنه و مقدار های خودش را در این جدول بزاره (میشه گفت مک آدرس مقصد رو تغییر میده و اینطور ترافیک ها از سیستم هکر عبور میکنند جالبه مگه نه ؟)

میشه گفت حملات انجام شده در این پروسه را mac address spoofing یا arp poisoning میگویند این تکنیک دیوایس قربانی را فریب می دهد و به شکلی وی تصور می کند که رایانه هکر در واقع یکی از gateway های شبکه می باشد. 

این رو هم اضافه کنم اون gateway مجاز و اصلی هنوز هم در شبکه است پس برای اینکه پروسه حمله کامل بشه به کلاینت ها پیامی رو ارسال میکنیم ومیگوییم هاب بعدی شبکه که ترافیک باید به آن ارسال شود چیست:)

برای مشاهده ویدیو حتما vpn خود را روشن کنید و حتما کانال یوتوب ما رو هم دنبال کنید !

 

DNS SPOOFING :

همه ما کار DNS رو میدونیم وقتی سیستم عامل از سرور dns درخواست میکنه درخواستی مشابه dhcp به سرور dns ارسال شده و کلاینت منتظر جوابه همین پروسه باعث میشه پاسخ دریافتی باعث نادیده گرفتن پاسخ های بعدی بشه. این وضعیت برای ارسال پاسخ بازگشتی به کلاینت بین سرور مجاز با سرور جعلی hacker هم میتونه شکل بگیره در بیشتر موارد به دلیل نزدیک تر بودن سرور dns به کلاینت درخواست هکر نادیده گرفته می شود هرچند در صورتی که ما شرایط یک حمله mitm را ایجاد کنیم و کلاینت ها تمام ریکوئست های خودشون رو از طریق ما به شبکه تارگت بفرستن شانس بالایی وجود دارد که dns جعلی ایجاد بشه 

برای مشاهده ویدیو حتما vpn خود را روشن کنید و حتما کانال یوتوب ما رو هم دنبال کنید !

Email Hijacking:

این هم یکی دیگه از سناریو های حملات mitm است در آن هکر به اکانت تارگت دسترسی میگیره و بعد هکر بی صدا ارتباط بین victim و server رو کنترل میکنه و از اطلاعات برای اهداف خودش استفاده میکنه مثلا نمونه اش ممکنه یک ایمیل از حساب خودش به بانک بفرسته 

ICMP redirection :

یک پیام تغییر مسیر icmp است در واقع میشه گفت برای اینکه به کلاینت اطلاع رسانی کنه از مسیر بهینه تر از طریق شبکه ای که طراحی شده استفاده کنه اما خب به طور اصولی کاری که یک هکر میکنه استفاده از چیزای اینطوری به صورت هوشمندانه برای اهداف خودشه پس میاد ترافیک رو به یک سیستم خاص هدایت میکنه توی این نوع حمله هکر که خودش را به عنوان یک روتر نشون میده میاد یک پیام تغییر route برای پروتکل ICMP رو به یک victim میفرسته و نشان می دهد تمام ترافیک ها باید از این سیستم عبور کنه 

DHCP SPOOFING:

این سناریو های حمله وقتی attacker و تارگت در یک شبکه از طریق یک اکسس پوینت هستند و پیاده سازی DHCP جعلی خودمون به کلاینت ها هست در این حمله attacker سعی میکنه تا کلاینت ها به جای دریافت آدرس ip از اکسس پوینت از hacker میاد ip دریافت میکنه.(این حمله خیلی خیلی خطرناکه )

اشتراک گذاری:

مطالب زیر را حتما مطالعه کنید

5 دیدگاه

به گفتگوی ما بپیوندید و دیدگاه خود را با ما در میان بگذارید.

دیدگاهتان را بنویسید