حمله MITM چیست ؟

حمله مرد میانی یا همان man in the middle attack روشی برای دستیابی به اطلاعات حساس مانند پسورد ها(passwords) و نام های کاربری (usernames) این روش ها میتواند شامل جعل یا فرایند spoofing و همینطور  و شنود آنها است که پروسه های مختلفی دارد 🙂 

این حمله به چه شکل است؟

طرح شماتیک زیر را ببینید ما در این طرح سه بخش داریم یک سرور داریم که به صورت عادی با یک victim در ارتباط است این بین از ناکجا آباد یک attacker یهو میاد این وسط و حمله mitm میزنه این به چه شکله؟ طرح پایین رو ببینید ما بین victim و server یک هکر یا حالا attacker داریم اینکه این بین این ها قرار گرفته و داره دیتا ها رو میبینه بهش میگن mitm یعنی ترافیک اول از سیستم هکر عبور میکنه هکر میتونه دیتا ها رو جعل کنه بخونه و…. به این میگن حمله mitm یعنی یک بنده خدایی اومده بین این دوتا قرار گرفته و داره ترافیک رو میبینه

سناریو های کلی به چه شکل است؟

سناریو کلی همینه ولی خب توی لایه های مختلفی اتفاق میوفته مثل SSL stripping و DNS SPOOFING که در دو بحث جدا هستن هرکدام به هکر قابلیت ها و دسترسی هایی رو میدن هرکدام هم مکانیزم های مختلفی رو دارند برای مثال شما ترافیک شبکه را جعل می کنید و با وایرشارک دیتا هایی که اسپوف کردین رو مانیتور میکنید مورد دوم شما ترافیک رو جعل می کنید و دیتای مورد نظر رو به burp هدایت میکنید حالا با dns spoof و… اینها دو حمله کاملا متفاوت با مکانیزم های جدا هستن مثلا حمله دوم رو بهش میگیم data modification که حمله جالبی هم هست (منم خیلی دوسش دارم)

انواع حملات مرد میانی

•   Active session attack
•   Passive session attack 

  Active session attack:

توی این نوع از حمله attacker میتونه ارتباط کلاینت رو با سرور اصلی قطع کنه و بعد خودش رو در جلسه جایگزین کنه از این مرحله به بعد مهاجم با سرور در ارتباط است و میتونه هر کاری که یک کاربر معمولی انجام میده رو اونم انجام بده میتونه دیتا ها رو دستکاری کنه یا اطلاعات حساس رو جمع آوری کنه ممکنه بعدها خیلی تاثیر بذاره

 Passive session attack:

توی این نوع حمله مهاجم دیتا های در حال رد و بدل توی کل شبکه را آنالیز میکند و بعد بدون وقفه اطلاعات رو sniff میکنه . مهاجم ارتباطات رو شنود میکنه اما جریان پیام را به هیچ عنوان تغییر نمیده او میتونه داده های عبوری از شبکه رو جمع کنه (ممکنه این دیتا بعدا باعث Active session attack بشه)

روش های شناسایی حملات مرد میانی 

میتونید با آنالیز شبکه و یجورایی عیب یابیش حمله رو شناسایی کنید (یه جورایی بجز این ids,ips ها هم هستن) برای مثال در حمله arp spoofing این packet های arp به طور قابل مشاهده ای با تعداد زیاد و در یک بازه زمانی کم رد و بدل میشوند

[ آموزش انجام حمله Arp Spoofing و روش جلوگیری از آن ]

روش های جلوگیری  MITM:

• Public Key Infrastructure
• Stronger Mutual Authentication
• secure channel verification
• One-Time Pads
• Carry-Forward verification

لیست کوچکی از این حملات:

1. Rogue Access Point

2. Address Resolution Protocol (ARP) Spoofing

3. Domain Name System (DNS) Spoofing

4. Email Hijacking

5. Internet Control Message Protocol (ICMP) redirection

6. Dynamic Host Configuration Protocol (DHCP) spoofing

7. SSL stripping

ROGUE ACCESS POINT :

در این حمله attacker یک اکسس پوینت نرم افزاری ایجاد میکند که بین کلاینت و اکسس پوینت حالت یک مسیر برای عبور دیتا رو انجام میده در این صورت میشه تمام ترافیک ورودی کلاینت های متصل به اکسس پوینت جعلی رو شنود کرد. این یک تهدید خیلی خیلی خطرناک برای شبکه است.

ARP SPOOFING :

توی هر شبکه مبتنی بر آیپی ترجمه آدرس یا Address resolution مقدمات میشه گفت برای اینکه یک نقشه از شبکه بدست بیاره بین لایه های osi است. وقتی کلاینت نیاز به برقراری ارتباط با دیوایس مربوط به شبکه دیگری روی لایه ۲ دارد اینجا برای ترجمه آدرس IP به مک آدرس ریکوئست میفرسته.

به این فرایند arp میگویند که از طریق پروتکل ترجمه آدرس انجام می شود. نتیجه این پروسه نقشه IP به مک آدرس میشود و یجورایی نقشه شبکه رو توی یک جدول ARP ذخیره میکنه و بعد از پایان فرایند در صورتیکه نیاز به ارسال داده به دیوایس دیگه ای باشه در همان سگمنت شبکه باشد از جدول ARP برای تشخیص مک آدرس و ارسال آن درخواست میشود. در صورتیکه هکر قادر به دستکاری جدول باشد میتواند arp مربوط به کلاینت را عوض کنه و مقدار های خودش را در این جدول بزاره (میشه گفت مک آدرس مقصد رو تغییر میده و اینطور ترافیک ها از سیستم هکر عبور میکنند جالبه مگه نه ؟)

میشه گفت حملات انجام شده در این پروسه را mac address spoofing یا arp poisoning میگویند این تکنیک دیوایس قربانی را فریب می دهد و به شکلی وی تصور می کند که رایانه هکر در واقع یکی از gateway های شبکه می باشد. 

این رو هم اضافه کنم اون gateway مجاز و اصلی هنوز هم در شبکه است پس برای اینکه پروسه حمله کامل بشه به کلاینت ها پیامی رو ارسال میکنیم ومیگوییم هاب بعدی شبکه که ترافیک باید به آن ارسال شود چیست:)

برای مشاهده ویدیو حتما vpn خود را روشن کنید و حتما کانال یوتوب ما رو هم دنبال کنید !