یک روز ، یک جمله ...

امروز به هر کاری که قراره انجام بدی، باور داشته باش

13 ارديبهشت

آشنایی با عملیات رهگیری اطلاعات و ابزارها مطلب ویژه

عملیات رهگیری داده ها به فرآیندی گفته می شود که توسط آن می توان اطلاعات درون یک شبکه را شنود کرده و از آن بهره برداری کرد.

این شنود می تواند بر روی اطلاعات موجود در یک شبکه و یا اطلاعات حذف شده بر روی یک هارد دیسک باشد.

قبل از شروع این بخش می خواهیم با نحوه به روز رسانی سیستم عامل لینوکس KALI بپردازیم. به منظور به روز رسانی این سیستم عامل دستور زیر را به کار ببرید:

apt-get update

و به منظور ارتقا نسخه سیستم عامل خود می توانید از این دستور بهره ببرید:

apt-get upgrade

ابزارهای foremost و scalpel :

این دو ابزار به منظوری رهگیری اطلاعات از روی هارد دیسک می باشند، اما اطلاعاتی که از روی این هارد دیسک پاک شده اند! نحوه عملکرد این دو ابزار مانند یکدیگر می باشد. به منظور کار با ابزار foremost که در واقع نسخه ای از ابزار scalpel می باشد، از دستورات زیر استفاده نمایید. خط اول به منظور شناسایی دیسک مورد نظر می باشد :

Fdisk –l
Foremost –v –t “File Format” –o “Output Folder Name” –I “Input Folder Name”

این دستور به بررسی دیسک مشخص شده پرداخته و در نهایت نتایج را درون پوشه خروجی مشخص شده قرار می دهد.

حال که با مثالی در این زمینه آشنا شدیم، می خواهیم علل انجام این فرآیند را بررسی نماییم. رهگیری اطلاعات بنا به دلایل عمده زیر صورت می پذیرد:

  • شناسایی المان های یک شبکه مانند روترها و محدوده آدرس دهی ها و سخت افزارهای مورد استفاده در شبکه و ...
  • جهت به دست آوردن آدرس های فیزیکی و منطقی
  • جهت به دست آوردن اطلاعات حساس مانند رمزهای عبور متن باز و یا رمز شده

در سیستم عامل ویندوز ابزاری به نام CAIN وجود دارد که در زمینه شنود اطلاعات نیز می توان از آن بهره برد اما مشهورترین این ابزارها، ابزاری به نام WireShark است.

برخی از فرآیند های رهگیری اطلاعات با توجه به نوع سخت افزار درون شبکه صورت می پذیرد. اینکه در یک شبکه از چه نوع روترها و سوییچ هایی استفاده می شود، می تواند فرآیند رهگیری را تغییر دهد. به طور مثال اگر درون یک شبکه هنوز از هاب استفاده شود، رهگیری اطلاعات بسیار ساده تر انجام می پذیرد، چون براساس تکنولوژی هاب، تمام ترافیک ها از تمام پورت ها عبور کرده و دسترسی بیشتری به اطلاعات برای شما ایجاد می کند. عملیات رهگیری اطلاعات با توجه به نوع سخت افزار، یک عملیات بی قاعده می باشد. براساس این تعریف در شبکه ای که فرآیند انتشار اطلاعات به صورت Broadcast صورت پذیرد، رهگیری اطلاعات بسیار ساده تر خواهد بود اما در شبکه ای که از سوییچ به جای هاب استفاده می کنند، به دلیل اینکه عملیات Broadcast به صورت محدود انجام می شود، امکان پیاده سازی یک عملیات بی قاعده رهگیری اطلاعات سخت تر خواهد بود.

به منظور شنود اطلاعات در شبکه هایی که از سوییچ استفاده می کنند، به دلیل وجود جدولی به نام ARP و شناسایی پورت ها از روی آدرس های فیزیکی، یک روشی به نام ARP دروغین به وجود آمده است. در این روش می توان یک پورت را جایگزین یک پورت دیگر کرد و این روند با ارسال ARP دروغین و معرفی خود به جای دیگری امکان پذیر خواهد بود.
در کل روش های زیر به منظور رهگیری و شنود اطلاعات از روی یک سوییچ وجود دارند:

  • ARP Spoofing: Poisoning
  • MAC Duplicating
  • MAC Flooding
  • Legit Methods

به منظور جلوگیری از روش های بالا در رهگیری اطلاعات، راهکارهای زیر پیشنهاد می شود:

  • Switch Port Security
  • IDS
  • Static ARP Entries
  • Enable DHCP Snooping
  • PVLAN
  • ARPON, ARPWatch, ARPWall

به منظور پیاده سازی فرآیند رهگیری اطلاعات، ابزارهایی نیز وجود دارند. یکی از این ابزارها را در بالا بیان کردیم، اما ابزار کاربردی دیگر در این راستا، ابزار ARPSpoof می باشد. با استفاده از این ابزار می توان یک ماشین حمله کننده را به عنوان Default Gateway درون یک شبکه قرار داده و تمام اطلاعات را از طریق این دستگاه عبور دهیم و در نهایت یک نسخه از آنها را نیز داشته باشیم. همانطور که از این روش پیداست، استفاده از این فرآیند در یک شبکه بزرگ، نیازمند یک ماشین بسیار قدرتمند می باشد تا بتوان تمام ترافیک های شبکه را از خود عبور دهد. جهت انجام این کار مراحل زیر را طی نمایید:

echo 1 > /prec/sys/net/ipv4/ip_forward
Arpspoof –i “Network Name” –t “Target IP Address” “Attacker IP Address”

در یک صفحه جدید دستور زیر را نیز وارد نمایید:

Arpspppf –i “Network Name” –t “Attacker IP Address” “Target IP Address”

با اجرای دستورات بالا درون یک شبکه، تمام ترافیک ها به سمت سیستم شما می آیند. ابزارهای دیگری که می تواند به شما کمک کند ابزار driftnet و urlsnarf می باشد.

نکته: در زمان استفاده از فرآیند ARPSpoof می توانید با استفاده از دستور dsniff اقدام به ضبط تمام بسته های ارسالی به پورت تعریف شده در ARPSpoof نمایید.

نکته: فرآیند arpspoof با زدن دکمه کنسل (ctrl+c) خاتمه می یابد.

ابزار دیگری که در راستای رهگیری اطلاعات کاربرد دارد، MACOF نام دارد. این ابزار با پرکردن حافظه یک سوییچ اقدام به تبدیل سوییچ به حالت هاب کرده و در نهایت از مزیت Broadcast اطلاعات روی تمام پورتها بهره می برد.

معرفی ابزار ettercap :

این ابزار نیز فرآیندی مانند ابزار ARPSpoof دارد، اما دارای یک محیط گرافیکی و راحت می باشد. به منظور شروع عملیات پس از باز کردن این برنامه ، از منوی Sniff گزینه unified Sniffing را انتخاب نمایید و کارت شبکه خود را مشخص نمایید.

سپس از منوی Hosts گزینه Scan Host را انتخاب کنید. بعد از انجام این کار می توانید با استفاده از گزینه Add to target اقدام به مشخص نمودن هدف خود نمایید.

سپس از گزینه Mitm مورد Arp Poison را انتخاب نمایید.

ابزار گرافیکی دیگری نیز در این بخش مورد استفاده قرار می گیرد که XPlico نام دارد. این ابزار به صورت پیش فرض دارای نام کاربری و رمزعبور xplico است. بعد از اجرای این ابزار می بایست یک Case تعریف شود و در نهایت اقدام به تولید session و شروع عملیات نمایید.

رضا اردانه

مدیریت وب سایت آموزش دیجیتال

نظر دادن

خبرنامه

برای دریافت جدیدترین خبرهای سایت در خبرنامه عضو شوید