|
آرین
|
 |
« : 23 مهر 1388,ساعت 15:45:26 » |
|
اسنیفر برنامه یا ابزاری است برای استراق سمع کردن ترافیک شبکه اون هم بوسیله گرفتن اطلاعاتی که روی شبکه در حال تبادل هستند و از تکنولوژی جلوگیری اطلاعاتی استفاده میکند . به این دلیل این کار انجام میشود چون اترنت بر مبنای اشتراک گذاری ساخته شده است . بیشتر شبکه ها از تکنولوؤی broadCast استفاده میکنند که یک پیام به یک کامپیوتر میتواند توسط کامپیوتر های دیگه هم خوانده شود . به صوت معمولی کلیه کامپیوتر ها بجز کامپیوتری که مقصد پیام هست پیام را نادیده میگیرند . اما میشود کاری کرد که کامپیوتر پیامی را هم که به اون مربوط نیست را بخوانند . این کار هم همان اسنیف کردن اطلاعات است . بسیاری از افرادی که توسط سوئیچ به شبکه وصل هستند از شر اسنیف در امان هستند . اما همین کامپیوتر ها نسبت به اسنیف کردن هم نقطه ضعف خواهند داشت در صورتی که سوئیچ به یک هاب وصل شده باشد .
|
|
|
|
« آخرين ويرايش: 24 مهر 1388,ساعت 11:18:07 توسط تقدسي »
|
خارج شده است
|
كاربران گرامی : لطفاً قبل از هرگونه فعاليت ابتدا قوانين انجمن را مطالعه و قبل از ارسال جديد در انجمن جستجو نماييد. |
|
|
|
آرین
|
|
« پاسخ #1 : 23 مهر 1388,ساعت 15:47:27 » |
|
کامپیوتری که به یک LAN وصل باشه دو تا ادرس دارد یکی آدرس مک که برای هر سخت افزار که آدرس مک دارد یکه است و دو تا کارت را پیدا نمی کنید که ادرس مک اون با یکی دیگه یکی باشد . از این آدرس مک برای ساختن قاب های اطلاعاتی برای ارسال اطلاعات به و یا از ماشین ها استفاده میشود . اما اون یکی آدرس ادرس IP هست . لایه شبکه وظیفه نگاشت کردن آدرس آی پی را به آدرس مک به عهده دارد که واسه پروتکل ارتباط دیتا مورد نیاز می باشد. برای ارسال اطلاعات به یک کامپیوتر سیستم اول توی جدول ARP به دنبال آدرس مک سیستم مقابل میگردد اگر هیچ مدخلی برای این آی پی که دارد پیدا نکند یه دونه پاکت درخواست برای همه برودکست میکند و از همه می خواهد تا اگر آدرس آی پی اونها همین هست که می خواهد آدرس مک خودشو اعلام کند . اینجوری اگر سیستم توی شبکه آدرس آی پی پاکت را با خودش یکی ببیند ادرس مکش را میذاره توی یه پاکت و برای سیستم درخواست کننده میفرستد . حالا سیستم آدرس فیزیکی اون یکی سیستم را دارد و این آدرس را به جدول ARP خودش اضافه میکند . از این به بعد کامپیوتر مبدا برای ارتباط با سیستم مقصد از این آدرس فیزیکی استفاده میکند .
به طور کلی دو نوع از تجهیزات اترنت وجود دارد و اسنیفر ها به طرق مختلف روی این دو نوع کار میکنند.
|
|
|
|
« آخرين ويرايش: 24 مهر 1388,ساعت 11:19:05 توسط تقدسي »
|
خارج شده است
|
كاربران گرامی : لطفاً قبل از هرگونه فعاليت ابتدا قوانين انجمن را مطالعه و قبل از ارسال جديد در انجمن جستجو نماييد. |
|
|
|
آرین
|
|
« پاسخ #2 : 23 مهر 1388,ساعت 15:50:57 » |
|
Shared Ethernet
در محیط های اینچنینی همه میزبان ها به یک باس وصل میشوند و برای رفتن پهنای باند با هم رقابت میکنند . توی همچین وضعیتی یه پاکت را همه کامپیوتر ها دریافت میکنند . بدین ترتیب وقتی که کامپ یک بخواهد با کامپ دو صحبت کند اون هم توی یه همچین محیطی اونوقت پاکتش را روی شبکه میذارد اون هم با ادرس مک سیستم مقصدش به همراه آدرس مک خودش . کلیه کامپیوتر ها روی یه اترنت اشتراکی (مثلا کامپ های 3 و 4 )ادرس مک پاکت مقصد را با ادرس خودشون مقایشه میکنند و اگر این دوتا با هم مچ نشدن این پاکت را دور میندازند.
اون کامپیوتری که داره عمل اسنیف کردن را انجام میدهد این قاعده و قانون را میشکند و همه پاکت ها را میگیرد .
و به کل ترافیک شبکه گوش میدهد .
در این وضعیت عمل اسنیف بسیار فعالانه انجام میشود و بسیار سخت می شود اون رو تشخیص داد .
Swithched Ethernet
توی این شبکه کامپیوتر ها به عوض وصل شدن به هاب به یه سوئیچ وصل میشوند که بهش اتنت سئویچ میگویند. سوئیچ جدولی را مدیریت میکند که توش رد ادرس مک کارت هایی را که بهش وصل میشوند را دارند . توی این جدول آدرس پورت فیزیکی را که روی سوئیچ هست و به اون کارت با آدرس مک وصله را هم نگه میدارد و پاکت های مقصد را روی ان پورت فیزیکی میذارند و به مقصدش تحویل میدهند . در واقع موقعی که یه پاکت می خواهد ارسال بشود یه مسیر فیزیکی مستقیم و بدون واسطه بین اون و مقصدش برقرار میشوند . در واقع سوئیچ ماشین هوشمندی هست که میدونه با این پاکت هایی که بهش وارد میشوند چه کار کند . واسه همین هم سرعت سوئیچ از هاب بیشتره و گرونتر هم هست . و همه پاکت ها را برود کست نمیکنه . این باعت میشه تا پهنای باند هدر نرود و مصرف پهنای باند بهینه شود و امنیت بالاتر برود . حالا اگر کامپیتوری را توی این شبکه بذارن توی حالت اسنیفر واسه انکه پاکت ها را جمع کنند این کار عملی نمیشود . به همین دلیل هم هست که مدیران شبکه ها برای امنیت بیشتر این شبکه بندی را ترجیح میدهند
|
|
|
|
« آخرين ويرايش: 24 مهر 1388,ساعت 11:26:57 توسط تقدسي »
|
خارج شده است
|
كاربران گرامی : لطفاً قبل از هرگونه فعاليت ابتدا قوانين انجمن را مطالعه و قبل از ارسال جديد در انجمن جستجو نماييد. |
|
|
|
آرین
|
|
« پاسخ #3 : 23 مهر 1388,ساعت 15:54:39 » |
|
ARP Spoofing-1
جدول ARP برای گرفتن ادرس فیزیکی مک مورد استفاده قرار میگیرد . این جدول بی بنیه هست و خودتون هم میتوانید خیلی راحت چند تا مدخل توش درست کنید . شما میتوانید یه جواب ARP بفرستید حتی اگه کسی از شما نخواسته باشد که آدرستون را بهش اعلام کنید . در این حالت جواب شما توسط سیستم مقصد قبول میشود . حالا اگه بخواهید ترافیک شبکه را اسنیف کنید اون هم از کامپ یک میتوانید عمل آرپ اسپوف را روی گیت وی شبکه انجام بدهید . حالا جدول آرپ سیستم 1 مسموم شده است . بدین ترتیب کل ترافیک شبکه از سیستم شما رد میشود . حقه دیگه ای که میتوان استفاده کرد تا جدول ارپ میزبان ها را مسموم کند اینکه که بیایین و ادرس مک گیت وی را بذارید FF:FF:FF:FF:FF:FF که به عنوان آدرس برود کست هم شناخته میشود . فوق العاده ترین ابزاری که واسه این مورد میشود پیدا کرد ARPspoof که با DsnifSuite هستند.
MAC Flooding-2
سوئیچ ها جدول مترجمی را نگه میدارند که نگاشت ادرس های مک را به پورت های فیزیکی را روی سوئیچ به عهده دارد .به این ترتیب سوئیچ به صورت هوشمند میتواند پاکت ها را به مقصد بفرستد . اما سوئیچ برای این کار دارای حافظه محدودی هست . فلود کردن مک از این نقطه ضعف استفاده میکند و اونقدر سوئیچ را بمب باران میکند (با ادرس های الکی) تا موقعی که سوئیچ نتونه اطلاعات را نگه دارد . و این موقع است که میرود توی حالت failOpen Mode و توی این حالت مثل یه هاب عمل میکند و واسه اینکه بتواند اطلاعات ا ارسال کند اونها را برود کست میکند .حالا دیگه میشود
را حت عمل اسنیف را انجام داد . این کار را میتوانید با استفاده از نرم افزار MacOf که ابزاری ایت که با نرم افزار dsniff suite هماه است انجام بدهید.
|
|
|
|
« آخرين ويرايش: 24 مهر 1388,ساعت 11:27:58 توسط تقدسي »
|
خارج شده است
|
كاربران گرامی : لطفاً قبل از هرگونه فعاليت ابتدا قوانين انجمن را مطالعه و قبل از ارسال جديد در انجمن جستجو نماييد. |
|
|
|
آرین
|
|
« پاسخ #4 : 23 مهر 1388,ساعت 15:56:22 » |
|
یه اسنیفر معمولا همیشه توی حالت فعال کار میکنند . این اسنیفر فقط اطلاعات را جمع میکنند . به طور عمده تشخیص اسنیفر ها روی شبکه اترنت کار خیلی سختیه مخصوصا اگه روی شبکه اشتراکی باشد . اما وقتی که اسنیفر دارد روی یه شبکه سوئیچ کار میکند کار کمی آسانتر میشود . وقتی که یه اسنیفر فعال میشود مقداری ترافیک را تولید میکند . اینجا چند روش برای تشخیص اسنیف کردن اطلاعات وجود دارد.
|
|
|
|
« آخرين ويرايش: 24 مهر 1388,ساعت 11:28:36 توسط تقدسي »
|
خارج شده است
|
كاربران گرامی : لطفاً قبل از هرگونه فعاليت ابتدا قوانين انجمن را مطالعه و قبل از ارسال جديد در انجمن جستجو نماييد. |
|
|
|
آرین
|
|
« پاسخ #5 : 23 مهر 1388,ساعت 15:58:30 » |
|
ping Method
کلکی که اینجا استفاده میشود اینه که یه دونه پاکت پینگ به آی پی ماشینی که بهش مشکوک هستید بفرستید نه به آدرس مک آن .اگر اون کامپیوتر مشکوک اسنیفر دارد اونوقت به پینگ شما جواب میدهد . این در حالی هست که قاعدتا نباید به پاکت هایی که ادرس مک اونها بهش نمیخورد جواب بدهد . این روشی قدیمی است و دیگه به درد نمی خورد.
|
|
|
|
« آخرين ويرايش: 24 مهر 1388,ساعت 11:28:57 توسط تقدسي »
|
خارج شده است
|
كاربران گرامی : لطفاً قبل از هرگونه فعاليت ابتدا قوانين انجمن را مطالعه و قبل از ارسال جديد در انجمن جستجو نماييد. |
|
|
|
آرین
|
|
« پاسخ #6 : 23 مهر 1388,ساعت 16:02:00 » |
|
ARP Method
یک کامپیوتر یه آرپ نگه میدارد . پس کاری که ما میکنیم اینه که یه دونه پاکت غیر برود کست آرپ بفرستیم .کامپیوتری که توی حالت بی قاعده قرار گرفته آدرس شما رو ذخیره میکند . بعد از اون ما یه دونه پاکت پینگ به صورت برود کست با آی پی خودمون می فرستیم اما با یه آدرس مک دیگر.تنها کامپیوتری که ادرس مک واقعی ما رو از قاب اسنیف شده آرپ داره میتونه به درخواست برود کست پینگ ما جواب بدهد .
On local host
اغلب وقتی که سیستم شما دچار اشتباه شد هکر ها اسنیفر را ول می کنند . حالا میتونین با زدن یه دستور ساده روی همون سیستم که بهش مشکوک بودید بفهمید که این سیستم همونی هست که در حال اسنیف است یا نه...
ifconfigدستوری هست که شما بهش نیاز دارید . که اگر توی خط آخر خروجی دستور به کلمه Promisc برخود کردید بدونید که این همون سیستم می باشد
latency Method
این روش بر این مبنا هست که فرض میشه اسنیفر عمل پارسینگ را داره انجام میدهد . پس در حال گرفتن اطلاعات زیادی را از شبکه است و حالا اگر شما بیایید و یه حجم زیاد از اطلاعات را برود کست کنید سیستم اسنیف کننده تا بخواهد جواب بده وقت زیادی را میگیرد و این تفاوت زمانی میتواند مشخص کند که کدام سیستم در حال اسنیف قرار گرفته است .
|
|
|
|
« آخرين ويرايش: 24 مهر 1388,ساعت 11:33:09 توسط تقدسي »
|
خارج شده است
|
كاربران گرامی : لطفاً قبل از هرگونه فعاليت ابتدا قوانين انجمن را مطالعه و قبل از ارسال جديد در انجمن جستجو نماييد. |
|
|
|
آرین
|
|
« پاسخ #7 : 23 مهر 1388,ساعت 16:04:43 » |
|
یکی از روش هایی که برای اسنیف روی یک شبکه سوئیچ انجام میشود این هست که ارپ را اسپوف کنیم . ابزاری که ARPwatch نامیده میشود استفاده میشود تا ببیند که هیچ چند تایی برای یه ماشین نباشد . یعنی واسه یه سیستم چند تا مدخل توی جدول نباشد. اگر اینطور باشد برنامه اینو تشخیص میدهد و هشدار میدهد . توی یه شبکه دی اچ سی پی این میتونه باعث هشدار های اشتباه زیادی بشود کاری که میشه انجام داد تا جلوی این مشکل گرفته بشود این است که زمان اجاره آی پی را افزایش بدهید و مثلا 60 روز قرار دهید .
شاید روشی که بتونه بهتون کمک کند تا بفهمید که یکی داره شبکه را اسنیف میکند افت شدید روی سوئیچ باشد .
اما یه حرف قدیمی میگه که پیشگیری بهتره . و چون اسنیفر ها برای اجرا شدن نیاز به دسترسی مدیریت دارن (توی لینوکس) پس همیشه سیستم را قفل شده نگه دارید و ببینید که کاربری دسترسی مدری به سیستم نداشته باشد و همیشه سیستم ها رو چک کنید که توی مد اسنیف نباشند .
منبع:h ttp://searchnetworking.techtarget.com
|
|
|
|
|
خارج شده است
|
كاربران گرامی : لطفاً قبل از هرگونه فعاليت ابتدا قوانين انجمن را مطالعه و قبل از ارسال جديد در انجمن جستجو نماييد. |
|
|
|
