اليوم سوف نتكلم عن احد أنواع الهجمات التى تستهدف الشبكات على مستوى الطبقة الثانية من موديل OSI وهو هجوم الـ ARP Spoofing أحد أكثر الهجمات شيوعا وخطورة على الشبكة والتى تؤدي إلى مايعرف بهجوم الـ Man In The Middle .
ما يجب أن تعرفه :
إقرأ أيضا : إليك الشرح و التعريف الكامل لجميع أدوات نظام الـ Wifislax التي ستحتاجها
فكرة الهجوم :
دائما ما تكون فكرة الهجوم هي أبسط شيء في عملية الإختراق، في حالتنا هذه ، و بعد وصول الرد من الجهاز يتم حفظ هذا الماك أدريس والأيبي الخاص به في جدول يدعى الـ Arp Table ، فسيكون الأمر أسهل في حالة الإتصال مع الجهاز مرة أخرى بالرجوع للجدول، تكون مؤقتة عادة تزول مع عملية أغلاق جهاز الكمبيوتر ، ومن هنا يبدأ المخترق هجومه، فهو ببساطة يقوم بأرسال ARP Replay مزور لأحد الأجهزة الموجودة على الشبكة معلما إياه بأن الماك أدريس الخاص بأحد الأيبيات عنوانه كذا يريد الإتصال معه ، وكأن الموضوع تم من خلال طلب من الجهاز المراد أختراقه بنفسه و نتيجة لهذا سيتم تعديل جدول الـ ARP وتغيير العنوان الفيزيائي لأحد الأيبيات والتى عادة ما تكون الـ Gateway الخاص بالشبكة ، لذا ومن هذا المنطلق يبدأ الجهاز المخترق بأرسال بياناته وطلباته إلى جهاز المخترق وكأنه هو الروتر، ومن ناحية المخترق كل مايقوم به هو إعادة توجيه هذه البيانات إلى وجهتها الحقيقية أي إلى الروتر مستغلا مرور البيانات جميعها من خلال جهازه ، وبالتالي تمكن من تحويل جهازه إلى MITM (هجوم Man in the Middle ) ، وسوف يتمكن من مشاهدة وقراءة كل الترافيك العابر من الجهاز المخترق إلى الروتر وطبعا المخترق لن ينسى أن يرسل طلب مزور آخر إلى الروتر معلما أياه بأن العنوان الفيزيائي للجهاز المخترق هو أيبي الجهاز الخاص به لنشاهد هذه الصورة التوضيحية :
لنفسرها بطريقة أبسط :
دعني أبسط لك ما جاء في الـ Arp Spoofing أعلاه بطريقة أبسط بكثير ، حاسوبك يتصل بالراوتر ، الراوتر يتصل بالإنترنت ، يرسل حاسوبك الـ Request ( طلب الدخول الى موقع ، او تحميل شيئ ما ) ثم يتواصل الراوتر مع الموقع فيأتي بإجابة لطلبك فتحصل عليه . الـ Arp Spoof يعمل يجعل حاسوبك يعمل كأداة تجسسية في المرحلة الأولى التي تمرر فيها طلبك من حاسوبك الى الراوتر و في المرحلة الأخيرة التي يرسل لك الراوتر رد لطلبك ، فيعمل كوسيط يرى كل ما يحدث بينك و بين الراوتر بكل سهولة ، اما الطريقة ، فهي ما تم شرحه أعلاه .
ما هي الأدوات المستخدمة في هجوم الـ Arp Spoofing و الـ MITM ؟
لهذا النوع من الهجمات الكثير من الأدوات، وأشهرها DNS Sniff و Ettercup ، وطبعا البرنامج الذي يزعج الكثير من مشتركي الانترنت NetCut وإن كان هذا الأخير لا يقوم بتنفيذ هجوم MITM و التجسس ، لكن فكرته واحده و لا تختلف عن باقي البرامج الا وهي قطع الإنترنت عن المستخدمين من خلال تغيير العنوان الفيزيائي للـ Gateway والخ…. وأغلب هذه البرامج لاتحتاج إلى إحترافية و خبرة في المجال، فقط بضع ضغطات وينتهي الأمر.
و لحمايتك من هذا النوع من الهجمات الخبيثة يفضل دائما أن تقوم بعمل Static ARP للـ Gateway الخاص بالشبكة او إستخدم برامج مخصصة لتغيير الـ Mac Adress الخاص بك قبل الإتصال بالشبكات العامة و المشكوك فيها . و في حال اردت الإتصال بأحد الأجهزة أو سيرفرات الموجودة على السيرفر عن بعد فننصحك بإستخدام الـ SSH كخيار يؤمن لك سرية كاملة لكل بياناتك ، و في حال تم إعتراضه من قبل أحد المخربين ، فهناك بعض الأدوات الإحترافية التى تساعدك في عملية مراقبة الترافيك الخاص بالشبكة و أخص بهم برنامج Snort وبرنامج XARP والذي يؤدي وظيفة مهمة جدا وهي مراقبة عملية الـ Mapping التى تحدث على الـ ARP Cache .
يوجد أيضا تطبيقات أندرويد مخصصة للقيام بهذا النوع من الهجمات ، من بينها تطبيق Zanti الذي شرحناه في موقعنا ، و كذا تطبيقات أخرى مثل Android Sniff .
كيف أقوم بعمل Static ARP للـ Gateway الخاص بالشبكة؟ وهل هذه الأدوات يمكن استخدامها على الويندوز أم توزيعة معينة من لينكس؟
أزال المؤلف هذا التعليق.