استراق سمع در محیط مجازی

به دریافت پکت‌های شبکه در حال ارسال، استراق سمع و به برنامه‌ای که این کار را انجام می‌دهد sniffer گفته می‌شود. استراق سمع هم می‌تواند به صورت قانونی باشد (مثلا برای نظارت بر ترافیک شبکه یا مسائل امنیتی) و هم به صورت غیرقانونی (برای سرقت اطلاعاتی مانند رمز عبور یا فایل‌های شبکه). برنامه‌های زیادی برای این کار تولید شده است و شما هم می‌توانید به صورت Command Line و هم به صورت واسط گرافیکی از آنها استفاده کنید. بسیاری از مهندسان شبکه، متخصصان امنیت و حتی هکرها از این ابزار برای استراق سمع استفاده می‌کنند و همچنین از این تکنیک برای هک‌کردن اخلاقی (Ethical Hacking) نیز استفاده می‌شود. در ادامه به بررسی جزئیات روش‌های استراق سمع می‌پردازیم.

رایانه‌‌های یک شبکه فعال همیشه در حال ارسال و دریافت اطلاعات هستند. اگر رایانه‌‌ها به صورت LAN از یک شبکه اشتراکی استفاده کنند از طریق HUB به یکدیگر متصلند و اگر شبکه سوئیچی استفاده شود، باید از یک (یا چند) سوئیچ استفاده کنند؛ در هر حالت sniffer‌ها با روش‌های متفاوت عمل می‌کنند.

در شبکه‌هایی که از HUB استفاده می‌شود، فریم‌ها و پکت‌ها را به همه دستگاه‌های موجود در شبکه می‌فرستد و به اصطلاح broadcast می‌کند؛ هر دستگاه با دریافت فریم، آدرس گیرنده را چک می‌کند و اگر با آدرس خود یکی بود آن را قبول می‌کند و اگر نباشد از دریافت آن صرف نظر می‌کند. در چنین شبکه‌ای، هکر فقط باید خود را به گونه‌ای به HUB متصل کند تا جزئی از شبکه شود و از آن به بعد خود به خود فریم‌ها را دریافت می‌کند، بنابراین می‌تواند فریم‌های قربانی را نیز پردازش کند. برای انجام این کار او به ابزار استراق سمع نیاز دارد تا بدون این‌که شناسایی شود، ترافیک قربانی را بخواند.

شبکه‌هایی که از سوئیچ استفاده می‌کند، عملکرد متفاوتی دارد و در آنها از انتشار داده‌ها برای ارسال آنها استفاده نمی‌شود. در عوض، سوئیچ فریم‌ها را با توجه به آدرس گیرنده، آن را به مقصد می‌فرستد و بقیه دستگاه‌ها از این ترافیک کاملا بی‌خبرند. بنابراین یک هکر علاوه بر این‌که باید به سوئیچ متصل باشد، راه‌حلی پیدا کند که سوئیچ داده‌های را که باید به دستگاه قربانی بفرستد را از طریق هکر ارسال کند. راه حل متداولی که برای این حمله وجود دارد ARP poisoning نام دارد که از این طریق سوئیچ را فریب می‌دهند. همچنین راه‌هایی مانند DHCP spoofing، سرقت درگاه وDNS spoofing نیز ممکن هستند.

در شبکه‌های محلی بی‌سیم، تعدادی دستگاه از طریق امواج رادئویی به یک access point متصل می‌شوند که معمولا با استفاده از سیم به یک HUB یا سوئیچ متصل است. یک شبکه بی‌سیم ممکن است بدون هیچ امکانات امنیتی و بازدارنده‌ای به هر دستگاه اجازه دهد به شبکه وارد شود یا ممکن است با استفاده از ابزار‌های امنیتی و رمزگذاری، فقط به تعدادی دستگاه خاص که رمز دارد، اجازه ورود به شبکه را بدهد.

در چنین شبکه‌ای، هکر باید مانند یک شبکه سیمی‌ همان مراحل را طی کند، با این تفاوت که باید اول سعی کند وارد شبکه شود. اگر شبکه امن نباشد هکر فقط باید یک کارت شبکه بی‌سیم داشته باشد و در حوزه دید access point باشد تا بتواند براحتی وارد شبکه شود. اما اگر شبکه امن باشد و رمزگذاری شده باشد، هکر اول باید کلید را پیدا کند و بعد می‌تواند وارد شبکه شود که البته به دست آوردن کلید شبکه با توجه به الگوریتم رمزگذاری و طول و پیچیدگی کلید ممکن است کار ساده یا دشواری باشد. وقتی که هکر وارد شبکه بی‌سیم شد، به صورت نامحسوس مشغول دریافت پکت‌های شبکه می‌شود. اگر access point به یک متصل باشد بدون کار‌های اضافی می‌تواند پکت‌ها را دریافت کند. اما اگر access point به یک سوئیچ وصل شده باشد، باید از ARP poisoning و حملات مشابه استفاده کند تا حمله خود را کامل کند. در چنین شبکه‌ای تنظیمات access point اهمیت بسیاری دارد تا جلوی چنین حملاتی را بگیرد.

استراق سمع در اینترنت

بسته‌ها و پکت‌هایی که از طریق شبکه اینترنت به مقصد می‌رسد از روتر‌های زیادی عبور می‌کند. در چنین شبکه‌ای، هکر در یک شبکه محلی مانند مثال‌های قبل نیست و به قربانی دسترسی مستقیم ندارد. برای استراق سمع در چنین شرایطی هکر دو راه دارد. اولین راه این است که هکر از نقاط ضعف پروتکل مسیریابی BGP سوءاستفاده کند. وقتی یک کاربر می‌خواهد سایتی را ببیند، سرور DNS به رایانه کاربر آدرس IP مقصد را می‌دهد. این IP در جدول BGP ارائه‌كننده خدمات اینترنت شما بررسی می‌شود تا بهترین مسیر برای انتقال داده‌ها مشخص شود. با این حال BGP بر اساس اعتماد کار می‌کند و به همه ارائه‌كنندگان خدمات اینترنت یا شبکه اجازه می‌دهد برای هر مبدأ یک محدوده IP یا مسیر را پیشنهاد کنند. یک هکر می‌تواند با پیشنهاد یک مسیر برای یکی از گره‌های مسیر قربانی که داده‌ها را از طریق هکر عبور می‌دهد، مسیر انتقال داده‌ها را در دست بگیرد و استراق سمع را شروع کند. دوم این‌که مدیر شبکه یک سرویس‌دهنده اینترنت، به تمام روتر‌هایش دسترسی کامل دارد و محتوای داده‌هایی را که از آنها می‌گذرد می‌تواند بخواند؛ بنابراین مدیر این شبکه می‌تواند بدون اجازه فرستنده و گیرنده، محتوای پکت‌های رمزگذاری نشده را ببیند.

جلوگیری از استراق سمع

در هر شبکه، با توجه به تنوع آن، جلوگیری از استراق سمع، روش متفاوتی دارد. برای مثال شبکه‌هایی که از HUB استفاده می‌کنند، ذاتاً به این نوع حمله آسیب پذیرند. برای این‌که در چنین شبکه‌ای استراق سمع کرد باید کارت شبکه را در حالت promiscuous قرار داد. در این حالت دستگاه همه پکت‌ها را از خود عبور می‌دهد و می‌تواند آنها را بخواند و حتی پکت‌هایی را نیز که گیرنده آن نیست، دریافت کند. برای جلوگیری از این کار ابزار‌هایی مانند Anti Sniff است که در یک شبکه چنین دستگاه‌هایی را شناسایی می‌کند.

در شبکه‌های بی‌سیم، به علت این‌که شبکه در حوزه خود برای همه قابل دسترسی است، کمی‌آن را در معرض خطر قرار می‌دهد. برای جلوگیری از ورود افراد بیگانه به شبکه باید از روش‌های رمز گذاری قابل اعتماد مانند WPA استفاده کرد و از آنجا که رمز این پروتکل‌ها از لحاظ تئوری قابل شکستن است، باید از کلید‌های بزرگ (حداقل 128 بیت) و از کلمات عبور قوی استفاده کرد. بعلاوه باید شبکه را مانند یک شبکه سوئیچی که در قسمت قبل توضیح داده شد نیز نسبت به این حملات مقاوم کرد.

منبع:www.tebyan.net

جدیدترین نسخه آنتی ویروس MSE را دانلود کنید

اکنون می توانید MSE 4.0 را از دانلود سنتر مایکروسافت دانلود کنید. این نسخه ویژه ویندوز ایکس پی، ویستا و سون عرضه شده است.

این نسخه از برنامه امنیتی مایکروسافت از اواخر سال 2011 به صورت نسخه بتا عرضه شده بود. مایکروسافت می گوید در این نسخه رابط کاربری ساده سازی و کاربردی تر شده. سرویس SpyNet علاوه بر بهبود کارایی، تغییر نام یافته و اکنون با عنوان Microsoft Active Protection Services شناخته می شود.  قابلیت های جدیدی به تعمیرکار خودکار برنامه اضافه شده است، به گونه ای که  تهدیدات با آسیب رسانی بالا را به صورت خودکار و بدون نمایش اخطار به کاربر، قرنطینه می کند . و به صورت کلی کارایی و قدرت کشف در MSE افزایش چشمگیری یافته است.

این برنامه ضد ویروس و ضد بدافزار می تواند گزینه شماره یک شما در میان ابزارهای رایگان باشد. اما توجه داشته باشید که حتما همین امروز نسخه MSE کامپیوترتان را کنترل کرده و سریعا نسبت به اپدیت آن اقدام کنید. زیرا متاسفانه تا کنون مایکروسافت به روز رسانی های برنامه امنیتی اش را به صورت خودکار و همراه با آپدیت های سیستم ارسال نکرده است. لذا احتمال اینکه شما هنوز مشغول استفاده از برخی نسخه های 2.x این نرم افزار باشید، زیاد است.

برنامه های آنتی ویروس فراوانی برای ویندوز وجود دارند که حتی شمارش و لیست کردن آنها کار مشکلی است. اما پیشنهاد یک گزینه خوب از میان این لیست بلند بالا کار چندان سختی نخواهد بود. به خصوص هنگامی که خود شرکت سازنده ویندوز هم وارد گود تولید کنندگان آنتی ویروس شده باشد. کار با سکیوریتی اسنشیال مایکروسافت آسان است، برنامه سبکی است و همه کارهایش را در پس زمینه سیستم و بدون مزاحمت زیاد انجام می دهد، لذا به ندرت پیش می آید که با آن درگیر شوید و دست و پای شما را بگیرد. 

مزایا:

- رابط کاربری بیش از حد ساده آن باعث شده که قادر باشید به صورت دستی دفعات آپدیت آن را تعریف کنید، به راحتی آیتم ها و موارد کشف شده روی سیستم را ببینید و اسکن خودکار سیستم را زمانبندی کنید.

- بتوانید اعمال و رفتارهای خودکار مختلفی برای سطوح متفاوت پیام های خطا تنظیم کنید. ( برای مثال حذف یا قرنطینه کردن فایل های مشکوک)

- حمایت برخط و لحظه ای که تمامی دانلودهای شما را اسکن کرده و فعالیت فایل های تان را مانیتور می کند و مراقب هر گونه فعالیت مشکوک سیستم است.

- مستثنی کردن انواع خاصی از فایل، محل های خاصی از هارد و یا پروسه های خاصی هنگام اسکن کردن

- موتور اسکن اکتشافی که با کمک آن ویروس های خارج از تعریف و شکل رایج هم به راحتی کشف می گردند. 

نقاط قدرت:

Microsoft Security Essentials هر مشکلی را که شما با آنتی ویروس ها داشته اید، حل می کند. این برنامه بیش از حد سبک است. کار با آن ساده است. و بدون آنکه شما متوجه حضور آن شوید به روز شده و سیستم را اسکن می کند. رابط کاربری آن بیش از حد برای کاربر ساده است، تا جایی که شما می توانید هر زمان که بخواهید برنامه زمانی اسکن و تنظیمات را به راحتی تغییر دهید. اما  چنان کارش را خوب انجام می دهد که شما نیاز زیادی به تغییرات خاصی ندارید. آن را نصب کنید. و فراموشش کنید. 

نقاط ضعف:

تنها نقطه ضعف واقعی آنتی ویروس MSE که بر روی کارکرد و قابلیت های آن تاثیر بدی دارد، آن است که این برنامه طبق گزارش AV-Comparatives در به دام انداختن ویروس ها چندان موثر عمل نمی کند. اگر چه هنوز یکی از موثرترین برنامه های موجود در بازار است، به خصوص در میان برنامه های رایگان. و تقریبا می تواند شما را در برابر بیشتر بدافزارهای درون وب محافظت کند. اما اسکنر ایمیل، مسنجر، یا هر نوع اسکنر اضافی دیگری ندارد. خب، باید میان اینکه سیستم تان با برنامه ای مجهز به همه این اسکنر ها و ضد بدافزارها مجهز شود، یا اینکه با سبک باری و امنیت به اینترنت گردی و گشت و گذار تحت وب  در ایمیل های تان بپردازید، یکی را انتخاب کنید.

منبع:http://www.tebyan.net/