بخش های سایت
انتخاب سردبیر:
- چرا یک لپ تاپ به یک SSD کوچک نیاز دارد و آیا ارزش نصب ویندوز روی آن را دارد؟
- قرار دادن یک قاب. ایجاد قاب ارائه یک نوفریم بازگشتی
- Windows System Restore آماده سازی بازیابی خودکار بی پایان
- تعمیر فلش مموری با استفاده از برنامه ها نحوه تعمیر پورت USB در لپ تاپ
- ساختار دیسک آسیب دیده است، خواندن غیرممکن است، چه باید بکنم؟
- حافظه کش هارد چیست و چرا به آن نیاز است؟
- کامپیوتر از چه چیزی تشکیل شده است؟
- ساختار واحد سیستم - کدام اجزا مسئول عملکرد رایانه هستند ویژگی های دستگاه های داخلی واحد سیستم
- نحوه تغییر هارد دیسک به SSD
- دستگاه های ورودی شامل
تبلیغات
تشخیص حملات انسان در وسط (MitM). سؤالات متداول فنی محافظت در برابر مرد در وسط |
در این مقاله سعی می کنیم تئوری حملات Man-in-the-Middle و چند نکته کاربردی را که به جلوگیری از این نوع حملات کمک می کند، بشناسیم. این به ما کمک میکند تا خطری را که چنین نفوذهایی برای حریم خصوصی ما ایجاد میکند درک کنیم، زیرا حملات MitM به ما اجازه میدهد در ارتباطات نفوذ کنیم و مکالمات خود را استراق سمع کنیم. درک نحوه کار اینترنتبرای درک اصل حمله انسان در وسط، ابتدا ارزش دارد که بدانیم خود اینترنت چگونه کار می کند. نقاط اصلی تعامل: کلاینت ها، روترها، سرورها. رایج ترین پروتکل ارتباطی بین کلاینت و سرور، پروتکل انتقال ابرمتن (HTTP) است. گشت و گذار در اینترنت با استفاده از مرورگر، ایمیل، پیام های فوری - همه اینها از طریق HTTP انجام می شود. وقتی وارد می شوید نوار آدرسمرورگر شما، مشتری (شما) درخواستی را برای نمایش صفحه وب به سرور ارسال می کند. بسته (درخواست HTTP GET) از طریق چندین روتر به سرور منتقل می شود. سپس سرور با یک صفحه وب پاسخ می دهد که برای مشتری ارسال می شود و در مانیتور آن نمایش داده می شود. پیام های HTTP باید به حالت امنبرای اطمینان از محرمانه بودن و ناشناس بودن شکل 1. تعامل مشتری و سرور ایمن سازی پروتکل ارتباطییک پروتکل ارتباط ایمن باید هر یک از ویژگی های زیر را داشته باشد:
اگر هر یک از این قوانین رعایت نشود، کل پروتکل به خطر می افتد. حمله Man-in-the-Middle از طریق پروتکل HTTPیک مهاجم به راحتی می تواند با استفاده از تکنیکی به نام جعل ARP، یک حمله Man-in-the-Middle انجام دهد. هر کسی در شما شبکه های وای فایممکن است یک بسته ARP جعلی برای شما ارسال کند و باعث شود شما ناآگاهانه تمام ترافیک خود را به جای روتر از طریق مهاجم ارسال کنید. پس از این، مهاجم کنترل کاملی بر ترافیک دارد و می تواند درخواست های ارسال شده در هر دو جهت را کنترل کند. شکل 2. الگوی حمله Man-in-the-Middle برای جلوگیری از چنین حملاتی، نسخه ای امن از پروتکل HTTP ایجاد شد. امنیت لایه حمل و نقل (TLS) و سلف آن، لایه سوکت امن (SSL)، پروتکل های رمزنگاری هستند که امنیت انتقال داده ها را از طریق شبکه فراهم می کنند. بنابراین پروتکل امن HTTPS نامیده خواهد شد. با تایپ در نوار آدرس مرورگر خود می توانید نحوه عملکرد پروتکل ایمن را مشاهده کنید (به S در https توجه کنید). حمله Man-in-the-Middle به SSL با پیاده سازی ضعیفاستفاده های مدرن از SSL الگوریتم خوبرمزگذاری، اما اگر اشتباه اجرا شود مهم نیست. اگر یک هکر بتواند درخواست را رهگیری کند، می تواند آن را با حذف "S" از URL درخواستی تغییر دهد و در نتیجه SSL را دور بزند. چنین رهگیری و اصلاح درخواست قابل مشاهده است. به عنوان مثال، اگر شما درخواست https://login.yahoo.com/ دارید و پاسخ آن http://login.yahoo.com/ است، این امر باعث ایجاد شک می شود. در زمان نگارش این مقاله، این حمله در واقع روی سرویس ایمیل یاهو کار می کند. شکل 3. درخواست رهگیری و اصلاح برای جلوگیری از چنین حمله ای، سرورها می توانند HTTP Strict Transport Security (HSTS) را پیاده سازی کنند، مکانیزمی که اتصال امن اجباری را روی پروتکل HTTPS امکان پذیر می کند. در این حالت، اگر مهاجم درخواست را با حذف "S" از URL تغییر دهد، سرور همچنان کاربر را با تغییر مسیر 302 به صفحه ای با پروتکل ایمن هدایت می کند. شکل 4. نمودار عملیات HSTS این روش پیاده سازی SSL در برابر نوع دیگری از حمله آسیب پذیر است - مهاجم یک اتصال SSL به سرور ایجاد می کند، اما از ترفندهای مختلفی استفاده می کند تا کاربر را مجبور به استفاده از HTTP کند. شکل 5. الگوی حمله HSTS برای جلوگیری از چنین حملاتی، مرورگرهای مدرن مانند کروم، فایرفاکس و Tor سایتها را با استفاده از HSTS کنترل میکنند و اتصال سمت کلاینت را از طریق SSL به آنها وادار میکنند. در این مورد، مهاجمی که یک حمله Man-in-the-Middle انجام می دهد باید یک اتصال SSL با قربانی ایجاد کند. شکل 6. الگوی حمله که در آن مهاجم یک ارتباط SSL با قربانی برقرار می کند به منظور ارائه یک اتصال SLL به یک کاربر، مهاجم باید بداند که چگونه به عنوان یک سرور عمل کند. بیایید جنبه های فنی SSL را درک کنیم. آشنایی با SSLاز نقطه نظر یک هکر، به خطر انداختن هر پروتکل ارتباطی به یافتن پیوند ضعیف در میان مؤلفه های ذکر شده در بالا (حریم خصوصی، اصالت و یکپارچگی) منجر می شود. SSL از یک الگوریتم رمزگذاری نامتقارن استفاده می کند. مشکل رمزگذاری متقارن این است که از یک کلید برای رمزگذاری و رمزگشایی داده ها استفاده می شود، این رویکرد برای پروتکل های اینترنتی معتبر نیست زیرا مهاجم می تواند این کلید را ردیابی کند. رمزگذاری نامتقارن شامل 2 کلید برای هر طرف است: کلید عمومی، برای رمزگذاری و یک کلید خصوصی برای رمزگشایی داده ها استفاده می شود. شکل 7. کلیدهای عمومی و خصوصی کار می کنند
چگونه SSL سه ویژگی مورد نیاز برای ارتباطات امن را فراهم می کند؟
اگر مهاجم به نحوی موفق به دریافت گواهی شود، می تواند در را به روی حمله مرد میانی باز کند. بنابراین، 2 اتصال ایجاد می کند - با سرور و با قربانی. سرور در این مورد فکر می کند که مهاجم یک کلاینت معمولی است و قربانی هیچ راهی برای شناسایی مهاجم ندارد، زیرا او گواهی ارائه می دهد که ثابت می کند سرور است. پیامهای شما به صورت رمزگذاری شده میرسند و میرسند، اما یک زنجیره را از طریق رایانه مجرم سایبری دنبال کنید، جایی که او کنترل کامل دارد. شکل 8. الگوی حمله اگر مهاجم دارای گواهی باشد اگر مهاجم توانایی به خطر انداختن مرورگر قربانی را داشته باشد، نیازی به جعل گواهی نیست. در این صورت، او می تواند گواهی خود امضا شده را وارد کند که به طور پیش فرض مورد اعتماد خواهد بود. این روشی است که اکثر حملات مرد میانی انجام می شود. در موارد پیچیده تر، هکر باید مسیر دیگری را انتخاب کند - گواهی را جعل کند. مشکلات مرجع صدور گواهینامهگواهی ارسال شده توسط سرور توسط یک مرجع صدور گواهینامه صادر و امضا شده است. هر مرورگر فهرستی از مقامات گواهی معتبر دارد و میتوانید آنها را اضافه یا حذف کنید. مشکل اینجاست که اگر تصمیم به حذف مقامات بزرگ بگیرید، نمیتوانید از سایتهایی بازدید کنید که از گواهیهای امضا شده توسط آن مقامات استفاده میکنند. گواهی ها و مقامات گواهینامه همیشه ضعیف ترین حلقه در اتصال HTTPS بوده اند. حتی اگر همه چیز به درستی اجرا شده باشد و هر مرجع گواهی دارای اختیارات محکمی باشد، هنوز دشوار است که با این واقعیت کنار بیایید که باید به بسیاری از اشخاص ثالث اعتماد کنید. امروزه بیش از 650 سازمان قادر به صدور گواهینامه هستند. اگر مهاجمی هر یک از آنها را هک می کرد، هر گواهی را که می خواست دریافت می کرد. حتی زمانی که تنها یک مرجع گواهی وجود داشت، VeriSign، مشکلی وجود داشت - افرادی که قرار بود از حملات انسان در وسط جلوگیری کنند، خدمات رهگیری را می فروختند. همچنین بسیاری از گواهی ها به دلیل هک مقامات گواهی ایجاد شد. تکنیک ها و ترفندهای مختلفی برای فریب کاربر هدف به منظور اعتماد به گواهی های تقلبی استفاده شده است. پزشکی قانونیاز آنجایی که مهاجم بسته های ARP جعلی را ارسال می کند، آدرس IP مهاجم قابل مشاهده نیست. در عوض، باید به آدرس MAC که مخصوص هر دستگاه موجود در شبکه است توجه کنید. اگر آدرس MAC روتر خود را میدانید، میتوانید آن را با آدرس MAC دروازه پیشفرض مقایسه کنید تا متوجه شوید که آیا واقعاً روتر شما است یا یک مهاجم. به عنوان مثال، در سیستم عامل ویندوز می توانید از دستور ipconfig استفاده کنید خط فرمان(CMD) برای مشاهده آدرس IP پیش فرض دروازه (خط آخر): شکل 9. با استفاده از دستور ipconfig سپس از دستور arp –a برای پیدا کردن آدرس MAC این دروازه استفاده کنید: شکل 10. با استفاده از دستور arp –a اما راه دیگری برای مشاهده حمله وجود دارد - اگر فعالیت شبکه را در زمان شروع آن زیر نظر داشتید و بستههای ARP را تماشا میکردید. برای مثال می توانید از Wireshark برای این منظور استفاده کنید، این برنامه در صورت تغییر مک آدرس دروازه پیش فرض به شما اطلاع می دهد. توجه: اگر مهاجم به درستی آدرس های مک را جعل کند، ردیابی او به یک مشکل بزرگ تبدیل می شود. نتیجهSSL پروتکلی است که مهاجم را مجبور به انجام کارهای زیادی برای انجام یک حمله می کند. اما شما را در برابر حملات تحت حمایت دولت یا سازمانهای هک ماهر محافظت نمیکند. وظیفه کاربر محافظت از مرورگر و رایانه خود برای جلوگیری از درج گواهی جعلی است (یک تکنیک بسیار رایج). همچنین ارزش توجه به لیست گواهی های قابل اعتماد و حذف مواردی که به آنها اعتماد ندارید را دارد. در آن یک مهاجم با اتصال به یک کانال بین طرفین، در پروتکل انتقال تداخل می کند و اطلاعات را حذف یا تحریف می کند. یوتیوب دایره المعارفی1 / 3 ✪ شماره 4 چگونه یک هکر شویم؟ «حمله دلال»! |هک از A تا Z| ✪ حمله MiTM به iOS. تکنیک و پیامدها ✪ جدول زمانی بیت کوین حملات هکرهاو هک های تبادل در بازار ارزهای دیجیتال (2012 - 2018) زیرنویساصل حملهحمله معمولاً با استراق سمع از کانال ارتباطی شروع می شود و با تلاش رمزنگارگر برای جایگزینی پیام رهگیری شده و استخراج پایان می یابد. اطلاعات مفید، آن را به یک منبع خارجی هدایت کنید. فرض کنید شی A قصد دارد اطلاعاتی را به شی B ارسال کند. شیء C در مورد ساختار و ویژگیهای روش انتقال داده مورد استفاده، و همچنین واقعیت انتقال برنامه ریزی شده اطلاعات واقعی که C قصد دارد رهگیری کند، دانش دارد. برای انجام یک حمله، C برای شیء A بهعنوان B ظاهر میشود و به B به عنوان A اعتراض میکند. و برخی از اقدامات را با آن انجام می دهد (به عنوان مثال، کپی کردن یا اصلاح برای اهداف خود) داده ها را به خود گیرنده ارسال می کند - B; شیء B نیز به نوبه خود معتقد است که اطلاعات مستقیماً از A دریافت شده است. نمونه حملهتزریق کد مخربحمله Man-in-the-Middle به یک رمزنگار اجازه می دهد تا کد خود را در آن وارد کند ایمیل ها، عبارات SQL و صفحات وب (یعنی اجازه تزریق SQL، تزریق HTML/اسکریپت یا حملات XSS را می دهد) و حتی باینری های آپلود شده توسط کاربر را برای دسترسی به آن تغییر دهید. حسابکاربر یا تغییر رفتار برنامه ای که کاربر از اینترنت دانلود کرده است. Downgrade Attackاصطلاح «حمله کاهش رتبه» به حملهای اشاره دارد که در آن یک تحلیلگر رمز، کاربر را مجبور میکند از توابع امنتر استفاده کند، پروتکلهایی که هنوز به دلایل سازگاری پشتیبانی میشوند. این نوع حمله را می توان بر روی پروتکل های SSH، IPsec و PPTP انجام داد. برای محافظت در برابر حمله Downgrade، پروتکلهای ناامن باید حداقل از یک طرف غیرفعال شوند. صرفاً پشتیبانی و استفاده از پروتکل های امن به صورت پیش فرض کافی نیست! SSH V1 به جای SSH V2مهاجم ممکن است سعی کند پارامترهای اتصال بین سرور و سرویس گیرنده را هنگامی که ارتباط بین آنها برقرار می شود، تغییر دهد. طبق صحبتی که در کنفرانس Blackhat اروپا 2003 ارائه شد، یک تحلیلگر رمز میتواند با تغییر شماره نسخه «1.99» برای جلسه SSH به «1.51» به جای SSH2، مشتری را مجبور به شروع جلسه SSH1 کند، که به معنای استفاده از SSH V1 است. . پروتکل SSH-1 دارای آسیب پذیری هایی است که می تواند توسط یک تحلیلگر رمز مورد سوء استفاده قرار گیرد. IPsecدر این سناریوی حمله، تحلیلگر رمزنگاری قربانی خود را گمراه می کند و فکر می کند که جلسه IPsec نمی تواند از انتهای دیگر (سرور) شروع شود. در صورتی که دستگاه میزبان در حالت برگشتی کار کند، پیام ها به طور صریح ارسال می شوند. PPTPدر مرحله مذاکره با پارامترهای جلسه PPTP، مهاجم می تواند قربانی را مجبور به استفاده از احراز هویت کمتر امن PAP، MSCHAP V1 (یعنی «بازگرداندن» از MSCHAP V2 به نسخه 1) کند یا اصلاً از رمزگذاری استفاده نکند. مهاجم می تواند قربانی خود را مجبور به تکرار مرحله مذاکره با پارامترهای جلسه PPTP (ارسال یک بسته Terminate-Ack) کند، رمز عبور را از تونل موجود بدزدد و حمله را تکرار کند. ارتباطات عمومی بدون حفاظت از صحت، محرمانه بودن، در دسترس بودن و یکپارچگی اطلاعاترایج ترین وسایل ارتباطی این گروه هستند شبکه اجتماعی، یک سرویس ایمیل عمومی و سیستم پیام رسانی فوری. مالک منبع ارائه دهنده خدمات ارتباطی کنترل کاملی بر اطلاعات مبادله شده بین خبرنگاران دارد و بنا به صلاحدید خود می تواند در هر زمانی آزادانه حمله ای را انجام دهد. برخلاف سناریوهای قبلی مبتنی بر جنبههای فنی و فناوری ارتباطات، در این مورد حمله بر جنبههای ذهنی است، یعنی در ذهن کاربران مفهوم نادیده گرفتن الزامات امنیت اطلاعات را تثبیت میکند. آیا رمزگذاری کمک خواهد کرد؟بیایید مورد یک تراکنش استاندارد HTTP را در نظر بگیریم. در این مورد، یک مهاجم به راحتی می تواند اتصال TCP اصلی را به دو اتصال جدید تقسیم کند: یکی بین خود و مشتری، دیگری بین خود و سرور. انجام این کار بسیار آسان است، زیرا به ندرت ارتباط بین کلاینت و سرور مستقیم است و در اکثر موارد آنها از طریق تعدادی سرور میانی متصل می شوند. یک حمله MITM می تواند بر روی هر یک از این سرورها انجام شود. با این حال، اگر کلاینت و سرور با استفاده از HTTPS، پروتکلی که از رمزگذاری پشتیبانی میکند، با هم ارتباط برقرار کنند، میتوان یک حمله man-in-the-middle نیز انجام داد. این نوع اتصال از TLS یا SSL برای رمزگذاری درخواستها استفاده میکند، که به نظر میرسد کانال را در مقابل حملات MITM محافظت میکند. یک مهاجم می تواند دو جلسه SSL مستقل برای هر اتصال TCP ایجاد کند. کلاینت یک اتصال SSL با مهاجم برقرار می کند که به نوبه خود با سرور ارتباط برقرار می کند. در چنین مواردی، مرورگر معمولاً هشدار می دهد که گواهی توسط یک مرجع صدور گواهینامه مورد اعتماد امضا نشده است، اما کاربران عادی مرورگرهای قدیمی می توانند به راحتی از این هشدار عبور کنند. علاوه بر این، مهاجم ممکن است گواهی امضا شده توسط مرجع صدور گواهینامه ریشه داشته باشد (به عنوان مثال، چنین گواهی هایی گاهی اوقات برای DLP استفاده می شود) و هشدار ایجاد نمی کند. علاوه بر این، تعدادی از حملات علیه HTTPS وجود دارد. بنابراین، پروتکل HTTPS را نمی توان در برابر حملات MITM برای کاربران عادی محافظت شده در نظر گرفت. [ ] تعدادی از اقدامات برای جلوگیری از برخی وجود دارد حملات MITMدر سایتهای https، بهویژه HSTS، که استفاده از اتصال http را از سایتها ممنوع میکند، پین کردن گواهی و پین کردن کلید عمومی HTTP، که جایگزینی گواهی را ممنوع میکند. تشخیص حمله MITMبرای تشخیص حمله مرد میانی، باید تجزیه و تحلیل کنید ترافیک شبکه. به عنوان مثال، برای شناسایی یک حمله SSL، باید به پارامترهای زیر توجه کنید:
پیاده سازی حمله MITMبرنامه های فهرست شده را می توان برای انجام حملات Man-in-the-Middle و همچنین برای شناسایی آنها و آزمایش سیستم از نظر آسیب پذیری استفاده کرد. همچنین ببینید
حملات دیگر
در آن یک مهاجم با اتصال به یک کانال بین طرفین، در پروتکل انتقال تداخل می کند و اطلاعات را حذف یا تحریف می کند. اصل حملهحمله معمولاً با استراق سمع از کانال ارتباطی شروع می شود و با تلاش رمزنگارگر برای جایگزینی پیام رهگیری شده، استخراج اطلاعات مفید از آن و هدایت آن به برخی منابع خارجی پایان می یابد. فرض کنید شی A قصد دارد اطلاعاتی را به شی B ارسال کند. شیء C در مورد ساختار و ویژگیهای روش انتقال داده مورد استفاده، و همچنین واقعیت انتقال برنامه ریزی شده اطلاعات واقعی که C قصد دارد رهگیری کند، دانش دارد. برای انجام یک حمله، C برای شیء A بهعنوان B ظاهر میشود و به B به عنوان A اعتراض میکند. و برخی از اقدامات را با آن انجام می دهد (به عنوان مثال، کپی کردن یا اصلاح برای اهداف خود) داده ها را به خود گیرنده ارسال می کند - B; شیء B نیز به نوبه خود معتقد است که اطلاعات مستقیماً از A دریافت شده است. نمونه حملهتزریق کد مخربحمله man-in-the-middle به یک رمزنگار اجازه می دهد تا کد را در ایمیل ها، عبارات SQL و صفحات وب درج کند (یعنی امکان تزریق SQL، تزریق HTML/اسکریپت، یا حملات XSS) و حتی باینری های آپلود شده توسط کاربر را تغییر دهد. دسترسی به حساب کاربری یا تغییر رفتار برنامه دانلود شده توسط کاربر از اینترنت. Downgrade Attackاصطلاح «حمله کاهش رتبه» به حملهای اشاره دارد که در آن یک تحلیلگر رمز، کاربر را مجبور میکند از توابع امنتر استفاده کند، پروتکلهایی که هنوز به دلایل سازگاری پشتیبانی میشوند. این نوع حمله را می توان بر روی پروتکل های SSH، IPsec و PPTP انجام داد. برای محافظت در برابر حمله Downgrade، پروتکلهای ناامن باید حداقل از یک طرف غیرفعال شوند. صرفاً پشتیبانی و استفاده از پروتکل های امن به صورت پیش فرض کافی نیست! SSH V1 به جای SSH V2مهاجم ممکن است سعی کند پارامترهای اتصال بین سرور و سرویس گیرنده را هنگامی که ارتباط بین آنها برقرار می شود، تغییر دهد. طبق صحبتی که در کنفرانس بلکهت اروپا 2003 ارائه شد، یک تحلیلگر رمز میتواند با تغییر شماره نسخه «1.99» برای جلسه SSH به «1.51»، که به معنای استفاده از SSH V1 است، یک کلاینت را مجبور به شروع یک جلسه SSH1 به جای SSH2 کند. . پروتکل SSH-1 دارای آسیب پذیری هایی است که می تواند توسط یک تحلیلگر رمز مورد سوء استفاده قرار گیرد. IPsecدر این سناریوی حمله، تحلیلگر رمزنگاری قربانی خود را گمراه می کند و فکر می کند که جلسه IPsec نمی تواند از انتهای دیگر (سرور) شروع شود. در صورتی که دستگاه میزبان در حالت برگشتی کار کند، پیام ها به طور صریح ارسال می شوند. PPTPدر مرحله مذاکره با پارامترهای جلسه PPTP، مهاجم می تواند قربانی را مجبور به استفاده از احراز هویت کمتر امن PAP، MSCHAP V1 (یعنی «بازگرداندن» از MSCHAP V2 به نسخه 1) کند یا اصلاً از رمزگذاری استفاده نکند. مهاجم می تواند قربانی خود را مجبور به تکرار مرحله مذاکره با پارامترهای جلسه PPTP (ارسال یک بسته Terminate-Ack) کند، رمز عبور را از تونل موجود بدزدد و حمله را تکرار کند. ارتباطات عمومی بدون حفاظت از صحت، محرمانه بودن، در دسترس بودن و یکپارچگی اطلاعاتمتداول ترین وسایل ارتباطی برای این گروه یک شبکه اجتماعی، یک سرویس ایمیل عمومی و یک سیستم پیام رسانی فوری است. مالک منبع ارائه دهنده خدمات ارتباطی کنترل کاملی بر اطلاعات مبادله شده بین خبرنگاران دارد و بنا به صلاحدید خود می تواند در هر زمانی آزادانه حمله ای را انجام دهد. برخلاف سناریوهای قبلی مبتنی بر جنبههای فنی و فناوری ارتباطات، در این مورد حمله بر جنبههای ذهنی است، یعنی در ذهن کاربران مفهوم نادیده گرفتن الزامات امنیت اطلاعات را تثبیت میکند. آیا رمزگذاری کمک خواهد کرد؟بیایید مورد یک تراکنش استاندارد HTTP را در نظر بگیریم. در این مورد، یک مهاجم به راحتی می تواند اتصال TCP اصلی را به دو اتصال جدید تقسیم کند: یکی بین خود و مشتری، دیگری بین خود و سرور. انجام این کار بسیار آسان است، زیرا به ندرت ارتباط بین کلاینت و سرور مستقیم است و در اکثر موارد آنها از طریق تعدادی سرور میانی متصل می شوند. یک حمله MITM می تواند بر روی هر یک از این سرورها انجام شود. با این حال، اگر کلاینت و سرور با استفاده از HTTPS، پروتکلی که از رمزگذاری پشتیبانی میکند، با هم ارتباط برقرار کنند، میتوان یک حمله man-in-the-middle نیز انجام داد. این نوع اتصال از TLS یا SSL برای رمزگذاری درخواستها استفاده میکند، که به نظر میرسد کانال را در مقابل حملات MITM محافظت میکند. یک مهاجم می تواند دو جلسه SSL مستقل برای هر اتصال TCP ایجاد کند. کلاینت یک اتصال SSL با مهاجم برقرار می کند، که به نوبه خود با سرور ارتباط برقرار می کند. در چنین مواردی، مرورگر معمولاً هشدار می دهد که گواهی توسط یک مرجع صدور گواهینامه مورد اعتماد امضا نشده است، اما کاربران عادی مرورگرهای قدیمی می توانند به راحتی از این هشدار عبور کنند. علاوه بر این، مهاجم ممکن است گواهی امضا شده توسط مرجع صدور گواهینامه ریشه داشته باشد (به عنوان مثال، چنین گواهی هایی گاهی اوقات برای DLP استفاده می شود) و هشدار ایجاد نمی کند. علاوه بر این، تعدادی از حملات علیه HTTPS وجود دارد. بنابراین، پروتکل HTTPS را نمی توان در برابر حملات MITM برای کاربران عادی محافظت شده در نظر گرفت. [ ] تعدادی از اقداماتی وجود دارد که از برخی حملات MITM به سایتهای https جلوگیری میکند، به ویژه HSTS، که استفاده از اتصالات http از سایتها را ممنوع میکند، پین کردن گواهی و پین کردن کلید عمومی HTTP، که جایگزینی گواهی را ممنوع میکند. تشخیص حمله MITMبرای شناسایی یک حمله انسان در وسط، باید ترافیک شبکه را تجزیه و تحلیل کنید. به عنوان مثال، برای شناسایی یک حمله SSL، باید به پارامترهای زیر توجه کنید:
پیاده سازی حمله MITMبرنامه های فهرست شده را می توان برای انجام حملات Man-in-the-Middle و همچنین برای شناسایی آنها و آزمایش سیستم از نظر آسیب پذیری استفاده کرد. همچنین ببینید
حملات دیگر
نظری در مورد مقاله "مردی در حمله میانی" بنویسیدادبیاتپیوندها
گزیده ای از شخصیت مرد در حمله میانیافسر در حالی که با لبخندی توام با مهربانی به مرد کوچولو نگاه می کرد، گفت: «کوارتیر، کوارتیر، لوژمنت». – Les Francais sont de bons enfants. Que diable! ویون ها! Ne nous fachons pas, mon vieux, [آپارتمان ها، آپارتمان ها... فرانسوی ها بچه های خوبی هستند. لعنتی، دعوا نکنیم پدربزرگ.] - اضافه کرد و دستی به شانه گراسیم ترسیده و ساکت زد.- آکا! Dites donc، در ne parle donc pas francais dans cette بوتیک؟ [خب، واقعاً، هیچکس اینجا فرانسوی صحبت نمیکند؟] او اضافه کرد و به اطراف نگاه کرد و چشمان پیر را دید. پیر از در فاصله گرفت. افسر دوباره رو به گراسیم کرد. او از گراسیم خواست که اتاق های خانه را به او نشان دهد. گراسیم در حالی که سعی میکرد با این واقعیت که از درون به زبان آورده بود حرفهایش را واضحتر بگوید، گفت: «استاد رفته است، نمیفهمید... مال من مال شماست...». افسر فرانسوی در حالی که لبخند می زد، دستانش را جلوی بینی گراسیم باز کرد و به او احساس کرد که او را درک نمی کند و در حالی که لنگان لنگان لنگان در آن ایستاده بود به سمت در رفت. پیر می خواست دور شود تا از او پنهان شود ، اما در همان زمان ماکار الکسیچ را دید که با یک تپانچه در دستانش از در آشپزخانه باز خم شده بود. ماکار الکسیچ با حیله یک دیوانه به فرانسوی نگاه کرد و تپانچه اش را بالا گرفت و نشانه گرفت. - سوار!!! - مست فریاد زد و ماشه تپانچه را فشار داد. افسر فرانسوی با فریاد برگشت و در همان لحظه پیر به سمت مرد مست هجوم آورد. در حالی که پیر تپانچه را گرفت و بالا آورد، ماکار آلکسیچ در نهایت با انگشتش به ماشه برخورد کرد و صدای شلیکی شنیده شد که کر کننده بود و همه را در دود باروت پوشاند. مرد فرانسوی رنگ پریده شد و با عجله به سمت در رفت. پیر که قصد خود را برای آشکار نکردن دانش زبان فرانسه فراموش کرده بود، تپانچه را قاپید و آن را پرتاب کرد، به سمت افسر دوید و به فرانسوی با او صحبت کرد. او گفت: «نمیدانی؟ [آیا مجروح نشدی؟]». افسر در حالی که خود را احساس میکرد، پاسخ داد: «Je crois que non» و با اشاره به گچ سست روی دیوار، اضافه کرد: «به نظر میرسد که اینطور نیست. .. اما این از آنجایی که نزدیک بود. این مرد کیست؟] - افسر گفت و به سختی به پیر نگاه کرد. پیر به سرعت گفت: "آه، je suis vraiment au desespoir de ce qui vient d"Arriver، [آه، من واقعاً از اتفاقی که افتاد ناامید هستم]،" پیر به سرعت نقش خود را فراموش کرد. "C"est un fou, un malheureux qui ne savait pas ce qu'il faisait. [این یک دیوانه بدبخت است که نمی دانست دارد چه می کند.] افسر به ماکار الکسیچ نزدیک شد و یقه او را گرفت. ماکار آلکسیچ، لبهایش از هم باز شده بود، انگار که خوابش برده بود، تکان خورد و به دیوار تکیه داد. مرد فرانسوی در حالی که دستش را درآورد گفت: «بریگاند، تو من لا پایراس». – Nous autres nous sommes clements apres la victoire: mais nous ne pardonnons pas aux traitres, [دزد، برای این به من پول می دهی. برادر ما بعد از پیروزی مهربان است، اما ما خائنان را نمی بخشیم. پیر به زبان فرانسوی ادامه داد تا افسر را متقاعد کند که این مرد مست و دیوانه را مجازات نکند. فرانسوی بدون تغییر ظاهر غمگین خود بی صدا گوش داد و ناگهان با لبخند به پیر رو کرد. چند ثانیه ساکت نگاهش کرد. چهره زیبایش حالتی غم انگیز به خود گرفت و دستش را دراز کرد. او گفت: "Vous m"avez sauve la vie! Vous etes Francais، [شما جان من را نجات دادید. شما یک فرانسوی هستید." رامبال "I capitaine du 13 me leger [موسیو رامبال، کاپیتان هنگ سبک سیزدهم] - بدون شک، بزرگترین چیز بود. اما مهم نیست که چقدر این نتیجه گیری و اعتقاد افسر بر اساس آن غیرقابل شک بود، پیر لازم دید که او را ناامید کند. پیر سریع گفت: "Je suis Russe، [من روسی هستم"]. مرد فرانسوی در حالی که انگشت خود را جلوی بینی خود تکان می دهد و لبخند می زند، گفت: "Ti ti ti, a d"autres، [این را به دیگران بگویید." – Charme de rencontrer un هموطن. ای بین! qu"allons nous faire de cet homme؟ [حالا همه اینها را به من می گویی. ملاقات با یک هموطن بسیار خوب است. خوب! ما با این مرد چه کنیم؟] - او افزود و با خطاب به پیر مانند برادرش خطاب کرد. حتی اگر پی یر یک فرانسوی هم نبود، یک بار این بالاترین عنوان را در جهان دریافت کرده بود، نمی توانست آن را رد کند، بیان صورت و لحن افسر فرانسوی. بود، توضیح داد که درست قبل از رسیدن آنها، این مرد مست و دیوانه یک تپانچه پر شده را دزدید که وقت نداشتند آن را از او بردارند و درخواست کرد که عمل او بدون مجازات بماند. مرد فرانسوی سینه خود را بیرون آورد و با دست خود یک حرکت سلطنتی انجام داد. – Vous m"avez sauve la vie. Vous etes Francais. Vous me daxwazez sa grace؟ Je vous l"accorde. افسر فرانسوی سریع و پرانرژی در حالی که دست یکی را گرفت، گفت: "on emmene cet homme، [تو جان من را نجات دادی. تو یک فرانسوی هستی. میخواهی او را ببخشم؟ من او را میبخشم. این مرد را بردارید." که او را به خاطر نجات جانش در پیر فرانسوی به دست آورده بود و با او به خانه رفت. سربازانی که در حیاط بودند با شنیدن صدای تیراندازی وارد دهلیز شدند و از آنچه اتفاق افتاده است پرسیدند و آمادگی خود را برای مجازات مسئولین اعلام کردند. اما افسر به شدت جلوی آنها را گرفت. او گفت: "On vous demandera quand on aura besoin de vous." سربازها رفتند. دستور دهنده که در همین حین موفق شده بود در آشپزخانه باشد به افسر نزدیک شد. او گفت: «کاپیتان، غذای آشپزی و گیگوت د موتون. - Faut il vous l "apporter؟ [کاپیتان، آنها سوپ و گوشت بره سرخ شده در آشپزخانه دارند. می خواهید آن را بیاورید؟] کاپیتان گفت: "Oui, et le vin، [بله، و شراب"]. افسر فرانسوی و پیر وارد خانه شدند. پیر وظیفه خود می دانست که دوباره به کاپیتان اطمینان دهد که او فرانسوی نیست و می خواهد برود، اما افسر فرانسوی نمی خواست در مورد آن بشنود. او به قدری مودب، مهربان، خوش اخلاق و برای نجات جانش واقعاً سپاسگزار بود که پیر روحیه رد کردن او را نداشت و با او در سالن، در اولین اتاقی که وارد شدند، نشست. در پاسخ به ادعای پیر مبنی بر اینکه او یک فرانسوی نیست، کاپیتان، که آشکارا نمیدانست چگونه میتوان چنین عنوان چاپلوسی را رد کرد، شانههایش را بالا انداخت و گفت که اگر مطمئناً میخواهد برای یک روسی پاس بدهد، بگذارید اینطور باشد، اما که او، با وجود آن، هنوز همه برای همیشه با او در ارتباط هستند با احساس قدردانی برای نجات جانش. حمله Man-in-the-Middle یک نام عمومی برای تکنیک های مختلف با هدف دسترسی به ترافیک به عنوان یک واسطه است. با توجه به تنوع گسترده این تکنیک ها، پیاده سازی یک ابزار واحد برای شناسایی این حملات که برای همه موقعیت های ممکن کار می کند، مشکل ساز است. به عنوان مثال، در حمله Man-in-the-Middle به یک شبکه محلی، معمولاً از جعل ARP (مسمومیت) استفاده می شود. و بسیاری از ابزارهای تشخیص حمله انسان در وسط، تغییرات در جفت آدرس اترنت را نظارت می کنند/یا فعالیت مشکوک ARP را با نظارت غیرفعال درخواست ها/پاسخ های ARP گزارش می کنند. اما اگر این حمله بر روی یک سرور پروکسی پیکربندی شده مخرب، VPN یا سایر گزینههایی که از مسمومیت ARP استفاده نمیکنند استفاده شود، چنین ابزارهایی درمانده هستند. هدف از این بخش بررسی برخی تکنیکها برای شناسایی حملات انسان در وسط و همچنین برخی از ابزارهایی است که برای تعیین اینکه آیا هدف حمله MitM قرار گرفتهاید یا خیر. با توجه به تنوع روش ها و سناریوهای پیاده سازی، تشخیص 100٪ نمی تواند تضمین شود. 1. تشخیص اصلاح ترافیک
همانطور که قبلا ذکر شد، حملات Man-in-the-Middle همیشه از جعل ARP استفاده نمی کنند. بنابراین، اگرچه تشخیص فعالیت در سطح ARP محبوب ترین روش تشخیص است، اما بیشتر به روشی جهانیتشخیص اصلاح ترافیک است. برنامه mitmcanary می تواند در این زمینه به ما کمک کند. اصل عملکرد برنامه این است که درخواست های "کنترل" را ایجاد می کند و پاسخ های دریافت شده را ذخیره می کند. پس از آن، همان درخواست ها را در فواصل زمانی مشخص تکرار می کند و پاسخ هایی را که دریافت می کند، مقایسه می کند. این برنامه کاملاً هوشمند است و برای جلوگیری از مثبت کاذب، عناصر پویا را در پاسخ ها شناسایی کرده و آنها را به درستی پردازش می کند. به محض اینکه برنامه آثاری از فعالیت ابزارهای حملات MitM را شناسایی کرد، این را گزارش می کند. نمونه هایی از اینکه چگونه برخی ابزارها می توانند "ارث بری" کنند:
Sudo pip نصب Cython sudo apt-get install python-kivy python-dbus sudo pip install plyer uuid urlopen درخواست تجزیه و تحلیل simplejson datetime git clone https://github.com/CylanceSPEAR/mitmcanary.git سی دی mitmcanary/ همانطور که قبلا ذکر شد، mitmcanary باید با درخواست های کنترلی کار کند. برای این کار به دایرکتوری بروید سرویس سی دی/ و فایل را اجرا کنید setup_test_persistence.py: Python2 setup_test_persistence.py این کار کمی طول می کشد - صبر کنید تا تمام شود. هیچ پیام خطایی نباید وجود داشته باشد (اگر چنین است، پس برخی از وابستگی ها را از دست داده اید). خروجی چیزی شبیه این خواهد بود: Mial@HackWare:~/bin/mitmcanary/service$ python2 setup_test_persistence.py نسخه پیکربندی قدیمیتر شناسایی شد (0 به جای 14) در حال ارتقاء پیکربندی در حال انجام است. ورود به سیستم پاکسازی شلیک شد. در حال تجزیه و تحلیل... پاکسازی به پایان رسید! ثبت ورود به سیستم /home/mial/.kivy/logs/kivy_16-11-01_0.txt v1.9.1 v2.7.12+ (پیشفرض، 1 سپتامبر 2016، 20:27:38) پس از اتمام این فرآیند، در همان دایرکتوری اجرا کنید (با این کار یک فرآیند پس زمینه شروع می شود): Python2 main.py پس از آن، یک پنجره ترمینال جدید باز کنید و با mitmcanary به فهرست پایانی بروید. دایرکتوری من bin/mitmcanary/ است، بنابراین وارد می شوم سی دی bin/mitmcanary/ و در آنجا انجام دهید: Python2 main.py اولین پنجره چیزی شبیه به: Mial@HackWare:~/bin/mitmcanary/service$ python2 main.py ثبت ورود به سیستم /home/mial/.kivy/logs/kivy_16-11-01_1.txt v1.9.1 v2.7.12+ (پیشفرض، 1 سپتامبر 2016، 20:27:38) با استفاده از آن ها این برنامه هر دقیقه یک بار درخواست های کنترلی می کند و به دنبال نشانه هایی از حمله مرد میانی می گردد. پنجره دوم نیز حاوی خروجی است + یک پنجره تاریک باز می شود؛ نویسندگان برنامه این پنجره را "رابط گرافیکی" می نامند: می توانید کمی صبر کنید و در اینترنت بگردید تا مطمئن شوید که برنامه هیچ هشدار نادرستی صادر نمی کند. بیایید برنامه کلاسیک Ettercap را امتحان کنیم. من یک حمله معمولی MitM با جعل ARP راه اندازی می کنم. mitmcanary به خود اچ کردن پاسخ نمی دهد. ابزار mitmcanary خود ترافیک را تولید می کند، یعنی هیچ اقدام کاربر مورد نیاز نیست. پس از مدتی، یک هشدار ظاهر می شود که در بررسی های بعدی تایید نمی شود. اما یک هشدار مشابه پس از چند دقیقه ظاهر می شود. بدون تجزیه و تحلیل بیشتر، به سختی می توانم بگویم که آیا این نمونه ای از مثبت کاذب است - بسیار شبیه به آن است. این هشدار کاملاً ممکن است ناشی از نقص ارتباط به دلیل نیاز به ترافیک برای عبور از مسیرهای اضافی یا به دلیل ویژگی های اتصال اینترنت بی کیفیت من باشد. از آنجایی که نتیجه واضح نیست (به احتمال زیاد "نه" تا "بله")، بیایید برنامه Bettercap را امتحان کنیم که دارای ماژول های متنوعی است. من شکی ندارم که هنگام استفاده از Ettercap و/یا پلاگین های مختلف برنامه های اضافیبرای گسترش عملکرد، ما همچنین برای mitmcanary "روشن" می کنیم. برای خلوص آزمایش، تجهیزات را دوباره راهاندازی میکنم، mitmcanary را روی دستگاه مورد حمله و Bettercap را روی دستگاه مهاجم اجرا میکنم. در عین حال، نیازی به ایجاد مجدد درخواستهای کنترلی روی ماشین مورد حمله نیست - آنها در یک فایل در داخل دایرکتوری همراه با برنامه ذخیره میشوند. آن ها کافی است سرویس و رابط گرافیکی را راه اندازی کنید. و در ماشین مهاجم، Bettercap را با تجزیهکنندههای فعال راهاندازی میکنیم: Sudo bettercap -X هشدارهای فردی ظاهر می شود، که همچنین بیشتر شبیه به موارد مثبت کاذب است. اما اجرای این دستور: Sudo bettercap -X --پراکسی در ماشین مورد حمله، تعداد زیادی هشدار در مورد حمله احتمالی انسان در وسط ایجاد می شود: بنابراین، هرچه یک ابزار حمله انسان در وسط قدرتمندتر باشد، آثار بیشتری در ترافیک به جا می گذارد. برای استفاده عملی از mitmcanary، شرایط زیر باید رعایت شود:
2. تشخیص جعل ARP (مسمومیت کش ARP)
اغلب اوقات، حمله انسان در وسط به یک شبکه محلی با مسمومیت ARP شروع می شود. به همین دلیل است که بسیاری از ابزارهای طراحی شده برای شناسایی حملات MitM مبتنی بر مکانیزمی برای نظارت بر تغییرات در حافظه پنهان ARP هستند که مکاتبات بین اترنت (آدرس های MAC) و آدرس های IP را اختصاص می دهد. به عنوان نمونه ای از این گونه برنامه ها می توان arpwatch، arpalert و تعداد زیادی برنامه جدید را به یاد آورد. برنامه ArpON نه تنها تغییرات حافظه پنهان ARP را نظارت می کند، بلکه از آن در برابر آنها محافظت می کند. به عنوان مثال، اجازه دهید arpwatch را در حالت اشکال زدایی، بدون ایجاد فورک در پسزمینه و ارسال پیام از طریق پست، اجرا کنیم. در عوض، پیام ها به stderr (خروجی خطای استاندارد) ارسال می شوند. Sudo /usr/sbin/arpwatch -d بیایید Ettercap را روی ماشین مهاجم راه اندازی کنیم و جعل ARP را شروع کنیم. در دستگاه مورد حمله مشاهده می کنیم: برنامه arpwatch به شما کمک می کند تا به سرعت از دستگاه های جدید متصل به دستگاه خود مطلع شوید شبکه محلیو همچنین تغییراتی در کش ARP. یکی دیگر از ابزارهای تشخیص جعل ARP در زمان واقعی، افزونه Ettercap است arp_cop. در دستگاه مورد حمله، Ettercap را به صورت زیر اجرا کنید: Sudo ettercap -TQP arp_cop /// و روی مهاجم شروع به مسمومیت ARP خواهیم کرد. هشدارها بلافاصله در دستگاه مورد حمله ظاهر می شوند: 3. تشخیص جعل DNS
جعل DNS نشان می دهد که یک واسطه بین شما و مقصد شما وجود دارد که می تواند ترافیک شما را تغییر دهد. چگونه می توان تشخیص داد که رکوردهای DNS جعلی شده اند؟ ساده ترین راه برای انجام این کار، مقایسه با پاسخ های یک سرور نامی است که به آن اعتماد دارید. اما نوشته های موجود در پاسخ ارسال شده به درخواست شما نیز قابل جایگزینی است... آن ها باید از طریق یک کانال رمزگذاری شده (مثلاً از طریق Tor) بررسی کنید یا از تنظیمات غیر استاندارد استفاده کنید (درگاه دیگری، TCP به جای UDP). این تقریباً همان چیزی است که برنامه sans از XiaoxiaoPu برای آن طراحی شده است (حداقل آنطور که من درک می کنم). من توانستم از این برنامه برای تغییر مسیر درخواست های DNS از طریق Tor و از طریق تنظیمات غیر استاندارد به من استفاده کنم سرور DNS. اما نتوانستم او را وادار کنم که پیام هایی درباره جعل پاسخ DNS به من نشان دهد. بدون این، معنای برنامه از بین می رود. هیچ جایگزین شایسته تری پیدا نکردم. در اصل، با توجه به اینکه کلاهبرداران DNS معمولاً فقط پورت 53 و فقط پروتکل UDP را نظارت می کنند، حتی به صورت دستی نیز کافی است واقعیت جعل DNS را بررسی کنید، اگرچه این به سرور DNS خود با پیکربندی غیر استاندارد نیاز دارد. به عنوان مثال، در ماشین مهاجم یک فایل ایجاد کردم dns.confبا محتوای زیر: محلی mi-al.ru آن ها هنگام درخواست رکورد DNS برای وب سایت mi-al.ru، IP دستگاه مهاجم به جای IP واقعی ارسال می شود. من روی ماشین مهاجم می دوم: Sudo bettercap --dns dns.conf و در مورد مورد حمله من دو بررسی انجام می دهم: Dig mi-al.ru # و dig mi-al.ru -p 4560 @185.117.153.79 نتایج: Mial@HackWare:~$ dig mi-al.ru ;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru ;; گزینه های جهانی: +cmd ;; جواب گرفتم: ;; ->> هدر<<- opcode: QUERY, status: NOERROR, id: 51993 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 86400 IN A 192.168.1.48 ;; Query time: 2 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Nov 02 09:25:20 MSK 2016 ;; MSG SIZE rcvd: 42 mial@HackWare:~$ dig mi-al.ru -p 4560 @185.117.153.79 ; <<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru -p 4560 @185.117.153.79 ;; گزینه های جهانی: +cmd ;; جواب گرفتم: ;; ->> هدر<<- opcode: QUERY, status: NOERROR, id: 401 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 3799 IN A 185.26.122.50 ;; Query time: 304 msec ;; SERVER: 185.117.153.79#4560(185.117.153.79) ;; WHEN: Wed Nov 02 09:25:27 MSK 2016 ;; MSG SIZE rcvd: 53 مشاهده می شود که برای یک درخواست DNS "عادی"، IP محلی 192.168.1.48 ارسال شده است و هنگام درخواست DNS در یک پورت غیر معمول، IP سرور صحیح ارسال شده است. اگر سرور برای استفاده از TCP (به جای UDP) پیکربندی شده باشد، دستور به شکل زیر خواهد بود: Dig mi-al.ru -p 4560 +tcp @185.117.153.79 به وضوح کمبود ابزاری وجود دارد که بتواند پاسخهای DNS را در ترافیک نظارت کند، آنها را در برابر منبع جایگزین بررسی کند و در صورت جعل هشدار دهد. برای جلوگیری از تنظیم DNS راه دور خود، می توانید از طریق Tor درخواست های سرور نام را ایجاد کنید. از آنجایی که تمام ترافیک Tor رمزگذاری شده است، پاسخ های DNS به دست آمده از این طریق فراتر از توانایی های یک واسطه است. اگر Tor قبلاً نصب نشده است، آن را نصب کنید. Sudo apt-get install tor سودو پکمن -S tor سرویس را شروع کنید: Sudo systemctl start tor اگر به آن نیاز دارید، این سرویس را به راه اندازی اضافه کنید: Sudo systemctl tor را فعال می کند فایل را باز کنید /etc/tor/torrcو خطوط زیر را در آنجا اضافه کنید: DNSPort 530 AutomapHostsOnResolve 1 AutomapHostsSuffixes .exit,.onion به عدد 530 توجه کنید این شماره پورت است؛ به جای 530 می توانید هر پورت (بدون استفاده) دیگری را مشخص کنید. نکته اصلی این است که آن را به خاطر بسپارید. دوباره بررسی می کنیم: dig mi-al.ru # و dig mi-al.ru -p 530 @localhost حالا به عنوان سرور مشخص می کنیم میزبان محلیو شماره پورتی را که در تنظیمات /etc/tor/torrc تعیین کرده اید بنویسید. همانطور که از اسکرین شات زیر می بینید، یک حمله جعل DNS بر روی دستگاهی که بررسی روی آن انجام شده است انجام می شود: 4. رابط های شبکه را در حالت غیرقانونی جستجو کنید
اگر در شبکه محلی شما تجهیزاتی (و به خصوص اگر به طور ناگهانی ظاهر شد) در حالت غیرقانونی وجود داشته باشد، این بسیار مشکوک است، اگرچه به وضوح نشان دهنده حمله مرد میانی نیست. در این حالت، کارت شبکه به شما این امکان را میدهد که تمام بستهها را بدون توجه به اینکه به چه کسی خطاب میشوند، دریافت کنید. در حالت عادی، رابط اترنت از فیلتر لایه پیوند استفاده می کند و اگر آدرس MAC در هدر مقصد بسته دریافتی با آدرس MAC رابط شبکه فعلی مطابقت نداشته باشد و پخش نشود، بسته حذف می شود. در حالت "بی بند و باری"، فیلتر کردن در رابط شبکه غیرفعال است و همه بسته ها، از جمله بسته هایی که برای گره فعلی مقصد نیستند، اجازه ورود به سیستم را دارند. اکثر سیستم عامل ها برای فعال کردن حالت غیرقانونی به حقوق مدیر نیاز دارند. آن ها تنظیم یک کارت شبکه در حالت بیوقفه، یک اقدام عمدی است که ممکن است به اهداف sniffing کمک کند. برای جستجوی اینترفیس های شبکه در حالت promiscuous پلاگینی به نام Ettercap وجود دارد search_promisc. نمونه ای از اجرای افزونه: Sudo ettercap -TQP search_promisc /// عملکرد این افزونه کاملا قابل اعتماد نیست، ممکن است در تعیین حالت رابط شبکه خطاهایی رخ دهد. نتیجه
برخی از روشهای حمله Man-in-the-Middle آثار زیادی از خود بر جای میگذارند و برخی (مانند جستجوی اعتبار پروکسی غیرفعال) غیرممکن یا تقریباً غیرممکن هستند که شناسایی شوند. MTProto از یک روش اصلی برای دستیابی به قابلیت اطمینان در ارتباطات تلفن همراه آسیبپذیر و سرعت در تحویل فایلهای بزرگ (به عنوان مثال، عکسها، فیلمها و اسناد تا اندازه ۱ گیگابایت) استفاده میکند. این سند برای روشن کردن جزئیات سیستم ما و آدرس دادن عناصری است که ممکن است درک آنها در نگاه اول دشوار باشد. مستندات پروتکل مفصل در این صفحه موجود است. اگر سوالی دارید بنویسید توییتر. توجه داشته باشید:هر پیام رمزگذاری شده از طریق MTProto همیشه حاوی داده های زیر است که در هنگام رمزگشایی بررسی می شود تا سیستم در برابر مشکلات شناخته شده ایمن شود:
تبصره 2:مشاهده نظرات اضافی در مورد استفاده، و اصلاح شدهطرح . چرا از X [گزینه شما] استفاده نمی کنیددر حالی که راههای دیگری برای دستیابی به اهداف رمزنگاری یکسان بدون شک وجود دارد، ما معتقدیم که راهحل فعلی هم قابل اعتماد است و هم در هدف ثانویه ما یعنی پیشی گرفتن از پیامرسانهای ناامن از نظر سرعت و ثبات، موفق است. چرا به الگوریتم های رمزنگاری کلاسیک تکیه می کنید؟ما ترجیح می دهیم از الگوریتم های شناخته شده ای استفاده کنیم که در روزهایی که پهنای باند و قدرت پردازش یک جفت نادر بودند ایجاد شده بودند. این الگوریتم ها هستند که تأثیر قابل توجهی در توسعه امروزی برنامه های کاربردی برای دستگاه های تلفن همراه دارند و نویسندگان آنها را مجبور می کنند از شر کاستی های شناخته شده خلاص شوند. نقاط ضعف چنین الگوریتم هایی نیز به خوبی شناخته شده است و برای چندین دهه توسط مهاجمان مورد سوء استفاده قرار گرفته است. ما از این الگوریتم ها در این پیاده سازی استفاده می کنیم زیرا به نظر ما هر حمله شناخته شده ای را به شکست می کشانند. با این حال، ما خوشحال خواهیم شد که شاهد هر گونه شواهدی بر خلاف آن باشیم (تاکنون چنین موردی رخ نداده است) تا سیستم خود را بهبود ببخشیم. من یک کارشناس امنیتی هستم و معتقدم پروتکل شما ناامن است.شما می توانید در مسابقه ما شرکت کنید: پاول دوروف 200000 دلار بیت کوین را به اولین فردی که MTProto را هک می کند پیشنهاد می کند. می توانید اطلاعیه و سوالات متداول مسابقه را بخوانید. اگر نظر دیگری دارید، خوشحال می شویم که آنها را بشنویم [ایمیل محافظت شده]. محافظت در برابر حملات شناخته شدهحملات متن ساده شناخته شدهطبق تعریف، حمله متن ساده نوعی حمله رمزنگاری است که در آن مهاجم دارای نسخه رمزگذاری شده و متن ساده متن است. AES IGE مورد استفاده در MTProto در برابر چنین حملاتی مقاوم است. علاوه بر این، متن ساده در MTProto همیشه حاوی نمک سرور و شناسه جلسه است. حمله متن ساده تطبیقیطبق تعریف، حمله متن ساده تطبیقی نوعی حمله در تحلیل رمزی است که شامل این میشود که تحلیلگر رمز بتواند یک متن ساده را انتخاب کند و متن رمزی مربوطه را به دست آورد. MTProto از AES در حالت IGE استفاده می کند که در برابر چنین حملاتی ایمن است. شناخته شده است که IGE در برابر حملات تطبیقی بلوک آسیب پذیر است، اما MTProto این مشکل را به روشی که در زیر توضیح داده شده رفع می کند. هر پیام متن ساده ای که باید رمزگذاری شود حاوی داده های زیر است که در هنگام رمزگشایی تأیید می شود:
علاوه بر این، برای جایگزینی متن ساده، باید از کلید AES و بردار اولیه درست استفاده کنید که به auth_key بستگی دارد. این باعث می شود MTProto در برابر حملات متن ساده تطبیقی مقاوم باشد. حملات متن رمزی همسانبر اساس تعریف، حمله متن رمزی انتخاب شده، حمله رمزنگاری است که در آن یک تحلیلگر رمز با انتخاب متن رمز و به دست آوردن رمزگشایی آن با یک کلید ناشناخته، اطلاعات مربوط به رمز را جمع آوری می کند. در چنین حمله ای، مهاجم می تواند یک یا چند متن رمزی شناخته شده را وارد سیستم کند و متن های ساده را بدست آورد. با استفاده از این داده ها، مهاجم می تواند کلید مورد استفاده برای رمزگشایی را بازیابی کند. در MTProto، هر بار که یک پیام رمزگشایی می شود، بررسی می شود تا اطمینان حاصل شود که msg_key با SHA-1 داده های رمزگشایی مطابقت دارد. متن ساده (داده های رمزگشایی شده) همچنین همیشه حاوی اطلاعاتی در مورد طول پیام، شماره توالی آن و نمک سرور است. این حملات بر اساس متن رمزی انتخاب شده را نفی می کند. تکرار حملاتحملات تکراری امکان پذیر نیست زیرا هر پیام متنی ساده حاوی نمک سرور، شناسه پیام منحصر به فرد و شماره دنباله است. حمله مرد وسط (MitM).تلگرام دارای دو حالت ارتباطی است: چت معمولی که از رمزگذاری سرویس گیرنده-سرور استفاده می کند و چت مخفی که از رمزگذاری انتها به انتها استفاده می کند و از حملات انسان میانی محافظت می شود. به لطف الگوریتم کلید عمومی RSA که در کلاینت های تلگرام تعبیه شده است، انتقال داده بین کلاینت و سرور در طول تولید کلید Diffie-Hellman از چنین حملاتی محافظت می شود. پس از آن، در صورتی که کلاینت های طرفین به نرم افزار سرور اعتماد کنند، چت های مخفی بین آنها توسط سرور در برابر حملات man-in-the-middle محافظت می شود. به خصوص برای کسانی که نهبه سرور اعتماد دارد، مقایسه کدهای مخفی در برنامه موجود است. کلیدها به صورت تصویر تجسم می شوند. با مقایسه کلیدهای بصری شده، کاربران می توانند تأیید کنند که حمله مرد میانی رخ نداده است. رمزگذاریآیا از IGE استفاده می کنید؟ هک شده!بله، ما از IGE استفاده می کنیم، اما در اجرای ما همه چیز با آن خوب است. این واقعیت که ما از IGE همراه با سایر عناصر سیستم خود مانند MAC استفاده نمی کنیم، تلاش برای هک کردن IGE را بیهوده می کند. IGE، درست مانند حالت رایج زنجیره بلوک متن رمزنگاری شده (CBC)، مستعد حملات تطبیقی بلوک است. اما حملات تطبیقی تنها زمانی تهدید هستند که از یک کلید در چندین پیام استفاده شود (اینطور نیست). حملات تطبیقی حتی از نظر تئوری در MTProto غیرممکن است، زیرا برای رمزگشایی پیامها ابتدا باید به طور کامل تایپ شود، زیرا کلید پیام به محتوای آن بستگی دارد. در مورد حملات CPA غیر تطبیقی، IGE مانند CBC در برابر آنها محافظت می شود. |
خواندن: |
---|
محبوب:
جدید
- قرار دادن یک قاب. ایجاد قاب ارائه یک نوفریم بازگشتی
- Windows System Restore آماده سازی بازیابی خودکار بی پایان
- تعمیر فلش مموری با استفاده از برنامه ها نحوه تعمیر پورت USB در لپ تاپ
- ساختار دیسک آسیب دیده است، خواندن غیرممکن است، چه باید بکنم؟
- حافظه کش هارد چیست و چرا به آن نیاز است؟
- کامپیوتر از چه چیزی تشکیل شده است؟
- ساختار واحد سیستم - کدام اجزا مسئول عملکرد رایانه هستند ویژگی های دستگاه های داخلی واحد سیستم
- نحوه تغییر هارد دیسک به SSD
- دستگاه های ورودی شامل
- زبان برنامه نویسی تایپ شده با همه این انواع متغیر چه باید کرد؟