السلام عليكم متابعين قناة ومدونة Shadow Hacker اليوم سوف نتحدث عن احد أنواع الهجمات التى تستهدف الشبكات على مستوى الطبقة الثانية من موديل OSI وهو هجوم الـ ARP Spoofing أحد أكثر الهجمات شيوعا وخطورة على الشبكة والتى تؤدي إلى مايعرف بهجوم الـ Man In The Middle .
قبل أن يبدأ أي جهازان متصلان معا على شبكة إتصال موحدة في الإتصال فيما بينهما ، يتوجب على كل واحد منهما أن يقرأ و يتعرف على العنوان الفيزيائي الخاص بالآخر، والذي نعرفه بالماك أدريس (Mac Adress) ، ومن هذا المنطلق تم إبتكار بروتوكول خاص بهذه العملية ويدعى ARP Protocol ، وظيفة هذا البروتوكول هي إرسال طلب ARP Request إلى الشبكة على شكل Broadcast ( بث ) يسأل فيها عن العنوان الفيزيائي لأيبي (IP) معين يريد الإتصال معه، وبدوره ينتشر هذا الـ Broadcast على كل الشبكة حتى يصل إلى وجهته المقصودة (الأيبي) وعندما يصل هذا الطلب يرد عليه الجهاز المقصود بالماك أدريس الخاص به على شكل ARP Replay لكن هذه المرة يكون الرد Unicast وبتلك الطريقة يبدأ الجهازان التواصل مع بعضهما البعض .
فكرة الهجوم :
دائما ما تكون فكرة الهجوم هي أبسط شيء في عملية الإختراق، في حالتنا هذه ، و بعد وصول الرد من الجهاز يتم حفظ هذا الماك أدريس والأيبي الخاص به في جدول يدعى الـ Arp Table ، فسيكون الأمر أسهل في حالة الإتصال مع الجهاز مرة أخرى بالرجوع للجدول، تكون مؤقتة عادة تزول مع عملية أغلاق جهاز الكمبيوتر ، ومن هنا يبدأ المخترق هجومه، فهو ببساطة يقوم بأرسال ARP Replay مزور لأحد الأجهزة الموجودة على الشبكة معلما إياه بأن الماك أدريس الخاص بأحد الأيبيات عنوانه كذا يريد الإتصال معه ، وكأن الموضوع تم من خلال طلب من الجهاز المراد أختراقه بنفسه و نتيجة لهذا سيتم تعديل جدول الـ ARP وتغيير العنوان الفيزيائي لأحد الأيبيات والتى عادة ما تكون الـ Gateway الخاص بالشبكة ، لذا ومن هذا المنطلق يبدأ الجهاز المخترق بأرسال بياناته وطلباته إلى جهاز المخترق وكأنه هو الروتر، ومن ناحية المخترق كل مايقوم به هو إعادة توجيه هذه البيانات إلى وجهتها الحقيقية أي إلى الروتر مستغلا مرور البيانات جميعها من خلال جهازه ، وبالتالي تمكن من تحويل جهازه إلى MITM (هجوم Man in the Middle ) ، وسوف يتمكن من مشاهدة وقراءة كل الترافيك العابر من الجهاز المخترق إلى الروتر وطبعا المخترق لن ينسى أن يرسل طلب مزور آخر إلى الروتر معلما أياه بأن العنوان الفيزيائي للجهاز المخترق هو أيبي الجهاز الخاص به لنشاهد هذه الصورة التوضيحية :
و لحمايتك من هذا النوع من الهجمات الخبيثة يفضل دائما أن تقوم بعمل Static ARP للـ Gateway الخاص بالشبكة او إستخدم برامج مخصصة لتغيير الـ Mac Adress الخاص بك قبل الإتصال بالشبكات العامة و المشكوك فيها . و في حال اردت الإتصال بأحد الأجهزة أو سيرفرات الموجودة على السيرفر عن بعد فننصحك بإستخدام الـ SSH كخيار يؤمن لك سرية كاملة لكل بياناتك ، و في حال تم إعتراضه من قبل أحد المخربين ، فهناك بعض الأدوات الإحترافية التى تساعدك في عملية مراقبة الترافيك الخاص بالشبكة و أخص بهم برنامج Snort وبرنامج XARP والذي يؤدي وظيفة مهمة جدا وهي مراقبة عملية الـ Mapping التى تحدث على الـ ARP Cache .
يوجد أيضا تطبيقات أندرويد مخصصة للقيام بهذا النوع من الهجمات ، من بينها تطبيق Zanti الذي شرحناه في موقعنا ، و كذا تطبيقات أخرى مثل Android Sniff .
شرح هجوم Arp Spoofing وما هيا الأدوات المستخدمة
ما يجب أن تعرفه :قبل أن يبدأ أي جهازان متصلان معا على شبكة إتصال موحدة في الإتصال فيما بينهما ، يتوجب على كل واحد منهما أن يقرأ و يتعرف على العنوان الفيزيائي الخاص بالآخر، والذي نعرفه بالماك أدريس (Mac Adress) ، ومن هذا المنطلق تم إبتكار بروتوكول خاص بهذه العملية ويدعى ARP Protocol ، وظيفة هذا البروتوكول هي إرسال طلب ARP Request إلى الشبكة على شكل Broadcast ( بث ) يسأل فيها عن العنوان الفيزيائي لأيبي (IP) معين يريد الإتصال معه، وبدوره ينتشر هذا الـ Broadcast على كل الشبكة حتى يصل إلى وجهته المقصودة (الأيبي) وعندما يصل هذا الطلب يرد عليه الجهاز المقصود بالماك أدريس الخاص به على شكل ARP Replay لكن هذه المرة يكون الرد Unicast وبتلك الطريقة يبدأ الجهازان التواصل مع بعضهما البعض .
فكرة الهجوم :
دائما ما تكون فكرة الهجوم هي أبسط شيء في عملية الإختراق، في حالتنا هذه ، و بعد وصول الرد من الجهاز يتم حفظ هذا الماك أدريس والأيبي الخاص به في جدول يدعى الـ Arp Table ، فسيكون الأمر أسهل في حالة الإتصال مع الجهاز مرة أخرى بالرجوع للجدول، تكون مؤقتة عادة تزول مع عملية أغلاق جهاز الكمبيوتر ، ومن هنا يبدأ المخترق هجومه، فهو ببساطة يقوم بأرسال ARP Replay مزور لأحد الأجهزة الموجودة على الشبكة معلما إياه بأن الماك أدريس الخاص بأحد الأيبيات عنوانه كذا يريد الإتصال معه ، وكأن الموضوع تم من خلال طلب من الجهاز المراد أختراقه بنفسه و نتيجة لهذا سيتم تعديل جدول الـ ARP وتغيير العنوان الفيزيائي لأحد الأيبيات والتى عادة ما تكون الـ Gateway الخاص بالشبكة ، لذا ومن هذا المنطلق يبدأ الجهاز المخترق بأرسال بياناته وطلباته إلى جهاز المخترق وكأنه هو الروتر، ومن ناحية المخترق كل مايقوم به هو إعادة توجيه هذه البيانات إلى وجهتها الحقيقية أي إلى الروتر مستغلا مرور البيانات جميعها من خلال جهازه ، وبالتالي تمكن من تحويل جهازه إلى MITM (هجوم Man in the Middle ) ، وسوف يتمكن من مشاهدة وقراءة كل الترافيك العابر من الجهاز المخترق إلى الروتر وطبعا المخترق لن ينسى أن يرسل طلب مزور آخر إلى الروتر معلما أياه بأن العنوان الفيزيائي للجهاز المخترق هو أيبي الجهاز الخاص به لنشاهد هذه الصورة التوضيحية :
دعني أبسط لك ما جاء في الـ Arp Spoofing أعلاه بطريقة أبسط بكثير ، حاسوبك يتصل بالراوتر ، الراوتر يتصل بالإنترنت ، يرسل حاسوبك الـ Request ( طلب الدخول الى موقع ، او تحميل شيئ ما ) ثم يتواصل الراوتر مع الموقع فيأتي بإجابة لطلبك فتحصل عليه . الـ Arp Spoof يعمل يجعل حاسوبك يعمل كأداة تجسسية في المرحلة الأولى التي تمرر فيها طلبك من حاسوبك الى الراوتر و في المرحلة الأخيرة التي يرسل لك الراوتر رد لطلبك ، فيعمل كوسيط يرى كل ما يحدث بينك و بين الراوتر بكل سهولة ، اما الطريقة ، فهي ما تم شرحه أعلاه .
ما هي الأدوات المستخدمة في هجوم الـ Arp Spoofing و الـ MITM ؟
لهذا النوع من الهجمات الكثير من الأدوات، وأشهرها DNS Sniff و Ettercup ، وطبعا البرنامج الذي يزعج الكثير من مشتركي الانترنت NetCut وإن كان هذا الأخير لا يقوم بتنفيذ هجوم MITM و التجسس ، لكن فكرته واحده و لا تختلف عن باقي البرامج الا وهي قطع الإنترنت عن المستخدمين من خلال تغيير العنوان الفيزيائي للـ Gateway والخ…. وأغلب هذه البرامج لاتحتاج إلى إحترافية و خبرة في المجال، فقط بضع ضغطات وينتهي الأمر.
و لحمايتك من هذا النوع من الهجمات الخبيثة يفضل دائما أن تقوم بعمل Static ARP للـ Gateway الخاص بالشبكة او إستخدم برامج مخصصة لتغيير الـ Mac Adress الخاص بك قبل الإتصال بالشبكات العامة و المشكوك فيها . و في حال اردت الإتصال بأحد الأجهزة أو سيرفرات الموجودة على السيرفر عن بعد فننصحك بإستخدام الـ SSH كخيار يؤمن لك سرية كاملة لكل بياناتك ، و في حال تم إعتراضه من قبل أحد المخربين ، فهناك بعض الأدوات الإحترافية التى تساعدك في عملية مراقبة الترافيك الخاص بالشبكة و أخص بهم برنامج Snort وبرنامج XARP والذي يؤدي وظيفة مهمة جدا وهي مراقبة عملية الـ Mapping التى تحدث على الـ ARP Cache .
يوجد أيضا تطبيقات أندرويد مخصصة للقيام بهذا النوع من الهجمات ، من بينها تطبيق Zanti الذي شرحناه في موقعنا ، و كذا تطبيقات أخرى مثل Android Sniff .
اتمنى المقال قد نال على اعجابكم Shadow Hacker