1 / 32

موضوع ارائه مورد نظر

موضوع ارائه مورد نظر. Your Name: maryam khezrian. Sniff : موضوع ارائه. مریم خضریان. Packet Sniff. استراق سمع بسته و اطلاعات در حال مبادله روی شبکه یکی از حملات بسیار موثر می باشد که نفوذگر از این طریق به همه ترافیک شبکه دسترسی پیدا می کند. موارد مصرف استراق سمع شبکه های کامپیوتری:.

buck
Download Presentation

موضوع ارائه مورد نظر

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. موضوع ارائه مورد نظر Your Name: maryam khezrian Sniff :موضوع ارائه امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  2. مریم خضریان Packet Sniff استراق سمع بسته و اطلاعات در حال مبادله روی شبکه یکی از حملات بسیار موثر می باشد که نفوذگر از این طریق به همه ترافیک شبکه دسترسی پیدا می کند. امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  3. موارد مصرف استراق سمع شبکه های کامپیوتری: برایکشف مشکلات ارتباطی شبکه های کامپیوتری(مثلا این که کامپیوتر a قادر به برقراری ارتباط با کامپیوتر b نیست .) تبدیل ترافیک شبکه به متن قابل خواندن آنالیز کارایی شبکه به منظور کشف گلوگاه ها 1 کشف نفوذ های احتمالی به شبکه از سوی نفوذ گران واقعه نگاری2 از شبکه به منظور جلوگیری از اینکه نفوذگران نتوانندبه شبکه نفوذ کرده وردپاهای خود را از بین ببرند . _______________________________________ 1.Bottleneck 2. Create logs امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  4. چگونه امکان استراق سمع ترافیک شبکه وجود دارد؟ پرتکل اترنت بر مبنای مدیریت اشتراک در شبکه های کامپیوتری طراحی شده است تمام ماشین ها در یک شبکه محلی از یک سیم مشترک استفاده می کنند پس این امکان وجود دارد که ماشین ها تمامی ترافیک شبکه را استراق سمع کنند.پس اترنت فیلتری را طراحی کرد که هر ماشین فقط ترافیک مربوط به آدرس فیزیکی خود را از روی شبکه بردارد. یک برنامه استراق سمع این فیلتر را برداشته و سخت افزار اترنت را در حالت بی قید1 قرار می دهد. که در این حالت کلیه بسته های عبوری از شبکه را دریافت می کند . _________________________________________________________________________________________ 1.Promiscuous mode امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  5. اجزا یک نرم افزار استراق سمع : • سخت افزار1 اکثر این نرم افزار ها با کارت های شبکه معمولی کار می کنند و نیاز به سخت افزار اضافی ندارند. • گرداننده مسیر2 مهمترین قسمت نرم افزار است که ترافیک را از شبکه ضبط می کند آنرا به صورت دلخواه نفوذگر فیلتر می کند و در بافر ذخیره می کند • بافر 3 بسته هایی که ضبط شده اند در این قسمت نگه داری می شوند. ____________________________________________________ 1.Hardware 2. Capture driver 3.Buffer امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  6. تحلیل گر روی خط1 امکان دیدن بسته های عبوری از شبکه را فراهم می کند . • کد گشا 2 امکان نمایش بسته های عبوری از شبکه را به صورت متن قابل فهم فراهم می کند • ویرایشگر بسته یا حمل کننده آن 3 برخی از نرم افزارها امکان ویرایش بسته های عبوری از شبکه و هدایت آن ها در مسیر مورد نظر را دارند ____________________________________________________ 1. Real-time analysis 2. Decode 3. Packet editing/transmission امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  7. عمل استراقع سمع در چه شبکه هایی امکان پذیر است؟ شبکه های محلی(LAN) شبکه های گسترده(WAN) شبکه های بی سیم (WIRELESS) امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  8. استراق سمع در شبکه های محلی مبتنی بر هاب : • از آنجایی که بسته ها در هاب به صورت پخشی1 برای همه ارسال می شوند بنابراین نفوذ گر قادر خواهد بود با نصب یک اسب تراوای آلوده به snifferکلیه ترافیک شبکه را استراق سمع کند. ____________________________________________________ 1.Broad cast امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  9. استراق سمع شبکه های گسترده (سوئیچ): Switch jamming(اختلال در سوئیچ): در این روش سوئیچ از حالت bridge خارج شده و به حالت تکرار کننده در می آید و این کار با سریز کردن جدول سوئیچ با آدرس های فیزیکی جعلی صورت می گیرد . به روش های گوناگونی صورت می پذیرد مثلا فرستادن یک جریان دائمی1 از آشغال های تصادفی به سمت سوئیچ یا توسط یک تولید کننده ترافیک فاز مرحله ای . به این حالت در اصطلاح امنیتی “fail open “ گفته می شود . _______________________________________________ 1. continual stream of random garbage امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  10. ARP redirect: 1. Broadcast a ARP request containing the victim’s IP address and this host’s MAC address as the source. The victim can be a router. 2. Others will believe that this host has the victim’s IP address, and send packets for the victim to this host. 3. This host should forward the packets to the victim. امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  11. ARP Redirect Internet switch ARP Req A B V

  12. ARP Redirect Internet Switch ARP Req ARP Req A B V

  13. ARP Redirect Internet Switch Data A B V

  14. ARP Redirect Internet Switch Data A B V

  15. ICMP redirect: در این روش به ماشین فرمان داده می شود که بسته های ارسالی خود را در جهت دیگری ارسال کند .یک مثال معمول در این مورد زمانی است که دو زیر شبکه منطقی در یک سگمنت فیزیکی قرار دارند و آلیس از یک زیر شبکه می خواهد با باب که در زیر شبکه دیگر قرار دارد ارتباط برقرار کند مسیر یاب محلی این موضوع را میداند و با ارسال یک پیغام icmp به آلیس اطلاع می دهد که می تواند بسته های خود را مستقیما به سمت باب ارسال کند . یک هکر می تواند این مسیر را خراب کند با فرستادن یک redirectو ادعا کردن اینکه باید بسته های ارسالی به باب از جانب آلیس ابتدا باید به سمت وی ارسال شوند امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  16. ICMP router advertisement: • اعلان آگهی مسیر یاب:دراین اعلان مسیریاب به سایر ماشین ها اعلام می کند که مسیریاب چه کسی است؟ • نفوذ گر می تواند با جعل این اعلان ادعا کند که مسیریاب است بنابراین ماشین های قربانی ترافیک خود را به سمت نفوذ گرارسال می کنند. امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  17. Fake the MAC address of victim: در این مورد سوئیچ بسته هایی که مقصد آنها قربانی است را به سمت نفوذگر ارسال می کند این کار به سادگی با ارسال بسته هایی از سمت نفوذگر با آدرس مبدا قربانی صورت می گیرد .در واقع سوئیچ به خاطر خصیصه “auto learning” باور می کند که نفوذگر، قربانی است و بسته های قربانی را به سمت او ارسال می کند. اما مشکلی که وجود دارد این است که قربانی هنوز بسته با آدرس فیزیکی 1خودش ارسال می کند و در ضمن اگر قربانی بسته ای دریافت نکند ارتباط قطع می شود و دیگر چیزی برای استراق سمع وجود نخواهد داشت. ____________________________________________________ 1. MAC address امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  18. Fake the MAC address of victim: • برای رفع این موانع چند راه حل وجود دارد نفوذگر این ارتباط را جعل کرده و سوئیچ را دوباره هدایت کرده و با حملات DoS باعث قطع ارتباط قربانی شود و ارتباط خود را ادامه می دهد . • یا این که از ترافیک شبکه نمونه برداری1 میکند و در فواصل زمانی بسته هایی را با آدرس فیزیکی قربانی ارسال می کند و تعداد کمی از بسته هایی را که مقصد آنها قربانی است دریافت می کند ولی قربانی time outمی دهد و ارتباط را بازیابی می کند . __________________________________________________ 1. sample امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  19. Reconfigure span /monitor port on switch : • هر یک از پورت های سوئیچ قابلیت برنامه ریزی در حالت “span” “monitor” را دارند که در این حالت قادر به دریافت کل یا بخشی از ترافیک شبکه خواهند بود در واقع این حالت برای کشف خطاهای شبکه توسط مدیران تعبیه شده است.که نفوذگر می تواند با تلنت به سوئیچ آنرا در این حالت پیکر بندی کند امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  20. Cable taps: • برخی از شرکت ها اخیرا محصولاتی را ارائه می دهند که بوسیله آن ها می توان ترافیک شبکه را از طریق کابل های شبکه اترنت استراق سمع کرد. امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  21. Wireless sniff: • اولین سوالی که در مورد استراق سمع بی سیم به نظر می رسد مسئله سیگنالینگ است .استاندارد های بی سیم از تکنولوژی “Spread Spectrum”استفاده می کنند در این تکنولوژی به جای اینکه داده ها روی یک فرکانس یکتا منتقل شوند روی یک رنج فرکانسی منتقل می شوند که این به تعداد زیادی کاربر این امکان را می دهد که یک طیف فرکانسی را بین خودشان به اشتراک بگذارند.که در تئوری امکان استراق سمع داده ها ممکن نیست مگر این که تابع “spreading” گیرنده و فرستنده کاملا مشخص باشد . • که البته در عمل مشاهده شده کهspread-spectrum در مقابل استراق سمع داده ها اثر کمی دارد. برای مثال با آنتن های پارابولیک استراق سمع کننده ها می توانند سیگنالها را دریافت کنند. در این موارد بهتر است از داده های رمزگذاری شده جهت تبادل اطلاعات استفاده نمود . امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  22. چگونه می توان جلوی استراق سمع داده را گرفت؟ • می توان شبکه محلی را طوری پیکر بندی کرد که استراق سمع آن مشکل تر باشد.اما در مورد جلوگیری از استراق سمع به خصوص از بیرون شبکه و از طریق اینترنت قدرت کمتری خواهید داشت.بهترین دفاع در این مورد رمز گذاری داده هاست. بنابراین زمانی که داده ها استراق سمع می شوند.قابل خواندن نیستند. • بعضی از تکنیک های رمزگذاری داده ها عبارتند از: ) اجازه رمزکردن web را میدهد.) SSL Secure socket layer )برای رمز کردن Emailها)PGP & S/MIME SSh Secure shell امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  23. Detection of Sniffing (1) • Ping method • Ping the suspected host with its IP address, but with a different MAC address. If you receive a reply, that means the suspected host is sniffing. • Can be enhanced by using any protocol that generates a response, like TCP connection req. • ARP method • Send an ARP request for with the IP address of the suspected host, but to a non-broadcast MAC address.

  24. Detection of Sniffing (2) • DNS method • Many sniffing programs do automatic reverse-DNS lookups. • The Decoy method • Transmits faked plain-text username/password over the network, and alerts when the attacker attempts to logon with such faked username /password. • Works everywhere

  25. Protection against Sniffing • Never transmit sensitive information in plain-text. Use encryption to protect data. • Never install software from untrusted source. • Replace the hub with a switch. • Install a sniffer to monitor the traffic, collecting information like the changes in the mapping of IP address and MAC address.

  26. NTop • A open-source, portable tool to monitor the network. • Features: • Capable of handling multiple network interface simultaneously, using the libpcap library. • A embedded http server that allows users to view the report through a web browser. • Runtime application extensibility.

  27. Ntop Architecture

  28. Ntop Web Interface

  29. برخی از ابزارهایی که قادر به شناسایی نرم افزارهای استراق سمع هستند : • Anti sniff • CPM(check promiscuous mode for unix machine) • Neped(work on local network ) • sentinel امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  30. معرفی بعضی از ابزار های استراق سمع: Windows • Ethereal • winDump • Network Associates Sniffer (for Windows) • BlackICE Pro • CiAll • EtherPeek • IntellimaxLanExplorer • Triticom LANdecoder32 • SpyNet/PeepNet امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  31. معرفی بعضی از ابزار های استراق سمع: UNIX • Ethereal • Sniffit • snort • trinux • snoop امنیت در شبکه های کامپوتری (دکتر بهروز ترک لادانی 1386)

  32. MAIN REFERNECES • How to Handle and Identify Network Probes By Ron Gula, http://www.clark.net/~roesch/probes.html • Sniffing FAQ By Robert Graham, http://www.robertgraham.com/pubs/sniffing-faq.html • Monitoring Networks Using Ntop By L. Deri, R. Carbone, http://luca.ntop.org/IM2001.pdf.gz

More Related