شبکههای کامپیوتری سیمی و بیسیم بخش جداییناپذیری از فعالیتهای روزمره هستند. افراد و سازمانها برای انجام کارهای خود به کامپیوترها و شبکههایشان متکی هستند. نفوذ افراد غیرمجاز میتواند منجر به قطعیهای پرهزینه و از دست رفتن اطلاعات شود. حملات به شبکه ممکن است ویرانگر باشند و باعث از دست رفتن زمان و سرمایه، به دلیل سرقت یا تخریب اطلاعات و داراییهای مهم شوند. در این بخش، مبانی امنیت شبکه شامل تهدیدات، آسیبپذیریها و حملات را بررسی خواهیم کرد.
موارد مهمی که در این بخش صحبت میشه:
- تعریف مفاهیم کلیدی امنیتی (تهدیدات، آسیبپذیریها، اکسپلویتها و تکنیکهای کاهش خطر)
- توصیف عناصر برنامه امنیتی (آگاهی کاربران و آموزش، کنترل دسترسی فیزیکی)
- تشریح سیاستهای رمز عبور شامل مدیریت، پیچیدگی و جایگزینهای رمز عبور (احراز هویت چندعاملی، گواهینامهها، بیومتریک)
مفاهیم امنیت شبکه و اصول امنیتی
مجرمان سایبری اکنون دانش و ابزارهای لازم برای از کار انداختن زیرساختهای حیاتی و سیستمها را در اختیار دارند. برای توصیف ابزارها و تاکتیکهای آنها، از اصطلاحات خاصی استفاده میشود.
اصطلاحات امنیتی
داراییها باید شناسایی و محافظت شوند. آسیبپذیریها باید قبل از تبدیل شدن به تهدیدات، اصلاح شوند. تکنیکهای کاهش خطر در مراحل قبل، حین و بعد از یک حمله ضروری هستند. در جدول زیر اصطلاحات امنیتی بررسی شدهاند.
اصطلاحات امنیتی
| اصطلاح | توضیحات |
|---|---|
| Assets (داراییها) | هر چیزی که برای سازمان ارزش دارد، از جمله افراد، تجهیزات، منابع و دادهها. |
| Vulnerability (آسیبپذیری) | ضعف در یک سیستم یا طراحی آن که ممکن است توسط یک تهدید مورد سوءاستفاده قرار گیرد. |
| Threat (تهدید) | یک خطر بالقوه برای داراییهای سازمان، دادهها یا عملکرد شبکه. |
| Exploit (اکسپلویت) | مکانیزمی که از یک آسیبپذیری سوءاستفاده میکند. |
| Mitigation (کاهش خطر) | فرآیند اجرای راهکارهایی برای کاهش احتمال یا شدت وقوع یک تهدید یا حمله. |
| Risk (ریسک) | احتمال آنکه یک تهدید از یک آسیبپذیری سوءاستفاده کند و تأثیر منفی بر سازمان داشته باشد. |
بردارهای حمله و استخراج دادهها (Attack Vectors and Data Exfiltration)
یک بردار حمله مسیری است که از طریق آن، یک تهدید میتواند به سرور، میزبان یا شبکه دسترسی پیدا کند. این بردارها میتوانند داخلی یا خارجی باشند. به عنوان مثال، مهاجمان ممکن است از طریق اینترنت به یک شبکه حمله کنند تا عملیات شبکه را مختل کرده و حمله Denial of Service (DoS) ایجاد کنند. تهدیدات داخلی مانند کارکنان مخرب میتوانند دادههای محرمانه را سرقت کنند.
مدیران امنیتی باید از روشهای Data Loss Prevention (DLP) برای محافظت از دادههای سازمان استفاده کنند. در جدول زیر بردارهای رایج از دست رفتن دادهها ارائه شدهاند.
بردارهای از دست رفتن دادهها (Data Loss Vectors)
| بردار | توضیحات |
|---|---|
| Email/Social Networking | ایمیلها و پیامهای رهگیریشده ممکن است افشا شده و اطلاعات محرمانه را فاش کنند. |
| Unencrypted Devices | اگر دادهها به صورت رمزگذارینشده ذخیره شوند، در صورت سرقت دستگاه، ممکن است اطلاعات حساس در اختیار مهاجم قرار گیرد. |
| Cloud Storage Devices | در صورت وجود پیکربندی امنیتی ضعیف، دادههای ذخیرهشده در فضای ابری ممکن است در معرض خطر باشند. |
| Removable Media | انتقال غیرمجاز دادهها به یک درایو USB میتواند منجر به از دست رفتن دادههای سازمان شود. |
| Hard Copy | اسناد محرمانهای که دیگر مورد نیاز نیستند، باید به درستی امحاء شوند. |
| Improper Access Control | گذرواژههای ضعیف یا لو رفته ممکن است به مهاجمان اجازه دهند به دادههای سازمان دسترسی پیدا کنند. |
ابزارهای تست نفوذ (Penetration Testing Tools)
برای بررسی امنیت یک شبکه و سیستمهای آن، ابزارهای مختلفی برای تست نفوذ (Penetration Testing) توسعه یافتهاند. متأسفانه، مهاجمان نیز میتوانند از این ابزارها برای سوءاستفاده استفاده کنند. در زیر برخی از این ابزارها فهرست شدهاند.
انواع ابزارهای تست نفوذ
| ابزار | توضیحات |
|---|---|
| Password Crackers (شکنندههای رمز عبور) | این ابزارها اغلب بهعنوان ابزارهای بازیابی رمز عبور استفاده میشوند و میتوانند برای کرک کردن یا بازیابی رمزهای عبور به کار روند. این ابزارها بهطور مکرر حدسهایی را برای کشف رمز عبور امتحان میکنند. |
| Wireless Hacking Tools (ابزارهای هک شبکههای بیسیم) | این ابزارها بهطور عمدی برای نفوذ به شبکههای بیسیم و شناسایی آسیبپذیریهای امنیتی استفاده میشوند. |
| Network Scanning and Hacking Tools (ابزارهای اسکن و هک شبکه) | این ابزارها برای بررسی دستگاههای شبکه، سرورها و میزبانها جهت یافتن پورتهای باز TCP یا UDP استفاده میشوند. |
| Packet Crafting Tools (ابزارهای ساخت بستههای شبکه) | این ابزارها برای بررسی و آزمایش فایروالها با استفاده از بستههای شبکه جعلی و ویژه به کار میروند. |
| Packet Sniffers (شنودگرهای بستههای شبکه) | این ابزارها برای رهگیری، ضبط و تحلیل بستههای داده در شبکههای Ethernet یا WLANs استفاده میشوند. |
| Rootkit Detectors (ردیابهای روتکیت) | این ابزارها برای شناسایی روتکیتهای نصبشده در سیستمها توسط متخصصان امنیتی مورد استفاده قرار میگیرند. |
| Forensic Tools (ابزارهای جرمشناسی دیجیتال) | این ابزارها توسط متخصصان امنیتی برای بررسی و یافتن شواهد دیجیتال در سیستمهای کامپیوتری استفاده میشوند. |
| Debuggers (اشکالزداییکنندهها) | این ابزارها اغلب توسط هکرهای مخرب برای مهندسی معکوس فایلهای اجرایی و نوشتن اکسپلویتها استفاده میشوند. همچنین، متخصصان امنیت نیز از آنها برای تحلیل بدافزارها بهره میبرند. |
| Hacking Operating Systems (سیستمعاملهای هکینگ) | این سیستمعاملها بهطور خاص برای آزمایش امنیت شبکه طراحی شدهاند و همراه با ابزارهای تست نفوذ از پیش نصبشده ارائه میشوند. |
| Encryption Tools (ابزارهای رمزنگاری) | این ابزارها از الگوریتمهای رمزگذاری برای ایمنسازی دادهها و جلوگیری از دسترسی غیرمجاز به اطلاعات رمزگذاریشده استفاده میکنند. |
| Vulnerability Exploitation Tools (ابزارهای اکسپلویت آسیبپذیری) | این ابزارها بررسی میکنند که آیا یک میزبان از نظر امنیتی در معرض آسیبپذیری قرار دارد یا خیر. |
| Vulnerability Scanners (اسکنرهای آسیبپذیری) | این ابزارها برای اسکن شبکهها و سیستمها بهمنظور شناسایی پورتهای باز استفاده میشوند. همچنین، میتوان از آنها برای شناسایی آسیبپذیریهای شناختهشده و بررسی امنیت ماشینهای مجازی (VMs) و دستگاههای شخصی متصل به شبکههای سازمانی (BYOD) استفاده کرد. |
انواع حملات
مهاجمان سایبری از ابزارهای مختلف برای انجام حملات استفاده میکنند. در زیر رایجترین انواع حملات معرفی شدهاند.
انواع حملات رایج
| نوع حمله | توضیحات |
|---|---|
| Eavesdropping Attack (شنود اطلاعاتی) | مهاجم ترافیک شبکه را شنود کرده و به دادههای رد و بدلشده گوش میدهد. |
| Data Modification Attack (تغییر دادهها) | مهاجم دادههای منتقلشده را تغییر میدهد بدون اینکه فرستنده یا گیرنده متوجه شود. |
| IP Address Spoofing Attack | مهاجم بستههای جعلی را ارسال میکند که از یک آدرس داخلی سازمان ظاهر میشوند. |
| Password-Based Attack | مهاجم با استفاده از نام کاربری و رمز عبور سرقتشده، به سیستم وارد میشود. |
| Denial of Service (DoS) Attack | مهاجم با ارسال درخواستهای بیشازحد، سرویس را از دسترس خارج میکند. |
| Man-in-the-Middle Attack (حمله مرد میانی) | این حمله زمانی رخ میدهد که مهاجم بین فرستنده و گیرنده قرار میگیرد و بهطور مخفیانه ارتباطات را رصد، ضبط و کنترل میکند، بدون آنکه دو طرف متوجه شوند. |
| Compromised-Key Attack (حمله کلید به خطر افتاده) | اگر مهاجم به یک کلید رمزگذاری دست پیدا کند، به آن کلید به خطر افتاده (Compromised Key) گفته میشود. این کلید میتواند برای دسترسی به ارتباطات ایمن بدون آگاهی فرستنده یا گیرنده استفاده شود. |
| Sniffer Attack (حمله شنود بستهها) | Sniffer نوعی نرمافزار یا دستگاه است که میتواند ترافیک شبکه را رهگیری، نظارت و ضبط کند. اگر دادهها رمزگذاری نشده باشند، این ابزار میتواند محتوای کامل بستههای دادهای را مشاهده کند. |
انواع بدافزارها
Malware (نرمافزار مخرب) شامل کدها یا نرمافزارهایی است که برای تخریب، ایجاد اختلال، سرقت یا انجام اقدامات غیرقانونی روی دادهها و شبکهها طراحی شدهاند. انواع رایج بدافزارها عبارتند از:
- Worm: بهصورت خودکار تکثیر شده و در سیستمهای مختلف گسترش مییابد.
- Virus: یک نرمافزار مخرب که عملکرد خاصی را روی سیستم اجرا میکند.
- Trojan Horse: بدافزاری که خود را به شکل یک برنامه کاربردی قانونی نشان میدهد و پس از اجرا، به سیستم آسیب میزند.
در جدول زیر انواع دیگری از بدافزارها آورده شدهاند.
| بدافزار | توضیحات |
|---|---|
| Adware (نرمافزار تبلیغاتی مزاحم) | این نوع بدافزار معمولاً از طریق دانلود نرمافزارهای آنلاین منتشر میشود. Adware میتواند تبلیغات ناخواسته را از طریق پنجرههای بازشونده (Popup) در مرورگر یا نوارهای ابزار جدید نمایش دهد. همچنین ممکن است بهطور ناگهانی کاربران را از یک صفحه وب به وبسایتی دیگر هدایت کند. این پنجرههای تبلیغاتی میتوانند کنترلناپذیر باشند، زیرا ممکن است سریعتر از زمانی که کاربر بتواند آنها را ببندد، باز شوند. |
| Ransomware (باجافزار) | باجافزار معمولاً با رمزگذاری فایلهای کاربر، دسترسی او را به دادههای خود مسدود میکند و سپس پیامی نمایش میدهد که درخواست پرداخت باج برای دریافت کلید رمزگشایی دارد. کاربرانی که از دادههای خود نسخه پشتیبان بهروز ندارند، مجبورند برای بازگردانی اطلاعات، مبلغ درخواستی را بپردازند. پرداخت معمولاً از طریق انتقال بانکی یا رمزارزهایی مانند بیتکوین انجام میشود. |
| Rootkit (روتکیت) | مهاجمان از روتکیتها برای دسترسی در سطح مدیر (Administrator) به یک کامپیوتر استفاده میکنند. این بدافزارها بهسختی قابل شناسایی هستند، زیرا میتوانند فایروال، نرمافزارهای آنتیویروس، فایلهای سیستمی و حتی فرمانهای سیستمعامل را تغییر دهند تا حضور خود را پنهان کنند. روتکیت میتواند یک درب پشتی (Backdoor) برای مهاجمان فراهم کند که از طریق آن، به سیستم دسترسی داشته باشند، فایلها را بارگذاری کنند و نرمافزارهای جدیدی برای استفاده در حملات Distributed Denial of Service (DDoS) نصب کنند. حذف روتکیت نیازمند ابزارهای ویژه حذف روتکیت است و در برخی موارد، ممکن است لازم باشد سیستمعامل بهطور کامل دوباره نصب شود. |
| Spyware (جاسوسافزار) | جاسوسافزار مشابه Adware است، اما برای جمعآوری اطلاعات درباره کاربر و ارسال آن به مهاجمان بدون رضایت کاربر طراحی شده است. جاسوسافزار میتواند تهدید کمخطری باشد که صرفاً اطلاعات مرورگری را جمعآوری میکند، یا میتواند تهدیدی جدی باشد که اطلاعات شخصی و مالی کاربر را سرقت کند. |
حملات شبکه (Network Attacks)
حملات شبکه شامل حملات شناسایی (Reconnaissance Attacks)، حملات دسترسی (Access Attacks)، حملات DoS، حملات مهندسی اجتماعی (Social Engineering Attacks) و دیگر حملاتی هستند که برای بهرهبرداری از آسیبپذیریهای پروتکل TCP/IP استفاده میشوند.
حملات شناسایی (Reconnaissance Attacks)
Reconnaissance به معنای جمعآوری اطلاعات است. مهاجمان از حملات شناسایی (Recon) برای کشف غیرمجاز سیستمها، سرویسها یا آسیبپذیریها استفاده میکنند. این حملات معمولاً قبل از حملات دسترسی یا DoS انجام میشوند. در زیر برخی از روشهای رایج حملات شناسایی معرفی شدهاند.
تکنیکهای حمله شناسایی
| تکنیک | توضیحات |
|---|---|
| Perform an information query of a target (اجرای پرسوجوی اطلاعات درباره هدف) | مهاجم برای یافتن اطلاعات اولیه درباره یک هدف جستجو میکند. ابزارهایی مانند جستجوی گوگل، بررسی وبسایت سازمان، و whois میتوانند برای این منظور استفاده شوند. |
| Initiate a ping sweep of the target network (اجرای Ping Sweep در شبکه هدف) | این تکنیک میتواند اطلاعاتی درباره محدوده شبکه هدف ارائه دهد. پس از آن، مهاجم میتواند Ping Sweep را اجرا کند تا مشخص کند کدام آدرسهای IP فعال هستند. |
| Initiate a port scan of active IP addresses (اجرای اسکن پورت روی آدرسهای IP فعال) | اسکن پورت برای تعیین پورتهای باز و سرویسهای در حال اجرا انجام میشود. ابزارهایی مانند Nmap، SuperScan، Angry IP Scanner و NetScanTools برای این کار استفاده میشوند. |
| Run vulnerability scanners (اجرای اسکنرهای آسیبپذیری) | اسکنرهای آسیبپذیری میتوانند اطلاعاتی درباره نسخه و نوع سیستمعامل و برنامههای کاربردی نصبشده ارائه دهند. ابزارهای رایج شامل Nipper، Secunia PSI، Core Impact، Nessus، SAINT و OpenVAS هستند. |
| Run exploitation tools (اجرای ابزارهای اکسپلویت) | مهاجم از ابزارهای اکسپلویت برای کشف آسیبپذیریهایی که میتوان از آنها سوءاستفاده کرد، استفاده میکند. انواع مختلفی از ابزارهای اکسپلویت امنیتی وجود دارند که شامل Metasploit، Core Impact، sqlmap، Social-Engineer Toolkit و Netsparker میشوند. |
حملات دسترسی (Access Attacks)
هدف از حملات دسترسی دسترسی غیرمجاز به حسابهای کاربری، پایگاههای داده محرمانه و دیگر اطلاعات حساس است. مهاجمان از حملات دسترسی برای سرقت دادهها، کسب مجوزهای دسترسی و حتی ارتقای سطح دسترسی به سطح مدیر (Administrator) استفاده میکنند. در جدول زیر انواع حملات دسترسی را توضیح میدهد.
انواع حملات دسترسی
| نوع حمله | توضیحات |
|---|---|
| Password Attack (حمله به رمز عبور) | مهاجم تلاش میکند رمزهای عبور حیاتی سیستم را از طریق روشهای مختلف کشف کند. این حملات معمولاً از طریق ابزارهای کرک رمز عبور انجام میشوند. |
| Spoofing Attack (حمله جعل هویت) | مهاجم یک دستگاه را بهعنوان یک دستگاه دیگر جعل میکند. حملات جعل هویت شامل IP Spoofing، MAC Spoofing و DHCP Spoofing هستند. |
| Trust Exploitation (سوءاستفاده از اعتماد) | مهاجم از مجوزهای دسترسی غیرمجاز برای دسترسی به یک سیستم استفاده میکند که ممکن است هدف را در معرض خطر قرار دهد. |
| Port Redirection (تغییر مسیر پورت) | مهاجم از یک سیستم آلوده و به خطر افتاده بهعنوان یک پایه برای حمله به اهداف دیگر استفاده میکند. |
| Man-in-the-Middle Attack (حمله مرد میانی) | مهاجم بین دو ارتباط قانونی قرار میگیرد تا دادهها را رهگیری یا تغییر دهد. |
| Buffer Overflow Attack (حمله سرریز بافر) | مهاجم از ضعفهای موجود در مدیریت حافظه بهرهبرداری کرده و دادههای غیرمنتظره را به حافظه ارسال میکند. این حمله معمولاً باعث از کار افتادن سیستم و ایجاد حمله DoS میشود. |
حملات مهندسی اجتماعی (Social Engineering Attacks)
در حملات مهندسی اجتماعی، مهاجمان افراد را فریب میدهند تا اقداماتی انجام دهند یا اطلاعات محرمانه را افشا کنند. جدول زیر برخی از روشهای رایج مهندسی اجتماعی را معرفی میکند.
انواع حملات مهندسی اجتماعی
| نوع حمله | توضیحات |
|---|---|
| Pretexting (ساختن سناریوی جعلی) | در این حمله، مهاجم وانمود میکند که برای تایید هویت، نیاز به دریافت اطلاعات شخصی یا مالی دارد. |
| Phishing (فیشینگ) | مهاجم یک ایمیل جعلی ارسال میکند که ظاهراً از یک منبع معتبر است تا کاربر را به نصب بدافزار یا افشای اطلاعات شخصی و مالی فریب دهد. |
| Spear Phishing (فیشینگ هدفمند) | مشابه فیشینگ، اما در این حمله، مهاجم ایمیلهای هدفمند را به افراد یا سازمانهای خاص ارسال میکند. |
| Spam (هرزنامه) | ایمیلهای ناخواسته که بهعنوان Junk Mail نیز شناخته میشوند و معمولاً شامل لینکهای مخرب، بدافزار یا محتوای فریبنده هستند. |
| Something for Something (معاوضه اطلاعات) | این حمله که با عنوان Quid Pro Quo نیز شناخته میشود، به مهاجمان اجازه میدهد در ازای یک پیشنهاد (مانند یک هدیه)، اطلاعات شخصی را از قربانی دریافت کنند. |
| Baiting (طعمهگذاری) | در این حمله، مهاجم یک درایو فلش آلوده به بدافزار را در یک مکان عمومی قرار میدهد تا کاربر آن را پیدا کرده و به سیستم خود متصل کند و بهطور ناخواسته بدافزار نصب شود. |
| Impersonation (جعل هویت) | در این حمله، مهاجم خود را بهعنوان شخصی دیگر معرفی میکند تا اعتماد قربانی را جلب کند. |
| Tailgating (دنبال کردن بدون مجوز) | مهاجم در پشت یک شخص مجاز وارد یک مکان ایمن میشود تا دسترسی فیزیکی به یک منطقه حفاظتشده را بهدست آورد. |
| Shoulder Surfing (مشاهده از روی شانه) | مهاجم بهطور نامحسوس روی صفحهکلید یا نمایشگر قربانی نگاه میکند تا رمزهای عبور یا اطلاعات حساس را بدزدد. |
| Dumpster Diving (کاوش در زبالهها) | مهاجم برای یافتن اسناد محرمانه، سطلهای زباله را جستجو میکند. |
حملات DoS و DDoS
حمله DoS (Denial of Service) نوعی حمله است که باعث اختلال در سرویسهای شبکه برای کاربران، دستگاهها یا برنامههای کاربردی میشود. این نوع حملات به دو روش انجام میشوند:
- ارسال حجم بالای ترافیک: مهاجم مقدار زیادی داده را با سرعتی ارسال میکند که شبکه، میزبان یا برنامه نمیتواند آن را مدیریت کند. این امر باعث کند شدن زمان انتقال و پاسخگویی میشود و حتی ممکن است دستگاه یا سرویس را از کار بیندازد.
- ارسال بستههای مخرب: مهاجم یک بسته با فرمت مخرب را به یک میزبان یا برنامه ارسال میکند که گیرنده قادر به پردازش آن نیست. این حمله میتواند باعث کند شدن عملکرد دستگاه یا حتی کرش کردن آن شود.
حملات DoS نسبتاً ساده هستند و حتی یک مهاجم بدون مهارت نیز میتواند آنها را اجرا کند. اما حملات DDoS (Distributed Denial of Service) پیچیدهتر از DoS هستند، زیرا از چندین منبع مختلف و هماهنگ اجرا میشوند. بهعنوان مثال، مهاجم ممکن است یک شبکه از میزبانهای آلوده (معروف به زامبیها – Zombies) ایجاد کند. مجموعهای از زامبیها را Botnet مینامند. سپس مهاجم میتواند از یک برنامه فرمان و کنترل (Command-and-Control – CnC) برای دستور دادن به Botnet برای اجرای حمله DDoS استفاده کند.
حملات IP
پروتکل IP (Internet Protocol) بررسی نمیکند که آدرس IP فرستندهای که در یک بسته وجود دارد، واقعاً از همان منبع ارسال شده است. مهاجمان از این ضعف برای جعل آدرسهای IP (IP Spoofing) استفاده میکنند. همچنین، آنها میتوانند سایر قسمتهای هدر IP را تغییر دهند تا حملات خود را انجام دهند. جدول زیر برخی از حملات رایج مرتبط با IP را معرفی میکند.
انواع حملات مبتنی بر IP
| تکنیک حمله | توضیحات |
|---|---|
| ICMP Attacks (حملات ICMP) | مهاجمان از پروتکل پیام کنترل اینترنت (ICMP) برای ارسال بستههای Echo (Ping) به زیرشبکهها و میزبانهای موجود در شبکه هدف استفاده میکنند. این حمله میتواند برای ایجاد حملات DoS، مسدود کردن شبکه و تغییر مسیر بستههای داده به کار رود. |
| Amplification and Reflection Attack (حمله تقویت و انعکاس) | مهاجمان تلاش میکنند کاربران قانونی را از دسترسی به اطلاعات یا سرویسها از طریق حملات DoS و DDoS محروم کنند. در نوعی از این حمله، مهاجم درخواستهای ICMP را به سمت تعداد زیادی از میزبانها هدایت میکند و آدرس IP فرستنده را جعل میکند. سپس این میزبانها پاسخهایی را ارسال میکنند که باعث افزایش حجم ترافیک به سمت قربانی میشود. |
| Address Spoofing Attack (حمله جعل آدرس IP) | در این حمله، مهاجم آدرس IP فرستنده را در بستههای ارسالی جعل میکند تا به شبکه هدف دسترسی پیدا کند. در Blind Spoofing، مهاجم نمیتواند پاسخهای دریافتی را ببیند، اما میتواند بستههایی را بدون اطلاع از محتوای آنها ارسال کند. این حمله معمولاً برای دور زدن دیوارهای آتش (Firewall) و جلوگیری از شناسایی توسط سیستمهای امنیتی استفاده میشود. |
| Man-in-the-Middle Attack (حمله مرد میانی – MITM) | مهاجم بین دو ارتباط قانونی قرار میگیرد تا دادهها را نظارت، ضبط یا تغییر دهد. این حمله میتواند با بازبینی بستههای رهگیریشده (Captured Packets) یا تغییر محتوای بستهها قبل از ارسال مجدد به مقصد اصلی انجام شود. |
| Session Hijacking (ربودن نشست) | مهاجم به شبکه فیزیکی دسترسی پیدا کرده و سپس از طریق حمله MITM، کنترل یک نشست کاربری را در دست میگیرد. این روش معمولاً برای سرقت اطلاعات حساس کاربران به کار میرود. |
حملات لایه انتقال (Transport Layer Attacks)
مهاجمان معمولاً اسکن پورت را روی دستگاههای هدف انجام میدهند تا سرویسهای در دسترس را شناسایی کنند. آنها میتوانند از پروتکلهای TCP و UDP برای انجام این نوع حملات استفاده کنند. برخی از روشهای رایج حمله در این لایه عبارتاند از:
- TCP SYN Flood Attack (حمله سیل SYN در TCP):
این نوع حمله از مکانیزم سهمرحلهای دستدهی TCP (Three-Way Handshake) سوءاستفاده میکند. مهاجم بهطور مداوم بستههای SYN را با آدرس IP جعلشده به یک هدف ارسال میکند. دستگاه هدف با بسته SYN-ACK پاسخ میدهد و منتظر دریافت بسته ACK از طرف مهاجم میماند، اما این پاسخ هرگز ارسال نمیشود. در نهایت، میزبان هدف با تعداد زیادی از اتصالات TCP نیمهباز اشباع شده و سرویسهای TCP برای کاربران قانونی در دسترس نخواهند بود. - TCP Reset Attack (حمله بازنشانی TCP):
مهاجم یک بسته TCP Reset (RST) جعلی را برای یکی یا هر دو طرف ارتباط ارسال میکند که باعث میشود اتصال بهطور ناگهانی بسته شود و شرایطی مشابه حمله DoS ایجاد شود. - TCP Session Hijacking (ربودن نشست TCP):
در این حمله، مهاجم کنترل ارتباط بین دو سیستم را در یک نشست تأیید شده به دست میگیرد. مهاجم باید آدرس IP یکی از میزبانها را جعل کند، شماره توالی بستهها را پیشبینی کرده و بسته ACK را ارسال کند. اگر موفق شود، میتواند داده ارسال کند اما نمیتواند دادهای از سیستم هدف دریافت کند. - UDP Flood Attack (حمله سیل UDP):
در این حمله، مهاجم از یک آدرس IP جعلشده تعداد زیادی بستههای UDP را به سمت یک سرور ارسال میکند. برنامه قربانی، همه پورتهای باز را اسکن کرده تا بستههای دریافتی را پردازش کند، اما در نهایت پاسخ ICMP Port Unreachable دریافت میکند. این امر منجر به استفاده بیش از حد از پهنای باند شده و حملهای مشابه DoS را ایجاد میکند.
برنامه امنیتی (Security Program)
یک سازمان باید کاربران خود را از طریق یک برنامه امنیتی جامع آموزش دهد. برنامه امنیتی مؤثر شامل عناصر زیر است:
- User Awareness (آگاهی کاربران):
همه کاربران باید از اهمیت محرمانگی دادهها و محافظت از اطلاعات شرکت، مدارک هویتی و اطلاعات شخصی خود آگاه شوند. همچنین باید با تهدیدات احتمالی، روشهای فریب کاربران و رویههای گزارشدهی حوادث امنیتی آشنا شوند. علاوه بر این، کاربران باید دستورالعملهای سختگیرانه در مورد جلوگیری از نشت اطلاعات را رعایت کنند. - User Training (آموزش کاربران):
همه کاربران باید در دورههای آموزش رسمی و دورهای شرکت کنند تا با سیاستهای امنیتی سازمان آشنا شوند و بهترین شیوههای امنیتی را بیاموزند. -
Physical Access Control (کنترل دسترسی فیزیکی):
زیرساختهای حیاتی مانند اتاقهای سرور و مراکز داده باید بهصورت ایمن قفل شوند. مدیران سیستم باید دسترسی فیزیکی را کنترل کرده و در صورت ترک کارمندان، دسترسی آنها را فوراً لغو کنند.
