سلسلة دروس : أنواع الهجمات التى قد تتعرض لها
مقدمة :أكثر الهجمات يتم تصميمها لاستغلال نقاط الضعف المحتملة ... هذا الضعف يمكن أن يكون فى ( تطبيق البرامج – استخدام الشبكات ) .... و ستحتاج إلى معرفة التفاصيل الخاصة بتلك الهجمات كى تستطيع أن تميز ما حدث لشبكتك ... وفى الأقسام التالية سنتعرف على تلك الهجمات عن قرب أكثر .
أولاً : هجمات الباب الخلفى (Back door)
مفهوم الباب الخلفى :
تشير الأبواب الخلفية على " إمكانية الدخول إلى الأنظمة والتطبيقات عن طريق ثغرات فى البرامج والأنظمة ... وتعبير الباب الخلفى (Back Door ) يمكن أن يأخذ معنيين مختلفين ...
النوع الأول من الباب الخلفى :
• المعنى الأساسى للـ (Back Door ) يشير إلى أشراك (hooks ) يتم وضعها فى الأنظمة لغرض ( حل المشاكل troubleshooting – تطوير الأنظمة developer ) .
• فأثناء تطوير ( أنظمة التشغيل – التطبيقات ) يقوم المبرمجين بإضافة ( الأبواب الخلفية back doors – خطافات الصيانة maintenance hooks ) ... هذه الأبواب الخلفية تسمح لهم بفحص العمليات داخل الكود أثناء تشغيل الكود البرمجى ) .
• هذه الأبواب الخلفية يتم خلعها من الكود البرمجى عندما ننتقل إلى مرحلة إنتاج التطبيق ... وعندما يكتشف منتج البرنامج خطاف لم يتم إزالته بعد .فإنه يقوم بإصدار ( ترقية صيانة - رقعة (patch) ) لغلق هذا الباب الخلفى .
النوع الثانى من الباب الخلفى :
• يشير النوع الثانى من الأبواب الخلفية إلى ( إمكانية الدخول إلى الشبكة – وزع برنامج أو مرفق – هذا البرنامج الذى يتم زرعه يخلق مدخل للمهاجم ) ... هذا البرنامج قد يسمح لـ user ID محدد بـ ( الدخول بدون كلمة مرور – او – اكتساب امتيازات إدارية ).
• الشكل التالى يعرض كيف يمكن للباك الخلفى أن يستخدم لتجاوز أمن الشبكة ... ففى هذا المثال يقوم المهاجم باستخدام برنامج باب خلفى (back door program ) لـ ( استعمال المصادر – سرقة المعلومات ) .
راجع الصورة التالية :
https://img525.imageshack.us/img525/...ackdoorci9.gif
ملاحظات :
1 - مثل هذا الهجوم يستخدم عادة لهجمات ( الوصول – التعديل ) .
2 - هناك عدد من الأدوات تستخدم لخلق هجمات الباب الخلفى على الأنظمة ... وإحدى أكثر الأدوات شهرة هى الأدوات :
o (Back Orifice ) ...التى تم تحديثها لتعمل على Windows 2003 server بالإضافة إلى الأنظمة السابقة .
o NetBus
3 - لحسن الحظ أن أكثر برامج مكافحة الفيروسات ستقوم بـ ( اكتشاف – منع ) هذا النوع من الهجمات .
انتظروا الباقة بإذن الله
أخوكم ايمن
رد: سلسلة دروس : أنواع الهجمات التى قد تتعرض لها
الدرس الثانى : هجمات الخداع (Spoofing Attacks )
مقدمة :
• هجمات الخداع (Spoofing) هى محاولة من قبل ( شخص ما – شئ ما ) للتنكر كشخص آخر ... حيث يحاولون خدام ( النظام – المضيف ) ليعتقد أنه شخص آخر .
• وهذا النوع من الهجمات يعتبر عادة هجمات وصول .
• كانت هجمات الخداع شائعة لعدة سنوات عن طريق استخدام نظام التشغيل Unix المبكر – الأنظمة المفتوحة الأخرى ) حيث كانت تتضمن كتابة برنامج يقوم بتزييف برنامج الاتصال .
• أكثر هجمات الخداع الشهيرة اليوم هى هجمات (IP spoofing - DNS spoofing )
آلية عمل برنامج تزييف الاتصال :
هذا البرنامج كان يقوم بـ :
• يقوم المهاجم بتمثيل شخصية السيرفر للعميل .
• يقوم العميل الحقيقى بكتابة الـ (user ID – password) لمحاولة الاتصال بالسيرفر... فيقوم البرنامج بالإشارة إلى محاولة اتصال باطلة ...
• ثم يقوم برنامج الخداع بعد ذلك بتحويل السيطرة إلى برنامج الاتصال الحقيقى .
• يقوم برنامج الخداع بكتابة الـ (user ID – password ) على القرص الصلب (H.D) ليتم استرجاعهما لاحقاً ويمكن
أولاً : هجمات الـ IP Spoofing :
فى حالة هجمات الـ IP spoofing ... يكون الهدف هو محاولة أن تجعل البيانات تبدو كأنها أتت من host موثوق فيه ... مع أنها ليست كذلك ... ( حيث يتم الغش فى عنوان IP الخاصة بالـ Host الذى يقوم بالإرسال .
ثانياً : هجمات الـ DNS Spoofing :
• فى حالة هجمات الـ DNS spoofing ... فإن الـ DNS Server يعطى معلومات حول اسم السيرفر الذى يعتقد أنه شرعى ... ولكنه ليس كذلك .
• وبنجاح هذه الهجمة فإنه يمكن أن يتم ( إرسال المستخدمين إلى مواقع ويب غير التى يرغبون فيها – إعادة توجيه البريد الإلكترونى – عمل أى نوع آخر من عمليات التوجيه للبيانات عن طريق الـ DNS Server الذى يستخدم لتحديد الاتجاه ) .
مثال على هجمات الخداع :
الشكل التالى يعرض حدوث هجمة خداع كجزء من عملية الاتصال على شبكة حاسب . حيث يحدث الخطوات التالية
https://img402.imageshack.us/img402/...poofingez1.gif
• يتقدم المهاجم بتقليد شخصية السيرفر للشخص الذى يحاول الاتصال .
• مهما يقوم به المهاجم من عمل فإن الاتصال سيفشل .
• وعند انتهاء هذه العملية .. يقوم المهاجم بفصل ( نظام التقليد ) ويصبح الـ Client حر .
• بعد ذلك يقوم الـ Client الحقيقى بالاتصال بالسيرفر الشرعى ... وبدون أن يشعر بأى شئ غير طبيعى .
• فى هذه الأثناء ... أصبح لدى المهاجم (user ID and password ) حقيقية . وسيستخدمها فى الدخول على الشبكة .
قريبا إن شاء الله الدرس الثالث
رد: سلسلة دروس : أنواع الهجمات التى قد تتعرض لها
ثالثاً : هجمات " رجل فى المنتصف " (Man-in-the-Middle )
مقدمة :
• هجمات " رجل فى المنتصف " يشهد لها بأنها ( محترفة - متطورة جداً ) .
• وهذا النوع من الهجمات يعتبر عادة هجمات وصول ... ولكنه يمكن أن يستخدم كنقطة بداية لهجمات التعديل .
• يقوم هذا النوع من الهجمات على فكرة " وضع قطعة من البرنامج بين المستخدم و السيرفر ... هذا البرنامج يقوم بتسجيل معلومات المستخدم لغرض ( النظر إليها لاحقاً – تعديلها – لاختراق أمن النظام ) .
آلية عمل هجمات " رجل فى المنتصف " :
• وضع قطعة من البرامج بين ( السيرفر – المستخدم ) ... هذا البرنامج لا يعلم به أى من ( مدير السيرفر – المستخدم ) .
• هذا البرنامج يقوم بـ ( اعتراض البيانات – إرسالها إلى سيرفر ) ... بدون أن يتسبب هذا فى أى أخطاء أو أعطال على الشبكة .
• يقوم السيرفر برد الاستجابة إلى برنامج الهجوم ... معتقد أنه يتعامل مع عميل شرعى .
• يستمر برنامج الهجوم بإرسال المعلومات إلى السيرفر ... وهلم جرا .
مثال على هجمات " رجل فى المنتصف " :• الشكل التالى يمثل هجوم " رجل فى المنتصف " .
https://img147.imageshack.us/img147/...emeddleok2.gif
• لاحظ أن كل من السيرفر – الزبون يفترض أنه يتعامل مع النظام الشرعى ... حيث أن " رجل فى المنتصف " يبدو للسيرفر كأنه هو الزبون ... ويبدو للزبون كأنه هو السيرفر .
هجمات " رجل فى المنتصف " والشبكات اللاسلكية :• فى السنوات الأخيرة زادت هجمات " رجل فى المنتصف " على الشبكات اللاسلكية ... حيث أنه لم يعد من الضرورى الاتصال من خلال الأسلاك ... حيث أن المهاجم يمكن أن يون خارج البناية ( يعترض حزم البيانات – يعدلها – يرسلها ) .
• الحل الشائع لهذه المشكلة هو فرض (WEP) على الشبكة اللاسلكية .
ملاحظة :
التعبير القديم لهجمات " رجل فى المنتصف " كان " اختطاف TCP ... أو ما يعرف بـ (TCP hijacking ) ... وهذا المصطلح سنتعرض له بمزيد من التفصيل لاحقاً
رد: سلسلة دروس : أنواع الهجمات التى قد تتعرض لها
الدرس الرابع : هجمات الإعادة (Replay Attacks )
مقدمة :
• هجمات الإعادة أصبحت شائعة جداً .
• تحدث هذه الهجمات عندما يتم أسر (captured ) المعلومات على الشبكة
• وهذا النوع من الهجمات يعتبر هجمات ( وصول – تعديل ) .
• ففى البيئة الموزعة نجد أن معلومات (logon & password ) يتم إرسالها بين ( الزبون Client - نظام التحقق authentication system ) ... ويقوم المهاجم بأسر هذه المعلومات ... ويعيده مرة ثانية لاحقاً .
• هذا النوع من الهجمات يمكن أن يحدث أيضاً حتى فى حالى استخدام شهادات الضمن (security certificates ) من النظام .. مثل Kerberos ... حيث يقوم المهاجم بـ ( إعادة تقديم الشهادة - ويتمنى أن يتم التصديق عليها – ويتمنى أن يراوغ أى حساسية للوقت ) .
مثال على هجمات الإعادة :
• الشكل التالى يعرض مثال لمهاجم قام بسرقة (captured ) شهادة من نظام يتيح استعملا شهادة Kerberos .
https://img204.imageshack.us/img204/...yattacksx8.gif
• فى هذا المثال يحصل المهاجم على المعلومات لشرعية من الزبون ... ويقوم بتسجيلها ... ثم يحاول استعمالها للدخول إلى النظام ... حيث يتمكن لاحقاً من الدخول إلى النظام .
ملاحظات :
إذا تم هذا الهجوم بنجاح ... فإن المهاجم سيكون لديه كل ( الحقوق – الامتيازات ) من الشهادة الأصلية ... لهذا السبب فإن أغلب الشهادات تحتوى على ( تعريف فريد لجلسة العمل – وقت محدد لجلسة العمل ) ... فإذا انتهت (expired ) الشهادة ... فإنه سيتم رفضها (rejected ) ... كما يجب أن يتم تسجيل أى عملية دخول فى سجل خاص ... كى يشعر مدير النظام بالأمان .
رد: سلسلة دروس : أنواع الهجمات التى قد تتعرض لها
ما شاء الله
شكرا على الدروس المفيدة و التنسيق الرائع
اخي هل من الممكن ذكر اسماء البرامج الشائعة التي تستخدم في تنفيذ هذه الانواع من الهجمات التي ذكرتها
بارك الله فيك
رد: سلسلة دروس : أنواع الهجمات التى قد تتعرض لها
مشكووووووووووور على الدروس
بس ياريت تشرج كيفيه ضبط ال authentication انا بحثت كثير في النت ولم اجد
رد: سلسلة دروس : أنواع الهجمات التى قد تتعرض لها
الاخ الكريم / ايمن
ما شاء الله الموضوع قوى ومبسط فعلا وسريعا سامر على كل نوع وكيفيه عمل security له
اولا بالنسبه لل back door فالحل الامثل له اخذ الاحتياطات الكافيه اولا باستخدام انظمه يكون موثوق بها وعمل scan دائما للشبكه واستخدام IPS يفحص الtraffic الذى ياتى للشبكه مع توعية الموظفين بالشركه للايميلات التى تاتى من اشخاص لا يعرفونهم .
ثانيا بالنسبه لل spoofing هناك برامج خاصه لل anti-spoofing ويمكن ايضا متابعة الشبكه عن طريق الsniffer لرؤية اذا ما تمت هذه الهجمه ام لا ويمكنك ان توقف هذه الهجمه لتوقف source spoofing عن طريق command فى روترات سيسكو no ip source-route وهذا الكوماند فى روترات سيسكو
ثالثا بالنسبه لل replay و man in the middle attack يفضل استخدام authentication قوى كل RADIUS او TACACS ويمكن تفعيل ال PKI حتى نضمن الراسل والمستقبل عن طريق digital certificates
رابعا بالنسبه لل brute force او ال dictionary attack افضل شىء لهما عمل password policy قويه كعمل حد ادنى للباسورد من حيث عدد الحروف ان تحتوى على حروف وارقام ان يتم عمل lock لل account بعد فشل عدد من المحاولات وهكذا :)
واشكر الاخ صاحب الموضوع مره ثانيه
رد: سلسلة دروس : أنواع الهجمات التى قد تتعرض لها
رد: سلسلة دروس : أنواع الهجمات التى قد تتعرض لها
الى الاخ ايمن ارجو منك ان تستمر فى هذه السلسله حتى نقوم بعمل حلقة نقاش :) من اجل رفع مستوى المواضيع فى هذا القسم وهذا سيكون افضل من اختراق الشبكات اللاسلكيه
:) وفى انتظار بقيه السلسله باذن الله
رد: سلسلة دروس : أنواع الهجمات التى قد تتعرض لها
رد: سلسلة دروس : أنواع الهجمات التى قد تتعرض لها
جيل الشرح ومنسق تسلم يا غالى
رد: سلسلة دروس : أنواع الهجمات التى قد تتعرض لها
الدرس السادس : تشمم الشبكة (Sniffing the Network )
• الـ (network sniffer ) هى أداة تقوم بـ ( أسر captures – عرض displays ) الحركة على الشبكة (network traffic ) .
• أجهزة الكمبيوتر الموجودة حالياً لديها القدرة على أن تعمل كـ (sniffers ) .
• عادة تقوم كروت الشبكة بتمرير المعلومات إلى حزمة البروتوكولات إذا كان الكمبيوتر هو المقصود بتلك المعلومات ... وإذا لم يكن هو هدفها فإنه يتجاهلها .
• أكثر كروت الشبكة يمكن أن يتم وضعها فى النمط المسمى " النمط المختلط " (promiscuous mode ) ... وهذا الوضع يسمح لكارت الشبكة بعمل (capture ) لكل المعلومات التى ترى على الشبكة .
• أغلب الشبكات تعمل بتقنية (bus-oriented ) ... وفيها فإن كل الـ traffic يتم إرسالها إلى كل أنظمة الكمبيوتر الداخلية .
• بعض الأجهزة مثل (routers - bridges – switches ) يمكن أن تستخدم لـ ( فصل – تقسيم ) الشبكات ضمن شبكة أكبر ... وتلك لتقنية تسمى (VLAN) ... وأى حركة على الشبكة (traffic ) فى كل قسم لا يمكن رؤيتها لباقى الأقسام .
• إضافة (network sniffer ) مثل برنامج (Microsoft in its Systems Management Server (SMS) ) يسمح لأى كمبيوتر بأن يعمل كـ (network sniffer ) ... فهذا البرنامج ( متوفر على مدى واسع ؤ- لديه إمكانيات كبيرة ) .
• هناك عدد من الـ (public domain - shareware sniffers ) متوفرة على شبكة الإنترنت .
• استعمال الـ sniffer بواسطة مهاجم داخلى (internal attacker ) يمكنه من الإمساك (capture ) بكل المعلومات التى تنقل على الشبكة ... وهناك العديد من الـ sniffers المتقدمة التى يمكنه ( إعادة تجميع حزم البيانات – إعادة إنشاء الرسائل كاملة ) بما فى ذلك ( رسائل البريد الاليكترونى – أسماء المستخدمين – كلمات المرور )
• هذا الضعف يكون اشد خطوة فى بيئات العمل التى يجد الغرباء سهولة فى الوصول إلى ارتباطات الشبكة ... فعلى سبيل المثال قد يقوم المهاجم بوضع الحاسب المحمول الخاص به فى حجرة توزيع الأسلاك - يربطه بالشبكة )
رد: سلسلة دروس : أنواع الهجمات التى قد تتعرض لها
الدرس السابع : مسح المنافذ (Scanning Ports )
• شبكات الـ TCP/IP تجعل العديد من الـ Ports متاحة أمام المستخدمين الخارجيين من خلال الموجه (Router) ... هذه المنافذ (ports ) تقوم بالاستجابة عندما يصلها استعلام .
• قد يقوم أحد المهاجمين بعمل استعلامات منتظمة لشبكتك ... بهدف تحديد ( ما هى الخدمات Services التى تعمل على الشبكة – تحديد المنافذ Ports المفتوحة ) ... هذه العملية تسمى (port scanning ) ... وهى جزء من بصمة الشبكة (fingerprinting ) ... وهى يمكن أن تقدم معلمات عظيمة بخصوص أنظمتك .
• هذه العملية يمكن أن يقوم بها مستخدم ( داخلى – خارجى ) .
• العديد من الموجهات (Routers) ستترك البروتوكولات تمر منها ... إذا كانت غير مشكلة (configured ) بشكل سليم .
• الأنظمة الفردية (Individual systems ) ضمن الشبكة قد يكون لديها ( تطبيقات applications – خدمات services ) تعمل بدون علم مستخدم تلك الأنظمة ... هذه الخدمات (services ) قد تسمح لمهاجم داخلى بالوصول إلى المعلومات عن طريق الاتصال بتلك المنافذ (Ports) .
• العديد من مستخدمة (Microsoft IIS) لا يدركون مستوى الأمن الضعيف الذى يقدمه هذا المنتج ... فإذا لم يقوموا بتركيب الـ (security patches ) عندما يقومون بتركيب الـ IIS على أجهزتهم المكتبية (desktops ) ... فإن المهاجمين سيستغلون الضعف الموجود فى الـ IIS ويتمكنون من الدخول إلى المعلومات ... فمثل هذا الموقف حدث فى العديد من الحالات . وبدون إدراك الشخص الذى يتم مهاجمته .
• هذه الهجمات من الناحية الفنية لا تعتبر هجمات TCP/IP ... ولكنها هجمات تستغل الثقة المتأصلة (inherent trust ) فى بروتوكول TCP لتسهيل الهجمات .
• فمجرد معرفة عنوان IP (IP addresses ) الخاص بأنظمتك ... فإن المهاجمين الخارجيين يمكنهم محاولة الاتصال بالمنافذ (Ports) المفتوحة فى شبكتك ... وأحيانا ببساطة باستخدام الـ Telnet .
• عملية الـ (Port Scanning ) هذه يمكن أن تمتد وتتطور لشمل كل أثر لشبكتك ... فإذا حصل المهاجم على عنوان (IP address) احد من شبكتك فبإمكانه أن ( يتحقق ويتقصى عن كل العناوين الموجودة فى نفس المدى – يتعرف على الأنظمة والبروتوكولات التى تستخدمها شبكتك ) .... وهذا يسمح للمهاجم بأن يعرف معلومات بخصوص التركيب الداخلى لشبكتك .
رد: سلسلة دروس : أنواع الهجمات التى قد تتعرض لها
السلام عليكم :)
تعقيبا على كلام الاخ mr_smart33 : ال scanning هو مرحله قبل مرحلة شن الهجمه وفيها يقوم الهاكر بجمع معلومات عن النظام الذى سيقوم بشن الهجمه ضده . وكل المعلومات تفيد الهاكر كمعرفه ال ip blocks اى عنواين ال ip لديك او معرفة ال services الموجوده على جهازك او معرفة ال OS او ال fingreprinting بحيث انه يمكنه من خلالها الدخول الى الشبكه او الى الجهاز وبالنسبه لل scanning نوعين : -
الاول : -
يكون فى الهاكر داخل الشبكه ويقوم بعمل ال sniffing او التشمم وال sniffing هو عباره عن سلاح ذو حدين اى يمكنك استخدامه لرؤية الtraffic المار بالشبكه واختبارها او يمكنك ان تستخدمه لغرض اخر وهو معرفة ال passwords التى يستخدمها بروتوكلات كل telnet , HTTP , IMAP , POP وكلها برتوكلات تنقل الباسورد clear text وحلها فى وجهة نظرى ببساطه ان تقوم بعمل سيرفر يقوم بعمليه centralized installation لنظام التشغيل بحيث تقوم فى التحكم فى البرامج التى يقوم اليوزر بعمل انستال لها .
الثانى : - فى هذه الحاله يكون الهاكر خارج الشبكه ويقوم بعمل port scanning ليقوم بمعرفة ال services او الos او ال ports وكلها معلومات مفيده بالنسبه للهاكر فمثلا عند استخدام nmap ليقوم بعمل port scanning بهاذا الكوماند
nmap -A -v target host يمكنك معرفة ال services و ال os و البورتات المفتوحه على ال target host او الهدف المراد معرفة معلومات عنه وحل تلك المشكله يمكنك عمل rules لل firewall يمكنك عمل rules لوقف هذا النوع من الترافيك بحيث ان تغلق كل البورتات وتفتح البورتات المتاحه لديك فقط او التى تريدها ان تكون مستخدمه للخارج مثل 80 بورت ال HTTP .اتمنى ان اكون افدت