setakit.com
setakit.com

حملات on-path در شبکه

منظور از حملات on-path چیست؟

به طور کلی، حملات on-path حملاتی هستند که در آن ها، مهاجم خود را بین مبدا و مقصد قرار می دهد (غالبا بین مرورگر وب و سرور وب)، سپس ارتباطات بین این دو را کنترل و ردیابی می کند و در نهایت اقدام به ایجاد تغییر در آن ها و جمع آوری اطلاعات می نماید.

در این حمله، مهاجم می تواند خود را به جای یکی از طرفین معرفی نموده و اقدام به جمع آوری اطلاعات نماید. حملات on-path علاوه بر وب سایت می توانند DNS lookup، خدمات ایمیل و همچنین شبکه های عمومی WiFi را نیز مورد هدف قرار دهند. به طور معمول حملات on path، اهدافی مانند تجارت های مبتنی بر SaaS، مشاغل مربوط به تجارت الکترونیک و همچنین کاربران برنامه های مالی را برای حمله در نظر می گیرند.

برای درک بهتر، مهاجم حملات on-path را می توان به کارمند پستی تشبیه نمود که امکان خواندن نامه ها و تغییر در آن ها را دارد. به عنوان مثال یک مهاجم حمله on path می تواند بین کاربر و وب سایتی قرار گیرد که کاربر قصد بازدید از آن را دارد، سپس اطلاعات مربوط به نام کاربری و پسورد را جمع آوری می کند. این حمله می تواند با هدف قرار دادن کانکشن HTTP بین کاربر و وب سایت انجام داد. دستیابی به این کانکشن به مهاجم این امکان را می دهد که مانند پروکسی عمل کرده تا قابلیت جمع آوری و تغییر در داده های منتقل شده بین کاربر و وب سایت را داشته باشد. در ضمن مهاجم می تواند کوکی های (بخش های کوچک داده که توسط وب سایت ایجاد شده و به منظور شناسایی یا اهداف دیگر، توسط کامپیوتر کاربر ذخیره و نگهداری می شود) کاربر را به سرقت برده و از آن ها برای جعل هویت کاربر استفاده نماید.

مهاجمین on path سرورهای DNS را نیز می توانند مورد هدف قرار دهند. قابل ذکر است DNS lookup، فرایندی است که طی آن به مرورگرهای وب این امکان داده می شود با تبدیل نام دامنه به آدرس های آیپی، قادر به پیدا کردن وب سایت مورد نظر خود باشند. بنابراین در حملات DNS on path مانند DNS spoofing و DNS hijacking اتفاقی که می افتد این است که مهاجم می تواند فرایند DNS lookup را به خطر انداخته و کاربر را به سایت نادرست هدایت کند. غالبا کاربران به سایت هایی هدایت می شوند که اقدام به توزیع بدافزار و یا جمع آوری داده های مهم می کنند.

email hijacking چیست؟

Email hijacking یکی دیگر از انواع رایج حملات می باشد که مهاجمین on path با قرار دادن خود بین سرور ایمیل و سرور وب، به سرورهای ایمیل نفوذ می کنند. در این مرحله، مهاجم می تواند تمامی روابط ایمیلی را نظارت کند. در این حالت کلاهبرداری های مختلفی رخ می دهد. به عنوان مثال زمانی که فردی منتظر یک ایمیل جهت پرداخت مبلغ می باشد، مهاجم با تغییر شماره کارت و عذرخواهی بابت اشتباه پیش آمده در نامه قبلی، به هدف خود می رسد. در سال ۲۰۱۵ طی حملات سایبری و با استفاده از email hijacking بیش از ۶ میلیون یورو از شرکت های مختلف اروپایی، به سرقت رفت.

دلیل خطرناک بودن WiFi عمومی

می توان گفت اغلب حملات on path از طریق شبکه های WiFi اتفاق می افتد. مهاجم می تواند شبکه های WiFi مخربی ایجاد کنند که به ظاهر بی خطر هستند. اما به محض این که کاربر به شبکه WiFi مخرب متصل می شود، مهاجم on path قادر به نظارت و مشاهده فعالیت های آنلاین کاربر می گردد. حتی مهاجمین بسیار حرفه ای این توانایی را دارند که مرورگر کاربر را به نسخه جعلی وب سایت های قانونی هدایت کنند.

راه های مقابله با حملات on path

خبر بد این است که چون مهاجمین on path از روش های مختلفی استفاده می کنند، یک راهکار مشخص برای مقابله با این حملات وجود ندارد. یکی از اصولی ترین روش های ایجاد محافظت در برابر حملاتی که ترافیک HTTP را هدف قرار می دهند، استفاده از SSL/TLS می باشد. در این حالت کانکشنی امن بین کاربر و وب ایجاد خواهد شد. متاسفانه این راه حل را نیز نمی توان کاملا ایمن دانست، زیرا مهاجمین حرفه ای on path می توانند بر روی محافظت SSL/TLS نیز کار کنند و آن را شکست دهند. قابل ذکر است برخی از وب سرویس ها به منظور ایجاد محافظت بیشتر و بهتر، از HSTS که مخفف HTTP Strict Transport Security می باشد، استفاده می کنند. با این کار، کلیه کانکشن های SSL/TLS با هر مرورگر و یا اپلیکشنی، ایمن شده و کانکشن های HTTP نا ایمن، مسدود می گردند، در ضمن از به سرقت رفتن کوکی ها نیز جلوگیری به عمل می آید.

یکی دیگر از روش های ایجاد محافظت در برابر این دسته از حملات، استفاده از authentication certificates می باشد. تمامی سازمان هایی که احراز هویت مبتنی بر certificate را بر روی دستگاه های خود، اجرا می کنند، تنها به کاربران مجاز، اجازه دسترسی خواهند داد.

در ضمن به منظور جلوگیری از حملات email hijacking استفاده از Secure/Multipurpose Internet Mail Extensions (S/MIME) lموثر می باشد. این پروتکل با رمزگذاری ایمیل ها و ایجاد قابلیت امضا دیجیتالی، به کاربران این ضمانت را می دهد که گیرنده، یک پیام مناسب و غیر جعلی را دریافت کرده است.

کاربران شخصی که وابسته به سازمانی نیستند نیز می توانند با عدم ارسال اطلاعات مهم و حساس از طریق شبکه های عمومی WiFi، خود را در برابر حملات، ایمن نمایند.

 

سایر مطالب مرتبط 
حملات اصلی به شبکه های کامپیوتری ستاک فناوری ویرا            حمله فعال و غیر فعال ستاک فناوری ویرا            ترافیک شبکه چیست ستاک فناوری ویرا