التقاط حزم البيانات المارة بالشبكات packets sniffing

الدرس الثالث – هجوم MAC flooding

هذا الدرس متقدم بعض الشيئ و يحتاج الى التركيز و كوب من القهوة …

اذكر بأنه في الدرس السابق تحدثت عن السويتش و امانه فأي حزمة تصله يقوم بتسليمها الى الجهاز المعني هذا ما يمنع الاجهزة الاخرى من التقاط تلك الحزمة لاكننا اليوم سنتخطى هذه الحماية لالتقاط جميع الحزم التي تمر عبر السويتش ما سنقوم به هو الضغط على السويتش ليتصرف مثل الهب اذا كنتم تتذكرون في الدرس السابق تحدثت عن جدول عناوين الماك الذي يقوم السويتش بتسجيل العناوين الفيزيائية فيه هذا الجدول والذي يدعى CAM Table  له حجم معين اذا تخطاه يحدث ما يسمى بفيضان جدول الكام CAM Table Overflow لنفرض انه لدينا سويتش جدول عناوينه لا يحتمل اكثر من 18 مدخل كما في الصورة التالية :

حتى الآن هذا الجدول يحتوي على 9 مدخلات لازال بامكانه استقبال  9 مدخلات اخرى ولكن ماذا سيحدث لو امتلئ الجدول وجائت عناوين جديدة اين سيتم تخزينها؟

لا يوجد مكان لها في هذه الحالة سيحدث الفيضان ويبدأ السويتش في التصرف مثل الهب اي ان اي حزمة تصله سيتم تمريرها الى جميع البورتات وبهذا نستطيع التقاط جميع الحزم التي ستمر عبره

آلية الهجوم :

ما سأقوم به هو عمل فلوود flood وذلك بارسال الكثير من الحزم التي تحتوي على عناوين مزيفة الى السويتش ليحدث الفيضان وبعدها أقوم بالتنصت على الحزم والتقاطها Sniffing لهاذا سأقوم ببناء شبكة مكونة من اربعة اجهزة لتطبيق هذا الهجوم

سأستخدم جهاز لعمل الفلوود flood وآخر للتنصت على الحزم والتقاطها sniffing وجهازين آخرين PC1 و PC2 الجهازين الاخيرين سيقومان بتبادل الحزم سأقوم بعمل ping مستمر من الجهاز PC1 على الجهاز PC2 وأحاول التقاط تلك الحزم عبر الجهاز الذي يقوم بالتنصت sniffing

الأجهزة وعناوينها:

الجهاز PC1 والذي يحمل عنوان الآيبي 192.168.10.1

الجهاز PC2 والذي يحمل العنوان 192.168.10.2

الجهاز flooder والذي يحمل العنوان 192.168.10.4

الجهاز الرابع والذي يقوم بعمل sniffing يحمل العنوان  192.168.10.3 الصيغة النهائية للشبكة :

PC1 : 192.168.10.1

PC2 : 192.168.10.2

sniffer : 192.168.10.3

flooder : 192.168.10.4

 

 

انتهيت من تركيب وضبط اعدادات الشبكة لم يبقى الا تنفيذ الهجوم قبل ذلك دعوني اذكر بامر معين ما سأقوم به هو ارسال الكثير من العناوين المزيفة الى السويتش لذلك يجب ان اقوم بتغيير عنوان الماك المسجل عند نظام التشغيل في كل مرة اقوم بها بارسال حزمة packet الى السويتش عندما يفحصها سيجد عنوان ماك جديد ويقوم بتسجيله في جدول الكام CAM table تصوروا معي اذا قمت بارسال الكثير من هذه الحزم هنا سيحدث الفيضان ويصبح السويتش غير قادر على تمرير الحزم الى وجهتها المحددة فيبدأ بعمل بث Broadcast لكل ما يصل اليه الى جميع المنافذ

تنفيذ الهجوم:

اولا سأقوم بعمل ping من الجهاز PC1 على الجهاز PC2 كما هو موضح في الصورة التالية :

سأرى ان كان باستطاعتي رؤية الحزم المتبادلة بين الجهازين PC1 و PC2 وذلك بتشغيل اداة tcpdump على جهاز sniffer لتتنصت على PC1 وذلك بالامر التالي:

tcpdump -i vboxnet0 host 192.168.10.1

الخيار i هو لتحديد واجهة الشبكة network interface في هذا المثال الواجهة هي vboxnet0

الخيار host لتحديد الجهاز الذي سنتنصت عليه وفي هذا المثال هو PC1 ذو العنوان 192.168.10.1

الصورة التالية توضح ان اداة tcpdump لم تستطع التقاط اي شيئ و ذلك لان السويتش يتصرف بطريقة طبيعية والحزم المتابدلة بين الجهازين PC1 و PC2 من المستحيل ان تصلنا لكي نلتقطها فنحن لم نبدأ بعد بالهجوم على السويتش

الآن سأقوم بكتابة سكربت script يقوم بالهجوم على السويتش بارسال الكثير من العناوين المزيفة الحزم سأرسلها عن طريق الامر ping وذلك بتنفيذه على جهاز غير موجود اصلا في الشبكة يحمل العنوان 192.168.10.100 الغرض من ذلك هو عدم الضغط على الاجهزة الاخرى الموجودة عندنا المهم هو ان يستقبل السويتش الحزم التي تحمل عناوين مزيفة وبما ان هذا الجهاز غير موجود يجب علينا ان نقوم بادخال قيمة تحمل آيبي هذا الاجهاز وعنوان ماك مزيف الى جدول آرب ARP table لمعلومات عن جدول آرب يمكن زيارة صفحة ويكيبيديا التالية:

http://en.wikipedia.org/wiki/Address_Resolution_Protocol

لادخال القيمة سأستخدم الامر التالي في السكربت :

arp -s 192.168.10.100 01:a3:44:cd:20:c5

ما سيقوم به السكربت ايضا هو تغير عنوان الماك وارسال حزمة عن طريق الامر ping للقيام بهذا الكثير من المرات سأستعين بحلقة for السكربت بشكله النهائي سيكون كالتالي:

بعد كتابة السكربت سأعطيه تصريح التشغيل لاننا في لينوكس بالامر التالي:

chmod +x flood.sh

ثم ننفذ الهجوم كما في الصورة التالية:

الآن وبعد تنفيذ الهجوم من الجهاز flooder سأرى ان كانت الاداة tcpdump قد استطاعت التقاط اي شيئ

بالفعل كما ترون استطاعت الاداة التقاط الحزم المتبادلة بين الجهازين PC1 و PC2

قبل ان انهي الدرس اريد الاشارة الى ان هذا الهجوم يسهل اكتشافه لانه سيأدي الى بطئ الشبكة و عمل بث broadcast لجميع الحزم كما انه ايضا يتطلب جهازين واحد لعمل flood والآخر لعمل sniffing فلو استخدمنا جهاز واحد مثلا لن نستطيع مراقبة الحزم بشكل جيد لانه يقوم بالعمليتين في آن واحد الحل سيكون في الدروس القادمة و هجوم ARP spoofing الاكثر استخدام فكرة هذا الهجوم هي بانتحال شخصية احد الاجهزة لكي تصلنا جميع الحزم الموجهة اليه

مع تحياتي…

تعليق واحد

Filed under Uncategorized

One response to “التقاط حزم البيانات المارة بالشبكات packets sniffing

  1. فكرة السكريبت رائعة و قد أدت عملها..

    تحياتي…

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

شعار ووردبريس.كوم

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google photo

أنت تعلق بإستخدام حساب Google. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

Connecting to %s