التقاط حزم البيانات المارة بالشبكات packets sniffing

الدرس الرابع تسميم بروتوكول آرب ARP poisoning

القسم الاول

كما رأيتم في الدرس السابق تحدثت عن هجوم MAC flooding وكيفية اغراق جدول السويتش بالعناوين المزيفة ليتصرف مثل الهب هذا الدرس سيكون متقدم بعض الشيء لانه سيتمحور حول آلية التلاعب ببروتوكول ARP ولهذا سأقسمه الى قسمين رئيسيين :

– التعريف ببروتوكول ARP : في هذا القسم سأقوم بالتعريف بهذا البروتوكول وشرح آلية عمله ونقاط ضعفه

– عملية تسميم  ARP : هنا سأقوم بشرح كيفية حقن جدول بروتوكول ARP للقيام باعمال غير شرعية على الشبكة مثل هجوم منع الخدمة DoS واعادة توجيه البيانات المارة بالشبكة الينا لنتمكن من التقاطها وتحليلها

التعريف ببروتوكول ARP:

برتوكول ARP وهو اختصار ل Address Resolution Protocol بروتوكول تحليل العنوان هذه الترجمة من جوجل وظيفة هذا البروتوكول هي تحديد العنوان الفيزيائي عندما يكون عنوان الآيبي فقط هو الموجود في الدروس السابقة قلنا بأن الاجهزة في الشبكات المحلية تتبادل الحزم بينها اعتمادا على العنوان الفيزيائي MAC Address لاكن كما تعرفون ايضا ان كل جهاز يمتلك عنوان آيبي IP Address الآن لنتصور أن احد الاجهزة يريد ارسال حزمة بيانات الى جهاز آخر على الشبكة وهو لا يمتلك الا عنوانه المنطقي اي IP Address طبعا لن يتمكن من ذلك لان جهاز السويتش لايمكنه التعامل مع عناوين IP عندها سيتدخل بروتوكول ARP لتحديد عنوان ماك MAC Address المرافق للجهاز لتنجح عملية الارسال هذه العملية مهمة جدا في الشبكات المحلية وايضا عند توجيه البيانات بين الراوترات Routers في الشبكات الواسعة .

آلية العمل :

فكرة عمل البروتوكول بسيطة جدا وهي بارسال حزمة طلب تدعى ARP request الى جميع الاجهزة مثلا كأن نقول ماهو العنوان الفيزيائي للجهاز الذي يحمل عنوان الآيبي 192.168.1.50؟

جميع الاجهزة سيصلها الطلب الجهاز المعني هو الوحيد الذي سيجيب على هذا الطلب بحزمة تدعى ARP response ويقول تفضل انا احمل عنوان الآيبي 192.168.1.50 وعنواني الفيزيائي هو AA.B2.C6.DD.FF بعدها يتم تبادل البيانات الصورة التالية توضح الآلية:

كما تلاحظون في الصورة الجهاز الازرق والذي يحمل عنوان الآيبي 192.168.1.50 هو الذي سيجيب بحزمة ARP rsponse على الطلب ماذا لو كانت تحدث هذه العملية في كل مرة يريد احد الاجهزة ارسال بيانات من المؤكد انا ستضيع الكثير من الوقت ايضا ستثقل عمل الشبكة لان طلب آرب ARP request يكون على شكل بث Broadcast على كل الأجهزة ولحل هذه المشاكل يقوم كل جهاز ببناء ما يسمى بجدول آرب ARP table هذا الجدول يحتوي على عناوين آيبي و عناوين ماك المرافقة لها فالاجهزة قبل ان تقوم بعملية الارسال تقوم بتفقد جدول ARP ان كان يوجد مدخل لعنوان آيبي محدد فان كان موجود تقوم بسحب العنوان الفيزيائي المرافق وان لم يكن موجود تبدأ عملية الاستعلام التي رأينا سابقا بارسال حزمة ARP request الصورة التالية توضح بنية جودل ARP و يدعى ايضا ARP cache :

في الصورة السابقة الدائرة الحمراء تبين الجهاز ذو العنوان 192.168.2.122 عنوانه الفيزيائي موجود في الجدول و لذلك لا نحتاج الى ارسال طلب ARP request للاستعلام ولملئ هذا الجدول توجد طريقتان الاولى يدوية وتدعى static entries هنا يقوم مدير الشبكة او المعني بادخال مدخلات الى جداول ARP يدويا عن طريق اوامر يتم تطبيقها على النظام اما الطريقة الثانية فهي dynamic entries ومن خلالها يقوم الجهاز ببناء جدوله بنفسه عن طريق ارسال الاستعلامات كلما اتته اجابة ARP اي ARP response يقوم بادخال المعطيات الى الجدول بشكل مؤقت ولطباعة جدول ARP في جهازك يمكن استخدام الامر التالي سواء في لينوكس او الويندوز:

arp -a

الصورة التالية توضح جدول ARP في جهازي بعد تطبيق الامر اسابق :

نقطة ضعف هذا البروتوكول :

نقطة ضعف هذا البروتوكول والتي سنستغلها هي انه لا يحتاج الى التحقق من الهوية و لهذا يمكننا ارسال حزم استجابة ARP response مزيفة الى الاجهزة لكي يقوموا بتحديث جداولهم مثلا يمكننا ان نقوم بكتابة حزمة بروتوكول تقول للجهاز A الذي يحمل العنوان 192.168.2.10 انه يمكن ايجاد الجهاز B والذي يحمل العنوان 192.168.2.20 على العنوان الفيزيائي الخاص بالجهاز C فاي حزمة بيانات يقوم A بارسالها الى B عندما تصل الى السويتش ستمر الى الجهاز C لانها تحمل العنوان الفيزيائي للجهاز C و ليس B واذا كان الجهاز Cهو جهاز المخترق سيتمكن من رؤية كل ما يرسله A الى B دققوا جيدا في الصورة التالية :

كما تلاحظون في الصورة حقيقة الامر ان الجهاز B لا يتواجد عند العنوان الفيزيائي المحدد والذي هو عنوان الجهاز C اذن سيتم خداع الجهاز A وتمرير جميع الحزم المتوجهة الى B الى الجهاز C وبالتالي يتمكن من التقاطها كانت هذه رؤية بسيطة لما سنقوم بتفصيله في القسم الثاني في الدرس القادم ان شاء الله .

5 تعليقات

Filed under Uncategorized

5 responses to “التقاط حزم البيانات المارة بالشبكات packets sniffing

  1. شرح ممتاز حقيقة ، أتمنى لك التوفيق في المزيد من هذه الدروس أخي ahoss

    تقبل مروري 🙂 ))

  2. ashraf

    شكرا على الدرس الرائع
    ولكن اين تكملة الدرس
    يعنى طرق الهجوم والتجسس على البيانات

  3. مشكور اخي على الدرس ننتظر الجديد ان شاء الله

  4. abbasi

    جزاك الله خيرا على هذه الشروحات الرائعة وفي انتظار الدرس الخامس

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

شعار ووردبريس.كوم

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google photo

أنت تعلق بإستخدام حساب Google. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

Connecting to %s