شنود یا استراق سمع از موارد بسیار مهم در امنیت است. نرم افزارها و راه های مختلفی برای شنود وجود دارد که باعث به خطر افتادن اطلاعات شما خواهد شد.
کامپیوتری که به یک LAN وصل باشد، دو آدرس دارد:
برای ارسال اطلاعات به یک کامپیوتر سیستم اول در جدول ARP به دنبال آدرس مک سیستم مقابل می گردد، اگرهیچ راه ورودی برای آن پیدا نکند، یک بسته درخواست برای همه برودکست می کند و از همه می خواهد تا اگر آدرس آی پی آن ها همین هست که می خواهد، آدرس مک خود را اعلام کنند.
بدین صورت اگر سیستمی در شبکه آدرس آی پی بسته را با خودش یکی ببیند، آدرس مک خود را در داخل بسته برای سیستم درخواست کننده می فرستد. سپس سیستم آدرس فیزیکی آن سیستم را دارد و به جدول ARP خودش اضافه می کند.
پس از این کامپیوتر مبدا برای ارتباط با سیستم مقصد از این آدرس فیزیکی استفاده می کند.
شنود یا استراق سمع به عمل مخفیانه گوش دادن به مکالمه خصوصی دیگران بدون رضایت آنها گفته میشود .
به طور کلی دو نوع از تجهیزات اترنت وجود دارد و اسنیفرها به طرق مختلف روی این دو نوع کار می کنند.
همه میزبان ها به یک Bus وصل می شوند و برای گرفتن پهنای باند با هم رقابت می کنند. در چنین وضعیتی یک بسته را همه کامپیوتر ها دریافت می کنند. کلیه کامپیوتر ها روی یک اترنت اشتراکی (مثلا کامپیوترهای ۳ و ۴ ) آدرس مک مقصد را با آدرس خود مقایسه می کنند و اگر این دو با هم هماهنگ نشدند، بسته را دور می اندازند.
کامپیوتری که در حال شنود می باشد، این قاعده را می شکند و همه بسته ها را می گیرد و به کل ترافیک شبکه گوش می دهد. در این وضعیت عمل اسنیف بسیار فعالانه انجام می شود و تشخیص آن بسیار سخت می باشد.
در این شبکه کامپیوتر ها به جای وصل شدن به هاب به سوئیچ متصل می شوند.
سوئیچ جدولی را مدیریت می کند که در آن رد آدرس مک کارت هایی را که به آن وصل می شوند را دارد. در این جدول آدرس پورت فیزیکی را که روی سوئیچ هست و به آن کارت با آدرس مک وصل هست را هم نگه می دارد و بسته های مقصد را بر روی آن پورت فیزیکی قرار داده و به مقصد تحویل می دهد.
در واقع سوئیچ ماشین هوشمندی هست که می داند با بسته هایی که وارد می شوند چه کاری باید انجام دهد. به همین دلیل سرعت سوئیچ از هاب بیشتر هست و قیمت آن بالاتر است.
حالا اگر کامپیوتری را جهت شنود در این شبکه بگذارند نمی تواند این عمل را انجام دهد و به همین دلیل هم هست که مدیران شبکه ها برای امنیت بیشتر این مدل را ترجیح می دهند. با این حال باز هم می شود سوئیچ را اسنیف کرد. که در ادامه روش های آن اورده شده است.
پروتکل SIP یک پروتکل سیگنالینگ ارتباطی است که به صورت گسترده برای کنترل session های ارتباطات Multimedia مورد استفاده قرار می گیرد.
از SIP در کار کنترلی ارتباطاتی همچون انتقال صدا و ویدئو بر روی شبکههای IP استفاده میشود. پروتکل SIP کنترل شروع، تغییر و پایان session را انجام میدهد.
– تبدیل IP به MAC توسط پروتکل (ARP (Address resolation protocol
-ارسال بسته (GARP(Gratuitous ARP توسط مهاجم با استفاده از پروتکل ARP
به طور مثال، IP Address گت وی شبکه را با MAC آدرس خود اعلام می کند و سیستم های موجود در شبکه، اطلاعات مربوط به ARP خود را با اطلاعات جدید بروز می کنند و از این پس، ترافیک خارج از شبکه خود را تحویل مهاجم می دهند و اگر مهاجم بعد از بدست آوردن اطلاعات مورد نیاز خود، ترافیک را به گیت وی اصلی ارسال کند، کاربران از این اتفاق بی خبر خواهند بود(man in the middle).
یکی از حملات لایه دوم می باشد که مهاجم جدول CAM سوئیچ را با MAC آدرس های جعلی پر می کند. بعد از اینکه جدول پر شد، از این پس سوئیچ به دلیل پر شدن جدول Cam خود نمی تواند MAC جدیدی بگیرد و درنتیجه سوئیچ، بسته های دریافتی که آدرس مقصد آن ها را در جدول CAM ندارد را بر روی تمام پورت های خود ارسال می کند.
افزایش ترافیک در شبکه باعث می شود تجهیزات شبکه نیز مجبور به پردازش ترافیک اضافه شده که این امر منجر به از کار افتادن تجهیزات خواهد شد.
ترافیک چون روی همه پورت ها ارسال می شود، سیستمی که مقصد ترافیک نیست نیز این ترافیک را دریافت می کند، در نتیجه محرمانگی اطلاعات در این حالت از بین خواهد رفت.
نکته : بعد از اینکه حمله متوقف شود، MAC آدرس های جعلی به مدت 5 دقیقه که مدت زمان نگه داری آدرس ها در جدول Cam می باشد در جدول باقی می مانند، سپس از جدول حذف و شبکه به حالت نرمال باز می گردد.
وقتی که یه اسنیفر فعال می شود مقداری ترافیک تولید می کند.
توصیه می شود که یک بسته Ping به آی پی ماشینی که به آن مشکوک هستیم بفرستیم.اگر کامپیوتر مشکوک اسنیفر داشته باشد به پینگ شما جواب می دهد . این در حالی هست که قاعدتا نباید به بسته هایی که آدرس مک آنها به آن نمی خورد جواب دهد؛ این یک روش قدیمی است.
یک بسته غیر برود کست Arp می فرستیم؛ کامپیوتری که در حالت بی قاعده قرار گرفته باشد، آدرس را ذخیره می کند. بعد از آن ما یک بسته Ping به صورت برود کست با آی پی خود اما با یه آدرس مک دیگر می فرستیم. تنها کامپیوتری که آدرس مک واقعی ما را از قاب اسنیف شده Arp داردف می تواند به درخواست برودکست پینگ ما جواب دهد.
ifconfig دستوری هست که شما نیاز دارید.اگردر خط آخر خروجی دستور به کلمه Promisc برخود کردید بدانید که این همان سیستم هست.
فرض می شود اسنیفر در حال انجام Parsing می باشد. که به این معنی است که در حال گرفتن اطلاعات زیادی از شبکه می باشد و حال اگر شما حجم زیادی از اطلاعات را Broadcast کنید، سیستم اسنیف کننده تا بخواهد جواب دهد وقت زیادی گرفته شده و این تفاوت زمانی میتواند مشخص کند که کدام سیستم در حال شنود هست.
ابزاری که ARPwatch نامیده می شود، جهت بررسی این که که هیچ چند تایی برای یه ماشین نباشد استفاده می شود. یعنی برای یک سیستم چند مدخل در جدول نباشد. اگر اینطور باشد، برنامه تشخیص داده و هشدار می دهد.
در شبکه Dhcp این موضوع می تواند منجر به هشدار های اشتباه زیادی شود، که می توان زمان اجاره Ip را افزایش دهید (مثلا ۳۰ روز ).