همه روزه شاهد ابداع فن آوري هاي جديدي در عرصه دنياي گسترده امنيت اطلاعات مي باشيم. ابداع هر فن آوري جديد از يک طرف کارشناسان امنيت اطلاعات را اميدوار به برپاسازي و نگهداري يک شبکه ايمن مي نمايد و از طرف ديگر مهاجمان را اميدوار به تدارک حملاتي که شانس موفقيت بيشتري را داشته باشند. چراکه آنان نيز از آخرين فن آوري هاي موجود در اين عرصه به خوبي استفاده خواهند کرد . شايد به همين دليل باشد که بسياري از کارشناسان فن آوري اطلاعات و ارتباطات بر اين عقيده هستند ، ماداميکه دانش مهاجمان بيش از کارشناسان امنيت اطلاعات است امکان مقابله منطقي ، ساختيافته و به موقع با بسياري از حملات وجود نخواهد داشت .( چگونه مي توان با چيزي مقابله نمود که نسبت به آن شناخت مناسبي وجود ندارد؟ ) . اين يک واقعيت تلخ در دنياي امنيت اطلاعات است که بسياري از پتانسيل هائي که به منظور تسهيل در امر استفاده کامپيوتر و يا افزايش کارآئي سيستم ايجاد و يا به عنوان محصولات و ابزارهائي در جهت حفاظت و ايمن سازي شبکه هاي کامپيوتري عرضه مي گردند ، توسط مهاجمان و به منظور برنامه ريزي حملات در شبکه هاي کامپيوتري نيز مورد استفاده قرار خواهند گرفت . اين موضوع در رابطه با packet sniffing نيز صدق مي کند .

packet sniffing چيست ؟

يکي از قديمي ترين روش هاي سرقت اطلاعات در يک شبکه ، استفاده از فرآيندي موسوم به packet sniffing است . در اين روش مهاجمان از تکنيک هائي به منظور تکثير بسته هاي اطلاعاتي که در طول شبکه حرکت مي کنند ، استفاده نموده و در ادامه با آناليز آنان از وجود اطلاعات حساس در يک شبکه آگاهي مي يابند . امروزه پروتکل هائي نظير IPSec به منظور پيشگيري از packet sniffing طراحي شده است که با استفاده از آن بسته هاي اطلاعاتي رمزنگاري مي گردند . در حال حاضر تعداد بسيار زيادي از شبکه ها از تکنولوژي IPSec استفاده نمي نمايند و يا صرفا" بخش اندکي از داده هاي مربوطه را رمزنگاري مي نمايند و همين امر باعث شده است که packet sniffing همچنان يکي از روش هاي متداول به منظور سرقت اطلاعات باشد .
يک packet sniffer که در برخي موارد از آن به عنوان network monitor و يا network analyzer نيز ياد مي شود ، مي تواند توسط مديران شبکه به منظور مشاهده و اشکال زدائي ترافيک موجود بر روي شبکه استفاده گردد تا به کمک آن بسته هاي اطلاعاتي خطاگونه و گلوگاه هاي حساس شبکه شناسائي و زمينه لازم به منظور انتقال موثر داده ها فراهم گردد . به عبارت ساده تر ، يک packet sniffer تمامي بسته هاي اطلاعاتي که از طريق يک اينترفيش مشخص شده در شبکه ارسال مي گردند را حمع آْوري تا امکان بررسي و آناليز آنان فراهم گردد . عموما" از برنامه هاي packet sniffer به منظور جمع آوري بسته هاي اطلاعاتي به مقصد يک دستگاه خاص استفاده مي گردد. برنامه هاي فوق قادر به جمع آوري تمامي بسته هاي اطلاعاتي قابل حرکت در شبکه صرفنظر از مقصد مربوطه نيز مي باشند .
يک مهاجم با استقرار يک packet sniffer در شبکه ، قادر به جمع آوري و آناليز تمامي ترافيک شبکه خواهد بود . اطلاعات مربوط به نام و رمز عبور عموما" به صورت متن معمولي و رمز نشده ارسال مي گردد و اين بدان معني است که با آناليز بسته هاي اطلاعاتي ، امکان مشاهده اينگونه اطلاعات حساس وجود خواهد داشت . يک packet sniffer صرفا" قادر به جمع آوري اطلاعات مربوط به بسته هاي اطلاعاتي درون يک subnet مشخص شده است . بنابراين يک مهاجم نمي تواند يک packet sniffer را در شبکه خود نصب نمايد و از آن طريق به شبکه شما دستيابي و اقدام به جمع آوري نام و رمز عبور به منظور سوء استفاده از ساير ماشين هاي موجود در شبکه نمايد . مهاجمان به منظور نيل به اهداف مخرب خود مي بايست يک packet sniffer را بر روي يک کامپيوتر موجود در شبکه اجراء نمايند .

نحوه کار packet sniffing

نحوه کار packet sniffing به روشي برمي گردد که شبکه هاي اترنت بر اساس آن کار مي کنند . در يک شبکه اترنت ، هر زمان که کامپيوتري يک بسته اطلاعاتي را ارسال مي نمايد ، بسته اطلاعاتي به عنوان يک broadcast ارسال مي گردد . اين بدان معني است که هر کامپيوتر موجود در شبکه بسته هاي اطلاعاتي ارسالي را مشاهده نموده و بجزء کامپيوتر مقصد ساير دستگاه هاي موجود از بسته اطلاعاتي صرفنظر خواهند کرد . packet sniffing با کپي يک نسخه از بسته هاي اطلاعاتي ارسالي در شبکه، فعاليت خود را سازماندهي مي نمايد .
آيا روش هائي به منظور تشخيص وجود يک packet sniffer در شبکه وجود دارد ؟
تشخيص وجود يک packet sniffer بر روي شبکه کار آساني نخواهد بود . برنامه هاي فوق به صورت passive در شبکه عمل نموده و به سادگي اقدام به جمع آوري بسته هاي اطلاعاتي مي نمايند .خوشبختانه ، امروزه با استفاده از روش هائي مي توان وجود احتمالي يک packet sniffer را در شبکه تشخيص داد .

روش هاي تشخيص packet sniffing در شبکه

همانگونه که اشاره گرديد تشخيص اين موضوع که يک فرد در يک بازه زماني محدود و همزمان با حرکت بسته هاي اطلاعاتي در شبکه از يک packet sniffer استفاده مي نمايد ، کار مشکلي خواهد بود . با بررسي و آناليز برخي داده ها مي توان تا اندازه اي اين موضوع را تشخيص داد :
• استفاده از امکانات ارائه شده توسط برخي نرم افزارها : در صورتي که مهاجمان داراي منابع محدودي باشند ممکن است از برنامه کاربردي Network Monitor براي packet sniffing استفاده نمايند . يک نسخه محدود از Network Monitor به همراه ويندوز NT و 2000 و يک نسخه کامل از آن به همراه SMS Server ارائه شده است . برنامه فوق ، گزينه اي مناسب براي مهاجماني است که مي خواهند در کوتاه ترين زمان به اهداف خود دست يابند چراکه استفاده از آن در مقايسه با ساير نرم افزارهاي مشابه راحت تر است . خوشبختانه مي توان بسادگي از اجراي اين برنامه توسط ساير کاربران در يک شبکه ، آگاهي يافت . بدين منظور کافي است از طريق منوي Tools گزينه Identify Network Monitor Users را انتخاب نمود .
• بررسي سرويس دهنده DNS : در صورتي که مهاجمان از يکي از صدها نرم افزار ارائه شده براي packet sniffing استفاده نمايند ، امکان تشخيص سريع آن همانند برنامه Network Monitor وجود نخواهد داشت . توجه داشته باشيد که يک روش صدرصد تضميني به منظور تشخيص وجود يک برنامه packet sniffing در شبکه وجود ندارد ولي با مشاهده نشانه هائي خاص مي توان احتمال وجود packet sniffing در شبکه را تشخيص داد . شايد بهترين نشانه وجود يک packet sniffing در شبکه به بانک اطلاعاتي سرويس دهنده DNS برگردد . سرويس دهنده DNS وظيفه جستجو در بانک اطلاعاتي به منظور يافتن نام host و برگرداندن آدرس IP مربوطه را بر عهده دارد . در صورتي که مهاجمي يک packet sniffing را اجراء نمايد که اسامي host را نمايش مي دهد ( اکثر آنان چنين کاري را انجام مي دهند ) ، ماشيني که فرآيند packet sniffing را انجام مي دهد يک حجم بالا از درخواست هاي DNS را اجراء مي نمايد . در مرحله اول سعي نمائيد ماشيني را که تعداد زيادي درخواست هاي DNS lookups را انجام مي دهد ، بررسي نمائيد . با اين که وجود حجم بالائي از درخواست هاي DNS lookup به تنهائي نشاندهنده packet sniffing نمي باشد ولي مي تواند به عنوان نشانه اي مناسب در اين زمينه مطرح گردد . در صورتي که به يک ماشين خاص در شبکه مشکوک شده ايد ، سعي نمائيد يک ماشين طعمه را پيکربندي و آماده نمائيد . ماشين فوق يک کامپيوتر شخصي است که کاربران از وجود آن آگاهي ندارد . پس از اتصال اين نوع کامپيوترها به شبکه ، يک حجم بالا ي ترافيک بر روي شبکه را ايجاد نموده و به موازات انجام اين کار درخواست هاي DNS را بررسي نمائيد تا مشخص گردد که آيا ماشين مشکوک يک درخواست DNS را بر روي ماشين طعمه انجام مي دهد . در صورتي که اينچنين است مي توان با اطمينان گفت که ماشين مشکوک همان ماشين packet sniffing است .
• اندازه گيري زمان پاسخ ماشين هاي مشکوک : يکي ديگر از روش هاي متداول براي شناسائي افرادي که از packet sniffing استفاده مي نمايند ، اندازه گيري زمان پاسخ ماشين مشکوک است . روش فوق مستلزم دقت زياد و تا اندازه اي غيرمطمئن است . بدين منظور از دستور Ping ماشين مشکوک به منظور اندازه گيري مدت زمان پاسخ استفاده مي شود . بخاطر داشته باشيد فردي که عمليات packet sniffing را انجام مي دهد تمامي بسته هاي اطلاعاتي را کپي نخواهد کرد ، چراکه حجم اطلاعات افزايش خواهد يافت . آنان با تعريف يک فيلتر مناسب، صرفا" بسته هاي اطلاعاتي مورد علاقه خود را تکثير مي نمايند (نظير آناني که براي تائيد کاربران استفاده مي گردد ) . بنابراين از تعدادي از همکاران خود بخواهيد که چندين مرتبه عمليات log in و log out را انجام داده و در اين همين وضعيت مدت زمان پاسخ کامپيوتر مشکوک را محاسبه نمائيد . در صورتي که مدت زمان پاسخ زياد تغيير نکند ، آن ماشين احتمالا" عمليات packet sniffing را انجام نمي دهد ولي در صورتي که زمان پاسخ کند گردد ، اين احتمال وجود خواهد داشت که ماشين مشکوک شناسائي شده باشد.
• استفاده از ابزارهاي مختص AntiSniff : شرکت هاي متعددي اقدام به طراحي و پياده سازي نرم افزارهائي به منظور رديابي و شناسائي packet sniffing نموده اند . برنامه هاي فوق از روش هاي اشاره شده و ساير روش هاي موجود به منظور شناسائي packet sniffing در يک شبکه استفاده مي نمايند .