Man in the middle attack ( هجمه الرجل في المنتصف )
مقدمة
هجمه الرجل في المنتصف: هو مصطلح عام حيث يقف الهاكر بين الضحيه و بين الانترنت وهو شكلاً من أشكال التنصت حيث تتم مراقبة الاتصال بين اثنين من المستخدمين وتعديله بواسطة طرف غير مصرح به بشكل عام ، يقوم الهاكر بالتنصت بنشاط من خلال اعتراض تبادل رسائل المفتاح العام وإعادة إرسال الرسالة أثناء استبدال المفتاح المطلوب بمفرده كما بالصورة.
Credit by: Beagle security
الهدف من الهجوم :هو سرقة المعلومات الشخصية ، مثل بيانات اعتماد تسجيل الدخول وتفاصيل الحساب وأرقام بطاقات الائتمان عادةً ما تكون الأهداف هي مستخدمي التطبيقات المالية وشركات ومواقع التجارة الإلكترونية ومواقع الويب الأخرى التي يلزم تسجيل الدخول إليها و هذا الهجوم يعد من اخطر الهجمات الالكترونية ، و للعلم ان هذا الهجوم يستغرق قليل من الوقت من 10 -15 دقيقه.
انواع هجوم (MITM) :
-
Email Hijacking
-
WIFI Eavesdropping
-
Session Hijacking
-
ARP Spoofing
-
DNS Spoofing
Email Hijacking (1
يستهدف المتسلل حسابات البريد الإلكتروني للمؤسسة ، وخاصة المؤسسات المالية والقطاعات المصرفية ، وأحيانًا الأفراد مثلي ومثلك. بمجرد وصولهم ، سيرصدون المعاملات عن كثب لجعل هجومهم أكثر إقناعًا
على سبيل المثال ، ينتظرون بصبر ، وبمجرد أن تتاح لهم الفرصة حيث يتواصل العميل بشأن إرسال الأموال ، فسوف ينتحلون عنوان البريد الإلكتروني للشركة عن طريق إضافة تفاصيلهم المصرفية بدلاً من تفاصيل الشركة بهذه الطريقة ، سيعتقد العميل أنه يرسل أمواله إلى المؤسسة ، ولكن في الواقع ، يتم إرسال الأموال إلى المخترق
WIFI Eavesdropping (2
يحدث هجوم التنصت عندما يعترض أحد المتطفلين البيانات التي يتم ارسالها بين جهازين او يحذفها او يعدلها
كيف يحدث هذا الهجوم ؟
يحدث هذا عادةً عندما يتصل المستخدم بشبكة لا يتم فيها تأمين حركة المرور أو تشفيرها وإرسال بيانات عمل حساسة إلى زميل. يتم نقل البيانات عبر شبكة مفتوحة ، مما يمنح المهاجم الفرصة لاستغلال ثغرة أمنية واعتراضها عبر طرق مختلفة غالبًا ما يكون من الصعب اكتشاف هجمات التنصت على عكس الأشكال الأخرى للهجمات الإلكترونية ، فإن وجود خطأ أو جهاز استماع قد لا يؤثر سلبًا على أداء الأجهزة والشبكات
Session Hijacking (3
احيانا نقوم بالدخول الي بعض المواقع و نقوم بإدخال كلمات السر اذا كان الموقع يطلب هذا او حتي مجرد الدخول الي صفحات تتولد جلسه و فائده هذه الجلسه عند التنقل من صفحه لصفحه اخري تجعلك لا تفقد معلوماتك كزائر او عضو مثال اخر عند دخولك ROOT –X منصه
و تتنقل بين المواضيع المختلفه لا يطلب من التسجيل مره اخري في كل مره لأنه تم انشاء جلسه لك بمجرد اغلاق المتصفح تتدمر الجلسه
Session hijacking : او ما يعرف ب اقتحام الجلسات يشير الي الاستيلاء علي الجلسه لاستغلال جلسه جهاز صالحه
خطوات الاستیلاء على الجلسة Steps in session hijacking:
a) تتبع الاتصال Tracking the connection
b) إعادة مزامنة الاتصال Desynchronizing the connection
c) حقن حزم المھاجم Injecting the attacker’s packet
ARP Spoofing (4
يجب أن يكون للمهاجم حق الوصول إلى الشبكة. يقومون بفحص الشبكة لتحديد عناوين IP لجهازين على الأقل - لنفترض أن هذه هي محطة عمل وجهاز توجيه يستخدم المهاجم أداة انتحال ، مثل Arpspoof أو Driftnet ، لإرسال استجابات ARPمزورة تعلن الاستجابات المزيفة أن عنوان MAC الصحيح لكل من عناوين IP، التي تنتمي إلى جهاز التوجيه ومحطة العمل ، هو عنوان MAC الخاص بالمهاجم هذا يخدع كلاً من جهاز التوجيه ومحطة العمل للاتصال بجهاز المهاجم ، بدلاً من الاتصال ببعضهما البعض يقوم الجهازان بتحديث إدخالات ذاكرة التخزين المؤقت ARP الخاصة بهما ومن تلك النقطة فصاعدًا ، يتواصلان مع المهاجم بدلاً من الاتصال المباشر ببعضهما البعض المهاجم الآن في وسط جميع الاتصالات سرًا.
DNS Spoofing (5
ما هو DNS ؟
Domain Name System أو في بعض الأحيان Domain Name Service و اختصارًا DNS هوعبارة عن نظام نستخدمه طوال الوقت أثناء تصفحنا للإنترنت
يقوم هذا النظام بربط الدومين Domain بعنوان برتوكول الإنترنت IP ADDRESS لنستطيع من خلاله التصفح بدون الحاجة إلى حفظ أرقام الـ IP الخاصة بكل موقع
حيث تم اختراعه لتسهيل التصفح علينا، فالحواسيب لا تستجيب إلا للأرقام فقط (وأقصد هنا أرقام عناوين الـ IP)، ولكننا كبشر غير قادرين بالتأكيد على حفظ أرقام الـ IP الخاصة بكل المواقع التي نستخدمها
ما هو Cache poisoning ؟
يشبه إفساد ذاكرة التخزين المؤقت لنظام أسماء النطاقات الانتحال ، ولكنه يأخذ الهجوم خطوة أخرى إلى الأمام من خلال إصابة ذاكرة التخزين المؤقت لمحلل نظام أسماء النطاقات للجهاز تم تصميم أدوات حل DNS لحفظ استجابات عنوان IP لفترة معينة بعد الطلب الأولي ، مما يسمح لهم بالاستجابة للطلبات المستقبلية بشكل أسرع.
يمكن للقراصنة أن يفسدوا ذاكرة التخزين المؤقت لوحدة الحل عن طريق تغيير البيانات المخزنة مباشرة أو خداعها لتخزين استجابة مزورة. على سبيل المثال ، يمكن للمهاجم تغيير عنوان IP
المخزن لـ إلى عنوان يؤدي إلى موقع مزيف يمتلكه عندما يبحث المستخدم عن Twitter.com يستخدم المحلل البيانات المزورة لإرساله إلى موقع مزيف في كل مرة يحاول فيها الوصول إليه
Credit by :DNS filter
ما هو DNS Spoofing ؟
هو نوع من الهجمات الإلكترونية التي تستخدم بيانات خادم DNS تم التلاعب بها لإعادة توجيه المستخدمين إلى مواقع ويب مزيفةغالبًا ما تبدو هذه المواقع الضارة شرعية ولكنها مصممة بالفعل لتثبيت برامج ضارة على أجهزة المستخدمين أو سرقة البيانات الحساسة أو إعادة توجيه حركة المرور Traffic
كيف يعمل DNS Spoofing ؟
هناك عدة طرق يمكن للمهاجمين استخدامها لتنفيذ هجمات انتحالDNS ، لكنهم جميعًا يشتركون في نفس الهدف – لخداع المستخدمين وخوادمهم للاعتقاد بأن موقع الويب الاحتيالي مشروع
للقيام بذلك ، عادةً ما يتبع المهاجمون هذه الخطوات الثلاث :
-
الخطوة ١:
الوصول إلى خادم DNS
قبل أن يتمكن المتسلل من تنفيذ هذا الهجوم ، فإنه يحتاج إلى الوصول إلى خادم DNS أو Cache poisoning
تتضمن هذه العملية تحديد إصدار برنامج خادم DNSوعنوان MAC والمسح بحثًا عن نقاط الضعف وتحديد ما إذا كان يستخدم :DNSSEC : امتدادات أمان نظام اسم المجال أو تشفير DNS لسوء الحظ ، فإن معظم استعلامات واستجابات غير محمية ، مما يسهل على المهاجمين الوصول وإعادة توجيه حركة المرور Traffic إلى خادم يتحكمون فيه
الخطوة٢:
إعادة توجيه الاتصالات بمجرد أن يتمكن المهاجم من الوصول إلى خادم DNS أو محلل ، يمكنه استبدال عناوين المخزنة بأخرى مزيفة. نظرًا لأن هذه الأنظمة لا يمكنها التمييز بين عنوان IP
شرعي وآخر ضار ، يمكن للمهاجمين خداعهم لتخزين إدخال مخادع يؤدي إلى موقع ويب ضار بمجرداكتمال هذه العملية ،يظل الإدخال المخادع في النظام ويوجه أي شخص متصل بالخادم إلى الموقع الضار بدلاً من الموقع الشرعي
الخطوة ٣:
الوصول إلى البيانات الحساسة بمجرد وصول المستخدم إلى موقع ويب ضار ، قد يطالبه بإدخال معلومات تسجيل الدخول الخاصة به كما يفعل عادةً. نظرًا لأن الموقع المزيف يشبه تمامًا الموقع الشرعي ، فليس لدى الضحية أي فكرة عن تسليم معلومات حساسة إلى المهاجم. يمكن للمهاجمين أيضًا استخدام انتحال نظام أسماء النطاقات لتثبيت برامج ضارة على جهاز المستخدم أو إعادة توجيه حركة المرور إلى مواقع التصيد الاحتيالي. هذا شائع بشكل خاص في مواقع التسوق والخدمات المصرفية عبر الإنترنت
كيفية منع DNS Spoofing و Cache Poisoning ؟
قد يكون من الصعب منع DNS spoofing and cache poisoning نظرًا لأنها يمكن أن تؤثر على كل من أجهزة DNS المستخدم وخوادم DNS ومع ذلك ، يمكن للأفراد والشركات اتخاذ خطوات لتقليل خطر الوقوع ضحية أي هجوم
وذلك عن طريق الاتي :
- لا تنقر أبدًا على روابط غير مألوفة :
غالبًا ما تعرض مواقع الويب الضارة إعلانات أو إعلامات مزيفة تطالبك بالنقر فوق ارتباط. من خلال النقر على روابط غير مألوفة ، قد يعرض جهازك لفيروسات خطيرة وبرامج ضارة أخرى إذا لاحظت ارتباطًا أو إعلانًا غير مألوف على موقع ويب تستخدمه عادةً ، فمن الأفضل تجنبه
-
البحث عن البرامج الضارة وإزالتها بأستمرار
- إعداد DNS Secعلي نظام التشغيل OS
-
استخدم VPN:
الشبكة الافتراضية الخاصة (VPN) هي إجراء أمني إضافي يمنع المهاجمين من تتبع نشاطك على الإنترنت. بدلاً من توصيل أجهزتك بالخادم المحلي لموفر الإنترنت الخاص بك ، تتصل VPN بخوادم DNS الخاصة حول العالم التي تستخدم طلبات مشفرة من طرف إلى طرف. هذا يمنع المهاجمين من اعتراض حركة المرور ويوصلك بخوادم DNS المحمية بشكل أفضل من انتحال DNS
-
تحقق من أن اتصالك بالانترنت آمن
References
- DNS Poisoning Suspected Cause of Huge Internet Outage in China (eweek.com)
- What Is A URL And Why Do They Matter For SEO? - Moz
- History of the Domain Name System (harvard.edu)
- How DNS cache poisoning works | Network World
- DNS cache poisoning, the Internet attack from 2008, is back from the dead | Ars Technica
- DNSSEC – What Is It and Why Is It Important? - ICANN
- DNSFilter: What is a DNS Poisoning attack?
- What Is DNS Spoofing and How Can You Prevent It? - Panda Security Mediacenter