Man in the middle attack ( هجمه الرجل في المنتصف )

Cyber Attacks
هل يمكن اختراقي بدون علمي او يمكن للهاكر التحكم بي عن طريق الشبكه و DNS و الحصول علي جميع بيانتي و التحكم باتصالي بالانترنت و التحكم في Response ؟
Ahmad Ashraf
May 15, 2023, 6 p.m.
ahmed_ashraf
Man in the middle attack ( هجمه الرجل في المنتصف )

مقدمة

هجمه الرجل في المنتصف: هو مصطلح عام حيث يقف الهاكر بين الضحيه و بين الانترنت وهو شكلاً من أشكال التنصت حيث تتم مراقبة الاتصال بين اثنين من المستخدمين وتعديله بواسطة طرف غير مصرح به بشكل عام ، يقوم الهاكر بالتنصت بنشاط من خلال اعتراض تبادل رسائل المفتاح العام وإعادة إرسال الرسالة أثناء استبدال المفتاح المطلوب بمفرده كما بالصورة.


Credit by: Beagle security

الهدف من الهجوم :هو سرقة المعلومات الشخصية ، مثل بيانات اعتماد تسجيل الدخول وتفاصيل الحساب وأرقام بطاقات الائتمان عادةً ما تكون الأهداف هي مستخدمي التطبيقات المالية وشركات ومواقع التجارة الإلكترونية ومواقع الويب الأخرى التي يلزم تسجيل الدخول إليها و هذا الهجوم يعد من اخطر الهجمات الالكترونية ، و للعلم ان هذا الهجوم يستغرق قليل من الوقت من 10 -15 دقيقه.

انواع هجوم (MITM) :

  • Email Hijacking

  • WIFI Eavesdropping

  • Session Hijacking

  • ARP Spoofing

  • DNS Spoofing

Email Hijacking (1

يستهدف المتسلل حسابات البريد الإلكتروني للمؤسسة ، وخاصة المؤسسات المالية والقطاعات المصرفية ، وأحيانًا الأفراد مثلي ومثلك. بمجرد وصولهم ، سيرصدون المعاملات عن كثب لجعل هجومهم أكثر إقناعًا

على سبيل المثال ، ينتظرون بصبر ، وبمجرد أن تتاح لهم الفرصة حيث يتواصل العميل بشأن إرسال الأموال ، فسوف ينتحلون عنوان البريد الإلكتروني للشركة عن طريق إضافة تفاصيلهم المصرفية بدلاً من تفاصيل الشركة بهذه الطريقة ، سيعتقد العميل أنه يرسل أمواله إلى المؤسسة ، ولكن في الواقع ، يتم إرسال الأموال إلى المخترق

WIFI Eavesdropping (2

يحدث هجوم التنصت عندما يعترض أحد المتطفلين البيانات التي يتم ارسالها بين جهازين او يحذفها او يعدلها

كيف يحدث هذا الهجوم ؟

يحدث هذا عادةً عندما يتصل المستخدم بشبكة لا يتم فيها تأمين حركة المرور أو تشفيرها وإرسال بيانات عمل حساسة إلى زميل. يتم نقل البيانات عبر شبكة مفتوحة ، مما يمنح المهاجم الفرصة لاستغلال ثغرة أمنية واعتراضها عبر طرق مختلفة غالبًا ما يكون من الصعب اكتشاف هجمات التنصت على عكس الأشكال الأخرى للهجمات الإلكترونية ، فإن وجود خطأ أو جهاز استماع قد لا يؤثر سلبًا على أداء الأجهزة والشبكات

 

Session Hijacking (3 

احيانا نقوم بالدخول الي بعض المواقع و نقوم بإدخال كلمات السر اذا كان الموقع يطلب هذا او حتي مجرد الدخول الي صفحات تتولد جلسه و فائده هذه الجلسه عند التنقل من صفحه لصفحه اخري تجعلك لا تفقد معلوماتك كزائر او عضو مثال اخر عند دخولك ROOT –X منصه

و تتنقل بين المواضيع المختلفه لا يطلب من التسجيل مره اخري في كل مره لأنه تم انشاء جلسه لك بمجرد اغلاق المتصفح تتدمر الجلسه

Session hijacking : او ما يعرف ب اقتحام الجلسات يشير الي الاستيلاء علي الجلسه لاستغلال جلسه جهاز صالحه

خطوات الاستیلاء على الجلسة Steps in session hijacking:

a) تتبع الاتصال Tracking the connection
b) إعادة مزامنة الاتصال Desynchronizing the connection

c) حقن حزم المھاجم Injecting the attacker’s packet

 

ARP Spoofing (4

يجب أن يكون للمهاجم حق الوصول إلى الشبكة. يقومون بفحص الشبكة لتحديد عناوين IP لجهازين على الأقل - لنفترض أن هذه هي محطة عمل وجهاز توجيه يستخدم المهاجم أداة انتحال ، مثل Arpspoof أو Driftnet ، لإرسال استجابات ARPمزورة تعلن الاستجابات المزيفة أن عنوان MAC الصحيح لكل من عناوين IP، التي تنتمي إلى جهاز التوجيه ومحطة العمل ، هو عنوان MAC الخاص بالمهاجم هذا يخدع كلاً من جهاز التوجيه ومحطة العمل للاتصال بجهاز المهاجم ، بدلاً من الاتصال ببعضهما البعض يقوم الجهازان بتحديث إدخالات ذاكرة التخزين المؤقت ARP الخاصة بهما ومن تلك النقطة فصاعدًا ، يتواصلان مع المهاجم بدلاً من الاتصال المباشر ببعضهما البعض المهاجم الآن في وسط جميع الاتصالات سرًا.

 

DNS Spoofing (5

ما هو DNS ؟

Domain Name System أو في بعض الأحيان Domain Name Service و اختصارًا DNS هوعبارة عن نظام نستخدمه طوال الوقت أثناء تصفحنا للإنترنت

يقوم هذا النظام بربط الدومين Domain بعنوان برتوكول الإنترنت IP ADDRESS لنستطيع من خلاله التصفح بدون الحاجة إلى حفظ أرقام الـ IP الخاصة بكل موقع

حيث تم اختراعه لتسهيل التصفح علينا، فالحواسيب لا تستجيب إلا للأرقام فقط (وأقصد هنا أرقام عناوين الـ IP)، ولكننا كبشر غير قادرين بالتأكيد على حفظ أرقام الـ IP الخاصة بكل المواقع التي نستخدمها

ما هو Cache poisoning ؟

يشبه إفساد ذاكرة التخزين المؤقت لنظام أسماء النطاقات الانتحال ، ولكنه يأخذ الهجوم خطوة أخرى إلى الأمام من خلال إصابة ذاكرة التخزين المؤقت لمحلل نظام أسماء النطاقات للجهاز تم تصميم أدوات حل DNS لحفظ استجابات عنوان IP لفترة معينة بعد الطلب الأولي ، مما يسمح لهم بالاستجابة للطلبات المستقبلية بشكل أسرع.

يمكن للقراصنة أن يفسدوا ذاكرة التخزين المؤقت لوحدة الحل عن طريق تغيير البيانات المخزنة مباشرة أو خداعها لتخزين استجابة مزورة. على سبيل المثال ، يمكن للمهاجم تغيير عنوان IP

المخزن لـ إلى عنوان يؤدي إلى موقع مزيف يمتلكه عندما يبحث المستخدم عن Twitter.com يستخدم المحلل البيانات المزورة لإرساله إلى موقع مزيف في كل مرة يحاول فيها الوصول إليه

 

 

Credit by :DNS filter

 

 ما هو DNS Spoofing ؟

هو نوع من الهجمات الإلكترونية التي تستخدم بيانات خادم DNS تم التلاعب بها لإعادة توجيه المستخدمين إلى مواقع ويب مزيفةغالبًا ما تبدو هذه المواقع الضارة شرعية ولكنها مصممة بالفعل لتثبيت برامج ضارة على أجهزة المستخدمين أو سرقة البيانات الحساسة أو إعادة توجيه حركة المرور Traffic

 

 كيف يعمل  DNS Spoofing ؟

هناك عدة طرق يمكن للمهاجمين استخدامها لتنفيذ هجمات انتحالDNS ، لكنهم جميعًا يشتركون في نفس الهدف – لخداع المستخدمين وخوادمهم للاعتقاد بأن موقع الويب الاحتيالي مشروع

للقيام بذلك ، عادةً ما يتبع المهاجمون هذه الخطوات الثلاث :

  • الخطوة ١:

    الوصول إلى خادم DNS

    قبل أن يتمكن المتسلل من تنفيذ هذا الهجوم ، فإنه يحتاج إلى الوصول إلى خادم DNS أو Cache poisoning

    تتضمن هذه العملية تحديد إصدار برنامج خادم DNSوعنوان MAC والمسح بحثًا عن نقاط الضعف وتحديد ما إذا كان يستخدم :DNSSEC : امتدادات أمان نظام اسم المجال أو تشفير DNS  لسوء الحظ ، فإن معظم استعلامات واستجابات غير محمية ، مما يسهل على المهاجمين الوصول وإعادة توجيه حركة المرور Traffic إلى خادم يتحكمون فيه

     الخطوة٢:

    إعادة توجيه الاتصالات بمجرد أن يتمكن المهاجم من الوصول إلى خادم DNS أو محلل ، يمكنه استبدال عناوين  المخزنة بأخرى مزيفة. نظرًا لأن هذه الأنظمة لا يمكنها التمييز بين عنوان IP

    شرعي وآخر ضار ، يمكن للمهاجمين خداعهم لتخزين إدخال مخادع يؤدي إلى موقع ويب ضار بمجرداكتمال هذه العملية ،يظل الإدخال المخادع في النظام ويوجه أي شخص متصل بالخادم إلى الموقع الضار بدلاً من الموقع الشرعي

     الخطوة ٣:

    الوصول إلى البيانات الحساسة بمجرد وصول المستخدم إلى موقع ويب ضار ، قد يطالبه بإدخال معلومات تسجيل الدخول الخاصة به كما يفعل عادةً. نظرًا لأن الموقع المزيف يشبه تمامًا الموقع الشرعي ، فليس لدى الضحية أي فكرة عن تسليم معلومات حساسة إلى المهاجم. يمكن للمهاجمين أيضًا استخدام انتحال نظام أسماء النطاقات لتثبيت برامج ضارة على جهاز المستخدم أو إعادة توجيه حركة المرور إلى مواقع التصيد الاحتيالي. هذا شائع بشكل خاص في مواقع التسوق والخدمات المصرفية عبر الإنترنت

 

كيفية منع DNS Spoofing و Cache Poisoning ؟

قد يكون من الصعب منع DNS spoofing and cache poisoning نظرًا لأنها يمكن أن تؤثر على كل من أجهزة DNS المستخدم وخوادم DNS ومع ذلك ، يمكن للأفراد والشركات اتخاذ خطوات لتقليل خطر الوقوع ضحية أي هجوم

وذلك عن طريق الاتي :

  1.     لا تنقر أبدًا على روابط غير مألوفة :

    غالبًا ما تعرض مواقع الويب الضارة إعلانات أو إعلامات مزيفة تطالبك بالنقر فوق ارتباط. من خلال النقر على روابط غير مألوفة ، قد يعرض جهازك لفيروسات خطيرة وبرامج ضارة أخرى إذا لاحظت ارتباطًا أو إعلانًا غير مألوف على موقع ويب تستخدمه عادةً ، فمن الأفضل تجنبه

  2. البحث عن البرامج الضارة وإزالتها بأستمرار

  3. إعداد DNS Secعلي نظام التشغيل OS
  4. استخدم VPN:

    الشبكة الافتراضية الخاصة (VPN) هي إجراء أمني إضافي يمنع المهاجمين من تتبع نشاطك على الإنترنت. بدلاً من توصيل أجهزتك بالخادم المحلي لموفر الإنترنت الخاص بك ، تتصل VPN بخوادم DNS الخاصة حول العالم التي تستخدم طلبات مشفرة من طرف إلى طرف. هذا يمنع المهاجمين من اعتراض حركة المرور ويوصلك بخوادم DNS المحمية بشكل أفضل من انتحال DNS

  5. تحقق من أن اتصالك بالانترنت آمن

 

References


Man in the middle mitm MITM هجوم