الرئيسية » Cisco » هجوم الـ ARP Spoofing وكيفية التصدي له ؟

هجوم الـ ARP Spoofing وكيفية التصدي له ؟

تدوينتي لهذا اليوم لمحبي الأمن والحماية والتي سوف أتكلم فيها عن نوع جديد من أنواع الهجمات التى تستهدف الشبكات على مستوى الطبقة الثانية وهو هجوم الـ ARP Spoofing أحد أكثر الهجمات شيوعا وخطورة على الشبكة والتى توصلنا إلى مايعرف بي الـ Man In The Middle.

مقدمة
قبل أن يبدأ أي جهازان موجودان على الشبكة الأتصال فيما بينهم يتوجب على كل واحد منهم أن يعلم العنوان الفيزيائي الخاص بالآخر والذي نعرفه بي الماك أدريس لذا ومن هذا السياق تم إيجاد بروتوكول خاص بهذه العملية ويدعى ARP Protocol وظيفة هذا البروتوكول هي أرسال طلب ARP Request إلى الشبكة على شكل Broadcast يسأل فيها عن العنوان الفيزيائي لأيبي معين يريد الأتصال معه وبدوره ينتشر هذا الـ Broadcast على كل الشبكة حتى يصل إلى وجهته المقصودة (الأيبي) وعندما يصل هذا الطلب يرد عليه الجهاز المقصود بالماك أدريس الخاص فيه على شكل ARP Replay لكن هذه المرة يكون الرد Unicast وبتلك الطريقة يبدأ الجهازان التواصل مع بعضهما البعض وهذه صورة توضيحية لسير العملية :

فكرة الهجوم
دائما ما تكون فكرة الهجوم هي أبسط شيء في عملية الأختراق فبعد وصول الرد من الجهاز يتم حفظ هذا الماك أدريس والأيبي الخاص به في جدول يدعى الـ Arp Table حتى لو في حال أراد الأتصال معه مرة آخرى يتم الرجوع إلى الجدول وهي عادة تكون مؤقتة تزول مع عملية أغلاق جهاز الكمبيوتر ومن هنا يبدا المخترق هجومه اللعين فهو ببساطة يقوم بأرسال ARP Replay مزور لأحد الأجهزة الموجودة على الشبكة معلما أياه بأن الماك أدريس الخاص بأحد الأيبيات عنوانه كذا وكآن الموضوع تم من خلال طلب من الجهاز المراد أختراقه والنتيجة سوف تكون التعديل على جدول الـ ARP وتغيير العنوان الفيزيائي لأحد الأيبيات والتى عادة ما تكون الـ Gateway الخاص بالشبكة لذا ومن هذا المنطلق يبدأ الجهاز المخترق بأرسال بياناته وطلباته إلى جهاز المخترق وكأنه هو الروتر ومن ناحية المخترق كل مايقوم به هو أعادة توجيه هذه البيانات إلى وجهتها الحقيقية أي إلى الروتر مستغلا مرور البيانات جميعها من خلال جهازه وبالتالي تمكن من تحويل جهازه إلى MITM وسوف يتمكن من مشاهدة وقراءة كل الترافيك العابر من الجهاز المخترق إلى الروتر وطبعا المخترق لن ينسى أن يرسل طلب مزور آخر إلى الروتر معلما أياه بأن العنوان الفيزيائي للجهاز المخترق هو أيبي الجهاز الخاص به لنشاهد هذه الصورة التوضيحية أولا :

الأدواة المستخدمة في الهجوم
لهذا النوع من الهجمات الكثير من الآدوات وآشهرها آداة ettercap , dsniff وطبعا البرنامج الذي يزعج الكثير من مشتركي الانترنت netcut وأن كان لايقوم بتنفيذ مثل هذا النوع من الهجوم لكن فكرته واحده وهي قطع الأنترنت عن المستخدمين من خلال تغيير العنوان الفيزيائي للـ Gateway والخ…. وأغلب هذه البرامج لاتحتاج إلى أحترافية في الأستخدام مجرد بضع ضغطات وينتهي الأمر.

الحماية من هذا النوع من الهجمات
على مستوى المستخدم: لحمايتك من هذا النوع من الهجمات الخبيثة يفضل دائما أن تقوم بعمل Static ARP للـ Gateway الخاص بالشبكة وقد تحدثت عن هذا الموضوع بالتفصيل الممل على الرابط التالي وفيه شرحت كيفية أعدادها على أجهزة سيسكو وجونيبر ومايكروسوفت ولينوكس لذا أحرص دائما على القيام بهذا الأمر لو شككت بالأشخاص الموجودين معك على الشبكة .
ولو في حال اردت الأتصال بأحد الأجهزة أو سيرفرات الموجودة على السيرفر عن بعد بأن تستخدم الـ SSH كخيار يؤمن لك سرية كاملة لكل بياناتك لو في حال تم أعتراضه من قبل أحد المخربين
وهناك بعض الأدوات الأحترافية التى تساعدك في عملية مراقبة الترافيك الخاص بالشبكة وأخص بهم برنامج Snort وبرنامج XARP والذي يؤدي وظيفة مهمة جدا وهي مراقبة عملية الـ Mapping التى تحدث على الـ ARP Cache .

على مستوى الشبكة : قدمت سيسكو لمثل هذا النوع من الهجمات خاصية تدعى dynamic ARP inspection (DAI) والتى يشترط تفعيلها على السويتش تفعيل خاصية الـ DHCP Snooping التى تحدثنا عنها في آخر تدوينة خاصة بالأمن والحماية على الرابط التالي

كيف تعمل خاصية الـ DAI
تعتمد هذه الخاصية كما ذكرت على وجود خاصية الـ DHCP Snooping فعند تفعيل خاصية الـ DAI يلجأ هو بدوره إلى الجدول الخاص بي الـ DHCP Snooping لكي يتأكد ويصادق على الـ ARP Packet الواصلة إلى السويتش من خلال المنفذ المخصص له وبكلام آخر عندما يتم توزيع الأيبي على الأجهزة يقوم الـ DHCP Snooping بعمل جدول يوضح الأيبي الذي تم أرساله من سيرفر الـ DHCP ويربطه برقم المنفذ والماك أدريس الخاص فيه وهذه صورة توضيحية للجدول

والذي يستفيد منه الـ DAI لكي يتأكد من أن الـ ARP Packet مطابقة لهذه المعطيات .

الأعدادات

Cisco's IOS
Switch >en
Switch #conf t
Switch(config)# ip arp inspection vlan 10

أرجو أن تلاحظ أن تفعيل هذه الخاصية يتم على مستوى الـ Vlan ولو في حال أردنا ضم أكثر من Vlan نضع فاصلة ونكتب باقي الـ Vlan مثل 10,11,12,25,112,300 وآخيرا نقوم بكتابة الأمر التالي على المنافذ المتصلة مع اجهزة موثوقة مثل سويتشات آخرى على سبيل المثال

Cisco's IOS
Switch >en
Switch #conf t
Switch(config)#interface fastethernet 0/0
Switch(config)# ip arp inspection trust

وللتأكد من حالة المنافذ والخاصية

Cisco's IOS
show ip arp inspection statistics vlan 10

عند هذه النقطة أودعكم وأتمنى لكم حسن المتابعة ودوام العافية ولاتنسونا من دعواتكم دوما ولي عودة آخرى مع مواضيع الـ Spoofing ودمتم بود

Print Friendly, PDF & Email

عن Ayman Alnaimi أيمن النعيمي

مهندس كمبيوتر سوري ومقيم حاليا في قطر , باحث ومطور للمحتوى العربي على الأنترنت, أهدف إلى رفع مستوى الأمة العربية ومساعدتها في النهضة العلمية, أغلب أهتماماتي في الشبكات وتحديدا الهاردوير منها وأقضى معظم وقتي في القراءة والدراسة والعمل وأؤمن بأن الثورة لو كانت لتكون فهي تبدأ بالقراءة ويليها الكتابة وبدون الآخيرة لن يكون هناك ثورة. للتواصل admin@networkset.net & networkset@hotmail.com

13 تعليق

  1. أستاذ أيمن والله أبداع وبلا حدود ونبع علم لاينضب أبدا
    اتمنى أن تحافظ على هذا النهج أكبر قدر ممن لانك مكسب حقيقي لكل دارس في مجال الشبكات
    وفقك الله لما تحب وترضى

  2. الله يجزيك الخير
    وشكرا على المعلومات

  3. شكرا على الشرح أرجو ان تستمر في تقديم مثل هذه التدونات
    أخوك قاسم

  4. بارك الله فيك

  5. والله كلمات الشكر قليلة في حقك ، يا أخ أيمن.
    جعل الله هذا العمل مقبولا في ميزان حسناتك.
    تقبل تحياتي

  6. جزاك الله الخير يا ايمن

  7. بس استاذي انا بعرف انو بورتات الراوتر مالها mac

  8. ayman==>من قال لك هذا ؟ ❓

  9. اسامة الكمري

    😉 موضوع شيق، واصل وفقك الله.

  10. أقولك:
    الله يخلف عليك
    وبارك الله فيك

    فعلا استفدت

  11. من قال لاخية جزاك الله خيرا فقد ابلغ في الثناء
    او كما قال رسول الله صلي الله علية وسلم

    فجزاك الله خيرا
    ودائما الي التميز والابداع

  12. شكرا عالمعلومات القيمة

أضف رد على أمجد إلغاء الرد

لن يتم نشر البريد الإلكتروني . الحقول المطلوبة مشار لها بـ *

*

x

‎قد يُعجبك أيضاً

حل مشكلة error 27850 عند تنصيب Cisco VPN Client

مقال سريع لتوثيق مشكلة صادفتني وقمت بحلها بخطوتان وهي تنصيب برنامج سيسكو الخاص بالـ VPN ...

مقارنة بين أنظمة سيسكو IOS و IOS-XR و IOS-XE و NX-OS

في هذا المقال سوف نتعرف سوياً على جميع الأنظمة التشغيلية التى قامت سيسكو بتطويرها وهي ...

أكثر الشهادات طلباً في مجال الأمن والحماية

نستكمل اليوم الحديث عن أفضل الشهادات العلمية واليوم سوف يكون حديثنا عن شهادات الأمن والحماية ...