Preview only show first 10 pages with watermark. For full document please download

Ceh Persian هکر قانونمند

Certified Ethical Hacker in Persian کتاب هکر قانونمند به فارسی

   EMBED

  • Rating

  • Date

    May 2016

  • Size

    16.4MB

  • Views

    4,115

  • Categories

    Types Research

Share

Transcript

‫ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ‬ ‫ﻣﻘﺪﻣﻪ‬ ‫‪2‬‬ ‫ﻓﺼﻞ ‪1‬‬ ‫ﻣﻘﺪﻣﻪ اي ﺑﺮ ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ‬ ‫‪3‬‬ ‫ﻓﺼﻞ ‪2‬‬ ‫ﺟﻤﻊ آوري اﻃﻼﻋﺎت و ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‬ ‫‪18‬‬ ‫ﻓﺼﻞ ‪3‬‬ ‫اﺳﻜﻦ و ‪enumeration‬‬ ‫‪36‬‬ ‫ﻓﺼﻞ ‪4‬‬ ‫ﻫﻚ ﺳﻴﺴﺘﻢ‬ ‫‪61‬‬ ‫ﻓﺼﻞ ‪5‬‬ ‫‪Worm ،Virus ،Backdoor ،Trojan‬‬ ‫‪87‬‬ ‫ﻓﺼﻞ ‪6‬‬ ‫‪ Sniffer‬ﻫﺎ‬ ‫‪108‬‬ ‫ﻓﺼﻞ ‪7‬‬ ‫‪ Session hijacking‬و ‪Denial of Service‬‬ ‫‪122‬‬ ‫ﻓﺼﻞ ‪8‬‬ ‫ﻫﻚ وب ﺳﺮورﻫﺎ‪ ،‬آﺳﻴﺐ ﭘﺬﻳﺮي ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب‪ ،‬و ﺗﻜﻨﻴﻚ ﻫﺎي ﺷﻜﺴﺘﻦ‬ ‫ﭘﺴﻮردﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ وب‬ ‫‪142‬‬ ‫ﻓﺼﻞ ‪9‬‬ ‫‪ Buffer Overflow‬و ‪SQL Injection‬‬ ‫‪164‬‬ ‫ﻓﺼﻞ ‪10‬‬ ‫ﻫﻚ ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ‬ ‫‪178‬‬ ‫ﻓﺼﻞ ‪11‬‬ ‫اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ‬ ‫‪189‬‬ ‫ﻓﺼﻞ ‪12‬‬ ‫ﻫﻚ ﻟﻴﻨﻮﻛﺲ‬ ‫‪200‬‬ ‫ﻓﺼﻞ ‪13‬‬ ‫ﮔﺮﻳﺰ از ‪ IDS‬ﻫﺎ‪ honeypot ،‬ﻫﺎ‪ ،‬و ﻓﺎﻳﺮوال ﻫﺎ‬ ‫‪211‬‬ ‫ﻓﺼﻞ ‪14‬‬ ‫رﻣﺰﻧﮕﺎري‬ ‫‪223‬‬ ‫ﻓﺼﻞ ‪15‬‬ ‫روش ﻫﺎي ﺗﺴﺖ ﻧﻔﻮذ‬ ‫‪229‬‬ ‫ﻣﻘﺪﻣﻪ‬ ‫ﻳﻜﻲ از ﻣﻌﺮوفﺗﺮﻳﻦ و ﻛﺎرﺑﺮديﺗﺮﻳﻦ ﻣﺪارك اﻣﻨﻴﺖ‪ ،‬ﻣﺪرك ‪ CEH‬ﻳﺎ ﻣﺪرك ﺗﺨﺼﺼﻲ ﻫﻜﺮﻫﺎي‬ ‫ﻗﺎﻧﻮﻧﻤﻨﺪ اﺳﺖ‪ .‬ﻣﺪرك ‪ ،CEH‬ﻣﺪرﻛﻲ اﻣﻨﻴﺘﻲ ﺑﻪ ﻣﻨﻈﻮر ارزﻳﺎﺑﻲ ﻣﻬﺎرت اﻓﺮاد در ﺑﺮﻗﺮاري اﻣﻨﻴﺖ‬ ‫ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬و ﺷﺒﻜﻪﻫﺎي ﺳﺎزﻣﺎﻧﻲ و ﻧﻴﺰ ﻛﻤﻚ ﺑﻪ آﻧﻬﺎ ﺟﻬﺖ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼت و ﻧﻔﻮذﻫﺎي ﻫﻜﺮﻫﺎ اﺳﺖ‪.‬‬ ‫در اﻳﻦ دوره اﻓﺮاد ﺑﺎ ﺗﻜﻨﻴﻚﻫﺎ و روشﻫﺎي ﻫﻚ و ﻧﻴﺰ ﭼﻚ ﻟﻴﺴﺖﻫﺎي اﻣﻨﻴﺘﻲ آﺷﻨﺎ ﺷﺪه و ﻗﺎدر ﺑﻪ‬ ‫ﺑﺮرﺳﻲ وﺿﻌﻴﺖ اﻣﻨﻴﺘﻲ ﺳﻴﺴﺘﻢﻫﺎ و ﺷﺒﻜﻪﻫﺎ ﺧﻮاﻫﻨﺪ ﺑﻮد ﺗﺎ ﻧﻘﺎط ﺿﻌﻒ آﻧﻬﺎ را ﺷﻨﺎﺳﺎﻳﻲ و ﺑﺮﻃﺮف‬ ‫ﺳﺎزﻧﺪ‪.‬‬ ‫ﻛﺘﺎﺑﻲ ﻛﻪ ﭘﻴﺶ رو دارﻳﺪ ﺗﺮﺟﻤﻪ ﻛﺘﺎب رﺳﻤﻲ ‪ CEH‬و ﻧﻴﺰ اﺳﻼﻳﺪﻫﺎي آﻣﻮزﺷﻲ ﻣﺮﺑﻮط ﺑﻪ اﻳﻦ‬ ‫ﻣﺪرك‪ ،‬و ﻧﻴﺰ ﺑﺮﺧﻲ از ﺗﺠﺎرب ﺷﺨﺼﻲ ﺑﻨﺪه اﺳﺖ‪ .‬ﺳﻌﻲ ﺷﺪه اﺳﺖ ﺗﺎﺟﺎﺋﻴﻜﻪ اﻣﻜﺎن دارد ﻣﺘﻦ ﻛﺘﺎب‬ ‫روان ﺑﺎﺷﺪ ﺗﺎ ﻫﺪف اﺻﻠﻲ آن ﻛﻪ اﻧﺘﻘﺎل ﻣﻄﻠﺐ اﺳﺖ‪ ،‬ﺑﻪ درﺳﺘﻲ ﺑﺮآورده ﺷﻮد وﻟﻲ ﻣﻄﻤﺌﻨﺎ اﺷﻜﺎﻻت‬ ‫ﻓﻨﻲ و وﻳﺮاﻳﺸﻲ ﻓﺮاواﻧﻲ دارد ﻛﻪ ﺗﻘﺎﺿﺎ دارم ﺑﻪ اﻃﻼع ﺑﻨﺪه ﺑﺮﺳﺎﻧﻴﺪ ﺗﺎ در ﻧﺴﺨﻪﻫﺎي ﺑﻌﺪي ﻛﺘﺎب‪،‬‬ ‫اﺻﻼح ﻛﻨﻢ‪.‬‬ ‫در ﭘﺎﻳﺎن ﺑﺮ ﺧﻮد ﻻزم ﻣﻲداﻧﻢ ﻛﻪ از ﺗﻤﺎم اﺳﺎﺗﻴﺪي ﻛﻪ ﺑﺮاﻳﻢ زﺣﻤﺖ ﻛﺸﻴﺪهاﻧﺪ ﺑﻪ وﻳﮋه از آﻗﺎﻳﺎن‬ ‫ﻣﻬﻨﺪس راﺳﺘﻲ دوﺳﺖ و ﻣﻬﻨﺪس ﻣﺎﻳﺎن ﻛﻤﺎل ﺗﺸﻜﺮ را داﺷﺘﻪ ﺑﺎﺷﻢ‪ .‬اﻣﻴﺪوارم ﻛﺘﺎب ﺣﺎﺿﺮ ﺑﺘﻮاﻧﺪ‬ ‫ﮔﺎﻣﻲ ﻫﺮ ﭼﻨﺪ ﻛﻮﭼﻜﻲ در ﺟﻬﺖ اﻓﺰاﻳﺶ ﺳﻄﺢ ﻋﻠﻤﻲ ﻫﻤﮕﺎن ﺑﺎﺷﺪ‪.‬‬ ‫ﻣﺤﺴﻦ آذرﻧﮋاد‬ ‫‪[email protected]‬‬ ‫ﺗﺎﺑﺴﺘﺎن ‪90‬‬ ‫ﻓﺼﻞ اول‬ ‫ﻣﻘﺪﻣﻪاي ﺑﺮ ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ‬ ‫ﻣﻘﺪﻣﻪ‬ ‫اﻏﻠﺐ ﻣﺮدم ﻓﻜﺮ ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﻫﻜﺮﻫﺎ‪ ،‬ﻣﻬﺎرت و داﻧﺶ ﺑﺎﻻﻳﻲ دارﻧﺪ ﻛﻪ ﻣﻲﺗﻮاﻧﻨﺪ ﺳﻴﺴﺘﻢﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮي را ﻫﻚ‬ ‫ﻛﻨﻨﺪ و ﻧﻘﺎط آﺳﻴﺐﭘﺬﻳﺮ را ﭘﻴﺪا ﻛﻨﻨﺪ‪ .‬در ﺣﻘﻴﻘﺖ‪ ،‬ﻳﻚ ﻫﻜﺮ ﺧﻮب‪ ،‬ﺗﻨﻬﺎ ﺑﺎﻳﺪ ﻧﺤﻮه ﻛﺎر ﺳﻴﺴﺘﻢ ﻛﺎﻣﭙﻴﻮﺗﺮي را ﺑﺪاﻧﺪ و ﻧﻴﺰ‬ ‫ﺑﺪاﻧﺪ ﻛﻪ از ﭼﻪ اﺑﺰارﻫﺎﻳﻲ ﺑﺮاي ﻳﺎﻓﺘﻦ ﺿﻌﻒﻫﺎي اﻣﻨﻴﺘﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫اﻳﻦ ﻓﺼﻞ دﻧﻴﺎي ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ را ﻣﻌﺮﻓﻲ ﻣﻲﻛﻨﺪ‪ .‬ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ ﻧﻮﻋﻲ ﻫﻚ اﺳﺖ ﻛﻪ ﺑﺎ ﻣﺠﻮز ﺳﺎزﻣﺎﻧﻲ و ﺑﺮاي‬ ‫اﻓﺰاﻳﺶ اﻣﻨﻴﺖ اﻧﺠﺎم ﻣﻲﮔﻴﺮد‪.‬‬ ‫واژﮔﺎن ﻓﻨﻲ‬ ‫ﺗﻮاﻧﺎﻳﻲ درك و ﺗﻌﺮﻳﻒ اﺻﻄﻼﺣﺎت ﻫﻚ‪ ،‬ﺑﺨﺶ ﻣﻬﻤﻲ از ﻣﺴﺌﻮﻟﻴﺖ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ اﺳﺖ‪ .‬در اﻳﻦ ﺑﺨﺶ‪ ،‬در ﻣﻮرد‬ ‫ﺑﺮﺧﻲ از اﺻﻄﻼﺣﺎت راﻳﺞ در دﻧﻴﺎي ﻫﻚ آﺷﻨﺎ ﻣﻲﺷﻮﻳﺪ‪.‬‬ ‫ﺗﻬﺪﻳﺪ )‪ ،(threat‬ﺷﺮاﻳﻂ ﻳﺎ ﺣﺎﻟﺘﻲ اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ اﻣﻨﻴﺖ را ﻣﺨﺘﻞ ﻛﻨﺪ‪ .‬ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ‪ ،‬زﻣﺎﻧﻴﻜﻪ ﺗﺤﻠﻴﻞ‬ ‫اﻣﻨﻴﺘﻲ اﻧﺠﺎم ﻣﻲدﻫﻨﺪ‪ ،‬ﺗﻬﺪﻳﺪات را اوﻟﻮﻳﺖ ﺑﻨﺪي ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫اﻛﺴﭙﻠﻮﻳﺖ )‪ ،(exploit‬ﻗﻄﻌﻪاي از ﻧﺮماﻓﺰار‪ ،‬اﺑﺰار ﻳﺎ ﺗﻜﻨﻴﻚ اﺳﺖ ﻛﻪ ﻣﺰاﻳﺎي آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ را دارد و ﻣﻲﺗﻮاﻧﺪ‬ ‫ﻣﻨﺠﺮ ﺑﻪ اﻳﺠﺎد دﺳﺘﺮﺳﻲ‪ ،‬از دﺳﺖ دادن ﻳﻜﭙﺎرﭼﮕﻲ‪ ،‬ﻳﺎ ﺣﻤﻠﻪ ‪ DoS‬ﺑﺮ روي ﻳﻚ ﺳﻴﺴﺘﻢ ﻛﺎﻣﭙﻴﻮﺗﺮي ﺷﻮد‪.‬‬ ‫دو دﺳﺘﻪ ﺑﻨﺪي از ‪exploit‬ﻫﺎ دارﻳﻢ‪:‬‬ ‫‪ ،Remote exploit‬روي ﺷﺒﻜﻪ ﻛﺎر ﻣﻲﻛﻨﺪ و از آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي اﻣﻨﻴﺘﻲ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﺑﺪون آﻧﻜﻪ از ﻗﺒﻞ ﺑﻪ آن‬ ‫ﺳﻴﺴﺘﻢ دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬ ‫‪ ،Local exploit‬ﻧﻴﺎز ﺑﻪ دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ دارد ﺗﺎ ﺳﻄﺢ دﺳﺘﺮﺳﻲ را ﺑﺎﻻ ﺑﺒﺮد‪ .‬اﻛﺴﭙﻠﻮﻳﺖ‪ ،‬روﺷﻲ ﺑﺮاي ﻣﺨﺘﻞ ﻛﺮدن‬ ‫اﻣﻨﻴﺖ ﻳﻚ ﺳﻴﺴﺘﻢ ‪ IT‬از ﻃﺮﻳﻖ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ اﺳﺖ‪.‬‬ ‫‪4‬‬ ‫آﺳﻴﺐ ﭘﺬﻳﺮي )‪ ،(vulnerability‬وﺟﻮد ﺿﻌﻔﻲ در ﻃﺮاﺣﻲ ﻳﺎ ﭘﻴﺎدهﺳﺎزي ﻧﺮماﻓﺰار ﺳﻴﺴﺘﻢ اﺳﺖ‪ .‬ﺑﺎ ﭘﻴﺎدهﺳﺎزي‬ ‫ﺻﺤﻴﺢ و اﻗﺪاﻣﺎت اﻣﻨﻴﺘﻲ‪ ،‬آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ ﻛﺎﻫﺶ ﻣﻲﻳﺎﺑﻨﺪ‪.‬‬ ‫ﻫﺪف ارزﻳﺎﺑﻲ )‪ ،(target of evaluation‬ﺳﻴﺴﺘﻢ‪ ،‬ﺑﺮﻧﺎﻣﻪ ﻳﺎ ﺷﺒﻜﻪاي اﺳﺖ ﻛﻪ ﻣﻮﺿﻮع ﺣﻤﻠﻪ ﻳﺎ ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ اﺳﺖ‪.‬‬ ‫ﺣﻤﻠﻪ )‪ ،(attack‬زﻣﺎﻧﻲ رخ ﻣﻲدﻫﺪ ﻛﻪ ﺳﻴﺴﺘﻤﻲ ﺑﻪ ﺧﺎﻃﺮ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ‪ ،‬ﺑﻪ ﺧﻄﺮ ﻣﻲاﻓﺘﺪ‪ .‬ﺑﺴﻴﺎري از ﺣﻤﻼت‪،‬‬ ‫ﺑﺎ اﺳﺘﻔﺎده از اﻛﺴﭙﻠﻮﻳﺖﻫﺎ‪ ،‬ﻫﻤﻴﺸﮕﻲ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ از اﺑﺰارﻫﺎﻳﻲ ﺑﺮاي ﻳﺎﻓﺘﻦ آﺳﻴﺐﭘﺬﻳﺮي ﺳﻴﺴﺘﻢﻫﺎ‪،‬‬ ‫اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫ﻋﻼوه ﺑﺮ اﻳﻦ اﺻﻄﻼﺣﺎت‪ ،‬ﻻزم اﺳﺖ ﻛﻪ در ﻣﻮرد ﺗﻔﺎوت ﺑﻴﻦ ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ و ﺷﺮور و ﻓﻌﺎﻟﻴﺖﻫﺎﻳﻲ ﻛﻪ ﻫﻜﺮ‬ ‫ﻗﺎﻧﻮﻧﻤﻨﺪ اﻧﺠﺎم ﻣﻲدﻫﺪ‪ ،‬آﮔﺎﻫﻲ داﺷﺘﻪ ﺑﺎﺷﻴﺪ‪.‬‬ ‫اﻧﻮاع ﻣﺨﺘﻠﻒ ﺗﻜﻨﻮﻟﻮژيﻫﺎي ﻫﻚ‬ ‫روشﻫﺎ و اﺑﺰارﻫﺎي زﻳﺎدي ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ آﺳﻴﺐﭘﺬﻳﺮيﻫﺎ‪ ،‬اﺟﺮاي اﻛﺴﭙﻠﻮﻳﺖﻫﺎ‪ ،‬و ﺑﻪ ﺧﻄﺮ اﻧﺪاﺧﺘﻦ ﺳﻴﺴﺘﻢﻫﺎ‬ ‫وﺟﻮد دارد‪ .‬ﺗﺮوﺟﺎنﻫﺎ‪backdoor ،‬ﻫﺎ‪Sniffer ،‬ﻫﺎ‪rootkit ،‬ﻫﺎ‪exploit ،‬ﻫﺎ‪ ،buffer overflow ،‬و ‪،SQl injection‬‬ ‫ﺗﻜﻨﻮﻟﻮژيﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺮاي ﻫﻚ ﻛﺮدن ﺳﻴﺴﺘﻢﻫﺎ ﻳﺎ ﺷﺒﻜﻪﻫﺎ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪.‬‬ ‫‪5‬‬ ‫ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي ﻫﻚ‪ ،‬ﺑﻪ ﻳﻜﻲ از ﭼﻬﺎر روش زﻳﺮ از ﺿﻌﻒﻫﺎ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪:‬‬ ‫•‬ ‫ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎ‪ :‬ﺑﺴﻴﺎري از ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎ را ﺑﺎ ﺗﻨﻈﻴﻤﺎت ﭘﻴﺶ ﻓﺮض ﻧﺼﺐ ﻣﻲﻛﻨﻨﺪ در‬ ‫ﻧﺘﻴﺠﻪ‪ ،‬ﻗﺎﺑﻠﻴﺖ آﺳﻴﺐ ﭘﺬﻳﺮي دارﻧﺪ‪.‬‬ ‫•‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎ‪ :‬ﻣﻌﻤﻮﻻ ﺑﺮﻧﺎﻣﻪ ﻧﻮﻳﺲﻫﺎ‪ ،‬ﺑﺮﻧﺎﻣﻪﻫﺎ را ﺗﺴﺖ ﻧﻤﻲﻛﻨﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﻫﻜﺮﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ از آﺳﻴﺐﭘﺬﻳﺮي آن‬ ‫ﺳﻮاﺳﺘﻔﺎده ﻛﻨﻨﺪ‪.‬‬ ‫•‬ ‫‪ :Shrink-wrap code‬ﺑﺴﻴﺎري از ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬ﻗﺎﺑﻠﻴﺖﻫﺎﻳﻲ دارﻧﺪ ﻛﻪ ﻛﺎرﺑﺮان ﻋﺎدي از وﺟﻮد آن ﺑﻲﺧﺒﺮﻧﺪ و‬ ‫ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺮاي ﻫﻚ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﻣﺎﻛﺮوﻫﺎ در ﻧﺮماﻓﺰار ‪ Microsoft word‬ﺑﻪ ﻫﻜﺮ اﺟﺎزه‬ ‫اﺟﺮاي ﺑﺮﻧﺎﻣﻪ از داﺧﻞ را ﻣﻲدﻫﻨﺪ‪.‬‬ ‫•‬ ‫ﭘﻴﻜﺮﺑﻨﺪي ﻧﺎدرﺳﺖ‪ :‬ﻣﻤﻜﻦ اﺳﺖ ﺳﻴﺴﺘﻢ ﺑﻪ درﺳﺘﻲ ﭘﻴﻜﺮﺑﻨﺪي ﻧﺸﺪه ﺑﺎﺷﺪ ﻳﺎ ﺣﺪاﻗﻞ ﻧﻜﺎت اﻣﻨﻴﺘﻲ در آن‬ ‫رﻋﺎﻳﺖ ﻧﺸﺪه ﺑﺎﺷﺪ ﺗﺎ ﻛﺎرﺑﺮان ﺑﺘﻮاﻧﻨﺪ ﺑﻪ راﺣﺘﻲ از ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻛﻨﻨﺪ وﻟﻲ اﻳﻦ اﻣﺮ ﻣﻲﺗﻮاﻧﺪ ﻗﺎﺑﻠﻴﺖ‬ ‫آﺳﻴﺐﭘﺬﻳﺮي ﺳﻴﺴﺘﻢ را ﺑﺎﻻ ﺑﺒﺮد‪.‬‬ ‫ﻋﻼوه ﺑﺮ اﻧﻮاع ﺗﻜﻨﻮﻟﻮژيﻫﺎي ﻣﺨﺘﻠﻔﻲ ﻛﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ اﺳﺘﻔﺎده ﻛﻨﺪ‪ ،‬اﻧﻮاع ﻣﺨﺘﻠﻒ ﺣﻤﻠﻪ ﻧﻴﺰ وﺟﻮد دارد‪ .‬ﺣﻤﻼت‬ ‫ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ دو دﺳﺘﻪ ﭘﺴﻴﻮ و اﻛﺘﻴﻮ ﺗﻘﺴﻴﻢ ﺷﻮﻧﺪ‪ .‬ﺣﻤﻼت اﻛﺘﻴﻮ‪ ،‬ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ را ﺗﻐﻴﻴﺮ ﻣﻲدﻫﻨﺪ وﻟﻲ ﺣﻤﻼت ﭘﺴﻴﻮ‪،‬‬ ‫ﺑﻪ دﻧﺒﺎل ﺟﻤﻊآوري اﻃﻼﻋﺎت از ﺳﻴﺴﺘﻢﻫﺎ ﻫﺴﺘﻨﺪ‪ .‬ﺣﻤﻼت اﻛﺘﻴﻮ‪ ،‬ﺑﺮ روي دﺳﺘﺮﺳﻲ ﭘﺬﻳﺮي‪ ،‬ﻳﻜﭙﺎرﭼﮕﻲ‪ ،‬و ﺻﺤﺖ‬ ‫دادهﻫﺎ ﻣﻮﺛﺮ ﻫﺴﺘﻨﺪ در ﺣﺎﻟﻴﻜﻪ ﺣﻤﻼت ﭘﺴﻴﻮ‪ ،‬ﻣﺤﺮﻣﺎﻧﮕﻲ را ﻣﺨﺘﻞ ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫ﻋﻼوه ﺑﺮ ﺣﻤﻼت اﻛﺘﻴﻮ و ﭘﺴﻴﻮ‪ ،‬ﻣﻲﺗﻮان ﺣﻤﻼت را ﺑﻪ دو دﺳﺘﻪ داﺧﻠﻲ )‪ (insider‬و ﺧﺎرﺟﻲ )‪ (outsider‬ﻧﻴﺰ‬ ‫ﺗﻘﺴﻴﻢ ﻛﺮد‪ .‬ﺷﻜﻞ زﻳﺮ ارﺗﺒﺎط ﺑﻴﻦ ﺣﻤﻼت ﭘﺴﻴﻮ و اﻛﺘﻴﻮ‪ ،‬داﺧﻠﻲ و ﺧﺎرﺟﻲ را ﻧﺸﺎن ﻣﻲدﻫﺪ‪ .‬ﺣﻤﻼﺗﻲ ﻛﻪ از داﺧﻞ ﻳﻚ‬ ‫ﺳﺎزﻣﺎن ﺷﻜﻞ ﻣﻲﮔﻴﺮﻧﺪ‪ ،‬را ﺣﻤﻼت داﺧﻠﻲ ﻣﻲﻧﺎﻣﻨﺪ و ﻣﻌﻤﻮﻻ ﺗﻮﺳﻂ ﻛﺎرﻣﻨﺪي از داﺧﻞ ﺳﺎزﻣﺎن ﺻﻮرت ﻣﻲﮔﻴﺮد ﺗﺎ ﺑﻪ‬ ‫ﻣﻨﺎﺑﻊ ﺑﻴﺸﺘﺮي دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ‪ .‬ﺣﻤﻠﻪ ﺧﺎرﺟﻲ‪ ،‬از ﺑﻴﺮون ﺳﺎزﻣﺎن ﺻﻮرت ﻣﻲﮔﻴﺮد از ﻗﺒﻴﻞ اﻳﻨﺘﺮﻧﺖ‪.‬‬ ‫اﻧﻮاع ﺣﻤﻼت‬ ‫‪6‬‬ ‫ﭘﻨﺞ ﻣﺮﺣﻠﻪ ﻣﺨﺘﻠﻒ ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ‬ ‫ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ‪ ،‬ﻣﺮاﺣﻠﻲ را ﻛﻪ ﻫﻜﺮ ﺷﺮور اﻧﺠﺎم ﻣﻲدﻫﺪ را اﻧﺠﺎم ﻣﻲدﻫﺪ‪ .‬ﺷﻜﻞ زﻳﺮ‪ ،‬ﭘﻨﺞ ﻣﺮﺣﻠﻪاي ﻛﻪ ﻫﻜﺮﻫﺎ ﺑﺮاي‬ ‫ﻫﻚ ﻛﺮدن ﺳﻴﺴﺘﻢﻫﺎ اﻧﺠﺎم ﻣﻲدﻫﻨﺪ را ﺗﻮﺿﻴﺢ ﻣﻲدﻫﺪ‪.‬‬ ‫ﻣﺮاﺣﻞ ﻫﻚ‬ ‫ﻣﺮﺣﻠﻪ ‪ :1‬ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ و اﻛﺘﻴﻮ‬ ‫ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ‪ ،‬ﺷﺎﻣﻞ ﺟﻤﻊآوري اﻃﻼﻋﺎت ﺑﺎ در ﻧﻈﺮ ﮔﺮﻓﺘﻦ ﻫﺪف ﺑﺎﻟﻘﻮه ﺑﺪون ﻣﺪ ﻧﻈﺮ ﻗﺮار دادن داﻧﺶ ﺷﺨﺺ‬ ‫ﻳﺎ ﺷﺮﻛﺖ اﺳﺖ‪ .‬ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ‪ ،‬ﻣﻲﺗﻮاﻧﺪ ﺑﻪ ﺳﺎدﮔﻲ ﺗﻤﺎﺷﺎي ﻳﻚ ﺳﺎﺧﺘﻤﺎن ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ زﻣﺎن ورود و ﺧﺮوج‬ ‫ﻛﺎرﻣﻨﺪان ﺑﺎﺷﺪ‪ .‬اﻣﺎ ﻣﻌﻤﻮل اﺳﺖ ﻛﻪ از ﺟﺴﺘﺠﻮي اﻳﻨﺘﺮﻧﺘﻲ اﺳﺘﻔﺎده ﺷﻮد ﻳﺎ در ﻣﻮرد ﺷﺮﻛﺖ و ﻛﺎرﻣﻨﺪان آن‪ ،‬اﻃﻼﻋﺎت‬ ‫ﺟﻤﻊآوري ﺷﻮد‪ .‬اﻳﻦ ﻓﺮآﻳﻨﺪ‪ ،‬ﺑﻄﻮر ﻛﻠﻲ‪ ،‬ﺟﻤﻊآوري اﻃﻼﻋﺎت ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد‪ .‬ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ) ‪social‬‬ ‫‪ (engineering‬و آﺷﻐﺎلﮔﺮدي )‪ (dumpster diving‬ﺑﻪ ﻋﻨﻮان روشﻫﺎي ﭘﺴﻴﻮ ﺟﻤﻊآوري اﻃﻼﻋﺎت ﺗﻠﻘﻲ ﻣﻲﺷﻮد‪.‬‬ ‫اﺳﺘﺮاق ﺳﻤﻊ ﺷﺒﻜﻪ )‪ ،(sniffing‬روش دﻳﮕﺮي ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ اﺳﺖ و ﻣﻲﺗﻮاﻧﺪ اﻃﻼﻋﺎت ﻣﻔﻴﺪي ﻫﻤﭽﻮن‬ ‫آدرسﻫﺎي ‪ ،IP‬ﻗﺎﻧﻮن ﻧﺎمﮔﺬاري دﺳﺘﮕﺎهﻫﺎ‪ ،‬و ﺳﺮوﻳﺲﻫﺎي ﻗﺎﺑﻞ دﺳﺘﺮس دﻳﮕﺮ ﺑﺮ روي ﺳﻴﺴﺘﻢﻫﺎ و ﺷﺒﻜﻪﻫﺎي دﻳﮕﺮ را‬ ‫ﺑﺪﻫﺪ‪ .‬اﺳﺘﺮاق ﺳﻤﻊ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ‪ ،‬ﻣﺸﺎﺑﻪ ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ اﺳﺖ‪ :‬ﻫﻜﺮ‪ ،‬ﺗﺮاﻓﻴﻚ دادهﻫﺎ را ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﺒﻴﻨﺪ ﭼﻪ زﻣﺎﻧﻲ‬ ‫ﺗﺮاﻛﻨﺶﻫﺎي ﻣﺸﺨﺺ اﺗﻔﺎق ﻣﻲاﻓﺘﺪ و ﺗﺮاﻓﻴﻚ از ﻛﺠﺎ ﺟﺮﻳﺎن ﻣﻲﻳﺎﺑﺪ‪.‬‬ ‫‪7‬‬ ‫ﺷﻨﺎﺳﺎﻳﻲ اﻛﺘﻴﻮ‪ ،‬ﻛﺎوش ﺷﺒﻜﻪ ﺑﺮاي ﻛﺸﻒ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي اﻓﺮاد‪ ،‬آدرسﻫﺎي ‪ ،IP‬و ﺳﺮوﻳﺲﻫﺎي ﺷﺒﻜﻪ اﺳﺖ‪ .‬ﻣﻌﻤﻮﻻ‬ ‫ﻧﺴﺒﺖ ﺑﻪ ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ‪ ،‬داراي رﻳﺴﻚ ﺑﺎﻻﻳﻲ اﺳﺖ و ﮔﺎﻫﻲ اوﻗﺎت از آن ﺑﻪ ﻋﻨﻮان ‪ rattling the door knobe‬ﻧﺎم ﺑﺮده‬ ‫ﻣﻲﺷﻮد‪.‬‬ ‫ﺷﻨﺎﺳﺎﻳﻲ اﻛﺘﻴﻮ و ﭘﺴﻴﻮ‪ ،‬ﻫﺮ دو ﻣﻨﺠﺮ ﺑﻪ ﻛﺸﻒ اﻃﻼﻋﺎت ﻣﻔﻴﺪ ﺑﺮاي ﺣﻤﻠﻪ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﻣﻌﻤﻮﻻ ﻳﺎﻓﺘﻦ ﻧﻮع‬ ‫وب ﺳﺮور و ﻧﺴﺨﻪ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻠﻲ ﻛﻪ ﺳﺎزﻣﺎن اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ ،‬ﺳﺎده اﺳﺖ‪ .‬اﻳﻦ اﻃﻼﻋﺎت ﺑﻪ ﻫﻜﺮ ﻛﻤﻚ ﻣﻲﻛﻨﻨﺪ ﻛﻪ‬ ‫آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ را ﭘﻴﺪا ﻛﻨﺪ و از اﻛﺴﭙﻠﻮﻳﺖ ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬ ‫ﻣﺮﺣﻠﻪ ‪ :2‬اﺳﻜﻦ‬ ‫ﺑﺪﺳﺖ آوردن اﻃﻼﻋﺎت ﻛﺸﻒ ﺷﺪه در ﻃﻮل ﺷﻨﺎﺳﺎﻳﻲ‪ ،‬و اﺳﺘﻔﺎده از آن ﺑﺮاي ﺗﺴﺖ ﺷﺒﻜﻪ اﺳﺖ‪ .‬اﺑﺰارﻫﺎﻳﻲ ﻛﻪ‬ ‫ﻫﻜﺮ در ﻃﻮل ﻣﺮﺣﻠﻪ اﺳﻜﻦ ﺑﻜﺎر ﻣﻲﮔﻴﺮد ﻣﻲﺗﻮاﻧﺪ ‪dialer‬ﻫﺎ‪ ،‬اﺳﻜﻨﺮﻫﺎي ﭘﻮرت‪ ،‬اﺑﺰارﻫﺎي ﺗﺮﺳﻴﻢ ﻧﻘﺸﻪ ﺷﺒﻜﻪ‪،‬‬ ‫‪sweeper‬ﻫﺎ و اﺳﻜﻨﺮﻫﺎي ﺗﺴﺖ آﺳﻴﺐ ﭘﺬﻳﺮي ﺑﺎﺷﻨﺪ‪ .‬ﻫﻜﺮﻫﺎ ﺑﻪ دﻧﺒﺎل اﻃﻼﻋﺎﺗﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﻪ آﻧﻬﺎ در اﻧﺠﺎم ﺣﻤﻠﻪ‬ ‫ﻛﻤﻚ ﻛﻨﺪ از ﻗﺒﻴﻞ ﻧﺎم ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ‪ ،‬آدرسﻫﺎي ‪ ،IP‬و ﺣﺴﺎبﻫﺎي ﻛﺎرﺑﺮي‪.‬‬ ‫ﻣﺮﺣﻠﻪ ‪ :3‬اﻳﺠﺎد دﺳﺘﺮﺳﻲ‬ ‫در اﻳﻦ ﻣﺮﺣﻠﻪ‪ ،‬ﺣﻤﻠﻪ واﻗﻌﻲ رخ ﻣﻲدﻫﺪ‪ .‬آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺷﻨﺎﺧﺘﻪ ﺷﺪه در ﻣﺮاﺣﻞ ﺷﻨﺎﺳﺎﻳﻲ و اﺳﻜﻦ‪ ،‬اﻛﻨﻮن‬ ‫ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪ .‬روش ارﺗﺒﺎﻃﻲ ﻛﻪ ﻫﻜﺮ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﻣﻲﺗﻮاﻧﺪ از ﻃﺮﻳﻖ ﺷﺒﻜﻪ ﻣﺤﻠﻲ‬ ‫)‪ ،(LAN‬دﺳﺘﺮﺳﻲ ﻣﺤﻠﻲ ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ )‪ ،(local‬اﻳﻨﺘﺮﻧﺖ و ﻳﺎ ﺑﻪ ﺻﻮرت آﻓﻼﻳﻦ ﺑﺎﺷﺪ‪ .‬از ﻗﺒﻴﻞ ‪،session hijacking‬‬ ‫‪ ،DoS‬و ‪ .stack-based buffer overflow‬در دﻧﻴﺎي ﻫﻜﺮﻫﺎ‪ ،‬اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﺎ ﻧﺎم ﻣﺎﻟﻜﻴﺖ ﺳﻴﺴﺘﻢ ) ‪owning the‬‬ ‫‪ (system‬ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪.‬‬ ‫‪8‬‬ ‫ﻣﺮﺣﻠﻪ ‪ :4‬ﺣﻔﻆ دﺳﺘﺮﺳﻲ‬ ‫زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺗﻮاﻧﺴﺖ دﺳﺘﺮﺳﻲ اﻳﺠﺎد ﻛﻨﺪ‪ ،‬ﻣﻲﺧﻮاﻫﺪ ﻛﻪ ﺑﺮاي ﺣﻤﻼت ﺑﻌﺪي‪ ،‬دﺳﺘﺮﺳﻲ ﺧﻮد را ﺣﻔﻆ ﻛﻨﺪ‪.‬‬ ‫ﮔﺎﻫﻲ اوﻗﺎت‪ ،‬ﻫﻜﺮﻫﺎ‪ ،‬ﺳﻴﺴﺘﻢ را از دﺳﺘﺮﺳﻲ ﻫﻜﺮﻫﺎي دﻳﮕﺮ اﻣﻦ ﻣﻲﻛﻨﻨﺪ آﻧﻬﺎ اﻳﻨﻜﺎر را از ﻃﺮﻳﻖ ‪backdoor‬ﻫﺎ‪،‬‬ ‫‪rootkit‬ﻫﺎ‪ ،‬و ﺗﺮوﺟﺎنﻫﺎ اﻧﺠﺎم ﻣﻲدﻫﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮي ﺳﻴﺴﺘﻢ را ﺑﻪ ﺗﺼﺮف ﺧﻮد درآورد‪ ،‬ﻣﻲﺗﻮاﻧﺪ از آن ﺑﺮاي اﻧﺠﺎم‬ ‫ﺣﻤﻼت دﻳﮕﺮ اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬در اﻳﻦ ﺣﺎﻟﺖ‪ ،‬ﺑﻪ آن ﺳﻴﺴﺘﻢ‪ ،‬ﺳﻴﺴﺘﻢ ‪ zombie‬ﮔﻔﺘﻪ ﻣﻲﺷﻮد‪.‬‬ ‫ﻣﺮﺣﻠﻪ ‪ :5‬از ﺑﻴﻦ ﺑﺮدن ردﭘﺎ‬ ‫زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮي ﺗﻮاﻧﺴﺖ ﺑﻪ ﺳﻴﺴﺘﻤﻲ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ‪ ،‬ﺟﻬﺖ ﺟﻠﻮﮔﻴﺮي از ﺷﻨﺎﺳﺎﻳﻲ ﺗﻮﺳﻂ ﻣﺎﻣﻮران اﻣﻨﻴﺘﻲ‪ ،‬و‬ ‫ﺑﺮاي اداﻣﻪ اﺳﺘﻔﺎده از ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ‪ ،‬و ﻧﻴﺰ ﭘﺎك ﻛﺮدن ﺷﻮاﻫﺪ ﻫﻚ‪ ،‬اﻗﺪام ﺑﻪ ﭘﺎك ﺳﺎزي ردﭘﺎي ﺧﻮد ﻣﻲﻛﻨﺪ‪ .‬ﻫﻜﺮﻫﺎ‬ ‫ﺳﻌﻲ ﻣﻲﻛﻨﻨﺪ ﺗﻤﺎم اﺛﺮات ﺣﻤﻼت از ﻗﺒﻴﻞ ﻓﺎﻳﻞﻫﺎي ‪ ،log‬ﻳﺎ ﭘﻴﻐﺎمﻫﺎي ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ )‪ (IDS‬را ﭘﺎك ﻛﻨﻨﺪ‪.‬‬ ‫ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر از ‪ ،steganography‬ﭘﺮوﺗﻜﻞﻫﺎي ﺗﺎﻧﻠﻴﻨﮓ‪ ،‬و ﺗﻐﻴﻴﺮ ﻓﺎﻳﻞﻫﺎي ‪ log‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫‪ Hacktivisim‬ﭼﻴﺴﺖ؟‬ ‫‪ ،Hacktivisim‬دﻟﻴﻞ و اﻧﮕﻴﺰه ﻫﻚ اﺳﺖ‪ .‬ﻫﻜﺮﻫﺎ‪ ،‬ﻣﻌﻤﻮﻻ اﻧﮕﻴﺰهﻫﺎي اﺟﺘﻤﺎﻋﻲ و ﺳﻴﺎﺳﻲ دارﻧﺪ‪ .‬ﺑﺴﻴﺎري از‬ ‫ﻫﻜﺮﻫﺎ‪ ،‬در ﻓﻌﺎﻟﻴﺖﻫﺎﻳﻲ ﭼﻮن ‪ deface‬ﻛﺮدن وب ﺳﺎﻳﺖ‪ ،‬ﻧﻮﺷﺘﻦ وﻳﺮوس‪ ،DoS ،‬ﻳﺎ ﺣﻤﻼت ﻣﺨﺮب دﻳﮕﺮ ﺷﺮﻛﺖ‬ ‫ﻣﻲﻛﻨﻨﺪ‪ .‬ﻣﻌﻤﻮﻻ اﻧﮕﻴﺰه ﻫﻜﺮﻫﺎ )‪ ،(hacktivism‬آژاﻧﺲﻫﺎي دوﻟﺘﻲ و ﮔﺮوهﻫﺎي ﺳﻴﺎﺳﻲ ﻫﺴﺘﻨﺪ‪.‬‬ ‫اﻧﻮاع ﻫﻜﺮﻫﺎ‬ ‫ﻫﻜﺮﻫﺎ در ﺳﻪ دﺳﺘﻪ ﻗﺮار ﻣﻲﮔﻴﺮﻧﺪ‪ :‬ﻛﻼه ﺳﻔﻴﺪﻫﺎ‪ ،‬ﻛﻼه ﺳﻴﺎهﻫﺎ‪ ،‬و ﻛﻼه ﺧﺎﻛﺴﺘﺮيﻫﺎ‪ .‬ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ ﻣﻌﻤﻮﻻ‬ ‫در دﺳﺘﻪ ﻛﻼه ﺳﻔﻴﺪﻫﺎ ﻗﺮار ﻣﻲﮔﻴﺮﻧﺪ اﻣﺎ ﮔﺎﻫﻲ اوﻗﺎت‪ ،‬ﻛﻼه ﺧﺎﻛﺴﺘﺮي ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪9‬‬ ‫ﻛﻼه ﺳﻔﻴﺪﻫﺎ‪ :‬اﻳﻨﻬﺎ اﻓﺮادي ﺧﻮﺑﻲ ﻫﺴﺘﻨﺪ ﻛﻪ از ﻣﻬﺎرت ﻫﻚﺷﺎن ﺑﺮاي اﻫﺪاف دﻓﺎﻋﻲ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﻫﻜﺮﻫﺎي ﻛﻼه‬ ‫ﺳﻔﻴﺪ‪ ،‬ﻣﻌﻤﻮﻻ ﻣﺘﺨﺼﺼﺎن اﻣﻨﻴﺘﻲ ﻫﺴﺘﻨﺪ ﻛﻪ داﻧﺶ و اﺑﺰارﻫﺎي ﻫﻚ را دارﻧﺪ و از آﻧﻬﺎ ﺑﺮاي ﻛﺸﻒ ﻧﻘﺎط ﺿﻌﻒ و اﻗﺪاﻣﺎت‬ ‫ﭘﻴﺸﮕﻴﺮي اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫ﻛﻼه ﺳﻴﺎهﻫﺎ‪ :‬اﻳﻨﻬﺎ اﻓﺮاد ﺑﺪي ﻫﺴﺘﻨﺪ‪ .‬ﻫﻜﺮﻫﺎي ﺷﺮور ﻳﺎ ‪cracker‬ﻫﺎ از ﻣﻬﺎرﺗﺸﺎن ﺑﺮاي اﻫﺪاف ﻏﻴﺮ ﻗﺎﻧﻮﻧﻲ اﺳﺘﻔﺎده‬ ‫ﻣﻲﻛﻨﻨﺪ‪ .‬آﻧﻬﺎ ﻳﻜﭙﺎرﭼﮕﻲ ﻣﺎﺷﻴﻦ ﻣﻮرد ﻧﻈﺮ را ﺑﻪ ﻗﺼﺪ ﺷﻮم ﻣﻲﺷﻜﻨﻨﺪ‪ .‬ﺑﺎ داﺷﺘﻦ دﺳﺘﺮﺳﻲ ﻏﻴﺮﻣﺠﺎز‪ ،‬ﻫﻜﺮﻫﺎي ﻛﻼه ﺳﻴﺎه‬ ‫ﻣﻲﺗﻮاﻧﻨﺪ دادهﻫﺎي ﺣﻴﺎﺗﻲ و ﻣﻬﻢ را ﺧﺮاب ﻛﻨﻨﺪ‪ ،‬ﺳﺮوﻳﺲﻫﺎي ﻛﺎرﺑﺮان را ﻣﺨﺘﻞ ﻛﻨﻨﺪ و ﺑﺎﻋﺚ ﺑﺮوز ﻣﺸﻜﻼت ﺑﺮاي آﻧﻬﺎ‬ ‫ﺷﻮﻧﺪ‪ .‬اﻳﻦ دﺳﺘﻪ از ﻫﻜﺮﻫﺎ‪ ،‬ﺑﻪ راﺣﺘﻲ از ﻫﻜﺮﻫﺎي ﻛﻼه ﺳﻔﻴﺪ ﻗﺎﺑﻞ ﺗﺸﺨﻴﺺ ﻫﺴﺘﻨﺪ‪.‬‬ ‫ﻛﻼه ﺧﺎﻛﺴﺘﺮيﻫﺎ‪ :‬اﻳﻨﻬﺎ ﻫﻜﺮﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺴﺘﻪ ﺑﻪ ﺷﺮاﻳﻂ‪ ،‬ﻣﻤﻜﻦ اﺳﺖ ﺑﺼﻮرت دﻓﺎﻋﻲ ﻳﺎ ﻣﺨﺮب ﻋﻤﻞ ﻛﻨﻨﺪ‪ .‬ﻳﻌﻨﻲ‬ ‫ﻣﻤﻜﻦ اﺳﺖ ﻫﻢ ﺑﻪ ﻧﻴﺖ ﺧﻮب از داﻧﺶ ﺧﻮد اﺳﺘﻔﺎده ﻛﻨﻨﺪ و ﻫﻢ ﺑﻪ ﻧﻴﺖ ﺷﻮم )ﺣﺰب ﺑﺎد(‪.‬‬ ‫ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ و ‪cracker‬ﻫﺎ ﻛﻴﺴﺘﻨﺪ؟‬ ‫ﺧﻴﻠﻲ از ﻣﺮدم ﻣﻲﭘﺮﺳﻨﺪ "ﻣﮕﺮ ﻫﻚ ﻣﻲﺗﻮاﻧﺪ اﺧﻼﻗﻲ ﺑﺎﺷﺪ؟" ﺑﻠﻪ! ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ ﻣﻌﻤﻮﻻ در اﻣﻨﻴﺖ ﻳﺎ‬ ‫ﺗﺴﺖﻫﺎي ﻧﻔﻮذ در ﺷﺒﻜﻪ‪ ،‬ﺣﺮﻓﻪاي ﻫﺴﺘﻨﺪ و از ﻣﻬﺎرتﻫﺎ و اﺑﺰارﻫﺎي ﻫﻚﺷﺎن ﺑﺮاي اﻫﺪاف دﻓﺎﻋﻲ و ﭘﻴﺸﮕﻴﺮاﻧﻪ اﺳﺘﻔﺎده‬ ‫ﻣﻲﻛﻨﻨﺪ‪ .‬ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ ﻛﻪ ﻣﺘﺨﺼﺼﺎن اﻣﻨﻴﺘﻲ ﻫﺴﺘﻨﺪ‪ ،‬اﻣﻨﻴﺖ ﺷﺒﻜﻪ و ﺳﻴﺴﺘﻢ را ﺑﺮاي ﻗﺎﺑﻠﻴﺖ آﺳﻴﺐ ﭘﺬﻳﺮي‪ ،‬ﺑﺎ‬ ‫اﺳﺘﻔﺎده از ﺑﻌﻀﻲ اﺑﺰارﻫﺎﻳﻲ ﻛﻪ ﻫﻜﺮﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺮاي ﺑﻪ ﺧﻄﺮ اﻧﺪاﺧﺘﻦ ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﻛﻨﻨﺪ‪ ،‬ﺗﺴﺖ ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫ﻛﻠﻤﻪ ‪ ،cracker‬ﻫﻜﺮي را ﺗﻮﺻﻴﻒ ﻣﻲﻛﻨﺪ ﻛﻪ از ﻣﻬﺎرتﻫﺎ و اﺑﺰارﻫﺎي ﻫﻚ ﺑﺮاي اﻫﺪاﻓﻲ ﻫﻤﭽﻮن اﻧﺘﺸﺎر وﻳﺮوس ﻳﺎ‬ ‫اﻧﺠﺎم ﺣﻤﻼت ‪ DoS‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﺗﺎ ﺳﻴﺴﺘﻢﻫﺎ ﻳﺎ ﺷﺒﻜﻪﻫﺎ را ﺑﻪ ﺧﻄﺮ ﺑﻴﺎﻧﺪازد‪ .‬در اﺻﻞ‪ ،‬ﻛﻠﻤﻪ ﻫﻜﺮ ﺑﺮاي ﻋﻼﻗﻤﻨﺪ ﺑﻪ‬ ‫ﻛﺎﻣﭙﻴﻮﺗﺮ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬ﻫﻜﺮ ﻛﺴﻲ اﺳﺖ ﻛﻪ از داﻧﺴﺘﻦ ﻛﺎر ﻳﻚ ﺳﻴﺴﺘﻢ‪ ،‬ﻛﺎﻣﭙﻴﻮﺗﺮ و ﺷﺒﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮي ﻟﺬت ﻣﻲﺑﺮد‪.‬‬ ‫در ﻃﻮل زﻣﺎن‪ ،‬ﻣﺮدم ﻫﻜﺮﻫﺎ را ﺑﻪ ﻋﻨﻮان ﻛﺴﺎﻧﻲ ﻛﻪ ﺑﻪ ﻧﻴﺖ ﺷﻮم ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ را ﻣﻲﺷﻜﻨﻨﺪ اﻃﻼق ﻣﻲﻛﺮدﻧﺪ‪ .‬ﺳﭙﺲ واژه‬ ‫‪ cracker‬راﻳﺞ ﺷﺪ ﻛﻪ ﻛﻮﺗﺎه ﺷﺪه ﻋﺒﺎرت ‪) criminal hacker‬ﻫﻜﺮ ﻣﺠﺮم( اﺳﺖ ﻛﻪ ﺑﻪ دﻧﺒﺎل اﻳﻦ اﺳﺖ ﻛﻪ اﻣﻨﻴﺖ‬ ‫ﺳﻴﺴﺘﻢ را ﺑﺪون اﺟﺎزه ﺑﺸﻜﻨﺪ‪ .‬ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ )‪ (ethical hacker‬ﺷﺨﺼﻲ اﺳﺖ ﻛﻪ ﺗﺴﺖﻫﺎي اﻣﻨﻴﺘﻲ و دﻳﮕﺮ ارزﻳﺎﺑﻲﻫﺎ‬ ‫را اﻧﺠﺎم ﻣﻲدﻫﺪ ﺗﺎ ﺑﻪ ﺳﺎزﻣﺎنﻫﺎ ﻛﻤﻚ ﻛﻨﺪ زﻳﺮﺳﺎﺧﺖﻫﺎﻳﺸﺎن را اﻣﻦ ﻛﻨﻨﺪ‪ .‬ﺑﻌﻀﻲ وﻗﺖﻫﺎ‪ ،‬ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ ﺑﻪ ﻋﻨﻮان‬ ‫ﻫﻜﺮﻫﺎي ﻛﻼه ﺳﻔﻴﺪ ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪10‬‬ ‫اﻫﺪاف ﺣﻤﻠﻪ ﻛﻨﻨﺪهﻫﺎ‬ ‫اﻣﻨﻴﺖ ﺷﺎﻣﻞ ﺳﻪ ﻋﻨﺼﺮ ﭘﺎﻳﻪاي اﺳﺖ‪:‬‬ ‫•‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ )‪(Confidentiality‬‬ ‫•‬ ‫ﻳﻜﭙﺎرﭼﮕﻲ )‪(Integrity‬‬ ‫•‬ ‫در دﺳﺘﺮس ﺑﻮدن )‪(Availability‬‬ ‫ﻫﺪف ﻫﻜﺮ‪ ،‬اﺳﺘﻔﺎده از آﺳﻴﺐ ﭘﺬﻳﺮي ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ اﺳﺖ ﺗﺎ ﺿﻌﻒﻫﺎي ﻳﻜﻲ از اﻳﻦ ﭘﺎﻳﻪﻫﺎ را در ﺳﻴﺴﺘﻢ ﻫﺪف‬ ‫ﭘﻴﺪا ﻛﻨﺪ‪ .‬ﻫﻜﺮ در اﻧﺠﺎم ﺣﻤﻠﻪ ‪ ،DoS‬ﻋﻨﺼﺮ دﺳﺘﺮﺳﻲ ﺳﻴﺴﺘﻢﻫﺎ و ﺷﺒﻜﻪﻫﺎ را ﻣﻮرد ﺣﻤﻠﻪ ﻗﺮار ﻣﻲدﻫﺪ‪ .‬ﻫﺮ ﭼﻨﺪ ﻛﻪ‬ ‫ﺣﻤﻠﻪ ‪ DoS‬ﻣﻲﺗﻮاﻧﺪ ﺷﻜﻞﻫﺎي ﻣﺨﺘﻠﻔﻲ داﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﻫﺪف اﺻﻠﻲ اﻳﻦ اﺳﺖ ﻛﻪ از ﻣﻨﺎﺑﻊ و ﭘﻬﻨﺎي ﺑﺎﻧﺪ اﺳﺘﻔﺎده ﺷﻮد‪ .‬در‬ ‫اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﺑﺎ ﺳﺮازﻳﺮ ﻛﺮدن ﭘﻴﻐﺎمﻫﺎي ورودي ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف‪ ،‬آن را ﻣﺠﺒﻮر ﺑﻪ ﺧﺎﻣﻮﺷﻲ ﻣﻲﻛﻨﺪ در ﻧﺘﻴﺠﻪ ﺳﺮوﻳﺲ‬ ‫ﻛﺎرﺑﺮان ﻣﺨﺘﻞ ﻣﻲﺷﻮد‪.‬‬ ‫ﺳﺮﻗﺖ اﻃﻼﻋﺎت‪ ،‬از ﻗﺒﻴﻞ ﺳﺮﻗﺖ ﭘﺴﻮردﻫﺎ ﻳﺎ دادهﻫﺎي دﻳﮕﺮ ﻛﻪ ﺑﺼﻮرت رﻣﺰ ﻧﺸﺪه در ﺷﺒﻜﻪ ارﺳﺎل ﻣﻲﺷﻮﻧﺪ‪،‬‬ ‫ﺑﺮاي ﺣﻤﻠﻪﻫﺎي ﻣﺤﺮﻣﺎﻧﮕﻲ‪ ،‬ﺑﺎﻟﻘﻮه ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﻪ دﻳﮕﺮان اﺟﺎزه دﺳﺘﺮﺳﻲ ﺑﻪ دادهﻫﺎ را ﻣﻲدﻫﻨﺪ‪ .‬ﻓﻘﻂ دادهﻫﺎي‬ ‫روي ﺷﺒﻜﻪﻫﺎ ﻧﻴﺴﺘﻨﺪ ﻛﻪ در ﻣﻌﺮض ﺳﺮﻗﺖ ﻗﺮار دارﻧﺪ ﺑﻠﻜﻪ ﻟﭗ ﺗﺎپﻫﺎ‪ ،‬دﻳﺴﻚﻫﺎ‪ ،‬و ﻧﻮارﻫﺎي ﭘﺸﺘﻴﺒﺎن ﻧﻴﺰ ﻫﻤﮕﻲ در‬ ‫ﻣﻌﺮض ﺧﻄﺮ ﻗﺮار دارﻧﺪ‪.‬‬ ‫ﺣﻤﻼت ﻣﻌﻜﻮس ﻛﺮدن وﺿﻌﻴﺖ ﺑﻴﺖ )‪ ،(bit-flipping‬ﺣﻤﻼﺗﻲ ﺑﺮاي ﻳﻜﭙﺎرﭼﮕﻲ ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﻣﻤﻜﻦ اﺳﺖ‬ ‫دادهﻫﺎ ﺗﻐﻴﻴﺮ ﻳﺎﺑﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢﻫﺎ ﻧﻤﻲﺗﻮاﻧﻨﺪ ﺗﺸﺨﻴﺺ دﻫﻨﺪ ﻛﻪ آﻳﺎ دادهﻫﺎ‪ ،‬ﻫﻤﺎنﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ‬ ‫ارﺳﺎلﻛﻨﻨﺪه ارﺳﺎل ﻛﺮده اﺳﺖ ﻳﺎ ﻧﻪ‪.‬‬ ‫ﻫﻚ ﻛﺮدن‪ ،‬ﺷﻜﺴﺘﻦ ﻳﻜﻲ از اﻳﻦ ﭘﺎﻳﻪ ﻫﺎﺳﺖ‪.‬‬ ‫‪11‬‬ ‫ﻣﺜﻠﺚ اﻣﻨﻴﺖ‪ ،‬ﻋﻤﻠﻜﺮد‪ ،‬و راﺣﺘﻲ اﺳﺘﻔﺎده‬ ‫ﻫﻴﭽﻜﺲ ﭘﻮل ﻧﺎﻣﺤﺪود ﺑﺮاي اﻣﻦ ﻛﺮدن ﻫﻤﻪ ﭼﻴﺰ ﻧﺪارد و ﻣﺎ ﻧﻤﻲﺗﻮاﻧﻴﻢ روﻳﻜﺮد ﻛﺎﻣﻼ اﻣﻨﻲ داﺷﺘﻪ ﺑﺎﺷﻴﻢ‪ .‬ﻳﻚ‬ ‫روش ﺑﺮاي اﻣﻦ ﻛﺮدن ﺳﻴﺴﺘﻢ از ﺣﻤﻠﻪ ﺷﺒﻜﻪاي‪ ،‬ﺟﺪا ﻛﺮدن ﻛﺎﺑﻞ ﺷﺒﻜﻪ آن ﻛﺎﻣﭙﻴﻮﺗﺮ اﺳﺖ در اﻳﻨﺼﻮرت اﻳﻦ ﺳﻴﺴﺘﻢ در‬ ‫ﻣﻘﺎﺑﻞ ﺣﻤﻼت ﻣﺒﺘﻨﻲ ﺑﺮ اﻳﻨﺘﺮﻧﺖ ﻛﺎﻣﻼ اﻣﻦ ﺧﻮاﻫﺪ ﺑﻮد اﻣﺎ ﻗﺎﺑﻠﻴﺖ اﺳﺘﻔﺎده از آن ﺑﻪ ﺷﺪت ﻛﺎﻫﺶ ﻣﻲﻳﺎﺑﺪ‪ .‬روﻳﻜﺮد‬ ‫ﻣﺘﻀﺎد آن اﺗﺼﺎل آن ﺑﻪ ﺷﺒﻜﻪ اﻳﻨﺘﺮﻧﺖ و ﻋﺪم اﺳﺘﻔﺎده از ﻫﺮ ﻧﻮع آﻧﺘﻲ وﻳﺮوس‪ ،‬وﺻﻠﻪﻫﺎي اﻣﻨﻴﺘﻲ و ﻓﺎﻳﺮوال اﺳﺖ ﻛﻪ‬ ‫ﺳﺒﺐ ﻣﻲﺷﻮد آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ اﻓﺰاﻳﺶ ﻳﺎﺑﺪ و ﻋﻠﻲ رﻏﻢ اﻓﺰاﻳﺶ ﻗﺎﺑﻠﻴﺖ اﺳﺘﻔﺎده‪ ،‬اﻣﻨﻴﺖ ﺑﻪ ﺷﺪت ﻛﺎﻫﺶ ﻣﻲﻳﺎﺑﺪ‪.‬‬ ‫ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻛﺎر ﻣﺘﺨﺼﺺ اﻣﻨﻴﺘﻲ‪ ،‬ﻳﺎﻓﺘﻦ ﺗﻌﺎدﻟﻲ ﺑﻴﻦ اﻣﻨﻴﺖ و دﺳﺘﺮﺳﻲ اﺳﺖ‪ .‬ﺷﻜﻞ زﻳﺮ اﻳﻦ ﻣﻔﻬﻮم را ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬ ‫ﻣﺜﻠﺚ اﻣﻨﻴﺖ‪ ،‬ﻋﻤﻠﻜﺮد‪ ،‬و راﺣﺘﻲ اﺳﺘﻔﺎده‬ ‫ﺑﺮاي ﻳﺎﻓﺘﻦ ﺗﻌﺎدل‪ ،‬ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﺪاﻧﻴﺪ اﻫﺪاف ﺳﺎزﻣﺎﻧﺘﺎن ﭼﻴﺴﺖ‪ ،‬اﻣﻨﻴﺖ ﭼﻴﺴﺖ و ﭼﮕﻮﻧﻪ ﺗﻬﺪﻳﺪات را ﺑﺮاي اﻣﻨﻴﺖ‬ ‫اﻧﺪازهﮔﻴﺮي ﻛﻨﻴﺪ‪ .‬اﮔﺮ اﻣﻨﻴﺖ زﻳﺎد ﺑﺎﺷﺪ ﺑﻪ ﺗﺪرﻳﺞ ﻛﺎرﺑﺮان ﺑﻪ آن ﺗﻮﺟﻪ ﻧﻤﻲﻛﻨﻨﺪ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ وﻇﻴﻔﻪ ﻳﻚ ﻣﺘﺨﺼﺺ اﻣﻨﻴﺘﻲ‪،‬‬ ‫ﻳﺎﻓﺘﻦ ﺗﻌﺎدل در اﻳﻦ ﻣﺜﻠﺚ اﺳﺖ‪.‬‬ ‫وﻗﺘﻲ اﻣﻨﻴﺖ از ﻳﻚ ﺣﺪي ﺑﺎﻻﺗﺮ ﻣﻲرود‪ ،‬ﻛﺎرﺑﺮان آن را ﻧﺎدﻳﺪه ﻣﻲﮔﻴﺮﻧﺪ‪.‬‬ ‫ﺗﺤﻘﻴﻖ آﺳﻴﺐ ﭘﺬﻳﺮي ﭼﻴﺴﺖ؟‬ ‫ﻓﺮآﻳﻨﺪ ﻛﺸﻒ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ و ﺿﻌﻒﻫﺎي ﻃﺮاﺣﻲ اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﻣﻨﺠﺮ ﺑﻪ ﺣﻤﻠﻪ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﺷﻮد‪ .‬ﺑﻌﻀﻲ‬ ‫از وب ﺳﺎﻳﺖﻫﺎ و اﺑﺰارﻫﺎ ﺑﻪ ﻫﻜﺮﻫﺎ ﻛﻤﻚ ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﻧﻘﺎط آﺳﻴﺐ ﭘﺬﻳﺮ ﺳﻴﺴﺘﻢﻫﺎ و ﻧﺤﻮه اﺳﺘﻔﺎده از آﻧﻬﺎ را ﻛﺸﻒ ﻛﻨﻨﺪ‪.‬‬ ‫ﺑﻨﺎﺑﺮاﻳﻦ ﻻزم اﺳﺖ ﻛﻪ ﻣﺪﻳﺮان ﺷﺒﻜﻪﻫﺎ‪ ،‬ﺳﻴﺴﺘﻢﻫﺎ و ﺷﺒﻜﻪﻫﺎﻳﺸﺎن را ﻋﺎري از وﻳﺮوس‪ ،‬ﺗﺮوﺟﺎن و اﻛﺴﭙﻠﻮﻳﺖﻫﺎ ﻧﮕﻪ دارﻧﺪ‪.‬‬ ‫ﻫﻤﭽﻨﻴﻦ ﺑﺎ ﺟﺪﻳﺪﺗﺮﻳﻦ ﺗﻬﺪﻳﺪات آﺷﻨﺎ ﺑﺎﺷﻨﺪ ﺗﺎ ﺑﺘﻮاﻧﻨﺪ ﺣﻤﻠﻪ را ﺗﺸﺨﻴﺺ دﻫﻨﺪ و از ﺑﺮوز آن ﺟﻠﻮﮔﻴﺮي ﻛﻨﻨﺪ‪.‬‬ ‫‪12‬‬ ‫ﺑﺮﺧﻲ از وب ﺳﺎﻳﺖﻫﺎي ﺗﺤﻘﻴﻖ درﺑﺎره آﺳﻴﺐ ﭘﺬﻳﺮي ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪http://nvd.nist.gov‬‬ ‫‪www.securitytracker.com‬‬ ‫‪www.microsoft.com/security‬‬ ‫‪www.securiteam.com‬‬ ‫‪www.packetstormsecurity.com‬‬ ‫‪www.hackerstorm.com‬‬ ‫‪www.hackerwatch.org‬‬ ‫‪www.securityfocous.com‬‬ ‫‪www.securitymagazine.com‬‬ ‫‪www.milworm.com‬‬ ‫روش ﻫﺎي اﺟﺮاي ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ‬ ‫ﻣﻌﻤﻮﻻ ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ ﺑﺼﻮرت ﺳﺎﺧﺖ ﻳﺎﻓﺘﻪ و ﺳﺎزﻣﺎندﻫﻲ ﺷﺪه و ﺑﻪ ﻋﻨﻮان ﺑﺨﺸﻲ از ﺗﺴﺖ ﻧﻔﻮذ ﻳﺎ ﺑﺎزرﺳﻲ‬ ‫اﻣﻨﻴﺘﻲ اﻧﺠﺎم ﻣﻲﺷﻮد‪ .‬ﻋﻤﻖ ﺗﺴﺖ ﺳﻴﺴﺘﻢﻫﺎ و ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬ﺑﺴﺘﻪ ﺑﻪ اﻫﻤﻴﺖ و ﻧﻴﺎز ﻣﺸﺘﺮي دارد‪.‬‬ ‫ﻣﺮاﺣﻞ زﻳﺮ ﺑﺮاي اﻧﺠﺎم ﺑﺎزرﺳﻲ اﻣﻨﻴﺘﻲ ﺑﺮاي ﺳﺎزﻣﺎن اﺳﺖ‪:‬‬ ‫‪ .1‬ﺗﻤﺎس ﺑﺎ ﻣﺸﺘﺮي و ﺑﺤﺚ ﺑﺎ او در ﻣﻮرد ﻧﻴﺎزﻫﺎﻳﻲ ﻛﻪ در ﺗﺴﺖ ﺑﺎﻳﺪ ﻣﻮرد ﺗﻮﺟﻪ ﻗﺮار ﮔﻴﺮﻧﺪ‬ ‫‪ .2‬آﻣﺎده ﺳﺎزي و اﻣﻀﺎي ﺗﻌﻬﺪﻧﺎﻣﻪ ﻣﻨﻊ اﻓﺸﺎي اﻃﻼﻋﺎت )‪ (NDA‬ﺑﺎ ﻣﺸﺘﺮي‬ ‫‪ .3‬ﺳﺎزﻣﺎندﻫﻲ ﺗﻴﻢ ﻫﻚ و آﻣﺎدهﺳﺎزي ﺑﺮﻧﺎﻣﻪ ﺑﺮاي ﺗﺴﺖ‬ ‫‪ .4‬اﻧﺠﺎم ﺗﺴﺖ‬ ‫‪ .5‬ﺗﺤﻠﻴﻞ ﻧﺘﺎﻳﺞ ﺗﺴﺖ و آﻣﺎدهﺳﺎزي ﮔﺰارش‬ ‫‪ .6‬اراﺋﻪ ﮔﺰارش ﺑﻪ ﻣﺸﺘﺮي‬ ‫‪13‬‬ ‫ﺑﺮﻧﺎﻣﻪ ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ‬ ‫ﺑﺴﻴﺎري از ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ‪ ،‬از ﻣﻬﺎرت اﻣﻨﻴﺘﻲ ﺧﻮد ﺟﻬﺖ ارزﻳﺎﺑﻲ و ﺗﺴﺖﻫﺎي ﻧﻔﻮذ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬اﻳﻦ‬ ‫ﺗﺴﺖﻫﺎ و ارزﻳﺎﺑﻲﻫﺎ‪ ،‬ﺳﻪ ﻣﺮﺣﻠﻪ دارد‪:‬‬ ‫ﻣﺮﺣﻠﻪ آﻣﺎدهﺳﺎزي‪ ،‬ﺗﻮاﻓﻖ رﺳﻤﻲ ﺑﻴﻦ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ و ﺳﺎزﻣﺎن اﺳﺖ‪ .‬اﻳﻦ ﺗﻮاﻓﻖ‪ ،‬ﺑﺎﻳﺪ ﻛﻞ داﻣﻨﻪ ﺗﺴﺖ و ﻧﻮع‬ ‫ﺣﻤﻼت و ﻧﻮع ﺗﺴﺖ را ﺷﺎﻣﻞ ﺷﻮد‪.‬‬ ‫اﻧﻮاع ﺣﻤﻼت ﻗﺎﻧﻮﻧﻤﻨﺪ‬ ‫ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ‪ ،‬در ﻃﻮل ﺷﺒﻴﻪ ﺳﺎزي ﺣﻤﻠﻪ ﻳﺎ ﺗﺴﺖ ﻧﻔﻮذ‪ ،‬از روشﻫﺎي زﻳﺎدي ﺑﺮاي ﺑﻪ ﺧﻄﺮ اﻧﺪاﺧﺘﻦ اﻣﻨﻴﺖ‬ ‫ﺳﺎزﻣﺎن اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﻣﻬﻢﺗﺮﻳﻦ روشﻫﺎ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫ﺷﺒﻜﻪ راه دور )‪ :(remote‬در اﻳﻦ ﺣﻤﻠﻪ ﺳﻌﻲ ﻣﻲﺷﻮد ﻛﻪ ﺣﻤﻠﻪ از ﻃﺮﻳﻖ اﻳﻨﺘﺮﻧﺖ ﺷﺒﻴﻪ ﺳﺎزي ﺷﻮد‪ .‬ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ‪،‬‬ ‫ﺗﻼش ﻣﻲﻛﻨﺪ ﺗﺎ در دﺳﺘﮕﺎهﻫﺎي دﻓﺎﻋﻲ ﺷﺒﻜﻪ از ﻗﺒﻴﻞ ﻓﺎﻳﺮوال‪ ،‬ﭘﺮوﻛﺴﻲ‪ ،‬ﻳﺎ روﺗﺮ آﺳﻴﺐ ﭘﺬﻳﺮي ﭘﻴﺪا ﻛﻨﺪ‪.‬‬ ‫ﺷﺒﻜﻪ راه دور ‪ :dial-up‬در اﻳﻦ ﺣﻤﻠﻪ ﺳﻌﻲ ﻣﻲﺷﻮد ﻛﻪ ﺑﻪ ﻣﻮدمﻫﺎي ﻣﺸﺘﺮي ﺣﻤﻠﻪ ﺷﻮد‪ ،War dialing .‬ﻓﺮآﻳﻨﺪ‬ ‫ﺗﻜﺮار ﺗﻤﺎس ﺑﺮاي ﻳﺎﻓﺘﻦ ﺳﻴﺴﺘﻢ ﺑﺎز اﺳﺖ‪.‬‬ ‫ﺷﺒﻜﻪ ﻣﺤﻠﻲ‪ :‬اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﺷﺨﺼﻲ را ﺷﺒﻴﻪ ﺳﺎزي ﻣﻲﻛﻨﺪ ﻛﻪ دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ و ﻏﻴﺮ ﻣﺠﺎز ﺑﻪ ﺷﺒﻜﻪ دارد‪ .‬ﺑﺮاي اﻧﺠﺎم‬ ‫اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ ﺑﺎﻳﺪ ﺑﻪ ﺷﺒﻜﻪ دﺳﺘﺮﺳﻲ ﻣﺴﺘﻘﻴﻢ داﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬ ‫ﺳﺮﻗﺖ ﺗﺠﻬﻴﺰات‪ :‬در اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﺳﺮﻗﺖ ﻣﻨﺎﺑﻊ اﻃﻼﻋﺎﺗﻲ ﻣﻬﻢ از ﻗﺒﻴﻞ ﻟﭗ ﺗﺎپﻫﺎي ﻛﺎرﻣﻨﺪان‪ ،‬ﺷﺒﻴﻪ ﺳﺎزي ﻣﻲﺷﻮد‪ .‬ﺑﺎ‬ ‫ﺳﺮﻗﺖ ﻟﭗ ﺗﺎپ‪ ،‬اﻃﻼﻋﺎﺗﻲ ﻫﻤﭽﻮن ﻧﺎم ﻛﺎرﺑﺮي‪ ،‬ﭘﺴﻮردﻫﺎ‪ ،‬ﺗﻨﻈﻴﻤﺎت اﻣﻨﻴﺘﻲ و اﻧﻮاع رﻣﺰﮔﺬاري ﺑﺪﺳﺖ ﻣﻲآﻳﺪ‪.‬‬ ‫‪14‬‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ :‬اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﻛﺎرﻣﻨﺪان ﺳﺎزﻣﺎن را ﺑﺎ اﺳﺘﻔﺎده از ﺗﻠﻔﻦ ﻳﺎ ارﺗﺒﺎﻃﺎت رو در رو ﺑﺮاي ﺟﻤﻊآوري‬ ‫اﻃﻼﻋﺎت ﻣﻮرد ﻧﻴﺎز ﺣﻤﻠﻪ‪ ،‬ﻣﻮرد ارزﻳﺎﺑﻲ ﻗﺮار ﻣﻲدﻫﻨﺪ‪ .‬ﺣﻤﻼت ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬ﺑﺮاي ﺑﺪﺳﺖ آوردن ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي‪،‬‬ ‫ﭘﺴﻮردﻫﺎ‪ ،‬ﻳﺎ دﻳﮕﺮ اﻃﻼﻋﺎت اﻣﻨﻴﺘﻲ ﺳﺎزﻣﺎﻧﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫ورود ﻓﻴﺰﻳﻜﻲ‪ :‬اﻳﻦ ﺣﻤﻠﻪ ﺗﻼش ﻣﻲﻛﻨﺪ ﺗﺎ ﻣﺤﻴﻂ ﻓﻴﺰﻳﻜﻲ ﺳﺎزﻣﺎن را ﺑﻪ ﺧﻄﺮ ﺑﻴﺎﻧﺪازد‪ .‬ﻳﻌﻨﻲ ﺑﺎ دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﺑﻪ‬ ‫آن‪ ،‬ﻣﻲﺗﻮاﻧﺪ وﻳﺮوسﻫﺎ‪ ،‬ﺗﺮوﺟﺎنﻫﺎ‪rootkit ،‬ﻫﺎ ﻳﺎ ‪key logger‬ﻫﺎي ﺳﺨﺖاﻓﺰاري را ﺑﺮ روي ﺳﻴﺴﺘﻢﻫﺎي ﺷﺒﻜﻪ ﻫﺪف‬ ‫ﻧﺼﺐ ﻛﻨﺪ‪.‬‬ ‫اﻧﻮاع ﺗﺴﺖ‬ ‫ﺗﺴﺖ اﻣﻨﻴﺘﻲ‪ ،‬اوﻟﻴﻦ ﻛﺎر ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ اﺳﺖ‪ .‬ﻣﻤﻜﻦ اﺳﺖ اﻳﻦ ﺗﺴﺖﻫﺎ در ﺣﺎﻟﺘﻲ ﺑﺎﺷﺪ ﻛﻪ ﻫﻜﺮﻫﺎ ﻫﻴﭻ داﻧﺶ‬ ‫ﻳﺎ داﻧﺶ ﺟﺰﺋﻲ در ﻣﻮرد ﻫﺪف ﻣﻮرد ارزﻳﺎﺑﻲ )‪ (target of evaluation‬داﺷﺘﻪ ﺑﺎﺷﻨﺪ و ﻳﺎ اﻳﻨﻜﻪ ﻫﻤﻪ اﻃﻼﻋﺎت ﻻزم را‬ ‫داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬ ‫ﺗﺴﺖ ﺑﺪون داﻧﺶ )ﺟﻌﺒﻪ ﺳﻴﺎه(‬ ‫ﺗﺴﺘﻲ ﻛﻪ ﺑﺪون ﻫﻴﭻ داﻧﺸﻲ ﺻﻮرت ﻣﻲﮔﻴﺮد ﺑﺎ ﻧﺎم ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه )‪ (Black box‬ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪ .‬ﺑﻪ ﺑﻴﺎﻧﻲ‬ ‫ﺳﺎدهﺗﺮ‪ ،‬ﺗﻴﻢ اﻣﻨﻴﺘﻲ ﻫﻴﭻ داﻧﺸﻲ در ﻣﻮرد ﺷﺒﻜﻪ ﻳﺎ ﺳﻴﺴﺘﻢﻫﺎي ﻫﺪف ﻧﺪارﻧﺪ‪ .‬ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه‪ ،‬ﻳﻚ ﻫﻜﺮ ﺧﺎرﺟﻲ را‬ ‫ﺷﺒﻴﻪ ﺳﺎزي ﻣﻲﻛﻨﺪ ﻛﻪ ﻫﻴﭻ داﻧﺸﻲ در ﻣﻮرد ﺷﺒﻜﻪ ﻳﺎ ﺳﻴﺴﺘﻢﻫﺎي ﻫﺪف ﻧﺪارد‪ .‬ﺣﻤﻠﻪ ﻛﻨﻨﺪه ﺑﺎﻳﺴﺘﻲ ﻫﻤﻪ اﻃﻼﻋﺎت را‬ ‫در ﻣﻮرد ﻫﺪف ﺑﺪﺳﺖ آورد‪ .‬ﻣﺰاﻳﺎي ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‬ ‫ﺗﺴﺖ واﻗﻌﻲ اﻣﻨﻴﺖ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﻃﺮاح ﺷﺒﻜﻪ و ﺗﺴﺖ ﻛﻨﻨﺪه ﻣﺴﺘﻘﻞ از ﻳﻜﺪﻳﮕﺮﻧﺪ‪.‬‬ ‫‬ ‫ﺗﺴﺖ ﻛﻨﻨﺪه‪ ،‬داﻧﺶ ﻗﺒﻠﻲ از ﺷﺒﻜﻪ ﻫﺪف ﻧﺪارد‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬اﻳﺪهﻫﺎ ﻳﺎ اﻓﻜﺎر ﻗﺒﻠﻲ در ﻣﻮرد ﻋﻤﻠﻜﺮد ﺷﺒﻜﻪ ﻧﺪارد‪.‬‬ ‫‬ ‫ﺗﺴﺖ‪ ،‬ﻫﺪف را از دﻳﺪ ﺣﻤﻠﻪ ﻛﻨﻨﺪه ﺧﺎرﺟﻲ آزﻣﺎﻳﺶ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﻣﻌﺎﻳﺐ ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‬ ‫زﻣﺎن ﺑﻴﺸﺘﺮي ﺑﺮاي ﺗﺴﺖﻫﺎي اﻣﻨﻴﺘﻲ ﺻﺮف ﻣﻲﻛﻨﺪ‪.‬‬ ‫‬ ‫ﻣﻌﻤﻮﻻ ﺑﺴﻴﺎر ﮔﺮان ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ زﻣﺎن ﺑﻴﺸﺘﺮي را ﺻﺮف ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫‬ ‫ﺗﻨﻬﺎ ﺑﺮ روي آﻧﭽﻪ ﻛﻪ ﻫﻜﺮﻫﺎي ﺧﺎرﺟﻲ ﻣﻲﺑﻴﻨﻨﺪ ﺗﻤﺮﻛﺰ ﻣﻲﻛﻨﺪ در ﺣﺎﻟﻴﻜﻪ در واﻗﻌﻴﺖ‪ ،‬اﻏﻠﺐ ﻫﻜﺮﻫﺎ ﺗﻮﺳﻂ‬ ‫ﻛﺎرﻣﻨﺪان داﺧﻠﻲ ﺷﺮوع ﺑﻪ ﻛﺎر ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫‪15‬‬ ‫ﺗﺴﺖ ﺑﺎ داﻧﺶ ﻛﺎﻣﻞ )ﺟﻌﺒﻪ ﺳﻔﻴﺪ(‬ ‫ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻔﻴﺪ‪ ،‬روﻳﻜﺮد ﻣﺘﻀﺎد در ﺑﺮاﺑﺮ ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه دارد‪ .‬اﻳﻦ ﺷﻜﻞ از ﺗﺴﺖ اﻣﻨﻴﺘﻲ‪ ،‬ﻓﺮض ﻣﻲﺷﻮد ﻛﻪ‬ ‫ﺗﺴﺖ ﻛﻨﻨﺪه اﻣﻨﻴﺘﻲ‪ ،‬داﻧﺶ ﻛﺎﻣﻞ از ﺷﺒﻜﻪ‪ ،‬ﺳﻴﺴﺘﻢﻫﺎ و زﻳﺮﺳﺎﺧﺖ دارد‪ .‬اﻳﻦ اﻃﻼﻋﺎت ﺑﻪ ﺗﺴﺖ ﻛﻨﻨﺪه اﺟﺎزه ﻣﻲدﻫﺪ‬ ‫روﻳﻜﺮد ﺳﺎﺧﺖ ﻳﺎﻓﺘﻪ داﺷﺘﻪ ﺑﺎﺷﺪ و ﺗﻨﻬﺎ ﺑﺮ روي اﻃﻼﻋﺎت ﻣﻮﺟﻮد اﻛﺘﻔﺎ ﻧﻜﻨﺪ و ﺻﺤﺖ و دﻗﺖ آﻧﻬﺎ را ﻫﻢ ﺑﺮرﺳﻲ ﻛﻨﺪ‪.‬‬ ‫ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻫﺮ ﭼﻨﺪ ﻛﻪ ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه زﻣﺎن ﺑﻴﺸﺘﺮي ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت ﻣﻲﮔﻴﺮد‪ ،‬ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻔﻴﺪ آن زﻣﺎن را‬ ‫ﺑﺮاي ﻳﺎﻓﺘﻦ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ ﺻﺮف ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺗﺴﺖ ﺑﺎ داﻧﺶ ﺟﺰﺋﻲ )ﺟﻌﺒﻪ ﺧﺎﻛﺴﺘﺮي(‬ ‫در دﻧﻴﺎي ﺗﺴﺖ ﻧﺮماﻓﺰار‪ ،‬ﺗﺴﺖ ﺟﻌﺒﻪ ﺧﺎﻛﺴﺘﺮي‪ ،‬ﺑﻪ ﻋﻨﻮان ﺗﺴﺖ ﺑﺎ داﻧﺶ ﺟﺰﺋﻲ ﺗﻠﻘﻲ ﻣﻲﺷﻮد‪ .‬در اﻳﻦ ﺗﺴﺖ‪،‬‬ ‫ﻫﺪف اﻳﻦ اﺳﺖ ﻛﻪ ﺑﺪاﻧﻴﻢ ﻛﺎرﻣﻨﺪان ﭼﻪ ﭼﻴﺰي را ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ دﺳﺖ آورﻧﺪ‪ .‬اﻳﻦ ﻧﻮع ﺗﺴﺖ‪ ،‬ﻣﻤﻜﻦ اﺳﺖ ﺑﺮاي ﺳﺎزﻣﺎنﻫﺎ‬ ‫ﺑﺴﻴﺎر ﻣﻔﻴﺪ ﺑﺎﺷﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺴﻴﺎري از ﺣﻤﻼت ﺗﻮﺳﻂ ﻛﺎرﻣﻨﺪان داﺧﻞ ﺳﺎزﻣﺎن ﺷﺮوع ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪16‬‬ ‫ﮔﺰارش ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ‬ ‫ﮔﺰارش ﺑﺎﻳﺪ ﺷﺎﻣﻞ ﺟﺰﺋﻴﺎت ﻧﺘﺎﻳﺞ ﺑﺪﺳﺖ آﻣﺪه ﺑﺎﺷﺪ‪ .‬آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ ﺑﺎﻳﺪ ﺑﻪ ﻋﻨﻮان رﻳﺴﻚ ﺑﺤﺚ ﺷﻮﻧﺪ‪ .‬ﮔﺰارش‬ ‫ﺑﺎﻳﺪ ﺷﺎﻣﻞ ﻧﺘﺎﻳﺞ ارزﻳﺎﺑﻲ ﺑﻪ ﺻﻮرت ﺳﺎده‪ ،‬ﻗﺎﺑﻞ ﻓﻬﻢ‪ ،‬و ﻗﺎﺑﻞ ردﮔﻴﺮي ﺑﺎﺷﺪ‪ .‬ﺑﺎﻳﺴﺘﻲ ﮔﺰارش ﺑﺼﻮرت ﻓﺮاﮔﻴﺮ و ﺧﻮدآﻣﻮز‬ ‫ﺑﺎﺷﺪ‪ .‬اﻏﻠﺐ ﮔﺰارﺷﺎت ﺷﺎﻣﻞ ﺑﺨﺶﻫﺎي زﻳﺮ ﻫﺴﺘﻨﺪ‪:‬‬ ‫ ﻣﻘﺪﻣﻪ‬ ‫ ﺑﻴﺎن ﻛﺎرﻫﺎي اﻧﺠﺎم ﺷﺪه‬ ‫ ﻧﺘﺎﻳﺞ‬ ‫ ﭘﻴﺸﻨﻬﺎدات‬ ‫از آﻧﺠﺎﺋﻴﻜﻪ ﺑﺴﻴﺎري از ﺷﺮﻛﺖﻫﺎ‪ ،‬ﺑﻨﺎﺑﺮ دﻻﻳﻞ ﻣﺎﻟﻲ ﻧﻤﻲﺗﻮاﻧﻨﺪ ﻫﻤﻪ ﭼﻴﺰ را اﻣﻦ ﻛﻨﻨﺪ‪ ،‬ﻟﺬا ﺑﺎﻳﺴﺘﻲ ﭘﻴﺸﻨﻬﺎدات‬ ‫ﺑﺼﻮرت رﻳﺴﻚ ﭘﺮ ﺧﻄﺮ ﺗﺎ ﻛﻢ ﺧﻄﺮ ﻣﺮﺗﺐ ﺷﻮﻧﺪ‪ .‬ﻳﻌﻨﻲ رﻳﺴﻚﻫﺎي ﻣﻬﻢﺗﺮ در ﺑﺎﻻي ﻟﻴﺴﺖ ﻗﺮار ﮔﻴﺮﻧﺪ‪.‬‬ ‫ﺑﺎﻳﺴﺘﻲ ﮔﺰارش را ﺑﺼﻮرت ﻛﺎﻣﻼ اﻣﻦ در ﻳﻚ وﺳﻴﻠﻪ ذﺧﻴﺮهﺳﺎزي اﻟﻜﺘﺮوﻧﻴﻜﻲ ذﺧﻴﺮه ﻛﻨﻴﺪ و از رﻣﺰﮔﺬاري‬ ‫اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪ .‬ﻧﺴﺨﻪ ﭼﺎﭘﻲ از ﮔﺰارش ﺑﺼﻮرت ﻣﺤﺮﻣﺎﻧﻪ ﺑﺮﭼﺴﺐ ﮔﺬاري ﺷﻮد و ﻣﺮاﻗﺒﺖﻫﺎي ﻛﺎﻓﻲ از آن ﺑﺮاي ﺟﻠﻮﮔﻴﺮي‬ ‫از دﺳﺘﺮﺳﻲ اﺷﺨﺎص ﻏﻴﺮ ﻣﺠﺎز ﺑﻪ ﻋﻤﻞ آﻳﺪ‪.‬‬ ‫‪17‬‬ ‫ﻓﺼﻞ دوم‬ ‫ﺟﻤﻊ آوري اﻃﻼﻋﺎت و ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‬ ‫ﻣﻘﺪﻣﻪ‬ ‫اﻳﻦ ﻓﺼﻞ در ﻣﻮرد اوﻟﻴﻦ ﺑﺨﺶ از ﻓﺮآﻳﻨﺪ ﻫﻚ ﻛﻪ ﺟﻤﻊآوري اﻃﻼﻋﺎت )‪ (footprinting‬اﺳﺖ ﺑﺤﺚ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،footprinting‬ﻓﺮآﻳﻨﺪ ﺟﻤﻊآوري ﺗﻤﺎم اﻃﻼﻋﺎت ﻗﺎﺑﻞ دﺳﺘﺮس در ﻣﻮرد ﻳﻚ ﺳﺎزﻣﺎن اﺳﺖ‪ .‬اﻳﻦ اﻃﻼﻋﺎت ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي‬ ‫ﻓﺮآﻳﻨﺪ ﻫﻚ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪ .‬ﮔﺎﻫﻲ اوﻗﺎت‪ ،‬اﻳﻦ اﻃﻼﻋﺎت ﺑﺮاي اﻧﺠﺎم ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻧﻴﺰ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲﮔﻴﺮﻧﺪ‪.‬‬ ‫در اﻳﻦ ﻓﺼﻞ در ﻣﻮرد ﻫﺮ دو روش ﻫﻚ ﺑﻪ ﺗﻔﺼﻴﻞ ﺗﻮﺿﻴﺢ ﺧﻮاﻫﻴﻢ داد‪.‬‬ ‫‪Footprinting‬‬ ‫‪ ،Footprinting‬ﺑﺨﺸﻲ از ﻣﺮﺣﻠﻪ ﭘﻴﺶ از ﺣﻤﻠﻪ اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﺟﻤﻊآوري اﻃﻼﻋﺎت ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﻣﻌﻤﺎري و ﻣﺤﻴﻂ‬ ‫ﻫﺪف ﻣﻲﺑﺎﺷﺪ و ﻣﻌﻤﻮﻻ ﺑﺮاي ﻳﺎﻓﺘﻦ روﺷﻲ ﺟﻬﺖ ﻧﻔﻮذ ﺑﻪ ﻣﺤﻴﻂ‪ ،‬اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ ،Footprinting .‬آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي‬ ‫ﺳﻴﺴﺘﻢ را ﻛﺸﻒ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ‪ ،‬ﺳﺎدهﺗﺮﻳﻦ روش ﺑﺮاي ﻫﻜﺮﻫﺎ ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت در ﻣﻮرد ﺳﻴﺴﺘﻢﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮي‬ ‫ﻫﺪف اﺳﺖ‪ .‬ﻫﺪف اﻳﻦ ﻣﺮﺣﻠﻪ اﻳﻦ اﺳﺖ ﻛﻪ ﺗﺎ ﺟﺎﺋﻴﻜﻪ اﻣﻜﺎن دارد در ﻣﻮرد ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﭘﻮرتﻫﺎ و ﺳﺮوﻳﺲﻫﺎ‪ ،‬و ﺟﻨﺒﻪﻫﺎي‬ ‫اﻣﻨﻴﺘﻲ آﻧﻬﺎ اﻃﻼﻋﺎت ﻛﺴﺐ ﻛﻨﻴﻢ‪.‬‬ ‫ﺗﻌﺮﻳﻒ ‪Footprinting‬‬ ‫‪ ،Footprinting‬ﻓﺮآﻳﻨﺪ ﺳﺎﺧﺖ ﻧﻘﺸﻪاي از ﺷﺒﻜﻪ ﺳﺎزﻣﺎن و ﺳﻴﺴﺘﻢﻫﺎ اﺳﺖ‪ Footprinting .‬ﺑﺎ ﺗﻌﻴﻴﻦ ﺳﻴﺴﺘﻢ‪،‬‬ ‫ﺑﺮﻧﺎﻣﻪ‪ ،‬ﻳﺎ ﻣﻜﺎن ﻓﻴﺰﻳﻜﻲ ﻣﻘﺼﺪ ﺷﺮوع ﻣﻲﺷﻮد‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬وب ﺳﺎﻳﺖ ﺳﺎزﻣﺎن‪ ،‬اﻃﻼﻋﺎت ﭘﺮﺳﻨﻞ را دارد و ﻣﻲﺗﻮاﻧﺪ ﺑﻪ‬ ‫ﻫﻜﺮ ﺟﻬﺖ اﻧﺠﺎم ﺣﻤﻠﻪ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻛﻤﻚ ﻛﻨﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮ ﺑﺎ اﺳﺘﻔﺎده از ﺟﺴﺘﺠﻮي ﮔﻮﮔﻞ ﻳﺎ‬ ‫ﻳﺎﻫﻮ‪ ،‬اﻃﻼﻋﺎت ﻛﺎرﻛﻨﺎن آن ﺳﺎزﻣﺎن را ﺑﺪﺳﺖ آورد‪.‬‬ ‫‪19‬‬ ‫ﻣﻮﺗﻮر ﺟﺴﺘﺠﻮي ﮔﻮﮔﻞ‪ ،‬روﺷﻲ ﺧﻼﻗﺎﻧﻪ ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت اﺳﺖ‪ .‬اﺳﺘﻔﺎده از ﻣﻮﺗﻮر ﺟﺴﺘﺠﻮي ﮔﻮﮔﻞ ﺑﺮاي‬ ‫ﺑﺎزﻳﺎﺑﻲ اﻃﻼﻋﺎت‪ ،‬ﺑﻪ ﻋﻨﻮان ‪ Google hacking‬ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪ http://groups.google.com .‬ﺑﺮاي ﺟﺴﺘﺠﻮ درﺑﺎره‬ ‫ﮔﺮوهﻫﺎي ﺧﺒﺮي ﮔﻮﮔﻞ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬ﻫﻤﭽﻨﻴﻦ ‪ http://people.yahoo.com‬و ‪ http://www.intellius.com‬ﺑﺮاي‬ ‫ﭘﻴﺪا ﻛﺮدن اﻃﻼﻋﺎت اﻓﺮاد ﺑﻪ ﻛﺎر ﻣﻲروﻧﺪ‪ .‬از دﺳﺘﻮرات زﻳﺮ ﻣﻲﺗﻮان ﺑﺮاي ‪ Google hacking‬اﺳﺘﻔﺎده ﻛﺮد‪:‬‬ ‫•‬ ‫‪ ،Site‬داﺧﻞ ﺳﺎﻳﺖ ﻳﺎ داﻣﻴﻦ را ﺟﺴﺘﺠﻮ ﻣﻲﻛﻨﺪ‪ .‬وب ﺳﺎﻳﺖ ﻳﺎ داﻣﻴﻦ ﻣﻮرد ﺟﺴﺘﺠﻮ ﺑﺎﻳﺪ ﺑﻌﺪ از ﻛﻮﻟﻦ ﺑﻨﻮﻳﺴﻴﺪ‪.‬‬ ‫•‬ ‫‪ ،Filetype‬ﺟﺴﺘﺠﻮ را ﻓﻘﻂ ﺑﺮاي ﻧﻮع ﺧﺎﺻﻲ از ﻓﺎﻳﻞ اﻧﺠﺎم ﻣﻲدﻫﺪ‪ ،‬ﺑﺎﻳﺪ ﻧﻮع ﻓﺎﻳﻞ را ﺑﻌﺪ از ﻛﻮﻟﻦ ﺑﻨﻮﻳﺴﻴﺪ‪.‬‬ ‫•‬ ‫‪ ،Link‬داﺧﻞ ‪hyperlink‬ﻫﺎ‪ ،‬ﻳﻚ ﻛﻠﻤﻪ را ﺟﺴﺘﺠﻮ و ﺻﻔﺤﺎت ﻟﻴﻨﻚ ﺷﺪه را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬ ‫‪ ،Cache‬ﻧﺴﺨﻪ ﻳﻚ ﺻﻔﺤﻪ وب را ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‪ .‬آدرس ﺳﺎﻳﺖ را ﺑﺎﻳﺪ ﺑﻌﺪ از ﻛﻮﻟﻦ ذﻛﺮ ﻛﻨﻴﺪ‪.‬‬ ‫•‬ ‫‪ ،Intitle‬ﺑﻪ دﻧﺒﺎل ﻛﻠﻤﻪاي در داﺧﻞ ﻋﻨﻮان ﻳﻚ ﻓﺎﻳﻞ ﻣﻲﮔﺮدد‪.‬‬ ‫•‬ ‫‪ ،Inurl‬ﺗﻨﻬﺎ داﺧﻞ آدرس ﻳﻚ ﻓﺎﻳﻞ ﺟﺴﺘﺠﻮ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎﻳﺪ ﻛﻠﻤﻪ ﻣﻮرد ﺟﺴﺘﺠﻮ را ﺑﻌﺪ از ﻛﻮﻟﻦ ذﻛﺮ ﻛﻨﻴﺪ‪.‬‬ ‫ﺑﺮاي ﻣﺜﺎل‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از دﺳﺘﻮر زﻳﺮ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ اﻧﻮاع ﻣﺸﺨﺺ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺑﺮﻧﺎﻣﻪﻫﺎي وب اﺳﺘﻔﺎده‬ ‫ﻛﻨﺪ‪INURL: [“parameter=”] with FILETYPE: [ext] and INURL: [scriptname] :‬‬ ‫و ﻳﺎ اﻳﻨﻜﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از ﻋﺒﺎرت زﻳﺮ ﺑﺮاي ﺳﺮورﻫﺎي ‪ Novell BorderManager‬اﺳﺘﻔﺎده ﻛﻨﺪ‪:‬‬ ‫”‪Intiltle: “BorderManager information alert‬‬ ‫ﺑﺮاي ﭘﻴﺪا ﻛﺮدن اﻃﻼﻋﺎﺗﻲ درﺑﺎره ﻳﻚ ﺷﺮﻛﺖ ﻳﺎ ﭘﺮﺳﻨﻞ‪ ،‬ﻣﻲﺗﻮان از ﮔﺮوهﻫﺎي ﺧﺒﺮي‪ ،‬اﺧﺒﺎر ﻣﻨﺘﺸﺮ ﺷﺪه و‬ ‫ﺑﻼگﻫﺎ اﺳﺘﻔﺎده ﻛﺮد‪ .‬ﭘﺴﺖﻫﺎي ﺷﻐﻠﻲ ﺳﺎزﻣﺎﻧﻲ ﻣﻲﺗﻮاﻧﻨﺪ اﻃﻼﻋﺎﺗﻲ در ﻣﻮرد ﻧﻮع ﺳﺮورﻫﺎ ﻳﺎ دﺳﺘﮕﺎهﻫﺎي زﻳﺮﺳﺎﺧﺘﻲ‬ ‫ﺷﺒﻜﻪ ﺷﺮﻛﺖ ﺑﻪ ﺷﻤﺎ ﺑﺪﻫﻨﺪ‪.‬‬ ‫اﻃﻼﻋﺎت دﻳﮕﺮي ﻛﻪ ﻣﻲﺗﻮان در اﻳﻦ ﻣﺮﺣﻠﻪ در ﻣﻮرد ﻫﺪف ﺑﻪ دﺳﺖ آورد ﻋﺒﺎرﺗﻨﺪ از‪ :‬ﺗﻜﻨﻮﻟﻮژيﻫﺎي اﻳﻨﺘﺮﻧﺘﻲ‪،‬‬ ‫ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و ﺳﺨﺖاﻓﺰارﻫﺎي ﻣﻮرد اﺳﺘﻔﺎده‪ ،‬آدرسﻫﺎي ‪ IP‬ﻓﻌﺎل‪ ،‬آدرسﻫﺎي ﭘﺴﺖ اﻟﻜﺘﺮوﻧﻴﻜﻲ و ﺷﻤﺎره ﺗﻠﻔﻦﻫﺎ‪ ،‬و‬ ‫ﺳﻴﺎﺳﺖﻫﺎ و ﻓﺮآﻳﻨﺪﻫﺎي ﺳﺎزﻣﺎﻧﻲ اﺳﺖ‪.‬‬ ‫ﻫﻜﺮ‪ %90 ،‬از زﻣﺎن را ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت ﺑﺮ روي ﻫﺪف و ‪ %10‬دﻳﮕﺮ را ﺑﺮ روي اﻧﺠﺎم ﺣﻤﻠﻪ ﺻﺮف ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪20‬‬ ‫ﻣﺘﺪﻟﻮژيﻫﺎي ﺟﻤﻊآوري اﻃﻼﻋﺎت‬ ‫ﺟﻤﻊآوري اﻃﻼﻋﺎت‪ ،‬ﺑﻪ ﻫﻔﺖ ﻣﺮﺣﻠﻪ ﺗﻘﺴﻴﻢ ﻣﻲﺷﻮد‪ .‬ﻓﺮآﻳﻨﺪ ‪ ،footprinting‬در ﻃﻮل دو ﻣﺮﺣﻠﻪ اول اﻧﺠﺎم‬ ‫ﻣﻲﺷﻮد‪ .‬ﺑﺮﺧﻲ از ﻣﻨﺎﺑﻌﻲ ﻛﻪ ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪Domain name lookup‬‬ ‫‪Whois‬‬ ‫‪Nslookup‬‬ ‫‪Sam Spade‬‬ ‫ﻫﻔﺖ ﻣﺮﺣﻠﻪ ﺟﻤﻊآوري اﻃﻼﻋﺎت‬ ‫ﻗﺒﻞ از اﻳﻨﻜﻪ در ﻣﻮرد اﻳﻦ اﺑﺰارﻫﺎ ﺑﺤﺚ ﻛﻨﻴﻢ‪ ،‬ﺑﻪ ﺧﺎﻃﺮ داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﻛﻪ اﻃﻼﻋﺎت ﺑﺎز ﻣﻮﺟﻮد‪ ،‬اﻃﻼﻋﺎت ﺑﺎ ارزﺷﻲ‬ ‫در ﻣﻮرد ﻫﺪف ﻫﺴﺘﻨﺪ از ﻗﺒﻴﻞ ﺷﻤﺎره ﺗﻠﻔﻦﻫﺎ و آدرسﻫﺎ‪ .‬اﻧﺠﺎم ‪ ،whois‬ﺟﺴﺘﺠﻮي ﺟﺪاول ‪ ،DNS‬و اﺳﻜﻦ آدرسﻫﺎي‬ ‫‪ IP‬ﺑﺮاي ﭘﻮرتﻫﺎي ﺑﺎز‪ ،‬ﻣﺜﺎلﻫﺎﻳﻲ از اﻃﻼﻋﺎت ﺑﺎز ﻫﺴﺘﻨﺪ‪ .‬ﺑﺴﻴﺎري از اﻳﻦ اﻃﻼﻋﺎت‪ ،‬از ﻃﺮﻳﻖ روشﻫﺎي ﻗﺎﻧﻮﻧﻲ ﻗﺎﺑﻞ‬ ‫دﺳﺘﺮس ﻫﺴﺘﻨﺪ‪.‬‬ ‫‪21‬‬ ‫ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي ‪ Footprinting‬ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪Whois‬‬ ‫‪Nslookup‬‬ ‫‪ARIN‬‬ ‫‪Neo Trace‬‬ ‫‪VisualRoute Trace‬‬ ‫‪SmartWhois‬‬ ‫‪eMailTracker Pro‬‬ ‫‪Website watcher‬‬ ‫‪Google Earth‬‬ ‫‪GEO Spider‬‬ ‫‪HTTrack Web Copier‬‬ ‫‪E-Mail Spider‬‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫‪DNS Enumeration‬‬ ‫ﻓﺮآﻳﻨﺪ ﻳﺎﻓﺘﻦ ﻫﻤﻪ ﺳﺮورﻫﺎي ‪ DNS‬و رﻛﻮردﻫﺎي ﻣﺮﺑﻮﻃﻪ ﺑﺮاي ﻳﻚ ﺳﺎزﻣﺎن را ‪ DNS Enumeration‬ﻣﻲﻧﺎﻣﻨﺪ‪.‬‬ ‫ﻣﻤﻜﻦ اﺳﺖ ﺳﺎزﻣﺎﻧﻲ ﻫﻢ ﺳﺮورﻫﺎي ‪ DNS‬داﺧﻠﻲ و ﻫﻢ ﺧﺎرﺟﻲ داﺷﺘﻪ ﺑﺎﺷﺪ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ ﻧﺎمﻫﺎي‬ ‫ﻛﺎرﺑﺮي‪ ،‬ﻧﺎمﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮ‪ ،‬و آدرسﻫﺎي ‪ IP‬ﺳﻴﺴﺘﻢﻫﺎ را اراﺋﻪ دﻫﺪ‪.‬‬ ‫اﺑﺰارﻫﺎﻳﻲ از ﻗﺒﻴﻞ ‪ ،ARIN ،DNSstuff ،NSlookup‬و ‪ Whois‬ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺮاي ﺑﺪﺳﺖ آوردن اﻃﻼﻋﺎﺗﻲ ﻛﻪ ﺑﺮاي‬ ‫‪ DNS enumeration‬اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪ ،‬ﺑﻪ ﻛﺎر روﻧﺪ‪.‬‬ ‫‪ Nslookup‬و ‪DNSstuff‬‬ ‫ﻳﻜﻲ از اﺑﺰارﻫﺎي ﻗﺪرﺗﻤﻨﺪي ﻛﻪ ﺑﺎﻳﺪ ﺑﺎ آن آﺷﻨﺎ ﺑﺎﺷﻴﺪ‪ nslookup ،‬اﺳﺖ‪ .‬اﻳﻦ اﺑﺰار‪ ،‬از ﺳﺮورﻫﺎي ‪ DNS‬ﺑﺮاي‬ ‫اﻃﻼﻋﺎت رﻛﻮرد‪ ،‬ﻛﻮﺋﺮي ﻣﻲﮔﻴﺮد و در ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎي وﻳﻨﺪوز‪ ،‬ﻟﻴﻨﻮﻛﺲ‪ ،‬و ﻳﻮﻧﻴﻜﺲ وﺟﻮد دارد‪ .‬اﺑﺰارﻫﺎي ﻫﻚ از‬ ‫ﺟﻤﻠﻪ ‪ ،Sam Spade‬داراي اﺑﺰار ‪ nslookup‬ﻫﺴﺘﻨﺪ‪.‬‬ ‫ﺑﺎ اﻃﻼﻋﺎت ﺟﻤﻊآوري ﺷﺪه از ‪ ،Whois‬ﻣﻲﺗﻮاﻧﻴﺪ از ‪ nslookup‬ﺑﺮاي ﻳﺎﻓﺘﻦ آدرسﻫﺎي ‪ IP‬ﺳﺮورﻫﺎ و‬ ‫ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي‬ ‫دﻳﮕﺮ‬ ‫اﺳﺘﻔﺎده‬ ‫ﻛﻨﻴﺪ‪.‬‬ ‫ﺑﺎ‬ ‫اﺳﺘﻔﺎده‬ ‫از‬ ‫اﻃﻼﻋﺎت ‪name server‬ﻫﺎي‬ ‫)‪ ،(AUTH1.NS.NY1.NET‬ﻣﻲﺗﻮاﻧﻴﺪ آدرس ‪ IP‬ﺳﺮور اﻳﻤﻴﻞ را ﺑﺪﺳﺖ آورﻳﺪ‪.‬‬ ‫‪22‬‬ ‫اﺻﻠﻲ‬ ‫از ‪Whois‬‬ ‫اﺑﺰارﻫﺎي زﻳﺎدي وﺟﻮد دارﻧﺪ ﻛﻪ ﻛﺎر ﻫﻚ را ﺳﺎده ﻛﺮدهاﻧﺪ‪ ،DNSstuff .‬ﻳﻜﻲ از اﻳﻦ اﺑﺰارﻫﺎ اﺳﺖ‪ .‬ﺑﻪ ﺟﺎي اﺳﺘﻔﺎده‬ ‫از اﺑﺰار دﺳﺘﻮري ‪ nslookup‬ﺑﺎ ﭘﺎراﻣﺘﺮﻫﺎ و ﺳﻮﺋﻴﭻﻫﺎي ﻓﺮاوان‪ ،‬ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت رﻛﻮرد ‪ ،DNS‬ﺗﻨﻬﺎ ﻛﺎﻓﻴﺴﺖ ﺑﻪ‬ ‫وب ﺳﺎﻳﺖ ‪ http://www.dnsstuff.com‬ﺑﺮوﻳﺪ و ﺟﺴﺘﺠﻮي آﻧﻼﻳﻦ رﻛﻮرد ‪ DNS‬را اﻧﺠﺎم دﻫﻴﺪ‪ .‬ﺷﻜﻞ زﻳﺮ‪ ،‬ﻣﺜﺎﻟﻲ از‬ ‫ﺟﺴﺘﺠﻮي رﻛﻮرد ‪ DNS‬را ﺑﺮاي ﺳﺎﻳﺖ ‪ http://www.eccouncil.org‬ﺑﺎ اﺳﺘﻔﺎده از ‪ DNSstuff.com‬ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬ ‫اﻳﻦ ﺟﺴﺘﺠﻮ‪ ،‬ﺗﻤﺎم رﻛﻮردﻫﺎي ﻣﺴﺘﻌﺎر ﺑﺮاي ‪ http://www.eccouncil.org‬و آدرس ‪ IP‬ﺳﺮور وب را ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬ ‫ﺣﺘﻲ ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ ﺗﻤﺎم ‪name server‬ﻫﺎ و آدرسﻫﺎي ‪ IP‬ﻣﺮﺑﻮﻃﻪ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻴﺪ‪.‬‬ ‫ﻣﻔﻬﻮم ‪ Whois‬و ‪ARIN Lookup‬‬ ‫اﺑﺘﺪا‪ Whois ،‬از ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﻮﻧﻴﻜﺲ آﻏﺎز ﺷﺪ اﻣﺎ اﻛﻨﻮن در ﺑﺴﻴﺎري از ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎ و اﺑﺰارﻫﺎي ﻫﻚ‪ ،‬ﺑﺮ‬ ‫روي اﻳﻨﺘﺮﻧﺖ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬اﻳﻦ اﺑﺰار‪ ،‬ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ ﻛﻪ ﭼﻪ ﻛﺴﻲ ﻧﺎم داﻣﻴﻨﻲ ﻛﻪ ﺑﺮاي وب ﺳﺎﻳﺖ ﻳﺎ اﻳﻤﻴﻞ‬ ‫اﺳﺘﻔﺎده ﻣﻲﺷﻮد را ﺛﺒﺖ ﻛﺮده اﺳﺖ‪.‬‬ ‫ﺳﺎزﻣﺎن ‪ ،ICANN‬ﺑﻪ اﺳﺎﻣﻲ داﻣﻴﻦ ﻧﻴﺎز دارد ﺗﺎ ﻣﻄﻤﺌﻦ ﺷﻮد ﺗﻨﻬﺎ ﻳﻚ ﺷﺮﻛﺖ از آن ﻧﺎم داﻣﻴﻦ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪.‬‬ ‫اﺑﺰار ‪ ،Whois‬از ﭘﺎﻳﮕﺎه داده ﻛﻮﺋﺮي ﻣﻲﮔﻴﺮد ﺗﺎ اﻃﻼﻋﺎت ﺗﻤﺎس درﺑﺎره اﻓﺮاد ﻳﺎ ﺳﺎزﻣﺎﻧﻲ ﻛﻪ داﻣﻴﻦ ﺛﺒﺖ ﻛﺮده اﺳﺖ را‬ ‫ﺑﺎزﻳﺎﺑﻲ ﻛﻨﺪ‪.‬‬ ‫‪ Whois) Smart Whois‬ﻫﻮﺷﻤﻨﺪ( ﺑﺮﻧﺎﻣﻪ ﺟﻤﻊآوري اﻃﻼﻋﺎت اﺳﺖ ﻛﻪ ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲدﻫﺪ ﺗﻤﺎم اﻃﻼﻋﺎت در‬ ‫دﺳﺘﺮس درﺑﺎره آدرسﻫﺎي ‪ ،IP‬ﻧﺎم دﺳﺘﮕﺎهﻫﺎ‪ ،‬ﻳﺎ داﻣﻴﻦ‪ ،‬ﺷﺎﻣﻞ ﻛﺸﻮر‪ ،‬اﻳﺎﻟﺖ ﻳﺎ اﺳﺘﺎن‪ ،‬ﺷﻬﺮ‪ ،‬اﺳﻢ اراﺋﻪ دﻫﻨﺪه ﺷﺒﻜﻪ‪،‬‬ ‫اﻃﻼﻋﺎت ﺗﻤﺎس ﻣﺪﻳﺮ ﺷﺒﻜﻪ و ﻣﺪﻳﺮ ﻓﻨﻲ را ﭘﻴﺪا ﻛﻨﻴﺪ‪ ،Smart Whois .‬ﻧﺴﺨﻪ ﮔﺮاﻓﻴﻜﻲ از ﺑﺮﻧﺎﻣﻪ ‪ Basic Whois‬اﺳﺖ‪.‬‬ ‫‪23‬‬ ‫‪ ،ARIN‬ﭘﺎﻳﮕﺎه دادهاي اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ ﻣﺎﻟﻚ آدرسﻫﺎي ‪ IP‬اﺳﺘﺎﺗﻴﻚ اﺳﺖ‪ .‬ﭘﺎﻳﮕﺎه داده‬ ‫‪ ،ARIN‬ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار ‪ Whois‬ﻫﻤﭽﻮن ‪ http://www.arin.net/whois‬ﻣﻮرد ﻛﻮﺋﺮي ﻗﺮار ﻣﻲﮔﻴﺮد‪.‬‬ ‫ﺷﻜﻞ زﻳﺮ‪ ،‬ﺟﺴﺘﺠﻮي ‪ Whois‬ﺑﺮاي ‪ http://www.yahoo.com‬را ﻧﺸﺎن ﻣﻲدﻫﺪ‪ .‬ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﻛﻪ‬ ‫آدرسﻫﺎ‪ ،‬اﻳﻤﻴﻞﻫﺎ‪ ،‬و اﻃﻼﻋﺎت ﺗﻤﺎس در ﺟﺴﺘﺠﻮي ‪ Whois‬ﻗﺮار دارﻧﺪ‪ .‬اﻳﻦ اﻃﻼﻋﺎت ﻣﻲﺗﻮاﻧﻨﺪ ﺗﻮﺳﻂ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ‬ ‫ﺑﺮاي ﻳﺎﻓﺘﻦ ﻣﺴﺌﻮل ﻳﻚ آدرس ‪ IP‬و ﺳﺎزﻣﺎﻧﻲ ﻛﻪ ﻣﺎﻟﻚ ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺖ‪ ،‬ﻳﺎ ﺗﻮﺳﻂ ﻫﻜﺮ ﺷﺮور ﺑﺮاي اﻧﺠﺎم ﻣﻬﻨﺪﺳﻲ‬ ‫اﺟﺘﻤﺎﻋﻲ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪.‬‬ ‫ﺷﻤﺎ ﺑﺎﻳﺪ اﻃﻼﻋﺎت در دﺳﺘﺮس ﻋﻤﻮﻣﻲ ﻛﻪ در ﭘﺎﻳﮕﺎهﻫﺎي داده ﻫﻤﭽﻮن ‪ ARIN‬وﺟﻮد دارﻧﺪ را ﺑﺪاﻧﻴﺪ و ﻣﻄﻤﺌﻦ‬ ‫ﺷﻮﻳﺪ ﻛﻪ ﻫﻜﺮ ﺷﺮور ﻧﻤﻲﺗﻮاﻧﺪ از اﻳﻦ اﻃﻼﻋﺎت ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ ﻋﻠﻴﻪ ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬ ‫ﺧﺮوﺟﻲ ‪ ARIN‬ﺑﺮاي ‪http://www.yahoo.com‬‬ ‫ﻧﻜﺘﻪ‪ :‬ﺑﻪ ﻏﻴﺮ از ‪ ،ARIN‬ﻣﺮاﻛﺰ دﻳﮕﺮي ﻧﻴﺰ در ﺳﺮاﺳﺮ ﺟﻬﺎن ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر وﺟﻮد دارﻧﺪ از ﻗﺒﻴﻞ‪،RIPE NCC :‬‬ ‫‪ ،LACNIC‬و ‪.APNIC‬‬ ‫‪24‬‬ Whois ‫ﺗﺤﻠﻴﻞ ﺧﺮوﺟﻲ‬ ‫( و اﻧﺠﺎم‬www.networksolutions.com ،‫ اﺗﺼﺎل ﺑﻪ وب ﺳﺎﻳﺖ )ﺑﺮاي ﻣﺜﺎل‬،Whois ‫ﺳﺎدهﺗﺮﻳﻦ راه ﺑﺮاي اﻧﺠﺎم‬ :‫ اﺳﺖ‬www.eccouncil.org ‫ ﺑﺮاي ﺳﺎﻳﺖ‬Whois ‫ ﺧﺮوﺟﻲ ﺟﺴﺘﺠﻮي‬،‫ ﻣﺘﻦ زﻳﺮ‬.‫ اﺳﺖ‬Whois ‫ﺟﺴﺘﺠﻮي‬ Domain ID: D81180127-LROR Domain Name: ECCOUNCIL.ORG Created On: 14-Dec-2001 10:13:06 UTC Last Updated On: 19-Aug-2004 03:49:53 UTC Expiration Date: 14-Dec-2006 10:13:06 UTC Sponsoring Registrar: Tucows Inc. (R11-LROR) Status: OK Registrant ID: tuTv2ItRZBMNd4lA Registrant Name: John Smith Registrant Organization: International Council of E-Commerce Consultants Registrant Street1:67 Wall Street, 22nd Floor Registrant Street2: Registrant Street3: Registrant City: New York Registrant State/Province: NY Registrant Postal Code: 10005-3198 Registrant Country: US Registrant Phone: +1.2127098253 Registrant Phone Ext.: Registrant FAX: +1.2129432300 Registrant FAX Ext.: Registrant Email:[email protected] Admin ID: tus9DYvpp5mrbLNd 25 Admin Name: Susan Johnson Admin Organization: International Council of E-Commerce Consultants Admin Street1:67 Wall Street, 22nd Floor Admin Street2: Admin Street3: Admin City: New York Admin State/Province: NY Admin Postal Code: 10005-3198 Admin Country: US Admin Phone: +1.2127098253 Admin Phone Ext.: Admin FAX: +1.2129432300 Admin FAX Ext.: Admin Email:[email protected] Tech ID: tuE1cgAfi1VnFkpu Tech Name: Jacob Eckel Tech Organization: International Council of E-Commerce Consultants Tech Street1:67 Wall Street, 22nd Floor Tech Street2: Tech Street3: Tech City: New York Tech State/Province: NY Tech Postal Code: 10005-3198 Tech Country: US Tech Phone: +1.2127098253 Tech Phone Ext.: Tech FAX: +1.2129432300 26 ‫‪Tech FAX Ext.:‬‬ ‫‪Tech Email:[email protected]‬‬ ‫‪Name Server: ns1.xyz.net‬‬ ‫‪Name Server: ns2.xyz.net‬‬ ‫ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي ‪ Whois‬ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪Wikto Footprinting Tool‬‬ ‫‪Whois Lookup‬‬ ‫‪SmartWhois‬‬ ‫‪ActiveWhois‬‬ ‫‪LanWhois‬‬ ‫‪CountryWhois‬‬ ‫‪WhereIsIP‬‬ ‫‪ip2country‬‬ ‫‪CallerIP‬‬ ‫‪Web Data Extractor‬‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫و ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي آﻧﻼﻳﻦ ‪ Whois‬ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪www.samspade.org‬‬ ‫‪www.geektools.com‬‬ ‫‪www.whois.net‬‬ ‫‪www.demon.net‬‬ ‫‪www.whatismyip.com‬‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫ﭘﻴﺪا ﻛﺮدن ﺑﺎزه آدرسﻫﺎي ﺷﺒﻜﻪ‬ ‫ﻫﺮ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪي ﺑﺎﻳﺪ ﺑﺪاﻧﺪ ﻛﻪ ﭼﮕﻮﻧﻪ ﺑﺎزه ﺷﺒﻜﻪ و ‪ subnet mask‬ﺳﻴﺴﺘﻢ ﻫﺪف را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ‪ .‬از‬ ‫آدرسﻫﺎي ‪ ،IP‬ﺑﺮاي اﺗﺼﺎل ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎي ﻣﻘﺼﺪ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ آدرسﻫﺎي ‪ IP‬را در ﺛﺒﺖ ﻛﻨﻨﺪهﻫﺎي‬ ‫اﻳﻨﺘﺮﻧﺘﻲ ﻫﻤﭽﻮن ‪ ARIN‬ﻳﺎ ‪ AINA‬ﭘﻴﺪا ﻛﻨﻴﺪ‪.‬‬ ‫ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮي ﺑﺨﻮاﻫﺪ ﻛﻪ ﻣﻜﺎن ﺟﻐﺮاﻓﻴﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ ﻫﺪف را ﭘﻴﺪا ﻛﻨﺪ‪ .‬او اﻳﻦ ﻛﺎر‪ ،‬را ﺑﺎ ردﻳﺎﺑﻲ‬ ‫ﻣﺴﻴﺮ ﻳﻚ ﭘﻴﺎم ﻛﻪ ﺑﻪ آدرس ‪ IP‬ﻣﻘﺼﺪ ارﺳﺎل ﺷﺪه اﺳﺖ ﺑﺪﺳﺖ ﻣﻲآورد‪ .‬ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ از اﺑﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن‬ ‫‪ ،VisualRoute ،traceroute‬و ‪ NeoTrace‬ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻣﺴﻴﺮ ﻫﺪف اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬ ‫‪27‬‬ ‫ﻋﻼوه ﺑﺮ اﻳﻦ‪ ،‬ﭼﻨﺎﻧﭽﻪ ﺷﻤﺎ ﺷﺒﻜﻪ ﻣﻘﺼﺪ را ردﻳﺎﺑﻲ ﻛﻨﻴﺪ‪ ،‬اﻃﻼﻋﺎت ﻣﻔﻴﺪ دﻳﮕﺮي ﻧﻴﺰ ﺑﺪﺳﺖ ﻣﻲآورﻳﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪،‬‬ ‫ﻣﻲﺗﻮاﻧﻴﺪ آدرسﻫﺎي ‪ IP‬داﺧﻠﻲ ﻣﺎﺷﻴﻦﻫﺎ‪ ،‬ﻳﺎ ﺣﺘﻲ آدرس ‪ IP‬دروازه اﻳﻨﺘﺮﻧﺘﻲ را ﺑﺪﺳﺖ آورﻳﺪ و ﺳﭙﺲ از اﻳﻦ آدرسﻫﺎ‬ ‫ﺑﺮاي ﻓﺮآﻳﻨﺪﻫﺎي ﺣﻤﻠﻪ ﻳﺎ اﺳﻜﻦ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬ ‫ﺷﻨﺎﺳﺎﻳﻲ اﻧﻮاع ﻣﺨﺘﻠﻒ رﻛﻮردﻫﺎي ‪DNS‬‬ ‫رﻛﻮردﻫﺎي راﻳﺞ ‪ DNS‬و ﻛﺎرﺑﺮد آﻧﻬﺎ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬ ‫‪ :A‬ﺗﺒﺪﻳﻞ ﻧﺎم ﺑﻪ آدرس ‪IP‬‬ ‫•‬ ‫‪ :SOA‬ﻣﺸﺨﺺ ﻛﻨﻨﺪه ﺳﺮور ‪ DNS‬ﻣﺴﺌﻮل ﺑﺮاي اﻃﻼﻋﺎت داﻣﻴﻦ‬ ‫•‬ ‫‪ :CNAME‬اﺳﺎﻣﻲ اﺿﺎﻓﻲ ﻳﺎ ﻣﺴﺘﻌﺎر ﺑﺮاي رﻛﻮردﻫﺎ ﻣﻲدﻫﺪ‬ ‫•‬ ‫‪ :MX‬ﻣﺸﺨﺺ ﻛﻨﻨﺪه ﺳﺮور اﻳﻤﻴﻞ ﺑﺮاي داﻣﻴﻦ اﺳﺖ‬ ‫•‬ ‫‪ :SRV‬ﺳﺮوﻳﺲﻫﺎﻳﻲ از ﻗﺒﻴﻞ ‪ directory services‬را ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‬ ‫•‬ ‫‪ :PTR‬ﺗﺒﺪﻳﻞ آدرسﻫﺎي ‪ IP‬ﺑﻪ اﺳﻢ‬ ‫•‬ ‫‪ :NS‬دﻳﮕﺮ ‪Name server‬ﻫﺎي ﺷﺒﻜﻪ را ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‬ ‫ﻧﺤﻮه ﻛﺎر ‪ traceroute‬در ‪footprinting‬‬ ‫‪ ،Traceroute‬اﺑﺰاري ﺑﺮاي ردﻳﺎﺑﻲ ﺑﺴﺘﻪ اﺳﺖ ﻛﻪ در اﻏﻠﺐ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎ وﺟﻮد دارد‪ .‬ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪﻫﺎي‬ ‫‪ ICMP‬ﺑﻪ ﺳﻤﺖ ﻣﻘﺼﺪ‪ ،‬آدرسﻫﺎي ﺑﻴﻦ راه را ﻧﻴﺰ ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﭘﻴﺎمﻫﺎي ‪ ICMP‬از روﺗﺮي ﻋﺒﻮر ﻛﺮد‪،‬‬ ‫ﻣﻘﺪار ‪ TTL‬ﻳﻚ واﺣﺪ ﻛﻢ ﻣﻲﺷﻮد‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﻔﻬﻤﺪ ﻛﻪ ﭼﻨﺪ ﺗﺎ روﺗﺮ در ﻣﺴﻴﺮ وﺟﻮد دارد‪.‬‬ ‫ﻳﻜﻲ از ﻧﻘﺎط ﺿﻌﻒ آن زﻣﺎﻧﻲ اﺳﺖ ﻛﻪ ﺑﺎ ﻓﺎﻳﺮواﻟﻲ ﻣﻮاﺟﻪ ﻣﻲﺷﻮد‪ .‬از آﻧﺠﺎﺋﻴﻜﻪ ﻛﻪ ﻓﺎﻳﺮوال‪ ،‬اﺑﺰار ‪ tracerout‬را‬ ‫ﻣﺘﻮﻗﻒ ﻣﻲﻛﻨﺪ ﺗﺎ ﺟﻠﻮي ﻛﺸﻒ ﺷﺒﻜﻪ را ﺑﮕﻴﺮد‪ ،‬ﻣﻲﺗﻮاﻧﺪ ﺑﻪ ﻫﻜﺮ ﻫﺸﺪار دﻫﺪ ﻛﻪ ﻓﺎﻳﺮوال وﺟﻮد دارد ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﺑﺎﻳﺪ از‬ ‫ﺗﻜﻨﻴﻚﻫﺎي دور زدن ﻓﺎﻳﺮوال اﺳﺘﻔﺎده ﺷﻮد‪.‬‬ ‫‪ Sam Spade‬و ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي دﻳﮕﺮ ﻫﻚ‪ ،‬اﺑﺰار ‪ traceroute‬را دارﻧﺪ‪ .‬ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎي وﻳﻨﺪوز‪ ،‬از دﺳﺘﻮر‬ ‫‪ tracert hostname‬ﺑﺮاي اﻧﺠﺎم ‪ traceroute‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﺷﻜﻞ زﻳﺮ‪ ،‬ﻣﺜﺎﻟﻲ از ﺧﺮوﺟﻲ ‪ traceroute‬را ﺑﺮاي ﺳﺎﻳﺖ‬ ‫‪ www.yahoo.com‬ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬ ‫‪28‬‬ ‫اﻳﻦ دﺳﺘﻮر‪ ،‬روﺗﺮﻫﺎﻳﻲ ﻛﻪ در ﻣﺴﻴﺮ وﺟﻮد دارﻧﺪ را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ‪ .‬از آﻧﺠﺎﺋﻴﻜﻪ ﻣﻌﻤﻮﻻ روﺗﺮﻫﺎ ﺑﺮ اﺳﺎس ﻣﻜﺎن‬ ‫ﻓﻴﺰﻳﻜﻲﺷﺎن‪ ،‬ﻧﺎم ﮔﺬاري ﻣﻲﺷﻮﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﻧﺘﺎﻳﺞ ‪ ،tracert‬ﺑﻪ ﺷﻤﺎ ﻛﻤﻚ ﻣﻲﻛﻨﺪ ﺗﺎ ﻣﻜﺎن اﻳﻦ دﺳﺘﮕﺎهﻫﺎ را ﻣﺘﻮﺟﻪ ﺷﻮﻳﺪ‪.‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎﻳﻲ ﻛﻪ ﺑﻪ اﻳﻦ ﻣﻨﻈﻮر اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫‪3D Traceroute‬‬ ‫‪NeoTrace‬‬ ‫‪VisualRoute Trace‬‬ ‫‪Path Analyzer Pro‬‬ ‫‪Maltego‬‬ ‫اﺳﺘﻔﺎده از ‪Email Tracking‬‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎي ‪ ،Email Tracking‬ﺑﻪ ارﺳﺎل ﻛﻨﻨﺪه اﻳﻤﻴﻞ اﻣﻜﺎن ﻣﻲدﻫﻨﺪ ﻛﻪ ﺑﺪاﻧﺪ آﻳﺎ ﮔﻴﺮﻧﺪه ﭘﻴﺎم‪ ،‬اﻳﻤﻴﻞ را‬ ‫ﺧﻮاﻧﺪه‪ ،‬ﻓﺮوارد ﻛﺮده‪ ،‬ﺗﻐﻴﻴﺮ داده‪ ،‬ﭘﺎك ﻛﺮده اﺳﺖ ﻳﺎ ﻧﻪ‪ .‬اﻏﻠﺐ ﺑﺮﻧﺎﻣﻪﻫﺎي ‪ ،Email Tracking‬ﺑﺎ ﺿﻤﻴﻤﻪ ﻛﺮدن ﻳﻚ اﺳﻢ‬ ‫داﻣﻴﻦ ﺑﻪ آدرس اﻳﻤﻴﻞ ﻛﺎر ﻣﻲﻛﻨﻨﺪ ﻣﺜﻼ ‪ .readnotify.com‬ﻳﻚ ﻓﺎﻳﻞ ﮔﺮاﻓﻴﻜﻲ ﻛﻪ ﺗﻨﻬﺎ ﻳﻚ ﭘﻴﻜﺴﻞ دارد و ﻗﺎﺑﻞ ﺗﻮﺟﻪ‬ ‫‪29‬‬ ‫ﻧﻴﺴﺖ را ﺑﻪ اﻳﻤﻴﻞ ﺿﻤﻴﻤﻪ ﻣﻲﻛﻨﺪ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬زﻣﺎﻧﻴﻜﻪ ﻋﻤﻠﻲ ﺑﺮ روي آن اﻳﻤﻴﻞ اﻧﺠﺎم ﻣﻲﺷﻮد‪ ،‬اﻳﻦ ﻓﺎﻳﻞ ﮔﺮاﻓﻴﻜﻲ ﺑﻪ‬ ‫ﺳﺮور ﻣﺘﺼﻞ ﺷﺪه و ارﺳﺎل ﻛﻨﻨﺪه را ﻣﻄﻠﻊ ﻣﻲﻛﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ‪ VisualRoute Mail Tracker‬و ‪ eMail Tracker Pro‬ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر ﺑﻪ ﻛﺎر ﻣﻲروﻧﺪ‪.‬‬ ‫ﻧﺤﻮه ﻛﺎر ‪ Web Spider‬ﻫﺎ‬ ‫‪Spammer‬ﻫﺎ‪ ،‬ﻛﻪ آدرسﻫﺎي اﻳﻤﻴﻞ را از اﻳﻨﺘﺮﻧﺖ ﺟﻤﻊآوري ﻣﻲﻛﻨﻨﺪ‪ ،‬از ‪Web Spider‬ﻫﺎ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫‪ ،Web Spider‬وب ﺳﺎﻳﺖﻫﺎ را ﺟﺴﺘﺠﻮ ﻣﻲﻛﻨﺪ ﺗﺎ اﻃﻼﻋﺎت ﻣﺸﺨﺼﻲ از ﻗﺒﻴﻞ آدرسﻫﺎي اﻳﻤﻴﻞ را ﺟﻤﻊآوري ﻛﻨﺪ‪.‬‬ ‫‪ ،Web Spider‬ﺑﻪ دﻧﺒﺎل ﻗﺎﻟﺐ ﻋﻤﻮﻣﻲ اﻳﻤﻴﻞﻫﺎ ﻛﻪ ﺑﺎ @ ﻫﻤﺮاه ﻫﺴﺘﻨﺪ ﻣﻲﮔﺮدد و آﻧﻬﺎ را داﺧﻞ ﻟﻴﺴﺖ ﻛﭙﻲ ﻣﻲﻛﻨﺪ‪.‬‬ ‫اﻳﻦ آدرسﻫﺎ ﺑﻪ ﭘﺎﻳﮕﺎه داده اﺿﺎﻓﻪ ﻣﻲﺷﻮد و ﻣﻤﻜﻦ اﺳﺖ ﺑﻌﺪا ﺑﺮاي ارﺳﺎل اﻳﻤﻴﻞﻫﺎي ﻧﺎﺧﻮاﺳﺘﻪ اﺳﺘﻔﺎده ﺷﻮد‪Web .‬‬ ‫‪Spider‬ﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺮاي ﺟﺴﺘﺠﻮي ﻫﻤﻪ ﻧﻮع اﻃﻼﻋﺎت ﺑﺮ روي اﻳﻨﺘﺮﻧﺖ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از ‪Web Spider‬‬ ‫ﺑﺮاي ﺧﻮدﻛﺎرﺳﺎزي ﻓﺮآﻳﻨﺪ ﺟﻤﻊآوري اﻃﻼﻋﺎت اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬ﻳﻚ روش ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ‪Web Spider‬ﻫﺎ ﺑﺮاي ﺳﺎﻳﺖ‬ ‫ﺷﻤﺎ اﻳﻦ اﺳﺖ ﻛﻪ ﻓﺎﻳﻞ ‪ robots.txt‬را ﺑﺎ ﻟﻴﺴﺘﻲ از داﻳﺮﻛﺘﻮريﻫﺎﻳﻲ ﻛﻪ ﻣﻲﺧﻮاﻫﻴﺪ از ‪ crawling‬ﻣﺤﺎﻓﻈﺖ ﺷﻮﻧﺪ‪ ،‬در‬ ‫ﻣﺴﻴﺮ رﻳﺸﻪ وب ﺳﺎﻳﺖﺗﺎن ﻗﺮار دﻫﻴﺪ‪.‬‬ ‫ﻧﻜﺘﻪ‪ :‬ﻓﺎﻳﻞ ‪ robots.txt‬در رﻳﺸﻪ ﻗﺮار دارد و ﻟﻴﺴﺘﻲ از داﻳﺮﻛﺘﻮريﻫﺎ و ﻣﻨﺎﺑﻌﻲ ﻛﻪ ﻧﻤﻲﺧﻮاﻫﻴﻢ ﺗﻮﺳﻂ ﻣﻮﺗﻮرﻫﺎي‬ ‫ﺟﺴﺘﺠﻮ‪ ،‬اﻳﻨﺪﻛﺲ ﺷﻮﻧﺪ را ﻗﺮار ﻣﻲدﻫﻴﻢ‪.‬‬ ‫اﺑﺰارﻫﺎي ‪ Web data Extractor‬و ‪ 1st E-Mail Address Extractor‬ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر ﺑﻪ ﻛﺎرﻣﻲروﻧﺪ‪.‬‬ ‫ﻣﺮاﺣﻞ اﻧﺠﺎم ‪Footprinting‬‬ ‫‪ .1‬ﭘﻴﺪا ﻛﺮدن آدرسﻫﺎي داﺧﻠﻲ و ﺧﺎرﺟﻲ ﺷﺮﻛﺖ‬ ‫‪ .2‬اﻧﺠﺎم ﺟﺴﺘﺠﻮي ‪ Whois‬ﺑﺮاي ﺟﺰﺋﻴﺎت ﺷﺨﺼﻲ‬ ‫‪30‬‬ ‫‪ .3‬اﺳﺘﺨﺮاج اﻃﻼﻋﺎت ‪DNS‬‬ ‫‪ .4‬ﺟﺴﺘﺠﻮ ﺑﻪ دﻧﺒﺎل اﺳﺎﻣﻲ در وب ﺳﺎﻳﺖ‬ ‫‪ .5‬اﺳﺘﺨﺮاج آرﺷﻴﻮ وب ﺳﺎﻳﺖ‬ ‫‪ .6‬ﺟﺴﺘﺠﻮ از ﻃﺮﻳﻖ ﮔﻮﮔﻞ ﺑﺮاي اﺧﺒﺎر ﻣﺮﺑﻮط ﺑﻪ ﺷﺮﻛﺖ‬ ‫‪ .7‬اﺳﺘﻔﺎده از ‪ People Search‬ﺑﺮاي ﻳﺎﻓﺘﻦ اﻃﻼﻋﺎت ﺷﺨﺼﻲ ﭘﺮﺳﻨﻞ‬ ‫‪ .8‬ﻳﺎﻓﺘﻦ ﻣﻜﺎن ﻓﻴﺰﻳﻜﻲ وب ﺳﺮور ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار ‪NeoTracer‬‬ ‫‪ .9‬ﺗﺤﻠﻴﻞ ﺟﺰﺋﻴﺎت زﻳﺮﺳﺎﺧﺖ ﺷﺮﻛﺖ ﺑﺎ اﺳﺘﻔﺎده از ﻓﺮﺻﺖﻫﺎي ﺷﻐﻠﻲ‬ ‫‪ .10‬ردﻳﺎﺑﻲ اﻳﻤﻴﻞ ﺑﺎ اﺳﺘﻔﺎده از ‪readnotify.com‬‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬روﺷﻲ ﻏﻴﺮ ﻓﻨﻲ ﺑﺮاي ﺷﻜﺴﺘﻦ اﻣﻨﻴﺖ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ اﺳﺖ‪ .‬ﻓﺮآﻳﻨﺪ ﮔﻮل زدن ﻛﺎرﺑﺮان ﻳﻚ‬ ‫ﺳﻴﺴﺘﻢ و ﺗﺤﺮﻳﻚ آﻧﻬﺎ ﺑﺮاي دادن اﻃﻼﻋﺎﺗﻲ ﻛﻪ ﺑﺮاي دور زدن ﻣﻜﺎﻧﻴﺰمﻫﺎي اﻣﻨﻴﺘﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮد را ﻣﻬﻨﺪﺳﻲ‬ ‫اﺟﺘﻤﺎﻋﻲ ﻣﻲﮔﻮﻳﻨﺪ‪ .‬داﻧﺴﺘﻦ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﺑﺴﻴﺎر ﻣﻬﻢ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از آن ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﻋﻨﺼﺮ‬ ‫اﻧﺴﺎﻧﻲ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬اﻳﻦ روش ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت ﻗﺒﻞ از ﺣﻤﻠﻪ اﺳﺘﻔﺎده ﺷﻮد‪.‬‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﭼﻴﺴﺖ؟‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬اﺳﺘﻔﺎده از ﺗﺮﻏﻴﺐ و ﺗﺤﺮﻳﻚ ﺑﺮاي ﮔﻮل زدن ﻛﺎرﺑﺮان ﺑﻪ ﻣﻨﻈﻮر دﺳﺘﻴﺎﺑﻲ ﺑﻪ اﻃﻼﻋﺎت ﻳﺎ‬ ‫ﺗﺸﻮﻳﻖ ﻗﺮﺑﺎﻧﻲ ﺑﺮاي اﻧﺠﺎم ﺑﺮﺧﻲ ﻋﻤﻠﻴﺎت اﺳﺖ‪ .‬ﻣﻌﻤﻮﻻ ﻳﻚ ﻣﻬﻨﺪس اﺟﺘﻤﺎع‪ ،‬از ﺗﻠﻔﻦ ﻳﺎ اﻳﻨﺘﺮﻧﺖ ﺑﺮاي ﮔﻮل زدن ﻛﺎرﺑﺮ و‬ ‫ﮔﺮﻓﺘﻦ اﻃﻼﻋﺎت ﺣﺴﺎس ﻳﺎ ﺗﺤﺮﻳﻚ آﻧﻬﺎ ﺑﺮاي اﻧﺠﺎم ﻛﺎرﻫﺎﻳﻲ ﻛﻪ ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﺳﺎزﻣﺎن را ﺑﻪ ﺧﻄﺮ ﺑﻴﺎﻧﺪازد اﺳﺘﻔﺎده‬ ‫ﻣﻲﻛﻨﺪ‪ .‬در اﻳﻦ روش‪ ،‬ﻣﻬﻨﺪﺳﺎن اﺟﺘﻤﺎﻋﻲ‪ ،‬ﺑﻪ ﺟﺎي ﺳﻮ اﺳﺘﻔﺎده از ﺣﻔﺮهﻫﺎي اﻣﻨﻴﺘﻲ ﻛﺎﻣﭙﻴﻮﺗﺮ‪ ،‬از ﮔﺮاﻳﺸﺎت و ﺗﻤﺎﻳﻼت‬ ‫ﻃﺒﻴﻌﻲ اﻓﺮاد ﺑﺮاي اﻳﺠﺎد اﻋﺘﻤﺎد‪ ،‬ﺳﻮ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﻛﺎرﺑﺮان‪ ،‬ﺿﻌﻴﻒﺗﺮﻳﻦ ﻟﻴﻨﻚﻫﺎي اﻣﻨﻴﺘﻲ ﻫﺴﺘﻨﺪ‪ .‬اﻳﻦ اﺻﻞ‪ ،‬دﻟﻴﻞ‬ ‫اﻧﺠﺎم ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ اﺳﺖ‪.‬‬ ‫ﺧﻄﺮﻧﺎكﺗﺮﻳﻦ ﺑﺨﺶ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ اﻳﻦ اﺳﺖ ﻛﻪ ﺷﺮﻛﺖﻫﺎﻳﻲ ﻛﻪ ﻓﺮآﻳﻨﺪﻫﺎي اﺣﺮاز ﻫﻮﻳﺖ‪ ،‬ﻓﺎﻳﺮوال‪،VPN ،‬‬ ‫و ﻧﺮماﻓﺰار ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ ﺷﺒﻜﻪ دارﻧﺪ‪ ،‬ﻫﻨﻮز ﻣﺴﺘﻌﺪ ﺣﻤﻠﻪ ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ را‬ ‫ﺑﻄﻮر ﻣﺴﺘﻘﻴﻢ ﻣﻮرد ﺣﻤﻠﻪ ﻗﺮار ﻧﻤﻲدﻫﺪ ﺑﻠﻜﻪ آن را دور ﻣﻲزﻧﺪ‪.‬‬ ‫‪31‬‬ ‫اﻓﺮاد‪ ،‬ﺿﻌﻴﻒﺗﺮﻳﻦ ﻟﻴﻨﻚ در زﻧﺠﻴﺮه اﻣﻨﻴﺘﻲ ﻫﺴﺘﻨﺪ و ﺑﻬﺘﺮﻳﻦ روش ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻠﻪ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪،‬‬ ‫داﺷﺘﻦ ﺳﻴﺎﺳﺖ ﻣﻨﺎﺳﺐ و آﻣﻮزش ﭘﺮﺳﻨﻞ اﺳﺖ‪ .‬ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬ﺳﺨﺖﺗﺮﻳﻦ ﻧﻮع ﺣﻤﻠﻪ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺳﺎزﻣﺎن‬ ‫ﻧﻤﻲﺗﻮاﻧﺪ ﺗﻨﻬﺎ ﺑﺎ اﺳﺘﻔﺎده از ﻧﺮماﻓﺰار و ﺳﺨﺖاﻓﺰار از ﺑﺮوز آن ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ‪.‬‬ ‫اﻧﻮاع راﻳﺞ ﺣﻤﻼت ﻛﺪاﻣﻨﺪ؟‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ در دو دﺳﺘﻪ ﻗﺮار ﻣﻲﮔﻴﺮد‪:‬‬ ‫ﻣﺒﺘﻨﻲ ﺑﺮ اﻧﺴﺎن‪ :‬ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ اﻧﺴﺎن‪ ،‬اﺷﺎره ﺑﻪ ﺗﻌﺎﻣﻞ ﺷﺨﺺ ﺑﻪ ﺷﺨﺺ دارد ﺗﺎ اﻃﻼﻋﺎت ﻣﻮرد دﻟﺨﻮاه‬ ‫را ﺑﺪﺳﺖ آورد ﻣﺎﻧﻨﺪ ﺗﻤﺎس ﺑﺎ ‪ help desk‬و ﺗﻼش ﺑﺮاي ﻳﺎﻓﺘﻦ ﻛﻠﻤﻪ ﻋﺒﻮر‪.‬‬ ‫ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ‪ :‬ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ‪ ،‬اﺷﺎره ﺑﻪ داﺷﺘﻦ ﻧﺮماﻓﺰار ﻛﺎﻣﭙﻴﻮﺗﺮي اﺳﺖ ﻛﻪ ﺗﻼش ﻛﻨﺪ‬ ‫اﻃﻼﻋﺎت ﻣﻮرد دﻟﺨﻮاه را ﺑﺪﺳﺖ آورد‪ .‬ﻣﺜﺎﻟﻲ از آن‪ ،‬ارﺳﺎل اﻳﻤﻴﻠﻲ ﺑﻪ ﻛﺎرﺑﺮ و درﺧﻮاﺳﺖ از او ﺑﺮاي ورود ﻣﺠﺪد ﭘﺴﻮرد در‬ ‫ﺻﻔﺤﻪ وب ﺑﺮاي ﺗﺎﺋﻴﺪ اﺳﺖ‪ .‬اﻳﻦ ﺣﻤﻠﻪ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬ﺑﺎ ﻧﺎم ‪ phishing‬ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪.‬‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ اﻧﺴﺎن‬ ‫ﺣﻤﻼت ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬ﺑﻪ دﺳﺘﻪﻫﺎي ﻛﻠﻲ زﻳﺮ ﺗﻘﺴﻴﻢ ﻣﻲﺷﻮﻧﺪ‪:‬‬ ‫ﺧﻮد را ﺟﺎي ﺷﺨﺺ دﻳﮕﺮي ﺟﺎ زدن )‪ :(Impersonating an employee or valid user‬در اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ ﻣﻬﻨﺪﺳﻲ‬ ‫اﺟﺘﻤﺎﻋﻲ‪ ،‬ﻫﻜﺮ واﻧﻤﻮد ﻣﻲﻛﻨﺪ ﻛﻪ ﻛﺎرﻣﻨﺪ ﻳﺎ ﻛﺎرﺑﺮ ﻗﺎﻧﻮﻧﻲ ﺳﻴﺴﺘﻢ اﺳﺖ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺧﻮد را ﺑﺮاي ﻧﮕﻬﺒﺎن‪ ،‬ﻛﺎرﻣﻨﺪ‬ ‫واﻧﻤﻮد ﻛﻨﺪ و دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﺑﻪ دﺳﺖ آورد‪ .‬ﭘﺲ از داﺧﻞ ﺷﺪن ﻣﻲﺗﻮاﻧﺪ اﻃﻼﻋﺎت را از ﺳﻄﻞ زﺑﺎﻟﻪ‪ ،‬ﻣﻴﺰﻫﺎ و‬ ‫ﺳﻴﺴﺘﻢﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮي ﺟﻤﻊآوري ﻛﻨﺪ‪.‬‬ ‫ﺧﻮد را ﺑﻪ ﻋﻨﻮان ﺷﺨﺺ ﻣﻬﻢ واﻧﻤﻮد ﻛﺮدن )‪ :(Posing as an important user‬در اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ‪ ،‬ﻫﻜﺮ ﺧﻮد را ﺟﺎي‬ ‫ﺷﺨﺺ ﻣﻬﻤﻲ ﻫﻤﭽﻮن ﻣﺪﻳﺮ ارﺷﺪ ﺟﺎ ﻣﻲزﻧﺪ ﻛﻪ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﻓﺎﻳﻞﻫﺎ ﻳﺎ ﻛﺎﻣﭙﻴﻮﺗﺮ‪ ،‬ﻧﻴﺎز ﺑﻪ ﻛﻤﻚ ﻓﻮري دارد‪ .‬ﻫﻜﺮ از‬ ‫ﺣﺎﻟﺖ ﺗﺮﺳﺎﻧﺪن اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﺗﺎ ﻛﺎرﻣﻨﺪ ﺳﻄﺢ ﭘﺎﻳﻴﻦ‪ ،‬اﺟﺎزه دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ را ﺑﺪﻫﺪ‪ .‬ﺑﺴﻴﺎري از ﻛﺎرﻛﻨﺎن ﺳﻄﺢ‬ ‫ﭘﺎﻳﻴﻦ‪ ،‬از ﻛﺴﻲ ﻛﻪ ﻓﻜﺮ ﻣﻲﻛﻨﻨﺪ ﻣﺪﻳﺮ ارﺷﺪ اﺳﺖ‪ ،‬ﺳﻮاﻟﻲ ﻧﻤﻲﭘﺮﺳﻨﺪ‪.‬‬ ‫اﺳﺘﻔﺎده از ﺷﺨﺺ ﺳﻮم )‪ :(Using a third person‬در اﻳﻦ روﻳﻜﺮد‪ ،‬ﻫﻜﺮ واﻧﻤﻮد ﻣﻲﻛﻨﺪ ﻛﻪ ﻣﺠﻮز اﺳﺘﻔﺎده از ﻣﻨﺎﺑﻊ ﻣﺠﺎز‬ ‫ﺳﻴﺴﺘﻢ را دارد‪ .‬زﻣﺎﻧﻴﻜﻪ ﻣﻨﺒﻊ داراي ﻣﺠﻮز‪ ،‬ﺧﺎﻟﻲ اﺳﺖ ﻳﺎ ﻧﻤﻲﺗﻮاﻧﺪ ﻗﺎﺑﻞ دﺳﺘﺮﺳﻲ ﺑﺎﺷﺪ‪ ،‬اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﺑﺴﻴﺎر ﻣﻮﺛﺮ اﺳﺖ‪.‬‬ ‫‪32‬‬ ‫ﺗﻤﺎس ﺑﺎ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻓﻨﻲ )‪ :(Calling technical support‬ﺗﻤﺎس ﺑﺎ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻓﻨﻲ ﺑﺮاي راﻫﻨﻤﺎﻳﻲ‪ ،‬ﻧﻮع ﻛﻼﺳﻴﻚ‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ اﺳﺖ‪ .‬ﭘﺮﺳﻨﻞ ‪ help desk‬و ﭘﺸﺘﻴﺒﺎﻧﻲ ﻓﻨﻲ‪ ،‬آﻣﻮزش دﻳﺪهاﻧﺪ ﺗﺎ ﺑﻪ ﻛﺎرﺑﺮان ﻛﻤﻚ ﻛﻨﻨﺪ‪ .‬ﻫﻤﻴﻦ اﻣﺮ‬ ‫ﺳﺒﺐ ﺷﻜﺎر آﻧﻬﺎ ﺗﻮﺳﻂ ﺣﻤﻼت ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﻲﺷﻮد‪.‬‬ ‫اﻳﺴﺘﺎدن ﻛﻨﺎر ﻛﺎرﺑﺮ )‪ :(Shoulder surfing‬ﺗﻜﻨﻴﻚ ﺟﻤﻊآوري ﭘﺴﻮرد اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻮﻗﻊ ورود ﻛﺎرﺑﺮ ﺑﻪ ﺳﻴﺴﺘﻢ‪،‬‬ ‫ﻛﻨﺎرش ﻣﻲاﻳﺴﺘﺪ و ﻧﺎم ﻛﺎرﺑﺮي و ﻛﻠﻤﻪ ﻋﺒﻮري ﻛﻪ وارد ﺳﻴﺴﺘﻢ ﻣﻲﻛﻨﺪ را ﻣﻲﺑﻴﻨﺪ‪.‬‬ ‫آﺷﻐﺎل ﮔﺮدي )‪ :(Dumpster diving‬ﺟﺴﺘﺠﻮ در زﺑﺎﻟﻪﻫﺎ ﺑﺮاي ﻳﺎﻓﺘﻦ اﻃﻼﻋﺎﺗﻲ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ ﺑﺮ روي ﻛﺎﻏﺬ ﻧﻮﺷﺘﻪ‬ ‫ﺷﺪه ﺑﺎﺷﺪ‪ ،‬اﺳﺖ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﭘﺴﻮردﻫﺎ‪ ،‬ﻧﺎم ﻓﺎﻳﻞﻫﺎ‪ ،‬ﻳﺎ اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ دﻳﮕﺮي را ﺑﺪﺳﺖ آورد‪.‬‬ ‫ﻳﻜﻲ از روشﻫﺎي ﭘﻴﺸﺮﻓﺘﻪ ﺑﺮاي دﺳﺘﻴﺎﺑﻲ ﺑﻪ اﻃﻼﻋﺎت ﻏﻴﺮ ﻣﺠﺎز‪ ،‬ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﻌﻜﻮس اﺳﺖ‪ .‬ﺑﺎ اﺳﺘﻔﺎده از‬ ‫اﻳﻦ ﺗﻜﻨﻴﻚ‪ ،‬ﻫﻜﺮ ﺷﺨﺼﻴﺘﻲ اﻳﺠﺎد ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﻪ ﻧﻈﺮ ﻣﻲرﺳﺪ داراي اﺧﺘﻴﺎر اﺳﺖ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻛﺎرﻣﻨﺪان‪ ،‬از ﻫﻜﺮ اﻃﻼﻋﺎت‬ ‫ﻣﻲﺧﻮاﻫﻨﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﻫﻜﺮ ﺧﻮد را ﺟﺎي ‪ help desk‬ﺟﺎ ﻣﻲزﻧﺪ و ﻧﺎم ﻛﺎرﺑﺮي ﺷﺨﺺ را ﻣﻲﮔﻴﺮد ﺗﺎ ﺑﻪ او ﭘﺴﻮرد دﻫﺪ‪.‬‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ‬ ‫ﺣﻤﻼت ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺷﺎﻣﻞ ﻣﻮارد زﻳﺮ ﻣﻲﺷﻮد‪:‬‬ ‫•‬ ‫ﺿﻤﻴﻤﻪﻫﺎي اﻳﻤﻴﻞ‬ ‫•‬ ‫وب ﺳﺎﻳﺖﻫﺎي ﺟﻌﻠﻲ‬ ‫•‬ ‫ﭘﻨﺠﺮهﻫﺎي ‪Popup‬‬ ‫ﺣﻤﻼت داﺧﻠﻲ‬ ‫اﮔﺮ ﻫﻜﺮ ﻧﺘﻮاﻧﺪ ﻫﻴﭻ روﺷﻲ ﺑﺮاي ﻫﻚ ﺳﺎزﻣﺎن ﭘﻴﺪا ﻛﻨﺪ‪ ،‬ﺑﻬﺘﺮﻳﻦ ﮔﺰﻳﻨﻪ ﺑﻌﺪي‪ ،‬ﻧﻔﻮذ ﺑﻪ ﺳﺎزﻣﺎن ﺑﻪ ﻋﻨﻮان ﻛﺎرﻣﻨﺪ‬ ‫ﻳﺎ ﭘﻴﺪا ﻛﺮدن ﻛﺎرﻣﻨﺪ ﻧﺎراﺿﻲ اﺳﺖ ﻛﻪ ﺑﺘﻮاﻧﺪ از ﻃﺮﻳﻖ او ﺣﻤﻠﻪ را اﻧﺠﺎم دﻫﺪ‪ .‬ﺣﻤﻼت داﺧﻠﻲ‪ ،‬ﻗﺪرﺗﻤﻨﺪ ﻫﺴﺘﻨﺪ ﺑﺮاي‬ ‫اﻳﻨﻜﻪ ﻛﺎرﻣﻨﺪان‪ ،‬دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ دارﻧﺪ‪.‬‬ ‫ﺣﻤﻼت ‪Phishing‬‬ ‫ﺣﻤﻼﺗﻲ ﻛﻪ اﻳﻤﻴﻠﻲ را ارﺳﺎل ﻣﻲﻛﻨﻨﺪ و ﻣﻌﻤﻮﻻ ﺧﻮد را ﺟﺎي ﺑﺎﻧﻚ ﻳﺎ ﺷﺮﻛﺖ ﻛﺎرت اﻋﺘﺒﺎري ﻳﺎ ﻣﻮﺳﺴﺎت ﻣﺎﻟﻲ ﺟﺎ‬ ‫ﻣﻲزﻧﻨﺪ و از آﻧﻬﺎ ﻣﻲﺧﻮاﻫﻨﺪ ﻛﻪ اﻃﻼﻋﺎت ﺑﺎﻧﻜﻲﺷﺎن را ﺗﺎﺋﻴﺪ ﻛﻨﻨﺪ ﻳﺎ ﭘﺴﻮردﺷﺎن ﻳﺎ ‪ PIN‬را دوﺑﺎره وارد ﻛﻨﻨﺪ‪ .‬ﻛﺎرﺑﺮ روي‬ ‫‪33‬‬ ‫ﻟﻴﻨﻜﻲ ﻛﻪ در اﻳﻤﻴﻞ اﺳﺖ ﻛﻠﻴﻚ ﻣﻲﻛﻨﺪ وﻟﻲ ﺑﻪ ﻳﻚ وب ﺳﺎﻳﺖ ﺳﺎﺧﺘﮕﻲ اﻧﺘﻘﺎل ﻣﻲﻳﺎﺑﺪ‪ .‬ﺳﭙﺲ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ اﻳﻦ‬ ‫اﻃﻼﻋﺎت را ﺑﺪﺳﺖ آورد و از آﻧﻬﺎ ﺑﺮاي دﺳﺘﺮﺳﻲﻫﺎي ﻣﺎﻟﻲ ﻳﺎ ﺣﻤﻼت دﻳﮕﺮ اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬اﻳﻤﻴﻞﻫﺎﻳﻲ ﻛﻪ در آﻧﻬﺎ ﮔﻔﺘﻪ‬ ‫ﻣﻲﺷﻮد ﻣﻘﺪار زﻳﺎدي ﭘﻮل ﺑﺮﻧﺪه ﺷﺪهاﻳﺪ ﻧﻴﺰ ﻣﺜﺎﻟﻲ از ﺣﻤﻼت ‪ phishing‬اﺳﺖ‪ .‬اﻳﻦ ﺣﻤﻼت‪ ،‬ﻫﻤﺎن ﺷﺨﺺ را ﻣﻮرد‬ ‫ﻫﺪف ﻗﺮار ﻣﻲدﻫﻨﺪ و ﻣﻲﺧﻮاﻫﻨﺪ ﻛﻪ اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ را در اﺧﺘﻴﺎر ﻫﻜﺮ ﻗﺮار دﻫﻨﺪ‪.‬‬ ‫ﺿﻤﻴﻤﻪﻫﺎي اﻳﻤﻴﻞ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺮاي ارﺳﺎل ﻛﺪﻫﺎي ﻣﺨﺮب ﺑﻪ ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ اﺳﺘﻔﺎده ﺷﻮﻧﺪ ﻛﻪ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺼﻮرت‬ ‫اﺗﻮﻣﺎﺗﻴﻚ‪ ،‬اﺑﺰارﻫﺎﻳﻲ ﻣﺜﻞ ‪ keylogger‬ﻧﺮماﻓﺰاري ﻧﺼﺐ ﻛﻨﻨﺪ ﺗﺎ ﭘﺴﻮرد را ﺑﺪﺳﺖ آورﻧﺪ‪ .‬وﻳﺮوسﻫﺎ‪ ،‬ﺗﺮوﺟﺎنﻫﺎ و ‪worm‬ﻫﺎ‬ ‫ﻣﻲﺗﻮاﻧﻨﺪ در اﻳﻤﻴﻞﻫﺎي ﺗﻘﻠﺒﻲ ﺑﺮاي اﻏﻔﺎل ﻗﺮﺑﺎﻧﻲ ﺑﺮاي ﺑﺎز ﻛﺮدن ﺿﻤﻴﻤﻪ ﺑﺎﺷﻨﺪ‪ .‬ﺿﻤﻴﻤﻪﻫﺎي اﻳﻤﻴﻞ‪ ،‬ﺑﻪ ﻋﻨﻮان ﺣﻤﻼت‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻫﺴﺘﻨﺪ‪.‬‬ ‫ﻣﺜﺎﻟﻲ از اﻳﻤﻴﻠﻲ ﻛﻪ ﺳﻌﻲ ﻣﻲﻛﻨﺪ درﻳﺎﻓﺖ ﻛﻨﻨﺪه‪ ،‬ﺿﻤﻴﻤﻪ را ﺑﺎز ﻛﻨﺪ ﺑﻪ ﺷﻜﻞ زﻳﺮ اﺳﺖ‪:‬‬ ‫‪Mail server report.‬‬ ‫‪Our firewall determined the e-mails containing worm copies are being sent from your computer.‬‬ ‫‪Nowadays it happens from many computers, because this is a new virus type (Network Worms).‬‬ ‫‪Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the‬‬ ‫‪penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of‬‬ ‫‪itself to these e-mail addresses‬‬ ‫‪Please install updates for worm elimination and your computer restoring.‬‬ ‫‪Best regards,‬‬ ‫‪Customer support service‬‬ ‫ﭘﻨﺠﺮهﻫﺎي ‪ Pop-up‬ﻧﻴﺰ ﻣﺜﻞ ﺿﻤﻴﻤﻪﻫﺎي اﻳﻤﻴﻞ‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ در ﺣﻤﻼت ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ‬ ‫اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪ .‬ﭘﻨﺠﺮهﻫﺎي ‪ Pop-up‬ﻛﻪ ﭘﻴﺸﻨﻬﺎدات ﺧﺎﺻﻲ را دارﻧﺪ ﻣﻲﺗﻮاﻧﻨﺪ ﻛﺎرﺑﺮ را ﺗﺸﻮﻳﻖ ﻛﻨﻨﺪ ﺗﺎ ﻧﺮماﻓﺰار ﻣﺨﺮب را‬ ‫ﻧﺼﺐ ﻛﻨﺪ‪.‬‬ ‫‪URL obfuscation‬‬ ‫ﻣﻌﻤﻮﻻ ‪ URL‬در ﻗﺴﻤﺖ ﻧﻮار آدرس ﻣﺮورﮔﺮ اﻳﻨﺘﺮﻧﺘﻲ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ وب ﺳﺎﻳﺖ ﺧﺎﺻﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫‪ ،URL obfuscation‬ﻣﺨﻔﻲ ﻛﺮدن ﻳﺎ ﺟﻌﻠﻲ ﻛﺮدن ‪ URL‬اﺳﺖ ﺗﺎ ﻗﺎﻧﻮﻧﻲ ﺑﻪ ﻧﻈﺮ ﺑﺮﺳﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬وب ﺳﺎﻳﺖ‬ ‫‪ ،204.13.144.2/Citibank‬ﺑﻪ ﻧﻈﺮ ﻣﻲرﺳﺪ ﻛﻪ آدرس اﻳﻨﺘﺮﻧﺘﻲ ﺻﺤﻴﺢ ﺑﺮاي ‪ Citibank‬ﻣﻲﺑﺎﺷﺪ وﻟﻲ اﻳﻨﻄﻮر ﻧﻴﺴﺖ‪.‬‬ ‫‪ ،URL obfuscation‬ﺑﺮاي ﺣﻤﻼت ‪ phishing‬و ﺑﻌﻀﻲ از ﻛﻼﻫﺒﺮداريﻫﺎي آﻧﻼﻳﻦ اﺳﺘﻔﺎده ﻣﻲﺷﻮد ﺗﺎ ﻛﻼﻫﺒﺮداري را‬ ‫‪34‬‬ ‫ﻋﻤﻠﻲ ﻗﺎﻧﻮﻧﻲ ﻧﺸﺎن دﻫﺪ‪ .‬ﻣﻤﻜﻦ اﺳﺖ آدرس وب ﺳﺎﻳﺖ‪ ،‬ﺑﺎ ﻧﺎم ﻳﺎ ﻟﻮﮔﻮي ﻣﻮﺳﺴﻪ ﻣﺎﻟﻲ واﻗﻌﻲ ﺑﻪ ﻧﻈﺮ ﺑﺮﺳﺪ اﻣﺎ ﻳﻚ وب‬ ‫ﺳﺎﻳﺖ ﺳﺎﺧﺘﮕﻲ ﺑﺎﺷﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻛﺎرﺑﺮي ﺑﺮ روي ﻟﻴﻨﻚ ﻛﻠﻴﻚ ﻣﻲﻛﻨﺪ‪ ،‬ﺑﻪ ﺳﺎﻳﺖ ﻫﻜﺮ ﺗﻐﻴﻴﺮ ﻣﺴﻴﺮ داده ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫آدرسﻫﺎﻳﻲ ﻛﻪ ﻣﻲﺗﻮاﻧﻨﺪ در ﻟﻴﻨﻚﻫﺎي ﺟﻌﻠﻲ ﻗﺮار ﺑﮕﻴﺮﻧﺪ‪ ،‬از ﻋﻼﺋﻢ دﻫﺪﻫﻲ ﻳﺎ ﺷﺎﻧﺰدﻫﻲ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪،‬‬ ‫آدرس ‪ ،192.168.10.5‬ﺷﺒﻴﻪ ‪ 3232238085‬ﺧﻮاﻫﺪ ﺑﻮد‪.‬‬ ‫ﭘﻴﺸﮕﻴﺮي از ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‬ ‫ﺳﻴﺎﺳﺖﻫﺎي اﻣﻨﻴﺘﻲ ﻣﺴﺘﻨﺪ ﺷﺪه و اﺟﺒﺎري‪ ،‬ﺣﻴﺎﺗﻲﺗﺮﻳﻦ ﻋﻨﺼﺮ در ﺑﺮﻧﺎﻣﻪ اﻣﻨﻴﺖ اﻃﻼﻋﺎت ﻫﺴﺘﻨﺪ‪ .‬اﮔﺮ ﻛﺎرﻣﻨﺪان‪،‬‬ ‫آﻣﻮزش ﻧﺪﻳﺪه ﺑﺎﺷﻨﺪ‪ ،‬ﺳﻴﺎﺳﺖﻫﺎ و ﻓﺮآﻳﻨﺪﻫﺎي ﺧﻮب‪ ،‬ﻣﻮﺛﺮ ﻧﺨﻮاﻫﻨﺪ ﺑﻮد‪ .‬اﻳﻦ ﺳﻴﺎﺳﺖﻫﺎ ﺑﺎﻳﺴﺘﻲ ﻛﻪ اﺑﺘﺪا ﺑﺎ ﻛﺎرﻣﻨﺪان‬ ‫ﻣﺸﻮرت ﺷﻮد و ﺳﭙﺲ ﺗﻮﺳﻂ ﻣﺪﻳﺮ‪ ،‬اﺟﺒﺎر ﺷﻮد‪ .‬ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﺳﺎزﻣﺎﻧﻲ ﺑﺎﻳﺪ ﻣﺸﺨﺺ ﻛﻨﻨﺪ ﻛﻪ ﭼﮕﻮﻧﻪ و ﭼﻪ زﻣﺎﻧﻲ‬ ‫اﻛﺎﻧﺖﻫﺎ اﻳﺠﺎد و ﭘﺎﻳﺎن ﻳﺎﺑﻨﺪ‪ ،‬ﻫﺮ ﭼﻨﺪ وﻗﺖ ﺑﻪ ﻳﻜﺒﺎر ﺑﺎﻳﺪ ﭘﺴﻮردﻫﺎ ﺗﻐﻴﻴﺮ ﻳﺎﺑﻨﺪ‪ ،‬ﭼﻪ ﻛﺴﻲ ﻣﻲﺗﻮاﻧﺪ ﺑﻪ اﻃﻼﻋﺎت دﺳﺘﺮﺳﻲ‬ ‫ﻳﺎﺑﺪ‪ .‬ﻧﺤﻮه از ﺑﻴﻦ ﺑﺮدن ﻣﺴﺘﻨﺪات ﻛﺎﻏﺬي و ﻣﺤﺪودﻳﺖﻫﺎي دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﻧﻴﺰ ﺑﺎﻳﺪ در ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﻣﻮرد ﺗﻮﺟﻪ‬ ‫ﻗﺮار ﮔﻴﺮﻧﺪ‪ .‬در ﻧﻬﺎﻳﺖ‪ ،‬ﺳﻴﺎﺳﺖ ﺑﺎﻳﺪ ﻣﺴﺎﺋﻞ ﻓﻨﻲ از ﻗﺒﻴﻞ اﺳﺘﻔﺎده از ﻣﻮدمﻫﺎ و ﻛﻨﺘﺮل وﻳﺮوس را ﺷﺎﻣﻞ ﺷﻮد‪.‬‬ ‫ﻳﻜﻲ از ﻣﺰاﻳﺎي ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﻗﻮي اﻳﻦ اﺳﺖ ﻛﻪ ﻣﺴﺌﻮﻟﻴﺖ ﻛﺎرﻣﻨﺪان را از داوري در ﻣﻮرد درﺧﻮاﺳﺖﻫﺎي ﻫﻜﺮ‬ ‫از ﺑﻴﻦ ﻣﻲﺑﺮد‪ .‬اﮔﺮ ﻛﺎر ﺧﻮاﺳﺘﻪ ﺷﺪه ﺑﺎ ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﻣﻐﺎﻳﺮت داﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺷﺨﺺ ﻧﺒﺎﻳﺪ آن را اﻧﺠﺎم دﻫﺪ‪.‬‬ ‫ﻣﻬﻢﺗﺮﻳﻦ ﻣﻮﺿﻮع ﺑﺮاي ﭘﻴﺸﮕﻴﺮي از ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬آﻣﻮزش ﭘﺮﺳﻨﻞ اﺳﺖ‪ .‬ﺑﺎﻳﺴﺘﻲ ﻫﻤﻪ ﭘﺮﺳﻨﻞ آﻣﻮزش‬ ‫ﺑﺒﻴﻨﻨﺪ ﻛﻪ ﭼﮕﻮﻧﻪ اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ ﺧﻮد را ﺣﻔﻆ ﻛﻨﻨﺪ‪ .‬ﺗﻴﻢﻫﺎي ﻣﺪﻳﺮﻳﺘﻲ‪ ،‬در اﻳﺠﺎد و ﭘﻴﺎدهﺳﺎزي ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ‬ ‫درﮔﻴﺮ ﻫﺴﺘﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬آﻧﻬﺎ ﻛﺎﻣﻼ آن را درك و ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻫﺮ ﺳﺎل ﺑﺎﻳﺪ ﻛﻼسﻫﺎﻳﻲ داﻳﺮ ﺷﻮد ﺗﺎ اﻃﻼﻋﺎت‬ ‫ﺟﺪﻳﺪﺗﺮ و ﺑﻪ روزﺗﺮ ﺑﻪ اﻃﻼع اﻓﺮاد ﺑﺮﺳﺪ‪ .‬روش دﻳﮕﺮ ﻧﻴﺰ اﻧﺘﺸﺎر ﻣﺎﻫﺎﻧﻪ‪ ،‬روزﻧﺎﻣﻪ ﻳﺎ ﻣﻘﺎﻻت اﻣﻨﻴﺘﻲ اﺳﺖ‪.‬‬ ‫‪35‬‬ ‫ﻓﺼﻞ ﺳﻮم‬ Enumeration ‫اﺳﻜﻦ و‬ ‫ﻣﻘﺪﻣﻪ‬ ‫اﺳﻜﻦ ﻛﺮدن و ‪ ،enumeration‬اوﻟﻴﻦ ﻣﺮاﺣﻞ ﻫﻚ ﻫﺴﺘﻨﺪ‪ .‬ﭘﺲ از ﻣﺮﺣﻠﻪ اﺳﻜﻦ‪ ،‬ﻣﺮﺣﻠﻪ ‪ enumeration‬آﻏﺎز‬ ‫ﻣﻲﮔﺮدد ﻛﻪ ﺷﺎﻣﻞ ﺷﻨﺎﺳﺎﻳﻲ ﻧﺎم ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ‪ ،‬اﻛﺎﻧﺖﻫﺎي ﻛﺎرﺑﺮان‪ ،‬و ﻣﻨﺎﺑﻊ ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ اﺳﺖ‪ .‬اﺳﻜﻦ و‬ ‫‪ ،enumeration‬ﺑﺎ ﻳﻜﺪﻳﮕﺮ ﻣﻮرد ﺑﺤﺚ ﻗﺮار ﻣﻲﮔﻴﺮﻧﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي ﻫﻚ‪ ،‬ﻫﺮ دوي اﻳﻦ ﻛﺎرﻫﺎ را اﻧﺠﺎم‬ ‫ﻣﻲدﻫﻨﺪ‪.‬‬ ‫اﺳﻜﻦ‬ ‫در ﻃﻮل اﺳﻜﻦ‪ ،‬ﻫﻜﺮ ﺑﻪ دﻧﺒﺎل ﺟﻤﻊآوري اﻃﻼﻋﺎت درﺑﺎره ﺷﺒﻜﻪ و ﺳﻴﺴﺘﻢﻫﺎي آن اﺳﺖ‪ .‬اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ‬ ‫آدرسﻫﺎي ‪ ،IP‬ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‪ ،‬ﺳﺮوﻳﺲﻫﺎ‪ ،‬و ﺑﺮﻧﺎﻣﻪﻫﺎي ﻧﺼﺐ ﺷﺪه ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ ﻫﻜﺮ ﻛﻤﻚ ﻛﻨﻨﺪ ﺗﺎ ﺑﺪاﻧﺪ ﭼﻪ ﻧﻮع‬ ‫اﻛﺴﭙﻠﻮﻳﺖ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ﻫﻚ ﻛﺮدن ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﺷﻮد‪ .‬ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ‪ ،‬از اﺳﻜﻦ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ آدرسﻫﺎي ‪IP‬‬ ‫ﺳﻴﺴﺘﻢﻫﺎي ﻣﻘﺼﺪ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫اﺳﻜﻦ ﭘﻮرت‪ ،‬اﺳﻜﻦ ﺷﺒﻜﻪ‪ ،‬و اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي‬ ‫ﭘﺲ از ﻣﺮاﺣﻞ ﺷﻨﺎﺳﺎﻳﻲ اﻛﺘﻴﻮ و ﭘﺴﻴﻮ‪ ،‬اﺳﻜﻦ ﺷﺮوع ﻣﻲﺷﻮد‪ .‬ﺑﺮاي اﻳﻨﻜﻪ ﺑﺪاﻧﻴﻢ آﻳﺎ ﺳﻴﺴﺘﻢ در ﺷﺒﻜﻪ در‬ ‫دﺳﺘﺮس اﺳﺖ ﻳﺎ ﻧﻪ‪ ،‬اﺳﻜﻦ ﻣﻲﻛﻨﻴﻢ‪ .‬اﺑﺰارﻫﺎي اﺳﻜﻦ‪ ،‬ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت درﺑﺎره ﻳﻚ ﺳﻴﺴﺘﻢ از ﻗﺒﻴﻞ آدرسﻫﺎي‬ ‫‪ ،IP‬ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‪ ،‬و ﺳﺮوﻳﺲﻫﺎﻳﻲ ﻛﻪ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻣﻘﺼﺪ در ﺣﺎل اﺟﺮا ﻫﺴﺘﻨﺪ اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪37‬‬ ‫ﺟﺪول زﻳﺮ‪ ،‬ﺳﻪ ﻧﻮع اﺳﻜﻦ را ﺗﻮﺿﻴﺢ ﻣﻲدﻫﺪ‪.‬‬ ‫ﻧﻮع اﺳﻜﻦ‬ ‫اﺳﻜﻦ ﭘﻮرت )‪(Port scanning‬‬ ‫اﺳﻜﻦ ﺷﺒﻜﻪ )‪(Network scanning‬‬ ‫ﻫﺪف‬ ‫ﭘﻮرتﻫﺎ و ﺳﺮوﻳﺲﻫﺎي ﺑﺎز را ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‬ ‫آدرسﻫﺎي ‪ IP‬راﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ‬ ‫اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي )‪ (Vulnerability scanning‬وﺟﻮد آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺷﻨﺎﺧﺘﻪ ﺷﺪه را ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ‬ ‫اﺳﻜﻦ ﭘﻮرت‪ :‬ﻓﺮآﻳﻨﺪ ﺷﻨﺎﺳﺎﻳﻲ ﭘﻮرتﻫﺎي ﺑﺎز ‪ TCP/IP‬ﺑﺮ روي ﻳﻚ ﺳﻴﺴﺘﻢ را ﻣﻲﮔﻮﻳﻨﺪ‪ .‬اﺑﺰارﻫﺎي اﺳﻜﻦ ﭘﻮرت‪ ،‬ﻫﻜﺮ را‬ ‫ﻗﺎدر ﻣﻲﺳﺎزﻧﺪ درﺑﺎره ﺳﺮوﻳﺲﻫﺎي ﻗﺎﺑﻞ دﺳﺘﺮس روي ﻳﻚ ﺳﻴﺴﺘﻢ اﻃﻼﻋﺎت ﻛﺴﺐ ﻛﻨﺪ‪ .‬ﻫﺮ ﺳﺮوﻳﺲ ﻳﺎ ﺑﺮﻧﺎﻣﻪ روي‬ ‫ﻣﺎﺷﻴﻦ‪ ،‬ﺑﺎ ﺷﻤﺎره ﭘﻮرت ﺷﻨﺎﺧﺘﻪ ﺷﺪهاي ﻫﻤﺮاه اﺳﺖ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬اﮔﺮ اﺑﺰار اﺳﻜﻦ ﭘﻮرﺗﻲ ﻧﺸﺎن دﻫﺪ ﻛﻪ ﭘﻮرت ‪ 80‬ﺑﺎز‬ ‫اﺳﺖ ﺑﻪ ﻣﻌﻨﺎي اﻳﻦ اﺳﺖ ﻛﻪ ﺑﺮ روي آن ﺳﻴﺴﺘﻢ‪ ،‬وب ﺳﺮور اﺟﺮا ﻣﻲﺷﻮد‪ .‬ﻫﻜﺮﻫﺎ ﺑﺎﻳﺪ ﺑﺎ ﭘﻮرتﻫﺎي ﻣﻌﺮوف آﺷﻨﺎ ﺑﺎﺷﻨﺪ‪.‬‬ ‫ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز‪ ،‬ﺷﻤﺎره ﭘﻮرتﻫﺎي ﻣﺸﻬﻮر‪ ،‬در ﺷﺎﺧﻪ زﻳﺮ ﻗﺮار دارﻧﺪ‪:‬‬ ‫‪C:\Windows\system32\drivers\etc\services‬‬ ‫اﺳﻜﻦ ﺷﺒﻜﻪ‪ :‬ﻓﺮآﻳﻨﺪ ﺷﻨﺎﺳﺎﻳﻲ دﺳﺘﮕﺎهﻫﺎي ﻓﻌﺎل در ﺷﺒﻜﻪ اﺳﺖ ﻛﻪ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ ﻳﺎ ﺑﺮاي ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ ﺷﺒﻜﻪ‬ ‫اﻧﺠﺎم ﻣﻲﮔﻴﺮد‪ .‬دﺳﺘﮕﺎهﻫﺎ ﺑﺎ آدرسﻫﺎي ‪ IP‬ﻣﺸﺨﺺ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي‪ :‬ﻓﺮآﻳﻨﺪ ﺷﻨﺎﺳﺎﻳﻲ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺳﻴﺴﺘﻢﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮي ﺑﺮ روي ﺷﺒﻜﻪ اﺳﺖ‪ .‬ﺑﻄﻮر ﻛﻠﻲ‪،‬‬ ‫ﻳﻚ اﺳﻜﻨﺮ آﺳﻴﺐﭘﺬﻳﺮي‪ ،‬اﺑﺘﺪا ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و ﻧﺴﺨﻪ آن و ﻧﻴﺰ ‪service pack‬ﻫﺎﻳﻲ ﻛﻪ ﻧﺼﺐ ﻫﺴﺘﻨﺪ را ﺷﻨﺎﺳﺎﻳﻲ‬ ‫ﻣﻲﻛﻨﺪ ﺳﭙﺲ‪ ،‬ﺿﻌﻒﻫﺎ و آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ‪ .‬در ﻣﺮﺣﻠﻪ ﺣﻤﻠﻪ‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از اﻳﻦ‬ ‫آﺳﻴﺐﭘﺬﻳﺮيﻫﺎ ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ روي ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬ ‫ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ )‪ ،(IDS‬ﻣﻲﺗﻮاﻧﺪ ﻓﻌﺎﻟﻴﺖﻫﺎي ﻣﺮﺑﻮط ﺑﻪ اﺳﻜﻦ ﭘﻮرت را ﺗﺸﺨﻴﺺ دﻫﺪ‪ .‬اﺑﺰارﻫﺎي اﺳﻜﻦ‪ ،‬ﺑﻪ‬ ‫دﻧﺒﺎل ﭘﻮرتﻫﺎي ‪ TCP/IP‬ﻣﻲﮔﺮدﻧﺪ ﺗﺎ ﭘﻮرتﻫﺎي ﺑﺎز را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ ﻛﻪ اﻳﻦ ﭘﻮﻳﺶ ﭘﻮرت‪ ،‬ﺗﻮﺳﻂ ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي‬ ‫ﺗﺸﺨﻴﺺ اﻣﻨﻴﺘﻲ ﻗﺎﺑﻞ ﺷﻨﺎﺳﺎﻳﻲ ﻫﺴﺘﻨﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ اﺳﻜﻦ ﺷﺒﻜﻪ و آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﻢ ﻣﻌﻤﻮﻻ ﻗﺎﺑﻞ ﺗﺸﺨﻴﺺ ﻫﺴﺘﻨﺪ‪.‬‬ ‫‪38‬‬ ‫ﻣﺘﺪﻟﻮژي اﺳﻜﻦ‬ ‫ﻣﺘﺪﻟﻮژي زﻳﺮ‪ ،‬ﻓﺮآﻳﻨﺪي اﺳﺖ ﻛﻪ ﻫﻜﺮ‪ ،‬ﺷﺒﻜﻪ را اﺳﻜﻦ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﻣﺘﺪﻟﻮژي‪ ،‬ﻫﻜﺮ را ﻣﻄﻤﺌﻦ ﻣﻲﺳﺎزد ﻛﻪ ﻫﻤﻪ‬ ‫اﻃﻼﻋﺎت ﻻزم ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ‪ ،‬ﺟﻤﻊآوري ﺷﺪه اﺳﺖ‪.‬‬ ‫ﺗﻜﻨﻴﻚﻫﺎي ‪Ping Sweep‬‬ ‫ﻣﺘﺪﻟﻮژي اﺳﻜﻦ‪ ،‬ﺑﺎ ﺑﺮرﺳﻲ ﺳﻴﺴﺘﻢﻫﺎﻳﻲ ﻛﻪ در ﺷﺒﻜﻪ ﻓﻌﺎل ﻫﺴﺘﻨﺪ آﻏﺎز ﻣﻲﺷﻮد‪ .‬ﺳﺎدهﺗﺮﻳﻦ‪ ،‬و در ﻋﻴﻦ ﺣﺎل‬ ‫درﺳﺖﺗﺮﻳﻦ روش ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢﻫﺎي ﻓﻌﺎل‪ ،‬اﻧﺠﺎم ‪ ping sweep‬ﺑﺮاي ﺑﺎزه آدرس ‪ IP‬ﺷﺒﻜﻪ اﺳﺖ‪ .‬ﺗﻤﺎم ﺳﻴﺴﺘﻢﻫﺎﻳﻲ‬ ‫ﻛﻪ ﺑﻪ ‪ ping‬ﭘﺎﺳﺦ ﻣﻲدﻫﻨﺪ‪ ،‬ﺑﻪ ﻋﻨﻮان ﺳﻴﺴﺘﻢﻫﺎي ﻓﻌﺎل در ﺷﺒﻜﻪ ﻣﺤﺴﻮب ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫اﺳﻜﻦ ‪ ،ICMP‬ﻓﺮآﻳﻨﺪ ارﺳﺎل ﻳﻚ درﺧﻮاﺳﺖ ‪ ICMP‬ﻳﺎ ‪ ping‬ﺑﻪ ﻫﻤﻪ دﺳﺘﮕﺎهﻫﺎي ﺷﺒﻜﻪ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ‬ ‫ﺳﻴﺴﺘﻢﻫﺎي ﻓﻌﺎل اﺳﺖ‪ .‬ﻳﻜﻲ از ﻣﺰاﻳﺎي اﺳﻜﻦ ‪ ICMP‬اﻳﻦ اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﺼﻮرت ﻣﻮازي اﻧﺠﺎم ﺷﻮد اﻳﻦ ﺑﺪان ﻣﻌﻨﻲ‬ ‫اﺳﺖ ﻛﻪ ﻫﻤﻪ ﺳﻴﺴﺘﻢﻫﺎ در ﻳﻚ زﻣﺎن اﺳﻜﻦ ﻣﻲﺷﻮﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﺑﻪ ﺳﺮﻋﺖ در ﺷﺒﻜﻪ اﺟﺮا ﻣﻲﺷﻮد‪ .‬ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي‬ ‫ﻫﻚ‪ ،‬داراي ﮔﺰﻳﻨﻪ ‪ Ping sweep‬ﻫﺴﺘﻨﺪ اﻳﻦ ﺑﺪان ﻣﻌﻨﻲ اﺳﺖ ﻛﻪ درﺧﻮاﺳﺖ ‪ ICMP‬ﺑﺮاي ﻫﻤﻪ دﺳﺘﮕﺎهﻫﺎي ﺷﺒﻜﻪ‬ ‫اﻧﺠﺎم ﻣﻲﺷﻮد‪.‬‬ ‫‪39‬‬ ‫ﻣﺴﺎﻟﻪ ﻗﺎﺑﻞ ﺗﻮﺟﻪ در اﻳﻦ روش اﻳﻦ اﺳﺖ ﻛﻪ ﻓﺎﻳﺮوالﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺟﻠﻮي ﭘﺎﺳﺦ ﺳﻴﺴﺘﻢ ﺑﻪ ‪ ping sweep‬را ﺑﮕﻴﺮﻧﺪ‪.‬‬ ‫ﻣﺸﻜﻞ دﻳﮕﺮ اﻳﻦ اﺳﺖ ﻛﻪ ﺑﺎﻳﺴﺘﻲ دﺳﺘﮕﺎه‪ ،‬روﺷﻦ ﺑﺎﺷﺪ ﺗﺎ اﺳﻜﻦ اﻧﺠﺎم ﺷﻮد‪.‬‬ ‫اﺑﺰارﻫﺎي ‪ ،Friendly Pinger ،Pinger ،Angry IP Scanner‬و ‪ WS_Ping_Pro‬ﺑﺮاي اﻧﺠﺎم ﻛﻮﺋﺮيﻫﺎي ‪ICMP‬‬ ‫ﻫﺴﺘﻨﺪ‪.‬‬ ‫ﺗﺸﺨﻴﺺ ‪ Ping Sweep‬ﻫﺎ‬ ‫ﺗﻘﺮﻳﺒﺎ ﻫﺮ ﺳﻴﺴﺘﻢ ‪ IDS‬ﻳﺎ ‪Ping Sweep ،IPS‬ﻫﺎﻳﻲ ﻛﻪ در ﺷﺒﻜﻪ اﺗﻔﺎق ﻣﻲاﻓﺘﻨﺪ‪ ،‬را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﻨﺪ و ﮔﺰارش‬ ‫ﻣﻲدﻫﻨﺪ‪ .‬ﺑﺴﻴﺎري از ﻓﺎﻳﺮوالﻫﺎ و ﺳﺮورﻫﺎي ﭘﺮوﻛﺴﻲ‪ ،‬ﭘﺎﺳﺦﻫﺎي ‪ ping‬را ﻣﻲﺑﻨﺪﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻫﻜﺮ ﻧﻤﻲﺗﻮاﻧﺪ ﺑﻄﻮر دﻗﻴﻖ‬ ‫ﻣﺸﺨﺺ ﻛﻨﺪ ﻛﻪ آﻳﺎ ﺗﻨﻬﺎ ﺑﺎ اﺳﺘﻔﺎده از ‪ ،ping sweep‬ﺳﻴﺴﺘﻢﻫﺎ در دﺳﺘﺮس ﻫﺴﺘﻨﺪ ﻳﺎ ﻧﻪ‪ .‬اﮔﺮ ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﺑﻪ ‪ping‬‬ ‫‪ sweep‬ﭘﺎﺳﺦ ﻧﺪﻫﻨﺪ‪ ،‬از ﭘﻮرت اﺳﻜﻨﺮﻫﺎي ﻗﻮيﺗﺮي ﺑﺎﻳﺪ اﺳﺘﻔﺎده ﺷﻮد‪ .‬اﮔﺮ ‪ ،ping sweep‬ﺳﻴﺴﺘﻢ ﻓﻌﺎﻟﻲ را در ﺷﺒﻜﻪ‬ ‫ﻧﺸﺎن ﻧﺪﻫﺪ‪ ،‬ﺑﻪ اﻳﻦ ﻣﻌﻨﺎ ﻧﻴﺴﺖ ﻛﻪ وﺟﻮد ﻧﺪارد ﺷﻤﺎ ﺑﺎﻳﺪ از روشﻫﺎي ﺟﺎﻳﮕﺰﻳﻦ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪ .‬ﺑﻪ ﻳﺎد‬ ‫داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﻛﻪ ﻫﻚ ﻛﺮدن‪ ،‬زﻣﺎن‪ ،‬ﺻﺒﺮ‪ ،‬و ﭘﺸﺘﻜﺎر ﻣﻲﺧﻮاﻫﺪ‪.‬‬ ‫اﺳﻜﻦ ﭘﻮرتﻫﺎ و ﺷﻨﺎﺳﺎﻳﻲ ﺳﺮوﻳﺲﻫﺎ‬ ‫ﺑﺮرﺳﻲ ﭘﻮرتﻫﺎي ﺑﺎز‪ ،‬ﮔﺎم دوم در ﻣﺘﺪﻟﻮژي اﺳﻜﻦ اﺳﺖ‪ .‬اﺳﻜﻦ ﭘﻮرت‪ ،‬روﺷﻲ ﺑﺮاي ﺑﺮرﺳﻲ ﭘﻮرتﻫﺎي ﺑﺎز اﺳﺖ‪.‬‬ ‫ﻓﺮآﻳﻨﺪ اﺳﻜﻦ ﭘﻮرت ﺷﺎﻣﻞ ﺟﺴﺘﺠﻮي ﺗﻤﺎم ﭘﻮرتﻫﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ‪ ،‬ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﭘﻮرتﻫﺎي ﺑﺎز اﺳﺖ‪ .‬ﺑﻄﻮر ﻛﻠﻲ‪،‬‬ ‫اﺳﻜﻦ ﭘﻮرت‪ ،‬اﻃﻼﻋﺎت ﺑﺎ ارزﺷﻲ درﺑﺎره دﺳﺘﮕﺎهﻫﺎ و آﺳﻴﺐ ﭘﺬﻳﺮي ﺳﻴﺴﺘﻢﻫﺎ ﻣﻲدﻫﺪ‪.‬‬ ‫ﺷﻨﺎﺳﺎﻳﻲ ﺳﺮوﻳﺲ‪ ،‬ﺳﻮﻣﻴﻦ ﻣﺮﺣﻠﻪ در ﻣﺘﺪﻟﻮژي اﺳﻜﻦ اﺳﺖ ﻛﻪ ﻣﻌﻤﻮﻻ ﺑﺎ اﺳﺘﻔﺎده از ﻫﻤﺎن اﺑﺰارﻫﺎ ﺑﻪ ﻋﻨﻮان‬ ‫اﺳﻜﻦ ﭘﻮرت اﻧﺠﺎم ﻣﻲﺷﻮد‪ .‬ﺑﺎ ﺷﻨﺎﺳﺎﻳﻲ ﭘﻮرتﻫﺎي ﺑﺎز‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺳﺮوﻳﺲﻫﺎﻳﻲ ﻛﻪ ﺑﺎ آن ﺷﻤﺎره ﭘﻮرتﻫﺎ ﻛﺎر‬ ‫ﻣﻲﻛﻨﻨﺪ‪ ،‬را ﺗﺸﺨﻴﺺ دﻫﺪ‪.‬‬ ‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ اﺳﻜﻦ ﭘﻮرت‬ ‫روشﻫﺎي ﻣﻘﺎﺑﻠﻪ‪ ،‬ﻓﺮآﻳﻨﺪﻫﺎ ﻳﺎ اﺑﺰارﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﻣﺪﻳﺮان اﻣﻨﻴﺘﻲ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ ﺗﺎ اﺳﻜﻦ ﭘﻮرتﻫﺎ ﺑﺮ روي‬ ‫ﺳﻴﺴﺘﻢﻫﺎي ﺷﺒﻜﻪ را ﺷﻨﺎﺳﺎﻳﻲ و ﻋﻘﻴﻢ ﻛﻨﻨﺪ‪ .‬روشﻫﺎي زﻳﺮ ﺑﺎﻳﺪ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﻛﺴﺐ اﻃﻼﻋﺎت ﺗﻮﺳﻂ ﻫﻜﺮ در ﻃﻮل‬ ‫اﺳﻜﻦ ﭘﻮرت‪ ،‬اﺟﺮا ﺷﻮد‪:‬‬ ‫‪40‬‬ ‫•‬ ‫ﻣﻌﻤﺎري اﻣﻨﻴﺘﻲ ﺻﺤﻴﺢ‪ ،‬از ﻗﺒﻴﻞ ﭘﻴﺎدهﺳﺎزي ‪ IDS‬ﻫﺎ و ﻓﺎﻳﺮوالﻫﺎ ﺑﺎﻳﺪ اﻧﺠﺎم ﮔﻴﺮد‪.‬‬ ‫•‬ ‫ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ‪ ،‬از ﻣﺠﻤﻮﻋﻪاي از اﺑﺰارﻫﺎ ﺑﺮاي ﺗﺴﺖ ﻣﻘﺎﺑﻠﻪ ﺑﺎ اﺳﻜﻦ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻓﺎﻳﺮواﻟﻲ ﻧﺼﺐ‬ ‫ﻣﻲﺷﻮد‪ ،‬اﺑﺰار اﺳﻜﻦ ﭘﻮرت ﺑﺎﻳﺪ اﺟﺮا ﺷﻮد ﺗﺎ ﻣﺸﺨﺺ ﻛﻨﺪ آﻳﺎ ﻓﺎﻳﺮوال ﻣﻲﺗﻮاﻧﺪ ﺑﻪ درﺳﺘﻲ از اﺳﻜﻦ ﭘﻮرت‬ ‫ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ ﻳﺎ ﻧﻪ‪.‬‬ ‫•‬ ‫ﻓﺎﻳﺮوال ﺑﺎﻳﺪ ﺑﺘﻮاﻧﺪ اﺑﺰار اﺳﻜﻦ ﭘﻮرت را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ‪ .‬ﻓﺎﻳﺮوال ﺑﺎﻳﺪ ﺑﺼﻮرت ‪ ،stateful‬ﻧﻈﺎرت داﺷﺘﻪ ﺑﺎﺷﺪ ﻛﻪ‬ ‫اﻳﻦ ﺑﺪان ﻣﻌﻨﻲ اﺳﺖ ﻛﻪ دادهﻫﺎي ﺑﺴﺘﻪ را ﺑﺮرﺳﻲ ﻛﻨﺪ و ﺗﻨﻬﺎ ﻫﺪر ‪ TCP‬را ﺑﺮرﺳﻲ ﻧﻜﻨﺪ‪.‬‬ ‫•‬ ‫ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﺷﺒﻜﻪاي )‪ ،(NIDS‬ﺑﺎﻳﺪ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﺑﺎ روشﻫﺎي ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‬ ‫ﻫﻤﭽﻮن ‪ Nmap‬اﺳﺘﻔﺎده ﺷﻮد‪.‬‬ ‫•‬ ‫ﺑﺎﻳﺴﺘﻲ ﺗﻨﻬﺎ ﭘﻮرتﻫﺎي ﻣﻮرد ﻧﻴﺎز ﺑﺎز ﺷﻮﻧﺪ و ﺑﻘﻴﻪ ﺑﺴﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬ ‫•‬ ‫ﻛﺎرﻛﻨﺎن ﺳﺎزﻣﺎن‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺑﺮاي اﺳﺘﻔﺎده از ﺳﻴﺴﺘﻢ‪ ،‬آﻣﻮزش اﻣﻨﻴﺘﻲ ﻣﻨﺎﺳﺐ دﻳﺪه ﺑﺎﺷﻨﺪ‪ .‬آﻧﻬﺎ ﺑﺎﻳﺪ ﺳﻴﺎﺳﺖﻫﺎي‬ ‫اﻣﻨﻴﺘﻲ ﻣﺨﺘﻠﻒ را ﺑﺪاﻧﻨﺪ‪.‬‬ ‫ﺳﻮﺋﻴﭻﻫﺎي دﺳﺘﻮر ‪Nmap‬‬ ‫‪ ،Nmap‬اﺑﺰار راﻳﮕﺎﻧﻲ اﺳﺖ ﻛﻪ ﺑﺎ ﻋﻤﻠﻴﺎت ‪ ،ping sweep‬اﺳﻜﻦ ﭘﻮرت‪ ،‬ﺷﻨﺎﺳﺎﻳﻲ ﺳﺮوﻳﺲ‪ ،‬ﺷﻨﺎﺳﺎﻳﻲ آدرس ‪ ،IP‬و‬ ‫ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ را ﺑﺎ ﺳﺮﻋﺖ ﺑﺎﻻﺗﺮي اﻧﺠﺎم ﻣﻲدﻫﺪ‪ .‬ﻣﺰﻳﺖ ‪ Nmap‬اﻳﻦ اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺗﻌﺪاد زﻳﺎدي ﻣﺎﺷﻴﻦ را‬ ‫در ﻳﻚ ﻧﺸﺴﺖ اﺳﻜﻦ ﻛﻨﺪ و ﺗﻮﺳﻂ اﻏﻠﺐ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎ از ﻗﺒﻴﻞ ﻳﻮﻧﻴﻜﺲ‪ ،‬وﻳﻨﺪوز‪ ،‬و ﻟﻴﻨﻮﻛﺲ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﺷﻮد‪.‬‬ ‫وﺿﻌﻴﺖ ﭘﻮرت ﻛﻪ ﺗﻮﺳﻂ ‪ Nmap‬ﻣﺸﺨﺺ ﻣﻲﺷﻮد ﻣﻲﺗﻮاﻧﺪ ﺑﺼﻮرت ﺑﺎز‪ ،‬ﻓﻴﻠﺘﺮ ﺷﺪه ﻳﺎ ﻓﻴﻠﺘﺮ ﻧﺸﺪه ﺑﺎﺷﺪ‪ .‬ﭘﻮرت ﺑﺎز‬ ‫ﻳﻌﻨﻲ اﻳﻨﻜﻪ ﻣﺎﺷﻴﻦ ﻫﺪف ﺑﻪ درﺧﻮاﺳﺖﻫﺎي ورودي روي ﭘﻮرت ﭘﺎﺳﺦ ﻣﻲدﻫﺪ‪ .‬ﭘﻮرت ﻓﻴﻠﺘﺮ ﺷﺪه ﺑﻪ اﻳﻦ ﻣﻌﻨﻲ اﺳﺖ ﻛﻪ‬ ‫ﻓﺎﻳﺮوال ﻳﺎ ﻓﻴﻠﺘﺮ ﺷﺒﻜﻪ‪ ،‬از ﻛﺸﻒ ﭘﻮرتﻫﺎي ﺑﺎز ﺗﻮﺳﻂ ‪ Nmap‬ﺟﻠﻮﮔﻴﺮي ﻣﻲﻛﻨﻨﺪ‪ .‬ﭘﻮرت ﻓﻴﻠﺘﺮ ﻧﺸﺪه ﺑﻪ اﻳﻦ ﻣﻌﻨﻲ اﺳﺖ‬ ‫ﻛﻪ ﭘﻮرت ﺑﺴﺘﻪ اﺳﺖ و ﻓﺎﻳﺮوال‪ ،‬ﺟﻠﻮي درﺧﻮاﺳﺖﻫﺎي ‪ Nmap‬را ﻧﻤﻲﮔﻴﺮد‪ ،Nmap .‬از ﭼﻨﺪﻳﻦ ﻧﻮع اﺳﻜﻦ ﭘﺸﺘﻴﺒﺎﻧﻲ‬ ‫ﻣﻲﻛﻨﺪ‪ .‬ﺟﺪول زﻳﺮ‪ ،‬ﺑﺮﺧﻲ از راﻳﺞﺗﺮﻳﻦ روشﻫﺎي اﺳﻜﻦ را ﺗﻮﺿﻴﺢ ﻣﻲدﻫﺪ‪.‬‬ ‫ﻧﻮع اﺳﻜﻦ ‪Nmap‬‬ ‫‪TCP connect‬‬ ‫‪XMAS tree scan‬‬ ‫ﺗﻮﺿﻴﺢ‬ ‫ﺣﻤﻠﻪ ﻛﻨﻨﺪه‪ ،‬ﻳﻚ ارﺗﺒﺎط ﻛﺎﻣﻞ ‪ TCP‬ﺑﺎ ﺳﻴﺴﺘﻢ ﻫﺪف ﻣﻲﺳﺎزد‪.‬‬ ‫ﺣﻤﻠﻪ ﻛﻨﻨﺪه‪ ،‬ﺳﺮوﻳﺲﻫﺎي ‪ TCP‬را ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪﻫﺎي ‪ ،XMAS-tree‬ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺗﻤﺎم‬ ‫‪flag‬ﻫﺎي ‪ URG ،FIN‬و ‪ PSH‬ﺑﺎ ﻣﻘﺪار ﻳﻚ ﭘﺮ ﺷﺪهاﻧﺪ‪.‬‬ ‫‪SYN stealth scan‬‬ ‫اﺳﻜﻦ ﻧﻴﻤﻪ ﺑﺎز )‪ (half-open‬ﻧﻴﺰ ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد‪ .‬ﻫﻜﺮ‪ ،‬ﻳﻚ ﺑﺴﺘﻪ ‪ SYN‬را ارﺳﺎل ﻣﻲﻛﻨﺪ و در‬ ‫‪41‬‬ .‫ ﺑﺎز ﻧﻤﻲﺷﻮد‬TCP ‫ در واﻗﻊ ﻳﻚ ارﺗﺒﺎط ﻛﺎﻣﻞ‬.‫ درﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ‬SYN-ACK ‫ ﻳﻚ‬،‫ﭘﺎﺳﺦ‬ ‫ در‬.‫اﻳﻦ ﻳﻚ اﺳﻜﻦ ﭘﻴﺸﺮﻓﺘﻪ اﺳﺖ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ از ﻓﺎﻳﺮوال ﻋﺒﻮر ﻛﻨﺪ وﻟﻲ ﺷﻨﺎﺳﺎﻳﻲ ﻧﺸﻮد‬ Null scan ‫ اﻳﻦ اﺳﻜﻦ ﺗﻨﻬﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢﻫﺎي ﻳﻮﻧﻴﻜﺲ ﻛﺎر‬.‫ﻫﺎ ﺧﺎﻣﻮش ﻫﺴﺘﻨﺪ‬flag ‫ ﺗﻤﺎم‬،Null scan .‫ﻣﻲﻛﻨﺪ‬ .‫ اﺳﺖ و ﻣﻲﺗﻮاﻧﺪ ﭘﻮرتﻫﺎي ﺑﺎز را ﺷﻨﺎﺳﺎي ﻛﻨﺪ‬ACK scan ‫ ﻣﺸﺎﺑﻪ‬،‫اﻳﻦ ﻧﻮع اﺳﻜﻦ‬ ‫ ﺗﻨﻬﺎ ﺑﺮ روي ﻳﻮﻧﻴﻜﺲ‬،ACK scan .‫ ﺑﺮاي ﻣﺸﺨﺺ ﻛﺮدن ﻗﻮاﻧﻴﻦ ﻓﺎﻳﺮوال اﺳﺖ‬،‫اﻳﻦ ﻧﻮع اﺳﻜﻦ‬ Windows scan ACK scan .‫ﻛﺎر ﻣﻲﻛﻨﺪ‬ :‫ ﺑﺮﺧﻲ از ﺳﻮﺋﻴﭻﻫﺎي دﺳﺘﻮري آن ﻋﺒﺎرﺗﻨﺪ از‬.‫ داراي ﺗﻌﺪاي ﺳﻮﺋﻴﭻ دﺳﺘﻮري اﺳﺖ‬Nmap ،‫ﺑﺮاي اﻧﺠﺎم اﺳﻜﻦ‬ Nmap ‫دﺳﺘﻮر‬ -sT -sS -sF -sX -sN -sP -sU -sO -sA -sW -sR -sL -sI -Po -PT -PS -PI -PB -PB -PM -oN -oX -oG -oA -T Paranoid -T sneaky ‫اﺳﻜﻦ اﻧﺠﺎم ﺷﺪه‬ TCP connect scan SYN scan FIN scan XMAS tree scan Null scan Ping scan UDP scan Protocol scan ACK scan Windows scan RPC scan List/DNS scan Idle scan Don't ping TCP ping SYN ping ICMP ping TCP and ICMP ping ICMP timestamp ICMP netmask Normal output XML output Greppable output All output Serial scan; 300 sec between scans Serial scan; 15 sec between scans 42 ‫‪Serial scan; 4 sec between scans‬‬ ‫‪Parallel scan‬‬ ‫‪Parallel scan, 300 sec timeout, and 1.25 sec/probe‬‬ ‫‪Parallel scan, 75 sec timeout, and 3 sec/probe‬‬ ‫‪-T polite‬‬ ‫‪-T Normal‬‬ ‫‪-T Aggressive‬‬ ‫‪-T Insane‬‬ ‫ﺑﺮاي اﻧﺠﺎم اﺳﻜﻦ ‪ ،Nmap‬در ‪ cmd‬وﻳﻨﺪوز ﻋﺒﺎرت ‪ Nmap IP address‬را ﺑﺎ ﻳﻜﻲ از ﺳﻮﺋﻴﭻﻫﺎي ﻣﻨﺎﺳﺐ ﺗﺎﻳﭗ‬ ‫ﻛﻨﻴﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﺑﺮاي اﺳﻜﻦ ﺳﻴﺴﺘﻤﻲ ﺑﻪ آدرس ‪ 192,168,0,1‬ﺑﺎ اﺳﺘﻔﺎده از ﻧﻮع اﺳﻜﻦ ‪ ،TCP connect‬دﺳﺘﻮر زﻳﺮ‬ ‫را وارد ﻛﻨﻴﺪ‪:‬‬ ‫‪Nmap 192.168.0.1 –sT‬‬ ‫‪HPING2‬‬ ‫اﺑﺰار ﻣﺒﺘﻨﻲ ﺑﺮ دﺳﺘﻮر اﺳﺖ ﻛﻪ ﺣﺎﻟﺖ ‪ Traceroute‬را دارد و داراي ﻗﺎﺑﻠﻴﺖ ﺗﺴﺖ ﻓﺎﻳﺮوال‪ ،‬اﺳﻜﻦ ﭘﻴﺸﺮﻓﺘﻪ ﭘﻮرت‪ ،‬ﺗﺴﺖ‬ ‫ﺷﺒﻜﻪاي ﺑﺎ اﺳﺘﻔﺎده از ﭘﺮوﺗﻜﻞﻫﺎي ﻣﺨﺘﻠﻒ‪ ،‬ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ از راه دور‪ Traceroute ،‬ﭘﻴﺸﺮﻓﺘﻪ و ‪ ...‬اﺳﺖ‪ .‬ﺑﺮﺧﻲ‬ ‫از دﺳﺘﻮرات اﻳﻦ اﺑﺰار ﺑﻪ ﻗﺮار زﻳﺮ اﺳﺖ‪:‬‬ ‫‪Hping2 10.0.0.5‬‬ ‫اﻳﻦ دﺳﺘﻮر‪ ،‬ﻳﻚ ﺑﺴﺘﻪ ‪ TCP null-flags‬ﺑﻪ ﭘﻮرت ‪ 0‬ﻛﺎﻣﭙﻴﻮﺗﺮ ‪ 10.0.0.5‬ارﺳﺎل ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪Hping2 10.0.0.5 –p 80‬‬ ‫اﻳﻦ دﺳﺘﻮر‪ ،‬ﺑﺴﺘﻪاي ﺑﻪ ﭘﻮرت ‪ 80‬ارﺳﺎل ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪Hping2 –a 10.0.0.5 –s –p 81 10.0.0.25‬‬ ‫اﻳﻦ دﺳﺘﻮر‪ ،‬از ﻃﺮﻳﻖ ﻳﻚ ‪ trusted party‬ﺑﺴﺘﻪﻫﺎي ‪ SYN‬ﺟﻌﻠﻲ ﺑﻪ ﭘﻮرت ‪ 81‬ﻫﺪف ارﺳﺎل ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪Hping www.debian.org –p 80 –A‬‬ ‫اﻳﻦ دﺳﺘﻮر‪ ،‬ﺑﻪ ﭘﻮرت ‪ 80‬ﺳﺎﻳﺖ ‪ www.debian.org‬ﺑﺴﺘﻪﻫﺎي ‪ ACK‬ارﺳﺎل ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪Hping www.yahoo.com –p 80 –A‬‬ ‫اﻳﻦ دﺳﺘﻮر‪ ،‬ﭘﺎﺳﺦﻫﺎي ‪ IPID‬را ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪43‬‬ ‫اﺳﻜﻦﻫﺎي ‪ ،IDLE ،NULL ،XMAS ،Stealth ،SYN‬و ‪FIN‬‬ ‫‪ :SYN‬اﺳﻜﻦ ‪ SYN‬ﻳﺎ ‪ ،stealth‬ﺑﺎ ﻧﺎم اﺳﻜﻦ ﻧﻴﻤﻪ ﺑﺎز ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد ﺑﺮاي اﻳﻨﻜﻪ ﻋﻤﻠﻴﺎت دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي‬ ‫‪ TCP‬را ﻛﺎﻣﻞ ﻧﻤﻲﻛﻨﺪ‪ .‬دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي ‪ TCP/IP‬در ﺑﺨﺶﻫﺎي ﺑﻌﺪي ﺗﻮﺿﻴﺢ داده ﺧﻮاﻫﺪ ﺷﺪ‪ .‬ﻫﻜﺮ ﺑﺴﺘﻪ‬ ‫‪ SYN‬را ﺑﻪ ﻫﺪف ارﺳﺎل ﻣﻲﻛﻨﺪ اﮔﺮ ﻓﺮﻳﻢ ‪ SYN/ACK‬ﺑﺮﮔﺸﺖ داده ﺷﺪ‪ ،‬ﻳﻌﻨﻲ‪ ،‬ﻫﺪف ارﺗﺒﺎط را ﻛﺎﻣﻞ ﻛﺮده و ﭘﻮرت‬ ‫در ﺣﺎل ﮔﻮش دادن اﺳﺖ‪ .‬اﮔﺮ ‪ RST‬ﺑﺮﮔﺸﺖ داده ﺷﺪ‪ ،‬ﻳﻌﻨﻲ ﭘﻮرت ﻳﺎ ﻓﻌﺎل و ﻳﺎ ﺑﺴﺘﻪ اﺳﺖ‪ .‬ﻣﺰاﻳﺎي اﺳﻜﻦ ‪SYN‬‬ ‫‪ stealth‬اﻳﻦ اﺳﺖ ﻛﻪ اﻏﻠﺐ ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻧﻤﻲﺗﻮاﻧﻨﺪ آن را ﺑﻪ ﻋﻨﻮان ﺣﻤﻠﻪ ﻳﺎ ﺗﻼش ﺑﺮاي ارﺗﺒﺎط ﺗﺸﺨﻴﺺ‬ ‫دﻫﻨﺪ‪.‬‬ ‫‪ :XMAS‬اﺳﻜﻦﻫﺎي ‪ ،XMAS‬ﺑﺴﺘﻪاي را ﺑﺎ ‪flag‬ﻫﺎي ‪ URG ،FIN‬و ‪ PSH‬ارﺳﺎل ﻣﻲﻛﻨﺪ‪ .‬اﮔﺮ ﭘﻮرت ﺑﺎز ﺑﺎﺷﺪ‪ ،‬ﭘﺎﺳﺨﻲ‬ ‫وﺟﻮد ﻧﺨﻮاﻫﺪ داﺷﺖ اﻣﺎ اﮔﺮ ﭘﻮرت ﺑﺴﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﻫﺪف‪ ،‬ﺑﺴﺘﻪ ‪ RST/ACK‬را ﺑﺮﻣﻲﮔﺮداﻧﺪ‪ XMAS scan .‬ﺗﻨﻬﺎ ﺑﺮ روي‬ ‫ﺳﻴﺴﺘﻢﻫﺎﻳﻲ ﻛﻪ داراي ﭘﻴﺎدهﺳﺎزي ‪ RFC 793‬ﻫﺴﺘﻨﺪ ﻛﺎر ﻣﻲﻛﻨﻨﺪ و ﺑﺮاي ﻧﺴﺨﻪﻫﺎي وﻳﻨﺪوز ﻛﺎر ﻧﻤﻲﻛﻨﺪ‪.‬‬ ‫‪ :FIN‬اﺳﻜﻦ ‪ ،FIN‬ﻣﺸﺎﺑﻪ اﺳﻜﻦ ‪ XMAS‬اﺳﺖ اﻣﺎ ﺑﺴﺘﻪاي را ﻛﻪ ﺗﻨﻬﺎ داراي ‪ FIN flag‬اﺳﺖ ارﺳﺎل ﻣﻲﻛﻨﺪ‪FIN .‬‬ ‫‪ scan‬ﻫﻤﺎن ﭘﺎﺳﺦ را درﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ و ﻫﻤﺎن ﻣﺤﺪودﻳﺖﻫﺎي ‪ XMAS scan‬را دارد‪.‬‬ ‫‪44‬‬ ‫‪ :NULL‬ﻣﺤﺪودﻳﺖﻫﺎ و ﭘﺎﺳﺦﻫﺎي اﺳﻜﻦ ‪ NULL‬ﻣﺸﺎﺑﻪ ‪ XMAS‬و ‪ FIN‬اﺳﺖ اﻣﺎ ﺑﺴﺘﻪاي را ﺑﺪون ‪ flag‬ارﺳﺎل‬ ‫ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ :IDLE‬اﺳﻜﻦ ‪ ،IDLE‬از آدرس ‪ IP‬ﺟﻌﻠﻲ ﺑﺮاي ارﺳﺎل ﺑﺴﺘﻪ ‪ SYN‬ﺑﻪ ﻣﻘﺼﺪ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﺑﺴﺘﻪ ﺑﻪ ﭘﺎﺳﺦ‪ ،‬ﭘﻮرت‬ ‫ﻣﻲﺗﻮاﻧﺪ ﺑﺎز ﻳﺎ ﺑﺴﺘﻪ ﺑﺎﺷﺪ‪ ،IDLE scan .‬ﭘﺎﺳﺦ اﺳﻜﻦ را ﺑﺎ ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ ‪ sequence number‬ﻫﺪر ‪ ،IP‬ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ‪.‬‬ ‫اﻧﻮاع ‪flag‬ﻫﺎي ارﺗﺒﺎط ‪TCP‬‬ ‫ارﺗﺒﺎﻃﺎت ‪ ،TCP‬ﭘﻴﺶ از اﻳﺠﺎد ارﺗﺒﺎط و اﻧﺘﻘﺎل داده‪ ،‬ﻧﻴﺎز ﺑﻪ دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي )‪(3-way handshake‬‬ ‫دارد‪ .‬ﺷﻜﻞ زﻳﺮ‪ ،‬ﻣﺮاﺣﻞ اﻳﺠﺎد اﻳﻦ ارﺗﺒﺎط را ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬ ‫ﺑﺮاي ﺗﻜﻤﻴﻞ دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي و اﻳﺠﺎد ارﺗﺒﺎط ﻣﻮﻓﻘﻴﺖ آﻣﻴﺰ ﺑﻴﻦ دو ﺳﻴﺴﺘﻢ‪ ،‬ﻓﺮﺳﺘﻨﺪه ﺑﺎﻳﺴﺘﻲ ﻳﻚ‬ ‫ﺑﺴﺘﻪ ‪ TCP‬ﺑﺎ ﺑﻴﺖ ‪ SYN‬ارﺳﺎل ﻛﻨﺪ‪ .‬ﺳﭙﺲ‪ ،‬ﺳﻴﺴﺘﻢ درﻳﺎﻓﺖ ﻛﻨﻨﺪه‪ ،‬ﺑﺎ ﺑﺴﺘﻪ ‪ TCP‬ﻛﻪ داراي ﺑﻴﺖ ‪ SYN‬و ‪ACK‬‬ ‫اﺳﺖ‪ ،‬ﭘﺎﺳﺦ را ﻣﻲدﻫﺪ ﻛﻪ ﻧﺸﺎن دﻫﻨﺪه اﻳﻦ اﺳﺖ ﻛﻪ ﺳﻴﺴﺘﻢ آﻣﺎده درﻳﺎﻓﺖ داده اﺳﺖ‪ .‬ﺳﻴﺴﺘﻢ ﻣﺒﺪا‪ ،‬ﺑﺴﺘﻪ ﻧﻬﺎﻳﻲ را ﺑﺎ‬ ‫ﺑﻴﺖ ‪ ACK‬ارﺳﺎل ﻣﻲﻛﻨﺪ ﻛﻪ ﻧﺸﺎن ﻣﻲدﻫﺪ ارﺗﺒﺎط ﻛﺎﻣﻞ ﺷﺪه اﺳﺖ و دادهﻫﺎ آﻣﺎده ارﺳﺎل ﺷﺪن ﻫﺴﺘﻨﺪ‪.‬‬ ‫‪45‬‬ ‫از آﻧﺠﺎﺋﻴﻜﻪ ‪ ،TCP‬ﻳﻚ ﭘﺮوﺗﻜﻞ اﺗﺼﺎل ﮔﺮا )‪ (connection-oriented‬اﺳﺖ‪ ،‬ﻓﺮآﻳﻨﺪ ﺑﺮﻗﺮاري ارﺗﺒﺎط‪ ،‬راهاﻧﺪازي‬ ‫ﻣﺠﺪد ارﺗﺒﺎط ﻗﻄﻊ ﺷﺪه‪ ،‬و ﺧﺎﺗﻤﻪ ارﺗﺒﺎط‪ ،‬ﺑﺨﺸﻲ از ﭘﺮوﺗﻜﻞ اﺳﺖ‪ .‬اﻳﻦ ﻧﺸﺎﻧﮕﺮﻫﺎي ﭘﺮوﺗﻜﻞ‪ flag ،‬ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد‪.‬‬ ‫ﭘﺮوﺗﻜﻞ ‪ ،TCP‬ﺷﺎﻣﻞ ‪flag‬ﻫﺎي ‪ ،PSH ،URG ،SYN ،RST ،ACK‬و ‪ FIN‬اﺳﺖ‪ .‬ﻟﻴﺴﺖ زﻳﺮ‪ ،‬ﻋﻤﻠﻜﺮد ‪flag‬ﻫﺎي ‪TCP‬‬ ‫را ﻧﺸﺎن ﻣﻲدﻫﺪ‪:‬‬ ‫‪ :(Synchronize) SYN‬ارﺗﺒﺎط را ﺑﻴﻦ ﺳﻴﺴﺘﻢﻫﺎ ﺷﺮوع ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ :(Acknowledge) ACK‬ارﺗﺒﺎط را ﺑﻴﻦ ﺳﻴﺴﺘﻢﻫﺎ ﺑﺮﻗﺮار ﻣﻲﺳﺎزد‪.‬‬ ‫‪ :(Push) PSH‬ﺳﻴﺴﺘﻢ‪ ،‬داده ﺑﺎﻓﺮ ﺷﺪه را ﻓﺮوارد ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ :(Urgent) URG‬دادهﻫﺎي داﺧﻞ ﺑﺴﺘﻪ‪ ،‬ﺑﺎﻳﺪ ﺳﺮﻳﻌﺘﺮ ﭘﺮدازش ﺷﻮﻧﺪ‪.‬‬ ‫‪ :(Finish) FIN‬دﻳﮕﺮ اﻧﺘﻘﺎل اﻧﺠﺎم ﻧﮕﻴﺮد‪.‬‬ ‫‪ :(Reset) RST‬ارﺗﺒﺎط را دوﺑﺎره راهاﻧﺪازي ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از ‪flag‬ﻫﺎ‪ ،‬ﺑﻪ ﺟﺎي ﺗﻜﻤﻴﻞ ﻛﺮدن ارﺗﺒﺎط ﻛﺎﻣﻞ ‪ ،TCP‬از ﺷﻨﺎﺳﺎﻳﻲ ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ‪ .‬اﻧﻮاع‬ ‫اﺳﻜﻦ ‪ TCP‬ﻛﻪ در ﺟﺪول زﻳﺮ ﻟﻴﺴﺖ ﺷﺪه اﺳﺖ ﺗﻮﺳﻂ ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي اﺳﻜﻦ ﺑﺮاي درﻳﺎﻓﺖ ﭘﺎﺳﺦ از ﻳﻚ ﺳﻴﺴﺘﻢ ﻳﺎ‬ ‫ﺗﻨﻈﻴﻢ ‪ flag‬اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫‪Flags sent by hacker‬‬ ‫)‪All flags set (ACK, RST, SYN, URG, PSH, FIN‬‬ ‫‪FIN‬‬ ‫‪No flags set‬‬ ‫‪SYN, then ACK‬‬ ‫‪SYN, then RST‬‬ ‫‪46‬‬ ‫‪XMAS Scan‬‬ ‫‪XMAS scan‬‬ ‫‪FIN scan‬‬ ‫‪NULL Scan‬‬ ‫‪TCP connect/full-open scan‬‬ ‫‪SYN scan/half-open scan‬‬ ‫‪FloppyScan‬‬ ‫ﻳﻜﻲ از اﺑﺰارﻫﺎي ﺧﻄﺮﻧﺎك ﻫﻚ اﺳﺖ ﻛﻪ ﺑﺮاي اﺳﻜﻦ ﭘﻮرت ﺑﺎ اﺳﺘﻔﺎده از ﻓﻼﭘﻲ دﻳﺴﻚ ﺑﻜﺎر ﻣﻲرود‪ .‬ﻣﺤﺘﻮاي آن‪،‬‬ ‫‪ mini Linux‬اﺳﺖ و ﺑﺎ اﺳﺘﻔﺎده از ‪ ،NMAP‬ﭘﻮرتﻫﺎ را اﺳﻜﻦ ﻣﻲﻛﻨﺪ و از ﻃﺮﻳﻖ اﻳﻤﻴﻞ‪ ،‬ﻧﺘﺎﻳﺞ آن را راﺳﺎل ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺷﻜﻞ زﻳﺮ‪ ،‬ﻣﺮاﺣﻞ ‪ FloppyScan‬را ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،IPEye‬ﻳﻚ اﺳﻜﻨﺮ ﭘﻮرت ‪ TCP‬اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ اﺳﻜﻦﻫﺎي ‪ Null ،FIN ،SYN‬و ‪ XMAS‬را اﻧﺠﺎم دﻫﺪ‪ .‬و ﻳﻚ اﺑﺰار‬ ‫ﺧﻂ دﺳﺘﻮري )‪ (Command-Line‬اﺳﺖ‪ ،IPEye .‬ﭘﻮرتﻫﺎي روي ﺳﻴﺴﺘﻢ ﻫﺪف و ﭘﺎﺳﺦﻫﺎ را ﭘﻮﻳﺶ ﻣﻲﻛﻨﺪ‪ .‬ﭘﻮرت‬ ‫ﺑﺴﺘﻪ )‪ ،(closed‬ﺑﻪ ﻣﻌﻨﺎي اﻳﻦ اﺳﺖ ﻛﻪ ﻛﺎﻣﭙﻴﻮﺗﺮي وﺟﻮد دارد اﻣﺎ ﺑﻪ آن ﭘﻮرت ﮔﻮش ﻧﻤﻲدﻫﺪ‪ .‬ﭘﺎﺳﺦ رد )‪ ،(reject‬ﺑﻪ‬ ‫اﻳﻦ ﻣﻌﻨﺎﺳﺖ ﻛﻪ ﻓﺎﻳﺮوال‪ ،‬ارﺗﺒﺎط ﺑﺎ آن ﭘﻮرت را رد ﻣﻲﻛﻨﺪ‪ .‬ﭘﺎﺳﺦ دور اﻧﺪاﺧﺘﻦ )‪ (drop‬ﺑﻪ اﻳﻦ ﻣﻌﻨﺎ اﺳﺖ ﻛﻪ ﻓﺎﻳﺮوال‪ ،‬ﻫﺮ‬ ‫ﭼﻴﺰي را روي ﭘﻮرت دور ﻣﻲاﻧﺪازد ﻳﺎ ﻛﺎﻣﭙﻴﻮﺗﺮ وﺟﻮد ﻧﺪارد‪ .‬ﭘﺎﺳﺦ ﺑﺎز )‪ (open‬ﺑﻪ اﻳﻦ ﻣﻌﻨﺎﺳﺖ ﻛﻪ ﺑﺮﺧﻲ از ﺳﺮوﻳﺲﻫﺎ‬ ‫ﺑﻪ آن ﭘﻮرت ﮔﻮش ﻣﻲدﻫﻨﺪ‪.‬‬ ‫‪ ،IPSecScan‬اﺑﺰاري اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺗﻨﻬﺎ ﻳﻚ آدرس ‪ IP‬ﻳﺎ ﺑﺎزهاي از آدرسﻫﺎ را ﺟﺴﺘﺠﻮ ﻛﻨﺪ ﺗﺎ ﺑﺒﻴﻨﺪ ‪ IPSec‬ﺑﺮ‬ ‫روي ﻛﺪاﻣﻴﻚ از ﺳﻴﺴﺘﻢﻫﺎ ﻓﻌﺎل اﺳﺖ‪.‬‬ ‫‪ ،Hping2‬ﻗﺎﺑﻞ ﺗﻮﺟﻪ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﻋﻼوه ﺑﺮ ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‪ ،‬داراي ﻗﺎﺑﻠﻴﺖﻫﺎي دﻳﮕﺮي ﻫﻤﭽﻮن ﭘﺮوﺗﻜﻞﻫﺎي‬ ‫‪ ،traceroue mode ،ICMP ،UDP ،TCP‬و ﻗﺎﺑﻠﻴﺖ ارﺳﺎل ﻓﺎﻳﻞﻫﺎ ﺑﻴﻦ ﺳﻴﺴﺘﻢ ﻣﻨﺒﻊ و ﻣﻘﺼﺪ اﺳﺖ‪.‬‬ ‫‪47‬‬ ‫‪ ،SNMP Scanner‬ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲدﻫﺪ ﺑﺎزهاي از ﺳﻴﺴﺘﻢﻫﺎ را ﺑﺎ اﺳﺘﻔﺎده از ﻛﻮﺋﺮيﻫﺎي ‪ ،DNS ،ping‬و ‪SNMP‬‬ ‫اﺳﻜﻦ ﻛﻨﻴﺪ‪.‬‬ ‫‪ Netscan Tools Pro 2000, Hping2, KingPingicmpenum‬و ‪ SNMP Scanner‬اﺑﺰارﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﻣﻲﺗﻮاﻧﻨﺪ‬ ‫ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪.‬‬ ‫ﺗﻜﻨﻴﻚﻫﺎي ‪War-Dialing‬‬ ‫‪ ،War dialing‬ﻓﺮآﻳﻨﺪ ﺗﻤﺎس ﺑﺎ ﺷﻤﺎره ﻣﻮدم ﺑﺮاي ﻳﺎﻓﺘﻦ ارﺗﺒﺎط ﺑﺎز ﻣﻮدم اﺳﺖ ﻛﻪ اﺟﺎزه دﺳﺘﺮﺳﻲ از راه دور را‬ ‫ﺑﻪ ﻳﻚ ﺷﺒﻜﻪ ﺑﺪﻫﺪ‪ .‬ﻛﻠﻤﻪ ‪ ،war dialing‬از اوﻟﻴﻦ روزﻫﺎي اﻳﻨﺘﺮﻧﺖ ﺑﻪ وﺟﻮد آﻣﺪ زﻣﺎﻧﻴﻜﻪ اﻏﻠﺐ ﺷﺮﻛﺖﻫﺎ از ﻃﺮﻳﻖ ﻣﻮدم‬ ‫‪ dial-up‬ﺑﻪ اﻳﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ ﺑﻮدﻧﺪ‪ ،War dialing .‬ﺑﻪ ﻋﻨﻮان روش اﺳﻜﻦ ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد ﺑﺮاي اﻳﻨﻜﻪ ﺑﻪ دﻧﺒﺎل ارﺗﺒﺎﻃﺎت‬ ‫ﺷﺒﻜﻪاي دﻳﮕﺮي ﻣﻲﮔﺮدد ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ ﻧﺴﺒﺖ ﺑﻪ ارﺗﺒﺎط اﻳﻨﺘﺮﻧﺘﻲ اﺻﻠﻲ‪ ،‬داراي اﻣﻨﻴﺖ ﭘﺎﻳﻴﻦﺗﺮي ﺑﺎﺷﺪ‪ .‬ﺑﺴﻴﺎري از‬ ‫ﺳﺎزﻣﺎنﻫﺎ‪ ،‬ﻣﻮدمﻫﺎي ‪ remote access‬را راهاﻧﺪازي ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﻫﺮ ﭼﻨﺪ ﻛﻪ اﻣﺮوزه ﻣﻨﺴﻮخ ﺷﺪه ﻫﺴﺘﻨﺪ وﻟﻲ ﻧﻤﻲﺗﻮان‬ ‫اﻳﻦ ﺳﺮورﻫﺎي ‪ remote-access‬را ﺣﺬف ﻛﺮد‪ .‬اﻳﻦ ﺑﺎﻋﺚ ﻣﻲﺷﻮد ﻛﻪ ﻫﻜﺮﻫﺎ روش ﺳﺎدهاي ﺑﺮاي وارد ﺷﺪن ﺑﻪ ﺷﺒﻜﻪ‬ ‫ﭘﻴﺪا ﻛﻨﻨﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﺑﺴﻴﺎري از ﺳﻴﺴﺘﻢﻫﺎي دﺳﺘﺮﺳﻲ راه دور‪ ،‬از ‪ PAP‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﭘﺴﻮرد را ﺑﺼﻮرت ﻏﻴﺮ‬ ‫رﻣﺰ ﺷﺪه ارﺳﺎل ﻣﻲﻛﻨﺪ در ﺣﺎﻟﻴﻜﻪ ﺗﻜﻨﻮﻟﻮژي ﺟﺪﻳﺪ ﻛﻪ ‪ VPN‬ﻧﺎم دارد‪ ،‬ﭘﺴﻮردﻫﺎ را رﻣﺰ ﻣﻲﻛﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ‪ ،War-dialing‬در ﺷﺮاﻳﻄﻲ ﻛﺎر ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﺷﺮﻛﺖﻫﺎ‪ ،‬ﭘﻮرتﻫﺎي ورودي )‪ (dial-in‬را ﻛﻨﺘﺮل ﻧﻜﻨﻨﺪ‪.‬‬ ‫ﺑﺴﻴﺎري از ﺳﺮورﻫﺎ‪ ،‬ﻫﻨﻮز ﻫﻢ از ﻣﻮدم ﺑﺎ ﺧﻂ ﺗﻠﻔﻦ ﺑﻪ ﻋﻨﻮان ﭘﺸﺘﻴﺒﺎن اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬اﻳﻦ ارﺗﺒﺎﻃﺎت ﻣﻮدم‪ ،‬ﻣﻲﺗﻮاﻧﺪ‬ ‫ﺑﺮاي ﺑﺮﻧﺎﻣﻪ ‪ war-dialing‬ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ و ﺷﺒﻜﻪ داﺧﻠﻲ اﺳﺘﻔﺎده ﺷﻮد‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ THC-Scan, ModemScan, ToneLoc, Phonesweep, war dialer‬و ‪ ،telesweep‬اﺑﺰارﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺷﻤﺎره‬ ‫ﺗﻠﻔﻦﻫﺎ را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ و ﻣﻲﺗﻮاﻧﺪ ﻫﺪف را ﺷﻤﺎره ﮔﻴﺮي ﻛﻨﺪ ﺗﺎ ارﺗﺒﺎﻃﻲ ﺑﺎ ﻣﻮدم ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺮﻗﺮار ﻛﻨﺪ‪ .‬اﻳﻦ اﺑﺰارﻫﺎ‪ ،‬ﺑﺎ‬ ‫اﺳﺘﻔﺎده از ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي و ﻛﻠﻤﺎت ﻋﺒﻮر ﭘﻴﺶ ﻓﺮض ﻛﺎر ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﺑﺘﻮاﻧﻨﺪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﺘﺼﻞ ﺷﻮﻧﺪ‪ .‬ﺑﺴﻴﺎري از‬ ‫ارﺗﺒﺎﻃﺎت از راه دور‪ ،‬ﺑﻪ ﺧﺎﻃﺮ اﻳﻦ ﭘﺴﻮردﻫﺎ اﻣﻦ ﻧﻴﺴﺘﻨﺪ‪.‬‬ ‫‪48‬‬ ‫ﺗﻜﻨﻴﻚﻫﺎي ‪ Banner Grabbing‬و ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‬ ‫‪ Banner Grabbing‬و ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‪ ،‬ﻛﻪ ﺑﻪ ﻋﻨﻮان ﺷﻨﺎﺳﺎﻳﻲ ﭘﺸﺘﻪ ‪ TCP/IP‬ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪،‬‬ ‫ﭼﻬﺎرﻣﻴﻦ ﻣﺮﺣﻠﻪ در ﻣﺘﺪﻟﻮژي اﺳﻜﻦ اﺳﺖ‪ .‬ﻓﺮآﻳﻨﺪ ﺷﻨﺎﺳﺎﻳﻲ‪ ،‬ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲدﻫﺪ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ را روي ﺷﺒﻜﻪ ﭘﻴﺪا‬ ‫ﻛﻨﺪ‪ .‬ﻫﻜﺮﻫﺎ‪ ،‬ﺑﻪ دﻧﺒﺎل ﺳﺎدهﺗﺮﻳﻦ روش ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ ﻫﺴﺘﻨﺪ‪،Banner grabbing .‬‬ ‫ﻓﺮآﻳﻨﺪ ﺑﺎز ﻛﺮدن ﻳﻚ ارﺗﺒﺎط و ﺧﻮاﻧﺪن ﺑﻨﺮ ﻳﺎ ﭘﺎﺳﺦ ارﺳﺎل ﺷﺪه ﺗﻮﺳﻂ ﺑﺮﻧﺎﻣﻪ اﺳﺖ‪ .‬ﺑﺴﻴﺎري از اﻳﻤﻴﻞﻫﺎ‪ ،FTP ،‬و وب‬ ‫ﺳﺮورﻫﺎ ﺑﻪ ارﺗﺒﺎط ‪ telnet‬ﺑﺎ اﺳﻢ و ﻧﺴﺨﻪ ﻧﺮماﻓﺰار ﭘﺎﺳﺦ ﻣﻲدﻫﻨﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﻳﻚ ﺳﺮور ‪ ،Microsoft Exchange‬ﺗﻨﻬﺎ‬ ‫ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز ﻗﺎﺑﻞ ﻧﺼﺐ اﺳﺖ‪.‬‬ ‫ﺷﻨﺎﺳﺎﻳﻲ اﻛﺘﻴﻮ ﭘﺸﺘﻪ‪ ،‬ﺷﺎﻣﻞ ارﺳﺎل دادهﻫﺎ ﺑﻪ ﺳﻮي ﺳﻴﺴﺘﻤﻲ ﺑﺮاي دﻳﺪن ﻧﺤﻮه ﭘﺎﺳﺦ آن اﺳﺖ‪ .‬ﺑﺮاي اﻳﻨﻜﻪ‬ ‫ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎي ﻣﺨﺘﻠﻒ‪ ،‬از ﭘﺸﺘﻪﻫﺎي ‪ TCP‬ﻣﺨﺘﻠﻔﻲ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﻧﺤﻮه ﭘﺎﺳﺦ آﻧﻬﺎ ﻣﺘﻔﺎوت اﺳﺖ‪ .‬ﺳﭙﺲ‪،‬‬ ‫اﻳﻦ ﭘﺎﺳﺦﻫﺎ ﺑﺎ ﭘﺎﻳﮕﺎه دادهاي ﻛﻪ از ﭘﺎﺳﺦ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎي ﻣﺨﺘﻠﻒ وﺟﻮد دارد‪ ،‬ﻣﻘﺎﻳﺴﻪ ﻣﻲﺷﻮد و ﻧﻮع ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‬ ‫ﻛﺸﻒ ﻣﻲﺷﻮد‪ .‬اﻳﻦ ﻧﻮع ﺷﻨﺎﺳﺎﻳﻲ‪ ،‬ﻗﺎﺑﻞ ﺗﺸﺨﻴﺺ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺳﻴﺴﺘﻢ‪ ،‬ﺗﻼشﻫﺎي ﻣﺘﻌﺪدي را ﺑﺮاي ارﺗﺒﺎط ﺑﺎ‬ ‫ﺳﻴﺴﺘﻢ ﻫﺪف ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ ﭘﺸﺘﻪ‪ ،‬زﻳﺮﻛﺎﻧﻪﺗﺮ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ را ﻣﻮرد ﺑﺮرﺳﻲ ﻗﺮار ﻣﻲدﻫﺪ ﺗﺎ ﻧﻮع ﺳﻴﺴﺘﻢ‬ ‫ﻋﺎﻣﻞ را ﻛﺸﻒ ﻛﻨﺪ و ﺑﻪ ﺟﺎي ﺗﻜﻨﻴﻚﻫﺎي اﺳﻜﻦ‪ ،‬از ﺗﻜﻨﻴﻚﻫﺎي ‪ sniffing‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﻣﻌﻤﻮﻻ‪ ،‬ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ‬ ‫ﭘﺸﺘﻪ‪ ،‬ﺗﻮﺳﻂ ‪ IDS‬ﻳﺎ ﺳﻴﺴﺘﻢﻫﺎي دﻳﮕﺮ اﻣﻨﻴﺘﻲ ﻏﻴﺮ ﻗﺎﺑﻞ ﺗﺸﺨﻴﺺ اﺳﺖ اﻣﺎ ﺻﺤﺖ آن ﻛﻤﺘﺮ از ﺷﻨﺎﺳﺎﻳﻲ اﻛﺘﻴﻮ اﺳﺖ‪.‬‬ ‫ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ از ‪ ،telnet‬ﺑﺮاي ‪ banner grabbing‬ﻳﻚ ﺳﺎﻳﺖ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬ ‫‪telnet www.certifiedhacker 80 head / http/1.0‬‬ ‫ﻫﻤﭽﻨﻴﻦ ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار ‪ pof‬ﻣﻲﺗﻮاﻧﻴﺪ اﻃﻼﻋﺎت ﺧﻮﺑﻲ در ﻣﻮرد ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ راه دور ﺑﺪاﻧﻴﺪ‪ .‬ﺑﺮاي اﻳﻨﻜﺎر از‬ ‫دﺳﺘﻮر >‪ pof –I net use \\192.21.7.1\IPC$ “” /u:‬‬ ‫‪Windows:‬‬ ‫”“ ‪$ smbclient \\\\target\\ipc\$ “” –U‬‬ ‫‪Linux:‬‬ ‫زﻣﺎﻧﻴﻜﻪ دﺳﺘﻮر ‪ net use‬ﺑﺎ ﻣﻮﻓﻘﻴﺖ ﺑﻪ ﭘﺎﻳﺎن رﺳﻴﺪ‪ ،‬ﻫﻜﺮ ﻛﺎﻧﺎﻟﻲ دارد ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي اﺑﺰارﻫﺎ و ﺗﻜﻨﻴﻚﻫﺎي دﻳﮕﺮ‬ ‫از آن اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎﻳﻲ ﻛﻪ ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪.GetAcct ،user2sid ،sid2user ،enum ،SuperScan ،Nbtstat ،NetView ،DumpSec‬‬ ‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪Null Session‬‬ ‫‪ ،Null sessions‬از ﭘﻮرتﻫﺎي ‪ 139 ،137 ،135‬و ‪ TCP 445‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﭘﺲ ﻳﻜﻲ از روشﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ‬ ‫آن‪ ،‬ﺑﺴﺘﻦ اﻳﻦ ﭘﻮرتﻫﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺖ‪ .‬ﻫﻤﭽﻨﻴﻦ ﻣﻲﺗﻮان ﺑﺎ ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن ﺳﺮوﻳﺲ ‪ SMB‬روي‬ ‫دﺳﺘﮕﺎهﻫﺎ )ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن ‪ ،(TCP/IP WINS client‬از وﻗﻮع آن ﺟﻠﻮﮔﻴﺮي ﻛﺮد‪ .‬ﺑﺮاي اﻳﻨﻜﺎر‪ ،‬ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم‬ ‫دﻫﻴﺪ‪:‬‬ ‫‪ .1‬ﺑﺮ روي ﻛﺎرت ﺷﺒﻜﻪ راﺳﺖ ﻛﻠﻴﻚ ﻛﻨﻴﺪ و ﮔﺰﻳﻨﻪ ‪ properties‬را اﻧﺘﺨﺎب ﻛﻨﻴﺪ‪.‬‬ ‫‪ .2‬ﺑﺮ روي ‪ TCP/IP‬ﻛﻠﻴﻚ ﻛﻨﻴﺪ و ﺳﭙﺲ دﻛﻤﻪ ‪ Properties‬را ﻛﻠﻴﻚ ﻛﻨﻴﺪ‪.‬‬ ‫‪ .3‬ﺑﺮ روي دﻛﻤﻪ ‪ Advanced‬ﻛﻠﻴﻚ ﻛﻨﻴﺪ‪.‬‬ ‫‪ .4‬در زﺑﺎﻧﻪ ‪ ،WINS‬ﮔﺰﻳﻨﻪ ‪ disable NetBIOS Over TCP/IP‬را اﻧﺘﺨﺎب ﻛﻨﻴﺪ‪.‬‬ ‫ﻣﺪﻳﺮ اﻣﻨﻴﺘﻲ ﻣﻲﺗﻮاﻧﺪ ﺑﻄﻮر ﻣﺴﺘﻘﻴﻢ رﺟﻴﺴﺘﺮي را وﻳﺮاﻳﺶ ﻛﻨﺪ ﺗﺎ اﺟﺎزه ورود ﺑﻪ ﻛﺎرﺑﺮ ﻧﺎﺷﻨﺎس را ﻧﺪﻫﺪ‪ .‬ﺑﺮاي‬ ‫ﭘﻴﺎدهﺳﺎزي آن‪ ،‬ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ‪:‬‬ ‫‪ Regedt32 .1‬را ﺑﺎز ﻛﻨﻴﺪ و وارد ﻣﺴﻴﺮ ‪ HKLM\SYSTEM\CurrentControlSet\LSA‬ﺷﻮﻳﺪ‪.‬‬ ‫‪ .2‬از ﻣﻨﻮي ‪ ،Edit‬ﮔﺰﻳﻨﻪ ‪ Add Value‬را اﻧﺘﺨﺎب ﻛﻨﻴﺪ و ﻣﻘﺎدﻳﺮ زﻳﺮ را وارد ﻛﻨﻴﺪ‪:‬‬ ‫‪Value name: RestrictAnonymous .a‬‬ ‫‪Data Type: REG_WORD .b‬‬ ‫‪Value: 2 .c‬‬ ‫‪56‬‬ ‫ﻫﻤﭽﻨﻴﻦ‪ PS Tools ،‬ﺷﺎﻣﻞ اﺑﺰارﻫﺎﻳﻲ ﺑﺮاي ‪ enumeration‬اﺳﺖ‪ .‬ﺑﺮﺧﻲ از اﻳﻦ اﺑﺰارﻫﺎ ﻧﻴﺎز ﺑﻪ اﺣﺮاز ﻫﻮﻳﺖ دارﻧﺪ‪.‬‬ ‫‪ :PsExec‬اﺟﺮاي از راه دور ﭘﺮدازشﻫﺎ‬ ‫‪ :PsFile‬ﻧﻤﺎﻳﺶ از راه دور ﻓﺎﻳﻞﻫﺎي ﺑﺎز ﺷﺪه‬ ‫‪ :PsGetSid‬ﻧﻤﺎﻳﺶ ‪ SID‬ﻳﻚ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻳﺎ ﻳﻚ ﻛﺎرﺑﺮ‬ ‫‪ :PsKill‬ﻣﺘﻮﻗﻒ ﻛﺮدن ﭘﺮدازشﻫﺎ ﺑﺎ اﺳﺘﻔﺎده از ﻧﺎم ﻳﺎ ﺷﻤﺎره ﭘﺮدازش‬ ‫‪ :PsInfo‬ﻧﻤﺎﻳﺶ اﻃﻼﻋﺎت ﺳﻴﺴﺘﻢ‬ ‫‪ :PsList‬ﻧﻤﺎﻳﺶ اﻃﻼﻋﺎت ﺟﺰﺋﻲ درﺑﺎره ﭘﺮدازشﻫﺎ‬ ‫‪ :PsLoggedOn‬ﻛﺴﻲ را ﻛﻪ ﺑﺼﻮرت ‪ local‬و از ﻃﺮﻳﻖ ﻣﻨﺎﺑﻊ ‪ share‬وارد ﺷﺪهاﻧﺪ را ﻧﺸﺎن ﻣﻲدﻫﺪ‬ ‫‪ :PsLogList‬از ﻛﺎر اﻧﺪاﺧﺘﻦ رﻛﻮردﻫﺎي ‪log‬‬ ‫‪ :PsPasswd‬ﺗﻐﻴﻴﺮ ﭘﺴﻮرد اﻛﺎﻧﺖﻫﺎ‬ ‫‪ :PsService‬ﻛﻨﺘﺮل ﺳﺮوﻳﺲﻫﺎ‬ ‫‪ :PsShutdown‬ﺧﺎﻣﻮش ﻳﺎ راه اﻧﺪازي ﻣﺠﺪد ﻛﺎﻣﭙﻴﻮﺗﺮ‬ ‫‪ :PsSuspend‬ﻣﻌﻠﻖ ﻛﺮدن ﭘﺮدازشﻫﺎ‬ ‫‪ :PsUptime‬ﺗﻌﻴﻴﻦ ﻣﺪت زﻣﺎن روﺷﻦ ﺑﻮدن ﺳﻴﺴﺘﻢ‬ ‫‪ SNMP Enumeration‬ﭼﻴﺴﺖ؟‬ ‫ﻓﺮآﻳﻨﺪي اﺳﺖ ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از ‪ ،SNMP‬ﻣﻄﻤﺌﻦ ﻣﻲﺷﻮﻳﻢ ﻛﻪ ﺣﺴﺎبﻫﺎي ﻛﺎرﺑﺮي روي ﺳﻴﺴﺘﻢ ﻫﺪف وﺟﻮد‬ ‫دارﻧﺪ‪ ،SNMP .‬از دو ﻧﻮع ﻋﻨﺼﺮ ﻧﺮماﻓﺰاري ﺑﺮاي ارﺗﺒﺎﻃﺎت اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ ،SNMP agent :‬ﻛﻪ ﺑﺮ روي دﺳﺘﮕﺎهﻫﺎي‬ ‫ﺷﺒﻜﻪ ﻗﺮار دارد و ‪ SNMP management station‬ﻛﻪ ﺑﺎ ‪ agent‬ارﺗﺒﺎط ﺑﺮﻗﺮار ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺑﺴﻴﺎري از دﺳﺘﮕﺎهﻫﺎي زﻳﺮﺳﺎﺧﺘﻲ ﺷﺒﻜﻪ از ﻗﺒﻴﻞ روﺗﺮﻫﺎ و ﺳﻮﺋﻴﭻﻫﺎ و ﻧﻴﺰ ﺳﻴﺴﺘﻢﻫﺎي وﻳﻨﺪوزي‪ ،‬ﺷﺎﻣﻞ ‪SNMP‬‬ ‫‪ agent‬ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮاي ﻣﺪﻳﺮﻳﺖ ﺳﻴﺴﺘﻢ ﻳﺎ دﺳﺘﮕﺎه اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ ،SNMP management station .‬درﺧﻮاﺳﺘﻲ ﺑﻪ‬ ‫‪agent‬ﻫﺎ ارﺳﺎل ﻣﻲﻛﻨﺪ و ‪agent‬ﻫﺎ ﭘﺎﺳﺦ را ﻣﻲدﻫﻨﺪ‪Trap .‬ﻫﺎ ﺑﻪ ‪ management station‬اﺟﺎزه ﻣﻲدﻫﻨﺪ اﻃﻼﻋﺎت‬ ‫‪57‬‬ ‫ﻣﻬﻤﻲ ﻛﻪ در ﻧﺮماﻓﺰار ‪ agent‬رخ دﻫﺪ را ﺑﺪاﻧﺪ از ﻗﺒﻴﻞ رﻳﺴﺘﺎرت ﻳﺎ ﻣﺸﻜﻞ ﻛﺎرت ﺷﺒﻜﻪ‪ ،MIB .‬ﭘﺎﻳﮕﺎه دادهاي از‬ ‫ﻣﺘﻐﻴﺮﻫﺎي ﭘﻴﻜﺮﺑﻨﺪي اﺳﺖ ﻛﻪ در دﺳﺘﮕﺎه ﺷﺒﻜﻪ ﻗﺮار دارد‪.‬‬ ‫‪ ،SNMP‬دو ﭘﺴﻮرد دارد ﻛﻪ ﺑﺮاي دﺳﺘﺮﺳﻲ و ﭘﻴﻜﺮﺑﻨﺪي ‪ SNMP agent‬از ‪ management station‬اﺳﺘﻔﺎده‬ ‫ﻣﻲﺷﻮد‪ .‬اوﻟﻴﻦ ﭘﺴﻮرد‪ read community string ،‬ﻧﺎم دارد‪ .‬اﻳﻦ ﭘﺴﻮرد ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲدﻫﺪ ﻛﻪ دﺳﺘﮕﺎه ﻳﺎ ﺳﻴﺴﺘﻢ‬ ‫ﺧﻮد را ﭘﻴﻜﺮﺑﻨﺪي ﻛﻨﻴﺪ‪ .‬دوﻣﻴﻦ ﭘﺴﻮرد‪ read/write community string ،‬ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد ﻛﻪ ﺑﺮاي ﺗﻐﻴﻴﺮ ﻳﺎ وﻳﺮاﻳﺶ‬ ‫ﭘﻴﻜﺮﺑﻨﺪي دﺳﺘﮕﺎه اﺳﺖ‪ .‬ﺑﻄﻮر ﻛﻠﻲ‪ read community string ،‬ﭘﻴﺶ ﻓﺮض‪ public ،‬اﺳﺖ و‬ ‫‪read/write‬‬ ‫‪ community string‬ﭘﻴﺶ ﻓﺮض‪ private ،‬اﺳﺖ‪ .‬ﻳﻜﻲ از راﻳﺞﺗﺮﻳﻦ ﻣﺸﻜﻼت اﻣﻨﻴﺘﻲ زﻣﺎﻧﻲ ﭘﻴﺶ ﻣﻲآﻳﺪ ﻛﻪ‬ ‫‪community string‬ﻫﺎ ﺑﺼﻮرت ﺗﻨﻈﻴﻤﺎت ﭘﻴﺶ ﻓﺮض ﺑﺎﻗﻲ ﺑﻤﺎﻧﻨﺪ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از اﻳﻦ ﭘﺴﻮردﻫﺎي ﭘﻴﺶ ﻓﺮض ﺑﺮاي‬ ‫ﻣﺸﺎﻫﺪه ﻳﺎ ﺗﻐﻴﻴﺮ ﭘﻴﻜﺮﺑﻨﺪي دﺳﺘﮕﺎه اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬ ‫در ﺳﺎﻳﺖ ‪ www.defaultpasssword.com‬ﻣﻲﺗﻮاﻧﻴﺪ ﭘﺴﻮردﻫﺎي ﭘﻴﺶ ﻓﺮض ﺑﺴﻴﺎري از دﺳﺘﮕﺎهﻫﺎ را ﺑﺒﻴﻨﻴﺪ‪.‬‬ ‫اﺑﺰارﻫﺎﻳﻲ از ﻗﺒﻴﻞ ‪ UNIX Enumeration ،Getif ،SNScan ،Solarwinds ،SNMPutil‬ﺑﺮاي ‪enumeration‬‬ ‫اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪SNMP enumeration‬‬ ‫ﺳﺎدهﺗﺮﻳﻦ راه ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ‪ ،SNMP enumeration‬اﻳﻦ اﺳﺖ ﻛﻪ ‪ SNMP agent‬را در ﺳﻴﺴﺘﻢﻫﺎي ﻫﺪف‪،‬‬ ‫ﺣﺬف ﻛﻨﻴﺪ ﻳﺎ ﺳﺮوﻳﺲ ‪ SNMP‬را ﺧﺎﻣﻮش ﻛﻨﻴﺪ‪ .‬اﮔﺮ ﻧﻤﻲﺗﻮاﻧﻴﺪ ‪ SNMP‬را ﺧﺎﻣﻮش ﻛﻨﻴﺪ‪ ،‬ﭘﺲ ﺑﺎﻳﺴﺘﻲ ‪community‬‬ ‫‪string‬ﻫﺎي ﭘﻴﺶ ﻓﺮض را ﺗﻐﻴﻴﺮ دﻫﻴﺪ‪ .‬ﻋﻼوه ﺑﺮ اﻳﻦ‪ ،‬ﻣﺪﻳﺮ اﻣﻨﻴﺘﻲ ﻣﻲﺗﻮاﻧﺪ ‪ Group Policy‬اﻣﻨﻲ را ﭘﻴﺎدهﺳﺎزي ﻛﻨﺪ ﺗﺎ‬ ‫ارﺗﺒﺎﻃﺎت ﻧﺎﺷﻨﺎس ‪ SNMP‬را ﻣﺤﺪود ﻛﻨﺪ‪.‬‬ ‫اﻧﺘﻘﺎل ‪ DNS Zone‬در وﻳﻨﺪوز ‪2000‬‬ ‫ﻳﻚ ‪ zone transfer‬ﺳﺎده را ﻣﻲﺗﻮان ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮر ‪ nslookup‬اﻧﺠﺎم داد‪ .‬ﻋﺒﺎرت اﺳﺘﻔﺎده از اﻳﻦ دﺳﺘﻮر ﺑﻪ‬ ‫ﻗﺮار زﻳﺮ اﺳﺖ‪:‬‬ ‫‪Nslookup ls –d domainname‬‬ ‫ﺑﺎ ﻧﺘﺎﻳﺞ ‪ ،nslookup‬ﻫﻜﺮ ﺑﻪ دﻧﺒﺎل رﻛﻮردﻫﺎي زﻳﺮ ﻣﻲﮔﺮدد ﺑﺮاي اﻳﻨﻜﻪ آﻧﻬﺎ اﻃﻼﻋﺎت زﻳﺎدﺗﺮي درﺑﺎره ﺳﺮوﻳﺲﻫﺎي‬ ‫ﺷﺒﻜﻪ ﻣﻲدﻫﺪ‪:‬‬ ‫‪58‬‬ ‫)_‪Global Catalog service (_gc._tcp‬‬ ‫)‪Domain controllers (_ldap._tcp‬‬ ‫)‪Kerberos authentication (_kerberos._tcp‬‬ ‫•‬ ‫•‬ ‫•‬ ‫ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ آن ﻣﻲﺗﻮان از ﻃﺮﻳﻖ ‪ properties‬ﭘﻨﺠﺮه ‪ DNS server‬از آن ﺟﻠﻮﮔﻴﺮي ﻛﺮد‪.‬‬ ‫ﭘﺎﻳﮕﺎه داده اﻛﺘﻴﻮ داﻳﺮﻛﺘﻮري‪ ،‬ﭘﺎﻳﮕﺎه داده ﻣﺒﺘﻨﻲ ﺑﺮ ‪ LDAP‬اﺳﺖ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ ﻣﻲﺗﻮان ﺑﺎ ﻛﻮﺋﺮي ﺳﺎده ‪،LDAP‬‬ ‫ﻛﺎرﺑﺮان و ﮔﺮوهﻫﺎي ﻣﻮﺟﻮد را ﺷﻨﺎﺳﺎﻳﻲ ﻛﺮد‪ .‬ﺗﻨﻬﺎ ﭼﻴﺰي ﻛﻪ ﺑﺮاي اﻳﻨﻜﺎر ﻻزم اﺳﺖ اﻳﺠﺎد ﻳﻚ ﻧﺸﺴﺖ اﺣﺮاز ﻫﻮﻳﺖ از‬ ‫ﻃﺮﻳﻖ ‪ LDAP‬اﺳﺖ‪ Windows 2000 LDAP client .‬ﻛﻪ ‪(ldp.exe) Active Directory Administration Tool‬‬ ‫ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد‪ ،‬ﺑﻪ ﺳﺮور اﻛﺘﻴﻮ داﻳﺮﻛﺘﻮري ﻣﺘﺼﻞ ﻣﻲﺷﻮد و ﻣﺤﺘﻮاي ﭘﺎﻳﮕﺎه داده را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ‪ .‬ﻣﻲﺗﻮاﻧﻴﺪ اﻳﻦ‬ ‫ﻓﺎﻳﻞ را در ‪ CD‬وﻳﻨﺪوز ‪ 2000‬و در ﻣﺴﻴﺮ ‪ Support\Reskit\Netmgmt\Dstool‬آن را ﭘﻴﺪا ﻛﻨﻴﺪ‪.‬‬ ‫ﺑﺮاي اﻧﺠﺎم اﻳﻦ ﺣﻤﻠﻪ ﺑﺎﻳﺪ ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ‪:‬‬ ‫‪ .1‬ﺑﺎ اﺳﺘﻔﺎده از ‪ ldp.exe‬ﺑﺎ ﭘﻮرت ‪ 389‬ﺑﻪ ﺳﺮور اﻛﺘﻴﻮ داﻳﺮﻛﺘﻮري ﻣﺘﺼﻞ ﺷﻮﻳﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ اﺗﺼﺎل ﻛﺎﻣﻞ ﺷﺪ‪،‬‬ ‫اﻃﻼﻋﺎت ﺳﺮور ﻧﻤﺎﻳﺶ داده ﻣﻲﺷﻮد‪.‬‬ ‫‪ .2‬در ﻣﻨﻮي ‪ ،Connection‬ﮔﺰﻳﻨﻪ ‪ Authentication‬را اﻧﺘﺨﺎب ﻛﻨﻴﺪ‪ .‬ﻧﺎم ﻛﺎرﺑﺮي‪ ،‬ﻛﻠﻤﻪ ﻋﺒﻮر و ﻧﺎم داﻣﻴﻦ را‬ ‫ﺗﺎﻳﭗ ﻛﻨﻴﺪ‪ .‬ﻣﻲﺗﻮاﻧﻴﺪ از ﺣﺴﺎب ‪ Guest‬ﻳﺎ ﻫﺮ ﺣﺴﺎب دﻳﮕﺮي اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬ ‫‪ .3‬زﻣﺎﻧﻴﻜﻪ اﺣﺮاز ﻫﻮﻳﺖ ﻛﺎﻣﻞ ﺷﺪ‪ ،‬ﻛﺎرﺑﺮان و ﮔﺮوهﻫﺎي ﺳﺎﺧﺘﻪ ﺷﺪه را ﺑﺎ اﺳﺘﻔﺎده از ﮔﺰﻳﻨﻪ ‪ Search‬از ﻣﻨﻮي‬ ‫‪ Browse‬ﺑﺒﻴﻨﻴﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي زﻳﺮ ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪:‬‬ ‫‪JXplorer‬‬ ‫‪LdapMiner‬‬ ‫‪Softerra LDAP Browser‬‬ ‫‪NTP Enumeration‬‬ ‫‪SMTPscan‬‬ ‫‪Asnumber‬‬ ‫‪Lynx‬‬ ‫‪Winfingerprint‬‬ ‫‪IP Tools Scanner‬‬ ‫‪NBTScan‬‬ ‫‪NetViewX‬‬ ‫‪FreeNetEnumerator‬‬ ‫‪Terminal Service Agent‬‬ ‫‪TXDNS‬‬ ‫‪Unicornscan‬‬ ‫‪59‬‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫ﭼﻪ ﻣﺮاﺣﻠﻲ در ‪ enumeration‬اﻧﺠﺎم ﻣﻲﺷﻮﻧﺪ؟‬ ‫ﺑﺎﻳﺪ ﻫﻜﺮﻫﺎ در روﻳﻜﺮد ﻫﻚ ﻛﺮدﻧﺸﺎن‪ ،‬ﺑﺼﻮرت روﺷﻤﻨﺪ ﻋﻤﻞ ﻛﻨﻨﺪ‪ .‬ﻣﺮاﺣﻞ زﻳﺮ‪ ،‬ﻣﺜﺎﻟﻲ از آﻧﻬﺎﻳﻲ ﻛﻪ ﻫﻜﺮﻫﺎ ﺑﺮاي‬ ‫آﻣﺎدهﺳﺎزي ﺳﻴﺴﺘﻢ ﻫﺪف ﺑﺮاي ﺣﻤﻠﻪ اﻧﺠﺎم ﻣﻲدﻫﻨﺪ را ﻧﺸﺎن ﻣﻲدﻫﺪ‪:‬‬ ‫‪ .1‬ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي را ﺑﺎ اﺳﺘﻔﺎده از ‪ enumeration‬اﺳﺘﺨﺮاج ﻛﻨﻴﺪ‪.‬‬ ‫‪ .2‬اﻃﻼﻋﺎت دﺳﺘﮕﺎهﻫﺎ را ﺑﺎ اﺳﺘﻔﺎده از ‪ null session‬ﺟﻤﻊآوري ﻛﻨﻴﺪ‪.‬‬ ‫‪ .3‬ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار ‪ Windows enumeration ،Superscan‬را اﻧﺠﺎم دﻫﻴﺪ‪.‬‬ ‫‪60‬‬ ‫ﻓﺼﻞ ﭼﻬﺎرم‬ ‫ﻫﻚ ﺳﻴﺴﺘﻢ‬ ‫ﻣﻘﺪﻣﻪ‬ ‫در اﻳﻦ ﻓﺼﻞ‪ ،‬در ﻣﻮرد ﺟﻨﺒﻪﻫﺎي ﻣﺨﺘﻠﻒ ﻫﻚ ﺳﻴﺴﺘﻢ ﺑﺤﺚ ﺧﻮاﻫﻴﻢ ﻛﺮد‪ .‬ﺑﻪ ﻳﺎد ﺑﻴﺎورﻳﺪ ﻛﻪ ﭼﺮﺧﻪ ﻫﻚ ﺷﺎﻣﻞ‬ ‫ﺷﺶ ﻣﺮﺣﻠﻪ اﺳﺖ‪ .‬ﻛﻪ در اﻳﻦ ﻓﺼﻞ‪ ،‬در ﻣﻮرد ﭘﻨﺞ ﻣﺮﺣﻠﻪ دﻳﮕﺮ از ﭼﺮخ ﻫﻚ ﻛﻪ ﺷﺎﻣﻞ ﺷﻜﺴﺘﻦ ﭘﺴﻮرد‪ ،‬اﻓﺰاﻳﺶ ﺳﻄﺢ‬ ‫دﺳﺘﺮﺳﻲ‪ ،‬اﺟﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞﻫﺎ و ﭘﺎك ﻛﺮدن رد ﭘﺎ اﺳﺖ‪ ،‬ﺑﺤﺚ ﺧﻮاﻫﻴﻢ ﻛﺮد‪.‬‬ ‫ﺗﻜﻨﻴﻚﻫﺎي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد‬ ‫ﭘﺴﻮردﻫﺎ‪ ،‬ﺷﺎه ﻛﻠﻴﺪي از اﻃﻼﻋﺎت ﻣﻮرد ﻧﻴﺎز ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺴﺘﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻛﺎرﺑﺮان‪ ،‬ﭘﺴﻮرد را اﻳﺠﺎد‬ ‫ﻣﻲﻛﻨﻨﺪ‪ ،‬ﻣﻌﻤﻮﻻ ﭘﺴﻮردي را اﻧﺘﺨﺎب ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﻗﺎﺑﻠﻴﺖ ﺷﻜﺴﺘﻦ دارد‪ .‬ﺑﺴﻴﺎري از ﻣﺮدم‪ ،‬ﭘﺴﻮردي را اﻧﺘﺨﺎب ﻣﻲﻛﻨﻨﺪ‬ ‫ﻛﻪ ﺳﺎده ﺑﺎﺷﺪ ﻣﺜﻼ ﻧﺎم ﺳﮓﺷﺎن را ﺑﻪ ﻋﻨﻮان ﭘﺴﻮرد اﻧﺘﺨﺎب ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﺑﻪ ﺧﺎﻃﺮ آوردن آن ﺳﺎدهﺗﺮ ﺑﺎﺷﺪ‪ .‬ﺑﺨﺎﻃﺮ اﻳﻦ‬ ‫ﻓﺎﻛﺘﻮرﻫﺎي اﻧﺴﺎﻧﻲ‪ ،‬ﺷﻜﺴﺘﻦ ﺑﺴﻴﺎري از ﭘﺴﻮردﻫﺎ ﻣﻮﻓﻘﻴﺖ آﻣﻴﺰ اﺳﺖ و ﻧﻘﻄﻪ آﻏﺎزي ﺑﺮاي اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ‪،‬‬ ‫اﺟﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬ﻣﺨﻔﻲﺳﺎزي ﻓﺎﻳﻞﻫﺎ‪ ،‬و از ﺑﻴﻦ ﺑﺮدن ردﭘﺎ ﺑﻪ ﺷﻤﺎر ﻣﻲرود‪ .‬ﭘﺴﻮردﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺼﻮرت دﺳﺘﻲ ﺷﻜﺴﺘﻪ‬ ‫ﺷﻮﻧﺪ و ﻳﺎ اﻳﻨﻜﻪ ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎﻳﻲ از ﻗﺒﻴﻞ روش دﻳﻜﺸﻨﺮي ﻳﺎ ‪ ،brute-force‬ﺑﺼﻮرت اﺗﻮﻣﺎﺗﻴﻚ ﺷﻜﺴﺘﻪ ﺷﻮﻧﺪ‪.‬‬ ‫ﺷﻜﺴﺘﻦ دﺳﺘﻲ ﭘﺴﻮرد‪ ،‬ﺷﺎﻣﻞ ﺗﻼش ﺑﺮاي ورود ﺑﻪ ﺳﻴﺴﺘﻢ ﺑﺎ ﭘﺴﻮردﻫﺎي ﻣﺨﺘﻠﻒ اﺳﺖ‪ .‬ﻫﻜﺮ ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم‬ ‫ﻣﻲدﻫﺪ‪:‬‬ ‫‪ .1‬ﺣﺴﺎب ﻛﺎرﺑﺮي ﻣﻌﺘﺒﺮي را ﭘﻴﺪا ﻣﻲﻛﻨﺪ )ﻣﺜﻞ ‪ Administrator‬ﻳﺎ ‪.(Guest‬‬ ‫‪ .2‬ﻟﻴﺴﺘﻲ از ﭘﺴﻮردﻫﺎي ﻣﻤﻜﻦ را ﺗﻬﻴﻪ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ .3‬ﭘﺴﻮردﻫﺎ را ﺑﻪ ﺗﺮﺗﻴﺐ اﺣﺘﻤﺎل ﻣﺮﺗﺐ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ .4‬ﭘﺴﻮردﻫﺎ را اﻣﺘﺤﺎن ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ .5‬ﺗﺎ ﺟﺎﺋﻲ اداﻣﻪ ﻣﻲدﻫﺪ ﻛﻪ ﭘﺴﻮرد ﺻﺤﻴﺢ را ﭘﻴﺪا ﻛﻨﺪ‪.‬‬ ‫‪62‬‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﻓﺎﻳﻞ اﺳﻜﺮﻳﭙﺘﻲ ﺗﻬﻴﻪ ﻛﻨﺪ ﻛﻪ ﭘﺴﻮردﻫﺎي ﻣﻮﺟﻮد در ﻟﻴﺴﺖ را اﻣﺘﺤﺎن ﻛﻨﺪ‪ .‬اﻳﻦ روش‪ ،‬ﻛﺮك ﻛﺮدن‬ ‫ﭘﺴﻮرد ﺑﺼﻮرت دﺳﺘﻲ اﺳﺖ ﻛﻪ زﻣﺎن ﮔﻴﺮ اﺳﺖ و در ﺑﺴﻴﺎري از ﻣﻮارد ﻣﻮﻓﻘﻴﺖ آﻣﻴﺰ ﻧﻴﺴﺖ‪.‬‬ ‫ﻳﻚ روش ﻣﻮﺛﺮ ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد‪ ،‬دﺳﺘﺮﺳﻲ ﺑﻪ ﻓﺎﻳﻞ ﺣﺎوي ﭘﺴﻮردﻫﺎ در ﺳﻴﺴﺘﻢ اﺳﺖ‪ .‬ﺑﺴﻴﺎري از ﺳﻴﺴﺘﻢﻫﺎ‪،‬‬ ‫ﭘﺴﻮرد را ﺑﺮاي ذﺧﻴﺮه ﺑﺮ روي ﺳﻴﺴﺘﻢ‪ hash ،‬ﻣﻲﻛﻨﺪ‪ .‬در ﻃﻮل ﻓﺮآﻳﻨﺪ ورود ﺑﻪ ﺳﻴﺴﻴﺘﻢ‪ ،‬ﻧﺎم ﻛﺎرﺑﺮي ﺑﺎ اﺳﺘﻔﺎده از ﻫﻤﺎن‬ ‫اﻟﮕﻮرﻳﺘﻢ‪ hash ،‬ﻣﻲﺷﻮد و ﺳﭙﺲ ﺑﺎ ﭘﺴﻮردي ﻛﻪ ﻗﺒﻼ ﺑﺼﻮرت ‪ hash‬در ﻳﻚ ﻓﺎﻳﻠﻲ ذﺧﻴﺮه ﺷﺪه اﺳﺖ ﻣﻘﺎﻳﺴﻪ ﻣﻲﺷﻮد‪.‬‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺗﻼش ﻛﻨﺪ ﻛﻪ ﺑﻪ ﺟﺎي اﻳﻨﻜﻪ ﭘﺴﻮرد را ﺣﺪس ﺑﺰﻧﺪ‪ ،‬ﺑﻪ اﻟﮕﻮرﻳﺘﻢ ‪ hash‬ﻛﻪ در ﺳﺮور ذﺧﻴﺮه ﺷﺪه اﺳﺖ‬ ‫دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ و ﺑﻪ ﭘﺴﻮردﻫﺎي ذﺧﻴﺮه ﺷﺪه ﺑﺮ روي ﺳﺮور دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬ ‫در ﺳﻴﺴﺘﻢ وﻳﻨﺪوزي‪ ،‬ﭘﺴﻮردﻫﺎ در ﻓﺎﻳﻞ ‪ SAM‬و در ﺳﻴﺴﺘﻢ ﻟﻴﻨﻮﻛﺴﻲ در ﻓﺎﻳﻞ‪ shadow‬ذﺧﻴﺮه ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Legion‬ﺣﺪس زدن ﭘﺴﻮرد را ﺑﺼﻮرت اﺗﻮﻣﺎﺗﻴﻚ در ﻧﺸﺴﺖﻫﺎي ‪ NetBIOS‬اﻧﺠﺎم ﻣﻲدﻫﺪ‪ .‬ﭼﻨﺪﻳﻦ ﺑﺎزه از آدرسﻫﺎي‬ ‫‪ IP‬را اﺳﻜﻦ ﻣﻲﻛﻨﺪ ﺗﺎ ‪share‬ﻫﺎي وﻳﻨﺪوزي را ﭘﻴﺪا ﻛﻨﺪ و ﻫﻤﭽﻨﻴﻦ داراي اﺑﺰارﻫﺎي ﺣﻤﻠﻪ دﻳﻜﺸﻨﺮي دﺳﺘﻲ ﻧﻴﺰ ﻫﺴﺖ‪.‬‬ ‫‪ ،NTInfoScan‬ﻳﻚ اﺳﻜﻨﺮ اﻣﻨﻴﺘﻲ اﺳﺖ ﻛﻪ ﺑﺮاي وﻳﻨﺪوز ‪ NT 4.0‬اﺳﺖ‪ ،NTInfoScan .‬اﺳﻜﻨﺮ آﺳﻴﺐ ﭘﺬﻳﺮي اﺳﺖ ﻛﻪ‬ ‫ﮔﺰارشﻫﺎﻳﻲ ﺑﻪ ﻓﺮﻣﺖ ‪ HTML‬ﺑﺮاي ﻣﺸﻜﻼت اﻣﻨﻴﺘﻲ ﻣﻮﺟﻮد در ﺳﻴﺴﺘﻢ ﻫﺪف ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،Smbbf‬اﺑﺰار ﺑﺮرﺳﻲ ‪ SMB‬اﺳﺖ ﻛﻪ اﺑﺰاري ﺑﺮاي ﺑﺮرﺳﻲ ﭘﺴﻮردﻫﺎ در وﻳﻨﺪوز اﺳﺖ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار‪ ،‬در ﻫﺮ دﻗﻴﻘﻪ‪،‬‬ ‫‪ 53000‬ﭘﺴﻮرد را ﭼﻚ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،L0phtCrack‬ﺑﺴﺘﻪاي ﺑﺮاي ﺑﺮرﺳﻲ و ﺑﺎزﻳﺎﺑﻲ ﭘﺴﻮرد اﺳﺖ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار‪ ،‬داراي ﻗﺎﺑﻠﻴﺖﻫﺎي ﺣﻤﻼت ‪،dictionary‬‬ ‫‪ ،brute-force‬و ‪ hybrid‬اﺳﺖ‪.‬‬ ‫‪ ،John the Ripper‬اﺑﺰاري دﺳﺘﻮري اﺳﺖ ﻛﻪ ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮردﻫﺎي ‪ Unix‬و ‪ NT‬اﺳﺖ‪ .‬ﭘﺴﻮردﻫﺎي ﺷﻜﺴﺘﻪ ﺷﺪه‪،‬‬ ‫ﺑﺼﻮرت ‪ case insensitive‬ﻫﺴﺘﻨﺪ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ ﭘﺴﻮرد واﻗﻌﻲ ﻧﺒﺎﺷﻨﺪ‪.‬‬ ‫‪63‬‬ ‫‪ ،KerbCrack‬ﺷﺎﻣﻞ دو ﺑﺮﻧﺎﻣﻪ اﺳﺖ‪ kerbsniff :‬و ‪ .kerbcrack‬ﻛﻪ ‪ kerbsniff‬ﺑﺮاي ﮔﻮش دادن ﺑﻪ ﺷﺒﻜﻪ و ﺑﺪﺳﺖ‬ ‫آوردن ﻻﮔﻴﻦﻫﺎي ‪ Windows 2000/XP‬اﺳﺖ و ‪ ،kerbcrack‬ﺑﺮاي ﻳﺎﻓﺘﻦ ﭘﺴﻮردﻫﺎي ﻓﺎﻳﻞ ﺑﺪﺳﺖ آﻣﺪه ﺑﺎ اﺳﺘﻔﺎده از‬ ‫ﺣﻤﻼت ‪ brute force‬و ‪ dictionary‬اﺳﺖ‪.‬‬ ‫‪LanManager Hash‬‬ ‫وﻳﻨﺪوز ‪ ،2000‬از ‪ NT Lan Manager (NTLM) hashing‬ﺑﺮاي اﻣﻦ ﻛﺮدن ﭘﺴﻮردﻫﺎ در ﻃﻮل ارﺳﺎل اﺳﺘﻔﺎد‬ ‫ﻣﻲﻛﻨﺪ‪ .‬ﺑﺴﺘﻪ ﺑﻪ ﭘﺴﻮرد‪ NTLM hashing ،‬ﻣﻲﺗﻮاﻧﺪ ﺿﻌﻴﻒ ﺑﺎﺷﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﭘﺴﻮرد ‪ 123456abcdef‬ﺿﻌﻴﻒ اﺳﺖ‪.‬‬ ‫زﻣﺎﻧﻴﻜﻪ ﭘﺴﻮرد ﺑﺎ اﻟﮕﻮرﻳﺘﻢ ‪ NTLM‬رﻣﺰﮔﺬاري ﺷﺪ اﺑﺘﺪا ﺑﻪ ﺣﺮوف ﺑﺰرگ ﺗﺒﺪﻳﻞ ﻣﻲﺷﻮد‪ .123456ABCDEF :‬ﭘﺴﻮرد‬ ‫ﺑﺎ ﻛﺎراﻛﺘﺮﻫﺎي ‪ blank‬ﭘﺮ ﻣﻲﺷﻮد ﺗﺎ اﻳﻨﻜﻪ ﻃﻮل آن ﺑﻪ ‪ 14‬ﻛﺎراﻛﺘﺮ ﺑﺮﺳﺪ‪ .123456ABCDEF__ :‬ﻗﺒﻞ از اﻳﻨﻜﻪ ﭘﺴﻮرد‬ ‫رﻣﺰ ﺷﻮد‪ ،‬رﺷﺘﻪ ‪ 14‬ﻛﺎراﻛﺘﺮي ﺑﻪ دو ﺑﺨﺶ ﺗﻘﺴﻴﻢ ﻣﻲﺷﻮد‪ 123456A :‬و __‪ .BCDEF‬ﻫﺮ رﺷﺘﻪ ﺑﻄﻮر ﺟﺪاﮔﺎﻧﻪ رﻣﺰ‬ ‫ﻣﻲﺷﻮد و ﻧﺘﺎﻳﺞ آن ﺑﻪ ﻫﻢ وﺻﻞ ﻣﻲﺷﻮﻧﺪ‪:‬‬ ‫‪123465A = 6BF11E04AFAB197F‬‬ ‫‪BCDEF__ = F1E9FFDCC75575B15‬‬ ‫و ﻧﺘﻴﺠﻪ ‪ hash‬ﺑﻪ ﺻﻮرت ‪ 6BF11E04AFAB197F F1E9FFDCC75575B15‬ﺧﻮاﻫﺪ ﺑﻮد‪.‬‬ ‫ﻣﻘﺎﻳﺴﻪ ﭘﺮوﺗﻜﻞﻫﺎي ‪ NTLM v1 ،LM‬و ‪NTLM v2‬‬ ‫وﻳﮋﮔﻲ‬ ‫‪LM‬‬ ‫‪NTLM v1‬‬ ‫‪NTLM v2‬‬ ‫ﺣﺴﺎﺳﻴﺖ ﻧﺴﺒﺖ ﺑﻪ ﺣﺮوف ﺑﺰرگ و ﻛﻮﭼﻚ‬ ‫ﺧﻴﺮ‬ ‫ﺑﻠﻪ‬ ‫ﺑﻠﻪ‬ ‫ﻃﻮل ﻛﻠﻴﺪ ‪hash‬‬ ‫‪56bit+56bit‬‬ ‫‪-‬‬ ‫‪-‬‬ ‫اﻟﮕﻮرﻳﺘﻢ ‪ hash‬ﭘﺴﻮرد‬ ‫)‪DES (ECB mode‬‬ ‫‪MD4‬‬ ‫‪MD4‬‬ ‫ﻃﻮل ﻣﻘﺪار ‪hash‬‬ ‫‪64bit+64bit‬‬ ‫‪128bit‬‬ ‫‪128bit‬‬ ‫ﻃﻮل ﻛﻠﻴﺪ ‪C/R‬‬ ‫‪56bit+56bit+16bit‬‬ ‫‪56bit+56bit+16bit‬‬ ‫‪128bit‬‬ ‫اﻟﮕﻮرﻳﺘﻢ ‪C/R‬‬ ‫)‪DES (ECB mode‬‬ ‫)‪DES (ECB mode‬‬ ‫‪HMAC_MD5‬‬ ‫ﻃﻮل ﻣﻘﺪار ‪C/R‬‬ ‫‪64bit+64bit+64bit‬‬ ‫‪64bit+64bit+64bit‬‬ ‫‪128bit‬‬ ‫‪64‬‬ ‫ﺷﻜﺴﺘﻦ ﭘﺴﻮردﻫﺎي وﻳﻨﺪوز ‪2000‬‬ ‫ﻓﺎﻳﻞ ‪ SAM‬در وﻳﻨﺪوز‪ ،‬ﺷﺎﻣﻞ ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎي ‪ hash‬ﺷﺪه اﺳﺖ ﻛﻪ در ﻣﺴﻴﺮ‬ ‫‪ Windows\system32\config‬ﻗﺮار دارد‪ .‬زﻣﺎﻧﻴﻜﻪ ﺳﻴﺴﺘﻢ روﺷﻦ ﻣﻲﺷﻮد اﻳﻦ ﻓﺎﻳﻞ ﻗﻔﻞ ﻣﻲﺷﻮد ﺑﻨﺎﺑﺮاﻳﻦ ﻫﻜﺮ‬ ‫ﻧﻤﻲﺗﻮاﻧﺪ اﻳﻦ ﻓﺎﻳﻞ را ﻛﭙﻲ ﻛﻨﺪ‪ .‬ﻳﻜﻲ از ﮔﺰﻳﻨﻪﻫﺎ ﺑﺮاي ﻛﭙﻲ ﻓﺎﻳﻞ ‪ ،SAM‬اﻳﻦ اﺳﺖ ﻛﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ را ﺑﺎ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‬ ‫دﻳﮕﺮي راهاﻧﺪازي ﻛﻨﻴﺪ از ﻗﺒﻴﻞ ‪ DOS‬ﻳﺎ ‪ Linux‬ﺑﺎ ‪ CD‬راه اﻧﺪاز‪ .‬در اﻳﻦ ﺣﺎﻟﺖ ﻣﻲﺗﻮان ﻓﺎﻳﻞ را از داﻳﺮﻛﺘﻮري ‪repair‬‬ ‫ﻛﭙﻲ ﻛﺮد‪ .‬اﮔﺮ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ از ﻗﺎﺑﻠﻴﺖ ‪ RDISK‬وﻳﻨﺪوز ﺑﺮاي ﮔﺮﻓﺘﻦ ﭘﺸﺘﻴﺒﺎن ﺳﻴﺴﺘﻢ )ﺑﺎ اﺳﺘﻔﺎده از ‪ (rdisk /s‬اﺳﺘﻔﺎده‬ ‫ﻛﻨﺪ‪ ،‬ﻳﻚ ﻛﭙﻲ ﻓﺸﺮده ﺷﺪه از ﻓﺎﻳﻞ ‪ SAM‬ﻛﻪ __‪ SAM.‬ﻧﺎم دارد در ﻣﺴﻴﺮ ‪ c:\windows\repair‬اﻳﺠﺎد ﻣﻲﺷﻮد‪ .‬ﺑﺮاي‬ ‫ﺑﺴﻂ اﻳﻦ ﻓﺎﻳﻞ‪ ،‬از دﺳﺘﻮر زﻳﺮ در ‪ cmd‬اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪:‬‬ ‫‪C:\>expand sam.__ sam‬‬ ‫ﭘﺲ از آﻧﻜﻪ ﻓﺎﻳﻞ از ﺣﺎﻟﺖ ﻓﺸﺮده ﺧﺎرج ﺷﺪ‪ ،‬ﻣﻲﺗﻮان ﺑﺎ اﺳﺘﻔﺎده از ﻧﺮماﻓﺰار ‪ ،L0phtCrack‬از ﺣﻤﻼت ‪،dictionary‬‬ ‫‪ ،brute-force‬ﻳﺎ ‪ hybrid‬اﺳﺘﻔﺎده ﻛﺮد‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Win32CreatedLocalAdminUser‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ﺣﺴﺎب ﻛﺎرﺑﺮي ﺟﺪﻳﺪي را ﺑﺎ ﻧﺎم ﻛﺎرﺑﺮي و ﭘﺴﻮرد ‪ x‬ﻣﻲﺳﺎزد‬ ‫و آن را ﺑﻪ ﮔﺮوه ‪ administrator‬اﺿﺎﻓﻪ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﻋﻤﻞ‪ ،‬ﺑﺨﺸﻲ از ﭘﺮوژه ‪ Metasploit‬اﺳﺖ و ﻣﻲﺗﻮاﻧﺪ ﺑﺎ‬ ‫‪ Metasploit framework‬روي وﻳﻨﺪوزﻫﺎ اﺟﺮا ﺷﻮد‪.‬‬ ‫‪ Offline NT Password Resetter‬روﺷﻲ ﺑﺮاي رﻳﺴﺖ ﻛﺮدن ﭘﺴﻮرد ‪ administrator‬اﺳﺖ‪ .‬ﻣﻌﻤﻮلﺗﺮﻳﻦ روش اﻳﻦ‬ ‫اﺳﺖ ﻛﻪ ﺑﺎ ‪ CD‬راهاﻧﺪاز ‪ Linux‬دﺳﺘﮕﺎه را راهاﻧﺪازي ﻛﻨﻴﺪ و ﺑﻪ ﭘﺎرﺗﻴﺸﻦ ‪ NTFS‬ﻛﻪ اﻛﻨﻮن ﺑﺼﻮرت ﻣﺤﺎﻓﻈﺖ ﺷﺪه‬ ‫ﻧﻴﺴﺖ‪ ،‬دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﻴﺪ و ﭘﺴﻮرد را ﺗﻐﻴﻴﺮ دﻫﻴﺪ‪.‬‬ ‫ﺑﺮﻧﺎﻣﻪ ‪ ،LCP‬ﺑﺮاي ﺑﺮرﺳﻲ ﭘﺴﻮرد ﺣﺴﺎبﻫﺎي ﻛﺎرﺑﺮ در وﻳﻨﺪوزﻫﺎي ‪ XP ،2000 ،NT‬و ‪ 2003‬اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﻫﺮ ﺳﻪ‬ ‫ﻧﻮع ﺣﻤﻠﻪ ‪ Hybrid ،Dictionary‬و ‪ Brute force‬اﺳﺖ‪.‬‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎي دﻳﮕﺮي ﻧﻴﺰ ﻫﻤﭽﻮن ‪،Asterisk Logger ،Access Pass View ،Crack ،Ophcrack2 ،SID&User‬‬ ‫‪ Asterisk Key‬ﻧﻴﺰ ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد ﺑﻜﺎر ﻣﻲروﻧﺪ‪.‬‬ ‫‪65‬‬ ‫ﻫﺪاﻳﺖ ‪ SMB Logon‬ﺑﻪ ﺣﻤﻠﻪ ﻛﻨﻨﺪه‬ ‫روش دﻳﮕﺮ ﺑﺮاي ﻛﺸﻒ ﭘﺴﻮردﻫﺎي روي ﺷﺒﻜﻪ‪ ،‬ﺗﻐﻴﻴﺮ ﻣﺴﻴﺮ ‪ SMB logon‬ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺣﻤﻠﻪ ﻛﻨﻨﺪه اﺳﺖ ﺗﺎ‬ ‫ﭘﺴﻮردﻫﺎ ﺑﻪ ﻫﻜﺮ ارﺳﺎل ﻣﻲﺷﻮد‪ .‬ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر‪ ،‬ﻫﻜﺮ ﺑﺎﻳﺴﺘﻲ ﭘﺎﺳﺦﻫﺎي ‪ NTLM‬را از ﺳﺮور اﺣﺮاز ﻫﻮﻳﺖ‪ sniff ،‬ﻛﻨﺪ‬ ‫و ﻗﺮﺑﺎﻧﻲ را اﻏﻔﺎل ﻛﻨﺪ ﺗﺎ ﺑﺎ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻫﻜﺮ اﺣﺮاز ﻫﻮﻳﺖ ﻛﻨﺪ‪ .‬راﻳﺞﺗﺮﻳﻦ ﺗﻜﻨﻴﻚ‪ ،‬ارﺳﺎل اﻳﻤﻴﻠﻲ ﺑﻪ ﻗﺮﺑﺎﻧﻲ اﺳﺖ ﻛﻪ داراي‬ ‫ﻟﻴﻨﻜﻲ ﺑﻪ ‪ SMB Server‬ﺑﺎﺷﺪ اﺳﺖ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻗﺮﺑﺎﻧﻲ ﺑﺮ روي ﻟﻴﻨﻚ ﻛﻠﻴﻚ ﻛﺮد‪ ،‬ﺑﺪون آﻧﻜﻪ ﻣﺘﻮﺟﻪ ﺷﻮد اﻃﻼﻋﺎت اﺣﺮاز‬ ‫ﻫﻮﻳﺖ ﺧﻮد را روي ﺷﺒﻜﻪ ارﺳﺎل ﻣﻲﻛﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي زﻳﺎدي ﻣﻲﺗﻮاﻧﻨﺪ ﺗﻐﻴﻴﺮ ﺟﻬﺖ ‪ SMB‬را ﭘﻴﺎدهﺳﺎزي ﻛﻨﻨﺪ‪:‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،SMBRelay‬ﻳﻚ ‪ SMB Server‬اﺳﺖ ﻛﻪ ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي و ‪hash‬ﻫﺎي ﭘﺴﻮردﻫﺎ را از ﺗﺮاﻓﻴﻚ ‪ SMB‬ورودي ﺑﺪﺳﺖ‬ ‫ﻣﻲآورد‪ ،SMBRelay .‬ﻣﻲﺗﻮاﻧﺪ ﺣﻤﻼت ‪ man-in-the-middle‬را اﻧﺠﺎم دﻫﺪ‪.‬‬ ‫‪ ،SMBRelay2‬ﻣﺸﺎﺑﻪ ‪ SMBRelay‬اﺳﺖ اﻣﺎ ﺑﺎ اﻳﻦ ﺗﻔﺎوت ﻛﻪ ﺑﻪ ﺟﺎي آدرسﻫﺎي ‪ ،IP‬از اﺳﺎﻣﻲ ‪ NetBIOS‬ﺑﺮاي‬ ‫ﺑﺪﺳﺖ آوردن ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،Pwdump2‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ‪hash‬ﻫﺎي ﭘﺴﻮردﻫﺎ را از ﻓﺎﻳﻞ ‪ SAM‬روي ﺳﻴﺴﺘﻢ وﻳﻨﺪوز اﺳﺘﺨﺮاج ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫ﭘﺴﻮردﻫﺎي اﺳﺘﺨﺮاج ﺷﺪه‪ ،‬از ﻃﺮﻳﻖ ‪ L0phtCrack‬ﻣﻲﺗﻮاﻧﻨﺪ ﺷﻜﺴﺘﻪ ﺷﻮﻧﺪ‪.‬‬ ‫‪ ،Samdump‬ﺑﺮﻧﺎﻣﻪاي ﺑﺮاي اﺳﺘﺨﺮاج ﭘﺴﻮردﻫﺎي ‪ NTLM‬ﻛﻪ در ﻓﺎﻳﻞ ‪ hash ،SAM‬ﺷﺪهاﻧﺪ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫‪ ،C2MYAZZ‬ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺟﺎﺳﻮﺳﻲ اﺳﺖ ﻛﻪ ﺳﺒﺐ ﻣﻲﺷﻮد ﻛﻼﻳﻨﺖﻫﺎي وﻳﻨﺪوزي‪ ،‬ﭘﺴﻮردﻫﺎ را ﺑﻪ ﺻﻮرت رﻣﺰ ﻧﺸﺪه‬ ‫ارﺳﺎل ﻛﻨﺪ‪ .‬ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎﻳﻲ ﻛﻪ ﻛﺎرﺑﺮان ﺑﺮاي اﺗﺼﺎل ﺑﻪ ﻣﻨﺎﺑﻊ ﺳﺮور اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ را ﻧﻤﺎﻳﺶ ﻣﻲدﻫﺪ‪.‬‬ ‫‪66‬‬ ‫ﺣﻤﻼت ‪ SMB Relay MITM‬و ﻣﻘﺎﺑﻠﻪ ﺑﺎ آن‬ ‫ﺣﻤﻠﻪ ‪ ،SMB Relay MITM‬زﻣﺎﻧﻴﻜﻪ ﺣﻤﻠﻪ ﻛﻨﻨﺪه ﻳﻚ ﺳﺮور ﺟﻌﻠﻲ راهاﻧﺪازي ﻣﻲﻛﻨﺪ‪ ،‬رخ ﻣﻲدﻫﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ‬ ‫ﻛﻼﻳﻨﺖ ﻗﺮﺑﺎﻧﻲ‪ ،‬ﺑﻪ ﺳﺮور ﺟﻌﻠﻲ ﻣﺘﺼﻞ ﻣﻲﺷﻮد‪ ،‬ﺷﻜﻞ زﻳﺮ‪ ،‬ﻣﺜﺎﻟﻲ از اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ را ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬ ‫روشﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪ ،SMB relay‬ﺷﺎﻣﻞ ﭘﻴﻜﺮﺑﻨﺪي وﻳﻨﺪوز ‪ 2000‬ﺑﺮاي اﺳﺘﻔﺎده از ‪ SMB signing‬اﺳﺖ ﻛﻪ‬ ‫ﺳﺒﺐ ﻣﻲﺷﻮد ﻫﺮ ﺑﻼك از ارﺗﺒﺎﻃﺎت ‪ ،SMB‬رﻣﺰﮔﺬاري ﺷﻮد‪ .‬اﻳﻦ ﺗﻨﻈﻴﻤﺎت در ‪Security Policies/Security‬‬ ‫‪ Options‬وﺟﻮد دارﻧﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،SMBGrind‬ﺳﺮﻋﺖ ﻧﺸﺴﺖﻫﺎي ‪ L0phtCrack‬را ﺑﺮ روي اﺳﺘﺮاق ﺳﻤﻊ ‪dump‬ﻫﺎ اﻓﺰاﻳﺶ ﻣﻲدﻫﺪ‪.‬‬ ‫اﺑﺰار ‪ ،SMBDie‬ﺑﺎ ارﺳﺎل درﺧﻮاﺳﺖﻫﺎي ‪ SMB‬ﺟﻌﻠﻲ‪ ،‬ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎﻳﻲ ﻛﻪ داراي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز ‪،XP ،2000‬‬ ‫‪ NT‬ﻫﺴﺘﻨﺪ را ‪ crash‬ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،NBTdeputy‬ﻣﻲﺗﻮاﻧﺪ ﻳﻚ ﻧﺎم ﻛﺎﻣﭙﻴﻮﺗﺮي ‪ NetBIOS‬را روي ﺷﺒﻜﻪ رﺟﻴﺴﺘﺮ ﻛﻨﺪ و ﺑﻪ درﺧﻮاﺳﺖﻫﺎي ‪NetBIOS‬‬ ‫ﭘﺎﺳﺦ دﻫﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ اﻳﻦ اﺑﺰار‪ ،‬اﺳﺘﻔﺎده از ‪ SMBRelay‬را ﺳﺎده ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺷﻜﺴﺘﻦ ﭘﺴﻮرد‬ ‫ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺷﻜﺴﺘﻦ ﭘﺴﻮرد‪ ،‬ﺑﺎﻳﺪ از ﭘﺴﻮرد ﻗﻮي اﺳﺘﻔﺎده ﺷﻮد‪ .‬ﻃﻮل ﭘﺴﻮردﻫﺎ‪ 8 ،‬ﺗﺎ ‪ 12‬ﻛﺎراﻛﺘﺮ ﺑﺎﺷﺪ‪ .‬ﺑﺮاي‬ ‫ﻣﺤﺎﻓﻈﺖ از ﺷﻜﺴﺘﻦ اﻟﮕﻮرﻳﺘﻢ ‪ hash‬ﺑﺮاي ﭘﺴﻮردﻫﺎﻳﻲ ﻛﻪ در ﺳﺮور ذﺧﻴﺮه ﺷﺪهاﻧﺪ‪ ،‬ﺑﺎﻳﺪ ﻣﺮاﻗﺐ ﺑﺎﺷﻴﺪ ﻛﻪ ﺳﺮور را‬ ‫‪67‬‬ ‫ﺑﺼﻮرت ﻓﻴﺰﻳﻜﻲ ﻣﺮاﻗﺒﺖ ﻛﻨﻴﺪ‪ .‬ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢﻫﺎ ﻣﻲﺗﻮاﻧﺪ از اﺑﺰار ﺧﻮد وﻳﻨﺪوز ﻛﻪ ‪ SYSKEY‬ﻧﺎم دارد اﺳﺘﻔﺎده ﻛﻨﺪ ﺗﺎ‬ ‫ﻣﺮاﻗﺒﺖ ﺑﻴﺸﺘﺮي ﺑﺮ روي ﺳﺮور ﻳﺎ دﻳﺴﻚ داﺷﺘﻪ ﺑﺎﺷﺪ‪log .‬ﻫﺎي ﺳﺮور را ﺑﺮرﺳﻲ ﻛﻨﻴﺪ ﺗﺎ ﺣﻤﻼت ‪ brute-force‬روي‬ ‫ﺣﺴﺎبﻫﺎي ﻛﺎرﺑﺮ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻴﺪ‪.‬‬ ‫وﻳﻨﺪوز ﺑﺮاي ذﺧﻴﺮه ﭘﺴﻮردﻫﺎي ﻛﺎرﺑﺮان‪ ،‬از دو روش ﻣﺨﺘﻠﻒ ‪ hash‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬اﮔﺮ ﻃﻮل ﭘﺴﻮرد ﻛﻤﺘﺮ از ‪15‬‬ ‫ﻛﺎراﻛﺘﺮ ﺑﺎﺷﺪ‪ ،‬وﻳﻨﺪوز از دو روش ‪ LM hash‬و ‪ NT hash‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﻛﻪ ‪ LM hash‬ﻧﺴﺒﺖ ﺑﻪ ‪،NT hash‬‬ ‫ﺿﻌﻴﻒﺗﺮ اﺳﺖ و در ﻣﻘﺎﺑﻞ ﺣﻤﻠﻪ ‪ brute force‬راﺣﺖﺗﺮ ﻣﻲﺷﻜﻨﺪ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬در ﭘﺎﻳﮕﺎه داده ‪LM hash ،SAM‬ﻫﺎ را‬ ‫ذﺧﻴﺮه ﻧﻜﻨﻴﺪ‪ .‬ﺑﺮاي اﻳﻨﻜﻪ ﭘﺮوﺗﻜﻞﻫﺎي ‪ NTLM v2 ،NTLM‬و ‪ Kerberos‬از ‪ NT hash‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ وﻟﻲ ﭘﺮوﺗﻜﻞ‬ ‫‪ ،LM‬از ‪ LM hash‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﻛﻪ ﺿﻌﻴﻒﺗﺮ از ‪ NT hash‬اﺳﺖ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ اﮔﺮ در ﺷﺒﻜﻪﺗﺎن‪ ،‬وﻳﻨﺪوز ‪ 98 ،95‬ﻳﺎ‬ ‫ﻣﻜﻴﻨﺘﺎش ﻧﺪارﻳﺪ ﺑﻬﺘﺮ اﺳﺖ ﺑﻪ ﻳﻜﻲ از روشﻫﺎي زﻳﺮ آن را ﻏﻴﺮ ﻓﻌﺎل ﻛﻨﻴﺪ‪:‬‬ ‫روش ‪ :1‬از ‪ ،Group Policy‬وارد ﻗﺴﻤﺖ ‪ Security Options‬و ‪ Local Security Policy‬ﺷﻮﻳﺪ و ﮔﺰﻳﻨﻪ زﻳﺮ را ﻏﻴﺮ‬ ‫ﻓﻌﺎل ﻛﻨﻴﺪ‪Network security: Do not store LAN Manager hash value on next password change :‬‬ ‫روش ‪ :2‬از ﻃﺮﻳﻖ رﺟﻴﺴﺘﺮي وارد ﻣﺴﻴﺮ زﻳﺮ ﺷﻮﻳﺪ‪:‬‬ ‫‪ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa‬و ﺳﭙﺲ ﻛﻠﻴﺪي ﺑﻪ ﻧﺎم‬ ‫‪ NoLMHash‬اﻳﺠﺎد ﻛﻨﻴﺪ‪.‬‬ ‫روش ‪ :3‬از ﭘﺴﻮردي ﻛﻪ ﻃﻮل آن ﺑﻴﺸﺘﺮ از ‪ 15‬ﻛﺎراﻛﺘﺮ اﺳﺖ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬ ‫ﻫﻤﭽﻨﻴﻦ ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺷﻜﺴﺘﻦ ﭘﺴﻮرد‪ ،‬ﻣﻮارد زﻳﺮ را در ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪:‬‬ ‫‪ .1‬ﭘﺴﻮردﻫﺎي ﭘﻴﺶ ﻓﺮض را ﺗﻐﻴﻴﺮ دﻫﻴﺪ‪.‬‬ ‫‪ .2‬ﭘﺴﻮردﻫﺎﻳﻲ ﻛﻪ در دﻳﻜﺸﻨﺮي وﺟﻮد دارﻧﺪ را اﺳﺘﻔﺎده ﻧﻜﻨﻴﺪ‪.‬‬ ‫‪ .3‬از ﭘﺴﻮردي اﺳﺘﻔﺎده ﻧﻜﻨﻴﺪ ﻛﻪ ﻣﺮﺑﻮط ﺑﻪ اﺳﻢ دﺳﺘﮕﺎه‪ ،‬اﺳﻢ داﻣﻴﻦ‪ ،‬ﻳﺎ ﻫﺮ ﭼﻴﺰ دﻳﮕﺮي ﻛﻪ ﻣﻲﺗﻮان در ‪whois‬‬ ‫ﭘﻴﺪا ﻛﺮد ﺑﺎﺷﺪ‪.‬‬ ‫‪ .4‬ﭘﺴﻮردي ﻛﻪ ﻣﺮﺑﻮط ﺑﻪ ﻋﻼﻳﻖ ﺷﻤﺎ ﻳﺎ ﺗﺎرﻳﺦ ﺗﻮﻟﺪ ﺷﻤﺎ اﺳﺖ اﺳﺘﻔﺎده ﻧﻜﻨﻴﺪ‪.‬‬ ‫‪ .5‬اﮔﺮ از ﻛﻠﻤﺎت دﻳﻜﺸﻨﺮي ﻣﻲﺧﻮاﻫﻴﺪ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪ ،‬از ﻛﻠﻤﻪاي ﻛﻪ ﺑﻴﺸﺘﺮ از ‪ 21‬ﻛﺎراﻛﺘﺮ دارد اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬ ‫‪68‬‬ ‫در ﺑﺨﺶﻫﺎي ﺑﻌﺪي‪ ،‬ﺑﻪ دو ﻣﻌﻴﺎري ﻛﻪ ﻣﻲﺗﻮاﻧﻴﺪ ﺑﺮاي ﺳﺎﺧﺖ ﭘﺴﻮرد ﻗﻮي ﺑﻜﺎر ﺑﺮﻳﺪ ﻧﮕﺎﻫﻲ ﺧﻮاﻫﻴﻢ داﺷﺖ‪.‬‬ ‫ﺑﺎزه زﻣﺎﻧﻲ ﺗﻐﻴﻴﺮ ﭘﺴﻮرد‬ ‫ﭘﺴﻮردﻫﺎ ﺑﺎﻳﺴﺘﻲ ﺑﻌﺪ از ﻣﺪت زﻣﺎن ﻣﺸﺨﺼﻲ‪ ،‬ﻣﻨﻘﻀﻲ )‪ (expire‬ﺷﻮﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻛﺎرﺑﺮان ﺑﺎﻳﺪ ﭘﺴﻮردﻫﺎﻳﺸﺎن را‬ ‫ﺗﻐﻴﻴﺮ دﻫﻨﺪ‪ .‬اﮔﺮ ﻃﻮل ﭘﺴﻮرد ﺑﺴﻴﺎر ﻛﻮﺗﺎه ﺑﺎﺷﺪ‪ ،‬ﻛﺎرﺑﺮان ﭘﺴﻮردﻫﺎﻳﺸﺎن را ﻓﺮاﻣﻮش ﻣﻲﻛﻨﻨﺪ در ﻧﺘﻴﺠﻪ‪ ،‬ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢﻫﺎ‬ ‫ﺑﺎﻳﺪ ﭘﺴﻮردﻫﺎي ﻛﺎرﺑﺮان را ﺑﺎرﻫﺎ رﻳﺴﺖ ﻛﻨﻨﺪ‪ .‬از ﻃﺮﻓﻲ دﻳﮕﺮ‪ ،‬اﮔﺮ اﻳﻦ ﻣﺪت زﻣﺎن ﺑﺴﻴﺎر ﻃﻮﻻﻧﻲ ﺑﺎﺷﺪ‪ ،‬اﻣﻨﻴﺖ ﺑﻪ ﺧﻄﺮ‬ ‫ﻣﻲاﻓﺘﺪ‪ .‬ﻣﺪت زﻣﺎن ﺗﻮﺻﻴﻪ ﺷﺪه ﺑﺮاي اﻳﻦ ﺑﺎزه‪ 30 ،‬روز اﺳﺖ‪ .‬ﻋﻼوه ﺑﺮ اﻳﻦ‪ ،‬ﺗﻮﺻﻴﻪ ﻣﻲﺷﻮد ﻛﻪ ﻛﺎرﺑﺮان ﻧﺘﻮاﻧﻨﺪ از ﺳﻪ‬ ‫ﭘﺴﻮرد ﻗﺒﻠﻲﺷﺎن دوﺑﺎره اﺳﺘﻔﺎده ﻛﻨﻨﺪ‪.‬‬ ‫ﺑﺮرﺳﻲ ‪Event Viewer Log‬ﻫﺎ‬ ‫ﻣﺪﻳﺮان ﺑﺎﻳﺪ ‪Event Viewer log‬ﻫﺎ را ﺑﺮرﺳﻲ ﻛﻨﻨﺪ ﺗﺎ ﻫﺮ رﺧﺪادي را ﻗﺒﻞ از اﺗﻔﺎق ﻳﺎ در ﻃﻮل اﺗﻔﺎق ﺗﺸﺨﻴﺺ‬ ‫دﻫﻨﺪ‪ .‬ﺑﻄﻮر ﻛﻠﻲ‪ ،‬ﭼﻨﺪﻳﻦ ﺗﻼش ﻧﺎﻣﻮﻓﻖ ﻣﻲﺗﻮاﻧﺪ در ﺳﻴﺴﺘﻢ ﺛﺒﺖ ﺷﻮد و ﺗﻨﻬﺎ ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢﻫﺎ ﺑﺘﻮاﻧﻨﺪ آن را ﺑﺮرﺳﻲ‬ ‫ﻛﻨﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎﻳﻲ از ﻗﺒﻴﻞ ‪ ،VisualLast‬ﻣﺪﻳﺮ ﺷﺒﻜﻪ را ﺑﺮاي رﻣﺰﮔﺸﺎﻳﻲ و ﺗﺤﻠﻴﻞ ﻓﺎﻳﻞﻫﺎي ‪ log‬اﻣﻨﻴﺘﻲ‪ ،‬ﻛﻤﻚ ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫اﻳﻦ اﺑﺰار‪ ،‬دﻳﺪ ﺑﺰرﮔﺘﺮي را ﺑﻪ ‪ NT event log‬ﻫﺎ ﺑﺎز ﻣﻲﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﻣﺪﻳﺮ ﺷﺒﻜﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﻪ ﺻﻮرت دﻗﻴﻖﺗﺮ و ﻣﻮﺛﺮﺗﺮ ﺑﻪ‬ ‫ﻓﻌﺎﻟﻴﺖﻫﺎي ﺷﺒﻜﻪ دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﺑﺮاي اﻳﻦ ﻃﺮاﺣﻲ ﺷﺪه اﺳﺖ ﻛﻪ ﻣﺪﻳﺮان ﺷﺒﻜﻪ ﺑﺘﻮاﻧﻨﺪ ﮔﺰارﺷﺎت‬ ‫زﻣﺎنﻫﺎي ورود و ﺧﺮوج ﻛﺎرﺑﺮان را ﺑﺒﻴﻨﻨﺪ اﻳﻦ وﻗﺎﻳﻊ‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ ﻃﺒﻖ ﻓﺮﻳﻢ زﻣﺎن‪ ،‬ﺟﺴﺘﺠﻮ ﺷﻮﻧﺪ ﻛﻪ ﺑﺮاي ﺗﺤﻠﻴﻞ اﻣﻨﻴﺘﻲ‬ ‫ﺑﺴﻴﺎر ﻣﻬﻢ ﻫﺴﺘﻨﺪ‪.‬‬ ‫‪69‬‬ ‫‪Event log‬ﻫﺎ در ﻣﺴﻴﺮ ‪ c:\\windows\system32\config\Sec.Event.Evt‬ﻗﺮار دارﻧﺪ ﻛﻪ ﺷﺎﻣﻞ ردﭘﺎﻫﺎي‬ ‫ﺗﻼشﻫﺎي ‪ brute-force‬ﺣﻤﻠﻪ ﻛﻨﻨﺪه اﺳﺖ‪.‬‬ ‫اﺑﺰار ‪ ،AccountAudit‬ﺑﻪ ﻣﺪﻳﺮان ﺷﺒﻜﻪ اﺟﺎزه ﻣﻲدﻫﺪ ﻛﻪ ﭘﺎﻳﮕﺎه داده ﺣﺴﺎبﻫﺎي ﻛﺎرﺑﺮان در اﻛﺘﻴﻮ داﻳﺮﻛﺘﻮري‬ ‫را ﺑﺮرﺳﻲ ﻛﻨﻨﺪ ﺗﺎ رﻳﺴﻚﻫﺎي اﻣﻨﻴﺘﻲ راﻳﺞ ﻫﻤﭽﻮن ﻛﺎرﺑﺮان ﺑﺪون ﭘﺴﻮرد‪ ،‬ﻳﺎ ‪ ...‬را ﺑﺒﻴﻨﻨﺪ‪.‬‬ ‫اﻧﻮاع ﭘﺴﻮرد‬ ‫ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﭼﻨﺪﻳﻦ ﻧﻮع ﭘﺴﻮرد وﺟﻮد دارد‪ .‬ﻛﺎراﻛﺘﺮﻫﺎﻳﻲ ﻛﻪ ﭘﺴﻮرد را ﺗﺸﻜﻴﻞ ﻣﻲدﻫﻨﺪ‪،‬‬ ‫ﭼﻨﺪﻳﻦ دﺳﺘﻪ ﺑﻨﺪي دارﻧﺪ‪:‬‬ ‫•‬ ‫ﺗﻨﻬﺎ ﺣﺮوف‬ ‫•‬ ‫ﺗﻨﻬﺎ اﻋﺪاد‬ ‫•‬ ‫ﺗﻨﻬﺎ ﻛﺎراﻛﺘﺮﻫﺎي ﺧﺎص‬ ‫•‬ ‫ﺣﺮوف و اﻋﺪاد‬ ‫•‬ ‫ﺗﻨﻬﺎ ﺣﺮوف و ﻛﺎراﻛﺘﺮﻫﺎي ﺧﺎص‬ ‫•‬ ‫ﺗﻨﻬﺎ اﻋﺪاد و ﻛﺎراﻛﺘﺮﻫﺎي ﺧﺎص‬ ‫•‬ ‫ﺣﺮوف‪ ،‬اﻋﺪاد‪ ،‬و ﻛﺎرﻛﺘﺮﻫﺎي ﺧﺎص‬ ‫ﻳﻚ ﭘﺴﻮرد ﻗﻮي‪ ،‬اﺣﺘﻤﺎل ﻛﻤﺘﺮي ﺑﺮاي ﺷﻜﺴﺘﻪ ﺷﺪن ﺗﻮﺳﻂ ﻫﻜﺮ دارد‪ .‬ﻗﻮاﻧﻴﻦ زﻳﺮ ﻛﻪ ﺗﻮﺳﻂ ‪ EC Council‬اراﺋﻪ‬ ‫ﺷﺪه اﺳﺖ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺑﺮاي اﻳﺠﺎد ﭘﺴﻮرد در ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﺷﻮﻧﺪ ﺗﺎ در ﻣﻘﺎﺑﻞ ﺣﻤﻼت ﻣﺤﺎﻓﻆ ﺑﺎﺷﺪ‪:‬‬ ‫•‬ ‫ﻧﺒﺎﻳﺪ ﺷﺎﻣﻞ ﺑﺨﺸﻲ از ﻧﺎم ﻛﺎرﺑﺮي ﺑﺎﺷﺪ‬ ‫•‬ ‫ﺣﺪاﻗﻞ ﻃﻮل آن ﺑﺎﻳﺪ ‪ 8‬ﻛﺎراﻛﺘﺮ ﺑﺎﺷﺪ‬ ‫•‬ ‫ﺑﺎﻳﺪ ﺣﺪاﻗﻞ ﺷﺎﻣﻞ ﺳﻪ ﻗﺴﻤﺖ از دﺳﺘﻪﻫﺎي زﻳﺮ ﺑﺎﺷﺪ‪:‬‬ ‫‪ o‬ﻋﻼﺋﻢ ﻏﻴﺮ اﻟﻔﺒﺎﻳﻲ )‪($,:"%@!#‬‬ ‫‪ o‬اﻋﺪاد‬ ‫‪ o‬ﺣﺮوف ﺑﺰرگ‬ ‫‪ o‬ﺣﺮوف ﻛﻮﭼﻚ‬ ‫‪70‬‬ ‫ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮ از اﻧﻮاع ﻣﺨﺘﻠﻒ ﺣﻤﻼت ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻳﻚ ﭘﺴﻮرد و ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﻴﺸﺘﺮ ﺑﻪ ﻳﻚ‬ ‫ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬اﻧﻮاع ﺣﻤﻼت ﭘﺴﻮرد ﺑﻪ ﺷﺮح زﻳﺮ اﺳﺖ‪:‬‬ ‫‪ :Passive online‬ﻣﺒﺎدﻻت ﭘﺴﻮرد ﺑﺮ روي ﺷﺒﻜﻪ را اﺳﺘﺮاق ﺳﻤﻊ ﻣﻲﻛﻨﺪ‪ .‬ﺣﻤﻼت ‪ ،passive online‬ﺷﺎﻣﻞ ﺣﻤﻼت‬ ‫‪ ،man-in-the-middle ،sniffing‬و ‪ reply‬اﺳﺖ‪.‬‬ ‫‪ :Active online‬ﭘﺴﻮرد ‪ Administrator‬را ﺣﺪس ﻣﻲزﻧﺪ‪ .‬ﺣﻤﻼت ‪ ،active online‬ﺣﺪس ﺧﻮدﻛﺎر ﭘﺴﻮرد اﺳﺖ‪.‬‬ ‫‪ :Offline‬ﺣﻤﻼت ‪ ،hybrid ،Dictionary‬و ‪ brute-force‬اﺳﺖ‪.‬‬ ‫‪ ،Shoulder surfing :Nonelectronic‬اﺳﺘﺮاق ﺳﻤﻊ ﺻﻔﺤﻪ ﻛﻠﻴﺪ‪ ،‬و ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪.‬‬ ‫ﺣﻤﻼت ‪Passive Online‬‬ ‫ﺣﻤﻠﻪ ‪ ،passive online‬ﺑﺎ ﻧﺎم اﺳﺘﺮاق ﺳﻤﻊ ﭘﺴﻮرد روي ﺷﺒﻜﻪﻫﺎي ﻛﺎﺑﻠﻲ و واﻳﺮﻟﺲ ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪ .‬ﻛﺎرﺑﺮ‬ ‫ﻧﻬﺎﻳﻲ ﻧﻤﻲﺗﻮاﻧﺪ اﻳﻦ ﮔﻮﻧﻪ ﺣﻤﻼت را ﺗﺸﺨﻴﺺ دﻫﺪ‪ .‬در ﻃﻮل ﻓﺮاﻳﻨﺪ اﺣﺮاز ﻫﻮﻳﺖ‪ ،‬ﭘﺴﻮرد ﺑﺪﺳﺖ ﻣﻲآﻳﺪ و ﺑﺎ ﻓﺎﻳﻞ‬ ‫دﻳﻜﺸﻨﺮي ﻳﺎ ﻟﻴﺴﺖ ﻛﻠﻤﺎت ﻣﻘﺎﻳﺴﻪ ﻣﻲﺷﻮد‪ .‬ﻣﻌﻤﻮﻻ ﭘﺴﻮردﻫﺎي ﺣﺴﺎبﻫﺎي ﻛﺎرﺑﺮان‪ ،‬در زﻣﺎن ارﺳﺎل روي ﺷﺒﻜﻪ ‪hash‬‬ ‫و ﻳﺎ رﻣﺰ ﻣﻲﺷﻮﻧﺪ ﺗﺎ ﺟﻠﻮي دﺳﺘﺮﺳﻲ ﻏﻴﺮ ﻣﺠﺎز را ﺑﮕﻴﺮﻧﺪ‪ .‬اﮔﺮ ﭘﺴﻮرد ﺗﻮﺳﻂ رﻣﺰﮔﺬاري ﻳﺎ ‪ ،hashing‬ﻣﺤﺎﻓﻈﺖ ﺷﺪه‬ ‫ﺑﺎﺷﺪ‪ ،‬آﻧﮕﺎه اﺑﺰارﻫﺎي ﻣﺨﺼﻮﺻﻲ ﻛﻪ در ‪ toolkit‬ﻫﻜﺮ وﺟﻮد دارد ﺑﺮاي ﺷﻜﺴﺘﻦ اﻟﮕﻮرﻳﺘﻢ ﻣﻲﺗﻮاﻧﺪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار‬ ‫ﮔﻴﺮد‪.‬‬ ‫‪71‬‬ ‫ﺣﻤﻠﻪ دﻳﮕﺮ ‪ ،passive online‬ﺑﻨﺎم ‪ (MITM) man-in-the0-middle‬ﻧﺎم دارد‪ .‬در ﺣﻤﻠﻪ ‪ ،MITM‬ﻫﻜﺮ در‬ ‫درﺧﻮاﺳﺖ اﺣﺮاز ﻫﻮﻳﺖ دﺧﺎﻟﺖ ﻣﻲﻛﻨﺪ و آن را ﺑﻪ ﺳﺮور ﻓﺮوارد ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎ وارد ﻛﺮدن ﻳﻚ ‪ sniffer‬ﺑﻴﻦ ﻛﻼﻳﻨﺖ و ﺳﺮور‪،‬‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﻫﻢ ارﺗﺒﺎﻃﺎت را ‪ sniff‬ﻛﻨﺪ و ﻫﻢ ﭘﺴﻮرد را در اﻳﻦ ﻓﺮآﻳﻨﺪ ﺑﺪﺳﺖ آورد‪.‬‬ ‫ﺣﻤﻠﻪ ‪ ،reply‬ﻧﻴﺰ ﺟﺰ ﺣﻤﻼت ‪ passive online‬اﺳﺖ ﻛﻪ زﻣﺎﻧﻴﻜﻪ ﭘﺴﻮرد ﺑﻪ ﺳﺮور اﺣﺮاز ﻫﻮﻳﺖ ارﺳﺎل ﻣﻲﺷﻮد ﺑﺎ‬ ‫ﻣﺪاﺧﻠﻪ ﻫﻜﺮ رخ ﻣﻲدﻫﺪ و ﺳﭙﺲ آن را دوﺑﺎره ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖﻫﺎي ﺑﻌﺪي ارﺳﺎل ﻣﻲﻛﻨﺪ‪ .‬در اﻳﻦ روش‪ ،‬ﻫﻜﺮ ﻧﻴﺎزي‬ ‫ﻧﺪارد ﻛﻪ ﭘﺴﻮرد را ﺑﺸﻜﻨﺪ ﻳﺎ از ﻃﺮﻳﻖ ‪ MITM‬آن را ﻳﺎد ﺑﮕﻴﺮد ﺑﻠﻜﻪ ﺑﺎﻳﺪ آن را ﺑﺪﺳﺖ آورد و از ﺑﺴﺘﻪﻫﺎي اﺣﺮاز ﻫﻮﻳﺖ‪-‬‬ ‫ﭘﺴﻮرد ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖﻫﺎي ﺑﻌﺪي اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬ ‫ﺣﻤﻼت ‪Active Online‬‬ ‫ﺳﺎدهﺗﺮﻳﻦ روش ﺑﺮاي دﺳﺘﺮﺳﻲ در ﺳﻄﺢ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ‪ ،‬ﺣﺪس زدن ﻳﻚ ﭘﺴﻮرد ﺳﺎده اﺳﺖ ﺑﺎ اﻳﻦ ﻓﺮض ﻛﻪ ﻣﺪﻳﺮ‬ ‫ﺳﻴﺴﺘﻢ‪ ،‬از ﻳﻚ ﭘﺴﻮرد ﺳﺎده اﺳﺘﻔﺎده ﻛﺮده اﺳﺖ‪ .‬ﺣﺪس ﭘﺴﻮرد‪ ،‬ﻳﻚ ﻧﻮع ﺣﻤﻠﻪ ‪ active online‬اﺳﺖ ﻛﻪ ﺑﺮ ﻣﺒﻨﺎي‬ ‫ﻓﺎﻛﺘﻮر اﻧﺴﺎﻧﻲ در اﻳﺠﺎد ﭘﺴﻮرد اﺳﺖ و ﺗﻨﻬﺎ ﺑﺮ روي ﭘﺴﻮردﻫﺎي ﺿﻌﻴﻒ ﻛﺎر ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﻓﺮض ﻛﻨﻴﺪ ﻛﻪ ﭘﻮرت ‪ NetBOIS TCP 139‬ﺑﺎز اﺳﺖ‪ ،‬ﻣﻮﺛﺮﺗﺮﻳﻦ روش ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد در ﺳﻴﺴﺘﻢﻫﺎي‬ ‫وﻳﻨﺪوز ‪ 2000‬و ‪ ،NT‬ﺣﺪس زدن ﭘﺴﻮرد اﺳﺖ‪ .‬اﻳﻦ ﻋﻤﻞ ﺑﺎ اﺗﺼﺎل ﺑﻪ ﭘﻮﺷﻪ ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ ﺷﺪه )‪ IPC$‬ﻳﺎ ‪ (C$‬و‬ ‫ﺗﻼش ﺑﺮاي ﺗﺮﻛﻴﺒﻲ از ﻧﺎم ﻛﺎرﺑﺮي و ﭘﺴﻮرد اﺳﺖ‪ .‬راﻳﺞﺗﺮﻳﻦ ﻧﺎم ﻛﺎرﺑﺮي ﺑﺮاي ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ‪،Administrator ،Admin ،‬‬ ‫‪ Sysadmin‬اﺳﺖ‪.‬‬ ‫ﻫﻜﺮ اﺑﺘﺪا ﺳﻌﻲ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﻪ ﭘﻮﺷﻪﻫﺎﻳﻲ ﻛﻪ ﺑﺼﻮرت ﭘﻴﺶ ﻓﺮض ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ ﺷﺪه اﺳﺖ‪ ،‬وﺻﻞ ﺷﻮد‪.‬‬ ‫ﺑﺮاي اﺗﺼﺎل ﺑﻪ ﭘﻮﺷﻪﻫﺎي ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ ﻣﺨﻔﻲ دراﻳﻮ ‪ ،C‬از دﺳﺘﻮر زﻳﺮ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪:‬‬ ‫‪\\ip_address\c$‬‬ ‫‪72‬‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎﻳﻲ وﺟﻮد دارﻧﺪ ﻛﻪ ﺑﺼﻮرت اﺗﻮﻣﺎﺗﻴﻚ ﻓﺎﻳﻞﻫﺎي دﻳﻜﺸﻨﺮي‪ ،‬ﻟﻴﺴﺖ ﻛﻠﻤﺎت ﻳﺎ ﺗﺮﻛﻴﺒﻲ از ﺣﺮوف‪ ،‬اﻋﺪاد و‬ ‫ﻛﺎراﻛﺘﺮﻫﺎي ﺧﺎص ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﻨﺪ و ﺗﻼش ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﺑﻪ ﺳﻴﺴﺘﻢ وﺻﻞ ﺷﻮﻧﺪ‪ .‬اﻏﻠﺐ ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﺑﺎ اﺳﺘﻔﺎده از ﺗﻨﻈﻴﻢ‬ ‫ﺣﺪاﻛﺜﺮ ﺗﻌﺪاد ﺗﻼش ﺑﺮاي اﺗﺼﺎل ﺑﻪ ﺳﻴﺴﺘﻢ‪ ،‬از اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ ﭘﻴﺸﮕﻴﺮي ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫ﺣﺪس ﭘﺴﻮرد ﺑﻪ ﺻﻮرت اﺗﻮﻣﺎﺗﻴﻚ‬ ‫ﺑﺮاي ﺗﺴﺮﻳﻊ ﺑﺨﺸﺪﻳﻦ ﺑﻪ ﻋﻤﻠﻴﺎت ﺣﺪس ﭘﺴﻮرد‪ ،‬ﻫﻜﺮﻫﺎ از اﺑﺰارﻫﺎي اﺗﻮﻣﺎﺗﻴﻚ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﻳﻚ ﻓﺮآﻳﻨﺪ ﺳﺎده‬ ‫ﺑﺮاي ﺧﻮدﻛﺎرﺳﺎزي ﺣﺪس ﭘﺴﻮرد‪ ،‬اﺳﺘﻔﺎده از اﺑﺰار دﺳﺘﻮري ‪ Windows shell‬اﺳﺖ ﻛﻪ ﻣﺒﺘﻨﻲ ﺑﺮ اﺳﺘﺎﻧﺪارد ‪NET‬‬ ‫‪ USE‬اﺳﺖ‪ .‬ﺑﺮاي ﺳﺎﺧﺖ ﻳﻚ اﺳﻜﺮﻳﭙﺖ ﺳﺎده ﺣﺪس ﭘﺴﻮرد‪ ،‬ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ‪:‬‬ ‫‪ .1‬ﺑﺎ اﺳﺘﻔﺎده از ﺑﺮﻧﺎﻣﻪ ‪ ،Windows Notepad‬ﻳﻚ ﻓﺎﻳﻞ ‪ username‬و ‪ password‬ﺳﺎده ﺑﺴﺎزﻳﺪ‪ .‬اﺑﺰارﻫﺎي‬ ‫ﺧﻮدﻛﺎري از ﻗﺒﻴﻞ ‪ ،Dictionary Generator‬ﺑﺮاي ﺳﺎﺧﺖ ﻟﻴﺴﺖ اﻳﻦ ﻛﻠﻤﺎت وﺟﻮد دارﻧﺪ‪ .‬ﻓﺎﻳﻞ را در ﻣﺴﻴﺮ‬ ‫‪ C: drive as credentials.txt‬ذﺧﻴﺮه ﻛﻨﻴﺪ‪.‬‬ ‫‪ .2‬اﻳﻦ ﻓﺎﻳﻞ را ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮر ‪ pipe ،FOR‬ﻛﻨﻴﺪ‪:‬‬ ‫)‪C:\> FOR /F “token=1, 2*” %i in (credentials.txt‬‬ ‫‪ .3‬دﺳﺘﻮر ‪ net use \\targetIP\IPC$ %i /u: %j‬را ﺗﺎﻳﭗ ﻛﻨﻴﺪ ﺗﺎ از ﻓﺎﻳﻞ ‪ credentials.txt‬اﺳﺘﻔﺎده ﻛﻨﺪ و ﺑﻪ‬ ‫ﭘﻮﺷﻪ ‪ share‬ﺷﺪه ﻣﺨﻔﻲ آن وارد ﺷﻮد‪.‬‬ ‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﺪس ﭘﺴﻮرد‬ ‫ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﺪس و ﺣﻤﻼت ﭘﺴﻮرد‪ ،‬دو ﮔﺰﻳﻨﻪ وﺟﻮد دارد‪ .‬ﻛﺎرتﻫﺎي ﻫﻮﺷﻤﻨﺪ و ﺑﻴﻮﻣﺘﺮﻳﻚ‪ ،‬ﻳﻚ ﻻﻳﻪ اﻣﻨﻴﺘﻲ‬ ‫اﺿﺎﻓﻪ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻣﻤﻜﻦ اﺳﺖ ﻛﺎرﺑﺮي ﺑﺎ اﺳﺘﻔﺎده از ﺑﻴﻮﻣﺘﺮﻳﻚ‪ ،‬اﺣﺮاز ﻫﻮﻳﺖ و ﺷﻨﺎﺳﺎﻳﻲ ﺷﻮد‪ .‬ﺑﻴﻮﻣﺘﺮﻳﻚﻫﺎ از وﻳﮋﮔﻲﻫﺎي‬ ‫ﻓﻴﺰﻳﻜﻲ ﻫﻤﭽﻮن اﺛﺮ اﻧﮕﺸﺖ‪ ،‬اﺳﻜﻦ ﻛﻒ دﺳﺖ‪ ،‬و اﺳﻜﻦ ﻗﺮﻧﻴﻪ ﭼﺸﻢ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻛﺎرﺑﺮان اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫ﻛﺎرتﻫﺎي ﻫﻮﺷﻤﻨﺪ و دﺳﺘﮕﺎهﻫﺎي ﺑﻴﻮﻣﺘﺮﻳﻚ‪ ،‬از دو ﻓﺎﻛﺘﻮر ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﻫﻨﮕﺎم‬ ‫ﺷﻨﺎﺳﺎﻳﻲ ﻛﺎرﺑﺮ‪ ،‬ﺑﻪ دو ﻧﻮع ﺷﻨﺎﺳﺎﻳﻲ ﻧﻴﺎز دارﻧﺪ )ﻣﺜﻼ ﻛﺎرت ﻫﻮﺷﻤﻨﺪ و ﭘﺴﻮرد(‪ .‬ﺑﺎ درﺧﻮاﺳﺖ ﭼﻴﺰي ﻛﻪ ﻛﺎرﺑﺮ ﺑﺼﻮرت‬ ‫ﻓﻴﺰﻳﻜﻲ آن را دارد )ﻣﺜﻼ ﻛﺎرت ﻫﻮﺷﻤﻨﺪ( و ﭼﻴﺰي ﻛﻪ ﻣﻲداﻧﺪ )ﭘﺴﻮردﺷﺎن(‪ ،‬اﻣﻨﻴﺖ اﻓﺰاﻳﺶ ﻣﻲﻳﺎﺑﺪ و ﻓﺮآﻳﻨﺪ اﺣﺮاز‬ ‫ﻫﻮﻳﺖ در ﻣﻘﺎﺑﻞ ﺣﻤﻼت ﭘﺴﻮرد‪ ،‬ﻣﻘﺎوم ﻣﻲﺷﻮد‪.‬‬ ‫‪73‬‬ ‫ﺣﻤﻼت آﻓﻼﻳﻦ‬ ‫ﺣﻤﻼت آﻓﻼﻳﻦ از ﻣﺤﻠﻲ ﺑﻪ ﻏﻴﺮ از ﺟﺎﺋﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ واﻗﻌﻲ ﻗﺮار دارد اﻧﺠﺎم ﻣﻲﺷﻮد‪ .‬ﻣﻌﻤﻮﻻ ﺣﻤﻼت آﻓﻼﻳﻦ ﻧﻴﺎز ﺑﻪ‬ ‫دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ و ﻛﭙﻲ ﻓﺎﻳﻞ ﭘﺴﻮرد از ﺳﻴﺴﺘﻢ ﺑﻪ ﺣﺎﻓﻈﻪ ﺟﺎﻧﺒﻲ دارد‪ .‬ﺳﭙﺲ ﻫﻜﺮ آن ﻓﺎﻳﻞ را ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ‬ ‫دﻳﮕﺮي ﻛﭙﻲ ﻣﻲﻛﻨﺪ ﺗﺎ آن را ﺑﺸﻜﻨﺪ‪ .‬اﻧﻮاع ﻣﺨﺘﻠﻒ از ﺣﻤﻼت آﻓﻼﻳﻦ ﭘﺴﻮرد وﺟﻮد دارد‪ .‬ﺟﺪول زﻳﺮ ﻫﺮ ﻛﺪام از اﻳﻦ‬ ‫ﺣﻤﻼت را ﺗﻮﺿﻴﺢ ﻣﻲدﻫﺪ‪:‬‬ ‫ﻧﻮع ﺣﻤﻠﻪ‬ ‫وﻳﮋﮔﻲﻫﺎ‬ ‫ﻣﺜﺎل‬ ‫‪Dictionary attack‬‬ ‫ﭘﺴﻮردﻫﺎ را از ﻟﻴﺴﺖ ﻛﻠﻤﺎت دﻳﻜﺸﻨﺮي اﺳﺘﻔﺎده ﻛﻨﺪ‬ ‫‪Administrator‬‬ ‫‪Hybrid attack‬‬ ‫ﺑﺮﺧﻲ از ﻋﻼﺋﻢ را ﺑﺎ ﻛﺎراﻛﺘﺮﻫﺎي ﭘﺴﻮرد ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﻛﻨﺪ‬ ‫‪Adm1n1strator‬‬ ‫‪Brute-force attack‬‬ ‫ﺗﻤﺎم ﺗﺮﻛﻴﺒﺎت ﻣﻤﻜﻦ از ﺣﺮوف‪ ،‬اﻋﺪاد‪ ،‬و ﻛﺎراﻛﺘﺮﻫﺎي ﺧﺎص را ﺗﺴﺖ ﻣﻲﻛﻨﺪ‬ ‫‪Ms!tr245@F5a‬‬ ‫ﺣﻤﻠﻪ دﻳﻜﺸﻨﺮي‪ ،‬ﺳﺎدهﺗﺮﻳﻦ و ﺳﺮﻳﻌﺘﺮﻳﻦ ﻧﻮع ﺣﻤﻠﻪ اﺳﺖ‪ .‬ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻮردي ﻛﻪ در دﻳﻜﺸﻨﺮي اﺳﺖ‬ ‫اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬ﻣﻌﻤﻮﻻ‪ ،‬ﻫﻜﺮ از ﻳﻚ ﻓﺎﻳﻞ ﻛﻪ ﺣﺎوي ﺗﻤﺎم ﻛﻠﻤﺎت دﻳﻜﺸﻨﺮي و ‪ hash‬آن ﻛﻠﻤﺎت ﺑﺎ اﺳﺘﻔﺎده از ﻫﻤﺎن‬ ‫اﻟﮕﻮرﻳﺘﻢ اﺳﺖ‪ ،‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﺳﭙﺲ‪ ،‬ﻛﻠﻤﺎت دﻳﻜﺸﻨﺮي ﻛﻪ ‪ hash‬ﺷﺪهاﻧﺪ‪ ،‬ﺑﺎ ﭘﺴﻮردﻫﺎي ‪ hash‬ﺷﺪه در ﻣﺮﺣﻠﻪ‬ ‫ﻻﮔﻴﻦ‪ ،‬ﻣﻘﺎﻳﺴﻪ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺣﻤﻠﻪ دﻳﻜﺸﻨﺮي‪ ،‬ﺗﻨﻬﺎ زﻣﺎﻧﻴﻜﻪ ﭘﺴﻮرد ﻳﻜﻲ از ﻛﻠﻤﺎت دﻳﻜﺸﻨﺮي ﺑﺎﺷﺪ ﻛﺎر ﻣﻲﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪،‬‬ ‫اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ‪ ،‬ﻫﻤﺎن ﻣﺤﺪودﻳﺖﻫﺎ را دارد ﻳﻌﻨﻲ اﮔﺮ ﭘﺴﻮرد ﻗﻮي اﻧﺘﺨﺎب ﺷﺪه ﺑﺎﺷﺪ‪ ،‬ﻛﺎر ﻧﻤﻲﻛﻨﺪ‪ .‬اﮔﺮ ﻫﻜﺮ ﻧﺘﻮاﻧﺪ ﺑﺎ‬ ‫اﺳﺘﻔﺎده از ﺣﻤﻠﻪ دﻳﻜﺸﻨﺮي‪ ،‬ﭘﺴﻮرد را ﭘﻴﺪا ﻛﻨﺪ‪ ،‬در ﻣﺮﺣﻠﻪ ﺑﻌﺪي از ﺣﻤﻠﻪ ‪ hybrid‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﺑﺎ ﻳﻚ‬ ‫ﻓﺎﻳﻞ دﻳﻜﺸﻨﺮي ﻛﻪ ﺑﺮﺧﻲ از ﺣﺮوف آن ﺑﺎ ﻋﻼﺋﻢ ﺟﺎﻳﮕﺰﻳﻦ ﺷﺪه اﺳﺖ‪ ،‬ﺷﺮوع ﻣﻲﺷﻮد‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﺑﺴﻴﺎري از ﻛﺎرﺑﺮان‪ ،‬ﺑﻪ‬ ‫آﺧﺮ ﭘﺴﻮردﻫﺎﻳﺸﺎن‪ ،‬ﻋﺪد ‪ 1‬را اﺿﺎﻓﻪ ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﭘﺴﻮردﺷﺎن ﻗﻮي ﺷﻮد‪.‬‬ ‫زﻣﺎنﮔﻴﺮﺗﺮﻳﻦ ﻧﻮع ﺣﻤﻠﻪ‪ ،‬ﺣﻤﻠﻪ ‪ brute-force‬اﺳﺖ ﻛﻪ ﺗﻤﺎم ﺣﺎﻻت ﻣﺨﺘﻠﻒ را ﺗﺴﺖ ﻣﻲﻛﻨﺪ‪ .‬ﺣﻤﻠﻪ ‪brute-‬‬ ‫‪ ،force‬آﻫﺴﺘﻪﺗﺮﻳﻦ ﻧﻮع ﺣﻤﻠﻪ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺗﻤﺎم ﺗﺮﻛﻴﺒﺎت ﻣﻤﻜﻦ ﺣﺮوف‪ ،‬اﻋﺪاد‪ ،‬و ﻋﻼﺋﻢ را ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎ اﻳﻦ‬ ‫ﺣﺎل‪ ،‬ﻣﻮﺛﺮﺗﺮﻳﻦ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ اﮔﺮ زﻣﺎن ﻛﺎﻓﻲ وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺗﻤﺎم ﭘﺴﻮردﻫﺎ ﻛﺸﻒ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪74‬‬ ‫‪Pre-Computed Hashes‬‬ ‫ﺗﻤﺎم ﻛﻠﻤﺎت را از ﻗﺒﻞ ‪ hash‬ﻣﻲﻛﻨﺪ و در ﭘﺎﻳﮕﺎه داده ذﺧﻴﺮه ﻣﻲﻛﻨﺪ و در زﻣﺎن ﺷﻜﺴﺘﻦ ﭘﺴﻮرد‪ ،‬از اﻳﻦ ﭘﺎﻳﮕﺎه‬ ‫داده ﺑﺮاي ﭘﻴﺪا ﻛﺮدن ﭘﺴﻮرد اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬ذﺧﻴﺮه ﻛﺮدن ‪ ،hash‬ﻧﻴﺎز ﺑﻪ ﻓﻀﺎي ﺣﺎﻓﻈﻪ زﻳﺎدي دارد و زﻣﺎن زﻳﺎدي را‬ ‫ﻣﻲﮔﻴﺮد‪.‬‬ ‫ﺣﻤﻼت ‪Nonelectronic‬‬ ‫ﺣﻤﻼت ﻏﻴﺮ اﻟﻜﺘﺮوﻧﻴﻜﻲ ﻳﺎ ﻏﻴﺮ ﻓﻨﻲ‪ ،‬ﺣﻤﻼﺗﻲ ﻫﺴﺘﻨﺪ ﻛﻪ از ﻫﻴﭻ داﻧﺶ ﻓﻨﻲ اﺳﺘﻔﺎده ﻧﻤﻲﻛﻨﻨﺪ‪ .‬اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ‪،‬‬ ‫ﺷﺎﻣﻞ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎع‪ sniff ،shoulder surfing ،‬ﻛﺮدن ﻛﻴﺒﻮرد‪ ،‬و آﺷﻐﺎل ﮔﺮدي اﺳﺖ‪.‬‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬ﻫﻨﺮ ﺗﻌﺎﻣﻞ ﺑﺎ ﻣﺮدم ﻳﺎ ﺑﻪ ﺻﻮرت رو در رو ﻳﺎ ﺗﻠﻔﻨﻲ ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت ﺑﺎ ارزﺷﻲ‬ ‫ﻫﻤﭽﻮن ﭘﺴﻮردﻫﺎ اﺳﺖ‪ .‬ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬ﺑﺮ ﻣﺒﻨﺎي ذات ﺧﻮب ﻣﺮدم ﻛﻪ دوﺳﺖ دارﻧﺪ ﺑﻪ ﺑﻘﻴﻪ ﻛﻤﻚ ﻛﻨﻨﺪ‪ ،‬اﺳﺘﻮار‬ ‫اﺳﺖ‪ .‬اﻏﻠﺐ اوﻗﺎت‪help desk ،‬ﻫﺎ ﺳﻮژه ﺧﻮﺑﻲ ﺑﺮاي ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ وﻇﻴﻔﻪ آﻧﻬﺎ ﻛﻤﻚ ﺑﻪ دﻳﮕﺮان‬ ‫اﺳﺖ و ﭘﺎك ﻛﺮدن ﻳﺎ رﻳﺴﺖ ﻛﺮدن ﭘﺴﻮرد‪ ،‬ﺟﺰﺋﻲ از وﻇﺎﻳﻒ ﻋﺎدي آﻧﻬﺎﺳﺖ‪ .‬ﺑﻬﺘﺮﻳﻦ روش ﻣﻘﺎﺑﻠﻪ ﺑﺎ اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ‪،‬‬ ‫آﻣﻮزش آﮔﺎﻫﻲ اﻣﻨﻴﺘﻲ ﺑﺮاي ﻫﻤﻪ ﻛﺎرﻛﻨﺎن و ﻓﺮآﻳﻨﺪﻫﺎي اﻣﻨﻴﺘﻲ ﺑﺮاي رﻳﺴﺖ ﻛﺮدن ﭘﺴﻮرد اﺳﺖ‪.‬‬ ‫‪ ،Shoulder surfing‬اﻳﺴﺘﺎدن در ﻛﻨﺎر ﺷﺨﺺ و ﻧﮕﺎه ﻛﺮدن ﺑﻪ ﭘﺴﻮردي اﺳﺖ ﻛﻪ ﺗﺎﻳﭗ ﻣﻲﻛﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ‬ ‫ﻧﺰدﻳﻚ ﻛﺎرﺑﺮ ﻳﺎ ﺳﻴﺴﺘﻢ اﺳﺖ‪ ،‬اﻳﻦ روش ﻣﻮﺛﺮ اﺳﺖ‪ .‬ﺑﻌﻀﻲ ﺻﻔﺤﺎت وﺟﻮد دارﻧﺪ ﻛﻪ ﻧﮕﺎه ﻛﺮدن از ﮔﻮﺷﻪ ﺑﻪ ﻣﺎﻧﻴﺘﻮر را‬ ‫ﺳﺨﺖ ﻣﻲﻛﻨﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﺟﻠﻮي اﻳﻦ ﺣﻤﻠﻪ را ﻣﻲﮔﻴﺮﻧﺪ‪ .‬ﻋﻼوه ﺑﺮ اﻳﻦ‪ ،‬آﻣﻮزش و آﮔﺎﻫﻲ ﭘﺮﺳﻨﻞ‪ ،‬اﺣﺘﻤﺎل اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ را‬ ‫ﻛﺎﻫﺶ ﻣﻲدﻫﺪ‪.‬‬ ‫در آﺷﻐﺎل ﮔﺮدي‪ ،‬ﻫﻜﺮ در زﺑﺎﻟﻪﻫﺎ ﺑﻪ دﻧﺒﺎل اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ ﭘﺴﻮردﻫﺎﻳﻲ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ در ﺗﻜﻪاي ﻛﺎﻏﺬ ﻧﻮﺷﺘﻪ‬ ‫ﺷﻮد ﻣﻲﮔﺮدد‪ .‬ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ اﻳﻦ ﺣﻤﻠﻪ ﻧﻴﺰ آﻣﻮزش و آﮔﺎﻫﻲ ﻛﺎرﺑﺮان ﻣﻲﺗﻮاﻧﺪ ﻫﻜﺮ را از ﻛﺴﺐ اﻃﻼﻋﺎت ﭘﺴﻮردﻫﺎ ﺑﺎ‬ ‫آﺷﻐﺎلﮔﺮدي ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ‪.‬‬ ‫‪75‬‬ ‫وب ﺳﺎﻳﺖﻫﺎﻳﻲ وﺟﻮد دارﻧﺪ ﻛﻪ ﺷﺎﻣﻞ ﭘﺎﻳﮕﺎه دادهﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﭘﺴﻮردﻫﺎي ﭘﻴﺶ ﻓﺮض ﺑﺴﻴﺎري از ﺳﺎزﻧﺪﮔﺎن‬ ‫ﻣﺨﺘﻠﻒ را دارﻧﺪ‪:‬‬ ‫‪http://www.defaultpassword.com‬‬ ‫‪http://www.cirt.net/passwords‬‬ ‫‪http://www.virus.org/default-password‬‬ ‫ﻧﺮماﻓﺰارﻫﺎي ‪ ،PDF Password Cracker‬و ‪ ،Abcom PDF Password Cracker‬ﻗﻔﻞﻫﺎي اﻣﻨﻴﺘﻲ ﻓﺎﻳﻞﻫﺎي‬ ‫‪ PDF‬را ﻣﻲﺷﻜﻨﺪ‪.‬‬ ‫ﺗﻜﻨﻴﻚﻫﺎي ‪keylogger‬ﻫﺎ و ‪spyware‬‬ ‫اﮔﺮ ﻫﻤﻪ ﺗﻼشﻫﺎ ﺑﺮاي ﺟﻤﻊآوري ﭘﺴﻮرد‪ ،‬ﺑﻪ ﺷﻜﺴﺖ ﻣﻨﺠﺮ ﺷﻮد‪ ،‬اﺳﺘﻔﺎده از اﺑﺰار ‪ ،keystroke logger‬اﻧﺘﺨﺎب‬ ‫ﺑﻌﺪي ﻫﻜﺮﻫﺎﺳﺖ‪ ،(keylogger) keystroke logger .‬ﻣﻲﺗﻮاﻧﺪ ﺑﺼﻮرت ﺳﺨﺖاﻓﺰاري ﻳﺎ ﻧﺮماﻓﺰاري اﻧﺠﺎم ﮔﻴﺮد‪.‬‬ ‫‪keystroke logger‬ﻫﺎي ﺳﺨﺖاﻓﺰاري‪ ،‬دﺳﺘﮕﺎهﻫﺎي ﺳﺨﺖاﻓﺰاري ﻛﻮﭼﻜﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺻﻔﺤﻪ ﻛﻠﻴﺪ را ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ وﺻﻞ‬ ‫ﻣﻲﻛﻨﻨﺪ و ﻫﺮ ﻛﻠﻴﺪي ﻛﻪ ﻓﺸﺎر داده ﻣﻲﺷﻮد را داﺧﻞ ﻓﺎﻳﻠﻲ در ﺣﺎﻓﻈﻪ ذﺧﻴﺮه ﻣﻲﻛﻨﻨﺪ‪ .‬ﺑﺮاي ﻧﺼﺐ ﻳﻚ ‪keylogger‬‬ ‫ﺳﺨﺖاﻓﺰاري‪ ،‬ﻫﻜﺮ ﺑﺎﻳﺪ دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﺑﻪ ﺳﻴﺴﺘﻢ داﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬ ‫‪ Keylogger‬ﻧﺮماﻓﺰاري‪ ،‬ﺗﻜﻪاي از ﻧﺮماﻓﺰار ﺳﺮﻗﺖ اﺳﺖ ﻛﻪ ﺑﻴﻦ ﺳﺨﺖاﻓﺰار ﺻﻔﺤﻪ ﻛﻠﻴﺪ و ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻗﺮار‬ ‫ﻣﻲﮔﻴﺮد ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ ﻫﺮ ﺿﺮﺑﻪ ﻛﻠﻴﺪ را ﺛﺒﺖ ﻛﻨﻨﺪ‪Keylogger .‬ﻫﺎي ﻧﺮماﻓﺰاري ﺗﻮﺳﻂ ﺗﺮوﺟﺎنﻫﺎ ﻳﺎ وﻳﺮوسﻫﺎ‬ ‫ﺗﻮﺳﻌﻪ ﻣﻲﻳﺎﺑﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Spector‬ﻳﻚ ﻧﺮماﻓﺰار ﺟﺎﺳﻮﺳﻲ )‪ (spyware‬اﺳﺖ ﻛﻪ ﺗﻤﺎم ﻛﺎرﻫﺎﻳﻲ ﻛﻪ در اﻳﻨﺘﺮﻧﺖ اﻧﺠﺎم ﻣﻲﺷﻮد را ﻣﺜﻞ دورﺑﻴﻦ‬ ‫ﺿﺒﻂ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار‪ ،‬ﺑﺼﻮرت ﺧﻮدﻛﺎر در ﻫﺮ ﺳﺎﻋﺖ‪ ،‬ﺻﺪﻫﺎ ﻋﻜﺲ از ﺻﻔﺤﻪ ﻣﺎﻧﻴﺘﻮر ﻣﻲﮔﻴﺮد و آﻧﻬﺎ را در ﻣﻜﺎﻧﻲ‬ ‫ﻣﺨﻔﻲ روي ﻫﺎرد ﺳﻴﺴﺘﻢ ذﺧﻴﺮه ﻣﻲﻛﻨﺪ‪ Anti-spector .‬ﻣﻲﺗﻮاﻧﺪ اﻳﻦ ﻧﺮماﻓﺰار را ﺗﺸﺨﻴﺺ دﻫﺪ و آن را ﺣﺬف ﻛﻨﺪ‪.‬‬ ‫‪76‬‬ ‫‪ ،eBlaster‬ﻧﺮماﻓﺰار ﺟﺎﺳﻮﺳﻲ اﻳﻨﺘﺮﻧﺘﻲ اﺳﺖ ﻛﻪ اﻳﻤﻴﻞﻫﺎي ورودي و ﺧﺮوﺟﻲ را درﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ و ﺑﻼﻓﺎﺻﻠﻪ آﻧﻬﺎ را ﺑﻪ‬ ‫آدرس اﻳﻤﻴﻞ دﻳﮕﺮي ﻓﺮوارد ﻣﻲﻛﻨﺪ‪ ،eBloster .‬ﻣﻲﺗﻮاﻧﺪ ﻫﺮ دو ﻃﺮف ﻳﻚ ﻣﻜﺎﻟﻤﻪ ﻣﺴﻨﺠﺮ را ﺑﮕﻴﺮد و آﻧﻬﺎ را ﺿﺒﻂ ﻛﻨﺪ‬ ‫و ﻫﻤﭽﻨﻴﻦ وب ﺳﺎﻳﺖﻫﺎي ﻣﺸﺎﻫﺪه ﺷﺪه را ﺛﺒﺖ ﻛﻨﺪ‪.‬‬ ‫‪ ،SpyAnywhere‬اﺑﺰاري اﺳﺖ ﻛﻪ ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲدﻫﺪ ﻓﻌﺎﻟﻴﺖ ﺳﻴﺴﺘﻢ و اﻋﻤﺎل ﻛﺎرﺑﺮ را ﺑﺒﻴﻨﻴﺪ‪ ،‬ﺳﻴﺴﺘﻢ را ﺧﺎﻣﻮش‪،‬‬ ‫رﻳﺴﺘﺎرت ﻛﻨﻴﺪ و ﺣﺘﻲ ﻓﺎﻳﻞ ﺳﻴﺴﺘﻢ راه دور را ﺑﺒﻴﻨﻴﺪ‪ ،SpyAnywhere .‬ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲدﻫﺪ ﺑﺮﻧﺎﻣﻪﻫﺎ و ﭘﻨﺠﺮهﻫﺎي‬ ‫ﺑﺎز را روي ﺳﻴﺴﺘﻢ راه دور ﻛﻨﺘﺮل ﻛﻨﻴﺪ و ‪ history‬اﻳﻨﺘﺮﻧﺘﻲ و اﻃﻼﻋﺎت ﻣﺮﺑﻮﻃﻪ را ﺑﺒﻴﻨﻴﺪ‪.‬‬ ‫‪ ،Fearless Key Logger‬ﺗﺮوﺟﺎﻧﻲ اﺳﺖ ﻛﻪ در ﺣﺎﻓﻈﻪ ﺑﺎﻗﻲ ﻣﻲﻣﺎﻧﺪ ﺗﺎ ﺗﻤﺎم ﺿﺮﺑﺎت ﻛﻠﻴﺪ ﻛﺎرﺑﺮ را ﺑﺪﺳﺖ آورد‪.‬‬ ‫ﻛﻠﻴﺪﻫﺎي زده ﺷﺪه‪ ،‬در ﻓﺎﻳﻞ ‪ log‬ذﺧﻴﺮه ﻣﻲﺷﻮﻧﺪ و ﻣﻲﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﻫﻜﺮ ﺑﺎزﻳﺎﺑﻲ ﺷﻮد‪.‬‬ ‫‪ ،E-mail Keylogger‬ﺗﻤﺎم اﻳﻤﻴﻞﻫﺎي ﻓﺮﺳﺘﺎده و درﻳﺎﻓﺖ ﺷﺪه روي ﺳﻴﺴﺘﻢ ﻫﺪف را ﺛﺒﺖ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻤﻴﻞﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ‬ ‫ﺗﻮﺳﻂ ارﺳﺎلﻛﻨﻨﺪه‪ ،‬درﻳﺎﻓﺖﻛﻨﻨﺪه‪ ،‬ﻣﻮﺿﻮع‪ ،‬و ﺗﺎرﻳﺦ‪/‬ﺳﺎﻋﺖ ﻣﺸﺎﻫﺪه ﺷﻮﻧﺪ‪ .‬ﻣﺤﺘﻮاي اﻳﻤﻴﻞ و ﻫﺮ ﺿﻤﻴﻤﻪ دﻳﮕﺮ‪ ،‬ﺿﺒﻂ‬ ‫ﻣﻲﺷﻮد‪.‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از ﻧﺮم اﻓﺰارﻫﺎي ‪ Keylogger‬ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪Revealer Keylogger‬‬ ‫‪Handy Key Logger‬‬ ‫‪Ardamax Keylogger‬‬ ‫‪Powered Keylogger‬‬ ‫‪ELITE Keylogger‬‬ ‫‪Quick Keylogger‬‬ ‫‪Spy-Keylogger‬‬ ‫‪Perferct Keylogger‬‬ ‫‪Invisible Keylogger‬‬ ‫‪Actual Spy‬‬ ‫‪Spytector FTP Keylogger‬‬ ‫‪IKS Software Keylogger‬‬ ‫‪Ghost Keylogger‬‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫دﺳﺘﺮﺳﻲﻫﺎي ﺿﺮوري‬ ‫اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ‪ ،‬ﺳﻮﻣﻴﻦ ﻣﺮﺣﻠﻪ در ﭼﺮﺧﻪ ﻫﻚ اﺳﺖ‪ .‬اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ‪ ،‬ﺑﻪ اﻳﻦ ﻣﻌﻨﺎﺳﺖ ﻛﻪ‬ ‫ﻣﺠﻮزﻫﺎ و ﺣﻘﻮق ﻳﻚ ﺣﺴﺎب ﻛﺎرﺑﺮي اﻓﺰاﻳﺶ ﻳﺎﺑﺪ‪ .‬در واﻗﻊ‪ ،‬اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ‪ ،‬ﺑﻪ ﻣﻌﻨﺎي اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ‬ ‫ﻳﻚ ﺣﺴﺎب ﻛﺎرﺑﺮي ﺑﻪ اﻧﺪازه ﺣﺴﺎب ﻣﺪﻳﺮ اﺳﺖ‪.‬‬ ‫‪77‬‬ ‫ﺑﻄﻮر ﻛﻠﻲ‪ ،‬ﺣﺴﺎبﻫﺎي ﻣﺪﻳﺮ‪ ،‬ﺑﺎﻳﺪ داراي ﭘﺴﻮردﻫﺎي ﻗﻮيﺗﺮ ﺑﺎﺷﻨﺪ‪ .‬اﮔﺮ ﻫﻜﺮ ﻧﺘﻮاﻧﺪ ﻧﺎم ﻛﺎرﺑﺮي و ﭘﺴﻮرد ﻣﺪﻳﺮ‬ ‫ﺳﻴﺴﺘﻢ را ﭘﻴﺪا ﻛﻨﺪ‪ ،‬ﺑﻪ دﻧﺒﺎل ﺣﺴﺎﺑﻲ ﺑﺎ دﺳﺘﺮﺳﻲ ﭘﺎﻳﻴﻦﺗﺮي ﻣﻲﮔﺮدد و در اﻳﻦ ﺣﺎﻟﺖ‪ ،‬ﻫﻜﺮ ﺑﻪ دﻧﺒﺎل اﻓﺰاﻳﺶ ﺳﻄﺢ‬ ‫دﺳﺘﺮﺳﻲ اﻳﻦ ﺣﺴﺎب اﺳﺖ‪.‬‬ ‫زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ اﻛﺎﻧﺖ و ﭘﺴﻮرد ﻣﻌﺘﺒﺮي را ﺑﺪﺳﺖ آورد‪ ،‬در ﻣﺮﺣﻠﻪ ﺑﻌﺪي ﺑﻪ دﻧﺒﺎل اﺟﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎي اﺳﺖ‪ .‬ﺑﻄﻮر‬ ‫ﻛﻠﻲ‪ ،‬ﻫﻜﺮ ﻧﻴﺎز دارد ﻛﻪ ﺣﺴﺎﺑﻲ ﺑﺎ دﺳﺘﺮﺳﻲ ‪ administrator‬داﺷﺘﻪ ﺑﺎﺷﺪ ﺗﺎ ﺑﺘﻮاﻧﺪ ﺑﺮﻧﺎﻣﻪﻫﺎ را ﻧﺼﺐ ﻛﻨﺪ و ﺑﻪ ﻫﻤﻴﻦ‬ ‫ﺧﺎﻃﺮ‪ ،‬اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ‪ ،‬ﺑﺴﻴﺎر ﻣﻬﻢ اﺳﺖ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،GetAdmin.exe‬ﺑﺮﻧﺎﻣﻪ ﻛﻮﭼﻜﻲ اﺳﺖ ﻛﻪ ﻛﺎرﺑﺮي را ﺑﻪ ﮔﺮوه ‪ administrator‬اﺿﺎﻓﻪ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﺑﺮﻧﺎﻣﻪ از ﻫﺴﺘﻪ‬ ‫ﺳﻄﺢ ﭘﺎﻳﻴﻦ ‪ NT‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﻪ ﭘﺮدازشﻫﺎي در ﺣﺎل اﺟﺮا دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ‪ .‬ﺑﺮاي اﺟﺮاي ﺑﺮﻧﺎﻣﻪ‪ ،‬ورود ﺑﻪ‬ ‫ﻛﻨﺴﻮل ﺳﺮور ﺿﺮوري اﺳﺖ‪ ،GetAdmin.exe .‬از ﻃﺮﻳﻖ دﺳﺘﻮر ﻳﺎ ﻣﺮوﮔﺮ اﺟﺮا ﻣﻲﺷﻮد‪ .‬ﺗﻨﻬﺎ ﺑﺮ روي ‪Windows NT‬‬ ‫‪ 4.0 SP3‬ﻛﺎر ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺑﺎ اﺳﺘﻔﺎده از ﺑﺮﻧﺎﻣﻪ ‪ ،HK.exe‬ﻣﻲﺗﻮاﻧﻴﺪ ﻛﺎرﺑﺮي ﻛﻪ ‪ admin‬ﻧﻴﺴﺖ ﺑﻪ ﮔﺮوه ‪ administrator‬اﺿﺎﻓﻪ ﻛﻨﻴﺪ‪.‬‬ ‫‪ ،Active@ Password Changer‬ﺑﺮاي رﻳﺴﺖ ﻛﺮدن ﭘﺴﻮرد ﺣﺴﺎب ‪ administrator‬ﺑﺼﻮرت ‪ local‬اﺳﺖ‪.‬‬ ‫اﺑﺰار ‪ ،x.exe‬زﻣﺎﻧﻴﻜﻪ ﺑﺮ روي ﺳﻴﺴﺘﻢ راه دور اﺟﺮا ﻣﻲﺷﻮد‪ ،‬ﻛﺎرﺑﺮي ﺑﺎ ﻧﺎم ‪ X‬و ﭘﺴﻮرد ‪ X‬ﻣﻲﺳﺎزد و آن را ﻋﻀﻮ ﮔﺮوه‬ ‫‪ administrator‬ﻣﻲﻛﻨﺪ‪.‬‬ ‫اﺟﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎ‬ ‫زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺗﻮاﻧﺴﺖ ﺑﻪ ﺣﺴﺎﺑﻲ ﺑﺎ ﺳﻄﺢ دﺳﺘﺮﺳﻲ ‪ ،administrator‬دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ‪ ،‬ﻣﺮﺣﻠﻪ ﺑﻌﺪي ﻛﻪ اﻧﺠﺎم‬ ‫ﻣﻲدﻫﺪ اﻳﻦ اﺳﺖ ﻛﻪ ﺑﺮﻧﺎﻣﻪﻫﺎ را روي ﺳﻴﺴﺘﻢ ﻫﺪف اﺟﺮا ﻛﻨﺪ‪ .‬ﻣﻤﻜﻦ اﺳﺖ ﻫﺪف اﺟﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬ﻧﺼﺐ ‪back door‬‬ ‫)در ﭘﺸﺘﻲ( روي ﺳﻴﺴﺘﻢ‪ ،‬ﻧﺼﺐ ﻳﻚ ‪ keystroke logger‬ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ‪ ،‬ﻛﭙﻲ ﻓﺎﻳﻞﻫﺎ‪ ،‬ﻳﺎ ﻓﻘﻂ ﺑﺮاي‬ ‫آﺳﻴﺐ رﺳﺎﻧﺪن ﺑﻪ ﺳﻴﺴﺘﻢ ﺑﺎﺷﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺗﻮاﻧﺴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎ را اﺟﺮا ﻛﻨﺪ‪ ،‬ﻣﺎﻟﻚ ﺳﻴﺴﺘﻢ ﻣﻲﺷﻮد‪.‬‬ ‫‪78‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،PsExec‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ﺑﻪ ﺳﻴﺴﺘﻢ راه دور ﻣﺘﺼﻞ ﻣﻲﺷﻮد و ﻓﺎﻳﻞﻫﺎ را اﺟﺮا ﻣﻲﻛﻨﺪ‪ .‬ﻧﻴﺎزي ﺑﻪ ﻧﺼﺐ ﺑﺮﻧﺎﻣﻪ روي‬ ‫ﺳﻴﺴﺘﻢ راه دور ﻧﻴﺴﺖ‪.‬‬ ‫‪ ،Remoxec‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از ﺳﺮوﻳﺲ ‪ RPC‬ﻳﺎ ‪ DCOM‬ﻛﺎر ﻣﻲﻛﻨﺪ‪ .‬ﻣﺪﻳﺮاﻧﻲ ﻛﻪ ﭘﺴﻮرد ﺿﻌﻴﻒ دارﻧﺪ‬ ‫ﻣﻤﻜﻦ اﺳﺖ از ﻃﺮﻳﻖ ‪ Task Scheduler‬ﻳﺎ ‪ DCOM‬ﻣﻮرد ﺳﻮ اﺳﺘﻔﺎده ﻗﺮار ﮔﻴﺮﻧﺪ‪.‬‬ ‫‪ ،Alchemy Remote Executer‬اﺑﺰار ﻣﺪﻳﺮﻳﺘﻲ ﺑﺮاي ﻣﺪﻳﺮان اﺳﺖ ﻛﻪ ﺑﺘﻮاﻧﻨﺪ ﺑﺮﻧﺎﻣﻪﻫﺎ را روي ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي ﺷﺒﻜﻪ از‬ ‫راه دور اﺟﺮا ﻛﻨﻨﺪ‪.‬‬ ‫‪ ،Esma FlexInfo Pro‬اﺑﺰاري ﺑﺮاي ﻧﻤﺎﻳﺶ اﻃﻼﻋﺎت و ﺗﻨﻈﻴﻤﺎت ﺳﻴﺴﺘﻢﻫﺎ اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ اﺑﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن ﮔﺮاف‬ ‫‪ ،CPU usage‬ﻣﺎﻧﻴﺘﻮر ﭘﻬﻨﺎي ﺑﺎﻧﺪ و ‪ ...‬اﺳﺖ‪.‬‬ ‫‪Buffer Overflows‬‬ ‫‪) Buffer overflows‬ﺳﺮرﻳﺰي ﺑﺎﻓﺮ(‪ ،‬ﺗﻼش ﻫﻜﺮ ﺑﺮاي ﺳﻮ اﺳﺘﻔﺎده از ﻋﻴﺐ ﻳﻚ ﺑﺮﻧﺎﻣﻪ اﺳﺖ‪ .‬در اﺻﻞ‪ ،‬ﺣﻤﻠﻪ‬ ‫ﺳﺮرﻳﺰي ﺑﺎﻓﺮ‪ ،‬اﻃﻼﻋﺎت ﺑﺴﻴﺎر زﻳﺎدي را ﺑﻪ ﻳﻚ ﻓﻴﻠﺪ ﻣﺘﻐﻴﺮ در ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻣﻲﻓﺮﺳﺘﺪ ﻛﻪ ﻣﻨﺠﺮ ﺑﻪ ﺧﻄﺎي ﺑﺮﻧﺎﻣﻪ ﻣﻲﺷﻮد‪.‬‬ ‫اﻏﻠﺐ اوﻗﺎت‪ ،‬ﺑﺮﻧﺎﻣﻪ ﻧﻤﻲداﻧﺪ ﻛﻪ در اﻳﻦ ﺣﺎﻟﺖ ﭼﻴﻜﺎر ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻳﺎ دﺳﺘﻮرات را اﺟﺮا ﻣﻲﻛﻨﺪ ﻳﺎ دﺳﺘﻮر را رد ﻣﻲﻛﻨﺪ و‬ ‫ﺑﻪ ﻛﺎرﺑﺮ اﺟﺎزه ﻣﻲدﻫﺪ ﻛﻪ دﺳﺘﻮر ﺑﻌﺪي را وارد ﻛﻨﺪ‪ .‬ﺑﺮاي ﻫﻜﺮ‪ cmd ،‬ﻳﺎ ‪ ،shell‬ﻛﻠﻴﺪ اﺟﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎي دﻳﮕﺮ اﺳﺖ‪.‬‬ ‫‪ Rootkit‬ﻫﺎ‬ ‫‪ ،Rootkit‬ﻧﻮﻋﻲ ﺑﺮﻧﺎﻣﻪ اﺳﺖ ﻛﻪ اﻏﻠﺐ ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن ﺑﺮﻧﺎﻣﻪﻫﺎ روي ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ ﺑﻪ ﻛﺎر ﻣﻲرود‪.‬‬ ‫‪Rootkit‬ﻫﺎ ﺷﺎﻣﻞ ‪ backdoor‬ﻫﺴﺘﻨﺪ ﺗﺎ ﺑﻪ ﻫﻜﺮ ﻛﻤﻚ ﻛﻨﺪ ﺑﻄﻮر ﻣﺘﻮاﻟﻲ و راﺣﺖ ﺑﻪ ﺳﻴﺴﺘﻢ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ‪.‬‬ ‫ﻫﻤﭽﻨﻴﻦ ﻳﻚ ‪ backdoor‬ﻣﻤﻜﻦ اﺳﺖ اﺟﺎزه ﺷﺮوع ﭘﺮدازشﻫﺎ را ﺗﻮﺳﻂ ﻳﻚ ﺣﺴﺎب ﻣﺤﺪود ﺑﺪﻫﺪ‪ ،Rootkit .‬ﺑﻄﻮر‬ ‫ﭘﻴﻮﺳﺘﻪ ﺗﻮﺳﻂ ﺑﺮﻧﺎﻣﻪﻧﻮﻳﺲ ‪ rootkit‬ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲﮔﻴﺮد ﺗﺎ ﺑﺘﻮاﻧﻨﺪ ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي و اﻃﻼﻋﺎت ﻻﮔﻴﻦ ﺳﺎﻳﺖﻫﺎﻳﻲ‬ ‫ﻛﻪ ﺑﻪ آﻧﻬﺎ ﻧﻴﺎز دارﻧﺪ را ﺑﺒﻴﻨﺪ و دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﻨﺪ‪.‬‬ ‫‪79‬‬ ‫ﭼﻨﺪﻳﻦ ﻧﻮع ‪ rootkit‬وﺟﻮد دارﻧﺪ ﻛﻪ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪ :Kernel-level rootkits‬اﻳﻦ دﺳﺘﻪ از ‪rootkit‬ﻫﺎ‪ ،‬ﻛﺪي را ﺑﻪ ﻗﺴﻤﺘﻲ از ﻛﺪ ﻫﺴﺘﻪ اﺿﺎﻓﻪ ﻣﻲﻛﻨﻨﺪ ﻳﺎ آن را ﺟﺎﻳﮕﺰﻳﻦ‬ ‫ﻣﻲﻛﻨﻨﺪ ﺗﺎ ‪ doorback‬را روي ﺳﻴﺴﺘﻢ‪ ،‬ﻣﺨﻔﻲ ﻧﮕﻪ دارﻧﺪ‪ .‬ﻣﻌﻤﻮﻻ ﻛﺪ ﺟﺪﻳﺪي را از ﻃﺮﻳﻖ دراﻳﻮر دﺳﺘﮕﺎه ﻳﺎ ﻣﺎژولﻫﺎ ﺑﻪ‬ ‫ﻛﺮﻧﻞ اﺿﺎﻓﻪ ﻣﻲﻛﻨﻨﺪ‪Kernel-level rootkit .‬ﻫﺎ‪ ،‬ﺑﺴﻴﺎر ﺧﻄﺮﻧﺎك ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺪون اﺳﺘﻔﺎده از ﻧﺮماﻓﺰار ﻣﻨﺎﺳﺐ‪،‬‬ ‫ﺷﻨﺎﺳﺎﻳﻲ آﻧﻬﺎ ﺑﺴﻴﺎر ﺳﺨﺖﺗﺮ اﺳﺖ‪.‬‬ ‫‪ :Library-level rootkits‬اﻳﻦ دﺳﺘﻪ از ‪rootkit‬ﻫﺎ‪ ،‬ﻓﺮاﺧﻮاﻧﻲ ﺳﻴﺴﺘﻢ )‪ (library‬را ﺑﺎ ﻧﺴﺨﻪاي دﻳﮕﺮ ﻛﻪ اﻃﻼﻋﺎت‬ ‫ﻫﻜﺮ را ﻣﺨﻔﻲ ﻣﻲﻛﻨﺪ‪ ،‬ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫‪ :Application-level rootkits‬اﻳﻦ دﺳﺘﻪ از ‪rootkit‬ﻫﺎ‪ ،‬ﺑﻴﺖﻫﺎي ﺑﺎﻳﻨﺮي ﺑﺮﻧﺎﻣﻪﻫﺎ را ﺑﺎ ﺗﺮوﺟﺎنﻫﺎ ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﻛﻨﺪ‬ ‫ﻳﺎ ﻣﻤﻜﻦ اﺳﺖ ﻛﻪ رﻓﺘﺎر ﺑﺮﻧﺎﻣﻪ ﻣﻮﺟﻮد را از ﻃﺮﻳﻖ ‪patch‬ﻫﺎ‪ ،‬ﻛﺪﻫﺎي ﺗﺰﻳﻖ ﺷﺪه‪ ،‬ﻳﺎ اﺑﺰارﻫﺎي دﻳﮕﺮ‪ ،‬ﺗﻐﻴﻴﺮ دﻫﺪ‪.‬‬ ‫ﻧﺼﺐ ‪Rootkit‬ﻫﺎ ﺑﺮ روي ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي وﻳﻨﺪوز ‪ 2000‬و ‪XP‬‬ ‫‪ ،Windows NT/2000 rootkit‬ﺑﻄﻮر اﺗﻮﻣﺎﺗﻴﻚ ﻫﻨﮕﺎه اﺟﺮاي وﻳﻨﺪوز‪ ،‬ﺑﺎرﮔﺬاري ﻣﻲﺷﻮد‪ ،Rootkit .‬ﺑﺎ دﺳﺘﺮﺳﻲ‬ ‫ﺳﻴﺴﺘﻤﻲ در ﻫﺴﺘﻪ ‪ NT kernel‬ﻛﺎر ﻣﻲﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﺑﻪ ﻫﻤﻪ ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ دﺳﺘﺮﺳﻲ دارد‪ Rootkit .‬ﻣﻲﺗﻮاﻧﺪ‬ ‫ﭘﺮدازشﻫﺎ را ﻣﺨﻔﻲ ﻛﻨﺪ‪ ،‬ﻓﺎﻳﻞﻫﺎ را ﻣﺨﻔﻲ ﻛﻨﺪ‪ ،‬ﻣﻘﺎدﻳﺮ رﺟﻴﺴﺘﺮي را ﻣﺨﻔﻲ ﻛﻨﺪ‪ ،‬وﻗﻔﻪ اﻳﺠﺎد ﻛﻨﺪ ﺗﺎ ‪blue scrren‬‬ ‫ﻇﺎﻫﺮ ﺷﻮد‪ ،‬و ﻓﺎﻳﻞ ﻫﺎي ‪ EXE‬را ﺗﻐﻴﻴﺮ ﻣﺴﻴﺮ دﻫﺪ‪.‬‬ ‫‪ ،Rootkit‬ﺷﺎﻣﻞ ﻳﻚ ‪ kernel mode device driver‬ﻛﻪ ‪ _root_.sys‬ﻧﺎم دارد و ﻳﻚ ﺑﺮﻧﺎﻣﻪ اﺟﺮا ﻛﻨﻨﺪه ﻛﻪ‬ ‫‪ DEPLOY.EXE‬ﻧﺎم دارد‪ ،‬اﺳﺖ‪ .‬ﭘﺲ از اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف‪ ،‬ﻫﻜﺮ‪ _root_.sys ،‬و ‪ DEPLOY.EXE‬را‬ ‫از ﺳﻴﺴﺘﻢ ﻫﺪف ﻛﭙﻲ ﻣﻲﻛﻨﺪ و ‪ DEPLOY.EXE‬را اﺟﺮا ﻣﻲﻛﻨﺪ‪ .‬ﺳﭙﺲ دراﻳﻮر دﺳﺘﮕﺎه ‪ rootkit‬را ﻧﺼﺐ و ﺷﺮوع‬ ‫ﻣﻲﻛﻨﺪ‪ .‬ﺳﭙﺲ ‪ DEPLOY.EXE‬را از ﺳﻴﺴﺘﻢ ﻫﺪف ﺣﺬف ﻣﻲﻛﻨﺪ‪ .‬ﺳﭙﺲ‪ ،‬ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮر _‪ net stop _root‬و‬ ‫_‪ rootkit ،net start _root‬را ‪ stop‬و ﺳﭙﺲ ‪ restart‬ﻣﻲﻛﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ‪ rootkit‬ﺷﺮوع ﺑﻪ ﻛﺎر ﻛﺮد‪ ،‬ﻓﺎﻳﻞ ‪_root_.sys‬‬ ‫دﻳﮕﺮ در ﻟﻴﺴﺖ داﻳﺮﻛﺘﻮري ﻇﺎﻫﺮ ﻧﻤﻲﺷﻮد‪.‬‬ ‫‪80‬‬ ‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪rootkit‬ﻫﺎ‬ ‫ﺗﻤﺎم ‪rootkit‬ﻫﺎ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف‪ ،‬ﻧﻴﺎز ﺑﻪ دﺳﺘﺮﺳﻲ ‪ administrator‬دارﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬اﻣﻨﻴﺖ‬ ‫ﭘﺴﻮرد از اﻫﻤﻴﺖ ﺑﺎﻻﻳﻲ ﺑﺮﺧﻮردار اﺳﺖ‪ .‬اﮔﺮ ﺷﻤﺎ ﻳﻚ ‪ rootkit‬را ﺷﻨﺎﺳﺎﻳﻲ ﻛﺮدﻳﺪ‪ ،‬ﺗﻮﺻﻴﻪ ﻣﻲﺷﻮد ﻛﻪ از اﻃﻼﻋﺎت‬ ‫ﺣﻴﺎﺗﻲ ﭘﺸﺘﻴﺒﺎن ﺗﻬﻴﻪ ﻛﻨﻴﺪ و ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و ﺑﺮﻧﺎﻣﻪﻫﺎ را دوﺑﺎره از ﻣﻨﺒﻊ ﻗﺎﺑﻞ اﻋﺘﻤﺎد ﻧﺼﺐ ﻛﻨﻴﺪ‪.‬‬ ‫روش دﻳﮕﺮ اﻳﻦ اﺳﺖ ﻛﻪ از اﺑﺰار ‪ MD5 checksum‬اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪ .‬ﺑﺮاي ﻳﻚ ﻓﺎﻳﻞ‪128 ،MD5 checksum ،‬‬ ‫ﺑﻴﺖ اﺳﺖ‪ .‬اﮔﺮ ﻳﻜﻲ از ﺑﻴﺖﻫﺎي ﻳﻚ ﻓﺎﻳﻞ ﺗﻐﻴﻴﺮ ﻛﻨﺪ‪ ،‬ﻣﻘﺪار ‪ checksum‬در اﻳﻦ اﻟﮕﻮرﻳﺘﻢ ﻣﺘﻔﺎوت ﺧﻮاﻫﺪ ﺑﻮد‪ .‬اﻳﻦ‬ ‫ﻗﺎﺑﻠﻴﺖ ﺑﺮاي ﻣﻘﺎﻳﺴﻪ ﻓﺎﻳﻞﻫﺎ و ﻣﻄﻤﺌﻦ ﺷﺪن از ﻳﻜﭙﺎرﭼﮕﻲ آﻧﻬﺎ‪ ،‬ﻣﻔﻴﺪ اﺳﺖ‪ .‬ﻗﺎﺑﻠﻴﺖ ﺧﻮب دﻳﮕﺮ‪ ،‬ﻃﻮل ﺛﺎﺑﺖ ‪checksum‬‬ ‫اﺳﺖ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Tripwire‬ﺑﺮﻧﺎﻣﻪ ﺑﺮرﺳﻲ ﻳﻜﭙﺎرﭼﮕﻲ ﻓﺎﻳﻞ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎي ﻳﻮﻧﻴﻜﺲ و ﻟﻴﻨﻮﻛﺲ اﺳﺖ‪ .‬ﻋﻼوه ﺑﺮ ﺑﺮرﺳﻲ‬ ‫‪ checksum‬ﺑﺮ روي ﻓﺎﻳﻞﻫﺎ و داﻳﺮﻛﺘﻮريﻫﺎ‪ ،Tripwire ،‬داراي اﻃﻼﻋﺎﺗﻲ اﺳﺖ ﻛﻪ ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲدﻫﺪ ﻣﺠﻮزﻫﺎي‬ ‫دﺳﺘﺮﺳﻲ و ﺗﻨﻈﻴﻤﺎت ﻓﺎﻳﻞ‪ ،‬ﻧﺎم ﻛﺎرﺑﺮي ﻣﺎﻟﻚ‪ ،‬ﺗﺎرﻳﺦ و ﺳﺎﻋﺖ آﺧﺮﻳﻦ دﺳﺘﺮﺳﻲ ﺑﻪ آن‪ ،‬و آﺧﺮﻳﻦ اﺻﻼح آن را ﺑﺮرﺳﻲ‬ ‫ﻛﻨﻴﺪ‪.‬‬ ‫ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞﻫﺎ‬ ‫ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮي ﺑﺨﻮاﻫﺪ ﻛﻪ ﻓﺎﻳﻠﻲ را ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻣﺨﻔﻲ ﻛﻨﺪ ﺗﺎ از ﺷﻨﺎﺳﺎﻳﻲ در اﻣﺎن ﺑﻤﺎﻧﺪ‪ .‬ﺳﭙﺲ از اﻳﻦ‬ ‫ﻓﺎﻳﻞﻫﺎ ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬در وﻳﻨﺪوز‪ ،‬دو روش ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞﻫﺎ وﺟﻮد دارد‪ .‬اوﻟﻴﻦ روش‪،‬‬ ‫اﺳﺘﻔﺎده از دﺳﺘﻮر ‪ attrib‬اﺳﺖ‪ .‬ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞ ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮر ‪ ،attrib‬دﺳﺘﻮر زﻳﺮ را ﺗﺎﻳﭗ ﻛﻨﻴﺪ‪:‬‬ ‫]‪Attrib +h [file/directory‬‬ ‫دوﻣﻴﻦ روش ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞ در وﻳﻨﺪوز‪ ،‬ﺑﺎ اﺳﺘﻔﺎده از ﺧﺎﺻﻴﺖ ‪ NTFS data streaming‬اﺳﺖ‪ .‬ﺳﻴﺴﺘﻢ‬ ‫ﻓﺎﻳﻞ ‪ ،NTFS‬داراي ﻗﺎﺑﻠﻴﺘﻲ اﺳﺖ ﻛﻪ ‪ alternate data streams‬ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد ﻛﻪ دادهﻫﺎ را داﺧﻞ ﻓﺎﻳﻞ دﻳﮕﺮي ﻛﻪ‬ ‫ﻗﺎﺑﻞ روﻳﺖ اﺳﺖ‪ ،‬ﻣﺨﻔﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺑﻴﺸﺘﺮ از ﻳﻚ ﻓﺎﻳﻞ را ﻣﻲﺗﻮان ﺑﻪ ﻓﺎﻳﻞ اﺻﻠﻲ ﻟﻴﻨﻚ ﻛﺮد و ﻧﻴﺰ ﻣﺤﺪودﻳﺖ اﻧﺪازه ﻧﺪارد‪.‬‬ ‫‪81‬‬ ‫‪NTFS File Streaming‬‬ ‫ﺑﺮاي ﺳﺎﺧﺖ و ﺗﺴﺖ ‪ ،NTFS file stream‬ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ‪:‬‬ ‫‪ .1‬در ‪ ،cmd‬دﺳﺘﻮر ‪ noepad test.txt‬را ﺗﺎﻳﭗ ﻛﻨﻴﺪ‪.‬‬ ‫‪ .2‬ﻓﺎﻳﻞ را ﺑﺎ اﻃﻼﻋﺎﺗﻲ ﭘﺮ ﻛﻨﻴﺪ و ﺳﭙﺲ آن را ﺑﺒﻨﺪﻳﺪ‪.‬‬ ‫‪ .3‬در ‪ ،cmd‬دﺳﺘﻮر ‪ dir test.txt‬را وارد ﻛﻨﻴﺪ و ﺑﻪ اﻧﺪازه آن دﻗﺖ ﻛﻨﻴﺪ‪.‬‬ ‫‪ .4‬در ‪ ،cmd‬دﺳﺘﻮر ‪ notepad test.txt:hidden.txt‬را ﺗﺎﻳﭗ ﻛﻨﻴﺪ‪ .‬داﺧﻞ ﻓﺎﻳﻞ را ﺑﺎ ﻣﻄﺎﻟﺒﻲ ﭘﺮ ﻛﻨﻴﺪ و آن را‬ ‫ذﺧﻴﺮه ﻛﻨﻴﺪ‪.‬‬ ‫‪ .5‬دوﺑﺎره اﻧﺪازه ﻓﺎﻳﻞ را ﺑﺮرﺳﻲ ﻛﻨﻴﺪ )ﺑﺎﻳﺪ ﻧﺴﺒﺖ ﺑﻪ ﻗﺒﻞ ﺗﻔﺎوﺗﻲ ﻧﻜﺮده ﺑﺎﺷﺪ(‪.‬‬ ‫‪ Test.txt .6‬را ﺑﺎز ﻛﻨﻴﺪ‪ .‬ﺑﺎﻳﺪ ﻓﻘﻂ دادهﻫﺎي اﺻﻠﻲ را ﺑﺒﻴﻨﻴﺪ‪.‬‬ ‫‪ .7‬دﺳﺘﻮر ‪ type test.txt:hidden.txt‬را در ‪ cmd‬ﺗﺎﻳﭗ ﻛﻨﻴﺪ‪ .‬ﭘﻴﺎم ﺧﻄﺎ ﻧﻤﺎﻳﺶ داده ﻣﻲﺷﻮد‪.‬‬ ‫‪ .8‬ﺑﺮاي اﻳﻨﻜﻪ ﻣﺤﺘﻮاي ‪ Trojan.exe‬را ﺑﻪ ‪ Readme.txt‬اﻧﺘﻘﺎل دﻫﻴﺪ‪ ،‬از دﺳﺘﻮر زﻳﺮ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪:‬‬ ‫‪C:\> type c:\Trojan.exe > c:\Readme.txt:Trojan.exe‬‬ ‫‪ .9‬ﺑﺮاي اﺟﺮاي ‪ Trojan.exe‬در ‪ ،Readme.txt‬از دﺳﺘﻮر زﻳﺮ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪:‬‬ ‫‪C:\> start c:\Readme.txt:Trojan.exe‬‬ ‫‪ .10‬ﺑﺮاي ‪ extract‬ﻛﺮدن ‪ Trojan.exe‬از ‪ Readme.txt‬از دﺳﺘﻮر زﻳﺮ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪:‬‬ ‫‪C:\> cat c:\Readme.txt:Trojan.exe > Trojan.exe‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Makestrm.exe‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ دادهﻫﺎ را از ﻳﻚ ﻓﺎﻳﻞ ﺑﻪ ﻳﻚ ‪ alternate data stream‬ﻛﻪ ﺑﻪ ﻓﺎﻳﻞ اﺻﻠﻲ ﻟﻴﻨﻚ‬ ‫اﺳﺖ‪ ،‬ﻣﻨﺘﻘﻞ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪NTFS Stream‬‬ ‫ﺑﺮاي ﺣﺬف ﻳﻚ ‪ ،stream file‬اﺑﺘﺪا آن ﻓﺎﻳﻞ را ﺑﻪ ﭘﺎرﺗﻴﺸﻨﻲ ﻛﻪ داراي ﺳﻴﺴﺘﻢ ﻓﺎﻳﻞ ‪ FAT‬ﺑﺎﺷﺪ ﻛﭙﻲ ﻛﻨﻴﺪ و‬ ‫ﺳﭙﺲ دوﺑﺎره ﺑﻪ ﭘﺎرﺗﻴﺸﻦ ‪ NTFS‬ﺑﺮﮔﺮداﻧﻴﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻓﺎﻳﻠﻲ را ﺑﻪ ﭘﺎرﺗﻴﺸﻦ ‪ FAT‬ﺟﺎﺑﺠﺎ ﻣﻲﻛﻨﻴﺪ‪ ،‬ﺧﺎﺻﻴﺖ ‪stream‬‬ ‫ﺣﺬف ﻣﻲﺷﻮد ﺑﺮاي اﻳﻨﻜﻪ ‪ streaming‬ﻳﻜﻲ از ﻗﺎﺑﻠﻴﺖﻫﺎي ‪ NTFS‬اﺳﺖ و ﺗﻨﻬﺎ ﺑﺎ اﻳﻦ ﺳﻴﺴﺘﻢ ﻓﺎﻳﻞ وﺟﻮد دارد‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ از ‪ LNS.exe‬ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ‪ NTFS streams‬اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪ .‬اﮔﺮ ﻓﺎﻳﻞ ‪ steam‬وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬اﻳﻦ‬ ‫ﺑﺮﻧﺎﻣﻪ‪ ،‬آن را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ و ﻣﻜﺎن آن را ﮔﺰارش ﻣﻲدﻫﺪ‪.‬‬ ‫‪82‬‬ ‫ﺗﻜﻨﻮﻟﻮژيﻫﺎي ‪Steganography‬‬ ‫‪ ،Steganography‬ﻓﺮآﻳﻨﺪ ﻣﺨﻔﻲ ﻛﺮدن دادهﻫﺎ در ﻧﻮع دﻳﮕﺮي از ﻓﺎﻳﻞ ﻫﻤﭽﻮن ﻋﻜﺲ ﻳﺎ ﻓﺎﻳﻞ ﻣﺘﻨﻲ اﺳﺖ‪.‬‬ ‫ﻣﺤﺒﻮبﺗﺮﻳﻦ روش ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن دادهﻫﺎ در ﻓﺎﻳﻞﻫﺎ‪ ،‬اﺳﺘﻔﺎده از ﻋﻜﺲﻫﺎي ﮔﺮاﻓﻴﻜﻲ ﺑﻪ ﻋﻨﻮان ﻣﺤﻞ ﻣﺨﻔﻲ ﻛﺮدن‬ ‫اﺳﺖ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از ‪ ،steganography‬ﻫﺮ اﻃﻼﻋﺎﺗﻲ را داﺧﻞ ﻓﺎﻳﻞ ﮔﺮاﻓﻴﻜﻲ ﺟﺎﺳﺎزي ﻛﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،ImageHide‬ﺑﺮﻧﺎﻣﻪ ‪ steganography‬اﺳﺖ ﻛﻪ ﻣﻘﺎدﻳﺮ ﺑﺰرﮔﻲ از ﻣﺘﻦ را داﺧﻞ ﻋﻜﺲ ﻣﺨﻔﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺣﺘﻲ ﭘﺲ از‬ ‫اﺿﺎﻓﻪ ﻛﺮدن دادهﻫﺎ‪ ،‬اﻧﺪازه ﻓﺎﻳﻞ اﻓﺰاﻳﺶ ﻧﻤﻲﻳﺎﺑﺪ‪ .‬در ﺑﺮﻧﺎﻣﻪﻫﺎي ﮔﺮاﻓﻴﻜﻲ ﻣﻌﻤﻮﻟﻲ‪ ،‬ﻋﻜﺲ ﺑﻪ ﻃﻮر ﻃﺒﻴﻌﻲ ﻧﺸﺎن داده‬ ‫ﻣﻲﺷﻮد‪ .‬دادهﻫﺎ را داﺧﻞ ﺧﻮدش ﺑﺎرﮔﺬاري و ذﺧﻴﺮه ﻣﻲﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ ‪sniffer‬ﻫﺎي اﻳﻤﻴﻞ‪ ،‬ﻧﻤﻲﺗﻮاﻧﻨﺪ آن را ﺗﺸﺨﻴﺺ‬ ‫دﻫﻨﺪ‪.‬‬ ‫‪ ،Blindside‬ﺑﺮﻧﺎﻣﻪ دﺳﺘﻮري ‪ steganography‬اﺳﺖ ﻛﻪ اﻃﻼﻋﺎت را داﺧﻞ ﻋﻜﺲﻫﺎي ‪ BMP‬ﻣﺨﻔﻲ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،MP3Stego‬اﻃﻼﻋﺎت را داﺧﻞ ﻓﺎﻳﻞﻫﺎي ﮔﺮاﻓﻴﻜﻲ ﻣﺨﻔﻲ ﻣﻲﻛﻨﺪ‪ .‬دادهﻫﺎ‪ ،‬ﻓﺸﺮده و رﻣﺰﮔﺬاري ﻣﻲﺷﻮﻧﺪ و ﺳﭙﺲ در‬ ‫‪ MP3 bit stream‬ﻣﺨﻔﻲ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪ ،Snow‬ﺑﺮﻧﺎﻣﻪ ‪ whitespace steganography‬اﺳﺖ ﻛﻪ ﭘﻴﺎم ﻫﺎ را در ﻣﺘﻦ ‪ ASCII‬ﻣﺨﻔﻲ ﻣﻲﻛﻨﺪ ﻛﻪ اﻳﻨﻜﺎر را ﺑﺎ‬ ‫اﺳﺘﻔﺎده از ﺿﻤﻴﻤﻪ ﻛﺮدن ‪ whitespace‬ﺑﻪ اﻧﺘﻬﺎي ﺧﻂ ﻫﺎ اﻧﺠﺎم ﻣﻲدﻫﺪ‪ .‬از آﻧﺠﺎﺋﻴﻜﻪ ‪whitespace‬ﻫﺎ در ﺑﺮﻧﺎﻣﻪﻫﺎي‬ ‫ﻣﺘﻨﻲ ﻗﺎﺑﻞ ﻣﺸﺎﻫﺪه ﻧﻴﺴﺘﻨﺪ‪ ،‬ﭘﻴﺎم ﺑﻪ راﺣﺘﻲ ﻣﺨﻔﻲ ﻣﻲﺷﻮد‪ .‬اﮔﺮ از رﻣﺰﮔﺬاري اﺳﺘﻔﺎده ﺷﻮد‪ ،‬ﺣﺘﻲ در ﺻﻮرت ﺗﺸﺨﻴﺺ‪،‬‬ ‫ﭘﻴﺎم ﻗﺎﺑﻞ ﺧﻮاﻧﺪن ﻧﻴﺴﺖ‪.‬‬ ‫‪ ،Camera/Shy‬ﺑﺎ وﻳﻨﺪوز و ‪ IE‬ﻛﺎر ﻣﻲﻛﻨﺪ و ﺑﻪ ﻛﺎرﺑﺮان اﺟﺎزه ﻣﻲدﻫﺪ ﻛﻪ اﻃﻼﻋﺎت ﺣﺴﺎس ﺧﻮد را داﺧﻞ ﻳﻚ ﻓﺎﻳﻞ‬ ‫ﻋﻜﺲ ‪ gif‬ذﺧﻴﺮه ﻛﻨﻨﺪ‪.‬‬ ‫‪ ،Masker Steganography‬ﺑﺮﻧﺎﻣﻪاي ﺑﺮاي رﻣﺰﮔﺬاري و ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞﻫﺎ داﺧﻞ ﻓﺎﻳﻞ دﻳﮕﺮ اﺳﺖ‪.‬‬ ‫‪83‬‬ ‫‪ ،Stealth Files‬ﻓﺎﻳﻞﻫﺎي اﺟﺮاﻳﻲ را داﺧﻞ ﻓﺎﻳﻞﻫﺎي دﻳﮕﺮي ﻫﻤﭽﻮن ‪ PowerPoint ،Excel ،Word‬و ‪ Acrobat‬ادﻏﺎم‬ ‫ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ :DCPP‬اﺑﺰاري ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن ﻛﻞ ﻳﻚ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ داﺧﻞ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ دﻳﮕﺮ اﺳﺖ‪.‬‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎي دﻳﮕﺮ ﻛﻪ ﺑﺮاي ‪ steganography‬اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪،wbStego ،Gifshuffle ،Pretty Good Envelop ،Steganos ،Steghide ،S- Tools ،Blindside ،Fort Knox‬‬ ‫‪.Video Steganography ،FoxHole ،Stegomagic ،StegaNote ،Cloak ،Hydan ،Data Stash ،OutGuess‬‬ ‫ﺑﺮﺧﻲ از ﺑﺮﻧﺎﻣﻪﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ‪ steganography‬را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ ﻫﺮ ﭼﻨﺪ ﻛﻪ اﻧﺠﺎم آن ﺳﺨﺖ اﺳﺖ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻣﻘﺎﺑﻠﻪ‬ ‫‪ ،Stegdetect‬اﺑﺰاري ﺧﻮدﻛﺎر ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻣﺤﺘﻮاي ‪ steganographic‬در ﺗﺼﺎوﻳﺮ اﺳﺖ و ﻣﻲﺗﻮاﻧﺪ روشﻫﺎي ﻣﺨﺘﻠﻒ‬ ‫‪ Steganography‬را ﺑﺮاي ﺟﺎﺳﺎزي اﻃﻼﻋﺎت ﻣﺨﻔﻲ در ﺗﺼﺎوﻳﺮ ﺗﺸﺨﻴﺺ دﻫﺪ‪.‬‬ ‫‪ ،Dskprobe‬اﺑﺰاري در ‪ CD‬وﻳﻨﺪوز ‪ 2000‬اﺳﺖ‪ .‬ﻛﻪ ﻳﻚ اﺳﻜﻨﺮ ﺳﻄﺢ ﭘﺎﻳﻴﻦ ﻫﺎرد دﻳﺴﻚ اﺳﺖ و ﻣﻲﺗﻮاﻧﺪ‬ ‫‪ steganography‬رو ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ‪.‬‬ ‫ﭘﺎك ﻛﺮدن ردﭘﺎﻫﺎ و ﻣﺪارك‬ ‫زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺗﻮاﻧﺴﺖ ﺑﻪ ﺳﻴﺴﺘﻤﻲ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ‪ ،‬ﺗﻼش ﺧﻮاﻫﺪ ﻛﺮد ﻛﻪ ردﭘﺎﻫﺎ را ﭘﺎك ﻛﻨﺪ ﺗﺎ از ﺷﻨﺎﺳﺎﻳﻲ‬ ‫ﺷﺪن‪ ،‬در اﻣﺎن ﺑﻤﺎﻧﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﻣﻤﻜﻦ اﺳﺖ ﻛﻪ ﺑﺨﻮاﻫﺪ ﻣﺪارك ﺷﻨﺎﺳﺎﻳﻲ ﻳﺎ‬ ‫ﻓﻌﺎﻟﻴﺖﻫﺎي ﺧﻮد را ﺑﺮ روي ﺳﻴﺴﺘﻢ ﭘﺎك ﻛﻨﺪ‪ .‬ﻣﻌﻤﻮﻻ ﻫﻜﺮﻫﺎ ﺗﻤﺎم ﭘﻴﻐﺎمﻫﺎي ﺧﻄﺎ ﻳﺎ‬ ‫اﻣﻨﻴﺘﻲ ﻛﻪ ﺛﺒﺖ ﻣﻲﺷﻮﻧﺪ را ﭘﺎك ﻣﻲﻛﻨﺪ ﺗﺎ از ﺷﻨﺎﺳﺎﻳﻲ ﺧﻮد ﻣﻤﺎﻧﻌﺖ ﺑﻪ ﻋﻤﻞ آورﻧﺪ‪.‬‬ ‫‪84‬‬ ‫ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن ‪Auditing‬‬ ‫اوﻟﻴﻦ ﭼﻴﺰي ﻛﻪ ﻫﻜﺮ ﺑﻌﺪ از دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ اﻧﺠﺎم ﻣﻲدﻫﺪ‪ ،‬ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن ‪ auditing‬اﺳﺖ‪auditing .‬‬ ‫وﻳﻨﺪوز‪ ،‬رﺧﺪادﻫﺎي ﻣﺸﺨﺼﻲ را در ﻓﺎﻳﻞ ‪ log‬ﻛﻪ در ﻗﺴﻤﺖ ‪ Windows Event Viewer‬ﻗﺮار دارد‪ ،‬ذﺧﻴﺮه ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ‬ ‫رﺧﺪادﻫﺎ ﺷﺎﻣﻞ ورود ﺑﻪ ﺳﻴﺴﺘﻢ‪ ،‬ﻳﺎ ﻳﻚ ‪ Event log‬اﺳﺖ‪ .‬ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ ﻣﻲﺗﻮاﻧﺪ ﺳﻄﺢ اﻳﻦ ذﺧﻴﺮهﺳﺎزي رﺧﺪادﻫﺎ را‬ ‫اﻧﺘﺨﺎب ﻛﻨﺪ‪ .‬ﻫﻜﺮ ﻣﻲﺧﻮاﻫﺪ ﻛﻪ ﺳﻄﺢ ﺛﺒﺖ رﺧﺪادﻫﺎ را ﻣﺸﺨﺺ ﻛﻨﺪ ﺗﺎ ﺑﺒﻴﻨﺪ آﻳﺎ ﻧﻴﺎزي ﺑﻪ ﭘﺎك ﻛﺮدن رﺧﺪادﻫﺎﻳﻲ ﻛﻪ‬ ‫ﺣﻀﻮر او را در ﺳﻴﺴﺘﻢ ﺛﺒﺖ ﻛﻨﺪ وﺟﻮد دارد ﻳﺎ ﻧﻪ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،AuditPol‬اﺑﺰاري اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﻪ ﺻﻮرت دﺳﺘﻮري‪ auditing ،‬را در وﻳﻨﺪوز‪ ،‬ﻓﻌﺎل ﻳﺎ ﻏﻴﺮ ﻓﻌﺎل ﻛﻨﺪ‪ .‬اﻳﻦ اﺑﺰار‪،‬‬ ‫ﻣﻲﺗﻮاﻧﺪ ﺳﻄﺢ ﺛﺒﺖ رﺧﺪادﻫﺎ را ﻛﻪ ﺗﻮﺳﻂ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢﻫﺎ ﺗﻌﻴﻴﻦ ﺷﺪه اﺳﺖ را ﻧﻴﺰ ﻣﺸﺨﺺ ﻛﻨﺪ‪.‬‬ ‫ﭘﺎك ﻛﺮدن ‪Event Log‬‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﻪ راﺣﺘﻲ‪ ،‬رﻛﻮردﻫﺎي ﻣﻮﺟﻮد در ‪ Windows Event Viewer‬را ﭘﺎك ﻛﻨﺪ‪ .‬اﮔﺮ ﺗﻨﻬﺎ ﻳﻚ ﻳﺎ ﭼﻨﺪ‬ ‫رﻛﻮرد در اﻳﻦ ﻗﺴﻤﺖ وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﻣﺸﻜﻮك اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﻧﺸﺎن ﻣﻲدﻫﺪ رﺧﺪادﻫﺎي دﻳﮕﺮ ﭘﺎك ﺷﺪه اﺳﺖ‪.‬‬ ‫ﻫﻨﻮز ﻫﻢ ﻻزم اﺳﺖ ﻛﻪ ﭘﺲ از ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن ‪،auditing‬‬ ‫ﻗﺴﻤﺖ ‪ Event Viewer‬را ﭘﺎك ﻛﻨﻴﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﻌﺪ از‬ ‫اﺳﺘﻔﺎده از اﺑﺰار ‪ ،AuditPol‬رﺧﺪادي ﻣﺒﻨﻲ ﺑﺮ ﻏﻴﺮ ﻓﻌﺎل‬ ‫ﺷﺪن ‪ ،auditing‬در اﻳﻦ ﻗﺴﻤﺖ ﺛﺒﺖ ﻣﻲﺷﻮد‪ .‬ﺑﺮاي ﭘﺎك‬ ‫ﻛﺮدن ‪ ،event log‬اﺑﺰارﻫﺎي زﻳﺎدي وﺟﻮد دارد‪.‬‬ ‫‪85‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Elsave.exe‬اﺑﺰار ﺳﺎدهاي ﺑﺮاي ﭘﺎك ﻛﺮدن ‪ event log‬اﺳﺖ‪ .‬اﻳﻦ اﺑﺰار ﺑﻪ ﺻﻮرت ﺧﻂ دﺳﺘﻮري اﺳﺖ‪.‬‬ ‫‪ ،WinZapper‬اﺑﺰاري اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ﭘﺎك ﻛﺮدن رﻛﻮردﻫﺎي اﻧﺘﺨﺎﺑﻲ از رﺧﺪادﻫﺎ در ‪ security log‬وﻳﻨﺪوز‬ ‫‪ ،2000‬ﺑﻪ ﻛﺎر ﺑﺒﺮد‪ ،WinZapper .‬اﻃﻤﻴﻨﺎن ﻣﻲدﻫﺪ ﻛﻪ در ﻃﻮل اﺟﺮاي ﺑﺮﻧﺎﻣﻪ‪ ،‬ﻫﻴﭻ رﺧﺪاد اﻣﻨﻴﺘﻲ ﺛﺒﺖ ﻧﻤﻲﺷﻮد‪.‬‬ ‫‪ ،Evidence Eliminator‬ﻳﻚ ﺳﻴﺴﺘﻢ ‪ data cleaning‬ﺑﺮاي ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي وﻳﻨﺪوزي اﺳﺖ ﻛﻪ از ﻣﺨﻔﻲ ﺷﺪن ﻫﻤﻴﺸﮕﻲ‬ ‫دادهﻫﺎ در ﺳﻴﺴﺘﻢ ﺟﻠﻮﮔﻴﺮي ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار‪ ،‬ﻗﺴﻤﺖﻫﺎي ‪،system files ،Internet cache ،Recycle bin‬‬ ‫‪ temp folders‬و ‪ ...‬را ﭘﺎك ﻣﻲﻛﻨﺪ‪ ،Evidence Eliminator .‬ﻣﻲﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﻫﻜﺮ ﺑﺮاي ﭘﺎك ﻛﺮدن ﺷﻮاﻫﺪ و ﻣﺪارك‬ ‫ﻫﻚ ﺳﻴﺴﺘﻢ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﻴﺮد‪.‬‬ ‫اﺑﺰارﻫﺎي دﻳﮕﺮي ﻧﻴﺰ ﺑﺮاي ﭘﺎك ﻛﺮدن ردﭘﺎﻫﺎ وﺟﻮد دارﻧﺪ ﻛﻪ ﻣﻬﻢﺗﺮﻳﻦ آﻧﻬﺎ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪Traceless‬‬ ‫‪Tracks Eraser Pro‬‬ ‫‪Aromor‬‬ ‫‪ZeroTracks‬‬ ‫‪PhatBooster‬‬ ‫‪86‬‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ Trojan, Backdoor, Virus, Worm ‫ﻣﻘﺪﻣﻪ‬ ‫ﺗﺮوﺟﺎنﻫﺎ و ‪backdoor‬ﻫﺎ دو روﺷﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﻫﻜﺮﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ از ﻃﺮﻳﻖ آﻧﻬﺎ وارد ﺳﻴﺴﺘﻤﻲ ﺑﺸﻮﻧﺪ و اﻧﻮاع‬ ‫ﻣﺨﺘﻠﻔﻲ دارﻧﺪ وﻟﻲ ﻫﻤﮕﻲ داراي ﻳﻚ ﻧﻘﻄﻪ ﻣﺸﺘﺮك ﻫﺴﺘﻨﺪ‪ :‬ﺑﺎﻳﺪ ﺗﻮﺳﻂ ﺑﺮﻧﺎﻣﻪاي دﻳﮕﺮي ﻧﺼﺐ ﺷﻮﻧﺪ ﻳﺎ ﻛﺎرﺑﺮ ﺑﺮاي‬ ‫ﻧﺼﺐ آﻧﻬﺎ در ﺳﻴﺴﺘﻢ‪ ،‬ﻣﺪاﺧﻠﻪ ﻛﻨﺪ‪ .‬ﺗﺮوﺟﺎنﻫﺎ و ‪backdoor‬ﻫﺎ‪ ،‬از اﺑﺰارﻫﺎي ﺧﻄﺮﻧﺎك در ‪ toolkit‬ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ ﻫﺴﺘﻨﺪ‬ ‫ﻛﻪ ﺑﺎﻳﺪ ﺑﺮاي ﺗﺴﺖ اﻣﻨﻴﺖ ﻳﻚ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﻴﺮﻧﺪ‪.‬‬ ‫وﻳﺮوسﻫﺎ و ‪worm‬ﻫﺎ ﻧﻴﺰ ﻣﻲﺗﻮاﻧﻨﺪ ﻣﺜﻞ ﺗﺮوﺟﺎنﻫﺎ و ‪backdoor‬ﻫﺎ‪ ،‬ﺧﻄﺮﻧﺎك ﺑﺎﺷﻨﺪ‪ .‬در ﺣﻘﻴﻘﺖ‪ ،‬ﺑﺴﻴﺎري از‬ ‫وﻳﺮوسﻫﺎ‪ ،‬ﺳﺒﺐ ﻓﻌﺎل ﺷﺪن ﺗﺮوﺟﺎن ﻣﻲﺷﻮﻧﺪ و ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ ﺳﻴﺴﺘﻢ آﺳﻴﺐ ﺑﺮﺳﺎﻧﻨﺪ و ﺳﭙﺲ‪ ،‬ﺑﺮاي ﻫﻜﺮ‪backdoor ،‬‬ ‫ﺑﺎز ﻛﻨﻨﺪ‪ .‬اﻳﻦ ﻓﺼﻞ در ﻣﻮرد ﺷﺒﺎﻫﺖﻫﺎ و ﺗﻔﺎوتﻫﺎي ﺑﻴﻦ ﺗﺮوﺟﺎنﻫﺎ‪backdoor ،‬ﻫﺎ‪ ،‬وﻳﺮوسﻫﺎ و ‪worm‬ﻫﺎ ﺻﺤﺒﺖ‬ ‫ﻣﻲﻛﻨﺪ‪ .‬ﻫﻤﻪ اﻳﻦ اﺑﺰارﻫﺎ و ﻛﺪﻫﺎي ﻣﺨﺮب‪ ،‬ﺑﺮاي ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ‪ ،‬ﻣﻬﻢ ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﻫﻜﺮﻫﺎ از اﻳﻦ اﺑﺰارﻫﺎ ﺑﺮاي‬ ‫ﺣﻤﻠﻪ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫ﺗﺮوﺟﺎنﻫﺎ و ‪backdoor‬ﻫﺎ‬ ‫‪ ،Backdoor‬ﺑﺮﻧﺎﻣﻪ ﻳﺎ ﺑﺮﻧﺎﻣﻪﻫﺎي ﻣﺮﺗﺒﻄﻲ اﺳﺖ ﻛﻪ ﻫﻜﺮ آن را ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ ﻧﺼﺐ ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﻌﺪا ﺑﺘﻮاﻧﺪ‬ ‫از ﻃﺮﻳﻖ آن‪ ،‬وارد ﺳﻴﺴﺘﻢ ﺷﻮد‪ .‬ﻫﺪف ‪ ،backdoor‬ﺣﺬف ﺷﻮاﻫﺪ ﺣﻤﻠﻪ از ﻓﺎﻳﻞﻫﺎي ‪ log‬اﺳﺖ ﻳﺎ ﻣﻤﻜﻦ اﺳﺖ ﻫﺪف‬ ‫‪ ،backdoor‬دﺳﺘﺮﺳﻲ ﻫﻜﺮ ﺑﻪ ﺳﻴﺴﺘﻢ ﺑﺼﻮرت ﻫﻤﻴﺸﮕﻲ ﺑﺎﺷﺪ؛ ﺣﺘﻲ اﮔﺮ ﺣﻤﻠﻪ ﺗﻮﺳﻂ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ داده‬ ‫ﺷﻮد و ﺟﻠﻮﮔﻴﺮي ﺷﻮد‪.‬‬ ‫ﻳﻜﻲ از راﻳﺞﺗﺮﻳﻦ ﺗﻜﻨﻴﻚﻫﺎي ﻣﺨﻔﻲ ﺳﺎزي ‪ backdoor‬در ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز‪ ،‬اﺿﺎﻓﻪ ﻛﺮدن ﺳﺮوﻳﺲ اﺳﺖ‪.‬‬ ‫ﻗﺒﻞ از ﻧﺼﺐ ﻳﻚ ‪ ،backdoor‬ﻫﻜﺮ ﺑﺎﻳﺪ ﺳﻴﺴﺘﻢ را ﺑﺮرﺳﻲ ﻛﻨﺪ ﺗﺎ ﺳﺮوﻳﺲﻫﺎي در ﺣﺎل اﺟﺮا را ﭘﻴﺪا ﻛﻨﺪ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ‬ ‫ﺳﺮوﻳﺲ ﺟﺪﻳﺪي را اﺿﺎﻓﻪ ﻛﻨﺪ و اﺳﻢ ﻏﻴﺮ ﻣﻬﻤﻲ ﺑﻪ آن ﺑﺪﻫﺪ ﻳﺎ از ﺳﺮوﻳﺴﻲ ﻛﻪ اﺻﻼ اﺳﺘﻔﺎده ﻧﻤﻲﺷﻮد و ﻏﻴﺮ ﻓﻌﺎل اﺳﺖ‬ ‫اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬ ‫اﻳﻦ ﺗﻜﻨﻴﻚ ﺧﻮﺑﻲ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ زﻣﺎﻧﻴﻜﻪ ﻫﻚ رخ ﻣﻲدﻫﺪ‪ ،‬ﻣﻌﻤﻮﻻ ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢﻫﺎ ﺑﻪ دﻧﺒﺎل رﺧﺪاد ﻋﺠﻴﺐ‬ ‫در ﺳﻴﺴﺘﻢ ﻫﺴﺘﻨﺪ و ﺳﺮوﻳﺲﻫﺎي ﻣﻮﺟﻮد را ﺑﺮرﺳﻲ ﻧﻤﻲﻛﻨﻨﺪ‪ .‬ﺗﻜﻨﻴﻚ ‪ ،backdoor‬ﺳﺎده و در ﻋﻴﻦ ﺣﺎل ﻛﺎرا اﺳﺖ‪:‬‬ ‫‪88‬‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺎ ﻛﻤﺘﺮﻳﻦ ﺷﻮاﻫﺪ در ‪log‬ﻫﺎي ﺳﺮور‪ ،‬وارد ﺳﻴﺴﺘﻢ ﺷﻮد‪ .‬ﺳﺮوﻳﺴﻲ ﻛﻪ ﺑﻪ ﻋﻨﻮان ‪ backdoor‬ﺷﺪه اﺳﺖ‪،‬‬ ‫اﺟﺎزه اﺳﺘﻔﺎده از ﺳﻴﺴﺘﻢ ﺑﺎ دﺳﺘﺮﺳﻲ ﺑﺎﻻ را ﺑﻪ ﻫﻜﺮ ﻣﻲدﻫﺪ‪.‬‬ ‫‪RAT‬ﻫﺎ‪ ،‬ﻧﻮﻋﻲ از ‪backdoor‬ﻫﺎ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮاي ﻓﻌﺎل ﻛﺮدن ﻛﻨﺘﺮل از راه دور ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺘﻔﺎده‬ ‫ﻣﻲﺷﻮﻧﺪ و ﻣﻲﺗﻮاﻧﻨﺪ ﭘﻮرتﻫﺎ را ﺑﺮ روي ﻛﺎﻣﭙﻴﻮﺗﺮ ﻗﺮﺑﺎﻧﻲ ﺑﺎز ﻛﻨﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ‪ RAT‬اﺟﺮا ﺷﺪ‪ ،‬ﻣﺜﻞ ﻳﻚ ﻓﺎﻳﻞ اﺟﺮاﻳﻲ ﻋﻤﻞ‬ ‫ﻣﻲﻛﻨﺪ و ﺑﺎ ﻛﻠﻴﺪﻫﺎي رﺟﻴﺴﺘﺮي ﺧﺎﺻﻲ ﻛﻪ ﻣﺴﺌﻮل اﺟﺮاي ﺳﺮوﻳﺲﻫﺎ ﻫﺴﺘﻨﺪ ﺗﻌﺎﻣﻞ ﻣﻲﻛﻨﺪ و ﺑﻌﻀﻲ وﻗﺖﻫﺎ ﻫﻢ‬ ‫ﺳﺮوﻳﺲﻫﺎﻳﻲ را اﻳﺠﺎد ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﺧﻼف ‪backdoor‬ﻫﺎي راﻳﺞ‪RAT ،‬ﻫﺎ ﺧﻮد را داﺧﻞ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻗﺮﺑﺎﻧﻲ ﻛﭙﻲ‬ ‫ﻣﻲﻛﻨﻨﺪ و ﻫﻤﻴﺸﻪ ﺑﺎ دو ﻓﺎﻳﻞ ﻫﻤﺮاه ﻫﺴﺘﻨﺪ‪ :‬ﻓﺎﻳﻞ ﻛﻼﻳﻨﺖ و ﻓﺎﻳﻞ ﺳﺮور‪ .‬ﻓﺎﻳﻞ ﻛﻼﻳﻨﺖ ﺑﺮ روي ﻣﺎﺷﻴﻦ ﻫﺪف ﻧﺼﺐ‬ ‫ﻣﻲﺷﻮد و ﻓﺎﻳﻞ ﺳﺮور‪ ،‬ﺗﻮﺳﻂ ﻫﻜﺮ ﺑﺮاي ﻛﻨﺘﺮل ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫ﺗﺮوﺟﺎن ﭼﻴﺴﺖ؟‬ ‫ﺗﺮوﺟﺎن‪ ،‬ﺑﺮﻧﺎﻣﻪ ﻣﺨﺮﺑﻲ اﺳﺖ ﻛﻪ ﺧﻮد را ﺑﻪ ﻋﻨﻮان ﺑﺮﻧﺎﻣﻪ ﺧﻮب ﻧﺸﺎن ﻣﻲدﻫﺪ‪ .‬ﻣﻌﻤﻮﻻ ﺗﺮوﺟﺎنﻫﺎ ﻫﻤﺮاه ﺑﺎ ﺑﺮﻧﺎﻣﻪ‬ ‫دﻳﮕﺮ ﻳﺎ ﺑﺴﺘﻪ ﻧﺮماﻓﺰاري داﻧﻠﻮد ﻣﻲﺷﻮﻧﺪ و زﻣﺎﻧﻴﻜﻪ ﺑﺮ روي ﺳﻴﺴﺘﻤﻲ ﻧﺼﺐ ﺷﺪﻧﺪ‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ ﺳﺒﺐ ﺳﺮﻗﺖ ﻳﺎ از دﺳﺖ‬ ‫دادن اﻃﻼﻋﺎت‪ ،‬ﻛﻨﺪي ﻳﺎ اﺧﺘﻼل ﺳﻴﺴﺘﻢ ﺷﻮﻧﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﺑﻪ ﻋﻨﻮان آﻏﺎز ﺣﻤﻼت دﻳﮕﺮي ﻫﻤﭽﻮن ‪ DDOS‬ﻣﻮرد اﺳﺘﻔﺎده‬ ‫ﻗﺮار ﮔﻴﺮﻧﺪ‪ .‬ﺑﺴﻴﺎري از ﺗﺮوﺟﺎنﻫﺎ ﺑﺮاي دﺳﺘﻜﺎري دادهﻫﺎ در ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ‪ ،‬ﻣﺪﻳﺮﻳﺖ ﭘﺮدازشﻫﺎ‪ ،‬اﺟﺮاي از راه دور‬ ‫دﺳﺘﻮرات‪ ،‬ﺗﻤﺎﺷﺎي ﺗﺼﺎوﻳﺮ ﺻﻔﺤﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻛﺎرﺑﺮ‪ ،‬و رﻳﺴﺘﺎرت ﻳﺎ ﺧﺎﻣﻮش ﻛﺮدن ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫ﺗﺮوﺟﺎنﻫﺎ در ﭘﺸﺖ ﺑﺮﻧﺎﻣﻪﻫﺎي دﻳﮕﺮ ﻧﺼﺐ ﻣﻲﺷﻮﻧﺪ و ﻣﻌﻤﻮﻻ ﺑﺪون اﻃﻼع ﻛﺎرﺑﺮ‪ ،‬ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻧﺼﺐ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫ﺗﺮوﺟﺎن ﺑﻪ روشﻫﺎي ﻣﺨﺘﻠﻔﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ ارﺳﺎل ﻣﻲﺷﻮد‪ :‬ﺑﻪ ﻋﻨﻮان ﻳﻚ ﭘﻴﻮﺳﺖ ﺑﺮاي ﭘﻴﺎم‪ ،IRC ،‬ﻳﺎ اﺷﺘﺮاك‬ ‫ﻓﺎﻳﻞ‪ .‬ﺑﺴﻴﺎري از ﺑﺮﻧﺎﻣﻪﻫﺎي ﺟﻌﻠﻲ‪ ،‬ﺧﻮد را ﺑﻪ ﻋﻨﻮان ﻧﺮماﻓﺰارﻫﺎي ﻗﺎﻧﻮﻧﻲ‪ ،‬اﺑﺰارﻫﺎي ﺣﺬف ‪ ،spyware‬ﺑﺮﻧﺎﻣﻪﻫﺎي‬ ‫‪89‬‬ ‫ﺑﻬﻴﻨﻪﺳﺎزي ﺳﻴﺴﺘﻢ‪ ،‬ﻣﺤﺎﻓﻆ ﺻﻔﺤﻪ ﻧﻤﺎﻳﺶ‪ ،‬ﻣﻮﺳﻴﻘﻲ‪ ،‬ﺗﺼﺎوﻳﺮ‪ ،‬ﺑﺎزيﻫﺎ‪ ،‬و وﻳﺪﺋﻮ واﻧﻤﻮد ﻣﻲﻛﻨﻨﺪ‪ .‬ﺗﺒﻠﻴﻐﺎت ﺑﺮاي‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎي راﻳﮕﺎن‪ ،‬ﻓﺎﻳﻞﻫﺎي ﻣﻮﺳﻴﻘﻲ‪ ،‬ﻳﺎ ﻓﺎﻳﻞﻫﺎي وﻳﺪﺋﻮﻳﻲ‪ ،‬ﻗﺮﺑﺎﻧﻲ را ﺑﺮاي ﻧﺼﺐ ﺑﺮﻧﺎﻣﻪ ﺗﺮوﺟﺎن ﺗﺮﻏﻴﺐ ﻣﻲﻛﻨﻨﺪ‪ .‬اﻳﻦ‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬دﺳﺘﺮﺳﻲ ﺳﻴﺴﺘﻤﻲ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺪف دارﻧﺪ و ﻣﻲﺗﻮاﻧﻨﺪ ﻣﺨﺮب ﺑﺎﺷﻨﺪ‪ .‬ﺟﺪول زﻳﺮ‪ ،‬ﺑﺮﺧﻲ از ﺗﺮوﺟﺎنﻫﺎي‬ ‫راﻳﺞ ﺑﻪ ﻫﻤﺮاه ﺷﻤﺎره ﭘﻮرت آﻧﻬﺎ را ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬ ‫‪Protocol‬‬ ‫‪UDP‬‬ ‫‪UDP‬‬ ‫‪TCP‬‬ ‫‪TCP‬‬ ‫‪TCP‬‬ ‫‪TCP‬‬ ‫‪TCP‬‬ ‫‪Port‬‬ ‫‪31337 or 31338‬‬ ‫‪2140 or 3150‬‬ ‫‪12345 and 12346‬‬ ‫‪12361 and 12362‬‬ ‫‪20034‬‬ ‫‪21544‬‬ ‫‪3129, 40421, 40422, 40423, and 40426‬‬ ‫‪Trojan‬‬ ‫‪BackOrifice‬‬ ‫‪Deep Throat‬‬ ‫‪NetBus‬‬ ‫‪Whack-a-mole‬‬ ‫‪NetBus 2‬‬ ‫‪GirlFreind‬‬ ‫‪Masters Paradise‬‬ ‫ﻛﺎﻧﺎلﻫﺎي ‪ overt‬و ‪ covert‬ﭼﻴﺴﺖ؟‬ ‫ﻛﺎﻧﺎل ‪ ،overt‬روش ﻃﺒﻴﻌﻲ و ﻗﺎﻧﻮﻧﻲ ارﺗﺒﺎط ﺑﺮﻧﺎﻣﻪﻫﺎ ﺑﺎ ﻳﻚ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮي اﺳﺖ‪ .‬ﻛﺎﻧﺎل ‪ ،covert‬از‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎ ﻳﺎ ﻣﺴﻴﺮﻫﺎي ارﺗﺒﺎﻃﻲ ﻛﻪ ﻣﻮرد ﻗﺼﺪ ﻧﻴﺴﺘﻨﺪ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺗﺮوﺟﺎنﻫﺎ از ﻛﺎﻧﺎلﻫﺎي ‪ covert‬ﺑﺮاي ارﺗﺒﺎط اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﺑﻌﻀﻲ از ﺗﺮوﺟﺎنﻫﺎي ﻛﻼﻳﻨﺖ از ﻛﺎﻧﺎلﻫﺎي‬ ‫‪ covert‬ﺑﺮاي ارﺳﺎل دﺳﺘﻮراﻟﻌﻤﻞﻫﺎ ﺑﻪ ﻋﻨﺼﺮ ﺳﺮور در ﺳﻴﺴﺘﻢ ﺑﻪ ﺧﻄﺮ اﻓﺘﺎده اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ ﻛﻪ اﻳﻦ اﻣﺮ ﺳﺒﺐ‬ ‫ﻣﻲﺷﻮد ﻛﻪ ارﺗﺒﺎﻃﺎت ﺗﺮوﺟﺎن ﺑﻪ ﺳﺨﺘﻲ رﻣﺰﮔﺸﺎﻳﻲ و درك ﺷﻮﻧﺪ‪.‬‬ ‫ﻛﺎﻧﺎلﻫﺎي ‪ ،Covert‬ﺑﺮ روي ﺗﻜﻨﻴﻜﻲ ﻛﻪ ﺗﺎﻧﻠﻴﻨﮓ ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد اﺗﻜﺎ ﻣﻲﻛﻨﺪ ﻛﻪ اﺟﺎزه ﻣﻲدﻫﺪ ﭘﺮوﺗﻜﻠﻲ از ﻃﺮﻳﻖ‬ ‫ﭘﺮوﺗﻜﻞ دﻳﮕﺮ ﺣﻤﻞ ﺷﻮد‪ .‬ﻣﺜﻼ اﺳﺘﻔﺎده از ﭘﻮرت ‪ 80‬ﺑﺮاي ‪.telnet‬‬ ‫‪90‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Loki‬ﻳﻜﻲ از اﺑﺰارﻫﺎي ﻫﻚ اﺳﺖ ﻛﻪ دﺳﺘﺮﺳﻲ ‪ shell‬را از ﻃﺮﻳﻖ ‪ ICMP‬ﻣﻲدﻫﺪ و ﺷﻨﺎﺳﺎﻳﻲ آن را ﻧﺴﺒﺖ ﺑﻪ‬ ‫‪backdoor‬ﻫﺎ‪ ،‬ﺑﺴﻴﺎر دﺷﻮار ﻣﻲﺳﺎزد‪ .‬ﻣﺠﻤﻮﻋﻪاي از ﺑﺴﺘﻪﻫﺎي ‪ ICMP‬از ﻃﺮﻳﻖ ﺷﺒﻜﻪ ارﺳﺎل ﻣﻲﺷﻮﻧﺪ‪ .‬ﻫﻜﺮ‪ ،‬دﺳﺘﻮرات‬ ‫را از ﻃﺮﻳﻖ ﻛﻼﻳﻨﺖ ‪ Loki‬ارﺳﺎل ﻣﻲﻛﻨﺪ و آﻧﻬﺎ را روي ﺳﺮور اﺟﺮا ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪91‬‬ ‫اﻧﻮاع ﺗﺮوﺟﺎنﻫﺎ‬ ‫ﺗﺮوﺟﺎنﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺣﻤﻼت زﻳﺎدي را اﻧﺠﺎم دﻫﻨﺪ‪ .‬ﺑﺮﺧﻲ از ﻣﻬﻢﺗﺮﻳﻦ اﻧﻮاع ﺗﺮوﺟﺎنﻫﺎ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬ ‫‪ :(RAT) Remote Access Trojans‬ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ از راه دور ﺑﻪ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫•‬ ‫‪ :Data-Sending Trojans‬ﺑﺮاي ﻳﺎﻓﺘﻦ دادهﻫﺎ در ﺳﻴﺴﺘﻢ و ﺗﺤﻮﻳﻞ آن ﺑﻪ ﻫﻜﺮ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫•‬ ‫‪ :Destructive Trojans‬ﺑﺮاي ﺣﺬف ﻳﺎ ﺧﺮاب ﻛﺮدن ﻓﺎﻳﻞﻫﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫•‬ ‫‪ :Denial of Service Trojans‬ﺑﺮاي اﻧﺠﺎم ﺣﻤﻼت ‪ DoS‬اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫•‬ ‫‪ :Proxy Trojans‬ﺑﺮاي ﺗﺎﻧﻞ ﻛﺮدن ﺗﺮاﻓﻴﻚ ﻳﺎ اﺟﺮاي ﺣﻤﻼت ﻫﻜﺮ از ﻃﺮﻳﻖ ﺳﻴﺴﺘﻢ دﻳﮕﺮ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫•‬ ‫‪ :FTP Trojans‬ﺑﺮاي اﻳﺠﺎد ﻳﻚ ﺳﺮور ‪ FTP‬ﺑﺮاي ﻛﭙﻲ ﻓﺎﻳﻞﻫﺎي روي ﻳﻚ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫•‬ ‫‪ :Security software disabler Trojans‬ﺑﺮاي ﻣﺘﻮﻗﻒ ﻛﺮدن ﻧﺮماﻓﺰار آﻧﺘﻲ وﻳﺮوس اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫ﺗﺮوﺟﺎنﻫﺎي ‪ Reverse-connecting‬ﭼﮕﻮﻧﻪ ﻛﺎر ﻣﻲﻛﻨﻨﺪ؟‬ ‫ﺗﺮوﺟﺎنﻫﺎي ‪ ،reverse-connecting‬اﺟﺎزه دﺳﺘﺮﺳﻲ ﻫﻜﺮ ﺑﻪ ﻳﻚ ﻣﺎﺷﻴﻦ ﻛﻪ در داﺧﻞ ﺷﺒﻜﻪ ﻗﺮار دارد را از‬ ‫ﺧﺎرج ﺷﺒﻜﻪ ﻓﺮاﻫﻢ ﻣﻲﻛﻨﺪ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺗﺮوﺟﺎن ﺳﺎده را روي ﺳﻴﺴﺘﻤﻲ در ﺷﺒﻜﻪ داﺧﻠﻲ ﻧﺼﺐ ﻛﻨﺪ ﻣﺜﻞ‬ ‫ﺳﺮور ‪ .reverse WWW shell‬در ﺣﺎﻟﺖ ﻋﺎدي )ﻣﻌﻤﻮﻻ ﻫﺮ ‪ 60‬ﺛﺎﻧﻴﻪ(‪ ،‬ﺳﺮور داﺧﻠﻲ ﺗﻼش ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﻪ ﺳﻴﺴﺘﻢ اﺻﻠﻲ‬ ‫ﺧﺎرﺟﻲ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ ﺗﺎ دﺳﺘﻮرات را ﺑﮕﻴﺮد‪ .‬اﮔﺮ ﻫﻜﺮ‪ ،‬ﭼﻴﺰي را در ﺳﻴﺴﺘﻢ اﺻﻠﻲ ﺗﺎﻳﭗ ﻛﺮد‪ ،‬اﻳﻦ دﺳﺘﻮرات روي‬ ‫‪92‬‬ ‫ﺳﻴﺴﺘﻢ داﺧﻠﻲ ﺑﺎزﻳﺎﺑﻲ و اﺟﺮا ﻣﻲﺷﻮﻧﺪ‪ ،Reverse WWW shell .‬از ‪ HTTP‬اﺳﺘﺎﻧﺪارد اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬از آﻧﺠﺎﺋﻴﻜﻪ‬ ‫ﺷﻨﺎﺳﺎﻳﻲ آن دﺷﻮار اﺳﺖ‪ ،‬ﺧﻄﺮﻧﺎك اﺳﺖ‪ .‬ﻣﺸﺎﺑﻪ اﻳﻦ اﺳﺖ ﻛﻪ ﻛﻼﻳﻨﺖ‪ ،‬از ﺷﺒﻜﻪ داﺧﻠﻲ‪ ،‬وب را ﻣﺸﺎﻫﺪه ﻣﻲﻛﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،TROJ_QAZ‬ﺗﺮوﺟﺎﻧﻲ اﺳﺖ ﻛﻪ ﺑﺮﻧﺎﻣﻪ ‪ notepad.exe‬را ﺑﻪ ‪ note.com‬ﺗﻐﻴﻴﺮ ﻧﺎم ﻣﻲدﻫﺪ و ﺳﭙﺲ آن را ﺑﻪ ﻋﻨﻮان‬ ‫‪ notpad.exe‬ﺑﻪ ﭘﻮﺷﻪ وﻳﻨﺪوز ﻛﭙﻲ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ اﻣﺮ ﻣﻮﺟﺐ ﻣﻲﺷﻮد ﻛﻪ ﻫﺮ وﻗﺖ ﻛﻪ ﻛﺎرﺑﺮ ﺑﺮﻧﺎﻣﻪ ‪ Notepad‬را اﺟﺮا‬ ‫ﻣﻲﻛﻨﺪ‪ ،‬اﻳﻦ ﺗﺮوﺟﺎن اﺟﺮا ﺷﻮد‪ .‬ﻫﻤﭽﻨﻴﻦ داراي ‪ backdoor‬اﺳﺖ ﻛﻪ ﺑﺮاي اﺗﺼﺎل و ﻛﻨﺘﺮل ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺎ اﺳﺘﻔﺎده از ﭘﻮرت‬ ‫‪ 7597‬اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬ﻫﻤﭽﻨﻴﻦ‪ ،TROJ_QAZ ،‬ﺑﺮ روي رﺟﻴﺴﺘﺮي اﺛﺮ ﻣﻲﮔﺬارد ﺗﺎ ﻫﺮ وﻗﺖ ﻛﻪ وﻳﻨﺪوز ﺷﺮوع ﺷﺪ‪،‬‬ ‫اﻳﻦ ﺗﺮوﺟﺎن ﻫﻢ ﺑﺎرﮔﺬاري ﺷﻮد‪.‬‬ ‫‪ ،Tini‬ﻳﻚ ﺗﺮوﺟﺎن و ‪ backdoor‬ﺑﺴﻴﺎر ﺳﺎده و ﻛﻮﭼﻚ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز اﺳﺖ‪ .‬ﺑﺮ روي ﭘﻮرت ‪ 7777‬ﮔﻮش‬ ‫ﻣﻲدﻫﺪ و اﺟﺎزه دﺳﺘﺮﺳﻲ راه دور ﻫﻜﺮ ﺑﻪ ‪ Cmd‬ﺳﻴﺴﺘﻢ ﻫﺪف را ﻣﻲدﻫﺪ‪ .‬ﺑﺮاي اﺗﺼﺎل ﺑﻪ ‪ ،Tini Server‬ﻫﻜﺮ ﺑﺎﻳﺪ ﺑﻪ‬ ‫ﭘﻮرت ‪ telnet ،7777‬ﻛﻨﺪ‪.‬‬ ‫‪ ،iCmd‬ﻣﺸﺎﺑﻪ ‪ tini‬اﺳﺖ ﺑﺎ اﻳﻦ ﺗﻔﺎوت ﻛﻪ اﺟﺎزه ﭼﻨﺪﻳﻦ ارﺗﺒﺎط را ﻣﻲدﻫﺪ و ﻧﻴﺰ ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ ﭘﺴﻮرد ﺳﺖ ﻛﻨﻴﺪ‪.‬‬ ‫‪ ،Proxy Server Trojan‬زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮي را آﻟﻮده ﻣﻲﻛﻨﺪ‪ ،‬از آن ﺑﻪ ﻋﻨﻮان ﭘﺮوﻛﺴﻲ ﺳﺮور اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﻫﺰاران‬ ‫ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺮ روي اﻳﻨﺘﺮﻧﺖ ﺑﺎ اﺳﺘﻔﺎده از اﻳﻦ ﺗﻜﻨﻴﻚ‪ ،‬آﻟﻮده ﺷﺪهاﻧﺪ‪.‬‬ ‫‪ ،Donald Dick‬ﻳﻚ ﺗﺮوﺟﺎن و ‪ backdoor‬ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز اﺳﺖ ﻛﻪ اﺟﺎزه دﺳﺘﺮﺳﻲ ﻛﺎﻣﻞ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ‬ ‫را از ﻃﺮﻳﻖ اﻳﻨﺘﺮﻧﺖ ﺑﺮاي ﻫﻜﺮ ﻓﺮاﻫﻢ ﻣﻲﺳﺎزد‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺮﻧﺎﻣﻪ را روي ﺳﻴﺴﺘﻢ‪ ،‬ﺑﺨﻮاﻧﺪ‪ ،‬ﺑﻨﻮﻳﺴﺪ‪ ،‬ﻳﺎ اﺟﺮا ﻛﻨﺪ‪ .‬اﻳﻦ‬ ‫ﺗﺮوﺟﺎن‪ ،‬ﺷﺎﻣﻞ ‪ keylogger‬و ‪ registery parser‬اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﻋﻤﻠﻴﺎﺗﻲ ﻫﻤﭽﻮن ﺑﺎز ﻳﺎ ﺑﺴﺘﻪ ﻛﺮدن ‪ CD-ROM‬را‬ ‫اﻧﺠﺎم دﻫﺪ‪ .‬ﺣﻤﻠﻪ ﻛﻨﻨﺪه‪ ،‬از ﻛﻼﻳﻨﺖ ﺑﺮاي ارﺳﺎل دﺳﺘﻮرات ﺑﻪ ﭘﻮرتﻫﺎي از ﭘﻴﺶ ﺗﻌﻴﻴﻦ ﺷﺪه ﻗﺮﺑﺎﻧﻲ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‬ ‫ﭘﻮرتﻫﺎي ﭘﻴﺶ ﻓﺮض اﻳﻦ ﺗﺮوﺟﺎن ‪ 23476‬ﻳﺎ ‪ 23477‬ﻫﺴﺘﻨﺪ‪.‬‬ ‫‪ ،SubServen‬ﺗﺮوﺟﺎﻧﻲ اﺳﺖ ﻛﻪ زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ آﻟﻮده ﺷﺪه ﺑﻪ اﻳﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ ﻣﻲﺷﻮد‪ ،‬ﺑﻪ ﻫﻜﺮ اﻃﻼع ﻣﻲدﻫﺪ و‬ ‫اﻃﻼﻋﺎﺗﻲ در ﻣﻮرد ﺳﻴﺴﺘﻢ را ﺑﻪ ﻫﻜﺮ ﻣﻲدﻫﺪ‪ .‬اﻳﻦ اﻃﻼع رﺳﺎﻧﻲ ﻣﻲﺗﻮاﻧﺪ از ﻃﺮﻳﻖ ﺷﺒﻜﻪ ‪ ،IRC‬ﺗﻮﺳﻂ ‪ ،ICQ‬ﻳﺎ ﺗﻮﺳﻂ‬ ‫اﻳﻤﻴﻞ اﻧﺠﺎم ﺷﻮد‪ .‬اﻳﻦ ﺗﺮوﺟﺎن ﺳﺒﺐ ﻣﻲﺷﻮد ﻛﻪ ﺳﻴﺴﺘﻢ ﻛﻨﺪ ﺷﻮد و ﺑﺮ روي ﺳﻴﺴﺘﻢ آﻟﻮده ﺷﺪه‪ ،‬ﭘﻴﻐﺎمﻫﺎي ﺧﻄﺎ ﺗﻮﻟﻴﺪ‬ ‫ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪93‬‬ ‫‪ ،NetBus‬ﺗﺮوﺟﺎﻧﻲ ﻣﺒﺘﻨﻲ ﺑﺮ وﻳﻨﺪوز اﺳﺖ ﻛﻪ ﻣﺸﺎﺑﻪ ‪ Donald Dick‬اﺳﺖ‪ .‬ﻛﻠﻴﺪي ﺑﺎ ﻧﺎم ‪ NetBus Server‬در ﻣﺴﻴﺮ‬ ‫‪HKEY_CURRENT_USER‬‬ ‫اﺿﺎﻓﻪ‬ ‫ﻣﻲﻛﻨﺪ‬ ‫و‬ ‫ﻛﻠﻴﺪ‬ ‫‪HKEY_CURRENT_USER\NetBus‬‬ ‫‪ Server\General\TCPPort‬را ﺗﻐﻴﻴﺮ ﻣﻲ دﻫﺪ‪ .‬اﮔﺮ ‪ NetBus‬ﺑﺮاي ﺷﺮوع ﺧﻮدﻛﺎر ﺗﻨﻈﻴﻢ ﺷﺪه ﺑﺎﺷﺪ‪ ،‬ورودي را در در‬ ‫ﻣﺴﻴﺮ ‪ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices‬در‬ ‫رﺟﻴﺴﺘﺮي و ﺑﺎ ﻧﺎم ‪ NetBus Server‬اﺿﺎﻓﻪ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،BackOrifice 2000‬اﺑﺰار ﻣﺪﻳﺮﻳﺘﻲ از راه دور اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ﻛﻨﺘﺮل ﻳﻚ ﺳﻴﺴﺘﻢ از ﻃﺮﻳﻖ ارﺗﺒﺎط‬ ‫‪ TCP/IP‬ﺑﺎ اﺳﺘﻔﺎده از ﻳﻚ اﻳﻨﺘﺮﻓﻴﺲ ﮔﺮاﻓﻴﻜﻲ اﺳﺘﻔﺎده ﻛﻨﺪ‪ ،BackOrifice .‬در ﻟﻴﺴﺖ ﭘﺮدازشﻫﺎي در ﺣﺎل اﺟﺮا ﻧﺸﺎن‬ ‫داده ﻧﻤﻲﺷﻮد و ﺧﻮد را داﺧﻞ رﺟﻴﺴﺘﺮي ﻛﭙﻲ ﻣﻲﻛﻨﺪ ﺗﺎ زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺷﺮوع ﺑﻪ ﻛﺎر ﻛﺮد‪ ،‬اﺟﺮا ﺷﻮد‪ .‬اﻳﻦ ﺗﺮوﺟﺎن‪،‬‬ ‫ﻛﻠﻴﺪ ‪HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices‬‬ ‫را ﺗﻐﻴﻴﺮ ﻣﻲدﻫﺪ‪Plug-in .‬ﻫﺎي اﻳﻦ ﺑﺮﻧﺎﻣﻪ‪ ،‬ﻗﺎﺑﻠﻴﺘﻬﺎﻳﻲ را ﺑﻪ ﺑﺮﻧﺎﻣﻪ ‪ BackOrifice‬اﺿﺎﻓﻪ ﻣﻲﻛﻨﺪ ﻛﻪ ﺷﺎﻣﻞ رﻣﺰﮔﺬاري‬ ‫‪ remote desktop ،3DES‬ﺑﺎ ﻛﻨﺘﺮل ﻛﻴﺒﻮرد و ﻣﺎوس‪ ،‬وﻳﺮاﻳﺶ رﺟﻴﺴﺘﺮي ﺑﻪ ﺻﻮرت ﮔﺮاﻓﻴﻜﻲ و از راه دور‪ ،‬ارﺗﺒﺎﻃﺎت‬ ‫اﻣﻦ ﭘﺮوﺗﻜﻞﻫﺎي ‪ UDP‬و ‪ ،ICMP‬و ‪. ...‬‬ ‫‪ ،ComputerSpy Key Logger‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ﺿﺒﻂ ﻓﻌﺎﻟﻴﺘﻬﺎي ﻛﺎﻣﭙﻴﻮﺗﺮ روي ﻳﻚ ﺳﻴﺴﺘﻢ‬ ‫اﺳﺘﻔﺎده ﻛﻨﺪ از ﻗﺒﻴﻞ‪ :‬وب ﺳﺎﻳﺖﻫﺎي ﻣﺸﺎﻫﺪه ﺷﺪه‪ ،‬ﻻﮔﻴﻦﻫﺎ و ﭘﺴﻮردﻫﺎ ﺑﺮاي ‪ AIM ،AOL ،MSN ،ICQ‬و ‪Yahoo‬‬ ‫‪ Messanger‬ﻳﺎ ‪ .webmail‬ﻫﻤﭽﻨﻴﻦ اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﻣﻲﺗﻮاﻧﺪ در ﺑﺎزهﻫﺎي زﻣﺎﻧﻲ ﻣﺸﺨﺺ ﺷﺪه‪ ،‬از ﺗﻤﺎم ﺻﻔﺤﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ‪،‬‬ ‫ﻋﻜﺲ ﺑﮕﻴﺮد‪.‬‬ ‫‪ ،Beast‬ﺗﺮوﺟﺎﻧﻲ اﺳﺖ ﻛﻪ در ﺣﺎﻓﻈﻪاي ﻛﻪ ﺑﺮاي ﺳﺮوﻳﺲ ‪ WinLogon.exe‬اﺧﺘﺼﺎص ﻳﺎﻓﺘﻪ اﺳﺖ اﺟﺮا ﻣﻲﺷﻮد‪.‬‬ ‫زﻣﺎﻧﻴﻜﻪ ﻧﺼﺐ ﺷﺪ‪ ،‬ﺑﺮﻧﺎﻣﻪ ﺧﻮد را داﺧﻞ ‪ Windows Explorer‬ﻳﺎ ‪ Internet Explorer‬وارد ﻣﻲﻛﻨﺪ‪ .‬ﻳﻜﻲ از‬ ‫ﻗﺎﺑﻠﻴﺖﻫﺎي ﺷﺎﺧﺺ اﻳﻦ ﺑﺮﻧﺎﻣﻪ اﻳﻦ اﺳﺖ ﻛﻪ ‪ all-in-one‬اﺳﺖ ﻳﻌﻨﻲ اﻳﻨﻜﻪ ﻛﻼﻳﻨﺖ‪ ،‬ﺳﺮور‪ ،‬و وﻳﺮاﻳﺸﮕﺮ ﺳﺮور ﻫﻤﮕﻲ در‬ ‫ﻫﻤﺎن ﺑﺮﻧﺎﻣﻪ ذﺧﻴﺮه ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪ ،CyberSpy‬ﻳﻚ ‪ Telnet Trojan‬اﺳﺖ ﻛﻪ ﺧﻮد را داﺧﻞ داﻳﺮﻛﺘﻮري وﻳﻨﺪوز ﻛﭙﻲ ﻣﻲﻛﻨﺪ و در رﺟﻴﺴﺘﺮي ﺛﺒﺖ‬ ‫ﻣﻲﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻫﺮ زﻣﺎن ﻛﻪ ﺳﻴﺴﺘﻢ آﻟﻮده‪ ،‬رﻳﺴﺘﺎرت ﻣﻲﺷﻮد‪ ،‬اﺟﺮا ﻣﻲﺷﻮد‪ .‬زﻣﺎﻧﻴﻜﻪ اﻧﺠﺎم ﺷﺪ‪ ،‬اﻋﻼﻣﻲ را از ﻃﺮﻳﻖ‬ ‫اﻳﻤﻴﻞ ﻳﺎ ‪ ICQ‬ارﺳﺎل ﻣﻲﻛﻨﺪ و ﺳﭙﺲ ﺑﻪ ﭘﻮرتﻫﺎي ‪ TCP/IP‬ﻛﻪ ﻗﺒﻼ ﻣﺸﺨﺺ ﺷﺪهاﻧﺪ‪ ،‬ﮔﻮش ﻣﻲدﻫﺪ‪.‬‬ ‫‪ ،SubRoot‬ﺗﺮوﺟﺎن ﻣﺪﻳﺮﻳﺘﻲ از راه دور اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي اﺗﺼﺎل ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ روي ﭘﻮرت ‪1700‬‬ ‫اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬ ‫‪ ،LetMeRule‬ﺗﺮوﺟﺎن راه دور اﺳﺖ ﻛﻪ ﺑﺮاي ﮔﻮش دادن ﺑﻪ ﻫﺮ ﭘﻮرﺗﻲ روي ﺳﻴﺴﺘﻢ ﻫﺪف ﭘﻴﻜﺮﺑﻨﺪي ﻣﻲﺷﻮد‪ .‬ﻛﻪ از‬ ‫‪ Cmd‬ﺑﺮاي ﻛﻨﺘﺮل ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﻣﻲﺗﻮاﻧﺪ ﻫﻤﻪ ﻓﺎﻳﻞﻫﺎﻳﻲ را در داﻳﺮﻛﺘﻮر ﻣﺸﺨﺺ ﭘﺎك ﻛﻨﺪ‪ ،‬ﻓﺎﻳﻞﻫﺎ را‬ ‫در ﻛﺎﻣﭙﻴﻮﺗﺮ راه دور اﺟﺮا ﻛﻨﺪ‪ ،‬ﻳﺎ رﺟﻴﺴﺘﺮي را ﻣﺸﺎﻫﺪه و ﺗﻐﻴﻴﺮ دﻫﺪ‪.‬‬ ‫‪94‬‬ ‫‪ ،Firekiller 2000‬ﺑﺮﻧﺎﻣﻪﻫﺎي آﻧﺘﻲ وﻳﺮوس و ﻓﺎﻳﺮوالﻫﺎ را ﻏﻴﺮﻓﻌﺎل ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮاي ﻧﻤﻮﻧﻪ‪ ،‬اﮔﺮ آﻧﺘﻲ وﻳﺮوس ﻧﻮرﺗﻦ ﺑﺮ روي‬ ‫اﺳﻜﻦ ﺧﻮدﻛﺎر ﺑﺎﺷﺪ و ﻓﺎﻳﺮوال ‪ ATGuard‬ﻓﻌﺎل ﺑﺎﺷﺪ‪ ،‬اﻳﻦ ﺗﺮوﺟﺎن‪ ،‬اﻳﻦ دو ﺑﺮﻧﺎﻣﻪ را ﻣﺘﻮﻗﻒ ﻣﻲﺳﺎزد و ﺑﺮاي اﺳﺘﻔﺎده‬ ‫ﻣﺠﺪد‪ ،‬ﺑﺎﻳﺪ دوﺑﺎره ﻧﺼﺐ ﺷﻮﻧﺪ‪.‬‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎي ‪ ،Hard Drive Killer Pro‬اﺟﺎزه ﺧﺮاب ﻛﺮدن ﻫﻤﻪ دادهﻫﺎ را ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎي وﻳﻨﺪوزي و ‪DOS‬‬ ‫ﻣﻲدﻫﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﺑﺮﻧﺎﻣﻪ اﺟﺮا ﺷﺪ‪ ،‬ﺗﻤﺎم ﻓﺎﻳﻞﻫﺎ را ﭘﺎك ﻣﻲﻛﻨﺪ و ﺳﻴﺴﺘﻢ را در ﻋﺮض ﭼﻨﺪ ﺛﺎﻧﻴﻪ رﻳﺴﺘﺎرت ﻣﻲﻛﻨﺪ‪ .‬ﭘﺲ‬ ‫از رﻳﺴﺘﺎرت‪ ،‬ﺗﻤﺎم ﻫﺎردﻫﺎﻳﻲ ﻛﻪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﺘﺼﻞ ﺷﺪهاﻧﺪ )ﺑﺪون ﺗﻮﺟﻪ ﺑﻪ اﻧﺪازه آﻧﻬﺎ(‪ ،‬در ﻋﺮض ‪ 1‬ﻳﺎ ‪ 2‬ﺛﺎﻧﻴﻪ‪ ،‬ﻓﺮﻣﺖ‬ ‫ﻣﻲﺷﻮﻧﺪ ﺑﻪ ﻧﺤﻮي ﻛﻪ ﻗﺎﺑﻞ ﺑﺎزﻳﺎﺑﻲ ﻧﻴﺴﺘﻨﺪ‪.‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎ ﻋﺒﺎرﺗﻨﺪ از‪Satellite- ،Turkojan ،DownTroj ،Biorante RAT ،T2W ،Backdoor.Theef :‬‬ ‫‪،HackerzRat ،SharK ،Rapid Hacker ،Poison Ivy ،Trojan.Hav-Rat ،DarkLabel B4 ،Yakoza ،RAT‬‬ ‫‪،AccRat ،OD Client ،ProAgent ،Optix PRO ،VicSpy ،Criminal Rat Beta ،1337 Fun Trojan ،TYO‬‬ ‫‪،VNC Trojan ،TinyFTPD ،ZombieRat ،ConsoleDevil ،SINner ،RubyRAT Public ،Mhacker-PS‬‬ ‫‪،DaCryptic ،Dark Girl ،ProRat ،Troya ،Biohazard RAT ،Skiddie Rat ،DJI RAT ،Webcam Trojan‬‬ ‫‪.Hovdy.a ،PokerStealer.A ،Net-Devil‬‬ ‫ﻧﺤﻮه ﻛﺎر ﺗﺮوﺟﺎن ‪Netcat‬‬ ‫‪ ،Netcat‬ﺗﺮوﺟﺎﻧﻲ اﺳﺖ ﻛﻪ از اﻳﻨﺘﺮﻓﻴﺲ ﺧﻂ دﺳﺘﻮري ﺑﺮاي ﺑﺎز ﻛﺮدن ﭘﻮرتﻫﺎي ‪ TCP‬ﻳﺎ ‪ UDP‬روي ﺳﻴﺴﺘﻢ‬ ‫ﻫﺪف اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﺳﭙﺲ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﻪ اﻳﻦ ﭘﻮرتﻫﺎ‪ telnet ،‬ﻛﻨﺪ و دﺳﺘﺮﺳﻲ ‪ shell‬ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف ﭘﻴﺪا ﻛﻨﺪ‪.‬‬ ‫ﻧﺸﺎﻧﻪﻫﺎي ﺣﻤﻠﻪ ﺗﺮوﺟﺎن ﭼﻴﺴﺖ؟‬ ‫رﻓﺘﺎر ﻏﻴﺮ ﻣﻌﻤﻮل ﺳﻴﺴﺘﻢ‪ ،‬ﻣﻌﻤﻮﻻ ﻧﺸﺎﻧﻪاي از ﺣﻤﻠﻪ ﺗﺮوﺟﺎن اﺳﺖ‪ .‬ﻋﻤﻠﻴﺎﺗﻲ از ﻗﺒﻴﻞ اﺟﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎ ﺑﺪون دﺧﺎﻟﺖ‬ ‫ﻛﺎرﺑﺮ‪ ،‬ﺑﺎز و ﺑﺴﺘﻪ ﺷﺪن ‪ ،CD-ROM‬ﺗﻐﻴﻴﺮ در ﺗﺼﻮﻳﺮ ‪ background‬ﻳﺎ ‪ ،screen saver‬ﻧﺸﺎن دادن وب ﺳﺎﻳﺖﻫﺎي‬ ‫ﻧﺎﺧﻮاﺳﺘﻪ ﺗﻮﺳﻂ ﺑﺮﻧﺎﻣﻪ ﻣﺮورﮔﺮ‪ ،‬ﻧﺸﺎﻧﻪﻫﺎﻳﻲ از ﺣﻤﻠﻪ ﺗﺮوﺟﺎن اﺳﺖ‪ .‬ﻫﺮ ﻋﻤﻠﻲ ﻛﻪ ﺑﺪون ﻣﺪاﺧﻠﻪ ﻛﺎرﺑﺮ اﻧﺠﺎم ﺷﻮد‪،‬‬ ‫ﻧﺸﺎﻧﻪاي از ﺣﻤﻠﻪ ﺗﺮوﺟﺎن اﺳﺖ‪.‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از ﻋﻼﺋﻢ ﺣﻤﻠﻪ ﺗﺮوﺟﺎن ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬ ‫ﻓﺎﻳﻞﻫﺎﻳﻲ ﺑﺼﻮرت ﺧﻮدﻛﺎر از ﭘﺮﻳﻨﺘﺮ‪ ،‬ﭘﺮﻳﻨﺖ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫•‬ ‫ﻛﻠﻴﺪﻫﺎي راﺳﺖ و ﭼﭗ ﻣﺎوس‪ ،‬ﺑﺼﻮرت ﻣﻌﻜﻮس ﻛﺎر ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫•‬ ‫ﻧﺸﺎﻧﮕﺮ ﻣﺎوس‪ ،‬ﻧﺎﭘﺪﻳﺪ ﻣﻲﺷﻮد‪.‬‬ ‫‪95‬‬ ‫•‬ ‫ﻧﺸﺎﻧﮕﺮ ﻣﺎوس ﺟﺎﺑﺠﺎ ﻣﻲﺷﻮد‪.‬‬ ‫•‬ ‫دﻛﻤﻪ ‪ Start‬وﻳﻨﺪوز ﻧﺎﭘﺪﻳﺪ ﻣﻲﺷﻮد‪.‬‬ ‫•‬ ‫ﺷﺮﻛﺖ ‪ ISP‬ﺑﻪ ﻛﺎرﺑﺮ اﻋﺘﺮاض ﻣﻲﻛﻨﺪ ﻛﻪ ﻛﺎﻣﭙﻴﻮﺗﺮش‪ ،‬ﻋﻤﻠﻴﺎت ‪ IP scanning‬اﻧﺠﺎم ﻣﻲدﻫﺪ‪.‬‬ ‫•‬ ‫اﻓﺮادي ﻛﻪ ﺑﺎ ﻗﺮﺑﺎﻧﻲ ﭼﺖ ﻣﻲﻛﻨﻨﺪ‪ ،‬اﻃﻼﻋﺎت ﺷﺨﺼﻲ زﻳﺎدي درﺑﺎره او ﻳﺎ ﻛﺎﻣﭙﻴﻮﺗﺮش ﻣﻲداﻧﻨﺪ‪.‬‬ ‫•‬ ‫ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺼﻮرت ﺧﻮد ﺑﻪ ﺧﻮد ﺧﺎﻣﻮش ﻣﻲﺷﻮد‪.‬‬ ‫•‬ ‫ﻧﻮار ‪ ،taskbar‬ﻧﺎﭘﺪﻳﺪ ﻣﻲﺷﻮد‪.‬‬ ‫•‬ ‫ﭘﺴﻮردﻫﺎي اﻛﺎﻧﺖﻫﺎ ﺗﻐﻴﻴﺮ ﻣﻲﻛﻨﻨﺪ ﻳﺎ اﺷﺨﺎص دﻳﮕﺮي ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ اﻛﺎﻧﺖﻫﺎ دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬ ‫•‬ ‫ﺧﺮﻳﺪﻫﺎي ﻋﺠﻴﺒﻲ در ﺻﻮرﺗﺤﺴﺎب ﻛﺎرت اﻋﺘﺒﺎري ﻣﺸﺎﻫﺪه ﻣﻲﺷﻮد‪.‬‬ ‫•‬ ‫ﻣﺎﻧﻴﺘﻮر ﻛﺎﻣﭙﻴﻮﺗﺮ‪ ،‬ﺧﻮد ﺑﻪ ﺧﻮد ﺧﺎﻣﻮش و روﺷﻦ ﻣﻲﺷﻮد‪.‬‬ ‫•‬ ‫ﻣﻮدم ﺑﺼﻮرت ﺧﻮد ﺑﻪ ﺧﻮد ﺑﻪ اﻳﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ ﻣﻲﺷﻮد‪.‬‬ ‫•‬ ‫ﻛﻠﻴﺪﻫﺎي ‪ Ctrl+Alt+Del‬ﻛﺎر ﻧﻤﻲﻛﻨﻨﺪ‪.‬‬ ‫•‬ ‫وﻗﺘﻲ ﻛﺎﻣﭙﻴﻮﺗﺮ راهاﻧﺪازي ﻣﻲﺷﻮد‪ ،‬ﭘﻴﻐﺎﻣﻲ ﻇﺎﻫﺮ ﻣﻲﺷﻮد ﻛﻪ ﻛﺎرﺑﺮ دﻳﮕﺮي ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﺘﺼﻞ اﺳﺖ‪.‬‬ ‫‪ Wrapping‬ﭼﻴﺴﺖ؟‬ ‫‪Wrapper‬ﻫﺎ ﻧﺮماﻓﺰارﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮاي ﺗﺤﻮﻳﻞ ﺗﺮوﺟﺎن ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲﮔﻴﺮﻧﺪ‪ .‬اﻳﻦ ﻧﺮماﻓﺰارﻫﺎ‪ ،‬ﺗﺮوﺟﺎن‬ ‫را ﺑﻪ ﻳﻚ ﻓﺎﻳﻞ ﻣﻌﻤﻮﻟﻲ ﻣﻲﭼﺴﺒﺎﻧﻨﺪ‪ .‬ﻫﺮ دوي اﻳﻦ ﻓﺎﻳﻞﻫﺎ داﺧﻞ ﻳﻚ ﻓﺎﻳﻞ اﺟﺮاﻳﻲ ﺗﺮﻛﻴﺐ ﻣﻲﺷﻮﻧﺪ و زﻣﺎﻧﻴﻜﻪ ﺑﺮﻧﺎﻣﻪ‬ ‫اﺟﺮا ﻣﻲﺷﻮد‪ ،‬ﻧﺼﺐ ﻣﻲﺷﻮد‪ .‬ﺑﻄﻮر ﻛﻠﻲ‪ ،‬ﺑﺎزيﻫﺎ ﺑﻪ ﻋﻨﻮان ‪wrapper‬ﻫﺎ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲﮔﻴﺮﻧﺪ ﺑﺮاي اﻳﻨﻜﻪ زﻣﺎﻧﻴﻜﻪ‬ ‫ﺗﺮوﺟﺎن در ﺣﺎل ﻧﺼﺐ اﺳﺖ ﻛﺎرﺑﺮ را ﻣﺸﻐﻮل ﻣﻲﻛﻨﺪ‪ .‬از اﻳﻦ رو‪ ،‬زﻣﺎﻧﻴﻜﻪ ﺗﺮوﺟﺎن در ﺣﺎل ﻧﺼﺐ ﺑﺮ روي ﺳﻴﺴﺘﻢ اﺳﺖ‪،‬‬ ‫ﻛﺎرﺑﺮ ﻣﺘﻮﺟﻪ ﻛﻨﺪي ﺳﻴﺴﺘﻢ ﻧﻤﻲﺷﻮد و ﺗﻨﻬﺎ ﺑﺮﻧﺎﻣﻪ ﺧﻮد را ﻣﻲﺑﻴﻨﺪ ﻛﻪ در ﺣﺎل ﻧﺼﺐ اﺳﺖ‪.‬‬ ‫‪96‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Graffiti‬ﻳﻚ ﺑﺎزي اﻧﻴﻤﺸﻨﻲ اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﺎ ﻳﻚ ﺗﺮوﺟﺎن ﺗﺮﻛﻴﺐ ﺷﻮد‪ .‬اﻳﻦ ﺑﺎزي‪ ،‬ﻛﺎرﺑﺮ را ﻣﺸﻐﻮل ﻧﮕﻪ ﻣﻲدارد ﺗﺎ‬ ‫ﺗﺮوﺟﺎن در ﭘﺸﺖ زﻣﻴﻨﻪ ﻧﺼﺐ ﺷﻮد‪ .‬اﻳﻦ ﺑﺮﻧﺎﻣﻪ زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ راهاﻧﺪازي ﺷﺪ‪ ،‬اﺟﺮا ﻣﻲﺷﻮد و ﻛﺎﻣﭙﻴﻮﺗﺮ را ﻣﺸﻐﻮل ﻧﮕﻪ‬ ‫ﻣﻲدارد ﺗﺎ ﻣﺘﻮﺟﻪ ﻧﺼﺐ ﺗﺮوﺟﺎن ﻧﺸﻮد‪.‬‬ ‫‪ ،RemoteByMail‬ﻛﺎﻣﭙﻴﻮﺗﺮ ﻗﺮﺑﺎﻧﻲ را ﺑﺎ اﺳﺘﻔﺎده از اﻳﻤﻴﻞ ﻛﻨﺘﺮل ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎ ارﺳﺎل دﺳﺘﻮرات از ﻃﺮﻳﻖ اﻳﻤﻴﻞ‪ ،‬ﻣﻲﺗﻮاﻧﺪ‬ ‫ﻓﺎﻳﻞﻫﺎ ﻳﺎ ﻓﻮﻟﺪرﻫﺎ را از ﻛﺎﻣﭙﻴﻮﺗﺮ ﻗﺮﺑﺎﻧﻲ ﺑﺎزﻳﺎﺑﻲ ﻛﻨﺪ‪.‬‬ ‫‪ ،Silk Rope 2000‬ﻳﻚ ‪ wrapper‬اﺳﺖ ﻛﻪ ‪ BackOrifice server‬و ﻫﺮ ﺑﺮﻧﺎﻣﻪ ﻣﺸﺨﺺ دﻳﮕﺮ را ﺑﺎ ﻫﻢ ﺗﺮﻛﻴﺐ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،EliTeWrap‬ﺑﺮﻧﺎﻣﻪ ‪ wrapper‬ﭘﻴﺸﺮﻓﺘﻪ ﺗﺤﺖ وﻳﻨﺪوز اﺳﺖ ﻛﻪ ﺑﺮاي ﻧﺼﺐ و اﺟﺮاﻳﻲ ﺑﺮﻧﺎﻣﻪﻫﺎ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫‪ ،EliTeWrap‬ﻣﻲﺗﻮاﻧﺪ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻧﺼﺒﻲ ﺑﺮاي ﻛﭙﻲ ﻓﺎﻳﻞﻫﺎي داﺧﻞ ﻳﻚ داﻳﺮﻛﺘﻮري و اﺟﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎ ﻳﺎ ﻓﺎﻳﻞﻫﺎي‬ ‫دﺳﺘﻪاي اﺳﺘﻔﺎده ﺷﻮد‪.‬‬ ‫‪ ،IconPlus‬ﺑﺮﻧﺎﻣﻪاي ﺑﺮاي ﺗﺮﺟﻤﻪ آﻳﻜﻦﻫﺎ ﺑﻪ ﻓﺮﻣﺖﻫﺎي ﻣﺨﺘﻠﻒ اﺳﺖ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از اﻳﻦ ﺑﺮﻧﺎﻣﻪﻫﺎ ﺑﺮاي ﭘﻨﻬﺎن ﻛﺮدن‬ ‫ﻛﺪﻫﺎي ﻣﺨﺮب ﻳﺎ ﺗﺮوﺟﺎن اﺳﺘﻔﺎده ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻛﺎرﺑﺮان ﻓﺮﻳﺐ ﻣﻲﺧﻮرﻧﺪ و آن را اﺟﺮا ﻣﻲﻛﻨﻨﺪ و ﮔﻤﺎن ﻣﻲﻛﻨﻨﺪ ﻛﻪ آن‬ ‫ﻳﻚ ﻓﺎﻳﻞ ﻣﻌﻤﻮﻟﻲ اﺳﺖ‪.‬‬ ‫اﺑﺰارﻫﺎي ﺳﺎﺧﺖ ﺗﺮوﺟﺎن‬ ‫اﺑﺰارﻫﺎي زﻳﺎدي ﺑﺮاي ﺳﺎﺧﺖ ﺗﺮوﺟﺎن وﺟﻮد دارد ﻛﻪ ﺑﻪ ﻫﻜﺮﻫﺎ در ﺳﺎﺧﺖ ﺗﺮوﺟﺎن ﻣﻮرد ﻧﻈﺮﺷﺎن ﻛﻤﻚ ﻣﻲﻛﻨﺪ‪.‬‬ ‫اﻳﻦ اﺑﺰارﻫﺎ ﺑﻪ ﻫﻜﺮﻫﺎ ﺑﺮاي ﺳﺎﺧﺖ ﺗﺮوﺟﺎن ﺳﻔﺎرﺷﻲ ﺷﺪه ﻛﻤﻚ ﻣﻲﻛﻨﻨﺪ و اﮔﺮ ﺑﻪ درﺳﺘﻲ اﺳﺘﻔﺎده ﻧﺸﻮﻧﺪ‪ ،‬ﺧﻄﺮﻧﺎك‬ ‫ﻣﻲﺷﻮﻧﺪ و ﻣﻲﺗﻮاﻧﻨﺪ آﺳﻴﺐ ﺑﺮﺳﺎﻧﻨﺪ‪ .‬ﺗﺮوﺟﺎنﻫﺎﻳﻲ ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از اﻳﻦ اﺑﺰارﻫﺎ و ﺑﺼﻮرت ﺳﻔﺎرﺷﻲ ﺳﺎﺧﺘﻪ ﻣﻲﺷﻮﻧﺪ ﻳﻚ‬ ‫ﻣﺰﻳﺖ ﺑﺰرگ دارﻧﺪ و آن اﻳﻨﺴﺖ ﻛﻪ از دﺳﺖ ﻧﺮماﻓﺰارﻫﺎي آﻧﺘﻲ وﻳﺮوس ﻣﺨﻔﻲ ﻣﻲﻣﺎﻧﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺎ ﻫﻴﭽﻜﺪام از‬ ‫‪signature‬ﻫﺎﻳﻲ ﻛﻪ در ﻧﺮماﻓﺰار آﻧﺘﻲ وﻳﺮوس وﺟﻮد دارﻧﺪ‪ ،‬ﻣﺸﺎﺑﻪ ﻧﻴﺴﺘﻨﺪ‪.‬‬ ‫ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي ﺳﺎﺧﺖ ﺗﺮوﺟﺎن ﻋﺒﺎرﺗﻨﺪ از‪Trojan Horse Construction Kit ،Senna Spy Generetor :‬‬ ‫‪ ،Progenic Mail Trojan Construction Kit ،v2.0‬و ‪.Pandora’s Box‬‬ ‫‪97‬‬ ‫ﺗﻜﻨﻴﻚﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﺮوﺟﺎنﻫﺎ ﭼﻴﺴﺖ؟‬ ‫ﺑﺴﻴﺎري از ﻧﺮماﻓﺰارﻫﺎي آﻧﺘﻲ وﻳﺮوس‪ ،‬ﻗﺎﺑﻠﻴﺘﻬﺎي آﻧﺘﻲ ﺗﺮوﺟﺎن و ﺗﺸﺨﻴﺺ ‪ spyware‬را دارﻧﺪ‪ .‬اﻳﻦ اﺑﺰارﻫﺎ‬ ‫ﻣﻲﺗﻮاﻧﻨﺪ در زﻣﺎن آﻏﺎز ﺑﻪ ﻛﺎر ﻛﺎﻣﭙﻴﻮﺗﺮ‪ ،‬ﺑﺼﻮرت ﺧﻮدﻛﺎر دراﻳﻮﻫﺎ را اﺳﻜﻦ ﻛﻨﻨﺪ ﺗﺎ ‪backdoor‬ﻫﺎ و ﺗﺮوﺟﺎنﻫﺎ را‬ ‫ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﺳﻴﺴﺘﻤﻲ آﻟﻮده ﺷﺪ‪ ،‬ﭘﺎﻛﺴﺎزي آن ﺑﺴﻴﺎر دﺷﻮار ﻣﻲﺷﻮد اﻣﺎ ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ ﺑﺎ اﺑﺰارﻫﺎي ﺗﺠﺎري‬ ‫در دﺳﺘﺮس‪ ،‬اﻳﻨﻜﺎر را اﻧﺠﺎم دﻫﻴﺪ‪.‬‬ ‫ﻣﻬﻢ اﺳﺖ ﻛﻪ ﺑﻪ ﺟﺎي اﺳﺘﻔﺎده از اﺑﺰارﻫﺎي راﻳﮕﺎن‪ ،‬از ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺠﺎري ﺑﺮاي ﭘﺎﻛﺴﺎزي ﻳﻚ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده‬ ‫ﻛﻨﻴﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي راﻳﮕﺎن‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ ﺳﻴﺴﺘﻢ را آﻟﻮده ﻛﻨﻨﺪ‪ .‬ﻋﻼوه ﺑﺮ اﻳﻦ‪ ،‬اﺑﺰارﻫﺎي ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ‬ ‫ﭘﻮرت‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ ﭘﻮرتﻫﺎﻳﻲ ﻛﻪ ﺑﺎز ﻫﺴﺘﻨﺪ ﻳﺎ ﻓﺎﻳﻞﻫﺎﻳﻲ ﻛﻪ ﺗﻐﻴﻴﺮ ﻳﺎﻓﺘﻪاﻧﺪ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ‪.‬‬ ‫ﺗﻜﻨﻴﻚﻫﺎي ﮔﺮﻳﺰ از ﺗﺮوﺟﺎن‬ ‫ﻛﻠﻴﺪ ﺟﻠﻮﮔﻴﺮي از ﻧﺼﺐ ﺗﺮوﺟﺎنﻫﺎ و ‪backdoor‬ﻫﺎ اﻳﻨﺴﺖ ﻛﻪ ﺑﻪ ﻛﺎرﺑﺮان آﻣﻮزش دﻫﻴﺪ ﺗﺎ ﺑﺮﻧﺎﻣﻪﻫﺎ را از اﻳﻨﺘﺮﻧﺖ‬ ‫داﻧﻠﻮد ﻧﻜﻨﻨﺪ و ﺿﻤﺎﺋﻢ اﻳﻤﻴﻞﻫﺎﻳﻲ ﻛﻪ ﻓﺮﺳﺘﻨﺪه آن را ﻧﻤﻲﺷﻨﺎﺳﻨﺪ را ﺑﺎز ﻧﻜﻨﻨﺪ‪ .‬ﺑﻪ ﻫﻤﻴﻦ دﻟﻴﻞ‪ ،‬ﺑﺴﻴﺎري از ﻣﺪﻳﺮان‬ ‫ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬اﺟﺎزه ﻧﺼﺐ ﺑﺮﻧﺎﻣﻪ را ﺑﻪ ﻛﺎرﺑﺮان ﺧﻮد ﻧﻤﻲدﻫﻨﺪ‪.‬‬ ‫‪98‬‬ ‫ﭼﮕﻮﻧﻪ ﺗﺮوﺟﺎن را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻴﻢ؟‬ ‫•‬ ‫ﭘﻮرت را ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن ‪ ،Fport ،Netstat‬و ‪ TCPView‬اﺳﻜﻦ ﻛﻨﻴﺪ ﺗﺎ ﭘﻮرتﻫﺎي ﺑﺎز‬ ‫ﻣﺸﻜﻮك را ﭘﻴﺪا ﻛﻨﻴﺪ‪.‬‬ ‫•‬ ‫ﭘﺮدازشﻫﺎي در ﺣﺎل اﺟﺮا ﺑﺎ اﺳﺘﻔﺎده از ‪ Insider ،What's on my computer ،Process Viewer‬اﺳﻜﻦ‬ ‫ﻛﻨﻴﺪ ﺗﺎ ﭘﺮدازشﻫﺎي ﻣﺸﻜﻮك را ﺑﺒﻴﻨﻴﺪ‪.‬‬ ‫•‬ ‫ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن ‪ What's on my computer‬و ‪ ،MS Config‬رﺟﻴﺴﺘﺮي را اﺳﻜﻦ ﻛﻨﻴﺪ ﺗﺎ‬ ‫وروديﻫﺎي ﻣﺸﻜﻮك را ﭘﻴﺪا ﻛﻨﻴﺪ‪.‬‬ ‫•‬ ‫ﻓﻌﺎﻟﻴﺖﻫﺎي ﻣﺸﻜﻮك ﺷﺒﻜﻪ را ﺑﺎ اﺳﺘﻔﺎده از ‪ Ethereal‬اﺳﻜﻦ ﻛﻨﻴﺪ‪.‬‬ ‫•‬ ‫از ‪Trojan scanner‬ﻫﺎ ﺑﺮاي ﻳﺎﻓﺘﻦ ﺗﺮوﺟﺎنﻫﺎ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ‪Port-Monitoring and Trojan-Detection‬‬ ‫‪ ،Fport‬ﺗﻤﺎم ﭘﻮرتﻫﺎي ﺑﺎز ‪ TCP‬و ‪ UDP‬را ﻧﺸﺎن ﻣﻲدﻫﺪ‪ .‬ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ از ‪ fport‬ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﭘﻮرتﻫﺎي ﺑﺎز و‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎي ﻣﺮﺑﻮط ﺑﻪ ﻫﺮ ﭘﻮرت اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬ ‫‪ ،Dsniff‬ﻣﺠﻤﻮﻋﻪاي از اﺑﺰارﻫﺎ اﺳﺖ ﻛﻪ ﺑﺮاي ﺑﺮرﺳﻲ ﺷﺒﻜﻪ و ﺗﺴﺖ ﻧﻔﻮذ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪،filesnarf ،Dsniff .‬‬ ‫‪ ،urlsnarf ،msgsnarf ،mailsnarf‬و ‪ WebSpy‬ﺷﺒﻜﻪ را ﺑﺼﻮرت ﭘﺴﻴﻮ ﻣﺎﻧﻴﺘﻮر ﻣﻲﻛﻨﻨﺪ ﺗﺎ دادهﻫﺎ ﻣﻬﻢ از ﻗﺒﻴﻞ‬ ‫ﭘﺴﻮردﻫﺎ‪ ،‬اﻳﻤﻴﻞ‪ ،‬و اﻧﺘﻘﺎﻻت ﻓﺎﻳﻞﻫﺎ را ﭘﻴﺪا ﻛﻨﺪ‪ Sshmitm .‬و ‪ ،webmitm‬ﺣﻤﻼت ‪ man-in-the-middle‬را ﺑﺮاي‬ ‫ﻧﺸﺴﺖﻫﺎي ‪ SSH‬و ‪ HTTP‬ﺑﺮ روي ‪ (HTTPS) SSL‬اﻧﺠﺎم ﻣﻲدﻫﻨﺪ‪.‬‬ ‫‪ ،PrcView‬ﺑﺮﻧﺎﻣﻪ ﻣﺸﺎﻫﺪه ﭘﺮدازشﻫﺎ اﺳﺖ ﻛﻪ اﻃﻼﻋﺎت ﺟﺰﺋﻲ درﺑﺎره ﭘﺮدازشﻫﺎﻳﻲ ﻛﻪ در وﻳﻨﺪوز در ﺣﺎل اﺟﺮا ﻫﺴﺘﻨﺪ‬ ‫را ﻧﺸﺎن ﻣﻲدﻫﺪ‪ ،PrcView .‬ﻧﺴﺨﻪ دﺳﺘﻮري اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﻴﺪ ﺑﺮاي ﻧﻮﺷﺘﻦ اﺳﻜﺮﻳﭙﺖ اﺳﺘﻔﺎده ﻛﻨﻴﺪ ﺗﺎ ﺑﺒﻴﻨﻴﺪ آﻳﺎ‬ ‫ﭘﺮدازﺷﻲ در ﺣﺎل اﺟﺮا اﺳﺖ و ﻳﺎ آن را ﻣﺘﻮﻗﻒ ﺳﺎزﻳﺪ‪.‬‬ ‫‪ ،Inzider‬اﺑﺰاري ﻣﻔﻴﺪ اﺳﺖ ﻛﻪ ﭘﺮدازشﻫﺎي وﻳﻨﺪوز و ﭘﻮرتﻫﺎﻳﻲ ﻛﻪ ﻫﺮ ﻛﺪام ﮔﻮش ﻣﻲدﻫﻨﺪ را ﻟﻴﺴﺖ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،Inzider‬ﺑﺮﺧﻲ از ﺗﺮوﺟﺎنﻫﺎ را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮاي ﻧﻤﻮﻧﻪ ‪ ،BackOriffice‬ﺧﻮد را داﺧﻞ ﭘﺮدازشﻫﺎي دﻳﮕﺮ ﺗﺰرﻳﻖ‬ ‫ﻣﻲﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬در ‪ Task Manager‬ﺑﻪ ﻋﻨﻮان ﭘﺮدازش ﺟﺪاﮔﺎﻧﻪ ﻧﺸﺎن داده ﻧﻤﻲﺷﻮد اﻣﺎ ﭘﻮرﺗﻲ را ﺑﺎز ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﻪ آن‬ ‫ﮔﻮش ﻣﻲدﻫﺪ‪.‬‬ ‫‪ ،TCPView‬ﺑﺮﻧﺎﻣﻪ وﻳﻨﺪوزي اﺳﺖ ﻛﻪ ﻟﻴﺴﺖ ﺗﻤﺎم ‪endpoint‬ﻫﺎي ‪ TCP‬و ‪ UDP‬را در ﺳﻴﺴﺘﻢ ﻧﺸﺎن ﻣﻲدﻫﺪ از ﺟﻤﻠﻪ‬ ‫آدرسﻫﺎي ﻣﺤﻠﻲ و راه دور و وﺿﻌﻴﺖ ارﺗﺒﺎﻃﺎت‪.‬‬ ‫‪99‬‬ ‫‪ ،Tripwire‬ﻳﻜﭙﺎرﭼﮕﻲ ﺳﻴﺴﺘﻢ را ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ‪ .‬از ﺗﻤﺎم ﻓﺎﻳﻞﻫﺎي ﻛﻠﻴﺪي ﺳﻴﺴﺘﻢ ﻳﺎ ﻫﺮ ﻓﺎﻳﻠﻲ ﻛﻪ ﺑﺎﻳﺪ ﻣﺎﻧﻴﺘﻮر ﺷﻮد‪،‬‬ ‫‪hash‬ﻫﺎ را ﺑﺼﻮرت ﺧﻮدﻛﺎر ﻣﻲﺳﺎزد‪ .‬ﻧﺮماﻓﺰار ‪ ،Tripwire‬ﺑﺼﻮرت دورهاي آن ﻓﺎﻳﻞﻫﺎ را اﺳﻜﻦ ﻣﻲﻛﻨﺪ و اﻃﻼﻋﺎت را‬ ‫دوﺑﺎره ﻣﺤﺎﺳﺒﻪ ﻣﻲﻛﻨﺪ و ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ ﻛﻪ آﻳﺎ اﻃﻼﻋﺎﺗﻲ ﺗﻐﻴﻴﺮ ﻛﺮده اﺳﺖ ﻳﺎ ﻧﻪ‪ .‬و اﮔﺮ ﺗﻐﻴﻴﺮي ﺣﺎﺻﻞ ﺷﺪه ﺑﺎﺷﺪ‪ ،‬ﭘﻴﻐﺎم‬ ‫ﻫﺸﺪاري ﻣﻲدﻫﺪ‪.‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎ ﻋﺒﺎرﺗﻨﺪ از‪Hijack ،Autoruns ،What's Running ،Super System Helper ،CurrPorts :‬‬ ‫‪.Startup List ،This‬‬ ‫ﺑﺮرﺳﻲ ﺳﻴﺴﺘﻢ ﻓﺎﻳﻞ ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﺮوﺟﺎن‬ ‫وﻳﻨﺪوز ﺳﺮور ‪ ،2003‬داراي ﻗﺎﺑﻠﻴﺘﻲ ﺑﻪ ﻧﺎم ‪ (Windows File Protection) WFP‬اﺳﺖ ﻛﻪ از ﺟﺎﻳﮕﺰﻳﻨﻲ‬ ‫ﻓﺎﻳﻞﻫﺎي ﻣﺤﺎﻓﻈﺖ ﺷﺪه ﺟﻠﻮﮔﻴﺮي ﻣﻲﻛﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﺗﻼﺷﻲ ﺑﺮاي ﻧﻮﺷﺘﻦ ﻓﺎﻳﻞ ‪ TTF ،OCX ،DLL ،SYS‬ﻳﺎ ‪EXE‬‬ ‫اﻧﺠﺎم ﻣﻲﺷﻮد‪ ،WFP ،‬ﻳﻜﭙﺎرﭼﮕﻲ ﻓﺎﻳﻞ را ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﺳﺒﺐ ﻣﻲﺷﻮد ﻛﻪ ﻣﻄﻤﺌﻦ ﺷﻮﻳﻢ ﺗﻨﻬﺎ ﻓﺎﻳﻞﻫﺎي ﻣﻮرد‬ ‫ﺗﺎﺋﻴﺪ ﻣﺎﻳﻜﺮوﺳﺎﻓﺖ ﺑﺮاي ﺟﺎﻳﮕﺰﻳﻨﻲ ﻓﺎﻳﻞﻫﺎي ﺳﻴﺴﺘﻤﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫اﺑﺰاري دﻳﮕﺮي ﺑﻪ ﻧﺎم ‪ ،sigverif‬ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ ﻛﻪ ﻛﺪام ﻓﺎﻳﻞﻫﺎي ﻣﺎﻳﻜﺮوﺳﺎﻓﺖ ﺑﺼﻮرت دﻳﺠﻴﺘﺎﻟﻲ اﻣﻀﺎ ﺷﺪهاﻧﺪ‪.‬‬ ‫ﺑﺮاي اﺟﺮاي ‪ ،sigverif‬ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ‪:‬‬ ‫‪ .1‬ﺑﺮ روي دﻛﻤﻪ ‪ Start‬ﻛﻠﻴﻚ ﻛﻨﻴﺪ‪.‬‬ ‫‪ .2‬ﺑﺮ روي ‪ Run‬ﻛﻠﻴﺪ ﻛﻨﻴﺪ‪.‬‬ ‫‪ .3‬دﺳﺘﻮر ‪ sigverif‬را ﺗﺎﻳﭗ ﻛﻨﻴﺪ و ﺑﺮ روي ‪ start‬ﻛﻠﻴﻚ ﻛﻨﻴﺪ‪ .‬ﻧﺘﺎﻳﺞ ﻧﺸﺎن داده ﺧﻮاﻫﺪ ﺷﺪ‪.‬‬ ‫‪ ،System File Checker‬اﺑﺰار دﺳﺘﻮري دﻳﮕﺮي اﺳﺖ ﻛﻪ ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ آﻳﺎ ﺗﺮوﺟﺎن‪ ،‬ﻓﺎﻳﻠﻲ را ﺟﺎﻳﮕﺰﻳﻦ ﻛﺮده‬ ‫اﺳﺖ ﻳﺎ ﻧﻪ‪ .‬اﮔﺮ اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﺗﺸﺨﻴﺺ دﻫﺪ ﻛﻪ ﻓﺎﻳﻠﻲ ﺗﻐﻴﻴﺮ ﻛﺮده اﺳﺖ‪ ،‬ﻓﺎﻳﻞ ﻣﻨﺎﺳﺐ را از ﭘﻮﺷﻪ‬ ‫‪ Windows\system32\dllcache‬ﺑﺎزﻳﺎﺑﻲ ﻣﻲﻛﻨﺪ و ‪ overwrite‬ﻣﻲﻛﻨﺪ‪ .‬دﺳﺘﻮر اﺟﺮاي ‪،System File Checker‬‬ ‫ﺑﺼﻮرت ‪ sfc/scannow‬اﺳﺖ‪.‬‬ ‫ﺑﺮﺧﻲ از ﻧﺮماﻓﺰارﻫﺎي آﻧﺘﻲ ﺗﺮوﺟﺎن ﻋﺒﺎرﺗﻨﺪ از‪،XoftspySE ،Comodo BOClean ،TrojanHunter :‬‬ ‫‪.SPYWAREfighter ،Spyware Doctor‬‬ ‫‪100‬‬ ‫وﻳﺮوسﻫﺎ و ‪worm‬ﻫﺎ‬ ‫وﻳﺮوسﻫﺎ و ‪worm‬ﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺮاي آﻟﻮده ﻛﺮدن ﻳﻚ ﺳﻴﺴﺘﻢ و اﻳﺠﺎد ﺗﻐﻴﻴﺮات در آن ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﺮاي‬ ‫ﻫﻜﺮ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪ .‬ﺑﺴﻴﺎري از وﻳﺮوسﻫﺎ و ‪worm‬ﻫﺎ‪ ،‬ﺗﺮوﺟﺎنﻫﺎ و ‪backdoor‬ﻫﺎ را دارﻧﺪ‪ .‬در اﻳﻦ روش‪ ،‬ﻳﻚ وﻳﺮوس ﻳﺎ‬ ‫‪ ،worm‬ﺣﺎﻣﻞ ﻫﺴﺘﻨﺪ ﻛﻪ ﻛﺪﻫﺎي ﻣﺨﺮب ﻫﻤﭽﻮن ﺗﺮوﺟﺎنﻫﺎ و ‪backdoor‬ﻫﺎ را از ﺳﻴﺴﺘﻤﻲ ﺑﻪ ﺳﻴﺴﺘﻢ دﻳﮕﺮي اﻧﺘﻘﺎل‬ ‫ﻣﻲدﻫﻨﺪ‪.‬‬ ‫ﺗﻔﺎوت ﺑﻴﻦ وﻳﺮوس و ‪worm‬‬ ‫ﺗﺸﺎﺑﻪ وﻳﺮوس و ‪ worm‬اﻳﻦ اﺳﺖ ﻛﻪ ﻫﺮ دو ﺟﺰ ﻧﺮماﻓﺰارﻫﺎي ﻣﺨﺮب )‪ (malware‬ﻫﺴﺘﻨﺪ‪ .‬وﻳﺮوس‪ ،‬ﺑﺮﻧﺎﻣﻪ اﺟﺮاﻳﻲ‬ ‫دﻳﮕﺮي را آﻟﻮده ﻣﻲﻛﻨﺪ و از اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﺑﺮاي اﻧﺘﺸﺎر ﺧﻮد اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﻛﺪ وﻳﺮوس داﺧﻞ ﺑﺮﻧﺎﻣﻪ ﺗﺰرﻳﻖ ﻣﻲﺷﻮد و‬ ‫زﻣﺎﻧﻴﻜﻪ ﺑﺮﻧﺎﻣﻪ اﺟﺮا ﻣﻲﺷﻮد‪ ،‬اﻧﺘﺸﺎر ﻣﻲﻳﺎﺑﺪ‪ .‬ﻣﺜﺎﻟﻲ از ﺑﺮﻧﺎﻣﻪﻫﺎي ﺣﺎﻣﻞ وﻳﺮوس ﻋﺒﺎرﺗﻨﺪ از‪ :‬ﻣﺎﻛﺮوﻫﺎ‪ ،‬ﺑﺎزيﻫﺎ‪ ،‬ﺿﻤﺎﻳﻢ‬ ‫اﻳﻤﻴﻞ‪ ،‬اﺳﻜﺮﻳﭙﺖﻫﺎي وﻳﮋوال ﺑﻴﺴﻴﻚ و اﻧﻴﻤﺸﻦﻫﺎ‪.‬‬ ‫‪101‬‬ ‫ﺑﺴﻴﺎري از وﻳﺮوس داراي دو ﻣﺮﺣﻠﻪ ﻫﺴﺘﻨﺪ‪ :‬ﻣﺮﺣﻠﻪ آﻟﻮده ﺳﺎزي )‪ (Infection‬و ﻣﺮﺣﻠﻪ ﺣﻤﻠﻪ )‪.(Attack‬‬ ‫ﺗﺼﻮﻳﺮ زﻳﺮ ﻃﺮز ﻛﺎر وﻳﺮوس در ﻣﺮﺣﻠﻪ آﻟﻮده ﺳﺎزي را ﻧﺸﺎن ﻣﻲدﻫﺪ ﻛﻪ ﻓﺎﻳﻞ ‪ EXE‬را ﺑﺮاي آﻟﻮده ﻛﺮدن ﺑﺮﻧﺎﻣﻪﻫﺎ‪،‬‬ ‫ﺿﻤﻴﻤﻪ ﻣﻲﻛﻨﺪ‪:‬‬ ‫در ﺗﺼﻮﻳﺮ زﻳﺮ ﻧﻴﺰ ﻛﻪ ﻣﺮﺑﻮط ﺑﻪ ﻣﺮﺣﻠﻪ ﺣﻤﻠﻪ اﺳﺖ‪ ،‬ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﻪ دﻟﻴﻞ ‪ fragment‬ﺷﺪن‪ ،‬ﺧﺎﻣﻮش ﻣﻲﺷﻮد‪:‬‬ ‫‪102‬‬ ‫ﻧﺸﺎﻧﻪﻫﺎي ﺣﻤﻠﻪ وﻳﺮوس ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬ ‫ﻓﺮآﻳﻨﺪﻫﺎ زﻣﺎن ﮔﻴﺮ ﻫﺴﺘﻨﺪ و ﻣﻨﺎﺑﻊ و زﻣﺎن ﺑﻴﺸﺘﺮي را ﺻﺮف ﻣﻲﻛﻨﻨﺪ‬ ‫•‬ ‫ﻣﺸﻜﻼت ﺧﺎص ﺳﺨﺖاﻓﺰاري‬ ‫•‬ ‫اﮔﺮ ﻟﻴﺒﻞ ﻳﻜﻲ از دارﻳﻮﻫﺎ ﺗﻐﻴﻴﺮ ﻛﻨﺪ‬ ‫•‬ ‫اﮔﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺷﻤﺎ ﻣﺮﺗﺒﺎ ﻫﻨﮓ ﻣﻲﻛﻨﺪ و ﭘﻴﻐﺎمﻫﺎي ﺧﻄﺎ ﻣﻲدﻫﺪ‬ ‫•‬ ‫زﻣﺎﻧﻴﻜﻪ ﺑﺮﻧﺎﻣﻪﻫﺎ در ﺣﺎل اﺟﺮا ﻫﺴﺘﻨﺪ‪ ،‬ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺴﻴﺎر ﻛﻨﺪ اﺳﺖ‬ ‫•‬ ‫ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺑﺎﻻ ﻧﻤﻲآﻳﺪ‬ ‫•‬ ‫ﻓﺎﻳﻞﻫﺎ و ﻓﻮﻟﺪرﻫﺎ ﺑﺼﻮرت ﻧﺎﮔﻬﺎﻧﻲ ﻧﺎﭘﺪﻳﺪ ﻣﻲﺷﻮﻧﺪ ﻳﺎ ﻣﺤﺘﻮاي آﻧﻬﺎ ﺗﻐﻴﻴﺮ ﻣﻲﻛﻨﺪ‬ ‫•‬ ‫‪ ،Internet Explorer‬ﻫﻨﮓ ﻣﻲﻛﻨﺪ‬ ‫•‬ ‫دوﺳﺖ ﺷﻤﺎ اﻋﻼم ﻣﻲﻛﻨﺪ ﻛﻪ ﭘﻴﺎﻣﻲ از ﺷﻤﺎ درﻳﺎﻓﺖ ﻛﺮده اﺳﺖ اﻣﺎ ﺷﻤﺎ ﻫﺮﮔﺰ ﻫﻤﭽﻴﻦ ﭘﻴﺎمﻫﺎ را ارﺳﺎل‬ ‫ﻧﻜﺮدهاﻳﺪ‬ ‫‪ ،worm‬ﻧﻮﻋﻲ وﻳﺮوس اﺳﺖ ﺑﺎ اﻳﻦ ﺗﻔﺎوت ﻛﻪ ﺧﻮد را ﻣﻨﺘﺸﺮ ﻣﻲﻛﻨﺪ‪ ،worm .‬ﺧﻮد را ﺑﺼﻮرت ﺧﻮدﻛﺎر از‬ ‫ﺳﻴﺴﺘﻤﻲ ﺑﻪ ﺳﻴﺴﺘﻢ دﻳﮕﺮ ﻣﻨﺘﺸﺮ ﻣﻲﻛﻨﺪ اﻣﺎ وﻳﺮوس ﺑﺮاي اﻧﺘﺸﺎر ﺧﻮد ﻧﻴﺎز ﺑﻪ ﺑﺮﻧﺎﻣﻪ دﻳﮕﺮي دارد‪ .‬وﻳﺮوس و ‪ worm‬ﻫﺮ‬ ‫دو ﺑﺪون داﻧﺶ ﻳﺎ اﻃﻼع ﻛﺎرﺑﺮ اﺟﺮا ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪103‬‬ ‫اﻧﻮاع وﻳﺮوس‬ ‫وﻳﺮوسﻫﺎ ﺑﺮ ﺣﺴﺐ دو ﻓﺎﻛﺘﻮر دﺳﺘﻪ ﺑﻨﺪي ﻣﻲﺷﻮﻧﺪ‪ :‬ﭼﻪ ﭼﻴﺰي و ﭼﮕﻮﻧﻪ آﻟﻮده ﻣﻲﻛﻨﻨﺪ‪ .‬وﻳﺮوس ﻣﻲﺗﻮاﻧﺪ ﻋﻨﺎﺻﺮ‬ ‫زﻳﺮ را در ﺳﻴﺴﺘﻢ آﻟﻮده ﻛﻨﺪ‪:‬‬ ‫•‬ ‫ﺳﻜﺘﻮرﻫﺎي ﺳﻴﺴﺘﻢ‬ ‫•‬ ‫ﻓﺎﻳﻞﻫﺎ‬ ‫•‬ ‫ﻣﺎﻛﺮوﻫﺎ‬ ‫•‬ ‫ﻓﺎﻳﻞﻫﺎي ﺳﻴﺴﺘﻤﻲ ﻫﻤﭽﻮن ‪ DLL‬و ‪INI‬‬ ‫•‬ ‫ﻛﻼﺳﺘﺮﻫﺎي دﻳﺴﻚ‬ ‫•‬ ‫ﻓﺎﻳﻞﻫﺎي دﺳﺘﻪاي )ﻓﺎﻳﻞﻫﺎي ‪(BAT‬‬ ‫•‬ ‫ﻛﺪ ﻣﻨﺒﻊ )‪(Source code‬‬ ‫ﭼﮕﻮﻧﻪ وﻳﺮوس ﮔﺴﺘﺮش ﻣﻲﻳﺎﺑﺪ و ﺳﻴﺴﺘﻢ را آﻟﻮده ﻣﻲﻛﻨﺪ‬ ‫وﻳﺮوسﻫﺎ ﺑﺮ ﺣﺴﺐ ﺗﻜﻨﻴﻚ آﻟﻮده ﺳﺎزي ﺧﻮد ﺑﻪ اﻧﻮاع زﻳﺮ دﺳﺘﻪ ﺑﻨﺪي ﻣﻲﺷﻮﻧﺪ‪:‬‬ ‫وﻳﺮوسﻫﺎي ‪) polymorphic‬ﭼﻨﺪ رﻳﺨﺘﻲ(‪ :‬اﻳﻦ وﻳﺮوسﻫﺎ‪ ،‬ﻛﺪ را ﺑﻪ ﺷﻜﻞ دﻳﮕﺮي رﻣﺰﮔﺬاري ﻣﻲﻛﻨﻨﺪ و ﻣﻲﺗﻮاﻧﻨﺪ‬ ‫ﺑﻪ ﺷﻜﻞﻫﺎي ﻣﺨﺘﻠﻒ ﺗﻐﻴﻴﺮ ﻛﻨﻨﺪ ﺗﺎ از ﺷﻨﺎﺳﺎﻳﻲ ﺷﺪن ﺟﻠﻮﮔﻴﺮي ﻛﻨﻨﺪ‪.‬‬ ‫وﻳﺮوسﻫﺎي ‪ :Stealth‬اﻳﻨﻬﺎ‪ ،‬وﻳﮋﮔﻲﻫﺎي ﻃﺒﻴﻌﻲ وﻳﺮوس را ﻣﺨﻔﻲ ﻣﻲﻛﻨﻨﺪ از ﻗﺒﻴﻞ ﺳﺎﻋﺖ و ﺗﺎرﻳﺦ اﺻﻠﻲ ﻓﺎﻳﻞ‪،‬‬ ‫ﺑﻨﺎﺑﺮاﻳﻦ از ﺷﻨﺎﺳﺎﻳﻲ وﻳﺮوس ﺑﻪ ﻋﻨﻮان ﻓﺎﻳﻞ ﺟﺪﻳﺪ در ﺳﻴﺴﺘﻢ ﺟﻠﻮﮔﻴﺮي ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫‪ :Sparse infector‬اﻳﻦ وﻳﺮوسﻫﺎ‪ ،‬ﺗﻨﻬﺎ ﺑﻌﻀﻲ از ﺳﻴﺴﺘﻢﻫﺎ ﻳﺎ ﺑﺮﻧﺎﻣﻪﻫﺎ را آﻟﻮده ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫وﻳﺮوسﻫﺎي ‪ :Armored‬اﻳﻦ وﻳﺮوسﻫﺎ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺷﻨﺎﺳﺎﻳﻲ‪ ،‬رﻣﺰﮔﺬاري ﺷﺪهاﻧﺪ‪.‬‬ ‫‪104‬‬ ‫وﻳﺮوسﻫﺎي ‪ :Cavity‬اﻳﻦ وﻳﺮوسﻫﺎ ﺑﻪ ﻧﻮاﺣﻲ ﺧﺎﻟﻲ ﻓﺎﻳﻞﻫﺎ ﻣﻲﭼﺴﺒﺪ ﺑﻨﺎﺑﺮاﻳﻦ اﻧﺪازه ﻓﺎﻳﻞ را اﻓﺰاﻳﺶ ﻧﻤﻲدﻫﻨﺪ‪.‬‬ ‫وﻳﺮوسﻫﺎي ‪ :Tunneling‬اﻳﻦ وﻳﺮوسﻫﺎ‪ ،‬از ﻃﺮﻳﻖ ﻳﻚ ﭘﺮوﺗﻜﻞ ﻣﺨﺘﻠﻒ ﻳﺎ رﻣﺰ ﺷﺪه ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺷﻨﺎﺳﺎﻳﻲ ﻳﺎ‬ ‫ﺑﺮاي ﻋﺒﻮر از ﻓﺎﻳﺮوال ارﺳﺎل ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫وﻳﺮوس ‪) Companion‬ﻫﻤﺮاه(‪ :‬اﻳﻦ وﻳﺮوسﻫﺎ‪ ،‬ﺑﺮاي ﻫﺮ ﻓﺎﻳﻞ اﺟﺮاﻳﻲ‪ ،‬ﻳﻚ ﻓﺎﻳﻞ ﻫﻤﺮاه ﻣﻲﺳﺎزﻧﺪ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻳﻚ‬ ‫وﻳﺮوس ‪ ،companion‬ﻣﻤﻜﻦ اﺳﺖ ﺧﻮد را ﺑﺎ ﻧﺎم ‪ notepad.com‬ذﺧﻴﺮه ﻛﻨﺪ و ﻫﺮ زﻣﺎن ﻛﻪ ﻛﺎرﺑﺮ ﺑﺮﻧﺎﻣﻪ ‪notepad.exe‬‬ ‫را اﺟﺮا ﻛﺮد‪ ،‬ﻛﺎﻣﭙﻴﻮﺗﺮ‪) notepad.com ،‬وﻳﺮوس( را اﺟﺮا ﻣﻲﻛﻨﺪ و ﺳﻴﺴﺘﻢ را آﻟﻮده ﻣﻲﻛﻨﺪ‪.‬‬ ‫وﻳﺮوسﻫﺎي ‪) Camouflage‬اﺳﺘﺘﺎر(‪ :‬اﻳﻦ وﻳﺮوسﻫﺎ ﺑﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎي دﻳﮕﺮ‪ ،‬ﻇﺎﻫﺮ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫وﻳﺮوسﻫﺎي ‪ :Bootable CD-ROM‬اﻳﻦ وﻳﺮوسﻫﺎ‪ ،‬زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ از ﻃﺮﻳﻖ ‪ CD-ROM‬راهاﻧﺪازي ﻣﻲﺷﻮد‪،‬‬ ‫دادهﻫﺎي ﻫﺎرد دﻳﺴﻚ را ﺧﺮاب ﻣﻲﻛﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ را ﺑﺎ اﺳﺘﻔﺎده از ‪ CD-ROM‬راهاﻧﺪازي ﻣﻲﻛﻨﻴﺪ‪ ،‬ﺗﻤﺎم دادهﻫﺎ‬ ‫از ﺑﻴﻦ ﻣﻲروﻧﺪ‪ .‬آﻧﺘﻲ وﻳﺮوس ﻧﻤﻲﺗﻮاﻧﺪ آن را ﻣﺘﻮﻗﻒ ﻛﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺳﻴﺴﺘﻢ از ﻃﺮﻳﻖ ‪ CD-ROM‬راهاﻧﺪازي ﺷﺪه‬ ‫اﺳﺖ‪.‬‬ ‫‪105‬‬ ‫وﻳﺮوسﻫﺎي ‪ NTFS‬و ‪ :Active Directory‬اﻳﻦ وﻳﺮوسﻫﺎ‪ ،‬ﺳﻴﺴﺘﻢ ﻓﺎﻳﻞ ‪ NTFS‬ﻳﺎ ‪ Active Directory‬را ﺑﺮ روي‬ ‫ﺳﻴﺴﺘﻢﻫﺎي وﻳﻨﺪوزي ﻣﻮرد ﺣﻤﻠﻪ ﻗﺮار ﻣﻲدﻫﺪ‪.‬‬ ‫ﻣﺜﺎﻟﻲ از ﻳﻚ وﻳﺮوس ﺳﺎده‬ ‫ﻳﻚ ﻓﺎﻳﻞ دﺳﺘﻪاي )‪ (batch file‬ﺑﻪ ﻧﺎم ‪ Game.bat‬ﺑﺎ ﻣﺘﻦ زﻳﺮ ﺑﺴﺎزﻳﺪ‪:‬‬ ‫‪@ echo off‬‬ ‫*‪Del c:\winnt\system32\*.‬‬ ‫*‪Del c:\winnt\*.‬‬ ‫ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار ‪ ،bat2com‬آن را ﺑﻪ ‪ Game.com‬ﺗﻐﻴﻴﺮ دﻫﻴﺪ و آن را از ﻃﺮﻳﻖ اﻳﻤﻴﻞ ﺑﻪ ﻗﺮﺑﺎﻧﻲ ارﺳﺎل ﻛﻨﻴﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ‬ ‫ﻗﺮﺑﺎﻧﻲ آن را اﺟﺮا ﻛﻨﺪ‪ ،‬ﺗﻤﺎم ﻓﺎﻳﻞﻫﺎي اﺻﻠﻲ ﻣﻮﺟﻮد در داﻳﺮﻛﺘﻮري ‪ WINNT‬را ﭘﺎك ﻣﻲﻛﻨﺪ و وﻳﻨﺪوز ﻏﻴﺮ ﻗﺎﺑﻞ‬ ‫اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫اﺑﺰارﻫﺎي ﺳﺎﺧﺖ ﺗﺮوﺟﺎن‬ ‫اﺑﺰارﻫﺎي زﻳﺎدي ﺑﺮاي ﺳﺎﺧﺖ وﻳﺮوس وﺟﻮد دارد‪ .‬ﺑﺮﺧﻲ از اﻳﻦ اﺑﺰارﻫﺎ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪Kefi's HTML Virus Construction Kit‬‬ ‫‪Virus Creation Laboratory v1.0‬‬ ‫‪The Smeg Virus Construction Kit‬‬ ‫‪Rajaat's Tiny Flexible Mutator v1.1‬‬ ‫‪Windows Virus Creation Kit v1.00‬‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫ﺗﻜﻨﻴﻚﻫﺎي دور زدن آﻧﺘﻲ وﻳﺮوس‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ اﺳﻜﺮﻳﭙﺖ ﻳﺎ وﻳﺮوﺳﻲ ﺑﻨﻮﻳﺴﺪ ﻛﻪ ﺗﻮﺳﻂ ﻧﺮماﻓﺰار آﻧﺘﻲ وﻳﺮوس ﻗﺎﺑﻞ ﺷﻨﺎﺳﺎﻳﻲ ﻧﺒﺎﺷﺪ‪ .‬ﺷﻨﺎﺳﺎﻳﻲ و‬ ‫ﭘﺎك ﻛﺮدن وﻳﺮوس‪ ،‬ﺑﺮ اﺳﺎس اﻣﻀﺎي ﺑﺮﻧﺎﻣﻪ اﺳﺖ‪ .‬ﺗﺎ زﻣﺎﻧﻴﻜﻪ وﻳﺮوس ﺷﻨﺎﺳﺎﻳﻲ ﻧﺸﻮد و ﺷﺮﻛﺖ ﺗﻮﻟﻴﺪ ﻛﻨﻨﺪه آﻧﺘﻲ‬ ‫وﻳﺮوس‪ ،‬ﻧﺮماﻓﺰار را آﭘﺪﻳﺖ ﻧﻜﻨﺪ‪ ،‬وﻳﺮوس ﺑﻪ ﺻﻮرت ﻧﺎﺷﻨﺎس ﺑﺎﻗﻲ ﻣﻲﻣﺎﻧﺪ‪ .‬اﻳﻦ اﻣﺮ ﺳﺒﺐ ﻣﻲﺷﻮد ﻛﻪ ﻫﻜﺮ ﺑﺘﻮاﻧﺪ ﺑﺮاي‬ ‫ﻣﺪﺗﻲ از دﺳﺖ ﺷﻨﺎﺳﺎﻳﻲ و ﺣﺬف ﺗﻮﺳﻂ آﻧﺘﻲ وﻳﺮوس در اﻣﺎن ﺑﻤﺎﻧﺪ‪.‬‬ ‫‪106‬‬ ‫روشﻫﺎي ﺷﻨﺎﺳﺎﻳﻲ وﻳﺮوس‬ ‫ﺗﻜﻨﻴﻚﻫﺎي زﻳﺮ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ وﻳﺮوسﻫﺎ اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪:‬‬ ‫•‬ ‫اﺳﻜﻦ ﻛﺮدن‬ ‫•‬ ‫ﺑﺮرﺳﻲ ﻳﻜﭙﺎرﭼﮕﻲ ﺑﺎ ‪ checksum‬ﻫﺎ‬ ‫•‬ ‫ﻣﺸﺎﻫﺪه ﺑﺮ ﻣﺒﻨﺎي اﻣﻀﺎي وﻳﺮس )‪(virus signature‬‬ ‫ﻓﺮآﻳﻨﺪ ﺗﺸﺨﻴﺺ و ﺣﺬف وﻳﺮوس ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪ .1‬ﺣﻤﻠﻪ وﻳﺮوس را ﺗﺸﺨﻴﺺ دﻫﻴﺪ‪ .‬ﺗﻤﺎم رﻓﺘﺎرﻫﺎي ﻏﻴﺮ ﻋﺎدي ﻧﺸﺎن دﻫﻨﺪه وﻳﺮوس ﻧﻴﺴﺘﻨﺪ‪.‬‬ ‫‪ .2‬ﭘﺮدازشﻫﺎ را ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن ‪ ،netstat.exe ،fport.exe ،listdlls.exe ،handle.exe‬و‬ ‫‪ pslist.exe‬ردﮔﻴﺮي ﻛﻨﻴﺪ‪.‬‬ ‫‪ .3‬ﺑﺎر وﻳﺮوس را ﺑﺎ ﺑﺮرﺳﻲ ﻓﺎﻳﻞﻫﺎي ﭘﺎك ﺷﺪه‪ ،‬ﺟﺎﻳﮕﺰﻳﻦ ﺷﺪه‪ ،‬و ﺗﻐﻴﻴﺮ ﻳﺎﻓﺘﻪ ﺗﺸﺨﻴﺺ دﻫﻴﺪ‪ .‬ﻓﺎﻳﻞﻫﺎي ﺟﺪﻳﺪ‪،‬‬ ‫اﺗﺮﺑﻴﻮتﻫﺎي ﻓﺎﻳﻞ ﺗﻐﻴﻴﺮ داده ﺷﺪه را ﺑﺮرﺳﻲ ﻛﻨﻴﺪ‪.‬‬ ‫‪ .4‬ﻣﺴﻴﺮ آﻟﻮده ﺳﺎزي آن را ﺑﺪﺳﺖ آورﻳﺪ و آن را اﻳﺰوﻟﻪ ﻛﻨﻴﺪ‪ .‬ﺳﭙﺲ‪ ،‬آﻧﺘﻲ وﻳﺮوسﺗﺎن را ﺑﻪ روز رﺳﺎﻧﻲ ﻛﻨﻴﺪ و‬ ‫ﺗﻤﺎم ﺳﻴﺴﺘﻢﻫﺎ را ﻣﺠﺪدا اﺳﻜﻦ ﻛﻨﻴﺪ‪.‬‬ ‫ﺑﺎ ﺗﺎﻳﭗ ﻛﺪ زﻳﺮ در ﻳﻚ ﻓﺎﻳﻞ ‪ Notepad‬و ذﺧﻴﺮه آن ﺑﺎ ﻧﺎم ‪ ،EICAR.COM‬ﻣﻲﺗﻮاﻧﻴﺪ ﻳﻚ وﻳﺮوس آزﻣﺎﻳﺸﻲ اﻳﺠﺎد‬ ‫ﻛﻨﻴﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﺑﺨﻮاﻫﻴﺪ آن را اﺟﺮا ﻳﺎ ﻛﭙﻲ ﻛﻨﻴﺪ‪ ،‬ﺑﺎﻳﺪ آﻧﺘﻲ وﻳﺮوس ﺷﻤﺎ ﭘﻴﻐﺎم دﻫﺪ‪.‬‬ ‫*‪X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H‬‬ ‫‪107‬‬ ‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫‪ Sniffer‬ﻫﺎ‬ ‫ﻣﻘﺪﻣﻪ‬ ‫‪ ،Sniffer‬اﺑﺰاري ﺑﺮاي ﺑﺪﺳﺖ آوردن ﺑﺴﺘﻪ ﻳﺎ ﻓﺮﻳﻢ اﺳﺖ‪ .‬ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ را اﺳﺘﺮاق ﺳﻤﻊ ﻣﻲﻛﻨﺪ و آﻧﻬﺎ را ﺑﻪ‬ ‫ﺻﻮرت ﺧﻂ دﺳﺘﻮري ﻳﺎ ﮔﺮاﻓﻴﻜﻲ ﺑﻪ ﻫﻜﺮ ﻧﺸﺎن ﻣﻲدﻫﺪ‪ .‬ﺑﻌﻀﻲ از ‪sniffer‬ﻫﺎي ﭘﻴﺸﺮﻓﺘﻪ‪ ،‬ﺑﺴﺘﻪﻫﺎ را اﺳﺘﺮاق ﺳﻤﻊ‬ ‫ﻣﻲﻛﻨﻨﺪ و ﻣﻲﺗﻮاﻧﻨﺪ دوﺑﺎره آﻧﻬﺎ را ﻛﻨﺎر ﻳﻜﺪﻳﮕﺮ ﻗﺮار دﻫﻨﺪ و ﻣﺘﻦ ﻳﺎ اﻳﻤﻴﻞ اﺻﻠﻲ را ﺗﺸﻜﻴﻞ دﻫﻨﺪ‪.‬‬ ‫‪Sniffer‬ﻫﺎ ﺑﺮاي ﺑﺪﺳﺖ آوردن ﺗﺮاﻓﻴﻚ ارﺳﺎل ﺷﺪه ﺑﻴﻦ دو ﺳﻴﺴﺘﻢ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲﮔﻴﺮﻧﺪ‪ .‬ﺑﺴﺘﻪ ﺑﻪ ﻧﺤﻮه‬ ‫اﺳﺘﻔﺎده از ‪ sniffer‬و ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از ‪ sniffer‬ﺑﺮاي ﻛﺸﻒ ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي‪ ،‬ﭘﺴﻮردﻫﺎ‪ ،‬و دﻳﮕﺮ‬ ‫اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ ارﺳﺎل ﺷﺪه در ﺷﺒﻜﻪ‪ ،‬اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬ﺑﺴﻴﺎري از ﺣﻤﻼت ﻫﻚ و ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي ﻫﻚ‪ ،‬ﺑﺮاي ﺑﺪﺳﺖ‬ ‫آوردن اﻃﻼﻋﺎت ﻣﻬﻢ ﻓﺮﺳﺘﺎده ﺷﺪه از ﺳﻴﺴﺘﻢ ﻫﺪف‪ ،‬ﻧﻴﺎز ﺑﻪ ‪ sniffer‬دارﻧﺪ‪ .‬در اﻳﻦ ﻓﺼﻞ در ﻣﻮرد ﻧﺤﻮه ﻛﺎر ‪sniffer‬ﻫﺎ و‬ ‫ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي راﻳﺞ ‪ sniffer‬را ﺗﻮﺿﻴﺢ ﺧﻮاﻫﻴﻢ داد‪.‬‬ ‫ﭘﺮوﺗﻜﻞﻫﺎي ﻣﺴﺘﻌﺪ ﺑﺮاي اﺳﺘﺮاق ﺳﻤﻊ‬ ‫ﻧﺮماﻓﺰار ‪ ،sniffer‬ﺑﺮاي ﺑﺪﺳﺖ آوردن ﺑﺴﺘﻪﻫﺎﻳﻲ اﺳﺖ ﻛﻪ ﺑﺠﺎي ارﺳﺎل ﺑﻪ ‪ MAC address‬ﺳﻴﺴﺘﻢ‪ ،‬ﺑﻪ ‪MAC‬‬ ‫‪ address‬ﻫﺪف‪ ،‬ارﺳﺎل ﻣﻲﺷﻮﻧﺪ‪ .‬اﻳﻦ ﻋﻤﻞ‪ ،‬ﺣﺎﻟﺖ ﺑﻲﻗﺎﻋﺪه )‪ (promiscuous mode‬ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد‪ .‬در ﺣﺎﻟﺖ ﻃﺒﻴﻌﻲ‪،‬‬ ‫ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﺮ روي ﺷﺒﻜﻪ‪ ،‬ﺗﻨﻬﺎ ﺗﺮاﻓﻴﻜﻲ ﻛﻪ ﺑﻄﻮر ﻣﺴﺘﻘﻴﻢ ﺑﻪ آن ‪ MAC address‬ارﺳﺎل ﻣﻲﺷﻮد‪ ،‬را ﻣﻲﺧﻮاﻧﺪ و ﭘﺎﺳﺦ‬ ‫ﻣﻲدﻫﺪ‪ .‬در ﺣﺎﻟﺖ ﺑﻲﻗﺎﻋﺪه )‪ ،(promiscuous mode‬ﺳﻴﺴﺘﻢ ﺗﻤﺎم ﺗﺮاﻓﻴﻚ را ﻣﻲﺧﻮاﻧﺪ و آﻧﻬﺎ را ﺑﺮاي ﭘﺮدازش ﺑﻪ‬ ‫‪ sniffer‬ﻣﻲﻓﺮﺳﺘﺪ‪ .‬ﺑﺎ ﻧﺼﺐ ﻧﺮماﻓﺰار دراﻳﻮر ﻣﺨﺼﻮص‪ ،‬ﺣﺎﻟﺖ ﺑﻲﻗﺎﻋﺪه )‪ (promiscuous mode‬ﺑﺮ روي ﻛﺎرت ﺷﺒﻜﻪ‬ ‫ﻓﻌﺎل ﻣﻲﺷﻮد‪ .‬ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي ﻫﻚ ﺑﺮاي اﺳﺘﺮاق ﺳﻤﻊ‪ ،‬داراي دراﻳﻮر ‪ promiscuous-mode‬ﺑﺮاي ﺗﺴﻬﻴﻞ اﻳﻦ‬ ‫ﻓﺮآﻳﻨﺪ ﻫﺴﺘﻨﺪ‪.‬‬ ‫ﭘﺮوﺗﻜﻞﻫﺎﻳﻲ ﻛﻪ دادهﻫﺎ را رﻣﺰﮔﺬاري ﻧﻤﻲﻛﻨﻨﺪ‪ ،‬ﻣﺴﺘﻌﺪ ‪ sniffing‬ﻫﺴﺘﻨﺪ‪ .‬ﭘﺮوﺗﻜﻞﻫﺎﻳﻲ ﻫﻤﭽﻮن ‪،HTTP‬‬ ‫‪ ،SNMP ،POP3‬و ‪ FTP‬ﺑﺎ اﺳﺘﻔﺎده از ‪ ،sniffer‬ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺪﺳﺖ آﻳﻨﺪ و ﺑﺮاي ﻫﻜﺮ ﻧﻤﺎﻳﺶ داده ﺷﻮﻧﺪ ﺗﺎ اﻃﻼﻋﺎت ﺑﺎ‬ ‫ارزﺷﻲ ﻫﻤﭽﻮن ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎ را ﺟﻤﻊآوري ﻛﻨﺪ‪.‬‬ ‫‪109‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Ethereal‬ﻳﻚ ‪ sniffer‬راﻳﮕﺎن اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ از ﺷﺒﻜﻪﻫﺎي ﻛﺎﺑﻠﻲ ﻳﺎ واﻳﺮﻟﺲ‪ ،‬ﺑﺴﺘﻪﻫﺎ را ﺑﺪﺳﺖ آورد‪ .‬آﺧﺮﻳﻦ ﻧﺴﺨﻪ‬ ‫اﻳﻦ ﻧﺮماﻓﺰار ﺑﻪ ‪ WireShark‬ﺗﻐﻴﺮ ﻧﺎم ﻳﺎﻓﺘﻪ اﺳﺖ‪ ،Ethereal .‬ﺑﺴﻴﺎر راﻳﺞ و ﻣﺤﺒﻮب اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ راﻳﮕﺎن اﺳﺖ اﻣﺎ‬ ‫ﻣﺸﻜﻼﺗﻲ ﻫﻢ دارد‪ .‬ﺑﺮاي ﻛﺎرﺑﺮي ﻛﻪ آﻣﻮزش ﻧﺪﻳﺪه‪ ،‬ﻧﻮﺷﺘﻦ ﻓﻴﻠﺘﺮ در اﻳﻦ ﻧﺮماﻓﺰار ﺑﺮاي ﺑﺪﺳﺖ آوردن اﻧﻮاع ﺧﺎﺻﻲ از‬ ‫ﺗﺮاﻓﻴﻚ دﺷﻮار اﺳﺖ‪.‬‬ ‫‪ ،Snort‬ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ )‪ (IDS‬اﺳﺖ ﻛﻪ داراي ﻗﺎﺑﻠﻴﺖﻫﺎي اﺳﺘﺮاق ﺳﻤﻊ ﻧﻴﺰ ﻫﺴﺖ‪ .‬و ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي‬ ‫ﺷﻨﺎﺳﺎﻳﻲ اﻧﻮاع ﻣﺨﺘﻠﻒ ﺣﻤﻼت از ﻗﺒﻴﻞ ‪ ،buffer overflow‬ﺣﻤﻼت ‪Server Message Block (SMB) ،CGI‬‬ ‫‪ ،probes‬و ‪ OS fingerprinting‬اﺳﺘﻔﺎده ﺷﻮد‪.‬‬ ‫‪ ،WinDump‬ﻧﺴﺨﻪ وﻳﻨﺪوزي ‪ tcpdump‬اﺳﺖ ﻛﻪ ﻧﺮماﻓﺰار آﻧﺎﻟﻴﺰ ﺷﺒﻜﻪ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﻮﻧﻴﻜﺲ اﺳﺖ‪.‬‬ ‫‪ ،WinDump‬ﻛﺎﻣﻼ ﺑﺎ ‪ tcpdump‬ﺳﺎزﮔﺎر اﺳﺖ و ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي اﺳﺎس ‪ rule‬ﻫﺎي ﻣﺨﺘﻠﻒ‪ ،‬ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ را ﺗﺸﺨﻴﺺ‬ ‫دﻫﺪ و ذﺧﻴﺮه ﻛﻨﺪ‪.‬‬ ‫‪ ،EtherPeek‬ﻳﻚ ﻧﺮماﻓﺰار اﺳﺘﺮاق ﺳﻤﻊ ﻋﺎﻟﻲ ﺑﺮاي ﺷﺒﻜﻪﻫﺎي ﻛﺎﺑﻠﻲ اﺳﺖ ﻛﻪ داراي ﻗﺎﺑﻠﻴﺘﻬﺎي ﻓﻴﻠﺘﺮﻳﻨﮓ ﻗﻮي اﺳﺖ‪.‬‬ ‫آﺧﺮﻳﻦ ﻧﺴﺨﻪ اﻳﻦ ﻧﺮماﻓﺰار ﺑﺎ ﻧﺎم ‪ OmniPeek‬ﻋﺮﺿﻪ ﺷﺪه اﺳﺖ‪.‬‬ ‫‪ ،WinSniffer‬ﻧﺮماﻓﺰار ﺧﻮب ﺑﺮاي اﺳﺘﺮاق ﺳﻤﻊ ﭘﺴﻮردﻫﺎﺳﺖ‪ .‬ﺗﺮاﻓﻴﻚ ورودي و ﺧﺮوﺟﻲ را ﻣﺎﻧﻴﺘﻮر ﻣﻲﻛﻨﺪ و ﻧﺎمﻫﺎي‬ ‫ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎي ‪ ،IMAP ،Telnet ،SMTP ،ICQ ،HTTP ،POP3 ،FTP‬و ‪ NNTP‬را رﻣﺰﮔﺸﺎﻳﻲ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،Iris‬ﻧﺮماﻓﺰار آﻧﺎﻟﻴﺰ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ و داده اﺳﺖ ﻛﻪ ﺗﻤﺎم ﺗﺮاﻓﻴﻚ دادهﻫﺎي روي ﻳﻚ ﺷﺒﻜﻪ را ﺟﻤﻊآوري‪ ،‬ذﺧﻴﺮه‪،‬‬ ‫ﺳﺎزﻣﺎﻧﺪﻫﻲ و ﮔﺰارش ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﺧﻼف ‪sniffer‬ﻫﺎي دﻳﮕﺮ ﺷﺒﻜﻪ‪ ،Iris ،‬ﻣﻲﺗﻮاﻧﺪ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ را ﻣﺠﺪدا ﺑﺴﺎزد از ﻗﺒﻴﻞ‬ ‫ﮔﺮاﻓﻴﻚﻫﺎ‪ ،‬ﻣﺴﺘﻨﺪات‪ ،‬و اﻳﻤﻴﻞﻫﺎي ﺷﺎﻣﻞ ﺿﻤﺎﺋﻢ‪.‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎي اﺳﺘﺮاق در ﺷﺒﻜﻪ ﻋﺒﺎرﺗﻨﺪ از‪.Wiretap ،Pilot ،Look@LAN ،The Dude Sniffer :‬‬ ‫اﺳﺘﺮاق ﺳﻤﻊ اﻛﺘﻴﻮ و ﭘﺴﻴﻮ‬ ‫دو ﻧﻮع ﻣﺨﺘﻠﻒ از اﺳﺘﺮاق ﺳﻤﻊ وﺟﻮد دارد‪ :‬ﭘﺴﻴﻮ و اﻛﺘﻴﻮ‪ .‬اﺳﺘﺮاق ﺳﻤﻊ ﭘﺴﻴﻮ )‪ (passive sniffing‬ﺷﺎﻣﻞ ﮔﻮش‬ ‫دادن و ﺑﻪ دﺳﺖ آوردن ﺗﺮاﻓﻴﻚ اﺳﺖ و در ﺷﺒﻜﻪﻫﺎﻳﻲ ﻛﻪ ﺑﺎ ﻫﺎب ﺑﻪ ﻳﻜﺪﻳﺮگ ﻣﺘﺼﻞ ﻫﺴﺘﻨﺪ‪ ،‬ﻣﻔﻴﺪ اﺳﺖ‪ .‬اﺳﺘﺮاق ﺳﻤﻊ‬ ‫اﻛﺘﻴﻮ )‪ (active sniffing‬ﺷﺎﻣﻞ ﺣﻤﻼت ‪ ARP spoofing‬ﻳﺎ ‪ traffic-flooding‬ﺑﺮ ﻳﻚ ﺳﻮﺋﻴﭻ ﺟﻬﺖ ﺑﻪ دﺳﺖ آوردن‬ ‫ﺗﺮاﻓﻴﻚ اﺳﺖ‪ .‬ﻫﻤﺎﻧﻄﻮرﻳﻜﻪ از ﻧﺎم آن ﺑﺮ ﻣﻲآﻳﺪ‪ ،‬اﺳﺘﺮاق ﺳﻤﻊ اﻛﺘﻴﻮ‪ ،‬ﻗﺎﺑﻞ ﺷﻨﺎﺳﺎﻳﻲ اﺳﺖ اﻣﺎ اﺳﺘﺮاق ﺳﻤﻊ ﭘﺴﻴﻮ‪ ،‬ﻗﺎﺑﻞ‬ ‫‪110‬‬ ‫ﺷﻨﺎﺳﺎﻳﻲ ﻧﻴﺴﺖ‪ .‬در ﺷﺒﻜﻪﻫﺎﻳﻲ ﻛﻪ از ﻫﺎب ﻳﺎ رﺳﺎﻧﻪ واﻳﺮﻟﺲ ﺑﺮاي اﺗﺼﺎل ﺳﻴﺴﺘﻢﻫﺎ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ ،‬ﻫﻤﻪ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي‬ ‫روي ﺷﺒﻜﻪ‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ ﻫﻤﻪ ﺗﺮاﻓﻴﻚ را ﺑﺒﻴﻨﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،passive packet sniffer ،‬ﻣﻲﺗﻮاﻧﺪ ﺗﺮاﻓﻴﻜﻲ ﻛﻪ ﺑﻴﻦ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ‬ ‫و ﻫﺎب اﻧﺘﻘﺎل ﻣﻲﻳﺎﺑﺪ را ﺑﺪﺳﺖ آورد‪ .‬ﺷﺒﻜﻪ ﺳﻮﺋﻴﭽﻲ‪ ،‬ﺑﻪ ﻧﻮع دﻳﮕﺮي ﻛﺎر ﻣﻲﻛﻨﺪ‪ .‬ﺳﻮﺋﻴﭻ‪ ،‬ﺑﻪ دادهاي ﻛﻪ درﻳﺎﻓﺖ ﻛﺮده‬ ‫اﺳﺖ ﻧﮕﺎه ﻣﻲﻛﻨﺪ و ﺑﺮ ﺣﺴﺐ ‪ ،MAC address‬ﺑﺴﺘﻪﻫﺎ را ارﺳﺎل ﻣﻲﻛﻨﺪ‪ .‬ﺳﻮﺋﻴﭻ داراي ﺟﺪوﻟﻲ ﺑﻪ ﻧﺎم ‪MAC table‬‬ ‫اﺳﺖ ﻛﻪ داراي ‪ MAC address‬و ﭘﻮرت ﻣﺮﺑﻮط ﺑﻪ ﻫﻤﻪ ﺳﻴﺴﺘﻢﻫﺎي ﻣﺘﺼﻞ ﺑﻪ آن اﺳﺖ‪ .‬اﻳﻦ ﺳﺒﺐ ﻣﻲﺷﻮد ﻛﻪ ﺳﻮﺋﻴﭻ‬ ‫ﺑﺘﻮاﻧﺪ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ را ﺗﻘﺴﻴﻢ ﺑﻨﺪي ﻛﻨﺪ و ﺗﺮاﻓﻴﻚ را ﺗﻨﻬﺎ ﺑﺮاي ﻣﻘﺼﺪ ﻛﻪ ﺑﺎ ‪ MAC address‬ﻣﺸﺨﺺ ﺷﺪه اﺳﺖ‪،‬‬ ‫ارﺳﺎل ﻛﻨﺪ‪ .‬ﺷﺒﻜﻪﻫﺎي ﺳﻮﺋﻴﭽﻲ داراي ﺗﻮان ﺧﺮوﺟﻲ ﺑﻬﺘﺮي ﻫﺴﺘﻨﺪ و ﻧﺴﺒﺖ ﺑﻪ ﺷﺒﻜﻪﻫﺎﻳﻲ ﻛﻪ ﺑﺎ ﻫﺎب ﺑﺴﺘﻪ ﺷﺪهاﻧﺪ‪،‬‬ ‫ﺑﺴﻴﺎر اﻣﻦﺗﺮ ﻫﺴﺘﻨﺪ‪.‬‬ ‫اﺳﺘﺮاق ﺳﻤﻊ اﻛﺘﻴﻮ‪:‬‬ ‫‪111‬‬ ‫اﺳﺘﺮاق ﺳﻤﻊ ﭘﺴﻴﻮ‪:‬‬ ‫‪ARP Poisoning‬‬ ‫‪ ،ARP‬اﺟﺎزه ﺗﺮﺟﻤﻪ آدرسﻫﺎي ‪ IP‬ﺑﻪ آدرسﻫﺎي ‪ MAC‬را ﻣﻲ دﻫﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮي ﺑﺎ اﺳﺘﻔﺎده از ‪TCP/IP‬‬ ‫ﺳﻌﻲ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ دﻳﮕﺮي وﺻﻞ ﺷﻮد‪ ،‬ﻧﻴﺎز ﺑﻪ ‪ MAC address‬ﻳﺎ آدرس ﺳﺨﺖ اﻓﺰاري ﻛﺎﻣﭙﻴﻮﺗﺮ دارد‪ .‬اﺑﺘﺪا‬ ‫ﺑﻪ ﻛﺶ ‪ ARP‬ﺧﻮد ﻧﮕﺎه ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﺒﻴﻨﺪ ﻛﻪ آﻳﺎ ‪ MAC address‬آن را دارد ﻳﺎ ﻧﻪ‪ .‬اﮔﺮ ﻧﺪاﺷﺖ‪ ،‬درﺧﻮاﺳﺖ ‪ ARP‬را‬ ‫‪ broadcast‬ﻣﻲﻛﻨﺪ و ﻣﻲﭘﺮﺳﺪ‪ :‬ﭼﻪ ﻛﺴﻲ آدرس ‪ IP‬ﻛﻪ ﻣﻦ ﺑﻪ دﻧﺒﺎل آن ﻫﺴﺘﻢ را دارد؟ اﮔﺮ ﻛﺎﻣﭙﻴﻮﺗﺮي ﻛﻪ آن آدرس‬ ‫‪ IP‬را دارد‪ ،‬اﻳﻦ ﻛﻮﺋﺮي ‪ ARP‬را درﻳﺎﻓﺖ ﻛﻨﺪ‪ ،‬ﺑﺎ ‪ MAC address‬ﺧﻮد ﺑﻪ آن ﭘﺎﺳﺦ ﻣﻲدﻫﺪ و ﺑﺎ اﺳﺘﻔﺎده از ‪TCP/IP‬‬ ‫ﺷﺮوع ﺑﻪ ارﺗﺒﺎط ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫‪ ،ARP poisoning‬ﺗﻜﻨﻴﻜﻲ اﺳﺖ ﻛﻪ ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﻳﻚ ﺷﺒﻜﻪ اﺗﺮﻧﺖ اﺳﺘﻔﺎده ﻣﻲﺷﻮد و ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲدﻫﺪ‬ ‫ﻛﻪ ﻓﺮﻳﻢﻫﺎي داده را در ﻳﻚ ﺷﺒﻜﻪ ﻣﺤﻠﻲ ﺳﻮﺋﻴﭽﻲ‪ sniff ،‬ﻛﻨﺪ ﻳﺎ ﻫﻤﮕﻲ ﺗﺮاﻓﻴﻚ را ﻣﺘﻮﻗﻒ ﻛﻨﺪ‪ ،ARP poisoning .‬در‬ ‫ﺟﺎﺋﻴﻜﻪ ﻫﺪف ارﺳﺎل ﭘﻴﺎمﻫﺎي ‪ ARP‬ﺟﻌﻠﻲ ﺑﻪ ﻳﻚ ﺷﺒﻜﻪ اﺗﺮﻧﺘﻲ ﺑﺎﺷﺪ‪ ،‬از ‪ ARP spoofing‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ‬ ‫ﻓﺮﻳﻢﻫﺎ‪ ،‬داراي ‪MAC address‬ﻫﺎي ﻧﺎدرﺳﺖ ﻫﺴﺘﻨﺪ ﻛﻪ دﺳﺘﮕﺎهﻫﺎﻳﻲ ﻫﻤﭽﻮن ﺳﻮﺋﻴﭻ را ﮔﻴﺞ ﻣﻲﻛﻨﻨﺪ‪ .‬در ﻧﺘﻴﺠﻪ‪،‬‬ ‫ﻓﺮﻳﻢﻫﺎﻳﻲ ﻛﻪ ﻗﺮار ﺑﻮد ﺑﺮاي ﻳﻚ ﻣﺎﺷﻴﻦ ارﺳﺎل ﺷﻮﻧﺪ‪ ،‬ﺑﺼﻮرت اﺷﺘﺒﺎﻫﻲ ﺑﻪ ﻣﺎﺷﻴﻦ دﻳﮕﺮي ﻳﺎ ﺑﻪ ﻳﻚ ﻣﺎﺷﻴﻦ ﻏﻴﺮ ﻗﺎﺑﻞ‬ ‫دﺳﺘﺮس )ﺣﻤﻠﻪ ‪ (DoS‬ارﺳﺎل ﻣﻲﺷﻮﻧﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ‪ ،ARP spoofing‬ﻣﻲﺗﻮاﻧﺪ در ﺣﻤﻠﻪ ‪ ،man-in-the-middle‬اﺳﺘﻔﺎده‬ ‫ﺷﻮد ﻛﻪ ﺗﻤﺎم ﺗﺮاﻓﻴﻚ ﺑﺎ اﺳﺘﻔﺎده از ‪ ARP spoofing‬ارﺳﺎل ﻣﻲﺷﻮﻧﺪ و ﺑﺮاي ﺑﻪ دﺳﺖ آوردن ﭘﺴﻮردﻫﺎ و اﻃﻼﻋﺎت دﻳﮕﺮ‪،‬‬ ‫آﻧﺎﻟﻴﺰ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪112‬‬ ‫ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ‪ ،ARP spoofing‬ﻫﻤﻴﺸﻪ ‪ MAC address‬ﻣﺮﺑﻮط ﺑﻪ ‪ gateway‬را ﺑﻪ ‪ ARP cache‬ﺳﻴﺴﺘﻢ‬ ‫اﺿﺎﻓﻪ ﻛﻨﻴﺪ‪ .‬ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر ﻣﻲﺗﻮاﻧﻴﺪ از دﺳﺘﻮر ‪ ARP –s‬در ‪ Cmd‬وﻳﻨﺪوز و ﺑﺎ ﺿﻤﻴﻤﻪ ﻛﺮدن آدرس ‪ IP‬و ‪MAC‬‬ ‫ﻣﺮﺑﻮط ﺑﻪ ‪ ،gateway‬اﻳﻨﻜﺎر را اﻧﺠﺎم دﻫﻴﺪ‪ .‬ﺑﺎ اﻳﻨﻜﺎر‪ ،‬ﻫﻜﺮ ﻧﻤﻲﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از ‪ overwrite‬ﻛﺮدن ‪ ARP cache‬اﻗﺪام‬ ‫ﺑﻪ ‪ ARP spoofing‬روي ﺳﻴﺴﺘﻢ ﻛﻨﺪ اﻣﺎ در ﻣﺤﻴﻂﻫﺎي ﻛﻪ ﺑﺰرگ ﻫﺴﺘﻨﺪ ﺑﻪ دﻟﻴﻞ ﺗﻌﺪاد زﻳﺎد ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬اﻳﻦ ﻋﻤﻞ‬ ‫دﺷﻮار و ﻃﺎﻗﺖ ﻓﺮﺳﺎﻳﻲ اﺳﺖ‪ .‬در ﻣﺤﻴﻂﻫﺎي ‪ ،enterprise‬ﻣﻲﺗﻮان ‪ port security‬را روي ﺳﻮﺋﻴﭻ ﻓﻌﺎل ﻛﺮد ﺗﺎ ‪MAC‬‬ ‫‪address‬ﻫﺎ را ﺑﺮاي ﻫﺮ ﭘﻮرت ﺳﻮﺋﻴﭻ ﻣﺸﺨﺺ ﻛﺮد‪.‬‬ ‫‪113‬‬ ‫‪MAC Duplicating‬‬ ‫ﺣﻤﻠﻪ ‪ ،MAC duplicating‬در ﺷﺒﻜﻪ ‪ sniff‬ﺷﺪه اﺟﺮا ﻣﻲﺷﻮد ﺑﺮاي ‪MAC address‬ﻫﺎي ﻛﻼﻳﻨﺖﻫﺎﻳﻲ ﻛﻪ ﺑﻪ‬ ‫ﻳﻚ ﭘﻮرت ﺳﻮﺋﻴﭻ ﻣﺘﺼﻞ ﻫﺴﺘﻨﺪ و از ﻳﻜﻲ از اﻳﻦ آدرسﻫﺎ دوﺑﺎره اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎ ﮔﻮش دادن ﺑﻪ ﺗﺮاﻓﻴﻚ روي ﺷﺒﻜﻪ‪،‬‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از ‪ MAC address‬ﻛﺎرﺑﺮ ﻣﺸﺮوع اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬ﭘﺲ از آن‪ ،‬ﻫﻜﺮ ﺗﻤﺎم ﺗﺮاﻓﻴﻜﻲ ﻛﻪ ﺑﻪ ﺑﺮاي آن ﻛﺎرﺑﺮ اﺳﺖ‬ ‫را درﻳﺎﻓﺖ ﺧﻮاﻫﺪ ﻛﺮد‪ .‬از اﻳﻦ ﺗﻜﻨﻴﻚ ﻣﻲﺗﻮان در ﺷﺒﻜﻪﻫﺎي واﻳﺮﻟﺲ ﻛﻪ ‪ MAC filtering‬ﻓﻌﺎل ﺷﺪه اﺳﺖ اﺳﺘﻔﺎده‬ ‫ﻛﺮد‪.‬‬ ‫‪ Capture‬ﻛﺮدن ﺗﻮﺳﻂ ‪ Ethereal‬و ﻧﻤﺎﻳﺶ ﻓﻴﻠﺘﺮﻫﺎ‬ ‫‪ ،Ethereal‬ﻧﺮماﻓﺰار راﻳﮕﺎﻧﻲ ﺑﺮاي اﺳﺘﺮاق ﺳﻤﻊ اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﺴﺘﻪﻫﺎ را از ﻳﻚ ﻛﺎرت ﺷﺒﻜﻪ ﺑﺪﺳﺖ آورد‪ .‬در‬ ‫زﻳﺮ ﭼﻨﺪ ﻣﺜﺎل از ﻓﻴﻠﺘﺮﻫﺎي اﻳﻦ ﺑﺮﻧﺎﻣﻪ آورده ﺷﺪه اﺳﺖ‪:‬‬ ‫•‬ ‫‪ :ip.dst eq www.eccouncil.org‬اﻳﻦ ﻓﻴﻠﺘﺮ‪ ،‬ﺗﻨﻬﺎ ﺑﺴﺘﻪﻫﺎﻳﻲ ﻛﻪ ﺑﻪ ﻣﻘﺼﺪ وب ﺳﺮور ‪www.eccouncil.org‬‬ ‫اﺳﺖ را ﻣﻲﮔﻴﺮد‪.‬‬ ‫•‬ ‫‪ :ip.src == 192.168.1.1‬اﻳﻦ ﻓﻴﻠﺘﺮ ﺗﻨﻬﺎ ﺑﺴﺘﻪﻫﺎﻳﻲ ﻛﻪ از ‪ 192,168,1,1‬ﻣﻲآﻳﻨﺪ را ﻣﻲﮔﻴﺮد‪.‬‬ ‫•‬ ‫‪ :eth.dst eq ff:ff:ff:ff:ff:ff‬اﻳﻦ ﻓﻴﻠﺘﺮ‪ ،‬ﺗﻨﻬﺎ ﺑﺴﺘﻪﻫﺎي ‪ broadcast‬ﻻﻳﻪ ‪ 2‬را ﻣﻲﮔﻴﺮد‪.‬‬ ‫‪114‬‬ ‫‪MAC Flooding‬‬ ‫ﻧﺮماﻓﺰار ‪ sniffer‬ﻧﻤﻲﺗﻮاﻧﺪ در ﻳﻚ ﺷﺒﻜﻪ ﺳﻮﺋﻴﭽﻲ‪ ،‬ﺗﺮاﻓﻴﻚ را ﺑﮕﻴﺮد اﻣﺎ در ﺷﺒﻜﻪ ﻫﺎب ﻣﻲﺗﻮاﻧﺪ‪ .‬در ﻋﻮض‪،‬‬ ‫ﻣﻲﺗﻮاﻧﺪ ﺗﺮاﻓﻴﻜﻲ ورودي ﻳﺎ ﺧﺮوﺟﻲ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ را ﺑﮕﻴﺮد‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ ﻻزم اﺳﺖ ﻛﻪ از اﺑﺰارﻫﺎي دﻳﮕﺮي ﺑﺮاي ﺑﺪﺳﺖ‬ ‫آوردن ﺗﻤﺎم ﺗﺮاﻓﻴﻚ در ﻳﻚ ﺷﺒﻜﻪ ﺳﻮﺋﻴﭽﻲ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪ .‬دو روش ﺑﺮاي اﻧﺠﺎم اﺳﺘﺮاق ﺳﻤﻊ اﻛﺘﻴﻮ وﺟﻮد دارد ﺗﺎ‬ ‫ﺳﻮﺋﻴﭻ‪ ،‬ﺗﺮاﻓﻴﻚ را ﺑﻪ ﺳﻴﺴﺘﻤﻲ ﻛﻪ ‪ sniffer‬دارد ارﺳﺎل ﺷﻮد‪ ARP spoofing :‬و ‪.flooding‬‬ ‫‪ ،ARP spoofing‬ﮔﺮﻓﺘﻦ ‪ MAC address‬ﻣﺮﺑﻮط ﺑﻪ ‪ gateway‬ﺷﺒﻜﻪ و در ﻧﺘﻴﺠﻪ درﻳﺎﻓﺖ ﻫﻤﻪ ﺗﺮاﻓﻴﻜﻲ ﻛﻪ ﺑﻪ‬ ‫ﻣﻘﺼﺪ ‪ gateway‬ﻣﻲروﻧﺪ ﺑﻪ ﺳﻴﺴﺘﻤﻲ اﺳﺖ ﻛﻪ ‪ sniffer‬دارد‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺳﻮﺋﻴﭻ را ﺑﺎ ﺳﺮازﻳﺮي ﺗﺮاﻓﻴﻚ زﻳﺎد ﺑﻪ آن‪،‬‬ ‫‪ flood‬ﻛﻨﺪ ﺗﺎ ﻋﻤﻠﻜﺮد آن ﺑﻪ ﻋﻨﻮان ﺳﻮﺋﻴﭻ ﻣﺨﺘﻞ ﺷﻮد و ﻣﺜﻞ ﻫﺎب‪ ،‬ﺗﺮاﻓﻴﻚ را ﺑﻪ ﺗﻤﺎم ﭘﻮرتﻫﺎي ﺧﻮد ارﺳﺎل ﻛﻨﺪ‪ .‬اﻳﻦ‬ ‫ﻧﻮع ﺣﻤﻼت اﺳﺘﺮاق ﺳﻤﻊ اﻛﺘﻴﻮ‪ ،‬ﺑﻪ ﺳﻴﺴﺘﻤﻲ ﻛﻪ ‪ sniffer‬دارد اﺟﺎزه ﻣﻲدﻫﺪ ﻛﻪ ﺗﻤﺎم ﺗﺮاﻓﻴﻚ روي ﺷﺒﻜﻪ را ﺑﺪﺳﺖ‬ ‫آورد‪.‬‬ ‫‪115‬‬ ‫‪DNS Poisoning‬‬ ‫‪ ،(DNS poisoning) DNS poisoning‬ﺗﻜﻨﻴﻜﻲ اﺳﺖ ﻛﻪ ﺳﺮور ‪ DNS‬را ﻓﺮﻳﺐ ﻣﻲدﻫﺪ ﺗﺎ ﮔﻤﺎن ﻛﻨﺪ اﻃﻼﻋﺎت‬ ‫ﻫﻮﻳﺘﻲ را درﻳﺎﻓﺖ ﻛﺮده اﺳﺖ وﻟﻲ در ﺣﺎﻟﻴﻜﻪ درﻳﺎﻓﺖ ﻧﻜﺮده اﺳﺖ‪ .‬زﻣﺎﻧﻴﻜﻪ ﺳﺮور ‪ ،DNS‬ﻣﺴﻤﻮم ﺷﺪ‪ ،‬اﻃﻼﻋﺎت ﺑﻄﻮر‬ ‫ﻛﻠﻲ ﺑﺮاي ﻣﺪﺗﻲ ﻛﺶ ﺧﻮاﻫﺪ ﺷﺪ‪ ،‬ﺗﺎﺛﻴﺮ ﺣﻤﻠﻪ را ﺑﻪ ﻛﺎرﺑﺮان ﺳﺮور ﻣﻨﺘﺸﺮ ﻣﻲﻛﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻛﺎرﺑﺮي درﺧﻮاﺳﺖ ‪ URL‬ﻳﻚ‬ ‫وب ﺳﺎﻳﺖ را ﻣﻲﻛﻨﺪ‪ ،‬آدرس ﺑﻪ ﺳﺮور ‪ DNS‬ﻣﺮاﺟﻌﻪ ﻣﻲﻛﻨﺪ ﺗﺎ آدرس ‪ IP‬ﻣﺮﺑﻮﻃﻪ را ﭘﻴﺪا ﻛﻨﺪ‪ .‬اﮔﺮ ﺳﺮور ‪ DNS‬ﻫﻚ‬ ‫ﺷﻮد‪ ،‬ﻛﺎرﺑﺮ ﺑﻪ وب ﺳﺎﻳﺖ دﻳﮕﺮي ﻓﺮﺳﺘﺎده ﻣﻲﺷﻮد‪.‬‬ ‫اﻳﻦ ﺗﻜﻨﻴﻚ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ﺟﺎﻳﮕﺰﻳﻨﻲ ﻣﺤﺘﻮاي ﻗﺮاردادي ﺑﺎ ﻣﺤﺘﻮاﻳﻲ ﻛﻪ ﻫﻜﺮ اﻧﺘﺨﺎب ﻛﺮده اﺳﺖ‪ ،‬اﺳﺘﻔﺎده ﺷﻮد‪.‬‬ ‫ﺑﺮاي ﻣﺜﺎل‪ ،‬ﻫﻜﺮ‪ ،‬آدرسﻫﺎي ‪ IP‬وروديﻫﺎي ‪ DNS‬را ﺑﺮاي ﻳﻚ وب ﺳﺎﻳﺖ ﻣﺴﻤﻮم ﻣﻲﻛﻨﺪ و آن را ﺑﺎ آدرس ‪ IP‬ﺳﺮوري‬ ‫ﻛﻪ ﻫﻜﺮ ﻛﻨﺘﺮل ﻣﻲﻛﻨﺪ ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﻛﻨﺪ‪ .‬ﺳﭙﺲ وروديﻫﺎي ﺟﻌﻠﻲ ﺑﺮاي ﻓﺎﻳﻞﻫﺎﻳﻲ ﻛﻪ روي اﻳﻦ ﺳﺮور وﺟﻮد دارﻧﺪ‬ ‫ﻣﻲﺳﺎزد ﻛﻪ ﺑﺎ آﻧﻬﺎﻳﻲ ﻛﻪ در ﺳﺮور ﻫﺪف وﺟﻮد دارﻧﺪ‪ ،‬ﻣﺸﺎﺑﻪ ﺑﺎﺷﺪ‪ .‬اﻳﻦ ﻓﺎﻳﻞﻫﺎ ﻣﻲﺗﻮاﻧﺪ داراي ﻛﺪﻫﺎي ﻣﺨﺮب ﺑﺎﺷﺪ از‬ ‫ﻗﺒﻴﻞ ‪ worm‬ﻳﺎ ﻳﻚ وﻳﺮوس‪.‬‬ ‫اﻧﻮاع ﺗﻜﻨﻴﻚﻫﺎي ‪ DNS poisoning‬ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬ ‫‪ :Intranet spoofing‬ﺑﻪ ﻋﻨﻮان دﺳﺘﮕﺎﻫﻲ در ﻫﻤﺎن ﺷﺒﻜﻪ داﺧﻠﻲ ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬ ‫‪ :Internet spoofing‬ﺑﻪ ﻋﻨﻮان دﺳﺘﮕﺎﻫﻲ در اﻳﻨﺘﺮﻧﺖ ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬ ‫‪ :Proxy server DNS poisoning‬وروديﻫﺎي ‪ DNS‬را روي ﭘﺮوﻛﺴﻲ ﺳﺮور ﺗﻐﻴﻴﺮ ﻣﻲدﻫﺪ ﺗﺎ ﻛﺎرﺑﺮ ﺑﻪ‬ ‫ﺳﻴﺴﺘﻢ دﻳﮕﺮي ﻫﺪاﻳﺖ ﺷﻮد‪.‬‬ ‫•‬ ‫‪ :DNS cache poisoning‬وروديﻫﺎي ‪ DNS‬را روي ﻫﺮ ﺳﻴﺴﺘﻢ ﺗﻐﻴﻴﺮ ﻣﻲدﻫﺪ ﺗﺎ ﻛﺎرﺑﺮ ﺑﻪ ﻣﺎﺷﻴﻦ دﻳﮕﺮي‬ ‫ﻫﺪاﻳﺖ ﺷﻮد‪.‬‬ ‫‪116‬‬ ‫‪:Intranet DNS Spoofing‬‬ ‫ﺑﺮاي اﻳﻦ ﺗﻜﻨﻴﻚ‪ ،‬ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﻪ ‪ LAN‬ﻣﺘﺼﻞ ﺑﺎﺷﻴﺪ و ﺑﺘﻮاﻧﻴﺪ ﺑﺴﺘﻪﻫﺎ را ‪ sniff‬ﻛﻨﻴﺪ‪ .‬ﺑﺎ ﻣﺴﻤﻮم ﻛﺮدن ‪ ARP‬روﺗﺮ‪،‬‬ ‫در ﺷﺒﻜﻪﻫﺎي ﺳﻮﺋﻴﭽﻲ ﻛﺎر ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪:Internet DNS Spoofing‬‬ ‫ﺑﺮاي ﻫﺪاﻳﺖ ﺗﻤﺎم ﺗﺮاﻓﻴﻚ درﺧﻮاﺳﺖﻫﺎي ‪ DNS‬از ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﻴﺰﺑﺎن ﺑﻪ ﺳﻤﺖ ﺷﻤﺎ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫ﺷﻜﻞ ﺻﻔﺤﻪ ﺑﻌﺪ‪ ،‬ﺳﻨﺎرﻳﻮي ‪ Internet DNS Spoofing‬را ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬ ‫‪ .1‬ﻳﻚ وب ﺳﺎﻳﺖ ﺟﻌﻠﻲ ﺑﺮ روي ﻛﺎﻣﭙﻴﻮﺗﺮ ﺧﻮد اﻳﺠﺎد ﻛﻨﻴﺪ‪.‬‬ ‫‪ Treewalk .2‬را ﻧﺼﺐ ﻛﻨﻴﺪ و ﻓﺎﻳﻞ ‪ readme.txt‬را ﺑﻪ آدرس ‪ IP‬ﺧﻮد ﺗﻐﻴﻴﺮ دﻫﻴﺪ‪ ،Treewalk ،‬ﺷﻤﺎ را ﺳﺮور‬ ‫‪ DNS‬ﺧﻮاﻫﺪ ﻛﺮد‪.‬‬ ‫‪ .3‬ﻓﺎﻳﻞ ‪ dns-spoofing.bat‬را ﺑﺎ آدرس ‪ IP‬ﺧﻮدﺗﺎن اﺻﻼح ﻛﻨﻴﺪ‪.‬‬ ‫‪ .4‬ﻓﺎﻳﻞ ‪ dns-spoofing.bat‬را ﺑﻪ ‪ Jessica‬ﺑﻔﺮﺳﺘﻴﺪ )ﻣﺜﻼ ‪(chess.exe‬‬ ‫‪ .5‬زﻣﺎﻧﻴﻜﻪ ﻛﺎرﺑﺮ ﺑﺮوي ﻓﺎﻳﻞ ﺗﺮوﺟﺎﻧﻲ ﻛﻠﻴﻚ ﻣﻲﻛﻨﺪ‪ ،‬در ‪ properties‬ﻛﺎرت ﺷﺒﻜﻪ او‪ DNS ،‬را ﺑﺎ آدرس دﺳﺘﮕﺎه‬ ‫ﺷﻤﺎ ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ .6‬ﺷﻤﺎ ﺑﺮاي ‪ ،Jessica‬ﺑﻪ ﻋﻨﻮان ﺳﺮور ‪ DNS‬ﺧﻮاﻫﻴﺪ ﺑﻮد و درﺧﻮاﺳﺖﻫﺎي ‪ DNS‬او از ﻃﺮﻳﻖ ﺷﻤﺎ رد ﺧﻮاﻫﺪ ﺷﺪ‪.‬‬ ‫‪ .7‬زﻣﺎﻧﻴﻜﻪ ‪ ،Jessica‬ﺑﻪ ‪ XSECURITY.com‬ﻣﺘﺼﻞ ﻣﻲﺷﻮد‪ ،‬وب ﺳﺎﻳﺖ ﺟﻌﻠﻲ را ﻣﻲآورد و ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ‬ ‫ﭘﺴﻮرد را ‪ sniff‬ﻛﻨﻴﺪ و او را ﺑﻪ وب ﺳﺎﻳﺖ واﻗﻌﻲ ﺑﻔﺮﺳﺘﻴﺪ‪.‬‬ ‫‪117‬‬ ‫‪:Proxy Server DNS Poisoning‬‬ ‫ﺗﺮوﺟﺎﻧﻲ ﺑﺮاي ‪ Rebecca‬ارﺳﺎل ﻣﻲﺷﻮد و ﺗﻨﻈﻴﻤﺎت ‪ proxy server‬در ‪ Internet Explorer‬را ﺑﻪ ﻫﻜﺮ ﺗﻐﻴﻴﺮ‬ ‫ﻣﻲدﻫﺪ‪ .‬ﭘﻴﺎدهﺳﺎزي آن ﺳﺎده اﺳﺖ‪.‬‬ ‫‪:DNS Cache Poisoning‬‬ ‫ﺑﺮاي اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﻫﻜﺮ از آﺳﻴﺐ ﭘﺬﻳﺮي ﻛﻪ در ﻧﺮماﻓﺰار ‪ DNS‬وﺟﻮد دارد اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﻃﺒﻖ اﻳﻦ آﺳﻴﺐ‬ ‫ﭘﺬﻳﺮي‪ ،‬اﻃﻼﻋﺎت ﻧﺎدرﺳﺖ را ﻣﻲﭘﺬﻳﺮد‪ .‬اﮔﺮ ﺳﺮور‪ ،‬ﺑﻄﻮر ﺻﺤﻴﺢ‪ ،‬ﭘﺎﺳﺦﻫﺎي ‪ DNS‬را ﺑﺮرﺳﻲ ﻧﻜﻨﺪ ﺗﺎ ﺑﺪاﻧﺪ ﻛﻪ از ﻣﻨﺒﻊ‬ ‫ﻗﺎﻧﻮﻧﻲ ﻣﻲآﻳﻨﺪ‪ ،‬ﺳﺮور‪ ،‬از ﻛﺶ ﻛﺮدن وروديﻫﺎي ﻧﺎدرﺳﺖ ﺧﻮدداري ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﻫﻜﺮ‪ ،‬ورودي ‪ DNS‬ﺑﺮاي ﻳﻚ‬ ‫‪118‬‬ ‫وب ﺳﺎﻳﺖ را روي ﻳﻚ ﺳﺮور ‪ ،DNS‬را ﺑﺎ آدرس ‪ IP‬ﺳﺮوري ﻛﻪ ﺧﻮدش ﻛﻨﺘﺮل ﻣﻲﻛﻨﺪ ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﻛﻨﺪ‪ .‬ﺳﭙﺲ روي‬ ‫ﺳﺮوري ﻛﻪ ﻛﻨﺘﺮﻟﺶ ﻣﻲﻛﻨﺪ‪ ،‬وروديﻫﺎي ﺟﻌﻠﻲ ﺑﺮاي ﻓﺎﻳﻞﻫﺎ ﻣﻲﺳﺎزد‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،EtherFlood‬ﺑﺮاي ‪ flood‬ﻛﺮدن ﻳﻚ ﺳﻮﺋﻴﭻ ﺑﺎ ﺗﺮاﻓﻴﻚ اﺳﺖ ﺗﺎ ﺗﺒﺪﻳﻞ ﺑﻪ ﻫﺎب ﺷﻮد‪ .‬ﺑﺎ اﻳﻨﻜﺎر‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺗﻤﺎم‬ ‫ﺗﺮاﻓﻴﻚ روي ﺷﺒﻜﻪ را ﺑﺪﺳﺖ آورد‪.‬‬ ‫‪ ،Dsniff‬ﻣﺠﻤﻮﻋﻪاي از اﺑﺰارﻫﺎي اﺟﺮاﻳﻲ ﻳﻮﻧﻴﻜﺲ اﺳﺖ ﻛﻪ ﺑﺮاي ﺑﺮرﺳﻲ ﺷﺒﻜﻪ و اﻧﺠﺎم ﺗﺴﺖ ﻧﻔﻮذ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫اﺑﺰارﻫﺎي آن ﺷﺎﻣﻞ ‪ ،urlsnarf ،msgsnarf ،mailsnarf ،filesnarf‬و ‪ webspy‬اﺳﺖ‪ .‬اﻳﻦ اﺑﺰارﻫﺎ‪ ،‬ﺑﺼﻮرت ﭘﺴﻴﻮ‪،‬‬ ‫ﺷﺒﻜﻪﻫﺎي آﺳﻴﺐ ﭘﺬﻳﺮ را ﻣﺎﻧﻴﺘﻮر ﻣﻲﻛﻨﻨﺪ ﺗﺎ اﻃﻼﻋﺎت ﻣﻬﻢ از ﻗﺒﻴﻞ ﭘﺴﻮردﻫﺎ‪ ،‬اﻳﻤﻴﻞ‪ ،‬و ﻓﺎﻳﻞﻫﺎ را ﺑﺪﺳﺖ آورﻧﺪ‪.‬‬ ‫‪ Sshmitm‬و ‪ ،webmitm‬ﺣﻤﻼت ‪ man-in-the-middle‬را ﺑﺮاي ﻧﺸﺴﺖﻫﺎي ‪ SSH‬و ‪ HTTPS‬اﻧﺠﺎم ﻣﻲدﻫﻨﺪ‪.‬‬ ‫‪ ،dnsspoof ،Arpspoof‬و ‪ ،macof‬ﺑﺎ ﻣﺪاﺧﻠﻪ در ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ ﺳﻮﺋﻴﭽﻲ ﻛﻪ ﻣﻌﻤﻮﻻ ﺑﻪ دﻟﻴﻞ ﺧﺎﺻﻴﺖ ﺳﻮﺋﻴﭽﻲ ﺑﻮدن‬ ‫ﺷﺒﻜﻪ‪ ،‬ﺑﺮاي ﺑﺮﻧﺎﻣﻪ ‪ sniffer‬ﻏﻴﺮ ﻗﺎﺑﻞ دﺳﺘﺮس اﺳﺖ‪ ،‬ﻛﺎر ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،Cain & Abel‬اﺑﺰاري ﭼﻨﺪ ﻣﻨﻈﻮره ﺑﺮاي ﻫﻚ در وﻳﻨﺪوز اﺳﺖ ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از اﺳﺘﺮاق ﺳﻤﻊ ﺷﺒﻜﻪ‪ ،‬اﻣﻜﺎن ﺑﺎزﻳﺎﺑﻲ‬ ‫اﻧﻮاع ﭘﺴﻮردﻫﺎ‪ ،‬ﺷﻜﺴﺘﻦ ﭘﺴﻮردﻫﺎي رﻣﺰ ﺷﺪه ﺑﺎ اﺳﺘﻔﺎده از دﻳﻜﺸﻨﺮي‪ ،brute force ،‬ﺿﺒﻂ ﻣﻜﺎﻟﻤﺎت ‪ ،VoIP‬رﻣﺰﮔﺸﺎﻳﻲ‬ ‫ﭘﺴﻮردﻫﺎي ﭘﻴﭽﻴﺪه‪ ،‬ﻇﺎﻫﺮ ﻛﺮدن ﻛﺎدر ﭘﺴﻮرد‪ ،‬ﺑﺎزﻳﺎﺑﻲ ﭘﺴﻮردﻫﺎي ﻛﺶ ﺷﺪه‪ ،‬و آﻧﺎﻟﻴﺰ ﭘﺮوﺗﻜﻞﻫﺎي ﻣﺴﻴﺮﻳﺎﺑﻲ را ﻣﻲدﻫﺪ‪.‬‬ ‫‪ ،Packet Crafter‬اﺑﺰاري ﺑﺮاي ﺳﺎﺧﺖ ﺑﺴﺘﻪﻫﺎي ﺳﻔﺎرﺷﻲ ‪ TCP/IP/UDP‬اﺳﺖ‪ .‬اﻳﻦ اﺑﺰار ﻣﻲﺗﻮاﻧﺪ آدرس ﻣﻨﺒﻊ ﻳﻚ‬ ‫ﺑﺴﺘﻪ را ﺗﻐﻴﻴﺮ دﻫﺪ و ‪flage‬ﻫﺎي ﻣﺨﺘﻠﻒ آن را ﻛﻨﺘﺮل ﻛﻨﻴﺪ‪.‬‬ ‫‪ ،SMAC‬اﺑﺰاري ﺑﺮاي ﺗﻐﻴﻴﺮ ‪ MAC address‬ﻳﻚ ﺳﻴﺴﺘﻢ اﺳﺖ و ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ در زﻣﺎن ﺣﻤﻠﻪ‪ MAC address ،‬ﺧﻮد‬ ‫را ﺗﻐﻴﻴﺮ دﻫﺪ‪.‬‬ ‫‪ ،MAC Changer‬اﺑﺰاري ﺑﺮاي ﺟﻌﻞ ﻳﻚ ‪ MAC address‬در ﻳﻮﻧﻴﻜﺲ اﺳﺖ‪ .‬ﻣﻲﺗﻮاﻧﺪ ﻛﺎرت ﺷﺒﻜﻪ را ﺑﺎ ﻳﻚ ‪MAC‬‬ ‫ﻣﺸﺨﺺ‪ MAC ،‬ﺗﺼﺎدﻓﻲ‪ MAC ،‬ﻓﺮوﺷﻨﺪه دﻳﮕﺮ‪ MAC ،‬دﻳﮕﺮي از ﻫﻤﺎن ﺳﺎزﻧﺪه ﺗﻨﻈﻴﻢ ﻛﻨﺪ‪ ،‬ﻳﺎ ﺣﺘﻲ ﻟﻴﺴﺖ ‪MAC‬‬ ‫‪address‬ﻫﺎي ﺳﺎزﻧﺪه را ﻧﻤﺎﻳﺶ دﻫﺪ ﺗﺎ از آن ﻟﻴﺴﺖ ﻳﻜﻲ را اﻧﺘﺨﺎب ﻛﻨﻴﺪ‪.‬‬ ‫‪ ،WinDNSSpoof‬اﺑﺰاري ﺳﺎده ﺑﻪ ﻣﻨﻈﻮر ‪ DNS ID spoofing‬ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز اﺳﺖ‪ .‬ﺑﺮاي اﺳﺘﻔﺎده از آن‬ ‫در ﺷﺒﻜﻪﻫﺎي ﺳﻮﺋﻴﭽﻲ‪ ،‬ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﺘﻮاﻧﻴﺪ ﺗﺮاﻓﻴﻚ روي ﻛﺎﻣﭙﻴﻮﺗﺮ را ‪ sniff‬ﻛﻨﻴﺪ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ ﻣﻲﺗﻮاﻧﺪ ﺑﺎ ﻳﻚ اﺑﺰار ‪ARP‬‬ ‫‪ spoofing‬ﻳﺎ ‪ flooding‬اﺳﺘﻔﺎده ﺷﻮد‪.‬‬ ‫‪ ،Distributed DNS Flooder‬ﺗﻌﺪاد زﻳﺎدي ﻛﻮﺋﺮي ﻣﻲﻓﺮﺳﺘﺪ ﺗﺎ ﺣﻤﻠﻪ ‪ DoS‬اﻳﺠﺎد ﻛﻨﺪ و ‪ DNS‬را ﻏﻴﺮ ﻓﻌﺎل ﺳﺎزد‪.‬‬ ‫‪119‬‬ ‫اﮔﺮ ﻧﺮماﻓﺰار ‪ ،DNS‬ﻛﻮﺋﺮيﻫﺎي ﻏﻴﺮ ﺻﺤﻴﺢ را ﺛﺒﺖ ﻛﻨﺪ‪ ،‬ﺗﺎﺛﻴﺮ اﻳﻦ ﺣﻤﻠﻪ ﭼﻨﺪ ﺑﺮاﺑﺮ ﻣﻲﺷﻮد‪.‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎي اﺳﺘﺮاق ﺳﻤﻊ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪،SmartSniff ،MSN Sniffer ،Win Sniffer ،Ace Password Sniffer ،Effetech ،ArpSpyX ،Ettercap‬‬ ‫‪AW ،Cloasoft EtherLook ،NetIntercept ،Etherpeek ،Snort ،EtherApe ،Ntop ،NetSetMan ،SMAC‬‬ ‫‪،URL Snooper ،BillSniff ،Sniphere ،NetResident ،Sniffem ،CommView ،Ports Traffic Anakyzer‬‬ ‫‪.EtherScan Analyzer ،Ipgrab ،AnalogX Packetmon ،EtherDetect Packet Sniffer‬‬ ‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ اﺳﺘﺮاق ﺳﻤﻊ‬ ‫ﺑﻬﺘﺮﻳﻦ روش اﻣﻨﻴﺘﻲ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از اﺳﺘﺮاق ﺳﻤﻊ در ﺷﺒﻜﻪ‪ ،‬رﻣﺰﮔﺬاري اﺳﺖ‪ .‬ﻫﺮ ﭼﻨﺪ ﻛﻪ رﻣﺰﮔﺬاري‪ ،‬از‬ ‫اﺳﺘﺮاق ﺳﻤﻊ ﺟﻠﻮﮔﻴﺮي ﻧﻤﻲﻛﻨﺪ اﻣﺎ ﺳﺒﺐ ﻣﻲﺷﻮد ﻛﻪ دادهﻫﺎﻳﻲ ﻛﻪ در اﺳﺘﺮاق ﺳﻤﻊ‪ ،‬ﺑﻪ دﺳﺖ ﻫﻜﺮ ﻣﻲاﻓﺘﺪ‪ ،‬ﻏﻴﺮ ﻗﺎﺑﻞ‬ ‫اﺳﺘﻔﺎده ﺑﺎﺷﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﻫﻜﺮ ﻧﻤﻲﺗﻮاﻧﺪ اﻃﻼﻋﺎت را ﺗﺮﺟﻤﻪ و ﺗﻔﺴﻴﺮ ﻛﻨﺪ‪ .‬اﻟﮕﻮرﻳﺘﻢﻫﺎي رﻣﺰﮔﺬاري از ﻗﺒﻴﻞ ‪ AES‬و‬ ‫‪ RC4‬ﻳﺎ ‪ RC5‬ﻣﻲﺗﻮاﻧﻨﺪ در ﺗﻜﻨﻮﻟﻮژيﻫﺎي ‪ VPN‬اﺳﺘﻔﺎده ﺷﻮﻧﺪ و روﺷﻲ راﻳﺞ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از اﺳﺘﺮاق ﺳﻤﻊ در ﺷﺒﻜﻪ‬ ‫ﻫﺴﺘﻨﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ‪ ،‬ﻣﺤﺪودﻳﺖ در دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﺑﻪ رﺳﺎﻧﻪ ﺷﺒﻜﻪ‪ ،‬اﻳﻦ اﻃﻤﻴﻨﺎن را ﻣﻲدﻫﺪ ﻛﻪ ‪packet sniffer‬ﻫﺎ‬ ‫ﻧﻤﻲﺗﻮاﻧﻨﺪ ﻧﺼﺐ ﺷﻮﻧﺪ‪ .‬روش دﻳﮕﺮ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ‪ sniff‬ﺷﺪن ﺷﺒﻜﻪ‪ ،‬ﺗﻐﻴﻴﺮ ﺷﺒﻜﻪ ﺑﻪ ‪ SSH‬اﺳﺖ‪.‬‬ ‫روشﻫﺎي ﻣﺘﻌﺪدي ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻳﻚ ‪ sniffer‬در ﺷﺒﻜﻪ وﺟﻮد دارد‪:‬‬ ‫•‬ ‫•‬ ‫•‬ ‫‪Ping method‬‬ ‫‪ARP method‬‬ ‫‪Latency method‬‬ ‫•‬ ‫اﺳﺘﻔﺎده از ‪IDS‬‬ ‫‪120‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،netINTERCEPTOR‬ﻓﺎﻳﺮوال وﻳﺮوس و اﺳﭙﻢ اﺳﺖ‪ .‬ﮔﺰﻳﻨﻪﻫﺎي ﭘﻴﺸﺮﻓﺘﻪاي ﺑﺮاي ﻓﻴﻠﺘﺮﻳﻨﮓ دارد و ﻣﻲﺗﻮاﻧﺪ‬ ‫اﺳﭙﻢﻫﺎي ﺟﺪﻳﺪ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ و آﻧﻬﺎ را ﻳﺎد ﺑﮕﻴﺮد‪ .‬ﻫﻤﭽﻨﻴﻦ ﻣﻲﺗﻮاﻧﺪ آﺧﺮﻳﻦ وﻳﺮوسﻫﺎ و ﺗﺮوﺟﺎنﻫﺎي اﻳﻤﻴﻞ را‬ ‫اﺳﺘﺮاق ﺳﻤﻊ ﻛﻨﺪ و از ﻧﺼﺐ ﺗﺮوﺟﺎنﻫﺎ ﻳﺎ ‪sniffer‬ﻫﺎ ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ‪.‬‬ ‫‪ ،Sniffdet‬ﻣﺠﻤﻮﻋﻪاي از ﺗﺴﺖﻫﺎ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ از راه دور ‪sniffer‬ﻫﺎ در ﺷﺒﻜﻪ ‪ TCP/IP‬اﺳﺖ‪ ،Sniffdet .‬اﻧﻮاع‬ ‫ﻣﺨﺘﻠﻒ ﺗﺴﺖﻫﺎ را ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻣﺎﺷﻴﻦﻫﺎﻳﻲ ﻛﻪ ﺑﺼﻮرت ‪ promiscuous mode‬ﻛﺎر ﻣﻲﻛﻨﻨﺪ ﻳﺎ ﻳﻚ ‪ sniffer‬دارﻧﺪ‪،‬‬ ‫اﻧﺠﺎم ﻣﻲدﻫﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي دﻳﮕﺮي ﻧﻴﺰ ﭼﻮن ‪ Antisniff ،Promiscan ،ARP Watch‬و ‪ Prodetect‬ﺑﺮاي ﭘﻴﺸﮕﻴﺮي ﻳﺎ ﺷﻨﺎﺳﺎﻳﻲ‬ ‫‪sniffer‬ﻫﺎ ﺑﻜﺎر ﻣﻲروﻧﺪ‪.‬‬ ‫‪121‬‬ ‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ Session Hijacking ‫ و‬Denial of Service ‫ﻣﻘﺪﻣﻪ‬ ‫در ﺣﻤﻠﻪ ‪ ،DoS‬ﻫﻜﺮ ﺗﻼش ﻣﻲﻛﻨﺪ ﺗﺎ ﺳﺮﻋﺖ ﺳﻴﺴﺘﻢ را ﺑﻪ ﺷﺪت ﻛﺎﻫﺶ دﻫﺪ و ﻛﺎرﺑﺮان ﻧﺘﻮاﻧﻨﺪ از ﻣﻨﺎﺑﻊ آن‬ ‫اﺳﺘﻔﺎده ﻛﻨﻨﺪ‪ .‬ﻫﻜﺮﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺗﻨﻬﺎ ﻳﻚ ﺳﻴﺴﺘﻢ و ﻳﺎ ﻳﻚ ﺷﺒﻜﻪ را ﻣﻮرد ﻫﺪف ﻗﺮار دﻫﻨﺪ و ﻣﻌﻤﻮﻻ ﻫﻢ در اﻳﻨﻜﺎر ﻣﻮﻓﻖ‬ ‫ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪) session hijacking‬دزدي ﻧﺸﺴﺖ(‪ ،‬ﻳﻜﻲ از روشﻫﺎي ﻫﻚ اﺳﺖ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ‪ ،‬ﻧﺸﺴﺘﻲ را ﮔﺮﻓﺖ‪ ،‬ﻳﻚ ‪DoS‬‬ ‫ﻣﻮﻗﺘﻲ را ﺑﺮاي ﻛﺎرﺑﺮ ﻧﻬﺎﻳﻲ اﻳﺠﺎد ﻣﻲﻛﻨﺪ‪ .‬ﭘﺲ از آﻧﻜﻪ ﻛﺎرﺑﺮي ﻧﺸﺴﺖ ﻗﺎﻧﻮﻧﻲ را اﻳﺠﺎد ﻛﺮد‪ ،‬ﻫﻜﺮ ﺑﺎ اﺳﺘﻔﺎده از ‪session‬‬ ‫‪ ،hijacking‬ﻧﺸﺴﺖ را ﺑﻪ دﺳﺖ ﻣﻲﮔﻴﺮد‪ .‬ﻫﻤﭽﻨﻴﻦ زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺑﻴﻦ ﺳﺮور و ﻛﻼﻳﻨﺖ ﻗﺮار ﮔﺮﻓﺖ و ﺗﻤﺎم ﺗﺮاﻓﻴﻚ را‬ ‫اﺳﺘﺮاق ﺳﻤﻊ ﻛﺮد‪ ،‬از ‪ session hijacking‬ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ ‪ man-in-the-middle‬ﻧﻴﺰ ﻣﻲﺗﻮاﻧﺪ اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬ ‫اﻳﻦ ﻓﺼﻞ در ﻣﻮرد ﺣﻤﻼت ‪ ،session hijacking ،DDoS ،DoS‬دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي ‪ ،TCP‬ﭘﻴﺸﮕﻮﻳﻲ‬ ‫‪ sequence number‬و اﺑﺰارﻫﺎي اﻳﻦ ﺣﻤﻼت ﺗﻮﺿﻴﺢ ﻣﻲدﻫﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ در ﭘﺎﻳﺎن ﻓﺼﻞ در ﻣﻮرد روشﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ‬ ‫‪ DoS‬و ‪ session hijacking‬ﺗﻮﺿﻴﺢ ﺧﻮاﻫﻴﻢ داد‪.‬‬ ‫‪123‬‬ ‫‪Denial of Service‬‬ ‫ﺣﻤﻠﻪ ‪ ،DoS‬ﺗﻼش ﺑﺮاي از ﻛﺎر اﻧﺪاﺧﺘﻦ ﺳﻴﺴﺘﻢ ﻛﺎرﺑﺮ ﻳﺎ ﺳﺎزﻣﺎن اﺳﺖ‪ .‬دو ﻧﻮع ﺣﻤﻠﻪ ‪ DoS‬وﺟﻮد دارد‪ .‬ﺷﻤﺎ ﺑﻪ‬ ‫ﻋﻨﻮان ﻳﻚ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ‪ ،‬ﺑﺎﻳﺪ ﺑﺎ اﻧﻮاع و ﻧﺤﻮه اﻧﺠﺎم ﺣﻤﻼت ‪ ،DoS‬و ﻧﻴﺰ ‪ (BOTs) robot‬و ﺷﺒﻜﻪﻫﺎي ‪robot‬‬ ‫)‪ ،(BOTNETs‬ﺣﻤﻼت ‪ smurf‬و ‪ SYN flooding‬و ﻫﻤﭽﻨﻴﻦ ﺑﺎ روشﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪ DoS‬و ‪ DDoS‬آﺷﻨﺎ ﺑﺎﺷﻴﺪ‪.‬‬ ‫اﻧﻮاع ﺣﻤﻼت ‪DoS‬‬ ‫دو ﻧﻮع ﺣﻤﻠﻪ ‪ DoS‬وﺟﻮد دارد‪ :‬ﺣﻤﻼت ‪ DoS‬ﻣﻲﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ دﻳﮕﺮ )‪ DoS‬ﺳﺎده( ﻳﺎ‬ ‫ﺗﻮﺳﻂ ﭼﻨﺪﻳﻦ ﺳﻴﺴﺘﻢ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ اﻧﺠﺎم ﺷﻮد )‪.(DDoS‬‬ ‫ﻫﺪف از اﻳﻦ ﺣﻤﻠﻪ اﻳﻦ ﻧﻴﺴﺖ ﻛﻪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻳﺎ دادهﻫﺎي ﻫﺪف دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﻴﻢ ﺑﻠﻜﻪ ﻫﺪف اﻳﻦ اﺳﺖ ﻛﻪ‬ ‫اﺟﺎزه ﺳﺮوﻳﺲ دﻫﻲ ﻛﺎرﺑﺮان ﻗﺎﻧﻮﻧﻲ را ﺑﮕﻴﺮﻳﻢ‪ .‬ﻣﻤﻜﻦ اﺳﺖ ﺣﻤﻠﻪ ‪ DoS‬ﻛﺎرﻫﺎي زﻳﺮ را اﻧﺠﺎم دﻫﺪ‪:‬‬ ‫•‬ ‫ﺗﺮاﻓﻴﻚ ﻋﻈﻴﻤﻲ را ﺑﻪ ﺳﻮي ﺷﺒﻜﻪ رواﻧﻪ ﻛﻨﺪ ﺗﺎ ﺟﻠﻮي ﺗﺮاﻓﻴﻚ ﻣﺠﺎز ﺷﺒﻜﻪ را ﺑﮕﻴﺮد‪.‬‬ ‫•‬ ‫ارﺗﺒﺎط ﺑﻴﻦ دو ﻣﺎﺷﻴﻦ را ﻗﻄﻊ ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﺟﻠﻮي دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﺮوﻳﺲ را ﺑﮕﻴﺮد‪.‬‬ ‫•‬ ‫ﺟﻠﻮي دﺳﺘﺮﺳﻲ اﻓﺮاد ﺑﻪ ﺳﺮوﻳﺲ را ﺑﮕﻴﺮد‪.‬‬ ‫•‬ ‫اﺟﺎزه دﺳﺘﺮﺳﻲ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺨﺺ ﺧﺎﺻﻲ را از ﺳﺮوﻳﺲ ﺑﮕﻴﺮد‪.‬‬ ‫اﺑﺰارﻫﺎي ﻣﺨﺘﻠﻔﻲ وﺟﻮد دارﻧﺪ ﻛﻪ ﺗﺮاﻓﻴﻚﻫﺎي ﻣﺨﺘﻠﻔﻲ را ﺑﻪ ﺳﻤﺖ ﻗﺮﺑﺎﻧﻲ ﺳﺮازﻳﺮ ﻣﻲﻛﻨﻨﺪ اﻣﺎ ﻧﺘﻴﺠﻪ ﻳﻜﺴﺎن‬ ‫اﺳﺖ‪ :‬ﺳﺮوﻳﺲ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ ﻏﻴﺮ ﻗﺎﺑﻞ دﺳﺘﺮس ﻣﻲﺷﻮد ﺑﺮاي اﻳﻨﻜﻪ ﻛﻞ ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ ﺻﺮف ﭘﺎﺳﺦ ﺑﻪ‬ ‫درﺧﻮاﺳﺖﻫﺎي ﺑﻴﻬﻮده و ﺳﺎﺧﺘﮕﻲ ﻫﻜﺮ ﻣﻲﺷﻮد‪.‬‬ ‫ﺣﻤﻠﻪ ‪ ،DoS‬ﺣﻤﻠﻪ ﻏﻴﺮﺣﺮﻓﻪاي اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﻫﻜﺮ ﻧﻤﻲﺗﻮاﻧﺪ ﺑﻪ اﻃﻼﻋﺎت دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ و ﻓﻘﻂ در‬ ‫ﺳﺮوﻳﺲدﻫﻲ آن‪ ،‬اﺧﺘﻼل ﺑﻮﺟﻮد ﻣﻲآورد‪ .‬اﮔﺮ ﺣﻤﻠﻪ ‪ DoS‬از ﻃﺮﻳﻖ ﭼﻨﺪﻳﻦ ﺳﻴﺴﺘﻢ ﺑﻪ ﺳﻤﺖ ﻣﻘﺼﺪ ارﺳﺎل ﺷﻮد‪،‬‬ ‫ﻣﺨﺮبﺗﺮ ﻣﻲﺷﻮد و ﺗﺎﺛﻴﺮات ﻣﻬﻤﻲ را دارد )ﺣﻤﻼت ‪.(DDoS‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Jolt2‬اﺑﺰاري ﺑﺮاي ﺣﻤﻠﻪ ‪ DoS‬اﺳﺖ ﻛﻪ ﺗﻌﺪاد زﻳﺎدي ﺑﺴﺘﻪﻫﺎي ‪ IP‬ﺑﻪ ﻳﻚ ﻫﺪف وﻳﻨﺪوزي ﻣﻲﻓﺮﺳﺘﺪ‪ .‬اﻳﻦ اﻣﺮ ﺳﺒﺐ‬ ‫ﻣﻲﺷﻮد ﻛﻪ ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ‪ ،‬ﻏﻴﺮ ﻗﺎﺑﻞ دﺳﺘﺮس ﺷﻮﻧﺪ و ﻧﻬﺎﻳﺘﺎ ﺳﻴﺴﺘﻢ از ﻛﺎر ﺑﻴﻔﺘﺪ‪.‬‬ ‫‪ ،Bubonic‬اﺑﺰاري ﺑﺮاي ﺣﻤﻠﻪ ‪ DoS‬اﺳﺖ ﻛﻪ ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪﻫﺎي ‪ TCP‬ﻛﻪ داراي ﺗﻨﻈﻴﻤﺎت ﺗﺼﺎدﻓﻲ ﻫﺴﺘﻨﺪ‪ ،‬ﻛﺎر‬ ‫ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﺎر ﻣﺎﺷﻴﻦ ﻫﺪف اﻓﺰاﻳﺶ ﻳﺎﺑﺪ و ﻧﻬﺎﻳﺘﺎ ﺳﻴﺴﺘﻢ از ﻛﺎر ﺑﻴﻔﺘﺪ‪.‬‬ ‫‪124‬‬ ‫‪ ،Ping of Death‬ﺣﻤﻠﻪاي اﺳﺖ ﻛﻪ ﺑﺴﺘﻪﻫﺎي ‪ IP‬ﻛﻪ ﺑﺴﻴﺎر ﺑﺰرگ ﻫﺴﺘﻨﺪ را ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف ارﺳﺎل ﻣﻲﻛﻨﺪ‪ ،‬و ﺑﻪ دﻟﻴﻞ‬ ‫زﻳﺎد و ﺑﺰرگ ﺑﻮدن ﺑﺴﺘﻪﻫﺎ‪ ،‬ﺳﻴﺴﺘﻢ ﻫﺪف ﻧﻤﻲﺗﻮاﻧﺪ آﻧﻬﺎ را درﻳﺎﻓﺖ ﻛﻨﺪ و در ﻧﺘﻴﺠﻪ از ﻛﺎر ﻣﻲاﻓﺘﺪ‪،Ping of Death .‬‬ ‫ﻣﻲﺗﻮاﻧﺪ ﺟﻠﻮي دﺳﺘﺮﺳﻲ ﻛﻼﻳﻨﺖﻫﺎ ﺑﻪ ﺳﺮور ﻛﻪ ﻗﺮﺑﺎﻧﻲ ﺣﻤﻠﻪ ﺑﻮده اﺳﺖ را ﺑﮕﻴﺮد‪.‬‬ ‫‪ ،SSPing‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ﭼﻨﺪﻳﻦ ﺑﺴﺘﻪ ﺑﺰرگ ‪ ICMP‬را ﺑﻪ ﺳﻤﺖ ﺳﻴﺴﺘﻢ ﻫﺪف ارﺳﺎل ﻣﻲﻛﻨﺪ و ﺳﺒﺐ ﻣﻲﺷﻮد ﻛﻪ‬ ‫ﻛﺎﻣﭙﻴﻮﺗﺮي ﻛﻪ ﺑﺴﺘﻪﻫﺎي داده را درﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ‪ ،‬زﻣﺎﻧﻴﻜﻪ دوﺑﺎره ﺑﺴﺘﻪﻫﺎ را ﺟﻤﻊآوري ﻣﻲﻛﻨﺪ‪ ،‬از ﻛﺎر ﺑﻴﻔﺘﺪ‪.‬‬ ‫‪ ،A LAND Attack‬ﺑﺴﺘﻪاي ﺑﻪ ﺳﻤﺖ ﻳﻚ ﺳﻴﺴﺘﻢ ارﺳﺎل ﻣﻲﻛﻨﺪ ﻛﻪ ‪ IP‬ﻣﻨﺒﻊ ﺑﺎ آدرس ‪ IP‬ﺳﻴﺴﺘﻢ ﻣﻘﺼﺪ ﻳﻜﻲ اﺳﺖ‪.‬‬ ‫در ﻧﺘﻴﺠﻪ‪ ،‬ﺳﻴﺴﺘﻢ ﻣﻲﺧﻮاﻫﺪ ﻛﻪ ﺑﻪ آن ﭘﺎﺳﺦ دﻫﺪ و ‪ loop‬اﻳﺠﺎد ﻣﻲﺷﻮد ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ‪ ،‬ﻏﻴﺮ ﻗﺎﺑﻞ دﺳﺘﺮس‬ ‫ﻣﻲﺷﻮﻧﺪ و ﻣﻤﻜﻦ اﺳﺖ ﺳﺮاﻧﺠﺎم ﺳﻴﺴﺘﻢ از ﻛﺎر ﺑﻴﻔﺘﺪ‪.‬‬ ‫‪ ،CPU Hog‬اﺑﺰاري ﺑﺮاي ﺣﻤﻠﻪ ‪ DoS‬اﺳﺖ ﻛﻪ از ﻣﻨﺎﺑﻊ ‪ CPU‬روي ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ و آن را ﺑﺮاي‬ ‫ﻛﺎرﺑﺮان دﻳﮕﺮ‪ ،‬ﻏﻴﺮ ﻗﺎﺑﻞ دﺳﺘﺮس ﻣﻲﺳﺎزد‪.‬‬ ‫‪ ،WinNuke‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ﺑﻪ دﻧﺒﺎل ﺳﻴﺴﺘﻤﻲ ﺑﺎ ﭘﻮرت ‪ 139‬ﺑﺎز ﻣﻲﮔﺮدد و ﺗﺮاﻓﻴﻚ ‪ IP‬ﻧﺎﺧﻮاﺳﺘﻪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف‬ ‫روي آن ﭘﻮرت ﻣﻲﻓﺮﺳﺘﺪ‪ .‬اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﺑﺎ ﻧﺎم ﺣﻤﻠﻪ ‪ (OOB) Out of Bounds‬ﻣﺸﻬﻮر اﺳﺖ و ﺳﺒﺐ ﺳﺮرﻳﺰي ﺑﺎﻓﺮ‬ ‫)‪ (buffer overflow‬ﻣﻲﺷﻮد و ﺳﺮاﻧﺠﺎم ﺳﻴﺴﺘﻢ از ﻛﺎر ﻣﻲاﻓﺘﺪ‪.‬‬ ‫‪ ،Targa‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي اﺟﺮاي ﺣﻤﻼت ﻣﺨﺘﻠﻒ ‪ DoS‬اﺳﺘﻔﺎده ﺷﻮد‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﻳﻚ ﻧﻮع ﺣﻤﻠﻪ را‬ ‫اﻧﺘﺨﺎب ﻛﻨﺪ و ﺳﭙﺲ آن را اﺟﺮا ﻛﻨﺪ و ﻳﺎ اﻳﻨﻜﻪ ﻫﻤﻪ ﻧﻮع ﺣﻤﻼت را اﻧﺠﺎم دﻫﺪ ﺗﺎ ﻳﻜﻲ از آﻧﻬﺎ ﻣﻮﻓﻘﻴﺖآﻣﻴﺰ ﺑﺎﺷﺪ‪.‬‬ ‫‪ ،RPC Locator‬ﺳﺮوﻳﺴﻲ اﺳﺖ ﻛﻪ ﺑﻪ ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﻮزﻳﻊ ﺷﺪه‪ ،‬اﺟﺎزه اﺟﺮا ﺑﺮ روي ﺷﺒﻜﻪ را ﻣﻲدﻫﺪ‪ .‬و ﻣﺴﺘﻌﺪ ﺣﻤﻼت‬ ‫‪ DoS‬ﻫﺴﺘﻨﺪ و ﺑﺴﻴﺎري از ﺑﺮﻧﺎﻣﻪﻫﺎ ﻛﻪ ﺣﻤﻼت ‪ DoS‬را اﻧﺠﺎم ﻣﻲدﻫﻨﺪ‪ ،‬از اﻳﻦ آﺳﻴﺐ ﭘﺬﻳﺮي اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫ﺣﻤﻼت ‪ DDoS‬ﻣﻲﺗﻮاﻧﻨﺪ ﺗﻮﺳﻂ ‪BOT‬ﻫﺎ و ‪BOTNET‬ﻫﺎ اﻧﺠﺎم ﺷﻮﻧﺪ ﻛﻪ ﺳﻴﺴﺘﻢﻫﺎ را ﺑﻪ ﺧﻄﺮ ﻣﻲاﻧﺪازﻧﺪ و‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﻛﺎرﺑﺮ ﻧﻬﺎﻳﻲ اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪاي ﻛﻪ ﺑﻪ ﺧﻄﺮ ﻣﻲاﻓﺘﺪ‪ ،‬ﻗﺮﺑﺎﻧﻲ ﺛﺎﻧﻮﻳﻪ اﺳﺖ در‬ ‫ﺣﺎﻟﻴﻜﻪ ﺣﻤﻼت ‪ DoS‬و ‪ ،DDoS‬ﻗﺮﺑﺎﻧﻲ اوﻟﻲ را ﻣﻮرد ﻫﺪف ﻗﺮار ﻣﻲدﻫﺪ‪.‬‬ ‫ﻧﺤﻮه ﻛﺎر ﺣﻤﻼت ‪DDoS‬‬ ‫ﺣﻤﻠﻪ ‪ ،DDoS‬ﻧﺴﺨﻪ ﭘﻴﺸﺮﻓﺘﻪ ﺣﻤﻠﻪ ‪ DoS‬اﺳﺖ‪ .‬ﻫﻤﺎﻧﻨﺪ ‪ ،DoS‬ﺣﻤﻠﻪ ‪ DDoS‬ﻧﻴﺰ ﺗﻼش ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﺎ ارﺳﺎل‬ ‫ﺑﺴﺘﻪﻫﺎ ﺑﻪ ﺳﻤﺖ ﺳﻴﺴﺘﻢ ﻣﻘﺼﺪ‪ ،‬دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﺮوﻳﺴﻲ را ﻣﺨﺘﻞ ﻛﻨﺪ‪ .‬ﻧﻜﺘﻪ ﻛﻠﻴﺪي ﺣﻤﻠﻪ ‪ ،DDoS‬اﻳﻦ اﺳﺖ ﻛﻪ ﺑﺠﺎي‬ ‫ﺣﻤﻠﻪ از ﻳﻚ ﺳﻴﺴﺘﻢ‪ ،‬از ﭼﻨﺪﻳﻦ ﺳﻴﺴﺘﻢ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫‪125‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Trinoo‬اﺑﺰاري اﺳﺖ ﻛﻪ ﺗﺮاﻓﻴﻚ ‪ UDP‬ارﺳﺎل ﻣﻲﻛﻨﺪ ﺗﺎ ﺣﻤﻠﻪ ‪ DDoS‬را اﻳﺠﺎد ﻛﻨﺪ‪ ،Trinoo master .‬ﺳﻴﺴﺘﻤﻲ‬ ‫اﺳﺖ ﻛﻪ ﺑﺮاي اﺟﺮاي ﺣﻤﻠﻪ ‪ DoS‬ﺑﺮ ﻋﻠﻴﻪ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ ،Master .‬ﭘﺮدازشﻫﺎي ‪agent‬‬ ‫)‪ daemons‬ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد( روي ﺳﻴﺴﺘﻢﻫﺎي ﺑﻪ ﺧﻄﺮ اﻓﺘﺎده ﻗﺒﻠﻲ ﻣﻲﺳﺎزد )ﻗﺮﺑﺎﻧﻲ ﺛﺎﻧﻮي( ﺗﺎ ﺑﻪ ﻳﻚ ﻳﺎ ﭼﻨﺪ آدرس‬ ‫‪ ،IP‬ﺣﻤﻠﻪ ﻛﻨﺪ‪ .‬اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﺑﺮاي ﻣﺪت زﻣﺎن ﻣﺸﺨﺼﻲ اﺗﻔﺎق ﻣﻲاﻓﺘﺪ‪ Trinoo agent .‬ﻳﺎ ‪ ،daemon‬روي ﺳﻴﺴﺘﻤﻲ ﻛﻪ‬ ‫آﺳﻴﺐ ﭘﺬﻳﺮي ‪ buffer overflow‬را دارد‪ ،‬ﻧﺼﺐ ﻣﻲﺷﻮد‪ ،WinTrinoo .‬ﻧﺴﺨﻪ وﻳﻨﺪوزي ‪ Trinoo‬اﺳﺖ و ﺗﻤﺎم ﻗﺎﺑﻠﻴﺖﻫﺎ‬ ‫را ﻣﺜﻞ ‪ Trinoo‬دارد‪.‬‬ ‫‪ ،Shaft‬ﻣﺸﺘﻘﻲ از اﺑﺰار ‪ Trinoo‬اﺳﺖ ﻛﻪ از ارﺗﺒﺎﻃﺎت ‪ UDP‬ﺑﻴﻦ ‪master‬ﻫﺎ و ‪agent‬ﻫﺎ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار‪،‬‬ ‫اﻃﻼﻋﺎﺗﻲ درﺑﺎره ﺣﻤﻠﻪ ‪ flood‬ﻣﻲدﻫﺪ ﻛﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي داﻧﺴﺘﻦ اﻳﻨﻜﻪ ﭼﻪ زﻣﺎﻧﻲ ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ ﺧﺎﻣﻮش ﻣﻲﺷﻮد‪،‬‬ ‫اﺳﺘﻔﺎده ﻛﻨﺪ‪ ،Shaft .‬داراي ﮔﺰﻳﻨﻪﻫﺎي ﺣﻤﻠﻪ ‪ ICMP ،UDP‬و ‪ TCP flooding‬اﺳﺖ‪.‬‬ ‫‪ ،Stacheldraht‬ﻣﺸﺎﺑﻪ ‪ TFN‬اﺳﺖ و ﺷﺎﻣﻞ ﮔﺰﻳﻨﻪﻫﺎﻳﻲ ﺑﺮاي ﺣﻤﻼت ‪ UDP flood ،ICMP flood‬و ‪TCP SYN‬‬ ‫اﺳﺖ‪ .‬ﻫﻤﭽﻨﻴﻦ داراي ارﺗﺒﺎط ‪ telnet‬اﻣﻦ )ﺑﺎ اﺳﺘﻔﺎده از رﻣﺰﮔﺬاري ﻛﻠﻴﺪ ﻣﺘﻘﺎرن( ﺑﻴﻦ ﻫﻜﺮ و ﺳﻴﺴﺘﻢﻫﺎي ‪agent‬‬ ‫)ﻗﺮﺑﺎﻧﻲﻫﺎي ﺛﺎﻧﻮﻳﻪ( اﺳﺖ‪ .‬اﻳﻦ ﺳﺒﺐ ﻣﻲﺷﻮد ﻛﻪ ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢﻫﺎ ﻧﺘﻮاﻧﻨﺪ اﻳﻦ ﺗﺮاﻓﻴﻚ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ‪.‬‬ ‫‪126‬‬ ‫)‪ ،Tribal Flood Network (TFN‬ﺑﻪ ﻫﻜﺮ اﻳﻦ اﻣﻜﺎن را ﻣﻲدﻫﺪﻛﻪ ﺑﺘﻮاﻧﺪ از ﺣﻤﻼت ‪) bandwidth-depletion‬ﺗﻬﻲ‬ ‫ﺳﺎزي ﭘﻬﻨﺎي ﺑﺎﻧﺪ( و ‪) resource-depletion‬ﺗﻬﻲ ﺳﺎزي ﻣﻨﺎﺑﻊ( اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار‪ ،‬داراي ﺣﻤﻼت ‪UDP‬‬ ‫‪ TCP SYN ،ICMP flooding ،flooding‬و ‪ smurf‬اﺳﺖ‪ TFN2K .‬ﺑﺮ ﻣﺒﻨﺎي ‪ TFN‬اﺳﺖ ﺑﺎ اﻳﻦ ﺗﻔﺎوت ﻛﻪ داراي‬ ‫ﻗﺎﺑﻠﻴﺖﻫﺎﻳﻲ اﺳﺖ ﻛﻪ ﺗﺮاﻓﻴﻚ ‪ TFN2K‬ﺑﻪ ﺳﺨﺘﻲ ﺷﻨﺎﺳﺎﻳﻲ و ﻓﻴﻠﺘﺮ ﺷﻮد‪ .‬ﺑﺼﻮرت راه دور دﺳﺘﻮرات را اﺟﺮا ﻣﻲﻛﻨﺪ‪،‬‬ ‫ﻣﻨﺒﻊ ﺣﻤﻠﻪ را ﺑﺎ اﺳﺘﻔﺎده از ‪ IP spoofing‬ﻣﺨﻔﻲ ﻣﻲﻛﻨﺪ و از ﭼﻨﺪﻳﻦ ﭘﺮوﺗﻜﻞ ﻻﻳﻪ اﻧﺘﻘﺎل )‪ (transport‬ﻣﺜﻞ ‪،UDP‬‬ ‫‪ TCP‬و ‪ ICMP‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،Mstream‬از ﺑﺴﺘﻪﻫﺎي ‪ TCP‬ﺟﻌﻠﻲ ﺑﺎ ‪ ACK flag‬ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ و ﺷﺎﻣﻞ ﻳﻚ ‪ handler‬و ﻳﻚ‬ ‫ﺑﺨﺶ ‪ agent‬اﺳﺖ ﻛﻪ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﺑﺨﺶ ‪ handler‬ﻧﻴﺎز ﺑﻪ ﭘﺴﻮرد اﺳﺖ‪.‬‬ ‫ﺳﺮوﻳﺲﻫﺎﻳﻲ ﻛﻪ در ﺣﻤﻠﻪ ﻣﺨﺘﻞ ﻣﻲﺷﻮﻧﺪ را ﻗﺮﺑﺎﻧﻴﺎن اﺻﻠﻲ‪ ،‬و ﺳﻴﺴﺘﻢﻫﺎﻳﻲ ﻛﻪ از آﻧﻬﺎ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ اﺳﺘﻔﺎده‬ ‫ﻣﻲﺷﻮﻧﺪ را ﻗﺮﺑﺎﻧﻴﺎن ﺛﺎﻧﻮي ﻳﺎ ‪zombie‬ﻫﺎ ﻳﺎ ‪BOT‬ﻫﺎ ﻣﻲﻧﺎﻣﻨﺪ‪ .‬ﻣﻌﻤﻮﻻ اﻳﻦ ﺳﻴﺴﺘﻢﻫﺎ از ﻃﺮﻳﻖ ﺣﻤﻠﻪ دﻳﮕﺮي ﻫﻚ‬ ‫ﺷﺪهاﻧﺪ و ﺳﭙﺲ از آﻧﻬﺎ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ ﺑﺮ ﻋﻠﻴﻪ ﻗﺮﺑﺎﻧﻲ اﺻﻠﻲ در زﻣﺎن ﻳﺎ در ﺷﺮاﻳﻂ ﻣﺸﺨﺺ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬در اﻳﻦ‬ ‫ﺣﺎﻟﺖ‪ ،‬ردﻳﺎﺑﻲ ﺣﻤﻠﻪ دﺷﻮار اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺣﻤﻠﻪ از ﻃﺮﻳﻖ ﭼﻨﺪﻳﻦ آدرس ‪ IP‬ﺷﻜﻞ ﮔﺮﻓﺘﻪ اﺳﺖ‪.‬‬ ‫در ﺣﺎﻟﺖ ﻃﺒﻴﻌﻲ‪ ،‬ﺣﻤﻠﻪ ‪ DDoS‬ﺷﺎﻣﻞ ﺳﻪ ﺑﺨﺶ اﺳﺖ‪:‬‬ ‫•‬ ‫•‬ ‫•‬ ‫‪Master/ Handler‬‬ ‫‪Slave/ secondary victim/ zombie/ agent/ BOT/ BOTNET‬‬ ‫‪Victim/ primary victim‬‬ ‫ﻛﻪ ‪ ،master‬ﺷﺮوع ﻛﻨﻨﺪه ﺣﻤﻠﻪ اﺳﺖ‪ ،slave .‬دﺳﺘﮕﺎﻫﻲ اﺳﺖ ﻛﻪ ﺗﻮﺳﻂ ‪ master‬ﺑﻪ ﺧﻄﺮ اﻓﺘﺎده اﺳﺖ‪،Vitim .‬‬ ‫ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺖ‪ ،master .‬دﺳﺘﮕﺎهﻫﺎي ‪ slave‬را ﻫﺪاﻳﺖ ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ‪ ،‬ﺣﻤﻠﻪ اﻧﺠﺎم دﻫﻨﺪ‪.‬‬ ‫‪127‬‬ ‫ﺣﻤﻠﻪ ‪ ،DDoS‬در دو ﻣﺮﺣﻠﻪ اﻧﺠﺎم ﻣﻲﮔﻴﺮد‪ .‬ﻫﻜﺮ در ﻣﺮﺣﻠﻪ ‪ ،intrusion‬ﺳﻴﺴﺘﻢﻫﺎي ﺿﻌﻴﻒ در ﺷﺒﻜﻪﻫﺎي‬ ‫ﻣﺨﺘﻠﻒ را ﺑﻪ دﺳﺖ ﻣﻲﮔﻴﺮد و اﺑﺰارﻫﺎي ‪ DDoS‬را روي ﺳﻴﺴﺘﻢﻫﺎي ‪ slave‬ﻧﺼﺐ ﻣﻲﻛﻨﺪ‪ .‬در ﻣﺮﺣﻠﻪ ‪،attack‬‬ ‫ﺳﻴﺴﺘﻢﻫﺎي ‪ ،slave‬ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ ﺑﻪ ﻗﺮﺑﺎﻧﻲ اﺻﻠﻲ اﻗﺪام ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫دﺳﺘﻪ ﺑﻨﺪي ﺣﻤﻼت ‪:DDoS‬‬ ‫‪128‬‬ ‫ﻧﺤﻮه ﻛﺎر ‪BOT‬ﻫﺎ و ‪BOTNET‬ﻫﺎ‬ ‫‪ ،BOT‬ﺧﻼﺻﻪ روﺑﺎت وب )‪ ،(web robot‬ﻧﺮماﻓﺰاري ﺧﻮدﻛﺎر اﺳﺖ ﻛﻪ ﺑﺼﻮرت ﻫﻮﺷﻤﻨﺪاﻧﻪ ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪ .‬ﻣﻌﻤﻮﻻ‬ ‫ﻧﺮماﻓﺰارﻫﺎي اﺳﭙﻢ )‪spammer‬ﻫﺎ( از ‪BOT‬ﻫﺎ ﺑﺮاي ﺧﻮدﻛﺎرﺳﺎزي ارﺳﺎل ﺑﺴﺘﻪﻫﺎي اﺳﭙﻢ ﺑﺮاي ﮔﺮوهﻫﺎي ﺧﺒﺮي ﻳﺎ ارﺳﺎل‬ ‫اﻳﻤﻴﻞ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ‪BOT‬ﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ ﻋﻨﻮان اﺑﺰارﻫﺎي ﺣﻤﻠﻪ از راه دور‪ ،‬اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪ .‬اﻏﻠﺐ‪،‬‬ ‫‪BOT‬ﻫﺎ‪agent ،‬ﻫﺎي وﺑﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺎ ﺻﻔﺤﺎت وب ﺗﻌﺎﻣﻞ دارﻧﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪web crawler ،‬ﻫﺎ )‪spider‬ﻫﺎ(‪ ،‬روﺑﺎتﻫﺎي‬ ‫وﺑﻲ ﻫﺴﺘﻨﺪ ﻛﻪ اﻃﻼﻋﺎت ﺻﻔﺤﺎت وب را ﺟﻤﻊآوري ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫ﺧﻄﺮﻧﺎكﺗﺮﻳﻦ ‪BOT‬ﻫﺎ آﻧﻬﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺧﻮد را ﺑﺼﻮرت ﻣﺨﻔﻴﺎﻧﻪ ﺑﺮ روي ﻛﺎﻣﭙﻴﻮﺗﺮ ﻛﺎرﺑﺮان ﻧﺼﺐ ﻣﻲﻛﻨﻨﺪ ﺗﺎ‬ ‫اﻫﺪاف ﺷﻮم ﺧﻮد را اﻧﺠﺎم دﻫﻨﺪ‪ .‬ﺑﺮﺧﻲ از ‪BOT‬ﻫﺎ‪ ،‬ﺑﺎ اﺳﺘﻔﺎده از ‪ IRC‬ﻳﺎ اﻳﻨﺘﺮﻓﻴﺲﻫﺎي دﻳﮕﺮ وب‪ ،‬ﺑﺎ ﻛﺎرﺑﺮان دﻳﮕﺮ‬ ‫ﺳﺮوﻳﺲﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ وب‪ ،‬ارﺗﺒﺎط دارﻧﺪ‪ .‬اﻳﻦ ‪BOT‬ﻫﺎ اﻏﻠﺐ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺴﻴﺎري از وﻇﺎﻳﻒ را اﻧﺠﺎم دﻫﻨﺪ و ﮔﺰارش آب و‬ ‫ﻫﻮا‪ ،‬اﻃﻼﻋﺎت ﻛﺪ ﭘﺴﺘﻲ‪ ،‬ﻧﺘﺎﻳﺞ ورزشﻫﺎ‪ ،‬ﺗﺒﺪﻳﻞ واﺣﺪﻫﺎ و اﻧﺪازهﻫﺎ از ﻗﺒﻴﻞ ارز‪ ،‬و ‪ ...‬را دارﻧﺪ‪.‬‬ ‫‪ ،BOTNET‬ﮔﺮوﻫﻲ از ﺳﻴﺴﺘﻢﻫﺎي ‪ BOT‬اﺳﺖ‪BOTNET .‬ﻫﺎ ﭼﻨﺪﻳﻦ ﻫﺪف دارﻧﺪ از ﻗﺒﻴﻞ ﺣﻤﻼت ‪،DDoS‬‬ ‫اﻳﺠﺎد ﻳﺎ ﺳﻮاﺳﺘﻔﺎده از ‪ SMTP‬ﺑﺮاي اﺳﭙﻢ‪ ،‬ﻛﻼﻫﺒﺮداري ﺑﺎزارﻳﺎﺑﻲ اﻳﻨﺘﺮﻧﺘﻲ‪ ،‬ﺳﺮﻗﺖ ﺷﻤﺎره ﺳﺮﻳﺎلﻫﺎي ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬ﻧﺎمﻫﺎي‬ ‫ﻛﺎرﺑﺮي‪ ،‬و اﻃﻼﻋﺎت ﻣﺎﻟﻲ از ﻗﺒﻴﻞ ﺷﻤﺎرهﻫﺎي ﻛﺎرت اﻋﺘﺒﺎري‪ .‬ﺑﻄﻮر ﻛﻠﻲ‪ ،BOTNET ،‬ﺑﻪ ﮔﺮوﻫﻲ از ﺳﻴﺴﺘﻢﻫﺎي ﻫﻚ‬ ‫ﺷﺪه اﻃﻼق ﻣﻲﺷﻮد ﻛﻪ ﺑﻪ ﻣﻨﻈﻮر اﺟﺮاي ﺣﻤﻠﻪ ‪ DDoS‬ﻫﻤﺎﻫﻨﮓ ﺷﺪه‪ BOT ،‬را اﺟﺮا ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫‪129‬‬ ‫ﺣﻤﻠﻪ ‪ smurf‬ﭼﻴﺴﺖ؟‬ ‫ﺣﻤﻠﻪ ‪ ،smurf‬ﺗﻌﺪاد زﻳﺎدي ﺗﺮاﻓﻴﻚ ‪ ICMP‬ارﺳﺎل ﻣﻲﻛﻨﺪ ﺗﺎ آدرسﻫﺎي ‪ IP‬ﺑﺎ آدرس ﻣﻨﺒﻊ ﺟﻌﻠﻲ ﺷﺪه ﻗﺮﺑﺎﻧﻲ را‬ ‫‪ broadcast‬ﻛﻨﺪ‪ .‬ﻫﺮ ﻣﺎﺷﻴﻦ ﻗﺮﺑﺎﻧﻲ ﺛﺎﻧﻮي ﻣﻮﺟﻮد ﺑﺮ روي ﺷﺒﻜﻪ‪ ،‬ﺑﻪ درﺧﻮاﺳﺖﻫﺎي ‪ ICMP‬ﭘﺎﺳﺦ ﻣﻲدﻫﺪ و ﺑﺎ ﭘﺎﺳﺦ ﺑﻪ‬ ‫ﻣﺎﺷﻴﻦﻫﺎ‪ ،‬ﺗﺮاﻓﻴﻚ را ﺗﻜﺜﻴﺮ ﻣﻲﻛﻨﻨﺪ‪ .‬در ﺷﺒﻜﻪﻫﺎي ‪ broadcast‬ﺑﺎ دﺳﺘﺮﺳﻲ ﭼﻨﺪﮔﺎﻧﻪ‪ ،‬ﻣﻤﻜﻦ اﺳﺖ ﺻﺪﻫﺎ ﻣﺎﺷﻴﻦ ﺑﻪ‬ ‫ﺑﺴﺘﻪﻫﺎ ﭘﺎﺳﺦ دﻫﻨﺪ‪ .‬اﻳﻨﻜﺎر ﺑﺎﻋﺚ ﻣﻲﺷﻮد ﻛﻪ ﻳﻚ ﺣﻤﻠﻪ ‪ DoS‬از ﭘﺎﺳﺦﻫﺎي ‪ ping‬ﺑﺴﺎزد و ﻗﺮﺑﺎﻧﻲ اوﻟﻲ را ‪ flood‬ﻛﻨﻨﺪ‪.‬‬ ‫ﺳﺮورﻫﺎي ‪ ،IRC‬ﻗﺮﺑﺎﻧﻲ اوﻟﻴﻪ از ﺣﻤﻼت ‪ smurf‬روي اﻳﻨﺘﺮﻧﺖ ﻫﺴﺘﻨﺪ‪.‬‬ ‫‪ SYN flooding‬ﭼﻴﺴﺖ؟‬ ‫ﺣﻤﻠﻪ ‪ ،SYN flood‬درﺧﻮاﺳﺖﻫﺎي ارﺗﺒﺎط ‪ TCP‬را ﺳﺮﻳﻌﺘﺮ از زﻣﺎﻧﻴﻜﻪ ﻳﻚ ﻣﺎﺷﻴﻦ ﺑﺘﻮاﻧﺪ آﻧﻬﺎ را ﭘﺮدازش ﻛﻨﺪ‪،‬‬ ‫ارﺳﺎل ﻣﻲﻛﻨﺪ‪ .‬ﻫﻜﺮ‪ ،‬ﺑﺮاي ﻫﺮ ﺑﺴﺘﻪ‪ ،‬آدرس ﻣﻨﺒﻊ ﺗﺼﺎدﻓﻲ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ و ﺑﻴﺖ ‪ SYN‬را ﺑﺮاي اﻳﺠﺎد درﺧﻮاﺳﺖ ارﺗﺒﺎط‬ ‫‪130‬‬ ‫ﺟﺪﻳﺪ ﺑﻪ ﺳﺮور از ﻃﺮف آدرس ‪ IP‬ﺟﻌﻠﻲ‪ ،‬ﺳﺖ ﻣﻲﻛﻨﺪ‪ .‬ﻗﺮﺑﺎﻧﻲ‪ ،‬ﺑﻪ آدرس ‪ IP‬ﺟﻌﻠﻲ )‪ (spoofed‬ﭘﺎﺳﺦ ﻣﻲدﻫﺪ و ﺳﭙﺲ‬ ‫ﺑﺮاي ﺗﺎﺋﻴﺪ ‪ TCP‬ﻣﻨﺘﻈﺮ ﻣﻲﻣﺎﻧﺪ وﻟﻲ ﻫﻴﭻ وﻗﺖ ﭘﺎﺳﺨﻲ درﻳﺎﻓﺖ ﻧﻤﻲﻛﻨﺪ‪ .‬در ﻧﺘﻴﺠﻪ‪ ،‬ﺟﺪول ارﺗﺒﺎط ﻗﺮﺑﺎﻧﻲ ﺑﺎ ﺣﺎﻟﺖﻫﺎي‬ ‫"اﻧﺘﻈﺎر ﭘﺎﺳﺦ" ﭘﺮ ﻣﻲﺷﻮد و ارﺗﺒﺎﻃﺎت ﺟﺪﻳﺪ ﻧﺎدﻳﺪه ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﻧﺪ ﻛﺎرﺑﺮان ﻣﺸﺮوع‪ ،‬ﻧﺎدﻳﺪه ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﻧﺪ و ﻧﻤﻲﺗﻮاﻧﻨﺪ‬ ‫ﺑﻪ ﺳﺮور دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ .‬ﺑﺮﺧﻲ از روشﻫﺎي ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻼت ‪ ،SYN flood‬ﻋﺒﺎرﺗﻨﺪ از‪،SYN cookies :‬‬ ‫‪ Micro Blocks ،RST cookies‬و ‪.Stack Tweaking‬‬ ‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪ DoS‬و ‪DDoS‬‬ ‫ﭼﻨﺪﻳﻦ روش ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ‪ ،‬از ﺑﻴﻦ ﺑﺮدن ﻳﺎ ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻼت ‪ DoS‬وﺟﻮد دارد‪ .‬در زﻳﺮ ﻟﻴﺴﺖ ﺑﺮﺧﻲ از‬ ‫راﻳﺞﺗﺮﻳﻦ ﻗﺎﺑﻠﻴﺖﻫﺎي اﻣﻨﻴﺘﻲ ﻗﺎﺑﻞ دﺳﺘﺮس آورده ﺷﺪه اﺳﺖ‪:‬‬ ‫ﻓﻴﻠﺘﺮﻳﻨﮓ ‪ :network-ingress‬ﺗﻤﺎم ﻛﺴﺎﻧﻴﻜﻪ اﻣﻜﺎن دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ را ﻣﻲدﻫﻨﺪ ﺑﺎﻳﺪ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺗﺰرﻳﻖ‬ ‫ﺑﺴﺘﻪﻫﺎي ﺑﺎ آدرسﻫﺎي ﺟﻌﻠﻲ ﺑﻪ اﻳﻨﺘﺮﻧﺖ‪ ،‬از ﻓﻴﻠﺘﺮﻳﻨﮓ ‪ network-ingress‬اﺳﺘﻔﺎده ﻛﻨﻨﺪ‪ .‬ﻫﺮ ﭼﻨﺪ ﻛﻪ اﻳﻨﻜﺎر از ﺑﺮوز‬ ‫ﺣﻤﻠﻪ ﭘﻴﺸﮕﻴﺮي ﻧﻤﻲﻛﻨﻨﺪ‪ ،‬اﻣﺎ ردﮔﻴﺮي ﻣﻨﺒﻊ ﺣﻤﻠﻪ و ﻣﺘﻮﻗﻒ ﺳﺎﺧﺘﻦ آن را ﺧﻴﻠﻲ ﺳﺮﻳﻊﺗﺮ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ ‪ :rate-limiting‬ﺑﺴﻴﺎري از روﺗﺮﻫﺎي ﻣﻮﺟﻮد در ﺑﺎزار‪ ،‬ﻗﺎﺑﻠﻴﺖﻫﺎﻳﻲ ﻛﻪ ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﺤﺪود ﺳﺎﺧﺘﻦ‬ ‫ﻣﻘﺪار ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺑﻌﻀﻲ از ﺗﺮاﻓﻴﻚﻫﺎ را ﻣﻲدﻫﻨﺪ‪ ،‬وﺟﻮد دارﻧﺪ‪ .‬اﻳﻦ ﻗﺎﺑﻠﻴﺖ ﺑﺎ ﻧﺎم ‪ traffic shaping‬ﻧﻴﺰ ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪.‬‬ ‫ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ‪ :‬ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻫﻜﺮﻫﺎﻳﻲ ﻛﻪ ﺑﺎ ﻣﺎﺷﻴﻦﻫﺎي ‪ slave ،master‬ﻳﺎ ‪ agent‬ارﺗﺒﺎط ﺑﺮﻗﺮار‬ ‫ﻣﻲﻛﻨﻨﺪ‪ ،‬از ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪ .‬اﺳﺘﻔﺎده از آن‪ ،‬اﻳﻦ اﻣﻜﺎن را ﻣﻲدﻫﺪ ﻛﻪ ﺑﺪاﻧﻴﺪ آﻳﺎ ﻣﺎﺷﻴﻨﻲ ﺑﺮ‬ ‫روي ﺷﺒﻜﻪ‪ ،‬ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ ﺷﻨﺎﺧﺘﻪ ﺷﺪهاي اﺳﺘﻔﺎده ﻣﻲﺷﻮد ﻳﺎ ﻧﻪ‪ .‬اﻣﺎ ﻣﻤﻜﻦ اﺳﺖ ﺣﻤﻼت ﻳﺎ اﺑﺰارﻫﺎي ﺟﺪﻳﺪي را‬ ‫ﺷﻨﺎﺳﺎﻳﻲ ﻧﻜﻨﺪ‪ .‬ﺑﺴﻴﺎري از ﺳﺎزﻧﺪﮔﺎن ‪ ،IDS‬ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪاي ‪ TFN ،Trinoo‬ﻳﺎ ‪ ،Stacheldraht‬از‬ ‫‪ signature‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ‪ :Host-auditing‬اﺑﺰارﻫﺎﻳﻲ ﺑﺮاي اﺳﻜﻦ ﻓﺎﻳﻞ وﺟﻮد دارﻧﺪ ﻛﻪ ﺗﻼش ﻣﻲﻛﻨﻨﺪ ﺗﺎ اﺑﺰارﻫﺎي ﻛﻼﻳﻨﺘﻲ و ﺳﺮوري‬ ‫‪ DDoS‬را در ﻳﻚ ﺳﻴﺴﺘﻢ ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ‪ :Network-auditing‬اﺑﺰارﻫﺎي اﺳﻜﻦ ﺷﺒﻜﻪاي ﻫﺴﺘﻨﺪ ﻛﻪ ﺗﻼش ﻣﻲﻛﻨﻨﺪ ‪agent‬ﻫﺎي ‪ DDoS‬ﻛﻪ در‬ ‫ﻣﺎﺷﻴﻦﻫﺎ ﻳﺎ در ﺷﺒﻜﻪ ﺷﻤﺎ وﺟﻮد دارﻧﺪ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ﺧﻮدﻛﺎر ردﻳﺎﺑﻲ ﺷﺒﻜﻪ‪ :‬ردﮔﻴﺮي ﺟﺮﻳﺎن ﺑﺴﺘﻪﻫﺎ در ﺷﺒﻜﻪ ﺑﺎ آدرسﻫﺎي ﺟﻌﻠﻲ‪ ،‬ﻛﺎر زﻣﺎنﮔﻴﺮي اﺳﺖ ﻛﻪ ﺑﻪ‬ ‫ﻫﻤﻜﺎري ﺑﻴﻦ ﺗﻤﺎم ﺷﺒﻜﻪ ﻧﻴﺎز دارد ﺗﺎ ﺗﺮاﻓﻴﻚ را اﻧﺘﻘﺎل دﻫﺪ و ﺑﺎﻳﺪ در زﻣﺎﻧﻴﻜﻪ ﺣﻤﻠﻪ در ﺣﺎل اﻧﺠﺎم اﺳﺖ‪ ،‬ﺻﻮرت ﮔﻴﺮد‪.‬‬ ‫‪131‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Find_ddos‬اﺑﺰاري ﺑﺮاي اﺳﻜﻦ ﺳﻴﺴﺘﻢ ﻣﺤﻠﻲ اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﺴﻴﺎري از ﺑﺮﻧﺎﻣﻪﻫﺎي ﺷﻨﺎﺧﺘﻪ ﺷﺪه ﺑﺮاي ﺣﻤﻠﻪ ‪DoS‬‬ ‫را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ‪.‬‬ ‫‪ ،SARA‬ﺑﺎ آزﻣﺎﻳﺶ ﺳﺮوﻳﺲﻫﺎي ﺷﺒﻜﻪاي‪ ،‬اﻃﻼﻋﺎﺗﻲ درﺑﺎره ﻣﺎﺷﻴﻦﻫﺎ و ﺷﺒﻜﻪﻫﺎي راه دور ﺟﻤﻊآوري ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ اﺑﺰار‬ ‫ﺷﺎﻣﻞ اﻃﻼﻋﺎﺗﻲ درﺑﺎره ﺳﺮوﻳﺲﻫﺎي ﺷﺒﻜﻪاي و آﺳﻴﺐﻫﺎي اﻣﻨﻴﺘﻲ ﺑﺎﻟﻘﻮه از ﻗﺒﻴﻞ ﭘﻴﻜﺮﺑﻨﺪي ﻧﺎدرﺳﺖ ﺳﺮوﻳﺲﻫﺎ‪،‬‬ ‫ﻣﺸﻜﻼت ﺷﻨﺎﺧﺘﻪ ﺷﺪه ﻧﺮماﻓﺰارﻫﺎي ﺳﻴﺴﺘﻤﻲ ﻳﺎ ﺷﺒﻜﻪاي اراﺋﻪ ﻣﻲدﻫﺪ‪.‬‬ ‫‪ ،RID‬اﺑﺰاري راﻳﮕﺎن ﺑﺮاي اﺳﻜﻦ اﺳﺖ ﻛﻪ وﺟﻮد ﻛﻼﻳﻨﺖﻫﺎي ‪ ،TFN ،Trinoo‬ﻳﺎ ‪ Stacheldraht‬را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،Zombie Zapper‬روالﻫﺎ و روﺗﻴﻦﻫﺎي ‪ zombie‬را ﺑﻪ ﺣﺎﻟﺖ ﺧﻮاب )‪ (sleep‬ﻣﻲﺑﺮد ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﺣﻤﻠﻪ آﻧﻬﺎ را ﻣﺘﻮﻗﻒ‬ ‫ﻣﻲﻛﻨﺪ‪ .‬ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ از ﻫﻤﺎن دﺳﺘﻮرات ﻫﻜﺮ ﺑﺮاي ﻣﺘﻮﻗﻒ ﻛﺮدن ﺣﻤﻠﻪ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬ ‫‪Session Hijacking‬‬ ‫‪ ،Session hijacking‬زﻣﺎﻧﻲ اﺳﺖ ﻛﻪ ﻫﻜﺮ‪ ،‬ﻛﻨﺘﺮل ﻧﺸﺴﺖ ﻛﺎرﺑﺮ را ﭘﺲ از اﺣﺮاز ﻫﻮﻳﺖ ﻣﻮﻓﻘﻴﺖ آﻣﻴﺰ او ﺑﺎ ﺳﺮور‪،‬‬ ‫ﺑﺪﺳﺖ ﻣﻲﮔﻴﺮد‪ ،Session hijacking .‬ﺣﻤﻠﻪاي اﺳﺖ ﻛﻪ ‪ ID‬ﻧﺸﺴﺖﻫﺎي ﺟﺎري ارﺗﺒﺎﻃﺎت ﻛﻼﻳﻨﺖ و ﺳﺮور را ﺷﻨﺎﺳﺎﻳﻲ‬ ‫ﻣﻲﻛﻨﺪ و ﻧﺸﺴﺖ ﻛﺎرﺑﺮ را ﻣﻲدزد‪ ،Session hijacking .‬ﺑﺎ اﺑﺰارﻫﺎﻳﻲ ﻛﻪ ﭘﻴﺸﮕﻮﻳﻲ ‪ sequence number‬را اﻧﺠﺎم‬ ‫ﻣﻲدﻫﻨﺪ‪ ،‬ﻛﺎر ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪132‬‬ ‫‪ Spoofing‬و ‪Hijacking‬‬ ‫ﺣﻤﻼت ‪ ،spoofing‬ﺑﺎ ﺣﻤﻼت ‪ hijacking‬ﺗﻔﺎوت دارﻧﺪ‪ .‬در ﺣﻤﻠﻪ ‪ ،spoofing‬ﻫﻜﺮ اﺳﺘﺮاق ﺳﻤﻊ ﻣﻲﻛﻨﺪ و ﺑﻪ‬ ‫ﺗﺮاﻓﻴﻜﻲ ﻛﻪ از ﻃﺮﻳﻖ ﺷﺒﻜﻪ ﻋﺒﻮر داده ﻣﻲﺷﻮد ﮔﻮش ﻣﻲﻛﻨﺪ ﺳﭙﺲ از اﻳﻦ اﻃﻼﻋﺎت ﺟﻤﻊآوري ﺷﺪه ﺑﺮاي ‪ spoof‬ﻳﺎ‬ ‫ﺑﺮاي اﺳﺘﻔﺎده از آدرس ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﺸﺮوع اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ )ﺷﻜﻞ زﻳﺮ(‪.‬‬ ‫اﻣﺎ ‪ ،hijacking‬ﺑﺮاي آﻓﻼﻳﻦ ﻛﺮدن ﻛﺎرﺑﺮ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ اﺳﺖ‪ .‬ﻫﻜﺮ‪ ،‬ﺑﻪ ﻛﺎرﺑﺮ ﻣﺸﺮوع اﺳﺘﻨﺎد ﻣﻲﻛﻨﺪ ﺗﺎ ارﺗﺒﺎط‬ ‫را ﺗﺸﻜﻴﻞ دﻫﺪ و اﺣﺮاز ﻫﻮﻳﺖ ﻛﻨﺪ ﭘﺲ از آن‪ ،‬ﻫﻜﺮ ﻧﺸﺴﺖ را ﺑﻪ دﺳﺖ ﻣﻲﮔﻴﺮد و ﻧﺸﺴﺖ ﻛﺎرﺑﺮ ﻣﺸﺮوع‪ ،‬ﻗﻄﻊ ﻣﻲﺷﻮد‬ ‫)ﺷﻜﻞ زﻳﺮ(‪.‬‬ ‫‪133‬‬ ‫ﺑﺮاي داﺋﻤﻲ ﻛﺮدن ﻳﻚ ﺣﻤﻠﻪ‪ ،Session hijacking ،‬ﺳﻪ ﻣﺮﺣﻠﻪ دارد‪:‬‬ ‫ردﮔﻴﺮي ﻧﺸﺴﺖ‪ :‬ﻫﻜﺮ‪ ،‬ﻧﺸﺴﺖ ﺑﺎز را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ و ‪ sequence number‬ﺑﺴﺘﻪ ﺑﻌﺪي را ﭘﻴﺶ ﺑﻴﻨﻲ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﻏﻴﺮ ﻫﻤﺰﻣﺎن ﻛﺮدن ارﺗﺒﺎط‪ :‬ﻫﻜﺮ‪ ،‬ﻳﻚ ﺑﺴﺘﻪ ‪ RST‬ﻳﺎ ‪ FIN‬را ﺑﻪ ﺳﻴﺴﺘﻢ ﻛﺎرﺑﺮ ﻣﺸﺮوع ﻣﻲﻓﺮﺳﺘﺪ ﺗﺎ ﻧﺸﺴﺖ آﻧﻬﺎ ﺑﺴﺘﻪ‬ ‫ﺷﻮد‪.‬‬ ‫ﺗﺰرﻳﻖ ﺑﺴﺘﻪ ﻫﻜﺮ‪ :‬ﻫﻜﺮ‪ ،‬ﻳﻚ ﺑﺴﺘﻪ ‪ TCP‬ﺑﺎ ‪ sequence number‬ﭘﻴﺸﮕﻮﻳﻲ ﺷﺪه‪ ،‬ﺑﻪ ﺳﺮور ارﺳﺎل ﻣﻲﻛﻨﺪ و ﺳﺮور‪ ،‬آن‬ ‫را ﺑﻪ ﻋﻨﻮان ﺑﺴﺘﻪ ﺑﻌﺪي ﻛﺎرﺑﺮ ﻣﺸﺮوع ﻣﻲﭘﺬﻳﺮد‪.‬‬ ‫اﻧﻮاع ‪session hijacking‬‬ ‫ﻫﻜﺮﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ از دو ﻧﻮع ‪ Session hijacking‬اﺳﺘﻔﺎده ﻛﻨﻨﺪ‪ :‬اﻛﺘﻴﻮ و ﭘﺴﻴﻮ‪ .‬اوﻟﻴﻦ ﺗﻔﺎوت ﺑﻴﻦ آﻧﻬﺎ ﺳﻄﺢ‬ ‫درﮔﻴﺮي ﻫﻜﺮ در ﻧﺸﺴﺖ اﺳﺖ‪ .‬در ﺣﻤﻠﻪ اﻛﺘﻴﻮ‪ ،‬ﻫﻜﺮ ﺑﻪ دﻧﺒﺎل ﻧﺸﺴﺖ ﻓﻌﺎل اﺳﺖ و ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎﻳﻲ ﻛﻪ‬ ‫‪ sequence number‬را در ﻧﺸﺴﺖﻫﺎي ‪ ،TCP‬ﭘﻴﺸﮕﻮﻳﻲ ﻣﻲﻛﻨﻨﺪ‪ ،‬ﻧﺸﺴﺖ را ﺑﺪﺳﺖ ﻣﻲﮔﻴﺮد‪.‬‬ ‫در ﺣﻤﻠﻪ ﭘﺴﻴﻮ‪ ،‬ﻫﻜﺮ‪ ،‬زﻣﺎﻧﻴﻜﻪ ﺗﺮاﻓﻴﻚ ارﺳﺎﻟﻲ ﺗﻮﺳﻂ ﻛﺎرﺑﺮ ﻣﺸﺮوع را ﺛﺒﺖ ﻣﻲﻛﻨﺪ‪ ،‬ﻧﺸﺴﺖ را ﺑﺪﺳﺖ ﻣﻲﮔﻴﺮد‪.‬‬ ‫ﺣﺎﻟﺖ ﭘﺴﻴﻮ‪ ،‬ﻣﺜﻞ اﺳﺘﺮاق ﺳﻤﻊ اﺳﺖ‪ .‬ﺑﺮاي ﺟﻤﻊاوري اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ ﭘﺴﻮردﻫﺎ و ﺳﭙﺲ اﺳﺘﻔﺎده از آن اﻃﻼﻋﺎت ﺑﺮاي‬ ‫اﺣﺮاز ﻫﻮﻳﺖ ﺑﻪ ﻋﻨﻮان ﻳﻚ اﻳﺠﺎد ﻳﻚ ﻧﺸﺴﺖ ﺟﺪاﮔﺎﻧﻪ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫‪134‬‬ ‫ﻣﻔﺎﻫﻴﻢ ‪ :TCP‬دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي‬ ‫ﻳﻜﻲ از ﻗﺎﺑﻠﻴﺖﻫﺎي ‪ ،TCP‬ﻗﺎﺑﻠﻴﺖ اﻋﺘﻤﺎد و ﺗﺤﻮﻳﻞ ﺑﺴﺘﻪﻫﺎ اﺳﺖ‪ .‬ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر‪ TCP ،‬از ﺑﺴﺘﻪﻫﺎي ‪ ACK‬و‬ ‫‪sequence number‬ﻫﺎ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬دﺳﺘﻜﺎري اﻳﻦ ﺷﻤﺎرهﻫﺎ‪ ،‬اﺻﻮل ‪ TCP session hijacking‬اﺳﺖ‪ .‬ﺑﺮاي درك‬ ‫اﻳﻦ ﻣﻮﺿﻮع‪ ،‬اﺟﺎزه دﻫﻴﺪ ﻧﮕﺎﻫﻲ ﺑﻪ دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي ‪ TCP‬داﺷﺘﻪ ﺑﺎﺷﻴﻢ‪:‬‬ ‫‪ .1‬ﻛﺎرﺑﺮ ﻣﺸﺮوع‪ ،‬ارﺗﺒﺎﻃﻲ را ﺑﺎ ﺳﺮور ﺷﺮوع ﻣﻲﻛﻨﺪ‪ .‬اﻳﻨﻜﺎر ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪ ﺑﺎ ﺑﻴﺖ ‪ SYN‬و ‪sequence number‬‬ ‫آﻏﺎزﻳﻦ )‪ (ISN‬از ﻃﺮف ﻛﺎرﺑﺮ ﻣﺸﺮوع ﺑﻪ ﺳﻤﺖ ﺳﺮور اﻧﺠﺎم ﻣﻲﮔﻴﺮد‪.‬‬ ‫‪ .2‬ﺳﺮور‪ ،‬اﻳﻦ ﺑﺴﺘﻪ را درﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ و در ﭘﺎﺳﺦ‪ ،‬ﺑﺴﺘﻪاي را ﺑﺎ ﺑﻴﺖ ‪ SYN‬و ‪ ISBN‬ﺑﻪ ﻋﻼوه ﺑﻴﺖ ‪ ACK‬ﻛﻪ‬ ‫ﻣﻘﺪار ‪ sequence number‬آن ﻳﻚ واﺣﺪ اﻓﺰاﻳﺶ ﻳﺎﻓﺘﻪ اﺳﺖ‪ ،‬ارﺳﺎل ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ .3‬ﻛﺎرﺑﺮ ﻣﺸﺮوع‪ ،‬ﺑﺎزﺧﻮردي ﺑﻪ ﺳﺮور ﺑﺎ ﺑﺮﮔﺸﺖ ﺑﺴﺘﻪ ﺑﺎ ﺑﻴﺖ ‪ ACK‬و اﻓﺰاﻳﺶ ‪ ،sequence number‬ﻣﻲدﻫﺪ‪.‬‬ ‫اﻳﻦ ارﺗﺒﺎط ﻣﻲﺗﻮاﻧﺪ از ﻫﺮ دو ﻃﺮف ﺑﻪ ﻋﻠﺖ ‪ ،timeout‬ﻳﺎ درﻳﺎﻓﺖ ﺑﺴﺘﻪ ﺑﺎ ‪flag‬ﻫﺎي ‪ FIN‬ﻳﺎ ‪ ،RST‬ﺑﺴﺘﻪ ﺷﻮد‪.‬‬ ‫زﻣﺎﻧﻴﻜﻪ ﺑﺴﺘﻪاي ﺑﺎ ﺑﻴﺖ ‪ ،RST‬درﻳﺎﻓﺖ ﺷﺪ‪ ،‬ﺳﻴﺴﺘﻢ درﻳﺎﻓﺖ ﻛﻨﻨﺪه‪ ،‬ارﺗﺒﺎط را ﻣﻲﺑﻨﺪد و ﻫﺮ ﺑﺴﺘﻪ ورودي ﺑﺮاي ﻧﺸﺴﺖ‪،‬‬ ‫رد ﻣﻲﺷﻮد‪ .‬اﮔﺮ ﺑﻴﺖ ‪ FIN‬در ﺑﺴﺘﻪ وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺳﻴﺴﺘﻢ درﻳﺎﻓﺖﻛﻨﻨﺪه‪ ،‬ﺑﻪ ﻓﺮآﻳﻨﺪ ﻗﻄﻊ ﻛﺮدن ارﺗﺒﺎط ﻣﻲرود و‬ ‫ﻫﺮ ﺑﺴﺘﻪاي ﻛﻪ در زﻣﺎن ﺑﺴﺘﻦ ﻓﺮآﻳﻨﺪ درﻳﺎﻓﺖ ﻣﻲﺷﻮد‪ ،‬ﻫﻨﻮز ﭘﺮدازش ﻣﻲﺷﻮد‪ .‬ارﺳﺎل ﻳﻚ ﺑﺴﺘﻪ ﺑﺎ ﺑﻴﺖﻫﺎي ‪ FIN‬ﻳﺎ‬ ‫‪ ،RST‬راﻳﺞﺗﺮﻳﻦ روش ﺑﺮاي ﻫﻜﺮﻫﺎ ﺑﺮاي ﺑﺴﺘﻦ ﻧﺸﺴﺖ ﻛﻼﻳﻨﺖ ﺑﺎ ﺳﺮور و ﮔﺮﻓﺘﻦ ﻧﺸﺴﺖ ﺑﻪ ﻋﻨﻮان ﻛﺎرﺑﺮ اﺳﺖ‪.‬‬ ‫ﭘﻴﺸﮕﻮﻳﻲ ‪sequence‬‬ ‫‪ ،TCP‬ﭘﺮوﺗﻜﻠﻲ اﺗﺼﺎلﮔﺮا و ﻣﺴﺌﻮل ﺟﻤﻊآوري دوﺑﺎره ﺑﺴﺘﻪﻫﺎ ﻃﺒﻖ ﺗﺮﺗﻴﺐ اﺻﻠﻲ آﻧﻬﺎﺳﺖ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻫﺮ ﺑﺴﺘﻪ ﺑﺎﻳﺪ‬ ‫ﻳﻚ ﻋﺪد ﻣﻨﺤﺼﺮﺑﻔﺮد داﺷﺘﻪ ﺑﺎﺷﺪ اﻳﻦ ﻋﺪد ﺑﺎ ﻧﺎم ‪ (SN) sequence number‬ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪ .‬ﻫﺮ ﺑﺴﺘﻪ‪ ،‬ﺑﺎﻳﺪ ﻳﻚ‬ ‫ﺷﻤﺎره ﻣﻨﺤﺼﺮﺑﻔﺮد ﺑﺮاي ﻧﺸﺴﺖ داﺷﺘﻪ ﺑﺎﺷﺪ ﺗﺎ ﺟﻤﻊآوري دوﺑﺎره ﺑﺴﺘﻪﻫﺎ‪ ،‬اﻣﻜﺎن ﭘﺬﻳﺮ ﺑﺎﺷﺪ‪ .‬اﮔﺮ ﺑﺴﺘﻪﻫﺎ ﺑﺼﻮرت ﻏﻴﺮ‬ ‫ﻣﻨﻈﻢ درﻳﺎﻓﺖ ﺷﻮﻧﺪ‪ ،‬از ‪ sequence number‬ﺑﺮاي اﺻﻼح ﺑﺴﺘﻪﻫﺎ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬ﻫﻤﺎﻧﻄﻮرﻳﻜﻪ ﻗﺒﻼ ﺗﻮﺿﻴﺢ داده ﺷﺪ‪،‬‬ ‫ﺳﻴﺴﺘﻤﻲ ﻛﻪ ﻧﺸﺴﺖ ‪ TCP‬را آﻏﺎز ﻣﻲﻛﻨﺪ‪ ،‬ﺑﺴﺘﻪاي را ﺑﺎ ﺑﻴﺖ ‪ SYN‬ارﺳﺎل ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﺑﺴﺘﻪ ﺑﺎ ﻧﺎم ‪synchronizing‬‬ ‫ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد و داراي ‪ sequence number‬آﻏﺎزﻳﻦ ﻛﻼﻳﻨﺖ )‪ (ISN‬اﺳﺖ‪ ISN .‬ﻋﺪدي اﺳﺖ ﻛﻪ ﺑﻪ ﺻﻮرت ﺗﺼﺎدﻓﻲ‬ ‫ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮد و ‪ 4‬ﻣﻴﻠﻴﺎرد ﺗﺮﻛﻴﺐ ﻣﺨﺘﻠﻒ دارد وﻟﻲ ﻫﻨﻮز اﺣﺘﻤﺎل ﺗﻜﺮار وﺟﻮد دارد‪.‬‬ ‫زﻣﺎﻧﻴﻜﻪ ﺑﺴﺘﻪ ‪ ACK‬ارﺳﺎل ﺷﺪ‪ ،‬ﻫﺮ ﻣﺎﺷﻴﻦ از ‪ sequence number‬ﺑﺴﺘﻪاي ﻛﻪ درﻳﺎﻓﺖ ﻛﺮده اﺳﺖ اﺳﺘﻔﺎده‬ ‫ﻣﻲﻛﻨﺪ و ﻋﺪدي را ﺑﻪ آن اﺿﺎﻓﻪ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﻧﻪ ﺗﻨﻬﺎ درﻳﺎﻓﺖ ﺑﺴﺘﻪﻫﺎ را ﺗﺎﺋﻴﺪ ﻣﻲﻛﻨﺪ ﺑﻠﻜﻪ ‪ sequence number‬ﺑﺴﺘﻪ‬ ‫ﺑﻌﺪي را ﻫﻢ ﺑﻪ ارﺳﺎل ﻛﻨﻨﺪه آن ﻣﻲدﻫﺪ‪ .‬ﺑﺎ دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي‪ ،‬ﻣﻘﺪار اﻓﺰاﻳﺸﻲ‪ 1 ،‬اﺳﺖ‪ .‬در ارﺗﺒﺎﻃﺎت ﻃﺒﻴﻌﻲ‬ ‫دادهﻫﺎ‪ ،‬ﻣﻘﺪار اﻓﺰاﻳﺶ‪ ،‬ﺑﺮاﺑﺮ اﻧﺪازه دادهﻫﺎ ﺑﻪ ﺑﺎﻳﺖ اﺳﺖ )ﺑﺮاي ﻣﺜﺎل اﮔﺮ ﺷﻤﺎ ‪ 45‬ﺑﺎﻳﺖ داده ارﺳﺎل ﻛﻨﻴﺪ‪ ،‬ﭘﺎﺳﺦﻫﺎي‬ ‫‪ ACK‬ﺑﺎ اﺳﺘﻔﺎده از ‪ sequence number‬ﺑﺴﺘﻪﻫﺎي درﻳﺎﻓﺘﻲ ﺑﻪ ﻋﻼوه ‪ 45‬ﺧﻮاﻫﺪ ﺑﻮد(‪.‬‬ ‫‪135‬‬ ‫ﺷﻜﻞ زﻳﺮ‪sequence number ،‬ﻫﺎ و ﺑﺎزﺧﻮردﻫﺎﻳﻲ ﻛﻪ در دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي ‪ TCP‬اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ را‬ ‫ﺗﻮﺿﻴﺢ ﻣﻲدﻫﺪ‪:‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ ﻛﻪ ﺑﺮاي ‪ session hijacking‬اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪ sequence number ،‬را ﭘﻴﺸﮕﻮﻳﻲ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺑﺮاي‬ ‫اﻧﺠﺎم ﻣﻮﻓﻘﻴﺖآﻣﻴﺰ ﺣﻤﻠﻪ ‪ ،TCP sequence prediction‬ﻫﻜﺮ ﺑﺎﻳﺪ ﺗﺮاﻓﻴﻚ ﺑﻴﻦ دو ﺳﻴﺴﺘﻢ را ‪ sniff‬ﻛﻨﺪ‪ .‬ﺳﭙﺲ‪ ،‬ﻫﻜﺮ‬ ‫ﻳﺎ اﺑﺰار ﻫﻚ ﺑﺎﻳﺪ ‪ sequence number‬را ﺣﺪس ﺑﺰﻧﺪ‪ .‬اﻳﻨﻜﺎر ﺑﺴﻴﺎر دﺷﻮار اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺴﺘﻪﻫﺎ ﺑﻪ ﺳﺮﻋﺖ ﺟﺎﺑﺠﺎ‬ ‫ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪136‬‬ ‫زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﻧﻤﻲﺗﻮاﻧﺪ ارﺗﺒﺎط را ‪ sniff‬ﻛﻨﺪ‪ ،‬ﺣﺪس ‪ ،sequence number‬ﺑﺴﻴﺎر دﺷﻮار ﻣﻲﮔﺮدد‪ .‬ﺑﺮاي اﻳﻨﻜﻪ‬ ‫ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي ‪ ،session hijacking‬داراي ﻗﺎﺑﻠﻴﺖﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ اﺳﺘﺮاق ﺳﻤﻊ ﺑﺴﺘﻪﻫﺎ را اﻣﻜﺎن ﭘﺬﻳﺮ ﻣﻲﺳﺎزﻧﺪ‬ ‫ﺗﺎ ‪sequence number‬ﻫﺎ را ﻣﺸﺨﺺ ﻛﻨﻨﺪ‪.‬‬ ‫ﻫﻜﺮﻫﺎ‪ ،‬ﺑﺎ اﺳﺘﻔﺎده از آدرسﻫﺎي ‪ IP‬ﺟﻌﻠﻲ )‪ (spoofed‬ﺳﻴﺴﺘﻢ‪ ،‬ﻛﻪ ﻧﺸﺴﺘﻲ ﺑﺎ ﺳﻴﺴﺘﻢ ﻫﺪف دارد‪ ،‬ﺑﺴﺘﻪﻫﺎﻳﻲ‬ ‫ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﻨﺪ‪ .‬اﺑﺰارﻫﺎي ﻫﻚ‪ ،‬ﺑﺴﺘﻪﻫﺎﻳﻲ ﺑﺎ ‪sequence number‬ﻫﺎﻳﻲ ﻛﻪ ﺳﻴﺴﺘﻢ ﻫﺪف اﻧﺘﻈﺎر دارد‪ ،‬ﺻﺎدر ﻣﻲﻛﻨﺪ‪ .‬اﻣﺎ‬ ‫ﺑﺎﻳﺪ ﻗﺒﻞ از ارﺳﺎل ﺑﺴﺘﻪﻫﺎي ﺳﻴﺴﺘﻢ ﻣﻮرد اﻋﺘﻤﺎد‪ ،‬ﺑﺴﺘﻪﻫﺎي ﻫﻜﺮ ﻓﺮﺳﺘﺎده ﺷﻮﻧﺪ‪ .‬اﻳﻨﻜﺎر ﺑﺎ ‪ flood‬ﻛﺮدن )ﺳﺮازﻳﺮ ﻛﺮدن(‬ ‫ﺑﺴﺘﻪﻫﺎ ﻳﺎ ارﺳﺎل ﺑﺴﺘﻪ ‪ RST‬ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﻮرد اﻋﺘﻤﺎد اﻧﺠﺎم ﻣﻲﺷﻮد‪.‬‬ ‫ﭼﻪ ﻣﺮاﺣﻠﻲ در ‪ session hijacking‬اﻧﺠﺎم ﻣﻲﺷﻮﻧﺪ؟‬ ‫ﺑﻄﻮر ﺧﻼﺻﻪ‪ ،session hijacking ،‬ﺷﺎﻣﻞ ﺳﻪ ﻣﺮﺣﻠﻪ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ اﺳﺖ‪:‬‬ ‫ردﮔﻴﺮي ﻧﺸﺴﺖ‪ :‬ﻫﻜﺮ‪ ،‬ﻳﻚ ﻧﺸﺴﺖ ﺑﺎز را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ و ‪ sequence number‬ﺑﺴﺘﻪ ﺑﻌﺪي را ﭘﻴﺸﮕﻮﻳﻲ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﻏﻴﺮ ﻫﻤﺰﻣﺎن ﻛﺮدن ارﺗﺒﺎط‪ :‬ﻫﻜﺮ ﻳﻚ ﺑﺴﺘﻪ ‪ TCP‬ﺑﺎ ﺑﻴﺖ ‪ RST‬ﻳﺎ ‪ FIN‬ﺑﻪ ﻛﺎرﺑﺮ ﻣﺸﺮوع ﻣﻲﻓﺮﺳﺘﺪ ﺗﺎ ﻧﺸﺴﺖ آﻧﻬﺎ را‬ ‫ﺑﺒﻨﺪد‪ .‬ﺑﻪ ﻋﻨﻮان ﺟﺎﻳﮕﺰﻳﻦ‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از اﺑﺰار ‪ DoS‬ﺑﺮاي ﻗﻄﻊ ارﺗﺒﺎط ﻛﺎرﺑﺮ از ﺳﺮور اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬ ‫ﺗﺰرﻳﻖ ﺑﺴﺘﻪ ﻫﻜﺮ‪ :‬ﻫﻜﺮ‪ ،‬ﻳﻚ ﺑﺴﺘﻪ ‪ TCP‬را ﺑﺎ ‪ sequence number‬ﭘﻴﺸﮕﻮﻳﻲ ﺷﺪه‪ ،‬ﺑﻪ ﺳﺮور ارﺳﺎل ﻣﻲﻛﻨﺪ و ﺳﺮور‬ ‫آن را ﺑﻪ ﻋﻨﻮان ﺑﺴﺘﻪ ﺑﻌﺪي ﻛﺎرﺑﺮ ﻣﺸﺮوع ﻣﻲﭘﺬﻳﺮد‪.‬‬ ‫‪137‬‬ ‫ﺳﻄﻮح ‪:session hijacking‬‬ ‫•‬ ‫•‬ ‫‪Network Level Hijacking‬‬ ‫‪Application Level Hijacking‬‬ ‫‪TCP/IP Hijacking‬‬ ‫‪ ،TCP/IP hijacking‬ﻳﻚ ﺗﻜﻨﻴﻚ ﻫﻚ اﺳﺖ ﻛﻪ از ﺑﺴﺘﻪﻫﺎي ﺟﻌﻠﻲ ﺑﺮاي ﺑﻪ دﺳﺖ ﮔﺮﻓﺘﻦ ﻳﻚ ﻧﺸﺴﺖ ﺑﻴﻦ‬ ‫ﻗﺮﺑﺎﻧﻲ و ﻣﺎﺷﻴﻦ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ارﺗﺒﺎط ﻗﺮﺑﺎﻧﻲ‪ ،‬ﻣﻌﻠﻖ ﻣﻲﺷﻮد و ﺳﭙﺲ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺎ ﻣﺎﺷﻴﻦ ﻫﺎﺳﺖ ارﺗﺒﺎط‬ ‫ﺑﺮﻗﺮار ﻛﻨﺪ‪ .‬ﺑﺮاي اﻧﺠﺎم اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﻫﻜﺮ ﻣﺜﻞ ﻗﺮﺑﺎﻧﻲ در ﻫﻤﺎن ﺷﺒﻜﻪ ﺑﺎﺷﺪ‪ .‬ﻣﺎﺷﻴﻦﻫﺎي ﻫﺪف و ﻗﺮﺑﺎﻧﻲ ﻫﺮ ﺟﺎﻳﻲ‬ ‫ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺎﺷﻨﺪ‪.‬‬ ‫‪138‬‬ ‫‪RST Hijacking‬‬ ‫‪ ،RST hijacking‬ﺗﺰرﻳﻖ ﻳﻚ ﺑﺴﺘﻪ ‪ (reset) RST‬اﺳﺖ‪ .‬آدرس ﻣﻨﺒﻊ را ﺟﻌﻞ ﻣﻲﻛﻨﺪ و ‪ ACK number‬را‬ ‫ﭘﻴﺸﮕﻮﻳﻲ ﻣﻲﻛﻨﺪ‪ .‬ﻗﺮﺑﺎﻧﻲ ﺧﻴﺎل ﻣﻲﻛﻨﺪ ﻛﻪ ﻣﻨﺒﻊ‪ ،‬ﺑﺴﺘﻪ ‪ reset‬را ارﺳﺎل ﻛﺮده اﺳﺖ و ﺑﻨﺎﺑﺮاﻳﻦ ارﺗﺒﺎط را رﻳﺴﺖ ﺧﻮاﻫﺪ‬ ‫ﻛﺮد‪.‬‬ ‫‪Blind Hijacking‬‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ در ﻧﺸﺴﺖ ‪ ،TCP‬دادهﻫﺎي ﻣﺨﺮب ﻳﺎ دﺳﺘﻮرات را ﺑﻪ داﺧﻞ ارﺗﺒﺎﻃﺎت ﺗﺰرﻳﻖ ﻛﻨﺪ ﺣﺘﻲ اﮔﺮ‬ ‫ﻣﺴﻴﺮﻳﺎﺑﻲ ﻣﺒﺪا )‪ ،(source routing‬ﻏﻴﺮﻓﻌﺎل ﺷﺪه ﺑﺎﺷﺪ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ دادهﻫﺎ ﻳﺎ دﺳﺘﻮرات را ارﺳﺎل ﻛﻨﺪ اﻣﺎ ﻧﻤﻲﺗﻮاﻧﺪ‬ ‫ﭘﺎﺳﺦﻫﺎ را ﺑﺒﻴﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Juggernaut‬ﻳﻚ ‪ sniffer‬ﺷﺒﻜﻪ اﺳﺖ ﻛﻪ ﺑﺮاي دزدي ﻧﺸﺴﺖﻫﺎي ‪ (hijack TCP session) TCP‬اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻟﻴﻨﻮﻛﺲ اﺟﺮا ﻣﻲﺷﻮد و ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي دﻳﺪن ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﺷﻮد ﻳﺎ ﻣﻲﺗﻮاﻧﺪ ﻛﻠﻤﻪ‬ ‫ﻛﻠﻴﺪي ﻣﺜﻞ "ﭘﺴﻮرد" را ﺑﮕﻴﺮد و آن را ﺟﺴﺘﺠﻮ ﻛﻨﺪ‪ .‬اﻳﻦ ﺑﺮﻧﺎﻣﻪ‪ ،‬ﺗﻤﺎم ارﺗﺒﺎﻃﺎت ﻓﻌﺎل ﺷﺒﻜﻪ را ﻧﺸﺎن ﻣﻲدﻫﺪ و ﻫﻜﺮ‬ ‫ﻣﻲﺗﻮاﻧﺪ ﻳﻜﻲ از ﻧﺸﺴﺖﻫﺎ را ﺑﺮاي ‪ hijacking‬اﻧﺘﺨﺎب ﻛﻨﺪ‪.‬‬ ‫‪ ،Hunt‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ﺑﺮاي اﺳﺘﺮاق ﺳﻤﻊ و دزدي ﻧﺸﺴﺖﻫﺎ ﺑﺮ روي ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ ،Hunt .‬ﻣﻲﺗﻮاﻧﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ ارﺗﺒﺎﻃﺎت‪ ،ARP spoofing ،‬رﻳﺴﺖ ﻛﺮدن ارﺗﺒﺎﻃﺎت‪ ،‬ﻣﺎﻧﻴﺘﻮر ﻛﺮدن ارﺗﺒﺎﻃﺎت‪ ،‬ﻛﺸﻒ ‪MAC address‬ﻫﺎ‪ ،‬و‬ ‫اﺳﺘﺮاق ﺳﻤﻊ ﺗﺮاﻓﻴﻚ ‪ TCP‬را اﻧﺠﺎم دﻫﺪ‪.‬‬ ‫‪139‬‬ ‫‪ ،TTYWatcher‬اﺑﺰاري ﺑﺮاي ‪ session hijacking‬اﺳﺖ ﻛﻪ ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲدﻫﺪ ﺗﺎ ﻧﺸﺴﺖ دزدﻳﺪه ﺷﺪه را دوﺑﺎره ﺑﻪ‬ ‫ﻛﺎرﺑﺮ ﻣﺸﺮوع ﺑﺮﮔﺮداﻧﺪ ﺑﻪ ﻃﻮرﻳﻜﻪ ﮔﻮﻳﺎ اﺻﻼ دزدﻳﺪه ﻧﺸﺪه ﺑﻮد‪ .‬اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﺗﻨﻬﺎ ﺑﺮاي ﺳﻴﺴﺘﻢﻫﺎي ‪ Sun Solaris‬اﺳﺖ‪.‬‬ ‫‪ ،IP Watcher‬اﺑﺰاري ﺗﺠﺎري ﺑﺮاي دزدي ﻧﺸﺴﺖ )‪ (Session hijacking‬اﺳﺖ ﻛﻪ ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲدﻫﺪ ﺗﺎ ارﺗﺒﺎﻃﺎت را‬ ‫ﻣﺎﻧﻴﺘﻮر ﻛﻨﺪ و آﻧﻬﺎ را ﺑﮕﻴﺮد‪ .‬اﻳﻦ ﺑﺮﻧﺎﻣﻪ‪ ،‬ﻣﻲﺗﻮاﻧﺪ ﺗﻤﺎم ارﺗﺒﺎﻃﺎت روي ﺷﺒﻜﻪ را ﻣﺎﻧﻴﺘﻮر ﻛﻨﺪ‪ ،‬ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲدﻫﺪ ﺗﺎ‬ ‫ﻛﭙﻲ ﻧﺸﺴﺖ را ﺑﺼﻮرت ﻫﻤﺰﻣﺎن ﻣﺸﺎﻫﺪه ﻛﻨﺪ‪.‬‬ ‫‪ ،T-Sight‬ﻳﻚ اﺑﺰار ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ و ﮔﺮﻓﺘﻦ ﻧﺸﺴﺖ اﺳﺖ ﻛﻪ در ﻣﺤﻴﻂﻫﺎي وﻳﻨﺪوزي اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬ﺑﺎ اﻳﻦ اﺑﺰار‪،‬‬ ‫ﻣﺪﻳﺮان ﺷﺒﻜﻪﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺗﻤﺎم ارﺗﺒﺎﻃﺎت ﺷﺒﻜﻪ را ﺑﺼﻮرت ﺑﻼدرﻧﮓ ﻣﺎﻧﻴﺘﻮر ﻛﻨﻨﺪ و ﻫﺮ ﻓﻌﺎﻟﻴﺖ ﻣﺸﻜﻮﻛﻲ ﻛﻪ رخ ﻣﻲدﻫﺪ‬ ‫را ﻣﺸﺎﻫﺪه ﻛﻨﺪ‪ ،T-Sight .‬ﻣﻲﺗﻮاﻧﺪ ﻫﺮ ﻧﺸﺴﺘﻲ را روي ﺷﺒﻜﻪ‪ ،‬ﺑﺪزﻧﺪ‪.‬‬ ‫‪ ،Remote TCP Session Reset Utility‬ﻧﺸﺴﺖﻫﺎي ﻛﻨﻮﻧﻲ ‪ TCP‬و اﻃﻼﻋﺎت ارﺗﺒﺎﻃﺎت از ﻗﺒﻴﻞ آدرسﻫﺎي ‪ IP‬و‬ ‫ﺷﻤﺎره ﭘﻮرتﻫﺎ را ﻧﻤﺎﻳﺶ دﻫﺪ‪ .‬اﻳﻦ اﺑﺰار ﺑﻴﺸﺘﺮ ﺑﻪ ﻣﻨﻈﻮر رﻳﺴﺖ ﻛﺮدن ﻧﺸﺴﺖﻫﺎي ‪ TCP‬اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫ﺧﻄﺮات ‪session hijacking‬‬ ‫‪ ،TCP session hijacking‬ﺣﻤﻠﻪ ﺧﻄﺮﻧﺎﻛﻲ اﺳﺖ‪ .‬ﺑﺴﻴﺎري از ﺳﻴﺴﺘﻢﻫﺎ ﺑﺮاي اﻳﻦ ﺣﻤﻠﻪ آﺳﻴﺐ ﭘﺬﻳﺮﻧﺪ ﺑﺮاي‬ ‫اﻳﻨﻜﻪ آﻧﻬﺎ ﺑﺮاي ارﺗﺒﺎﻃﺎﺗﺸﺎن‪ ،‬از ﭘﺮوﺗﻜﻞ ‪ TCP/IP‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎي ﺟﺪﻳﺪ‪ ،‬ﺗﻼش ﻣﻲﻛﻨﻨﺪ ﺗﺎ آﻧﻬﺎ را‬ ‫از دﺳﺖ ‪ Session hijacking‬اﻣﻦ ﺳﺎزﻧﺪ آﻧﻬﺎ اﻳﻨﻜﺎر را ﺑﺎ اﺳﺘﻔﺎده از ﺗﻮﻟﻴﺪ ﻛﻨﻨﺪهﻫﺎي اﻋﺪاد ﺗﺼﺎدﻓﻲ ﺑﺮاي ﻣﺤﺎﺳﺒﻪ‬ ‫‪ ISN‬اﻧﺠﺎم ﻣﻲدﻫﻨﺪ و ﺣﺪس زدن ‪ sequence number‬را دﺷﻮار ﻣﻲﺳﺎزﻧﺪ‪ .‬ﺑﺎ اﻳﻦ ﺣﺎل‪ ،‬اﮔﺮ ﻫﻜﺮ ﺑﺘﻮاﻧﺪ ﺑﺴﺘﻪﻫﺎ را‬ ‫‪ sniff‬ﻛﻨﺪ‪ ،‬اﻳﻦ ﻣﻌﻴﺎر اﻣﻨﻴﺘﻲ ﻧﻴﺰ ﻣﻮﺛﺮ ﻧﺨﻮاﻫﺪ ﺑﻮد‪.‬‬ ‫ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ ﺑﺎﻳﺪ ﺑﻨﺎ ﺑﻪ دﻻﻳﻞ زﻳﺮ از ‪ session hijacking‬آﮔﺎه ﺑﺎﺷﺪ‪:‬‬ ‫•‬ ‫اﻏﻠﺐ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ‪ ،‬آﺳﻴﺐ ﭘﺬﻳﺮﻧﺪ‪.‬‬ ‫•‬ ‫روشﻫﺎي ﻛﻤﻲ ﺑﺮاي ﻣﺤﺎﻓﻈﺖ از آن وﺟﻮد دارد‪.‬‬ ‫•‬ ‫اﻧﺠﺎم ﺣﻤﻼت ‪ session hijacking‬ﺳﺎده اﺳﺖ‪.‬‬ ‫•‬ ‫ﺑﻪ ﺧﺎﻃﺮ اﻃﻼﻋﺎﺗﻲ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ در ﻃﻮل اﻳﻦ ﺣﻤﻠﻪ ﺟﻤﻊآوري ﺷﻮﻧﺪ‪ ،‬اﻳﻦ ﺣﻤﻠﻪ ﺧﻄﺮﻧﺎﻛﻲ اﺳﺖ‪.‬‬ ‫‪140‬‬ ‫ﭼﮕﻮﻧﮕﻲ ﭘﻴﺸﮕﻴﺮي از ‪session hijacking‬‬ ‫ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻼت ‪ ،session hijacking‬ﺑﺎﻳﺪ ﭼﻨﺪﻳﻦ ﭘﺪاﻓﻨﺪ در ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﺷﻮد‪ .‬ﻣﻮﺛﺮﺗﺮﻳﻦ روش‬ ‫ﻣﺤﺎﻓﻈﺘﻲ‪ ،‬رﻣﺰﮔﺬاري اﺳﺖ از ﻗﺒﻴﻞ ‪ .IPSec‬ﻫﻤﭽﻨﻴﻦ ﺑﺎ اﻳﻦ روش‪ ،‬ﺟﻠﻮي ﺑﺴﻴﺎري از ﺣﻤﻼﺗﻲ ﻛﻪ ﺑﺮ ﭘﺎﻳﻪ اﺳﺘﺮاق ﺳﻤﻊ‬ ‫ﻫﺴﺘﻨﺪ ﻧﻴﺰ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮد‪ .‬ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮﻫﺎ‪ ،‬ﺑﺘﻮاﻧﻨﺪ ﺑﺼﻮرت ﭘﺴﻴﻮ‪ ،‬ارﺗﺒﺎط ﺷﻤﺎ را ﻣﺎﻧﻴﺘﻮر ﻛﻨﻨﺪ اﻣﺎ ﻧﻤﻲﺗﻮاﻧﻨﺪ‬ ‫دادهﻫﺎي رﻣﺰ ﺷﺪه را ﺗﻔﺴﻴﺮ و ﺗﺮﺟﻤﻪ ﻛﻨﻨﺪ‪ .‬روشﻫﺎي دﻳﮕﺮ‪ ،‬اﺳﺘﻔﺎده از اﭘﻠﻴﻜﺸﻦﻫﺎي‬ ‫رﻣﺰﮔﺬاري ﺷﺪه از ﻗﺒﻴﻞ ‪ SSH‬و ‪ SSL‬اﺳﺖ‪.‬‬ ‫ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ ﺑﺎ ﻛﺎﻫﺶ روشﻫﺎي دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ‪ ،‬از ‪session hijacking‬‬ ‫ﭘﻴﺸﮕﻴﺮي ﻛﻨﻴﺪ ﺑﺮاي ﻣﺜﺎل‪ ،‬ﺑﺎ ﺣﺬف دﺳﺘﺮﺳﻲ راه دور )‪ (remote‬ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎي‬ ‫داﺧﻠﻲ‪ .‬اﮔﺮ ﺷﺒﻜﻪ داراي ﻛﺎرﺑﺮاﻧﻲ اﺳﺖ ﻛﻪ ﺑﺎﻳﺪ ﺑﺼﻮرت رﻳﻤﻮت ﺑﻪ ﺷﺒﻜﻪ وﺻﻞ ﺷﻮﻧﺪ‬ ‫ﺗﺎ ﺑﻨﻮاﻧﻨﺪ وﻇﺎﻳﻔﺸﺎن را اﻧﺠﺎم دﻫﻨﺪ‪ ،‬از ‪ VPN‬اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬ ‫اﺳﺘﻔﺎده از ﭼﻨﺪﻳﻦ روش اﻣﻦ ﺳﺎزي‪ ،‬ﺑﻬﺘﺮﻳﻦ راه ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﻫﺮ ﺗﻬﺪﻳﺪي اﺳﺖ‪.‬‬ ‫اﺳﺘﻔﺎده از ﺗﻨﻬﺎ ﻳﻜﻲ از اﻳﻦ روشﻫﺎ ﻣﻤﻜﻦ اﺳﺖ ﻛﺎﻓﻲ ﻧﺒﺎﺷﺪ اﻣﺎ ﺑﺎ اﺳﺘﻔﺎده از ﻫﻤﮕﻲ‬ ‫آﻧﻬﺎ ﺑﺮاي اﻣﻦ ﺳﺎزي‪ ،‬اﺣﺘﻤﺎل ﻣﻮﻓﻘﻴﺖ ﻫﻜﺮ را ﻛﺎﻫﺶ ﻣﻲدﻫﺪ‪ .‬در زﻳﺮ روشﻫﺎﻳﻲ ﻛﻪ‬ ‫ﺑﺎﻳﺪ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ‪ Session hijacking‬اﺳﺘﻔﺎده ﺷﻮد‪ ،‬آورده ﺷﺪه اﺳﺖ‪:‬‬ ‫•‬ ‫اﺳﺘﻔﺎده از رﻣﺰﮔﺬاري‬ ‫•‬ ‫اﺳﺘﻔﺎده از ﭘﺮوﺗﻜﻞ اﻣﻦ‬ ‫•‬ ‫ﻣﺤﺪود ﻛﺮدن ﺗﻌﺪاد ارﺗﺒﺎﻃﺎت ورودي‬ ‫•‬ ‫ﺑﻪ ﺣﺪاﻗﻞ رﺳﺎﻧﺪن دﺳﺘﺮﺳﻲ راه دور‬ ‫•‬ ‫داﺷﺘﻦ اﺣﺮاز ﻫﻮﻳﺖ ﻗﺪرﺗﻤﻨﺪ‬ ‫•‬ ‫آﻣﻮزش ﻛﺎرﻛﻨﺎن‬ ‫•‬ ‫ﻧﮕﻬﺪاري از ﭼﻨﺪﻳﻦ ﻧﺎم ﻛﺎرﺑﺮي و ﭘﺴﻮرد ﺑﺮاي اﻛﺎﻧﺖﻫﺎي ﻣﺨﺘﻠﻒ‪.‬‬ ‫‪141‬‬ ‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ﻫﻚ وب ﺳﺮورﻫﺎ‪ ،‬آﺳﻴﺐ ﭘﺬﻳﺮي ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ‬ ‫وب‪ ،‬و ﺗﻜﻨﻴﻚ ﻫﺎي ﺷﻜﺴﺘﻦ ﭘﺴﻮردﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ وب‬ ‫ﻣﻘﺪﻣﻪ‬ ‫وب ﺳﺮورﻫﺎ و ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‪ ،‬ﺑﺴﻴﺎر ﻣﺴﺘﻌﺪ ﺣﻤﻠﻪ ﻫﺴﺘﻨﺪ‪ .‬اوﻟﻴﻦ دﻟﻴﻞ آن‪ ،‬اﻳﻦ اﺳﺖ ﻛﻪ وب ﺳﺮورﻫﺎ‪ ،‬ﺑﺎﻳﺪ‬ ‫از ﻃﺮﻳﻖ اﻳﻨﺘﺮﻧﺖ ﻗﺎﺑﻞ دﺳﺘﺮس ﺑﺎﺷﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ وب ﺳﺮوري ﻣﻮرد ﺣﻤﻠﻪ ﻗﺮار ﮔﺮﻓﺖ‪ ،‬راﻫﻲ را ﺑﺮاي ورود ﻫﻜﺮ ﺑﻪ داﺧﻞ‬ ‫ﺷﺒﻜﻪ ﻓﺮاﻫﻢ ﻣﻲآورد‪ .‬ﻧﻪ ﺗﻨﻬﺎ ﻧﺮماﻓﺰار وب ﺳﺮور ﺑﻠﻜﻪ ﺑﺮﻧﺎﻣﻪﻫﺎﻳﻲ ﻛﻪ ﺑﺮ روي وب ﺳﺮور ﻧﻴﺰ اﺟﺮا ﻣﻲﺷﻮﻧﺪ‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ‬ ‫ﺑﺮاي ﺣﻤﻠﻪ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪ .‬ﺑﻪ ﺧﺎﻃﺮ ﻋﻤﻠﻜﺮد آﻧﻬﺎ‪ ،‬وب ﺳﺮورﻫﺎ ﻧﺴﺒﺖ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎي دﻳﮕﺮ‪ ،‬ﻗﺎﺑﻞ دﺳﺘﺮسﺗﺮ ﻫﺴﺘﻨﺪ و‬ ‫ﺣﻔﺎﻇﺖ از آﻧﻬﺎ ﻛﻤﺘﺮ اﺳﺖ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﺣﻤﻠﻪ ﺑﻪ وب ﺳﺮورﻫﺎ ﺑﺴﻴﺎر ﺳﺎدهﺗﺮ اﺳﺖ‪.‬‬ ‫وب ﺳﺮورﻫﺎ در ‪ 24‬ﺳﺎﻋﺖ ﺷﺒﺎﻧﻪ روز و ‪ 7‬روز ﻫﻔﺘﻪ در دﺳﺘﺮس ﻫﺴﺘﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﺣﻤﻠﻪ ﺑﻪ ﺷﺒﻜﻪ را ﺑﺴﻴﺎر راﺣﺖﺗﺮ‬ ‫ﻣﻲﻛﻨﻨﺪ‪ .‬اﻳﻦ ﻓﺼﻞ در ﻣﻮرد اﻧﻮاع ﺣﻤﻼﺗﻲ ﻛﻪ ﺑﺮ ﻋﻠﻴﻪ وب ﺳﺮورﻫﺎ و ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب اﻧﺠﺎم ﻣﻲﮔﻴﺮﻧﺪ‪ ،‬و ﻧﻴﺰ آﺳﻴﺐ‬ ‫ﭘﺬﻳﺮيﻫﺎي آﻧﻬﺎ ﺑﺤﺚ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﻫﻚ وب ﺳﺮورﻫﺎ‬ ‫ﺑﻪ ﻋﻨﻮان ﻛﺎرﺷﻨﺎس اﻣﻨﻴﺘﻲ‪ ،‬ﺑﺎﻳﺪ ﺑﺎ ﻧﺤﻮه ﻫﻚ وب ﺳﺮورﻫﺎ‪ ،‬آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي آﻧﻬﺎ‪ ،‬و ﻧﻴﺰ اﻧﻮاع ﺣﻤﻼﺗﻲ ﻛﻪ ﻫﻜﺮ‬ ‫ﻣﻤﻜﻦ اﺳﺖ اﺳﺘﻔﺎده ﻛﻨﺪ‪ ،‬آﺷﻨﺎ ﺑﺎﺷﻴﺪ‪ .‬ﻋﻼوه ﺑﺮ اﻳﻦ‪ ،‬ﺑﺎ ﺗﻜﻨﻴﻚﻫﺎي ﻣﺪﻳﺮﻳﺖ ‪patch‬ﻫﺎ و روشﻫﺎي اﻳﻤﻦ ﺳﺎزي وب‬ ‫ﺳﺮورﻫﺎ ﻧﻴﺰ ﺑﺎﻳﺪ آﺷﻨﺎ ﺑﺎﺷﻴﺪ‪.‬‬ ‫اﻧﻮاع آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي وب ﺳﺮور‬ ‫وب ﺳﺮورﻫﺎ ﻧﻴﺰ ﻣﺜﻞ ﺳﻴﺴﺘﻢﻫﺎي دﻳﮕﺮ ﻣﻲﺗﻮاﻧﻨﺪ ﻣﻮرد ﺣﻤﻠﻪ ﻫﻜﺮ ﻗﺮار ﮔﻴﺮﻧﺪ‪ .‬ﺑﺮﺧﻲ از ﻣﻬﻢﺗﺮﻳﻦ‬ ‫آﺳﻴﺐﭘﺬﻳﺮيﻫﺎي وب ﺳﺮورﻫﺎ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬ ‫ﭘﻴﻜﺮﺑﻨﺪي ﻧﺎدرﺳﺖ ﻧﺮماﻓﺰار وب ﺳﺮور )‪ Apache ،IIS‬و ‪(...‬‬ ‫‪143‬‬ ‫•‬ ‫ﻣﺸﻜﻼت ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﺎ ﻧﺮماﻓﺰارﻫﺎ ﻳﺎ ﺧﻄﺎ در ﻛﺪ ﺑﺮﻧﺎﻣﻪ‬ ‫•‬ ‫آﺳﻴﺐ ﭘﺬﻳﺮ ﺑﻮدن ﻧﺼﺐﻫﺎي ﭘﻴﺶ ﻓﺮض ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﺎ ﻧﺮماﻓﺰار وب ﺳﺮور‪ ،‬و ﻋﺪم ﺑﻪ روز رﺳﺎﻧﻲ آﻧﻬﺎ‬ ‫•‬ ‫ﻧﺪاﺷﺘﻦ ﻓﺮآﻳﻨﺪﻫﺎ و ﺳﻴﺎﺳﺖﻫﺎي اﻣﻨﻴﺘﻲ ﺻﺤﻴﺢ‬ ‫ﻫﻜﺮﻫﺎ از اﻳﻦ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﻪ وب ﺳﺮور اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬از آﻧﺠﺎﺋﻴﻜﻪ وب ﺳﺮورﻫﺎ در‬ ‫‪ DMZ‬ﻗﺮار ﮔﺮﻓﺘﻪاﻧﺪ‪ ،‬و از ﻃﺮﻳﻖ ﺳﻴﺴﺘﻢﻫﺎي داﺧﻞ ﺳﺎزﻣﺎن ﺑﻪ راﺣﺘﻲ ﻗﺎﺑﻞ دﺳﺘﺮس ﻫﺴﺘﻨﺪ‪ ،‬وﺟﻮد ﺿﻌﻔﻲ در ﻳﻚ وب‬ ‫ﺳﺮور‪ ،‬دﺳﺘﺮﺳﻲ ﻫﻜﺮ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎ و ﭘﺎﻳﮕﺎه دادهﻫﺎي داﺧﻠﻲ را ﺳﺎدهﺗﺮ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺣﻤﻼت ﺑﻪ وب ﺳﺮورﻫﺎ‬ ‫آﺷﻜﺎرﺗﺮﻳﻦ ﺣﻤﻠﻪ ﺑﺮ ﻋﻠﻴﻪ وب ﺳﺮورﻫﺎ‪) defacement ،‬ﺗﻐﻴﻴﺮ ﺻﻔﺤﻪ وب ﺳﺎﻳﺖ( اﺳﺖ‪ .‬ﻫﻜﺮﻫﺎ‪ ،‬ﺻﻔﺤﺎت وب را‬ ‫ﺻﺮﻓﺎ ﺑﻪ ﺧﺎﻃﺮ ﻟﺬت ﻳﺎ ﻣﻌﺮوف ﺷﺪن‪ deface ،‬ﻣﻲﻛﻨﻨﺪ‪ Deface .‬ﻛﺮدن ﺻﻔﺤﻪ وب‪ ،‬ﻳﻌﻨﻲ اﻳﻨﻜﻪ ﻫﻜﺮ از آﺳﻴﺐ ﭘﺬﻳﺮي‬ ‫ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﺎ ﻧﺮماﻓﺰار وب ﺳﺮور اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ و ﺳﭙﺲ ﻓﺎﻳﻞﻫﺎي وب ﺳﺎﻳﺖ را ﺗﻐﻴﻴﺮ ﻣﻲدﻫﺪ ﺗﺎ ﻧﺸﺎن دﻫﺪ ﺳﺎﻳﺖ‬ ‫ﻫﻚ ﺷﺪه اﺳﺖ‪ .‬ﻣﻌﻤﻮﻻ ﻫﻜﺮ‪ ،‬ﻧﺎم ﺧﻮد را در ﺻﻔﺤﻪ اول ﺳﺎﻳﺖ ﻗﺮار ﻣﻲدﻫﺪ‪.‬‬ ‫راﻳﺞﺗﺮﻳﻦ ﺣﻤﻼت وب ﺳﺎﻳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از ﻃﺮﻳﻖ آﻧﻬﺎ وب ﺳﺎﻳﺘﻲ را ‪ deface‬ﻛﻨﺪ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬ ‫ﺑﻪ دﺳﺖ آوردن اﻋﺘﺒﺎر ‪ administrator‬از ﻃﺮﻳﻖ ﺣﻤﻼت ‪man-in-the-middle‬‬ ‫•‬ ‫ﻛﺸﻒ ﭘﺴﻮرد ‪ administrator‬از ﻃﺮﻳﻖ ﺣﻤﻠﻪ ‪brute-force‬‬ ‫•‬ ‫اﺳﺘﻔﺎده از ﺣﻤﻠﻪ ‪ DNS‬ﺑﺮاي ﻫﺪاﻳﺖ ﻛﺎرﺑﺮ ﺑﻪ وب ﺳﺮور دﻳﮕﺮ‬ ‫•‬ ‫ﺣﻤﻠﻪ ﺑﻪ ﺳﺮور ‪ FTP‬ﻳﺎ ‪e-mail‬‬ ‫•‬ ‫اﺳﺘﻔﺎده از ﻣﺸﻜﻼت ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب ﻛﻪ ﺳﺒﺐ آﺳﻴﺐ ﭘﺬﻳﺮي آﻧﻬﺎ ﻣﻲﺷﻮد‬ ‫•‬ ‫ﭘﻴﻜﺮﺑﻨﺪي ﻧﺎدرﺳﺖ ﻣﻨﺎﺑﻊ ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ ﺷﺪه در ﺷﺒﻜﻪ‬ ‫•‬ ‫ﺳﻮاﺳﺘﻔﺎده از ﺿﻌﻒﻫﺎي ﻣﺠﻮز دﻫﻲ )‪(permission‬‬ ‫•‬ ‫ﻣﺴﻴﺮدﻫﻲ ﻣﺠﺪد ﻛﻼﻳﻨﺖﻫﺎ ﭘﺲ از ﺣﻤﻠﻪ ﺑﻪ ﻓﺎﻳﺮوال ﻳﺎ روﺗﺮ‬ ‫•‬ ‫اﺳﺘﻔﺎده از ﺣﻤﻼت ‪) SQL injection‬اﮔﺮ ﺳﺮور ‪ SQL‬و وب ﺳﺮور ﻳﻜﻲ ﻫﺴﺘﻨﺪ(‬ ‫•‬ ‫ﻧﻔﻮذ از ﻃﺮﻳﻖ ‪ Telnet‬ﻳﺎ ‪SSH‬‬ ‫•‬ ‫اﻧﺠﺎم ‪ URL poisoning‬ﻛﻪ ﻛﺎرﺑﺮ را ﺑﻪ آدرس اﻳﻨﺘﺮﻧﺘﻲ دﻳﮕﺮي ﻫﺪاﻳﺖ ﻣﻲﻛﻨﺪ‬ ‫•‬ ‫اﺳﺘﻔﺎده از ‪extension‬ﻫﺎي وب ﺳﺮور ﻳﺎ ﻧﻔﻮذ از ﻃﺮﻳﻖ ﺳﺮوﻳﺲ رﻳﻤﻮت‬ ‫‪144‬‬ ‫‪IIS Unicode Exploit‬‬ ‫ﺳﻴﺴﺘﻢﻫﺎي وﻳﻨﺪوز ‪ 2000‬ﻛﻪ ﺑﺮ روي آﻧﻬﺎ ‪ IIS‬ﻧﺼﺐ ﻫﺴﺘﻨﺪ‪ ،‬ﺑﺴﻴﺎر ﻣﺴﺘﻌﺪ ﺣﻤﻠﻪ ‪ directory traversal‬ﻛﻪ ﺑﻪ‬ ‫ﻋﻨﻮان ‪ Unicode exploit‬ﻫﻢ ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد ﻫﺴﺘﻨﺪ‪ .‬آﺳﻴﺐ ﭘﺬﻳﺮي ﻣﻮﺟﻮد در ‪ ،IIS‬اﺟﺎزه‬ ‫‪directory‬‬ ‫‪ traversal/Unicode exploit‬را ﺗﻨﻬﺎ در ﺳﻴﺴﺘﻢﻫﺎي وﻳﻨﺪوز ‪ 2000‬ﻛﻪ ‪patch‬ﻫﺎي اﻣﻨﻴﺘﻲ ﺑﺮ روي آﻧﻬﺎ ﻧﺼﺐ ﻧﻴﺴﺘﻨﺪ‬ ‫را ﻣﻲدﻫﺪ و ﺑﺮ روي اﺳﻜﺮﻳﭙﺖﻫﺎي ‪ CGI‬و ﺗﻮﺳﻌﻪﻫﺎي ‪ ISAPI‬ﻫﻤﭽﻮن ‪ ASP‬ﺗﺎﺛﻴﺮﮔﺬار ﻫﺴﺘﻨﺪ‪ .‬اﻳﻦ آﺳﻴﺐ ﭘﺬﻳﺮي ﺑﻪ‬ ‫دﻟﻴﻞ ﺗﺮﺟﻤﻪ )ﺗﻔﺴﻴﺮ( ﻧﺎدرﺳﺖ ﻳﻮﻧﻴﻜﺪ ﺗﻮﺳﻂ ‪ IIS parser‬رخ ﻣﻲدﻫﺪ و اﺟﺎزه دﺳﺘﺮﺳﻲ ﻫﻜﺮ را ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﻲدﻫﺪ‪.‬‬ ‫ﻳﻮﻧﻴﻜﺪ‪ ،‬ﻛﺎراﻛﺘﺮﻫﺎي ﻫﺮ زﺑﺎﻧﻲ را ﺑﻪ ﻛﺪﻫﺎي ﻣﺸﺨﺺ ﺟﻬﺎﻧﻲ )‪ (universal‬ﺗﺒﺪﻳﻞ ﻣﻲﻛﻨﺪ‪ .‬ﻫﺮ ﭼﻨﺪ ﻛﻪ ﻳﻮﻧﻴﻜﺪ‪ ،‬دو‬ ‫ﺑﺎر ﺗﺮﺟﻤﻪ ﻣﻲﺷﻮد وﻟﻲ ﭘﺎرﺳﺮ‪ ،‬ﺗﻨﻬﺎ ﻳﻜﺒﺎر درﺧﻮاﺳﺖ ﻧﺘﺎﻳﺞ را اﺳﻜﻦ ﻣﻲﻛﻨﺪ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از ﻃﺮﻳﻖ ‪،IIS‬‬ ‫درﺧﻮاﺳﺖﻫﺎي ﻓﺎﻳﻞ را ﻣﺨﻔﻲ ﻛﻨﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬از ‪ %c0% af‬ﺑﻪ ﺟﺎي ﻳﻚ اﺳﻠﺶ در ﻳﻚ ﻧﺎم ﻣﺴﻴﺮ اﺳﺘﻔﺎده ﻛﻨﺪ ﺗﺎ از‬ ‫آﺳﻴﺐ ﭘﺬﻳﺮي ‪ IIS‬اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬ﻛﺎراﻛﺘﺮﻫﺎي ‪ ASCII‬ﺑﺮاي ﻧﻘﻄﻪﻫﺎ ﺑﺎ ﻳﻮﻧﻴﻜﺪ "‪ "%2E‬ﺑﺮاي اﺳﻠﺶﻫﺎ ﺑﺎ "‪"%co%af‬‬ ‫ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﺷﻮد‪ .‬ﺑﺮاي ﻣﺜﺎل ﺑﺎ ﺗﻐﺬﻳﻪ درﺧﻮاﺳﺖ ‪ HTTP‬ﺑﻪ ‪ ،IIS‬دﺳﺘﻮرات ﻣﻮرد دﻟﺨﻮاه ﺑﺮ روي ﺳﺮور اﺟﺮا ﻣﻲﺷﻮد‪:‬‬ ‫‪GET/scripts/..%c%af../winnt/system32/cmd.exe?/c+dir=c:\ HTTP/1.0‬‬ ‫در ﺑﻌﻀﻲ از ﻣﻮارد‪ ،‬درﺧﻮاﺳﺖ‪ ،‬اﺟﺎزه دﺳﺘﺮﺳﻲ ﻫﻜﺮ ﺑﻪ ﻓﺎﻳﻞﻫﺎي را ﻣﻲدﻫﺪ ﻛﻪ ﻧﺒﺎﻳﺪ ﺑﺒﻴﻨﺪ‪ .‬آﺳﻴﺐ ﭘﺬﻳﺮي‬ ‫‪ ،Unicode Directory Traversal‬در ‪IIS‬ﻫﺎي ورژن ‪ 4‬و ‪ 5‬وﺟﻮد دارد ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از ﻳﻚ آدرس ‪ URL‬ﻧﺎدرﺳﺖ‪،‬‬ ‫ﻣﻲﺗﻮان ﺑﻪ ﻓﺎﻳﻞﻫﺎ و ﻓﻮﻟﺪرﻫﺎﻳﻲ ﻛﻪ در ﻓﻮﻟﺪرﻫﺎي وب وﺟﻮد دارﻧﺪ‪ ،‬دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﺮد و اﺟﺎزه اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ‪،‬‬ ‫اﺿﺎﻓﻪ ﻛﺮدن‪ ،‬ﺗﻐﻴﻴﺮ دادن‪ ،‬ﻳﺎ ﺣﺬف ﻛﺮدن ﻓﺎﻳﻞﻫﺎ ﻳﺎ آﭘﻠﻮد ﻛﺮدن و اﺟﺮاي ﻛﺪ روي ﺳﺮور‪ ،‬و ﻧﻴﺰ اﺿﺎﻓﻪ ﻳﺎ اﺟﺮا ﻛﺮدن‬ ‫ﻓﺎﻳﻞﻫﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ را ﺑﻪ ﻫﻜﺮ ﻣﻲدﻫﺪ ﺗﺎ ﺗﺮوﺟﺎن ﻳﺎ ‪ backdoor‬را روي ﺳﻴﺴﺘﻢ ﻧﺼﺐ ﻛﻨﺪ‪.‬‬ ‫‪ ،IIS Unicode exploit‬آﺳﻴﺐ ﭘﺬﻳﺮي ﻗﺪﻳﻤﻲ اﺳﺖ و در اﻳﻨﺠﺎ ﺗﻨﻬﺎ ﺑﺮاي ﺑﻴﺎن ﻣﻔﻬﻮم و اﺛﺒﺎت آﺳﻴﺐ ﭘﺬﻳﺮي‬ ‫آن و اﺣﺘﻤﺎل اﺳﺘﻔﺎده از آن‪ ،‬آورده ﺷﺪه اﺳﺖ‪.‬‬ ‫‪145‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،N-Stalker Web Application Security Scanner‬اﺟﺎزه ارزﻳﺎﺑﻲ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب را ﺑﺮاي ﺗﻌﺪاد زﻳﺎدي از‬ ‫آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ از ﻗﺒﻴﻞ ﺣﻤﻼت ‪ ،buffer overflow ،SQL injection ،cross-site scripting‬و ‪parameter-‬‬ ‫‪ tampering‬را ﻣﻲدﻫﺪ‪.‬‬ ‫‪ ،Metasploit framework‬اﺑﺰاري راﻳﮕﺎن ﺑﺮاي ﺗﺴﺖ ﻳﺎ ﻫﻚ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﺎ ﻧﺮماﻓﺰار وب ﺳﺮور اﺳﺖ‪ .‬اﻛﺴﭙﻠﻮﻳﺖﻫﺎ‪،‬‬ ‫ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ ﻋﻨﻮان ﭘﻼﮔﻴﻦﻫﺎ اﺳﺘﻔﺎده ﺷﻮﻧﺪ و ﺗﺴﺖ ﻣﻲﺗﻮاﻧﺪ از ﻃﺮﻳﻖ وﻳﻨﺪوز ﻳﺎ ﻳﻮﻧﻴﻜﺲ اﻧﺠﺎم ﺷﻮد‪ .‬ﻣﺘﺎاﺳﭙﻠﻮﻳﺖ‪ ،‬اﺑﺘﺪا‬ ‫ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺧﻂ دﺳﺘﻮري ﺑﻮد وﻟﻲ اﻛﻨﻮن داراي اﻳﻨﺘﺮﻓﻴﺲ وب اﺳﺖ‪ .‬ﺑﺎ اﺳﺘﻔﺎده از ﻣﺘﺎاﺳﭙﻠﻮﻳﺖ‪ ،‬ﻫﻜﺮﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ‬ ‫اﻛﺴﭙﻠﻮﻳﺖﻫﺎي ﺧﻮدﺷﺎن را ﺑﻨﻮﻳﺴﻨﺪ‪.‬‬ ‫‪ ،IISxploit.exe‬اﺑﺰاري ﺑﺮاي ﺧﻮدﻛﺎر ﻛﺮدن ‪ directory traversal exploit‬در ‪ IIS‬اﺳﺖ ﻛﻪ ﺑﺮاي اﻛﺴﭙﻠﻮﻳﺖ ﻛﺮدن از‬ ‫‪ Unicode string‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪.‬‬ ‫)‪ ،ASP Trojan (cmd.asp‬اﺳﻜﺮﻳﭙﺖ ﻛﻮﭼﻜﻲ اﺳﺖ ﻛﻪ زﻣﺎﻧﻴﻜﻪ ﺑﺮ روي وب ﺳﺮور آﭘﻠﻮد ﻣﻲﺷﻮد‪ ،‬ﻛﻨﺘﺮل ﻛﺎﻣﻞ‬ ‫ﻛﺎﻣﭙﻴﻮﺗﺮ راه دور را ﻣﻲدﻫﺪ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار ﻣﻲﺗﻮاﻧﺪ ﺑﻪ راﺣﺘﻲ ﺑﻪ ﺑﺮﻧﺎﻣﻪاي ﻣﺘﺼﻞ ﺷﻮد و ﺑﻪ ﻋﻨﻮان ‪ backdoor‬اﺳﺘﻔﺎده‬ ‫ﮔﺮدد‪.‬‬ ‫‪ ،CleanIISLog‬اﺑﺰاري اﺳﺖ ﻛﻪ ‪log‬ﻫﺎي ‪ IIS‬را ﺑﺮ ﺣﺴﺐ آدرس ‪ IP‬ﭘﺎك ﻣﻲﻛﻨﺪ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ رﻛﻮردﻫﺎي ﻓﺎﻳﻞﻫﺎي‬ ‫ﻻگ ‪ W3SVC‬را ﻛﻪ ﻣﺮﺑﻮط ﺑﻪ آدرس ‪ IP‬ﺧﻮدش اﺳﺖ را ﭘﺎك ﻛﻨﺪ ﺗﺎ ردﭘﺎﻳﻲ از ﺧﻮد ﺑﺮ ﺟﺎي ﻧﮕﺬارد‪،‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎي ﻫﻚ ﻋﺒﺎرﺗﻨﺪ از‪،ServerMask ،SAINT Vulnerability Scanner ،CORE IMPACT :‬‬ ‫‪.Neosploit ،MPack ،LinkDeny ،HTTPZip ،CasheRight ،ServerMask ip100‬‬ ‫‪146‬‬ ‫ﺗﻜﻨﻴﻚﻫﺎي ﻣﺪﻳﺮﻳﺖ ‪patch‬ﻫﺎ‬ ‫‪ ،hotfix‬ﻛﺪي اﺳﺖ ﻛﻪ اﻳﺮادي را در ﻳﻚ ﻣﺤﺼﻮل ﺑﺮﻃﺮف ﻣﻲﻛﻨﺪ‪ .‬ﻣﻤﻜﻦ اﺳﺖ ﻛﺎرﺑﺮان از ﻃﺮﻳﻖ اﻳﻤﻴﻞ ﻳﺎ وب‬ ‫ﺳﺎﻳﺖ ﻓﺮوﺷﻨﺪه از آن ﻣﻄﻠﻊ ﺷﻮﻧﺪ‪ .‬ﺑﻌﻀﻲ اوﻗﺎت اﻳﻦ ‪hotfix‬ﻫﺎ ﺗﺮﻛﻴﺐ ﺷﺪه و ﺑﺼﻮرت ﭘﻚ ﺗﻮزﻳﻊ ﻣﻲﺷﻮﻧﺪ ﻛﻪ ‪service‬‬ ‫‪ pack‬ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد‪ .‬ﻣﺪﻳﺮﻳﺖ ‪ ،pacth‬ﻓﺮآﻳﻨﺪ ﺑﻪ روز رﺳﺎﻧﻲ ‪patch‬ﻫﺎي ﻣﻮرد ﻧﻴﺎز ﺑﺮاي ﻳﻚ ﺳﻴﺴﺘﻢ اﺳﺖ‪ .‬ﻣﺪﻳﺮﻳﺖ‬ ‫ﺻﺤﻴﺢ ‪patch‬ﻫﺎ ﺷﺎﻣﻞ اﻧﺘﺨﺎب ﻧﺤﻮه ﻧﺼﺐ‪ ،‬و ﻧﻴﺰ ﺑﺮرﺳﻲ ‪patch‬ﻫﺎ اﺳﺖ‪ .‬ﺷﻤﺎ ﺑﺎﻳﺪ ﻻﮔﻲ از ‪patch‬ﻫﺎي ﻧﺼﺐ ﺷﺪه ﺑﺮ‬ ‫روي ﻫﺮ ﺳﻴﺴﺘﻢ‪ ،‬را ﻧﮕﻬﺪاري ﻛﻨﻴﺪ‪ .‬ﺑﺮاي ﻧﺼﺐ ﺳﺎدهﺗﺮ ‪patch‬ﻫﺎ‪ ،‬ﻣﻲﺗﻮاﻧﻴﺪ از ﺳﻴﺴﺘﻢﻫﺎي ﺧﻮدﻛﺎر ﻣﺪﻳﺮﻳﺖ ‪ patch‬ﻛﻪ‬ ‫ﺗﻮﺳﻂ ‪ Microsoft ،St. Bernard ،PatchLink‬و دﻳﮕﺮ ﻓﺮوﺷﻨﺪﮔﺎن ﻧﺮماﻓﺰار اراﺋﻪ ﺷﺪه اﺳﺖ اﺳﺘﻔﺎده ﻛﻨﻴﺪ ﺗﺎ ﺳﻴﺴﺘﻢﻫﺎ‬ ‫را ارزﻳﺎﺑﻲ ﻛﻨﻴﺪ و ﺗﺼﻤﻴﻢ ﺑﮕﻴﺮﻳﺪ ﻛﻪ ﻛﺪام ‪patch‬ﻫﺎ را ﻧﺼﺐ ﻛﻨﻴﺪ‪ .‬ﺑﺮﺧﻲ از اﻳﻦ اﺑﺰارﻫﺎ ﻋﺒﺎرﺗﻨﺪ از‪،UpdateExpert :‬‬ ‫‪.HFNetChk ،Qfecheck‬‬ ‫اﺳﻜﻨﺮﻫﺎي آﺳﻴﺐ ﭘﺬﻳﺮي‬ ‫اﻧﻮاع ﻣﺨﺘﻠﻒ از اﺳﻜﻨﺮﻫﺎي آﺳﻴﺐ ﭘﺬﻳﺮي وﺟﻮد دارﻧﺪ‪:‬‬ ‫اﺳﻜﻨﺮﻫﺎي آﻧﻼﻳﻦ‪ :‬ﻣﺜﻞ ‪www.securityseers.com‬‬ ‫اﺳﻜﻨﺮﻫﺎي اﭘﻦ ﺳﻮرس‪ :‬ﻣﺜﻞ ‪ ،Nessus Security Scanner ،Snort‬و ‪.Nmap‬‬ ‫اﺳﻜﻨﺮﻫﺎي ﻣﺨﺼﻮص ﻟﻴﻨﻮﻛﺲ‪ :‬ﻣﺜﻞ ‪ ،XVScan ،SANE‬و ‪.Parallel Port‬‬ ‫‪ ،Whisker‬ﻧﺮماﻓﺰار اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي اﺳﺖ ﻛﻪ ﻓﺎﻳﻞﻫﺎ و وب ﺳﺮورﻫﺎي راه دور را از ﻧﻈﺮ داﺷﺘﻦ اﻛﺴﭙﻠﻮﻳﺖ‪،‬‬ ‫اﺳﻜﻦ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪147‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از ﻧﺮماﻓﺰارﻫﺎي اﺳﻜﻦ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪N-Stealth HTTP Vulnerability Scanner‬‬ ‫‪WebInspect‬‬ ‫‪Shadow Security Scanner‬‬ ‫‪SecureIIS‬‬ ‫‪ServersCheck Monitoring‬‬ ‫‪GFI Network Server Monitor‬‬ ‫‪Servers Alive‬‬ ‫‪Webserver Stress Tool‬‬ ‫‪Secunia PSI‬‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫روشﻫﺎي اﻣﻦ ﺳﺎزي وب ﺳﺮور‬ ‫ﻣﺪﻳﺮ ﻳﻚ وب ﺳﺮور‪ ،‬ﻣﻲﺗﻮاﻧﺪ اﻗﺪاﻣﺎت زﻳﺎدي را ﺑﺮاي اﻣﻦ ﺳﺎزي ﺳﺮور اﻧﺠﺎم دﻫﺪ‪ .‬در زﻳﺮ ﺑﺮﺧﻲ از روشﻫﺎي اﻣﻦ‬ ‫ﺳﺎزي وب ﺳﺮور آﻣﺪه اﺳﺖ‪:‬‬ ‫•‬ ‫ﺗﻐﻴﻴﺮ ﻧﺎم اﻛﺎﻧﺖ ‪ administrator‬و اﺳﺘﻔﺎده از ﭘﺴﻮرد ﭘﻴﭽﻴﺪه‬ ‫•‬ ‫ﻏﻴﺮﻓﻌﺎل ﻛﺮدن ‪ Default web site‬و ‪default FTP site‬‬ ‫•‬ ‫ﺣﺬف ﺑﺮﻧﺎﻣﻪﻫﺎي ﺑﺪون اﺳﺘﻔﺎده از ﺳﺮور از ﻗﺒﻴﻞ ‪WebDAV‬‬ ‫•‬ ‫ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن ‪) directory browsing‬ﻣﺸﺎﻫﺪه داﻳﺮﻛﺘﻮري( در ﺗﻨﻈﻴﻤﺎت وب ﺳﺮور‬ ‫•‬ ‫اﺿﺎﻓﻪ ﻛﺮدن ﻳﻚ ﻫﺸﺪار ﻗﺎﻧﻮﻧﻲ در ﺳﺎﻳﺖ ﺑﺮاي آﮔﺎه ﺳﺎﺧﺘﻦ ﻫﻜﺮﻫﺎ از ﺗﺎﺛﻴﺮات ﻫﻚ ﺳﺎﻳﺖ‬ ‫•‬ ‫ﻧﺼﺐ ‪patch‬ﻫﺎ و ﺳﺮوﻳﺲ ﭘﻚﻫﺎي ﺟﺪﻳﺪ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و ﻧﺮماﻓﺰار وب ﺳﺮور‬ ‫•‬ ‫ﺑﺮرﺳﻲ وروديﻫﺎي ﻛﺎرﺑﺮ در ﻓﺮم وب ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻼت ‪ buffer overflow‬و ‪...‬‬ ‫•‬ ‫ﻏﻴﺮ ﻓﻌﺎل ﺳﺎﺧﺘﻦ ﻣﺪﻳﺮﻳﺖ از راه دور‬ ‫•‬ ‫اﺳﺘﻔﺎده از اﺳﻜﺮﻳﭙﺘﻲ ﺑﺮاي ﻧﮕﺎﺷﺖ ﻓﺎﻳﻞﻫﺎي ﻏﻴﺮ ﻻزم ﺑﻪ ﻳﻚ ﭘﻴﺎم ﺧﻄﺎ از ﻗﺒﻴﻞ ‪("File not found") 404‬‬ ‫•‬ ‫ﻓﻌﺎل ﻛﺮدن ‪ logging‬و ‪auditing‬‬ ‫•‬ ‫اﺳﺘﻔﺎده از ﻓﺎﻳﺮوال ﺑﻴﻦ وب ﺳﺮور و اﻳﻨﺘﺮﻧﺖ و ﺑﺎز ﻛﺮدن ﺗﻨﻬﺎ ﭘﻮرتﻫﺎي ﻻزم از ﻗﺒﻴﻞ ‪ 80‬ﻳﺎ ‪443‬‬ ‫•‬ ‫ﺟﺎﻳﮕﺰﻳﻨﻲ روش ‪ GET‬ﺑﺎ روش ‪ POST‬در زﻣﺎن ارﺳﺎل دادهﻫﺎ ﺑﻪ ﻳﻚ وب ﺳﺮور‬ ‫‪148‬‬ ‫ﻳﻜﻲ از روشﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪ ،cross site scripting‬ﺟﺎﻳﮕﺰﻳﻨﻲ ﻛﺎراﻛﺘﺮﻫﺎي "<" ‪ ">" ,‬ﺑﺎ ﻛﺎرﻛﺘﺮﻫﺎي "‪ "<‬و‬ ‫"‪ ">‬ﺑﺎ اﺳﺘﻔﺎده از اﺳﻜﺮﻳﭙﺖ ﻫﺎي ﺳﺮور اﺳﺖ‬ ‫ﭼﻚ ﻟﻴﺴﺖ ﻣﺤﺎﻓﻈﺖ از وب ﺳﺮور‬ ‫‪Patch‬ﻫﺎ و ‪update‬ﻫﺎ‪:‬‬ ‫از اﺑﺰار ‪ MBSA‬ﺑﺮاي ﺑﺮرﺳﻲ ﻣﻨﻈﻢ آﺧﺮﻳﻦ آﭘﺪﻳﺖﻫﺎي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‬ ‫•‬ ‫‪ Auditing‬و ‪:logging‬‬ ‫•‬ ‫ﻓﻌﺎل ﺳﺎزي ‪ failed logon attempts‬در ‪log‬‬ ‫•‬ ‫ﺟﺎﺑﺠﺎ ﻛﺮدن و اﻣﻦ ﺳﺎﺧﺘﻦ ﻓﺎﻳﻞﻫﺎي ‪ log‬ﺑﺮاي ‪IIS‬‬ ‫ﺳﺮوﻳﺲﻫﺎ‪:‬‬ ‫•‬ ‫ﻏﻴﺮﻓﻌﺎل ﺳﺎﺧﺘﻦ ﺳﺮوﻳﺲﻫﺎي ﻏﻴﺮ ﺿﺮوري وﻳﻨﺪوز‬ ‫•‬ ‫اﺟﺮاي ﺳﺮوﻳﺲﻫﺎي ﺿﺮوري ﺑﺎ ﻛﻤﺘﺮﻳﻦ ﺳﻄﺢ دﺳﺘﺮﺳﻲ‬ ‫‪:Script Mapping‬‬ ‫•‬ ‫‪Extension‬ﻫﺎﻳﻲ ﻛﻪ ﺗﻮﺳﻂ ﺑﺮﻧﺎﻣﻪﻫﺎ اﺳﺘﻔﺎده ﻧﻤﻲﺷﻮﻧﺪ ﺑﻪ ‪ 404.dll‬ﻫﺪاﻳﺖ ﺷﻮﻧﺪ )‪،.shtml ،.ida ،.htw ،.idq‬‬ ‫‪(.printer ،.htr ،.idc ،.stm‬‬ ‫ﭘﺮوﺗﻜﻞﻫﺎ‪:‬‬ ‫•‬ ‫ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن ‪WebDAV‬‬ ‫•‬ ‫ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن ‪ NetBIOS‬و ‪) SMB‬ﺑﺴﺘﻦ ﭘﻮرتﻫﺎي ‪ 139 ،138 ،137‬و ‪(445‬‬ ‫اﻛﺎﻧﺖﻫﺎ‪:‬‬ ‫•‬ ‫ﺣﺬف اﻛﺎﻧﺖﻫﺎي ﺑﺪون اﺳﺘﻔﺎده‬ ‫•‬ ‫ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن اﻛﺎﻧﺖ ‪quest‬‬ ‫•‬ ‫ﺗﻐﻴﺮ ﻧﺎم اﻛﺎﻧﺖ ‪administrator‬‬ ‫•‬ ‫ﻓﻌﺎل ﻛﺮدن ورود ﻣﺤﻠﻲ ﺑﺮاي ‪Administartor‬‬ ‫‪149‬‬ ‫‪:ISAPI Filters‬‬ ‫•‬ ‫ﺣﺬف ﻓﻴﻠﺘﺮﻫﺎي ‪ ISAPI‬ﻛﻪ اﺳﺘﻔﺎده ﻧﻤﻲﺷﻮد‬ ‫ﻓﺎﻳﻞﻫﺎ و داﻳﺮﻛﺘﻮريﻫﺎ‪:‬‬ ‫•‬ ‫ﻓﺎﻳﻞﻫﺎ و داﻳﺮﻛﺘﻮريﻫﺎ ﺑﺎﻳﺪ در دراﻳﻮﻫﺎي ‪ NTFS‬ﺑﺎﺷﻨﺪ‬ ‫•‬ ‫ﻣﺤﺘﻮاي وب ﺳﺎﻳﺖ در دراﻳﻮي ﺑﻪ ﻏﻴﺮ از ‪ NTFS‬ذﺧﻴﺮه ﺷﻮﻧﺪ‬ ‫•‬ ‫داﻳﺮﻛﺘﻮري رﻳﺸﻪ وب ﺳﺎﻳﺖ‪ ،‬ﺣﻖ ﻧﻮﺷﺘﻦ را ﺑﺮاي ‪ IUSER COMPUTERNAME‬را ‪ deny‬ﻛﻨﺪ‬ ‫‪:IIS Metabase‬‬ ‫•‬ ‫ﺑﺎ اﺳﺘﻔﺎده از ﻣﺠﻮزﻫﺎي ‪ ،NTFS‬دﺳﺘﺮﺳﻲ ﺑﻪ ‪ metabase‬ﺑﺎﻳﺪ ﻣﺤﺪود ﺷﻮد‬ ‫‪Share‬ﻫﺎ‪:‬‬ ‫•‬ ‫ﺣﺬف ‪share‬ﻫﺎي ‪ C$) administrator‬و ‪(Admin$‬‬ ‫ﭘﻮرتﻫﺎ‪:‬‬ ‫•‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‪ ،‬ﺗﻨﻬﺎ ﺑﺮاي اﺳﺘﻔﺎده از ﭘﻮرت ‪ 80‬و ‪443‬‬ ‫ﻣﺤﺪود ﺷﻮﻧﺪ‬ ‫اﻣﻨﻴﺖ دﺳﺘﺮﺳﻲ ﺑﻪ ﻛﺪ‪:‬‬ ‫•‬ ‫اﻣﻨﻴﺖ دﺳﺘﺮﺳﻲ ﺑﻪ ﻛﺪ‪ ،‬ﺑﺮ روي ﺳﺮور ﻓﻌﺎل ﺷﻮد‬ ‫آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‬ ‫ﺑﻪ ﻋﻨﻮان ﻛﺎرﺷﻨﺎس اﻣﻨﻴﺘﻲ‪ ،‬ﻋﻼوه ﺑﺮ اﻳﻨﻜﻪ ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﺎ آﺳﻴﺐ ﭘﺬﻳﺮي وب ﺳﺮورﻫﺎ آﺷﻨﺎ ﺑﺎﺷﻴﺪ ﺑﺎﻳﺴﺘﻲ ﺑﺎ آﺳﻴﺐ‬ ‫ﭘﺬﻳﺮيﻫﺎي ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب ﻫﻢ آﺷﻨﺎ ﺑﺎﺷﻴﺪ‪ .‬در اﻳﻦ ﺑﺨﺶ‪ ،‬در ﻣﻮرد ﻧﺤﻮه ﻛﺎر ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب و ﻫﺪف از ﻫﻚ‬ ‫وب ﺳﺮورﻫﺎ ﺑﺤﺚ ﺧﻮاﻫﻴﻢ ﻛﺮد‪ .‬ﻫﻤﭽﻨﻴﻦ ﺳﺎﺧﺘﺎر ﺣﻤﻼت ﺑﺮ ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب و ﺑﻌﻀﻲ از ﺗﻬﺪﻳﺪات ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ‬ ‫وب را ﻣﻮرد آزﻣﺎﻳﺶ ﻗﺮار ﺧﻮاﻫﻴﻢ داد‪ .‬در آﺧﺮ‪ ،‬در ﻣﻮرد ‪ google hacking‬و روشﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ آن ﺑﺤﺚ ﺧﻮاﻫﻴﻢ ﻛﺮد‪.‬‬ ‫‪150‬‬ ‫ﻧﺤﻮه ﻛﺎر ﺑﺮﻧﺎﻣﻪﻫﺎي وب‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‪ ،‬ﺑﺮﻧﺎﻣﻪﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮ روي وب ﺳﺮور ﻧﮕﻬﺪاري ﻣﻲﺷﻮﻧﺪ ﺗﺎ ﻛﺎرﺑﺮ ﺑﺘﻮاﻧﺪ از ﻃﺮﻳﻖ وب‬ ‫ﺳﺎﻳﺖ‪ ،‬ﻛﺎر ﻛﻨﺪ‪ .‬ﻛﻮﺋﺮيﻫﺎي ﭘﺎﻳﮕﺎه داده‪ ،‬وب ﻣﻴﻞ‪ ،‬ﮔﺮوهﻫﺎي ﺑﺤﺚ‪ ،‬و ﺑﻼگﻫﺎ‪ ،‬ﻣﺜﺎلﻫﺎﻳﻲ از ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‬ ‫ﻫﺴﺘﻨﺪ‪.‬‬ ‫ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب‪ ،‬از ﻣﻌﻤﺎري ﻛﻼﻳﻨﺖ‪/‬ﺳﺮور اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﻛﻪ ﻣﺮورﮔﺮ وب ﺑﻪ ﻋﻨﻮان ﻛﻼﻳﻨﺖ و وب ﺳﺮور ﺑﻪ‬ ‫ﻋﻨﻮان اﭘﻠﻴﻜﺸﻦ ﺳﺮور ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪ .‬ﺟﺎوا اﺳﻜﺮﻳﭙﺖ‪ ،‬روﺷﻲ راﻳﺞ ﺑﺮاي ﭘﻴﺎدهﺳﺎزي ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب اﺳﺖ‪ .‬از‬ ‫آﻧﺠﺎﺋﻴﻜﻪ ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‪ ،‬ﺑﻪ ﻃﻮر ﮔﺴﺘﺮده ﭘﻴﺎدهﺳﺎزي ﺷﺪهاﻧﺪ‪ ،‬ﻫﺮ ﻛﺎرﺑﺮي ﺑﺎ ﻣﺮورﮔﺮ ﺧﻮد ﻣﻲﺗﻮاﻧﺪ ﺑﺎ اﻏﻠﺐ‬ ‫ﻳﻮﺗﻴﻠﻴﺘﻲ ﺳﺎﻳﺖﻫﺎ ﺗﻌﺎﻣﻞ ﻛﻨﺪ‪.‬‬ ‫ﻫﺪف از ﻫﻚ ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‬ ‫ﻫﺪف از ﻫﻚ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب‪ ،‬ﺑﻪ دﺳﺖ آوردن اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ اﺳﺖ‪ .‬ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‪ ،‬ﺑﺮاي اﻣﻨﻴﺖ‬ ‫ﻳﻚ ﺳﻴﺴﺘﻢ‪ ،‬ﺣﻴﺎﺗﻲ ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ آﻧﻬﺎ ﻣﻌﻤﻮﻻ ﺑﻪ ﭘﺎﻳﮕﺎه دادهاي ﻛﻪ ﺷﺎﻣﻞ اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ ﻫﻮﻳﺖﻫﺎ ﺑﺎ ﺷﻤﺎرهﻫﺎ و‬ ‫ﭘﺴﻮردﻫﺎي ﻛﺎرت اﻋﺘﺒﺎري اﺳﺖ‪ ،‬ﻣﺘﺼﻞ ﻣﻲﺷﻮﻧﺪ‪ .‬آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‪ ،‬ﺗﻬﺪﻳﺪات را اﻓﺰاﻳﺶ ﻣﻲدﻫﺪ‬ ‫و ﺳﺒﺐ ﻣﻲﺷﻮد ﻫﻜﺮﻫﺎ ﺑﺘﻮاﻧﻨﺪ از ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و ﻳﺎ ﻧﺮماﻓﺰار وب ﺳﺮور ﻳﺎ ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب ﺳﻮ اﺳﺘﻔﺎده ﻛﻨﻨﺪ‪ .‬ﺑﺮﻧﺎﻣﻪﻫﺎي‬ ‫ﺗﺤﺖ وب‪ ،‬راه ورود دﻳﮕﺮي ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺴﺘﻨﺪ و ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺮاي ﻧﻔﻮذ ﺑﻪ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪.‬‬ ‫آﻧﺎﺗﻮﻣﻲ ﺣﻤﻠﻪ‬ ‫ﻫﻚ ﻛﺮدن ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‪ ،‬ﻣﺸﺎﺑﻪ ﻫﻚ ﻛﺮدن ﺳﻴﺴﺘﻢﻫﺎي دﻳﮕﺮ اﺳﺖ‪ .‬ﻫﻜﺮﻫﺎ‪ ،‬ﻳﻚ ﻓﺮآﻳﻨﺪ ﭘﻨﺞ ﻣﺮﺣﻠﻪاي را‬ ‫دﻧﺒﺎل ﻣﻲﻛﻨﻨﺪ‪ :‬آﻧﻬﺎ ﺷﺒﻜﻪ را اﺳﻜﻦ ﻣﻲﻛﻨﻨﺪ‪ ،‬اﻃﻼﻋﺎت را ﺑﺮاي ﺗﺴﺖ ﺣﻤﻼت ﻣﺨﺘﻠﻒ ﺟﻤﻊآوري ﻣﻲﻛﻨﻨﺪ‪ ،‬و ﻧﻬﺎﻳﺘﺎ‬ ‫ﺣﻤﻠﻪ را ﻃﺮح رﻳﺰي و اﺟﺮا ﻣﻲﻛﻨﻨﺪ‪ .‬اﻳﻦ ﻣﺮاﺣﻞ در ﺷﻜﻞ زﻳﺮ ﻧﺸﺎن داده ﺷﺪه اﺳﺖ‪:‬‬ ‫‪151‬‬ ‫ﺗﻬﺪﻳﺪات ﺑﺮﻧﺎﻣﻪﻫﺎي وب‬ ‫ﺗﻬﺪﻳﺪات زﻳﺎدي در وب ﺳﺮور وﺟﻮد دارﻧﺪ‪ .‬در زﻳﺮ‪ ،‬ﻣﻬﻢﺗﺮﻳﻦ اﻳﻦ ﺗﻬﺪﻳﺪات ذﻛﺮ ﺷﺪهاﻧﺪ‪:‬‬ ‫‪ :Cross-site scripting‬زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ از ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﺗﺎ ﻛﺪ ﻣﺨﺮب ﻣﺜﻞ ﺟﺎوا اﺳﻜﺮﻳﭙﺖ را ارﺳﺎل‬ ‫ﻛﻨﺪ‪ cross-site scripting ،‬اﺗﻔﺎق ﻣﻲاﻓﺘﺪ‪ .‬در اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﻓﺎﻳﻞﻫﺎي ﻛﺎرﺑﺮ ﻧﻬﺎﻳﻲ ﻓﺎش ﻣﻲﺷﻮﻧﺪ‪ ،‬ﺗﺮوﺟﺎن ﻧﺼﺐ ﻣﻲﺷﻮد‪،‬‬ ‫ﻛﺎرﺑﺮ ﺑﻪ ﺻﻔﺤﻪ دﻳﮕﺮي ﻫﺪاﻳﺖ ﻣﻲﺷﻮد‪ ،‬و ﻣﺤﺘﻮا ﺗﻐﻴﻴﺮ ﻣﻲﻛﻨﺪ‪ .‬وب ﺳﺮورﻫﺎ‪ ،‬اﭘﻠﻴﻜﺸﻦ ﺳﺮورﻫﺎ‪ ،‬و وب اﭘﻠﻴﻜﺸﻦﻫﺎ‪،‬‬ ‫ﻣﺴﺘﻌﺪ اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ ﻫﺴﺘﻨﺪ‪.‬‬ ‫ﻣﺜﺎﻟﻲ از ‪ :XSS‬ﻫﻜﺮي ﻣﺘﻮﺟﻪ ﻣﻲﺷﻮد ﻛﻪ وب ﺳﺎﻳﺖ ‪ ،XSECURITY‬داراي اﻳﻦ ﺑﺎگ )ﻣﺸﻜﻞ( اﺳﺖ‪ .‬ﻫﻜﺮ اﻳﻤﻴﻠﻲ ﺑﻪ‬ ‫ﺷﻤﺎ ارﺳﺎل ﻣﻲﻛﻨﺪ و ادﻋﺎ ﻣﻲﻛﻨﺪ ﻛﻪ ﺷﻤﺎ ﺑﺮﻧﺪه ﺷﺪﻳﺪ و ﺗﻨﻬﺎ ﻛﺎري ﻛﻪ ﺑﺎﻳﺪ ﺑﻜﻨﻴﺪ اﻳﻦ اﺳﺖ ﻛﻪ ﺑﺮ روي ﻟﻴﻨﻚ زﻳﺮ‬ ‫ﻛﻠﻴﻚ‬ ‫ﻛﻨﻴﺪ‪.‬‬ ‫ﻟﻴﻨﻚ‬ ‫آدرس‬ ‫ﺑﻪ‬ ‫ﺻﻮرت‬ ‫>‪ www.xsecurity.com/default.asp?name=