CEH Persian هکر قانونمند

‫ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ‬ ‫ﻣﻘﺪﻣﻪ‬

‫‪2‬‬

‫ﻓﺼﻞ ‪1‬‬

‫ﻣﻘﺪﻣﻪ اي ﺑﺮ ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ‬

‫‪3‬‬

‫ﻓﺼﻞ ‪2‬‬

‫ﺟﻤﻊ آوري اﻃﻼﻋﺎت و ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‬

‫‪18‬‬

‫ﻓﺼﻞ ‪3‬‬

‫اﺳﻜﻦ و ‪enumeration‬‬

‫‪36‬‬

‫ﻓﺼﻞ ‪4‬‬

‫ﻫﻚ ﺳﻴﺴﺘﻢ‬

‫‪61‬‬

‫ﻓﺼﻞ ‪5‬‬

‫‪Worm ،Virus ،Backdoor ،Trojan‬‬

‫‪87‬‬

‫ﻓﺼﻞ ‪6‬‬

‫‪ Sniffer‬ﻫﺎ‬

‫‪108‬‬

‫ﻓﺼﻞ ‪7‬‬

‫‪ Session hijacking‬و ‪Denial of Service‬‬

‫‪122‬‬

‫ﻓﺼﻞ ‪8‬‬

‫ﻫﻚ وب ﺳﺮورﻫﺎ‪ ،‬آﺳﻴﺐ ﭘﺬﻳﺮي ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب‪ ،‬و ﺗﻜﻨﻴﻚ ﻫﺎي ﺷﻜﺴﺘﻦ‬ ‫ﭘﺴﻮردﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ وب‬

‫‪142‬‬

‫ﻓﺼﻞ ‪9‬‬

‫‪ Buffer Overflow‬و ‪SQL Injection‬‬

‫‪164‬‬

‫ﻓﺼﻞ ‪10‬‬

‫ﻫﻚ ﺷﺒﻜﻪ ﻫﺎي واﻳﺮﻟﺲ‬

‫‪178‬‬

‫ﻓﺼﻞ ‪11‬‬

‫اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ‬

‫‪189‬‬

‫ﻓﺼﻞ ‪12‬‬

‫ﻫﻚ ﻟﻴﻨﻮﻛﺲ‬

‫‪200‬‬

‫ﻓﺼﻞ ‪13‬‬

‫ﮔﺮﻳﺰ از ‪ IDS‬ﻫﺎ‪ honeypot ،‬ﻫﺎ‪ ،‬و ﻓﺎﻳﺮوال ﻫﺎ‬

‫‪211‬‬

‫ﻓﺼﻞ ‪14‬‬

‫رﻣﺰﻧﮕﺎري‬

‫‪223‬‬

‫ﻓﺼﻞ ‪15‬‬

‫روش ﻫﺎي ﺗﺴﺖ ﻧﻔﻮذ‬

‫‪229‬‬

‫ﻣﻘﺪﻣﻪ‬ ‫ﻳﻜﻲ از ﻣﻌﺮوفﺗﺮﻳﻦ و ﻛﺎرﺑﺮديﺗﺮﻳﻦ ﻣﺪارك اﻣﻨﻴﺖ‪ ،‬ﻣﺪرك ‪ CEH‬ﻳﺎ ﻣﺪرك ﺗﺨﺼﺼﻲ ﻫﻜﺮﻫﺎي‬ ‫ﻗﺎﻧﻮﻧﻤﻨﺪ اﺳﺖ‪ .‬ﻣﺪرك ‪ ،CEH‬ﻣﺪرﻛﻲ اﻣﻨﻴﺘﻲ ﺑﻪ ﻣﻨﻈﻮر ارزﻳﺎﺑﻲ ﻣﻬﺎرت اﻓﺮاد در ﺑﺮﻗﺮاري اﻣﻨﻴﺖ‬ ‫ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬و ﺷﺒﻜﻪﻫﺎي ﺳﺎزﻣﺎﻧﻲ و ﻧﻴﺰ ﻛﻤﻚ ﺑﻪ آﻧﻬﺎ ﺟﻬﺖ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼت و ﻧﻔﻮذﻫﺎي ﻫﻜﺮﻫﺎ اﺳﺖ‪.‬‬ ‫در اﻳﻦ دوره اﻓﺮاد ﺑﺎ ﺗﻜﻨﻴﻚﻫﺎ و روشﻫﺎي ﻫﻚ و ﻧﻴﺰ ﭼﻚ ﻟﻴﺴﺖﻫﺎي اﻣﻨﻴﺘﻲ آﺷﻨﺎ ﺷﺪه و ﻗﺎدر ﺑﻪ‬ ‫ﺑﺮرﺳﻲ وﺿﻌﻴﺖ اﻣﻨﻴﺘﻲ ﺳﻴﺴﺘﻢﻫﺎ و ﺷﺒﻜﻪﻫﺎ ﺧﻮاﻫﻨﺪ ﺑﻮد ﺗﺎ ﻧﻘﺎط ﺿﻌﻒ آﻧﻬﺎ را ﺷﻨﺎﺳﺎﻳﻲ و ﺑﺮﻃﺮف‬ ‫ﺳﺎزﻧﺪ‪.‬‬ ‫ﻛﺘﺎﺑﻲ ﻛﻪ ﭘﻴﺶ رو دارﻳﺪ ﺗﺮﺟﻤﻪ ﻛﺘﺎب رﺳﻤﻲ ‪ CEH‬و ﻧﻴﺰ اﺳﻼﻳﺪﻫﺎي آﻣﻮزﺷﻲ ﻣﺮﺑﻮط ﺑﻪ اﻳﻦ‬ ‫ﻣﺪرك‪ ،‬و ﻧﻴﺰ ﺑﺮﺧﻲ از ﺗﺠﺎرب ﺷﺨﺼﻲ ﺑﻨﺪه اﺳﺖ‪ .‬ﺳﻌﻲ ﺷﺪه اﺳﺖ ﺗﺎﺟﺎﺋﻴﻜﻪ اﻣﻜﺎن دارد ﻣﺘﻦ ﻛﺘﺎب‬ ‫روان ﺑﺎﺷﺪ ﺗﺎ ﻫﺪف اﺻﻠﻲ آن ﻛﻪ اﻧﺘﻘﺎل ﻣﻄﻠﺐ اﺳﺖ‪ ،‬ﺑﻪ درﺳﺘﻲ ﺑﺮآورده ﺷﻮد وﻟﻲ ﻣﻄﻤﺌﻨﺎ اﺷﻜﺎﻻت‬ ‫ﻓﻨﻲ و وﻳﺮاﻳﺸﻲ ﻓﺮاواﻧﻲ دارد ﻛﻪ ﺗﻘﺎﺿﺎ دارم ﺑﻪ اﻃﻼع ﺑﻨﺪه ﺑﺮﺳﺎﻧﻴﺪ ﺗﺎ در ﻧﺴﺨﻪﻫﺎي ﺑﻌﺪي ﻛﺘﺎب‪،‬‬ ‫اﺻﻼح ﻛﻨﻢ‪.‬‬ ‫در ﭘﺎﻳﺎن ﺑﺮ ﺧﻮد ﻻزم ﻣﻲداﻧﻢ ﻛﻪ از ﺗﻤﺎم اﺳﺎﺗﻴﺪي ﻛﻪ ﺑﺮاﻳﻢ زﺣﻤﺖ ﻛﺸﻴﺪهاﻧﺪ ﺑﻪ وﻳﮋه از آﻗﺎﻳﺎن‬ ‫ﻣﻬﻨﺪس راﺳﺘﻲ دوﺳﺖ و ﻣﻬﻨﺪس ﻣﺎﻳﺎن ﻛﻤﺎل ﺗﺸﻜﺮ را داﺷﺘﻪ ﺑﺎﺷﻢ‪ .‬اﻣﻴﺪوارم ﻛﺘﺎب ﺣﺎﺿﺮ ﺑﺘﻮاﻧﺪ‬ ‫ﮔﺎﻣﻲ ﻫﺮ ﭼﻨﺪ ﻛﻮﭼﻜﻲ در ﺟﻬﺖ اﻓﺰاﻳﺶ ﺳﻄﺢ ﻋﻠﻤﻲ ﻫﻤﮕﺎن ﺑﺎﺷﺪ‪.‬‬

‫ﻣﺤﺴﻦ آذرﻧﮋاد‬ ‫‪[email protected]‬‬ ‫ﺗﺎﺑﺴﺘﺎن ‪90‬‬

‫ﻓﺼﻞ اول‬

‫ﻣﻘﺪﻣﻪاي ﺑﺮ ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ‬

‫ﻣﻘﺪﻣﻪ‬ ‫اﻏﻠﺐ ﻣﺮدم ﻓﻜﺮ ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﻫﻜﺮﻫﺎ‪ ،‬ﻣﻬﺎرت و داﻧﺶ ﺑﺎﻻﻳﻲ دارﻧﺪ ﻛﻪ ﻣﻲﺗﻮاﻧﻨﺪ ﺳﻴﺴﺘﻢﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮي را ﻫﻚ‬ ‫ﻛﻨﻨﺪ و ﻧﻘﺎط آﺳﻴﺐﭘﺬﻳﺮ را ﭘﻴﺪا ﻛﻨﻨﺪ‪ .‬در ﺣﻘﻴﻘﺖ‪ ،‬ﻳﻚ ﻫﻜﺮ ﺧﻮب‪ ،‬ﺗﻨﻬﺎ ﺑﺎﻳﺪ ﻧﺤﻮه ﻛﺎر ﺳﻴﺴﺘﻢ ﻛﺎﻣﭙﻴﻮﺗﺮي را ﺑﺪاﻧﺪ و ﻧﻴﺰ‬ ‫ﺑﺪاﻧﺪ ﻛﻪ از ﭼﻪ اﺑﺰارﻫﺎﻳﻲ ﺑﺮاي ﻳﺎﻓﺘﻦ ﺿﻌﻒﻫﺎي اﻣﻨﻴﺘﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫اﻳﻦ ﻓﺼﻞ دﻧﻴﺎي ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ را ﻣﻌﺮﻓﻲ ﻣﻲﻛﻨﺪ‪ .‬ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ ﻧﻮﻋﻲ ﻫﻚ اﺳﺖ ﻛﻪ ﺑﺎ ﻣﺠﻮز ﺳﺎزﻣﺎﻧﻲ و ﺑﺮاي‬ ‫اﻓﺰاﻳﺶ اﻣﻨﻴﺖ اﻧﺠﺎم ﻣﻲﮔﻴﺮد‪.‬‬

‫واژﮔﺎن ﻓﻨﻲ‬ ‫ﺗﻮاﻧﺎﻳﻲ درك و ﺗﻌﺮﻳﻒ اﺻﻄﻼﺣﺎت ﻫﻚ‪ ،‬ﺑﺨﺶ ﻣﻬﻤﻲ از ﻣﺴﺌﻮﻟﻴﺖ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ اﺳﺖ‪ .‬در اﻳﻦ ﺑﺨﺶ‪ ،‬در ﻣﻮرد‬ ‫ﺑﺮﺧﻲ از اﺻﻄﻼﺣﺎت راﻳﺞ در دﻧﻴﺎي ﻫﻚ آﺷﻨﺎ ﻣﻲﺷﻮﻳﺪ‪.‬‬ ‫ﺗﻬﺪﻳﺪ )‪ ،(threat‬ﺷﺮاﻳﻂ ﻳﺎ ﺣﺎﻟﺘﻲ اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ اﻣﻨﻴﺖ را ﻣﺨﺘﻞ ﻛﻨﺪ‪ .‬ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ‪ ،‬زﻣﺎﻧﻴﻜﻪ ﺗﺤﻠﻴﻞ‬ ‫اﻣﻨﻴﺘﻲ اﻧﺠﺎم ﻣﻲدﻫﻨﺪ‪ ،‬ﺗﻬﺪﻳﺪات را اوﻟﻮﻳﺖ ﺑﻨﺪي ﻣﻲﻛﻨﻨﺪ‪.‬‬

‫اﻛﺴﭙﻠﻮﻳﺖ )‪ ،(exploit‬ﻗﻄﻌﻪاي از ﻧﺮماﻓﺰار‪ ،‬اﺑﺰار ﻳﺎ ﺗﻜﻨﻴﻚ اﺳﺖ ﻛﻪ ﻣﺰاﻳﺎي آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ را دارد و ﻣﻲﺗﻮاﻧﺪ‬ ‫ﻣﻨﺠﺮ ﺑﻪ اﻳﺠﺎد دﺳﺘﺮﺳﻲ‪ ،‬از دﺳﺖ دادن ﻳﻜﭙﺎرﭼﮕﻲ‪ ،‬ﻳﺎ ﺣﻤﻠﻪ ‪ DoS‬ﺑﺮ روي ﻳﻚ ﺳﻴﺴﺘﻢ ﻛﺎﻣﭙﻴﻮﺗﺮي ﺷﻮد‪.‬‬

‫دو دﺳﺘﻪ ﺑﻨﺪي از ‪exploit‬ﻫﺎ دارﻳﻢ‪:‬‬ ‫‪ ،Remote exploit‬روي ﺷﺒﻜﻪ ﻛﺎر ﻣﻲﻛﻨﺪ و از آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي اﻣﻨﻴﺘﻲ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﺑﺪون آﻧﻜﻪ از ﻗﺒﻞ ﺑﻪ آن‬ ‫ﺳﻴﺴﺘﻢ دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬ ‫‪ ،Local exploit‬ﻧﻴﺎز ﺑﻪ دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ دارد ﺗﺎ ﺳﻄﺢ دﺳﺘﺮﺳﻲ را ﺑﺎﻻ ﺑﺒﺮد‪ .‬اﻛﺴﭙﻠﻮﻳﺖ‪ ،‬روﺷﻲ ﺑﺮاي ﻣﺨﺘﻞ ﻛﺮدن‬ ‫اﻣﻨﻴﺖ ﻳﻚ ﺳﻴﺴﺘﻢ ‪ IT‬از ﻃﺮﻳﻖ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ اﺳﺖ‪.‬‬ ‫‪4‬‬

‫آﺳﻴﺐ ﭘﺬﻳﺮي )‪ ،(vulnerability‬وﺟﻮد ﺿﻌﻔﻲ در ﻃﺮاﺣﻲ ﻳﺎ ﭘﻴﺎدهﺳﺎزي ﻧﺮماﻓﺰار ﺳﻴﺴﺘﻢ اﺳﺖ‪ .‬ﺑﺎ ﭘﻴﺎدهﺳﺎزي‬ ‫ﺻﺤﻴﺢ و اﻗﺪاﻣﺎت اﻣﻨﻴﺘﻲ‪ ،‬آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ ﻛﺎﻫﺶ ﻣﻲﻳﺎﺑﻨﺪ‪.‬‬

‫ﻫﺪف ارزﻳﺎﺑﻲ )‪ ،(target of evaluation‬ﺳﻴﺴﺘﻢ‪ ،‬ﺑﺮﻧﺎﻣﻪ ﻳﺎ ﺷﺒﻜﻪاي اﺳﺖ ﻛﻪ ﻣﻮﺿﻮع ﺣﻤﻠﻪ ﻳﺎ ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ اﺳﺖ‪.‬‬ ‫ﺣﻤﻠﻪ )‪ ،(attack‬زﻣﺎﻧﻲ رخ ﻣﻲدﻫﺪ ﻛﻪ ﺳﻴﺴﺘﻤﻲ ﺑﻪ ﺧﺎﻃﺮ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ‪ ،‬ﺑﻪ ﺧﻄﺮ ﻣﻲاﻓﺘﺪ‪ .‬ﺑﺴﻴﺎري از ﺣﻤﻼت‪،‬‬ ‫ﺑﺎ اﺳﺘﻔﺎده از اﻛﺴﭙﻠﻮﻳﺖﻫﺎ‪ ،‬ﻫﻤﻴﺸﮕﻲ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ از اﺑﺰارﻫﺎﻳﻲ ﺑﺮاي ﻳﺎﻓﺘﻦ آﺳﻴﺐﭘﺬﻳﺮي ﺳﻴﺴﺘﻢﻫﺎ‪،‬‬ ‫اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬

‫ﻋﻼوه ﺑﺮ اﻳﻦ اﺻﻄﻼﺣﺎت‪ ،‬ﻻزم اﺳﺖ ﻛﻪ در ﻣﻮرد ﺗﻔﺎوت ﺑﻴﻦ ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ و ﺷﺮور و ﻓﻌﺎﻟﻴﺖﻫﺎﻳﻲ ﻛﻪ ﻫﻜﺮ‬ ‫ﻗﺎﻧﻮﻧﻤﻨﺪ اﻧﺠﺎم ﻣﻲدﻫﺪ‪ ،‬آﮔﺎﻫﻲ داﺷﺘﻪ ﺑﺎﺷﻴﺪ‪.‬‬

‫اﻧﻮاع ﻣﺨﺘﻠﻒ ﺗﻜﻨﻮﻟﻮژيﻫﺎي ﻫﻚ‬ ‫روشﻫﺎ و اﺑﺰارﻫﺎي زﻳﺎدي ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ آﺳﻴﺐﭘﺬﻳﺮيﻫﺎ‪ ،‬اﺟﺮاي اﻛﺴﭙﻠﻮﻳﺖﻫﺎ‪ ،‬و ﺑﻪ ﺧﻄﺮ اﻧﺪاﺧﺘﻦ ﺳﻴﺴﺘﻢﻫﺎ‬ ‫وﺟﻮد دارد‪ .‬ﺗﺮوﺟﺎنﻫﺎ‪backdoor ،‬ﻫﺎ‪Sniffer ،‬ﻫﺎ‪rootkit ،‬ﻫﺎ‪exploit ،‬ﻫﺎ‪ ،buffer overflow ،‬و ‪،SQl injection‬‬ ‫ﺗﻜﻨﻮﻟﻮژيﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺮاي ﻫﻚ ﻛﺮدن ﺳﻴﺴﺘﻢﻫﺎ ﻳﺎ ﺷﺒﻜﻪﻫﺎ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪.‬‬ ‫‪5‬‬

‫ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي ﻫﻚ‪ ،‬ﺑﻪ ﻳﻜﻲ از ﭼﻬﺎر روش زﻳﺮ از ﺿﻌﻒﻫﺎ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪:‬‬ ‫•‬

‫ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎ‪ :‬ﺑﺴﻴﺎري از ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎ را ﺑﺎ ﺗﻨﻈﻴﻤﺎت ﭘﻴﺶ ﻓﺮض ﻧﺼﺐ ﻣﻲﻛﻨﻨﺪ در‬ ‫ﻧﺘﻴﺠﻪ‪ ،‬ﻗﺎﺑﻠﻴﺖ آﺳﻴﺐ ﭘﺬﻳﺮي دارﻧﺪ‪.‬‬

‫•‬

‫ﺑﺮﻧﺎﻣﻪﻫﺎ‪ :‬ﻣﻌﻤﻮﻻ ﺑﺮﻧﺎﻣﻪ ﻧﻮﻳﺲﻫﺎ‪ ،‬ﺑﺮﻧﺎﻣﻪﻫﺎ را ﺗﺴﺖ ﻧﻤﻲﻛﻨﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﻫﻜﺮﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ از آﺳﻴﺐﭘﺬﻳﺮي آن‬ ‫ﺳﻮاﺳﺘﻔﺎده ﻛﻨﻨﺪ‪.‬‬

‫•‬

‫‪ :Shrink-wrap code‬ﺑﺴﻴﺎري از ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬ﻗﺎﺑﻠﻴﺖﻫﺎﻳﻲ دارﻧﺪ ﻛﻪ ﻛﺎرﺑﺮان ﻋﺎدي از وﺟﻮد آن ﺑﻲﺧﺒﺮﻧﺪ و‬ ‫ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺮاي ﻫﻚ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﻣﺎﻛﺮوﻫﺎ در ﻧﺮماﻓﺰار ‪ Microsoft word‬ﺑﻪ ﻫﻜﺮ اﺟﺎزه‬ ‫اﺟﺮاي ﺑﺮﻧﺎﻣﻪ از داﺧﻞ را ﻣﻲدﻫﻨﺪ‪.‬‬

‫•‬

‫ﭘﻴﻜﺮﺑﻨﺪي ﻧﺎدرﺳﺖ‪ :‬ﻣﻤﻜﻦ اﺳﺖ ﺳﻴﺴﺘﻢ ﺑﻪ درﺳﺘﻲ ﭘﻴﻜﺮﺑﻨﺪي ﻧﺸﺪه ﺑﺎﺷﺪ ﻳﺎ ﺣﺪاﻗﻞ ﻧﻜﺎت اﻣﻨﻴﺘﻲ در آن‬ ‫رﻋﺎﻳﺖ ﻧﺸﺪه ﺑﺎﺷﺪ ﺗﺎ ﻛﺎرﺑﺮان ﺑﺘﻮاﻧﻨﺪ ﺑﻪ راﺣﺘﻲ از ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻛﻨﻨﺪ وﻟﻲ اﻳﻦ اﻣﺮ ﻣﻲﺗﻮاﻧﺪ ﻗﺎﺑﻠﻴﺖ‬ ‫آﺳﻴﺐﭘﺬﻳﺮي ﺳﻴﺴﺘﻢ را ﺑﺎﻻ ﺑﺒﺮد‪.‬‬ ‫ﻋﻼوه ﺑﺮ اﻧﻮاع ﺗﻜﻨﻮﻟﻮژيﻫﺎي ﻣﺨﺘﻠﻔﻲ ﻛﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ اﺳﺘﻔﺎده ﻛﻨﺪ‪ ،‬اﻧﻮاع ﻣﺨﺘﻠﻒ ﺣﻤﻠﻪ ﻧﻴﺰ وﺟﻮد دارد‪ .‬ﺣﻤﻼت‬

‫ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ دو دﺳﺘﻪ ﭘﺴﻴﻮ و اﻛﺘﻴﻮ ﺗﻘﺴﻴﻢ ﺷﻮﻧﺪ‪ .‬ﺣﻤﻼت اﻛﺘﻴﻮ‪ ،‬ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ را ﺗﻐﻴﻴﺮ ﻣﻲدﻫﻨﺪ وﻟﻲ ﺣﻤﻼت ﭘﺴﻴﻮ‪،‬‬ ‫ﺑﻪ دﻧﺒﺎل ﺟﻤﻊآوري اﻃﻼﻋﺎت از ﺳﻴﺴﺘﻢﻫﺎ ﻫﺴﺘﻨﺪ‪ .‬ﺣﻤﻼت اﻛﺘﻴﻮ‪ ،‬ﺑﺮ روي دﺳﺘﺮﺳﻲ ﭘﺬﻳﺮي‪ ،‬ﻳﻜﭙﺎرﭼﮕﻲ‪ ،‬و ﺻﺤﺖ‬ ‫دادهﻫﺎ ﻣﻮﺛﺮ ﻫﺴﺘﻨﺪ در ﺣﺎﻟﻴﻜﻪ ﺣﻤﻼت ﭘﺴﻴﻮ‪ ،‬ﻣﺤﺮﻣﺎﻧﮕﻲ را ﻣﺨﺘﻞ ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫ﻋﻼوه ﺑﺮ ﺣﻤﻼت اﻛﺘﻴﻮ و ﭘﺴﻴﻮ‪ ،‬ﻣﻲﺗﻮان ﺣﻤﻼت را ﺑﻪ دو دﺳﺘﻪ داﺧﻠﻲ )‪ (insider‬و ﺧﺎرﺟﻲ )‪ (outsider‬ﻧﻴﺰ‬ ‫ﺗﻘﺴﻴﻢ ﻛﺮد‪ .‬ﺷﻜﻞ زﻳﺮ ارﺗﺒﺎط ﺑﻴﻦ ﺣﻤﻼت ﭘﺴﻴﻮ و اﻛﺘﻴﻮ‪ ،‬داﺧﻠﻲ و ﺧﺎرﺟﻲ را ﻧﺸﺎن ﻣﻲدﻫﺪ‪ .‬ﺣﻤﻼﺗﻲ ﻛﻪ از داﺧﻞ ﻳﻚ‬ ‫ﺳﺎزﻣﺎن ﺷﻜﻞ ﻣﻲﮔﻴﺮﻧﺪ‪ ،‬را ﺣﻤﻼت داﺧﻠﻲ ﻣﻲﻧﺎﻣﻨﺪ و ﻣﻌﻤﻮﻻ ﺗﻮﺳﻂ ﻛﺎرﻣﻨﺪي از داﺧﻞ ﺳﺎزﻣﺎن ﺻﻮرت ﻣﻲﮔﻴﺮد ﺗﺎ ﺑﻪ‬ ‫ﻣﻨﺎﺑﻊ ﺑﻴﺸﺘﺮي دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ‪ .‬ﺣﻤﻠﻪ ﺧﺎرﺟﻲ‪ ،‬از ﺑﻴﺮون ﺳﺎزﻣﺎن ﺻﻮرت ﻣﻲﮔﻴﺮد از ﻗﺒﻴﻞ اﻳﻨﺘﺮﻧﺖ‪.‬‬

‫اﻧﻮاع ﺣﻤﻼت‬

‫‪6‬‬

‫ﭘﻨﺞ ﻣﺮﺣﻠﻪ ﻣﺨﺘﻠﻒ ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ‬ ‫ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ‪ ،‬ﻣﺮاﺣﻠﻲ را ﻛﻪ ﻫﻜﺮ ﺷﺮور اﻧﺠﺎم ﻣﻲدﻫﺪ را اﻧﺠﺎم ﻣﻲدﻫﺪ‪ .‬ﺷﻜﻞ زﻳﺮ‪ ،‬ﭘﻨﺞ ﻣﺮﺣﻠﻪاي ﻛﻪ ﻫﻜﺮﻫﺎ ﺑﺮاي‬ ‫ﻫﻚ ﻛﺮدن ﺳﻴﺴﺘﻢﻫﺎ اﻧﺠﺎم ﻣﻲدﻫﻨﺪ را ﺗﻮﺿﻴﺢ ﻣﻲدﻫﺪ‪.‬‬

‫ﻣﺮاﺣﻞ ﻫﻚ‬

‫ﻣﺮﺣﻠﻪ ‪ :1‬ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ و اﻛﺘﻴﻮ‬ ‫ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ‪ ،‬ﺷﺎﻣﻞ ﺟﻤﻊآوري اﻃﻼﻋﺎت ﺑﺎ در ﻧﻈﺮ ﮔﺮﻓﺘﻦ ﻫﺪف ﺑﺎﻟﻘﻮه ﺑﺪون ﻣﺪ ﻧﻈﺮ ﻗﺮار دادن داﻧﺶ ﺷﺨﺺ‬ ‫ﻳﺎ ﺷﺮﻛﺖ اﺳﺖ‪ .‬ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ‪ ،‬ﻣﻲﺗﻮاﻧﺪ ﺑﻪ ﺳﺎدﮔﻲ ﺗﻤﺎﺷﺎي ﻳﻚ ﺳﺎﺧﺘﻤﺎن ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ زﻣﺎن ورود و ﺧﺮوج‬ ‫ﻛﺎرﻣﻨﺪان ﺑﺎﺷﺪ‪ .‬اﻣﺎ ﻣﻌﻤﻮل اﺳﺖ ﻛﻪ از ﺟﺴﺘﺠﻮي اﻳﻨﺘﺮﻧﺘﻲ اﺳﺘﻔﺎده ﺷﻮد ﻳﺎ در ﻣﻮرد ﺷﺮﻛﺖ و ﻛﺎرﻣﻨﺪان آن‪ ،‬اﻃﻼﻋﺎت‬ ‫ﺟﻤﻊآوري ﺷﻮد‪ .‬اﻳﻦ ﻓﺮآﻳﻨﺪ‪ ،‬ﺑﻄﻮر ﻛﻠﻲ‪ ،‬ﺟﻤﻊآوري اﻃﻼﻋﺎت ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد‪ .‬ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ) ‪social‬‬ ‫‪ (engineering‬و آﺷﻐﺎلﮔﺮدي )‪ (dumpster diving‬ﺑﻪ ﻋﻨﻮان روشﻫﺎي ﭘﺴﻴﻮ ﺟﻤﻊآوري اﻃﻼﻋﺎت ﺗﻠﻘﻲ ﻣﻲﺷﻮد‪.‬‬ ‫اﺳﺘﺮاق ﺳﻤﻊ ﺷﺒﻜﻪ )‪ ،(sniffing‬روش دﻳﮕﺮي ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ اﺳﺖ و ﻣﻲﺗﻮاﻧﺪ اﻃﻼﻋﺎت ﻣﻔﻴﺪي ﻫﻤﭽﻮن‬ ‫آدرسﻫﺎي ‪ ،IP‬ﻗﺎﻧﻮن ﻧﺎمﮔﺬاري دﺳﺘﮕﺎهﻫﺎ‪ ،‬و ﺳﺮوﻳﺲﻫﺎي ﻗﺎﺑﻞ دﺳﺘﺮس دﻳﮕﺮ ﺑﺮ روي ﺳﻴﺴﺘﻢﻫﺎ و ﺷﺒﻜﻪﻫﺎي دﻳﮕﺮ را‬ ‫ﺑﺪﻫﺪ‪ .‬اﺳﺘﺮاق ﺳﻤﻊ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ‪ ،‬ﻣﺸﺎﺑﻪ ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ اﺳﺖ‪ :‬ﻫﻜﺮ‪ ،‬ﺗﺮاﻓﻴﻚ دادهﻫﺎ را ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﺒﻴﻨﺪ ﭼﻪ زﻣﺎﻧﻲ‬ ‫ﺗﺮاﻛﻨﺶﻫﺎي ﻣﺸﺨﺺ اﺗﻔﺎق ﻣﻲاﻓﺘﺪ و ﺗﺮاﻓﻴﻚ از ﻛﺠﺎ ﺟﺮﻳﺎن ﻣﻲﻳﺎﺑﺪ‪.‬‬ ‫‪7‬‬

‫ﺷﻨﺎﺳﺎﻳﻲ اﻛﺘﻴﻮ‪ ،‬ﻛﺎوش ﺷﺒﻜﻪ ﺑﺮاي ﻛﺸﻒ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي اﻓﺮاد‪ ،‬آدرسﻫﺎي ‪ ،IP‬و ﺳﺮوﻳﺲﻫﺎي ﺷﺒﻜﻪ اﺳﺖ‪ .‬ﻣﻌﻤﻮﻻ‬ ‫ﻧﺴﺒﺖ ﺑﻪ ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ‪ ،‬داراي رﻳﺴﻚ ﺑﺎﻻﻳﻲ اﺳﺖ و ﮔﺎﻫﻲ اوﻗﺎت از آن ﺑﻪ ﻋﻨﻮان ‪ rattling the door knobe‬ﻧﺎم ﺑﺮده‬ ‫ﻣﻲﺷﻮد‪.‬‬ ‫ﺷﻨﺎﺳﺎﻳﻲ اﻛﺘﻴﻮ و ﭘﺴﻴﻮ‪ ،‬ﻫﺮ دو ﻣﻨﺠﺮ ﺑﻪ ﻛﺸﻒ اﻃﻼﻋﺎت ﻣﻔﻴﺪ ﺑﺮاي ﺣﻤﻠﻪ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﻣﻌﻤﻮﻻ ﻳﺎﻓﺘﻦ ﻧﻮع‬ ‫وب ﺳﺮور و ﻧﺴﺨﻪ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻠﻲ ﻛﻪ ﺳﺎزﻣﺎن اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ ،‬ﺳﺎده اﺳﺖ‪ .‬اﻳﻦ اﻃﻼﻋﺎت ﺑﻪ ﻫﻜﺮ ﻛﻤﻚ ﻣﻲﻛﻨﻨﺪ ﻛﻪ‬ ‫آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ را ﭘﻴﺪا ﻛﻨﺪ و از اﻛﺴﭙﻠﻮﻳﺖ ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬

‫ﻣﺮﺣﻠﻪ ‪ :2‬اﺳﻜﻦ‬ ‫ﺑﺪﺳﺖ آوردن اﻃﻼﻋﺎت ﻛﺸﻒ ﺷﺪه در ﻃﻮل ﺷﻨﺎﺳﺎﻳﻲ‪ ،‬و اﺳﺘﻔﺎده از آن ﺑﺮاي ﺗﺴﺖ ﺷﺒﻜﻪ اﺳﺖ‪ .‬اﺑﺰارﻫﺎﻳﻲ ﻛﻪ‬ ‫ﻫﻜﺮ در ﻃﻮل ﻣﺮﺣﻠﻪ اﺳﻜﻦ ﺑﻜﺎر ﻣﻲﮔﻴﺮد ﻣﻲﺗﻮاﻧﺪ ‪dialer‬ﻫﺎ‪ ،‬اﺳﻜﻨﺮﻫﺎي ﭘﻮرت‪ ،‬اﺑﺰارﻫﺎي ﺗﺮﺳﻴﻢ ﻧﻘﺸﻪ ﺷﺒﻜﻪ‪،‬‬ ‫‪sweeper‬ﻫﺎ و اﺳﻜﻨﺮﻫﺎي ﺗﺴﺖ آﺳﻴﺐ ﭘﺬﻳﺮي ﺑﺎﺷﻨﺪ‪ .‬ﻫﻜﺮﻫﺎ ﺑﻪ دﻧﺒﺎل اﻃﻼﻋﺎﺗﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﻪ آﻧﻬﺎ در اﻧﺠﺎم ﺣﻤﻠﻪ‬ ‫ﻛﻤﻚ ﻛﻨﺪ از ﻗﺒﻴﻞ ﻧﺎم ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ‪ ،‬آدرسﻫﺎي ‪ ،IP‬و ﺣﺴﺎبﻫﺎي ﻛﺎرﺑﺮي‪.‬‬ ‫ﻣﺮﺣﻠﻪ ‪ :3‬اﻳﺠﺎد دﺳﺘﺮﺳﻲ‬ ‫در اﻳﻦ ﻣﺮﺣﻠﻪ‪ ،‬ﺣﻤﻠﻪ واﻗﻌﻲ رخ ﻣﻲدﻫﺪ‪ .‬آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺷﻨﺎﺧﺘﻪ ﺷﺪه در ﻣﺮاﺣﻞ ﺷﻨﺎﺳﺎﻳﻲ و اﺳﻜﻦ‪ ،‬اﻛﻨﻮن‬ ‫ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪ .‬روش ارﺗﺒﺎﻃﻲ ﻛﻪ ﻫﻜﺮ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﻣﻲﺗﻮاﻧﺪ از ﻃﺮﻳﻖ ﺷﺒﻜﻪ ﻣﺤﻠﻲ‬ ‫)‪ ،(LAN‬دﺳﺘﺮﺳﻲ ﻣﺤﻠﻲ ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ )‪ ،(local‬اﻳﻨﺘﺮﻧﺖ و ﻳﺎ ﺑﻪ ﺻﻮرت آﻓﻼﻳﻦ ﺑﺎﺷﺪ‪ .‬از ﻗﺒﻴﻞ ‪،session hijacking‬‬ ‫‪ ،DoS‬و ‪ .stack-based buffer overflow‬در دﻧﻴﺎي ﻫﻜﺮﻫﺎ‪ ،‬اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﺎ ﻧﺎم ﻣﺎﻟﻜﻴﺖ ﺳﻴﺴﺘﻢ ) ‪owning the‬‬ ‫‪ (system‬ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪.‬‬

‫‪8‬‬

‫ﻣﺮﺣﻠﻪ ‪ :4‬ﺣﻔﻆ دﺳﺘﺮﺳﻲ‬ ‫زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺗﻮاﻧﺴﺖ دﺳﺘﺮﺳﻲ اﻳﺠﺎد ﻛﻨﺪ‪ ،‬ﻣﻲﺧﻮاﻫﺪ ﻛﻪ ﺑﺮاي ﺣﻤﻼت ﺑﻌﺪي‪ ،‬دﺳﺘﺮﺳﻲ ﺧﻮد را ﺣﻔﻆ ﻛﻨﺪ‪.‬‬ ‫ﮔﺎﻫﻲ اوﻗﺎت‪ ،‬ﻫﻜﺮﻫﺎ‪ ،‬ﺳﻴﺴﺘﻢ را از دﺳﺘﺮﺳﻲ ﻫﻜﺮﻫﺎي دﻳﮕﺮ اﻣﻦ ﻣﻲﻛﻨﻨﺪ آﻧﻬﺎ اﻳﻨﻜﺎر را از ﻃﺮﻳﻖ ‪backdoor‬ﻫﺎ‪،‬‬ ‫‪rootkit‬ﻫﺎ‪ ،‬و ﺗﺮوﺟﺎنﻫﺎ اﻧﺠﺎم ﻣﻲدﻫﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮي ﺳﻴﺴﺘﻢ را ﺑﻪ ﺗﺼﺮف ﺧﻮد درآورد‪ ،‬ﻣﻲﺗﻮاﻧﺪ از آن ﺑﺮاي اﻧﺠﺎم‬ ‫ﺣﻤﻼت دﻳﮕﺮ اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬در اﻳﻦ ﺣﺎﻟﺖ‪ ،‬ﺑﻪ آن ﺳﻴﺴﺘﻢ‪ ،‬ﺳﻴﺴﺘﻢ ‪ zombie‬ﮔﻔﺘﻪ ﻣﻲﺷﻮد‪.‬‬ ‫ﻣﺮﺣﻠﻪ ‪ :5‬از ﺑﻴﻦ ﺑﺮدن ردﭘﺎ‬ ‫زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮي ﺗﻮاﻧﺴﺖ ﺑﻪ ﺳﻴﺴﺘﻤﻲ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ‪ ،‬ﺟﻬﺖ ﺟﻠﻮﮔﻴﺮي از ﺷﻨﺎﺳﺎﻳﻲ ﺗﻮﺳﻂ ﻣﺎﻣﻮران اﻣﻨﻴﺘﻲ‪ ،‬و‬ ‫ﺑﺮاي اداﻣﻪ اﺳﺘﻔﺎده از ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ‪ ،‬و ﻧﻴﺰ ﭘﺎك ﻛﺮدن ﺷﻮاﻫﺪ ﻫﻚ‪ ،‬اﻗﺪام ﺑﻪ ﭘﺎك ﺳﺎزي ردﭘﺎي ﺧﻮد ﻣﻲﻛﻨﺪ‪ .‬ﻫﻜﺮﻫﺎ‬ ‫ﺳﻌﻲ ﻣﻲﻛﻨﻨﺪ ﺗﻤﺎم اﺛﺮات ﺣﻤﻼت از ﻗﺒﻴﻞ ﻓﺎﻳﻞﻫﺎي ‪ ،log‬ﻳﺎ ﭘﻴﻐﺎمﻫﺎي ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ )‪ (IDS‬را ﭘﺎك ﻛﻨﻨﺪ‪.‬‬ ‫ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر از ‪ ،steganography‬ﭘﺮوﺗﻜﻞﻫﺎي ﺗﺎﻧﻠﻴﻨﮓ‪ ،‬و ﺗﻐﻴﻴﺮ ﻓﺎﻳﻞﻫﺎي ‪ log‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬

‫‪ Hacktivisim‬ﭼﻴﺴﺖ؟‬ ‫‪ ،Hacktivisim‬دﻟﻴﻞ و اﻧﮕﻴﺰه ﻫﻚ اﺳﺖ‪ .‬ﻫﻜﺮﻫﺎ‪ ،‬ﻣﻌﻤﻮﻻ اﻧﮕﻴﺰهﻫﺎي اﺟﺘﻤﺎﻋﻲ و ﺳﻴﺎﺳﻲ دارﻧﺪ‪ .‬ﺑﺴﻴﺎري از‬ ‫ﻫﻜﺮﻫﺎ‪ ،‬در ﻓﻌﺎﻟﻴﺖﻫﺎﻳﻲ ﭼﻮن ‪ deface‬ﻛﺮدن وب ﺳﺎﻳﺖ‪ ،‬ﻧﻮﺷﺘﻦ وﻳﺮوس‪ ،DoS ،‬ﻳﺎ ﺣﻤﻼت ﻣﺨﺮب دﻳﮕﺮ ﺷﺮﻛﺖ‬ ‫ﻣﻲﻛﻨﻨﺪ‪ .‬ﻣﻌﻤﻮﻻ اﻧﮕﻴﺰه ﻫﻜﺮﻫﺎ )‪ ،(hacktivism‬آژاﻧﺲﻫﺎي دوﻟﺘﻲ و ﮔﺮوهﻫﺎي ﺳﻴﺎﺳﻲ ﻫﺴﺘﻨﺪ‪.‬‬

‫اﻧﻮاع ﻫﻜﺮﻫﺎ‬ ‫ﻫﻜﺮﻫﺎ در ﺳﻪ دﺳﺘﻪ ﻗﺮار ﻣﻲﮔﻴﺮﻧﺪ‪ :‬ﻛﻼه ﺳﻔﻴﺪﻫﺎ‪ ،‬ﻛﻼه ﺳﻴﺎهﻫﺎ‪ ،‬و ﻛﻼه ﺧﺎﻛﺴﺘﺮيﻫﺎ‪ .‬ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ ﻣﻌﻤﻮﻻ‬ ‫در دﺳﺘﻪ ﻛﻼه ﺳﻔﻴﺪﻫﺎ ﻗﺮار ﻣﻲﮔﻴﺮﻧﺪ اﻣﺎ ﮔﺎﻫﻲ اوﻗﺎت‪ ،‬ﻛﻼه ﺧﺎﻛﺴﺘﺮي ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪9‬‬

‫ﻛﻼه ﺳﻔﻴﺪﻫﺎ‪ :‬اﻳﻨﻬﺎ اﻓﺮادي ﺧﻮﺑﻲ ﻫﺴﺘﻨﺪ ﻛﻪ از ﻣﻬﺎرت ﻫﻚﺷﺎن ﺑﺮاي اﻫﺪاف دﻓﺎﻋﻲ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﻫﻜﺮﻫﺎي ﻛﻼه‬ ‫ﺳﻔﻴﺪ‪ ،‬ﻣﻌﻤﻮﻻ ﻣﺘﺨﺼﺼﺎن اﻣﻨﻴﺘﻲ ﻫﺴﺘﻨﺪ ﻛﻪ داﻧﺶ و اﺑﺰارﻫﺎي ﻫﻚ را دارﻧﺪ و از آﻧﻬﺎ ﺑﺮاي ﻛﺸﻒ ﻧﻘﺎط ﺿﻌﻒ و اﻗﺪاﻣﺎت‬ ‫ﭘﻴﺸﮕﻴﺮي اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫ﻛﻼه ﺳﻴﺎهﻫﺎ‪ :‬اﻳﻨﻬﺎ اﻓﺮاد ﺑﺪي ﻫﺴﺘﻨﺪ‪ .‬ﻫﻜﺮﻫﺎي ﺷﺮور ﻳﺎ ‪cracker‬ﻫﺎ از ﻣﻬﺎرﺗﺸﺎن ﺑﺮاي اﻫﺪاف ﻏﻴﺮ ﻗﺎﻧﻮﻧﻲ اﺳﺘﻔﺎده‬ ‫ﻣﻲﻛﻨﻨﺪ‪ .‬آﻧﻬﺎ ﻳﻜﭙﺎرﭼﮕﻲ ﻣﺎﺷﻴﻦ ﻣﻮرد ﻧﻈﺮ را ﺑﻪ ﻗﺼﺪ ﺷﻮم ﻣﻲﺷﻜﻨﻨﺪ‪ .‬ﺑﺎ داﺷﺘﻦ دﺳﺘﺮﺳﻲ ﻏﻴﺮﻣﺠﺎز‪ ،‬ﻫﻜﺮﻫﺎي ﻛﻼه ﺳﻴﺎه‬ ‫ﻣﻲﺗﻮاﻧﻨﺪ دادهﻫﺎي ﺣﻴﺎﺗﻲ و ﻣﻬﻢ را ﺧﺮاب ﻛﻨﻨﺪ‪ ،‬ﺳﺮوﻳﺲﻫﺎي ﻛﺎرﺑﺮان را ﻣﺨﺘﻞ ﻛﻨﻨﺪ و ﺑﺎﻋﺚ ﺑﺮوز ﻣﺸﻜﻼت ﺑﺮاي آﻧﻬﺎ‬ ‫ﺷﻮﻧﺪ‪ .‬اﻳﻦ دﺳﺘﻪ از ﻫﻜﺮﻫﺎ‪ ،‬ﺑﻪ راﺣﺘﻲ از ﻫﻜﺮﻫﺎي ﻛﻼه ﺳﻔﻴﺪ ﻗﺎﺑﻞ ﺗﺸﺨﻴﺺ ﻫﺴﺘﻨﺪ‪.‬‬ ‫ﻛﻼه ﺧﺎﻛﺴﺘﺮيﻫﺎ‪ :‬اﻳﻨﻬﺎ ﻫﻜﺮﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺴﺘﻪ ﺑﻪ ﺷﺮاﻳﻂ‪ ،‬ﻣﻤﻜﻦ اﺳﺖ ﺑﺼﻮرت دﻓﺎﻋﻲ ﻳﺎ ﻣﺨﺮب ﻋﻤﻞ ﻛﻨﻨﺪ‪ .‬ﻳﻌﻨﻲ‬ ‫ﻣﻤﻜﻦ اﺳﺖ ﻫﻢ ﺑﻪ ﻧﻴﺖ ﺧﻮب از داﻧﺶ ﺧﻮد اﺳﺘﻔﺎده ﻛﻨﻨﺪ و ﻫﻢ ﺑﻪ ﻧﻴﺖ ﺷﻮم )ﺣﺰب ﺑﺎد(‪.‬‬

‫ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ و ‪cracker‬ﻫﺎ ﻛﻴﺴﺘﻨﺪ؟‬ ‫ﺧﻴﻠﻲ از ﻣﺮدم ﻣﻲﭘﺮﺳﻨﺪ "ﻣﮕﺮ ﻫﻚ ﻣﻲﺗﻮاﻧﺪ اﺧﻼﻗﻲ ﺑﺎﺷﺪ؟" ﺑﻠﻪ! ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ ﻣﻌﻤﻮﻻ در اﻣﻨﻴﺖ ﻳﺎ‬ ‫ﺗﺴﺖﻫﺎي ﻧﻔﻮذ در ﺷﺒﻜﻪ‪ ،‬ﺣﺮﻓﻪاي ﻫﺴﺘﻨﺪ و از ﻣﻬﺎرتﻫﺎ و اﺑﺰارﻫﺎي ﻫﻚﺷﺎن ﺑﺮاي اﻫﺪاف دﻓﺎﻋﻲ و ﭘﻴﺸﮕﻴﺮاﻧﻪ اﺳﺘﻔﺎده‬ ‫ﻣﻲﻛﻨﻨﺪ‪ .‬ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ ﻛﻪ ﻣﺘﺨﺼﺼﺎن اﻣﻨﻴﺘﻲ ﻫﺴﺘﻨﺪ‪ ،‬اﻣﻨﻴﺖ ﺷﺒﻜﻪ و ﺳﻴﺴﺘﻢ را ﺑﺮاي ﻗﺎﺑﻠﻴﺖ آﺳﻴﺐ ﭘﺬﻳﺮي‪ ،‬ﺑﺎ‬ ‫اﺳﺘﻔﺎده از ﺑﻌﻀﻲ اﺑﺰارﻫﺎﻳﻲ ﻛﻪ ﻫﻜﺮﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺮاي ﺑﻪ ﺧﻄﺮ اﻧﺪاﺧﺘﻦ ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﻛﻨﻨﺪ‪ ،‬ﺗﺴﺖ ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫ﻛﻠﻤﻪ ‪ ،cracker‬ﻫﻜﺮي را ﺗﻮﺻﻴﻒ ﻣﻲﻛﻨﺪ ﻛﻪ از ﻣﻬﺎرتﻫﺎ و اﺑﺰارﻫﺎي ﻫﻚ ﺑﺮاي اﻫﺪاﻓﻲ ﻫﻤﭽﻮن اﻧﺘﺸﺎر وﻳﺮوس ﻳﺎ‬ ‫اﻧﺠﺎم ﺣﻤﻼت ‪ DoS‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﺗﺎ ﺳﻴﺴﺘﻢﻫﺎ ﻳﺎ ﺷﺒﻜﻪﻫﺎ را ﺑﻪ ﺧﻄﺮ ﺑﻴﺎﻧﺪازد‪ .‬در اﺻﻞ‪ ،‬ﻛﻠﻤﻪ ﻫﻜﺮ ﺑﺮاي ﻋﻼﻗﻤﻨﺪ ﺑﻪ‬ ‫ﻛﺎﻣﭙﻴﻮﺗﺮ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬ﻫﻜﺮ ﻛﺴﻲ اﺳﺖ ﻛﻪ از داﻧﺴﺘﻦ ﻛﺎر ﻳﻚ ﺳﻴﺴﺘﻢ‪ ،‬ﻛﺎﻣﭙﻴﻮﺗﺮ و ﺷﺒﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮي ﻟﺬت ﻣﻲﺑﺮد‪.‬‬ ‫در ﻃﻮل زﻣﺎن‪ ،‬ﻣﺮدم ﻫﻜﺮﻫﺎ را ﺑﻪ ﻋﻨﻮان ﻛﺴﺎﻧﻲ ﻛﻪ ﺑﻪ ﻧﻴﺖ ﺷﻮم ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ را ﻣﻲﺷﻜﻨﻨﺪ اﻃﻼق ﻣﻲﻛﺮدﻧﺪ‪ .‬ﺳﭙﺲ واژه‬ ‫‪ cracker‬راﻳﺞ ﺷﺪ ﻛﻪ ﻛﻮﺗﺎه ﺷﺪه ﻋﺒﺎرت ‪) criminal hacker‬ﻫﻜﺮ ﻣﺠﺮم( اﺳﺖ ﻛﻪ ﺑﻪ دﻧﺒﺎل اﻳﻦ اﺳﺖ ﻛﻪ اﻣﻨﻴﺖ‬ ‫ﺳﻴﺴﺘﻢ را ﺑﺪون اﺟﺎزه ﺑﺸﻜﻨﺪ‪ .‬ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ )‪ (ethical hacker‬ﺷﺨﺼﻲ اﺳﺖ ﻛﻪ ﺗﺴﺖﻫﺎي اﻣﻨﻴﺘﻲ و دﻳﮕﺮ ارزﻳﺎﺑﻲﻫﺎ‬ ‫را اﻧﺠﺎم ﻣﻲدﻫﺪ ﺗﺎ ﺑﻪ ﺳﺎزﻣﺎنﻫﺎ ﻛﻤﻚ ﻛﻨﺪ زﻳﺮﺳﺎﺧﺖﻫﺎﻳﺸﺎن را اﻣﻦ ﻛﻨﻨﺪ‪ .‬ﺑﻌﻀﻲ وﻗﺖﻫﺎ‪ ،‬ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ ﺑﻪ ﻋﻨﻮان‬ ‫ﻫﻜﺮﻫﺎي ﻛﻼه ﺳﻔﻴﺪ ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪10‬‬

‫اﻫﺪاف ﺣﻤﻠﻪ ﻛﻨﻨﺪهﻫﺎ‬ ‫اﻣﻨﻴﺖ ﺷﺎﻣﻞ ﺳﻪ ﻋﻨﺼﺮ ﭘﺎﻳﻪاي اﺳﺖ‪:‬‬ ‫•‬

‫ﻣﺤﺮﻣﺎﻧﮕﻲ )‪(Confidentiality‬‬

‫•‬

‫ﻳﻜﭙﺎرﭼﮕﻲ )‪(Integrity‬‬

‫•‬

‫در دﺳﺘﺮس ﺑﻮدن )‪(Availability‬‬ ‫ﻫﺪف ﻫﻜﺮ‪ ،‬اﺳﺘﻔﺎده از آﺳﻴﺐ ﭘﺬﻳﺮي ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ اﺳﺖ ﺗﺎ ﺿﻌﻒﻫﺎي ﻳﻜﻲ از اﻳﻦ ﭘﺎﻳﻪﻫﺎ را در ﺳﻴﺴﺘﻢ ﻫﺪف‬

‫ﭘﻴﺪا ﻛﻨﺪ‪ .‬ﻫﻜﺮ در اﻧﺠﺎم ﺣﻤﻠﻪ ‪ ،DoS‬ﻋﻨﺼﺮ دﺳﺘﺮﺳﻲ ﺳﻴﺴﺘﻢﻫﺎ و ﺷﺒﻜﻪﻫﺎ را ﻣﻮرد ﺣﻤﻠﻪ ﻗﺮار ﻣﻲدﻫﺪ‪ .‬ﻫﺮ ﭼﻨﺪ ﻛﻪ‬ ‫ﺣﻤﻠﻪ ‪ DoS‬ﻣﻲﺗﻮاﻧﺪ ﺷﻜﻞﻫﺎي ﻣﺨﺘﻠﻔﻲ داﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﻫﺪف اﺻﻠﻲ اﻳﻦ اﺳﺖ ﻛﻪ از ﻣﻨﺎﺑﻊ و ﭘﻬﻨﺎي ﺑﺎﻧﺪ اﺳﺘﻔﺎده ﺷﻮد‪ .‬در‬ ‫اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﺑﺎ ﺳﺮازﻳﺮ ﻛﺮدن ﭘﻴﻐﺎمﻫﺎي ورودي ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف‪ ،‬آن را ﻣﺠﺒﻮر ﺑﻪ ﺧﺎﻣﻮﺷﻲ ﻣﻲﻛﻨﺪ در ﻧﺘﻴﺠﻪ ﺳﺮوﻳﺲ‬ ‫ﻛﺎرﺑﺮان ﻣﺨﺘﻞ ﻣﻲﺷﻮد‪.‬‬ ‫ﺳﺮﻗﺖ اﻃﻼﻋﺎت‪ ،‬از ﻗﺒﻴﻞ ﺳﺮﻗﺖ ﭘﺴﻮردﻫﺎ ﻳﺎ دادهﻫﺎي دﻳﮕﺮ ﻛﻪ ﺑﺼﻮرت رﻣﺰ ﻧﺸﺪه در ﺷﺒﻜﻪ ارﺳﺎل ﻣﻲﺷﻮﻧﺪ‪،‬‬ ‫ﺑﺮاي ﺣﻤﻠﻪﻫﺎي ﻣﺤﺮﻣﺎﻧﮕﻲ‪ ،‬ﺑﺎﻟﻘﻮه ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﻪ دﻳﮕﺮان اﺟﺎزه دﺳﺘﺮﺳﻲ ﺑﻪ دادهﻫﺎ را ﻣﻲدﻫﻨﺪ‪ .‬ﻓﻘﻂ دادهﻫﺎي‬ ‫روي ﺷﺒﻜﻪﻫﺎ ﻧﻴﺴﺘﻨﺪ ﻛﻪ در ﻣﻌﺮض ﺳﺮﻗﺖ ﻗﺮار دارﻧﺪ ﺑﻠﻜﻪ ﻟﭗ ﺗﺎپﻫﺎ‪ ،‬دﻳﺴﻚﻫﺎ‪ ،‬و ﻧﻮارﻫﺎي ﭘﺸﺘﻴﺒﺎن ﻧﻴﺰ ﻫﻤﮕﻲ در‬ ‫ﻣﻌﺮض ﺧﻄﺮ ﻗﺮار دارﻧﺪ‪.‬‬ ‫ﺣﻤﻼت ﻣﻌﻜﻮس ﻛﺮدن وﺿﻌﻴﺖ ﺑﻴﺖ )‪ ،(bit-flipping‬ﺣﻤﻼﺗﻲ ﺑﺮاي ﻳﻜﭙﺎرﭼﮕﻲ ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﻣﻤﻜﻦ اﺳﺖ‬ ‫دادهﻫﺎ ﺗﻐﻴﻴﺮ ﻳﺎﺑﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢﻫﺎ ﻧﻤﻲﺗﻮاﻧﻨﺪ ﺗﺸﺨﻴﺺ دﻫﻨﺪ ﻛﻪ آﻳﺎ دادهﻫﺎ‪ ،‬ﻫﻤﺎنﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ‬ ‫ارﺳﺎلﻛﻨﻨﺪه ارﺳﺎل ﻛﺮده اﺳﺖ ﻳﺎ ﻧﻪ‪.‬‬

‫ﻫﻚ ﻛﺮدن‪ ،‬ﺷﻜﺴﺘﻦ ﻳﻜﻲ از اﻳﻦ ﭘﺎﻳﻪ ﻫﺎﺳﺖ‪.‬‬ ‫‪11‬‬

‫ﻣﺜﻠﺚ اﻣﻨﻴﺖ‪ ،‬ﻋﻤﻠﻜﺮد‪ ،‬و راﺣﺘﻲ اﺳﺘﻔﺎده‬ ‫ﻫﻴﭽﻜﺲ ﭘﻮل ﻧﺎﻣﺤﺪود ﺑﺮاي اﻣﻦ ﻛﺮدن ﻫﻤﻪ ﭼﻴﺰ ﻧﺪارد و ﻣﺎ ﻧﻤﻲﺗﻮاﻧﻴﻢ روﻳﻜﺮد ﻛﺎﻣﻼ اﻣﻨﻲ داﺷﺘﻪ ﺑﺎﺷﻴﻢ‪ .‬ﻳﻚ‬ ‫روش ﺑﺮاي اﻣﻦ ﻛﺮدن ﺳﻴﺴﺘﻢ از ﺣﻤﻠﻪ ﺷﺒﻜﻪاي‪ ،‬ﺟﺪا ﻛﺮدن ﻛﺎﺑﻞ ﺷﺒﻜﻪ آن ﻛﺎﻣﭙﻴﻮﺗﺮ اﺳﺖ در اﻳﻨﺼﻮرت اﻳﻦ ﺳﻴﺴﺘﻢ در‬ ‫ﻣﻘﺎﺑﻞ ﺣﻤﻼت ﻣﺒﺘﻨﻲ ﺑﺮ اﻳﻨﺘﺮﻧﺖ ﻛﺎﻣﻼ اﻣﻦ ﺧﻮاﻫﺪ ﺑﻮد اﻣﺎ ﻗﺎﺑﻠﻴﺖ اﺳﺘﻔﺎده از آن ﺑﻪ ﺷﺪت ﻛﺎﻫﺶ ﻣﻲﻳﺎﺑﺪ‪ .‬روﻳﻜﺮد‬ ‫ﻣﺘﻀﺎد آن اﺗﺼﺎل آن ﺑﻪ ﺷﺒﻜﻪ اﻳﻨﺘﺮﻧﺖ و ﻋﺪم اﺳﺘﻔﺎده از ﻫﺮ ﻧﻮع آﻧﺘﻲ وﻳﺮوس‪ ،‬وﺻﻠﻪﻫﺎي اﻣﻨﻴﺘﻲ و ﻓﺎﻳﺮوال اﺳﺖ ﻛﻪ‬ ‫ﺳﺒﺐ ﻣﻲﺷﻮد آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ اﻓﺰاﻳﺶ ﻳﺎﺑﺪ و ﻋﻠﻲ رﻏﻢ اﻓﺰاﻳﺶ ﻗﺎﺑﻠﻴﺖ اﺳﺘﻔﺎده‪ ،‬اﻣﻨﻴﺖ ﺑﻪ ﺷﺪت ﻛﺎﻫﺶ ﻣﻲﻳﺎﺑﺪ‪.‬‬ ‫ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻛﺎر ﻣﺘﺨﺼﺺ اﻣﻨﻴﺘﻲ‪ ،‬ﻳﺎﻓﺘﻦ ﺗﻌﺎدﻟﻲ ﺑﻴﻦ اﻣﻨﻴﺖ و دﺳﺘﺮﺳﻲ اﺳﺖ‪ .‬ﺷﻜﻞ زﻳﺮ اﻳﻦ ﻣﻔﻬﻮم را ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬

‫ﻣﺜﻠﺚ اﻣﻨﻴﺖ‪ ،‬ﻋﻤﻠﻜﺮد‪ ،‬و راﺣﺘﻲ اﺳﺘﻔﺎده‬ ‫ﺑﺮاي ﻳﺎﻓﺘﻦ ﺗﻌﺎدل‪ ،‬ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﺪاﻧﻴﺪ اﻫﺪاف ﺳﺎزﻣﺎﻧﺘﺎن ﭼﻴﺴﺖ‪ ،‬اﻣﻨﻴﺖ ﭼﻴﺴﺖ و ﭼﮕﻮﻧﻪ ﺗﻬﺪﻳﺪات را ﺑﺮاي اﻣﻨﻴﺖ‬ ‫اﻧﺪازهﮔﻴﺮي ﻛﻨﻴﺪ‪ .‬اﮔﺮ اﻣﻨﻴﺖ زﻳﺎد ﺑﺎﺷﺪ ﺑﻪ ﺗﺪرﻳﺞ ﻛﺎرﺑﺮان ﺑﻪ آن ﺗﻮﺟﻪ ﻧﻤﻲﻛﻨﻨﺪ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ وﻇﻴﻔﻪ ﻳﻚ ﻣﺘﺨﺼﺺ اﻣﻨﻴﺘﻲ‪،‬‬ ‫ﻳﺎﻓﺘﻦ ﺗﻌﺎدل در اﻳﻦ ﻣﺜﻠﺚ اﺳﺖ‪.‬‬ ‫وﻗﺘﻲ اﻣﻨﻴﺖ از ﻳﻚ ﺣﺪي ﺑﺎﻻﺗﺮ ﻣﻲرود‪ ،‬ﻛﺎرﺑﺮان آن را ﻧﺎدﻳﺪه ﻣﻲﮔﻴﺮﻧﺪ‪.‬‬

‫ﺗﺤﻘﻴﻖ آﺳﻴﺐ ﭘﺬﻳﺮي ﭼﻴﺴﺖ؟‬ ‫ﻓﺮآﻳﻨﺪ ﻛﺸﻒ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ و ﺿﻌﻒﻫﺎي ﻃﺮاﺣﻲ اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﻣﻨﺠﺮ ﺑﻪ ﺣﻤﻠﻪ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﺷﻮد‪ .‬ﺑﻌﻀﻲ‬ ‫از وب ﺳﺎﻳﺖﻫﺎ و اﺑﺰارﻫﺎ ﺑﻪ ﻫﻜﺮﻫﺎ ﻛﻤﻚ ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﻧﻘﺎط آﺳﻴﺐ ﭘﺬﻳﺮ ﺳﻴﺴﺘﻢﻫﺎ و ﻧﺤﻮه اﺳﺘﻔﺎده از آﻧﻬﺎ را ﻛﺸﻒ ﻛﻨﻨﺪ‪.‬‬ ‫ﺑﻨﺎﺑﺮاﻳﻦ ﻻزم اﺳﺖ ﻛﻪ ﻣﺪﻳﺮان ﺷﺒﻜﻪﻫﺎ‪ ،‬ﺳﻴﺴﺘﻢﻫﺎ و ﺷﺒﻜﻪﻫﺎﻳﺸﺎن را ﻋﺎري از وﻳﺮوس‪ ،‬ﺗﺮوﺟﺎن و اﻛﺴﭙﻠﻮﻳﺖﻫﺎ ﻧﮕﻪ دارﻧﺪ‪.‬‬ ‫ﻫﻤﭽﻨﻴﻦ ﺑﺎ ﺟﺪﻳﺪﺗﺮﻳﻦ ﺗﻬﺪﻳﺪات آﺷﻨﺎ ﺑﺎﺷﻨﺪ ﺗﺎ ﺑﺘﻮاﻧﻨﺪ ﺣﻤﻠﻪ را ﺗﺸﺨﻴﺺ دﻫﻨﺪ و از ﺑﺮوز آن ﺟﻠﻮﮔﻴﺮي ﻛﻨﻨﺪ‪.‬‬ ‫‪12‬‬

‫ﺑﺮﺧﻲ از وب ﺳﺎﻳﺖﻫﺎي ﺗﺤﻘﻴﻖ درﺑﺎره آﺳﻴﺐ ﭘﺬﻳﺮي ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪http://nvd.nist.gov‬‬ ‫‪www.securitytracker.com‬‬ ‫‪www.microsoft.com/security‬‬ ‫‪www.securiteam.com‬‬ ‫‪www.packetstormsecurity.com‬‬ ‫‪www.hackerstorm.com‬‬ ‫‪www.hackerwatch.org‬‬ ‫‪www.securityfocous.com‬‬ ‫‪www.securitymagazine.com‬‬ ‫‪www.milworm.com‬‬

‫روش ﻫﺎي اﺟﺮاي ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ‬ ‫ﻣﻌﻤﻮﻻ ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ ﺑﺼﻮرت ﺳﺎﺧﺖ ﻳﺎﻓﺘﻪ و ﺳﺎزﻣﺎندﻫﻲ ﺷﺪه و ﺑﻪ ﻋﻨﻮان ﺑﺨﺸﻲ از ﺗﺴﺖ ﻧﻔﻮذ ﻳﺎ ﺑﺎزرﺳﻲ‬ ‫اﻣﻨﻴﺘﻲ اﻧﺠﺎم ﻣﻲﺷﻮد‪ .‬ﻋﻤﻖ ﺗﺴﺖ ﺳﻴﺴﺘﻢﻫﺎ و ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬ﺑﺴﺘﻪ ﺑﻪ اﻫﻤﻴﺖ و ﻧﻴﺎز ﻣﺸﺘﺮي دارد‪.‬‬

‫ﻣﺮاﺣﻞ زﻳﺮ ﺑﺮاي اﻧﺠﺎم ﺑﺎزرﺳﻲ اﻣﻨﻴﺘﻲ ﺑﺮاي ﺳﺎزﻣﺎن اﺳﺖ‪:‬‬ ‫‪ .1‬ﺗﻤﺎس ﺑﺎ ﻣﺸﺘﺮي و ﺑﺤﺚ ﺑﺎ او در ﻣﻮرد ﻧﻴﺎزﻫﺎﻳﻲ ﻛﻪ در ﺗﺴﺖ ﺑﺎﻳﺪ ﻣﻮرد ﺗﻮﺟﻪ ﻗﺮار ﮔﻴﺮﻧﺪ‬ ‫‪ .2‬آﻣﺎده ﺳﺎزي و اﻣﻀﺎي ﺗﻌﻬﺪﻧﺎﻣﻪ ﻣﻨﻊ اﻓﺸﺎي اﻃﻼﻋﺎت )‪ (NDA‬ﺑﺎ ﻣﺸﺘﺮي‬ ‫‪ .3‬ﺳﺎزﻣﺎندﻫﻲ ﺗﻴﻢ ﻫﻚ و آﻣﺎدهﺳﺎزي ﺑﺮﻧﺎﻣﻪ ﺑﺮاي ﺗﺴﺖ‬ ‫‪ .4‬اﻧﺠﺎم ﺗﺴﺖ‬ ‫‪ .5‬ﺗﺤﻠﻴﻞ ﻧﺘﺎﻳﺞ ﺗﺴﺖ و آﻣﺎدهﺳﺎزي ﮔﺰارش‬ ‫‪ .6‬اراﺋﻪ ﮔﺰارش ﺑﻪ ﻣﺸﺘﺮي‬

‫‪13‬‬

‫ﺑﺮﻧﺎﻣﻪ ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ‬ ‫ﺑﺴﻴﺎري از ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ‪ ،‬از ﻣﻬﺎرت اﻣﻨﻴﺘﻲ ﺧﻮد ﺟﻬﺖ ارزﻳﺎﺑﻲ و ﺗﺴﺖﻫﺎي ﻧﻔﻮذ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬اﻳﻦ‬ ‫ﺗﺴﺖﻫﺎ و ارزﻳﺎﺑﻲﻫﺎ‪ ،‬ﺳﻪ ﻣﺮﺣﻠﻪ دارد‪:‬‬

‫ﻣﺮﺣﻠﻪ آﻣﺎدهﺳﺎزي‪ ،‬ﺗﻮاﻓﻖ رﺳﻤﻲ ﺑﻴﻦ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ و ﺳﺎزﻣﺎن اﺳﺖ‪ .‬اﻳﻦ ﺗﻮاﻓﻖ‪ ،‬ﺑﺎﻳﺪ ﻛﻞ داﻣﻨﻪ ﺗﺴﺖ و ﻧﻮع‬ ‫ﺣﻤﻼت و ﻧﻮع ﺗﺴﺖ را ﺷﺎﻣﻞ ﺷﻮد‪.‬‬

‫اﻧﻮاع ﺣﻤﻼت ﻗﺎﻧﻮﻧﻤﻨﺪ‬ ‫ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ‪ ،‬در ﻃﻮل ﺷﺒﻴﻪ ﺳﺎزي ﺣﻤﻠﻪ ﻳﺎ ﺗﺴﺖ ﻧﻔﻮذ‪ ،‬از روشﻫﺎي زﻳﺎدي ﺑﺮاي ﺑﻪ ﺧﻄﺮ اﻧﺪاﺧﺘﻦ اﻣﻨﻴﺖ‬ ‫ﺳﺎزﻣﺎن اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﻣﻬﻢﺗﺮﻳﻦ روشﻫﺎ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫ﺷﺒﻜﻪ راه دور )‪ :(remote‬در اﻳﻦ ﺣﻤﻠﻪ ﺳﻌﻲ ﻣﻲﺷﻮد ﻛﻪ ﺣﻤﻠﻪ از ﻃﺮﻳﻖ اﻳﻨﺘﺮﻧﺖ ﺷﺒﻴﻪ ﺳﺎزي ﺷﻮد‪ .‬ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ‪،‬‬ ‫ﺗﻼش ﻣﻲﻛﻨﺪ ﺗﺎ در دﺳﺘﮕﺎهﻫﺎي دﻓﺎﻋﻲ ﺷﺒﻜﻪ از ﻗﺒﻴﻞ ﻓﺎﻳﺮوال‪ ،‬ﭘﺮوﻛﺴﻲ‪ ،‬ﻳﺎ روﺗﺮ آﺳﻴﺐ ﭘﺬﻳﺮي ﭘﻴﺪا ﻛﻨﺪ‪.‬‬ ‫ﺷﺒﻜﻪ راه دور ‪ :dial-up‬در اﻳﻦ ﺣﻤﻠﻪ ﺳﻌﻲ ﻣﻲﺷﻮد ﻛﻪ ﺑﻪ ﻣﻮدمﻫﺎي ﻣﺸﺘﺮي ﺣﻤﻠﻪ ﺷﻮد‪ ،War dialing .‬ﻓﺮآﻳﻨﺪ‬ ‫ﺗﻜﺮار ﺗﻤﺎس ﺑﺮاي ﻳﺎﻓﺘﻦ ﺳﻴﺴﺘﻢ ﺑﺎز اﺳﺖ‪.‬‬ ‫ﺷﺒﻜﻪ ﻣﺤﻠﻲ‪ :‬اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﺷﺨﺼﻲ را ﺷﺒﻴﻪ ﺳﺎزي ﻣﻲﻛﻨﺪ ﻛﻪ دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ و ﻏﻴﺮ ﻣﺠﺎز ﺑﻪ ﺷﺒﻜﻪ دارد‪ .‬ﺑﺮاي اﻧﺠﺎم‬ ‫اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ ﺑﺎﻳﺪ ﺑﻪ ﺷﺒﻜﻪ دﺳﺘﺮﺳﻲ ﻣﺴﺘﻘﻴﻢ داﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬ ‫ﺳﺮﻗﺖ ﺗﺠﻬﻴﺰات‪ :‬در اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﺳﺮﻗﺖ ﻣﻨﺎﺑﻊ اﻃﻼﻋﺎﺗﻲ ﻣﻬﻢ از ﻗﺒﻴﻞ ﻟﭗ ﺗﺎپﻫﺎي ﻛﺎرﻣﻨﺪان‪ ،‬ﺷﺒﻴﻪ ﺳﺎزي ﻣﻲﺷﻮد‪ .‬ﺑﺎ‬ ‫ﺳﺮﻗﺖ ﻟﭗ ﺗﺎپ‪ ،‬اﻃﻼﻋﺎﺗﻲ ﻫﻤﭽﻮن ﻧﺎم ﻛﺎرﺑﺮي‪ ،‬ﭘﺴﻮردﻫﺎ‪ ،‬ﺗﻨﻈﻴﻤﺎت اﻣﻨﻴﺘﻲ و اﻧﻮاع رﻣﺰﮔﺬاري ﺑﺪﺳﺖ ﻣﻲآﻳﺪ‪.‬‬ ‫‪14‬‬

‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ :‬اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﻛﺎرﻣﻨﺪان ﺳﺎزﻣﺎن را ﺑﺎ اﺳﺘﻔﺎده از ﺗﻠﻔﻦ ﻳﺎ ارﺗﺒﺎﻃﺎت رو در رو ﺑﺮاي ﺟﻤﻊآوري‬ ‫اﻃﻼﻋﺎت ﻣﻮرد ﻧﻴﺎز ﺣﻤﻠﻪ‪ ،‬ﻣﻮرد ارزﻳﺎﺑﻲ ﻗﺮار ﻣﻲدﻫﻨﺪ‪ .‬ﺣﻤﻼت ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬ﺑﺮاي ﺑﺪﺳﺖ آوردن ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي‪،‬‬ ‫ﭘﺴﻮردﻫﺎ‪ ،‬ﻳﺎ دﻳﮕﺮ اﻃﻼﻋﺎت اﻣﻨﻴﺘﻲ ﺳﺎزﻣﺎﻧﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫ورود ﻓﻴﺰﻳﻜﻲ‪ :‬اﻳﻦ ﺣﻤﻠﻪ ﺗﻼش ﻣﻲﻛﻨﺪ ﺗﺎ ﻣﺤﻴﻂ ﻓﻴﺰﻳﻜﻲ ﺳﺎزﻣﺎن را ﺑﻪ ﺧﻄﺮ ﺑﻴﺎﻧﺪازد‪ .‬ﻳﻌﻨﻲ ﺑﺎ دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﺑﻪ‬ ‫آن‪ ،‬ﻣﻲﺗﻮاﻧﺪ وﻳﺮوسﻫﺎ‪ ،‬ﺗﺮوﺟﺎنﻫﺎ‪rootkit ،‬ﻫﺎ ﻳﺎ ‪key logger‬ﻫﺎي ﺳﺨﺖاﻓﺰاري را ﺑﺮ روي ﺳﻴﺴﺘﻢﻫﺎي ﺷﺒﻜﻪ ﻫﺪف‬ ‫ﻧﺼﺐ ﻛﻨﺪ‪.‬‬

‫اﻧﻮاع ﺗﺴﺖ‬ ‫ﺗﺴﺖ اﻣﻨﻴﺘﻲ‪ ،‬اوﻟﻴﻦ ﻛﺎر ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ اﺳﺖ‪ .‬ﻣﻤﻜﻦ اﺳﺖ اﻳﻦ ﺗﺴﺖﻫﺎ در ﺣﺎﻟﺘﻲ ﺑﺎﺷﺪ ﻛﻪ ﻫﻜﺮﻫﺎ ﻫﻴﭻ داﻧﺶ‬ ‫ﻳﺎ داﻧﺶ ﺟﺰﺋﻲ در ﻣﻮرد ﻫﺪف ﻣﻮرد ارزﻳﺎﺑﻲ )‪ (target of evaluation‬داﺷﺘﻪ ﺑﺎﺷﻨﺪ و ﻳﺎ اﻳﻨﻜﻪ ﻫﻤﻪ اﻃﻼﻋﺎت ﻻزم را‬ ‫داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬

‫ﺗﺴﺖ ﺑﺪون داﻧﺶ )ﺟﻌﺒﻪ ﺳﻴﺎه(‬ ‫ﺗﺴﺘﻲ ﻛﻪ ﺑﺪون ﻫﻴﭻ داﻧﺸﻲ ﺻﻮرت ﻣﻲﮔﻴﺮد ﺑﺎ ﻧﺎم ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه )‪ (Black box‬ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪ .‬ﺑﻪ ﺑﻴﺎﻧﻲ‬ ‫ﺳﺎدهﺗﺮ‪ ،‬ﺗﻴﻢ اﻣﻨﻴﺘﻲ ﻫﻴﭻ داﻧﺸﻲ در ﻣﻮرد ﺷﺒﻜﻪ ﻳﺎ ﺳﻴﺴﺘﻢﻫﺎي ﻫﺪف ﻧﺪارﻧﺪ‪ .‬ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه‪ ،‬ﻳﻚ ﻫﻜﺮ ﺧﺎرﺟﻲ را‬ ‫ﺷﺒﻴﻪ ﺳﺎزي ﻣﻲﻛﻨﺪ ﻛﻪ ﻫﻴﭻ داﻧﺸﻲ در ﻣﻮرد ﺷﺒﻜﻪ ﻳﺎ ﺳﻴﺴﺘﻢﻫﺎي ﻫﺪف ﻧﺪارد‪ .‬ﺣﻤﻠﻪ ﻛﻨﻨﺪه ﺑﺎﻳﺴﺘﻲ ﻫﻤﻪ اﻃﻼﻋﺎت را‬ ‫در ﻣﻮرد ﻫﺪف ﺑﺪﺳﺖ آورد‪ .‬ﻣﺰاﻳﺎي ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫
‬

‫ﺗﺴﺖ واﻗﻌﻲ اﻣﻨﻴﺖ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﻃﺮاح ﺷﺒﻜﻪ و ﺗﺴﺖ ﻛﻨﻨﺪه ﻣﺴﺘﻘﻞ از ﻳﻜﺪﻳﮕﺮﻧﺪ‪.‬‬

‫
‬

‫ﺗﺴﺖ ﻛﻨﻨﺪه‪ ،‬داﻧﺶ ﻗﺒﻠﻲ از ﺷﺒﻜﻪ ﻫﺪف ﻧﺪارد‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬اﻳﺪهﻫﺎ ﻳﺎ اﻓﻜﺎر ﻗﺒﻠﻲ در ﻣﻮرد ﻋﻤﻠﻜﺮد ﺷﺒﻜﻪ ﻧﺪارد‪.‬‬

‫
‬

‫ﺗﺴﺖ‪ ،‬ﻫﺪف را از دﻳﺪ ﺣﻤﻠﻪ ﻛﻨﻨﺪه ﺧﺎرﺟﻲ آزﻣﺎﻳﺶ ﻣﻲﻛﻨﺪ‪.‬‬

‫ﻣﻌﺎﻳﺐ ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫
‬

‫زﻣﺎن ﺑﻴﺸﺘﺮي ﺑﺮاي ﺗﺴﺖﻫﺎي اﻣﻨﻴﺘﻲ ﺻﺮف ﻣﻲﻛﻨﺪ‪.‬‬

‫
‬

‫ﻣﻌﻤﻮﻻ ﺑﺴﻴﺎر ﮔﺮان ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ زﻣﺎن ﺑﻴﺸﺘﺮي را ﺻﺮف ﻣﻲﻛﻨﻨﺪ‪.‬‬

‫
‬

‫ﺗﻨﻬﺎ ﺑﺮ روي آﻧﭽﻪ ﻛﻪ ﻫﻜﺮﻫﺎي ﺧﺎرﺟﻲ ﻣﻲﺑﻴﻨﻨﺪ ﺗﻤﺮﻛﺰ ﻣﻲﻛﻨﺪ در ﺣﺎﻟﻴﻜﻪ در واﻗﻌﻴﺖ‪ ،‬اﻏﻠﺐ ﻫﻜﺮﻫﺎ ﺗﻮﺳﻂ‬ ‫ﻛﺎرﻣﻨﺪان داﺧﻠﻲ ﺷﺮوع ﺑﻪ ﻛﺎر ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫‪15‬‬

‫ﺗﺴﺖ ﺑﺎ داﻧﺶ ﻛﺎﻣﻞ )ﺟﻌﺒﻪ ﺳﻔﻴﺪ(‬ ‫ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻔﻴﺪ‪ ،‬روﻳﻜﺮد ﻣﺘﻀﺎد در ﺑﺮاﺑﺮ ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه دارد‪ .‬اﻳﻦ ﺷﻜﻞ از ﺗﺴﺖ اﻣﻨﻴﺘﻲ‪ ،‬ﻓﺮض ﻣﻲﺷﻮد ﻛﻪ‬ ‫ﺗﺴﺖ ﻛﻨﻨﺪه اﻣﻨﻴﺘﻲ‪ ،‬داﻧﺶ ﻛﺎﻣﻞ از ﺷﺒﻜﻪ‪ ،‬ﺳﻴﺴﺘﻢﻫﺎ و زﻳﺮﺳﺎﺧﺖ دارد‪ .‬اﻳﻦ اﻃﻼﻋﺎت ﺑﻪ ﺗﺴﺖ ﻛﻨﻨﺪه اﺟﺎزه ﻣﻲدﻫﺪ‬ ‫روﻳﻜﺮد ﺳﺎﺧﺖ ﻳﺎﻓﺘﻪ داﺷﺘﻪ ﺑﺎﺷﺪ و ﺗﻨﻬﺎ ﺑﺮ روي اﻃﻼﻋﺎت ﻣﻮﺟﻮد اﻛﺘﻔﺎ ﻧﻜﻨﺪ و ﺻﺤﺖ و دﻗﺖ آﻧﻬﺎ را ﻫﻢ ﺑﺮرﺳﻲ ﻛﻨﺪ‪.‬‬ ‫ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻫﺮ ﭼﻨﺪ ﻛﻪ ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻴﺎه زﻣﺎن ﺑﻴﺸﺘﺮي ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت ﻣﻲﮔﻴﺮد‪ ،‬ﺗﺴﺖ ﺟﻌﺒﻪ ﺳﻔﻴﺪ آن زﻣﺎن را‬ ‫ﺑﺮاي ﻳﺎﻓﺘﻦ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ ﺻﺮف ﻣﻲﻛﻨﺪ‪.‬‬

‫ﺗﺴﺖ ﺑﺎ داﻧﺶ ﺟﺰﺋﻲ )ﺟﻌﺒﻪ ﺧﺎﻛﺴﺘﺮي(‬ ‫در دﻧﻴﺎي ﺗﺴﺖ ﻧﺮماﻓﺰار‪ ،‬ﺗﺴﺖ ﺟﻌﺒﻪ ﺧﺎﻛﺴﺘﺮي‪ ،‬ﺑﻪ ﻋﻨﻮان ﺗﺴﺖ ﺑﺎ داﻧﺶ ﺟﺰﺋﻲ ﺗﻠﻘﻲ ﻣﻲﺷﻮد‪ .‬در اﻳﻦ ﺗﺴﺖ‪،‬‬ ‫ﻫﺪف اﻳﻦ اﺳﺖ ﻛﻪ ﺑﺪاﻧﻴﻢ ﻛﺎرﻣﻨﺪان ﭼﻪ ﭼﻴﺰي را ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ دﺳﺖ آورﻧﺪ‪ .‬اﻳﻦ ﻧﻮع ﺗﺴﺖ‪ ،‬ﻣﻤﻜﻦ اﺳﺖ ﺑﺮاي ﺳﺎزﻣﺎنﻫﺎ‬ ‫ﺑﺴﻴﺎر ﻣﻔﻴﺪ ﺑﺎﺷﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺴﻴﺎري از ﺣﻤﻼت ﺗﻮﺳﻂ ﻛﺎرﻣﻨﺪان داﺧﻞ ﺳﺎزﻣﺎن ﺷﺮوع ﻣﻲﺷﻮﻧﺪ‪.‬‬

‫‪16‬‬

‫ﮔﺰارش ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ‬ ‫ﮔﺰارش ﺑﺎﻳﺪ ﺷﺎﻣﻞ ﺟﺰﺋﻴﺎت ﻧﺘﺎﻳﺞ ﺑﺪﺳﺖ آﻣﺪه ﺑﺎﺷﺪ‪ .‬آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ ﺑﺎﻳﺪ ﺑﻪ ﻋﻨﻮان رﻳﺴﻚ ﺑﺤﺚ ﺷﻮﻧﺪ‪ .‬ﮔﺰارش‬ ‫ﺑﺎﻳﺪ ﺷﺎﻣﻞ ﻧﺘﺎﻳﺞ ارزﻳﺎﺑﻲ ﺑﻪ ﺻﻮرت ﺳﺎده‪ ،‬ﻗﺎﺑﻞ ﻓﻬﻢ‪ ،‬و ﻗﺎﺑﻞ ردﮔﻴﺮي ﺑﺎﺷﺪ‪ .‬ﺑﺎﻳﺴﺘﻲ ﮔﺰارش ﺑﺼﻮرت ﻓﺮاﮔﻴﺮ و ﺧﻮدآﻣﻮز‬ ‫ﺑﺎﺷﺪ‪ .‬اﻏﻠﺐ ﮔﺰارﺷﺎت ﺷﺎﻣﻞ ﺑﺨﺶﻫﺎي زﻳﺮ ﻫﺴﺘﻨﺪ‪:‬‬ ‫ ﻣﻘﺪﻣﻪ‬ ‫ ﺑﻴﺎن ﻛﺎرﻫﺎي اﻧﺠﺎم ﺷﺪه‬ ‫ ﻧﺘﺎﻳﺞ‬ ‫ ﭘﻴﺸﻨﻬﺎدات‬ ‫از آﻧﺠﺎﺋﻴﻜﻪ ﺑﺴﻴﺎري از ﺷﺮﻛﺖﻫﺎ‪ ،‬ﺑﻨﺎﺑﺮ دﻻﻳﻞ ﻣﺎﻟﻲ ﻧﻤﻲﺗﻮاﻧﻨﺪ ﻫﻤﻪ ﭼﻴﺰ را اﻣﻦ ﻛﻨﻨﺪ‪ ،‬ﻟﺬا ﺑﺎﻳﺴﺘﻲ ﭘﻴﺸﻨﻬﺎدات‬ ‫ﺑﺼﻮرت رﻳﺴﻚ ﭘﺮ ﺧﻄﺮ ﺗﺎ ﻛﻢ ﺧﻄﺮ ﻣﺮﺗﺐ ﺷﻮﻧﺪ‪ .‬ﻳﻌﻨﻲ رﻳﺴﻚﻫﺎي ﻣﻬﻢﺗﺮ در ﺑﺎﻻي ﻟﻴﺴﺖ ﻗﺮار ﮔﻴﺮﻧﺪ‪.‬‬ ‫ﺑﺎﻳﺴﺘﻲ ﮔﺰارش را ﺑﺼﻮرت ﻛﺎﻣﻼ اﻣﻦ در ﻳﻚ وﺳﻴﻠﻪ ذﺧﻴﺮهﺳﺎزي اﻟﻜﺘﺮوﻧﻴﻜﻲ ذﺧﻴﺮه ﻛﻨﻴﺪ و از رﻣﺰﮔﺬاري‬ ‫اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪ .‬ﻧﺴﺨﻪ ﭼﺎﭘﻲ از ﮔﺰارش ﺑﺼﻮرت ﻣﺤﺮﻣﺎﻧﻪ ﺑﺮﭼﺴﺐ ﮔﺬاري ﺷﻮد و ﻣﺮاﻗﺒﺖﻫﺎي ﻛﺎﻓﻲ از آن ﺑﺮاي ﺟﻠﻮﮔﻴﺮي‬ ‫از دﺳﺘﺮﺳﻲ اﺷﺨﺎص ﻏﻴﺮ ﻣﺠﺎز ﺑﻪ ﻋﻤﻞ آﻳﺪ‪.‬‬

‫‪17‬‬

‫ﻓﺼﻞ دوم‬

‫ﺟﻤﻊ آوري اﻃﻼﻋﺎت و ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‬

‫ﻣﻘﺪﻣﻪ‬ ‫اﻳﻦ ﻓﺼﻞ در ﻣﻮرد اوﻟﻴﻦ ﺑﺨﺶ از ﻓﺮآﻳﻨﺪ ﻫﻚ ﻛﻪ ﺟﻤﻊآوري اﻃﻼﻋﺎت )‪ (footprinting‬اﺳﺖ ﺑﺤﺚ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،footprinting‬ﻓﺮآﻳﻨﺪ ﺟﻤﻊآوري ﺗﻤﺎم اﻃﻼﻋﺎت ﻗﺎﺑﻞ دﺳﺘﺮس در ﻣﻮرد ﻳﻚ ﺳﺎزﻣﺎن اﺳﺖ‪ .‬اﻳﻦ اﻃﻼﻋﺎت ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي‬ ‫ﻓﺮآﻳﻨﺪ ﻫﻚ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪ .‬ﮔﺎﻫﻲ اوﻗﺎت‪ ،‬اﻳﻦ اﻃﻼﻋﺎت ﺑﺮاي اﻧﺠﺎم ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻧﻴﺰ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲﮔﻴﺮﻧﺪ‪.‬‬ ‫در اﻳﻦ ﻓﺼﻞ در ﻣﻮرد ﻫﺮ دو روش ﻫﻚ ﺑﻪ ﺗﻔﺼﻴﻞ ﺗﻮﺿﻴﺢ ﺧﻮاﻫﻴﻢ داد‪.‬‬

‫‪Footprinting‬‬ ‫‪ ،Footprinting‬ﺑﺨﺸﻲ از ﻣﺮﺣﻠﻪ ﭘﻴﺶ از ﺣﻤﻠﻪ اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﺟﻤﻊآوري اﻃﻼﻋﺎت ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﻣﻌﻤﺎري و ﻣﺤﻴﻂ‬ ‫ﻫﺪف ﻣﻲﺑﺎﺷﺪ و ﻣﻌﻤﻮﻻ ﺑﺮاي ﻳﺎﻓﺘﻦ روﺷﻲ ﺟﻬﺖ ﻧﻔﻮذ ﺑﻪ ﻣﺤﻴﻂ‪ ،‬اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ ،Footprinting .‬آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي‬ ‫ﺳﻴﺴﺘﻢ را ﻛﺸﻒ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ‪ ،‬ﺳﺎدهﺗﺮﻳﻦ روش ﺑﺮاي ﻫﻜﺮﻫﺎ ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت در ﻣﻮرد ﺳﻴﺴﺘﻢﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮي‬ ‫ﻫﺪف اﺳﺖ‪ .‬ﻫﺪف اﻳﻦ ﻣﺮﺣﻠﻪ اﻳﻦ اﺳﺖ ﻛﻪ ﺗﺎ ﺟﺎﺋﻴﻜﻪ اﻣﻜﺎن دارد در ﻣﻮرد ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﭘﻮرتﻫﺎ و ﺳﺮوﻳﺲﻫﺎ‪ ،‬و ﺟﻨﺒﻪﻫﺎي‬ ‫اﻣﻨﻴﺘﻲ آﻧﻬﺎ اﻃﻼﻋﺎت ﻛﺴﺐ ﻛﻨﻴﻢ‪.‬‬

‫ﺗﻌﺮﻳﻒ ‪Footprinting‬‬ ‫‪ ،Footprinting‬ﻓﺮآﻳﻨﺪ ﺳﺎﺧﺖ ﻧﻘﺸﻪاي از ﺷﺒﻜﻪ ﺳﺎزﻣﺎن و ﺳﻴﺴﺘﻢﻫﺎ اﺳﺖ‪ Footprinting .‬ﺑﺎ ﺗﻌﻴﻴﻦ ﺳﻴﺴﺘﻢ‪،‬‬ ‫ﺑﺮﻧﺎﻣﻪ‪ ،‬ﻳﺎ ﻣﻜﺎن ﻓﻴﺰﻳﻜﻲ ﻣﻘﺼﺪ ﺷﺮوع ﻣﻲﺷﻮد‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬وب ﺳﺎﻳﺖ ﺳﺎزﻣﺎن‪ ،‬اﻃﻼﻋﺎت ﭘﺮﺳﻨﻞ را دارد و ﻣﻲﺗﻮاﻧﺪ ﺑﻪ‬ ‫ﻫﻜﺮ ﺟﻬﺖ اﻧﺠﺎم ﺣﻤﻠﻪ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻛﻤﻚ ﻛﻨﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮ ﺑﺎ اﺳﺘﻔﺎده از ﺟﺴﺘﺠﻮي ﮔﻮﮔﻞ ﻳﺎ‬ ‫ﻳﺎﻫﻮ‪ ،‬اﻃﻼﻋﺎت ﻛﺎرﻛﻨﺎن آن ﺳﺎزﻣﺎن را ﺑﺪﺳﺖ آورد‪.‬‬

‫‪19‬‬

‫ﻣﻮﺗﻮر ﺟﺴﺘﺠﻮي ﮔﻮﮔﻞ‪ ،‬روﺷﻲ ﺧﻼﻗﺎﻧﻪ ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت اﺳﺖ‪ .‬اﺳﺘﻔﺎده از ﻣﻮﺗﻮر ﺟﺴﺘﺠﻮي ﮔﻮﮔﻞ ﺑﺮاي‬ ‫ﺑﺎزﻳﺎﺑﻲ اﻃﻼﻋﺎت‪ ،‬ﺑﻪ ﻋﻨﻮان ‪ Google hacking‬ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪ http://groups.google.com .‬ﺑﺮاي ﺟﺴﺘﺠﻮ درﺑﺎره‬ ‫ﮔﺮوهﻫﺎي ﺧﺒﺮي ﮔﻮﮔﻞ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬ﻫﻤﭽﻨﻴﻦ ‪ http://people.yahoo.com‬و ‪ http://www.intellius.com‬ﺑﺮاي‬ ‫ﭘﻴﺪا ﻛﺮدن اﻃﻼﻋﺎت اﻓﺮاد ﺑﻪ ﻛﺎر ﻣﻲروﻧﺪ‪ .‬از دﺳﺘﻮرات زﻳﺮ ﻣﻲﺗﻮان ﺑﺮاي ‪ Google hacking‬اﺳﺘﻔﺎده ﻛﺮد‪:‬‬ ‫•‬

‫‪ ،Site‬داﺧﻞ ﺳﺎﻳﺖ ﻳﺎ داﻣﻴﻦ را ﺟﺴﺘﺠﻮ ﻣﻲﻛﻨﺪ‪ .‬وب ﺳﺎﻳﺖ ﻳﺎ داﻣﻴﻦ ﻣﻮرد ﺟﺴﺘﺠﻮ ﺑﺎﻳﺪ ﺑﻌﺪ از ﻛﻮﻟﻦ ﺑﻨﻮﻳﺴﻴﺪ‪.‬‬

‫•‬

‫‪ ،Filetype‬ﺟﺴﺘﺠﻮ را ﻓﻘﻂ ﺑﺮاي ﻧﻮع ﺧﺎﺻﻲ از ﻓﺎﻳﻞ اﻧﺠﺎم ﻣﻲدﻫﺪ‪ ،‬ﺑﺎﻳﺪ ﻧﻮع ﻓﺎﻳﻞ را ﺑﻌﺪ از ﻛﻮﻟﻦ ﺑﻨﻮﻳﺴﻴﺪ‪.‬‬

‫•‬

‫‪ ،Link‬داﺧﻞ ‪hyperlink‬ﻫﺎ‪ ،‬ﻳﻚ ﻛﻠﻤﻪ را ﺟﺴﺘﺠﻮ و ﺻﻔﺤﺎت ﻟﻴﻨﻚ ﺷﺪه را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ‪.‬‬

‫•‬

‫‪ ،Cache‬ﻧﺴﺨﻪ ﻳﻚ ﺻﻔﺤﻪ وب را ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‪ .‬آدرس ﺳﺎﻳﺖ را ﺑﺎﻳﺪ ﺑﻌﺪ از ﻛﻮﻟﻦ ذﻛﺮ ﻛﻨﻴﺪ‪.‬‬

‫•‬

‫‪ ،Intitle‬ﺑﻪ دﻧﺒﺎل ﻛﻠﻤﻪاي در داﺧﻞ ﻋﻨﻮان ﻳﻚ ﻓﺎﻳﻞ ﻣﻲﮔﺮدد‪.‬‬

‫•‬

‫‪ ،Inurl‬ﺗﻨﻬﺎ داﺧﻞ آدرس ﻳﻚ ﻓﺎﻳﻞ ﺟﺴﺘﺠﻮ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎﻳﺪ ﻛﻠﻤﻪ ﻣﻮرد ﺟﺴﺘﺠﻮ را ﺑﻌﺪ از ﻛﻮﻟﻦ ذﻛﺮ ﻛﻨﻴﺪ‪.‬‬ ‫ﺑﺮاي ﻣﺜﺎل‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از دﺳﺘﻮر زﻳﺮ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ اﻧﻮاع ﻣﺸﺨﺺ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺑﺮﻧﺎﻣﻪﻫﺎي وب اﺳﺘﻔﺎده‬

‫ﻛﻨﺪ‪INURL: [“parameter=”] with FILETYPE: [ext] and INURL: [scriptname] :‬‬ ‫و ﻳﺎ اﻳﻨﻜﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از ﻋﺒﺎرت زﻳﺮ ﺑﺮاي ﺳﺮورﻫﺎي ‪ Novell BorderManager‬اﺳﺘﻔﺎده ﻛﻨﺪ‪:‬‬ ‫”‪Intiltle: “BorderManager information alert‬‬

‫ﺑﺮاي ﭘﻴﺪا ﻛﺮدن اﻃﻼﻋﺎﺗﻲ درﺑﺎره ﻳﻚ ﺷﺮﻛﺖ ﻳﺎ ﭘﺮﺳﻨﻞ‪ ،‬ﻣﻲﺗﻮان از ﮔﺮوهﻫﺎي ﺧﺒﺮي‪ ،‬اﺧﺒﺎر ﻣﻨﺘﺸﺮ ﺷﺪه و‬ ‫ﺑﻼگﻫﺎ اﺳﺘﻔﺎده ﻛﺮد‪ .‬ﭘﺴﺖﻫﺎي ﺷﻐﻠﻲ ﺳﺎزﻣﺎﻧﻲ ﻣﻲﺗﻮاﻧﻨﺪ اﻃﻼﻋﺎﺗﻲ در ﻣﻮرد ﻧﻮع ﺳﺮورﻫﺎ ﻳﺎ دﺳﺘﮕﺎهﻫﺎي زﻳﺮﺳﺎﺧﺘﻲ‬ ‫ﺷﺒﻜﻪ ﺷﺮﻛﺖ ﺑﻪ ﺷﻤﺎ ﺑﺪﻫﻨﺪ‪.‬‬ ‫اﻃﻼﻋﺎت دﻳﮕﺮي ﻛﻪ ﻣﻲﺗﻮان در اﻳﻦ ﻣﺮﺣﻠﻪ در ﻣﻮرد ﻫﺪف ﺑﻪ دﺳﺖ آورد ﻋﺒﺎرﺗﻨﺪ از‪ :‬ﺗﻜﻨﻮﻟﻮژيﻫﺎي اﻳﻨﺘﺮﻧﺘﻲ‪،‬‬ ‫ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و ﺳﺨﺖاﻓﺰارﻫﺎي ﻣﻮرد اﺳﺘﻔﺎده‪ ،‬آدرسﻫﺎي ‪ IP‬ﻓﻌﺎل‪ ،‬آدرسﻫﺎي ﭘﺴﺖ اﻟﻜﺘﺮوﻧﻴﻜﻲ و ﺷﻤﺎره ﺗﻠﻔﻦﻫﺎ‪ ،‬و‬ ‫ﺳﻴﺎﺳﺖﻫﺎ و ﻓﺮآﻳﻨﺪﻫﺎي ﺳﺎزﻣﺎﻧﻲ اﺳﺖ‪.‬‬ ‫ﻫﻜﺮ‪ %90 ،‬از زﻣﺎن را ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت ﺑﺮ روي ﻫﺪف و ‪ %10‬دﻳﮕﺮ را ﺑﺮ روي اﻧﺠﺎم ﺣﻤﻠﻪ ﺻﺮف ﻣﻲﻛﻨﺪ‪.‬‬

‫‪20‬‬

‫ﻣﺘﺪﻟﻮژيﻫﺎي ﺟﻤﻊآوري اﻃﻼﻋﺎت‬ ‫ﺟﻤﻊآوري اﻃﻼﻋﺎت‪ ،‬ﺑﻪ ﻫﻔﺖ ﻣﺮﺣﻠﻪ ﺗﻘﺴﻴﻢ ﻣﻲﺷﻮد‪ .‬ﻓﺮآﻳﻨﺪ ‪ ،footprinting‬در ﻃﻮل دو ﻣﺮﺣﻠﻪ اول اﻧﺠﺎم‬ ‫ﻣﻲﺷﻮد‪ .‬ﺑﺮﺧﻲ از ﻣﻨﺎﺑﻌﻲ ﻛﻪ ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪Domain name lookup‬‬ ‫‪Whois‬‬ ‫‪Nslookup‬‬ ‫‪Sam Spade‬‬

‫ﻫﻔﺖ ﻣﺮﺣﻠﻪ ﺟﻤﻊآوري اﻃﻼﻋﺎت‬ ‫ﻗﺒﻞ از اﻳﻨﻜﻪ در ﻣﻮرد اﻳﻦ اﺑﺰارﻫﺎ ﺑﺤﺚ ﻛﻨﻴﻢ‪ ،‬ﺑﻪ ﺧﺎﻃﺮ داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﻛﻪ اﻃﻼﻋﺎت ﺑﺎز ﻣﻮﺟﻮد‪ ،‬اﻃﻼﻋﺎت ﺑﺎ ارزﺷﻲ‬ ‫در ﻣﻮرد ﻫﺪف ﻫﺴﺘﻨﺪ از ﻗﺒﻴﻞ ﺷﻤﺎره ﺗﻠﻔﻦﻫﺎ و آدرسﻫﺎ‪ .‬اﻧﺠﺎم ‪ ،whois‬ﺟﺴﺘﺠﻮي ﺟﺪاول ‪ ،DNS‬و اﺳﻜﻦ آدرسﻫﺎي‬ ‫‪ IP‬ﺑﺮاي ﭘﻮرتﻫﺎي ﺑﺎز‪ ،‬ﻣﺜﺎلﻫﺎﻳﻲ از اﻃﻼﻋﺎت ﺑﺎز ﻫﺴﺘﻨﺪ‪ .‬ﺑﺴﻴﺎري از اﻳﻦ اﻃﻼﻋﺎت‪ ،‬از ﻃﺮﻳﻖ روشﻫﺎي ﻗﺎﻧﻮﻧﻲ ﻗﺎﺑﻞ‬ ‫دﺳﺘﺮس ﻫﺴﺘﻨﺪ‪.‬‬ ‫‪21‬‬

‫ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي ‪ Footprinting‬ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪Whois‬‬ ‫‪Nslookup‬‬ ‫‪ARIN‬‬ ‫‪Neo Trace‬‬ ‫‪VisualRoute Trace‬‬ ‫‪SmartWhois‬‬ ‫‪eMailTracker Pro‬‬ ‫‪Website watcher‬‬ ‫‪Google Earth‬‬ ‫‪GEO Spider‬‬ ‫‪HTTrack Web Copier‬‬ ‫‪E-Mail Spider‬‬

‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬

‫‪DNS Enumeration‬‬ ‫ﻓﺮآﻳﻨﺪ ﻳﺎﻓﺘﻦ ﻫﻤﻪ ﺳﺮورﻫﺎي ‪ DNS‬و رﻛﻮردﻫﺎي ﻣﺮﺑﻮﻃﻪ ﺑﺮاي ﻳﻚ ﺳﺎزﻣﺎن را ‪ DNS Enumeration‬ﻣﻲﻧﺎﻣﻨﺪ‪.‬‬ ‫ﻣﻤﻜﻦ اﺳﺖ ﺳﺎزﻣﺎﻧﻲ ﻫﻢ ﺳﺮورﻫﺎي ‪ DNS‬داﺧﻠﻲ و ﻫﻢ ﺧﺎرﺟﻲ داﺷﺘﻪ ﺑﺎﺷﺪ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ ﻧﺎمﻫﺎي‬ ‫ﻛﺎرﺑﺮي‪ ،‬ﻧﺎمﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮ‪ ،‬و آدرسﻫﺎي ‪ IP‬ﺳﻴﺴﺘﻢﻫﺎ را اراﺋﻪ دﻫﺪ‪.‬‬ ‫اﺑﺰارﻫﺎﻳﻲ از ﻗﺒﻴﻞ ‪ ،ARIN ،DNSstuff ،NSlookup‬و ‪ Whois‬ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺮاي ﺑﺪﺳﺖ آوردن اﻃﻼﻋﺎﺗﻲ ﻛﻪ ﺑﺮاي‬ ‫‪ DNS enumeration‬اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪ ،‬ﺑﻪ ﻛﺎر روﻧﺪ‪.‬‬

‫‪ Nslookup‬و ‪DNSstuff‬‬ ‫ﻳﻜﻲ از اﺑﺰارﻫﺎي ﻗﺪرﺗﻤﻨﺪي ﻛﻪ ﺑﺎﻳﺪ ﺑﺎ آن آﺷﻨﺎ ﺑﺎﺷﻴﺪ‪ nslookup ،‬اﺳﺖ‪ .‬اﻳﻦ اﺑﺰار‪ ،‬از ﺳﺮورﻫﺎي ‪ DNS‬ﺑﺮاي‬ ‫اﻃﻼﻋﺎت رﻛﻮرد‪ ،‬ﻛﻮﺋﺮي ﻣﻲﮔﻴﺮد و در ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎي وﻳﻨﺪوز‪ ،‬ﻟﻴﻨﻮﻛﺲ‪ ،‬و ﻳﻮﻧﻴﻜﺲ وﺟﻮد دارد‪ .‬اﺑﺰارﻫﺎي ﻫﻚ از‬ ‫ﺟﻤﻠﻪ ‪ ،Sam Spade‬داراي اﺑﺰار ‪ nslookup‬ﻫﺴﺘﻨﺪ‪.‬‬ ‫ﺑﺎ اﻃﻼﻋﺎت ﺟﻤﻊآوري ﺷﺪه از ‪ ،Whois‬ﻣﻲﺗﻮاﻧﻴﺪ از ‪ nslookup‬ﺑﺮاي ﻳﺎﻓﺘﻦ آدرسﻫﺎي ‪ IP‬ﺳﺮورﻫﺎ و‬ ‫ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي‬

‫دﻳﮕﺮ‬

‫اﺳﺘﻔﺎده‬

‫ﻛﻨﻴﺪ‪.‬‬

‫ﺑﺎ‬

‫اﺳﺘﻔﺎده‬

‫از‬

‫اﻃﻼﻋﺎت ‪name server‬ﻫﺎي‬

‫)‪ ،(AUTH1.NS.NY1.NET‬ﻣﻲﺗﻮاﻧﻴﺪ آدرس ‪ IP‬ﺳﺮور اﻳﻤﻴﻞ را ﺑﺪﺳﺖ آورﻳﺪ‪.‬‬

‫‪22‬‬

‫اﺻﻠﻲ‬

‫از ‪Whois‬‬

‫اﺑﺰارﻫﺎي زﻳﺎدي وﺟﻮد دارﻧﺪ ﻛﻪ ﻛﺎر ﻫﻚ را ﺳﺎده ﻛﺮدهاﻧﺪ‪ ،DNSstuff .‬ﻳﻜﻲ از اﻳﻦ اﺑﺰارﻫﺎ اﺳﺖ‪ .‬ﺑﻪ ﺟﺎي اﺳﺘﻔﺎده‬ ‫از اﺑﺰار دﺳﺘﻮري ‪ nslookup‬ﺑﺎ ﭘﺎراﻣﺘﺮﻫﺎ و ﺳﻮﺋﻴﭻﻫﺎي ﻓﺮاوان‪ ،‬ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت رﻛﻮرد ‪ ،DNS‬ﺗﻨﻬﺎ ﻛﺎﻓﻴﺴﺖ ﺑﻪ‬ ‫وب ﺳﺎﻳﺖ ‪ http://www.dnsstuff.com‬ﺑﺮوﻳﺪ و ﺟﺴﺘﺠﻮي آﻧﻼﻳﻦ رﻛﻮرد ‪ DNS‬را اﻧﺠﺎم دﻫﻴﺪ‪ .‬ﺷﻜﻞ زﻳﺮ‪ ،‬ﻣﺜﺎﻟﻲ از‬ ‫ﺟﺴﺘﺠﻮي رﻛﻮرد ‪ DNS‬را ﺑﺮاي ﺳﺎﻳﺖ ‪ http://www.eccouncil.org‬ﺑﺎ اﺳﺘﻔﺎده از ‪ DNSstuff.com‬ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬ ‫اﻳﻦ ﺟﺴﺘﺠﻮ‪ ،‬ﺗﻤﺎم رﻛﻮردﻫﺎي ﻣﺴﺘﻌﺎر ﺑﺮاي ‪ http://www.eccouncil.org‬و آدرس ‪ IP‬ﺳﺮور وب را ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬ ‫ﺣﺘﻲ ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ ﺗﻤﺎم ‪name server‬ﻫﺎ و آدرسﻫﺎي ‪ IP‬ﻣﺮﺑﻮﻃﻪ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻴﺪ‪.‬‬

‫ﻣﻔﻬﻮم ‪ Whois‬و ‪ARIN Lookup‬‬ ‫اﺑﺘﺪا‪ Whois ،‬از ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﻮﻧﻴﻜﺲ آﻏﺎز ﺷﺪ اﻣﺎ اﻛﻨﻮن در ﺑﺴﻴﺎري از ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎ و اﺑﺰارﻫﺎي ﻫﻚ‪ ،‬ﺑﺮ‬ ‫روي اﻳﻨﺘﺮﻧﺖ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬اﻳﻦ اﺑﺰار‪ ،‬ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ ﻛﻪ ﭼﻪ ﻛﺴﻲ ﻧﺎم داﻣﻴﻨﻲ ﻛﻪ ﺑﺮاي وب ﺳﺎﻳﺖ ﻳﺎ اﻳﻤﻴﻞ‬ ‫اﺳﺘﻔﺎده ﻣﻲﺷﻮد را ﺛﺒﺖ ﻛﺮده اﺳﺖ‪.‬‬ ‫ﺳﺎزﻣﺎن ‪ ،ICANN‬ﺑﻪ اﺳﺎﻣﻲ داﻣﻴﻦ ﻧﻴﺎز دارد ﺗﺎ ﻣﻄﻤﺌﻦ ﺷﻮد ﺗﻨﻬﺎ ﻳﻚ ﺷﺮﻛﺖ از آن ﻧﺎم داﻣﻴﻦ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪.‬‬ ‫اﺑﺰار ‪ ،Whois‬از ﭘﺎﻳﮕﺎه داده ﻛﻮﺋﺮي ﻣﻲﮔﻴﺮد ﺗﺎ اﻃﻼﻋﺎت ﺗﻤﺎس درﺑﺎره اﻓﺮاد ﻳﺎ ﺳﺎزﻣﺎﻧﻲ ﻛﻪ داﻣﻴﻦ ﺛﺒﺖ ﻛﺮده اﺳﺖ را‬ ‫ﺑﺎزﻳﺎﺑﻲ ﻛﻨﺪ‪.‬‬ ‫‪ Whois) Smart Whois‬ﻫﻮﺷﻤﻨﺪ( ﺑﺮﻧﺎﻣﻪ ﺟﻤﻊآوري اﻃﻼﻋﺎت اﺳﺖ ﻛﻪ ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲدﻫﺪ ﺗﻤﺎم اﻃﻼﻋﺎت در‬ ‫دﺳﺘﺮس درﺑﺎره آدرسﻫﺎي ‪ ،IP‬ﻧﺎم دﺳﺘﮕﺎهﻫﺎ‪ ،‬ﻳﺎ داﻣﻴﻦ‪ ،‬ﺷﺎﻣﻞ ﻛﺸﻮر‪ ،‬اﻳﺎﻟﺖ ﻳﺎ اﺳﺘﺎن‪ ،‬ﺷﻬﺮ‪ ،‬اﺳﻢ اراﺋﻪ دﻫﻨﺪه ﺷﺒﻜﻪ‪،‬‬ ‫اﻃﻼﻋﺎت ﺗﻤﺎس ﻣﺪﻳﺮ ﺷﺒﻜﻪ و ﻣﺪﻳﺮ ﻓﻨﻲ را ﭘﻴﺪا ﻛﻨﻴﺪ‪ ،Smart Whois .‬ﻧﺴﺨﻪ ﮔﺮاﻓﻴﻜﻲ از ﺑﺮﻧﺎﻣﻪ ‪ Basic Whois‬اﺳﺖ‪.‬‬ ‫‪23‬‬

‫‪ ،ARIN‬ﭘﺎﻳﮕﺎه دادهاي اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ ﻣﺎﻟﻚ آدرسﻫﺎي ‪ IP‬اﺳﺘﺎﺗﻴﻚ اﺳﺖ‪ .‬ﭘﺎﻳﮕﺎه داده‬ ‫‪ ،ARIN‬ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار ‪ Whois‬ﻫﻤﭽﻮن ‪ http://www.arin.net/whois‬ﻣﻮرد ﻛﻮﺋﺮي ﻗﺮار ﻣﻲﮔﻴﺮد‪.‬‬ ‫ﺷﻜﻞ زﻳﺮ‪ ،‬ﺟﺴﺘﺠﻮي ‪ Whois‬ﺑﺮاي ‪ http://www.yahoo.com‬را ﻧﺸﺎن ﻣﻲدﻫﺪ‪ .‬ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﻛﻪ‬ ‫آدرسﻫﺎ‪ ،‬اﻳﻤﻴﻞﻫﺎ‪ ،‬و اﻃﻼﻋﺎت ﺗﻤﺎس در ﺟﺴﺘﺠﻮي ‪ Whois‬ﻗﺮار دارﻧﺪ‪ .‬اﻳﻦ اﻃﻼﻋﺎت ﻣﻲﺗﻮاﻧﻨﺪ ﺗﻮﺳﻂ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ‬ ‫ﺑﺮاي ﻳﺎﻓﺘﻦ ﻣﺴﺌﻮل ﻳﻚ آدرس ‪ IP‬و ﺳﺎزﻣﺎﻧﻲ ﻛﻪ ﻣﺎﻟﻚ ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺖ‪ ،‬ﻳﺎ ﺗﻮﺳﻂ ﻫﻜﺮ ﺷﺮور ﺑﺮاي اﻧﺠﺎم ﻣﻬﻨﺪﺳﻲ‬ ‫اﺟﺘﻤﺎﻋﻲ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪.‬‬ ‫ﺷﻤﺎ ﺑﺎﻳﺪ اﻃﻼﻋﺎت در دﺳﺘﺮس ﻋﻤﻮﻣﻲ ﻛﻪ در ﭘﺎﻳﮕﺎهﻫﺎي داده ﻫﻤﭽﻮن ‪ ARIN‬وﺟﻮد دارﻧﺪ را ﺑﺪاﻧﻴﺪ و ﻣﻄﻤﺌﻦ‬ ‫ﺷﻮﻳﺪ ﻛﻪ ﻫﻜﺮ ﺷﺮور ﻧﻤﻲﺗﻮاﻧﺪ از اﻳﻦ اﻃﻼﻋﺎت ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ ﻋﻠﻴﻪ ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬

‫ﺧﺮوﺟﻲ ‪ ARIN‬ﺑﺮاي ‪http://www.yahoo.com‬‬ ‫ﻧﻜﺘﻪ‪ :‬ﺑﻪ ﻏﻴﺮ از ‪ ،ARIN‬ﻣﺮاﻛﺰ دﻳﮕﺮي ﻧﻴﺰ در ﺳﺮاﺳﺮ ﺟﻬﺎن ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر وﺟﻮد دارﻧﺪ از ﻗﺒﻴﻞ‪،RIPE NCC :‬‬ ‫‪ ،LACNIC‬و ‪.APNIC‬‬

‫‪24‬‬

Whois ‫ﺗﺤﻠﻴﻞ ﺧﺮوﺟﻲ‬ ‫( و اﻧﺠﺎم‬www.networksolutions.com ،‫ اﺗﺼﺎل ﺑﻪ وب ﺳﺎﻳﺖ )ﺑﺮاي ﻣﺜﺎل‬،Whois ‫ﺳﺎدهﺗﺮﻳﻦ راه ﺑﺮاي اﻧﺠﺎم‬ :‫ اﺳﺖ‬www.eccouncil.org ‫ ﺑﺮاي ﺳﺎﻳﺖ‬Whois ‫ ﺧﺮوﺟﻲ ﺟﺴﺘﺠﻮي‬،‫ ﻣﺘﻦ زﻳﺮ‬.‫ اﺳﺖ‬Whois ‫ﺟﺴﺘﺠﻮي‬ Domain ID: D81180127-LROR Domain Name: ECCOUNCIL.ORG Created On: 14-Dec-2001 10:13:06 UTC Last Updated On: 19-Aug-2004 03:49:53 UTC Expiration Date: 14-Dec-2006 10:13:06 UTC Sponsoring Registrar: Tucows Inc. (R11-LROR) Status: OK Registrant ID: tuTv2ItRZBMNd4lA Registrant Name: John Smith Registrant Organization: International Council of E-Commerce Consultants Registrant Street1:67 Wall Street, 22nd Floor Registrant Street2: Registrant Street3: Registrant City: New York Registrant State/Province: NY Registrant Postal Code: 10005-3198 Registrant Country: US Registrant Phone: +1.2127098253 Registrant Phone Ext.: Registrant FAX: +1.2129432300 Registrant FAX Ext.: Registrant Email:[email protected] Admin ID: tus9DYvpp5mrbLNd 25

Admin Name: Susan Johnson Admin Organization: International Council of E-Commerce Consultants Admin Street1:67 Wall Street, 22nd Floor Admin Street2: Admin Street3: Admin City: New York Admin State/Province: NY Admin Postal Code: 10005-3198 Admin Country: US Admin Phone: +1.2127098253 Admin Phone Ext.: Admin FAX: +1.2129432300 Admin FAX Ext.: Admin Email:[email protected] Tech ID: tuE1cgAfi1VnFkpu Tech Name: Jacob Eckel Tech Organization: International Council of E-Commerce Consultants Tech Street1:67 Wall Street, 22nd Floor Tech Street2: Tech Street3: Tech City: New York Tech State/Province: NY Tech Postal Code: 10005-3198 Tech Country: US Tech Phone: +1.2127098253 Tech Phone Ext.: Tech FAX: +1.2129432300 26

‫‪Tech FAX Ext.:‬‬ ‫‪Tech Email:[email protected]‬‬ ‫‪Name Server: ns1.xyz.net‬‬ ‫‪Name Server: ns2.xyz.net‬‬ ‫ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي ‪ Whois‬ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪Wikto Footprinting Tool‬‬ ‫‪Whois Lookup‬‬ ‫‪SmartWhois‬‬ ‫‪ActiveWhois‬‬ ‫‪LanWhois‬‬ ‫‪CountryWhois‬‬ ‫‪WhereIsIP‬‬ ‫‪ip2country‬‬ ‫‪CallerIP‬‬ ‫‪Web Data Extractor‬‬

‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬

‫و ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي آﻧﻼﻳﻦ ‪ Whois‬ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪www.samspade.org‬‬ ‫‪www.geektools.com‬‬ ‫‪www.whois.net‬‬ ‫‪www.demon.net‬‬ ‫‪www.whatismyip.com‬‬

‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬

‫ﭘﻴﺪا ﻛﺮدن ﺑﺎزه آدرسﻫﺎي ﺷﺒﻜﻪ‬ ‫ﻫﺮ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪي ﺑﺎﻳﺪ ﺑﺪاﻧﺪ ﻛﻪ ﭼﮕﻮﻧﻪ ﺑﺎزه ﺷﺒﻜﻪ و ‪ subnet mask‬ﺳﻴﺴﺘﻢ ﻫﺪف را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ‪ .‬از‬ ‫آدرسﻫﺎي ‪ ،IP‬ﺑﺮاي اﺗﺼﺎل ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎي ﻣﻘﺼﺪ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ آدرسﻫﺎي ‪ IP‬را در ﺛﺒﺖ ﻛﻨﻨﺪهﻫﺎي‬ ‫اﻳﻨﺘﺮﻧﺘﻲ ﻫﻤﭽﻮن ‪ ARIN‬ﻳﺎ ‪ AINA‬ﭘﻴﺪا ﻛﻨﻴﺪ‪.‬‬ ‫ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮي ﺑﺨﻮاﻫﺪ ﻛﻪ ﻣﻜﺎن ﺟﻐﺮاﻓﻴﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ ﻫﺪف را ﭘﻴﺪا ﻛﻨﺪ‪ .‬او اﻳﻦ ﻛﺎر‪ ،‬را ﺑﺎ ردﻳﺎﺑﻲ‬ ‫ﻣﺴﻴﺮ ﻳﻚ ﭘﻴﺎم ﻛﻪ ﺑﻪ آدرس ‪ IP‬ﻣﻘﺼﺪ ارﺳﺎل ﺷﺪه اﺳﺖ ﺑﺪﺳﺖ ﻣﻲآورد‪ .‬ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ از اﺑﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن‬ ‫‪ ،VisualRoute ،traceroute‬و ‪ NeoTrace‬ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻣﺴﻴﺮ ﻫﺪف اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬

‫‪27‬‬

‫ﻋﻼوه ﺑﺮ اﻳﻦ‪ ،‬ﭼﻨﺎﻧﭽﻪ ﺷﻤﺎ ﺷﺒﻜﻪ ﻣﻘﺼﺪ را ردﻳﺎﺑﻲ ﻛﻨﻴﺪ‪ ،‬اﻃﻼﻋﺎت ﻣﻔﻴﺪ دﻳﮕﺮي ﻧﻴﺰ ﺑﺪﺳﺖ ﻣﻲآورﻳﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪،‬‬ ‫ﻣﻲﺗﻮاﻧﻴﺪ آدرسﻫﺎي ‪ IP‬داﺧﻠﻲ ﻣﺎﺷﻴﻦﻫﺎ‪ ،‬ﻳﺎ ﺣﺘﻲ آدرس ‪ IP‬دروازه اﻳﻨﺘﺮﻧﺘﻲ را ﺑﺪﺳﺖ آورﻳﺪ و ﺳﭙﺲ از اﻳﻦ آدرسﻫﺎ‬ ‫ﺑﺮاي ﻓﺮآﻳﻨﺪﻫﺎي ﺣﻤﻠﻪ ﻳﺎ اﺳﻜﻦ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬

‫ﺷﻨﺎﺳﺎﻳﻲ اﻧﻮاع ﻣﺨﺘﻠﻒ رﻛﻮردﻫﺎي ‪DNS‬‬ ‫رﻛﻮردﻫﺎي راﻳﺞ ‪ DNS‬و ﻛﺎرﺑﺮد آﻧﻬﺎ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬

‫‪ :A‬ﺗﺒﺪﻳﻞ ﻧﺎم ﺑﻪ آدرس ‪IP‬‬

‫•‬

‫‪ :SOA‬ﻣﺸﺨﺺ ﻛﻨﻨﺪه ﺳﺮور ‪ DNS‬ﻣﺴﺌﻮل ﺑﺮاي اﻃﻼﻋﺎت داﻣﻴﻦ‬

‫•‬

‫‪ :CNAME‬اﺳﺎﻣﻲ اﺿﺎﻓﻲ ﻳﺎ ﻣﺴﺘﻌﺎر ﺑﺮاي رﻛﻮردﻫﺎ ﻣﻲدﻫﺪ‬

‫•‬

‫‪ :MX‬ﻣﺸﺨﺺ ﻛﻨﻨﺪه ﺳﺮور اﻳﻤﻴﻞ ﺑﺮاي داﻣﻴﻦ اﺳﺖ‬

‫•‬

‫‪ :SRV‬ﺳﺮوﻳﺲﻫﺎﻳﻲ از ﻗﺒﻴﻞ ‪ directory services‬را ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‬

‫•‬

‫‪ :PTR‬ﺗﺒﺪﻳﻞ آدرسﻫﺎي ‪ IP‬ﺑﻪ اﺳﻢ‬

‫•‬

‫‪ :NS‬دﻳﮕﺮ ‪Name server‬ﻫﺎي ﺷﺒﻜﻪ را ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‬

‫ﻧﺤﻮه ﻛﺎر ‪ traceroute‬در ‪footprinting‬‬ ‫‪ ،Traceroute‬اﺑﺰاري ﺑﺮاي ردﻳﺎﺑﻲ ﺑﺴﺘﻪ اﺳﺖ ﻛﻪ در اﻏﻠﺐ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎ وﺟﻮد دارد‪ .‬ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪﻫﺎي‬ ‫‪ ICMP‬ﺑﻪ ﺳﻤﺖ ﻣﻘﺼﺪ‪ ،‬آدرسﻫﺎي ﺑﻴﻦ راه را ﻧﻴﺰ ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﭘﻴﺎمﻫﺎي ‪ ICMP‬از روﺗﺮي ﻋﺒﻮر ﻛﺮد‪،‬‬ ‫ﻣﻘﺪار ‪ TTL‬ﻳﻚ واﺣﺪ ﻛﻢ ﻣﻲﺷﻮد‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﻔﻬﻤﺪ ﻛﻪ ﭼﻨﺪ ﺗﺎ روﺗﺮ در ﻣﺴﻴﺮ وﺟﻮد دارد‪.‬‬ ‫ﻳﻜﻲ از ﻧﻘﺎط ﺿﻌﻒ آن زﻣﺎﻧﻲ اﺳﺖ ﻛﻪ ﺑﺎ ﻓﺎﻳﺮواﻟﻲ ﻣﻮاﺟﻪ ﻣﻲﺷﻮد‪ .‬از آﻧﺠﺎﺋﻴﻜﻪ ﻛﻪ ﻓﺎﻳﺮوال‪ ،‬اﺑﺰار ‪ tracerout‬را‬ ‫ﻣﺘﻮﻗﻒ ﻣﻲﻛﻨﺪ ﺗﺎ ﺟﻠﻮي ﻛﺸﻒ ﺷﺒﻜﻪ را ﺑﮕﻴﺮد‪ ،‬ﻣﻲﺗﻮاﻧﺪ ﺑﻪ ﻫﻜﺮ ﻫﺸﺪار دﻫﺪ ﻛﻪ ﻓﺎﻳﺮوال وﺟﻮد دارد ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﺑﺎﻳﺪ از‬ ‫ﺗﻜﻨﻴﻚﻫﺎي دور زدن ﻓﺎﻳﺮوال اﺳﺘﻔﺎده ﺷﻮد‪.‬‬ ‫‪ Sam Spade‬و ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي دﻳﮕﺮ ﻫﻚ‪ ،‬اﺑﺰار ‪ traceroute‬را دارﻧﺪ‪ .‬ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎي وﻳﻨﺪوز‪ ،‬از دﺳﺘﻮر‬ ‫‪ tracert hostname‬ﺑﺮاي اﻧﺠﺎم ‪ traceroute‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﺷﻜﻞ زﻳﺮ‪ ،‬ﻣﺜﺎﻟﻲ از ﺧﺮوﺟﻲ ‪ traceroute‬را ﺑﺮاي ﺳﺎﻳﺖ‬ ‫‪ www.yahoo.com‬ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬

‫‪28‬‬

‫اﻳﻦ دﺳﺘﻮر‪ ،‬روﺗﺮﻫﺎﻳﻲ ﻛﻪ در ﻣﺴﻴﺮ وﺟﻮد دارﻧﺪ را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ‪ .‬از آﻧﺠﺎﺋﻴﻜﻪ ﻣﻌﻤﻮﻻ روﺗﺮﻫﺎ ﺑﺮ اﺳﺎس ﻣﻜﺎن‬ ‫ﻓﻴﺰﻳﻜﻲﺷﺎن‪ ،‬ﻧﺎم ﮔﺬاري ﻣﻲﺷﻮﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﻧﺘﺎﻳﺞ ‪ ،tracert‬ﺑﻪ ﺷﻤﺎ ﻛﻤﻚ ﻣﻲﻛﻨﺪ ﺗﺎ ﻣﻜﺎن اﻳﻦ دﺳﺘﮕﺎهﻫﺎ را ﻣﺘﻮﺟﻪ ﺷﻮﻳﺪ‪.‬‬

‫ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎﻳﻲ ﻛﻪ ﺑﻪ اﻳﻦ ﻣﻨﻈﻮر اﺳﺘﻔﺎده ﻣﻲ ﺷﻮﻧﺪ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬

‫‪3D Traceroute‬‬ ‫‪NeoTrace‬‬ ‫‪VisualRoute Trace‬‬ ‫‪Path Analyzer Pro‬‬ ‫‪Maltego‬‬

‫اﺳﺘﻔﺎده از ‪Email Tracking‬‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎي ‪ ،Email Tracking‬ﺑﻪ ارﺳﺎل ﻛﻨﻨﺪه اﻳﻤﻴﻞ اﻣﻜﺎن ﻣﻲدﻫﻨﺪ ﻛﻪ ﺑﺪاﻧﺪ آﻳﺎ ﮔﻴﺮﻧﺪه ﭘﻴﺎم‪ ،‬اﻳﻤﻴﻞ را‬ ‫ﺧﻮاﻧﺪه‪ ،‬ﻓﺮوارد ﻛﺮده‪ ،‬ﺗﻐﻴﻴﺮ داده‪ ،‬ﭘﺎك ﻛﺮده اﺳﺖ ﻳﺎ ﻧﻪ‪ .‬اﻏﻠﺐ ﺑﺮﻧﺎﻣﻪﻫﺎي ‪ ،Email Tracking‬ﺑﺎ ﺿﻤﻴﻤﻪ ﻛﺮدن ﻳﻚ اﺳﻢ‬ ‫داﻣﻴﻦ ﺑﻪ آدرس اﻳﻤﻴﻞ ﻛﺎر ﻣﻲﻛﻨﻨﺪ ﻣﺜﻼ ‪ .readnotify.com‬ﻳﻚ ﻓﺎﻳﻞ ﮔﺮاﻓﻴﻜﻲ ﻛﻪ ﺗﻨﻬﺎ ﻳﻚ ﭘﻴﻜﺴﻞ دارد و ﻗﺎﺑﻞ ﺗﻮﺟﻪ‬

‫‪29‬‬

‫ﻧﻴﺴﺖ را ﺑﻪ اﻳﻤﻴﻞ ﺿﻤﻴﻤﻪ ﻣﻲﻛﻨﺪ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬زﻣﺎﻧﻴﻜﻪ ﻋﻤﻠﻲ ﺑﺮ روي آن اﻳﻤﻴﻞ اﻧﺠﺎم ﻣﻲﺷﻮد‪ ،‬اﻳﻦ ﻓﺎﻳﻞ ﮔﺮاﻓﻴﻜﻲ ﺑﻪ‬ ‫ﺳﺮور ﻣﺘﺼﻞ ﺷﺪه و ارﺳﺎل ﻛﻨﻨﺪه را ﻣﻄﻠﻊ ﻣﻲﻛﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ‪ VisualRoute Mail Tracker‬و ‪ eMail Tracker Pro‬ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر ﺑﻪ ﻛﺎر ﻣﻲروﻧﺪ‪.‬‬

‫ﻧﺤﻮه ﻛﺎر ‪ Web Spider‬ﻫﺎ‬ ‫‪Spammer‬ﻫﺎ‪ ،‬ﻛﻪ آدرسﻫﺎي اﻳﻤﻴﻞ را از اﻳﻨﺘﺮﻧﺖ ﺟﻤﻊآوري ﻣﻲﻛﻨﻨﺪ‪ ،‬از ‪Web Spider‬ﻫﺎ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫‪ ،Web Spider‬وب ﺳﺎﻳﺖﻫﺎ را ﺟﺴﺘﺠﻮ ﻣﻲﻛﻨﺪ ﺗﺎ اﻃﻼﻋﺎت ﻣﺸﺨﺼﻲ از ﻗﺒﻴﻞ آدرسﻫﺎي اﻳﻤﻴﻞ را ﺟﻤﻊآوري ﻛﻨﺪ‪.‬‬ ‫‪ ،Web Spider‬ﺑﻪ دﻧﺒﺎل ﻗﺎﻟﺐ ﻋﻤﻮﻣﻲ اﻳﻤﻴﻞﻫﺎ ﻛﻪ ﺑﺎ @ ﻫﻤﺮاه ﻫﺴﺘﻨﺪ ﻣﻲﮔﺮدد و آﻧﻬﺎ را داﺧﻞ ﻟﻴﺴﺖ ﻛﭙﻲ ﻣﻲﻛﻨﺪ‪.‬‬ ‫اﻳﻦ آدرسﻫﺎ ﺑﻪ ﭘﺎﻳﮕﺎه داده اﺿﺎﻓﻪ ﻣﻲﺷﻮد و ﻣﻤﻜﻦ اﺳﺖ ﺑﻌﺪا ﺑﺮاي ارﺳﺎل اﻳﻤﻴﻞﻫﺎي ﻧﺎﺧﻮاﺳﺘﻪ اﺳﺘﻔﺎده ﺷﻮد‪Web .‬‬ ‫‪Spider‬ﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺮاي ﺟﺴﺘﺠﻮي ﻫﻤﻪ ﻧﻮع اﻃﻼﻋﺎت ﺑﺮ روي اﻳﻨﺘﺮﻧﺖ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از ‪Web Spider‬‬ ‫ﺑﺮاي ﺧﻮدﻛﺎرﺳﺎزي ﻓﺮآﻳﻨﺪ ﺟﻤﻊآوري اﻃﻼﻋﺎت اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬ﻳﻚ روش ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ‪Web Spider‬ﻫﺎ ﺑﺮاي ﺳﺎﻳﺖ‬ ‫ﺷﻤﺎ اﻳﻦ اﺳﺖ ﻛﻪ ﻓﺎﻳﻞ ‪ robots.txt‬را ﺑﺎ ﻟﻴﺴﺘﻲ از داﻳﺮﻛﺘﻮريﻫﺎﻳﻲ ﻛﻪ ﻣﻲﺧﻮاﻫﻴﺪ از ‪ crawling‬ﻣﺤﺎﻓﻈﺖ ﺷﻮﻧﺪ‪ ،‬در‬ ‫ﻣﺴﻴﺮ رﻳﺸﻪ وب ﺳﺎﻳﺖﺗﺎن ﻗﺮار دﻫﻴﺪ‪.‬‬ ‫ﻧﻜﺘﻪ‪ :‬ﻓﺎﻳﻞ ‪ robots.txt‬در رﻳﺸﻪ ﻗﺮار دارد و ﻟﻴﺴﺘﻲ از داﻳﺮﻛﺘﻮريﻫﺎ و ﻣﻨﺎﺑﻌﻲ ﻛﻪ ﻧﻤﻲﺧﻮاﻫﻴﻢ ﺗﻮﺳﻂ ﻣﻮﺗﻮرﻫﺎي‬ ‫ﺟﺴﺘﺠﻮ‪ ،‬اﻳﻨﺪﻛﺲ ﺷﻮﻧﺪ را ﻗﺮار ﻣﻲدﻫﻴﻢ‪.‬‬

‫اﺑﺰارﻫﺎي ‪ Web data Extractor‬و ‪ 1st E-Mail Address Extractor‬ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر ﺑﻪ ﻛﺎرﻣﻲروﻧﺪ‪.‬‬

‫ﻣﺮاﺣﻞ اﻧﺠﺎم ‪Footprinting‬‬ ‫‪ .1‬ﭘﻴﺪا ﻛﺮدن آدرسﻫﺎي داﺧﻠﻲ و ﺧﺎرﺟﻲ ﺷﺮﻛﺖ‬ ‫‪ .2‬اﻧﺠﺎم ﺟﺴﺘﺠﻮي ‪ Whois‬ﺑﺮاي ﺟﺰﺋﻴﺎت ﺷﺨﺼﻲ‬ ‫‪30‬‬

‫‪ .3‬اﺳﺘﺨﺮاج اﻃﻼﻋﺎت ‪DNS‬‬ ‫‪ .4‬ﺟﺴﺘﺠﻮ ﺑﻪ دﻧﺒﺎل اﺳﺎﻣﻲ در وب ﺳﺎﻳﺖ‬ ‫‪ .5‬اﺳﺘﺨﺮاج آرﺷﻴﻮ وب ﺳﺎﻳﺖ‬ ‫‪ .6‬ﺟﺴﺘﺠﻮ از ﻃﺮﻳﻖ ﮔﻮﮔﻞ ﺑﺮاي اﺧﺒﺎر ﻣﺮﺑﻮط ﺑﻪ ﺷﺮﻛﺖ‬ ‫‪ .7‬اﺳﺘﻔﺎده از ‪ People Search‬ﺑﺮاي ﻳﺎﻓﺘﻦ اﻃﻼﻋﺎت ﺷﺨﺼﻲ ﭘﺮﺳﻨﻞ‬ ‫‪ .8‬ﻳﺎﻓﺘﻦ ﻣﻜﺎن ﻓﻴﺰﻳﻜﻲ وب ﺳﺮور ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار ‪NeoTracer‬‬ ‫‪ .9‬ﺗﺤﻠﻴﻞ ﺟﺰﺋﻴﺎت زﻳﺮﺳﺎﺧﺖ ﺷﺮﻛﺖ ﺑﺎ اﺳﺘﻔﺎده از ﻓﺮﺻﺖﻫﺎي ﺷﻐﻠﻲ‬ ‫‪ .10‬ردﻳﺎﺑﻲ اﻳﻤﻴﻞ ﺑﺎ اﺳﺘﻔﺎده از ‪readnotify.com‬‬

‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬روﺷﻲ ﻏﻴﺮ ﻓﻨﻲ ﺑﺮاي ﺷﻜﺴﺘﻦ اﻣﻨﻴﺖ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ اﺳﺖ‪ .‬ﻓﺮآﻳﻨﺪ ﮔﻮل زدن ﻛﺎرﺑﺮان ﻳﻚ‬ ‫ﺳﻴﺴﺘﻢ و ﺗﺤﺮﻳﻚ آﻧﻬﺎ ﺑﺮاي دادن اﻃﻼﻋﺎﺗﻲ ﻛﻪ ﺑﺮاي دور زدن ﻣﻜﺎﻧﻴﺰمﻫﺎي اﻣﻨﻴﺘﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮد را ﻣﻬﻨﺪﺳﻲ‬ ‫اﺟﺘﻤﺎﻋﻲ ﻣﻲﮔﻮﻳﻨﺪ‪ .‬داﻧﺴﺘﻦ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﺑﺴﻴﺎر ﻣﻬﻢ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از آن ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﻋﻨﺼﺮ‬ ‫اﻧﺴﺎﻧﻲ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬اﻳﻦ روش ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت ﻗﺒﻞ از ﺣﻤﻠﻪ اﺳﺘﻔﺎده ﺷﻮد‪.‬‬

‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﭼﻴﺴﺖ؟‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬اﺳﺘﻔﺎده از ﺗﺮﻏﻴﺐ و ﺗﺤﺮﻳﻚ ﺑﺮاي ﮔﻮل زدن ﻛﺎرﺑﺮان ﺑﻪ ﻣﻨﻈﻮر دﺳﺘﻴﺎﺑﻲ ﺑﻪ اﻃﻼﻋﺎت ﻳﺎ‬ ‫ﺗﺸﻮﻳﻖ ﻗﺮﺑﺎﻧﻲ ﺑﺮاي اﻧﺠﺎم ﺑﺮﺧﻲ ﻋﻤﻠﻴﺎت اﺳﺖ‪ .‬ﻣﻌﻤﻮﻻ ﻳﻚ ﻣﻬﻨﺪس اﺟﺘﻤﺎع‪ ،‬از ﺗﻠﻔﻦ ﻳﺎ اﻳﻨﺘﺮﻧﺖ ﺑﺮاي ﮔﻮل زدن ﻛﺎرﺑﺮ و‬ ‫ﮔﺮﻓﺘﻦ اﻃﻼﻋﺎت ﺣﺴﺎس ﻳﺎ ﺗﺤﺮﻳﻚ آﻧﻬﺎ ﺑﺮاي اﻧﺠﺎم ﻛﺎرﻫﺎﻳﻲ ﻛﻪ ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﺳﺎزﻣﺎن را ﺑﻪ ﺧﻄﺮ ﺑﻴﺎﻧﺪازد اﺳﺘﻔﺎده‬ ‫ﻣﻲﻛﻨﺪ‪ .‬در اﻳﻦ روش‪ ،‬ﻣﻬﻨﺪﺳﺎن اﺟﺘﻤﺎﻋﻲ‪ ،‬ﺑﻪ ﺟﺎي ﺳﻮ اﺳﺘﻔﺎده از ﺣﻔﺮهﻫﺎي اﻣﻨﻴﺘﻲ ﻛﺎﻣﭙﻴﻮﺗﺮ‪ ،‬از ﮔﺮاﻳﺸﺎت و ﺗﻤﺎﻳﻼت‬ ‫ﻃﺒﻴﻌﻲ اﻓﺮاد ﺑﺮاي اﻳﺠﺎد اﻋﺘﻤﺎد‪ ،‬ﺳﻮ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﻛﺎرﺑﺮان‪ ،‬ﺿﻌﻴﻒﺗﺮﻳﻦ ﻟﻴﻨﻚﻫﺎي اﻣﻨﻴﺘﻲ ﻫﺴﺘﻨﺪ‪ .‬اﻳﻦ اﺻﻞ‪ ،‬دﻟﻴﻞ‬ ‫اﻧﺠﺎم ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ اﺳﺖ‪.‬‬ ‫ﺧﻄﺮﻧﺎكﺗﺮﻳﻦ ﺑﺨﺶ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ اﻳﻦ اﺳﺖ ﻛﻪ ﺷﺮﻛﺖﻫﺎﻳﻲ ﻛﻪ ﻓﺮآﻳﻨﺪﻫﺎي اﺣﺮاز ﻫﻮﻳﺖ‪ ،‬ﻓﺎﻳﺮوال‪،VPN ،‬‬ ‫و ﻧﺮماﻓﺰار ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ ﺷﺒﻜﻪ دارﻧﺪ‪ ،‬ﻫﻨﻮز ﻣﺴﺘﻌﺪ ﺣﻤﻠﻪ ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ را‬ ‫ﺑﻄﻮر ﻣﺴﺘﻘﻴﻢ ﻣﻮرد ﺣﻤﻠﻪ ﻗﺮار ﻧﻤﻲدﻫﺪ ﺑﻠﻜﻪ آن را دور ﻣﻲزﻧﺪ‪.‬‬

‫‪31‬‬

‫اﻓﺮاد‪ ،‬ﺿﻌﻴﻒﺗﺮﻳﻦ ﻟﻴﻨﻚ در زﻧﺠﻴﺮه اﻣﻨﻴﺘﻲ ﻫﺴﺘﻨﺪ و ﺑﻬﺘﺮﻳﻦ روش ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻠﻪ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪،‬‬ ‫داﺷﺘﻦ ﺳﻴﺎﺳﺖ ﻣﻨﺎﺳﺐ و آﻣﻮزش ﭘﺮﺳﻨﻞ اﺳﺖ‪ .‬ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬ﺳﺨﺖﺗﺮﻳﻦ ﻧﻮع ﺣﻤﻠﻪ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺳﺎزﻣﺎن‬ ‫ﻧﻤﻲﺗﻮاﻧﺪ ﺗﻨﻬﺎ ﺑﺎ اﺳﺘﻔﺎده از ﻧﺮماﻓﺰار و ﺳﺨﺖاﻓﺰار از ﺑﺮوز آن ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ‪.‬‬

‫اﻧﻮاع راﻳﺞ ﺣﻤﻼت ﻛﺪاﻣﻨﺪ؟‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ در دو دﺳﺘﻪ ﻗﺮار ﻣﻲﮔﻴﺮد‪:‬‬ ‫ﻣﺒﺘﻨﻲ ﺑﺮ اﻧﺴﺎن‪ :‬ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ اﻧﺴﺎن‪ ،‬اﺷﺎره ﺑﻪ ﺗﻌﺎﻣﻞ ﺷﺨﺺ ﺑﻪ ﺷﺨﺺ دارد ﺗﺎ اﻃﻼﻋﺎت ﻣﻮرد دﻟﺨﻮاه‬ ‫را ﺑﺪﺳﺖ آورد ﻣﺎﻧﻨﺪ ﺗﻤﺎس ﺑﺎ ‪ help desk‬و ﺗﻼش ﺑﺮاي ﻳﺎﻓﺘﻦ ﻛﻠﻤﻪ ﻋﺒﻮر‪.‬‬ ‫ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ‪ :‬ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ‪ ،‬اﺷﺎره ﺑﻪ داﺷﺘﻦ ﻧﺮماﻓﺰار ﻛﺎﻣﭙﻴﻮﺗﺮي اﺳﺖ ﻛﻪ ﺗﻼش ﻛﻨﺪ‬ ‫اﻃﻼﻋﺎت ﻣﻮرد دﻟﺨﻮاه را ﺑﺪﺳﺖ آورد‪ .‬ﻣﺜﺎﻟﻲ از آن‪ ،‬ارﺳﺎل اﻳﻤﻴﻠﻲ ﺑﻪ ﻛﺎرﺑﺮ و درﺧﻮاﺳﺖ از او ﺑﺮاي ورود ﻣﺠﺪد ﭘﺴﻮرد در‬ ‫ﺻﻔﺤﻪ وب ﺑﺮاي ﺗﺎﺋﻴﺪ اﺳﺖ‪ .‬اﻳﻦ ﺣﻤﻠﻪ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬ﺑﺎ ﻧﺎم ‪ phishing‬ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪.‬‬

‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ اﻧﺴﺎن‬ ‫ﺣﻤﻼت ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬ﺑﻪ دﺳﺘﻪﻫﺎي ﻛﻠﻲ زﻳﺮ ﺗﻘﺴﻴﻢ ﻣﻲﺷﻮﻧﺪ‪:‬‬ ‫ﺧﻮد را ﺟﺎي ﺷﺨﺺ دﻳﮕﺮي ﺟﺎ زدن )‪ :(Impersonating an employee or valid user‬در اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ ﻣﻬﻨﺪﺳﻲ‬ ‫اﺟﺘﻤﺎﻋﻲ‪ ،‬ﻫﻜﺮ واﻧﻤﻮد ﻣﻲﻛﻨﺪ ﻛﻪ ﻛﺎرﻣﻨﺪ ﻳﺎ ﻛﺎرﺑﺮ ﻗﺎﻧﻮﻧﻲ ﺳﻴﺴﺘﻢ اﺳﺖ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺧﻮد را ﺑﺮاي ﻧﮕﻬﺒﺎن‪ ،‬ﻛﺎرﻣﻨﺪ‬ ‫واﻧﻤﻮد ﻛﻨﺪ و دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﺑﻪ دﺳﺖ آورد‪ .‬ﭘﺲ از داﺧﻞ ﺷﺪن ﻣﻲﺗﻮاﻧﺪ اﻃﻼﻋﺎت را از ﺳﻄﻞ زﺑﺎﻟﻪ‪ ،‬ﻣﻴﺰﻫﺎ و‬ ‫ﺳﻴﺴﺘﻢﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮي ﺟﻤﻊآوري ﻛﻨﺪ‪.‬‬ ‫ﺧﻮد را ﺑﻪ ﻋﻨﻮان ﺷﺨﺺ ﻣﻬﻢ واﻧﻤﻮد ﻛﺮدن )‪ :(Posing as an important user‬در اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ‪ ،‬ﻫﻜﺮ ﺧﻮد را ﺟﺎي‬ ‫ﺷﺨﺺ ﻣﻬﻤﻲ ﻫﻤﭽﻮن ﻣﺪﻳﺮ ارﺷﺪ ﺟﺎ ﻣﻲزﻧﺪ ﻛﻪ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﻓﺎﻳﻞﻫﺎ ﻳﺎ ﻛﺎﻣﭙﻴﻮﺗﺮ‪ ،‬ﻧﻴﺎز ﺑﻪ ﻛﻤﻚ ﻓﻮري دارد‪ .‬ﻫﻜﺮ از‬ ‫ﺣﺎﻟﺖ ﺗﺮﺳﺎﻧﺪن اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﺗﺎ ﻛﺎرﻣﻨﺪ ﺳﻄﺢ ﭘﺎﻳﻴﻦ‪ ،‬اﺟﺎزه دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ را ﺑﺪﻫﺪ‪ .‬ﺑﺴﻴﺎري از ﻛﺎرﻛﻨﺎن ﺳﻄﺢ‬ ‫ﭘﺎﻳﻴﻦ‪ ،‬از ﻛﺴﻲ ﻛﻪ ﻓﻜﺮ ﻣﻲﻛﻨﻨﺪ ﻣﺪﻳﺮ ارﺷﺪ اﺳﺖ‪ ،‬ﺳﻮاﻟﻲ ﻧﻤﻲﭘﺮﺳﻨﺪ‪.‬‬ ‫اﺳﺘﻔﺎده از ﺷﺨﺺ ﺳﻮم )‪ :(Using a third person‬در اﻳﻦ روﻳﻜﺮد‪ ،‬ﻫﻜﺮ واﻧﻤﻮد ﻣﻲﻛﻨﺪ ﻛﻪ ﻣﺠﻮز اﺳﺘﻔﺎده از ﻣﻨﺎﺑﻊ ﻣﺠﺎز‬ ‫ﺳﻴﺴﺘﻢ را دارد‪ .‬زﻣﺎﻧﻴﻜﻪ ﻣﻨﺒﻊ داراي ﻣﺠﻮز‪ ،‬ﺧﺎﻟﻲ اﺳﺖ ﻳﺎ ﻧﻤﻲﺗﻮاﻧﺪ ﻗﺎﺑﻞ دﺳﺘﺮﺳﻲ ﺑﺎﺷﺪ‪ ،‬اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﺑﺴﻴﺎر ﻣﻮﺛﺮ اﺳﺖ‪.‬‬ ‫‪32‬‬

‫ﺗﻤﺎس ﺑﺎ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻓﻨﻲ )‪ :(Calling technical support‬ﺗﻤﺎس ﺑﺎ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻓﻨﻲ ﺑﺮاي راﻫﻨﻤﺎﻳﻲ‪ ،‬ﻧﻮع ﻛﻼﺳﻴﻚ‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ اﺳﺖ‪ .‬ﭘﺮﺳﻨﻞ ‪ help desk‬و ﭘﺸﺘﻴﺒﺎﻧﻲ ﻓﻨﻲ‪ ،‬آﻣﻮزش دﻳﺪهاﻧﺪ ﺗﺎ ﺑﻪ ﻛﺎرﺑﺮان ﻛﻤﻚ ﻛﻨﻨﺪ‪ .‬ﻫﻤﻴﻦ اﻣﺮ‬ ‫ﺳﺒﺐ ﺷﻜﺎر آﻧﻬﺎ ﺗﻮﺳﻂ ﺣﻤﻼت ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﻲﺷﻮد‪.‬‬ ‫اﻳﺴﺘﺎدن ﻛﻨﺎر ﻛﺎرﺑﺮ )‪ :(Shoulder surfing‬ﺗﻜﻨﻴﻚ ﺟﻤﻊآوري ﭘﺴﻮرد اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻮﻗﻊ ورود ﻛﺎرﺑﺮ ﺑﻪ ﺳﻴﺴﺘﻢ‪،‬‬ ‫ﻛﻨﺎرش ﻣﻲاﻳﺴﺘﺪ و ﻧﺎم ﻛﺎرﺑﺮي و ﻛﻠﻤﻪ ﻋﺒﻮري ﻛﻪ وارد ﺳﻴﺴﺘﻢ ﻣﻲﻛﻨﺪ را ﻣﻲﺑﻴﻨﺪ‪.‬‬ ‫آﺷﻐﺎل ﮔﺮدي )‪ :(Dumpster diving‬ﺟﺴﺘﺠﻮ در زﺑﺎﻟﻪﻫﺎ ﺑﺮاي ﻳﺎﻓﺘﻦ اﻃﻼﻋﺎﺗﻲ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ ﺑﺮ روي ﻛﺎﻏﺬ ﻧﻮﺷﺘﻪ‬ ‫ﺷﺪه ﺑﺎﺷﺪ‪ ،‬اﺳﺖ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﭘﺴﻮردﻫﺎ‪ ،‬ﻧﺎم ﻓﺎﻳﻞﻫﺎ‪ ،‬ﻳﺎ اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ دﻳﮕﺮي را ﺑﺪﺳﺖ آورد‪.‬‬ ‫ﻳﻜﻲ از روشﻫﺎي ﭘﻴﺸﺮﻓﺘﻪ ﺑﺮاي دﺳﺘﻴﺎﺑﻲ ﺑﻪ اﻃﻼﻋﺎت ﻏﻴﺮ ﻣﺠﺎز‪ ،‬ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﻌﻜﻮس اﺳﺖ‪ .‬ﺑﺎ اﺳﺘﻔﺎده از‬ ‫اﻳﻦ ﺗﻜﻨﻴﻚ‪ ،‬ﻫﻜﺮ ﺷﺨﺼﻴﺘﻲ اﻳﺠﺎد ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﻪ ﻧﻈﺮ ﻣﻲرﺳﺪ داراي اﺧﺘﻴﺎر اﺳﺖ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻛﺎرﻣﻨﺪان‪ ،‬از ﻫﻜﺮ اﻃﻼﻋﺎت‬ ‫ﻣﻲﺧﻮاﻫﻨﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﻫﻜﺮ ﺧﻮد را ﺟﺎي ‪ help desk‬ﺟﺎ ﻣﻲزﻧﺪ و ﻧﺎم ﻛﺎرﺑﺮي ﺷﺨﺺ را ﻣﻲﮔﻴﺮد ﺗﺎ ﺑﻪ او ﭘﺴﻮرد دﻫﺪ‪.‬‬

‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ‬ ‫ﺣﻤﻼت ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺷﺎﻣﻞ ﻣﻮارد زﻳﺮ ﻣﻲﺷﻮد‪:‬‬ ‫•‬

‫ﺿﻤﻴﻤﻪﻫﺎي اﻳﻤﻴﻞ‬

‫•‬

‫وب ﺳﺎﻳﺖﻫﺎي ﺟﻌﻠﻲ‬

‫•‬

‫ﭘﻨﺠﺮهﻫﺎي ‪Popup‬‬

‫ﺣﻤﻼت داﺧﻠﻲ‬ ‫اﮔﺮ ﻫﻜﺮ ﻧﺘﻮاﻧﺪ ﻫﻴﭻ روﺷﻲ ﺑﺮاي ﻫﻚ ﺳﺎزﻣﺎن ﭘﻴﺪا ﻛﻨﺪ‪ ،‬ﺑﻬﺘﺮﻳﻦ ﮔﺰﻳﻨﻪ ﺑﻌﺪي‪ ،‬ﻧﻔﻮذ ﺑﻪ ﺳﺎزﻣﺎن ﺑﻪ ﻋﻨﻮان ﻛﺎرﻣﻨﺪ‬ ‫ﻳﺎ ﭘﻴﺪا ﻛﺮدن ﻛﺎرﻣﻨﺪ ﻧﺎراﺿﻲ اﺳﺖ ﻛﻪ ﺑﺘﻮاﻧﺪ از ﻃﺮﻳﻖ او ﺣﻤﻠﻪ را اﻧﺠﺎم دﻫﺪ‪ .‬ﺣﻤﻼت داﺧﻠﻲ‪ ،‬ﻗﺪرﺗﻤﻨﺪ ﻫﺴﺘﻨﺪ ﺑﺮاي‬ ‫اﻳﻨﻜﻪ ﻛﺎرﻣﻨﺪان‪ ،‬دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ دارﻧﺪ‪.‬‬

‫ﺣﻤﻼت ‪Phishing‬‬ ‫ﺣﻤﻼﺗﻲ ﻛﻪ اﻳﻤﻴﻠﻲ را ارﺳﺎل ﻣﻲﻛﻨﻨﺪ و ﻣﻌﻤﻮﻻ ﺧﻮد را ﺟﺎي ﺑﺎﻧﻚ ﻳﺎ ﺷﺮﻛﺖ ﻛﺎرت اﻋﺘﺒﺎري ﻳﺎ ﻣﻮﺳﺴﺎت ﻣﺎﻟﻲ ﺟﺎ‬ ‫ﻣﻲزﻧﻨﺪ و از آﻧﻬﺎ ﻣﻲﺧﻮاﻫﻨﺪ ﻛﻪ اﻃﻼﻋﺎت ﺑﺎﻧﻜﻲﺷﺎن را ﺗﺎﺋﻴﺪ ﻛﻨﻨﺪ ﻳﺎ ﭘﺴﻮردﺷﺎن ﻳﺎ ‪ PIN‬را دوﺑﺎره وارد ﻛﻨﻨﺪ‪ .‬ﻛﺎرﺑﺮ روي‬ ‫‪33‬‬

‫ﻟﻴﻨﻜﻲ ﻛﻪ در اﻳﻤﻴﻞ اﺳﺖ ﻛﻠﻴﻚ ﻣﻲﻛﻨﺪ وﻟﻲ ﺑﻪ ﻳﻚ وب ﺳﺎﻳﺖ ﺳﺎﺧﺘﮕﻲ اﻧﺘﻘﺎل ﻣﻲﻳﺎﺑﺪ‪ .‬ﺳﭙﺲ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ اﻳﻦ‬ ‫اﻃﻼﻋﺎت را ﺑﺪﺳﺖ آورد و از آﻧﻬﺎ ﺑﺮاي دﺳﺘﺮﺳﻲﻫﺎي ﻣﺎﻟﻲ ﻳﺎ ﺣﻤﻼت دﻳﮕﺮ اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬اﻳﻤﻴﻞﻫﺎﻳﻲ ﻛﻪ در آﻧﻬﺎ ﮔﻔﺘﻪ‬ ‫ﻣﻲﺷﻮد ﻣﻘﺪار زﻳﺎدي ﭘﻮل ﺑﺮﻧﺪه ﺷﺪهاﻳﺪ ﻧﻴﺰ ﻣﺜﺎﻟﻲ از ﺣﻤﻼت ‪ phishing‬اﺳﺖ‪ .‬اﻳﻦ ﺣﻤﻼت‪ ،‬ﻫﻤﺎن ﺷﺨﺺ را ﻣﻮرد‬ ‫ﻫﺪف ﻗﺮار ﻣﻲدﻫﻨﺪ و ﻣﻲﺧﻮاﻫﻨﺪ ﻛﻪ اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ را در اﺧﺘﻴﺎر ﻫﻜﺮ ﻗﺮار دﻫﻨﺪ‪.‬‬ ‫ﺿﻤﻴﻤﻪﻫﺎي اﻳﻤﻴﻞ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺮاي ارﺳﺎل ﻛﺪﻫﺎي ﻣﺨﺮب ﺑﻪ ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ اﺳﺘﻔﺎده ﺷﻮﻧﺪ ﻛﻪ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺼﻮرت‬ ‫اﺗﻮﻣﺎﺗﻴﻚ‪ ،‬اﺑﺰارﻫﺎﻳﻲ ﻣﺜﻞ ‪ keylogger‬ﻧﺮماﻓﺰاري ﻧﺼﺐ ﻛﻨﻨﺪ ﺗﺎ ﭘﺴﻮرد را ﺑﺪﺳﺖ آورﻧﺪ‪ .‬وﻳﺮوسﻫﺎ‪ ،‬ﺗﺮوﺟﺎنﻫﺎ و ‪worm‬ﻫﺎ‬ ‫ﻣﻲﺗﻮاﻧﻨﺪ در اﻳﻤﻴﻞﻫﺎي ﺗﻘﻠﺒﻲ ﺑﺮاي اﻏﻔﺎل ﻗﺮﺑﺎﻧﻲ ﺑﺮاي ﺑﺎز ﻛﺮدن ﺿﻤﻴﻤﻪ ﺑﺎﺷﻨﺪ‪ .‬ﺿﻤﻴﻤﻪﻫﺎي اﻳﻤﻴﻞ‪ ،‬ﺑﻪ ﻋﻨﻮان ﺣﻤﻼت‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻫﺴﺘﻨﺪ‪.‬‬ ‫ﻣﺜﺎﻟﻲ از اﻳﻤﻴﻠﻲ ﻛﻪ ﺳﻌﻲ ﻣﻲﻛﻨﺪ درﻳﺎﻓﺖ ﻛﻨﻨﺪه‪ ،‬ﺿﻤﻴﻤﻪ را ﺑﺎز ﻛﻨﺪ ﺑﻪ ﺷﻜﻞ زﻳﺮ اﺳﺖ‪:‬‬ ‫‪Mail server report.‬‬ ‫‪Our firewall determined the e-mails containing worm copies are being sent from your computer.‬‬ ‫‪Nowadays it happens from many computers, because this is a new virus type (Network Worms).‬‬ ‫‪Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the‬‬ ‫‪penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of‬‬ ‫‪itself to these e-mail addresses‬‬ ‫‪Please install updates for worm elimination and your computer restoring.‬‬ ‫‪Best regards,‬‬ ‫‪Customer support service‬‬ ‫ﭘﻨﺠﺮهﻫﺎي ‪ Pop-up‬ﻧﻴﺰ ﻣﺜﻞ ﺿﻤﻴﻤﻪﻫﺎي اﻳﻤﻴﻞ‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ در ﺣﻤﻼت ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ‬ ‫اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪ .‬ﭘﻨﺠﺮهﻫﺎي ‪ Pop-up‬ﻛﻪ ﭘﻴﺸﻨﻬﺎدات ﺧﺎﺻﻲ را دارﻧﺪ ﻣﻲﺗﻮاﻧﻨﺪ ﻛﺎرﺑﺮ را ﺗﺸﻮﻳﻖ ﻛﻨﻨﺪ ﺗﺎ ﻧﺮماﻓﺰار ﻣﺨﺮب را‬ ‫ﻧﺼﺐ ﻛﻨﺪ‪.‬‬

‫‪URL obfuscation‬‬ ‫ﻣﻌﻤﻮﻻ ‪ URL‬در ﻗﺴﻤﺖ ﻧﻮار آدرس ﻣﺮورﮔﺮ اﻳﻨﺘﺮﻧﺘﻲ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ وب ﺳﺎﻳﺖ ﺧﺎﺻﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫‪ ،URL obfuscation‬ﻣﺨﻔﻲ ﻛﺮدن ﻳﺎ ﺟﻌﻠﻲ ﻛﺮدن ‪ URL‬اﺳﺖ ﺗﺎ ﻗﺎﻧﻮﻧﻲ ﺑﻪ ﻧﻈﺮ ﺑﺮﺳﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬وب ﺳﺎﻳﺖ‬ ‫‪ ،204.13.144.2/Citibank‬ﺑﻪ ﻧﻈﺮ ﻣﻲرﺳﺪ ﻛﻪ آدرس اﻳﻨﺘﺮﻧﺘﻲ ﺻﺤﻴﺢ ﺑﺮاي ‪ Citibank‬ﻣﻲﺑﺎﺷﺪ وﻟﻲ اﻳﻨﻄﻮر ﻧﻴﺴﺖ‪.‬‬ ‫‪ ،URL obfuscation‬ﺑﺮاي ﺣﻤﻼت ‪ phishing‬و ﺑﻌﻀﻲ از ﻛﻼﻫﺒﺮداريﻫﺎي آﻧﻼﻳﻦ اﺳﺘﻔﺎده ﻣﻲﺷﻮد ﺗﺎ ﻛﻼﻫﺒﺮداري را‬ ‫‪34‬‬

‫ﻋﻤﻠﻲ ﻗﺎﻧﻮﻧﻲ ﻧﺸﺎن دﻫﺪ‪ .‬ﻣﻤﻜﻦ اﺳﺖ آدرس وب ﺳﺎﻳﺖ‪ ،‬ﺑﺎ ﻧﺎم ﻳﺎ ﻟﻮﮔﻮي ﻣﻮﺳﺴﻪ ﻣﺎﻟﻲ واﻗﻌﻲ ﺑﻪ ﻧﻈﺮ ﺑﺮﺳﺪ اﻣﺎ ﻳﻚ وب‬ ‫ﺳﺎﻳﺖ ﺳﺎﺧﺘﮕﻲ ﺑﺎﺷﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻛﺎرﺑﺮي ﺑﺮ روي ﻟﻴﻨﻚ ﻛﻠﻴﻚ ﻣﻲﻛﻨﺪ‪ ،‬ﺑﻪ ﺳﺎﻳﺖ ﻫﻜﺮ ﺗﻐﻴﻴﺮ ﻣﺴﻴﺮ داده ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫آدرسﻫﺎﻳﻲ ﻛﻪ ﻣﻲﺗﻮاﻧﻨﺪ در ﻟﻴﻨﻚﻫﺎي ﺟﻌﻠﻲ ﻗﺮار ﺑﮕﻴﺮﻧﺪ‪ ،‬از ﻋﻼﺋﻢ دﻫﺪﻫﻲ ﻳﺎ ﺷﺎﻧﺰدﻫﻲ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪،‬‬ ‫آدرس ‪ ،192.168.10.5‬ﺷﺒﻴﻪ ‪ 3232238085‬ﺧﻮاﻫﺪ ﺑﻮد‪.‬‬

‫ﭘﻴﺸﮕﻴﺮي از ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‬ ‫ﺳﻴﺎﺳﺖﻫﺎي اﻣﻨﻴﺘﻲ ﻣﺴﺘﻨﺪ ﺷﺪه و اﺟﺒﺎري‪ ،‬ﺣﻴﺎﺗﻲﺗﺮﻳﻦ ﻋﻨﺼﺮ در ﺑﺮﻧﺎﻣﻪ اﻣﻨﻴﺖ اﻃﻼﻋﺎت ﻫﺴﺘﻨﺪ‪ .‬اﮔﺮ ﻛﺎرﻣﻨﺪان‪،‬‬ ‫آﻣﻮزش ﻧﺪﻳﺪه ﺑﺎﺷﻨﺪ‪ ،‬ﺳﻴﺎﺳﺖﻫﺎ و ﻓﺮآﻳﻨﺪﻫﺎي ﺧﻮب‪ ،‬ﻣﻮﺛﺮ ﻧﺨﻮاﻫﻨﺪ ﺑﻮد‪ .‬اﻳﻦ ﺳﻴﺎﺳﺖﻫﺎ ﺑﺎﻳﺴﺘﻲ ﻛﻪ اﺑﺘﺪا ﺑﺎ ﻛﺎرﻣﻨﺪان‬ ‫ﻣﺸﻮرت ﺷﻮد و ﺳﭙﺲ ﺗﻮﺳﻂ ﻣﺪﻳﺮ‪ ،‬اﺟﺒﺎر ﺷﻮد‪ .‬ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﺳﺎزﻣﺎﻧﻲ ﺑﺎﻳﺪ ﻣﺸﺨﺺ ﻛﻨﻨﺪ ﻛﻪ ﭼﮕﻮﻧﻪ و ﭼﻪ زﻣﺎﻧﻲ‬ ‫اﻛﺎﻧﺖﻫﺎ اﻳﺠﺎد و ﭘﺎﻳﺎن ﻳﺎﺑﻨﺪ‪ ،‬ﻫﺮ ﭼﻨﺪ وﻗﺖ ﺑﻪ ﻳﻜﺒﺎر ﺑﺎﻳﺪ ﭘﺴﻮردﻫﺎ ﺗﻐﻴﻴﺮ ﻳﺎﺑﻨﺪ‪ ،‬ﭼﻪ ﻛﺴﻲ ﻣﻲﺗﻮاﻧﺪ ﺑﻪ اﻃﻼﻋﺎت دﺳﺘﺮﺳﻲ‬ ‫ﻳﺎﺑﺪ‪ .‬ﻧﺤﻮه از ﺑﻴﻦ ﺑﺮدن ﻣﺴﺘﻨﺪات ﻛﺎﻏﺬي و ﻣﺤﺪودﻳﺖﻫﺎي دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﻧﻴﺰ ﺑﺎﻳﺪ در ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﻣﻮرد ﺗﻮﺟﻪ‬ ‫ﻗﺮار ﮔﻴﺮﻧﺪ‪ .‬در ﻧﻬﺎﻳﺖ‪ ،‬ﺳﻴﺎﺳﺖ ﺑﺎﻳﺪ ﻣﺴﺎﺋﻞ ﻓﻨﻲ از ﻗﺒﻴﻞ اﺳﺘﻔﺎده از ﻣﻮدمﻫﺎ و ﻛﻨﺘﺮل وﻳﺮوس را ﺷﺎﻣﻞ ﺷﻮد‪.‬‬ ‫ﻳﻜﻲ از ﻣﺰاﻳﺎي ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﻗﻮي اﻳﻦ اﺳﺖ ﻛﻪ ﻣﺴﺌﻮﻟﻴﺖ ﻛﺎرﻣﻨﺪان را از داوري در ﻣﻮرد درﺧﻮاﺳﺖﻫﺎي ﻫﻜﺮ‬ ‫از ﺑﻴﻦ ﻣﻲﺑﺮد‪ .‬اﮔﺮ ﻛﺎر ﺧﻮاﺳﺘﻪ ﺷﺪه ﺑﺎ ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﻣﻐﺎﻳﺮت داﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺷﺨﺺ ﻧﺒﺎﻳﺪ آن را اﻧﺠﺎم دﻫﺪ‪.‬‬ ‫ﻣﻬﻢﺗﺮﻳﻦ ﻣﻮﺿﻮع ﺑﺮاي ﭘﻴﺸﮕﻴﺮي از ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬آﻣﻮزش ﭘﺮﺳﻨﻞ اﺳﺖ‪ .‬ﺑﺎﻳﺴﺘﻲ ﻫﻤﻪ ﭘﺮﺳﻨﻞ آﻣﻮزش‬ ‫ﺑﺒﻴﻨﻨﺪ ﻛﻪ ﭼﮕﻮﻧﻪ اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ ﺧﻮد را ﺣﻔﻆ ﻛﻨﻨﺪ‪ .‬ﺗﻴﻢﻫﺎي ﻣﺪﻳﺮﻳﺘﻲ‪ ،‬در اﻳﺠﺎد و ﭘﻴﺎدهﺳﺎزي ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ‬ ‫درﮔﻴﺮ ﻫﺴﺘﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬آﻧﻬﺎ ﻛﺎﻣﻼ آن را درك و ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻫﺮ ﺳﺎل ﺑﺎﻳﺪ ﻛﻼسﻫﺎﻳﻲ داﻳﺮ ﺷﻮد ﺗﺎ اﻃﻼﻋﺎت‬ ‫ﺟﺪﻳﺪﺗﺮ و ﺑﻪ روزﺗﺮ ﺑﻪ اﻃﻼع اﻓﺮاد ﺑﺮﺳﺪ‪ .‬روش دﻳﮕﺮ ﻧﻴﺰ اﻧﺘﺸﺎر ﻣﺎﻫﺎﻧﻪ‪ ،‬روزﻧﺎﻣﻪ ﻳﺎ ﻣﻘﺎﻻت اﻣﻨﻴﺘﻲ اﺳﺖ‪.‬‬

‫‪35‬‬

‫ﻓﺼﻞ ﺳﻮم‬

Enumeration ‫اﺳﻜﻦ و‬

‫ﻣﻘﺪﻣﻪ‬ ‫اﺳﻜﻦ ﻛﺮدن و ‪ ،enumeration‬اوﻟﻴﻦ ﻣﺮاﺣﻞ ﻫﻚ ﻫﺴﺘﻨﺪ‪ .‬ﭘﺲ از ﻣﺮﺣﻠﻪ اﺳﻜﻦ‪ ،‬ﻣﺮﺣﻠﻪ ‪ enumeration‬آﻏﺎز‬ ‫ﻣﻲﮔﺮدد ﻛﻪ ﺷﺎﻣﻞ ﺷﻨﺎﺳﺎﻳﻲ ﻧﺎم ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ‪ ،‬اﻛﺎﻧﺖﻫﺎي ﻛﺎرﺑﺮان‪ ،‬و ﻣﻨﺎﺑﻊ ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ اﺳﺖ‪ .‬اﺳﻜﻦ و‬ ‫‪ ،enumeration‬ﺑﺎ ﻳﻜﺪﻳﮕﺮ ﻣﻮرد ﺑﺤﺚ ﻗﺮار ﻣﻲﮔﻴﺮﻧﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي ﻫﻚ‪ ،‬ﻫﺮ دوي اﻳﻦ ﻛﺎرﻫﺎ را اﻧﺠﺎم‬ ‫ﻣﻲدﻫﻨﺪ‪.‬‬

‫اﺳﻜﻦ‬ ‫در ﻃﻮل اﺳﻜﻦ‪ ،‬ﻫﻜﺮ ﺑﻪ دﻧﺒﺎل ﺟﻤﻊآوري اﻃﻼﻋﺎت درﺑﺎره ﺷﺒﻜﻪ و ﺳﻴﺴﺘﻢﻫﺎي آن اﺳﺖ‪ .‬اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ‬ ‫آدرسﻫﺎي ‪ ،IP‬ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‪ ،‬ﺳﺮوﻳﺲﻫﺎ‪ ،‬و ﺑﺮﻧﺎﻣﻪﻫﺎي ﻧﺼﺐ ﺷﺪه ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ ﻫﻜﺮ ﻛﻤﻚ ﻛﻨﻨﺪ ﺗﺎ ﺑﺪاﻧﺪ ﭼﻪ ﻧﻮع‬ ‫اﻛﺴﭙﻠﻮﻳﺖ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ﻫﻚ ﻛﺮدن ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﺷﻮد‪ .‬ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ‪ ،‬از اﺳﻜﻦ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ آدرسﻫﺎي ‪IP‬‬ ‫ﺳﻴﺴﺘﻢﻫﺎي ﻣﻘﺼﺪ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬

‫اﺳﻜﻦ ﭘﻮرت‪ ،‬اﺳﻜﻦ ﺷﺒﻜﻪ‪ ،‬و اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي‬ ‫ﭘﺲ از ﻣﺮاﺣﻞ ﺷﻨﺎﺳﺎﻳﻲ اﻛﺘﻴﻮ و ﭘﺴﻴﻮ‪ ،‬اﺳﻜﻦ ﺷﺮوع ﻣﻲﺷﻮد‪ .‬ﺑﺮاي اﻳﻨﻜﻪ ﺑﺪاﻧﻴﻢ آﻳﺎ ﺳﻴﺴﺘﻢ در ﺷﺒﻜﻪ در‬ ‫دﺳﺘﺮس اﺳﺖ ﻳﺎ ﻧﻪ‪ ،‬اﺳﻜﻦ ﻣﻲﻛﻨﻴﻢ‪ .‬اﺑﺰارﻫﺎي اﺳﻜﻦ‪ ،‬ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت درﺑﺎره ﻳﻚ ﺳﻴﺴﺘﻢ از ﻗﺒﻴﻞ آدرسﻫﺎي‬ ‫‪ ،IP‬ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‪ ،‬و ﺳﺮوﻳﺲﻫﺎﻳﻲ ﻛﻪ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻣﻘﺼﺪ در ﺣﺎل اﺟﺮا ﻫﺴﺘﻨﺪ اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪.‬‬

‫‪37‬‬

‫ﺟﺪول زﻳﺮ‪ ،‬ﺳﻪ ﻧﻮع اﺳﻜﻦ را ﺗﻮﺿﻴﺢ ﻣﻲدﻫﺪ‪.‬‬ ‫ﻧﻮع اﺳﻜﻦ‬ ‫اﺳﻜﻦ ﭘﻮرت )‪(Port scanning‬‬ ‫اﺳﻜﻦ ﺷﺒﻜﻪ )‪(Network scanning‬‬

‫ﻫﺪف‬ ‫ﭘﻮرتﻫﺎ و ﺳﺮوﻳﺲﻫﺎي ﺑﺎز را ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‬ ‫آدرسﻫﺎي ‪ IP‬راﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ‬

‫اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي )‪ (Vulnerability scanning‬وﺟﻮد آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺷﻨﺎﺧﺘﻪ ﺷﺪه را ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ‬

‫اﺳﻜﻦ ﭘﻮرت‪ :‬ﻓﺮآﻳﻨﺪ ﺷﻨﺎﺳﺎﻳﻲ ﭘﻮرتﻫﺎي ﺑﺎز ‪ TCP/IP‬ﺑﺮ روي ﻳﻚ ﺳﻴﺴﺘﻢ را ﻣﻲﮔﻮﻳﻨﺪ‪ .‬اﺑﺰارﻫﺎي اﺳﻜﻦ ﭘﻮرت‪ ،‬ﻫﻜﺮ را‬ ‫ﻗﺎدر ﻣﻲﺳﺎزﻧﺪ درﺑﺎره ﺳﺮوﻳﺲﻫﺎي ﻗﺎﺑﻞ دﺳﺘﺮس روي ﻳﻚ ﺳﻴﺴﺘﻢ اﻃﻼﻋﺎت ﻛﺴﺐ ﻛﻨﺪ‪ .‬ﻫﺮ ﺳﺮوﻳﺲ ﻳﺎ ﺑﺮﻧﺎﻣﻪ روي‬ ‫ﻣﺎﺷﻴﻦ‪ ،‬ﺑﺎ ﺷﻤﺎره ﭘﻮرت ﺷﻨﺎﺧﺘﻪ ﺷﺪهاي ﻫﻤﺮاه اﺳﺖ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬اﮔﺮ اﺑﺰار اﺳﻜﻦ ﭘﻮرﺗﻲ ﻧﺸﺎن دﻫﺪ ﻛﻪ ﭘﻮرت ‪ 80‬ﺑﺎز‬ ‫اﺳﺖ ﺑﻪ ﻣﻌﻨﺎي اﻳﻦ اﺳﺖ ﻛﻪ ﺑﺮ روي آن ﺳﻴﺴﺘﻢ‪ ،‬وب ﺳﺮور اﺟﺮا ﻣﻲﺷﻮد‪ .‬ﻫﻜﺮﻫﺎ ﺑﺎﻳﺪ ﺑﺎ ﭘﻮرتﻫﺎي ﻣﻌﺮوف آﺷﻨﺎ ﺑﺎﺷﻨﺪ‪.‬‬ ‫ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز‪ ،‬ﺷﻤﺎره ﭘﻮرتﻫﺎي ﻣﺸﻬﻮر‪ ،‬در ﺷﺎﺧﻪ زﻳﺮ ﻗﺮار دارﻧﺪ‪:‬‬ ‫‪C:\Windows\system32\drivers\etc\services‬‬

‫اﺳﻜﻦ ﺷﺒﻜﻪ‪ :‬ﻓﺮآﻳﻨﺪ ﺷﻨﺎﺳﺎﻳﻲ دﺳﺘﮕﺎهﻫﺎي ﻓﻌﺎل در ﺷﺒﻜﻪ اﺳﺖ ﻛﻪ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ ﻳﺎ ﺑﺮاي ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ ﺷﺒﻜﻪ‬ ‫اﻧﺠﺎم ﻣﻲﮔﻴﺮد‪ .‬دﺳﺘﮕﺎهﻫﺎ ﺑﺎ آدرسﻫﺎي ‪ IP‬ﻣﺸﺨﺺ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي‪ :‬ﻓﺮآﻳﻨﺪ ﺷﻨﺎﺳﺎﻳﻲ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺳﻴﺴﺘﻢﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮي ﺑﺮ روي ﺷﺒﻜﻪ اﺳﺖ‪ .‬ﺑﻄﻮر ﻛﻠﻲ‪،‬‬ ‫ﻳﻚ اﺳﻜﻨﺮ آﺳﻴﺐﭘﺬﻳﺮي‪ ،‬اﺑﺘﺪا ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و ﻧﺴﺨﻪ آن و ﻧﻴﺰ ‪service pack‬ﻫﺎﻳﻲ ﻛﻪ ﻧﺼﺐ ﻫﺴﺘﻨﺪ را ﺷﻨﺎﺳﺎﻳﻲ‬ ‫ﻣﻲﻛﻨﺪ ﺳﭙﺲ‪ ،‬ﺿﻌﻒﻫﺎ و آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ‪ .‬در ﻣﺮﺣﻠﻪ ﺣﻤﻠﻪ‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از اﻳﻦ‬ ‫آﺳﻴﺐﭘﺬﻳﺮيﻫﺎ ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ روي ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬ ‫ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ )‪ ،(IDS‬ﻣﻲﺗﻮاﻧﺪ ﻓﻌﺎﻟﻴﺖﻫﺎي ﻣﺮﺑﻮط ﺑﻪ اﺳﻜﻦ ﭘﻮرت را ﺗﺸﺨﻴﺺ دﻫﺪ‪ .‬اﺑﺰارﻫﺎي اﺳﻜﻦ‪ ،‬ﺑﻪ‬ ‫دﻧﺒﺎل ﭘﻮرتﻫﺎي ‪ TCP/IP‬ﻣﻲﮔﺮدﻧﺪ ﺗﺎ ﭘﻮرتﻫﺎي ﺑﺎز را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ ﻛﻪ اﻳﻦ ﭘﻮﻳﺶ ﭘﻮرت‪ ،‬ﺗﻮﺳﻂ ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي‬ ‫ﺗﺸﺨﻴﺺ اﻣﻨﻴﺘﻲ ﻗﺎﺑﻞ ﺷﻨﺎﺳﺎﻳﻲ ﻫﺴﺘﻨﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ اﺳﻜﻦ ﺷﺒﻜﻪ و آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﻢ ﻣﻌﻤﻮﻻ ﻗﺎﺑﻞ ﺗﺸﺨﻴﺺ ﻫﺴﺘﻨﺪ‪.‬‬

‫‪38‬‬

‫ﻣﺘﺪﻟﻮژي اﺳﻜﻦ‬ ‫ﻣﺘﺪﻟﻮژي زﻳﺮ‪ ،‬ﻓﺮآﻳﻨﺪي اﺳﺖ ﻛﻪ ﻫﻜﺮ‪ ،‬ﺷﺒﻜﻪ را اﺳﻜﻦ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﻣﺘﺪﻟﻮژي‪ ،‬ﻫﻜﺮ را ﻣﻄﻤﺌﻦ ﻣﻲﺳﺎزد ﻛﻪ ﻫﻤﻪ‬ ‫اﻃﻼﻋﺎت ﻻزم ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ‪ ،‬ﺟﻤﻊآوري ﺷﺪه اﺳﺖ‪.‬‬

‫ﺗﻜﻨﻴﻚﻫﺎي ‪Ping Sweep‬‬ ‫ﻣﺘﺪﻟﻮژي اﺳﻜﻦ‪ ،‬ﺑﺎ ﺑﺮرﺳﻲ ﺳﻴﺴﺘﻢﻫﺎﻳﻲ ﻛﻪ در ﺷﺒﻜﻪ ﻓﻌﺎل ﻫﺴﺘﻨﺪ آﻏﺎز ﻣﻲﺷﻮد‪ .‬ﺳﺎدهﺗﺮﻳﻦ‪ ،‬و در ﻋﻴﻦ ﺣﺎل‬ ‫درﺳﺖﺗﺮﻳﻦ روش ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢﻫﺎي ﻓﻌﺎل‪ ،‬اﻧﺠﺎم ‪ ping sweep‬ﺑﺮاي ﺑﺎزه آدرس ‪ IP‬ﺷﺒﻜﻪ اﺳﺖ‪ .‬ﺗﻤﺎم ﺳﻴﺴﺘﻢﻫﺎﻳﻲ‬ ‫ﻛﻪ ﺑﻪ ‪ ping‬ﭘﺎﺳﺦ ﻣﻲدﻫﻨﺪ‪ ،‬ﺑﻪ ﻋﻨﻮان ﺳﻴﺴﺘﻢﻫﺎي ﻓﻌﺎل در ﺷﺒﻜﻪ ﻣﺤﺴﻮب ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫اﺳﻜﻦ ‪ ،ICMP‬ﻓﺮآﻳﻨﺪ ارﺳﺎل ﻳﻚ درﺧﻮاﺳﺖ ‪ ICMP‬ﻳﺎ ‪ ping‬ﺑﻪ ﻫﻤﻪ دﺳﺘﮕﺎهﻫﺎي ﺷﺒﻜﻪ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ‬ ‫ﺳﻴﺴﺘﻢﻫﺎي ﻓﻌﺎل اﺳﺖ‪ .‬ﻳﻜﻲ از ﻣﺰاﻳﺎي اﺳﻜﻦ ‪ ICMP‬اﻳﻦ اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﺼﻮرت ﻣﻮازي اﻧﺠﺎم ﺷﻮد اﻳﻦ ﺑﺪان ﻣﻌﻨﻲ‬ ‫اﺳﺖ ﻛﻪ ﻫﻤﻪ ﺳﻴﺴﺘﻢﻫﺎ در ﻳﻚ زﻣﺎن اﺳﻜﻦ ﻣﻲﺷﻮﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﺑﻪ ﺳﺮﻋﺖ در ﺷﺒﻜﻪ اﺟﺮا ﻣﻲﺷﻮد‪ .‬ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي‬ ‫ﻫﻚ‪ ،‬داراي ﮔﺰﻳﻨﻪ ‪ Ping sweep‬ﻫﺴﺘﻨﺪ اﻳﻦ ﺑﺪان ﻣﻌﻨﻲ اﺳﺖ ﻛﻪ درﺧﻮاﺳﺖ ‪ ICMP‬ﺑﺮاي ﻫﻤﻪ دﺳﺘﮕﺎهﻫﺎي ﺷﺒﻜﻪ‬ ‫اﻧﺠﺎم ﻣﻲﺷﻮد‪.‬‬

‫‪39‬‬

‫ﻣﺴﺎﻟﻪ ﻗﺎﺑﻞ ﺗﻮﺟﻪ در اﻳﻦ روش اﻳﻦ اﺳﺖ ﻛﻪ ﻓﺎﻳﺮوالﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺟﻠﻮي ﭘﺎﺳﺦ ﺳﻴﺴﺘﻢ ﺑﻪ ‪ ping sweep‬را ﺑﮕﻴﺮﻧﺪ‪.‬‬ ‫ﻣﺸﻜﻞ دﻳﮕﺮ اﻳﻦ اﺳﺖ ﻛﻪ ﺑﺎﻳﺴﺘﻲ دﺳﺘﮕﺎه‪ ،‬روﺷﻦ ﺑﺎﺷﺪ ﺗﺎ اﺳﻜﻦ اﻧﺠﺎم ﺷﻮد‪.‬‬ ‫اﺑﺰارﻫﺎي ‪ ،Friendly Pinger ،Pinger ،Angry IP Scanner‬و ‪ WS_Ping_Pro‬ﺑﺮاي اﻧﺠﺎم ﻛﻮﺋﺮيﻫﺎي ‪ICMP‬‬ ‫ﻫﺴﺘﻨﺪ‪.‬‬

‫ﺗﺸﺨﻴﺺ ‪ Ping Sweep‬ﻫﺎ‬ ‫ﺗﻘﺮﻳﺒﺎ ﻫﺮ ﺳﻴﺴﺘﻢ ‪ IDS‬ﻳﺎ ‪Ping Sweep ،IPS‬ﻫﺎﻳﻲ ﻛﻪ در ﺷﺒﻜﻪ اﺗﻔﺎق ﻣﻲاﻓﺘﻨﺪ‪ ،‬را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﻨﺪ و ﮔﺰارش‬ ‫ﻣﻲدﻫﻨﺪ‪ .‬ﺑﺴﻴﺎري از ﻓﺎﻳﺮوالﻫﺎ و ﺳﺮورﻫﺎي ﭘﺮوﻛﺴﻲ‪ ،‬ﭘﺎﺳﺦﻫﺎي ‪ ping‬را ﻣﻲﺑﻨﺪﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻫﻜﺮ ﻧﻤﻲﺗﻮاﻧﺪ ﺑﻄﻮر دﻗﻴﻖ‬ ‫ﻣﺸﺨﺺ ﻛﻨﺪ ﻛﻪ آﻳﺎ ﺗﻨﻬﺎ ﺑﺎ اﺳﺘﻔﺎده از ‪ ،ping sweep‬ﺳﻴﺴﺘﻢﻫﺎ در دﺳﺘﺮس ﻫﺴﺘﻨﺪ ﻳﺎ ﻧﻪ‪ .‬اﮔﺮ ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﺑﻪ ‪ping‬‬ ‫‪ sweep‬ﭘﺎﺳﺦ ﻧﺪﻫﻨﺪ‪ ،‬از ﭘﻮرت اﺳﻜﻨﺮﻫﺎي ﻗﻮيﺗﺮي ﺑﺎﻳﺪ اﺳﺘﻔﺎده ﺷﻮد‪ .‬اﮔﺮ ‪ ،ping sweep‬ﺳﻴﺴﺘﻢ ﻓﻌﺎﻟﻲ را در ﺷﺒﻜﻪ‬ ‫ﻧﺸﺎن ﻧﺪﻫﺪ‪ ،‬ﺑﻪ اﻳﻦ ﻣﻌﻨﺎ ﻧﻴﺴﺖ ﻛﻪ وﺟﻮد ﻧﺪارد ﺷﻤﺎ ﺑﺎﻳﺪ از روشﻫﺎي ﺟﺎﻳﮕﺰﻳﻦ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪ .‬ﺑﻪ ﻳﺎد‬ ‫داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﻛﻪ ﻫﻚ ﻛﺮدن‪ ،‬زﻣﺎن‪ ،‬ﺻﺒﺮ‪ ،‬و ﭘﺸﺘﻜﺎر ﻣﻲﺧﻮاﻫﺪ‪.‬‬

‫اﺳﻜﻦ ﭘﻮرتﻫﺎ و ﺷﻨﺎﺳﺎﻳﻲ ﺳﺮوﻳﺲﻫﺎ‬ ‫ﺑﺮرﺳﻲ ﭘﻮرتﻫﺎي ﺑﺎز‪ ،‬ﮔﺎم دوم در ﻣﺘﺪﻟﻮژي اﺳﻜﻦ اﺳﺖ‪ .‬اﺳﻜﻦ ﭘﻮرت‪ ،‬روﺷﻲ ﺑﺮاي ﺑﺮرﺳﻲ ﭘﻮرتﻫﺎي ﺑﺎز اﺳﺖ‪.‬‬ ‫ﻓﺮآﻳﻨﺪ اﺳﻜﻦ ﭘﻮرت ﺷﺎﻣﻞ ﺟﺴﺘﺠﻮي ﺗﻤﺎم ﭘﻮرتﻫﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ‪ ،‬ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﭘﻮرتﻫﺎي ﺑﺎز اﺳﺖ‪ .‬ﺑﻄﻮر ﻛﻠﻲ‪،‬‬ ‫اﺳﻜﻦ ﭘﻮرت‪ ،‬اﻃﻼﻋﺎت ﺑﺎ ارزﺷﻲ درﺑﺎره دﺳﺘﮕﺎهﻫﺎ و آﺳﻴﺐ ﭘﺬﻳﺮي ﺳﻴﺴﺘﻢﻫﺎ ﻣﻲدﻫﺪ‪.‬‬ ‫ﺷﻨﺎﺳﺎﻳﻲ ﺳﺮوﻳﺲ‪ ،‬ﺳﻮﻣﻴﻦ ﻣﺮﺣﻠﻪ در ﻣﺘﺪﻟﻮژي اﺳﻜﻦ اﺳﺖ ﻛﻪ ﻣﻌﻤﻮﻻ ﺑﺎ اﺳﺘﻔﺎده از ﻫﻤﺎن اﺑﺰارﻫﺎ ﺑﻪ ﻋﻨﻮان‬ ‫اﺳﻜﻦ ﭘﻮرت اﻧﺠﺎم ﻣﻲﺷﻮد‪ .‬ﺑﺎ ﺷﻨﺎﺳﺎﻳﻲ ﭘﻮرتﻫﺎي ﺑﺎز‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺳﺮوﻳﺲﻫﺎﻳﻲ ﻛﻪ ﺑﺎ آن ﺷﻤﺎره ﭘﻮرتﻫﺎ ﻛﺎر‬ ‫ﻣﻲﻛﻨﻨﺪ‪ ،‬را ﺗﺸﺨﻴﺺ دﻫﺪ‪.‬‬

‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ اﺳﻜﻦ ﭘﻮرت‬ ‫روشﻫﺎي ﻣﻘﺎﺑﻠﻪ‪ ،‬ﻓﺮآﻳﻨﺪﻫﺎ ﻳﺎ اﺑﺰارﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﻣﺪﻳﺮان اﻣﻨﻴﺘﻲ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ ﺗﺎ اﺳﻜﻦ ﭘﻮرتﻫﺎ ﺑﺮ روي‬ ‫ﺳﻴﺴﺘﻢﻫﺎي ﺷﺒﻜﻪ را ﺷﻨﺎﺳﺎﻳﻲ و ﻋﻘﻴﻢ ﻛﻨﻨﺪ‪ .‬روشﻫﺎي زﻳﺮ ﺑﺎﻳﺪ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﻛﺴﺐ اﻃﻼﻋﺎت ﺗﻮﺳﻂ ﻫﻜﺮ در ﻃﻮل‬ ‫اﺳﻜﻦ ﭘﻮرت‪ ،‬اﺟﺮا ﺷﻮد‪:‬‬ ‫‪40‬‬

‫•‬

‫ﻣﻌﻤﺎري اﻣﻨﻴﺘﻲ ﺻﺤﻴﺢ‪ ،‬از ﻗﺒﻴﻞ ﭘﻴﺎدهﺳﺎزي ‪ IDS‬ﻫﺎ و ﻓﺎﻳﺮوالﻫﺎ ﺑﺎﻳﺪ اﻧﺠﺎم ﮔﻴﺮد‪.‬‬

‫•‬

‫ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ‪ ،‬از ﻣﺠﻤﻮﻋﻪاي از اﺑﺰارﻫﺎ ﺑﺮاي ﺗﺴﺖ ﻣﻘﺎﺑﻠﻪ ﺑﺎ اﺳﻜﻦ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻓﺎﻳﺮواﻟﻲ ﻧﺼﺐ‬ ‫ﻣﻲﺷﻮد‪ ،‬اﺑﺰار اﺳﻜﻦ ﭘﻮرت ﺑﺎﻳﺪ اﺟﺮا ﺷﻮد ﺗﺎ ﻣﺸﺨﺺ ﻛﻨﺪ آﻳﺎ ﻓﺎﻳﺮوال ﻣﻲﺗﻮاﻧﺪ ﺑﻪ درﺳﺘﻲ از اﺳﻜﻦ ﭘﻮرت‬ ‫ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ ﻳﺎ ﻧﻪ‪.‬‬

‫•‬

‫ﻓﺎﻳﺮوال ﺑﺎﻳﺪ ﺑﺘﻮاﻧﺪ اﺑﺰار اﺳﻜﻦ ﭘﻮرت را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ‪ .‬ﻓﺎﻳﺮوال ﺑﺎﻳﺪ ﺑﺼﻮرت ‪ ،stateful‬ﻧﻈﺎرت داﺷﺘﻪ ﺑﺎﺷﺪ ﻛﻪ‬ ‫اﻳﻦ ﺑﺪان ﻣﻌﻨﻲ اﺳﺖ ﻛﻪ دادهﻫﺎي ﺑﺴﺘﻪ را ﺑﺮرﺳﻲ ﻛﻨﺪ و ﺗﻨﻬﺎ ﻫﺪر ‪ TCP‬را ﺑﺮرﺳﻲ ﻧﻜﻨﺪ‪.‬‬

‫•‬

‫ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﺷﺒﻜﻪاي )‪ ،(NIDS‬ﺑﺎﻳﺪ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﺑﺎ روشﻫﺎي ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‬ ‫ﻫﻤﭽﻮن ‪ Nmap‬اﺳﺘﻔﺎده ﺷﻮد‪.‬‬

‫•‬

‫ﺑﺎﻳﺴﺘﻲ ﺗﻨﻬﺎ ﭘﻮرتﻫﺎي ﻣﻮرد ﻧﻴﺎز ﺑﺎز ﺷﻮﻧﺪ و ﺑﻘﻴﻪ ﺑﺴﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬

‫•‬

‫ﻛﺎرﻛﻨﺎن ﺳﺎزﻣﺎن‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺑﺮاي اﺳﺘﻔﺎده از ﺳﻴﺴﺘﻢ‪ ،‬آﻣﻮزش اﻣﻨﻴﺘﻲ ﻣﻨﺎﺳﺐ دﻳﺪه ﺑﺎﺷﻨﺪ‪ .‬آﻧﻬﺎ ﺑﺎﻳﺪ ﺳﻴﺎﺳﺖﻫﺎي‬ ‫اﻣﻨﻴﺘﻲ ﻣﺨﺘﻠﻒ را ﺑﺪاﻧﻨﺪ‪.‬‬

‫ﺳﻮﺋﻴﭻﻫﺎي دﺳﺘﻮر ‪Nmap‬‬ ‫‪ ،Nmap‬اﺑﺰار راﻳﮕﺎﻧﻲ اﺳﺖ ﻛﻪ ﺑﺎ ﻋﻤﻠﻴﺎت ‪ ،ping sweep‬اﺳﻜﻦ ﭘﻮرت‪ ،‬ﺷﻨﺎﺳﺎﻳﻲ ﺳﺮوﻳﺲ‪ ،‬ﺷﻨﺎﺳﺎﻳﻲ آدرس ‪ ،IP‬و‬ ‫ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ را ﺑﺎ ﺳﺮﻋﺖ ﺑﺎﻻﺗﺮي اﻧﺠﺎم ﻣﻲدﻫﺪ‪ .‬ﻣﺰﻳﺖ ‪ Nmap‬اﻳﻦ اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺗﻌﺪاد زﻳﺎدي ﻣﺎﺷﻴﻦ را‬ ‫در ﻳﻚ ﻧﺸﺴﺖ اﺳﻜﻦ ﻛﻨﺪ و ﺗﻮﺳﻂ اﻏﻠﺐ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎ از ﻗﺒﻴﻞ ﻳﻮﻧﻴﻜﺲ‪ ،‬وﻳﻨﺪوز‪ ،‬و ﻟﻴﻨﻮﻛﺲ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﺷﻮد‪.‬‬ ‫وﺿﻌﻴﺖ ﭘﻮرت ﻛﻪ ﺗﻮﺳﻂ ‪ Nmap‬ﻣﺸﺨﺺ ﻣﻲﺷﻮد ﻣﻲﺗﻮاﻧﺪ ﺑﺼﻮرت ﺑﺎز‪ ،‬ﻓﻴﻠﺘﺮ ﺷﺪه ﻳﺎ ﻓﻴﻠﺘﺮ ﻧﺸﺪه ﺑﺎﺷﺪ‪ .‬ﭘﻮرت ﺑﺎز‬ ‫ﻳﻌﻨﻲ اﻳﻨﻜﻪ ﻣﺎﺷﻴﻦ ﻫﺪف ﺑﻪ درﺧﻮاﺳﺖﻫﺎي ورودي روي ﭘﻮرت ﭘﺎﺳﺦ ﻣﻲدﻫﺪ‪ .‬ﭘﻮرت ﻓﻴﻠﺘﺮ ﺷﺪه ﺑﻪ اﻳﻦ ﻣﻌﻨﻲ اﺳﺖ ﻛﻪ‬ ‫ﻓﺎﻳﺮوال ﻳﺎ ﻓﻴﻠﺘﺮ ﺷﺒﻜﻪ‪ ،‬از ﻛﺸﻒ ﭘﻮرتﻫﺎي ﺑﺎز ﺗﻮﺳﻂ ‪ Nmap‬ﺟﻠﻮﮔﻴﺮي ﻣﻲﻛﻨﻨﺪ‪ .‬ﭘﻮرت ﻓﻴﻠﺘﺮ ﻧﺸﺪه ﺑﻪ اﻳﻦ ﻣﻌﻨﻲ اﺳﺖ‬ ‫ﻛﻪ ﭘﻮرت ﺑﺴﺘﻪ اﺳﺖ و ﻓﺎﻳﺮوال‪ ،‬ﺟﻠﻮي درﺧﻮاﺳﺖﻫﺎي ‪ Nmap‬را ﻧﻤﻲﮔﻴﺮد‪ ،Nmap .‬از ﭼﻨﺪﻳﻦ ﻧﻮع اﺳﻜﻦ ﭘﺸﺘﻴﺒﺎﻧﻲ‬ ‫ﻣﻲﻛﻨﺪ‪ .‬ﺟﺪول زﻳﺮ‪ ،‬ﺑﺮﺧﻲ از راﻳﺞﺗﺮﻳﻦ روشﻫﺎي اﺳﻜﻦ را ﺗﻮﺿﻴﺢ ﻣﻲدﻫﺪ‪.‬‬ ‫ﻧﻮع اﺳﻜﻦ ‪Nmap‬‬ ‫‪TCP connect‬‬ ‫‪XMAS tree scan‬‬

‫ﺗﻮﺿﻴﺢ‬ ‫ﺣﻤﻠﻪ ﻛﻨﻨﺪه‪ ،‬ﻳﻚ ارﺗﺒﺎط ﻛﺎﻣﻞ ‪ TCP‬ﺑﺎ ﺳﻴﺴﺘﻢ ﻫﺪف ﻣﻲﺳﺎزد‪.‬‬ ‫ﺣﻤﻠﻪ ﻛﻨﻨﺪه‪ ،‬ﺳﺮوﻳﺲﻫﺎي ‪ TCP‬را ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪﻫﺎي ‪ ،XMAS-tree‬ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺗﻤﺎم‬ ‫‪flag‬ﻫﺎي ‪ URG ،FIN‬و ‪ PSH‬ﺑﺎ ﻣﻘﺪار ﻳﻚ ﭘﺮ ﺷﺪهاﻧﺪ‪.‬‬

‫‪SYN stealth scan‬‬

‫اﺳﻜﻦ ﻧﻴﻤﻪ ﺑﺎز )‪ (half-open‬ﻧﻴﺰ ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد‪ .‬ﻫﻜﺮ‪ ،‬ﻳﻚ ﺑﺴﺘﻪ ‪ SYN‬را ارﺳﺎل ﻣﻲﻛﻨﺪ و در‬ ‫‪41‬‬

.‫ ﺑﺎز ﻧﻤﻲﺷﻮد‬TCP ‫ در واﻗﻊ ﻳﻚ ارﺗﺒﺎط ﻛﺎﻣﻞ‬.‫ درﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ‬SYN-ACK ‫ ﻳﻚ‬،‫ﭘﺎﺳﺦ‬ ‫ در‬.‫اﻳﻦ ﻳﻚ اﺳﻜﻦ ﭘﻴﺸﺮﻓﺘﻪ اﺳﺖ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ از ﻓﺎﻳﺮوال ﻋﺒﻮر ﻛﻨﺪ وﻟﻲ ﺷﻨﺎﺳﺎﻳﻲ ﻧﺸﻮد‬

Null scan

‫ اﻳﻦ اﺳﻜﻦ ﺗﻨﻬﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢﻫﺎي ﻳﻮﻧﻴﻜﺲ ﻛﺎر‬.‫ﻫﺎ ﺧﺎﻣﻮش ﻫﺴﺘﻨﺪ‬flag ‫ ﺗﻤﺎم‬،Null scan .‫ﻣﻲﻛﻨﺪ‬ .‫ اﺳﺖ و ﻣﻲﺗﻮاﻧﺪ ﭘﻮرتﻫﺎي ﺑﺎز را ﺷﻨﺎﺳﺎي ﻛﻨﺪ‬ACK scan ‫ ﻣﺸﺎﺑﻪ‬،‫اﻳﻦ ﻧﻮع اﺳﻜﻦ‬ ‫ ﺗﻨﻬﺎ ﺑﺮ روي ﻳﻮﻧﻴﻜﺲ‬،ACK scan .‫ ﺑﺮاي ﻣﺸﺨﺺ ﻛﺮدن ﻗﻮاﻧﻴﻦ ﻓﺎﻳﺮوال اﺳﺖ‬،‫اﻳﻦ ﻧﻮع اﺳﻜﻦ‬

Windows scan ACK scan

.‫ﻛﺎر ﻣﻲﻛﻨﺪ‬

:‫ ﺑﺮﺧﻲ از ﺳﻮﺋﻴﭻﻫﺎي دﺳﺘﻮري آن ﻋﺒﺎرﺗﻨﺪ از‬.‫ داراي ﺗﻌﺪاي ﺳﻮﺋﻴﭻ دﺳﺘﻮري اﺳﺖ‬Nmap ،‫ﺑﺮاي اﻧﺠﺎم اﺳﻜﻦ‬ Nmap ‫دﺳﺘﻮر‬ -sT -sS -sF -sX -sN -sP -sU -sO -sA -sW -sR -sL -sI -Po -PT -PS -PI -PB -PB -PM -oN -oX -oG -oA -T Paranoid -T sneaky

‫اﺳﻜﻦ اﻧﺠﺎم ﺷﺪه‬ TCP connect scan SYN scan FIN scan XMAS tree scan Null scan Ping scan UDP scan Protocol scan ACK scan Windows scan RPC scan List/DNS scan Idle scan Don't ping TCP ping SYN ping ICMP ping TCP and ICMP ping ICMP timestamp ICMP netmask Normal output XML output Greppable output All output Serial scan; 300 sec between scans Serial scan; 15 sec between scans 42

‫‪Serial scan; 4 sec between scans‬‬ ‫‪Parallel scan‬‬ ‫‪Parallel scan, 300 sec timeout, and 1.25 sec/probe‬‬ ‫‪Parallel scan, 75 sec timeout, and 3 sec/probe‬‬

‫‪-T polite‬‬ ‫‪-T Normal‬‬ ‫‪-T Aggressive‬‬ ‫‪-T Insane‬‬

‫ﺑﺮاي اﻧﺠﺎم اﺳﻜﻦ ‪ ،Nmap‬در ‪ cmd‬وﻳﻨﺪوز ﻋﺒﺎرت ‪ Nmap IP address‬را ﺑﺎ ﻳﻜﻲ از ﺳﻮﺋﻴﭻﻫﺎي ﻣﻨﺎﺳﺐ ﺗﺎﻳﭗ‬ ‫ﻛﻨﻴﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﺑﺮاي اﺳﻜﻦ ﺳﻴﺴﺘﻤﻲ ﺑﻪ آدرس ‪ 192,168,0,1‬ﺑﺎ اﺳﺘﻔﺎده از ﻧﻮع اﺳﻜﻦ ‪ ،TCP connect‬دﺳﺘﻮر زﻳﺮ‬ ‫را وارد ﻛﻨﻴﺪ‪:‬‬ ‫‪Nmap 192.168.0.1 –sT‬‬ ‫‪HPING2‬‬ ‫اﺑﺰار ﻣﺒﺘﻨﻲ ﺑﺮ دﺳﺘﻮر اﺳﺖ ﻛﻪ ﺣﺎﻟﺖ ‪ Traceroute‬را دارد و داراي ﻗﺎﺑﻠﻴﺖ ﺗﺴﺖ ﻓﺎﻳﺮوال‪ ،‬اﺳﻜﻦ ﭘﻴﺸﺮﻓﺘﻪ ﭘﻮرت‪ ،‬ﺗﺴﺖ‬ ‫ﺷﺒﻜﻪاي ﺑﺎ اﺳﺘﻔﺎده از ﭘﺮوﺗﻜﻞﻫﺎي ﻣﺨﺘﻠﻒ‪ ،‬ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ از راه دور‪ Traceroute ،‬ﭘﻴﺸﺮﻓﺘﻪ و ‪ ...‬اﺳﺖ‪ .‬ﺑﺮﺧﻲ‬ ‫از دﺳﺘﻮرات اﻳﻦ اﺑﺰار ﺑﻪ ﻗﺮار زﻳﺮ اﺳﺖ‪:‬‬ ‫‪Hping2 10.0.0.5‬‬ ‫اﻳﻦ دﺳﺘﻮر‪ ،‬ﻳﻚ ﺑﺴﺘﻪ ‪ TCP null-flags‬ﺑﻪ ﭘﻮرت ‪ 0‬ﻛﺎﻣﭙﻴﻮﺗﺮ ‪ 10.0.0.5‬ارﺳﺎل ﻣﻲﻛﻨﺪ‪.‬‬

‫‪Hping2 10.0.0.5 –p 80‬‬ ‫اﻳﻦ دﺳﺘﻮر‪ ،‬ﺑﺴﺘﻪاي ﺑﻪ ﭘﻮرت ‪ 80‬ارﺳﺎل ﻣﻲﻛﻨﺪ‪.‬‬

‫‪Hping2 –a 10.0.0.5 –s –p 81 10.0.0.25‬‬ ‫اﻳﻦ دﺳﺘﻮر‪ ،‬از ﻃﺮﻳﻖ ﻳﻚ ‪ trusted party‬ﺑﺴﺘﻪﻫﺎي ‪ SYN‬ﺟﻌﻠﻲ ﺑﻪ ﭘﻮرت ‪ 81‬ﻫﺪف ارﺳﺎل ﻣﻲﻛﻨﺪ‪.‬‬

‫‪Hping www.debian.org –p 80 –A‬‬ ‫اﻳﻦ دﺳﺘﻮر‪ ،‬ﺑﻪ ﭘﻮرت ‪ 80‬ﺳﺎﻳﺖ ‪ www.debian.org‬ﺑﺴﺘﻪﻫﺎي ‪ ACK‬ارﺳﺎل ﻣﻲﻛﻨﺪ‪.‬‬

‫‪Hping www.yahoo.com –p 80 –A‬‬ ‫اﻳﻦ دﺳﺘﻮر‪ ،‬ﭘﺎﺳﺦﻫﺎي ‪ IPID‬را ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪43‬‬

‫اﺳﻜﻦﻫﺎي ‪ ،IDLE ،NULL ،XMAS ،Stealth ،SYN‬و ‪FIN‬‬ ‫‪ :SYN‬اﺳﻜﻦ ‪ SYN‬ﻳﺎ ‪ ،stealth‬ﺑﺎ ﻧﺎم اﺳﻜﻦ ﻧﻴﻤﻪ ﺑﺎز ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد ﺑﺮاي اﻳﻨﻜﻪ ﻋﻤﻠﻴﺎت دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي‬ ‫‪ TCP‬را ﻛﺎﻣﻞ ﻧﻤﻲﻛﻨﺪ‪ .‬دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي ‪ TCP/IP‬در ﺑﺨﺶﻫﺎي ﺑﻌﺪي ﺗﻮﺿﻴﺢ داده ﺧﻮاﻫﺪ ﺷﺪ‪ .‬ﻫﻜﺮ ﺑﺴﺘﻪ‬ ‫‪ SYN‬را ﺑﻪ ﻫﺪف ارﺳﺎل ﻣﻲﻛﻨﺪ اﮔﺮ ﻓﺮﻳﻢ ‪ SYN/ACK‬ﺑﺮﮔﺸﺖ داده ﺷﺪ‪ ،‬ﻳﻌﻨﻲ‪ ،‬ﻫﺪف ارﺗﺒﺎط را ﻛﺎﻣﻞ ﻛﺮده و ﭘﻮرت‬ ‫در ﺣﺎل ﮔﻮش دادن اﺳﺖ‪ .‬اﮔﺮ ‪ RST‬ﺑﺮﮔﺸﺖ داده ﺷﺪ‪ ،‬ﻳﻌﻨﻲ ﭘﻮرت ﻳﺎ ﻓﻌﺎل و ﻳﺎ ﺑﺴﺘﻪ اﺳﺖ‪ .‬ﻣﺰاﻳﺎي اﺳﻜﻦ ‪SYN‬‬ ‫‪ stealth‬اﻳﻦ اﺳﺖ ﻛﻪ اﻏﻠﺐ ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻧﻤﻲﺗﻮاﻧﻨﺪ آن را ﺑﻪ ﻋﻨﻮان ﺣﻤﻠﻪ ﻳﺎ ﺗﻼش ﺑﺮاي ارﺗﺒﺎط ﺗﺸﺨﻴﺺ‬ ‫دﻫﻨﺪ‪.‬‬

‫‪ :XMAS‬اﺳﻜﻦﻫﺎي ‪ ،XMAS‬ﺑﺴﺘﻪاي را ﺑﺎ ‪flag‬ﻫﺎي ‪ URG ،FIN‬و ‪ PSH‬ارﺳﺎل ﻣﻲﻛﻨﺪ‪ .‬اﮔﺮ ﭘﻮرت ﺑﺎز ﺑﺎﺷﺪ‪ ،‬ﭘﺎﺳﺨﻲ‬ ‫وﺟﻮد ﻧﺨﻮاﻫﺪ داﺷﺖ اﻣﺎ اﮔﺮ ﭘﻮرت ﺑﺴﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﻫﺪف‪ ،‬ﺑﺴﺘﻪ ‪ RST/ACK‬را ﺑﺮﻣﻲﮔﺮداﻧﺪ‪ XMAS scan .‬ﺗﻨﻬﺎ ﺑﺮ روي‬ ‫ﺳﻴﺴﺘﻢﻫﺎﻳﻲ ﻛﻪ داراي ﭘﻴﺎدهﺳﺎزي ‪ RFC 793‬ﻫﺴﺘﻨﺪ ﻛﺎر ﻣﻲﻛﻨﻨﺪ و ﺑﺮاي ﻧﺴﺨﻪﻫﺎي وﻳﻨﺪوز ﻛﺎر ﻧﻤﻲﻛﻨﺪ‪.‬‬

‫‪ :FIN‬اﺳﻜﻦ ‪ ،FIN‬ﻣﺸﺎﺑﻪ اﺳﻜﻦ ‪ XMAS‬اﺳﺖ اﻣﺎ ﺑﺴﺘﻪاي را ﻛﻪ ﺗﻨﻬﺎ داراي ‪ FIN flag‬اﺳﺖ ارﺳﺎل ﻣﻲﻛﻨﺪ‪FIN .‬‬ ‫‪ scan‬ﻫﻤﺎن ﭘﺎﺳﺦ را درﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ و ﻫﻤﺎن ﻣﺤﺪودﻳﺖﻫﺎي ‪ XMAS scan‬را دارد‪.‬‬

‫‪44‬‬

‫‪ :NULL‬ﻣﺤﺪودﻳﺖﻫﺎ و ﭘﺎﺳﺦﻫﺎي اﺳﻜﻦ ‪ NULL‬ﻣﺸﺎﺑﻪ ‪ XMAS‬و ‪ FIN‬اﺳﺖ اﻣﺎ ﺑﺴﺘﻪاي را ﺑﺪون ‪ flag‬ارﺳﺎل‬ ‫ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ :IDLE‬اﺳﻜﻦ ‪ ،IDLE‬از آدرس ‪ IP‬ﺟﻌﻠﻲ ﺑﺮاي ارﺳﺎل ﺑﺴﺘﻪ ‪ SYN‬ﺑﻪ ﻣﻘﺼﺪ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﺑﺴﺘﻪ ﺑﻪ ﭘﺎﺳﺦ‪ ،‬ﭘﻮرت‬ ‫ﻣﻲﺗﻮاﻧﺪ ﺑﺎز ﻳﺎ ﺑﺴﺘﻪ ﺑﺎﺷﺪ‪ ،IDLE scan .‬ﭘﺎﺳﺦ اﺳﻜﻦ را ﺑﺎ ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ ‪ sequence number‬ﻫﺪر ‪ ،IP‬ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ‪.‬‬

‫اﻧﻮاع ‪flag‬ﻫﺎي ارﺗﺒﺎط ‪TCP‬‬ ‫ارﺗﺒﺎﻃﺎت ‪ ،TCP‬ﭘﻴﺶ از اﻳﺠﺎد ارﺗﺒﺎط و اﻧﺘﻘﺎل داده‪ ،‬ﻧﻴﺎز ﺑﻪ دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي )‪(3-way handshake‬‬ ‫دارد‪ .‬ﺷﻜﻞ زﻳﺮ‪ ،‬ﻣﺮاﺣﻞ اﻳﺠﺎد اﻳﻦ ارﺗﺒﺎط را ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬

‫ﺑﺮاي ﺗﻜﻤﻴﻞ دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي و اﻳﺠﺎد ارﺗﺒﺎط ﻣﻮﻓﻘﻴﺖ آﻣﻴﺰ ﺑﻴﻦ دو ﺳﻴﺴﺘﻢ‪ ،‬ﻓﺮﺳﺘﻨﺪه ﺑﺎﻳﺴﺘﻲ ﻳﻚ‬ ‫ﺑﺴﺘﻪ ‪ TCP‬ﺑﺎ ﺑﻴﺖ ‪ SYN‬ارﺳﺎل ﻛﻨﺪ‪ .‬ﺳﭙﺲ‪ ،‬ﺳﻴﺴﺘﻢ درﻳﺎﻓﺖ ﻛﻨﻨﺪه‪ ،‬ﺑﺎ ﺑﺴﺘﻪ ‪ TCP‬ﻛﻪ داراي ﺑﻴﺖ ‪ SYN‬و ‪ACK‬‬ ‫اﺳﺖ‪ ،‬ﭘﺎﺳﺦ را ﻣﻲدﻫﺪ ﻛﻪ ﻧﺸﺎن دﻫﻨﺪه اﻳﻦ اﺳﺖ ﻛﻪ ﺳﻴﺴﺘﻢ آﻣﺎده درﻳﺎﻓﺖ داده اﺳﺖ‪ .‬ﺳﻴﺴﺘﻢ ﻣﺒﺪا‪ ،‬ﺑﺴﺘﻪ ﻧﻬﺎﻳﻲ را ﺑﺎ‬ ‫ﺑﻴﺖ ‪ ACK‬ارﺳﺎل ﻣﻲﻛﻨﺪ ﻛﻪ ﻧﺸﺎن ﻣﻲدﻫﺪ ارﺗﺒﺎط ﻛﺎﻣﻞ ﺷﺪه اﺳﺖ و دادهﻫﺎ آﻣﺎده ارﺳﺎل ﺷﺪن ﻫﺴﺘﻨﺪ‪.‬‬

‫‪45‬‬

‫از آﻧﺠﺎﺋﻴﻜﻪ ‪ ،TCP‬ﻳﻚ ﭘﺮوﺗﻜﻞ اﺗﺼﺎل ﮔﺮا )‪ (connection-oriented‬اﺳﺖ‪ ،‬ﻓﺮآﻳﻨﺪ ﺑﺮﻗﺮاري ارﺗﺒﺎط‪ ،‬راهاﻧﺪازي‬ ‫ﻣﺠﺪد ارﺗﺒﺎط ﻗﻄﻊ ﺷﺪه‪ ،‬و ﺧﺎﺗﻤﻪ ارﺗﺒﺎط‪ ،‬ﺑﺨﺸﻲ از ﭘﺮوﺗﻜﻞ اﺳﺖ‪ .‬اﻳﻦ ﻧﺸﺎﻧﮕﺮﻫﺎي ﭘﺮوﺗﻜﻞ‪ flag ،‬ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد‪.‬‬ ‫ﭘﺮوﺗﻜﻞ ‪ ،TCP‬ﺷﺎﻣﻞ ‪flag‬ﻫﺎي ‪ ،PSH ،URG ،SYN ،RST ،ACK‬و ‪ FIN‬اﺳﺖ‪ .‬ﻟﻴﺴﺖ زﻳﺮ‪ ،‬ﻋﻤﻠﻜﺮد ‪flag‬ﻫﺎي ‪TCP‬‬ ‫را ﻧﺸﺎن ﻣﻲدﻫﺪ‪:‬‬ ‫‪ :(Synchronize) SYN‬ارﺗﺒﺎط را ﺑﻴﻦ ﺳﻴﺴﺘﻢﻫﺎ ﺷﺮوع ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ :(Acknowledge) ACK‬ارﺗﺒﺎط را ﺑﻴﻦ ﺳﻴﺴﺘﻢﻫﺎ ﺑﺮﻗﺮار ﻣﻲﺳﺎزد‪.‬‬ ‫‪ :(Push) PSH‬ﺳﻴﺴﺘﻢ‪ ،‬داده ﺑﺎﻓﺮ ﺷﺪه را ﻓﺮوارد ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ :(Urgent) URG‬دادهﻫﺎي داﺧﻞ ﺑﺴﺘﻪ‪ ،‬ﺑﺎﻳﺪ ﺳﺮﻳﻌﺘﺮ ﭘﺮدازش ﺷﻮﻧﺪ‪.‬‬ ‫‪ :(Finish) FIN‬دﻳﮕﺮ اﻧﺘﻘﺎل اﻧﺠﺎم ﻧﮕﻴﺮد‪.‬‬ ‫‪ :(Reset) RST‬ارﺗﺒﺎط را دوﺑﺎره راهاﻧﺪازي ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از ‪flag‬ﻫﺎ‪ ،‬ﺑﻪ ﺟﺎي ﺗﻜﻤﻴﻞ ﻛﺮدن ارﺗﺒﺎط ﻛﺎﻣﻞ ‪ ،TCP‬از ﺷﻨﺎﺳﺎﻳﻲ ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ‪ .‬اﻧﻮاع‬ ‫اﺳﻜﻦ ‪ TCP‬ﻛﻪ در ﺟﺪول زﻳﺮ ﻟﻴﺴﺖ ﺷﺪه اﺳﺖ ﺗﻮﺳﻂ ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي اﺳﻜﻦ ﺑﺮاي درﻳﺎﻓﺖ ﭘﺎﺳﺦ از ﻳﻚ ﺳﻴﺴﺘﻢ ﻳﺎ‬ ‫ﺗﻨﻈﻴﻢ ‪ flag‬اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫‪Flags sent by hacker‬‬ ‫)‪All flags set (ACK, RST, SYN, URG, PSH, FIN‬‬ ‫‪FIN‬‬ ‫‪No flags set‬‬ ‫‪SYN, then ACK‬‬ ‫‪SYN, then RST‬‬

‫‪46‬‬

‫‪XMAS Scan‬‬ ‫‪XMAS scan‬‬ ‫‪FIN scan‬‬ ‫‪NULL Scan‬‬ ‫‪TCP connect/full-open scan‬‬ ‫‪SYN scan/half-open scan‬‬

‫‪FloppyScan‬‬ ‫ﻳﻜﻲ از اﺑﺰارﻫﺎي ﺧﻄﺮﻧﺎك ﻫﻚ اﺳﺖ ﻛﻪ ﺑﺮاي اﺳﻜﻦ ﭘﻮرت ﺑﺎ اﺳﺘﻔﺎده از ﻓﻼﭘﻲ دﻳﺴﻚ ﺑﻜﺎر ﻣﻲرود‪ .‬ﻣﺤﺘﻮاي آن‪،‬‬ ‫‪ mini Linux‬اﺳﺖ و ﺑﺎ اﺳﺘﻔﺎده از ‪ ،NMAP‬ﭘﻮرتﻫﺎ را اﺳﻜﻦ ﻣﻲﻛﻨﺪ و از ﻃﺮﻳﻖ اﻳﻤﻴﻞ‪ ،‬ﻧﺘﺎﻳﺞ آن را راﺳﺎل ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺷﻜﻞ زﻳﺮ‪ ،‬ﻣﺮاﺣﻞ ‪ FloppyScan‬را ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬

‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،IPEye‬ﻳﻚ اﺳﻜﻨﺮ ﭘﻮرت ‪ TCP‬اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ اﺳﻜﻦﻫﺎي ‪ Null ،FIN ،SYN‬و ‪ XMAS‬را اﻧﺠﺎم دﻫﺪ‪ .‬و ﻳﻚ اﺑﺰار‬ ‫ﺧﻂ دﺳﺘﻮري )‪ (Command-Line‬اﺳﺖ‪ ،IPEye .‬ﭘﻮرتﻫﺎي روي ﺳﻴﺴﺘﻢ ﻫﺪف و ﭘﺎﺳﺦﻫﺎ را ﭘﻮﻳﺶ ﻣﻲﻛﻨﺪ‪ .‬ﭘﻮرت‬ ‫ﺑﺴﺘﻪ )‪ ،(closed‬ﺑﻪ ﻣﻌﻨﺎي اﻳﻦ اﺳﺖ ﻛﻪ ﻛﺎﻣﭙﻴﻮﺗﺮي وﺟﻮد دارد اﻣﺎ ﺑﻪ آن ﭘﻮرت ﮔﻮش ﻧﻤﻲدﻫﺪ‪ .‬ﭘﺎﺳﺦ رد )‪ ،(reject‬ﺑﻪ‬ ‫اﻳﻦ ﻣﻌﻨﺎﺳﺖ ﻛﻪ ﻓﺎﻳﺮوال‪ ،‬ارﺗﺒﺎط ﺑﺎ آن ﭘﻮرت را رد ﻣﻲﻛﻨﺪ‪ .‬ﭘﺎﺳﺦ دور اﻧﺪاﺧﺘﻦ )‪ (drop‬ﺑﻪ اﻳﻦ ﻣﻌﻨﺎ اﺳﺖ ﻛﻪ ﻓﺎﻳﺮوال‪ ،‬ﻫﺮ‬ ‫ﭼﻴﺰي را روي ﭘﻮرت دور ﻣﻲاﻧﺪازد ﻳﺎ ﻛﺎﻣﭙﻴﻮﺗﺮ وﺟﻮد ﻧﺪارد‪ .‬ﭘﺎﺳﺦ ﺑﺎز )‪ (open‬ﺑﻪ اﻳﻦ ﻣﻌﻨﺎﺳﺖ ﻛﻪ ﺑﺮﺧﻲ از ﺳﺮوﻳﺲﻫﺎ‬ ‫ﺑﻪ آن ﭘﻮرت ﮔﻮش ﻣﻲدﻫﻨﺪ‪.‬‬ ‫‪ ،IPSecScan‬اﺑﺰاري اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺗﻨﻬﺎ ﻳﻚ آدرس ‪ IP‬ﻳﺎ ﺑﺎزهاي از آدرسﻫﺎ را ﺟﺴﺘﺠﻮ ﻛﻨﺪ ﺗﺎ ﺑﺒﻴﻨﺪ ‪ IPSec‬ﺑﺮ‬ ‫روي ﻛﺪاﻣﻴﻚ از ﺳﻴﺴﺘﻢﻫﺎ ﻓﻌﺎل اﺳﺖ‪.‬‬ ‫‪ ،Hping2‬ﻗﺎﺑﻞ ﺗﻮﺟﻪ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﻋﻼوه ﺑﺮ ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‪ ،‬داراي ﻗﺎﺑﻠﻴﺖﻫﺎي دﻳﮕﺮي ﻫﻤﭽﻮن ﭘﺮوﺗﻜﻞﻫﺎي‬ ‫‪ ،traceroue mode ،ICMP ،UDP ،TCP‬و ﻗﺎﺑﻠﻴﺖ ارﺳﺎل ﻓﺎﻳﻞﻫﺎ ﺑﻴﻦ ﺳﻴﺴﺘﻢ ﻣﻨﺒﻊ و ﻣﻘﺼﺪ اﺳﺖ‪.‬‬

‫‪47‬‬

‫‪ ،SNMP Scanner‬ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲدﻫﺪ ﺑﺎزهاي از ﺳﻴﺴﺘﻢﻫﺎ را ﺑﺎ اﺳﺘﻔﺎده از ﻛﻮﺋﺮيﻫﺎي ‪ ،DNS ،ping‬و ‪SNMP‬‬ ‫اﺳﻜﻦ ﻛﻨﻴﺪ‪.‬‬ ‫‪ Netscan Tools Pro 2000, Hping2, KingPingicmpenum‬و ‪ SNMP Scanner‬اﺑﺰارﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﻣﻲﺗﻮاﻧﻨﺪ‬ ‫ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪.‬‬

‫ﺗﻜﻨﻴﻚﻫﺎي ‪War-Dialing‬‬ ‫‪ ،War dialing‬ﻓﺮآﻳﻨﺪ ﺗﻤﺎس ﺑﺎ ﺷﻤﺎره ﻣﻮدم ﺑﺮاي ﻳﺎﻓﺘﻦ ارﺗﺒﺎط ﺑﺎز ﻣﻮدم اﺳﺖ ﻛﻪ اﺟﺎزه دﺳﺘﺮﺳﻲ از راه دور را‬ ‫ﺑﻪ ﻳﻚ ﺷﺒﻜﻪ ﺑﺪﻫﺪ‪ .‬ﻛﻠﻤﻪ ‪ ،war dialing‬از اوﻟﻴﻦ روزﻫﺎي اﻳﻨﺘﺮﻧﺖ ﺑﻪ وﺟﻮد آﻣﺪ زﻣﺎﻧﻴﻜﻪ اﻏﻠﺐ ﺷﺮﻛﺖﻫﺎ از ﻃﺮﻳﻖ ﻣﻮدم‬ ‫‪ dial-up‬ﺑﻪ اﻳﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ ﺑﻮدﻧﺪ‪ ،War dialing .‬ﺑﻪ ﻋﻨﻮان روش اﺳﻜﻦ ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد ﺑﺮاي اﻳﻨﻜﻪ ﺑﻪ دﻧﺒﺎل ارﺗﺒﺎﻃﺎت‬ ‫ﺷﺒﻜﻪاي دﻳﮕﺮي ﻣﻲﮔﺮدد ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ ﻧﺴﺒﺖ ﺑﻪ ارﺗﺒﺎط اﻳﻨﺘﺮﻧﺘﻲ اﺻﻠﻲ‪ ،‬داراي اﻣﻨﻴﺖ ﭘﺎﻳﻴﻦﺗﺮي ﺑﺎﺷﺪ‪ .‬ﺑﺴﻴﺎري از‬ ‫ﺳﺎزﻣﺎنﻫﺎ‪ ،‬ﻣﻮدمﻫﺎي ‪ remote access‬را راهاﻧﺪازي ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﻫﺮ ﭼﻨﺪ ﻛﻪ اﻣﺮوزه ﻣﻨﺴﻮخ ﺷﺪه ﻫﺴﺘﻨﺪ وﻟﻲ ﻧﻤﻲﺗﻮان‬ ‫اﻳﻦ ﺳﺮورﻫﺎي ‪ remote-access‬را ﺣﺬف ﻛﺮد‪ .‬اﻳﻦ ﺑﺎﻋﺚ ﻣﻲﺷﻮد ﻛﻪ ﻫﻜﺮﻫﺎ روش ﺳﺎدهاي ﺑﺮاي وارد ﺷﺪن ﺑﻪ ﺷﺒﻜﻪ‬ ‫ﭘﻴﺪا ﻛﻨﻨﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﺑﺴﻴﺎري از ﺳﻴﺴﺘﻢﻫﺎي دﺳﺘﺮﺳﻲ راه دور‪ ،‬از ‪ PAP‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﭘﺴﻮرد را ﺑﺼﻮرت ﻏﻴﺮ‬ ‫رﻣﺰ ﺷﺪه ارﺳﺎل ﻣﻲﻛﻨﺪ در ﺣﺎﻟﻴﻜﻪ ﺗﻜﻨﻮﻟﻮژي ﺟﺪﻳﺪ ﻛﻪ ‪ VPN‬ﻧﺎم دارد‪ ،‬ﭘﺴﻮردﻫﺎ را رﻣﺰ ﻣﻲﻛﻨﺪ‪.‬‬

‫اﺑﺰارﻫﺎي ‪ ،War-dialing‬در ﺷﺮاﻳﻄﻲ ﻛﺎر ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﺷﺮﻛﺖﻫﺎ‪ ،‬ﭘﻮرتﻫﺎي ورودي )‪ (dial-in‬را ﻛﻨﺘﺮل ﻧﻜﻨﻨﺪ‪.‬‬ ‫ﺑﺴﻴﺎري از ﺳﺮورﻫﺎ‪ ،‬ﻫﻨﻮز ﻫﻢ از ﻣﻮدم ﺑﺎ ﺧﻂ ﺗﻠﻔﻦ ﺑﻪ ﻋﻨﻮان ﭘﺸﺘﻴﺒﺎن اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬اﻳﻦ ارﺗﺒﺎﻃﺎت ﻣﻮدم‪ ،‬ﻣﻲﺗﻮاﻧﺪ‬ ‫ﺑﺮاي ﺑﺮﻧﺎﻣﻪ ‪ war-dialing‬ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ و ﺷﺒﻜﻪ داﺧﻠﻲ اﺳﺘﻔﺎده ﺷﻮد‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ THC-Scan, ModemScan, ToneLoc, Phonesweep, war dialer‬و ‪ ،telesweep‬اﺑﺰارﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺷﻤﺎره‬ ‫ﺗﻠﻔﻦﻫﺎ را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ و ﻣﻲﺗﻮاﻧﺪ ﻫﺪف را ﺷﻤﺎره ﮔﻴﺮي ﻛﻨﺪ ﺗﺎ ارﺗﺒﺎﻃﻲ ﺑﺎ ﻣﻮدم ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺮﻗﺮار ﻛﻨﺪ‪ .‬اﻳﻦ اﺑﺰارﻫﺎ‪ ،‬ﺑﺎ‬ ‫اﺳﺘﻔﺎده از ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي و ﻛﻠﻤﺎت ﻋﺒﻮر ﭘﻴﺶ ﻓﺮض ﻛﺎر ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﺑﺘﻮاﻧﻨﺪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﺘﺼﻞ ﺷﻮﻧﺪ‪ .‬ﺑﺴﻴﺎري از‬ ‫ارﺗﺒﺎﻃﺎت از راه دور‪ ،‬ﺑﻪ ﺧﺎﻃﺮ اﻳﻦ ﭘﺴﻮردﻫﺎ اﻣﻦ ﻧﻴﺴﺘﻨﺪ‪.‬‬ ‫‪48‬‬

‫ﺗﻜﻨﻴﻚﻫﺎي ‪ Banner Grabbing‬و ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‬ ‫‪ Banner Grabbing‬و ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‪ ،‬ﻛﻪ ﺑﻪ ﻋﻨﻮان ﺷﻨﺎﺳﺎﻳﻲ ﭘﺸﺘﻪ ‪ TCP/IP‬ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪،‬‬ ‫ﭼﻬﺎرﻣﻴﻦ ﻣﺮﺣﻠﻪ در ﻣﺘﺪﻟﻮژي اﺳﻜﻦ اﺳﺖ‪ .‬ﻓﺮآﻳﻨﺪ ﺷﻨﺎﺳﺎﻳﻲ‪ ،‬ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲدﻫﺪ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ را روي ﺷﺒﻜﻪ ﭘﻴﺪا‬ ‫ﻛﻨﺪ‪ .‬ﻫﻜﺮﻫﺎ‪ ،‬ﺑﻪ دﻧﺒﺎل ﺳﺎدهﺗﺮﻳﻦ روش ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ ﻫﺴﺘﻨﺪ‪،Banner grabbing .‬‬ ‫ﻓﺮآﻳﻨﺪ ﺑﺎز ﻛﺮدن ﻳﻚ ارﺗﺒﺎط و ﺧﻮاﻧﺪن ﺑﻨﺮ ﻳﺎ ﭘﺎﺳﺦ ارﺳﺎل ﺷﺪه ﺗﻮﺳﻂ ﺑﺮﻧﺎﻣﻪ اﺳﺖ‪ .‬ﺑﺴﻴﺎري از اﻳﻤﻴﻞﻫﺎ‪ ،FTP ،‬و وب‬ ‫ﺳﺮورﻫﺎ ﺑﻪ ارﺗﺒﺎط ‪ telnet‬ﺑﺎ اﺳﻢ و ﻧﺴﺨﻪ ﻧﺮماﻓﺰار ﭘﺎﺳﺦ ﻣﻲدﻫﻨﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﻳﻚ ﺳﺮور ‪ ،Microsoft Exchange‬ﺗﻨﻬﺎ‬ ‫ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز ﻗﺎﺑﻞ ﻧﺼﺐ اﺳﺖ‪.‬‬ ‫ﺷﻨﺎﺳﺎﻳﻲ اﻛﺘﻴﻮ ﭘﺸﺘﻪ‪ ،‬ﺷﺎﻣﻞ ارﺳﺎل دادهﻫﺎ ﺑﻪ ﺳﻮي ﺳﻴﺴﺘﻤﻲ ﺑﺮاي دﻳﺪن ﻧﺤﻮه ﭘﺎﺳﺦ آن اﺳﺖ‪ .‬ﺑﺮاي اﻳﻨﻜﻪ‬ ‫ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎي ﻣﺨﺘﻠﻒ‪ ،‬از ﭘﺸﺘﻪﻫﺎي ‪ TCP‬ﻣﺨﺘﻠﻔﻲ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﻧﺤﻮه ﭘﺎﺳﺦ آﻧﻬﺎ ﻣﺘﻔﺎوت اﺳﺖ‪ .‬ﺳﭙﺲ‪،‬‬ ‫اﻳﻦ ﭘﺎﺳﺦﻫﺎ ﺑﺎ ﭘﺎﻳﮕﺎه دادهاي ﻛﻪ از ﭘﺎﺳﺦ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎي ﻣﺨﺘﻠﻒ وﺟﻮد دارد‪ ،‬ﻣﻘﺎﻳﺴﻪ ﻣﻲﺷﻮد و ﻧﻮع ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‬ ‫ﻛﺸﻒ ﻣﻲﺷﻮد‪ .‬اﻳﻦ ﻧﻮع ﺷﻨﺎﺳﺎﻳﻲ‪ ،‬ﻗﺎﺑﻞ ﺗﺸﺨﻴﺺ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺳﻴﺴﺘﻢ‪ ،‬ﺗﻼشﻫﺎي ﻣﺘﻌﺪدي را ﺑﺮاي ارﺗﺒﺎط ﺑﺎ‬ ‫ﺳﻴﺴﺘﻢ ﻫﺪف ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ ﭘﺸﺘﻪ‪ ،‬زﻳﺮﻛﺎﻧﻪﺗﺮ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ را ﻣﻮرد ﺑﺮرﺳﻲ ﻗﺮار ﻣﻲدﻫﺪ ﺗﺎ ﻧﻮع ﺳﻴﺴﺘﻢ‬ ‫ﻋﺎﻣﻞ را ﻛﺸﻒ ﻛﻨﺪ و ﺑﻪ ﺟﺎي ﺗﻜﻨﻴﻚﻫﺎي اﺳﻜﻦ‪ ،‬از ﺗﻜﻨﻴﻚﻫﺎي ‪ sniffing‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﻣﻌﻤﻮﻻ‪ ،‬ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻴﻮ‬ ‫ﭘﺸﺘﻪ‪ ،‬ﺗﻮﺳﻂ ‪ IDS‬ﻳﺎ ﺳﻴﺴﺘﻢﻫﺎي دﻳﮕﺮ اﻣﻨﻴﺘﻲ ﻏﻴﺮ ﻗﺎﺑﻞ ﺗﺸﺨﻴﺺ اﺳﺖ اﻣﺎ ﺻﺤﺖ آن ﻛﻤﺘﺮ از ﺷﻨﺎﺳﺎﻳﻲ اﻛﺘﻴﻮ اﺳﺖ‪.‬‬ ‫ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ از ‪ ،telnet‬ﺑﺮاي ‪ banner grabbing‬ﻳﻚ ﺳﺎﻳﺖ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬ ‫‪telnet www.certifiedhacker 80 head / http/1.0‬‬ ‫ﻫﻤﭽﻨﻴﻦ ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار ‪ pof‬ﻣﻲﺗﻮاﻧﻴﺪ اﻃﻼﻋﺎت ﺧﻮﺑﻲ در ﻣﻮرد ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ راه دور ﺑﺪاﻧﻴﺪ‪ .‬ﺑﺮاي اﻳﻨﻜﺎر از‬ ‫دﺳﺘﻮر >‪ pof –I net use \\192.21.7.1\IPC$ “” /u:‬‬

‫‪Windows:‬‬

‫”“ ‪$ smbclient \\\\target\\ipc\$ “” –U‬‬

‫‪Linux:‬‬

‫زﻣﺎﻧﻴﻜﻪ دﺳﺘﻮر ‪ net use‬ﺑﺎ ﻣﻮﻓﻘﻴﺖ ﺑﻪ ﭘﺎﻳﺎن رﺳﻴﺪ‪ ،‬ﻫﻜﺮ ﻛﺎﻧﺎﻟﻲ دارد ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي اﺑﺰارﻫﺎ و ﺗﻜﻨﻴﻚﻫﺎي دﻳﮕﺮ‬ ‫از آن اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎﻳﻲ ﻛﻪ ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪.GetAcct ،user2sid ،sid2user ،enum ،SuperScan ،Nbtstat ،NetView ،DumpSec‬‬

‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪Null Session‬‬ ‫‪ ،Null sessions‬از ﭘﻮرتﻫﺎي ‪ 139 ،137 ،135‬و ‪ TCP 445‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﭘﺲ ﻳﻜﻲ از روشﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ‬ ‫آن‪ ،‬ﺑﺴﺘﻦ اﻳﻦ ﭘﻮرتﻫﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺖ‪ .‬ﻫﻤﭽﻨﻴﻦ ﻣﻲﺗﻮان ﺑﺎ ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن ﺳﺮوﻳﺲ ‪ SMB‬روي‬ ‫دﺳﺘﮕﺎهﻫﺎ )ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن ‪ ،(TCP/IP WINS client‬از وﻗﻮع آن ﺟﻠﻮﮔﻴﺮي ﻛﺮد‪ .‬ﺑﺮاي اﻳﻨﻜﺎر‪ ،‬ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم‬ ‫دﻫﻴﺪ‪:‬‬ ‫‪ .1‬ﺑﺮ روي ﻛﺎرت ﺷﺒﻜﻪ راﺳﺖ ﻛﻠﻴﻚ ﻛﻨﻴﺪ و ﮔﺰﻳﻨﻪ ‪ properties‬را اﻧﺘﺨﺎب ﻛﻨﻴﺪ‪.‬‬ ‫‪ .2‬ﺑﺮ روي ‪ TCP/IP‬ﻛﻠﻴﻚ ﻛﻨﻴﺪ و ﺳﭙﺲ دﻛﻤﻪ ‪ Properties‬را ﻛﻠﻴﻚ ﻛﻨﻴﺪ‪.‬‬ ‫‪ .3‬ﺑﺮ روي دﻛﻤﻪ ‪ Advanced‬ﻛﻠﻴﻚ ﻛﻨﻴﺪ‪.‬‬ ‫‪ .4‬در زﺑﺎﻧﻪ ‪ ،WINS‬ﮔﺰﻳﻨﻪ ‪ disable NetBIOS Over TCP/IP‬را اﻧﺘﺨﺎب ﻛﻨﻴﺪ‪.‬‬

‫ﻣﺪﻳﺮ اﻣﻨﻴﺘﻲ ﻣﻲﺗﻮاﻧﺪ ﺑﻄﻮر ﻣﺴﺘﻘﻴﻢ رﺟﻴﺴﺘﺮي را وﻳﺮاﻳﺶ ﻛﻨﺪ ﺗﺎ اﺟﺎزه ورود ﺑﻪ ﻛﺎرﺑﺮ ﻧﺎﺷﻨﺎس را ﻧﺪﻫﺪ‪ .‬ﺑﺮاي‬ ‫ﭘﻴﺎدهﺳﺎزي آن‪ ،‬ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ‪:‬‬ ‫‪ Regedt32 .1‬را ﺑﺎز ﻛﻨﻴﺪ و وارد ﻣﺴﻴﺮ ‪ HKLM\SYSTEM\CurrentControlSet\LSA‬ﺷﻮﻳﺪ‪.‬‬ ‫‪ .2‬از ﻣﻨﻮي ‪ ،Edit‬ﮔﺰﻳﻨﻪ ‪ Add Value‬را اﻧﺘﺨﺎب ﻛﻨﻴﺪ و ﻣﻘﺎدﻳﺮ زﻳﺮ را وارد ﻛﻨﻴﺪ‪:‬‬ ‫‪Value name: RestrictAnonymous .a‬‬ ‫‪Data Type: REG_WORD .b‬‬ ‫‪Value: 2 .c‬‬

‫‪56‬‬

‫ﻫﻤﭽﻨﻴﻦ‪ PS Tools ،‬ﺷﺎﻣﻞ اﺑﺰارﻫﺎﻳﻲ ﺑﺮاي ‪ enumeration‬اﺳﺖ‪ .‬ﺑﺮﺧﻲ از اﻳﻦ اﺑﺰارﻫﺎ ﻧﻴﺎز ﺑﻪ اﺣﺮاز ﻫﻮﻳﺖ دارﻧﺪ‪.‬‬ ‫‪ :PsExec‬اﺟﺮاي از راه دور ﭘﺮدازشﻫﺎ‬ ‫‪ :PsFile‬ﻧﻤﺎﻳﺶ از راه دور ﻓﺎﻳﻞﻫﺎي ﺑﺎز ﺷﺪه‬ ‫‪ :PsGetSid‬ﻧﻤﺎﻳﺶ ‪ SID‬ﻳﻚ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻳﺎ ﻳﻚ ﻛﺎرﺑﺮ‬ ‫‪ :PsKill‬ﻣﺘﻮﻗﻒ ﻛﺮدن ﭘﺮدازشﻫﺎ ﺑﺎ اﺳﺘﻔﺎده از ﻧﺎم ﻳﺎ ﺷﻤﺎره ﭘﺮدازش‬ ‫‪ :PsInfo‬ﻧﻤﺎﻳﺶ اﻃﻼﻋﺎت ﺳﻴﺴﺘﻢ‬ ‫‪ :PsList‬ﻧﻤﺎﻳﺶ اﻃﻼﻋﺎت ﺟﺰﺋﻲ درﺑﺎره ﭘﺮدازشﻫﺎ‬ ‫‪ :PsLoggedOn‬ﻛﺴﻲ را ﻛﻪ ﺑﺼﻮرت ‪ local‬و از ﻃﺮﻳﻖ ﻣﻨﺎﺑﻊ ‪ share‬وارد ﺷﺪهاﻧﺪ را ﻧﺸﺎن ﻣﻲدﻫﺪ‬ ‫‪ :PsLogList‬از ﻛﺎر اﻧﺪاﺧﺘﻦ رﻛﻮردﻫﺎي ‪log‬‬ ‫‪ :PsPasswd‬ﺗﻐﻴﻴﺮ ﭘﺴﻮرد اﻛﺎﻧﺖﻫﺎ‬ ‫‪ :PsService‬ﻛﻨﺘﺮل ﺳﺮوﻳﺲﻫﺎ‬ ‫‪ :PsShutdown‬ﺧﺎﻣﻮش ﻳﺎ راه اﻧﺪازي ﻣﺠﺪد ﻛﺎﻣﭙﻴﻮﺗﺮ‬ ‫‪ :PsSuspend‬ﻣﻌﻠﻖ ﻛﺮدن ﭘﺮدازشﻫﺎ‬ ‫‪ :PsUptime‬ﺗﻌﻴﻴﻦ ﻣﺪت زﻣﺎن روﺷﻦ ﺑﻮدن ﺳﻴﺴﺘﻢ‬

‫‪ SNMP Enumeration‬ﭼﻴﺴﺖ؟‬ ‫ﻓﺮآﻳﻨﺪي اﺳﺖ ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از ‪ ،SNMP‬ﻣﻄﻤﺌﻦ ﻣﻲﺷﻮﻳﻢ ﻛﻪ ﺣﺴﺎبﻫﺎي ﻛﺎرﺑﺮي روي ﺳﻴﺴﺘﻢ ﻫﺪف وﺟﻮد‬ ‫دارﻧﺪ‪ ،SNMP .‬از دو ﻧﻮع ﻋﻨﺼﺮ ﻧﺮماﻓﺰاري ﺑﺮاي ارﺗﺒﺎﻃﺎت اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ ،SNMP agent :‬ﻛﻪ ﺑﺮ روي دﺳﺘﮕﺎهﻫﺎي‬ ‫ﺷﺒﻜﻪ ﻗﺮار دارد و ‪ SNMP management station‬ﻛﻪ ﺑﺎ ‪ agent‬ارﺗﺒﺎط ﺑﺮﻗﺮار ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺑﺴﻴﺎري از دﺳﺘﮕﺎهﻫﺎي زﻳﺮﺳﺎﺧﺘﻲ ﺷﺒﻜﻪ از ﻗﺒﻴﻞ روﺗﺮﻫﺎ و ﺳﻮﺋﻴﭻﻫﺎ و ﻧﻴﺰ ﺳﻴﺴﺘﻢﻫﺎي وﻳﻨﺪوزي‪ ،‬ﺷﺎﻣﻞ ‪SNMP‬‬ ‫‪ agent‬ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮاي ﻣﺪﻳﺮﻳﺖ ﺳﻴﺴﺘﻢ ﻳﺎ دﺳﺘﮕﺎه اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ ،SNMP management station .‬درﺧﻮاﺳﺘﻲ ﺑﻪ‬ ‫‪agent‬ﻫﺎ ارﺳﺎل ﻣﻲﻛﻨﺪ و ‪agent‬ﻫﺎ ﭘﺎﺳﺦ را ﻣﻲدﻫﻨﺪ‪Trap .‬ﻫﺎ ﺑﻪ ‪ management station‬اﺟﺎزه ﻣﻲدﻫﻨﺪ اﻃﻼﻋﺎت‬ ‫‪57‬‬

‫ﻣﻬﻤﻲ ﻛﻪ در ﻧﺮماﻓﺰار ‪ agent‬رخ دﻫﺪ را ﺑﺪاﻧﺪ از ﻗﺒﻴﻞ رﻳﺴﺘﺎرت ﻳﺎ ﻣﺸﻜﻞ ﻛﺎرت ﺷﺒﻜﻪ‪ ،MIB .‬ﭘﺎﻳﮕﺎه دادهاي از‬ ‫ﻣﺘﻐﻴﺮﻫﺎي ﭘﻴﻜﺮﺑﻨﺪي اﺳﺖ ﻛﻪ در دﺳﺘﮕﺎه ﺷﺒﻜﻪ ﻗﺮار دارد‪.‬‬ ‫‪ ،SNMP‬دو ﭘﺴﻮرد دارد ﻛﻪ ﺑﺮاي دﺳﺘﺮﺳﻲ و ﭘﻴﻜﺮﺑﻨﺪي ‪ SNMP agent‬از ‪ management station‬اﺳﺘﻔﺎده‬ ‫ﻣﻲﺷﻮد‪ .‬اوﻟﻴﻦ ﭘﺴﻮرد‪ read community string ،‬ﻧﺎم دارد‪ .‬اﻳﻦ ﭘﺴﻮرد ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲدﻫﺪ ﻛﻪ دﺳﺘﮕﺎه ﻳﺎ ﺳﻴﺴﺘﻢ‬ ‫ﺧﻮد را ﭘﻴﻜﺮﺑﻨﺪي ﻛﻨﻴﺪ‪ .‬دوﻣﻴﻦ ﭘﺴﻮرد‪ read/write community string ،‬ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد ﻛﻪ ﺑﺮاي ﺗﻐﻴﻴﺮ ﻳﺎ وﻳﺮاﻳﺶ‬ ‫ﭘﻴﻜﺮﺑﻨﺪي دﺳﺘﮕﺎه اﺳﺖ‪ .‬ﺑﻄﻮر ﻛﻠﻲ‪ read community string ،‬ﭘﻴﺶ ﻓﺮض‪ public ،‬اﺳﺖ و‬

‫‪read/write‬‬

‫‪ community string‬ﭘﻴﺶ ﻓﺮض‪ private ،‬اﺳﺖ‪ .‬ﻳﻜﻲ از راﻳﺞﺗﺮﻳﻦ ﻣﺸﻜﻼت اﻣﻨﻴﺘﻲ زﻣﺎﻧﻲ ﭘﻴﺶ ﻣﻲآﻳﺪ ﻛﻪ‬ ‫‪community string‬ﻫﺎ ﺑﺼﻮرت ﺗﻨﻈﻴﻤﺎت ﭘﻴﺶ ﻓﺮض ﺑﺎﻗﻲ ﺑﻤﺎﻧﻨﺪ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از اﻳﻦ ﭘﺴﻮردﻫﺎي ﭘﻴﺶ ﻓﺮض ﺑﺮاي‬ ‫ﻣﺸﺎﻫﺪه ﻳﺎ ﺗﻐﻴﻴﺮ ﭘﻴﻜﺮﺑﻨﺪي دﺳﺘﮕﺎه اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬ ‫در ﺳﺎﻳﺖ ‪ www.defaultpasssword.com‬ﻣﻲﺗﻮاﻧﻴﺪ ﭘﺴﻮردﻫﺎي ﭘﻴﺶ ﻓﺮض ﺑﺴﻴﺎري از دﺳﺘﮕﺎهﻫﺎ را ﺑﺒﻴﻨﻴﺪ‪.‬‬

‫اﺑﺰارﻫﺎﻳﻲ از ﻗﺒﻴﻞ ‪ UNIX Enumeration ،Getif ،SNScan ،Solarwinds ،SNMPutil‬ﺑﺮاي ‪enumeration‬‬ ‫اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪.‬‬

‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪SNMP enumeration‬‬ ‫ﺳﺎدهﺗﺮﻳﻦ راه ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ‪ ،SNMP enumeration‬اﻳﻦ اﺳﺖ ﻛﻪ ‪ SNMP agent‬را در ﺳﻴﺴﺘﻢﻫﺎي ﻫﺪف‪،‬‬ ‫ﺣﺬف ﻛﻨﻴﺪ ﻳﺎ ﺳﺮوﻳﺲ ‪ SNMP‬را ﺧﺎﻣﻮش ﻛﻨﻴﺪ‪ .‬اﮔﺮ ﻧﻤﻲﺗﻮاﻧﻴﺪ ‪ SNMP‬را ﺧﺎﻣﻮش ﻛﻨﻴﺪ‪ ،‬ﭘﺲ ﺑﺎﻳﺴﺘﻲ ‪community‬‬ ‫‪string‬ﻫﺎي ﭘﻴﺶ ﻓﺮض را ﺗﻐﻴﻴﺮ دﻫﻴﺪ‪ .‬ﻋﻼوه ﺑﺮ اﻳﻦ‪ ،‬ﻣﺪﻳﺮ اﻣﻨﻴﺘﻲ ﻣﻲﺗﻮاﻧﺪ ‪ Group Policy‬اﻣﻨﻲ را ﭘﻴﺎدهﺳﺎزي ﻛﻨﺪ ﺗﺎ‬ ‫ارﺗﺒﺎﻃﺎت ﻧﺎﺷﻨﺎس ‪ SNMP‬را ﻣﺤﺪود ﻛﻨﺪ‪.‬‬

‫اﻧﺘﻘﺎل ‪ DNS Zone‬در وﻳﻨﺪوز ‪2000‬‬ ‫ﻳﻚ ‪ zone transfer‬ﺳﺎده را ﻣﻲﺗﻮان ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮر ‪ nslookup‬اﻧﺠﺎم داد‪ .‬ﻋﺒﺎرت اﺳﺘﻔﺎده از اﻳﻦ دﺳﺘﻮر ﺑﻪ‬ ‫ﻗﺮار زﻳﺮ اﺳﺖ‪:‬‬ ‫‪Nslookup ls –d domainname‬‬ ‫ﺑﺎ ﻧﺘﺎﻳﺞ ‪ ،nslookup‬ﻫﻜﺮ ﺑﻪ دﻧﺒﺎل رﻛﻮردﻫﺎي زﻳﺮ ﻣﻲﮔﺮدد ﺑﺮاي اﻳﻨﻜﻪ آﻧﻬﺎ اﻃﻼﻋﺎت زﻳﺎدﺗﺮي درﺑﺎره ﺳﺮوﻳﺲﻫﺎي‬ ‫ﺷﺒﻜﻪ ﻣﻲدﻫﺪ‪:‬‬ ‫‪58‬‬

‫)_‪Global Catalog service (_gc._tcp‬‬ ‫)‪Domain controllers (_ldap._tcp‬‬ ‫)‪Kerberos authentication (_kerberos._tcp‬‬

‫•‬ ‫•‬ ‫•‬

‫ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ آن ﻣﻲﺗﻮان از ﻃﺮﻳﻖ ‪ properties‬ﭘﻨﺠﺮه ‪ DNS server‬از آن ﺟﻠﻮﮔﻴﺮي ﻛﺮد‪.‬‬ ‫ﭘﺎﻳﮕﺎه داده اﻛﺘﻴﻮ داﻳﺮﻛﺘﻮري‪ ،‬ﭘﺎﻳﮕﺎه داده ﻣﺒﺘﻨﻲ ﺑﺮ ‪ LDAP‬اﺳﺖ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ ﻣﻲﺗﻮان ﺑﺎ ﻛﻮﺋﺮي ﺳﺎده ‪،LDAP‬‬ ‫ﻛﺎرﺑﺮان و ﮔﺮوهﻫﺎي ﻣﻮﺟﻮد را ﺷﻨﺎﺳﺎﻳﻲ ﻛﺮد‪ .‬ﺗﻨﻬﺎ ﭼﻴﺰي ﻛﻪ ﺑﺮاي اﻳﻨﻜﺎر ﻻزم اﺳﺖ اﻳﺠﺎد ﻳﻚ ﻧﺸﺴﺖ اﺣﺮاز ﻫﻮﻳﺖ از‬ ‫ﻃﺮﻳﻖ ‪ LDAP‬اﺳﺖ‪ Windows 2000 LDAP client .‬ﻛﻪ ‪(ldp.exe) Active Directory Administration Tool‬‬ ‫ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد‪ ،‬ﺑﻪ ﺳﺮور اﻛﺘﻴﻮ داﻳﺮﻛﺘﻮري ﻣﺘﺼﻞ ﻣﻲﺷﻮد و ﻣﺤﺘﻮاي ﭘﺎﻳﮕﺎه داده را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ‪ .‬ﻣﻲﺗﻮاﻧﻴﺪ اﻳﻦ‬ ‫ﻓﺎﻳﻞ را در ‪ CD‬وﻳﻨﺪوز ‪ 2000‬و در ﻣﺴﻴﺮ ‪ Support\Reskit\Netmgmt\Dstool‬آن را ﭘﻴﺪا ﻛﻨﻴﺪ‪.‬‬ ‫ﺑﺮاي اﻧﺠﺎم اﻳﻦ ﺣﻤﻠﻪ ﺑﺎﻳﺪ ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ‪:‬‬ ‫‪ .1‬ﺑﺎ اﺳﺘﻔﺎده از ‪ ldp.exe‬ﺑﺎ ﭘﻮرت ‪ 389‬ﺑﻪ ﺳﺮور اﻛﺘﻴﻮ داﻳﺮﻛﺘﻮري ﻣﺘﺼﻞ ﺷﻮﻳﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ اﺗﺼﺎل ﻛﺎﻣﻞ ﺷﺪ‪،‬‬ ‫اﻃﻼﻋﺎت ﺳﺮور ﻧﻤﺎﻳﺶ داده ﻣﻲﺷﻮد‪.‬‬ ‫‪ .2‬در ﻣﻨﻮي ‪ ،Connection‬ﮔﺰﻳﻨﻪ ‪ Authentication‬را اﻧﺘﺨﺎب ﻛﻨﻴﺪ‪ .‬ﻧﺎم ﻛﺎرﺑﺮي‪ ،‬ﻛﻠﻤﻪ ﻋﺒﻮر و ﻧﺎم داﻣﻴﻦ را‬ ‫ﺗﺎﻳﭗ ﻛﻨﻴﺪ‪ .‬ﻣﻲﺗﻮاﻧﻴﺪ از ﺣﺴﺎب ‪ Guest‬ﻳﺎ ﻫﺮ ﺣﺴﺎب دﻳﮕﺮي اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬ ‫‪ .3‬زﻣﺎﻧﻴﻜﻪ اﺣﺮاز ﻫﻮﻳﺖ ﻛﺎﻣﻞ ﺷﺪ‪ ،‬ﻛﺎرﺑﺮان و ﮔﺮوهﻫﺎي ﺳﺎﺧﺘﻪ ﺷﺪه را ﺑﺎ اﺳﺘﻔﺎده از ﮔﺰﻳﻨﻪ ‪ Search‬از ﻣﻨﻮي‬ ‫‪ Browse‬ﺑﺒﻴﻨﻴﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي زﻳﺮ ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪:‬‬ ‫‪JXplorer‬‬ ‫‪LdapMiner‬‬ ‫‪Softerra LDAP Browser‬‬ ‫‪NTP Enumeration‬‬ ‫‪SMTPscan‬‬ ‫‪Asnumber‬‬ ‫‪Lynx‬‬ ‫‪Winfingerprint‬‬ ‫‪IP Tools Scanner‬‬ ‫‪NBTScan‬‬ ‫‪NetViewX‬‬ ‫‪FreeNetEnumerator‬‬ ‫‪Terminal Service Agent‬‬ ‫‪TXDNS‬‬ ‫‪Unicornscan‬‬ ‫‪59‬‬

‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬

‫ﭼﻪ ﻣﺮاﺣﻠﻲ در ‪ enumeration‬اﻧﺠﺎم ﻣﻲﺷﻮﻧﺪ؟‬ ‫ﺑﺎﻳﺪ ﻫﻜﺮﻫﺎ در روﻳﻜﺮد ﻫﻚ ﻛﺮدﻧﺸﺎن‪ ،‬ﺑﺼﻮرت روﺷﻤﻨﺪ ﻋﻤﻞ ﻛﻨﻨﺪ‪ .‬ﻣﺮاﺣﻞ زﻳﺮ‪ ،‬ﻣﺜﺎﻟﻲ از آﻧﻬﺎﻳﻲ ﻛﻪ ﻫﻜﺮﻫﺎ ﺑﺮاي‬ ‫آﻣﺎدهﺳﺎزي ﺳﻴﺴﺘﻢ ﻫﺪف ﺑﺮاي ﺣﻤﻠﻪ اﻧﺠﺎم ﻣﻲدﻫﻨﺪ را ﻧﺸﺎن ﻣﻲدﻫﺪ‪:‬‬ ‫‪ .1‬ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي را ﺑﺎ اﺳﺘﻔﺎده از ‪ enumeration‬اﺳﺘﺨﺮاج ﻛﻨﻴﺪ‪.‬‬ ‫‪ .2‬اﻃﻼﻋﺎت دﺳﺘﮕﺎهﻫﺎ را ﺑﺎ اﺳﺘﻔﺎده از ‪ null session‬ﺟﻤﻊآوري ﻛﻨﻴﺪ‪.‬‬ ‫‪ .3‬ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار ‪ Windows enumeration ،Superscan‬را اﻧﺠﺎم دﻫﻴﺪ‪.‬‬

‫‪60‬‬

‫ﻓﺼﻞ ﭼﻬﺎرم‬

‫ﻫﻚ ﺳﻴﺴﺘﻢ‬

‫ﻣﻘﺪﻣﻪ‬ ‫در اﻳﻦ ﻓﺼﻞ‪ ،‬در ﻣﻮرد ﺟﻨﺒﻪﻫﺎي ﻣﺨﺘﻠﻒ ﻫﻚ ﺳﻴﺴﺘﻢ ﺑﺤﺚ ﺧﻮاﻫﻴﻢ ﻛﺮد‪ .‬ﺑﻪ ﻳﺎد ﺑﻴﺎورﻳﺪ ﻛﻪ ﭼﺮﺧﻪ ﻫﻚ ﺷﺎﻣﻞ‬ ‫ﺷﺶ ﻣﺮﺣﻠﻪ اﺳﺖ‪ .‬ﻛﻪ در اﻳﻦ ﻓﺼﻞ‪ ،‬در ﻣﻮرد ﭘﻨﺞ ﻣﺮﺣﻠﻪ دﻳﮕﺮ از ﭼﺮخ ﻫﻚ ﻛﻪ ﺷﺎﻣﻞ ﺷﻜﺴﺘﻦ ﭘﺴﻮرد‪ ،‬اﻓﺰاﻳﺶ ﺳﻄﺢ‬ ‫دﺳﺘﺮﺳﻲ‪ ،‬اﺟﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞﻫﺎ و ﭘﺎك ﻛﺮدن رد ﭘﺎ اﺳﺖ‪ ،‬ﺑﺤﺚ ﺧﻮاﻫﻴﻢ ﻛﺮد‪.‬‬

‫ﺗﻜﻨﻴﻚﻫﺎي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد‬ ‫ﭘﺴﻮردﻫﺎ‪ ،‬ﺷﺎه ﻛﻠﻴﺪي از اﻃﻼﻋﺎت ﻣﻮرد ﻧﻴﺎز ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺴﺘﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻛﺎرﺑﺮان‪ ،‬ﭘﺴﻮرد را اﻳﺠﺎد‬ ‫ﻣﻲﻛﻨﻨﺪ‪ ،‬ﻣﻌﻤﻮﻻ ﭘﺴﻮردي را اﻧﺘﺨﺎب ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﻗﺎﺑﻠﻴﺖ ﺷﻜﺴﺘﻦ دارد‪ .‬ﺑﺴﻴﺎري از ﻣﺮدم‪ ،‬ﭘﺴﻮردي را اﻧﺘﺨﺎب ﻣﻲﻛﻨﻨﺪ‬ ‫ﻛﻪ ﺳﺎده ﺑﺎﺷﺪ ﻣﺜﻼ ﻧﺎم ﺳﮓﺷﺎن را ﺑﻪ ﻋﻨﻮان ﭘﺴﻮرد اﻧﺘﺨﺎب ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﺑﻪ ﺧﺎﻃﺮ آوردن آن ﺳﺎدهﺗﺮ ﺑﺎﺷﺪ‪ .‬ﺑﺨﺎﻃﺮ اﻳﻦ‬ ‫ﻓﺎﻛﺘﻮرﻫﺎي اﻧﺴﺎﻧﻲ‪ ،‬ﺷﻜﺴﺘﻦ ﺑﺴﻴﺎري از ﭘﺴﻮردﻫﺎ ﻣﻮﻓﻘﻴﺖ آﻣﻴﺰ اﺳﺖ و ﻧﻘﻄﻪ آﻏﺎزي ﺑﺮاي اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ‪،‬‬ ‫اﺟﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬ﻣﺨﻔﻲﺳﺎزي ﻓﺎﻳﻞﻫﺎ‪ ،‬و از ﺑﻴﻦ ﺑﺮدن ردﭘﺎ ﺑﻪ ﺷﻤﺎر ﻣﻲرود‪ .‬ﭘﺴﻮردﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺼﻮرت دﺳﺘﻲ ﺷﻜﺴﺘﻪ‬ ‫ﺷﻮﻧﺪ و ﻳﺎ اﻳﻨﻜﻪ ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎﻳﻲ از ﻗﺒﻴﻞ روش دﻳﻜﺸﻨﺮي ﻳﺎ ‪ ،brute-force‬ﺑﺼﻮرت اﺗﻮﻣﺎﺗﻴﻚ ﺷﻜﺴﺘﻪ ﺷﻮﻧﺪ‪.‬‬

‫ﺷﻜﺴﺘﻦ دﺳﺘﻲ ﭘﺴﻮرد‪ ،‬ﺷﺎﻣﻞ ﺗﻼش ﺑﺮاي ورود ﺑﻪ ﺳﻴﺴﺘﻢ ﺑﺎ ﭘﺴﻮردﻫﺎي ﻣﺨﺘﻠﻒ اﺳﺖ‪ .‬ﻫﻜﺮ ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم‬ ‫ﻣﻲدﻫﺪ‪:‬‬ ‫‪ .1‬ﺣﺴﺎب ﻛﺎرﺑﺮي ﻣﻌﺘﺒﺮي را ﭘﻴﺪا ﻣﻲﻛﻨﺪ )ﻣﺜﻞ ‪ Administrator‬ﻳﺎ ‪.(Guest‬‬ ‫‪ .2‬ﻟﻴﺴﺘﻲ از ﭘﺴﻮردﻫﺎي ﻣﻤﻜﻦ را ﺗﻬﻴﻪ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ .3‬ﭘﺴﻮردﻫﺎ را ﺑﻪ ﺗﺮﺗﻴﺐ اﺣﺘﻤﺎل ﻣﺮﺗﺐ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ .4‬ﭘﺴﻮردﻫﺎ را اﻣﺘﺤﺎن ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ .5‬ﺗﺎ ﺟﺎﺋﻲ اداﻣﻪ ﻣﻲدﻫﺪ ﻛﻪ ﭘﺴﻮرد ﺻﺤﻴﺢ را ﭘﻴﺪا ﻛﻨﺪ‪.‬‬

‫‪62‬‬

‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﻓﺎﻳﻞ اﺳﻜﺮﻳﭙﺘﻲ ﺗﻬﻴﻪ ﻛﻨﺪ ﻛﻪ ﭘﺴﻮردﻫﺎي ﻣﻮﺟﻮد در ﻟﻴﺴﺖ را اﻣﺘﺤﺎن ﻛﻨﺪ‪ .‬اﻳﻦ روش‪ ،‬ﻛﺮك ﻛﺮدن‬ ‫ﭘﺴﻮرد ﺑﺼﻮرت دﺳﺘﻲ اﺳﺖ ﻛﻪ زﻣﺎن ﮔﻴﺮ اﺳﺖ و در ﺑﺴﻴﺎري از ﻣﻮارد ﻣﻮﻓﻘﻴﺖ آﻣﻴﺰ ﻧﻴﺴﺖ‪.‬‬

‫ﻳﻚ روش ﻣﻮﺛﺮ ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد‪ ،‬دﺳﺘﺮﺳﻲ ﺑﻪ ﻓﺎﻳﻞ ﺣﺎوي ﭘﺴﻮردﻫﺎ در ﺳﻴﺴﺘﻢ اﺳﺖ‪ .‬ﺑﺴﻴﺎري از ﺳﻴﺴﺘﻢﻫﺎ‪،‬‬ ‫ﭘﺴﻮرد را ﺑﺮاي ذﺧﻴﺮه ﺑﺮ روي ﺳﻴﺴﺘﻢ‪ hash ،‬ﻣﻲﻛﻨﺪ‪ .‬در ﻃﻮل ﻓﺮآﻳﻨﺪ ورود ﺑﻪ ﺳﻴﺴﻴﺘﻢ‪ ،‬ﻧﺎم ﻛﺎرﺑﺮي ﺑﺎ اﺳﺘﻔﺎده از ﻫﻤﺎن‬ ‫اﻟﮕﻮرﻳﺘﻢ‪ hash ،‬ﻣﻲﺷﻮد و ﺳﭙﺲ ﺑﺎ ﭘﺴﻮردي ﻛﻪ ﻗﺒﻼ ﺑﺼﻮرت ‪ hash‬در ﻳﻚ ﻓﺎﻳﻠﻲ ذﺧﻴﺮه ﺷﺪه اﺳﺖ ﻣﻘﺎﻳﺴﻪ ﻣﻲﺷﻮد‪.‬‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺗﻼش ﻛﻨﺪ ﻛﻪ ﺑﻪ ﺟﺎي اﻳﻨﻜﻪ ﭘﺴﻮرد را ﺣﺪس ﺑﺰﻧﺪ‪ ،‬ﺑﻪ اﻟﮕﻮرﻳﺘﻢ ‪ hash‬ﻛﻪ در ﺳﺮور ذﺧﻴﺮه ﺷﺪه اﺳﺖ‬ ‫دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ و ﺑﻪ ﭘﺴﻮردﻫﺎي ذﺧﻴﺮه ﺷﺪه ﺑﺮ روي ﺳﺮور دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬ ‫در ﺳﻴﺴﺘﻢ وﻳﻨﺪوزي‪ ،‬ﭘﺴﻮردﻫﺎ در ﻓﺎﻳﻞ ‪ SAM‬و در ﺳﻴﺴﺘﻢ ﻟﻴﻨﻮﻛﺴﻲ در ﻓﺎﻳﻞ‪ shadow‬ذﺧﻴﺮه ﻣﻲﺷﻮﻧﺪ‪.‬‬

‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Legion‬ﺣﺪس زدن ﭘﺴﻮرد را ﺑﺼﻮرت اﺗﻮﻣﺎﺗﻴﻚ در ﻧﺸﺴﺖﻫﺎي ‪ NetBIOS‬اﻧﺠﺎم ﻣﻲدﻫﺪ‪ .‬ﭼﻨﺪﻳﻦ ﺑﺎزه از آدرسﻫﺎي‬ ‫‪ IP‬را اﺳﻜﻦ ﻣﻲﻛﻨﺪ ﺗﺎ ‪share‬ﻫﺎي وﻳﻨﺪوزي را ﭘﻴﺪا ﻛﻨﺪ و ﻫﻤﭽﻨﻴﻦ داراي اﺑﺰارﻫﺎي ﺣﻤﻠﻪ دﻳﻜﺸﻨﺮي دﺳﺘﻲ ﻧﻴﺰ ﻫﺴﺖ‪.‬‬ ‫‪ ،NTInfoScan‬ﻳﻚ اﺳﻜﻨﺮ اﻣﻨﻴﺘﻲ اﺳﺖ ﻛﻪ ﺑﺮاي وﻳﻨﺪوز ‪ NT 4.0‬اﺳﺖ‪ ،NTInfoScan .‬اﺳﻜﻨﺮ آﺳﻴﺐ ﭘﺬﻳﺮي اﺳﺖ ﻛﻪ‬ ‫ﮔﺰارشﻫﺎﻳﻲ ﺑﻪ ﻓﺮﻣﺖ ‪ HTML‬ﺑﺮاي ﻣﺸﻜﻼت اﻣﻨﻴﺘﻲ ﻣﻮﺟﻮد در ﺳﻴﺴﺘﻢ ﻫﺪف ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،Smbbf‬اﺑﺰار ﺑﺮرﺳﻲ ‪ SMB‬اﺳﺖ ﻛﻪ اﺑﺰاري ﺑﺮاي ﺑﺮرﺳﻲ ﭘﺴﻮردﻫﺎ در وﻳﻨﺪوز اﺳﺖ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار‪ ،‬در ﻫﺮ دﻗﻴﻘﻪ‪،‬‬ ‫‪ 53000‬ﭘﺴﻮرد را ﭼﻚ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،L0phtCrack‬ﺑﺴﺘﻪاي ﺑﺮاي ﺑﺮرﺳﻲ و ﺑﺎزﻳﺎﺑﻲ ﭘﺴﻮرد اﺳﺖ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار‪ ،‬داراي ﻗﺎﺑﻠﻴﺖﻫﺎي ﺣﻤﻼت ‪،dictionary‬‬ ‫‪ ،brute-force‬و ‪ hybrid‬اﺳﺖ‪.‬‬ ‫‪ ،John the Ripper‬اﺑﺰاري دﺳﺘﻮري اﺳﺖ ﻛﻪ ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮردﻫﺎي ‪ Unix‬و ‪ NT‬اﺳﺖ‪ .‬ﭘﺴﻮردﻫﺎي ﺷﻜﺴﺘﻪ ﺷﺪه‪،‬‬ ‫ﺑﺼﻮرت ‪ case insensitive‬ﻫﺴﺘﻨﺪ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ ﭘﺴﻮرد واﻗﻌﻲ ﻧﺒﺎﺷﻨﺪ‪.‬‬ ‫‪63‬‬

‫‪ ،KerbCrack‬ﺷﺎﻣﻞ دو ﺑﺮﻧﺎﻣﻪ اﺳﺖ‪ kerbsniff :‬و ‪ .kerbcrack‬ﻛﻪ ‪ kerbsniff‬ﺑﺮاي ﮔﻮش دادن ﺑﻪ ﺷﺒﻜﻪ و ﺑﺪﺳﺖ‬ ‫آوردن ﻻﮔﻴﻦﻫﺎي ‪ Windows 2000/XP‬اﺳﺖ و ‪ ،kerbcrack‬ﺑﺮاي ﻳﺎﻓﺘﻦ ﭘﺴﻮردﻫﺎي ﻓﺎﻳﻞ ﺑﺪﺳﺖ آﻣﺪه ﺑﺎ اﺳﺘﻔﺎده از‬ ‫ﺣﻤﻼت ‪ brute force‬و ‪ dictionary‬اﺳﺖ‪.‬‬

‫‪LanManager Hash‬‬ ‫وﻳﻨﺪوز ‪ ،2000‬از ‪ NT Lan Manager (NTLM) hashing‬ﺑﺮاي اﻣﻦ ﻛﺮدن ﭘﺴﻮردﻫﺎ در ﻃﻮل ارﺳﺎل اﺳﺘﻔﺎد‬ ‫ﻣﻲﻛﻨﺪ‪ .‬ﺑﺴﺘﻪ ﺑﻪ ﭘﺴﻮرد‪ NTLM hashing ،‬ﻣﻲﺗﻮاﻧﺪ ﺿﻌﻴﻒ ﺑﺎﺷﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﭘﺴﻮرد ‪ 123456abcdef‬ﺿﻌﻴﻒ اﺳﺖ‪.‬‬ ‫زﻣﺎﻧﻴﻜﻪ ﭘﺴﻮرد ﺑﺎ اﻟﮕﻮرﻳﺘﻢ ‪ NTLM‬رﻣﺰﮔﺬاري ﺷﺪ اﺑﺘﺪا ﺑﻪ ﺣﺮوف ﺑﺰرگ ﺗﺒﺪﻳﻞ ﻣﻲﺷﻮد‪ .123456ABCDEF :‬ﭘﺴﻮرد‬ ‫ﺑﺎ ﻛﺎراﻛﺘﺮﻫﺎي ‪ blank‬ﭘﺮ ﻣﻲﺷﻮد ﺗﺎ اﻳﻨﻜﻪ ﻃﻮل آن ﺑﻪ ‪ 14‬ﻛﺎراﻛﺘﺮ ﺑﺮﺳﺪ‪ .123456ABCDEF__ :‬ﻗﺒﻞ از اﻳﻨﻜﻪ ﭘﺴﻮرد‬ ‫رﻣﺰ ﺷﻮد‪ ،‬رﺷﺘﻪ ‪ 14‬ﻛﺎراﻛﺘﺮي ﺑﻪ دو ﺑﺨﺶ ﺗﻘﺴﻴﻢ ﻣﻲﺷﻮد‪ 123456A :‬و __‪ .BCDEF‬ﻫﺮ رﺷﺘﻪ ﺑﻄﻮر ﺟﺪاﮔﺎﻧﻪ رﻣﺰ‬ ‫ﻣﻲﺷﻮد و ﻧﺘﺎﻳﺞ آن ﺑﻪ ﻫﻢ وﺻﻞ ﻣﻲﺷﻮﻧﺪ‪:‬‬ ‫‪123465A = 6BF11E04AFAB197F‬‬ ‫‪BCDEF__ = F1E9FFDCC75575B15‬‬ ‫و ﻧﺘﻴﺠﻪ ‪ hash‬ﺑﻪ ﺻﻮرت ‪ 6BF11E04AFAB197F F1E9FFDCC75575B15‬ﺧﻮاﻫﺪ ﺑﻮد‪.‬‬

‫ﻣﻘﺎﻳﺴﻪ ﭘﺮوﺗﻜﻞﻫﺎي ‪ NTLM v1 ،LM‬و ‪NTLM v2‬‬ ‫وﻳﮋﮔﻲ‬

‫‪LM‬‬

‫‪NTLM v1‬‬

‫‪NTLM v2‬‬

‫ﺣﺴﺎﺳﻴﺖ ﻧﺴﺒﺖ ﺑﻪ ﺣﺮوف ﺑﺰرگ و ﻛﻮﭼﻚ‬

‫ﺧﻴﺮ‬

‫ﺑﻠﻪ‬

‫ﺑﻠﻪ‬

‫ﻃﻮل ﻛﻠﻴﺪ ‪hash‬‬

‫‪56bit+56bit‬‬

‫‪-‬‬

‫‪-‬‬

‫اﻟﮕﻮرﻳﺘﻢ ‪ hash‬ﭘﺴﻮرد‬

‫)‪DES (ECB mode‬‬

‫‪MD4‬‬

‫‪MD4‬‬

‫ﻃﻮل ﻣﻘﺪار ‪hash‬‬

‫‪64bit+64bit‬‬

‫‪128bit‬‬

‫‪128bit‬‬

‫ﻃﻮل ﻛﻠﻴﺪ ‪C/R‬‬

‫‪56bit+56bit+16bit‬‬

‫‪56bit+56bit+16bit‬‬

‫‪128bit‬‬

‫اﻟﮕﻮرﻳﺘﻢ ‪C/R‬‬

‫)‪DES (ECB mode‬‬

‫)‪DES (ECB mode‬‬

‫‪HMAC_MD5‬‬

‫ﻃﻮل ﻣﻘﺪار ‪C/R‬‬

‫‪64bit+64bit+64bit‬‬

‫‪64bit+64bit+64bit‬‬

‫‪128bit‬‬

‫‪64‬‬

‫ﺷﻜﺴﺘﻦ ﭘﺴﻮردﻫﺎي وﻳﻨﺪوز ‪2000‬‬ ‫ﻓﺎﻳﻞ ‪ SAM‬در وﻳﻨﺪوز‪ ،‬ﺷﺎﻣﻞ ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎي ‪ hash‬ﺷﺪه اﺳﺖ ﻛﻪ در ﻣﺴﻴﺮ‬ ‫‪ Windows\system32\config‬ﻗﺮار دارد‪ .‬زﻣﺎﻧﻴﻜﻪ ﺳﻴﺴﺘﻢ روﺷﻦ ﻣﻲﺷﻮد اﻳﻦ ﻓﺎﻳﻞ ﻗﻔﻞ ﻣﻲﺷﻮد ﺑﻨﺎﺑﺮاﻳﻦ ﻫﻜﺮ‬ ‫ﻧﻤﻲﺗﻮاﻧﺪ اﻳﻦ ﻓﺎﻳﻞ را ﻛﭙﻲ ﻛﻨﺪ‪ .‬ﻳﻜﻲ از ﮔﺰﻳﻨﻪﻫﺎ ﺑﺮاي ﻛﭙﻲ ﻓﺎﻳﻞ ‪ ،SAM‬اﻳﻦ اﺳﺖ ﻛﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ را ﺑﺎ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‬ ‫دﻳﮕﺮي راهاﻧﺪازي ﻛﻨﻴﺪ از ﻗﺒﻴﻞ ‪ DOS‬ﻳﺎ ‪ Linux‬ﺑﺎ ‪ CD‬راه اﻧﺪاز‪ .‬در اﻳﻦ ﺣﺎﻟﺖ ﻣﻲﺗﻮان ﻓﺎﻳﻞ را از داﻳﺮﻛﺘﻮري ‪repair‬‬ ‫ﻛﭙﻲ ﻛﺮد‪ .‬اﮔﺮ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ از ﻗﺎﺑﻠﻴﺖ ‪ RDISK‬وﻳﻨﺪوز ﺑﺮاي ﮔﺮﻓﺘﻦ ﭘﺸﺘﻴﺒﺎن ﺳﻴﺴﺘﻢ )ﺑﺎ اﺳﺘﻔﺎده از ‪ (rdisk /s‬اﺳﺘﻔﺎده‬ ‫ﻛﻨﺪ‪ ،‬ﻳﻚ ﻛﭙﻲ ﻓﺸﺮده ﺷﺪه از ﻓﺎﻳﻞ ‪ SAM‬ﻛﻪ __‪ SAM.‬ﻧﺎم دارد در ﻣﺴﻴﺮ ‪ c:\windows\repair‬اﻳﺠﺎد ﻣﻲﺷﻮد‪ .‬ﺑﺮاي‬ ‫ﺑﺴﻂ اﻳﻦ ﻓﺎﻳﻞ‪ ،‬از دﺳﺘﻮر زﻳﺮ در ‪ cmd‬اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪:‬‬ ‫‪C:\>expand sam.__ sam‬‬ ‫ﭘﺲ از آﻧﻜﻪ ﻓﺎﻳﻞ از ﺣﺎﻟﺖ ﻓﺸﺮده ﺧﺎرج ﺷﺪ‪ ،‬ﻣﻲﺗﻮان ﺑﺎ اﺳﺘﻔﺎده از ﻧﺮماﻓﺰار ‪ ،L0phtCrack‬از ﺣﻤﻼت ‪،dictionary‬‬ ‫‪ ،brute-force‬ﻳﺎ ‪ hybrid‬اﺳﺘﻔﺎده ﻛﺮد‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Win32CreatedLocalAdminUser‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ﺣﺴﺎب ﻛﺎرﺑﺮي ﺟﺪﻳﺪي را ﺑﺎ ﻧﺎم ﻛﺎرﺑﺮي و ﭘﺴﻮرد ‪ x‬ﻣﻲﺳﺎزد‬ ‫و آن را ﺑﻪ ﮔﺮوه ‪ administrator‬اﺿﺎﻓﻪ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﻋﻤﻞ‪ ،‬ﺑﺨﺸﻲ از ﭘﺮوژه ‪ Metasploit‬اﺳﺖ و ﻣﻲﺗﻮاﻧﺪ ﺑﺎ‬ ‫‪ Metasploit framework‬روي وﻳﻨﺪوزﻫﺎ اﺟﺮا ﺷﻮد‪.‬‬ ‫‪ Offline NT Password Resetter‬روﺷﻲ ﺑﺮاي رﻳﺴﺖ ﻛﺮدن ﭘﺴﻮرد ‪ administrator‬اﺳﺖ‪ .‬ﻣﻌﻤﻮلﺗﺮﻳﻦ روش اﻳﻦ‬ ‫اﺳﺖ ﻛﻪ ﺑﺎ ‪ CD‬راهاﻧﺪاز ‪ Linux‬دﺳﺘﮕﺎه را راهاﻧﺪازي ﻛﻨﻴﺪ و ﺑﻪ ﭘﺎرﺗﻴﺸﻦ ‪ NTFS‬ﻛﻪ اﻛﻨﻮن ﺑﺼﻮرت ﻣﺤﺎﻓﻈﺖ ﺷﺪه‬ ‫ﻧﻴﺴﺖ‪ ،‬دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﻴﺪ و ﭘﺴﻮرد را ﺗﻐﻴﻴﺮ دﻫﻴﺪ‪.‬‬ ‫ﺑﺮﻧﺎﻣﻪ ‪ ،LCP‬ﺑﺮاي ﺑﺮرﺳﻲ ﭘﺴﻮرد ﺣﺴﺎبﻫﺎي ﻛﺎرﺑﺮ در وﻳﻨﺪوزﻫﺎي ‪ XP ،2000 ،NT‬و ‪ 2003‬اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﻫﺮ ﺳﻪ‬ ‫ﻧﻮع ﺣﻤﻠﻪ ‪ Hybrid ،Dictionary‬و ‪ Brute force‬اﺳﺖ‪.‬‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎي دﻳﮕﺮي ﻧﻴﺰ ﻫﻤﭽﻮن ‪،Asterisk Logger ،Access Pass View ،Crack ،Ophcrack2 ،SID&User‬‬ ‫‪ Asterisk Key‬ﻧﻴﺰ ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد ﺑﻜﺎر ﻣﻲروﻧﺪ‪.‬‬

‫‪65‬‬

‫ﻫﺪاﻳﺖ ‪ SMB Logon‬ﺑﻪ ﺣﻤﻠﻪ ﻛﻨﻨﺪه‬ ‫روش دﻳﮕﺮ ﺑﺮاي ﻛﺸﻒ ﭘﺴﻮردﻫﺎي روي ﺷﺒﻜﻪ‪ ،‬ﺗﻐﻴﻴﺮ ﻣﺴﻴﺮ ‪ SMB logon‬ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺣﻤﻠﻪ ﻛﻨﻨﺪه اﺳﺖ ﺗﺎ‬ ‫ﭘﺴﻮردﻫﺎ ﺑﻪ ﻫﻜﺮ ارﺳﺎل ﻣﻲﺷﻮد‪ .‬ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر‪ ،‬ﻫﻜﺮ ﺑﺎﻳﺴﺘﻲ ﭘﺎﺳﺦﻫﺎي ‪ NTLM‬را از ﺳﺮور اﺣﺮاز ﻫﻮﻳﺖ‪ sniff ،‬ﻛﻨﺪ‬ ‫و ﻗﺮﺑﺎﻧﻲ را اﻏﻔﺎل ﻛﻨﺪ ﺗﺎ ﺑﺎ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻫﻜﺮ اﺣﺮاز ﻫﻮﻳﺖ ﻛﻨﺪ‪ .‬راﻳﺞﺗﺮﻳﻦ ﺗﻜﻨﻴﻚ‪ ،‬ارﺳﺎل اﻳﻤﻴﻠﻲ ﺑﻪ ﻗﺮﺑﺎﻧﻲ اﺳﺖ ﻛﻪ داراي‬ ‫ﻟﻴﻨﻜﻲ ﺑﻪ ‪ SMB Server‬ﺑﺎﺷﺪ اﺳﺖ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻗﺮﺑﺎﻧﻲ ﺑﺮ روي ﻟﻴﻨﻚ ﻛﻠﻴﻚ ﻛﺮد‪ ،‬ﺑﺪون آﻧﻜﻪ ﻣﺘﻮﺟﻪ ﺷﻮد اﻃﻼﻋﺎت اﺣﺮاز‬ ‫ﻫﻮﻳﺖ ﺧﻮد را روي ﺷﺒﻜﻪ ارﺳﺎل ﻣﻲﻛﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي زﻳﺎدي ﻣﻲﺗﻮاﻧﻨﺪ ﺗﻐﻴﻴﺮ ﺟﻬﺖ ‪ SMB‬را ﭘﻴﺎدهﺳﺎزي ﻛﻨﻨﺪ‪:‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،SMBRelay‬ﻳﻚ ‪ SMB Server‬اﺳﺖ ﻛﻪ ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي و ‪hash‬ﻫﺎي ﭘﺴﻮردﻫﺎ را از ﺗﺮاﻓﻴﻚ ‪ SMB‬ورودي ﺑﺪﺳﺖ‬ ‫ﻣﻲآورد‪ ،SMBRelay .‬ﻣﻲﺗﻮاﻧﺪ ﺣﻤﻼت ‪ man-in-the-middle‬را اﻧﺠﺎم دﻫﺪ‪.‬‬ ‫‪ ،SMBRelay2‬ﻣﺸﺎﺑﻪ ‪ SMBRelay‬اﺳﺖ اﻣﺎ ﺑﺎ اﻳﻦ ﺗﻔﺎوت ﻛﻪ ﺑﻪ ﺟﺎي آدرسﻫﺎي ‪ ،IP‬از اﺳﺎﻣﻲ ‪ NetBIOS‬ﺑﺮاي‬ ‫ﺑﺪﺳﺖ آوردن ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،Pwdump2‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ‪hash‬ﻫﺎي ﭘﺴﻮردﻫﺎ را از ﻓﺎﻳﻞ ‪ SAM‬روي ﺳﻴﺴﺘﻢ وﻳﻨﺪوز اﺳﺘﺨﺮاج ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫ﭘﺴﻮردﻫﺎي اﺳﺘﺨﺮاج ﺷﺪه‪ ،‬از ﻃﺮﻳﻖ ‪ L0phtCrack‬ﻣﻲﺗﻮاﻧﻨﺪ ﺷﻜﺴﺘﻪ ﺷﻮﻧﺪ‪.‬‬ ‫‪ ،Samdump‬ﺑﺮﻧﺎﻣﻪاي ﺑﺮاي اﺳﺘﺨﺮاج ﭘﺴﻮردﻫﺎي ‪ NTLM‬ﻛﻪ در ﻓﺎﻳﻞ ‪ hash ،SAM‬ﺷﺪهاﻧﺪ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫‪ ،C2MYAZZ‬ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺟﺎﺳﻮﺳﻲ اﺳﺖ ﻛﻪ ﺳﺒﺐ ﻣﻲﺷﻮد ﻛﻼﻳﻨﺖﻫﺎي وﻳﻨﺪوزي‪ ،‬ﭘﺴﻮردﻫﺎ را ﺑﻪ ﺻﻮرت رﻣﺰ ﻧﺸﺪه‬ ‫ارﺳﺎل ﻛﻨﺪ‪ .‬ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎﻳﻲ ﻛﻪ ﻛﺎرﺑﺮان ﺑﺮاي اﺗﺼﺎل ﺑﻪ ﻣﻨﺎﺑﻊ ﺳﺮور اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ را ﻧﻤﺎﻳﺶ ﻣﻲدﻫﺪ‪.‬‬ ‫‪66‬‬

‫ﺣﻤﻼت ‪ SMB Relay MITM‬و ﻣﻘﺎﺑﻠﻪ ﺑﺎ آن‬ ‫ﺣﻤﻠﻪ ‪ ،SMB Relay MITM‬زﻣﺎﻧﻴﻜﻪ ﺣﻤﻠﻪ ﻛﻨﻨﺪه ﻳﻚ ﺳﺮور ﺟﻌﻠﻲ راهاﻧﺪازي ﻣﻲﻛﻨﺪ‪ ،‬رخ ﻣﻲدﻫﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ‬ ‫ﻛﻼﻳﻨﺖ ﻗﺮﺑﺎﻧﻲ‪ ،‬ﺑﻪ ﺳﺮور ﺟﻌﻠﻲ ﻣﺘﺼﻞ ﻣﻲﺷﻮد‪ ،‬ﺷﻜﻞ زﻳﺮ‪ ،‬ﻣﺜﺎﻟﻲ از اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ را ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬

‫روشﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪ ،SMB relay‬ﺷﺎﻣﻞ ﭘﻴﻜﺮﺑﻨﺪي وﻳﻨﺪوز ‪ 2000‬ﺑﺮاي اﺳﺘﻔﺎده از ‪ SMB signing‬اﺳﺖ ﻛﻪ‬ ‫ﺳﺒﺐ ﻣﻲﺷﻮد ﻫﺮ ﺑﻼك از ارﺗﺒﺎﻃﺎت ‪ ،SMB‬رﻣﺰﮔﺬاري ﺷﻮد‪ .‬اﻳﻦ ﺗﻨﻈﻴﻤﺎت در ‪Security Policies/Security‬‬ ‫‪ Options‬وﺟﻮد دارﻧﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،SMBGrind‬ﺳﺮﻋﺖ ﻧﺸﺴﺖﻫﺎي ‪ L0phtCrack‬را ﺑﺮ روي اﺳﺘﺮاق ﺳﻤﻊ ‪dump‬ﻫﺎ اﻓﺰاﻳﺶ ﻣﻲدﻫﺪ‪.‬‬ ‫اﺑﺰار ‪ ،SMBDie‬ﺑﺎ ارﺳﺎل درﺧﻮاﺳﺖﻫﺎي ‪ SMB‬ﺟﻌﻠﻲ‪ ،‬ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎﻳﻲ ﻛﻪ داراي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز ‪،XP ،2000‬‬ ‫‪ NT‬ﻫﺴﺘﻨﺪ را ‪ crash‬ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،NBTdeputy‬ﻣﻲﺗﻮاﻧﺪ ﻳﻚ ﻧﺎم ﻛﺎﻣﭙﻴﻮﺗﺮي ‪ NetBIOS‬را روي ﺷﺒﻜﻪ رﺟﻴﺴﺘﺮ ﻛﻨﺪ و ﺑﻪ درﺧﻮاﺳﺖﻫﺎي ‪NetBIOS‬‬ ‫ﭘﺎﺳﺦ دﻫﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ اﻳﻦ اﺑﺰار‪ ،‬اﺳﺘﻔﺎده از ‪ SMBRelay‬را ﺳﺎده ﻣﻲﻛﻨﺪ‪.‬‬

‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺷﻜﺴﺘﻦ ﭘﺴﻮرد‬ ‫ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺷﻜﺴﺘﻦ ﭘﺴﻮرد‪ ،‬ﺑﺎﻳﺪ از ﭘﺴﻮرد ﻗﻮي اﺳﺘﻔﺎده ﺷﻮد‪ .‬ﻃﻮل ﭘﺴﻮردﻫﺎ‪ 8 ،‬ﺗﺎ ‪ 12‬ﻛﺎراﻛﺘﺮ ﺑﺎﺷﺪ‪ .‬ﺑﺮاي‬ ‫ﻣﺤﺎﻓﻈﺖ از ﺷﻜﺴﺘﻦ اﻟﮕﻮرﻳﺘﻢ ‪ hash‬ﺑﺮاي ﭘﺴﻮردﻫﺎﻳﻲ ﻛﻪ در ﺳﺮور ذﺧﻴﺮه ﺷﺪهاﻧﺪ‪ ،‬ﺑﺎﻳﺪ ﻣﺮاﻗﺐ ﺑﺎﺷﻴﺪ ﻛﻪ ﺳﺮور را‬ ‫‪67‬‬

‫ﺑﺼﻮرت ﻓﻴﺰﻳﻜﻲ ﻣﺮاﻗﺒﺖ ﻛﻨﻴﺪ‪ .‬ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢﻫﺎ ﻣﻲﺗﻮاﻧﺪ از اﺑﺰار ﺧﻮد وﻳﻨﺪوز ﻛﻪ ‪ SYSKEY‬ﻧﺎم دارد اﺳﺘﻔﺎده ﻛﻨﺪ ﺗﺎ‬ ‫ﻣﺮاﻗﺒﺖ ﺑﻴﺸﺘﺮي ﺑﺮ روي ﺳﺮور ﻳﺎ دﻳﺴﻚ داﺷﺘﻪ ﺑﺎﺷﺪ‪log .‬ﻫﺎي ﺳﺮور را ﺑﺮرﺳﻲ ﻛﻨﻴﺪ ﺗﺎ ﺣﻤﻼت ‪ brute-force‬روي‬ ‫ﺣﺴﺎبﻫﺎي ﻛﺎرﺑﺮ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻴﺪ‪.‬‬ ‫وﻳﻨﺪوز ﺑﺮاي ذﺧﻴﺮه ﭘﺴﻮردﻫﺎي ﻛﺎرﺑﺮان‪ ،‬از دو روش ﻣﺨﺘﻠﻒ ‪ hash‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬اﮔﺮ ﻃﻮل ﭘﺴﻮرد ﻛﻤﺘﺮ از ‪15‬‬ ‫ﻛﺎراﻛﺘﺮ ﺑﺎﺷﺪ‪ ،‬وﻳﻨﺪوز از دو روش ‪ LM hash‬و ‪ NT hash‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﻛﻪ ‪ LM hash‬ﻧﺴﺒﺖ ﺑﻪ ‪،NT hash‬‬ ‫ﺿﻌﻴﻒﺗﺮ اﺳﺖ و در ﻣﻘﺎﺑﻞ ﺣﻤﻠﻪ ‪ brute force‬راﺣﺖﺗﺮ ﻣﻲﺷﻜﻨﺪ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬در ﭘﺎﻳﮕﺎه داده ‪LM hash ،SAM‬ﻫﺎ را‬ ‫ذﺧﻴﺮه ﻧﻜﻨﻴﺪ‪ .‬ﺑﺮاي اﻳﻨﻜﻪ ﭘﺮوﺗﻜﻞﻫﺎي ‪ NTLM v2 ،NTLM‬و ‪ Kerberos‬از ‪ NT hash‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ وﻟﻲ ﭘﺮوﺗﻜﻞ‬ ‫‪ ،LM‬از ‪ LM hash‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﻛﻪ ﺿﻌﻴﻒﺗﺮ از ‪ NT hash‬اﺳﺖ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ اﮔﺮ در ﺷﺒﻜﻪﺗﺎن‪ ،‬وﻳﻨﺪوز ‪ 98 ،95‬ﻳﺎ‬ ‫ﻣﻜﻴﻨﺘﺎش ﻧﺪارﻳﺪ ﺑﻬﺘﺮ اﺳﺖ ﺑﻪ ﻳﻜﻲ از روشﻫﺎي زﻳﺮ آن را ﻏﻴﺮ ﻓﻌﺎل ﻛﻨﻴﺪ‪:‬‬ ‫روش ‪ :1‬از ‪ ،Group Policy‬وارد ﻗﺴﻤﺖ ‪ Security Options‬و ‪ Local Security Policy‬ﺷﻮﻳﺪ و ﮔﺰﻳﻨﻪ زﻳﺮ را ﻏﻴﺮ‬ ‫ﻓﻌﺎل ﻛﻨﻴﺪ‪Network security: Do not store LAN Manager hash value on next password change :‬‬

‫روش ‪ :2‬از ﻃﺮﻳﻖ رﺟﻴﺴﺘﺮي وارد ﻣﺴﻴﺮ زﻳﺮ ﺷﻮﻳﺪ‪:‬‬ ‫‪ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa‬و ﺳﭙﺲ ﻛﻠﻴﺪي ﺑﻪ ﻧﺎم‬ ‫‪ NoLMHash‬اﻳﺠﺎد ﻛﻨﻴﺪ‪.‬‬

‫روش ‪ :3‬از ﭘﺴﻮردي ﻛﻪ ﻃﻮل آن ﺑﻴﺸﺘﺮ از ‪ 15‬ﻛﺎراﻛﺘﺮ اﺳﺖ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬ ‫ﻫﻤﭽﻨﻴﻦ ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺷﻜﺴﺘﻦ ﭘﺴﻮرد‪ ،‬ﻣﻮارد زﻳﺮ را در ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪:‬‬ ‫‪ .1‬ﭘﺴﻮردﻫﺎي ﭘﻴﺶ ﻓﺮض را ﺗﻐﻴﻴﺮ دﻫﻴﺪ‪.‬‬ ‫‪ .2‬ﭘﺴﻮردﻫﺎﻳﻲ ﻛﻪ در دﻳﻜﺸﻨﺮي وﺟﻮد دارﻧﺪ را اﺳﺘﻔﺎده ﻧﻜﻨﻴﺪ‪.‬‬ ‫‪ .3‬از ﭘﺴﻮردي اﺳﺘﻔﺎده ﻧﻜﻨﻴﺪ ﻛﻪ ﻣﺮﺑﻮط ﺑﻪ اﺳﻢ دﺳﺘﮕﺎه‪ ،‬اﺳﻢ داﻣﻴﻦ‪ ،‬ﻳﺎ ﻫﺮ ﭼﻴﺰ دﻳﮕﺮي ﻛﻪ ﻣﻲﺗﻮان در ‪whois‬‬ ‫ﭘﻴﺪا ﻛﺮد ﺑﺎﺷﺪ‪.‬‬ ‫‪ .4‬ﭘﺴﻮردي ﻛﻪ ﻣﺮﺑﻮط ﺑﻪ ﻋﻼﻳﻖ ﺷﻤﺎ ﻳﺎ ﺗﺎرﻳﺦ ﺗﻮﻟﺪ ﺷﻤﺎ اﺳﺖ اﺳﺘﻔﺎده ﻧﻜﻨﻴﺪ‪.‬‬ ‫‪ .5‬اﮔﺮ از ﻛﻠﻤﺎت دﻳﻜﺸﻨﺮي ﻣﻲﺧﻮاﻫﻴﺪ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪ ،‬از ﻛﻠﻤﻪاي ﻛﻪ ﺑﻴﺸﺘﺮ از ‪ 21‬ﻛﺎراﻛﺘﺮ دارد اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬

‫‪68‬‬

‫در ﺑﺨﺶﻫﺎي ﺑﻌﺪي‪ ،‬ﺑﻪ دو ﻣﻌﻴﺎري ﻛﻪ ﻣﻲﺗﻮاﻧﻴﺪ ﺑﺮاي ﺳﺎﺧﺖ ﭘﺴﻮرد ﻗﻮي ﺑﻜﺎر ﺑﺮﻳﺪ ﻧﮕﺎﻫﻲ ﺧﻮاﻫﻴﻢ داﺷﺖ‪.‬‬

‫ﺑﺎزه زﻣﺎﻧﻲ ﺗﻐﻴﻴﺮ ﭘﺴﻮرد‬ ‫ﭘﺴﻮردﻫﺎ ﺑﺎﻳﺴﺘﻲ ﺑﻌﺪ از ﻣﺪت زﻣﺎن ﻣﺸﺨﺼﻲ‪ ،‬ﻣﻨﻘﻀﻲ )‪ (expire‬ﺷﻮﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻛﺎرﺑﺮان ﺑﺎﻳﺪ ﭘﺴﻮردﻫﺎﻳﺸﺎن را‬ ‫ﺗﻐﻴﻴﺮ دﻫﻨﺪ‪ .‬اﮔﺮ ﻃﻮل ﭘﺴﻮرد ﺑﺴﻴﺎر ﻛﻮﺗﺎه ﺑﺎﺷﺪ‪ ،‬ﻛﺎرﺑﺮان ﭘﺴﻮردﻫﺎﻳﺸﺎن را ﻓﺮاﻣﻮش ﻣﻲﻛﻨﻨﺪ در ﻧﺘﻴﺠﻪ‪ ،‬ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢﻫﺎ‬ ‫ﺑﺎﻳﺪ ﭘﺴﻮردﻫﺎي ﻛﺎرﺑﺮان را ﺑﺎرﻫﺎ رﻳﺴﺖ ﻛﻨﻨﺪ‪ .‬از ﻃﺮﻓﻲ دﻳﮕﺮ‪ ،‬اﮔﺮ اﻳﻦ ﻣﺪت زﻣﺎن ﺑﺴﻴﺎر ﻃﻮﻻﻧﻲ ﺑﺎﺷﺪ‪ ،‬اﻣﻨﻴﺖ ﺑﻪ ﺧﻄﺮ‬ ‫ﻣﻲاﻓﺘﺪ‪ .‬ﻣﺪت زﻣﺎن ﺗﻮﺻﻴﻪ ﺷﺪه ﺑﺮاي اﻳﻦ ﺑﺎزه‪ 30 ،‬روز اﺳﺖ‪ .‬ﻋﻼوه ﺑﺮ اﻳﻦ‪ ،‬ﺗﻮﺻﻴﻪ ﻣﻲﺷﻮد ﻛﻪ ﻛﺎرﺑﺮان ﻧﺘﻮاﻧﻨﺪ از ﺳﻪ‬ ‫ﭘﺴﻮرد ﻗﺒﻠﻲﺷﺎن دوﺑﺎره اﺳﺘﻔﺎده ﻛﻨﻨﺪ‪.‬‬

‫ﺑﺮرﺳﻲ ‪Event Viewer Log‬ﻫﺎ‬ ‫ﻣﺪﻳﺮان ﺑﺎﻳﺪ ‪Event Viewer log‬ﻫﺎ را ﺑﺮرﺳﻲ ﻛﻨﻨﺪ ﺗﺎ ﻫﺮ رﺧﺪادي را ﻗﺒﻞ از اﺗﻔﺎق ﻳﺎ در ﻃﻮل اﺗﻔﺎق ﺗﺸﺨﻴﺺ‬ ‫دﻫﻨﺪ‪ .‬ﺑﻄﻮر ﻛﻠﻲ‪ ،‬ﭼﻨﺪﻳﻦ ﺗﻼش ﻧﺎﻣﻮﻓﻖ ﻣﻲﺗﻮاﻧﺪ در ﺳﻴﺴﺘﻢ ﺛﺒﺖ ﺷﻮد و ﺗﻨﻬﺎ ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢﻫﺎ ﺑﺘﻮاﻧﻨﺪ آن را ﺑﺮرﺳﻲ‬ ‫ﻛﻨﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎﻳﻲ از ﻗﺒﻴﻞ ‪ ،VisualLast‬ﻣﺪﻳﺮ ﺷﺒﻜﻪ را ﺑﺮاي رﻣﺰﮔﺸﺎﻳﻲ و ﺗﺤﻠﻴﻞ ﻓﺎﻳﻞﻫﺎي ‪ log‬اﻣﻨﻴﺘﻲ‪ ،‬ﻛﻤﻚ ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫اﻳﻦ اﺑﺰار‪ ،‬دﻳﺪ ﺑﺰرﮔﺘﺮي را ﺑﻪ ‪ NT event log‬ﻫﺎ ﺑﺎز ﻣﻲﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﻣﺪﻳﺮ ﺷﺒﻜﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﻪ ﺻﻮرت دﻗﻴﻖﺗﺮ و ﻣﻮﺛﺮﺗﺮ ﺑﻪ‬ ‫ﻓﻌﺎﻟﻴﺖﻫﺎي ﺷﺒﻜﻪ دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﺑﺮاي اﻳﻦ ﻃﺮاﺣﻲ ﺷﺪه اﺳﺖ ﻛﻪ ﻣﺪﻳﺮان ﺷﺒﻜﻪ ﺑﺘﻮاﻧﻨﺪ ﮔﺰارﺷﺎت‬ ‫زﻣﺎنﻫﺎي ورود و ﺧﺮوج ﻛﺎرﺑﺮان را ﺑﺒﻴﻨﻨﺪ اﻳﻦ وﻗﺎﻳﻊ‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ ﻃﺒﻖ ﻓﺮﻳﻢ زﻣﺎن‪ ،‬ﺟﺴﺘﺠﻮ ﺷﻮﻧﺪ ﻛﻪ ﺑﺮاي ﺗﺤﻠﻴﻞ اﻣﻨﻴﺘﻲ‬ ‫ﺑﺴﻴﺎر ﻣﻬﻢ ﻫﺴﺘﻨﺪ‪.‬‬

‫‪69‬‬

‫‪Event log‬ﻫﺎ در ﻣﺴﻴﺮ ‪ c:\\windows\system32\config\Sec.Event.Evt‬ﻗﺮار دارﻧﺪ ﻛﻪ ﺷﺎﻣﻞ ردﭘﺎﻫﺎي‬ ‫ﺗﻼشﻫﺎي ‪ brute-force‬ﺣﻤﻠﻪ ﻛﻨﻨﺪه اﺳﺖ‪.‬‬ ‫اﺑﺰار ‪ ،AccountAudit‬ﺑﻪ ﻣﺪﻳﺮان ﺷﺒﻜﻪ اﺟﺎزه ﻣﻲدﻫﺪ ﻛﻪ ﭘﺎﻳﮕﺎه داده ﺣﺴﺎبﻫﺎي ﻛﺎرﺑﺮان در اﻛﺘﻴﻮ داﻳﺮﻛﺘﻮري‬ ‫را ﺑﺮرﺳﻲ ﻛﻨﻨﺪ ﺗﺎ رﻳﺴﻚﻫﺎي اﻣﻨﻴﺘﻲ راﻳﺞ ﻫﻤﭽﻮن ﻛﺎرﺑﺮان ﺑﺪون ﭘﺴﻮرد‪ ،‬ﻳﺎ ‪ ...‬را ﺑﺒﻴﻨﻨﺪ‪.‬‬

‫اﻧﻮاع ﭘﺴﻮرد‬ ‫ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﭼﻨﺪﻳﻦ ﻧﻮع ﭘﺴﻮرد وﺟﻮد دارد‪ .‬ﻛﺎراﻛﺘﺮﻫﺎﻳﻲ ﻛﻪ ﭘﺴﻮرد را ﺗﺸﻜﻴﻞ ﻣﻲدﻫﻨﺪ‪،‬‬ ‫ﭼﻨﺪﻳﻦ دﺳﺘﻪ ﺑﻨﺪي دارﻧﺪ‪:‬‬ ‫•‬

‫ﺗﻨﻬﺎ ﺣﺮوف‬

‫•‬

‫ﺗﻨﻬﺎ اﻋﺪاد‬

‫•‬

‫ﺗﻨﻬﺎ ﻛﺎراﻛﺘﺮﻫﺎي ﺧﺎص‬

‫•‬

‫ﺣﺮوف و اﻋﺪاد‬

‫•‬

‫ﺗﻨﻬﺎ ﺣﺮوف و ﻛﺎراﻛﺘﺮﻫﺎي ﺧﺎص‬

‫•‬

‫ﺗﻨﻬﺎ اﻋﺪاد و ﻛﺎراﻛﺘﺮﻫﺎي ﺧﺎص‬

‫•‬

‫ﺣﺮوف‪ ،‬اﻋﺪاد‪ ،‬و ﻛﺎرﻛﺘﺮﻫﺎي ﺧﺎص‬ ‫ﻳﻚ ﭘﺴﻮرد ﻗﻮي‪ ،‬اﺣﺘﻤﺎل ﻛﻤﺘﺮي ﺑﺮاي ﺷﻜﺴﺘﻪ ﺷﺪن ﺗﻮﺳﻂ ﻫﻜﺮ دارد‪ .‬ﻗﻮاﻧﻴﻦ زﻳﺮ ﻛﻪ ﺗﻮﺳﻂ ‪ EC Council‬اراﺋﻪ‬

‫ﺷﺪه اﺳﺖ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺑﺮاي اﻳﺠﺎد ﭘﺴﻮرد در ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﺷﻮﻧﺪ ﺗﺎ در ﻣﻘﺎﺑﻞ ﺣﻤﻼت ﻣﺤﺎﻓﻆ ﺑﺎﺷﺪ‪:‬‬ ‫•‬

‫ﻧﺒﺎﻳﺪ ﺷﺎﻣﻞ ﺑﺨﺸﻲ از ﻧﺎم ﻛﺎرﺑﺮي ﺑﺎﺷﺪ‬

‫•‬

‫ﺣﺪاﻗﻞ ﻃﻮل آن ﺑﺎﻳﺪ ‪ 8‬ﻛﺎراﻛﺘﺮ ﺑﺎﺷﺪ‬

‫•‬

‫ﺑﺎﻳﺪ ﺣﺪاﻗﻞ ﺷﺎﻣﻞ ﺳﻪ ﻗﺴﻤﺖ از دﺳﺘﻪﻫﺎي زﻳﺮ ﺑﺎﺷﺪ‪:‬‬ ‫‪ o‬ﻋﻼﺋﻢ ﻏﻴﺮ اﻟﻔﺒﺎﻳﻲ )‪($,:"%@!#‬‬ ‫‪ o‬اﻋﺪاد‬ ‫‪ o‬ﺣﺮوف ﺑﺰرگ‬ ‫‪ o‬ﺣﺮوف ﻛﻮﭼﻚ‬

‫‪70‬‬

‫ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮ از اﻧﻮاع ﻣﺨﺘﻠﻒ ﺣﻤﻼت ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻳﻚ ﭘﺴﻮرد و ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﻴﺸﺘﺮ ﺑﻪ ﻳﻚ‬ ‫ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬اﻧﻮاع ﺣﻤﻼت ﭘﺴﻮرد ﺑﻪ ﺷﺮح زﻳﺮ اﺳﺖ‪:‬‬ ‫‪ :Passive online‬ﻣﺒﺎدﻻت ﭘﺴﻮرد ﺑﺮ روي ﺷﺒﻜﻪ را اﺳﺘﺮاق ﺳﻤﻊ ﻣﻲﻛﻨﺪ‪ .‬ﺣﻤﻼت ‪ ،passive online‬ﺷﺎﻣﻞ ﺣﻤﻼت‬ ‫‪ ،man-in-the-middle ،sniffing‬و ‪ reply‬اﺳﺖ‪.‬‬ ‫‪ :Active online‬ﭘﺴﻮرد ‪ Administrator‬را ﺣﺪس ﻣﻲزﻧﺪ‪ .‬ﺣﻤﻼت ‪ ،active online‬ﺣﺪس ﺧﻮدﻛﺎر ﭘﺴﻮرد اﺳﺖ‪.‬‬ ‫‪ :Offline‬ﺣﻤﻼت ‪ ،hybrid ،Dictionary‬و ‪ brute-force‬اﺳﺖ‪.‬‬ ‫‪ ،Shoulder surfing :Nonelectronic‬اﺳﺘﺮاق ﺳﻤﻊ ﺻﻔﺤﻪ ﻛﻠﻴﺪ‪ ،‬و ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪.‬‬

‫ﺣﻤﻼت ‪Passive Online‬‬ ‫ﺣﻤﻠﻪ ‪ ،passive online‬ﺑﺎ ﻧﺎم اﺳﺘﺮاق ﺳﻤﻊ ﭘﺴﻮرد روي ﺷﺒﻜﻪﻫﺎي ﻛﺎﺑﻠﻲ و واﻳﺮﻟﺲ ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪ .‬ﻛﺎرﺑﺮ‬ ‫ﻧﻬﺎﻳﻲ ﻧﻤﻲﺗﻮاﻧﺪ اﻳﻦ ﮔﻮﻧﻪ ﺣﻤﻼت را ﺗﺸﺨﻴﺺ دﻫﺪ‪ .‬در ﻃﻮل ﻓﺮاﻳﻨﺪ اﺣﺮاز ﻫﻮﻳﺖ‪ ،‬ﭘﺴﻮرد ﺑﺪﺳﺖ ﻣﻲآﻳﺪ و ﺑﺎ ﻓﺎﻳﻞ‬ ‫دﻳﻜﺸﻨﺮي ﻳﺎ ﻟﻴﺴﺖ ﻛﻠﻤﺎت ﻣﻘﺎﻳﺴﻪ ﻣﻲﺷﻮد‪ .‬ﻣﻌﻤﻮﻻ ﭘﺴﻮردﻫﺎي ﺣﺴﺎبﻫﺎي ﻛﺎرﺑﺮان‪ ،‬در زﻣﺎن ارﺳﺎل روي ﺷﺒﻜﻪ ‪hash‬‬ ‫و ﻳﺎ رﻣﺰ ﻣﻲﺷﻮﻧﺪ ﺗﺎ ﺟﻠﻮي دﺳﺘﺮﺳﻲ ﻏﻴﺮ ﻣﺠﺎز را ﺑﮕﻴﺮﻧﺪ‪ .‬اﮔﺮ ﭘﺴﻮرد ﺗﻮﺳﻂ رﻣﺰﮔﺬاري ﻳﺎ ‪ ،hashing‬ﻣﺤﺎﻓﻈﺖ ﺷﺪه‬ ‫ﺑﺎﺷﺪ‪ ،‬آﻧﮕﺎه اﺑﺰارﻫﺎي ﻣﺨﺼﻮﺻﻲ ﻛﻪ در ‪ toolkit‬ﻫﻜﺮ وﺟﻮد دارد ﺑﺮاي ﺷﻜﺴﺘﻦ اﻟﮕﻮرﻳﺘﻢ ﻣﻲﺗﻮاﻧﺪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار‬ ‫ﮔﻴﺮد‪.‬‬

‫‪71‬‬

‫ﺣﻤﻠﻪ دﻳﮕﺮ ‪ ،passive online‬ﺑﻨﺎم ‪ (MITM) man-in-the0-middle‬ﻧﺎم دارد‪ .‬در ﺣﻤﻠﻪ ‪ ،MITM‬ﻫﻜﺮ در‬ ‫درﺧﻮاﺳﺖ اﺣﺮاز ﻫﻮﻳﺖ دﺧﺎﻟﺖ ﻣﻲﻛﻨﺪ و آن را ﺑﻪ ﺳﺮور ﻓﺮوارد ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎ وارد ﻛﺮدن ﻳﻚ ‪ sniffer‬ﺑﻴﻦ ﻛﻼﻳﻨﺖ و ﺳﺮور‪،‬‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﻫﻢ ارﺗﺒﺎﻃﺎت را ‪ sniff‬ﻛﻨﺪ و ﻫﻢ ﭘﺴﻮرد را در اﻳﻦ ﻓﺮآﻳﻨﺪ ﺑﺪﺳﺖ آورد‪.‬‬ ‫ﺣﻤﻠﻪ ‪ ،reply‬ﻧﻴﺰ ﺟﺰ ﺣﻤﻼت ‪ passive online‬اﺳﺖ ﻛﻪ زﻣﺎﻧﻴﻜﻪ ﭘﺴﻮرد ﺑﻪ ﺳﺮور اﺣﺮاز ﻫﻮﻳﺖ ارﺳﺎل ﻣﻲﺷﻮد ﺑﺎ‬ ‫ﻣﺪاﺧﻠﻪ ﻫﻜﺮ رخ ﻣﻲدﻫﺪ و ﺳﭙﺲ آن را دوﺑﺎره ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖﻫﺎي ﺑﻌﺪي ارﺳﺎل ﻣﻲﻛﻨﺪ‪ .‬در اﻳﻦ روش‪ ،‬ﻫﻜﺮ ﻧﻴﺎزي‬ ‫ﻧﺪارد ﻛﻪ ﭘﺴﻮرد را ﺑﺸﻜﻨﺪ ﻳﺎ از ﻃﺮﻳﻖ ‪ MITM‬آن را ﻳﺎد ﺑﮕﻴﺮد ﺑﻠﻜﻪ ﺑﺎﻳﺪ آن را ﺑﺪﺳﺖ آورد و از ﺑﺴﺘﻪﻫﺎي اﺣﺮاز ﻫﻮﻳﺖ‪-‬‬ ‫ﭘﺴﻮرد ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖﻫﺎي ﺑﻌﺪي اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬

‫ﺣﻤﻼت ‪Active Online‬‬ ‫ﺳﺎدهﺗﺮﻳﻦ روش ﺑﺮاي دﺳﺘﺮﺳﻲ در ﺳﻄﺢ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ‪ ،‬ﺣﺪس زدن ﻳﻚ ﭘﺴﻮرد ﺳﺎده اﺳﺖ ﺑﺎ اﻳﻦ ﻓﺮض ﻛﻪ ﻣﺪﻳﺮ‬ ‫ﺳﻴﺴﺘﻢ‪ ،‬از ﻳﻚ ﭘﺴﻮرد ﺳﺎده اﺳﺘﻔﺎده ﻛﺮده اﺳﺖ‪ .‬ﺣﺪس ﭘﺴﻮرد‪ ،‬ﻳﻚ ﻧﻮع ﺣﻤﻠﻪ ‪ active online‬اﺳﺖ ﻛﻪ ﺑﺮ ﻣﺒﻨﺎي‬ ‫ﻓﺎﻛﺘﻮر اﻧﺴﺎﻧﻲ در اﻳﺠﺎد ﭘﺴﻮرد اﺳﺖ و ﺗﻨﻬﺎ ﺑﺮ روي ﭘﺴﻮردﻫﺎي ﺿﻌﻴﻒ ﻛﺎر ﻣﻲﻛﻨﺪ‪.‬‬

‫ﻓﺮض ﻛﻨﻴﺪ ﻛﻪ ﭘﻮرت ‪ NetBOIS TCP 139‬ﺑﺎز اﺳﺖ‪ ،‬ﻣﻮﺛﺮﺗﺮﻳﻦ روش ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد در ﺳﻴﺴﺘﻢﻫﺎي‬ ‫وﻳﻨﺪوز ‪ 2000‬و ‪ ،NT‬ﺣﺪس زدن ﭘﺴﻮرد اﺳﺖ‪ .‬اﻳﻦ ﻋﻤﻞ ﺑﺎ اﺗﺼﺎل ﺑﻪ ﭘﻮﺷﻪ ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ ﺷﺪه )‪ IPC$‬ﻳﺎ ‪ (C$‬و‬ ‫ﺗﻼش ﺑﺮاي ﺗﺮﻛﻴﺒﻲ از ﻧﺎم ﻛﺎرﺑﺮي و ﭘﺴﻮرد اﺳﺖ‪ .‬راﻳﺞﺗﺮﻳﻦ ﻧﺎم ﻛﺎرﺑﺮي ﺑﺮاي ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ‪،Administrator ،Admin ،‬‬ ‫‪ Sysadmin‬اﺳﺖ‪.‬‬ ‫ﻫﻜﺮ اﺑﺘﺪا ﺳﻌﻲ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﻪ ﭘﻮﺷﻪﻫﺎﻳﻲ ﻛﻪ ﺑﺼﻮرت ﭘﻴﺶ ﻓﺮض ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ ﺷﺪه اﺳﺖ‪ ،‬وﺻﻞ ﺷﻮد‪.‬‬ ‫ﺑﺮاي اﺗﺼﺎل ﺑﻪ ﭘﻮﺷﻪﻫﺎي ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ ﻣﺨﻔﻲ دراﻳﻮ ‪ ،C‬از دﺳﺘﻮر زﻳﺮ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪:‬‬ ‫‪\\ip_address\c$‬‬ ‫‪72‬‬

‫ﺑﺮﻧﺎﻣﻪﻫﺎﻳﻲ وﺟﻮد دارﻧﺪ ﻛﻪ ﺑﺼﻮرت اﺗﻮﻣﺎﺗﻴﻚ ﻓﺎﻳﻞﻫﺎي دﻳﻜﺸﻨﺮي‪ ،‬ﻟﻴﺴﺖ ﻛﻠﻤﺎت ﻳﺎ ﺗﺮﻛﻴﺒﻲ از ﺣﺮوف‪ ،‬اﻋﺪاد و‬ ‫ﻛﺎراﻛﺘﺮﻫﺎي ﺧﺎص ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﻨﺪ و ﺗﻼش ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﺑﻪ ﺳﻴﺴﺘﻢ وﺻﻞ ﺷﻮﻧﺪ‪ .‬اﻏﻠﺐ ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﺑﺎ اﺳﺘﻔﺎده از ﺗﻨﻈﻴﻢ‬ ‫ﺣﺪاﻛﺜﺮ ﺗﻌﺪاد ﺗﻼش ﺑﺮاي اﺗﺼﺎل ﺑﻪ ﺳﻴﺴﺘﻢ‪ ،‬از اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ ﭘﻴﺸﮕﻴﺮي ﻣﻲﻛﻨﻨﺪ‪.‬‬

‫ﺣﺪس ﭘﺴﻮرد ﺑﻪ ﺻﻮرت اﺗﻮﻣﺎﺗﻴﻚ‬ ‫ﺑﺮاي ﺗﺴﺮﻳﻊ ﺑﺨﺸﺪﻳﻦ ﺑﻪ ﻋﻤﻠﻴﺎت ﺣﺪس ﭘﺴﻮرد‪ ،‬ﻫﻜﺮﻫﺎ از اﺑﺰارﻫﺎي اﺗﻮﻣﺎﺗﻴﻚ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﻳﻚ ﻓﺮآﻳﻨﺪ ﺳﺎده‬ ‫ﺑﺮاي ﺧﻮدﻛﺎرﺳﺎزي ﺣﺪس ﭘﺴﻮرد‪ ،‬اﺳﺘﻔﺎده از اﺑﺰار دﺳﺘﻮري ‪ Windows shell‬اﺳﺖ ﻛﻪ ﻣﺒﺘﻨﻲ ﺑﺮ اﺳﺘﺎﻧﺪارد ‪NET‬‬ ‫‪ USE‬اﺳﺖ‪ .‬ﺑﺮاي ﺳﺎﺧﺖ ﻳﻚ اﺳﻜﺮﻳﭙﺖ ﺳﺎده ﺣﺪس ﭘﺴﻮرد‪ ،‬ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ‪:‬‬ ‫‪ .1‬ﺑﺎ اﺳﺘﻔﺎده از ﺑﺮﻧﺎﻣﻪ ‪ ،Windows Notepad‬ﻳﻚ ﻓﺎﻳﻞ ‪ username‬و ‪ password‬ﺳﺎده ﺑﺴﺎزﻳﺪ‪ .‬اﺑﺰارﻫﺎي‬ ‫ﺧﻮدﻛﺎري از ﻗﺒﻴﻞ ‪ ،Dictionary Generator‬ﺑﺮاي ﺳﺎﺧﺖ ﻟﻴﺴﺖ اﻳﻦ ﻛﻠﻤﺎت وﺟﻮد دارﻧﺪ‪ .‬ﻓﺎﻳﻞ را در ﻣﺴﻴﺮ‬ ‫‪ C: drive as credentials.txt‬ذﺧﻴﺮه ﻛﻨﻴﺪ‪.‬‬ ‫‪ .2‬اﻳﻦ ﻓﺎﻳﻞ را ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮر ‪ pipe ،FOR‬ﻛﻨﻴﺪ‪:‬‬ ‫)‪C:\> FOR /F “token=1, 2*” %i in (credentials.txt‬‬ ‫‪ .3‬دﺳﺘﻮر ‪ net use \\targetIP\IPC$ %i /u: %j‬را ﺗﺎﻳﭗ ﻛﻨﻴﺪ ﺗﺎ از ﻓﺎﻳﻞ ‪ credentials.txt‬اﺳﺘﻔﺎده ﻛﻨﺪ و ﺑﻪ‬ ‫ﭘﻮﺷﻪ ‪ share‬ﺷﺪه ﻣﺨﻔﻲ آن وارد ﺷﻮد‪.‬‬

‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﺪس ﭘﺴﻮرد‬ ‫ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﺪس و ﺣﻤﻼت ﭘﺴﻮرد‪ ،‬دو ﮔﺰﻳﻨﻪ وﺟﻮد دارد‪ .‬ﻛﺎرتﻫﺎي ﻫﻮﺷﻤﻨﺪ و ﺑﻴﻮﻣﺘﺮﻳﻚ‪ ،‬ﻳﻚ ﻻﻳﻪ اﻣﻨﻴﺘﻲ‬ ‫اﺿﺎﻓﻪ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻣﻤﻜﻦ اﺳﺖ ﻛﺎرﺑﺮي ﺑﺎ اﺳﺘﻔﺎده از ﺑﻴﻮﻣﺘﺮﻳﻚ‪ ،‬اﺣﺮاز ﻫﻮﻳﺖ و ﺷﻨﺎﺳﺎﻳﻲ ﺷﻮد‪ .‬ﺑﻴﻮﻣﺘﺮﻳﻚﻫﺎ از وﻳﮋﮔﻲﻫﺎي‬ ‫ﻓﻴﺰﻳﻜﻲ ﻫﻤﭽﻮن اﺛﺮ اﻧﮕﺸﺖ‪ ،‬اﺳﻜﻦ ﻛﻒ دﺳﺖ‪ ،‬و اﺳﻜﻦ ﻗﺮﻧﻴﻪ ﭼﺸﻢ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻛﺎرﺑﺮان اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫ﻛﺎرتﻫﺎي ﻫﻮﺷﻤﻨﺪ و دﺳﺘﮕﺎهﻫﺎي ﺑﻴﻮﻣﺘﺮﻳﻚ‪ ،‬از دو ﻓﺎﻛﺘﻮر ﺑﺮاي اﺣﺮاز ﻫﻮﻳﺖ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﻫﻨﮕﺎم‬ ‫ﺷﻨﺎﺳﺎﻳﻲ ﻛﺎرﺑﺮ‪ ،‬ﺑﻪ دو ﻧﻮع ﺷﻨﺎﺳﺎﻳﻲ ﻧﻴﺎز دارﻧﺪ )ﻣﺜﻼ ﻛﺎرت ﻫﻮﺷﻤﻨﺪ و ﭘﺴﻮرد(‪ .‬ﺑﺎ درﺧﻮاﺳﺖ ﭼﻴﺰي ﻛﻪ ﻛﺎرﺑﺮ ﺑﺼﻮرت‬ ‫ﻓﻴﺰﻳﻜﻲ آن را دارد )ﻣﺜﻼ ﻛﺎرت ﻫﻮﺷﻤﻨﺪ( و ﭼﻴﺰي ﻛﻪ ﻣﻲداﻧﺪ )ﭘﺴﻮردﺷﺎن(‪ ،‬اﻣﻨﻴﺖ اﻓﺰاﻳﺶ ﻣﻲﻳﺎﺑﺪ و ﻓﺮآﻳﻨﺪ اﺣﺮاز‬ ‫ﻫﻮﻳﺖ در ﻣﻘﺎﺑﻞ ﺣﻤﻼت ﭘﺴﻮرد‪ ،‬ﻣﻘﺎوم ﻣﻲﺷﻮد‪.‬‬

‫‪73‬‬

‫ﺣﻤﻼت آﻓﻼﻳﻦ‬ ‫ﺣﻤﻼت آﻓﻼﻳﻦ از ﻣﺤﻠﻲ ﺑﻪ ﻏﻴﺮ از ﺟﺎﺋﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ واﻗﻌﻲ ﻗﺮار دارد اﻧﺠﺎم ﻣﻲﺷﻮد‪ .‬ﻣﻌﻤﻮﻻ ﺣﻤﻼت آﻓﻼﻳﻦ ﻧﻴﺎز ﺑﻪ‬ ‫دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ و ﻛﭙﻲ ﻓﺎﻳﻞ ﭘﺴﻮرد از ﺳﻴﺴﺘﻢ ﺑﻪ ﺣﺎﻓﻈﻪ ﺟﺎﻧﺒﻲ دارد‪ .‬ﺳﭙﺲ ﻫﻜﺮ آن ﻓﺎﻳﻞ را ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ‬ ‫دﻳﮕﺮي ﻛﭙﻲ ﻣﻲﻛﻨﺪ ﺗﺎ آن را ﺑﺸﻜﻨﺪ‪ .‬اﻧﻮاع ﻣﺨﺘﻠﻒ از ﺣﻤﻼت آﻓﻼﻳﻦ ﭘﺴﻮرد وﺟﻮد دارد‪ .‬ﺟﺪول زﻳﺮ ﻫﺮ ﻛﺪام از اﻳﻦ‬ ‫ﺣﻤﻼت را ﺗﻮﺿﻴﺢ ﻣﻲدﻫﺪ‪:‬‬ ‫ﻧﻮع ﺣﻤﻠﻪ‬

‫وﻳﮋﮔﻲﻫﺎ‬

‫ﻣﺜﺎل‬

‫‪Dictionary attack‬‬

‫ﭘﺴﻮردﻫﺎ را از ﻟﻴﺴﺖ ﻛﻠﻤﺎت دﻳﻜﺸﻨﺮي اﺳﺘﻔﺎده ﻛﻨﺪ‬

‫‪Administrator‬‬

‫‪Hybrid attack‬‬

‫ﺑﺮﺧﻲ از ﻋﻼﺋﻢ را ﺑﺎ ﻛﺎراﻛﺘﺮﻫﺎي ﭘﺴﻮرد ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﻛﻨﺪ‬

‫‪Adm1n1strator‬‬

‫‪Brute-force attack‬‬

‫ﺗﻤﺎم ﺗﺮﻛﻴﺒﺎت ﻣﻤﻜﻦ از ﺣﺮوف‪ ،‬اﻋﺪاد‪ ،‬و ﻛﺎراﻛﺘﺮﻫﺎي ﺧﺎص را ﺗﺴﺖ ﻣﻲﻛﻨﺪ‬

‫‪Ms!tr245@F5a‬‬

‫ﺣﻤﻠﻪ دﻳﻜﺸﻨﺮي‪ ،‬ﺳﺎدهﺗﺮﻳﻦ و ﺳﺮﻳﻌﺘﺮﻳﻦ ﻧﻮع ﺣﻤﻠﻪ اﺳﺖ‪ .‬ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﭘﺴﻮردي ﻛﻪ در دﻳﻜﺸﻨﺮي اﺳﺖ‬ ‫اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬ﻣﻌﻤﻮﻻ‪ ،‬ﻫﻜﺮ از ﻳﻚ ﻓﺎﻳﻞ ﻛﻪ ﺣﺎوي ﺗﻤﺎم ﻛﻠﻤﺎت دﻳﻜﺸﻨﺮي و ‪ hash‬آن ﻛﻠﻤﺎت ﺑﺎ اﺳﺘﻔﺎده از ﻫﻤﺎن‬ ‫اﻟﮕﻮرﻳﺘﻢ اﺳﺖ‪ ،‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﺳﭙﺲ‪ ،‬ﻛﻠﻤﺎت دﻳﻜﺸﻨﺮي ﻛﻪ ‪ hash‬ﺷﺪهاﻧﺪ‪ ،‬ﺑﺎ ﭘﺴﻮردﻫﺎي ‪ hash‬ﺷﺪه در ﻣﺮﺣﻠﻪ‬ ‫ﻻﮔﻴﻦ‪ ،‬ﻣﻘﺎﻳﺴﻪ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺣﻤﻠﻪ دﻳﻜﺸﻨﺮي‪ ،‬ﺗﻨﻬﺎ زﻣﺎﻧﻴﻜﻪ ﭘﺴﻮرد ﻳﻜﻲ از ﻛﻠﻤﺎت دﻳﻜﺸﻨﺮي ﺑﺎﺷﺪ ﻛﺎر ﻣﻲﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪،‬‬ ‫اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ‪ ،‬ﻫﻤﺎن ﻣﺤﺪودﻳﺖﻫﺎ را دارد ﻳﻌﻨﻲ اﮔﺮ ﭘﺴﻮرد ﻗﻮي اﻧﺘﺨﺎب ﺷﺪه ﺑﺎﺷﺪ‪ ،‬ﻛﺎر ﻧﻤﻲﻛﻨﺪ‪ .‬اﮔﺮ ﻫﻜﺮ ﻧﺘﻮاﻧﺪ ﺑﺎ‬ ‫اﺳﺘﻔﺎده از ﺣﻤﻠﻪ دﻳﻜﺸﻨﺮي‪ ،‬ﭘﺴﻮرد را ﭘﻴﺪا ﻛﻨﺪ‪ ،‬در ﻣﺮﺣﻠﻪ ﺑﻌﺪي از ﺣﻤﻠﻪ ‪ hybrid‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﺑﺎ ﻳﻚ‬ ‫ﻓﺎﻳﻞ دﻳﻜﺸﻨﺮي ﻛﻪ ﺑﺮﺧﻲ از ﺣﺮوف آن ﺑﺎ ﻋﻼﺋﻢ ﺟﺎﻳﮕﺰﻳﻦ ﺷﺪه اﺳﺖ‪ ،‬ﺷﺮوع ﻣﻲﺷﻮد‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﺑﺴﻴﺎري از ﻛﺎرﺑﺮان‪ ،‬ﺑﻪ‬ ‫آﺧﺮ ﭘﺴﻮردﻫﺎﻳﺸﺎن‪ ،‬ﻋﺪد ‪ 1‬را اﺿﺎﻓﻪ ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﭘﺴﻮردﺷﺎن ﻗﻮي ﺷﻮد‪.‬‬ ‫زﻣﺎنﮔﻴﺮﺗﺮﻳﻦ ﻧﻮع ﺣﻤﻠﻪ‪ ،‬ﺣﻤﻠﻪ ‪ brute-force‬اﺳﺖ ﻛﻪ ﺗﻤﺎم ﺣﺎﻻت ﻣﺨﺘﻠﻒ را ﺗﺴﺖ ﻣﻲﻛﻨﺪ‪ .‬ﺣﻤﻠﻪ ‪brute-‬‬ ‫‪ ،force‬آﻫﺴﺘﻪﺗﺮﻳﻦ ﻧﻮع ﺣﻤﻠﻪ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺗﻤﺎم ﺗﺮﻛﻴﺒﺎت ﻣﻤﻜﻦ ﺣﺮوف‪ ،‬اﻋﺪاد‪ ،‬و ﻋﻼﺋﻢ را ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎ اﻳﻦ‬ ‫ﺣﺎل‪ ،‬ﻣﻮﺛﺮﺗﺮﻳﻦ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ اﮔﺮ زﻣﺎن ﻛﺎﻓﻲ وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺗﻤﺎم ﭘﺴﻮردﻫﺎ ﻛﺸﻒ ﻣﻲﺷﻮﻧﺪ‪.‬‬

‫‪74‬‬

‫‪Pre-Computed Hashes‬‬ ‫ﺗﻤﺎم ﻛﻠﻤﺎت را از ﻗﺒﻞ ‪ hash‬ﻣﻲﻛﻨﺪ و در ﭘﺎﻳﮕﺎه داده ذﺧﻴﺮه ﻣﻲﻛﻨﺪ و در زﻣﺎن ﺷﻜﺴﺘﻦ ﭘﺴﻮرد‪ ،‬از اﻳﻦ ﭘﺎﻳﮕﺎه‬ ‫داده ﺑﺮاي ﭘﻴﺪا ﻛﺮدن ﭘﺴﻮرد اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬ذﺧﻴﺮه ﻛﺮدن ‪ ،hash‬ﻧﻴﺎز ﺑﻪ ﻓﻀﺎي ﺣﺎﻓﻈﻪ زﻳﺎدي دارد و زﻣﺎن زﻳﺎدي را‬ ‫ﻣﻲﮔﻴﺮد‪.‬‬

‫ﺣﻤﻼت ‪Nonelectronic‬‬ ‫ﺣﻤﻼت ﻏﻴﺮ اﻟﻜﺘﺮوﻧﻴﻜﻲ ﻳﺎ ﻏﻴﺮ ﻓﻨﻲ‪ ،‬ﺣﻤﻼﺗﻲ ﻫﺴﺘﻨﺪ ﻛﻪ از ﻫﻴﭻ داﻧﺶ ﻓﻨﻲ اﺳﺘﻔﺎده ﻧﻤﻲﻛﻨﻨﺪ‪ .‬اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ‪،‬‬ ‫ﺷﺎﻣﻞ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎع‪ sniff ،shoulder surfing ،‬ﻛﺮدن ﻛﻴﺒﻮرد‪ ،‬و آﺷﻐﺎل ﮔﺮدي اﺳﺖ‪.‬‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬ﻫﻨﺮ ﺗﻌﺎﻣﻞ ﺑﺎ ﻣﺮدم ﻳﺎ ﺑﻪ ﺻﻮرت رو در رو ﻳﺎ ﺗﻠﻔﻨﻲ ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت ﺑﺎ ارزﺷﻲ‬ ‫ﻫﻤﭽﻮن ﭘﺴﻮردﻫﺎ اﺳﺖ‪ .‬ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‪ ،‬ﺑﺮ ﻣﺒﻨﺎي ذات ﺧﻮب ﻣﺮدم ﻛﻪ دوﺳﺖ دارﻧﺪ ﺑﻪ ﺑﻘﻴﻪ ﻛﻤﻚ ﻛﻨﻨﺪ‪ ،‬اﺳﺘﻮار‬ ‫اﺳﺖ‪ .‬اﻏﻠﺐ اوﻗﺎت‪help desk ،‬ﻫﺎ ﺳﻮژه ﺧﻮﺑﻲ ﺑﺮاي ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ وﻇﻴﻔﻪ آﻧﻬﺎ ﻛﻤﻚ ﺑﻪ دﻳﮕﺮان‬ ‫اﺳﺖ و ﭘﺎك ﻛﺮدن ﻳﺎ رﻳﺴﺖ ﻛﺮدن ﭘﺴﻮرد‪ ،‬ﺟﺰﺋﻲ از وﻇﺎﻳﻒ ﻋﺎدي آﻧﻬﺎﺳﺖ‪ .‬ﺑﻬﺘﺮﻳﻦ روش ﻣﻘﺎﺑﻠﻪ ﺑﺎ اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ‪،‬‬ ‫آﻣﻮزش آﮔﺎﻫﻲ اﻣﻨﻴﺘﻲ ﺑﺮاي ﻫﻤﻪ ﻛﺎرﻛﻨﺎن و ﻓﺮآﻳﻨﺪﻫﺎي اﻣﻨﻴﺘﻲ ﺑﺮاي رﻳﺴﺖ ﻛﺮدن ﭘﺴﻮرد اﺳﺖ‪.‬‬ ‫‪ ،Shoulder surfing‬اﻳﺴﺘﺎدن در ﻛﻨﺎر ﺷﺨﺺ و ﻧﮕﺎه ﻛﺮدن ﺑﻪ ﭘﺴﻮردي اﺳﺖ ﻛﻪ ﺗﺎﻳﭗ ﻣﻲﻛﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ‬ ‫ﻧﺰدﻳﻚ ﻛﺎرﺑﺮ ﻳﺎ ﺳﻴﺴﺘﻢ اﺳﺖ‪ ،‬اﻳﻦ روش ﻣﻮﺛﺮ اﺳﺖ‪ .‬ﺑﻌﻀﻲ ﺻﻔﺤﺎت وﺟﻮد دارﻧﺪ ﻛﻪ ﻧﮕﺎه ﻛﺮدن از ﮔﻮﺷﻪ ﺑﻪ ﻣﺎﻧﻴﺘﻮر را‬ ‫ﺳﺨﺖ ﻣﻲﻛﻨﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﺟﻠﻮي اﻳﻦ ﺣﻤﻠﻪ را ﻣﻲﮔﻴﺮﻧﺪ‪ .‬ﻋﻼوه ﺑﺮ اﻳﻦ‪ ،‬آﻣﻮزش و آﮔﺎﻫﻲ ﭘﺮﺳﻨﻞ‪ ،‬اﺣﺘﻤﺎل اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ را‬ ‫ﻛﺎﻫﺶ ﻣﻲدﻫﺪ‪.‬‬ ‫در آﺷﻐﺎل ﮔﺮدي‪ ،‬ﻫﻜﺮ در زﺑﺎﻟﻪﻫﺎ ﺑﻪ دﻧﺒﺎل اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ ﭘﺴﻮردﻫﺎﻳﻲ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ در ﺗﻜﻪاي ﻛﺎﻏﺬ ﻧﻮﺷﺘﻪ‬ ‫ﺷﻮد ﻣﻲﮔﺮدد‪ .‬ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ اﻳﻦ ﺣﻤﻠﻪ ﻧﻴﺰ آﻣﻮزش و آﮔﺎﻫﻲ ﻛﺎرﺑﺮان ﻣﻲﺗﻮاﻧﺪ ﻫﻜﺮ را از ﻛﺴﺐ اﻃﻼﻋﺎت ﭘﺴﻮردﻫﺎ ﺑﺎ‬ ‫آﺷﻐﺎلﮔﺮدي ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ‪.‬‬

‫‪75‬‬

‫وب ﺳﺎﻳﺖﻫﺎﻳﻲ وﺟﻮد دارﻧﺪ ﻛﻪ ﺷﺎﻣﻞ ﭘﺎﻳﮕﺎه دادهﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﭘﺴﻮردﻫﺎي ﭘﻴﺶ ﻓﺮض ﺑﺴﻴﺎري از ﺳﺎزﻧﺪﮔﺎن‬ ‫ﻣﺨﺘﻠﻒ را دارﻧﺪ‪:‬‬ ‫‪http://www.defaultpassword.com‬‬ ‫‪http://www.cirt.net/passwords‬‬ ‫‪http://www.virus.org/default-password‬‬ ‫ﻧﺮماﻓﺰارﻫﺎي ‪ ،PDF Password Cracker‬و ‪ ،Abcom PDF Password Cracker‬ﻗﻔﻞﻫﺎي اﻣﻨﻴﺘﻲ ﻓﺎﻳﻞﻫﺎي‬ ‫‪ PDF‬را ﻣﻲﺷﻜﻨﺪ‪.‬‬

‫ﺗﻜﻨﻴﻚﻫﺎي ‪keylogger‬ﻫﺎ و ‪spyware‬‬ ‫اﮔﺮ ﻫﻤﻪ ﺗﻼشﻫﺎ ﺑﺮاي ﺟﻤﻊآوري ﭘﺴﻮرد‪ ،‬ﺑﻪ ﺷﻜﺴﺖ ﻣﻨﺠﺮ ﺷﻮد‪ ،‬اﺳﺘﻔﺎده از اﺑﺰار ‪ ،keystroke logger‬اﻧﺘﺨﺎب‬ ‫ﺑﻌﺪي ﻫﻜﺮﻫﺎﺳﺖ‪ ،(keylogger) keystroke logger .‬ﻣﻲﺗﻮاﻧﺪ ﺑﺼﻮرت ﺳﺨﺖاﻓﺰاري ﻳﺎ ﻧﺮماﻓﺰاري اﻧﺠﺎم ﮔﻴﺮد‪.‬‬ ‫‪keystroke logger‬ﻫﺎي ﺳﺨﺖاﻓﺰاري‪ ،‬دﺳﺘﮕﺎهﻫﺎي ﺳﺨﺖاﻓﺰاري ﻛﻮﭼﻜﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺻﻔﺤﻪ ﻛﻠﻴﺪ را ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ وﺻﻞ‬ ‫ﻣﻲﻛﻨﻨﺪ و ﻫﺮ ﻛﻠﻴﺪي ﻛﻪ ﻓﺸﺎر داده ﻣﻲﺷﻮد را داﺧﻞ ﻓﺎﻳﻠﻲ در ﺣﺎﻓﻈﻪ ذﺧﻴﺮه ﻣﻲﻛﻨﻨﺪ‪ .‬ﺑﺮاي ﻧﺼﺐ ﻳﻚ ‪keylogger‬‬ ‫ﺳﺨﺖاﻓﺰاري‪ ،‬ﻫﻜﺮ ﺑﺎﻳﺪ دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﺑﻪ ﺳﻴﺴﺘﻢ داﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬ ‫‪ Keylogger‬ﻧﺮماﻓﺰاري‪ ،‬ﺗﻜﻪاي از ﻧﺮماﻓﺰار ﺳﺮﻗﺖ اﺳﺖ ﻛﻪ ﺑﻴﻦ ﺳﺨﺖاﻓﺰار ﺻﻔﺤﻪ ﻛﻠﻴﺪ و ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻗﺮار‬ ‫ﻣﻲﮔﻴﺮد ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ ﻫﺮ ﺿﺮﺑﻪ ﻛﻠﻴﺪ را ﺛﺒﺖ ﻛﻨﻨﺪ‪Keylogger .‬ﻫﺎي ﻧﺮماﻓﺰاري ﺗﻮﺳﻂ ﺗﺮوﺟﺎنﻫﺎ ﻳﺎ وﻳﺮوسﻫﺎ‬ ‫ﺗﻮﺳﻌﻪ ﻣﻲﻳﺎﺑﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Spector‬ﻳﻚ ﻧﺮماﻓﺰار ﺟﺎﺳﻮﺳﻲ )‪ (spyware‬اﺳﺖ ﻛﻪ ﺗﻤﺎم ﻛﺎرﻫﺎﻳﻲ ﻛﻪ در اﻳﻨﺘﺮﻧﺖ اﻧﺠﺎم ﻣﻲﺷﻮد را ﻣﺜﻞ دورﺑﻴﻦ‬ ‫ﺿﺒﻂ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار‪ ،‬ﺑﺼﻮرت ﺧﻮدﻛﺎر در ﻫﺮ ﺳﺎﻋﺖ‪ ،‬ﺻﺪﻫﺎ ﻋﻜﺲ از ﺻﻔﺤﻪ ﻣﺎﻧﻴﺘﻮر ﻣﻲﮔﻴﺮد و آﻧﻬﺎ را در ﻣﻜﺎﻧﻲ‬ ‫ﻣﺨﻔﻲ روي ﻫﺎرد ﺳﻴﺴﺘﻢ ذﺧﻴﺮه ﻣﻲﻛﻨﺪ‪ Anti-spector .‬ﻣﻲﺗﻮاﻧﺪ اﻳﻦ ﻧﺮماﻓﺰار را ﺗﺸﺨﻴﺺ دﻫﺪ و آن را ﺣﺬف ﻛﻨﺪ‪.‬‬

‫‪76‬‬

‫‪ ،eBlaster‬ﻧﺮماﻓﺰار ﺟﺎﺳﻮﺳﻲ اﻳﻨﺘﺮﻧﺘﻲ اﺳﺖ ﻛﻪ اﻳﻤﻴﻞﻫﺎي ورودي و ﺧﺮوﺟﻲ را درﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ و ﺑﻼﻓﺎﺻﻠﻪ آﻧﻬﺎ را ﺑﻪ‬ ‫آدرس اﻳﻤﻴﻞ دﻳﮕﺮي ﻓﺮوارد ﻣﻲﻛﻨﺪ‪ ،eBloster .‬ﻣﻲﺗﻮاﻧﺪ ﻫﺮ دو ﻃﺮف ﻳﻚ ﻣﻜﺎﻟﻤﻪ ﻣﺴﻨﺠﺮ را ﺑﮕﻴﺮد و آﻧﻬﺎ را ﺿﺒﻂ ﻛﻨﺪ‬ ‫و ﻫﻤﭽﻨﻴﻦ وب ﺳﺎﻳﺖﻫﺎي ﻣﺸﺎﻫﺪه ﺷﺪه را ﺛﺒﺖ ﻛﻨﺪ‪.‬‬ ‫‪ ،SpyAnywhere‬اﺑﺰاري اﺳﺖ ﻛﻪ ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲدﻫﺪ ﻓﻌﺎﻟﻴﺖ ﺳﻴﺴﺘﻢ و اﻋﻤﺎل ﻛﺎرﺑﺮ را ﺑﺒﻴﻨﻴﺪ‪ ،‬ﺳﻴﺴﺘﻢ را ﺧﺎﻣﻮش‪،‬‬ ‫رﻳﺴﺘﺎرت ﻛﻨﻴﺪ و ﺣﺘﻲ ﻓﺎﻳﻞ ﺳﻴﺴﺘﻢ راه دور را ﺑﺒﻴﻨﻴﺪ‪ ،SpyAnywhere .‬ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲدﻫﺪ ﺑﺮﻧﺎﻣﻪﻫﺎ و ﭘﻨﺠﺮهﻫﺎي‬ ‫ﺑﺎز را روي ﺳﻴﺴﺘﻢ راه دور ﻛﻨﺘﺮل ﻛﻨﻴﺪ و ‪ history‬اﻳﻨﺘﺮﻧﺘﻲ و اﻃﻼﻋﺎت ﻣﺮﺑﻮﻃﻪ را ﺑﺒﻴﻨﻴﺪ‪.‬‬ ‫‪ ،Fearless Key Logger‬ﺗﺮوﺟﺎﻧﻲ اﺳﺖ ﻛﻪ در ﺣﺎﻓﻈﻪ ﺑﺎﻗﻲ ﻣﻲﻣﺎﻧﺪ ﺗﺎ ﺗﻤﺎم ﺿﺮﺑﺎت ﻛﻠﻴﺪ ﻛﺎرﺑﺮ را ﺑﺪﺳﺖ آورد‪.‬‬ ‫ﻛﻠﻴﺪﻫﺎي زده ﺷﺪه‪ ،‬در ﻓﺎﻳﻞ ‪ log‬ذﺧﻴﺮه ﻣﻲﺷﻮﻧﺪ و ﻣﻲﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﻫﻜﺮ ﺑﺎزﻳﺎﺑﻲ ﺷﻮد‪.‬‬ ‫‪ ،E-mail Keylogger‬ﺗﻤﺎم اﻳﻤﻴﻞﻫﺎي ﻓﺮﺳﺘﺎده و درﻳﺎﻓﺖ ﺷﺪه روي ﺳﻴﺴﺘﻢ ﻫﺪف را ﺛﺒﺖ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻤﻴﻞﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ‬ ‫ﺗﻮﺳﻂ ارﺳﺎلﻛﻨﻨﺪه‪ ،‬درﻳﺎﻓﺖﻛﻨﻨﺪه‪ ،‬ﻣﻮﺿﻮع‪ ،‬و ﺗﺎرﻳﺦ‪/‬ﺳﺎﻋﺖ ﻣﺸﺎﻫﺪه ﺷﻮﻧﺪ‪ .‬ﻣﺤﺘﻮاي اﻳﻤﻴﻞ و ﻫﺮ ﺿﻤﻴﻤﻪ دﻳﮕﺮ‪ ،‬ﺿﺒﻂ‬ ‫ﻣﻲﺷﻮد‪.‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از ﻧﺮم اﻓﺰارﻫﺎي ‪ Keylogger‬ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪Revealer Keylogger‬‬ ‫‪Handy Key Logger‬‬ ‫‪Ardamax Keylogger‬‬ ‫‪Powered Keylogger‬‬ ‫‪ELITE Keylogger‬‬ ‫‪Quick Keylogger‬‬ ‫‪Spy-Keylogger‬‬ ‫‪Perferct Keylogger‬‬ ‫‪Invisible Keylogger‬‬ ‫‪Actual Spy‬‬ ‫‪Spytector FTP Keylogger‬‬ ‫‪IKS Software Keylogger‬‬ ‫‪Ghost Keylogger‬‬

‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬

‫دﺳﺘﺮﺳﻲﻫﺎي ﺿﺮوري‬ ‫اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ‪ ،‬ﺳﻮﻣﻴﻦ ﻣﺮﺣﻠﻪ در ﭼﺮﺧﻪ ﻫﻚ اﺳﺖ‪ .‬اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ‪ ،‬ﺑﻪ اﻳﻦ ﻣﻌﻨﺎﺳﺖ ﻛﻪ‬ ‫ﻣﺠﻮزﻫﺎ و ﺣﻘﻮق ﻳﻚ ﺣﺴﺎب ﻛﺎرﺑﺮي اﻓﺰاﻳﺶ ﻳﺎﺑﺪ‪ .‬در واﻗﻊ‪ ،‬اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ‪ ،‬ﺑﻪ ﻣﻌﻨﺎي اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ‬ ‫ﻳﻚ ﺣﺴﺎب ﻛﺎرﺑﺮي ﺑﻪ اﻧﺪازه ﺣﺴﺎب ﻣﺪﻳﺮ اﺳﺖ‪.‬‬

‫‪77‬‬

‫ﺑﻄﻮر ﻛﻠﻲ‪ ،‬ﺣﺴﺎبﻫﺎي ﻣﺪﻳﺮ‪ ،‬ﺑﺎﻳﺪ داراي ﭘﺴﻮردﻫﺎي ﻗﻮيﺗﺮ ﺑﺎﺷﻨﺪ‪ .‬اﮔﺮ ﻫﻜﺮ ﻧﺘﻮاﻧﺪ ﻧﺎم ﻛﺎرﺑﺮي و ﭘﺴﻮرد ﻣﺪﻳﺮ‬ ‫ﺳﻴﺴﺘﻢ را ﭘﻴﺪا ﻛﻨﺪ‪ ،‬ﺑﻪ دﻧﺒﺎل ﺣﺴﺎﺑﻲ ﺑﺎ دﺳﺘﺮﺳﻲ ﭘﺎﻳﻴﻦﺗﺮي ﻣﻲﮔﺮدد و در اﻳﻦ ﺣﺎﻟﺖ‪ ،‬ﻫﻜﺮ ﺑﻪ دﻧﺒﺎل اﻓﺰاﻳﺶ ﺳﻄﺢ‬ ‫دﺳﺘﺮﺳﻲ اﻳﻦ ﺣﺴﺎب اﺳﺖ‪.‬‬ ‫زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ اﻛﺎﻧﺖ و ﭘﺴﻮرد ﻣﻌﺘﺒﺮي را ﺑﺪﺳﺖ آورد‪ ،‬در ﻣﺮﺣﻠﻪ ﺑﻌﺪي ﺑﻪ دﻧﺒﺎل اﺟﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎي اﺳﺖ‪ .‬ﺑﻄﻮر‬ ‫ﻛﻠﻲ‪ ،‬ﻫﻜﺮ ﻧﻴﺎز دارد ﻛﻪ ﺣﺴﺎﺑﻲ ﺑﺎ دﺳﺘﺮﺳﻲ ‪ administrator‬داﺷﺘﻪ ﺑﺎﺷﺪ ﺗﺎ ﺑﺘﻮاﻧﺪ ﺑﺮﻧﺎﻣﻪﻫﺎ را ﻧﺼﺐ ﻛﻨﺪ و ﺑﻪ ﻫﻤﻴﻦ‬ ‫ﺧﺎﻃﺮ‪ ،‬اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ‪ ،‬ﺑﺴﻴﺎر ﻣﻬﻢ اﺳﺖ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،GetAdmin.exe‬ﺑﺮﻧﺎﻣﻪ ﻛﻮﭼﻜﻲ اﺳﺖ ﻛﻪ ﻛﺎرﺑﺮي را ﺑﻪ ﮔﺮوه ‪ administrator‬اﺿﺎﻓﻪ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﺑﺮﻧﺎﻣﻪ از ﻫﺴﺘﻪ‬ ‫ﺳﻄﺢ ﭘﺎﻳﻴﻦ ‪ NT‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﻪ ﭘﺮدازشﻫﺎي در ﺣﺎل اﺟﺮا دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ‪ .‬ﺑﺮاي اﺟﺮاي ﺑﺮﻧﺎﻣﻪ‪ ،‬ورود ﺑﻪ‬ ‫ﻛﻨﺴﻮل ﺳﺮور ﺿﺮوري اﺳﺖ‪ ،GetAdmin.exe .‬از ﻃﺮﻳﻖ دﺳﺘﻮر ﻳﺎ ﻣﺮوﮔﺮ اﺟﺮا ﻣﻲﺷﻮد‪ .‬ﺗﻨﻬﺎ ﺑﺮ روي ‪Windows NT‬‬ ‫‪ 4.0 SP3‬ﻛﺎر ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺑﺎ اﺳﺘﻔﺎده از ﺑﺮﻧﺎﻣﻪ ‪ ،HK.exe‬ﻣﻲﺗﻮاﻧﻴﺪ ﻛﺎرﺑﺮي ﻛﻪ ‪ admin‬ﻧﻴﺴﺖ ﺑﻪ ﮔﺮوه ‪ administrator‬اﺿﺎﻓﻪ ﻛﻨﻴﺪ‪.‬‬ ‫‪ ،Active@ Password Changer‬ﺑﺮاي رﻳﺴﺖ ﻛﺮدن ﭘﺴﻮرد ﺣﺴﺎب ‪ administrator‬ﺑﺼﻮرت ‪ local‬اﺳﺖ‪.‬‬ ‫اﺑﺰار ‪ ،x.exe‬زﻣﺎﻧﻴﻜﻪ ﺑﺮ روي ﺳﻴﺴﺘﻢ راه دور اﺟﺮا ﻣﻲﺷﻮد‪ ،‬ﻛﺎرﺑﺮي ﺑﺎ ﻧﺎم ‪ X‬و ﭘﺴﻮرد ‪ X‬ﻣﻲﺳﺎزد و آن را ﻋﻀﻮ ﮔﺮوه‬ ‫‪ administrator‬ﻣﻲﻛﻨﺪ‪.‬‬

‫اﺟﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎ‬ ‫زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺗﻮاﻧﺴﺖ ﺑﻪ ﺣﺴﺎﺑﻲ ﺑﺎ ﺳﻄﺢ دﺳﺘﺮﺳﻲ ‪ ،administrator‬دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ‪ ،‬ﻣﺮﺣﻠﻪ ﺑﻌﺪي ﻛﻪ اﻧﺠﺎم‬ ‫ﻣﻲدﻫﺪ اﻳﻦ اﺳﺖ ﻛﻪ ﺑﺮﻧﺎﻣﻪﻫﺎ را روي ﺳﻴﺴﺘﻢ ﻫﺪف اﺟﺮا ﻛﻨﺪ‪ .‬ﻣﻤﻜﻦ اﺳﺖ ﻫﺪف اﺟﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬ﻧﺼﺐ ‪back door‬‬ ‫)در ﭘﺸﺘﻲ( روي ﺳﻴﺴﺘﻢ‪ ،‬ﻧﺼﺐ ﻳﻚ ‪ keystroke logger‬ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ‪ ،‬ﻛﭙﻲ ﻓﺎﻳﻞﻫﺎ‪ ،‬ﻳﺎ ﻓﻘﻂ ﺑﺮاي‬ ‫آﺳﻴﺐ رﺳﺎﻧﺪن ﺑﻪ ﺳﻴﺴﺘﻢ ﺑﺎﺷﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺗﻮاﻧﺴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎ را اﺟﺮا ﻛﻨﺪ‪ ،‬ﻣﺎﻟﻚ ﺳﻴﺴﺘﻢ ﻣﻲﺷﻮد‪.‬‬

‫‪78‬‬

‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،PsExec‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ﺑﻪ ﺳﻴﺴﺘﻢ راه دور ﻣﺘﺼﻞ ﻣﻲﺷﻮد و ﻓﺎﻳﻞﻫﺎ را اﺟﺮا ﻣﻲﻛﻨﺪ‪ .‬ﻧﻴﺎزي ﺑﻪ ﻧﺼﺐ ﺑﺮﻧﺎﻣﻪ روي‬ ‫ﺳﻴﺴﺘﻢ راه دور ﻧﻴﺴﺖ‪.‬‬ ‫‪ ،Remoxec‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از ﺳﺮوﻳﺲ ‪ RPC‬ﻳﺎ ‪ DCOM‬ﻛﺎر ﻣﻲﻛﻨﺪ‪ .‬ﻣﺪﻳﺮاﻧﻲ ﻛﻪ ﭘﺴﻮرد ﺿﻌﻴﻒ دارﻧﺪ‬ ‫ﻣﻤﻜﻦ اﺳﺖ از ﻃﺮﻳﻖ ‪ Task Scheduler‬ﻳﺎ ‪ DCOM‬ﻣﻮرد ﺳﻮ اﺳﺘﻔﺎده ﻗﺮار ﮔﻴﺮﻧﺪ‪.‬‬ ‫‪ ،Alchemy Remote Executer‬اﺑﺰار ﻣﺪﻳﺮﻳﺘﻲ ﺑﺮاي ﻣﺪﻳﺮان اﺳﺖ ﻛﻪ ﺑﺘﻮاﻧﻨﺪ ﺑﺮﻧﺎﻣﻪﻫﺎ را روي ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي ﺷﺒﻜﻪ از‬ ‫راه دور اﺟﺮا ﻛﻨﻨﺪ‪.‬‬ ‫‪ ،Esma FlexInfo Pro‬اﺑﺰاري ﺑﺮاي ﻧﻤﺎﻳﺶ اﻃﻼﻋﺎت و ﺗﻨﻈﻴﻤﺎت ﺳﻴﺴﺘﻢﻫﺎ اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ اﺑﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن ﮔﺮاف‬ ‫‪ ،CPU usage‬ﻣﺎﻧﻴﺘﻮر ﭘﻬﻨﺎي ﺑﺎﻧﺪ و ‪ ...‬اﺳﺖ‪.‬‬

‫‪Buffer Overflows‬‬ ‫‪) Buffer overflows‬ﺳﺮرﻳﺰي ﺑﺎﻓﺮ(‪ ،‬ﺗﻼش ﻫﻜﺮ ﺑﺮاي ﺳﻮ اﺳﺘﻔﺎده از ﻋﻴﺐ ﻳﻚ ﺑﺮﻧﺎﻣﻪ اﺳﺖ‪ .‬در اﺻﻞ‪ ،‬ﺣﻤﻠﻪ‬ ‫ﺳﺮرﻳﺰي ﺑﺎﻓﺮ‪ ،‬اﻃﻼﻋﺎت ﺑﺴﻴﺎر زﻳﺎدي را ﺑﻪ ﻳﻚ ﻓﻴﻠﺪ ﻣﺘﻐﻴﺮ در ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻣﻲﻓﺮﺳﺘﺪ ﻛﻪ ﻣﻨﺠﺮ ﺑﻪ ﺧﻄﺎي ﺑﺮﻧﺎﻣﻪ ﻣﻲﺷﻮد‪.‬‬ ‫اﻏﻠﺐ اوﻗﺎت‪ ،‬ﺑﺮﻧﺎﻣﻪ ﻧﻤﻲداﻧﺪ ﻛﻪ در اﻳﻦ ﺣﺎﻟﺖ ﭼﻴﻜﺎر ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻳﺎ دﺳﺘﻮرات را اﺟﺮا ﻣﻲﻛﻨﺪ ﻳﺎ دﺳﺘﻮر را رد ﻣﻲﻛﻨﺪ و‬ ‫ﺑﻪ ﻛﺎرﺑﺮ اﺟﺎزه ﻣﻲدﻫﺪ ﻛﻪ دﺳﺘﻮر ﺑﻌﺪي را وارد ﻛﻨﺪ‪ .‬ﺑﺮاي ﻫﻜﺮ‪ cmd ،‬ﻳﺎ ‪ ،shell‬ﻛﻠﻴﺪ اﺟﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎي دﻳﮕﺮ اﺳﺖ‪.‬‬

‫‪ Rootkit‬ﻫﺎ‬ ‫‪ ،Rootkit‬ﻧﻮﻋﻲ ﺑﺮﻧﺎﻣﻪ اﺳﺖ ﻛﻪ اﻏﻠﺐ ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن ﺑﺮﻧﺎﻣﻪﻫﺎ روي ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ ﺑﻪ ﻛﺎر ﻣﻲرود‪.‬‬ ‫‪Rootkit‬ﻫﺎ ﺷﺎﻣﻞ ‪ backdoor‬ﻫﺴﺘﻨﺪ ﺗﺎ ﺑﻪ ﻫﻜﺮ ﻛﻤﻚ ﻛﻨﺪ ﺑﻄﻮر ﻣﺘﻮاﻟﻲ و راﺣﺖ ﺑﻪ ﺳﻴﺴﺘﻢ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ‪.‬‬ ‫ﻫﻤﭽﻨﻴﻦ ﻳﻚ ‪ backdoor‬ﻣﻤﻜﻦ اﺳﺖ اﺟﺎزه ﺷﺮوع ﭘﺮدازشﻫﺎ را ﺗﻮﺳﻂ ﻳﻚ ﺣﺴﺎب ﻣﺤﺪود ﺑﺪﻫﺪ‪ ،Rootkit .‬ﺑﻄﻮر‬ ‫ﭘﻴﻮﺳﺘﻪ ﺗﻮﺳﻂ ﺑﺮﻧﺎﻣﻪﻧﻮﻳﺲ ‪ rootkit‬ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲﮔﻴﺮد ﺗﺎ ﺑﺘﻮاﻧﻨﺪ ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي و اﻃﻼﻋﺎت ﻻﮔﻴﻦ ﺳﺎﻳﺖﻫﺎﻳﻲ‬ ‫ﻛﻪ ﺑﻪ آﻧﻬﺎ ﻧﻴﺎز دارﻧﺪ را ﺑﺒﻴﻨﺪ و دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﻨﺪ‪.‬‬

‫‪79‬‬

‫ﭼﻨﺪﻳﻦ ﻧﻮع ‪ rootkit‬وﺟﻮد دارﻧﺪ ﻛﻪ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪ :Kernel-level rootkits‬اﻳﻦ دﺳﺘﻪ از ‪rootkit‬ﻫﺎ‪ ،‬ﻛﺪي را ﺑﻪ ﻗﺴﻤﺘﻲ از ﻛﺪ ﻫﺴﺘﻪ اﺿﺎﻓﻪ ﻣﻲﻛﻨﻨﺪ ﻳﺎ آن را ﺟﺎﻳﮕﺰﻳﻦ‬ ‫ﻣﻲﻛﻨﻨﺪ ﺗﺎ ‪ doorback‬را روي ﺳﻴﺴﺘﻢ‪ ،‬ﻣﺨﻔﻲ ﻧﮕﻪ دارﻧﺪ‪ .‬ﻣﻌﻤﻮﻻ ﻛﺪ ﺟﺪﻳﺪي را از ﻃﺮﻳﻖ دراﻳﻮر دﺳﺘﮕﺎه ﻳﺎ ﻣﺎژولﻫﺎ ﺑﻪ‬ ‫ﻛﺮﻧﻞ اﺿﺎﻓﻪ ﻣﻲﻛﻨﻨﺪ‪Kernel-level rootkit .‬ﻫﺎ‪ ،‬ﺑﺴﻴﺎر ﺧﻄﺮﻧﺎك ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺪون اﺳﺘﻔﺎده از ﻧﺮماﻓﺰار ﻣﻨﺎﺳﺐ‪،‬‬ ‫ﺷﻨﺎﺳﺎﻳﻲ آﻧﻬﺎ ﺑﺴﻴﺎر ﺳﺨﺖﺗﺮ اﺳﺖ‪.‬‬ ‫‪ :Library-level rootkits‬اﻳﻦ دﺳﺘﻪ از ‪rootkit‬ﻫﺎ‪ ،‬ﻓﺮاﺧﻮاﻧﻲ ﺳﻴﺴﺘﻢ )‪ (library‬را ﺑﺎ ﻧﺴﺨﻪاي دﻳﮕﺮ ﻛﻪ اﻃﻼﻋﺎت‬ ‫ﻫﻜﺮ را ﻣﺨﻔﻲ ﻣﻲﻛﻨﺪ‪ ،‬ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫‪ :Application-level rootkits‬اﻳﻦ دﺳﺘﻪ از ‪rootkit‬ﻫﺎ‪ ،‬ﺑﻴﺖﻫﺎي ﺑﺎﻳﻨﺮي ﺑﺮﻧﺎﻣﻪﻫﺎ را ﺑﺎ ﺗﺮوﺟﺎنﻫﺎ ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﻛﻨﺪ‬ ‫ﻳﺎ ﻣﻤﻜﻦ اﺳﺖ ﻛﻪ رﻓﺘﺎر ﺑﺮﻧﺎﻣﻪ ﻣﻮﺟﻮد را از ﻃﺮﻳﻖ ‪patch‬ﻫﺎ‪ ،‬ﻛﺪﻫﺎي ﺗﺰﻳﻖ ﺷﺪه‪ ،‬ﻳﺎ اﺑﺰارﻫﺎي دﻳﮕﺮ‪ ،‬ﺗﻐﻴﻴﺮ دﻫﺪ‪.‬‬

‫ﻧﺼﺐ ‪Rootkit‬ﻫﺎ ﺑﺮ روي ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي وﻳﻨﺪوز ‪ 2000‬و ‪XP‬‬ ‫‪ ،Windows NT/2000 rootkit‬ﺑﻄﻮر اﺗﻮﻣﺎﺗﻴﻚ ﻫﻨﮕﺎه اﺟﺮاي وﻳﻨﺪوز‪ ،‬ﺑﺎرﮔﺬاري ﻣﻲﺷﻮد‪ ،Rootkit .‬ﺑﺎ دﺳﺘﺮﺳﻲ‬ ‫ﺳﻴﺴﺘﻤﻲ در ﻫﺴﺘﻪ ‪ NT kernel‬ﻛﺎر ﻣﻲﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﺑﻪ ﻫﻤﻪ ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ دﺳﺘﺮﺳﻲ دارد‪ Rootkit .‬ﻣﻲﺗﻮاﻧﺪ‬ ‫ﭘﺮدازشﻫﺎ را ﻣﺨﻔﻲ ﻛﻨﺪ‪ ،‬ﻓﺎﻳﻞﻫﺎ را ﻣﺨﻔﻲ ﻛﻨﺪ‪ ،‬ﻣﻘﺎدﻳﺮ رﺟﻴﺴﺘﺮي را ﻣﺨﻔﻲ ﻛﻨﺪ‪ ،‬وﻗﻔﻪ اﻳﺠﺎد ﻛﻨﺪ ﺗﺎ ‪blue scrren‬‬ ‫ﻇﺎﻫﺮ ﺷﻮد‪ ،‬و ﻓﺎﻳﻞ ﻫﺎي ‪ EXE‬را ﺗﻐﻴﻴﺮ ﻣﺴﻴﺮ دﻫﺪ‪.‬‬ ‫‪ ،Rootkit‬ﺷﺎﻣﻞ ﻳﻚ ‪ kernel mode device driver‬ﻛﻪ ‪ _root_.sys‬ﻧﺎم دارد و ﻳﻚ ﺑﺮﻧﺎﻣﻪ اﺟﺮا ﻛﻨﻨﺪه ﻛﻪ‬ ‫‪ DEPLOY.EXE‬ﻧﺎم دارد‪ ،‬اﺳﺖ‪ .‬ﭘﺲ از اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف‪ ،‬ﻫﻜﺮ‪ _root_.sys ،‬و ‪ DEPLOY.EXE‬را‬ ‫از ﺳﻴﺴﺘﻢ ﻫﺪف ﻛﭙﻲ ﻣﻲﻛﻨﺪ و ‪ DEPLOY.EXE‬را اﺟﺮا ﻣﻲﻛﻨﺪ‪ .‬ﺳﭙﺲ دراﻳﻮر دﺳﺘﮕﺎه ‪ rootkit‬را ﻧﺼﺐ و ﺷﺮوع‬ ‫ﻣﻲﻛﻨﺪ‪ .‬ﺳﭙﺲ ‪ DEPLOY.EXE‬را از ﺳﻴﺴﺘﻢ ﻫﺪف ﺣﺬف ﻣﻲﻛﻨﺪ‪ .‬ﺳﭙﺲ‪ ،‬ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮر _‪ net stop _root‬و‬ ‫_‪ rootkit ،net start _root‬را ‪ stop‬و ﺳﭙﺲ ‪ restart‬ﻣﻲﻛﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ‪ rootkit‬ﺷﺮوع ﺑﻪ ﻛﺎر ﻛﺮد‪ ،‬ﻓﺎﻳﻞ ‪_root_.sys‬‬ ‫دﻳﮕﺮ در ﻟﻴﺴﺖ داﻳﺮﻛﺘﻮري ﻇﺎﻫﺮ ﻧﻤﻲﺷﻮد‪.‬‬

‫‪80‬‬

‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪rootkit‬ﻫﺎ‬ ‫ﺗﻤﺎم ‪rootkit‬ﻫﺎ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف‪ ،‬ﻧﻴﺎز ﺑﻪ دﺳﺘﺮﺳﻲ ‪ administrator‬دارﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬اﻣﻨﻴﺖ‬ ‫ﭘﺴﻮرد از اﻫﻤﻴﺖ ﺑﺎﻻﻳﻲ ﺑﺮﺧﻮردار اﺳﺖ‪ .‬اﮔﺮ ﺷﻤﺎ ﻳﻚ ‪ rootkit‬را ﺷﻨﺎﺳﺎﻳﻲ ﻛﺮدﻳﺪ‪ ،‬ﺗﻮﺻﻴﻪ ﻣﻲﺷﻮد ﻛﻪ از اﻃﻼﻋﺎت‬ ‫ﺣﻴﺎﺗﻲ ﭘﺸﺘﻴﺒﺎن ﺗﻬﻴﻪ ﻛﻨﻴﺪ و ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و ﺑﺮﻧﺎﻣﻪﻫﺎ را دوﺑﺎره از ﻣﻨﺒﻊ ﻗﺎﺑﻞ اﻋﺘﻤﺎد ﻧﺼﺐ ﻛﻨﻴﺪ‪.‬‬ ‫روش دﻳﮕﺮ اﻳﻦ اﺳﺖ ﻛﻪ از اﺑﺰار ‪ MD5 checksum‬اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪ .‬ﺑﺮاي ﻳﻚ ﻓﺎﻳﻞ‪128 ،MD5 checksum ،‬‬ ‫ﺑﻴﺖ اﺳﺖ‪ .‬اﮔﺮ ﻳﻜﻲ از ﺑﻴﺖﻫﺎي ﻳﻚ ﻓﺎﻳﻞ ﺗﻐﻴﻴﺮ ﻛﻨﺪ‪ ،‬ﻣﻘﺪار ‪ checksum‬در اﻳﻦ اﻟﮕﻮرﻳﺘﻢ ﻣﺘﻔﺎوت ﺧﻮاﻫﺪ ﺑﻮد‪ .‬اﻳﻦ‬ ‫ﻗﺎﺑﻠﻴﺖ ﺑﺮاي ﻣﻘﺎﻳﺴﻪ ﻓﺎﻳﻞﻫﺎ و ﻣﻄﻤﺌﻦ ﺷﺪن از ﻳﻜﭙﺎرﭼﮕﻲ آﻧﻬﺎ‪ ،‬ﻣﻔﻴﺪ اﺳﺖ‪ .‬ﻗﺎﺑﻠﻴﺖ ﺧﻮب دﻳﮕﺮ‪ ،‬ﻃﻮل ﺛﺎﺑﺖ ‪checksum‬‬ ‫اﺳﺖ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Tripwire‬ﺑﺮﻧﺎﻣﻪ ﺑﺮرﺳﻲ ﻳﻜﭙﺎرﭼﮕﻲ ﻓﺎﻳﻞ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎي ﻳﻮﻧﻴﻜﺲ و ﻟﻴﻨﻮﻛﺲ اﺳﺖ‪ .‬ﻋﻼوه ﺑﺮ ﺑﺮرﺳﻲ‬ ‫‪ checksum‬ﺑﺮ روي ﻓﺎﻳﻞﻫﺎ و داﻳﺮﻛﺘﻮريﻫﺎ‪ ،Tripwire ،‬داراي اﻃﻼﻋﺎﺗﻲ اﺳﺖ ﻛﻪ ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲدﻫﺪ ﻣﺠﻮزﻫﺎي‬ ‫دﺳﺘﺮﺳﻲ و ﺗﻨﻈﻴﻤﺎت ﻓﺎﻳﻞ‪ ،‬ﻧﺎم ﻛﺎرﺑﺮي ﻣﺎﻟﻚ‪ ،‬ﺗﺎرﻳﺦ و ﺳﺎﻋﺖ آﺧﺮﻳﻦ دﺳﺘﺮﺳﻲ ﺑﻪ آن‪ ،‬و آﺧﺮﻳﻦ اﺻﻼح آن را ﺑﺮرﺳﻲ‬ ‫ﻛﻨﻴﺪ‪.‬‬

‫ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞﻫﺎ‬ ‫ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮي ﺑﺨﻮاﻫﺪ ﻛﻪ ﻓﺎﻳﻠﻲ را ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻣﺨﻔﻲ ﻛﻨﺪ ﺗﺎ از ﺷﻨﺎﺳﺎﻳﻲ در اﻣﺎن ﺑﻤﺎﻧﺪ‪ .‬ﺳﭙﺲ از اﻳﻦ‬ ‫ﻓﺎﻳﻞﻫﺎ ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬در وﻳﻨﺪوز‪ ،‬دو روش ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞﻫﺎ وﺟﻮد دارد‪ .‬اوﻟﻴﻦ روش‪،‬‬ ‫اﺳﺘﻔﺎده از دﺳﺘﻮر ‪ attrib‬اﺳﺖ‪ .‬ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞ ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮر ‪ ،attrib‬دﺳﺘﻮر زﻳﺮ را ﺗﺎﻳﭗ ﻛﻨﻴﺪ‪:‬‬ ‫]‪Attrib +h [file/directory‬‬ ‫دوﻣﻴﻦ روش ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞ در وﻳﻨﺪوز‪ ،‬ﺑﺎ اﺳﺘﻔﺎده از ﺧﺎﺻﻴﺖ ‪ NTFS data streaming‬اﺳﺖ‪ .‬ﺳﻴﺴﺘﻢ‬ ‫ﻓﺎﻳﻞ ‪ ،NTFS‬داراي ﻗﺎﺑﻠﻴﺘﻲ اﺳﺖ ﻛﻪ ‪ alternate data streams‬ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد ﻛﻪ دادهﻫﺎ را داﺧﻞ ﻓﺎﻳﻞ دﻳﮕﺮي ﻛﻪ‬ ‫ﻗﺎﺑﻞ روﻳﺖ اﺳﺖ‪ ،‬ﻣﺨﻔﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺑﻴﺸﺘﺮ از ﻳﻚ ﻓﺎﻳﻞ را ﻣﻲﺗﻮان ﺑﻪ ﻓﺎﻳﻞ اﺻﻠﻲ ﻟﻴﻨﻚ ﻛﺮد و ﻧﻴﺰ ﻣﺤﺪودﻳﺖ اﻧﺪازه ﻧﺪارد‪.‬‬

‫‪81‬‬

‫‪NTFS File Streaming‬‬ ‫ﺑﺮاي ﺳﺎﺧﺖ و ﺗﺴﺖ ‪ ،NTFS file stream‬ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ‪:‬‬ ‫‪ .1‬در ‪ ،cmd‬دﺳﺘﻮر ‪ noepad test.txt‬را ﺗﺎﻳﭗ ﻛﻨﻴﺪ‪.‬‬ ‫‪ .2‬ﻓﺎﻳﻞ را ﺑﺎ اﻃﻼﻋﺎﺗﻲ ﭘﺮ ﻛﻨﻴﺪ و ﺳﭙﺲ آن را ﺑﺒﻨﺪﻳﺪ‪.‬‬ ‫‪ .3‬در ‪ ،cmd‬دﺳﺘﻮر ‪ dir test.txt‬را وارد ﻛﻨﻴﺪ و ﺑﻪ اﻧﺪازه آن دﻗﺖ ﻛﻨﻴﺪ‪.‬‬ ‫‪ .4‬در ‪ ،cmd‬دﺳﺘﻮر ‪ notepad test.txt:hidden.txt‬را ﺗﺎﻳﭗ ﻛﻨﻴﺪ‪ .‬داﺧﻞ ﻓﺎﻳﻞ را ﺑﺎ ﻣﻄﺎﻟﺒﻲ ﭘﺮ ﻛﻨﻴﺪ و آن را‬ ‫ذﺧﻴﺮه ﻛﻨﻴﺪ‪.‬‬ ‫‪ .5‬دوﺑﺎره اﻧﺪازه ﻓﺎﻳﻞ را ﺑﺮرﺳﻲ ﻛﻨﻴﺪ )ﺑﺎﻳﺪ ﻧﺴﺒﺖ ﺑﻪ ﻗﺒﻞ ﺗﻔﺎوﺗﻲ ﻧﻜﺮده ﺑﺎﺷﺪ(‪.‬‬ ‫‪ Test.txt .6‬را ﺑﺎز ﻛﻨﻴﺪ‪ .‬ﺑﺎﻳﺪ ﻓﻘﻂ دادهﻫﺎي اﺻﻠﻲ را ﺑﺒﻴﻨﻴﺪ‪.‬‬ ‫‪ .7‬دﺳﺘﻮر ‪ type test.txt:hidden.txt‬را در ‪ cmd‬ﺗﺎﻳﭗ ﻛﻨﻴﺪ‪ .‬ﭘﻴﺎم ﺧﻄﺎ ﻧﻤﺎﻳﺶ داده ﻣﻲﺷﻮد‪.‬‬ ‫‪ .8‬ﺑﺮاي اﻳﻨﻜﻪ ﻣﺤﺘﻮاي ‪ Trojan.exe‬را ﺑﻪ ‪ Readme.txt‬اﻧﺘﻘﺎل دﻫﻴﺪ‪ ،‬از دﺳﺘﻮر زﻳﺮ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪:‬‬ ‫‪C:\> type c:\Trojan.exe > c:\Readme.txt:Trojan.exe‬‬ ‫‪ .9‬ﺑﺮاي اﺟﺮاي ‪ Trojan.exe‬در ‪ ،Readme.txt‬از دﺳﺘﻮر زﻳﺮ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪:‬‬ ‫‪C:\> start c:\Readme.txt:Trojan.exe‬‬ ‫‪ .10‬ﺑﺮاي ‪ extract‬ﻛﺮدن ‪ Trojan.exe‬از ‪ Readme.txt‬از دﺳﺘﻮر زﻳﺮ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪:‬‬ ‫‪C:\> cat c:\Readme.txt:Trojan.exe > Trojan.exe‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Makestrm.exe‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ دادهﻫﺎ را از ﻳﻚ ﻓﺎﻳﻞ ﺑﻪ ﻳﻚ ‪ alternate data stream‬ﻛﻪ ﺑﻪ ﻓﺎﻳﻞ اﺻﻠﻲ ﻟﻴﻨﻚ‬ ‫اﺳﺖ‪ ،‬ﻣﻨﺘﻘﻞ ﻣﻲﻛﻨﺪ‪.‬‬

‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪NTFS Stream‬‬ ‫ﺑﺮاي ﺣﺬف ﻳﻚ ‪ ،stream file‬اﺑﺘﺪا آن ﻓﺎﻳﻞ را ﺑﻪ ﭘﺎرﺗﻴﺸﻨﻲ ﻛﻪ داراي ﺳﻴﺴﺘﻢ ﻓﺎﻳﻞ ‪ FAT‬ﺑﺎﺷﺪ ﻛﭙﻲ ﻛﻨﻴﺪ و‬ ‫ﺳﭙﺲ دوﺑﺎره ﺑﻪ ﭘﺎرﺗﻴﺸﻦ ‪ NTFS‬ﺑﺮﮔﺮداﻧﻴﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻓﺎﻳﻠﻲ را ﺑﻪ ﭘﺎرﺗﻴﺸﻦ ‪ FAT‬ﺟﺎﺑﺠﺎ ﻣﻲﻛﻨﻴﺪ‪ ،‬ﺧﺎﺻﻴﺖ ‪stream‬‬ ‫ﺣﺬف ﻣﻲﺷﻮد ﺑﺮاي اﻳﻨﻜﻪ ‪ streaming‬ﻳﻜﻲ از ﻗﺎﺑﻠﻴﺖﻫﺎي ‪ NTFS‬اﺳﺖ و ﺗﻨﻬﺎ ﺑﺎ اﻳﻦ ﺳﻴﺴﺘﻢ ﻓﺎﻳﻞ وﺟﻮد دارد‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ از ‪ LNS.exe‬ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ‪ NTFS streams‬اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪ .‬اﮔﺮ ﻓﺎﻳﻞ ‪ steam‬وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬اﻳﻦ‬ ‫ﺑﺮﻧﺎﻣﻪ‪ ،‬آن را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ و ﻣﻜﺎن آن را ﮔﺰارش ﻣﻲدﻫﺪ‪.‬‬

‫‪82‬‬

‫ﺗﻜﻨﻮﻟﻮژيﻫﺎي ‪Steganography‬‬ ‫‪ ،Steganography‬ﻓﺮآﻳﻨﺪ ﻣﺨﻔﻲ ﻛﺮدن دادهﻫﺎ در ﻧﻮع دﻳﮕﺮي از ﻓﺎﻳﻞ ﻫﻤﭽﻮن ﻋﻜﺲ ﻳﺎ ﻓﺎﻳﻞ ﻣﺘﻨﻲ اﺳﺖ‪.‬‬ ‫ﻣﺤﺒﻮبﺗﺮﻳﻦ روش ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن دادهﻫﺎ در ﻓﺎﻳﻞﻫﺎ‪ ،‬اﺳﺘﻔﺎده از ﻋﻜﺲﻫﺎي ﮔﺮاﻓﻴﻜﻲ ﺑﻪ ﻋﻨﻮان ﻣﺤﻞ ﻣﺨﻔﻲ ﻛﺮدن‬ ‫اﺳﺖ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از ‪ ،steganography‬ﻫﺮ اﻃﻼﻋﺎﺗﻲ را داﺧﻞ ﻓﺎﻳﻞ ﮔﺮاﻓﻴﻜﻲ ﺟﺎﺳﺎزي ﻛﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،ImageHide‬ﺑﺮﻧﺎﻣﻪ ‪ steganography‬اﺳﺖ ﻛﻪ ﻣﻘﺎدﻳﺮ ﺑﺰرﮔﻲ از ﻣﺘﻦ را داﺧﻞ ﻋﻜﺲ ﻣﺨﻔﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺣﺘﻲ ﭘﺲ از‬ ‫اﺿﺎﻓﻪ ﻛﺮدن دادهﻫﺎ‪ ،‬اﻧﺪازه ﻓﺎﻳﻞ اﻓﺰاﻳﺶ ﻧﻤﻲﻳﺎﺑﺪ‪ .‬در ﺑﺮﻧﺎﻣﻪﻫﺎي ﮔﺮاﻓﻴﻜﻲ ﻣﻌﻤﻮﻟﻲ‪ ،‬ﻋﻜﺲ ﺑﻪ ﻃﻮر ﻃﺒﻴﻌﻲ ﻧﺸﺎن داده‬ ‫ﻣﻲﺷﻮد‪ .‬دادهﻫﺎ را داﺧﻞ ﺧﻮدش ﺑﺎرﮔﺬاري و ذﺧﻴﺮه ﻣﻲﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ ‪sniffer‬ﻫﺎي اﻳﻤﻴﻞ‪ ،‬ﻧﻤﻲﺗﻮاﻧﻨﺪ آن را ﺗﺸﺨﻴﺺ‬ ‫دﻫﻨﺪ‪.‬‬ ‫‪ ،Blindside‬ﺑﺮﻧﺎﻣﻪ دﺳﺘﻮري ‪ steganography‬اﺳﺖ ﻛﻪ اﻃﻼﻋﺎت را داﺧﻞ ﻋﻜﺲﻫﺎي ‪ BMP‬ﻣﺨﻔﻲ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،MP3Stego‬اﻃﻼﻋﺎت را داﺧﻞ ﻓﺎﻳﻞﻫﺎي ﮔﺮاﻓﻴﻜﻲ ﻣﺨﻔﻲ ﻣﻲﻛﻨﺪ‪ .‬دادهﻫﺎ‪ ،‬ﻓﺸﺮده و رﻣﺰﮔﺬاري ﻣﻲﺷﻮﻧﺪ و ﺳﭙﺲ در‬ ‫‪ MP3 bit stream‬ﻣﺨﻔﻲ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪ ،Snow‬ﺑﺮﻧﺎﻣﻪ ‪ whitespace steganography‬اﺳﺖ ﻛﻪ ﭘﻴﺎم ﻫﺎ را در ﻣﺘﻦ ‪ ASCII‬ﻣﺨﻔﻲ ﻣﻲﻛﻨﺪ ﻛﻪ اﻳﻨﻜﺎر را ﺑﺎ‬ ‫اﺳﺘﻔﺎده از ﺿﻤﻴﻤﻪ ﻛﺮدن ‪ whitespace‬ﺑﻪ اﻧﺘﻬﺎي ﺧﻂ ﻫﺎ اﻧﺠﺎم ﻣﻲدﻫﺪ‪ .‬از آﻧﺠﺎﺋﻴﻜﻪ ‪whitespace‬ﻫﺎ در ﺑﺮﻧﺎﻣﻪﻫﺎي‬ ‫ﻣﺘﻨﻲ ﻗﺎﺑﻞ ﻣﺸﺎﻫﺪه ﻧﻴﺴﺘﻨﺪ‪ ،‬ﭘﻴﺎم ﺑﻪ راﺣﺘﻲ ﻣﺨﻔﻲ ﻣﻲﺷﻮد‪ .‬اﮔﺮ از رﻣﺰﮔﺬاري اﺳﺘﻔﺎده ﺷﻮد‪ ،‬ﺣﺘﻲ در ﺻﻮرت ﺗﺸﺨﻴﺺ‪،‬‬ ‫ﭘﻴﺎم ﻗﺎﺑﻞ ﺧﻮاﻧﺪن ﻧﻴﺴﺖ‪.‬‬ ‫‪ ،Camera/Shy‬ﺑﺎ وﻳﻨﺪوز و ‪ IE‬ﻛﺎر ﻣﻲﻛﻨﺪ و ﺑﻪ ﻛﺎرﺑﺮان اﺟﺎزه ﻣﻲدﻫﺪ ﻛﻪ اﻃﻼﻋﺎت ﺣﺴﺎس ﺧﻮد را داﺧﻞ ﻳﻚ ﻓﺎﻳﻞ‬ ‫ﻋﻜﺲ ‪ gif‬ذﺧﻴﺮه ﻛﻨﻨﺪ‪.‬‬ ‫‪ ،Masker Steganography‬ﺑﺮﻧﺎﻣﻪاي ﺑﺮاي رﻣﺰﮔﺬاري و ﻣﺨﻔﻲ ﻛﺮدن ﻓﺎﻳﻞﻫﺎ داﺧﻞ ﻓﺎﻳﻞ دﻳﮕﺮ اﺳﺖ‪.‬‬ ‫‪83‬‬

‫‪ ،Stealth Files‬ﻓﺎﻳﻞﻫﺎي اﺟﺮاﻳﻲ را داﺧﻞ ﻓﺎﻳﻞﻫﺎي دﻳﮕﺮي ﻫﻤﭽﻮن ‪ PowerPoint ،Excel ،Word‬و ‪ Acrobat‬ادﻏﺎم‬ ‫ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ :DCPP‬اﺑﺰاري ﺑﺮاي ﻣﺨﻔﻲ ﻛﺮدن ﻛﻞ ﻳﻚ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ داﺧﻞ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ دﻳﮕﺮ اﺳﺖ‪.‬‬

‫ﺑﺮﻧﺎﻣﻪﻫﺎي دﻳﮕﺮ ﻛﻪ ﺑﺮاي ‪ steganography‬اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪،wbStego ،Gifshuffle ،Pretty Good Envelop ،Steganos ،Steghide ،S- Tools ،Blindside ،Fort Knox‬‬ ‫‪.Video Steganography ،FoxHole ،Stegomagic ،StegaNote ،Cloak ،Hydan ،Data Stash ،OutGuess‬‬

‫ﺑﺮﺧﻲ از ﺑﺮﻧﺎﻣﻪﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ‪ steganography‬را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ ﻫﺮ ﭼﻨﺪ ﻛﻪ اﻧﺠﺎم آن ﺳﺨﺖ اﺳﺖ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻣﻘﺎﺑﻠﻪ‬ ‫‪ ،Stegdetect‬اﺑﺰاري ﺧﻮدﻛﺎر ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻣﺤﺘﻮاي ‪ steganographic‬در ﺗﺼﺎوﻳﺮ اﺳﺖ و ﻣﻲﺗﻮاﻧﺪ روشﻫﺎي ﻣﺨﺘﻠﻒ‬ ‫‪ Steganography‬را ﺑﺮاي ﺟﺎﺳﺎزي اﻃﻼﻋﺎت ﻣﺨﻔﻲ در ﺗﺼﺎوﻳﺮ ﺗﺸﺨﻴﺺ دﻫﺪ‪.‬‬ ‫‪ ،Dskprobe‬اﺑﺰاري در ‪ CD‬وﻳﻨﺪوز ‪ 2000‬اﺳﺖ‪ .‬ﻛﻪ ﻳﻚ اﺳﻜﻨﺮ ﺳﻄﺢ ﭘﺎﻳﻴﻦ ﻫﺎرد دﻳﺴﻚ اﺳﺖ و ﻣﻲﺗﻮاﻧﺪ‬ ‫‪ steganography‬رو ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ‪.‬‬

‫ﭘﺎك ﻛﺮدن ردﭘﺎﻫﺎ و ﻣﺪارك‬ ‫زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺗﻮاﻧﺴﺖ ﺑﻪ ﺳﻴﺴﺘﻤﻲ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ‪ ،‬ﺗﻼش ﺧﻮاﻫﺪ ﻛﺮد ﻛﻪ ردﭘﺎﻫﺎ را ﭘﺎك ﻛﻨﺪ ﺗﺎ از ﺷﻨﺎﺳﺎﻳﻲ‬ ‫ﺷﺪن‪ ،‬در اﻣﺎن ﺑﻤﺎﻧﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﻣﻤﻜﻦ اﺳﺖ ﻛﻪ ﺑﺨﻮاﻫﺪ ﻣﺪارك ﺷﻨﺎﺳﺎﻳﻲ ﻳﺎ‬ ‫ﻓﻌﺎﻟﻴﺖﻫﺎي ﺧﻮد را ﺑﺮ روي ﺳﻴﺴﺘﻢ ﭘﺎك ﻛﻨﺪ‪ .‬ﻣﻌﻤﻮﻻ ﻫﻜﺮﻫﺎ ﺗﻤﺎم ﭘﻴﻐﺎمﻫﺎي ﺧﻄﺎ ﻳﺎ‬ ‫اﻣﻨﻴﺘﻲ ﻛﻪ ﺛﺒﺖ ﻣﻲﺷﻮﻧﺪ را ﭘﺎك ﻣﻲﻛﻨﺪ ﺗﺎ از ﺷﻨﺎﺳﺎﻳﻲ ﺧﻮد ﻣﻤﺎﻧﻌﺖ ﺑﻪ ﻋﻤﻞ آورﻧﺪ‪.‬‬

‫‪84‬‬

‫ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن ‪Auditing‬‬ ‫اوﻟﻴﻦ ﭼﻴﺰي ﻛﻪ ﻫﻜﺮ ﺑﻌﺪ از دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ اﻧﺠﺎم ﻣﻲدﻫﺪ‪ ،‬ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن ‪ auditing‬اﺳﺖ‪auditing .‬‬ ‫وﻳﻨﺪوز‪ ،‬رﺧﺪادﻫﺎي ﻣﺸﺨﺼﻲ را در ﻓﺎﻳﻞ ‪ log‬ﻛﻪ در ﻗﺴﻤﺖ ‪ Windows Event Viewer‬ﻗﺮار دارد‪ ،‬ذﺧﻴﺮه ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ‬ ‫رﺧﺪادﻫﺎ ﺷﺎﻣﻞ ورود ﺑﻪ ﺳﻴﺴﺘﻢ‪ ،‬ﻳﺎ ﻳﻚ ‪ Event log‬اﺳﺖ‪ .‬ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ ﻣﻲﺗﻮاﻧﺪ ﺳﻄﺢ اﻳﻦ ذﺧﻴﺮهﺳﺎزي رﺧﺪادﻫﺎ را‬ ‫اﻧﺘﺨﺎب ﻛﻨﺪ‪ .‬ﻫﻜﺮ ﻣﻲﺧﻮاﻫﺪ ﻛﻪ ﺳﻄﺢ ﺛﺒﺖ رﺧﺪادﻫﺎ را ﻣﺸﺨﺺ ﻛﻨﺪ ﺗﺎ ﺑﺒﻴﻨﺪ آﻳﺎ ﻧﻴﺎزي ﺑﻪ ﭘﺎك ﻛﺮدن رﺧﺪادﻫﺎﻳﻲ ﻛﻪ‬ ‫ﺣﻀﻮر او را در ﺳﻴﺴﺘﻢ ﺛﺒﺖ ﻛﻨﺪ وﺟﻮد دارد ﻳﺎ ﻧﻪ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،AuditPol‬اﺑﺰاري اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﻪ ﺻﻮرت دﺳﺘﻮري‪ auditing ،‬را در وﻳﻨﺪوز‪ ،‬ﻓﻌﺎل ﻳﺎ ﻏﻴﺮ ﻓﻌﺎل ﻛﻨﺪ‪ .‬اﻳﻦ اﺑﺰار‪،‬‬ ‫ﻣﻲﺗﻮاﻧﺪ ﺳﻄﺢ ﺛﺒﺖ رﺧﺪادﻫﺎ را ﻛﻪ ﺗﻮﺳﻂ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢﻫﺎ ﺗﻌﻴﻴﻦ ﺷﺪه اﺳﺖ را ﻧﻴﺰ ﻣﺸﺨﺺ ﻛﻨﺪ‪.‬‬

‫ﭘﺎك ﻛﺮدن ‪Event Log‬‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﻪ راﺣﺘﻲ‪ ،‬رﻛﻮردﻫﺎي ﻣﻮﺟﻮد در ‪ Windows Event Viewer‬را ﭘﺎك ﻛﻨﺪ‪ .‬اﮔﺮ ﺗﻨﻬﺎ ﻳﻚ ﻳﺎ ﭼﻨﺪ‬ ‫رﻛﻮرد در اﻳﻦ ﻗﺴﻤﺖ وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﻣﺸﻜﻮك اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﻧﺸﺎن ﻣﻲدﻫﺪ رﺧﺪادﻫﺎي دﻳﮕﺮ ﭘﺎك ﺷﺪه اﺳﺖ‪.‬‬ ‫ﻫﻨﻮز ﻫﻢ ﻻزم اﺳﺖ ﻛﻪ ﭘﺲ از ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن ‪،auditing‬‬ ‫ﻗﺴﻤﺖ ‪ Event Viewer‬را ﭘﺎك ﻛﻨﻴﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﻌﺪ از‬ ‫اﺳﺘﻔﺎده از اﺑﺰار ‪ ،AuditPol‬رﺧﺪادي ﻣﺒﻨﻲ ﺑﺮ ﻏﻴﺮ ﻓﻌﺎل‬ ‫ﺷﺪن ‪ ،auditing‬در اﻳﻦ ﻗﺴﻤﺖ ﺛﺒﺖ ﻣﻲﺷﻮد‪ .‬ﺑﺮاي ﭘﺎك‬ ‫ﻛﺮدن ‪ ،event log‬اﺑﺰارﻫﺎي زﻳﺎدي وﺟﻮد دارد‪.‬‬

‫‪85‬‬

‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Elsave.exe‬اﺑﺰار ﺳﺎدهاي ﺑﺮاي ﭘﺎك ﻛﺮدن ‪ event log‬اﺳﺖ‪ .‬اﻳﻦ اﺑﺰار ﺑﻪ ﺻﻮرت ﺧﻂ دﺳﺘﻮري اﺳﺖ‪.‬‬ ‫‪ ،WinZapper‬اﺑﺰاري اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ﭘﺎك ﻛﺮدن رﻛﻮردﻫﺎي اﻧﺘﺨﺎﺑﻲ از رﺧﺪادﻫﺎ در ‪ security log‬وﻳﻨﺪوز‬ ‫‪ ،2000‬ﺑﻪ ﻛﺎر ﺑﺒﺮد‪ ،WinZapper .‬اﻃﻤﻴﻨﺎن ﻣﻲدﻫﺪ ﻛﻪ در ﻃﻮل اﺟﺮاي ﺑﺮﻧﺎﻣﻪ‪ ،‬ﻫﻴﭻ رﺧﺪاد اﻣﻨﻴﺘﻲ ﺛﺒﺖ ﻧﻤﻲﺷﻮد‪.‬‬ ‫‪ ،Evidence Eliminator‬ﻳﻚ ﺳﻴﺴﺘﻢ ‪ data cleaning‬ﺑﺮاي ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي وﻳﻨﺪوزي اﺳﺖ ﻛﻪ از ﻣﺨﻔﻲ ﺷﺪن ﻫﻤﻴﺸﮕﻲ‬ ‫دادهﻫﺎ در ﺳﻴﺴﺘﻢ ﺟﻠﻮﮔﻴﺮي ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار‪ ،‬ﻗﺴﻤﺖﻫﺎي ‪،system files ،Internet cache ،Recycle bin‬‬ ‫‪ temp folders‬و ‪ ...‬را ﭘﺎك ﻣﻲﻛﻨﺪ‪ ،Evidence Eliminator .‬ﻣﻲﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﻫﻜﺮ ﺑﺮاي ﭘﺎك ﻛﺮدن ﺷﻮاﻫﺪ و ﻣﺪارك‬ ‫ﻫﻚ ﺳﻴﺴﺘﻢ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﻴﺮد‪.‬‬ ‫اﺑﺰارﻫﺎي دﻳﮕﺮي ﻧﻴﺰ ﺑﺮاي ﭘﺎك ﻛﺮدن ردﭘﺎﻫﺎ وﺟﻮد دارﻧﺪ ﻛﻪ ﻣﻬﻢﺗﺮﻳﻦ آﻧﻬﺎ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪Traceless‬‬ ‫‪Tracks Eraser Pro‬‬ ‫‪Aromor‬‬ ‫‪ZeroTracks‬‬ ‫‪PhatBooster‬‬

‫‪86‬‬

‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬

‫ﻓﺼﻞ ﭘﻨﺠﻢ‬

Trojan, Backdoor, Virus, Worm

‫ﻣﻘﺪﻣﻪ‬ ‫ﺗﺮوﺟﺎنﻫﺎ و ‪backdoor‬ﻫﺎ دو روﺷﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﻫﻜﺮﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ از ﻃﺮﻳﻖ آﻧﻬﺎ وارد ﺳﻴﺴﺘﻤﻲ ﺑﺸﻮﻧﺪ و اﻧﻮاع‬ ‫ﻣﺨﺘﻠﻔﻲ دارﻧﺪ وﻟﻲ ﻫﻤﮕﻲ داراي ﻳﻚ ﻧﻘﻄﻪ ﻣﺸﺘﺮك ﻫﺴﺘﻨﺪ‪ :‬ﺑﺎﻳﺪ ﺗﻮﺳﻂ ﺑﺮﻧﺎﻣﻪاي دﻳﮕﺮي ﻧﺼﺐ ﺷﻮﻧﺪ ﻳﺎ ﻛﺎرﺑﺮ ﺑﺮاي‬ ‫ﻧﺼﺐ آﻧﻬﺎ در ﺳﻴﺴﺘﻢ‪ ،‬ﻣﺪاﺧﻠﻪ ﻛﻨﺪ‪ .‬ﺗﺮوﺟﺎنﻫﺎ و ‪backdoor‬ﻫﺎ‪ ،‬از اﺑﺰارﻫﺎي ﺧﻄﺮﻧﺎك در ‪ toolkit‬ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ ﻫﺴﺘﻨﺪ‬ ‫ﻛﻪ ﺑﺎﻳﺪ ﺑﺮاي ﺗﺴﺖ اﻣﻨﻴﺖ ﻳﻚ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﻴﺮﻧﺪ‪.‬‬ ‫وﻳﺮوسﻫﺎ و ‪worm‬ﻫﺎ ﻧﻴﺰ ﻣﻲﺗﻮاﻧﻨﺪ ﻣﺜﻞ ﺗﺮوﺟﺎنﻫﺎ و ‪backdoor‬ﻫﺎ‪ ،‬ﺧﻄﺮﻧﺎك ﺑﺎﺷﻨﺪ‪ .‬در ﺣﻘﻴﻘﺖ‪ ،‬ﺑﺴﻴﺎري از‬ ‫وﻳﺮوسﻫﺎ‪ ،‬ﺳﺒﺐ ﻓﻌﺎل ﺷﺪن ﺗﺮوﺟﺎن ﻣﻲﺷﻮﻧﺪ و ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ ﺳﻴﺴﺘﻢ آﺳﻴﺐ ﺑﺮﺳﺎﻧﻨﺪ و ﺳﭙﺲ‪ ،‬ﺑﺮاي ﻫﻜﺮ‪backdoor ،‬‬ ‫ﺑﺎز ﻛﻨﻨﺪ‪ .‬اﻳﻦ ﻓﺼﻞ در ﻣﻮرد ﺷﺒﺎﻫﺖﻫﺎ و ﺗﻔﺎوتﻫﺎي ﺑﻴﻦ ﺗﺮوﺟﺎنﻫﺎ‪backdoor ،‬ﻫﺎ‪ ،‬وﻳﺮوسﻫﺎ و ‪worm‬ﻫﺎ ﺻﺤﺒﺖ‬ ‫ﻣﻲﻛﻨﺪ‪ .‬ﻫﻤﻪ اﻳﻦ اﺑﺰارﻫﺎ و ﻛﺪﻫﺎي ﻣﺨﺮب‪ ،‬ﺑﺮاي ﻫﻜﺮﻫﺎي ﻗﺎﻧﻮﻧﻤﻨﺪ‪ ،‬ﻣﻬﻢ ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﻫﻜﺮﻫﺎ از اﻳﻦ اﺑﺰارﻫﺎ ﺑﺮاي‬ ‫ﺣﻤﻠﻪ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬

‫ﺗﺮوﺟﺎنﻫﺎ و ‪backdoor‬ﻫﺎ‬ ‫‪ ،Backdoor‬ﺑﺮﻧﺎﻣﻪ ﻳﺎ ﺑﺮﻧﺎﻣﻪﻫﺎي ﻣﺮﺗﺒﻄﻲ اﺳﺖ ﻛﻪ ﻫﻜﺮ آن را ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ ﻧﺼﺐ ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﻌﺪا ﺑﺘﻮاﻧﺪ‬ ‫از ﻃﺮﻳﻖ آن‪ ،‬وارد ﺳﻴﺴﺘﻢ ﺷﻮد‪ .‬ﻫﺪف ‪ ،backdoor‬ﺣﺬف ﺷﻮاﻫﺪ ﺣﻤﻠﻪ از ﻓﺎﻳﻞﻫﺎي ‪ log‬اﺳﺖ ﻳﺎ ﻣﻤﻜﻦ اﺳﺖ ﻫﺪف‬ ‫‪ ،backdoor‬دﺳﺘﺮﺳﻲ ﻫﻜﺮ ﺑﻪ ﺳﻴﺴﺘﻢ ﺑﺼﻮرت ﻫﻤﻴﺸﮕﻲ ﺑﺎﺷﺪ؛ ﺣﺘﻲ اﮔﺮ ﺣﻤﻠﻪ ﺗﻮﺳﻂ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ داده‬ ‫ﺷﻮد و ﺟﻠﻮﮔﻴﺮي ﺷﻮد‪.‬‬ ‫ﻳﻜﻲ از راﻳﺞﺗﺮﻳﻦ ﺗﻜﻨﻴﻚﻫﺎي ﻣﺨﻔﻲ ﺳﺎزي ‪ backdoor‬در ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز‪ ،‬اﺿﺎﻓﻪ ﻛﺮدن ﺳﺮوﻳﺲ اﺳﺖ‪.‬‬ ‫ﻗﺒﻞ از ﻧﺼﺐ ﻳﻚ ‪ ،backdoor‬ﻫﻜﺮ ﺑﺎﻳﺪ ﺳﻴﺴﺘﻢ را ﺑﺮرﺳﻲ ﻛﻨﺪ ﺗﺎ ﺳﺮوﻳﺲﻫﺎي در ﺣﺎل اﺟﺮا را ﭘﻴﺪا ﻛﻨﺪ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ‬ ‫ﺳﺮوﻳﺲ ﺟﺪﻳﺪي را اﺿﺎﻓﻪ ﻛﻨﺪ و اﺳﻢ ﻏﻴﺮ ﻣﻬﻤﻲ ﺑﻪ آن ﺑﺪﻫﺪ ﻳﺎ از ﺳﺮوﻳﺴﻲ ﻛﻪ اﺻﻼ اﺳﺘﻔﺎده ﻧﻤﻲﺷﻮد و ﻏﻴﺮ ﻓﻌﺎل اﺳﺖ‬ ‫اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬ ‫اﻳﻦ ﺗﻜﻨﻴﻚ ﺧﻮﺑﻲ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ زﻣﺎﻧﻴﻜﻪ ﻫﻚ رخ ﻣﻲدﻫﺪ‪ ،‬ﻣﻌﻤﻮﻻ ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢﻫﺎ ﺑﻪ دﻧﺒﺎل رﺧﺪاد ﻋﺠﻴﺐ‬ ‫در ﺳﻴﺴﺘﻢ ﻫﺴﺘﻨﺪ و ﺳﺮوﻳﺲﻫﺎي ﻣﻮﺟﻮد را ﺑﺮرﺳﻲ ﻧﻤﻲﻛﻨﻨﺪ‪ .‬ﺗﻜﻨﻴﻚ ‪ ،backdoor‬ﺳﺎده و در ﻋﻴﻦ ﺣﺎل ﻛﺎرا اﺳﺖ‪:‬‬ ‫‪88‬‬

‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺎ ﻛﻤﺘﺮﻳﻦ ﺷﻮاﻫﺪ در ‪log‬ﻫﺎي ﺳﺮور‪ ،‬وارد ﺳﻴﺴﺘﻢ ﺷﻮد‪ .‬ﺳﺮوﻳﺴﻲ ﻛﻪ ﺑﻪ ﻋﻨﻮان ‪ backdoor‬ﺷﺪه اﺳﺖ‪،‬‬ ‫اﺟﺎزه اﺳﺘﻔﺎده از ﺳﻴﺴﺘﻢ ﺑﺎ دﺳﺘﺮﺳﻲ ﺑﺎﻻ را ﺑﻪ ﻫﻜﺮ ﻣﻲدﻫﺪ‪.‬‬ ‫‪RAT‬ﻫﺎ‪ ،‬ﻧﻮﻋﻲ از ‪backdoor‬ﻫﺎ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮاي ﻓﻌﺎل ﻛﺮدن ﻛﻨﺘﺮل از راه دور ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺘﻔﺎده‬ ‫ﻣﻲﺷﻮﻧﺪ و ﻣﻲﺗﻮاﻧﻨﺪ ﭘﻮرتﻫﺎ را ﺑﺮ روي ﻛﺎﻣﭙﻴﻮﺗﺮ ﻗﺮﺑﺎﻧﻲ ﺑﺎز ﻛﻨﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ‪ RAT‬اﺟﺮا ﺷﺪ‪ ،‬ﻣﺜﻞ ﻳﻚ ﻓﺎﻳﻞ اﺟﺮاﻳﻲ ﻋﻤﻞ‬ ‫ﻣﻲﻛﻨﺪ و ﺑﺎ ﻛﻠﻴﺪﻫﺎي رﺟﻴﺴﺘﺮي ﺧﺎﺻﻲ ﻛﻪ ﻣﺴﺌﻮل اﺟﺮاي ﺳﺮوﻳﺲﻫﺎ ﻫﺴﺘﻨﺪ ﺗﻌﺎﻣﻞ ﻣﻲﻛﻨﺪ و ﺑﻌﻀﻲ وﻗﺖﻫﺎ ﻫﻢ‬ ‫ﺳﺮوﻳﺲﻫﺎﻳﻲ را اﻳﺠﺎد ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﺧﻼف ‪backdoor‬ﻫﺎي راﻳﺞ‪RAT ،‬ﻫﺎ ﺧﻮد را داﺧﻞ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻗﺮﺑﺎﻧﻲ ﻛﭙﻲ‬ ‫ﻣﻲﻛﻨﻨﺪ و ﻫﻤﻴﺸﻪ ﺑﺎ دو ﻓﺎﻳﻞ ﻫﻤﺮاه ﻫﺴﺘﻨﺪ‪ :‬ﻓﺎﻳﻞ ﻛﻼﻳﻨﺖ و ﻓﺎﻳﻞ ﺳﺮور‪ .‬ﻓﺎﻳﻞ ﻛﻼﻳﻨﺖ ﺑﺮ روي ﻣﺎﺷﻴﻦ ﻫﺪف ﻧﺼﺐ‬ ‫ﻣﻲﺷﻮد و ﻓﺎﻳﻞ ﺳﺮور‪ ،‬ﺗﻮﺳﻂ ﻫﻜﺮ ﺑﺮاي ﻛﻨﺘﺮل ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬

‫ﺗﺮوﺟﺎن ﭼﻴﺴﺖ؟‬ ‫ﺗﺮوﺟﺎن‪ ،‬ﺑﺮﻧﺎﻣﻪ ﻣﺨﺮﺑﻲ اﺳﺖ ﻛﻪ ﺧﻮد را ﺑﻪ ﻋﻨﻮان ﺑﺮﻧﺎﻣﻪ ﺧﻮب ﻧﺸﺎن ﻣﻲدﻫﺪ‪ .‬ﻣﻌﻤﻮﻻ ﺗﺮوﺟﺎنﻫﺎ ﻫﻤﺮاه ﺑﺎ ﺑﺮﻧﺎﻣﻪ‬ ‫دﻳﮕﺮ ﻳﺎ ﺑﺴﺘﻪ ﻧﺮماﻓﺰاري داﻧﻠﻮد ﻣﻲﺷﻮﻧﺪ و زﻣﺎﻧﻴﻜﻪ ﺑﺮ روي ﺳﻴﺴﺘﻤﻲ ﻧﺼﺐ ﺷﺪﻧﺪ‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ ﺳﺒﺐ ﺳﺮﻗﺖ ﻳﺎ از دﺳﺖ‬ ‫دادن اﻃﻼﻋﺎت‪ ،‬ﻛﻨﺪي ﻳﺎ اﺧﺘﻼل ﺳﻴﺴﺘﻢ ﺷﻮﻧﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﺑﻪ ﻋﻨﻮان آﻏﺎز ﺣﻤﻼت دﻳﮕﺮي ﻫﻤﭽﻮن ‪ DDOS‬ﻣﻮرد اﺳﺘﻔﺎده‬ ‫ﻗﺮار ﮔﻴﺮﻧﺪ‪ .‬ﺑﺴﻴﺎري از ﺗﺮوﺟﺎنﻫﺎ ﺑﺮاي دﺳﺘﻜﺎري دادهﻫﺎ در ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ‪ ،‬ﻣﺪﻳﺮﻳﺖ ﭘﺮدازشﻫﺎ‪ ،‬اﺟﺮاي از راه دور‬ ‫دﺳﺘﻮرات‪ ،‬ﺗﻤﺎﺷﺎي ﺗﺼﺎوﻳﺮ ﺻﻔﺤﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻛﺎرﺑﺮ‪ ،‬و رﻳﺴﺘﺎرت ﻳﺎ ﺧﺎﻣﻮش ﻛﺮدن ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪.‬‬

‫ﺗﺮوﺟﺎنﻫﺎ در ﭘﺸﺖ ﺑﺮﻧﺎﻣﻪﻫﺎي دﻳﮕﺮ ﻧﺼﺐ ﻣﻲﺷﻮﻧﺪ و ﻣﻌﻤﻮﻻ ﺑﺪون اﻃﻼع ﻛﺎرﺑﺮ‪ ،‬ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻧﺼﺐ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫ﺗﺮوﺟﺎن ﺑﻪ روشﻫﺎي ﻣﺨﺘﻠﻔﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ ارﺳﺎل ﻣﻲﺷﻮد‪ :‬ﺑﻪ ﻋﻨﻮان ﻳﻚ ﭘﻴﻮﺳﺖ ﺑﺮاي ﭘﻴﺎم‪ ،IRC ،‬ﻳﺎ اﺷﺘﺮاك‬ ‫ﻓﺎﻳﻞ‪ .‬ﺑﺴﻴﺎري از ﺑﺮﻧﺎﻣﻪﻫﺎي ﺟﻌﻠﻲ‪ ،‬ﺧﻮد را ﺑﻪ ﻋﻨﻮان ﻧﺮماﻓﺰارﻫﺎي ﻗﺎﻧﻮﻧﻲ‪ ،‬اﺑﺰارﻫﺎي ﺣﺬف ‪ ،spyware‬ﺑﺮﻧﺎﻣﻪﻫﺎي‬ ‫‪89‬‬

‫ﺑﻬﻴﻨﻪﺳﺎزي ﺳﻴﺴﺘﻢ‪ ،‬ﻣﺤﺎﻓﻆ ﺻﻔﺤﻪ ﻧﻤﺎﻳﺶ‪ ،‬ﻣﻮﺳﻴﻘﻲ‪ ،‬ﺗﺼﺎوﻳﺮ‪ ،‬ﺑﺎزيﻫﺎ‪ ،‬و وﻳﺪﺋﻮ واﻧﻤﻮد ﻣﻲﻛﻨﻨﺪ‪ .‬ﺗﺒﻠﻴﻐﺎت ﺑﺮاي‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎي راﻳﮕﺎن‪ ،‬ﻓﺎﻳﻞﻫﺎي ﻣﻮﺳﻴﻘﻲ‪ ،‬ﻳﺎ ﻓﺎﻳﻞﻫﺎي وﻳﺪﺋﻮﻳﻲ‪ ،‬ﻗﺮﺑﺎﻧﻲ را ﺑﺮاي ﻧﺼﺐ ﺑﺮﻧﺎﻣﻪ ﺗﺮوﺟﺎن ﺗﺮﻏﻴﺐ ﻣﻲﻛﻨﻨﺪ‪ .‬اﻳﻦ‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬دﺳﺘﺮﺳﻲ ﺳﻴﺴﺘﻤﻲ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺪف دارﻧﺪ و ﻣﻲﺗﻮاﻧﻨﺪ ﻣﺨﺮب ﺑﺎﺷﻨﺪ‪ .‬ﺟﺪول زﻳﺮ‪ ،‬ﺑﺮﺧﻲ از ﺗﺮوﺟﺎنﻫﺎي‬ ‫راﻳﺞ ﺑﻪ ﻫﻤﺮاه ﺷﻤﺎره ﭘﻮرت آﻧﻬﺎ را ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬ ‫‪Protocol‬‬ ‫‪UDP‬‬ ‫‪UDP‬‬ ‫‪TCP‬‬ ‫‪TCP‬‬ ‫‪TCP‬‬ ‫‪TCP‬‬ ‫‪TCP‬‬

‫‪Port‬‬ ‫‪31337 or 31338‬‬ ‫‪2140 or 3150‬‬ ‫‪12345 and 12346‬‬ ‫‪12361 and 12362‬‬ ‫‪20034‬‬ ‫‪21544‬‬ ‫‪3129, 40421, 40422, 40423, and 40426‬‬

‫‪Trojan‬‬ ‫‪BackOrifice‬‬ ‫‪Deep Throat‬‬ ‫‪NetBus‬‬ ‫‪Whack-a-mole‬‬ ‫‪NetBus 2‬‬ ‫‪GirlFreind‬‬ ‫‪Masters Paradise‬‬

‫ﻛﺎﻧﺎلﻫﺎي ‪ overt‬و ‪ covert‬ﭼﻴﺴﺖ؟‬ ‫ﻛﺎﻧﺎل ‪ ،overt‬روش ﻃﺒﻴﻌﻲ و ﻗﺎﻧﻮﻧﻲ ارﺗﺒﺎط ﺑﺮﻧﺎﻣﻪﻫﺎ ﺑﺎ ﻳﻚ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮي اﺳﺖ‪ .‬ﻛﺎﻧﺎل ‪ ،covert‬از‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎ ﻳﺎ ﻣﺴﻴﺮﻫﺎي ارﺗﺒﺎﻃﻲ ﻛﻪ ﻣﻮرد ﻗﺼﺪ ﻧﻴﺴﺘﻨﺪ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺗﺮوﺟﺎنﻫﺎ از ﻛﺎﻧﺎلﻫﺎي ‪ covert‬ﺑﺮاي ارﺗﺒﺎط اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﺑﻌﻀﻲ از ﺗﺮوﺟﺎنﻫﺎي ﻛﻼﻳﻨﺖ از ﻛﺎﻧﺎلﻫﺎي‬ ‫‪ covert‬ﺑﺮاي ارﺳﺎل دﺳﺘﻮراﻟﻌﻤﻞﻫﺎ ﺑﻪ ﻋﻨﺼﺮ ﺳﺮور در ﺳﻴﺴﺘﻢ ﺑﻪ ﺧﻄﺮ اﻓﺘﺎده اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ ﻛﻪ اﻳﻦ اﻣﺮ ﺳﺒﺐ‬ ‫ﻣﻲﺷﻮد ﻛﻪ ارﺗﺒﺎﻃﺎت ﺗﺮوﺟﺎن ﺑﻪ ﺳﺨﺘﻲ رﻣﺰﮔﺸﺎﻳﻲ و درك ﺷﻮﻧﺪ‪.‬‬ ‫ﻛﺎﻧﺎلﻫﺎي ‪ ،Covert‬ﺑﺮ روي ﺗﻜﻨﻴﻜﻲ ﻛﻪ ﺗﺎﻧﻠﻴﻨﮓ ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد اﺗﻜﺎ ﻣﻲﻛﻨﺪ ﻛﻪ اﺟﺎزه ﻣﻲدﻫﺪ ﭘﺮوﺗﻜﻠﻲ از ﻃﺮﻳﻖ‬ ‫ﭘﺮوﺗﻜﻞ دﻳﮕﺮ ﺣﻤﻞ ﺷﻮد‪ .‬ﻣﺜﻼ اﺳﺘﻔﺎده از ﭘﻮرت ‪ 80‬ﺑﺮاي ‪.telnet‬‬

‫‪90‬‬

‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Loki‬ﻳﻜﻲ از اﺑﺰارﻫﺎي ﻫﻚ اﺳﺖ ﻛﻪ دﺳﺘﺮﺳﻲ ‪ shell‬را از ﻃﺮﻳﻖ ‪ ICMP‬ﻣﻲدﻫﺪ و ﺷﻨﺎﺳﺎﻳﻲ آن را ﻧﺴﺒﺖ ﺑﻪ‬ ‫‪backdoor‬ﻫﺎ‪ ،‬ﺑﺴﻴﺎر دﺷﻮار ﻣﻲﺳﺎزد‪ .‬ﻣﺠﻤﻮﻋﻪاي از ﺑﺴﺘﻪﻫﺎي ‪ ICMP‬از ﻃﺮﻳﻖ ﺷﺒﻜﻪ ارﺳﺎل ﻣﻲﺷﻮﻧﺪ‪ .‬ﻫﻜﺮ‪ ،‬دﺳﺘﻮرات‬ ‫را از ﻃﺮﻳﻖ ﻛﻼﻳﻨﺖ ‪ Loki‬ارﺳﺎل ﻣﻲﻛﻨﺪ و آﻧﻬﺎ را روي ﺳﺮور اﺟﺮا ﻣﻲﻛﻨﺪ‪.‬‬

‫‪91‬‬

‫اﻧﻮاع ﺗﺮوﺟﺎنﻫﺎ‬ ‫ﺗﺮوﺟﺎنﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺣﻤﻼت زﻳﺎدي را اﻧﺠﺎم دﻫﻨﺪ‪ .‬ﺑﺮﺧﻲ از ﻣﻬﻢﺗﺮﻳﻦ اﻧﻮاع ﺗﺮوﺟﺎنﻫﺎ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬

‫‪ :(RAT) Remote Access Trojans‬ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ از راه دور ﺑﻪ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬

‫•‬

‫‪ :Data-Sending Trojans‬ﺑﺮاي ﻳﺎﻓﺘﻦ دادهﻫﺎ در ﺳﻴﺴﺘﻢ و ﺗﺤﻮﻳﻞ آن ﺑﻪ ﻫﻜﺮ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬

‫•‬

‫‪ :Destructive Trojans‬ﺑﺮاي ﺣﺬف ﻳﺎ ﺧﺮاب ﻛﺮدن ﻓﺎﻳﻞﻫﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬

‫•‬

‫‪ :Denial of Service Trojans‬ﺑﺮاي اﻧﺠﺎم ﺣﻤﻼت ‪ DoS‬اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬

‫•‬

‫‪ :Proxy Trojans‬ﺑﺮاي ﺗﺎﻧﻞ ﻛﺮدن ﺗﺮاﻓﻴﻚ ﻳﺎ اﺟﺮاي ﺣﻤﻼت ﻫﻜﺮ از ﻃﺮﻳﻖ ﺳﻴﺴﺘﻢ دﻳﮕﺮ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬

‫•‬

‫‪ :FTP Trojans‬ﺑﺮاي اﻳﺠﺎد ﻳﻚ ﺳﺮور ‪ FTP‬ﺑﺮاي ﻛﭙﻲ ﻓﺎﻳﻞﻫﺎي روي ﻳﻚ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬

‫•‬

‫‪ :Security software disabler Trojans‬ﺑﺮاي ﻣﺘﻮﻗﻒ ﻛﺮدن ﻧﺮماﻓﺰار آﻧﺘﻲ وﻳﺮوس اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬

‫ﺗﺮوﺟﺎنﻫﺎي ‪ Reverse-connecting‬ﭼﮕﻮﻧﻪ ﻛﺎر ﻣﻲﻛﻨﻨﺪ؟‬ ‫ﺗﺮوﺟﺎنﻫﺎي ‪ ،reverse-connecting‬اﺟﺎزه دﺳﺘﺮﺳﻲ ﻫﻜﺮ ﺑﻪ ﻳﻚ ﻣﺎﺷﻴﻦ ﻛﻪ در داﺧﻞ ﺷﺒﻜﻪ ﻗﺮار دارد را از‬ ‫ﺧﺎرج ﺷﺒﻜﻪ ﻓﺮاﻫﻢ ﻣﻲﻛﻨﺪ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺗﺮوﺟﺎن ﺳﺎده را روي ﺳﻴﺴﺘﻤﻲ در ﺷﺒﻜﻪ داﺧﻠﻲ ﻧﺼﺐ ﻛﻨﺪ ﻣﺜﻞ‬ ‫ﺳﺮور ‪ .reverse WWW shell‬در ﺣﺎﻟﺖ ﻋﺎدي )ﻣﻌﻤﻮﻻ ﻫﺮ ‪ 60‬ﺛﺎﻧﻴﻪ(‪ ،‬ﺳﺮور داﺧﻠﻲ ﺗﻼش ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﻪ ﺳﻴﺴﺘﻢ اﺻﻠﻲ‬ ‫ﺧﺎرﺟﻲ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ ﺗﺎ دﺳﺘﻮرات را ﺑﮕﻴﺮد‪ .‬اﮔﺮ ﻫﻜﺮ‪ ،‬ﭼﻴﺰي را در ﺳﻴﺴﺘﻢ اﺻﻠﻲ ﺗﺎﻳﭗ ﻛﺮد‪ ،‬اﻳﻦ دﺳﺘﻮرات روي‬ ‫‪92‬‬

‫ﺳﻴﺴﺘﻢ داﺧﻠﻲ ﺑﺎزﻳﺎﺑﻲ و اﺟﺮا ﻣﻲﺷﻮﻧﺪ‪ ،Reverse WWW shell .‬از ‪ HTTP‬اﺳﺘﺎﻧﺪارد اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬از آﻧﺠﺎﺋﻴﻜﻪ‬ ‫ﺷﻨﺎﺳﺎﻳﻲ آن دﺷﻮار اﺳﺖ‪ ،‬ﺧﻄﺮﻧﺎك اﺳﺖ‪ .‬ﻣﺸﺎﺑﻪ اﻳﻦ اﺳﺖ ﻛﻪ ﻛﻼﻳﻨﺖ‪ ،‬از ﺷﺒﻜﻪ داﺧﻠﻲ‪ ،‬وب را ﻣﺸﺎﻫﺪه ﻣﻲﻛﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،TROJ_QAZ‬ﺗﺮوﺟﺎﻧﻲ اﺳﺖ ﻛﻪ ﺑﺮﻧﺎﻣﻪ ‪ notepad.exe‬را ﺑﻪ ‪ note.com‬ﺗﻐﻴﻴﺮ ﻧﺎم ﻣﻲدﻫﺪ و ﺳﭙﺲ آن را ﺑﻪ ﻋﻨﻮان‬ ‫‪ notpad.exe‬ﺑﻪ ﭘﻮﺷﻪ وﻳﻨﺪوز ﻛﭙﻲ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ اﻣﺮ ﻣﻮﺟﺐ ﻣﻲﺷﻮد ﻛﻪ ﻫﺮ وﻗﺖ ﻛﻪ ﻛﺎرﺑﺮ ﺑﺮﻧﺎﻣﻪ ‪ Notepad‬را اﺟﺮا‬ ‫ﻣﻲﻛﻨﺪ‪ ،‬اﻳﻦ ﺗﺮوﺟﺎن اﺟﺮا ﺷﻮد‪ .‬ﻫﻤﭽﻨﻴﻦ داراي ‪ backdoor‬اﺳﺖ ﻛﻪ ﺑﺮاي اﺗﺼﺎل و ﻛﻨﺘﺮل ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺎ اﺳﺘﻔﺎده از ﭘﻮرت‬ ‫‪ 7597‬اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬ﻫﻤﭽﻨﻴﻦ‪ ،TROJ_QAZ ،‬ﺑﺮ روي رﺟﻴﺴﺘﺮي اﺛﺮ ﻣﻲﮔﺬارد ﺗﺎ ﻫﺮ وﻗﺖ ﻛﻪ وﻳﻨﺪوز ﺷﺮوع ﺷﺪ‪،‬‬ ‫اﻳﻦ ﺗﺮوﺟﺎن ﻫﻢ ﺑﺎرﮔﺬاري ﺷﻮد‪.‬‬ ‫‪ ،Tini‬ﻳﻚ ﺗﺮوﺟﺎن و ‪ backdoor‬ﺑﺴﻴﺎر ﺳﺎده و ﻛﻮﭼﻚ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز اﺳﺖ‪ .‬ﺑﺮ روي ﭘﻮرت ‪ 7777‬ﮔﻮش‬ ‫ﻣﻲدﻫﺪ و اﺟﺎزه دﺳﺘﺮﺳﻲ راه دور ﻫﻜﺮ ﺑﻪ ‪ Cmd‬ﺳﻴﺴﺘﻢ ﻫﺪف را ﻣﻲدﻫﺪ‪ .‬ﺑﺮاي اﺗﺼﺎل ﺑﻪ ‪ ،Tini Server‬ﻫﻜﺮ ﺑﺎﻳﺪ ﺑﻪ‬ ‫ﭘﻮرت ‪ telnet ،7777‬ﻛﻨﺪ‪.‬‬ ‫‪ ،iCmd‬ﻣﺸﺎﺑﻪ ‪ tini‬اﺳﺖ ﺑﺎ اﻳﻦ ﺗﻔﺎوت ﻛﻪ اﺟﺎزه ﭼﻨﺪﻳﻦ ارﺗﺒﺎط را ﻣﻲدﻫﺪ و ﻧﻴﺰ ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ ﭘﺴﻮرد ﺳﺖ ﻛﻨﻴﺪ‪.‬‬ ‫‪ ،Proxy Server Trojan‬زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮي را آﻟﻮده ﻣﻲﻛﻨﺪ‪ ،‬از آن ﺑﻪ ﻋﻨﻮان ﭘﺮوﻛﺴﻲ ﺳﺮور اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﻫﺰاران‬ ‫ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺮ روي اﻳﻨﺘﺮﻧﺖ ﺑﺎ اﺳﺘﻔﺎده از اﻳﻦ ﺗﻜﻨﻴﻚ‪ ،‬آﻟﻮده ﺷﺪهاﻧﺪ‪.‬‬

‫‪ ،Donald Dick‬ﻳﻚ ﺗﺮوﺟﺎن و ‪ backdoor‬ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز اﺳﺖ ﻛﻪ اﺟﺎزه دﺳﺘﺮﺳﻲ ﻛﺎﻣﻞ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ‬ ‫را از ﻃﺮﻳﻖ اﻳﻨﺘﺮﻧﺖ ﺑﺮاي ﻫﻜﺮ ﻓﺮاﻫﻢ ﻣﻲﺳﺎزد‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺮﻧﺎﻣﻪ را روي ﺳﻴﺴﺘﻢ‪ ،‬ﺑﺨﻮاﻧﺪ‪ ،‬ﺑﻨﻮﻳﺴﺪ‪ ،‬ﻳﺎ اﺟﺮا ﻛﻨﺪ‪ .‬اﻳﻦ‬ ‫ﺗﺮوﺟﺎن‪ ،‬ﺷﺎﻣﻞ ‪ keylogger‬و ‪ registery parser‬اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﻋﻤﻠﻴﺎﺗﻲ ﻫﻤﭽﻮن ﺑﺎز ﻳﺎ ﺑﺴﺘﻪ ﻛﺮدن ‪ CD-ROM‬را‬ ‫اﻧﺠﺎم دﻫﺪ‪ .‬ﺣﻤﻠﻪ ﻛﻨﻨﺪه‪ ،‬از ﻛﻼﻳﻨﺖ ﺑﺮاي ارﺳﺎل دﺳﺘﻮرات ﺑﻪ ﭘﻮرتﻫﺎي از ﭘﻴﺶ ﺗﻌﻴﻴﻦ ﺷﺪه ﻗﺮﺑﺎﻧﻲ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‬ ‫ﭘﻮرتﻫﺎي ﭘﻴﺶ ﻓﺮض اﻳﻦ ﺗﺮوﺟﺎن ‪ 23476‬ﻳﺎ ‪ 23477‬ﻫﺴﺘﻨﺪ‪.‬‬ ‫‪ ،SubServen‬ﺗﺮوﺟﺎﻧﻲ اﺳﺖ ﻛﻪ زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ آﻟﻮده ﺷﺪه ﺑﻪ اﻳﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ ﻣﻲﺷﻮد‪ ،‬ﺑﻪ ﻫﻜﺮ اﻃﻼع ﻣﻲدﻫﺪ و‬ ‫اﻃﻼﻋﺎﺗﻲ در ﻣﻮرد ﺳﻴﺴﺘﻢ را ﺑﻪ ﻫﻜﺮ ﻣﻲدﻫﺪ‪ .‬اﻳﻦ اﻃﻼع رﺳﺎﻧﻲ ﻣﻲﺗﻮاﻧﺪ از ﻃﺮﻳﻖ ﺷﺒﻜﻪ ‪ ،IRC‬ﺗﻮﺳﻂ ‪ ،ICQ‬ﻳﺎ ﺗﻮﺳﻂ‬ ‫اﻳﻤﻴﻞ اﻧﺠﺎم ﺷﻮد‪ .‬اﻳﻦ ﺗﺮوﺟﺎن ﺳﺒﺐ ﻣﻲﺷﻮد ﻛﻪ ﺳﻴﺴﺘﻢ ﻛﻨﺪ ﺷﻮد و ﺑﺮ روي ﺳﻴﺴﺘﻢ آﻟﻮده ﺷﺪه‪ ،‬ﭘﻴﻐﺎمﻫﺎي ﺧﻄﺎ ﺗﻮﻟﻴﺪ‬ ‫ﻣﻲﻛﻨﺪ‪.‬‬

‫‪93‬‬

‫‪ ،NetBus‬ﺗﺮوﺟﺎﻧﻲ ﻣﺒﺘﻨﻲ ﺑﺮ وﻳﻨﺪوز اﺳﺖ ﻛﻪ ﻣﺸﺎﺑﻪ ‪ Donald Dick‬اﺳﺖ‪ .‬ﻛﻠﻴﺪي ﺑﺎ ﻧﺎم ‪ NetBus Server‬در ﻣﺴﻴﺮ‬ ‫‪HKEY_CURRENT_USER‬‬

‫اﺿﺎﻓﻪ‬

‫ﻣﻲﻛﻨﺪ‬

‫و‬

‫ﻛﻠﻴﺪ‬

‫‪HKEY_CURRENT_USER\NetBus‬‬

‫‪ Server\General\TCPPort‬را ﺗﻐﻴﻴﺮ ﻣﻲ دﻫﺪ‪ .‬اﮔﺮ ‪ NetBus‬ﺑﺮاي ﺷﺮوع ﺧﻮدﻛﺎر ﺗﻨﻈﻴﻢ ﺷﺪه ﺑﺎﺷﺪ‪ ،‬ورودي را در در‬ ‫ﻣﺴﻴﺮ ‪ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices‬در‬ ‫رﺟﻴﺴﺘﺮي و ﺑﺎ ﻧﺎم ‪ NetBus Server‬اﺿﺎﻓﻪ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،BackOrifice 2000‬اﺑﺰار ﻣﺪﻳﺮﻳﺘﻲ از راه دور اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ﻛﻨﺘﺮل ﻳﻚ ﺳﻴﺴﺘﻢ از ﻃﺮﻳﻖ ارﺗﺒﺎط‬ ‫‪ TCP/IP‬ﺑﺎ اﺳﺘﻔﺎده از ﻳﻚ اﻳﻨﺘﺮﻓﻴﺲ ﮔﺮاﻓﻴﻜﻲ اﺳﺘﻔﺎده ﻛﻨﺪ‪ ،BackOrifice .‬در ﻟﻴﺴﺖ ﭘﺮدازشﻫﺎي در ﺣﺎل اﺟﺮا ﻧﺸﺎن‬ ‫داده ﻧﻤﻲﺷﻮد و ﺧﻮد را داﺧﻞ رﺟﻴﺴﺘﺮي ﻛﭙﻲ ﻣﻲﻛﻨﺪ ﺗﺎ زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺷﺮوع ﺑﻪ ﻛﺎر ﻛﺮد‪ ،‬اﺟﺮا ﺷﻮد‪ .‬اﻳﻦ ﺗﺮوﺟﺎن‪،‬‬ ‫ﻛﻠﻴﺪ ‪HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices‬‬ ‫را ﺗﻐﻴﻴﺮ ﻣﻲدﻫﺪ‪Plug-in .‬ﻫﺎي اﻳﻦ ﺑﺮﻧﺎﻣﻪ‪ ،‬ﻗﺎﺑﻠﻴﺘﻬﺎﻳﻲ را ﺑﻪ ﺑﺮﻧﺎﻣﻪ ‪ BackOrifice‬اﺿﺎﻓﻪ ﻣﻲﻛﻨﺪ ﻛﻪ ﺷﺎﻣﻞ رﻣﺰﮔﺬاري‬ ‫‪ remote desktop ،3DES‬ﺑﺎ ﻛﻨﺘﺮل ﻛﻴﺒﻮرد و ﻣﺎوس‪ ،‬وﻳﺮاﻳﺶ رﺟﻴﺴﺘﺮي ﺑﻪ ﺻﻮرت ﮔﺮاﻓﻴﻜﻲ و از راه دور‪ ،‬ارﺗﺒﺎﻃﺎت‬ ‫اﻣﻦ ﭘﺮوﺗﻜﻞﻫﺎي ‪ UDP‬و ‪ ،ICMP‬و ‪. ...‬‬ ‫‪ ،ComputerSpy Key Logger‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ﺿﺒﻂ ﻓﻌﺎﻟﻴﺘﻬﺎي ﻛﺎﻣﭙﻴﻮﺗﺮ روي ﻳﻚ ﺳﻴﺴﺘﻢ‬ ‫اﺳﺘﻔﺎده ﻛﻨﺪ از ﻗﺒﻴﻞ‪ :‬وب ﺳﺎﻳﺖﻫﺎي ﻣﺸﺎﻫﺪه ﺷﺪه‪ ،‬ﻻﮔﻴﻦﻫﺎ و ﭘﺴﻮردﻫﺎ ﺑﺮاي ‪ AIM ،AOL ،MSN ،ICQ‬و ‪Yahoo‬‬ ‫‪ Messanger‬ﻳﺎ ‪ .webmail‬ﻫﻤﭽﻨﻴﻦ اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﻣﻲﺗﻮاﻧﺪ در ﺑﺎزهﻫﺎي زﻣﺎﻧﻲ ﻣﺸﺨﺺ ﺷﺪه‪ ،‬از ﺗﻤﺎم ﺻﻔﺤﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ‪،‬‬ ‫ﻋﻜﺲ ﺑﮕﻴﺮد‪.‬‬ ‫‪ ،Beast‬ﺗﺮوﺟﺎﻧﻲ اﺳﺖ ﻛﻪ در ﺣﺎﻓﻈﻪاي ﻛﻪ ﺑﺮاي ﺳﺮوﻳﺲ ‪ WinLogon.exe‬اﺧﺘﺼﺎص ﻳﺎﻓﺘﻪ اﺳﺖ اﺟﺮا ﻣﻲﺷﻮد‪.‬‬ ‫زﻣﺎﻧﻴﻜﻪ ﻧﺼﺐ ﺷﺪ‪ ،‬ﺑﺮﻧﺎﻣﻪ ﺧﻮد را داﺧﻞ ‪ Windows Explorer‬ﻳﺎ ‪ Internet Explorer‬وارد ﻣﻲﻛﻨﺪ‪ .‬ﻳﻜﻲ از‬ ‫ﻗﺎﺑﻠﻴﺖﻫﺎي ﺷﺎﺧﺺ اﻳﻦ ﺑﺮﻧﺎﻣﻪ اﻳﻦ اﺳﺖ ﻛﻪ ‪ all-in-one‬اﺳﺖ ﻳﻌﻨﻲ اﻳﻨﻜﻪ ﻛﻼﻳﻨﺖ‪ ،‬ﺳﺮور‪ ،‬و وﻳﺮاﻳﺸﮕﺮ ﺳﺮور ﻫﻤﮕﻲ در‬ ‫ﻫﻤﺎن ﺑﺮﻧﺎﻣﻪ ذﺧﻴﺮه ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪ ،CyberSpy‬ﻳﻚ ‪ Telnet Trojan‬اﺳﺖ ﻛﻪ ﺧﻮد را داﺧﻞ داﻳﺮﻛﺘﻮري وﻳﻨﺪوز ﻛﭙﻲ ﻣﻲﻛﻨﺪ و در رﺟﻴﺴﺘﺮي ﺛﺒﺖ‬ ‫ﻣﻲﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻫﺮ زﻣﺎن ﻛﻪ ﺳﻴﺴﺘﻢ آﻟﻮده‪ ،‬رﻳﺴﺘﺎرت ﻣﻲﺷﻮد‪ ،‬اﺟﺮا ﻣﻲﺷﻮد‪ .‬زﻣﺎﻧﻴﻜﻪ اﻧﺠﺎم ﺷﺪ‪ ،‬اﻋﻼﻣﻲ را از ﻃﺮﻳﻖ‬ ‫اﻳﻤﻴﻞ ﻳﺎ ‪ ICQ‬ارﺳﺎل ﻣﻲﻛﻨﺪ و ﺳﭙﺲ ﺑﻪ ﭘﻮرتﻫﺎي ‪ TCP/IP‬ﻛﻪ ﻗﺒﻼ ﻣﺸﺨﺺ ﺷﺪهاﻧﺪ‪ ،‬ﮔﻮش ﻣﻲدﻫﺪ‪.‬‬ ‫‪ ،SubRoot‬ﺗﺮوﺟﺎن ﻣﺪﻳﺮﻳﺘﻲ از راه دور اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي اﺗﺼﺎل ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ روي ﭘﻮرت ‪1700‬‬ ‫اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬ ‫‪ ،LetMeRule‬ﺗﺮوﺟﺎن راه دور اﺳﺖ ﻛﻪ ﺑﺮاي ﮔﻮش دادن ﺑﻪ ﻫﺮ ﭘﻮرﺗﻲ روي ﺳﻴﺴﺘﻢ ﻫﺪف ﭘﻴﻜﺮﺑﻨﺪي ﻣﻲﺷﻮد‪ .‬ﻛﻪ از‬ ‫‪ Cmd‬ﺑﺮاي ﻛﻨﺘﺮل ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﻣﻲﺗﻮاﻧﺪ ﻫﻤﻪ ﻓﺎﻳﻞﻫﺎﻳﻲ را در داﻳﺮﻛﺘﻮر ﻣﺸﺨﺺ ﭘﺎك ﻛﻨﺪ‪ ،‬ﻓﺎﻳﻞﻫﺎ را‬ ‫در ﻛﺎﻣﭙﻴﻮﺗﺮ راه دور اﺟﺮا ﻛﻨﺪ‪ ،‬ﻳﺎ رﺟﻴﺴﺘﺮي را ﻣﺸﺎﻫﺪه و ﺗﻐﻴﻴﺮ دﻫﺪ‪.‬‬ ‫‪94‬‬

‫‪ ،Firekiller 2000‬ﺑﺮﻧﺎﻣﻪﻫﺎي آﻧﺘﻲ وﻳﺮوس و ﻓﺎﻳﺮوالﻫﺎ را ﻏﻴﺮﻓﻌﺎل ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮاي ﻧﻤﻮﻧﻪ‪ ،‬اﮔﺮ آﻧﺘﻲ وﻳﺮوس ﻧﻮرﺗﻦ ﺑﺮ روي‬ ‫اﺳﻜﻦ ﺧﻮدﻛﺎر ﺑﺎﺷﺪ و ﻓﺎﻳﺮوال ‪ ATGuard‬ﻓﻌﺎل ﺑﺎﺷﺪ‪ ،‬اﻳﻦ ﺗﺮوﺟﺎن‪ ،‬اﻳﻦ دو ﺑﺮﻧﺎﻣﻪ را ﻣﺘﻮﻗﻒ ﻣﻲﺳﺎزد و ﺑﺮاي اﺳﺘﻔﺎده‬ ‫ﻣﺠﺪد‪ ،‬ﺑﺎﻳﺪ دوﺑﺎره ﻧﺼﺐ ﺷﻮﻧﺪ‪.‬‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎي ‪ ،Hard Drive Killer Pro‬اﺟﺎزه ﺧﺮاب ﻛﺮدن ﻫﻤﻪ دادهﻫﺎ را ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎي وﻳﻨﺪوزي و ‪DOS‬‬ ‫ﻣﻲدﻫﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﺑﺮﻧﺎﻣﻪ اﺟﺮا ﺷﺪ‪ ،‬ﺗﻤﺎم ﻓﺎﻳﻞﻫﺎ را ﭘﺎك ﻣﻲﻛﻨﺪ و ﺳﻴﺴﺘﻢ را در ﻋﺮض ﭼﻨﺪ ﺛﺎﻧﻴﻪ رﻳﺴﺘﺎرت ﻣﻲﻛﻨﺪ‪ .‬ﭘﺲ‬ ‫از رﻳﺴﺘﺎرت‪ ،‬ﺗﻤﺎم ﻫﺎردﻫﺎﻳﻲ ﻛﻪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﺘﺼﻞ ﺷﺪهاﻧﺪ )ﺑﺪون ﺗﻮﺟﻪ ﺑﻪ اﻧﺪازه آﻧﻬﺎ(‪ ،‬در ﻋﺮض ‪ 1‬ﻳﺎ ‪ 2‬ﺛﺎﻧﻴﻪ‪ ،‬ﻓﺮﻣﺖ‬ ‫ﻣﻲﺷﻮﻧﺪ ﺑﻪ ﻧﺤﻮي ﻛﻪ ﻗﺎﺑﻞ ﺑﺎزﻳﺎﺑﻲ ﻧﻴﺴﺘﻨﺪ‪.‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎ ﻋﺒﺎرﺗﻨﺪ از‪Satellite- ،Turkojan ،DownTroj ،Biorante RAT ،T2W ،Backdoor.Theef :‬‬ ‫‪،HackerzRat ،SharK ،Rapid Hacker ،Poison Ivy ،Trojan.Hav-Rat ،DarkLabel B4 ،Yakoza ،RAT‬‬ ‫‪،AccRat ،OD Client ،ProAgent ،Optix PRO ،VicSpy ،Criminal Rat Beta ،1337 Fun Trojan ،TYO‬‬ ‫‪،VNC Trojan ،TinyFTPD ،ZombieRat ،ConsoleDevil ،SINner ،RubyRAT Public ،Mhacker-PS‬‬ ‫‪،DaCryptic ،Dark Girl ،ProRat ،Troya ،Biohazard RAT ،Skiddie Rat ،DJI RAT ،Webcam Trojan‬‬ ‫‪.Hovdy.a ،PokerStealer.A ،Net-Devil‬‬

‫ﻧﺤﻮه ﻛﺎر ﺗﺮوﺟﺎن ‪Netcat‬‬ ‫‪ ،Netcat‬ﺗﺮوﺟﺎﻧﻲ اﺳﺖ ﻛﻪ از اﻳﻨﺘﺮﻓﻴﺲ ﺧﻂ دﺳﺘﻮري ﺑﺮاي ﺑﺎز ﻛﺮدن ﭘﻮرتﻫﺎي ‪ TCP‬ﻳﺎ ‪ UDP‬روي ﺳﻴﺴﺘﻢ‬ ‫ﻫﺪف اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﺳﭙﺲ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﻪ اﻳﻦ ﭘﻮرتﻫﺎ‪ telnet ،‬ﻛﻨﺪ و دﺳﺘﺮﺳﻲ ‪ shell‬ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف ﭘﻴﺪا ﻛﻨﺪ‪.‬‬

‫ﻧﺸﺎﻧﻪﻫﺎي ﺣﻤﻠﻪ ﺗﺮوﺟﺎن ﭼﻴﺴﺖ؟‬ ‫رﻓﺘﺎر ﻏﻴﺮ ﻣﻌﻤﻮل ﺳﻴﺴﺘﻢ‪ ،‬ﻣﻌﻤﻮﻻ ﻧﺸﺎﻧﻪاي از ﺣﻤﻠﻪ ﺗﺮوﺟﺎن اﺳﺖ‪ .‬ﻋﻤﻠﻴﺎﺗﻲ از ﻗﺒﻴﻞ اﺟﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎ ﺑﺪون دﺧﺎﻟﺖ‬ ‫ﻛﺎرﺑﺮ‪ ،‬ﺑﺎز و ﺑﺴﺘﻪ ﺷﺪن ‪ ،CD-ROM‬ﺗﻐﻴﻴﺮ در ﺗﺼﻮﻳﺮ ‪ background‬ﻳﺎ ‪ ،screen saver‬ﻧﺸﺎن دادن وب ﺳﺎﻳﺖﻫﺎي‬ ‫ﻧﺎﺧﻮاﺳﺘﻪ ﺗﻮﺳﻂ ﺑﺮﻧﺎﻣﻪ ﻣﺮورﮔﺮ‪ ،‬ﻧﺸﺎﻧﻪﻫﺎﻳﻲ از ﺣﻤﻠﻪ ﺗﺮوﺟﺎن اﺳﺖ‪ .‬ﻫﺮ ﻋﻤﻠﻲ ﻛﻪ ﺑﺪون ﻣﺪاﺧﻠﻪ ﻛﺎرﺑﺮ اﻧﺠﺎم ﺷﻮد‪،‬‬ ‫ﻧﺸﺎﻧﻪاي از ﺣﻤﻠﻪ ﺗﺮوﺟﺎن اﺳﺖ‪.‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از ﻋﻼﺋﻢ ﺣﻤﻠﻪ ﺗﺮوﺟﺎن ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬

‫ﻓﺎﻳﻞﻫﺎﻳﻲ ﺑﺼﻮرت ﺧﻮدﻛﺎر از ﭘﺮﻳﻨﺘﺮ‪ ،‬ﭘﺮﻳﻨﺖ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﻧﺪ‪.‬‬

‫•‬

‫ﻛﻠﻴﺪﻫﺎي راﺳﺖ و ﭼﭗ ﻣﺎوس‪ ،‬ﺑﺼﻮرت ﻣﻌﻜﻮس ﻛﺎر ﻣﻲﻛﻨﻨﺪ‪.‬‬

‫•‬

‫ﻧﺸﺎﻧﮕﺮ ﻣﺎوس‪ ،‬ﻧﺎﭘﺪﻳﺪ ﻣﻲﺷﻮد‪.‬‬ ‫‪95‬‬

‫•‬

‫ﻧﺸﺎﻧﮕﺮ ﻣﺎوس ﺟﺎﺑﺠﺎ ﻣﻲﺷﻮد‪.‬‬

‫•‬

‫دﻛﻤﻪ ‪ Start‬وﻳﻨﺪوز ﻧﺎﭘﺪﻳﺪ ﻣﻲﺷﻮد‪.‬‬

‫•‬

‫ﺷﺮﻛﺖ ‪ ISP‬ﺑﻪ ﻛﺎرﺑﺮ اﻋﺘﺮاض ﻣﻲﻛﻨﺪ ﻛﻪ ﻛﺎﻣﭙﻴﻮﺗﺮش‪ ،‬ﻋﻤﻠﻴﺎت ‪ IP scanning‬اﻧﺠﺎم ﻣﻲدﻫﺪ‪.‬‬

‫•‬

‫اﻓﺮادي ﻛﻪ ﺑﺎ ﻗﺮﺑﺎﻧﻲ ﭼﺖ ﻣﻲﻛﻨﻨﺪ‪ ،‬اﻃﻼﻋﺎت ﺷﺨﺼﻲ زﻳﺎدي درﺑﺎره او ﻳﺎ ﻛﺎﻣﭙﻴﻮﺗﺮش ﻣﻲداﻧﻨﺪ‪.‬‬

‫•‬

‫ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺼﻮرت ﺧﻮد ﺑﻪ ﺧﻮد ﺧﺎﻣﻮش ﻣﻲﺷﻮد‪.‬‬

‫•‬

‫ﻧﻮار ‪ ،taskbar‬ﻧﺎﭘﺪﻳﺪ ﻣﻲﺷﻮد‪.‬‬

‫•‬

‫ﭘﺴﻮردﻫﺎي اﻛﺎﻧﺖﻫﺎ ﺗﻐﻴﻴﺮ ﻣﻲﻛﻨﻨﺪ ﻳﺎ اﺷﺨﺎص دﻳﮕﺮي ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ اﻛﺎﻧﺖﻫﺎ دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬

‫•‬

‫ﺧﺮﻳﺪﻫﺎي ﻋﺠﻴﺒﻲ در ﺻﻮرﺗﺤﺴﺎب ﻛﺎرت اﻋﺘﺒﺎري ﻣﺸﺎﻫﺪه ﻣﻲﺷﻮد‪.‬‬

‫•‬

‫ﻣﺎﻧﻴﺘﻮر ﻛﺎﻣﭙﻴﻮﺗﺮ‪ ،‬ﺧﻮد ﺑﻪ ﺧﻮد ﺧﺎﻣﻮش و روﺷﻦ ﻣﻲﺷﻮد‪.‬‬

‫•‬

‫ﻣﻮدم ﺑﺼﻮرت ﺧﻮد ﺑﻪ ﺧﻮد ﺑﻪ اﻳﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ ﻣﻲﺷﻮد‪.‬‬

‫•‬

‫ﻛﻠﻴﺪﻫﺎي ‪ Ctrl+Alt+Del‬ﻛﺎر ﻧﻤﻲﻛﻨﻨﺪ‪.‬‬

‫•‬

‫وﻗﺘﻲ ﻛﺎﻣﭙﻴﻮﺗﺮ راهاﻧﺪازي ﻣﻲﺷﻮد‪ ،‬ﭘﻴﻐﺎﻣﻲ ﻇﺎﻫﺮ ﻣﻲﺷﻮد ﻛﻪ ﻛﺎرﺑﺮ دﻳﮕﺮي ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﺘﺼﻞ اﺳﺖ‪.‬‬

‫‪ Wrapping‬ﭼﻴﺴﺖ؟‬ ‫‪Wrapper‬ﻫﺎ ﻧﺮماﻓﺰارﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮاي ﺗﺤﻮﻳﻞ ﺗﺮوﺟﺎن ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲﮔﻴﺮﻧﺪ‪ .‬اﻳﻦ ﻧﺮماﻓﺰارﻫﺎ‪ ،‬ﺗﺮوﺟﺎن‬ ‫را ﺑﻪ ﻳﻚ ﻓﺎﻳﻞ ﻣﻌﻤﻮﻟﻲ ﻣﻲﭼﺴﺒﺎﻧﻨﺪ‪ .‬ﻫﺮ دوي اﻳﻦ ﻓﺎﻳﻞﻫﺎ داﺧﻞ ﻳﻚ ﻓﺎﻳﻞ اﺟﺮاﻳﻲ ﺗﺮﻛﻴﺐ ﻣﻲﺷﻮﻧﺪ و زﻣﺎﻧﻴﻜﻪ ﺑﺮﻧﺎﻣﻪ‬ ‫اﺟﺮا ﻣﻲﺷﻮد‪ ،‬ﻧﺼﺐ ﻣﻲﺷﻮد‪ .‬ﺑﻄﻮر ﻛﻠﻲ‪ ،‬ﺑﺎزيﻫﺎ ﺑﻪ ﻋﻨﻮان ‪wrapper‬ﻫﺎ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲﮔﻴﺮﻧﺪ ﺑﺮاي اﻳﻨﻜﻪ زﻣﺎﻧﻴﻜﻪ‬ ‫ﺗﺮوﺟﺎن در ﺣﺎل ﻧﺼﺐ اﺳﺖ ﻛﺎرﺑﺮ را ﻣﺸﻐﻮل ﻣﻲﻛﻨﺪ‪ .‬از اﻳﻦ رو‪ ،‬زﻣﺎﻧﻴﻜﻪ ﺗﺮوﺟﺎن در ﺣﺎل ﻧﺼﺐ ﺑﺮ روي ﺳﻴﺴﺘﻢ اﺳﺖ‪،‬‬ ‫ﻛﺎرﺑﺮ ﻣﺘﻮﺟﻪ ﻛﻨﺪي ﺳﻴﺴﺘﻢ ﻧﻤﻲﺷﻮد و ﺗﻨﻬﺎ ﺑﺮﻧﺎﻣﻪ ﺧﻮد را ﻣﻲﺑﻴﻨﺪ ﻛﻪ در ﺣﺎل ﻧﺼﺐ اﺳﺖ‪.‬‬

‫‪96‬‬

‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Graffiti‬ﻳﻚ ﺑﺎزي اﻧﻴﻤﺸﻨﻲ اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﺎ ﻳﻚ ﺗﺮوﺟﺎن ﺗﺮﻛﻴﺐ ﺷﻮد‪ .‬اﻳﻦ ﺑﺎزي‪ ،‬ﻛﺎرﺑﺮ را ﻣﺸﻐﻮل ﻧﮕﻪ ﻣﻲدارد ﺗﺎ‬ ‫ﺗﺮوﺟﺎن در ﭘﺸﺖ زﻣﻴﻨﻪ ﻧﺼﺐ ﺷﻮد‪ .‬اﻳﻦ ﺑﺮﻧﺎﻣﻪ زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ راهاﻧﺪازي ﺷﺪ‪ ،‬اﺟﺮا ﻣﻲﺷﻮد و ﻛﺎﻣﭙﻴﻮﺗﺮ را ﻣﺸﻐﻮل ﻧﮕﻪ‬ ‫ﻣﻲدارد ﺗﺎ ﻣﺘﻮﺟﻪ ﻧﺼﺐ ﺗﺮوﺟﺎن ﻧﺸﻮد‪.‬‬ ‫‪ ،RemoteByMail‬ﻛﺎﻣﭙﻴﻮﺗﺮ ﻗﺮﺑﺎﻧﻲ را ﺑﺎ اﺳﺘﻔﺎده از اﻳﻤﻴﻞ ﻛﻨﺘﺮل ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎ ارﺳﺎل دﺳﺘﻮرات از ﻃﺮﻳﻖ اﻳﻤﻴﻞ‪ ،‬ﻣﻲﺗﻮاﻧﺪ‬ ‫ﻓﺎﻳﻞﻫﺎ ﻳﺎ ﻓﻮﻟﺪرﻫﺎ را از ﻛﺎﻣﭙﻴﻮﺗﺮ ﻗﺮﺑﺎﻧﻲ ﺑﺎزﻳﺎﺑﻲ ﻛﻨﺪ‪.‬‬

‫‪ ،Silk Rope 2000‬ﻳﻚ ‪ wrapper‬اﺳﺖ ﻛﻪ ‪ BackOrifice server‬و ﻫﺮ ﺑﺮﻧﺎﻣﻪ ﻣﺸﺨﺺ دﻳﮕﺮ را ﺑﺎ ﻫﻢ ﺗﺮﻛﻴﺐ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،EliTeWrap‬ﺑﺮﻧﺎﻣﻪ ‪ wrapper‬ﭘﻴﺸﺮﻓﺘﻪ ﺗﺤﺖ وﻳﻨﺪوز اﺳﺖ ﻛﻪ ﺑﺮاي ﻧﺼﺐ و اﺟﺮاﻳﻲ ﺑﺮﻧﺎﻣﻪﻫﺎ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫‪ ،EliTeWrap‬ﻣﻲﺗﻮاﻧﺪ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻧﺼﺒﻲ ﺑﺮاي ﻛﭙﻲ ﻓﺎﻳﻞﻫﺎي داﺧﻞ ﻳﻚ داﻳﺮﻛﺘﻮري و اﺟﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎ ﻳﺎ ﻓﺎﻳﻞﻫﺎي‬ ‫دﺳﺘﻪاي اﺳﺘﻔﺎده ﺷﻮد‪.‬‬ ‫‪ ،IconPlus‬ﺑﺮﻧﺎﻣﻪاي ﺑﺮاي ﺗﺮﺟﻤﻪ آﻳﻜﻦﻫﺎ ﺑﻪ ﻓﺮﻣﺖﻫﺎي ﻣﺨﺘﻠﻒ اﺳﺖ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از اﻳﻦ ﺑﺮﻧﺎﻣﻪﻫﺎ ﺑﺮاي ﭘﻨﻬﺎن ﻛﺮدن‬ ‫ﻛﺪﻫﺎي ﻣﺨﺮب ﻳﺎ ﺗﺮوﺟﺎن اﺳﺘﻔﺎده ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻛﺎرﺑﺮان ﻓﺮﻳﺐ ﻣﻲﺧﻮرﻧﺪ و آن را اﺟﺮا ﻣﻲﻛﻨﻨﺪ و ﮔﻤﺎن ﻣﻲﻛﻨﻨﺪ ﻛﻪ آن‬ ‫ﻳﻚ ﻓﺎﻳﻞ ﻣﻌﻤﻮﻟﻲ اﺳﺖ‪.‬‬

‫اﺑﺰارﻫﺎي ﺳﺎﺧﺖ ﺗﺮوﺟﺎن‬ ‫اﺑﺰارﻫﺎي زﻳﺎدي ﺑﺮاي ﺳﺎﺧﺖ ﺗﺮوﺟﺎن وﺟﻮد دارد ﻛﻪ ﺑﻪ ﻫﻜﺮﻫﺎ در ﺳﺎﺧﺖ ﺗﺮوﺟﺎن ﻣﻮرد ﻧﻈﺮﺷﺎن ﻛﻤﻚ ﻣﻲﻛﻨﺪ‪.‬‬ ‫اﻳﻦ اﺑﺰارﻫﺎ ﺑﻪ ﻫﻜﺮﻫﺎ ﺑﺮاي ﺳﺎﺧﺖ ﺗﺮوﺟﺎن ﺳﻔﺎرﺷﻲ ﺷﺪه ﻛﻤﻚ ﻣﻲﻛﻨﻨﺪ و اﮔﺮ ﺑﻪ درﺳﺘﻲ اﺳﺘﻔﺎده ﻧﺸﻮﻧﺪ‪ ،‬ﺧﻄﺮﻧﺎك‬ ‫ﻣﻲﺷﻮﻧﺪ و ﻣﻲﺗﻮاﻧﻨﺪ آﺳﻴﺐ ﺑﺮﺳﺎﻧﻨﺪ‪ .‬ﺗﺮوﺟﺎنﻫﺎﻳﻲ ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از اﻳﻦ اﺑﺰارﻫﺎ و ﺑﺼﻮرت ﺳﻔﺎرﺷﻲ ﺳﺎﺧﺘﻪ ﻣﻲﺷﻮﻧﺪ ﻳﻚ‬ ‫ﻣﺰﻳﺖ ﺑﺰرگ دارﻧﺪ و آن اﻳﻨﺴﺖ ﻛﻪ از دﺳﺖ ﻧﺮماﻓﺰارﻫﺎي آﻧﺘﻲ وﻳﺮوس ﻣﺨﻔﻲ ﻣﻲﻣﺎﻧﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺎ ﻫﻴﭽﻜﺪام از‬ ‫‪signature‬ﻫﺎﻳﻲ ﻛﻪ در ﻧﺮماﻓﺰار آﻧﺘﻲ وﻳﺮوس وﺟﻮد دارﻧﺪ‪ ،‬ﻣﺸﺎﺑﻪ ﻧﻴﺴﺘﻨﺪ‪.‬‬ ‫ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي ﺳﺎﺧﺖ ﺗﺮوﺟﺎن ﻋﺒﺎرﺗﻨﺪ از‪Trojan Horse Construction Kit ،Senna Spy Generetor :‬‬ ‫‪ ،Progenic Mail Trojan Construction Kit ،v2.0‬و ‪.Pandora’s Box‬‬ ‫‪97‬‬

‫ﺗﻜﻨﻴﻚﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﺮوﺟﺎنﻫﺎ ﭼﻴﺴﺖ؟‬ ‫ﺑﺴﻴﺎري از ﻧﺮماﻓﺰارﻫﺎي آﻧﺘﻲ وﻳﺮوس‪ ،‬ﻗﺎﺑﻠﻴﺘﻬﺎي آﻧﺘﻲ ﺗﺮوﺟﺎن و ﺗﺸﺨﻴﺺ ‪ spyware‬را دارﻧﺪ‪ .‬اﻳﻦ اﺑﺰارﻫﺎ‬ ‫ﻣﻲﺗﻮاﻧﻨﺪ در زﻣﺎن آﻏﺎز ﺑﻪ ﻛﺎر ﻛﺎﻣﭙﻴﻮﺗﺮ‪ ،‬ﺑﺼﻮرت ﺧﻮدﻛﺎر دراﻳﻮﻫﺎ را اﺳﻜﻦ ﻛﻨﻨﺪ ﺗﺎ ‪backdoor‬ﻫﺎ و ﺗﺮوﺟﺎنﻫﺎ را‬ ‫ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﺳﻴﺴﺘﻤﻲ آﻟﻮده ﺷﺪ‪ ،‬ﭘﺎﻛﺴﺎزي آن ﺑﺴﻴﺎر دﺷﻮار ﻣﻲﺷﻮد اﻣﺎ ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ ﺑﺎ اﺑﺰارﻫﺎي ﺗﺠﺎري‬ ‫در دﺳﺘﺮس‪ ،‬اﻳﻨﻜﺎر را اﻧﺠﺎم دﻫﻴﺪ‪.‬‬ ‫ﻣﻬﻢ اﺳﺖ ﻛﻪ ﺑﻪ ﺟﺎي اﺳﺘﻔﺎده از اﺑﺰارﻫﺎي راﻳﮕﺎن‪ ،‬از ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺠﺎري ﺑﺮاي ﭘﺎﻛﺴﺎزي ﻳﻚ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده‬ ‫ﻛﻨﻴﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي راﻳﮕﺎن‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ ﺳﻴﺴﺘﻢ را آﻟﻮده ﻛﻨﻨﺪ‪ .‬ﻋﻼوه ﺑﺮ اﻳﻦ‪ ،‬اﺑﺰارﻫﺎي ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ‬ ‫ﭘﻮرت‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ ﭘﻮرتﻫﺎﻳﻲ ﻛﻪ ﺑﺎز ﻫﺴﺘﻨﺪ ﻳﺎ ﻓﺎﻳﻞﻫﺎﻳﻲ ﻛﻪ ﺗﻐﻴﻴﺮ ﻳﺎﻓﺘﻪاﻧﺪ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ‪.‬‬

‫ﺗﻜﻨﻴﻚﻫﺎي ﮔﺮﻳﺰ از ﺗﺮوﺟﺎن‬ ‫ﻛﻠﻴﺪ ﺟﻠﻮﮔﻴﺮي از ﻧﺼﺐ ﺗﺮوﺟﺎنﻫﺎ و ‪backdoor‬ﻫﺎ اﻳﻨﺴﺖ ﻛﻪ ﺑﻪ ﻛﺎرﺑﺮان آﻣﻮزش دﻫﻴﺪ ﺗﺎ ﺑﺮﻧﺎﻣﻪﻫﺎ را از اﻳﻨﺘﺮﻧﺖ‬ ‫داﻧﻠﻮد ﻧﻜﻨﻨﺪ و ﺿﻤﺎﺋﻢ اﻳﻤﻴﻞﻫﺎﻳﻲ ﻛﻪ ﻓﺮﺳﺘﻨﺪه آن را ﻧﻤﻲﺷﻨﺎﺳﻨﺪ را ﺑﺎز ﻧﻜﻨﻨﺪ‪ .‬ﺑﻪ ﻫﻤﻴﻦ دﻟﻴﻞ‪ ،‬ﺑﺴﻴﺎري از ﻣﺪﻳﺮان‬ ‫ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬اﺟﺎزه ﻧﺼﺐ ﺑﺮﻧﺎﻣﻪ را ﺑﻪ ﻛﺎرﺑﺮان ﺧﻮد ﻧﻤﻲدﻫﻨﺪ‪.‬‬

‫‪98‬‬

‫ﭼﮕﻮﻧﻪ ﺗﺮوﺟﺎن را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻴﻢ؟‬ ‫•‬

‫ﭘﻮرت را ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن ‪ ،Fport ،Netstat‬و ‪ TCPView‬اﺳﻜﻦ ﻛﻨﻴﺪ ﺗﺎ ﭘﻮرتﻫﺎي ﺑﺎز‬ ‫ﻣﺸﻜﻮك را ﭘﻴﺪا ﻛﻨﻴﺪ‪.‬‬

‫•‬

‫ﭘﺮدازشﻫﺎي در ﺣﺎل اﺟﺮا ﺑﺎ اﺳﺘﻔﺎده از ‪ Insider ،What's on my computer ،Process Viewer‬اﺳﻜﻦ‬ ‫ﻛﻨﻴﺪ ﺗﺎ ﭘﺮدازشﻫﺎي ﻣﺸﻜﻮك را ﺑﺒﻴﻨﻴﺪ‪.‬‬

‫•‬

‫ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن ‪ What's on my computer‬و ‪ ،MS Config‬رﺟﻴﺴﺘﺮي را اﺳﻜﻦ ﻛﻨﻴﺪ ﺗﺎ‬ ‫وروديﻫﺎي ﻣﺸﻜﻮك را ﭘﻴﺪا ﻛﻨﻴﺪ‪.‬‬

‫•‬

‫ﻓﻌﺎﻟﻴﺖﻫﺎي ﻣﺸﻜﻮك ﺷﺒﻜﻪ را ﺑﺎ اﺳﺘﻔﺎده از ‪ Ethereal‬اﺳﻜﻦ ﻛﻨﻴﺪ‪.‬‬

‫•‬

‫از ‪Trojan scanner‬ﻫﺎ ﺑﺮاي ﻳﺎﻓﺘﻦ ﺗﺮوﺟﺎنﻫﺎ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬

‫اﺑﺰارﻫﺎي ‪Port-Monitoring and Trojan-Detection‬‬ ‫‪ ،Fport‬ﺗﻤﺎم ﭘﻮرتﻫﺎي ﺑﺎز ‪ TCP‬و ‪ UDP‬را ﻧﺸﺎن ﻣﻲدﻫﺪ‪ .‬ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ از ‪ fport‬ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﭘﻮرتﻫﺎي ﺑﺎز و‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎي ﻣﺮﺑﻮط ﺑﻪ ﻫﺮ ﭘﻮرت اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬ ‫‪ ،Dsniff‬ﻣﺠﻤﻮﻋﻪاي از اﺑﺰارﻫﺎ اﺳﺖ ﻛﻪ ﺑﺮاي ﺑﺮرﺳﻲ ﺷﺒﻜﻪ و ﺗﺴﺖ ﻧﻔﻮذ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪،filesnarf ،Dsniff .‬‬ ‫‪ ،urlsnarf ،msgsnarf ،mailsnarf‬و ‪ WebSpy‬ﺷﺒﻜﻪ را ﺑﺼﻮرت ﭘﺴﻴﻮ ﻣﺎﻧﻴﺘﻮر ﻣﻲﻛﻨﻨﺪ ﺗﺎ دادهﻫﺎ ﻣﻬﻢ از ﻗﺒﻴﻞ‬ ‫ﭘﺴﻮردﻫﺎ‪ ،‬اﻳﻤﻴﻞ‪ ،‬و اﻧﺘﻘﺎﻻت ﻓﺎﻳﻞﻫﺎ را ﭘﻴﺪا ﻛﻨﺪ‪ Sshmitm .‬و ‪ ،webmitm‬ﺣﻤﻼت ‪ man-in-the-middle‬را ﺑﺮاي‬ ‫ﻧﺸﺴﺖﻫﺎي ‪ SSH‬و ‪ HTTP‬ﺑﺮ روي ‪ (HTTPS) SSL‬اﻧﺠﺎم ﻣﻲدﻫﻨﺪ‪.‬‬ ‫‪ ،PrcView‬ﺑﺮﻧﺎﻣﻪ ﻣﺸﺎﻫﺪه ﭘﺮدازشﻫﺎ اﺳﺖ ﻛﻪ اﻃﻼﻋﺎت ﺟﺰﺋﻲ درﺑﺎره ﭘﺮدازشﻫﺎﻳﻲ ﻛﻪ در وﻳﻨﺪوز در ﺣﺎل اﺟﺮا ﻫﺴﺘﻨﺪ‬ ‫را ﻧﺸﺎن ﻣﻲدﻫﺪ‪ ،PrcView .‬ﻧﺴﺨﻪ دﺳﺘﻮري اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﻴﺪ ﺑﺮاي ﻧﻮﺷﺘﻦ اﺳﻜﺮﻳﭙﺖ اﺳﺘﻔﺎده ﻛﻨﻴﺪ ﺗﺎ ﺑﺒﻴﻨﻴﺪ آﻳﺎ‬ ‫ﭘﺮدازﺷﻲ در ﺣﺎل اﺟﺮا اﺳﺖ و ﻳﺎ آن را ﻣﺘﻮﻗﻒ ﺳﺎزﻳﺪ‪.‬‬ ‫‪ ،Inzider‬اﺑﺰاري ﻣﻔﻴﺪ اﺳﺖ ﻛﻪ ﭘﺮدازشﻫﺎي وﻳﻨﺪوز و ﭘﻮرتﻫﺎﻳﻲ ﻛﻪ ﻫﺮ ﻛﺪام ﮔﻮش ﻣﻲدﻫﻨﺪ را ﻟﻴﺴﺖ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،Inzider‬ﺑﺮﺧﻲ از ﺗﺮوﺟﺎنﻫﺎ را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮاي ﻧﻤﻮﻧﻪ ‪ ،BackOriffice‬ﺧﻮد را داﺧﻞ ﭘﺮدازشﻫﺎي دﻳﮕﺮ ﺗﺰرﻳﻖ‬ ‫ﻣﻲﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬در ‪ Task Manager‬ﺑﻪ ﻋﻨﻮان ﭘﺮدازش ﺟﺪاﮔﺎﻧﻪ ﻧﺸﺎن داده ﻧﻤﻲﺷﻮد اﻣﺎ ﭘﻮرﺗﻲ را ﺑﺎز ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﻪ آن‬ ‫ﮔﻮش ﻣﻲدﻫﺪ‪.‬‬ ‫‪ ،TCPView‬ﺑﺮﻧﺎﻣﻪ وﻳﻨﺪوزي اﺳﺖ ﻛﻪ ﻟﻴﺴﺖ ﺗﻤﺎم ‪endpoint‬ﻫﺎي ‪ TCP‬و ‪ UDP‬را در ﺳﻴﺴﺘﻢ ﻧﺸﺎن ﻣﻲدﻫﺪ از ﺟﻤﻠﻪ‬ ‫آدرسﻫﺎي ﻣﺤﻠﻲ و راه دور و وﺿﻌﻴﺖ ارﺗﺒﺎﻃﺎت‪.‬‬ ‫‪99‬‬

‫‪ ،Tripwire‬ﻳﻜﭙﺎرﭼﮕﻲ ﺳﻴﺴﺘﻢ را ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ‪ .‬از ﺗﻤﺎم ﻓﺎﻳﻞﻫﺎي ﻛﻠﻴﺪي ﺳﻴﺴﺘﻢ ﻳﺎ ﻫﺮ ﻓﺎﻳﻠﻲ ﻛﻪ ﺑﺎﻳﺪ ﻣﺎﻧﻴﺘﻮر ﺷﻮد‪،‬‬ ‫‪hash‬ﻫﺎ را ﺑﺼﻮرت ﺧﻮدﻛﺎر ﻣﻲﺳﺎزد‪ .‬ﻧﺮماﻓﺰار ‪ ،Tripwire‬ﺑﺼﻮرت دورهاي آن ﻓﺎﻳﻞﻫﺎ را اﺳﻜﻦ ﻣﻲﻛﻨﺪ و اﻃﻼﻋﺎت را‬ ‫دوﺑﺎره ﻣﺤﺎﺳﺒﻪ ﻣﻲﻛﻨﺪ و ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ ﻛﻪ آﻳﺎ اﻃﻼﻋﺎﺗﻲ ﺗﻐﻴﻴﺮ ﻛﺮده اﺳﺖ ﻳﺎ ﻧﻪ‪ .‬و اﮔﺮ ﺗﻐﻴﻴﺮي ﺣﺎﺻﻞ ﺷﺪه ﺑﺎﺷﺪ‪ ،‬ﭘﻴﻐﺎم‬ ‫ﻫﺸﺪاري ﻣﻲدﻫﺪ‪.‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎ ﻋﺒﺎرﺗﻨﺪ از‪Hijack ،Autoruns ،What's Running ،Super System Helper ،CurrPorts :‬‬ ‫‪.Startup List ،This‬‬

‫ﺑﺮرﺳﻲ ﺳﻴﺴﺘﻢ ﻓﺎﻳﻞ ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﺮوﺟﺎن‬ ‫وﻳﻨﺪوز ﺳﺮور ‪ ،2003‬داراي ﻗﺎﺑﻠﻴﺘﻲ ﺑﻪ ﻧﺎم ‪ (Windows File Protection) WFP‬اﺳﺖ ﻛﻪ از ﺟﺎﻳﮕﺰﻳﻨﻲ‬ ‫ﻓﺎﻳﻞﻫﺎي ﻣﺤﺎﻓﻈﺖ ﺷﺪه ﺟﻠﻮﮔﻴﺮي ﻣﻲﻛﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﺗﻼﺷﻲ ﺑﺮاي ﻧﻮﺷﺘﻦ ﻓﺎﻳﻞ ‪ TTF ،OCX ،DLL ،SYS‬ﻳﺎ ‪EXE‬‬ ‫اﻧﺠﺎم ﻣﻲﺷﻮد‪ ،WFP ،‬ﻳﻜﭙﺎرﭼﮕﻲ ﻓﺎﻳﻞ را ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﺳﺒﺐ ﻣﻲﺷﻮد ﻛﻪ ﻣﻄﻤﺌﻦ ﺷﻮﻳﻢ ﺗﻨﻬﺎ ﻓﺎﻳﻞﻫﺎي ﻣﻮرد‬ ‫ﺗﺎﺋﻴﺪ ﻣﺎﻳﻜﺮوﺳﺎﻓﺖ ﺑﺮاي ﺟﺎﻳﮕﺰﻳﻨﻲ ﻓﺎﻳﻞﻫﺎي ﺳﻴﺴﺘﻤﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫اﺑﺰاري دﻳﮕﺮي ﺑﻪ ﻧﺎم ‪ ،sigverif‬ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ ﻛﻪ ﻛﺪام ﻓﺎﻳﻞﻫﺎي ﻣﺎﻳﻜﺮوﺳﺎﻓﺖ ﺑﺼﻮرت دﻳﺠﻴﺘﺎﻟﻲ اﻣﻀﺎ ﺷﺪهاﻧﺪ‪.‬‬ ‫ﺑﺮاي اﺟﺮاي ‪ ،sigverif‬ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ‪:‬‬ ‫‪ .1‬ﺑﺮ روي دﻛﻤﻪ ‪ Start‬ﻛﻠﻴﻚ ﻛﻨﻴﺪ‪.‬‬ ‫‪ .2‬ﺑﺮ روي ‪ Run‬ﻛﻠﻴﺪ ﻛﻨﻴﺪ‪.‬‬ ‫‪ .3‬دﺳﺘﻮر ‪ sigverif‬را ﺗﺎﻳﭗ ﻛﻨﻴﺪ و ﺑﺮ روي ‪ start‬ﻛﻠﻴﻚ ﻛﻨﻴﺪ‪ .‬ﻧﺘﺎﻳﺞ ﻧﺸﺎن داده ﺧﻮاﻫﺪ ﺷﺪ‪.‬‬ ‫‪ ،System File Checker‬اﺑﺰار دﺳﺘﻮري دﻳﮕﺮي اﺳﺖ ﻛﻪ ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ آﻳﺎ ﺗﺮوﺟﺎن‪ ،‬ﻓﺎﻳﻠﻲ را ﺟﺎﻳﮕﺰﻳﻦ ﻛﺮده‬ ‫اﺳﺖ ﻳﺎ ﻧﻪ‪ .‬اﮔﺮ اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﺗﺸﺨﻴﺺ دﻫﺪ ﻛﻪ ﻓﺎﻳﻠﻲ ﺗﻐﻴﻴﺮ ﻛﺮده اﺳﺖ‪ ،‬ﻓﺎﻳﻞ ﻣﻨﺎﺳﺐ را از ﭘﻮﺷﻪ‬ ‫‪ Windows\system32\dllcache‬ﺑﺎزﻳﺎﺑﻲ ﻣﻲﻛﻨﺪ و ‪ overwrite‬ﻣﻲﻛﻨﺪ‪ .‬دﺳﺘﻮر اﺟﺮاي ‪،System File Checker‬‬ ‫ﺑﺼﻮرت ‪ sfc/scannow‬اﺳﺖ‪.‬‬ ‫ﺑﺮﺧﻲ از ﻧﺮماﻓﺰارﻫﺎي آﻧﺘﻲ ﺗﺮوﺟﺎن ﻋﺒﺎرﺗﻨﺪ از‪،XoftspySE ،Comodo BOClean ،TrojanHunter :‬‬ ‫‪.SPYWAREfighter ،Spyware Doctor‬‬

‫‪100‬‬

‫وﻳﺮوسﻫﺎ و ‪worm‬ﻫﺎ‬ ‫وﻳﺮوسﻫﺎ و ‪worm‬ﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺮاي آﻟﻮده ﻛﺮدن ﻳﻚ ﺳﻴﺴﺘﻢ و اﻳﺠﺎد ﺗﻐﻴﻴﺮات در آن ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﺮاي‬ ‫ﻫﻜﺮ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪ .‬ﺑﺴﻴﺎري از وﻳﺮوسﻫﺎ و ‪worm‬ﻫﺎ‪ ،‬ﺗﺮوﺟﺎنﻫﺎ و ‪backdoor‬ﻫﺎ را دارﻧﺪ‪ .‬در اﻳﻦ روش‪ ،‬ﻳﻚ وﻳﺮوس ﻳﺎ‬ ‫‪ ،worm‬ﺣﺎﻣﻞ ﻫﺴﺘﻨﺪ ﻛﻪ ﻛﺪﻫﺎي ﻣﺨﺮب ﻫﻤﭽﻮن ﺗﺮوﺟﺎنﻫﺎ و ‪backdoor‬ﻫﺎ را از ﺳﻴﺴﺘﻤﻲ ﺑﻪ ﺳﻴﺴﺘﻢ دﻳﮕﺮي اﻧﺘﻘﺎل‬ ‫ﻣﻲدﻫﻨﺪ‪.‬‬

‫ﺗﻔﺎوت ﺑﻴﻦ وﻳﺮوس و ‪worm‬‬ ‫ﺗﺸﺎﺑﻪ وﻳﺮوس و ‪ worm‬اﻳﻦ اﺳﺖ ﻛﻪ ﻫﺮ دو ﺟﺰ ﻧﺮماﻓﺰارﻫﺎي ﻣﺨﺮب )‪ (malware‬ﻫﺴﺘﻨﺪ‪ .‬وﻳﺮوس‪ ،‬ﺑﺮﻧﺎﻣﻪ اﺟﺮاﻳﻲ‬ ‫دﻳﮕﺮي را آﻟﻮده ﻣﻲﻛﻨﺪ و از اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﺑﺮاي اﻧﺘﺸﺎر ﺧﻮد اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﻛﺪ وﻳﺮوس داﺧﻞ ﺑﺮﻧﺎﻣﻪ ﺗﺰرﻳﻖ ﻣﻲﺷﻮد و‬ ‫زﻣﺎﻧﻴﻜﻪ ﺑﺮﻧﺎﻣﻪ اﺟﺮا ﻣﻲﺷﻮد‪ ،‬اﻧﺘﺸﺎر ﻣﻲﻳﺎﺑﺪ‪ .‬ﻣﺜﺎﻟﻲ از ﺑﺮﻧﺎﻣﻪﻫﺎي ﺣﺎﻣﻞ وﻳﺮوس ﻋﺒﺎرﺗﻨﺪ از‪ :‬ﻣﺎﻛﺮوﻫﺎ‪ ،‬ﺑﺎزيﻫﺎ‪ ،‬ﺿﻤﺎﻳﻢ‬ ‫اﻳﻤﻴﻞ‪ ،‬اﺳﻜﺮﻳﭙﺖﻫﺎي وﻳﮋوال ﺑﻴﺴﻴﻚ و اﻧﻴﻤﺸﻦﻫﺎ‪.‬‬

‫‪101‬‬

‫ﺑﺴﻴﺎري از وﻳﺮوس داراي دو ﻣﺮﺣﻠﻪ ﻫﺴﺘﻨﺪ‪ :‬ﻣﺮﺣﻠﻪ آﻟﻮده ﺳﺎزي )‪ (Infection‬و ﻣﺮﺣﻠﻪ ﺣﻤﻠﻪ )‪.(Attack‬‬ ‫ﺗﺼﻮﻳﺮ زﻳﺮ ﻃﺮز ﻛﺎر وﻳﺮوس در ﻣﺮﺣﻠﻪ آﻟﻮده ﺳﺎزي را ﻧﺸﺎن ﻣﻲدﻫﺪ ﻛﻪ ﻓﺎﻳﻞ ‪ EXE‬را ﺑﺮاي آﻟﻮده ﻛﺮدن ﺑﺮﻧﺎﻣﻪﻫﺎ‪،‬‬ ‫ﺿﻤﻴﻤﻪ ﻣﻲﻛﻨﺪ‪:‬‬

‫در ﺗﺼﻮﻳﺮ زﻳﺮ ﻧﻴﺰ ﻛﻪ ﻣﺮﺑﻮط ﺑﻪ ﻣﺮﺣﻠﻪ ﺣﻤﻠﻪ اﺳﺖ‪ ،‬ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﻪ دﻟﻴﻞ ‪ fragment‬ﺷﺪن‪ ،‬ﺧﺎﻣﻮش ﻣﻲﺷﻮد‪:‬‬

‫‪102‬‬

‫ﻧﺸﺎﻧﻪﻫﺎي ﺣﻤﻠﻪ وﻳﺮوس ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬

‫ﻓﺮآﻳﻨﺪﻫﺎ زﻣﺎن ﮔﻴﺮ ﻫﺴﺘﻨﺪ و ﻣﻨﺎﺑﻊ و زﻣﺎن ﺑﻴﺸﺘﺮي را ﺻﺮف ﻣﻲﻛﻨﻨﺪ‬

‫•‬

‫ﻣﺸﻜﻼت ﺧﺎص ﺳﺨﺖاﻓﺰاري‬

‫•‬

‫اﮔﺮ ﻟﻴﺒﻞ ﻳﻜﻲ از دارﻳﻮﻫﺎ ﺗﻐﻴﻴﺮ ﻛﻨﺪ‬

‫•‬

‫اﮔﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺷﻤﺎ ﻣﺮﺗﺒﺎ ﻫﻨﮓ ﻣﻲﻛﻨﺪ و ﭘﻴﻐﺎمﻫﺎي ﺧﻄﺎ ﻣﻲدﻫﺪ‬

‫•‬

‫زﻣﺎﻧﻴﻜﻪ ﺑﺮﻧﺎﻣﻪﻫﺎ در ﺣﺎل اﺟﺮا ﻫﺴﺘﻨﺪ‪ ،‬ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺴﻴﺎر ﻛﻨﺪ اﺳﺖ‬

‫•‬

‫ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺑﺎﻻ ﻧﻤﻲآﻳﺪ‬

‫•‬

‫ﻓﺎﻳﻞﻫﺎ و ﻓﻮﻟﺪرﻫﺎ ﺑﺼﻮرت ﻧﺎﮔﻬﺎﻧﻲ ﻧﺎﭘﺪﻳﺪ ﻣﻲﺷﻮﻧﺪ ﻳﺎ ﻣﺤﺘﻮاي آﻧﻬﺎ ﺗﻐﻴﻴﺮ ﻣﻲﻛﻨﺪ‬

‫•‬

‫‪ ،Internet Explorer‬ﻫﻨﮓ ﻣﻲﻛﻨﺪ‬

‫•‬

‫دوﺳﺖ ﺷﻤﺎ اﻋﻼم ﻣﻲﻛﻨﺪ ﻛﻪ ﭘﻴﺎﻣﻲ از ﺷﻤﺎ درﻳﺎﻓﺖ ﻛﺮده اﺳﺖ اﻣﺎ ﺷﻤﺎ ﻫﺮﮔﺰ ﻫﻤﭽﻴﻦ ﭘﻴﺎمﻫﺎ را ارﺳﺎل‬ ‫ﻧﻜﺮدهاﻳﺪ‬ ‫‪ ،worm‬ﻧﻮﻋﻲ وﻳﺮوس اﺳﺖ ﺑﺎ اﻳﻦ ﺗﻔﺎوت ﻛﻪ ﺧﻮد را ﻣﻨﺘﺸﺮ ﻣﻲﻛﻨﺪ‪ ،worm .‬ﺧﻮد را ﺑﺼﻮرت ﺧﻮدﻛﺎر از‬

‫ﺳﻴﺴﺘﻤﻲ ﺑﻪ ﺳﻴﺴﺘﻢ دﻳﮕﺮ ﻣﻨﺘﺸﺮ ﻣﻲﻛﻨﺪ اﻣﺎ وﻳﺮوس ﺑﺮاي اﻧﺘﺸﺎر ﺧﻮد ﻧﻴﺎز ﺑﻪ ﺑﺮﻧﺎﻣﻪ دﻳﮕﺮي دارد‪ .‬وﻳﺮوس و ‪ worm‬ﻫﺮ‬ ‫دو ﺑﺪون داﻧﺶ ﻳﺎ اﻃﻼع ﻛﺎرﺑﺮ اﺟﺮا ﻣﻲﺷﻮﻧﺪ‪.‬‬

‫‪103‬‬

‫اﻧﻮاع وﻳﺮوس‬ ‫وﻳﺮوسﻫﺎ ﺑﺮ ﺣﺴﺐ دو ﻓﺎﻛﺘﻮر دﺳﺘﻪ ﺑﻨﺪي ﻣﻲﺷﻮﻧﺪ‪ :‬ﭼﻪ ﭼﻴﺰي و ﭼﮕﻮﻧﻪ آﻟﻮده ﻣﻲﻛﻨﻨﺪ‪ .‬وﻳﺮوس ﻣﻲﺗﻮاﻧﺪ ﻋﻨﺎﺻﺮ‬ ‫زﻳﺮ را در ﺳﻴﺴﺘﻢ آﻟﻮده ﻛﻨﺪ‪:‬‬ ‫•‬

‫ﺳﻜﺘﻮرﻫﺎي ﺳﻴﺴﺘﻢ‬

‫•‬

‫ﻓﺎﻳﻞﻫﺎ‬

‫•‬

‫ﻣﺎﻛﺮوﻫﺎ‬

‫•‬

‫ﻓﺎﻳﻞﻫﺎي ﺳﻴﺴﺘﻤﻲ ﻫﻤﭽﻮن ‪ DLL‬و ‪INI‬‬

‫•‬

‫ﻛﻼﺳﺘﺮﻫﺎي دﻳﺴﻚ‬

‫•‬

‫ﻓﺎﻳﻞﻫﺎي دﺳﺘﻪاي )ﻓﺎﻳﻞﻫﺎي ‪(BAT‬‬

‫•‬

‫ﻛﺪ ﻣﻨﺒﻊ )‪(Source code‬‬

‫ﭼﮕﻮﻧﻪ وﻳﺮوس ﮔﺴﺘﺮش ﻣﻲﻳﺎﺑﺪ و ﺳﻴﺴﺘﻢ را آﻟﻮده ﻣﻲﻛﻨﺪ‬ ‫وﻳﺮوسﻫﺎ ﺑﺮ ﺣﺴﺐ ﺗﻜﻨﻴﻚ آﻟﻮده ﺳﺎزي ﺧﻮد ﺑﻪ اﻧﻮاع زﻳﺮ دﺳﺘﻪ ﺑﻨﺪي ﻣﻲﺷﻮﻧﺪ‪:‬‬ ‫وﻳﺮوسﻫﺎي ‪) polymorphic‬ﭼﻨﺪ رﻳﺨﺘﻲ(‪ :‬اﻳﻦ وﻳﺮوسﻫﺎ‪ ،‬ﻛﺪ را ﺑﻪ ﺷﻜﻞ دﻳﮕﺮي رﻣﺰﮔﺬاري ﻣﻲﻛﻨﻨﺪ و ﻣﻲﺗﻮاﻧﻨﺪ‬ ‫ﺑﻪ ﺷﻜﻞﻫﺎي ﻣﺨﺘﻠﻒ ﺗﻐﻴﻴﺮ ﻛﻨﻨﺪ ﺗﺎ از ﺷﻨﺎﺳﺎﻳﻲ ﺷﺪن ﺟﻠﻮﮔﻴﺮي ﻛﻨﻨﺪ‪.‬‬ ‫وﻳﺮوسﻫﺎي ‪ :Stealth‬اﻳﻨﻬﺎ‪ ،‬وﻳﮋﮔﻲﻫﺎي ﻃﺒﻴﻌﻲ وﻳﺮوس را ﻣﺨﻔﻲ ﻣﻲﻛﻨﻨﺪ از ﻗﺒﻴﻞ ﺳﺎﻋﺖ و ﺗﺎرﻳﺦ اﺻﻠﻲ ﻓﺎﻳﻞ‪،‬‬ ‫ﺑﻨﺎﺑﺮاﻳﻦ از ﺷﻨﺎﺳﺎﻳﻲ وﻳﺮوس ﺑﻪ ﻋﻨﻮان ﻓﺎﻳﻞ ﺟﺪﻳﺪ در ﺳﻴﺴﺘﻢ ﺟﻠﻮﮔﻴﺮي ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫‪ :Sparse infector‬اﻳﻦ وﻳﺮوسﻫﺎ‪ ،‬ﺗﻨﻬﺎ ﺑﻌﻀﻲ از ﺳﻴﺴﺘﻢﻫﺎ ﻳﺎ ﺑﺮﻧﺎﻣﻪﻫﺎ را آﻟﻮده ﻣﻲﻛﻨﻨﺪ‪.‬‬

‫وﻳﺮوسﻫﺎي ‪ :Armored‬اﻳﻦ وﻳﺮوسﻫﺎ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺷﻨﺎﺳﺎﻳﻲ‪ ،‬رﻣﺰﮔﺬاري ﺷﺪهاﻧﺪ‪.‬‬ ‫‪104‬‬

‫وﻳﺮوسﻫﺎي ‪ :Cavity‬اﻳﻦ وﻳﺮوسﻫﺎ ﺑﻪ ﻧﻮاﺣﻲ ﺧﺎﻟﻲ ﻓﺎﻳﻞﻫﺎ ﻣﻲﭼﺴﺒﺪ ﺑﻨﺎﺑﺮاﻳﻦ اﻧﺪازه ﻓﺎﻳﻞ را اﻓﺰاﻳﺶ ﻧﻤﻲدﻫﻨﺪ‪.‬‬

‫وﻳﺮوسﻫﺎي ‪ :Tunneling‬اﻳﻦ وﻳﺮوسﻫﺎ‪ ،‬از ﻃﺮﻳﻖ ﻳﻚ ﭘﺮوﺗﻜﻞ ﻣﺨﺘﻠﻒ ﻳﺎ رﻣﺰ ﺷﺪه ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺷﻨﺎﺳﺎﻳﻲ ﻳﺎ‬ ‫ﺑﺮاي ﻋﺒﻮر از ﻓﺎﻳﺮوال ارﺳﺎل ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫وﻳﺮوس ‪) Companion‬ﻫﻤﺮاه(‪ :‬اﻳﻦ وﻳﺮوسﻫﺎ‪ ،‬ﺑﺮاي ﻫﺮ ﻓﺎﻳﻞ اﺟﺮاﻳﻲ‪ ،‬ﻳﻚ ﻓﺎﻳﻞ ﻫﻤﺮاه ﻣﻲﺳﺎزﻧﺪ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻳﻚ‬ ‫وﻳﺮوس ‪ ،companion‬ﻣﻤﻜﻦ اﺳﺖ ﺧﻮد را ﺑﺎ ﻧﺎم ‪ notepad.com‬ذﺧﻴﺮه ﻛﻨﺪ و ﻫﺮ زﻣﺎن ﻛﻪ ﻛﺎرﺑﺮ ﺑﺮﻧﺎﻣﻪ ‪notepad.exe‬‬ ‫را اﺟﺮا ﻛﺮد‪ ،‬ﻛﺎﻣﭙﻴﻮﺗﺮ‪) notepad.com ،‬وﻳﺮوس( را اﺟﺮا ﻣﻲﻛﻨﺪ و ﺳﻴﺴﺘﻢ را آﻟﻮده ﻣﻲﻛﻨﺪ‪.‬‬

‫وﻳﺮوسﻫﺎي ‪) Camouflage‬اﺳﺘﺘﺎر(‪ :‬اﻳﻦ وﻳﺮوسﻫﺎ ﺑﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎي دﻳﮕﺮ‪ ،‬ﻇﺎﻫﺮ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫وﻳﺮوسﻫﺎي ‪ :Bootable CD-ROM‬اﻳﻦ وﻳﺮوسﻫﺎ‪ ،‬زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ از ﻃﺮﻳﻖ ‪ CD-ROM‬راهاﻧﺪازي ﻣﻲﺷﻮد‪،‬‬ ‫دادهﻫﺎي ﻫﺎرد دﻳﺴﻚ را ﺧﺮاب ﻣﻲﻛﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ را ﺑﺎ اﺳﺘﻔﺎده از ‪ CD-ROM‬راهاﻧﺪازي ﻣﻲﻛﻨﻴﺪ‪ ،‬ﺗﻤﺎم دادهﻫﺎ‬ ‫از ﺑﻴﻦ ﻣﻲروﻧﺪ‪ .‬آﻧﺘﻲ وﻳﺮوس ﻧﻤﻲﺗﻮاﻧﺪ آن را ﻣﺘﻮﻗﻒ ﻛﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﺳﻴﺴﺘﻢ از ﻃﺮﻳﻖ ‪ CD-ROM‬راهاﻧﺪازي ﺷﺪه‬ ‫اﺳﺖ‪.‬‬

‫‪105‬‬

‫وﻳﺮوسﻫﺎي ‪ NTFS‬و ‪ :Active Directory‬اﻳﻦ وﻳﺮوسﻫﺎ‪ ،‬ﺳﻴﺴﺘﻢ ﻓﺎﻳﻞ ‪ NTFS‬ﻳﺎ ‪ Active Directory‬را ﺑﺮ روي‬ ‫ﺳﻴﺴﺘﻢﻫﺎي وﻳﻨﺪوزي ﻣﻮرد ﺣﻤﻠﻪ ﻗﺮار ﻣﻲدﻫﺪ‪.‬‬

‫ﻣﺜﺎﻟﻲ از ﻳﻚ وﻳﺮوس ﺳﺎده‬ ‫ﻳﻚ ﻓﺎﻳﻞ دﺳﺘﻪاي )‪ (batch file‬ﺑﻪ ﻧﺎم ‪ Game.bat‬ﺑﺎ ﻣﺘﻦ زﻳﺮ ﺑﺴﺎزﻳﺪ‪:‬‬ ‫‪@ echo off‬‬ ‫*‪Del c:\winnt\system32\*.‬‬ ‫*‪Del c:\winnt\*.‬‬ ‫ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار ‪ ،bat2com‬آن را ﺑﻪ ‪ Game.com‬ﺗﻐﻴﻴﺮ دﻫﻴﺪ و آن را از ﻃﺮﻳﻖ اﻳﻤﻴﻞ ﺑﻪ ﻗﺮﺑﺎﻧﻲ ارﺳﺎل ﻛﻨﻴﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ‬ ‫ﻗﺮﺑﺎﻧﻲ آن را اﺟﺮا ﻛﻨﺪ‪ ،‬ﺗﻤﺎم ﻓﺎﻳﻞﻫﺎي اﺻﻠﻲ ﻣﻮﺟﻮد در داﻳﺮﻛﺘﻮري ‪ WINNT‬را ﭘﺎك ﻣﻲﻛﻨﺪ و وﻳﻨﺪوز ﻏﻴﺮ ﻗﺎﺑﻞ‬ ‫اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬

‫اﺑﺰارﻫﺎي ﺳﺎﺧﺖ ﺗﺮوﺟﺎن‬ ‫اﺑﺰارﻫﺎي زﻳﺎدي ﺑﺮاي ﺳﺎﺧﺖ وﻳﺮوس وﺟﻮد دارد‪ .‬ﺑﺮﺧﻲ از اﻳﻦ اﺑﺰارﻫﺎ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪Kefi's HTML Virus Construction Kit‬‬ ‫‪Virus Creation Laboratory v1.0‬‬ ‫‪The Smeg Virus Construction Kit‬‬ ‫‪Rajaat's Tiny Flexible Mutator v1.1‬‬ ‫‪Windows Virus Creation Kit v1.00‬‬

‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬

‫ﺗﻜﻨﻴﻚﻫﺎي دور زدن آﻧﺘﻲ وﻳﺮوس‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ اﺳﻜﺮﻳﭙﺖ ﻳﺎ وﻳﺮوﺳﻲ ﺑﻨﻮﻳﺴﺪ ﻛﻪ ﺗﻮﺳﻂ ﻧﺮماﻓﺰار آﻧﺘﻲ وﻳﺮوس ﻗﺎﺑﻞ ﺷﻨﺎﺳﺎﻳﻲ ﻧﺒﺎﺷﺪ‪ .‬ﺷﻨﺎﺳﺎﻳﻲ و‬ ‫ﭘﺎك ﻛﺮدن وﻳﺮوس‪ ،‬ﺑﺮ اﺳﺎس اﻣﻀﺎي ﺑﺮﻧﺎﻣﻪ اﺳﺖ‪ .‬ﺗﺎ زﻣﺎﻧﻴﻜﻪ وﻳﺮوس ﺷﻨﺎﺳﺎﻳﻲ ﻧﺸﻮد و ﺷﺮﻛﺖ ﺗﻮﻟﻴﺪ ﻛﻨﻨﺪه آﻧﺘﻲ‬ ‫وﻳﺮوس‪ ،‬ﻧﺮماﻓﺰار را آﭘﺪﻳﺖ ﻧﻜﻨﺪ‪ ،‬وﻳﺮوس ﺑﻪ ﺻﻮرت ﻧﺎﺷﻨﺎس ﺑﺎﻗﻲ ﻣﻲﻣﺎﻧﺪ‪ .‬اﻳﻦ اﻣﺮ ﺳﺒﺐ ﻣﻲﺷﻮد ﻛﻪ ﻫﻜﺮ ﺑﺘﻮاﻧﺪ ﺑﺮاي‬ ‫ﻣﺪﺗﻲ از دﺳﺖ ﺷﻨﺎﺳﺎﻳﻲ و ﺣﺬف ﺗﻮﺳﻂ آﻧﺘﻲ وﻳﺮوس در اﻣﺎن ﺑﻤﺎﻧﺪ‪.‬‬

‫‪106‬‬

‫روشﻫﺎي ﺷﻨﺎﺳﺎﻳﻲ وﻳﺮوس‬ ‫ﺗﻜﻨﻴﻚﻫﺎي زﻳﺮ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ وﻳﺮوسﻫﺎ اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪:‬‬ ‫•‬

‫اﺳﻜﻦ ﻛﺮدن‬

‫•‬

‫ﺑﺮرﺳﻲ ﻳﻜﭙﺎرﭼﮕﻲ ﺑﺎ ‪ checksum‬ﻫﺎ‬

‫•‬

‫ﻣﺸﺎﻫﺪه ﺑﺮ ﻣﺒﻨﺎي اﻣﻀﺎي وﻳﺮس )‪(virus signature‬‬

‫ﻓﺮآﻳﻨﺪ ﺗﺸﺨﻴﺺ و ﺣﺬف وﻳﺮوس ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪ .1‬ﺣﻤﻠﻪ وﻳﺮوس را ﺗﺸﺨﻴﺺ دﻫﻴﺪ‪ .‬ﺗﻤﺎم رﻓﺘﺎرﻫﺎي ﻏﻴﺮ ﻋﺎدي ﻧﺸﺎن دﻫﻨﺪه وﻳﺮوس ﻧﻴﺴﺘﻨﺪ‪.‬‬ ‫‪ .2‬ﭘﺮدازشﻫﺎ را ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن ‪ ،netstat.exe ،fport.exe ،listdlls.exe ،handle.exe‬و‬ ‫‪ pslist.exe‬ردﮔﻴﺮي ﻛﻨﻴﺪ‪.‬‬ ‫‪ .3‬ﺑﺎر وﻳﺮوس را ﺑﺎ ﺑﺮرﺳﻲ ﻓﺎﻳﻞﻫﺎي ﭘﺎك ﺷﺪه‪ ،‬ﺟﺎﻳﮕﺰﻳﻦ ﺷﺪه‪ ،‬و ﺗﻐﻴﻴﺮ ﻳﺎﻓﺘﻪ ﺗﺸﺨﻴﺺ دﻫﻴﺪ‪ .‬ﻓﺎﻳﻞﻫﺎي ﺟﺪﻳﺪ‪،‬‬ ‫اﺗﺮﺑﻴﻮتﻫﺎي ﻓﺎﻳﻞ ﺗﻐﻴﻴﺮ داده ﺷﺪه را ﺑﺮرﺳﻲ ﻛﻨﻴﺪ‪.‬‬ ‫‪ .4‬ﻣﺴﻴﺮ آﻟﻮده ﺳﺎزي آن را ﺑﺪﺳﺖ آورﻳﺪ و آن را اﻳﺰوﻟﻪ ﻛﻨﻴﺪ‪ .‬ﺳﭙﺲ‪ ،‬آﻧﺘﻲ وﻳﺮوسﺗﺎن را ﺑﻪ روز رﺳﺎﻧﻲ ﻛﻨﻴﺪ و‬ ‫ﺗﻤﺎم ﺳﻴﺴﺘﻢﻫﺎ را ﻣﺠﺪدا اﺳﻜﻦ ﻛﻨﻴﺪ‪.‬‬

‫ﺑﺎ ﺗﺎﻳﭗ ﻛﺪ زﻳﺮ در ﻳﻚ ﻓﺎﻳﻞ ‪ Notepad‬و ذﺧﻴﺮه آن ﺑﺎ ﻧﺎم ‪ ،EICAR.COM‬ﻣﻲﺗﻮاﻧﻴﺪ ﻳﻚ وﻳﺮوس آزﻣﺎﻳﺸﻲ اﻳﺠﺎد‬ ‫ﻛﻨﻴﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﺑﺨﻮاﻫﻴﺪ آن را اﺟﺮا ﻳﺎ ﻛﭙﻲ ﻛﻨﻴﺪ‪ ،‬ﺑﺎﻳﺪ آﻧﺘﻲ وﻳﺮوس ﺷﻤﺎ ﭘﻴﻐﺎم دﻫﺪ‪.‬‬ ‫*‪X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H‬‬

‫‪107‬‬

‫ﻓﺼﻞ ﺷﺸﻢ‬

‫‪ Sniffer‬ﻫﺎ‬

‫ﻣﻘﺪﻣﻪ‬ ‫‪ ،Sniffer‬اﺑﺰاري ﺑﺮاي ﺑﺪﺳﺖ آوردن ﺑﺴﺘﻪ ﻳﺎ ﻓﺮﻳﻢ اﺳﺖ‪ .‬ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ را اﺳﺘﺮاق ﺳﻤﻊ ﻣﻲﻛﻨﺪ و آﻧﻬﺎ را ﺑﻪ‬ ‫ﺻﻮرت ﺧﻂ دﺳﺘﻮري ﻳﺎ ﮔﺮاﻓﻴﻜﻲ ﺑﻪ ﻫﻜﺮ ﻧﺸﺎن ﻣﻲدﻫﺪ‪ .‬ﺑﻌﻀﻲ از ‪sniffer‬ﻫﺎي ﭘﻴﺸﺮﻓﺘﻪ‪ ،‬ﺑﺴﺘﻪﻫﺎ را اﺳﺘﺮاق ﺳﻤﻊ‬ ‫ﻣﻲﻛﻨﻨﺪ و ﻣﻲﺗﻮاﻧﻨﺪ دوﺑﺎره آﻧﻬﺎ را ﻛﻨﺎر ﻳﻜﺪﻳﮕﺮ ﻗﺮار دﻫﻨﺪ و ﻣﺘﻦ ﻳﺎ اﻳﻤﻴﻞ اﺻﻠﻲ را ﺗﺸﻜﻴﻞ دﻫﻨﺪ‪.‬‬ ‫‪Sniffer‬ﻫﺎ ﺑﺮاي ﺑﺪﺳﺖ آوردن ﺗﺮاﻓﻴﻚ ارﺳﺎل ﺷﺪه ﺑﻴﻦ دو ﺳﻴﺴﺘﻢ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲﮔﻴﺮﻧﺪ‪ .‬ﺑﺴﺘﻪ ﺑﻪ ﻧﺤﻮه‬ ‫اﺳﺘﻔﺎده از ‪ sniffer‬و ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از ‪ sniffer‬ﺑﺮاي ﻛﺸﻒ ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي‪ ،‬ﭘﺴﻮردﻫﺎ‪ ،‬و دﻳﮕﺮ‬ ‫اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ ارﺳﺎل ﺷﺪه در ﺷﺒﻜﻪ‪ ،‬اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬ﺑﺴﻴﺎري از ﺣﻤﻼت ﻫﻚ و ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي ﻫﻚ‪ ،‬ﺑﺮاي ﺑﺪﺳﺖ‬ ‫آوردن اﻃﻼﻋﺎت ﻣﻬﻢ ﻓﺮﺳﺘﺎده ﺷﺪه از ﺳﻴﺴﺘﻢ ﻫﺪف‪ ،‬ﻧﻴﺎز ﺑﻪ ‪ sniffer‬دارﻧﺪ‪ .‬در اﻳﻦ ﻓﺼﻞ در ﻣﻮرد ﻧﺤﻮه ﻛﺎر ‪sniffer‬ﻫﺎ و‬ ‫ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي راﻳﺞ ‪ sniffer‬را ﺗﻮﺿﻴﺢ ﺧﻮاﻫﻴﻢ داد‪.‬‬

‫ﭘﺮوﺗﻜﻞﻫﺎي ﻣﺴﺘﻌﺪ ﺑﺮاي اﺳﺘﺮاق ﺳﻤﻊ‬ ‫ﻧﺮماﻓﺰار ‪ ،sniffer‬ﺑﺮاي ﺑﺪﺳﺖ آوردن ﺑﺴﺘﻪﻫﺎﻳﻲ اﺳﺖ ﻛﻪ ﺑﺠﺎي ارﺳﺎل ﺑﻪ ‪ MAC address‬ﺳﻴﺴﺘﻢ‪ ،‬ﺑﻪ ‪MAC‬‬ ‫‪ address‬ﻫﺪف‪ ،‬ارﺳﺎل ﻣﻲﺷﻮﻧﺪ‪ .‬اﻳﻦ ﻋﻤﻞ‪ ،‬ﺣﺎﻟﺖ ﺑﻲﻗﺎﻋﺪه )‪ (promiscuous mode‬ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد‪ .‬در ﺣﺎﻟﺖ ﻃﺒﻴﻌﻲ‪،‬‬ ‫ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﺮ روي ﺷﺒﻜﻪ‪ ،‬ﺗﻨﻬﺎ ﺗﺮاﻓﻴﻜﻲ ﻛﻪ ﺑﻄﻮر ﻣﺴﺘﻘﻴﻢ ﺑﻪ آن ‪ MAC address‬ارﺳﺎل ﻣﻲﺷﻮد‪ ،‬را ﻣﻲﺧﻮاﻧﺪ و ﭘﺎﺳﺦ‬ ‫ﻣﻲدﻫﺪ‪ .‬در ﺣﺎﻟﺖ ﺑﻲﻗﺎﻋﺪه )‪ ،(promiscuous mode‬ﺳﻴﺴﺘﻢ ﺗﻤﺎم ﺗﺮاﻓﻴﻚ را ﻣﻲﺧﻮاﻧﺪ و آﻧﻬﺎ را ﺑﺮاي ﭘﺮدازش ﺑﻪ‬ ‫‪ sniffer‬ﻣﻲﻓﺮﺳﺘﺪ‪ .‬ﺑﺎ ﻧﺼﺐ ﻧﺮماﻓﺰار دراﻳﻮر ﻣﺨﺼﻮص‪ ،‬ﺣﺎﻟﺖ ﺑﻲﻗﺎﻋﺪه )‪ (promiscuous mode‬ﺑﺮ روي ﻛﺎرت ﺷﺒﻜﻪ‬ ‫ﻓﻌﺎل ﻣﻲﺷﻮد‪ .‬ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي ﻫﻚ ﺑﺮاي اﺳﺘﺮاق ﺳﻤﻊ‪ ،‬داراي دراﻳﻮر ‪ promiscuous-mode‬ﺑﺮاي ﺗﺴﻬﻴﻞ اﻳﻦ‬ ‫ﻓﺮآﻳﻨﺪ ﻫﺴﺘﻨﺪ‪.‬‬ ‫ﭘﺮوﺗﻜﻞﻫﺎﻳﻲ ﻛﻪ دادهﻫﺎ را رﻣﺰﮔﺬاري ﻧﻤﻲﻛﻨﻨﺪ‪ ،‬ﻣﺴﺘﻌﺪ ‪ sniffing‬ﻫﺴﺘﻨﺪ‪ .‬ﭘﺮوﺗﻜﻞﻫﺎﻳﻲ ﻫﻤﭽﻮن ‪،HTTP‬‬ ‫‪ ،SNMP ،POP3‬و ‪ FTP‬ﺑﺎ اﺳﺘﻔﺎده از ‪ ،sniffer‬ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺪﺳﺖ آﻳﻨﺪ و ﺑﺮاي ﻫﻜﺮ ﻧﻤﺎﻳﺶ داده ﺷﻮﻧﺪ ﺗﺎ اﻃﻼﻋﺎت ﺑﺎ‬ ‫ارزﺷﻲ ﻫﻤﭽﻮن ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎ را ﺟﻤﻊآوري ﻛﻨﺪ‪.‬‬

‫‪109‬‬

‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Ethereal‬ﻳﻚ ‪ sniffer‬راﻳﮕﺎن اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ از ﺷﺒﻜﻪﻫﺎي ﻛﺎﺑﻠﻲ ﻳﺎ واﻳﺮﻟﺲ‪ ،‬ﺑﺴﺘﻪﻫﺎ را ﺑﺪﺳﺖ آورد‪ .‬آﺧﺮﻳﻦ ﻧﺴﺨﻪ‬ ‫اﻳﻦ ﻧﺮماﻓﺰار ﺑﻪ ‪ WireShark‬ﺗﻐﻴﺮ ﻧﺎم ﻳﺎﻓﺘﻪ اﺳﺖ‪ ،Ethereal .‬ﺑﺴﻴﺎر راﻳﺞ و ﻣﺤﺒﻮب اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ راﻳﮕﺎن اﺳﺖ اﻣﺎ‬ ‫ﻣﺸﻜﻼﺗﻲ ﻫﻢ دارد‪ .‬ﺑﺮاي ﻛﺎرﺑﺮي ﻛﻪ آﻣﻮزش ﻧﺪﻳﺪه‪ ،‬ﻧﻮﺷﺘﻦ ﻓﻴﻠﺘﺮ در اﻳﻦ ﻧﺮماﻓﺰار ﺑﺮاي ﺑﺪﺳﺖ آوردن اﻧﻮاع ﺧﺎﺻﻲ از‬ ‫ﺗﺮاﻓﻴﻚ دﺷﻮار اﺳﺖ‪.‬‬ ‫‪ ،Snort‬ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ )‪ (IDS‬اﺳﺖ ﻛﻪ داراي ﻗﺎﺑﻠﻴﺖﻫﺎي اﺳﺘﺮاق ﺳﻤﻊ ﻧﻴﺰ ﻫﺴﺖ‪ .‬و ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي‬ ‫ﺷﻨﺎﺳﺎﻳﻲ اﻧﻮاع ﻣﺨﺘﻠﻒ ﺣﻤﻼت از ﻗﺒﻴﻞ ‪ ،buffer overflow‬ﺣﻤﻼت ‪Server Message Block (SMB) ،CGI‬‬ ‫‪ ،probes‬و ‪ OS fingerprinting‬اﺳﺘﻔﺎده ﺷﻮد‪.‬‬ ‫‪ ،WinDump‬ﻧﺴﺨﻪ وﻳﻨﺪوزي ‪ tcpdump‬اﺳﺖ ﻛﻪ ﻧﺮماﻓﺰار آﻧﺎﻟﻴﺰ ﺷﺒﻜﻪ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﻮﻧﻴﻜﺲ اﺳﺖ‪.‬‬ ‫‪ ،WinDump‬ﻛﺎﻣﻼ ﺑﺎ ‪ tcpdump‬ﺳﺎزﮔﺎر اﺳﺖ و ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي اﺳﺎس ‪ rule‬ﻫﺎي ﻣﺨﺘﻠﻒ‪ ،‬ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ را ﺗﺸﺨﻴﺺ‬ ‫دﻫﺪ و ذﺧﻴﺮه ﻛﻨﺪ‪.‬‬ ‫‪ ،EtherPeek‬ﻳﻚ ﻧﺮماﻓﺰار اﺳﺘﺮاق ﺳﻤﻊ ﻋﺎﻟﻲ ﺑﺮاي ﺷﺒﻜﻪﻫﺎي ﻛﺎﺑﻠﻲ اﺳﺖ ﻛﻪ داراي ﻗﺎﺑﻠﻴﺘﻬﺎي ﻓﻴﻠﺘﺮﻳﻨﮓ ﻗﻮي اﺳﺖ‪.‬‬ ‫آﺧﺮﻳﻦ ﻧﺴﺨﻪ اﻳﻦ ﻧﺮماﻓﺰار ﺑﺎ ﻧﺎم ‪ OmniPeek‬ﻋﺮﺿﻪ ﺷﺪه اﺳﺖ‪.‬‬ ‫‪ ،WinSniffer‬ﻧﺮماﻓﺰار ﺧﻮب ﺑﺮاي اﺳﺘﺮاق ﺳﻤﻊ ﭘﺴﻮردﻫﺎﺳﺖ‪ .‬ﺗﺮاﻓﻴﻚ ورودي و ﺧﺮوﺟﻲ را ﻣﺎﻧﻴﺘﻮر ﻣﻲﻛﻨﺪ و ﻧﺎمﻫﺎي‬ ‫ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎي ‪ ،IMAP ،Telnet ،SMTP ،ICQ ،HTTP ،POP3 ،FTP‬و ‪ NNTP‬را رﻣﺰﮔﺸﺎﻳﻲ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،Iris‬ﻧﺮماﻓﺰار آﻧﺎﻟﻴﺰ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ و داده اﺳﺖ ﻛﻪ ﺗﻤﺎم ﺗﺮاﻓﻴﻚ دادهﻫﺎي روي ﻳﻚ ﺷﺒﻜﻪ را ﺟﻤﻊآوري‪ ،‬ذﺧﻴﺮه‪،‬‬ ‫ﺳﺎزﻣﺎﻧﺪﻫﻲ و ﮔﺰارش ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﺧﻼف ‪sniffer‬ﻫﺎي دﻳﮕﺮ ﺷﺒﻜﻪ‪ ،Iris ،‬ﻣﻲﺗﻮاﻧﺪ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ را ﻣﺠﺪدا ﺑﺴﺎزد از ﻗﺒﻴﻞ‬ ‫ﮔﺮاﻓﻴﻚﻫﺎ‪ ،‬ﻣﺴﺘﻨﺪات‪ ،‬و اﻳﻤﻴﻞﻫﺎي ﺷﺎﻣﻞ ﺿﻤﺎﺋﻢ‪.‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎي اﺳﺘﺮاق در ﺷﺒﻜﻪ ﻋﺒﺎرﺗﻨﺪ از‪.Wiretap ،Pilot ،Look@LAN ،The Dude Sniffer :‬‬

‫اﺳﺘﺮاق ﺳﻤﻊ اﻛﺘﻴﻮ و ﭘﺴﻴﻮ‬ ‫دو ﻧﻮع ﻣﺨﺘﻠﻒ از اﺳﺘﺮاق ﺳﻤﻊ وﺟﻮد دارد‪ :‬ﭘﺴﻴﻮ و اﻛﺘﻴﻮ‪ .‬اﺳﺘﺮاق ﺳﻤﻊ ﭘﺴﻴﻮ )‪ (passive sniffing‬ﺷﺎﻣﻞ ﮔﻮش‬ ‫دادن و ﺑﻪ دﺳﺖ آوردن ﺗﺮاﻓﻴﻚ اﺳﺖ و در ﺷﺒﻜﻪﻫﺎﻳﻲ ﻛﻪ ﺑﺎ ﻫﺎب ﺑﻪ ﻳﻜﺪﻳﺮگ ﻣﺘﺼﻞ ﻫﺴﺘﻨﺪ‪ ،‬ﻣﻔﻴﺪ اﺳﺖ‪ .‬اﺳﺘﺮاق ﺳﻤﻊ‬ ‫اﻛﺘﻴﻮ )‪ (active sniffing‬ﺷﺎﻣﻞ ﺣﻤﻼت ‪ ARP spoofing‬ﻳﺎ ‪ traffic-flooding‬ﺑﺮ ﻳﻚ ﺳﻮﺋﻴﭻ ﺟﻬﺖ ﺑﻪ دﺳﺖ آوردن‬ ‫ﺗﺮاﻓﻴﻚ اﺳﺖ‪ .‬ﻫﻤﺎﻧﻄﻮرﻳﻜﻪ از ﻧﺎم آن ﺑﺮ ﻣﻲآﻳﺪ‪ ،‬اﺳﺘﺮاق ﺳﻤﻊ اﻛﺘﻴﻮ‪ ،‬ﻗﺎﺑﻞ ﺷﻨﺎﺳﺎﻳﻲ اﺳﺖ اﻣﺎ اﺳﺘﺮاق ﺳﻤﻊ ﭘﺴﻴﻮ‪ ،‬ﻗﺎﺑﻞ‬ ‫‪110‬‬

‫ﺷﻨﺎﺳﺎﻳﻲ ﻧﻴﺴﺖ‪ .‬در ﺷﺒﻜﻪﻫﺎﻳﻲ ﻛﻪ از ﻫﺎب ﻳﺎ رﺳﺎﻧﻪ واﻳﺮﻟﺲ ﺑﺮاي اﺗﺼﺎل ﺳﻴﺴﺘﻢﻫﺎ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ ،‬ﻫﻤﻪ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي‬ ‫روي ﺷﺒﻜﻪ‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ ﻫﻤﻪ ﺗﺮاﻓﻴﻚ را ﺑﺒﻴﻨﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،passive packet sniffer ،‬ﻣﻲﺗﻮاﻧﺪ ﺗﺮاﻓﻴﻜﻲ ﻛﻪ ﺑﻴﻦ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ‬ ‫و ﻫﺎب اﻧﺘﻘﺎل ﻣﻲﻳﺎﺑﺪ را ﺑﺪﺳﺖ آورد‪ .‬ﺷﺒﻜﻪ ﺳﻮﺋﻴﭽﻲ‪ ،‬ﺑﻪ ﻧﻮع دﻳﮕﺮي ﻛﺎر ﻣﻲﻛﻨﺪ‪ .‬ﺳﻮﺋﻴﭻ‪ ،‬ﺑﻪ دادهاي ﻛﻪ درﻳﺎﻓﺖ ﻛﺮده‬ ‫اﺳﺖ ﻧﮕﺎه ﻣﻲﻛﻨﺪ و ﺑﺮ ﺣﺴﺐ ‪ ،MAC address‬ﺑﺴﺘﻪﻫﺎ را ارﺳﺎل ﻣﻲﻛﻨﺪ‪ .‬ﺳﻮﺋﻴﭻ داراي ﺟﺪوﻟﻲ ﺑﻪ ﻧﺎم ‪MAC table‬‬ ‫اﺳﺖ ﻛﻪ داراي ‪ MAC address‬و ﭘﻮرت ﻣﺮﺑﻮط ﺑﻪ ﻫﻤﻪ ﺳﻴﺴﺘﻢﻫﺎي ﻣﺘﺼﻞ ﺑﻪ آن اﺳﺖ‪ .‬اﻳﻦ ﺳﺒﺐ ﻣﻲﺷﻮد ﻛﻪ ﺳﻮﺋﻴﭻ‬ ‫ﺑﺘﻮاﻧﺪ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ را ﺗﻘﺴﻴﻢ ﺑﻨﺪي ﻛﻨﺪ و ﺗﺮاﻓﻴﻚ را ﺗﻨﻬﺎ ﺑﺮاي ﻣﻘﺼﺪ ﻛﻪ ﺑﺎ ‪ MAC address‬ﻣﺸﺨﺺ ﺷﺪه اﺳﺖ‪،‬‬ ‫ارﺳﺎل ﻛﻨﺪ‪ .‬ﺷﺒﻜﻪﻫﺎي ﺳﻮﺋﻴﭽﻲ داراي ﺗﻮان ﺧﺮوﺟﻲ ﺑﻬﺘﺮي ﻫﺴﺘﻨﺪ و ﻧﺴﺒﺖ ﺑﻪ ﺷﺒﻜﻪﻫﺎﻳﻲ ﻛﻪ ﺑﺎ ﻫﺎب ﺑﺴﺘﻪ ﺷﺪهاﻧﺪ‪،‬‬ ‫ﺑﺴﻴﺎر اﻣﻦﺗﺮ ﻫﺴﺘﻨﺪ‪.‬‬

‫اﺳﺘﺮاق ﺳﻤﻊ اﻛﺘﻴﻮ‪:‬‬

‫‪111‬‬

‫اﺳﺘﺮاق ﺳﻤﻊ ﭘﺴﻴﻮ‪:‬‬

‫‪ARP Poisoning‬‬ ‫‪ ،ARP‬اﺟﺎزه ﺗﺮﺟﻤﻪ آدرسﻫﺎي ‪ IP‬ﺑﻪ آدرسﻫﺎي ‪ MAC‬را ﻣﻲ دﻫﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻛﺎﻣﭙﻴﻮﺗﺮي ﺑﺎ اﺳﺘﻔﺎده از ‪TCP/IP‬‬ ‫ﺳﻌﻲ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ دﻳﮕﺮي وﺻﻞ ﺷﻮد‪ ،‬ﻧﻴﺎز ﺑﻪ ‪ MAC address‬ﻳﺎ آدرس ﺳﺨﺖ اﻓﺰاري ﻛﺎﻣﭙﻴﻮﺗﺮ دارد‪ .‬اﺑﺘﺪا‬ ‫ﺑﻪ ﻛﺶ ‪ ARP‬ﺧﻮد ﻧﮕﺎه ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﺒﻴﻨﺪ ﻛﻪ آﻳﺎ ‪ MAC address‬آن را دارد ﻳﺎ ﻧﻪ‪ .‬اﮔﺮ ﻧﺪاﺷﺖ‪ ،‬درﺧﻮاﺳﺖ ‪ ARP‬را‬ ‫‪ broadcast‬ﻣﻲﻛﻨﺪ و ﻣﻲﭘﺮﺳﺪ‪ :‬ﭼﻪ ﻛﺴﻲ آدرس ‪ IP‬ﻛﻪ ﻣﻦ ﺑﻪ دﻧﺒﺎل آن ﻫﺴﺘﻢ را دارد؟ اﮔﺮ ﻛﺎﻣﭙﻴﻮﺗﺮي ﻛﻪ آن آدرس‬ ‫‪ IP‬را دارد‪ ،‬اﻳﻦ ﻛﻮﺋﺮي ‪ ARP‬را درﻳﺎﻓﺖ ﻛﻨﺪ‪ ،‬ﺑﺎ ‪ MAC address‬ﺧﻮد ﺑﻪ آن ﭘﺎﺳﺦ ﻣﻲدﻫﺪ و ﺑﺎ اﺳﺘﻔﺎده از ‪TCP/IP‬‬ ‫ﺷﺮوع ﺑﻪ ارﺗﺒﺎط ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫‪ ،ARP poisoning‬ﺗﻜﻨﻴﻜﻲ اﺳﺖ ﻛﻪ ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﻳﻚ ﺷﺒﻜﻪ اﺗﺮﻧﺖ اﺳﺘﻔﺎده ﻣﻲﺷﻮد و ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲدﻫﺪ‬ ‫ﻛﻪ ﻓﺮﻳﻢﻫﺎي داده را در ﻳﻚ ﺷﺒﻜﻪ ﻣﺤﻠﻲ ﺳﻮﺋﻴﭽﻲ‪ sniff ،‬ﻛﻨﺪ ﻳﺎ ﻫﻤﮕﻲ ﺗﺮاﻓﻴﻚ را ﻣﺘﻮﻗﻒ ﻛﻨﺪ‪ ،ARP poisoning .‬در‬ ‫ﺟﺎﺋﻴﻜﻪ ﻫﺪف ارﺳﺎل ﭘﻴﺎمﻫﺎي ‪ ARP‬ﺟﻌﻠﻲ ﺑﻪ ﻳﻚ ﺷﺒﻜﻪ اﺗﺮﻧﺘﻲ ﺑﺎﺷﺪ‪ ،‬از ‪ ARP spoofing‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ‬ ‫ﻓﺮﻳﻢﻫﺎ‪ ،‬داراي ‪MAC address‬ﻫﺎي ﻧﺎدرﺳﺖ ﻫﺴﺘﻨﺪ ﻛﻪ دﺳﺘﮕﺎهﻫﺎﻳﻲ ﻫﻤﭽﻮن ﺳﻮﺋﻴﭻ را ﮔﻴﺞ ﻣﻲﻛﻨﻨﺪ‪ .‬در ﻧﺘﻴﺠﻪ‪،‬‬ ‫ﻓﺮﻳﻢﻫﺎﻳﻲ ﻛﻪ ﻗﺮار ﺑﻮد ﺑﺮاي ﻳﻚ ﻣﺎﺷﻴﻦ ارﺳﺎل ﺷﻮﻧﺪ‪ ،‬ﺑﺼﻮرت اﺷﺘﺒﺎﻫﻲ ﺑﻪ ﻣﺎﺷﻴﻦ دﻳﮕﺮي ﻳﺎ ﺑﻪ ﻳﻚ ﻣﺎﺷﻴﻦ ﻏﻴﺮ ﻗﺎﺑﻞ‬ ‫دﺳﺘﺮس )ﺣﻤﻠﻪ ‪ (DoS‬ارﺳﺎل ﻣﻲﺷﻮﻧﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ‪ ،ARP spoofing‬ﻣﻲﺗﻮاﻧﺪ در ﺣﻤﻠﻪ ‪ ،man-in-the-middle‬اﺳﺘﻔﺎده‬ ‫ﺷﻮد ﻛﻪ ﺗﻤﺎم ﺗﺮاﻓﻴﻚ ﺑﺎ اﺳﺘﻔﺎده از ‪ ARP spoofing‬ارﺳﺎل ﻣﻲﺷﻮﻧﺪ و ﺑﺮاي ﺑﻪ دﺳﺖ آوردن ﭘﺴﻮردﻫﺎ و اﻃﻼﻋﺎت دﻳﮕﺮ‪،‬‬ ‫آﻧﺎﻟﻴﺰ ﻣﻲﺷﻮﻧﺪ‪.‬‬

‫‪112‬‬

‫ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ‪ ،ARP spoofing‬ﻫﻤﻴﺸﻪ ‪ MAC address‬ﻣﺮﺑﻮط ﺑﻪ ‪ gateway‬را ﺑﻪ ‪ ARP cache‬ﺳﻴﺴﺘﻢ‬ ‫اﺿﺎﻓﻪ ﻛﻨﻴﺪ‪ .‬ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر ﻣﻲﺗﻮاﻧﻴﺪ از دﺳﺘﻮر ‪ ARP –s‬در ‪ Cmd‬وﻳﻨﺪوز و ﺑﺎ ﺿﻤﻴﻤﻪ ﻛﺮدن آدرس ‪ IP‬و ‪MAC‬‬ ‫ﻣﺮﺑﻮط ﺑﻪ ‪ ،gateway‬اﻳﻨﻜﺎر را اﻧﺠﺎم دﻫﻴﺪ‪ .‬ﺑﺎ اﻳﻨﻜﺎر‪ ،‬ﻫﻜﺮ ﻧﻤﻲﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از ‪ overwrite‬ﻛﺮدن ‪ ARP cache‬اﻗﺪام‬ ‫ﺑﻪ ‪ ARP spoofing‬روي ﺳﻴﺴﺘﻢ ﻛﻨﺪ اﻣﺎ در ﻣﺤﻴﻂﻫﺎي ﻛﻪ ﺑﺰرگ ﻫﺴﺘﻨﺪ ﺑﻪ دﻟﻴﻞ ﺗﻌﺪاد زﻳﺎد ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬اﻳﻦ ﻋﻤﻞ‬ ‫دﺷﻮار و ﻃﺎﻗﺖ ﻓﺮﺳﺎﻳﻲ اﺳﺖ‪ .‬در ﻣﺤﻴﻂﻫﺎي ‪ ،enterprise‬ﻣﻲﺗﻮان ‪ port security‬را روي ﺳﻮﺋﻴﭻ ﻓﻌﺎل ﻛﺮد ﺗﺎ ‪MAC‬‬ ‫‪address‬ﻫﺎ را ﺑﺮاي ﻫﺮ ﭘﻮرت ﺳﻮﺋﻴﭻ ﻣﺸﺨﺺ ﻛﺮد‪.‬‬

‫‪113‬‬

‫‪MAC Duplicating‬‬ ‫ﺣﻤﻠﻪ ‪ ،MAC duplicating‬در ﺷﺒﻜﻪ ‪ sniff‬ﺷﺪه اﺟﺮا ﻣﻲﺷﻮد ﺑﺮاي ‪MAC address‬ﻫﺎي ﻛﻼﻳﻨﺖﻫﺎﻳﻲ ﻛﻪ ﺑﻪ‬ ‫ﻳﻚ ﭘﻮرت ﺳﻮﺋﻴﭻ ﻣﺘﺼﻞ ﻫﺴﺘﻨﺪ و از ﻳﻜﻲ از اﻳﻦ آدرسﻫﺎ دوﺑﺎره اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎ ﮔﻮش دادن ﺑﻪ ﺗﺮاﻓﻴﻚ روي ﺷﺒﻜﻪ‪،‬‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از ‪ MAC address‬ﻛﺎرﺑﺮ ﻣﺸﺮوع اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬ﭘﺲ از آن‪ ،‬ﻫﻜﺮ ﺗﻤﺎم ﺗﺮاﻓﻴﻜﻲ ﻛﻪ ﺑﻪ ﺑﺮاي آن ﻛﺎرﺑﺮ اﺳﺖ‬ ‫را درﻳﺎﻓﺖ ﺧﻮاﻫﺪ ﻛﺮد‪ .‬از اﻳﻦ ﺗﻜﻨﻴﻚ ﻣﻲﺗﻮان در ﺷﺒﻜﻪﻫﺎي واﻳﺮﻟﺲ ﻛﻪ ‪ MAC filtering‬ﻓﻌﺎل ﺷﺪه اﺳﺖ اﺳﺘﻔﺎده‬ ‫ﻛﺮد‪.‬‬

‫‪ Capture‬ﻛﺮدن ﺗﻮﺳﻂ ‪ Ethereal‬و ﻧﻤﺎﻳﺶ ﻓﻴﻠﺘﺮﻫﺎ‬ ‫‪ ،Ethereal‬ﻧﺮماﻓﺰار راﻳﮕﺎﻧﻲ ﺑﺮاي اﺳﺘﺮاق ﺳﻤﻊ اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﺴﺘﻪﻫﺎ را از ﻳﻚ ﻛﺎرت ﺷﺒﻜﻪ ﺑﺪﺳﺖ آورد‪ .‬در‬ ‫زﻳﺮ ﭼﻨﺪ ﻣﺜﺎل از ﻓﻴﻠﺘﺮﻫﺎي اﻳﻦ ﺑﺮﻧﺎﻣﻪ آورده ﺷﺪه اﺳﺖ‪:‬‬ ‫•‬

‫‪ :ip.dst eq www.eccouncil.org‬اﻳﻦ ﻓﻴﻠﺘﺮ‪ ،‬ﺗﻨﻬﺎ ﺑﺴﺘﻪﻫﺎﻳﻲ ﻛﻪ ﺑﻪ ﻣﻘﺼﺪ وب ﺳﺮور ‪www.eccouncil.org‬‬ ‫اﺳﺖ را ﻣﻲﮔﻴﺮد‪.‬‬

‫•‬

‫‪ :ip.src == 192.168.1.1‬اﻳﻦ ﻓﻴﻠﺘﺮ ﺗﻨﻬﺎ ﺑﺴﺘﻪﻫﺎﻳﻲ ﻛﻪ از ‪ 192,168,1,1‬ﻣﻲآﻳﻨﺪ را ﻣﻲﮔﻴﺮد‪.‬‬

‫•‬

‫‪ :eth.dst eq ff:ff:ff:ff:ff:ff‬اﻳﻦ ﻓﻴﻠﺘﺮ‪ ،‬ﺗﻨﻬﺎ ﺑﺴﺘﻪﻫﺎي ‪ broadcast‬ﻻﻳﻪ ‪ 2‬را ﻣﻲﮔﻴﺮد‪.‬‬

‫‪114‬‬

‫‪MAC Flooding‬‬ ‫ﻧﺮماﻓﺰار ‪ sniffer‬ﻧﻤﻲﺗﻮاﻧﺪ در ﻳﻚ ﺷﺒﻜﻪ ﺳﻮﺋﻴﭽﻲ‪ ،‬ﺗﺮاﻓﻴﻚ را ﺑﮕﻴﺮد اﻣﺎ در ﺷﺒﻜﻪ ﻫﺎب ﻣﻲﺗﻮاﻧﺪ‪ .‬در ﻋﻮض‪،‬‬ ‫ﻣﻲﺗﻮاﻧﺪ ﺗﺮاﻓﻴﻜﻲ ورودي ﻳﺎ ﺧﺮوﺟﻲ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ را ﺑﮕﻴﺮد‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ ﻻزم اﺳﺖ ﻛﻪ از اﺑﺰارﻫﺎي دﻳﮕﺮي ﺑﺮاي ﺑﺪﺳﺖ‬ ‫آوردن ﺗﻤﺎم ﺗﺮاﻓﻴﻚ در ﻳﻚ ﺷﺒﻜﻪ ﺳﻮﺋﻴﭽﻲ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪ .‬دو روش ﺑﺮاي اﻧﺠﺎم اﺳﺘﺮاق ﺳﻤﻊ اﻛﺘﻴﻮ وﺟﻮد دارد ﺗﺎ‬ ‫ﺳﻮﺋﻴﭻ‪ ،‬ﺗﺮاﻓﻴﻚ را ﺑﻪ ﺳﻴﺴﺘﻤﻲ ﻛﻪ ‪ sniffer‬دارد ارﺳﺎل ﺷﻮد‪ ARP spoofing :‬و ‪.flooding‬‬ ‫‪ ،ARP spoofing‬ﮔﺮﻓﺘﻦ ‪ MAC address‬ﻣﺮﺑﻮط ﺑﻪ ‪ gateway‬ﺷﺒﻜﻪ و در ﻧﺘﻴﺠﻪ درﻳﺎﻓﺖ ﻫﻤﻪ ﺗﺮاﻓﻴﻜﻲ ﻛﻪ ﺑﻪ‬ ‫ﻣﻘﺼﺪ ‪ gateway‬ﻣﻲروﻧﺪ ﺑﻪ ﺳﻴﺴﺘﻤﻲ اﺳﺖ ﻛﻪ ‪ sniffer‬دارد‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺳﻮﺋﻴﭻ را ﺑﺎ ﺳﺮازﻳﺮي ﺗﺮاﻓﻴﻚ زﻳﺎد ﺑﻪ آن‪،‬‬ ‫‪ flood‬ﻛﻨﺪ ﺗﺎ ﻋﻤﻠﻜﺮد آن ﺑﻪ ﻋﻨﻮان ﺳﻮﺋﻴﭻ ﻣﺨﺘﻞ ﺷﻮد و ﻣﺜﻞ ﻫﺎب‪ ،‬ﺗﺮاﻓﻴﻚ را ﺑﻪ ﺗﻤﺎم ﭘﻮرتﻫﺎي ﺧﻮد ارﺳﺎل ﻛﻨﺪ‪ .‬اﻳﻦ‬ ‫ﻧﻮع ﺣﻤﻼت اﺳﺘﺮاق ﺳﻤﻊ اﻛﺘﻴﻮ‪ ،‬ﺑﻪ ﺳﻴﺴﺘﻤﻲ ﻛﻪ ‪ sniffer‬دارد اﺟﺎزه ﻣﻲدﻫﺪ ﻛﻪ ﺗﻤﺎم ﺗﺮاﻓﻴﻚ روي ﺷﺒﻜﻪ را ﺑﺪﺳﺖ‬ ‫آورد‪.‬‬

‫‪115‬‬

‫‪DNS Poisoning‬‬ ‫‪ ،(DNS poisoning) DNS poisoning‬ﺗﻜﻨﻴﻜﻲ اﺳﺖ ﻛﻪ ﺳﺮور ‪ DNS‬را ﻓﺮﻳﺐ ﻣﻲدﻫﺪ ﺗﺎ ﮔﻤﺎن ﻛﻨﺪ اﻃﻼﻋﺎت‬ ‫ﻫﻮﻳﺘﻲ را درﻳﺎﻓﺖ ﻛﺮده اﺳﺖ وﻟﻲ در ﺣﺎﻟﻴﻜﻪ درﻳﺎﻓﺖ ﻧﻜﺮده اﺳﺖ‪ .‬زﻣﺎﻧﻴﻜﻪ ﺳﺮور ‪ ،DNS‬ﻣﺴﻤﻮم ﺷﺪ‪ ،‬اﻃﻼﻋﺎت ﺑﻄﻮر‬ ‫ﻛﻠﻲ ﺑﺮاي ﻣﺪﺗﻲ ﻛﺶ ﺧﻮاﻫﺪ ﺷﺪ‪ ،‬ﺗﺎﺛﻴﺮ ﺣﻤﻠﻪ را ﺑﻪ ﻛﺎرﺑﺮان ﺳﺮور ﻣﻨﺘﺸﺮ ﻣﻲﻛﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻛﺎرﺑﺮي درﺧﻮاﺳﺖ ‪ URL‬ﻳﻚ‬ ‫وب ﺳﺎﻳﺖ را ﻣﻲﻛﻨﺪ‪ ،‬آدرس ﺑﻪ ﺳﺮور ‪ DNS‬ﻣﺮاﺟﻌﻪ ﻣﻲﻛﻨﺪ ﺗﺎ آدرس ‪ IP‬ﻣﺮﺑﻮﻃﻪ را ﭘﻴﺪا ﻛﻨﺪ‪ .‬اﮔﺮ ﺳﺮور ‪ DNS‬ﻫﻚ‬ ‫ﺷﻮد‪ ،‬ﻛﺎرﺑﺮ ﺑﻪ وب ﺳﺎﻳﺖ دﻳﮕﺮي ﻓﺮﺳﺘﺎده ﻣﻲﺷﻮد‪.‬‬

‫اﻳﻦ ﺗﻜﻨﻴﻚ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ﺟﺎﻳﮕﺰﻳﻨﻲ ﻣﺤﺘﻮاي ﻗﺮاردادي ﺑﺎ ﻣﺤﺘﻮاﻳﻲ ﻛﻪ ﻫﻜﺮ اﻧﺘﺨﺎب ﻛﺮده اﺳﺖ‪ ،‬اﺳﺘﻔﺎده ﺷﻮد‪.‬‬ ‫ﺑﺮاي ﻣﺜﺎل‪ ،‬ﻫﻜﺮ‪ ،‬آدرسﻫﺎي ‪ IP‬وروديﻫﺎي ‪ DNS‬را ﺑﺮاي ﻳﻚ وب ﺳﺎﻳﺖ ﻣﺴﻤﻮم ﻣﻲﻛﻨﺪ و آن را ﺑﺎ آدرس ‪ IP‬ﺳﺮوري‬ ‫ﻛﻪ ﻫﻜﺮ ﻛﻨﺘﺮل ﻣﻲﻛﻨﺪ ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﻛﻨﺪ‪ .‬ﺳﭙﺲ وروديﻫﺎي ﺟﻌﻠﻲ ﺑﺮاي ﻓﺎﻳﻞﻫﺎﻳﻲ ﻛﻪ روي اﻳﻦ ﺳﺮور وﺟﻮد دارﻧﺪ‬ ‫ﻣﻲﺳﺎزد ﻛﻪ ﺑﺎ آﻧﻬﺎﻳﻲ ﻛﻪ در ﺳﺮور ﻫﺪف وﺟﻮد دارﻧﺪ‪ ،‬ﻣﺸﺎﺑﻪ ﺑﺎﺷﺪ‪ .‬اﻳﻦ ﻓﺎﻳﻞﻫﺎ ﻣﻲﺗﻮاﻧﺪ داراي ﻛﺪﻫﺎي ﻣﺨﺮب ﺑﺎﺷﺪ از‬ ‫ﻗﺒﻴﻞ ‪ worm‬ﻳﺎ ﻳﻚ وﻳﺮوس‪.‬‬

‫اﻧﻮاع ﺗﻜﻨﻴﻚﻫﺎي ‪ DNS poisoning‬ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬

‫‪ :Intranet spoofing‬ﺑﻪ ﻋﻨﻮان دﺳﺘﮕﺎﻫﻲ در ﻫﻤﺎن ﺷﺒﻜﻪ داﺧﻠﻲ ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪.‬‬

‫•‬

‫‪ :Internet spoofing‬ﺑﻪ ﻋﻨﻮان دﺳﺘﮕﺎﻫﻲ در اﻳﻨﺘﺮﻧﺖ ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪.‬‬

‫•‬

‫‪ :Proxy server DNS poisoning‬وروديﻫﺎي ‪ DNS‬را روي ﭘﺮوﻛﺴﻲ ﺳﺮور ﺗﻐﻴﻴﺮ ﻣﻲدﻫﺪ ﺗﺎ ﻛﺎرﺑﺮ ﺑﻪ‬ ‫ﺳﻴﺴﺘﻢ دﻳﮕﺮي ﻫﺪاﻳﺖ ﺷﻮد‪.‬‬

‫•‬

‫‪ :DNS cache poisoning‬وروديﻫﺎي ‪ DNS‬را روي ﻫﺮ ﺳﻴﺴﺘﻢ ﺗﻐﻴﻴﺮ ﻣﻲدﻫﺪ ﺗﺎ ﻛﺎرﺑﺮ ﺑﻪ ﻣﺎﺷﻴﻦ دﻳﮕﺮي‬ ‫ﻫﺪاﻳﺖ ﺷﻮد‪.‬‬ ‫‪116‬‬

‫‪:Intranet DNS Spoofing‬‬ ‫ﺑﺮاي اﻳﻦ ﺗﻜﻨﻴﻚ‪ ،‬ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﻪ ‪ LAN‬ﻣﺘﺼﻞ ﺑﺎﺷﻴﺪ و ﺑﺘﻮاﻧﻴﺪ ﺑﺴﺘﻪﻫﺎ را ‪ sniff‬ﻛﻨﻴﺪ‪ .‬ﺑﺎ ﻣﺴﻤﻮم ﻛﺮدن ‪ ARP‬روﺗﺮ‪،‬‬ ‫در ﺷﺒﻜﻪﻫﺎي ﺳﻮﺋﻴﭽﻲ ﻛﺎر ﻣﻲﻛﻨﺪ‪.‬‬

‫‪:Internet DNS Spoofing‬‬ ‫ﺑﺮاي ﻫﺪاﻳﺖ ﺗﻤﺎم ﺗﺮاﻓﻴﻚ درﺧﻮاﺳﺖﻫﺎي ‪ DNS‬از ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﻴﺰﺑﺎن ﺑﻪ ﺳﻤﺖ ﺷﻤﺎ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫ﺷﻜﻞ ﺻﻔﺤﻪ ﺑﻌﺪ‪ ،‬ﺳﻨﺎرﻳﻮي ‪ Internet DNS Spoofing‬را ﻧﺸﺎن ﻣﻲدﻫﺪ‪.‬‬ ‫‪ .1‬ﻳﻚ وب ﺳﺎﻳﺖ ﺟﻌﻠﻲ ﺑﺮ روي ﻛﺎﻣﭙﻴﻮﺗﺮ ﺧﻮد اﻳﺠﺎد ﻛﻨﻴﺪ‪.‬‬ ‫‪ Treewalk .2‬را ﻧﺼﺐ ﻛﻨﻴﺪ و ﻓﺎﻳﻞ ‪ readme.txt‬را ﺑﻪ آدرس ‪ IP‬ﺧﻮد ﺗﻐﻴﻴﺮ دﻫﻴﺪ‪ ،Treewalk ،‬ﺷﻤﺎ را ﺳﺮور‬ ‫‪ DNS‬ﺧﻮاﻫﺪ ﻛﺮد‪.‬‬ ‫‪ .3‬ﻓﺎﻳﻞ ‪ dns-spoofing.bat‬را ﺑﺎ آدرس ‪ IP‬ﺧﻮدﺗﺎن اﺻﻼح ﻛﻨﻴﺪ‪.‬‬ ‫‪ .4‬ﻓﺎﻳﻞ ‪ dns-spoofing.bat‬را ﺑﻪ ‪ Jessica‬ﺑﻔﺮﺳﺘﻴﺪ )ﻣﺜﻼ ‪(chess.exe‬‬ ‫‪ .5‬زﻣﺎﻧﻴﻜﻪ ﻛﺎرﺑﺮ ﺑﺮوي ﻓﺎﻳﻞ ﺗﺮوﺟﺎﻧﻲ ﻛﻠﻴﻚ ﻣﻲﻛﻨﺪ‪ ،‬در ‪ properties‬ﻛﺎرت ﺷﺒﻜﻪ او‪ DNS ،‬را ﺑﺎ آدرس دﺳﺘﮕﺎه‬ ‫ﺷﻤﺎ ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ .6‬ﺷﻤﺎ ﺑﺮاي ‪ ،Jessica‬ﺑﻪ ﻋﻨﻮان ﺳﺮور ‪ DNS‬ﺧﻮاﻫﻴﺪ ﺑﻮد و درﺧﻮاﺳﺖﻫﺎي ‪ DNS‬او از ﻃﺮﻳﻖ ﺷﻤﺎ رد ﺧﻮاﻫﺪ ﺷﺪ‪.‬‬ ‫‪ .7‬زﻣﺎﻧﻴﻜﻪ ‪ ،Jessica‬ﺑﻪ ‪ XSECURITY.com‬ﻣﺘﺼﻞ ﻣﻲﺷﻮد‪ ،‬وب ﺳﺎﻳﺖ ﺟﻌﻠﻲ را ﻣﻲآورد و ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ‬ ‫ﭘﺴﻮرد را ‪ sniff‬ﻛﻨﻴﺪ و او را ﺑﻪ وب ﺳﺎﻳﺖ واﻗﻌﻲ ﺑﻔﺮﺳﺘﻴﺪ‪.‬‬

‫‪117‬‬

‫‪:Proxy Server DNS Poisoning‬‬ ‫ﺗﺮوﺟﺎﻧﻲ ﺑﺮاي ‪ Rebecca‬ارﺳﺎل ﻣﻲﺷﻮد و ﺗﻨﻈﻴﻤﺎت ‪ proxy server‬در ‪ Internet Explorer‬را ﺑﻪ ﻫﻜﺮ ﺗﻐﻴﻴﺮ‬ ‫ﻣﻲدﻫﺪ‪ .‬ﭘﻴﺎدهﺳﺎزي آن ﺳﺎده اﺳﺖ‪.‬‬

‫‪:DNS Cache Poisoning‬‬ ‫ﺑﺮاي اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﻫﻜﺮ از آﺳﻴﺐ ﭘﺬﻳﺮي ﻛﻪ در ﻧﺮماﻓﺰار ‪ DNS‬وﺟﻮد دارد اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ﻃﺒﻖ اﻳﻦ آﺳﻴﺐ‬ ‫ﭘﺬﻳﺮي‪ ،‬اﻃﻼﻋﺎت ﻧﺎدرﺳﺖ را ﻣﻲﭘﺬﻳﺮد‪ .‬اﮔﺮ ﺳﺮور‪ ،‬ﺑﻄﻮر ﺻﺤﻴﺢ‪ ،‬ﭘﺎﺳﺦﻫﺎي ‪ DNS‬را ﺑﺮرﺳﻲ ﻧﻜﻨﺪ ﺗﺎ ﺑﺪاﻧﺪ ﻛﻪ از ﻣﻨﺒﻊ‬ ‫ﻗﺎﻧﻮﻧﻲ ﻣﻲآﻳﻨﺪ‪ ،‬ﺳﺮور‪ ،‬از ﻛﺶ ﻛﺮدن وروديﻫﺎي ﻧﺎدرﺳﺖ ﺧﻮدداري ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﻫﻜﺮ‪ ،‬ورودي ‪ DNS‬ﺑﺮاي ﻳﻚ‬ ‫‪118‬‬

‫وب ﺳﺎﻳﺖ را روي ﻳﻚ ﺳﺮور ‪ ،DNS‬را ﺑﺎ آدرس ‪ IP‬ﺳﺮوري ﻛﻪ ﺧﻮدش ﻛﻨﺘﺮل ﻣﻲﻛﻨﺪ ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﻛﻨﺪ‪ .‬ﺳﭙﺲ روي‬ ‫ﺳﺮوري ﻛﻪ ﻛﻨﺘﺮﻟﺶ ﻣﻲﻛﻨﺪ‪ ،‬وروديﻫﺎي ﺟﻌﻠﻲ ﺑﺮاي ﻓﺎﻳﻞﻫﺎ ﻣﻲﺳﺎزد‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،EtherFlood‬ﺑﺮاي ‪ flood‬ﻛﺮدن ﻳﻚ ﺳﻮﺋﻴﭻ ﺑﺎ ﺗﺮاﻓﻴﻚ اﺳﺖ ﺗﺎ ﺗﺒﺪﻳﻞ ﺑﻪ ﻫﺎب ﺷﻮد‪ .‬ﺑﺎ اﻳﻨﻜﺎر‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺗﻤﺎم‬ ‫ﺗﺮاﻓﻴﻚ روي ﺷﺒﻜﻪ را ﺑﺪﺳﺖ آورد‪.‬‬ ‫‪ ،Dsniff‬ﻣﺠﻤﻮﻋﻪاي از اﺑﺰارﻫﺎي اﺟﺮاﻳﻲ ﻳﻮﻧﻴﻜﺲ اﺳﺖ ﻛﻪ ﺑﺮاي ﺑﺮرﺳﻲ ﺷﺒﻜﻪ و اﻧﺠﺎم ﺗﺴﺖ ﻧﻔﻮذ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫اﺑﺰارﻫﺎي آن ﺷﺎﻣﻞ ‪ ،urlsnarf ،msgsnarf ،mailsnarf ،filesnarf‬و ‪ webspy‬اﺳﺖ‪ .‬اﻳﻦ اﺑﺰارﻫﺎ‪ ،‬ﺑﺼﻮرت ﭘﺴﻴﻮ‪،‬‬ ‫ﺷﺒﻜﻪﻫﺎي آﺳﻴﺐ ﭘﺬﻳﺮ را ﻣﺎﻧﻴﺘﻮر ﻣﻲﻛﻨﻨﺪ ﺗﺎ اﻃﻼﻋﺎت ﻣﻬﻢ از ﻗﺒﻴﻞ ﭘﺴﻮردﻫﺎ‪ ،‬اﻳﻤﻴﻞ‪ ،‬و ﻓﺎﻳﻞﻫﺎ را ﺑﺪﺳﺖ آورﻧﺪ‪.‬‬ ‫‪ Sshmitm‬و ‪ ،webmitm‬ﺣﻤﻼت ‪ man-in-the-middle‬را ﺑﺮاي ﻧﺸﺴﺖﻫﺎي ‪ SSH‬و ‪ HTTPS‬اﻧﺠﺎم ﻣﻲدﻫﻨﺪ‪.‬‬ ‫‪ ،dnsspoof ،Arpspoof‬و ‪ ،macof‬ﺑﺎ ﻣﺪاﺧﻠﻪ در ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ ﺳﻮﺋﻴﭽﻲ ﻛﻪ ﻣﻌﻤﻮﻻ ﺑﻪ دﻟﻴﻞ ﺧﺎﺻﻴﺖ ﺳﻮﺋﻴﭽﻲ ﺑﻮدن‬ ‫ﺷﺒﻜﻪ‪ ،‬ﺑﺮاي ﺑﺮﻧﺎﻣﻪ ‪ sniffer‬ﻏﻴﺮ ﻗﺎﺑﻞ دﺳﺘﺮس اﺳﺖ‪ ،‬ﻛﺎر ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،Cain & Abel‬اﺑﺰاري ﭼﻨﺪ ﻣﻨﻈﻮره ﺑﺮاي ﻫﻚ در وﻳﻨﺪوز اﺳﺖ ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از اﺳﺘﺮاق ﺳﻤﻊ ﺷﺒﻜﻪ‪ ،‬اﻣﻜﺎن ﺑﺎزﻳﺎﺑﻲ‬ ‫اﻧﻮاع ﭘﺴﻮردﻫﺎ‪ ،‬ﺷﻜﺴﺘﻦ ﭘﺴﻮردﻫﺎي رﻣﺰ ﺷﺪه ﺑﺎ اﺳﺘﻔﺎده از دﻳﻜﺸﻨﺮي‪ ،brute force ،‬ﺿﺒﻂ ﻣﻜﺎﻟﻤﺎت ‪ ،VoIP‬رﻣﺰﮔﺸﺎﻳﻲ‬ ‫ﭘﺴﻮردﻫﺎي ﭘﻴﭽﻴﺪه‪ ،‬ﻇﺎﻫﺮ ﻛﺮدن ﻛﺎدر ﭘﺴﻮرد‪ ،‬ﺑﺎزﻳﺎﺑﻲ ﭘﺴﻮردﻫﺎي ﻛﺶ ﺷﺪه‪ ،‬و آﻧﺎﻟﻴﺰ ﭘﺮوﺗﻜﻞﻫﺎي ﻣﺴﻴﺮﻳﺎﺑﻲ را ﻣﻲدﻫﺪ‪.‬‬ ‫‪ ،Packet Crafter‬اﺑﺰاري ﺑﺮاي ﺳﺎﺧﺖ ﺑﺴﺘﻪﻫﺎي ﺳﻔﺎرﺷﻲ ‪ TCP/IP/UDP‬اﺳﺖ‪ .‬اﻳﻦ اﺑﺰار ﻣﻲﺗﻮاﻧﺪ آدرس ﻣﻨﺒﻊ ﻳﻚ‬ ‫ﺑﺴﺘﻪ را ﺗﻐﻴﻴﺮ دﻫﺪ و ‪flage‬ﻫﺎي ﻣﺨﺘﻠﻒ آن را ﻛﻨﺘﺮل ﻛﻨﻴﺪ‪.‬‬ ‫‪ ،SMAC‬اﺑﺰاري ﺑﺮاي ﺗﻐﻴﻴﺮ ‪ MAC address‬ﻳﻚ ﺳﻴﺴﺘﻢ اﺳﺖ و ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ در زﻣﺎن ﺣﻤﻠﻪ‪ MAC address ،‬ﺧﻮد‬ ‫را ﺗﻐﻴﻴﺮ دﻫﺪ‪.‬‬ ‫‪ ،MAC Changer‬اﺑﺰاري ﺑﺮاي ﺟﻌﻞ ﻳﻚ ‪ MAC address‬در ﻳﻮﻧﻴﻜﺲ اﺳﺖ‪ .‬ﻣﻲﺗﻮاﻧﺪ ﻛﺎرت ﺷﺒﻜﻪ را ﺑﺎ ﻳﻚ ‪MAC‬‬ ‫ﻣﺸﺨﺺ‪ MAC ،‬ﺗﺼﺎدﻓﻲ‪ MAC ،‬ﻓﺮوﺷﻨﺪه دﻳﮕﺮ‪ MAC ،‬دﻳﮕﺮي از ﻫﻤﺎن ﺳﺎزﻧﺪه ﺗﻨﻈﻴﻢ ﻛﻨﺪ‪ ،‬ﻳﺎ ﺣﺘﻲ ﻟﻴﺴﺖ ‪MAC‬‬ ‫‪address‬ﻫﺎي ﺳﺎزﻧﺪه را ﻧﻤﺎﻳﺶ دﻫﺪ ﺗﺎ از آن ﻟﻴﺴﺖ ﻳﻜﻲ را اﻧﺘﺨﺎب ﻛﻨﻴﺪ‪.‬‬ ‫‪ ،WinDNSSpoof‬اﺑﺰاري ﺳﺎده ﺑﻪ ﻣﻨﻈﻮر ‪ DNS ID spoofing‬ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز اﺳﺖ‪ .‬ﺑﺮاي اﺳﺘﻔﺎده از آن‬ ‫در ﺷﺒﻜﻪﻫﺎي ﺳﻮﺋﻴﭽﻲ‪ ،‬ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﺘﻮاﻧﻴﺪ ﺗﺮاﻓﻴﻚ روي ﻛﺎﻣﭙﻴﻮﺗﺮ را ‪ sniff‬ﻛﻨﻴﺪ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ ﻣﻲﺗﻮاﻧﺪ ﺑﺎ ﻳﻚ اﺑﺰار ‪ARP‬‬ ‫‪ spoofing‬ﻳﺎ ‪ flooding‬اﺳﺘﻔﺎده ﺷﻮد‪.‬‬ ‫‪ ،Distributed DNS Flooder‬ﺗﻌﺪاد زﻳﺎدي ﻛﻮﺋﺮي ﻣﻲﻓﺮﺳﺘﺪ ﺗﺎ ﺣﻤﻠﻪ ‪ DoS‬اﻳﺠﺎد ﻛﻨﺪ و ‪ DNS‬را ﻏﻴﺮ ﻓﻌﺎل ﺳﺎزد‪.‬‬ ‫‪119‬‬

‫اﮔﺮ ﻧﺮماﻓﺰار ‪ ،DNS‬ﻛﻮﺋﺮيﻫﺎي ﻏﻴﺮ ﺻﺤﻴﺢ را ﺛﺒﺖ ﻛﻨﺪ‪ ،‬ﺗﺎﺛﻴﺮ اﻳﻦ ﺣﻤﻠﻪ ﭼﻨﺪ ﺑﺮاﺑﺮ ﻣﻲﺷﻮد‪.‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎي اﺳﺘﺮاق ﺳﻤﻊ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪،SmartSniff ،MSN Sniffer ،Win Sniffer ،Ace Password Sniffer ،Effetech ،ArpSpyX ،Ettercap‬‬ ‫‪AW ،Cloasoft EtherLook ،NetIntercept ،Etherpeek ،Snort ،EtherApe ،Ntop ،NetSetMan ،SMAC‬‬ ‫‪،URL Snooper ،BillSniff ،Sniphere ،NetResident ،Sniffem ،CommView ،Ports Traffic Anakyzer‬‬ ‫‪.EtherScan Analyzer ،Ipgrab ،AnalogX Packetmon ،EtherDetect Packet Sniffer‬‬ ‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ اﺳﺘﺮاق ﺳﻤﻊ‬ ‫ﺑﻬﺘﺮﻳﻦ روش اﻣﻨﻴﺘﻲ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از اﺳﺘﺮاق ﺳﻤﻊ در ﺷﺒﻜﻪ‪ ،‬رﻣﺰﮔﺬاري اﺳﺖ‪ .‬ﻫﺮ ﭼﻨﺪ ﻛﻪ رﻣﺰﮔﺬاري‪ ،‬از‬ ‫اﺳﺘﺮاق ﺳﻤﻊ ﺟﻠﻮﮔﻴﺮي ﻧﻤﻲﻛﻨﺪ اﻣﺎ ﺳﺒﺐ ﻣﻲﺷﻮد ﻛﻪ دادهﻫﺎﻳﻲ ﻛﻪ در اﺳﺘﺮاق ﺳﻤﻊ‪ ،‬ﺑﻪ دﺳﺖ ﻫﻜﺮ ﻣﻲاﻓﺘﺪ‪ ،‬ﻏﻴﺮ ﻗﺎﺑﻞ‬ ‫اﺳﺘﻔﺎده ﺑﺎﺷﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ ﻫﻜﺮ ﻧﻤﻲﺗﻮاﻧﺪ اﻃﻼﻋﺎت را ﺗﺮﺟﻤﻪ و ﺗﻔﺴﻴﺮ ﻛﻨﺪ‪ .‬اﻟﮕﻮرﻳﺘﻢﻫﺎي رﻣﺰﮔﺬاري از ﻗﺒﻴﻞ ‪ AES‬و‬ ‫‪ RC4‬ﻳﺎ ‪ RC5‬ﻣﻲﺗﻮاﻧﻨﺪ در ﺗﻜﻨﻮﻟﻮژيﻫﺎي ‪ VPN‬اﺳﺘﻔﺎده ﺷﻮﻧﺪ و روﺷﻲ راﻳﺞ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از اﺳﺘﺮاق ﺳﻤﻊ در ﺷﺒﻜﻪ‬ ‫ﻫﺴﺘﻨﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ‪ ،‬ﻣﺤﺪودﻳﺖ در دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﺑﻪ رﺳﺎﻧﻪ ﺷﺒﻜﻪ‪ ،‬اﻳﻦ اﻃﻤﻴﻨﺎن را ﻣﻲدﻫﺪ ﻛﻪ ‪packet sniffer‬ﻫﺎ‬ ‫ﻧﻤﻲﺗﻮاﻧﻨﺪ ﻧﺼﺐ ﺷﻮﻧﺪ‪ .‬روش دﻳﮕﺮ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ‪ sniff‬ﺷﺪن ﺷﺒﻜﻪ‪ ،‬ﺗﻐﻴﻴﺮ ﺷﺒﻜﻪ ﺑﻪ ‪ SSH‬اﺳﺖ‪.‬‬ ‫روشﻫﺎي ﻣﺘﻌﺪدي ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻳﻚ ‪ sniffer‬در ﺷﺒﻜﻪ وﺟﻮد دارد‪:‬‬ ‫•‬ ‫•‬ ‫•‬

‫‪Ping method‬‬ ‫‪ARP method‬‬ ‫‪Latency method‬‬

‫•‬

‫اﺳﺘﻔﺎده از ‪IDS‬‬

‫‪120‬‬

‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،netINTERCEPTOR‬ﻓﺎﻳﺮوال وﻳﺮوس و اﺳﭙﻢ اﺳﺖ‪ .‬ﮔﺰﻳﻨﻪﻫﺎي ﭘﻴﺸﺮﻓﺘﻪاي ﺑﺮاي ﻓﻴﻠﺘﺮﻳﻨﮓ دارد و ﻣﻲﺗﻮاﻧﺪ‬ ‫اﺳﭙﻢﻫﺎي ﺟﺪﻳﺪ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ و آﻧﻬﺎ را ﻳﺎد ﺑﮕﻴﺮد‪ .‬ﻫﻤﭽﻨﻴﻦ ﻣﻲﺗﻮاﻧﺪ آﺧﺮﻳﻦ وﻳﺮوسﻫﺎ و ﺗﺮوﺟﺎنﻫﺎي اﻳﻤﻴﻞ را‬ ‫اﺳﺘﺮاق ﺳﻤﻊ ﻛﻨﺪ و از ﻧﺼﺐ ﺗﺮوﺟﺎنﻫﺎ ﻳﺎ ‪sniffer‬ﻫﺎ ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ‪.‬‬ ‫‪ ،Sniffdet‬ﻣﺠﻤﻮﻋﻪاي از ﺗﺴﺖﻫﺎ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ از راه دور ‪sniffer‬ﻫﺎ در ﺷﺒﻜﻪ ‪ TCP/IP‬اﺳﺖ‪ ،Sniffdet .‬اﻧﻮاع‬ ‫ﻣﺨﺘﻠﻒ ﺗﺴﺖﻫﺎ را ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻣﺎﺷﻴﻦﻫﺎﻳﻲ ﻛﻪ ﺑﺼﻮرت ‪ promiscuous mode‬ﻛﺎر ﻣﻲﻛﻨﻨﺪ ﻳﺎ ﻳﻚ ‪ sniffer‬دارﻧﺪ‪،‬‬ ‫اﻧﺠﺎم ﻣﻲدﻫﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي دﻳﮕﺮي ﻧﻴﺰ ﭼﻮن ‪ Antisniff ،Promiscan ،ARP Watch‬و ‪ Prodetect‬ﺑﺮاي ﭘﻴﺸﮕﻴﺮي ﻳﺎ ﺷﻨﺎﺳﺎﻳﻲ‬ ‫‪sniffer‬ﻫﺎ ﺑﻜﺎر ﻣﻲروﻧﺪ‪.‬‬

‫‪121‬‬

‫ﻓﺼﻞ ﻫﻔﺘﻢ‬

Session Hijacking ‫ و‬Denial of Service

‫ﻣﻘﺪﻣﻪ‬ ‫در ﺣﻤﻠﻪ ‪ ،DoS‬ﻫﻜﺮ ﺗﻼش ﻣﻲﻛﻨﺪ ﺗﺎ ﺳﺮﻋﺖ ﺳﻴﺴﺘﻢ را ﺑﻪ ﺷﺪت ﻛﺎﻫﺶ دﻫﺪ و ﻛﺎرﺑﺮان ﻧﺘﻮاﻧﻨﺪ از ﻣﻨﺎﺑﻊ آن‬ ‫اﺳﺘﻔﺎده ﻛﻨﻨﺪ‪ .‬ﻫﻜﺮﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺗﻨﻬﺎ ﻳﻚ ﺳﻴﺴﺘﻢ و ﻳﺎ ﻳﻚ ﺷﺒﻜﻪ را ﻣﻮرد ﻫﺪف ﻗﺮار دﻫﻨﺪ و ﻣﻌﻤﻮﻻ ﻫﻢ در اﻳﻨﻜﺎر ﻣﻮﻓﻖ‬ ‫ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪) session hijacking‬دزدي ﻧﺸﺴﺖ(‪ ،‬ﻳﻜﻲ از روشﻫﺎي ﻫﻚ اﺳﺖ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ‪ ،‬ﻧﺸﺴﺘﻲ را ﮔﺮﻓﺖ‪ ،‬ﻳﻚ ‪DoS‬‬ ‫ﻣﻮﻗﺘﻲ را ﺑﺮاي ﻛﺎرﺑﺮ ﻧﻬﺎﻳﻲ اﻳﺠﺎد ﻣﻲﻛﻨﺪ‪ .‬ﭘﺲ از آﻧﻜﻪ ﻛﺎرﺑﺮي ﻧﺸﺴﺖ ﻗﺎﻧﻮﻧﻲ را اﻳﺠﺎد ﻛﺮد‪ ،‬ﻫﻜﺮ ﺑﺎ اﺳﺘﻔﺎده از ‪session‬‬ ‫‪ ،hijacking‬ﻧﺸﺴﺖ را ﺑﻪ دﺳﺖ ﻣﻲﮔﻴﺮد‪ .‬ﻫﻤﭽﻨﻴﻦ زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺑﻴﻦ ﺳﺮور و ﻛﻼﻳﻨﺖ ﻗﺮار ﮔﺮﻓﺖ و ﺗﻤﺎم ﺗﺮاﻓﻴﻚ را‬ ‫اﺳﺘﺮاق ﺳﻤﻊ ﻛﺮد‪ ،‬از ‪ session hijacking‬ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ ‪ man-in-the-middle‬ﻧﻴﺰ ﻣﻲﺗﻮاﻧﺪ اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬

‫اﻳﻦ ﻓﺼﻞ در ﻣﻮرد ﺣﻤﻼت ‪ ،session hijacking ،DDoS ،DoS‬دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي ‪ ،TCP‬ﭘﻴﺸﮕﻮﻳﻲ‬ ‫‪ sequence number‬و اﺑﺰارﻫﺎي اﻳﻦ ﺣﻤﻼت ﺗﻮﺿﻴﺢ ﻣﻲدﻫﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ در ﭘﺎﻳﺎن ﻓﺼﻞ در ﻣﻮرد روشﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ‬ ‫‪ DoS‬و ‪ session hijacking‬ﺗﻮﺿﻴﺢ ﺧﻮاﻫﻴﻢ داد‪.‬‬

‫‪123‬‬

‫‪Denial of Service‬‬ ‫ﺣﻤﻠﻪ ‪ ،DoS‬ﺗﻼش ﺑﺮاي از ﻛﺎر اﻧﺪاﺧﺘﻦ ﺳﻴﺴﺘﻢ ﻛﺎرﺑﺮ ﻳﺎ ﺳﺎزﻣﺎن اﺳﺖ‪ .‬دو ﻧﻮع ﺣﻤﻠﻪ ‪ DoS‬وﺟﻮد دارد‪ .‬ﺷﻤﺎ ﺑﻪ‬ ‫ﻋﻨﻮان ﻳﻚ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ‪ ،‬ﺑﺎﻳﺪ ﺑﺎ اﻧﻮاع و ﻧﺤﻮه اﻧﺠﺎم ﺣﻤﻼت ‪ ،DoS‬و ﻧﻴﺰ ‪ (BOTs) robot‬و ﺷﺒﻜﻪﻫﺎي ‪robot‬‬ ‫)‪ ،(BOTNETs‬ﺣﻤﻼت ‪ smurf‬و ‪ SYN flooding‬و ﻫﻤﭽﻨﻴﻦ ﺑﺎ روشﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪ DoS‬و ‪ DDoS‬آﺷﻨﺎ ﺑﺎﺷﻴﺪ‪.‬‬

‫اﻧﻮاع ﺣﻤﻼت ‪DoS‬‬ ‫دو ﻧﻮع ﺣﻤﻠﻪ ‪ DoS‬وﺟﻮد دارد‪ :‬ﺣﻤﻼت ‪ DoS‬ﻣﻲﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ دﻳﮕﺮ )‪ DoS‬ﺳﺎده( ﻳﺎ‬ ‫ﺗﻮﺳﻂ ﭼﻨﺪﻳﻦ ﺳﻴﺴﺘﻢ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ اﻧﺠﺎم ﺷﻮد )‪.(DDoS‬‬ ‫ﻫﺪف از اﻳﻦ ﺣﻤﻠﻪ اﻳﻦ ﻧﻴﺴﺖ ﻛﻪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻳﺎ دادهﻫﺎي ﻫﺪف دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﻴﻢ ﺑﻠﻜﻪ ﻫﺪف اﻳﻦ اﺳﺖ ﻛﻪ‬ ‫اﺟﺎزه ﺳﺮوﻳﺲ دﻫﻲ ﻛﺎرﺑﺮان ﻗﺎﻧﻮﻧﻲ را ﺑﮕﻴﺮﻳﻢ‪ .‬ﻣﻤﻜﻦ اﺳﺖ ﺣﻤﻠﻪ ‪ DoS‬ﻛﺎرﻫﺎي زﻳﺮ را اﻧﺠﺎم دﻫﺪ‪:‬‬ ‫•‬

‫ﺗﺮاﻓﻴﻚ ﻋﻈﻴﻤﻲ را ﺑﻪ ﺳﻮي ﺷﺒﻜﻪ رواﻧﻪ ﻛﻨﺪ ﺗﺎ ﺟﻠﻮي ﺗﺮاﻓﻴﻚ ﻣﺠﺎز ﺷﺒﻜﻪ را ﺑﮕﻴﺮد‪.‬‬

‫•‬

‫ارﺗﺒﺎط ﺑﻴﻦ دو ﻣﺎﺷﻴﻦ را ﻗﻄﻊ ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﺟﻠﻮي دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﺮوﻳﺲ را ﺑﮕﻴﺮد‪.‬‬

‫•‬

‫ﺟﻠﻮي دﺳﺘﺮﺳﻲ اﻓﺮاد ﺑﻪ ﺳﺮوﻳﺲ را ﺑﮕﻴﺮد‪.‬‬

‫•‬

‫اﺟﺎزه دﺳﺘﺮﺳﻲ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺨﺺ ﺧﺎﺻﻲ را از ﺳﺮوﻳﺲ ﺑﮕﻴﺮد‪.‬‬ ‫اﺑﺰارﻫﺎي ﻣﺨﺘﻠﻔﻲ وﺟﻮد دارﻧﺪ ﻛﻪ ﺗﺮاﻓﻴﻚﻫﺎي ﻣﺨﺘﻠﻔﻲ را ﺑﻪ ﺳﻤﺖ ﻗﺮﺑﺎﻧﻲ ﺳﺮازﻳﺮ ﻣﻲﻛﻨﻨﺪ اﻣﺎ ﻧﺘﻴﺠﻪ ﻳﻜﺴﺎن‬

‫اﺳﺖ‪ :‬ﺳﺮوﻳﺲ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ ﻏﻴﺮ ﻗﺎﺑﻞ دﺳﺘﺮس ﻣﻲﺷﻮد ﺑﺮاي اﻳﻨﻜﻪ ﻛﻞ ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ ﺻﺮف ﭘﺎﺳﺦ ﺑﻪ‬ ‫درﺧﻮاﺳﺖﻫﺎي ﺑﻴﻬﻮده و ﺳﺎﺧﺘﮕﻲ ﻫﻜﺮ ﻣﻲﺷﻮد‪.‬‬ ‫ﺣﻤﻠﻪ ‪ ،DoS‬ﺣﻤﻠﻪ ﻏﻴﺮﺣﺮﻓﻪاي اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﻫﻜﺮ ﻧﻤﻲﺗﻮاﻧﺪ ﺑﻪ اﻃﻼﻋﺎت دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ و ﻓﻘﻂ در‬ ‫ﺳﺮوﻳﺲدﻫﻲ آن‪ ،‬اﺧﺘﻼل ﺑﻮﺟﻮد ﻣﻲآورد‪ .‬اﮔﺮ ﺣﻤﻠﻪ ‪ DoS‬از ﻃﺮﻳﻖ ﭼﻨﺪﻳﻦ ﺳﻴﺴﺘﻢ ﺑﻪ ﺳﻤﺖ ﻣﻘﺼﺪ ارﺳﺎل ﺷﻮد‪،‬‬ ‫ﻣﺨﺮبﺗﺮ ﻣﻲﺷﻮد و ﺗﺎﺛﻴﺮات ﻣﻬﻤﻲ را دارد )ﺣﻤﻼت ‪.(DDoS‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Jolt2‬اﺑﺰاري ﺑﺮاي ﺣﻤﻠﻪ ‪ DoS‬اﺳﺖ ﻛﻪ ﺗﻌﺪاد زﻳﺎدي ﺑﺴﺘﻪﻫﺎي ‪ IP‬ﺑﻪ ﻳﻚ ﻫﺪف وﻳﻨﺪوزي ﻣﻲﻓﺮﺳﺘﺪ‪ .‬اﻳﻦ اﻣﺮ ﺳﺒﺐ‬ ‫ﻣﻲﺷﻮد ﻛﻪ ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ‪ ،‬ﻏﻴﺮ ﻗﺎﺑﻞ دﺳﺘﺮس ﺷﻮﻧﺪ و ﻧﻬﺎﻳﺘﺎ ﺳﻴﺴﺘﻢ از ﻛﺎر ﺑﻴﻔﺘﺪ‪.‬‬ ‫‪ ،Bubonic‬اﺑﺰاري ﺑﺮاي ﺣﻤﻠﻪ ‪ DoS‬اﺳﺖ ﻛﻪ ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪﻫﺎي ‪ TCP‬ﻛﻪ داراي ﺗﻨﻈﻴﻤﺎت ﺗﺼﺎدﻓﻲ ﻫﺴﺘﻨﺪ‪ ،‬ﻛﺎر‬ ‫ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﺎر ﻣﺎﺷﻴﻦ ﻫﺪف اﻓﺰاﻳﺶ ﻳﺎﺑﺪ و ﻧﻬﺎﻳﺘﺎ ﺳﻴﺴﺘﻢ از ﻛﺎر ﺑﻴﻔﺘﺪ‪.‬‬ ‫‪124‬‬

‫‪ ،Ping of Death‬ﺣﻤﻠﻪاي اﺳﺖ ﻛﻪ ﺑﺴﺘﻪﻫﺎي ‪ IP‬ﻛﻪ ﺑﺴﻴﺎر ﺑﺰرگ ﻫﺴﺘﻨﺪ را ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف ارﺳﺎل ﻣﻲﻛﻨﺪ‪ ،‬و ﺑﻪ دﻟﻴﻞ‬ ‫زﻳﺎد و ﺑﺰرگ ﺑﻮدن ﺑﺴﺘﻪﻫﺎ‪ ،‬ﺳﻴﺴﺘﻢ ﻫﺪف ﻧﻤﻲﺗﻮاﻧﺪ آﻧﻬﺎ را درﻳﺎﻓﺖ ﻛﻨﺪ و در ﻧﺘﻴﺠﻪ از ﻛﺎر ﻣﻲاﻓﺘﺪ‪،Ping of Death .‬‬ ‫ﻣﻲﺗﻮاﻧﺪ ﺟﻠﻮي دﺳﺘﺮﺳﻲ ﻛﻼﻳﻨﺖﻫﺎ ﺑﻪ ﺳﺮور ﻛﻪ ﻗﺮﺑﺎﻧﻲ ﺣﻤﻠﻪ ﺑﻮده اﺳﺖ را ﺑﮕﻴﺮد‪.‬‬ ‫‪ ،SSPing‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ﭼﻨﺪﻳﻦ ﺑﺴﺘﻪ ﺑﺰرگ ‪ ICMP‬را ﺑﻪ ﺳﻤﺖ ﺳﻴﺴﺘﻢ ﻫﺪف ارﺳﺎل ﻣﻲﻛﻨﺪ و ﺳﺒﺐ ﻣﻲﺷﻮد ﻛﻪ‬ ‫ﻛﺎﻣﭙﻴﻮﺗﺮي ﻛﻪ ﺑﺴﺘﻪﻫﺎي داده را درﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ‪ ،‬زﻣﺎﻧﻴﻜﻪ دوﺑﺎره ﺑﺴﺘﻪﻫﺎ را ﺟﻤﻊآوري ﻣﻲﻛﻨﺪ‪ ،‬از ﻛﺎر ﺑﻴﻔﺘﺪ‪.‬‬ ‫‪ ،A LAND Attack‬ﺑﺴﺘﻪاي ﺑﻪ ﺳﻤﺖ ﻳﻚ ﺳﻴﺴﺘﻢ ارﺳﺎل ﻣﻲﻛﻨﺪ ﻛﻪ ‪ IP‬ﻣﻨﺒﻊ ﺑﺎ آدرس ‪ IP‬ﺳﻴﺴﺘﻢ ﻣﻘﺼﺪ ﻳﻜﻲ اﺳﺖ‪.‬‬ ‫در ﻧﺘﻴﺠﻪ‪ ،‬ﺳﻴﺴﺘﻢ ﻣﻲﺧﻮاﻫﺪ ﻛﻪ ﺑﻪ آن ﭘﺎﺳﺦ دﻫﺪ و ‪ loop‬اﻳﺠﺎد ﻣﻲﺷﻮد ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ‪ ،‬ﻏﻴﺮ ﻗﺎﺑﻞ دﺳﺘﺮس‬ ‫ﻣﻲﺷﻮﻧﺪ و ﻣﻤﻜﻦ اﺳﺖ ﺳﺮاﻧﺠﺎم ﺳﻴﺴﺘﻢ از ﻛﺎر ﺑﻴﻔﺘﺪ‪.‬‬ ‫‪ ،CPU Hog‬اﺑﺰاري ﺑﺮاي ﺣﻤﻠﻪ ‪ DoS‬اﺳﺖ ﻛﻪ از ﻣﻨﺎﺑﻊ ‪ CPU‬روي ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ و آن را ﺑﺮاي‬ ‫ﻛﺎرﺑﺮان دﻳﮕﺮ‪ ،‬ﻏﻴﺮ ﻗﺎﺑﻞ دﺳﺘﺮس ﻣﻲﺳﺎزد‪.‬‬ ‫‪ ،WinNuke‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ﺑﻪ دﻧﺒﺎل ﺳﻴﺴﺘﻤﻲ ﺑﺎ ﭘﻮرت ‪ 139‬ﺑﺎز ﻣﻲﮔﺮدد و ﺗﺮاﻓﻴﻚ ‪ IP‬ﻧﺎﺧﻮاﺳﺘﻪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف‬ ‫روي آن ﭘﻮرت ﻣﻲﻓﺮﺳﺘﺪ‪ .‬اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﺑﺎ ﻧﺎم ﺣﻤﻠﻪ ‪ (OOB) Out of Bounds‬ﻣﺸﻬﻮر اﺳﺖ و ﺳﺒﺐ ﺳﺮرﻳﺰي ﺑﺎﻓﺮ‬ ‫)‪ (buffer overflow‬ﻣﻲﺷﻮد و ﺳﺮاﻧﺠﺎم ﺳﻴﺴﺘﻢ از ﻛﺎر ﻣﻲاﻓﺘﺪ‪.‬‬ ‫‪ ،Targa‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي اﺟﺮاي ﺣﻤﻼت ﻣﺨﺘﻠﻒ ‪ DoS‬اﺳﺘﻔﺎده ﺷﻮد‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﻳﻚ ﻧﻮع ﺣﻤﻠﻪ را‬ ‫اﻧﺘﺨﺎب ﻛﻨﺪ و ﺳﭙﺲ آن را اﺟﺮا ﻛﻨﺪ و ﻳﺎ اﻳﻨﻜﻪ ﻫﻤﻪ ﻧﻮع ﺣﻤﻼت را اﻧﺠﺎم دﻫﺪ ﺗﺎ ﻳﻜﻲ از آﻧﻬﺎ ﻣﻮﻓﻘﻴﺖآﻣﻴﺰ ﺑﺎﺷﺪ‪.‬‬ ‫‪ ،RPC Locator‬ﺳﺮوﻳﺴﻲ اﺳﺖ ﻛﻪ ﺑﻪ ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﻮزﻳﻊ ﺷﺪه‪ ،‬اﺟﺎزه اﺟﺮا ﺑﺮ روي ﺷﺒﻜﻪ را ﻣﻲدﻫﺪ‪ .‬و ﻣﺴﺘﻌﺪ ﺣﻤﻼت‬ ‫‪ DoS‬ﻫﺴﺘﻨﺪ و ﺑﺴﻴﺎري از ﺑﺮﻧﺎﻣﻪﻫﺎ ﻛﻪ ﺣﻤﻼت ‪ DoS‬را اﻧﺠﺎم ﻣﻲدﻫﻨﺪ‪ ،‬از اﻳﻦ آﺳﻴﺐ ﭘﺬﻳﺮي اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬

‫ﺣﻤﻼت ‪ DDoS‬ﻣﻲﺗﻮاﻧﻨﺪ ﺗﻮﺳﻂ ‪BOT‬ﻫﺎ و ‪BOTNET‬ﻫﺎ اﻧﺠﺎم ﺷﻮﻧﺪ ﻛﻪ ﺳﻴﺴﺘﻢﻫﺎ را ﺑﻪ ﺧﻄﺮ ﻣﻲاﻧﺪازﻧﺪ و‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﻛﺎرﺑﺮ ﻧﻬﺎﻳﻲ اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪاي ﻛﻪ ﺑﻪ ﺧﻄﺮ ﻣﻲاﻓﺘﺪ‪ ،‬ﻗﺮﺑﺎﻧﻲ ﺛﺎﻧﻮﻳﻪ اﺳﺖ در‬ ‫ﺣﺎﻟﻴﻜﻪ ﺣﻤﻼت ‪ DoS‬و ‪ ،DDoS‬ﻗﺮﺑﺎﻧﻲ اوﻟﻲ را ﻣﻮرد ﻫﺪف ﻗﺮار ﻣﻲدﻫﺪ‪.‬‬ ‫ﻧﺤﻮه ﻛﺎر ﺣﻤﻼت ‪DDoS‬‬ ‫ﺣﻤﻠﻪ ‪ ،DDoS‬ﻧﺴﺨﻪ ﭘﻴﺸﺮﻓﺘﻪ ﺣﻤﻠﻪ ‪ DoS‬اﺳﺖ‪ .‬ﻫﻤﺎﻧﻨﺪ ‪ ،DoS‬ﺣﻤﻠﻪ ‪ DDoS‬ﻧﻴﺰ ﺗﻼش ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﺎ ارﺳﺎل‬ ‫ﺑﺴﺘﻪﻫﺎ ﺑﻪ ﺳﻤﺖ ﺳﻴﺴﺘﻢ ﻣﻘﺼﺪ‪ ،‬دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﺮوﻳﺴﻲ را ﻣﺨﺘﻞ ﻛﻨﺪ‪ .‬ﻧﻜﺘﻪ ﻛﻠﻴﺪي ﺣﻤﻠﻪ ‪ ،DDoS‬اﻳﻦ اﺳﺖ ﻛﻪ ﺑﺠﺎي‬ ‫ﺣﻤﻠﻪ از ﻳﻚ ﺳﻴﺴﺘﻢ‪ ،‬از ﭼﻨﺪﻳﻦ ﺳﻴﺴﺘﻢ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫‪125‬‬

‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Trinoo‬اﺑﺰاري اﺳﺖ ﻛﻪ ﺗﺮاﻓﻴﻚ ‪ UDP‬ارﺳﺎل ﻣﻲﻛﻨﺪ ﺗﺎ ﺣﻤﻠﻪ ‪ DDoS‬را اﻳﺠﺎد ﻛﻨﺪ‪ ،Trinoo master .‬ﺳﻴﺴﺘﻤﻲ‬ ‫اﺳﺖ ﻛﻪ ﺑﺮاي اﺟﺮاي ﺣﻤﻠﻪ ‪ DoS‬ﺑﺮ ﻋﻠﻴﻪ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ ،Master .‬ﭘﺮدازشﻫﺎي ‪agent‬‬ ‫)‪ daemons‬ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد( روي ﺳﻴﺴﺘﻢﻫﺎي ﺑﻪ ﺧﻄﺮ اﻓﺘﺎده ﻗﺒﻠﻲ ﻣﻲﺳﺎزد )ﻗﺮﺑﺎﻧﻲ ﺛﺎﻧﻮي( ﺗﺎ ﺑﻪ ﻳﻚ ﻳﺎ ﭼﻨﺪ آدرس‬ ‫‪ ،IP‬ﺣﻤﻠﻪ ﻛﻨﺪ‪ .‬اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﺑﺮاي ﻣﺪت زﻣﺎن ﻣﺸﺨﺼﻲ اﺗﻔﺎق ﻣﻲاﻓﺘﺪ‪ Trinoo agent .‬ﻳﺎ ‪ ،daemon‬روي ﺳﻴﺴﺘﻤﻲ ﻛﻪ‬ ‫آﺳﻴﺐ ﭘﺬﻳﺮي ‪ buffer overflow‬را دارد‪ ،‬ﻧﺼﺐ ﻣﻲﺷﻮد‪ ،WinTrinoo .‬ﻧﺴﺨﻪ وﻳﻨﺪوزي ‪ Trinoo‬اﺳﺖ و ﺗﻤﺎم ﻗﺎﺑﻠﻴﺖﻫﺎ‬ ‫را ﻣﺜﻞ ‪ Trinoo‬دارد‪.‬‬ ‫‪ ،Shaft‬ﻣﺸﺘﻘﻲ از اﺑﺰار ‪ Trinoo‬اﺳﺖ ﻛﻪ از ارﺗﺒﺎﻃﺎت ‪ UDP‬ﺑﻴﻦ ‪master‬ﻫﺎ و ‪agent‬ﻫﺎ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار‪،‬‬ ‫اﻃﻼﻋﺎﺗﻲ درﺑﺎره ﺣﻤﻠﻪ ‪ flood‬ﻣﻲدﻫﺪ ﻛﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي داﻧﺴﺘﻦ اﻳﻨﻜﻪ ﭼﻪ زﻣﺎﻧﻲ ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ ﺧﺎﻣﻮش ﻣﻲﺷﻮد‪،‬‬ ‫اﺳﺘﻔﺎده ﻛﻨﺪ‪ ،Shaft .‬داراي ﮔﺰﻳﻨﻪﻫﺎي ﺣﻤﻠﻪ ‪ ICMP ،UDP‬و ‪ TCP flooding‬اﺳﺖ‪.‬‬ ‫‪ ،Stacheldraht‬ﻣﺸﺎﺑﻪ ‪ TFN‬اﺳﺖ و ﺷﺎﻣﻞ ﮔﺰﻳﻨﻪﻫﺎﻳﻲ ﺑﺮاي ﺣﻤﻼت ‪ UDP flood ،ICMP flood‬و ‪TCP SYN‬‬ ‫اﺳﺖ‪ .‬ﻫﻤﭽﻨﻴﻦ داراي ارﺗﺒﺎط ‪ telnet‬اﻣﻦ )ﺑﺎ اﺳﺘﻔﺎده از رﻣﺰﮔﺬاري ﻛﻠﻴﺪ ﻣﺘﻘﺎرن( ﺑﻴﻦ ﻫﻜﺮ و ﺳﻴﺴﺘﻢﻫﺎي ‪agent‬‬ ‫)ﻗﺮﺑﺎﻧﻲﻫﺎي ﺛﺎﻧﻮﻳﻪ( اﺳﺖ‪ .‬اﻳﻦ ﺳﺒﺐ ﻣﻲﺷﻮد ﻛﻪ ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢﻫﺎ ﻧﺘﻮاﻧﻨﺪ اﻳﻦ ﺗﺮاﻓﻴﻚ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ‪.‬‬

‫‪126‬‬

‫)‪ ،Tribal Flood Network (TFN‬ﺑﻪ ﻫﻜﺮ اﻳﻦ اﻣﻜﺎن را ﻣﻲدﻫﺪﻛﻪ ﺑﺘﻮاﻧﺪ از ﺣﻤﻼت ‪) bandwidth-depletion‬ﺗﻬﻲ‬ ‫ﺳﺎزي ﭘﻬﻨﺎي ﺑﺎﻧﺪ( و ‪) resource-depletion‬ﺗﻬﻲ ﺳﺎزي ﻣﻨﺎﺑﻊ( اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار‪ ،‬داراي ﺣﻤﻼت ‪UDP‬‬ ‫‪ TCP SYN ،ICMP flooding ،flooding‬و ‪ smurf‬اﺳﺖ‪ TFN2K .‬ﺑﺮ ﻣﺒﻨﺎي ‪ TFN‬اﺳﺖ ﺑﺎ اﻳﻦ ﺗﻔﺎوت ﻛﻪ داراي‬ ‫ﻗﺎﺑﻠﻴﺖﻫﺎﻳﻲ اﺳﺖ ﻛﻪ ﺗﺮاﻓﻴﻚ ‪ TFN2K‬ﺑﻪ ﺳﺨﺘﻲ ﺷﻨﺎﺳﺎﻳﻲ و ﻓﻴﻠﺘﺮ ﺷﻮد‪ .‬ﺑﺼﻮرت راه دور دﺳﺘﻮرات را اﺟﺮا ﻣﻲﻛﻨﺪ‪،‬‬ ‫ﻣﻨﺒﻊ ﺣﻤﻠﻪ را ﺑﺎ اﺳﺘﻔﺎده از ‪ IP spoofing‬ﻣﺨﻔﻲ ﻣﻲﻛﻨﺪ و از ﭼﻨﺪﻳﻦ ﭘﺮوﺗﻜﻞ ﻻﻳﻪ اﻧﺘﻘﺎل )‪ (transport‬ﻣﺜﻞ ‪،UDP‬‬ ‫‪ TCP‬و ‪ ICMP‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،Mstream‬از ﺑﺴﺘﻪﻫﺎي ‪ TCP‬ﺟﻌﻠﻲ ﺑﺎ ‪ ACK flag‬ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ و ﺷﺎﻣﻞ ﻳﻚ ‪ handler‬و ﻳﻚ‬ ‫ﺑﺨﺶ ‪ agent‬اﺳﺖ ﻛﻪ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﺑﺨﺶ ‪ handler‬ﻧﻴﺎز ﺑﻪ ﭘﺴﻮرد اﺳﺖ‪.‬‬

‫ﺳﺮوﻳﺲﻫﺎﻳﻲ ﻛﻪ در ﺣﻤﻠﻪ ﻣﺨﺘﻞ ﻣﻲﺷﻮﻧﺪ را ﻗﺮﺑﺎﻧﻴﺎن اﺻﻠﻲ‪ ،‬و ﺳﻴﺴﺘﻢﻫﺎﻳﻲ ﻛﻪ از آﻧﻬﺎ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ اﺳﺘﻔﺎده‬ ‫ﻣﻲﺷﻮﻧﺪ را ﻗﺮﺑﺎﻧﻴﺎن ﺛﺎﻧﻮي ﻳﺎ ‪zombie‬ﻫﺎ ﻳﺎ ‪BOT‬ﻫﺎ ﻣﻲﻧﺎﻣﻨﺪ‪ .‬ﻣﻌﻤﻮﻻ اﻳﻦ ﺳﻴﺴﺘﻢﻫﺎ از ﻃﺮﻳﻖ ﺣﻤﻠﻪ دﻳﮕﺮي ﻫﻚ‬ ‫ﺷﺪهاﻧﺪ و ﺳﭙﺲ از آﻧﻬﺎ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ ﺑﺮ ﻋﻠﻴﻪ ﻗﺮﺑﺎﻧﻲ اﺻﻠﻲ در زﻣﺎن ﻳﺎ در ﺷﺮاﻳﻂ ﻣﺸﺨﺺ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬در اﻳﻦ‬ ‫ﺣﺎﻟﺖ‪ ،‬ردﻳﺎﺑﻲ ﺣﻤﻠﻪ دﺷﻮار اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺣﻤﻠﻪ از ﻃﺮﻳﻖ ﭼﻨﺪﻳﻦ آدرس ‪ IP‬ﺷﻜﻞ ﮔﺮﻓﺘﻪ اﺳﺖ‪.‬‬

‫در ﺣﺎﻟﺖ ﻃﺒﻴﻌﻲ‪ ،‬ﺣﻤﻠﻪ ‪ DDoS‬ﺷﺎﻣﻞ ﺳﻪ ﺑﺨﺶ اﺳﺖ‪:‬‬ ‫•‬ ‫•‬ ‫•‬

‫‪Master/ Handler‬‬ ‫‪Slave/ secondary victim/ zombie/ agent/ BOT/ BOTNET‬‬ ‫‪Victim/ primary victim‬‬ ‫ﻛﻪ ‪ ،master‬ﺷﺮوع ﻛﻨﻨﺪه ﺣﻤﻠﻪ اﺳﺖ‪ ،slave .‬دﺳﺘﮕﺎﻫﻲ اﺳﺖ ﻛﻪ ﺗﻮﺳﻂ ‪ master‬ﺑﻪ ﺧﻄﺮ اﻓﺘﺎده اﺳﺖ‪،Vitim .‬‬

‫ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺖ‪ ،master .‬دﺳﺘﮕﺎهﻫﺎي ‪ slave‬را ﻫﺪاﻳﺖ ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ‪ ،‬ﺣﻤﻠﻪ اﻧﺠﺎم دﻫﻨﺪ‪.‬‬

‫‪127‬‬

‫ﺣﻤﻠﻪ ‪ ،DDoS‬در دو ﻣﺮﺣﻠﻪ اﻧﺠﺎم ﻣﻲﮔﻴﺮد‪ .‬ﻫﻜﺮ در ﻣﺮﺣﻠﻪ ‪ ،intrusion‬ﺳﻴﺴﺘﻢﻫﺎي ﺿﻌﻴﻒ در ﺷﺒﻜﻪﻫﺎي‬ ‫ﻣﺨﺘﻠﻒ را ﺑﻪ دﺳﺖ ﻣﻲﮔﻴﺮد و اﺑﺰارﻫﺎي ‪ DDoS‬را روي ﺳﻴﺴﺘﻢﻫﺎي ‪ slave‬ﻧﺼﺐ ﻣﻲﻛﻨﺪ‪ .‬در ﻣﺮﺣﻠﻪ ‪،attack‬‬ ‫ﺳﻴﺴﺘﻢﻫﺎي ‪ ،slave‬ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ ﺑﻪ ﻗﺮﺑﺎﻧﻲ اﺻﻠﻲ اﻗﺪام ﻣﻲﻛﻨﻨﺪ‪.‬‬

‫دﺳﺘﻪ ﺑﻨﺪي ﺣﻤﻼت ‪:DDoS‬‬

‫‪128‬‬

‫ﻧﺤﻮه ﻛﺎر ‪BOT‬ﻫﺎ و ‪BOTNET‬ﻫﺎ‬ ‫‪ ،BOT‬ﺧﻼﺻﻪ روﺑﺎت وب )‪ ،(web robot‬ﻧﺮماﻓﺰاري ﺧﻮدﻛﺎر اﺳﺖ ﻛﻪ ﺑﺼﻮرت ﻫﻮﺷﻤﻨﺪاﻧﻪ ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪ .‬ﻣﻌﻤﻮﻻ‬ ‫ﻧﺮماﻓﺰارﻫﺎي اﺳﭙﻢ )‪spammer‬ﻫﺎ( از ‪BOT‬ﻫﺎ ﺑﺮاي ﺧﻮدﻛﺎرﺳﺎزي ارﺳﺎل ﺑﺴﺘﻪﻫﺎي اﺳﭙﻢ ﺑﺮاي ﮔﺮوهﻫﺎي ﺧﺒﺮي ﻳﺎ ارﺳﺎل‬ ‫اﻳﻤﻴﻞ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ‪BOT‬ﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ ﻋﻨﻮان اﺑﺰارﻫﺎي ﺣﻤﻠﻪ از راه دور‪ ،‬اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪ .‬اﻏﻠﺐ‪،‬‬ ‫‪BOT‬ﻫﺎ‪agent ،‬ﻫﺎي وﺑﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺎ ﺻﻔﺤﺎت وب ﺗﻌﺎﻣﻞ دارﻧﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪web crawler ،‬ﻫﺎ )‪spider‬ﻫﺎ(‪ ،‬روﺑﺎتﻫﺎي‬ ‫وﺑﻲ ﻫﺴﺘﻨﺪ ﻛﻪ اﻃﻼﻋﺎت ﺻﻔﺤﺎت وب را ﺟﻤﻊآوري ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫ﺧﻄﺮﻧﺎكﺗﺮﻳﻦ ‪BOT‬ﻫﺎ آﻧﻬﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺧﻮد را ﺑﺼﻮرت ﻣﺨﻔﻴﺎﻧﻪ ﺑﺮ روي ﻛﺎﻣﭙﻴﻮﺗﺮ ﻛﺎرﺑﺮان ﻧﺼﺐ ﻣﻲﻛﻨﻨﺪ ﺗﺎ‬ ‫اﻫﺪاف ﺷﻮم ﺧﻮد را اﻧﺠﺎم دﻫﻨﺪ‪ .‬ﺑﺮﺧﻲ از ‪BOT‬ﻫﺎ‪ ،‬ﺑﺎ اﺳﺘﻔﺎده از ‪ IRC‬ﻳﺎ اﻳﻨﺘﺮﻓﻴﺲﻫﺎي دﻳﮕﺮ وب‪ ،‬ﺑﺎ ﻛﺎرﺑﺮان دﻳﮕﺮ‬ ‫ﺳﺮوﻳﺲﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ وب‪ ،‬ارﺗﺒﺎط دارﻧﺪ‪ .‬اﻳﻦ ‪BOT‬ﻫﺎ اﻏﻠﺐ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺴﻴﺎري از وﻇﺎﻳﻒ را اﻧﺠﺎم دﻫﻨﺪ و ﮔﺰارش آب و‬ ‫ﻫﻮا‪ ،‬اﻃﻼﻋﺎت ﻛﺪ ﭘﺴﺘﻲ‪ ،‬ﻧﺘﺎﻳﺞ ورزشﻫﺎ‪ ،‬ﺗﺒﺪﻳﻞ واﺣﺪﻫﺎ و اﻧﺪازهﻫﺎ از ﻗﺒﻴﻞ ارز‪ ،‬و ‪ ...‬را دارﻧﺪ‪.‬‬ ‫‪ ،BOTNET‬ﮔﺮوﻫﻲ از ﺳﻴﺴﺘﻢﻫﺎي ‪ BOT‬اﺳﺖ‪BOTNET .‬ﻫﺎ ﭼﻨﺪﻳﻦ ﻫﺪف دارﻧﺪ از ﻗﺒﻴﻞ ﺣﻤﻼت ‪،DDoS‬‬ ‫اﻳﺠﺎد ﻳﺎ ﺳﻮاﺳﺘﻔﺎده از ‪ SMTP‬ﺑﺮاي اﺳﭙﻢ‪ ،‬ﻛﻼﻫﺒﺮداري ﺑﺎزارﻳﺎﺑﻲ اﻳﻨﺘﺮﻧﺘﻲ‪ ،‬ﺳﺮﻗﺖ ﺷﻤﺎره ﺳﺮﻳﺎلﻫﺎي ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬ﻧﺎمﻫﺎي‬ ‫ﻛﺎرﺑﺮي‪ ،‬و اﻃﻼﻋﺎت ﻣﺎﻟﻲ از ﻗﺒﻴﻞ ﺷﻤﺎرهﻫﺎي ﻛﺎرت اﻋﺘﺒﺎري‪ .‬ﺑﻄﻮر ﻛﻠﻲ‪ ،BOTNET ،‬ﺑﻪ ﮔﺮوﻫﻲ از ﺳﻴﺴﺘﻢﻫﺎي ﻫﻚ‬ ‫ﺷﺪه اﻃﻼق ﻣﻲﺷﻮد ﻛﻪ ﺑﻪ ﻣﻨﻈﻮر اﺟﺮاي ﺣﻤﻠﻪ ‪ DDoS‬ﻫﻤﺎﻫﻨﮓ ﺷﺪه‪ BOT ،‬را اﺟﺮا ﻣﻲﻛﻨﻨﺪ‪.‬‬

‫‪129‬‬

‫ﺣﻤﻠﻪ ‪ smurf‬ﭼﻴﺴﺖ؟‬ ‫ﺣﻤﻠﻪ ‪ ،smurf‬ﺗﻌﺪاد زﻳﺎدي ﺗﺮاﻓﻴﻚ ‪ ICMP‬ارﺳﺎل ﻣﻲﻛﻨﺪ ﺗﺎ آدرسﻫﺎي ‪ IP‬ﺑﺎ آدرس ﻣﻨﺒﻊ ﺟﻌﻠﻲ ﺷﺪه ﻗﺮﺑﺎﻧﻲ را‬ ‫‪ broadcast‬ﻛﻨﺪ‪ .‬ﻫﺮ ﻣﺎﺷﻴﻦ ﻗﺮﺑﺎﻧﻲ ﺛﺎﻧﻮي ﻣﻮﺟﻮد ﺑﺮ روي ﺷﺒﻜﻪ‪ ،‬ﺑﻪ درﺧﻮاﺳﺖﻫﺎي ‪ ICMP‬ﭘﺎﺳﺦ ﻣﻲدﻫﺪ و ﺑﺎ ﭘﺎﺳﺦ ﺑﻪ‬ ‫ﻣﺎﺷﻴﻦﻫﺎ‪ ،‬ﺗﺮاﻓﻴﻚ را ﺗﻜﺜﻴﺮ ﻣﻲﻛﻨﻨﺪ‪ .‬در ﺷﺒﻜﻪﻫﺎي ‪ broadcast‬ﺑﺎ دﺳﺘﺮﺳﻲ ﭼﻨﺪﮔﺎﻧﻪ‪ ،‬ﻣﻤﻜﻦ اﺳﺖ ﺻﺪﻫﺎ ﻣﺎﺷﻴﻦ ﺑﻪ‬ ‫ﺑﺴﺘﻪﻫﺎ ﭘﺎﺳﺦ دﻫﻨﺪ‪ .‬اﻳﻨﻜﺎر ﺑﺎﻋﺚ ﻣﻲﺷﻮد ﻛﻪ ﻳﻚ ﺣﻤﻠﻪ ‪ DoS‬از ﭘﺎﺳﺦﻫﺎي ‪ ping‬ﺑﺴﺎزد و ﻗﺮﺑﺎﻧﻲ اوﻟﻲ را ‪ flood‬ﻛﻨﻨﺪ‪.‬‬ ‫ﺳﺮورﻫﺎي ‪ ،IRC‬ﻗﺮﺑﺎﻧﻲ اوﻟﻴﻪ از ﺣﻤﻼت ‪ smurf‬روي اﻳﻨﺘﺮﻧﺖ ﻫﺴﺘﻨﺪ‪.‬‬

‫‪ SYN flooding‬ﭼﻴﺴﺖ؟‬ ‫ﺣﻤﻠﻪ ‪ ،SYN flood‬درﺧﻮاﺳﺖﻫﺎي ارﺗﺒﺎط ‪ TCP‬را ﺳﺮﻳﻌﺘﺮ از زﻣﺎﻧﻴﻜﻪ ﻳﻚ ﻣﺎﺷﻴﻦ ﺑﺘﻮاﻧﺪ آﻧﻬﺎ را ﭘﺮدازش ﻛﻨﺪ‪،‬‬ ‫ارﺳﺎل ﻣﻲﻛﻨﺪ‪ .‬ﻫﻜﺮ‪ ،‬ﺑﺮاي ﻫﺮ ﺑﺴﺘﻪ‪ ،‬آدرس ﻣﻨﺒﻊ ﺗﺼﺎدﻓﻲ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ و ﺑﻴﺖ ‪ SYN‬را ﺑﺮاي اﻳﺠﺎد درﺧﻮاﺳﺖ ارﺗﺒﺎط‬ ‫‪130‬‬

‫ﺟﺪﻳﺪ ﺑﻪ ﺳﺮور از ﻃﺮف آدرس ‪ IP‬ﺟﻌﻠﻲ‪ ،‬ﺳﺖ ﻣﻲﻛﻨﺪ‪ .‬ﻗﺮﺑﺎﻧﻲ‪ ،‬ﺑﻪ آدرس ‪ IP‬ﺟﻌﻠﻲ )‪ (spoofed‬ﭘﺎﺳﺦ ﻣﻲدﻫﺪ و ﺳﭙﺲ‬ ‫ﺑﺮاي ﺗﺎﺋﻴﺪ ‪ TCP‬ﻣﻨﺘﻈﺮ ﻣﻲﻣﺎﻧﺪ وﻟﻲ ﻫﻴﭻ وﻗﺖ ﭘﺎﺳﺨﻲ درﻳﺎﻓﺖ ﻧﻤﻲﻛﻨﺪ‪ .‬در ﻧﺘﻴﺠﻪ‪ ،‬ﺟﺪول ارﺗﺒﺎط ﻗﺮﺑﺎﻧﻲ ﺑﺎ ﺣﺎﻟﺖﻫﺎي‬ ‫"اﻧﺘﻈﺎر ﭘﺎﺳﺦ" ﭘﺮ ﻣﻲﺷﻮد و ارﺗﺒﺎﻃﺎت ﺟﺪﻳﺪ ﻧﺎدﻳﺪه ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﻧﺪ ﻛﺎرﺑﺮان ﻣﺸﺮوع‪ ،‬ﻧﺎدﻳﺪه ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﻧﺪ و ﻧﻤﻲﺗﻮاﻧﻨﺪ‬ ‫ﺑﻪ ﺳﺮور دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ .‬ﺑﺮﺧﻲ از روشﻫﺎي ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻼت ‪ ،SYN flood‬ﻋﺒﺎرﺗﻨﺪ از‪،SYN cookies :‬‬ ‫‪ Micro Blocks ،RST cookies‬و ‪.Stack Tweaking‬‬

‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪ DoS‬و ‪DDoS‬‬ ‫ﭼﻨﺪﻳﻦ روش ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ‪ ،‬از ﺑﻴﻦ ﺑﺮدن ﻳﺎ ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻼت ‪ DoS‬وﺟﻮد دارد‪ .‬در زﻳﺮ ﻟﻴﺴﺖ ﺑﺮﺧﻲ از‬ ‫راﻳﺞﺗﺮﻳﻦ ﻗﺎﺑﻠﻴﺖﻫﺎي اﻣﻨﻴﺘﻲ ﻗﺎﺑﻞ دﺳﺘﺮس آورده ﺷﺪه اﺳﺖ‪:‬‬ ‫ﻓﻴﻠﺘﺮﻳﻨﮓ ‪ :network-ingress‬ﺗﻤﺎم ﻛﺴﺎﻧﻴﻜﻪ اﻣﻜﺎن دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ را ﻣﻲدﻫﻨﺪ ﺑﺎﻳﺪ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺗﺰرﻳﻖ‬ ‫ﺑﺴﺘﻪﻫﺎي ﺑﺎ آدرسﻫﺎي ﺟﻌﻠﻲ ﺑﻪ اﻳﻨﺘﺮﻧﺖ‪ ،‬از ﻓﻴﻠﺘﺮﻳﻨﮓ ‪ network-ingress‬اﺳﺘﻔﺎده ﻛﻨﻨﺪ‪ .‬ﻫﺮ ﭼﻨﺪ ﻛﻪ اﻳﻨﻜﺎر از ﺑﺮوز‬ ‫ﺣﻤﻠﻪ ﭘﻴﺸﮕﻴﺮي ﻧﻤﻲﻛﻨﻨﺪ‪ ،‬اﻣﺎ ردﮔﻴﺮي ﻣﻨﺒﻊ ﺣﻤﻠﻪ و ﻣﺘﻮﻗﻒ ﺳﺎﺧﺘﻦ آن را ﺧﻴﻠﻲ ﺳﺮﻳﻊﺗﺮ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ ‪ :rate-limiting‬ﺑﺴﻴﺎري از روﺗﺮﻫﺎي ﻣﻮﺟﻮد در ﺑﺎزار‪ ،‬ﻗﺎﺑﻠﻴﺖﻫﺎﻳﻲ ﻛﻪ ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﺤﺪود ﺳﺎﺧﺘﻦ‬ ‫ﻣﻘﺪار ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺑﻌﻀﻲ از ﺗﺮاﻓﻴﻚﻫﺎ را ﻣﻲدﻫﻨﺪ‪ ،‬وﺟﻮد دارﻧﺪ‪ .‬اﻳﻦ ﻗﺎﺑﻠﻴﺖ ﺑﺎ ﻧﺎم ‪ traffic shaping‬ﻧﻴﺰ ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪.‬‬ ‫ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ‪ :‬ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻫﻜﺮﻫﺎﻳﻲ ﻛﻪ ﺑﺎ ﻣﺎﺷﻴﻦﻫﺎي ‪ slave ،master‬ﻳﺎ ‪ agent‬ارﺗﺒﺎط ﺑﺮﻗﺮار‬ ‫ﻣﻲﻛﻨﻨﺪ‪ ،‬از ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪ .‬اﺳﺘﻔﺎده از آن‪ ،‬اﻳﻦ اﻣﻜﺎن را ﻣﻲدﻫﺪ ﻛﻪ ﺑﺪاﻧﻴﺪ آﻳﺎ ﻣﺎﺷﻴﻨﻲ ﺑﺮ‬ ‫روي ﺷﺒﻜﻪ‪ ،‬ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ ﺷﻨﺎﺧﺘﻪ ﺷﺪهاي اﺳﺘﻔﺎده ﻣﻲﺷﻮد ﻳﺎ ﻧﻪ‪ .‬اﻣﺎ ﻣﻤﻜﻦ اﺳﺖ ﺣﻤﻼت ﻳﺎ اﺑﺰارﻫﺎي ﺟﺪﻳﺪي را‬ ‫ﺷﻨﺎﺳﺎﻳﻲ ﻧﻜﻨﺪ‪ .‬ﺑﺴﻴﺎري از ﺳﺎزﻧﺪﮔﺎن ‪ ،IDS‬ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪاي ‪ TFN ،Trinoo‬ﻳﺎ ‪ ،Stacheldraht‬از‬ ‫‪ signature‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ‪ :Host-auditing‬اﺑﺰارﻫﺎﻳﻲ ﺑﺮاي اﺳﻜﻦ ﻓﺎﻳﻞ وﺟﻮد دارﻧﺪ ﻛﻪ ﺗﻼش ﻣﻲﻛﻨﻨﺪ ﺗﺎ اﺑﺰارﻫﺎي ﻛﻼﻳﻨﺘﻲ و ﺳﺮوري‬ ‫‪ DDoS‬را در ﻳﻚ ﺳﻴﺴﺘﻢ ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ‪ :Network-auditing‬اﺑﺰارﻫﺎي اﺳﻜﻦ ﺷﺒﻜﻪاي ﻫﺴﺘﻨﺪ ﻛﻪ ﺗﻼش ﻣﻲﻛﻨﻨﺪ ‪agent‬ﻫﺎي ‪ DDoS‬ﻛﻪ در‬ ‫ﻣﺎﺷﻴﻦﻫﺎ ﻳﺎ در ﺷﺒﻜﻪ ﺷﻤﺎ وﺟﻮد دارﻧﺪ را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ﺧﻮدﻛﺎر ردﻳﺎﺑﻲ ﺷﺒﻜﻪ‪ :‬ردﮔﻴﺮي ﺟﺮﻳﺎن ﺑﺴﺘﻪﻫﺎ در ﺷﺒﻜﻪ ﺑﺎ آدرسﻫﺎي ﺟﻌﻠﻲ‪ ،‬ﻛﺎر زﻣﺎنﮔﻴﺮي اﺳﺖ ﻛﻪ ﺑﻪ‬ ‫ﻫﻤﻜﺎري ﺑﻴﻦ ﺗﻤﺎم ﺷﺒﻜﻪ ﻧﻴﺎز دارد ﺗﺎ ﺗﺮاﻓﻴﻚ را اﻧﺘﻘﺎل دﻫﺪ و ﺑﺎﻳﺪ در زﻣﺎﻧﻴﻜﻪ ﺣﻤﻠﻪ در ﺣﺎل اﻧﺠﺎم اﺳﺖ‪ ،‬ﺻﻮرت ﮔﻴﺮد‪.‬‬

‫‪131‬‬

‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Find_ddos‬اﺑﺰاري ﺑﺮاي اﺳﻜﻦ ﺳﻴﺴﺘﻢ ﻣﺤﻠﻲ اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﺴﻴﺎري از ﺑﺮﻧﺎﻣﻪﻫﺎي ﺷﻨﺎﺧﺘﻪ ﺷﺪه ﺑﺮاي ﺣﻤﻠﻪ ‪DoS‬‬ ‫را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ‪.‬‬ ‫‪ ،SARA‬ﺑﺎ آزﻣﺎﻳﺶ ﺳﺮوﻳﺲﻫﺎي ﺷﺒﻜﻪاي‪ ،‬اﻃﻼﻋﺎﺗﻲ درﺑﺎره ﻣﺎﺷﻴﻦﻫﺎ و ﺷﺒﻜﻪﻫﺎي راه دور ﺟﻤﻊآوري ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ اﺑﺰار‬ ‫ﺷﺎﻣﻞ اﻃﻼﻋﺎﺗﻲ درﺑﺎره ﺳﺮوﻳﺲﻫﺎي ﺷﺒﻜﻪاي و آﺳﻴﺐﻫﺎي اﻣﻨﻴﺘﻲ ﺑﺎﻟﻘﻮه از ﻗﺒﻴﻞ ﭘﻴﻜﺮﺑﻨﺪي ﻧﺎدرﺳﺖ ﺳﺮوﻳﺲﻫﺎ‪،‬‬ ‫ﻣﺸﻜﻼت ﺷﻨﺎﺧﺘﻪ ﺷﺪه ﻧﺮماﻓﺰارﻫﺎي ﺳﻴﺴﺘﻤﻲ ﻳﺎ ﺷﺒﻜﻪاي اراﺋﻪ ﻣﻲدﻫﺪ‪.‬‬ ‫‪ ،RID‬اﺑﺰاري راﻳﮕﺎن ﺑﺮاي اﺳﻜﻦ اﺳﺖ ﻛﻪ وﺟﻮد ﻛﻼﻳﻨﺖﻫﺎي ‪ ،TFN ،Trinoo‬ﻳﺎ ‪ Stacheldraht‬را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،Zombie Zapper‬روالﻫﺎ و روﺗﻴﻦﻫﺎي ‪ zombie‬را ﺑﻪ ﺣﺎﻟﺖ ﺧﻮاب )‪ (sleep‬ﻣﻲﺑﺮد ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﺣﻤﻠﻪ آﻧﻬﺎ را ﻣﺘﻮﻗﻒ‬ ‫ﻣﻲﻛﻨﺪ‪ .‬ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ از ﻫﻤﺎن دﺳﺘﻮرات ﻫﻜﺮ ﺑﺮاي ﻣﺘﻮﻗﻒ ﻛﺮدن ﺣﻤﻠﻪ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬

‫‪Session Hijacking‬‬ ‫‪ ،Session hijacking‬زﻣﺎﻧﻲ اﺳﺖ ﻛﻪ ﻫﻜﺮ‪ ،‬ﻛﻨﺘﺮل ﻧﺸﺴﺖ ﻛﺎرﺑﺮ را ﭘﺲ از اﺣﺮاز ﻫﻮﻳﺖ ﻣﻮﻓﻘﻴﺖ آﻣﻴﺰ او ﺑﺎ ﺳﺮور‪،‬‬ ‫ﺑﺪﺳﺖ ﻣﻲﮔﻴﺮد‪ ،Session hijacking .‬ﺣﻤﻠﻪاي اﺳﺖ ﻛﻪ ‪ ID‬ﻧﺸﺴﺖﻫﺎي ﺟﺎري ارﺗﺒﺎﻃﺎت ﻛﻼﻳﻨﺖ و ﺳﺮور را ﺷﻨﺎﺳﺎﻳﻲ‬ ‫ﻣﻲﻛﻨﺪ و ﻧﺸﺴﺖ ﻛﺎرﺑﺮ را ﻣﻲدزد‪ ،Session hijacking .‬ﺑﺎ اﺑﺰارﻫﺎﻳﻲ ﻛﻪ ﭘﻴﺸﮕﻮﻳﻲ ‪ sequence number‬را اﻧﺠﺎم‬ ‫ﻣﻲدﻫﻨﺪ‪ ،‬ﻛﺎر ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪132‬‬

‫‪ Spoofing‬و ‪Hijacking‬‬ ‫ﺣﻤﻼت ‪ ،spoofing‬ﺑﺎ ﺣﻤﻼت ‪ hijacking‬ﺗﻔﺎوت دارﻧﺪ‪ .‬در ﺣﻤﻠﻪ ‪ ،spoofing‬ﻫﻜﺮ اﺳﺘﺮاق ﺳﻤﻊ ﻣﻲﻛﻨﺪ و ﺑﻪ‬ ‫ﺗﺮاﻓﻴﻜﻲ ﻛﻪ از ﻃﺮﻳﻖ ﺷﺒﻜﻪ ﻋﺒﻮر داده ﻣﻲﺷﻮد ﮔﻮش ﻣﻲﻛﻨﺪ ﺳﭙﺲ از اﻳﻦ اﻃﻼﻋﺎت ﺟﻤﻊآوري ﺷﺪه ﺑﺮاي ‪ spoof‬ﻳﺎ‬ ‫ﺑﺮاي اﺳﺘﻔﺎده از آدرس ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﺸﺮوع اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ )ﺷﻜﻞ زﻳﺮ(‪.‬‬

‫اﻣﺎ ‪ ،hijacking‬ﺑﺮاي آﻓﻼﻳﻦ ﻛﺮدن ﻛﺎرﺑﺮ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ اﺳﺖ‪ .‬ﻫﻜﺮ‪ ،‬ﺑﻪ ﻛﺎرﺑﺮ ﻣﺸﺮوع اﺳﺘﻨﺎد ﻣﻲﻛﻨﺪ ﺗﺎ ارﺗﺒﺎط‬ ‫را ﺗﺸﻜﻴﻞ دﻫﺪ و اﺣﺮاز ﻫﻮﻳﺖ ﻛﻨﺪ ﭘﺲ از آن‪ ،‬ﻫﻜﺮ ﻧﺸﺴﺖ را ﺑﻪ دﺳﺖ ﻣﻲﮔﻴﺮد و ﻧﺸﺴﺖ ﻛﺎرﺑﺮ ﻣﺸﺮوع‪ ،‬ﻗﻄﻊ ﻣﻲﺷﻮد‬ ‫)ﺷﻜﻞ زﻳﺮ(‪.‬‬

‫‪133‬‬

‫ﺑﺮاي داﺋﻤﻲ ﻛﺮدن ﻳﻚ ﺣﻤﻠﻪ‪ ،Session hijacking ،‬ﺳﻪ ﻣﺮﺣﻠﻪ دارد‪:‬‬ ‫ردﮔﻴﺮي ﻧﺸﺴﺖ‪ :‬ﻫﻜﺮ‪ ،‬ﻧﺸﺴﺖ ﺑﺎز را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ و ‪ sequence number‬ﺑﺴﺘﻪ ﺑﻌﺪي را ﭘﻴﺶ ﺑﻴﻨﻲ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﻏﻴﺮ ﻫﻤﺰﻣﺎن ﻛﺮدن ارﺗﺒﺎط‪ :‬ﻫﻜﺮ‪ ،‬ﻳﻚ ﺑﺴﺘﻪ ‪ RST‬ﻳﺎ ‪ FIN‬را ﺑﻪ ﺳﻴﺴﺘﻢ ﻛﺎرﺑﺮ ﻣﺸﺮوع ﻣﻲﻓﺮﺳﺘﺪ ﺗﺎ ﻧﺸﺴﺖ آﻧﻬﺎ ﺑﺴﺘﻪ‬ ‫ﺷﻮد‪.‬‬ ‫ﺗﺰرﻳﻖ ﺑﺴﺘﻪ ﻫﻜﺮ‪ :‬ﻫﻜﺮ‪ ،‬ﻳﻚ ﺑﺴﺘﻪ ‪ TCP‬ﺑﺎ ‪ sequence number‬ﭘﻴﺸﮕﻮﻳﻲ ﺷﺪه‪ ،‬ﺑﻪ ﺳﺮور ارﺳﺎل ﻣﻲﻛﻨﺪ و ﺳﺮور‪ ،‬آن‬ ‫را ﺑﻪ ﻋﻨﻮان ﺑﺴﺘﻪ ﺑﻌﺪي ﻛﺎرﺑﺮ ﻣﺸﺮوع ﻣﻲﭘﺬﻳﺮد‪.‬‬

‫اﻧﻮاع ‪session hijacking‬‬ ‫ﻫﻜﺮﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ از دو ﻧﻮع ‪ Session hijacking‬اﺳﺘﻔﺎده ﻛﻨﻨﺪ‪ :‬اﻛﺘﻴﻮ و ﭘﺴﻴﻮ‪ .‬اوﻟﻴﻦ ﺗﻔﺎوت ﺑﻴﻦ آﻧﻬﺎ ﺳﻄﺢ‬ ‫درﮔﻴﺮي ﻫﻜﺮ در ﻧﺸﺴﺖ اﺳﺖ‪ .‬در ﺣﻤﻠﻪ اﻛﺘﻴﻮ‪ ،‬ﻫﻜﺮ ﺑﻪ دﻧﺒﺎل ﻧﺸﺴﺖ ﻓﻌﺎل اﺳﺖ و ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎﻳﻲ ﻛﻪ‬ ‫‪ sequence number‬را در ﻧﺸﺴﺖﻫﺎي ‪ ،TCP‬ﭘﻴﺸﮕﻮﻳﻲ ﻣﻲﻛﻨﻨﺪ‪ ،‬ﻧﺸﺴﺖ را ﺑﺪﺳﺖ ﻣﻲﮔﻴﺮد‪.‬‬

‫در ﺣﻤﻠﻪ ﭘﺴﻴﻮ‪ ،‬ﻫﻜﺮ‪ ،‬زﻣﺎﻧﻴﻜﻪ ﺗﺮاﻓﻴﻚ ارﺳﺎﻟﻲ ﺗﻮﺳﻂ ﻛﺎرﺑﺮ ﻣﺸﺮوع را ﺛﺒﺖ ﻣﻲﻛﻨﺪ‪ ،‬ﻧﺸﺴﺖ را ﺑﺪﺳﺖ ﻣﻲﮔﻴﺮد‪.‬‬ ‫ﺣﺎﻟﺖ ﭘﺴﻴﻮ‪ ،‬ﻣﺜﻞ اﺳﺘﺮاق ﺳﻤﻊ اﺳﺖ‪ .‬ﺑﺮاي ﺟﻤﻊاوري اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ ﭘﺴﻮردﻫﺎ و ﺳﭙﺲ اﺳﺘﻔﺎده از آن اﻃﻼﻋﺎت ﺑﺮاي‬ ‫اﺣﺮاز ﻫﻮﻳﺖ ﺑﻪ ﻋﻨﻮان ﻳﻚ اﻳﺠﺎد ﻳﻚ ﻧﺸﺴﺖ ﺟﺪاﮔﺎﻧﻪ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬

‫‪134‬‬

‫ﻣﻔﺎﻫﻴﻢ ‪ :TCP‬دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي‬ ‫ﻳﻜﻲ از ﻗﺎﺑﻠﻴﺖﻫﺎي ‪ ،TCP‬ﻗﺎﺑﻠﻴﺖ اﻋﺘﻤﺎد و ﺗﺤﻮﻳﻞ ﺑﺴﺘﻪﻫﺎ اﺳﺖ‪ .‬ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر‪ TCP ،‬از ﺑﺴﺘﻪﻫﺎي ‪ ACK‬و‬ ‫‪sequence number‬ﻫﺎ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬دﺳﺘﻜﺎري اﻳﻦ ﺷﻤﺎرهﻫﺎ‪ ،‬اﺻﻮل ‪ TCP session hijacking‬اﺳﺖ‪ .‬ﺑﺮاي درك‬ ‫اﻳﻦ ﻣﻮﺿﻮع‪ ،‬اﺟﺎزه دﻫﻴﺪ ﻧﮕﺎﻫﻲ ﺑﻪ دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي ‪ TCP‬داﺷﺘﻪ ﺑﺎﺷﻴﻢ‪:‬‬ ‫‪ .1‬ﻛﺎرﺑﺮ ﻣﺸﺮوع‪ ،‬ارﺗﺒﺎﻃﻲ را ﺑﺎ ﺳﺮور ﺷﺮوع ﻣﻲﻛﻨﺪ‪ .‬اﻳﻨﻜﺎر ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪ ﺑﺎ ﺑﻴﺖ ‪ SYN‬و ‪sequence number‬‬ ‫آﻏﺎزﻳﻦ )‪ (ISN‬از ﻃﺮف ﻛﺎرﺑﺮ ﻣﺸﺮوع ﺑﻪ ﺳﻤﺖ ﺳﺮور اﻧﺠﺎم ﻣﻲﮔﻴﺮد‪.‬‬ ‫‪ .2‬ﺳﺮور‪ ،‬اﻳﻦ ﺑﺴﺘﻪ را درﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ و در ﭘﺎﺳﺦ‪ ،‬ﺑﺴﺘﻪاي را ﺑﺎ ﺑﻴﺖ ‪ SYN‬و ‪ ISBN‬ﺑﻪ ﻋﻼوه ﺑﻴﺖ ‪ ACK‬ﻛﻪ‬ ‫ﻣﻘﺪار ‪ sequence number‬آن ﻳﻚ واﺣﺪ اﻓﺰاﻳﺶ ﻳﺎﻓﺘﻪ اﺳﺖ‪ ،‬ارﺳﺎل ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ .3‬ﻛﺎرﺑﺮ ﻣﺸﺮوع‪ ،‬ﺑﺎزﺧﻮردي ﺑﻪ ﺳﺮور ﺑﺎ ﺑﺮﮔﺸﺖ ﺑﺴﺘﻪ ﺑﺎ ﺑﻴﺖ ‪ ACK‬و اﻓﺰاﻳﺶ ‪ ،sequence number‬ﻣﻲدﻫﺪ‪.‬‬ ‫اﻳﻦ ارﺗﺒﺎط ﻣﻲﺗﻮاﻧﺪ از ﻫﺮ دو ﻃﺮف ﺑﻪ ﻋﻠﺖ ‪ ،timeout‬ﻳﺎ درﻳﺎﻓﺖ ﺑﺴﺘﻪ ﺑﺎ ‪flag‬ﻫﺎي ‪ FIN‬ﻳﺎ ‪ ،RST‬ﺑﺴﺘﻪ ﺷﻮد‪.‬‬ ‫زﻣﺎﻧﻴﻜﻪ ﺑﺴﺘﻪاي ﺑﺎ ﺑﻴﺖ ‪ ،RST‬درﻳﺎﻓﺖ ﺷﺪ‪ ،‬ﺳﻴﺴﺘﻢ درﻳﺎﻓﺖ ﻛﻨﻨﺪه‪ ،‬ارﺗﺒﺎط را ﻣﻲﺑﻨﺪد و ﻫﺮ ﺑﺴﺘﻪ ورودي ﺑﺮاي ﻧﺸﺴﺖ‪،‬‬ ‫رد ﻣﻲﺷﻮد‪ .‬اﮔﺮ ﺑﻴﺖ ‪ FIN‬در ﺑﺴﺘﻪ وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺳﻴﺴﺘﻢ درﻳﺎﻓﺖﻛﻨﻨﺪه‪ ،‬ﺑﻪ ﻓﺮآﻳﻨﺪ ﻗﻄﻊ ﻛﺮدن ارﺗﺒﺎط ﻣﻲرود و‬ ‫ﻫﺮ ﺑﺴﺘﻪاي ﻛﻪ در زﻣﺎن ﺑﺴﺘﻦ ﻓﺮآﻳﻨﺪ درﻳﺎﻓﺖ ﻣﻲﺷﻮد‪ ،‬ﻫﻨﻮز ﭘﺮدازش ﻣﻲﺷﻮد‪ .‬ارﺳﺎل ﻳﻚ ﺑﺴﺘﻪ ﺑﺎ ﺑﻴﺖﻫﺎي ‪ FIN‬ﻳﺎ‬ ‫‪ ،RST‬راﻳﺞﺗﺮﻳﻦ روش ﺑﺮاي ﻫﻜﺮﻫﺎ ﺑﺮاي ﺑﺴﺘﻦ ﻧﺸﺴﺖ ﻛﻼﻳﻨﺖ ﺑﺎ ﺳﺮور و ﮔﺮﻓﺘﻦ ﻧﺸﺴﺖ ﺑﻪ ﻋﻨﻮان ﻛﺎرﺑﺮ اﺳﺖ‪.‬‬

‫ﭘﻴﺸﮕﻮﻳﻲ ‪sequence‬‬ ‫‪ ،TCP‬ﭘﺮوﺗﻜﻠﻲ اﺗﺼﺎلﮔﺮا و ﻣﺴﺌﻮل ﺟﻤﻊآوري دوﺑﺎره ﺑﺴﺘﻪﻫﺎ ﻃﺒﻖ ﺗﺮﺗﻴﺐ اﺻﻠﻲ آﻧﻬﺎﺳﺖ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻫﺮ ﺑﺴﺘﻪ ﺑﺎﻳﺪ‬ ‫ﻳﻚ ﻋﺪد ﻣﻨﺤﺼﺮﺑﻔﺮد داﺷﺘﻪ ﺑﺎﺷﺪ اﻳﻦ ﻋﺪد ﺑﺎ ﻧﺎم ‪ (SN) sequence number‬ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪ .‬ﻫﺮ ﺑﺴﺘﻪ‪ ،‬ﺑﺎﻳﺪ ﻳﻚ‬ ‫ﺷﻤﺎره ﻣﻨﺤﺼﺮﺑﻔﺮد ﺑﺮاي ﻧﺸﺴﺖ داﺷﺘﻪ ﺑﺎﺷﺪ ﺗﺎ ﺟﻤﻊآوري دوﺑﺎره ﺑﺴﺘﻪﻫﺎ‪ ،‬اﻣﻜﺎن ﭘﺬﻳﺮ ﺑﺎﺷﺪ‪ .‬اﮔﺮ ﺑﺴﺘﻪﻫﺎ ﺑﺼﻮرت ﻏﻴﺮ‬ ‫ﻣﻨﻈﻢ درﻳﺎﻓﺖ ﺷﻮﻧﺪ‪ ،‬از ‪ sequence number‬ﺑﺮاي اﺻﻼح ﺑﺴﺘﻪﻫﺎ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬ﻫﻤﺎﻧﻄﻮرﻳﻜﻪ ﻗﺒﻼ ﺗﻮﺿﻴﺢ داده ﺷﺪ‪،‬‬ ‫ﺳﻴﺴﺘﻤﻲ ﻛﻪ ﻧﺸﺴﺖ ‪ TCP‬را آﻏﺎز ﻣﻲﻛﻨﺪ‪ ،‬ﺑﺴﺘﻪاي را ﺑﺎ ﺑﻴﺖ ‪ SYN‬ارﺳﺎل ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﺑﺴﺘﻪ ﺑﺎ ﻧﺎم ‪synchronizing‬‬ ‫ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد و داراي ‪ sequence number‬آﻏﺎزﻳﻦ ﻛﻼﻳﻨﺖ )‪ (ISN‬اﺳﺖ‪ ISN .‬ﻋﺪدي اﺳﺖ ﻛﻪ ﺑﻪ ﺻﻮرت ﺗﺼﺎدﻓﻲ‬ ‫ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮد و ‪ 4‬ﻣﻴﻠﻴﺎرد ﺗﺮﻛﻴﺐ ﻣﺨﺘﻠﻒ دارد وﻟﻲ ﻫﻨﻮز اﺣﺘﻤﺎل ﺗﻜﺮار وﺟﻮد دارد‪.‬‬ ‫زﻣﺎﻧﻴﻜﻪ ﺑﺴﺘﻪ ‪ ACK‬ارﺳﺎل ﺷﺪ‪ ،‬ﻫﺮ ﻣﺎﺷﻴﻦ از ‪ sequence number‬ﺑﺴﺘﻪاي ﻛﻪ درﻳﺎﻓﺖ ﻛﺮده اﺳﺖ اﺳﺘﻔﺎده‬ ‫ﻣﻲﻛﻨﺪ و ﻋﺪدي را ﺑﻪ آن اﺿﺎﻓﻪ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﻧﻪ ﺗﻨﻬﺎ درﻳﺎﻓﺖ ﺑﺴﺘﻪﻫﺎ را ﺗﺎﺋﻴﺪ ﻣﻲﻛﻨﺪ ﺑﻠﻜﻪ ‪ sequence number‬ﺑﺴﺘﻪ‬ ‫ﺑﻌﺪي را ﻫﻢ ﺑﻪ ارﺳﺎل ﻛﻨﻨﺪه آن ﻣﻲدﻫﺪ‪ .‬ﺑﺎ دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي‪ ،‬ﻣﻘﺪار اﻓﺰاﻳﺸﻲ‪ 1 ،‬اﺳﺖ‪ .‬در ارﺗﺒﺎﻃﺎت ﻃﺒﻴﻌﻲ‬ ‫دادهﻫﺎ‪ ،‬ﻣﻘﺪار اﻓﺰاﻳﺶ‪ ،‬ﺑﺮاﺑﺮ اﻧﺪازه دادهﻫﺎ ﺑﻪ ﺑﺎﻳﺖ اﺳﺖ )ﺑﺮاي ﻣﺜﺎل اﮔﺮ ﺷﻤﺎ ‪ 45‬ﺑﺎﻳﺖ داده ارﺳﺎل ﻛﻨﻴﺪ‪ ،‬ﭘﺎﺳﺦﻫﺎي‬ ‫‪ ACK‬ﺑﺎ اﺳﺘﻔﺎده از ‪ sequence number‬ﺑﺴﺘﻪﻫﺎي درﻳﺎﻓﺘﻲ ﺑﻪ ﻋﻼوه ‪ 45‬ﺧﻮاﻫﺪ ﺑﻮد(‪.‬‬ ‫‪135‬‬

‫ﺷﻜﻞ زﻳﺮ‪sequence number ،‬ﻫﺎ و ﺑﺎزﺧﻮردﻫﺎﻳﻲ ﻛﻪ در دﺳﺖ ﺗﻜﺎﻧﻲ ﺳﻪ ﻣﺮﺣﻠﻪاي ‪ TCP‬اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ را‬ ‫ﺗﻮﺿﻴﺢ ﻣﻲدﻫﺪ‪:‬‬

‫اﺑﺰارﻫﺎي ﻫﻚ ﻛﻪ ﺑﺮاي ‪ session hijacking‬اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪ sequence number ،‬را ﭘﻴﺸﮕﻮﻳﻲ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺑﺮاي‬ ‫اﻧﺠﺎم ﻣﻮﻓﻘﻴﺖآﻣﻴﺰ ﺣﻤﻠﻪ ‪ ،TCP sequence prediction‬ﻫﻜﺮ ﺑﺎﻳﺪ ﺗﺮاﻓﻴﻚ ﺑﻴﻦ دو ﺳﻴﺴﺘﻢ را ‪ sniff‬ﻛﻨﺪ‪ .‬ﺳﭙﺲ‪ ،‬ﻫﻜﺮ‬ ‫ﻳﺎ اﺑﺰار ﻫﻚ ﺑﺎﻳﺪ ‪ sequence number‬را ﺣﺪس ﺑﺰﻧﺪ‪ .‬اﻳﻨﻜﺎر ﺑﺴﻴﺎر دﺷﻮار اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﺑﺴﺘﻪﻫﺎ ﺑﻪ ﺳﺮﻋﺖ ﺟﺎﺑﺠﺎ‬ ‫ﻣﻲﺷﻮﻧﺪ‪.‬‬

‫‪136‬‬

‫زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﻧﻤﻲﺗﻮاﻧﺪ ارﺗﺒﺎط را ‪ sniff‬ﻛﻨﺪ‪ ،‬ﺣﺪس ‪ ،sequence number‬ﺑﺴﻴﺎر دﺷﻮار ﻣﻲﮔﺮدد‪ .‬ﺑﺮاي اﻳﻨﻜﻪ‬ ‫ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي ‪ ،session hijacking‬داراي ﻗﺎﺑﻠﻴﺖﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ اﺳﺘﺮاق ﺳﻤﻊ ﺑﺴﺘﻪﻫﺎ را اﻣﻜﺎن ﭘﺬﻳﺮ ﻣﻲﺳﺎزﻧﺪ‬ ‫ﺗﺎ ‪sequence number‬ﻫﺎ را ﻣﺸﺨﺺ ﻛﻨﻨﺪ‪.‬‬ ‫ﻫﻜﺮﻫﺎ‪ ،‬ﺑﺎ اﺳﺘﻔﺎده از آدرسﻫﺎي ‪ IP‬ﺟﻌﻠﻲ )‪ (spoofed‬ﺳﻴﺴﺘﻢ‪ ،‬ﻛﻪ ﻧﺸﺴﺘﻲ ﺑﺎ ﺳﻴﺴﺘﻢ ﻫﺪف دارد‪ ،‬ﺑﺴﺘﻪﻫﺎﻳﻲ‬ ‫ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﻨﺪ‪ .‬اﺑﺰارﻫﺎي ﻫﻚ‪ ،‬ﺑﺴﺘﻪﻫﺎﻳﻲ ﺑﺎ ‪sequence number‬ﻫﺎﻳﻲ ﻛﻪ ﺳﻴﺴﺘﻢ ﻫﺪف اﻧﺘﻈﺎر دارد‪ ،‬ﺻﺎدر ﻣﻲﻛﻨﺪ‪ .‬اﻣﺎ‬ ‫ﺑﺎﻳﺪ ﻗﺒﻞ از ارﺳﺎل ﺑﺴﺘﻪﻫﺎي ﺳﻴﺴﺘﻢ ﻣﻮرد اﻋﺘﻤﺎد‪ ،‬ﺑﺴﺘﻪﻫﺎي ﻫﻜﺮ ﻓﺮﺳﺘﺎده ﺷﻮﻧﺪ‪ .‬اﻳﻨﻜﺎر ﺑﺎ ‪ flood‬ﻛﺮدن )ﺳﺮازﻳﺮ ﻛﺮدن(‬ ‫ﺑﺴﺘﻪﻫﺎ ﻳﺎ ارﺳﺎل ﺑﺴﺘﻪ ‪ RST‬ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﻮرد اﻋﺘﻤﺎد اﻧﺠﺎم ﻣﻲﺷﻮد‪.‬‬

‫ﭼﻪ ﻣﺮاﺣﻠﻲ در ‪ session hijacking‬اﻧﺠﺎم ﻣﻲﺷﻮﻧﺪ؟‬ ‫ﺑﻄﻮر ﺧﻼﺻﻪ‪ ،session hijacking ،‬ﺷﺎﻣﻞ ﺳﻪ ﻣﺮﺣﻠﻪ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ اﺳﺖ‪:‬‬ ‫ردﮔﻴﺮي ﻧﺸﺴﺖ‪ :‬ﻫﻜﺮ‪ ،‬ﻳﻚ ﻧﺸﺴﺖ ﺑﺎز را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ و ‪ sequence number‬ﺑﺴﺘﻪ ﺑﻌﺪي را ﭘﻴﺸﮕﻮﻳﻲ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﻏﻴﺮ ﻫﻤﺰﻣﺎن ﻛﺮدن ارﺗﺒﺎط‪ :‬ﻫﻜﺮ ﻳﻚ ﺑﺴﺘﻪ ‪ TCP‬ﺑﺎ ﺑﻴﺖ ‪ RST‬ﻳﺎ ‪ FIN‬ﺑﻪ ﻛﺎرﺑﺮ ﻣﺸﺮوع ﻣﻲﻓﺮﺳﺘﺪ ﺗﺎ ﻧﺸﺴﺖ آﻧﻬﺎ را‬ ‫ﺑﺒﻨﺪد‪ .‬ﺑﻪ ﻋﻨﻮان ﺟﺎﻳﮕﺰﻳﻦ‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از اﺑﺰار ‪ DoS‬ﺑﺮاي ﻗﻄﻊ ارﺗﺒﺎط ﻛﺎرﺑﺮ از ﺳﺮور اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬ ‫ﺗﺰرﻳﻖ ﺑﺴﺘﻪ ﻫﻜﺮ‪ :‬ﻫﻜﺮ‪ ،‬ﻳﻚ ﺑﺴﺘﻪ ‪ TCP‬را ﺑﺎ ‪ sequence number‬ﭘﻴﺸﮕﻮﻳﻲ ﺷﺪه‪ ،‬ﺑﻪ ﺳﺮور ارﺳﺎل ﻣﻲﻛﻨﺪ و ﺳﺮور‬ ‫آن را ﺑﻪ ﻋﻨﻮان ﺑﺴﺘﻪ ﺑﻌﺪي ﻛﺎرﺑﺮ ﻣﺸﺮوع ﻣﻲﭘﺬﻳﺮد‪.‬‬ ‫‪137‬‬

‫ﺳﻄﻮح ‪:session hijacking‬‬ ‫•‬ ‫•‬

‫‪Network Level Hijacking‬‬ ‫‪Application Level Hijacking‬‬

‫‪TCP/IP Hijacking‬‬ ‫‪ ،TCP/IP hijacking‬ﻳﻚ ﺗﻜﻨﻴﻚ ﻫﻚ اﺳﺖ ﻛﻪ از ﺑﺴﺘﻪﻫﺎي ﺟﻌﻠﻲ ﺑﺮاي ﺑﻪ دﺳﺖ ﮔﺮﻓﺘﻦ ﻳﻚ ﻧﺸﺴﺖ ﺑﻴﻦ‬ ‫ﻗﺮﺑﺎﻧﻲ و ﻣﺎﺷﻴﻦ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬ارﺗﺒﺎط ﻗﺮﺑﺎﻧﻲ‪ ،‬ﻣﻌﻠﻖ ﻣﻲﺷﻮد و ﺳﭙﺲ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺎ ﻣﺎﺷﻴﻦ ﻫﺎﺳﺖ ارﺗﺒﺎط‬ ‫ﺑﺮﻗﺮار ﻛﻨﺪ‪ .‬ﺑﺮاي اﻧﺠﺎم اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﻫﻜﺮ ﻣﺜﻞ ﻗﺮﺑﺎﻧﻲ در ﻫﻤﺎن ﺷﺒﻜﻪ ﺑﺎﺷﺪ‪ .‬ﻣﺎﺷﻴﻦﻫﺎي ﻫﺪف و ﻗﺮﺑﺎﻧﻲ ﻫﺮ ﺟﺎﻳﻲ‬ ‫ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺎﺷﻨﺪ‪.‬‬

‫‪138‬‬

‫‪RST Hijacking‬‬ ‫‪ ،RST hijacking‬ﺗﺰرﻳﻖ ﻳﻚ ﺑﺴﺘﻪ ‪ (reset) RST‬اﺳﺖ‪ .‬آدرس ﻣﻨﺒﻊ را ﺟﻌﻞ ﻣﻲﻛﻨﺪ و ‪ ACK number‬را‬ ‫ﭘﻴﺸﮕﻮﻳﻲ ﻣﻲﻛﻨﺪ‪ .‬ﻗﺮﺑﺎﻧﻲ ﺧﻴﺎل ﻣﻲﻛﻨﺪ ﻛﻪ ﻣﻨﺒﻊ‪ ،‬ﺑﺴﺘﻪ ‪ reset‬را ارﺳﺎل ﻛﺮده اﺳﺖ و ﺑﻨﺎﺑﺮاﻳﻦ ارﺗﺒﺎط را رﻳﺴﺖ ﺧﻮاﻫﺪ‬ ‫ﻛﺮد‪.‬‬

‫‪Blind Hijacking‬‬ ‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ در ﻧﺸﺴﺖ ‪ ،TCP‬دادهﻫﺎي ﻣﺨﺮب ﻳﺎ دﺳﺘﻮرات را ﺑﻪ داﺧﻞ ارﺗﺒﺎﻃﺎت ﺗﺰرﻳﻖ ﻛﻨﺪ ﺣﺘﻲ اﮔﺮ‬ ‫ﻣﺴﻴﺮﻳﺎﺑﻲ ﻣﺒﺪا )‪ ،(source routing‬ﻏﻴﺮﻓﻌﺎل ﺷﺪه ﺑﺎﺷﺪ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ دادهﻫﺎ ﻳﺎ دﺳﺘﻮرات را ارﺳﺎل ﻛﻨﺪ اﻣﺎ ﻧﻤﻲﺗﻮاﻧﺪ‬ ‫ﭘﺎﺳﺦﻫﺎ را ﺑﺒﻴﻨﺪ‪.‬‬

‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Juggernaut‬ﻳﻚ ‪ sniffer‬ﺷﺒﻜﻪ اﺳﺖ ﻛﻪ ﺑﺮاي دزدي ﻧﺸﺴﺖﻫﺎي ‪ (hijack TCP session) TCP‬اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻟﻴﻨﻮﻛﺲ اﺟﺮا ﻣﻲﺷﻮد و ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي دﻳﺪن ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﺷﻮد ﻳﺎ ﻣﻲﺗﻮاﻧﺪ ﻛﻠﻤﻪ‬ ‫ﻛﻠﻴﺪي ﻣﺜﻞ "ﭘﺴﻮرد" را ﺑﮕﻴﺮد و آن را ﺟﺴﺘﺠﻮ ﻛﻨﺪ‪ .‬اﻳﻦ ﺑﺮﻧﺎﻣﻪ‪ ،‬ﺗﻤﺎم ارﺗﺒﺎﻃﺎت ﻓﻌﺎل ﺷﺒﻜﻪ را ﻧﺸﺎن ﻣﻲدﻫﺪ و ﻫﻜﺮ‬ ‫ﻣﻲﺗﻮاﻧﺪ ﻳﻜﻲ از ﻧﺸﺴﺖﻫﺎ را ﺑﺮاي ‪ hijacking‬اﻧﺘﺨﺎب ﻛﻨﺪ‪.‬‬ ‫‪ ،Hunt‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ﺑﺮاي اﺳﺘﺮاق ﺳﻤﻊ و دزدي ﻧﺸﺴﺖﻫﺎ ﺑﺮ روي ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ ،Hunt .‬ﻣﻲﺗﻮاﻧﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ ارﺗﺒﺎﻃﺎت‪ ،ARP spoofing ،‬رﻳﺴﺖ ﻛﺮدن ارﺗﺒﺎﻃﺎت‪ ،‬ﻣﺎﻧﻴﺘﻮر ﻛﺮدن ارﺗﺒﺎﻃﺎت‪ ،‬ﻛﺸﻒ ‪MAC address‬ﻫﺎ‪ ،‬و‬ ‫اﺳﺘﺮاق ﺳﻤﻊ ﺗﺮاﻓﻴﻚ ‪ TCP‬را اﻧﺠﺎم دﻫﺪ‪.‬‬ ‫‪139‬‬

‫‪ ،TTYWatcher‬اﺑﺰاري ﺑﺮاي ‪ session hijacking‬اﺳﺖ ﻛﻪ ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲدﻫﺪ ﺗﺎ ﻧﺸﺴﺖ دزدﻳﺪه ﺷﺪه را دوﺑﺎره ﺑﻪ‬ ‫ﻛﺎرﺑﺮ ﻣﺸﺮوع ﺑﺮﮔﺮداﻧﺪ ﺑﻪ ﻃﻮرﻳﻜﻪ ﮔﻮﻳﺎ اﺻﻼ دزدﻳﺪه ﻧﺸﺪه ﺑﻮد‪ .‬اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﺗﻨﻬﺎ ﺑﺮاي ﺳﻴﺴﺘﻢﻫﺎي ‪ Sun Solaris‬اﺳﺖ‪.‬‬ ‫‪ ،IP Watcher‬اﺑﺰاري ﺗﺠﺎري ﺑﺮاي دزدي ﻧﺸﺴﺖ )‪ (Session hijacking‬اﺳﺖ ﻛﻪ ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲدﻫﺪ ﺗﺎ ارﺗﺒﺎﻃﺎت را‬ ‫ﻣﺎﻧﻴﺘﻮر ﻛﻨﺪ و آﻧﻬﺎ را ﺑﮕﻴﺮد‪ .‬اﻳﻦ ﺑﺮﻧﺎﻣﻪ‪ ،‬ﻣﻲﺗﻮاﻧﺪ ﺗﻤﺎم ارﺗﺒﺎﻃﺎت روي ﺷﺒﻜﻪ را ﻣﺎﻧﻴﺘﻮر ﻛﻨﺪ‪ ،‬ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲدﻫﺪ ﺗﺎ‬ ‫ﻛﭙﻲ ﻧﺸﺴﺖ را ﺑﺼﻮرت ﻫﻤﺰﻣﺎن ﻣﺸﺎﻫﺪه ﻛﻨﺪ‪.‬‬ ‫‪ ،T-Sight‬ﻳﻚ اﺑﺰار ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ و ﮔﺮﻓﺘﻦ ﻧﺸﺴﺖ اﺳﺖ ﻛﻪ در ﻣﺤﻴﻂﻫﺎي وﻳﻨﺪوزي اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬ﺑﺎ اﻳﻦ اﺑﺰار‪،‬‬ ‫ﻣﺪﻳﺮان ﺷﺒﻜﻪﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺗﻤﺎم ارﺗﺒﺎﻃﺎت ﺷﺒﻜﻪ را ﺑﺼﻮرت ﺑﻼدرﻧﮓ ﻣﺎﻧﻴﺘﻮر ﻛﻨﻨﺪ و ﻫﺮ ﻓﻌﺎﻟﻴﺖ ﻣﺸﻜﻮﻛﻲ ﻛﻪ رخ ﻣﻲدﻫﺪ‬ ‫را ﻣﺸﺎﻫﺪه ﻛﻨﺪ‪ ،T-Sight .‬ﻣﻲﺗﻮاﻧﺪ ﻫﺮ ﻧﺸﺴﺘﻲ را روي ﺷﺒﻜﻪ‪ ،‬ﺑﺪزﻧﺪ‪.‬‬ ‫‪ ،Remote TCP Session Reset Utility‬ﻧﺸﺴﺖﻫﺎي ﻛﻨﻮﻧﻲ ‪ TCP‬و اﻃﻼﻋﺎت ارﺗﺒﺎﻃﺎت از ﻗﺒﻴﻞ آدرسﻫﺎي ‪ IP‬و‬ ‫ﺷﻤﺎره ﭘﻮرتﻫﺎ را ﻧﻤﺎﻳﺶ دﻫﺪ‪ .‬اﻳﻦ اﺑﺰار ﺑﻴﺸﺘﺮ ﺑﻪ ﻣﻨﻈﻮر رﻳﺴﺖ ﻛﺮدن ﻧﺸﺴﺖﻫﺎي ‪ TCP‬اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪.‬‬

‫ﺧﻄﺮات ‪session hijacking‬‬ ‫‪ ،TCP session hijacking‬ﺣﻤﻠﻪ ﺧﻄﺮﻧﺎﻛﻲ اﺳﺖ‪ .‬ﺑﺴﻴﺎري از ﺳﻴﺴﺘﻢﻫﺎ ﺑﺮاي اﻳﻦ ﺣﻤﻠﻪ آﺳﻴﺐ ﭘﺬﻳﺮﻧﺪ ﺑﺮاي‬ ‫اﻳﻨﻜﻪ آﻧﻬﺎ ﺑﺮاي ارﺗﺒﺎﻃﺎﺗﺸﺎن‪ ،‬از ﭘﺮوﺗﻜﻞ ‪ TCP/IP‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎي ﺟﺪﻳﺪ‪ ،‬ﺗﻼش ﻣﻲﻛﻨﻨﺪ ﺗﺎ آﻧﻬﺎ را‬ ‫از دﺳﺖ ‪ Session hijacking‬اﻣﻦ ﺳﺎزﻧﺪ آﻧﻬﺎ اﻳﻨﻜﺎر را ﺑﺎ اﺳﺘﻔﺎده از ﺗﻮﻟﻴﺪ ﻛﻨﻨﺪهﻫﺎي اﻋﺪاد ﺗﺼﺎدﻓﻲ ﺑﺮاي ﻣﺤﺎﺳﺒﻪ‬ ‫‪ ISN‬اﻧﺠﺎم ﻣﻲدﻫﻨﺪ و ﺣﺪس زدن ‪ sequence number‬را دﺷﻮار ﻣﻲﺳﺎزﻧﺪ‪ .‬ﺑﺎ اﻳﻦ ﺣﺎل‪ ،‬اﮔﺮ ﻫﻜﺮ ﺑﺘﻮاﻧﺪ ﺑﺴﺘﻪﻫﺎ را‬ ‫‪ sniff‬ﻛﻨﺪ‪ ،‬اﻳﻦ ﻣﻌﻴﺎر اﻣﻨﻴﺘﻲ ﻧﻴﺰ ﻣﻮﺛﺮ ﻧﺨﻮاﻫﺪ ﺑﻮد‪.‬‬ ‫ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ ﺑﺎﻳﺪ ﺑﻨﺎ ﺑﻪ دﻻﻳﻞ زﻳﺮ از ‪ session hijacking‬آﮔﺎه ﺑﺎﺷﺪ‪:‬‬ ‫•‬

‫اﻏﻠﺐ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ‪ ،‬آﺳﻴﺐ ﭘﺬﻳﺮﻧﺪ‪.‬‬

‫•‬

‫روشﻫﺎي ﻛﻤﻲ ﺑﺮاي ﻣﺤﺎﻓﻈﺖ از آن وﺟﻮد دارد‪.‬‬

‫•‬

‫اﻧﺠﺎم ﺣﻤﻼت ‪ session hijacking‬ﺳﺎده اﺳﺖ‪.‬‬

‫•‬

‫ﺑﻪ ﺧﺎﻃﺮ اﻃﻼﻋﺎﺗﻲ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ در ﻃﻮل اﻳﻦ ﺣﻤﻠﻪ ﺟﻤﻊآوري ﺷﻮﻧﺪ‪ ،‬اﻳﻦ ﺣﻤﻠﻪ ﺧﻄﺮﻧﺎﻛﻲ اﺳﺖ‪.‬‬

‫‪140‬‬

‫ﭼﮕﻮﻧﮕﻲ ﭘﻴﺸﮕﻴﺮي از ‪session hijacking‬‬ ‫ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻼت ‪ ،session hijacking‬ﺑﺎﻳﺪ ﭼﻨﺪﻳﻦ ﭘﺪاﻓﻨﺪ در ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﺷﻮد‪ .‬ﻣﻮﺛﺮﺗﺮﻳﻦ روش‬ ‫ﻣﺤﺎﻓﻈﺘﻲ‪ ،‬رﻣﺰﮔﺬاري اﺳﺖ از ﻗﺒﻴﻞ ‪ .IPSec‬ﻫﻤﭽﻨﻴﻦ ﺑﺎ اﻳﻦ روش‪ ،‬ﺟﻠﻮي ﺑﺴﻴﺎري از ﺣﻤﻼﺗﻲ ﻛﻪ ﺑﺮ ﭘﺎﻳﻪ اﺳﺘﺮاق ﺳﻤﻊ‬ ‫ﻫﺴﺘﻨﺪ ﻧﻴﺰ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮد‪ .‬ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮﻫﺎ‪ ،‬ﺑﺘﻮاﻧﻨﺪ ﺑﺼﻮرت ﭘﺴﻴﻮ‪ ،‬ارﺗﺒﺎط ﺷﻤﺎ را ﻣﺎﻧﻴﺘﻮر ﻛﻨﻨﺪ اﻣﺎ ﻧﻤﻲﺗﻮاﻧﻨﺪ‬ ‫دادهﻫﺎي رﻣﺰ ﺷﺪه را ﺗﻔﺴﻴﺮ و ﺗﺮﺟﻤﻪ ﻛﻨﻨﺪ‪ .‬روشﻫﺎي دﻳﮕﺮ‪ ،‬اﺳﺘﻔﺎده از اﭘﻠﻴﻜﺸﻦﻫﺎي‬ ‫رﻣﺰﮔﺬاري ﺷﺪه از ﻗﺒﻴﻞ ‪ SSH‬و ‪ SSL‬اﺳﺖ‪.‬‬ ‫ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ ﺑﺎ ﻛﺎﻫﺶ روشﻫﺎي دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ‪ ،‬از ‪session hijacking‬‬ ‫ﭘﻴﺸﮕﻴﺮي ﻛﻨﻴﺪ ﺑﺮاي ﻣﺜﺎل‪ ،‬ﺑﺎ ﺣﺬف دﺳﺘﺮﺳﻲ راه دور )‪ (remote‬ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎي‬ ‫داﺧﻠﻲ‪ .‬اﮔﺮ ﺷﺒﻜﻪ داراي ﻛﺎرﺑﺮاﻧﻲ اﺳﺖ ﻛﻪ ﺑﺎﻳﺪ ﺑﺼﻮرت رﻳﻤﻮت ﺑﻪ ﺷﺒﻜﻪ وﺻﻞ ﺷﻮﻧﺪ‬ ‫ﺗﺎ ﺑﻨﻮاﻧﻨﺪ وﻇﺎﻳﻔﺸﺎن را اﻧﺠﺎم دﻫﻨﺪ‪ ،‬از ‪ VPN‬اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬ ‫اﺳﺘﻔﺎده از ﭼﻨﺪﻳﻦ روش اﻣﻦ ﺳﺎزي‪ ،‬ﺑﻬﺘﺮﻳﻦ راه ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﻫﺮ ﺗﻬﺪﻳﺪي اﺳﺖ‪.‬‬ ‫اﺳﺘﻔﺎده از ﺗﻨﻬﺎ ﻳﻜﻲ از اﻳﻦ روشﻫﺎ ﻣﻤﻜﻦ اﺳﺖ ﻛﺎﻓﻲ ﻧﺒﺎﺷﺪ اﻣﺎ ﺑﺎ اﺳﺘﻔﺎده از ﻫﻤﮕﻲ‬ ‫آﻧﻬﺎ ﺑﺮاي اﻣﻦ ﺳﺎزي‪ ،‬اﺣﺘﻤﺎل ﻣﻮﻓﻘﻴﺖ ﻫﻜﺮ را ﻛﺎﻫﺶ ﻣﻲدﻫﺪ‪ .‬در زﻳﺮ روشﻫﺎﻳﻲ ﻛﻪ‬ ‫ﺑﺎﻳﺪ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ‪ Session hijacking‬اﺳﺘﻔﺎده ﺷﻮد‪ ،‬آورده ﺷﺪه اﺳﺖ‪:‬‬ ‫•‬

‫اﺳﺘﻔﺎده از رﻣﺰﮔﺬاري‬

‫•‬

‫اﺳﺘﻔﺎده از ﭘﺮوﺗﻜﻞ اﻣﻦ‬

‫•‬

‫ﻣﺤﺪود ﻛﺮدن ﺗﻌﺪاد ارﺗﺒﺎﻃﺎت ورودي‬

‫•‬

‫ﺑﻪ ﺣﺪاﻗﻞ رﺳﺎﻧﺪن دﺳﺘﺮﺳﻲ راه دور‬

‫•‬

‫داﺷﺘﻦ اﺣﺮاز ﻫﻮﻳﺖ ﻗﺪرﺗﻤﻨﺪ‬

‫•‬

‫آﻣﻮزش ﻛﺎرﻛﻨﺎن‬

‫•‬

‫ﻧﮕﻬﺪاري از ﭼﻨﺪﻳﻦ ﻧﺎم ﻛﺎرﺑﺮي و ﭘﺴﻮرد ﺑﺮاي اﻛﺎﻧﺖﻫﺎي ﻣﺨﺘﻠﻒ‪.‬‬

‫‪141‬‬

‫ﻓﺼﻞ ﻫﺸﺘﻢ‬

‫ﻫﻚ وب ﺳﺮورﻫﺎ‪ ،‬آﺳﻴﺐ ﭘﺬﻳﺮي ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ‬ ‫وب‪ ،‬و ﺗﻜﻨﻴﻚ ﻫﺎي ﺷﻜﺴﺘﻦ ﭘﺴﻮردﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ وب‬

‫ﻣﻘﺪﻣﻪ‬ ‫وب ﺳﺮورﻫﺎ و ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‪ ،‬ﺑﺴﻴﺎر ﻣﺴﺘﻌﺪ ﺣﻤﻠﻪ ﻫﺴﺘﻨﺪ‪ .‬اوﻟﻴﻦ دﻟﻴﻞ آن‪ ،‬اﻳﻦ اﺳﺖ ﻛﻪ وب ﺳﺮورﻫﺎ‪ ،‬ﺑﺎﻳﺪ‬ ‫از ﻃﺮﻳﻖ اﻳﻨﺘﺮﻧﺖ ﻗﺎﺑﻞ دﺳﺘﺮس ﺑﺎﺷﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ وب ﺳﺮوري ﻣﻮرد ﺣﻤﻠﻪ ﻗﺮار ﮔﺮﻓﺖ‪ ،‬راﻫﻲ را ﺑﺮاي ورود ﻫﻜﺮ ﺑﻪ داﺧﻞ‬ ‫ﺷﺒﻜﻪ ﻓﺮاﻫﻢ ﻣﻲآورد‪ .‬ﻧﻪ ﺗﻨﻬﺎ ﻧﺮماﻓﺰار وب ﺳﺮور ﺑﻠﻜﻪ ﺑﺮﻧﺎﻣﻪﻫﺎﻳﻲ ﻛﻪ ﺑﺮ روي وب ﺳﺮور ﻧﻴﺰ اﺟﺮا ﻣﻲﺷﻮﻧﺪ‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ‬ ‫ﺑﺮاي ﺣﻤﻠﻪ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪ .‬ﺑﻪ ﺧﺎﻃﺮ ﻋﻤﻠﻜﺮد آﻧﻬﺎ‪ ،‬وب ﺳﺮورﻫﺎ ﻧﺴﺒﺖ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎي دﻳﮕﺮ‪ ،‬ﻗﺎﺑﻞ دﺳﺘﺮسﺗﺮ ﻫﺴﺘﻨﺪ و‬ ‫ﺣﻔﺎﻇﺖ از آﻧﻬﺎ ﻛﻤﺘﺮ اﺳﺖ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﺣﻤﻠﻪ ﺑﻪ وب ﺳﺮورﻫﺎ ﺑﺴﻴﺎر ﺳﺎدهﺗﺮ اﺳﺖ‪.‬‬

‫وب ﺳﺮورﻫﺎ در ‪ 24‬ﺳﺎﻋﺖ ﺷﺒﺎﻧﻪ روز و ‪ 7‬روز ﻫﻔﺘﻪ در دﺳﺘﺮس ﻫﺴﺘﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ ﺣﻤﻠﻪ ﺑﻪ ﺷﺒﻜﻪ را ﺑﺴﻴﺎر راﺣﺖﺗﺮ‬ ‫ﻣﻲﻛﻨﻨﺪ‪ .‬اﻳﻦ ﻓﺼﻞ در ﻣﻮرد اﻧﻮاع ﺣﻤﻼﺗﻲ ﻛﻪ ﺑﺮ ﻋﻠﻴﻪ وب ﺳﺮورﻫﺎ و ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب اﻧﺠﺎم ﻣﻲﮔﻴﺮﻧﺪ‪ ،‬و ﻧﻴﺰ آﺳﻴﺐ‬ ‫ﭘﺬﻳﺮيﻫﺎي آﻧﻬﺎ ﺑﺤﺚ ﻣﻲﻛﻨﺪ‪.‬‬

‫ﻫﻚ وب ﺳﺮورﻫﺎ‬ ‫ﺑﻪ ﻋﻨﻮان ﻛﺎرﺷﻨﺎس اﻣﻨﻴﺘﻲ‪ ،‬ﺑﺎﻳﺪ ﺑﺎ ﻧﺤﻮه ﻫﻚ وب ﺳﺮورﻫﺎ‪ ،‬آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي آﻧﻬﺎ‪ ،‬و ﻧﻴﺰ اﻧﻮاع ﺣﻤﻼﺗﻲ ﻛﻪ ﻫﻜﺮ‬ ‫ﻣﻤﻜﻦ اﺳﺖ اﺳﺘﻔﺎده ﻛﻨﺪ‪ ،‬آﺷﻨﺎ ﺑﺎﺷﻴﺪ‪ .‬ﻋﻼوه ﺑﺮ اﻳﻦ‪ ،‬ﺑﺎ ﺗﻜﻨﻴﻚﻫﺎي ﻣﺪﻳﺮﻳﺖ ‪patch‬ﻫﺎ و روشﻫﺎي اﻳﻤﻦ ﺳﺎزي وب‬ ‫ﺳﺮورﻫﺎ ﻧﻴﺰ ﺑﺎﻳﺪ آﺷﻨﺎ ﺑﺎﺷﻴﺪ‪.‬‬

‫اﻧﻮاع آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي وب ﺳﺮور‬ ‫وب ﺳﺮورﻫﺎ ﻧﻴﺰ ﻣﺜﻞ ﺳﻴﺴﺘﻢﻫﺎي دﻳﮕﺮ ﻣﻲﺗﻮاﻧﻨﺪ ﻣﻮرد ﺣﻤﻠﻪ ﻫﻜﺮ ﻗﺮار ﮔﻴﺮﻧﺪ‪ .‬ﺑﺮﺧﻲ از ﻣﻬﻢﺗﺮﻳﻦ‬ ‫آﺳﻴﺐﭘﺬﻳﺮيﻫﺎي وب ﺳﺮورﻫﺎ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬

‫ﭘﻴﻜﺮﺑﻨﺪي ﻧﺎدرﺳﺖ ﻧﺮماﻓﺰار وب ﺳﺮور )‪ Apache ،IIS‬و ‪(...‬‬ ‫‪143‬‬

‫•‬

‫ﻣﺸﻜﻼت ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﺎ ﻧﺮماﻓﺰارﻫﺎ ﻳﺎ ﺧﻄﺎ در ﻛﺪ ﺑﺮﻧﺎﻣﻪ‬

‫•‬

‫آﺳﻴﺐ ﭘﺬﻳﺮ ﺑﻮدن ﻧﺼﺐﻫﺎي ﭘﻴﺶ ﻓﺮض ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﺎ ﻧﺮماﻓﺰار وب ﺳﺮور‪ ،‬و ﻋﺪم ﺑﻪ روز رﺳﺎﻧﻲ آﻧﻬﺎ‬

‫•‬

‫ﻧﺪاﺷﺘﻦ ﻓﺮآﻳﻨﺪﻫﺎ و ﺳﻴﺎﺳﺖﻫﺎي اﻣﻨﻴﺘﻲ ﺻﺤﻴﺢ‬ ‫ﻫﻜﺮﻫﺎ از اﻳﻦ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ ﺑﺮاي اﻳﺠﺎد دﺳﺘﺮﺳﻲ ﺑﻪ وب ﺳﺮور اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬از آﻧﺠﺎﺋﻴﻜﻪ وب ﺳﺮورﻫﺎ در‬

‫‪ DMZ‬ﻗﺮار ﮔﺮﻓﺘﻪاﻧﺪ‪ ،‬و از ﻃﺮﻳﻖ ﺳﻴﺴﺘﻢﻫﺎي داﺧﻞ ﺳﺎزﻣﺎن ﺑﻪ راﺣﺘﻲ ﻗﺎﺑﻞ دﺳﺘﺮس ﻫﺴﺘﻨﺪ‪ ،‬وﺟﻮد ﺿﻌﻔﻲ در ﻳﻚ وب‬ ‫ﺳﺮور‪ ،‬دﺳﺘﺮﺳﻲ ﻫﻜﺮ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎ و ﭘﺎﻳﮕﺎه دادهﻫﺎي داﺧﻠﻲ را ﺳﺎدهﺗﺮ ﻣﻲﻛﻨﺪ‪.‬‬

‫ﺣﻤﻼت ﺑﻪ وب ﺳﺮورﻫﺎ‬ ‫آﺷﻜﺎرﺗﺮﻳﻦ ﺣﻤﻠﻪ ﺑﺮ ﻋﻠﻴﻪ وب ﺳﺮورﻫﺎ‪) defacement ،‬ﺗﻐﻴﻴﺮ ﺻﻔﺤﻪ وب ﺳﺎﻳﺖ( اﺳﺖ‪ .‬ﻫﻜﺮﻫﺎ‪ ،‬ﺻﻔﺤﺎت وب را‬ ‫ﺻﺮﻓﺎ ﺑﻪ ﺧﺎﻃﺮ ﻟﺬت ﻳﺎ ﻣﻌﺮوف ﺷﺪن‪ deface ،‬ﻣﻲﻛﻨﻨﺪ‪ Deface .‬ﻛﺮدن ﺻﻔﺤﻪ وب‪ ،‬ﻳﻌﻨﻲ اﻳﻨﻜﻪ ﻫﻜﺮ از آﺳﻴﺐ ﭘﺬﻳﺮي‬ ‫ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﺎ ﻧﺮماﻓﺰار وب ﺳﺮور اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ و ﺳﭙﺲ ﻓﺎﻳﻞﻫﺎي وب ﺳﺎﻳﺖ را ﺗﻐﻴﻴﺮ ﻣﻲدﻫﺪ ﺗﺎ ﻧﺸﺎن دﻫﺪ ﺳﺎﻳﺖ‬ ‫ﻫﻚ ﺷﺪه اﺳﺖ‪ .‬ﻣﻌﻤﻮﻻ ﻫﻜﺮ‪ ،‬ﻧﺎم ﺧﻮد را در ﺻﻔﺤﻪ اول ﺳﺎﻳﺖ ﻗﺮار ﻣﻲدﻫﺪ‪.‬‬ ‫راﻳﺞﺗﺮﻳﻦ ﺣﻤﻼت وب ﺳﺎﻳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از ﻃﺮﻳﻖ آﻧﻬﺎ وب ﺳﺎﻳﺘﻲ را ‪ deface‬ﻛﻨﺪ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬

‫ﺑﻪ دﺳﺖ آوردن اﻋﺘﺒﺎر ‪ administrator‬از ﻃﺮﻳﻖ ﺣﻤﻼت ‪man-in-the-middle‬‬

‫•‬

‫ﻛﺸﻒ ﭘﺴﻮرد ‪ administrator‬از ﻃﺮﻳﻖ ﺣﻤﻠﻪ ‪brute-force‬‬

‫•‬

‫اﺳﺘﻔﺎده از ﺣﻤﻠﻪ ‪ DNS‬ﺑﺮاي ﻫﺪاﻳﺖ ﻛﺎرﺑﺮ ﺑﻪ وب ﺳﺮور دﻳﮕﺮ‬

‫•‬

‫ﺣﻤﻠﻪ ﺑﻪ ﺳﺮور ‪ FTP‬ﻳﺎ ‪e-mail‬‬

‫•‬

‫اﺳﺘﻔﺎده از ﻣﺸﻜﻼت ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب ﻛﻪ ﺳﺒﺐ آﺳﻴﺐ ﭘﺬﻳﺮي آﻧﻬﺎ ﻣﻲﺷﻮد‬

‫•‬

‫ﭘﻴﻜﺮﺑﻨﺪي ﻧﺎدرﺳﺖ ﻣﻨﺎﺑﻊ ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ ﺷﺪه در ﺷﺒﻜﻪ‬

‫•‬

‫ﺳﻮاﺳﺘﻔﺎده از ﺿﻌﻒﻫﺎي ﻣﺠﻮز دﻫﻲ )‪(permission‬‬

‫•‬

‫ﻣﺴﻴﺮدﻫﻲ ﻣﺠﺪد ﻛﻼﻳﻨﺖﻫﺎ ﭘﺲ از ﺣﻤﻠﻪ ﺑﻪ ﻓﺎﻳﺮوال ﻳﺎ روﺗﺮ‬

‫•‬

‫اﺳﺘﻔﺎده از ﺣﻤﻼت ‪) SQL injection‬اﮔﺮ ﺳﺮور ‪ SQL‬و وب ﺳﺮور ﻳﻜﻲ ﻫﺴﺘﻨﺪ(‬

‫•‬

‫ﻧﻔﻮذ از ﻃﺮﻳﻖ ‪ Telnet‬ﻳﺎ ‪SSH‬‬

‫•‬

‫اﻧﺠﺎم ‪ URL poisoning‬ﻛﻪ ﻛﺎرﺑﺮ را ﺑﻪ آدرس اﻳﻨﺘﺮﻧﺘﻲ دﻳﮕﺮي ﻫﺪاﻳﺖ ﻣﻲﻛﻨﺪ‬

‫•‬

‫اﺳﺘﻔﺎده از ‪extension‬ﻫﺎي وب ﺳﺮور ﻳﺎ ﻧﻔﻮذ از ﻃﺮﻳﻖ ﺳﺮوﻳﺲ رﻳﻤﻮت‬

‫‪144‬‬

‫‪IIS Unicode Exploit‬‬ ‫ﺳﻴﺴﺘﻢﻫﺎي وﻳﻨﺪوز ‪ 2000‬ﻛﻪ ﺑﺮ روي آﻧﻬﺎ ‪ IIS‬ﻧﺼﺐ ﻫﺴﺘﻨﺪ‪ ،‬ﺑﺴﻴﺎر ﻣﺴﺘﻌﺪ ﺣﻤﻠﻪ ‪ directory traversal‬ﻛﻪ ﺑﻪ‬ ‫ﻋﻨﻮان ‪ Unicode exploit‬ﻫﻢ ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد ﻫﺴﺘﻨﺪ‪ .‬آﺳﻴﺐ ﭘﺬﻳﺮي ﻣﻮﺟﻮد در ‪ ،IIS‬اﺟﺎزه‬

‫‪directory‬‬

‫‪ traversal/Unicode exploit‬را ﺗﻨﻬﺎ در ﺳﻴﺴﺘﻢﻫﺎي وﻳﻨﺪوز ‪ 2000‬ﻛﻪ ‪patch‬ﻫﺎي اﻣﻨﻴﺘﻲ ﺑﺮ روي آﻧﻬﺎ ﻧﺼﺐ ﻧﻴﺴﺘﻨﺪ‬ ‫را ﻣﻲدﻫﺪ و ﺑﺮ روي اﺳﻜﺮﻳﭙﺖﻫﺎي ‪ CGI‬و ﺗﻮﺳﻌﻪﻫﺎي ‪ ISAPI‬ﻫﻤﭽﻮن ‪ ASP‬ﺗﺎﺛﻴﺮﮔﺬار ﻫﺴﺘﻨﺪ‪ .‬اﻳﻦ آﺳﻴﺐ ﭘﺬﻳﺮي ﺑﻪ‬ ‫دﻟﻴﻞ ﺗﺮﺟﻤﻪ )ﺗﻔﺴﻴﺮ( ﻧﺎدرﺳﺖ ﻳﻮﻧﻴﻜﺪ ﺗﻮﺳﻂ ‪ IIS parser‬رخ ﻣﻲدﻫﺪ و اﺟﺎزه دﺳﺘﺮﺳﻲ ﻫﻜﺮ را ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﻲدﻫﺪ‪.‬‬ ‫ﻳﻮﻧﻴﻜﺪ‪ ،‬ﻛﺎراﻛﺘﺮﻫﺎي ﻫﺮ زﺑﺎﻧﻲ را ﺑﻪ ﻛﺪﻫﺎي ﻣﺸﺨﺺ ﺟﻬﺎﻧﻲ )‪ (universal‬ﺗﺒﺪﻳﻞ ﻣﻲﻛﻨﺪ‪ .‬ﻫﺮ ﭼﻨﺪ ﻛﻪ ﻳﻮﻧﻴﻜﺪ‪ ،‬دو‬ ‫ﺑﺎر ﺗﺮﺟﻤﻪ ﻣﻲﺷﻮد وﻟﻲ ﭘﺎرﺳﺮ‪ ،‬ﺗﻨﻬﺎ ﻳﻜﺒﺎر درﺧﻮاﺳﺖ ﻧﺘﺎﻳﺞ را اﺳﻜﻦ ﻣﻲﻛﻨﺪ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ از ﻃﺮﻳﻖ ‪،IIS‬‬ ‫درﺧﻮاﺳﺖﻫﺎي ﻓﺎﻳﻞ را ﻣﺨﻔﻲ ﻛﻨﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬از ‪ %c0% af‬ﺑﻪ ﺟﺎي ﻳﻚ اﺳﻠﺶ در ﻳﻚ ﻧﺎم ﻣﺴﻴﺮ اﺳﺘﻔﺎده ﻛﻨﺪ ﺗﺎ از‬ ‫آﺳﻴﺐ ﭘﺬﻳﺮي ‪ IIS‬اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬ﻛﺎراﻛﺘﺮﻫﺎي ‪ ASCII‬ﺑﺮاي ﻧﻘﻄﻪﻫﺎ ﺑﺎ ﻳﻮﻧﻴﻜﺪ "‪ "%2E‬ﺑﺮاي اﺳﻠﺶﻫﺎ ﺑﺎ "‪"%co%af‬‬ ‫ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﺷﻮد‪ .‬ﺑﺮاي ﻣﺜﺎل ﺑﺎ ﺗﻐﺬﻳﻪ درﺧﻮاﺳﺖ ‪ HTTP‬ﺑﻪ ‪ ،IIS‬دﺳﺘﻮرات ﻣﻮرد دﻟﺨﻮاه ﺑﺮ روي ﺳﺮور اﺟﺮا ﻣﻲﺷﻮد‪:‬‬ ‫‪GET/scripts/..%c%af../winnt/system32/cmd.exe?/c+dir=c:\ HTTP/1.0‬‬ ‫در ﺑﻌﻀﻲ از ﻣﻮارد‪ ،‬درﺧﻮاﺳﺖ‪ ،‬اﺟﺎزه دﺳﺘﺮﺳﻲ ﻫﻜﺮ ﺑﻪ ﻓﺎﻳﻞﻫﺎي را ﻣﻲدﻫﺪ ﻛﻪ ﻧﺒﺎﻳﺪ ﺑﺒﻴﻨﺪ‪ .‬آﺳﻴﺐ ﭘﺬﻳﺮي‬ ‫‪ ،Unicode Directory Traversal‬در ‪IIS‬ﻫﺎي ورژن ‪ 4‬و ‪ 5‬وﺟﻮد دارد ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از ﻳﻚ آدرس ‪ URL‬ﻧﺎدرﺳﺖ‪،‬‬ ‫ﻣﻲﺗﻮان ﺑﻪ ﻓﺎﻳﻞﻫﺎ و ﻓﻮﻟﺪرﻫﺎﻳﻲ ﻛﻪ در ﻓﻮﻟﺪرﻫﺎي وب وﺟﻮد دارﻧﺪ‪ ،‬دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﺮد و اﺟﺎزه اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ‪،‬‬ ‫اﺿﺎﻓﻪ ﻛﺮدن‪ ،‬ﺗﻐﻴﻴﺮ دادن‪ ،‬ﻳﺎ ﺣﺬف ﻛﺮدن ﻓﺎﻳﻞﻫﺎ ﻳﺎ آﭘﻠﻮد ﻛﺮدن و اﺟﺮاي ﻛﺪ روي ﺳﺮور‪ ،‬و ﻧﻴﺰ اﺿﺎﻓﻪ ﻳﺎ اﺟﺮا ﻛﺮدن‬ ‫ﻓﺎﻳﻞﻫﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ را ﺑﻪ ﻫﻜﺮ ﻣﻲدﻫﺪ ﺗﺎ ﺗﺮوﺟﺎن ﻳﺎ ‪ backdoor‬را روي ﺳﻴﺴﺘﻢ ﻧﺼﺐ ﻛﻨﺪ‪.‬‬

‫‪ ،IIS Unicode exploit‬آﺳﻴﺐ ﭘﺬﻳﺮي ﻗﺪﻳﻤﻲ اﺳﺖ و در اﻳﻨﺠﺎ ﺗﻨﻬﺎ ﺑﺮاي ﺑﻴﺎن ﻣﻔﻬﻮم و اﺛﺒﺎت آﺳﻴﺐ ﭘﺬﻳﺮي‬ ‫آن و اﺣﺘﻤﺎل اﺳﺘﻔﺎده از آن‪ ،‬آورده ﺷﺪه اﺳﺖ‪.‬‬

‫‪145‬‬

‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،N-Stalker Web Application Security Scanner‬اﺟﺎزه ارزﻳﺎﺑﻲ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب را ﺑﺮاي ﺗﻌﺪاد زﻳﺎدي از‬ ‫آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ از ﻗﺒﻴﻞ ﺣﻤﻼت ‪ ،buffer overflow ،SQL injection ،cross-site scripting‬و ‪parameter-‬‬ ‫‪ tampering‬را ﻣﻲدﻫﺪ‪.‬‬ ‫‪ ،Metasploit framework‬اﺑﺰاري راﻳﮕﺎن ﺑﺮاي ﺗﺴﺖ ﻳﺎ ﻫﻚ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﺎ ﻧﺮماﻓﺰار وب ﺳﺮور اﺳﺖ‪ .‬اﻛﺴﭙﻠﻮﻳﺖﻫﺎ‪،‬‬ ‫ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ ﻋﻨﻮان ﭘﻼﮔﻴﻦﻫﺎ اﺳﺘﻔﺎده ﺷﻮﻧﺪ و ﺗﺴﺖ ﻣﻲﺗﻮاﻧﺪ از ﻃﺮﻳﻖ وﻳﻨﺪوز ﻳﺎ ﻳﻮﻧﻴﻜﺲ اﻧﺠﺎم ﺷﻮد‪ .‬ﻣﺘﺎاﺳﭙﻠﻮﻳﺖ‪ ،‬اﺑﺘﺪا‬ ‫ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺧﻂ دﺳﺘﻮري ﺑﻮد وﻟﻲ اﻛﻨﻮن داراي اﻳﻨﺘﺮﻓﻴﺲ وب اﺳﺖ‪ .‬ﺑﺎ اﺳﺘﻔﺎده از ﻣﺘﺎاﺳﭙﻠﻮﻳﺖ‪ ،‬ﻫﻜﺮﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ‬ ‫اﻛﺴﭙﻠﻮﻳﺖﻫﺎي ﺧﻮدﺷﺎن را ﺑﻨﻮﻳﺴﻨﺪ‪.‬‬ ‫‪ ،IISxploit.exe‬اﺑﺰاري ﺑﺮاي ﺧﻮدﻛﺎر ﻛﺮدن ‪ directory traversal exploit‬در ‪ IIS‬اﺳﺖ ﻛﻪ ﺑﺮاي اﻛﺴﭙﻠﻮﻳﺖ ﻛﺮدن از‬ ‫‪ Unicode string‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪.‬‬ ‫)‪ ،ASP Trojan (cmd.asp‬اﺳﻜﺮﻳﭙﺖ ﻛﻮﭼﻜﻲ اﺳﺖ ﻛﻪ زﻣﺎﻧﻴﻜﻪ ﺑﺮ روي وب ﺳﺮور آﭘﻠﻮد ﻣﻲﺷﻮد‪ ،‬ﻛﻨﺘﺮل ﻛﺎﻣﻞ‬ ‫ﻛﺎﻣﭙﻴﻮﺗﺮ راه دور را ﻣﻲدﻫﺪ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار ﻣﻲﺗﻮاﻧﺪ ﺑﻪ راﺣﺘﻲ ﺑﻪ ﺑﺮﻧﺎﻣﻪاي ﻣﺘﺼﻞ ﺷﻮد و ﺑﻪ ﻋﻨﻮان ‪ backdoor‬اﺳﺘﻔﺎده‬ ‫ﮔﺮدد‪.‬‬ ‫‪ ،CleanIISLog‬اﺑﺰاري اﺳﺖ ﻛﻪ ‪log‬ﻫﺎي ‪ IIS‬را ﺑﺮ ﺣﺴﺐ آدرس ‪ IP‬ﭘﺎك ﻣﻲﻛﻨﺪ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ رﻛﻮردﻫﺎي ﻓﺎﻳﻞﻫﺎي‬ ‫ﻻگ ‪ W3SVC‬را ﻛﻪ ﻣﺮﺑﻮط ﺑﻪ آدرس ‪ IP‬ﺧﻮدش اﺳﺖ را ﭘﺎك ﻛﻨﺪ ﺗﺎ ردﭘﺎﻳﻲ از ﺧﻮد ﺑﺮ ﺟﺎي ﻧﮕﺬارد‪،‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎي ﻫﻚ ﻋﺒﺎرﺗﻨﺪ از‪،ServerMask ،SAINT Vulnerability Scanner ،CORE IMPACT :‬‬ ‫‪.Neosploit ،MPack ،LinkDeny ،HTTPZip ،CasheRight ،ServerMask ip100‬‬

‫‪146‬‬

‫ﺗﻜﻨﻴﻚﻫﺎي ﻣﺪﻳﺮﻳﺖ ‪patch‬ﻫﺎ‬ ‫‪ ،hotfix‬ﻛﺪي اﺳﺖ ﻛﻪ اﻳﺮادي را در ﻳﻚ ﻣﺤﺼﻮل ﺑﺮﻃﺮف ﻣﻲﻛﻨﺪ‪ .‬ﻣﻤﻜﻦ اﺳﺖ ﻛﺎرﺑﺮان از ﻃﺮﻳﻖ اﻳﻤﻴﻞ ﻳﺎ وب‬ ‫ﺳﺎﻳﺖ ﻓﺮوﺷﻨﺪه از آن ﻣﻄﻠﻊ ﺷﻮﻧﺪ‪ .‬ﺑﻌﻀﻲ اوﻗﺎت اﻳﻦ ‪hotfix‬ﻫﺎ ﺗﺮﻛﻴﺐ ﺷﺪه و ﺑﺼﻮرت ﭘﻚ ﺗﻮزﻳﻊ ﻣﻲﺷﻮﻧﺪ ﻛﻪ ‪service‬‬ ‫‪ pack‬ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮد‪ .‬ﻣﺪﻳﺮﻳﺖ ‪ ،pacth‬ﻓﺮآﻳﻨﺪ ﺑﻪ روز رﺳﺎﻧﻲ ‪patch‬ﻫﺎي ﻣﻮرد ﻧﻴﺎز ﺑﺮاي ﻳﻚ ﺳﻴﺴﺘﻢ اﺳﺖ‪ .‬ﻣﺪﻳﺮﻳﺖ‬ ‫ﺻﺤﻴﺢ ‪patch‬ﻫﺎ ﺷﺎﻣﻞ اﻧﺘﺨﺎب ﻧﺤﻮه ﻧﺼﺐ‪ ،‬و ﻧﻴﺰ ﺑﺮرﺳﻲ ‪patch‬ﻫﺎ اﺳﺖ‪ .‬ﺷﻤﺎ ﺑﺎﻳﺪ ﻻﮔﻲ از ‪patch‬ﻫﺎي ﻧﺼﺐ ﺷﺪه ﺑﺮ‬ ‫روي ﻫﺮ ﺳﻴﺴﺘﻢ‪ ،‬را ﻧﮕﻬﺪاري ﻛﻨﻴﺪ‪ .‬ﺑﺮاي ﻧﺼﺐ ﺳﺎدهﺗﺮ ‪patch‬ﻫﺎ‪ ،‬ﻣﻲﺗﻮاﻧﻴﺪ از ﺳﻴﺴﺘﻢﻫﺎي ﺧﻮدﻛﺎر ﻣﺪﻳﺮﻳﺖ ‪ patch‬ﻛﻪ‬ ‫ﺗﻮﺳﻂ ‪ Microsoft ،St. Bernard ،PatchLink‬و دﻳﮕﺮ ﻓﺮوﺷﻨﺪﮔﺎن ﻧﺮماﻓﺰار اراﺋﻪ ﺷﺪه اﺳﺖ اﺳﺘﻔﺎده ﻛﻨﻴﺪ ﺗﺎ ﺳﻴﺴﺘﻢﻫﺎ‬ ‫را ارزﻳﺎﺑﻲ ﻛﻨﻴﺪ و ﺗﺼﻤﻴﻢ ﺑﮕﻴﺮﻳﺪ ﻛﻪ ﻛﺪام ‪patch‬ﻫﺎ را ﻧﺼﺐ ﻛﻨﻴﺪ‪ .‬ﺑﺮﺧﻲ از اﻳﻦ اﺑﺰارﻫﺎ ﻋﺒﺎرﺗﻨﺪ از‪،UpdateExpert :‬‬ ‫‪.HFNetChk ،Qfecheck‬‬

‫اﺳﻜﻨﺮﻫﺎي آﺳﻴﺐ ﭘﺬﻳﺮي‬ ‫اﻧﻮاع ﻣﺨﺘﻠﻒ از اﺳﻜﻨﺮﻫﺎي آﺳﻴﺐ ﭘﺬﻳﺮي وﺟﻮد دارﻧﺪ‪:‬‬ ‫اﺳﻜﻨﺮﻫﺎي آﻧﻼﻳﻦ‪ :‬ﻣﺜﻞ ‪www.securityseers.com‬‬ ‫اﺳﻜﻨﺮﻫﺎي اﭘﻦ ﺳﻮرس‪ :‬ﻣﺜﻞ ‪ ،Nessus Security Scanner ،Snort‬و ‪.Nmap‬‬ ‫اﺳﻜﻨﺮﻫﺎي ﻣﺨﺼﻮص ﻟﻴﻨﻮﻛﺲ‪ :‬ﻣﺜﻞ ‪ ،XVScan ،SANE‬و ‪.Parallel Port‬‬

‫‪ ،Whisker‬ﻧﺮماﻓﺰار اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي اﺳﺖ ﻛﻪ ﻓﺎﻳﻞﻫﺎ و وب ﺳﺮورﻫﺎي راه دور را از ﻧﻈﺮ داﺷﺘﻦ اﻛﺴﭙﻠﻮﻳﺖ‪،‬‬ ‫اﺳﻜﻦ ﻣﻲﻛﻨﺪ‪.‬‬

‫‪147‬‬

‫ﺑﺮﺧﻲ دﻳﮕﺮ از ﻧﺮماﻓﺰارﻫﺎي اﺳﻜﻦ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪N-Stealth HTTP Vulnerability Scanner‬‬ ‫‪WebInspect‬‬ ‫‪Shadow Security Scanner‬‬ ‫‪SecureIIS‬‬ ‫‪ServersCheck Monitoring‬‬ ‫‪GFI Network Server Monitor‬‬ ‫‪Servers Alive‬‬ ‫‪Webserver Stress Tool‬‬ ‫‪Secunia PSI‬‬

‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬

‫روشﻫﺎي اﻣﻦ ﺳﺎزي وب ﺳﺮور‬ ‫ﻣﺪﻳﺮ ﻳﻚ وب ﺳﺮور‪ ،‬ﻣﻲﺗﻮاﻧﺪ اﻗﺪاﻣﺎت زﻳﺎدي را ﺑﺮاي اﻣﻦ ﺳﺎزي ﺳﺮور اﻧﺠﺎم دﻫﺪ‪ .‬در زﻳﺮ ﺑﺮﺧﻲ از روشﻫﺎي اﻣﻦ‬ ‫ﺳﺎزي وب ﺳﺮور آﻣﺪه اﺳﺖ‪:‬‬ ‫•‬

‫ﺗﻐﻴﻴﺮ ﻧﺎم اﻛﺎﻧﺖ ‪ administrator‬و اﺳﺘﻔﺎده از ﭘﺴﻮرد ﭘﻴﭽﻴﺪه‬

‫•‬

‫ﻏﻴﺮﻓﻌﺎل ﻛﺮدن ‪ Default web site‬و ‪default FTP site‬‬

‫•‬

‫ﺣﺬف ﺑﺮﻧﺎﻣﻪﻫﺎي ﺑﺪون اﺳﺘﻔﺎده از ﺳﺮور از ﻗﺒﻴﻞ ‪WebDAV‬‬

‫•‬

‫ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن ‪) directory browsing‬ﻣﺸﺎﻫﺪه داﻳﺮﻛﺘﻮري( در ﺗﻨﻈﻴﻤﺎت وب ﺳﺮور‬

‫•‬

‫اﺿﺎﻓﻪ ﻛﺮدن ﻳﻚ ﻫﺸﺪار ﻗﺎﻧﻮﻧﻲ در ﺳﺎﻳﺖ ﺑﺮاي آﮔﺎه ﺳﺎﺧﺘﻦ ﻫﻜﺮﻫﺎ از ﺗﺎﺛﻴﺮات ﻫﻚ ﺳﺎﻳﺖ‬

‫•‬

‫ﻧﺼﺐ ‪patch‬ﻫﺎ و ﺳﺮوﻳﺲ ﭘﻚﻫﺎي ﺟﺪﻳﺪ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و ﻧﺮماﻓﺰار وب ﺳﺮور‬

‫•‬

‫ﺑﺮرﺳﻲ وروديﻫﺎي ﻛﺎرﺑﺮ در ﻓﺮم وب ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻼت ‪ buffer overflow‬و ‪...‬‬

‫•‬

‫ﻏﻴﺮ ﻓﻌﺎل ﺳﺎﺧﺘﻦ ﻣﺪﻳﺮﻳﺖ از راه دور‬

‫•‬

‫اﺳﺘﻔﺎده از اﺳﻜﺮﻳﭙﺘﻲ ﺑﺮاي ﻧﮕﺎﺷﺖ ﻓﺎﻳﻞﻫﺎي ﻏﻴﺮ ﻻزم ﺑﻪ ﻳﻚ ﭘﻴﺎم ﺧﻄﺎ از ﻗﺒﻴﻞ ‪("File not found") 404‬‬

‫•‬

‫ﻓﻌﺎل ﻛﺮدن ‪ logging‬و ‪auditing‬‬

‫•‬

‫اﺳﺘﻔﺎده از ﻓﺎﻳﺮوال ﺑﻴﻦ وب ﺳﺮور و اﻳﻨﺘﺮﻧﺖ و ﺑﺎز ﻛﺮدن ﺗﻨﻬﺎ ﭘﻮرتﻫﺎي ﻻزم از ﻗﺒﻴﻞ ‪ 80‬ﻳﺎ ‪443‬‬

‫•‬

‫ﺟﺎﻳﮕﺰﻳﻨﻲ روش ‪ GET‬ﺑﺎ روش ‪ POST‬در زﻣﺎن ارﺳﺎل دادهﻫﺎ ﺑﻪ ﻳﻚ وب ﺳﺮور‬

‫‪148‬‬

‫ﻳﻜﻲ از روشﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪ ،cross site scripting‬ﺟﺎﻳﮕﺰﻳﻨﻲ ﻛﺎراﻛﺘﺮﻫﺎي "" ,‬ﺑﺎ ﻛﺎرﻛﺘﺮﻫﺎي "‪ "<‬و‬ ‫"‪ ">‬ﺑﺎ اﺳﺘﻔﺎده از اﺳﻜﺮﻳﭙﺖ ﻫﺎي ﺳﺮور اﺳﺖ‬

‫ﭼﻚ ﻟﻴﺴﺖ ﻣﺤﺎﻓﻈﺖ از وب ﺳﺮور‬ ‫‪Patch‬ﻫﺎ و ‪update‬ﻫﺎ‪:‬‬ ‫از اﺑﺰار ‪ MBSA‬ﺑﺮاي ﺑﺮرﺳﻲ ﻣﻨﻈﻢ آﺧﺮﻳﻦ آﭘﺪﻳﺖﻫﺎي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‬

‫•‬

‫‪ Auditing‬و ‪:logging‬‬ ‫•‬

‫ﻓﻌﺎل ﺳﺎزي ‪ failed logon attempts‬در ‪log‬‬

‫•‬

‫ﺟﺎﺑﺠﺎ ﻛﺮدن و اﻣﻦ ﺳﺎﺧﺘﻦ ﻓﺎﻳﻞﻫﺎي ‪ log‬ﺑﺮاي ‪IIS‬‬

‫ﺳﺮوﻳﺲﻫﺎ‪:‬‬ ‫•‬

‫ﻏﻴﺮﻓﻌﺎل ﺳﺎﺧﺘﻦ ﺳﺮوﻳﺲﻫﺎي ﻏﻴﺮ ﺿﺮوري وﻳﻨﺪوز‬

‫•‬

‫اﺟﺮاي ﺳﺮوﻳﺲﻫﺎي ﺿﺮوري ﺑﺎ ﻛﻤﺘﺮﻳﻦ ﺳﻄﺢ دﺳﺘﺮﺳﻲ‬

‫‪:Script Mapping‬‬ ‫•‬

‫‪Extension‬ﻫﺎﻳﻲ ﻛﻪ ﺗﻮﺳﻂ ﺑﺮﻧﺎﻣﻪﻫﺎ اﺳﺘﻔﺎده ﻧﻤﻲﺷﻮﻧﺪ ﺑﻪ ‪ 404.dll‬ﻫﺪاﻳﺖ ﺷﻮﻧﺪ )‪،.shtml ،.ida ،.htw ،.idq‬‬ ‫‪(.printer ،.htr ،.idc ،.stm‬‬

‫ﭘﺮوﺗﻜﻞﻫﺎ‪:‬‬ ‫•‬

‫ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن ‪WebDAV‬‬

‫•‬

‫ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن ‪ NetBIOS‬و ‪) SMB‬ﺑﺴﺘﻦ ﭘﻮرتﻫﺎي ‪ 139 ،138 ،137‬و ‪(445‬‬

‫اﻛﺎﻧﺖﻫﺎ‪:‬‬ ‫•‬

‫ﺣﺬف اﻛﺎﻧﺖﻫﺎي ﺑﺪون اﺳﺘﻔﺎده‬

‫•‬

‫ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن اﻛﺎﻧﺖ ‪quest‬‬

‫•‬

‫ﺗﻐﻴﺮ ﻧﺎم اﻛﺎﻧﺖ ‪administrator‬‬

‫•‬

‫ﻓﻌﺎل ﻛﺮدن ورود ﻣﺤﻠﻲ ﺑﺮاي ‪Administartor‬‬ ‫‪149‬‬

‫‪:ISAPI Filters‬‬ ‫•‬

‫ﺣﺬف ﻓﻴﻠﺘﺮﻫﺎي ‪ ISAPI‬ﻛﻪ اﺳﺘﻔﺎده ﻧﻤﻲﺷﻮد‬

‫ﻓﺎﻳﻞﻫﺎ و داﻳﺮﻛﺘﻮريﻫﺎ‪:‬‬ ‫•‬

‫ﻓﺎﻳﻞﻫﺎ و داﻳﺮﻛﺘﻮريﻫﺎ ﺑﺎﻳﺪ در دراﻳﻮﻫﺎي ‪ NTFS‬ﺑﺎﺷﻨﺪ‬

‫•‬

‫ﻣﺤﺘﻮاي وب ﺳﺎﻳﺖ در دراﻳﻮي ﺑﻪ ﻏﻴﺮ از ‪ NTFS‬ذﺧﻴﺮه ﺷﻮﻧﺪ‬

‫•‬

‫داﻳﺮﻛﺘﻮري رﻳﺸﻪ وب ﺳﺎﻳﺖ‪ ،‬ﺣﻖ ﻧﻮﺷﺘﻦ را ﺑﺮاي ‪ IUSER COMPUTERNAME‬را ‪ deny‬ﻛﻨﺪ‬

‫‪:IIS Metabase‬‬ ‫•‬

‫ﺑﺎ اﺳﺘﻔﺎده از ﻣﺠﻮزﻫﺎي ‪ ،NTFS‬دﺳﺘﺮﺳﻲ ﺑﻪ ‪ metabase‬ﺑﺎﻳﺪ ﻣﺤﺪود ﺷﻮد‬

‫‪Share‬ﻫﺎ‪:‬‬ ‫•‬

‫ﺣﺬف ‪share‬ﻫﺎي ‪ C$) administrator‬و ‪(Admin$‬‬

‫ﭘﻮرتﻫﺎ‪:‬‬ ‫•‬

‫ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‪ ،‬ﺗﻨﻬﺎ ﺑﺮاي اﺳﺘﻔﺎده از ﭘﻮرت ‪ 80‬و ‪443‬‬ ‫ﻣﺤﺪود ﺷﻮﻧﺪ‬

‫اﻣﻨﻴﺖ دﺳﺘﺮﺳﻲ ﺑﻪ ﻛﺪ‪:‬‬ ‫•‬

‫اﻣﻨﻴﺖ دﺳﺘﺮﺳﻲ ﺑﻪ ﻛﺪ‪ ،‬ﺑﺮ روي ﺳﺮور ﻓﻌﺎل ﺷﻮد‬

‫آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‬ ‫ﺑﻪ ﻋﻨﻮان ﻛﺎرﺷﻨﺎس اﻣﻨﻴﺘﻲ‪ ،‬ﻋﻼوه ﺑﺮ اﻳﻨﻜﻪ ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﺎ آﺳﻴﺐ ﭘﺬﻳﺮي وب ﺳﺮورﻫﺎ آﺷﻨﺎ ﺑﺎﺷﻴﺪ ﺑﺎﻳﺴﺘﻲ ﺑﺎ آﺳﻴﺐ‬ ‫ﭘﺬﻳﺮيﻫﺎي ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب ﻫﻢ آﺷﻨﺎ ﺑﺎﺷﻴﺪ‪ .‬در اﻳﻦ ﺑﺨﺶ‪ ،‬در ﻣﻮرد ﻧﺤﻮه ﻛﺎر ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب و ﻫﺪف از ﻫﻚ‬ ‫وب ﺳﺮورﻫﺎ ﺑﺤﺚ ﺧﻮاﻫﻴﻢ ﻛﺮد‪ .‬ﻫﻤﭽﻨﻴﻦ ﺳﺎﺧﺘﺎر ﺣﻤﻼت ﺑﺮ ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب و ﺑﻌﻀﻲ از ﺗﻬﺪﻳﺪات ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ‬ ‫وب را ﻣﻮرد آزﻣﺎﻳﺶ ﻗﺮار ﺧﻮاﻫﻴﻢ داد‪ .‬در آﺧﺮ‪ ،‬در ﻣﻮرد ‪ google hacking‬و روشﻫﺎي ﻣﻘﺎﺑﻠﻪ ﺑﺎ آن ﺑﺤﺚ ﺧﻮاﻫﻴﻢ ﻛﺮد‪.‬‬

‫‪150‬‬

‫ﻧﺤﻮه ﻛﺎر ﺑﺮﻧﺎﻣﻪﻫﺎي وب‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‪ ،‬ﺑﺮﻧﺎﻣﻪﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮ روي وب ﺳﺮور ﻧﮕﻬﺪاري ﻣﻲﺷﻮﻧﺪ ﺗﺎ ﻛﺎرﺑﺮ ﺑﺘﻮاﻧﺪ از ﻃﺮﻳﻖ وب‬ ‫ﺳﺎﻳﺖ‪ ،‬ﻛﺎر ﻛﻨﺪ‪ .‬ﻛﻮﺋﺮيﻫﺎي ﭘﺎﻳﮕﺎه داده‪ ،‬وب ﻣﻴﻞ‪ ،‬ﮔﺮوهﻫﺎي ﺑﺤﺚ‪ ،‬و ﺑﻼگﻫﺎ‪ ،‬ﻣﺜﺎلﻫﺎﻳﻲ از ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‬ ‫ﻫﺴﺘﻨﺪ‪.‬‬

‫ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب‪ ،‬از ﻣﻌﻤﺎري ﻛﻼﻳﻨﺖ‪/‬ﺳﺮور اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﻛﻪ ﻣﺮورﮔﺮ وب ﺑﻪ ﻋﻨﻮان ﻛﻼﻳﻨﺖ و وب ﺳﺮور ﺑﻪ‬ ‫ﻋﻨﻮان اﭘﻠﻴﻜﺸﻦ ﺳﺮور ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪ .‬ﺟﺎوا اﺳﻜﺮﻳﭙﺖ‪ ،‬روﺷﻲ راﻳﺞ ﺑﺮاي ﭘﻴﺎدهﺳﺎزي ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب اﺳﺖ‪ .‬از‬ ‫آﻧﺠﺎﺋﻴﻜﻪ ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‪ ،‬ﺑﻪ ﻃﻮر ﮔﺴﺘﺮده ﭘﻴﺎدهﺳﺎزي ﺷﺪهاﻧﺪ‪ ،‬ﻫﺮ ﻛﺎرﺑﺮي ﺑﺎ ﻣﺮورﮔﺮ ﺧﻮد ﻣﻲﺗﻮاﻧﺪ ﺑﺎ اﻏﻠﺐ‬ ‫ﻳﻮﺗﻴﻠﻴﺘﻲ ﺳﺎﻳﺖﻫﺎ ﺗﻌﺎﻣﻞ ﻛﻨﺪ‪.‬‬

‫ﻫﺪف از ﻫﻚ ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‬ ‫ﻫﺪف از ﻫﻚ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب‪ ،‬ﺑﻪ دﺳﺖ آوردن اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ اﺳﺖ‪ .‬ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‪ ،‬ﺑﺮاي اﻣﻨﻴﺖ‬ ‫ﻳﻚ ﺳﻴﺴﺘﻢ‪ ،‬ﺣﻴﺎﺗﻲ ﻫﺴﺘﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ آﻧﻬﺎ ﻣﻌﻤﻮﻻ ﺑﻪ ﭘﺎﻳﮕﺎه دادهاي ﻛﻪ ﺷﺎﻣﻞ اﻃﻼﻋﺎﺗﻲ از ﻗﺒﻴﻞ ﻫﻮﻳﺖﻫﺎ ﺑﺎ ﺷﻤﺎرهﻫﺎ و‬ ‫ﭘﺴﻮردﻫﺎي ﻛﺎرت اﻋﺘﺒﺎري اﺳﺖ‪ ،‬ﻣﺘﺼﻞ ﻣﻲﺷﻮﻧﺪ‪ .‬آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‪ ،‬ﺗﻬﺪﻳﺪات را اﻓﺰاﻳﺶ ﻣﻲدﻫﺪ‬ ‫و ﺳﺒﺐ ﻣﻲﺷﻮد ﻫﻜﺮﻫﺎ ﺑﺘﻮاﻧﻨﺪ از ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و ﻳﺎ ﻧﺮماﻓﺰار وب ﺳﺮور ﻳﺎ ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب ﺳﻮ اﺳﺘﻔﺎده ﻛﻨﻨﺪ‪ .‬ﺑﺮﻧﺎﻣﻪﻫﺎي‬ ‫ﺗﺤﺖ وب‪ ،‬راه ورود دﻳﮕﺮي ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺴﺘﻨﺪ و ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺮاي ﻧﻔﻮذ ﺑﻪ ﺳﻴﺴﺘﻢ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪.‬‬

‫آﻧﺎﺗﻮﻣﻲ ﺣﻤﻠﻪ‬ ‫ﻫﻚ ﻛﺮدن ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‪ ،‬ﻣﺸﺎﺑﻪ ﻫﻚ ﻛﺮدن ﺳﻴﺴﺘﻢﻫﺎي دﻳﮕﺮ اﺳﺖ‪ .‬ﻫﻜﺮﻫﺎ‪ ،‬ﻳﻚ ﻓﺮآﻳﻨﺪ ﭘﻨﺞ ﻣﺮﺣﻠﻪاي را‬ ‫دﻧﺒﺎل ﻣﻲﻛﻨﻨﺪ‪ :‬آﻧﻬﺎ ﺷﺒﻜﻪ را اﺳﻜﻦ ﻣﻲﻛﻨﻨﺪ‪ ،‬اﻃﻼﻋﺎت را ﺑﺮاي ﺗﺴﺖ ﺣﻤﻼت ﻣﺨﺘﻠﻒ ﺟﻤﻊآوري ﻣﻲﻛﻨﻨﺪ‪ ،‬و ﻧﻬﺎﻳﺘﺎ‬ ‫ﺣﻤﻠﻪ را ﻃﺮح رﻳﺰي و اﺟﺮا ﻣﻲﻛﻨﻨﺪ‪ .‬اﻳﻦ ﻣﺮاﺣﻞ در ﺷﻜﻞ زﻳﺮ ﻧﺸﺎن داده ﺷﺪه اﺳﺖ‪:‬‬ ‫‪151‬‬

‫ﺗﻬﺪﻳﺪات ﺑﺮﻧﺎﻣﻪﻫﺎي وب‬ ‫ﺗﻬﺪﻳﺪات زﻳﺎدي در وب ﺳﺮور وﺟﻮد دارﻧﺪ‪ .‬در زﻳﺮ‪ ،‬ﻣﻬﻢﺗﺮﻳﻦ اﻳﻦ ﺗﻬﺪﻳﺪات ذﻛﺮ ﺷﺪهاﻧﺪ‪:‬‬ ‫‪ :Cross-site scripting‬زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ از ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﺗﺎ ﻛﺪ ﻣﺨﺮب ﻣﺜﻞ ﺟﺎوا اﺳﻜﺮﻳﭙﺖ را ارﺳﺎل‬ ‫ﻛﻨﺪ‪ cross-site scripting ،‬اﺗﻔﺎق ﻣﻲاﻓﺘﺪ‪ .‬در اﻳﻦ ﺣﻤﻠﻪ‪ ،‬ﻓﺎﻳﻞﻫﺎي ﻛﺎرﺑﺮ ﻧﻬﺎﻳﻲ ﻓﺎش ﻣﻲﺷﻮﻧﺪ‪ ،‬ﺗﺮوﺟﺎن ﻧﺼﺐ ﻣﻲﺷﻮد‪،‬‬ ‫ﻛﺎرﺑﺮ ﺑﻪ ﺻﻔﺤﻪ دﻳﮕﺮي ﻫﺪاﻳﺖ ﻣﻲﺷﻮد‪ ،‬و ﻣﺤﺘﻮا ﺗﻐﻴﻴﺮ ﻣﻲﻛﻨﺪ‪ .‬وب ﺳﺮورﻫﺎ‪ ،‬اﭘﻠﻴﻜﺸﻦ ﺳﺮورﻫﺎ‪ ،‬و وب اﭘﻠﻴﻜﺸﻦﻫﺎ‪،‬‬ ‫ﻣﺴﺘﻌﺪ اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ ﻫﺴﺘﻨﺪ‪.‬‬ ‫ﻣﺜﺎﻟﻲ از ‪ :XSS‬ﻫﻜﺮي ﻣﺘﻮﺟﻪ ﻣﻲﺷﻮد ﻛﻪ وب ﺳﺎﻳﺖ ‪ ،XSECURITY‬داراي اﻳﻦ ﺑﺎگ )ﻣﺸﻜﻞ( اﺳﺖ‪ .‬ﻫﻜﺮ اﻳﻤﻴﻠﻲ ﺑﻪ‬ ‫ﺷﻤﺎ ارﺳﺎل ﻣﻲﻛﻨﺪ و ادﻋﺎ ﻣﻲﻛﻨﺪ ﻛﻪ ﺷﻤﺎ ﺑﺮﻧﺪه ﺷﺪﻳﺪ و ﺗﻨﻬﺎ ﻛﺎري ﻛﻪ ﺑﺎﻳﺪ ﺑﻜﻨﻴﺪ اﻳﻦ اﺳﺖ ﻛﻪ ﺑﺮ روي ﻟﻴﻨﻚ زﻳﺮ‬ ‫ﻛﻠﻴﻚ‬

‫ﻛﻨﻴﺪ‪.‬‬

‫ﻟﻴﻨﻚ‬

‫آدرس‬

‫ﺑﻪ‬

‫ﺻﻮرت‬

‫>‪ www.xsecurity.com/default.asp?name=evilScript()‪evilScript()‪ ‪‪‪ System > CurrentControlSet > Control‬‬ ‫ﻓﻮﻟﺪر ‪ class‬را ﺑﺎز ﻛﻨﻴﺪ ﺗﺎ ﻓﻮﻟﺪر }‪ {4D36E972-E325-11CE-BFC1-08002bE10318‬را ﭘﻴﺪا ﻛﻨﻴﺪ و آن را ﺑﺎز‬ ‫ﻛﻨﻴﺪ‪ .‬اﻳﻦ ﻓﻮﻟﺪر ﺷﺎﻣﻞ اﻃﻼﻋﺎت رﺟﻴﺴﺘﺮي وﻳﻨﺪوز ‪ XP‬ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﻛﺎرت ﺷﺒﻜﻪاي ﻛﻪ ﺑﺮ روي وﻳﻨﺪوز ﻧﺼﺐ ﻛﺮدهاﻳﺪ‬ ‫اﺳﺖ‪ .‬ﻛﺎرت ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﺧﻮد را ﭘﻴﺪا ﻛﻨﻴﺪ از ﻣﻨﻮي ‪ ،Edit‬ﮔﺰﻳﻨﻪ ‪ New‬و ﺳﭙﺲ ‪ String Values‬را اﻧﺘﺨﺎب ﻛﻨﻴﺪ‪.‬‬ ‫ﻋﺒﺎرت ‪ NetworkAddress‬را ﺗﺎﻳﭗ ﻛﻨﻴﺪ‪ .‬ﺑﺮ روي آن راﺳﺖ ﻛﻠﻴﻚ ﻛﻨﻴﺪ و ﮔﺰﻳﻨﻪ ‪ Modify‬را اﻧﺘﺨﺎب ﻛﻨﻴﺪ‪MAC .‬‬ ‫‪ Address‬ﺟﺪﻳﺪ را ﺗﺎﻳﭗ ﻛﻨﻴﺪ و ﺑﺮ روي ‪ OK‬ﻛﻠﻴﻚ ﻛﻨﻴﺪ‪ .‬ﺑﻌﺪ از راه اﻧﺪازي ﻛﺎﻣﭙﻴﻮﺗﺮ‪ MAC Address ،‬ﺟﺪﻳﺪ ﻣﻮرد‬ ‫اﺳﺘﻔﺎده ﻗﺮار ﺧﻮاﻫﺪ ﮔﺮﻓﺖ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،SMAC‬اﺑﺰاري ﺑﺮاي ‪ MAC spoofing‬اﺳﺖ ﻛﻪ ﺑﺮاي ﺟﻌﻞ آدرس ﻛﺎرﺑﺮ و دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬

‫‪) Rogue Access Point‬ﺗﻘﻠﺒﻲ(‬ ‫‪ Access point‬ﺗﻘﻠﺒﻲ‪access point ،‬ﻫﺎﻳﻲ در ﺷﺒﻜﻪﻫﺎي واﻳﺮﻟﺲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮاي اﺗﺼﺎل ﺑﻪ ﺷﺒﻜﻪ ﻫﺪف‪ ،‬ﻣﺠﻮز‬ ‫ﻧﺪارﻧﺪ‪ .‬اﻳﻦ ‪access point‬ﻫﺎ‪ ،‬ﺣﻔﺮهاي در ﺷﺒﻜﻪ ﺑﺎز ﻣﻲﻛﻨﻨﺪ‪ .‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﻳﻚ ‪ access point‬ﺗﻘﻠﺒﻲ در ﺷﺒﻜﻪ ﻗﺮار‬ ‫دﻫﺪ ﻳﺎ ﻛﺎرﻣﻨﺪي ﺑﻪ ﻃﻮر ﻧﺎﺧﻮاﺳﺘﻪ‪ ،‬ﺑﺎ اﺗﺼﺎل ﻳﻚ ‪ access point‬ﺑﻪ ﺷﺒﻜﻪ‪ ،‬ﻳﻚ ﺣﻔﺮه اﻣﻨﻴﺘﻲ اﻳﺠﺎد ﻛﻨﺪ‪ .‬ﻫﺮ ‪access‬‬ ‫‪ point‬ﺗﻘﻠﺒﻲ ﻣﻲﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﺷﺨﺼﻲ ﻛﻪ ﺑﻪ ‪ access point‬ﻣﺘﺼﻞ اﺳﺖ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﻴﺮد از ﺟﻤﻠﻪ ﻫﻜﺮ‪ ،‬و‬ ‫دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ ﻛﺎﺑﻠﻲ را ﺑﺪﻫﺪ‪ .‬ﺑﻪ ﻫﻤﻴﻦ دﻟﻴﻞ‪ ،‬داﺷﺘﻦ ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﺑﺮاي ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﺳﺎزﻣﺎن ﺟﻬﺖ اﺳﻜﻦ‬ ‫ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﺿﺮوري اﺳﺖ ﺗﺎ ﻣﻄﻤﺌﻦ ﺷﻮﻳﻢ ﻛﻪ ‪ access point‬ﺗﻘﻠﺒﻲ ﺑﻪ ﺷﺒﻜﻪ ﻣﺘﺼﻞ اﺳﺖ‪ .‬از ﺟﻤﻠﻪ اﺑﺰارﻫﺎﻳﻲ ﻛﻪ‬ ‫ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ‪ access point‬ﺗﻘﻠﺒﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮد ﻋﺒﺎرﺗﻨﺪ از‪ NetStumbler :‬و ‪.MiniStrumbler‬‬

‫‪184‬‬

‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،ClassicStumbler‬اﻃﻼﻋﺎت ‪ access point‬ﻫﺎﻳﻲ ﻛﻪ داﺧﻞ رﻧﺞ ﻫﺴﺘﻨﺪ را ﻧﻤﺎﻳﺶ ﻣﻲدﻫﺪ‪.‬‬ ‫‪ ،AirFart‬ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ دﺳﺘﮕﺎهﻫﺎي واﻳﺮﻟﺲ و ﻣﺤﺎﺳﺒﻪ ﻗﺪرت ﺳﻴﮕﻨﺎل آﻧﻬﺎ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬ ‫‪ ،Hotspotter‬اﺑﺰاري ﺧﻮدﻛﺎر ﺑﺮاي ﺗﺴﺖ ﻧﻔﻮذﭘﺬﻳﺮي ﻛﻼﻳﻨﺖﻫﺎي واﻳﺮﻟﺲ اﺳﺖ‪.‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎي ﻫﻚ ﻋﺒﺎرﺗﻨﺪ از‪ ،ASLEAP ،AP Radar :‬و ‪.Cain & Abel‬‬

‫ﺗﻜﻨﻴﻚﻫﺎي ﻫﻚ ﺷﺒﻜﻪ واﻳﺮﻟﺲ‬ ‫ﺑﺴﻴﺎري از ﺣﻤﻼت ﺑﺮاي ﻫﻚ واﻳﺮﻟﺲ‪ ،‬در دﺳﺘﻪﻫﺎي زﻳﺮ ﻗﺮار ﻣﻲﮔﻴﺮﻧﺪ‪:‬‬ ‫ﻣﻜﺎﻧﻴﺰمﻫﺎي ﺷﻜﺴﺘﻦ رﻣﺰﮔﺬاري و اﺣﺮاز ﻫﻮﻳﺖ‪ :‬اﻳﻦ ﻣﻜﺎﻧﻴﺰمﻫﺎ‪ ،‬ﺷﺎﻣﻞ ﺷﻜﺴﺘﻦ ﻛﻠﻴﺪﻫﺎي اﺣﺮاز ﻫﻮﻳﺖ ‪،WEP‬‬ ‫‪ ،WPA‬و ‪ LEAP‬ﺳﻴﺴﻜﻮ اﺳﺖ‪ .‬ﻫﻜﺮﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺎ اﺳﺘﻔﺎده از آﻧﻬﺎ‪ ،‬ﺑﻪ ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﻣﺘﺼﻞ ﺷﻮﻧﺪ ﻳﺎ دادهﻫﺎي ﻛﺎرﺑﺮ‬ ‫دﻳﮕﺮي را ﺑﺪﺳﺖ آورﻧﺪ و آﻧﻬﺎ را رﻣﺰﮔﺸﺎﻳﻲ ﻛﻨﺪ‪.‬‬ ‫اﺳﺘﺮاق ﺳﻤﻊ‪ :‬ﺑﺪﺳﺖ آوردن ﭘﺴﻮردﻫﺎ ﻳﺎ اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ دﻳﮕﺮ از ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﻏﻴﺮ رﻣﺰ ﺷﺪه ﻳﺎ ‪ hotspot‬اﺳﺖ‪.‬‬ ‫‪ DoS :DoS‬ﺑﺎ اﻳﺠﺎد ﻓﺮﻛﺎﻧﺲ رادﻳﻮي ﻗﻮيﺗﺮ از ﻓﺮﻛﺎﻧﺴﻲ ﻛﻪ ‪ Access Point‬ارﺳﺎل ﻣﻲﻛﻨﺪ‪ ،‬در ﻻﻳﻪ ﻓﻴﺰﻳﻜﻲ اﻧﺠﺎم‬ ‫ﻣﻲﮔﻴﺮد و ﺳﺒﺐ از ﻛﺎر اﻓﺘﺎدن ‪ access point‬ﻣﻲﺷﻮد و ﻛﺎرﺑﺮان ﺑﻪ ﻳﻚ ‪ access point‬ﺳﺎﺧﺘﮕﻲ‪ ،‬وﺻﻞ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪ ،DoS‬در ﻻﻳﻪ ‪ LLC‬ﺑﺎ اﻳﺠﺎد ﻓﺮﻳﻢﻫﺎي ‪) deauthentication‬ﺣﻤﻼت ‪ (death‬ﻳﺎ ﺑﺎ ﺗﻮﻟﻴﺪ ﭘﻴﻮﺳﺘﻪ ﻓﺮﻳﻢﻫﺎي ﺳﺎﺧﺘﮕﻲ‪،‬‬ ‫اﻧﺠﺎم ﻣﻲﮔﻴﺮد‪.‬‬ ‫‪ AP masquerading‬ﻳﺎ ‪access point :spoofing‬ﻫﺎي ﺳﺎﺧﺘﮕﻲ‪ ،‬ﺑﺎ ﺗﻨﻈﻴﻢ ‪ SSID‬ﻳﺎ ﻧﺎم ﺷﺒﻜﻪ‪ ،‬ﺧﻮد را ﺑﻪ ﻋﻨﻮان‬ ‫ﻳﻚ ‪ access point‬ﻗﺎﻧﻮﻧﻲ واﻧﻤﻮد ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ :MAC spoofing‬ﻫﻜﺮ‪ ،‬ﺧﻮد را ﺑﻪ ﻋﻨﻮان ﻳﻚ ﻛﻼﻳﻨﺖ واﻳﺮﻟﺴﻲ ﺟﺎ ﻣﻲزﻧﺪ و ﺑﺎ ﺟﻌﻞ ‪ MAC address‬ﻛﺎرﺑﺮ دﻳﮕﺮ‪،‬‬ ‫‪ MAC filtering‬را دور ﻣﻲزﻧﺪ‪.‬‬ ‫در ﺻﻮرﺗﻴﻜﻪ ‪ access point‬ﺑﻪ درﺳﺘﻲ اﻣﻦ ﻧﺸﻮد‪ ،‬ﻫﻜﺮ ﺑﻪ آﺳﺎﻧﻲ ﻣﻲﺗﻮاﻧﺪ ﺑﻪ ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﻧﻔﻮذ ﻛﻨﺪ‪ .‬روشﻫﺎي‬ ‫زﻳﺎدي ﺑﺮاي ﺳﻮاﺳﺘﻔﺎده از ﻧﻘﺎط ﺿﻌﻒ ﺷﺒﻜﻪﻫﺎي واﻳﺮﻟﺲ وﺟﻮد دارد‪.‬‬ ‫‪185‬‬

‫ﻣﺮاﺣﻞ ﻫﻚ ﺷﺒﻜﻪﻫﺎي واﻳﺮﻟﺲ‬ ‫ﻫﻜﺮ در اوﻟﻴﻦ ﮔﺎم‪ ،‬ﺑﺎ اﺳﺘﻔﺎده از اﺑﺰار ‪ NetStumbler‬در ﻣﺤﻴﻂ ﺑﻪ دﻧﺒﺎل ﺷﺒﻜﻪﻫﺎي واﻳﺮﻟﺲ ﻓﻌﺎل ﻣﻲﮔﺮدد‪.‬‬ ‫ﺳﭙﺲ از اﺑﺰارﻫﺎﻳﻲ ﻫﻤﭽﻮن ‪ kismet‬ﻳﺎ ‪ NetStumbler‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﻔﻬﻤﺪ آﻳﺎ ﺷﺒﻜﻪاي رﻣﺰ ﺷﺪه اﺳﺖ ﻳﺎ ﻧﻪ و‬ ‫ﺳﭙﺲ ﺷﺒﻜﻪاي را ﺑﺮاي ﻫﻚ اﻧﺘﺨﺎب ﻣﻲﻛﻨﺪ‪ .‬ﭘﺲ از آن‪ ،‬ﺷﺒﻜﻪ را آﻧﺎﻟﻴﺰ ﻣﻲﻛﻨﺪ ﺗﺎ ﻧﺤﻮه رﻣﺰﮔﺬاري ﺷﺒﻜﻪ‪Access ،‬‬ ‫‪ point‬ﻫﺎ‪ SSID ،‬و ‪ ...‬را ﻛﺸﻒ ﻛﻨﺪ‪ .‬در ﻣﺮﺣﻠﻪ ﭼﻬﺎرم‪ ،‬ﻫﻜﺮ وﺿﻌﻴﺖ ﻛﺎرت ﺷﺒﻜﻪ را روي ‪ monitor mode‬ﺗﻨﻈﻴﻢ‬ ‫ﻣﻲﻛﻨﺪ و ﺑﺎ اﺳﺘﻔﺎده از ‪ ،Airdump‬ﺑﺴﺘﻪﻫﺎ را ‪ capture‬ﻣﻲﻛﻨﺪ‪ ،Airdump .‬ﺳﺮﻳﻌﺎ ﺷﺒﻜﻪﻫﺎي واﻳﺮﻟﺲ ﺑﻪ ﻫﻤﺮاه ‪SSID‬‬ ‫آﻧﻬﺎ را ﻟﻴﺴﺖ ﻣﻲﻛﻨﺪ و ﺷﺮوع ﺑﻪ ‪ capture‬ﻛﺮدن ﺑﺴﺘﻪﻫﺎ ﻣﻲﻛﻨﺪ‪ .‬ﭘﺲ از ﭼﻨﺪ ﺳﺎﻋﺖ‪ Aircrack ،‬را اﺟﺮا ﻣﻲﻛﻨﺪ ﺗﺎ‬ ‫ﺷﺮوع ﺑﻪ ﻛﺮك ﻛﻨﺪ و ﻛﻠﻴﺪ را ﻛﺸﻒ ﻛﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻛﻠﻴﺪ ‪ WEP‬ﻛﺸﻒ ﺷﺪ‪ ،‬ﻫﻜﺮ‪ ،‬ﻛﺎرت ﺷﺒﻜﻪ را ﺑﻄﻮر ﺻﺤﻴﺢ ﺗﻨﻈﻴﻢ‬ ‫ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﻪ ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﻣﺘﺼﻞ ﺷﻮد و ﺑﺎ اﺳﺘﻔﺎده از ‪ ،WireShark‬ﺷﺮوع ﺑﻪ ﮔﻮش دادن ﺑﻪ ﺷﺒﻜﻪ ﻣﻲﻛﻨﺪ و ﺑﻪ دﻧﺒﺎل‬ ‫ﭘﺮوﺗﻜﻞﻫﺎي ﻏﻴﺮ رﻣﺰ ﺷﺪه از ﻗﺒﻴﻞ ‪ POP ،FTP‬و ‪ Telnet‬ﻣﻲﮔﺮدد‪.‬‬

‫‪186‬‬

‫روشﻫﺎﻳﻲ ﺷﻨﺎﺳﺎﻳﻲ ﺷﺒﻜﻪﻫﺎي واﻳﺮﻟﺲ‬

‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي اﺳﻜﻦ در ﺷﺒﻜﻪﻫﺎي واﻳﺮﻟﺲ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪،AP Scanner ،StumbVerter ،WaveStumbler ،Mognet ،MacStumbler ،PrismStumbler ،Kismet‬‬ ‫‪ ،Wifi Finder ،AirTraf ،Wireless Security Auditor‬و ‪.eEye Retina WIFI‬‬ ‫ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي اﺳﺘﺮاق ﺳﻤﻊ در ﺷﺒﻜﻪﻫﺎي واﻳﺮﻟﺲ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪،EtherPEG ،vxSniffer ،Aerosol ،VPNmonitoral ،WireShark ،NAI Wireless Sniffer ،AiroPeek‬‬ ‫‪.ssidsniff ،WinDump ،DriftNet‬‬

‫روشﻫﺎي اﻣﻦ ﺳﺎزي ﺷﺒﻜﻪﻫﺎي واﻳﺮﻟﺲ‬ ‫از آﻧﺠﺎﺋﻴﻜﻪ ﺗﻜﻨﻮﻟﻮژي واﻳﺮﻟﺲ در ﻣﻘﺎﻳﺴﻪ ﺑﺎ ﺗﻜﻨﻮﻟﻮژي ﻛﺎﺑﻠﻲ‪ ،‬ﺟﺪﻳﺪﺗﺮ اﺳﺖ‪ ،‬ﺑﺮاي اﻣﻦ ﺳﺎزي آن‪ ،‬ﮔﺰﻳﻨﻪﻫﺎي‬ ‫ﻛﻤﺘﺮي وﺟﻮد دارد‪ .‬روشﻫﺎي اﻣﻨﻴﺘﻲ را ﻣﻲﺗﻮان ﺑﺎ اﺳﺘﻔﺎده از ﻻﻳﻪﻫﺎي ﻣﺪل ‪ ،OSI‬ﺗﻘﺴﻴﻢ ﺑﻨﺪي ﻛﺮد‪.‬‬

‫‪187‬‬

‫روشﻫﺎي اﻣﻦ ﺳﺎزي در ﺳﻄﺢ ﻻﻳﻪ ‪ 2‬ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬ ‫•‬ ‫•‬

‫‪WPA‬‬ ‫‪WPA2‬‬ ‫‪802.11i‬‬

‫روش اﻣﻦ ﺳﺎزي در ﺳﻄﺢ ﻻﻳﻪ ‪ 3‬ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬

‫‪ IPSec‬ﻳﺎ ‪SSL VPN‬‬

‫روش اﻣﻦ ﺳﺎزي در ﺳﻄﺢ ﻻﻳﻪ ‪ 7‬ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬

‫‪ ،HTTPS ،SSH‬و ‪.FTPS‬‬

‫ﺑﺮﺧﻲ دﻳﮕﺮ از روشﻫﺎي اﻣﻦ ﺳﺎزي ﺷﺒﻜﻪﻫﺎي واﻳﺮﻟﺲ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬

‫‪ :MAC Filtering‬ﻟﻴﺴﺘﻲ از ‪ MAC Address‬ﻛﻼﻳﻨﺖﻫﺎي ﻣﺠﺎز را ﺗﻬﻴﻪ و در دﺳﺘﮕﺎهﻫﺎي ﻣﺮﻛﺰي واﻳﺮﻟﺲ‬ ‫ﺗﻨﻈﻴﻢ ﻛﻨﻴﺪ‪.‬‬

‫•‬

‫‪ SSID :SSID‬ﭘﻴﺶ ﻓﺮض را ﺗﻐﻴﻴﺮ دﻫﻴﺪ‪.‬‬

‫•‬

‫ﻓﺎﻳﺮوال‪ :‬ﺑﺮاي اﻣﻦ ﺳﺎزي ﺷﺒﻜﻪ واﻳﺮﻟﺲ‪ ،‬از ﻓﺎﻳﺮوال اﺳﺘﻔﺎده ﻛﻨﻴﺪ ﺗﺎ ﺟﻠﻮي دﺳﺘﺮﺳﻲ ﻏﻴﺮﻣﺠﺎز را ﺑﮕﻴﺮﻳﺪ‪.‬‬

‫•‬

‫ﺑﺮ روي ﺗﻤﺎم دﺳﺘﮕﺎهﻫﺎي واﻳﺮﻟﺲ‪ ،‬ﭘﺴﻮرد ﻗﺮار دﻫﻴﺪ‪.‬‬

‫•‬

‫ﺑﺮ روي ‪ access point‬ﻫﺎي ﺷﺒﻜﻪ‪ broadcasting ،‬را ﻏﻴﺮ ﻓﻌﺎل ﻛﻨﻴﺪ‪.‬‬

‫•‬

‫ﺑﺮ روي ﺷﺒﻜﻪﺗﺎن‪ ،‬ﻧﺎﻣﻲ اﻧﺘﺨﺎب ﻧﻜﻨﻴﺪ ﻛﻪ ﻣﺸﺨﺺ ﻛﻨﻨﺪه ﺷﺮﻛﺖ ﺷﻤﺎ ﺑﺎﺷﺪ‪.‬‬

‫•‬

‫‪Access point‬ﻫﺎ را ﺑﻪ دور از ﭘﻨﺠﺮه ﻗﺮار دﻫﻴﺪ‪.‬‬

‫•‬

‫‪ DHCP‬را ﻏﻴﺮﻓﻌﺎل ﻛﻨﻴﺪ و از ‪ IP‬دﺳﺘﻲ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬

‫•‬

‫اﺟﺎزه ﻣﺪﻳﺮﻳﺖ از راه دور را ﺑﻪ ‪access point‬ﻫﺎ ﻧﺪﻫﻴﺪ‪.‬‬

‫•‬

‫در ‪access point‬ﻫﺎ‪ ،‬از رﻣﺰﮔﺬاري اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬

‫•‬

‫‪ Firmware‬ﻫﺎﻳﺘﺎن را ﺑﻄﻮرﻣﻨﻈﻢ‪ ،‬ﺑﻪ روز ﻛﻨﻴﺪ‪.‬‬

‫•‬

‫دادهﻫﺎ را در ﻻﻳﻪ اﭘﻠﻴﻜﺸﻦ‪ ،‬رﻣﺰﮔﺬاري ﻛﻨﻴﺪ از ﻗﺒﻴﻞ ‪.SSL‬‬

‫•‬

‫ﺗﻤﺎم ﺗﻨﻈﻴﻤﺎت ﭘﻴﺶ ﻓﺮض ‪ access point‬از ﻗﺒﻴﻞ آدرس ‪ IP‬را ﺗﻐﻴﻴﺮ دﻫﻴﺪ‪.‬‬

‫•‬

‫اﻣﻨﻴﺖ ﺷﺒﻜﻪ واﻳﺮﻟﺲ را ﺑﺼﻮرت ﻣﺮﺗﺐ ﺗﺴﺖ ﻛﻨﻴﺪ‪.‬‬

‫•‬

‫از ‪ VPN‬در ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﺧﻮد اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬

‫‪188‬‬

‫ﻓﺼﻞ ﻳﺎزدﻫﻢ‬

‫اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ‬

‫ﻣﻘﺪﻣﻪ‬ ‫اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ‪ ،‬ﻳﻜﻲ از ﻣﻬﻢﺗﺮﻳﻦ ﺑﺨﺶﻫﺎي اﻣﻨﻴﺖ ‪ IT‬ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از از دﺳﺖ دادن ﻳﺎ ﺳﺮﻗﺖ دادهﻫﺎي‬ ‫ﻣﺤﺮﻣﺎﻧﻪ و ﺣﺴﺎس اﺳﺖ‪ .‬اﮔﺮ ﺳﺎزﻣﺎﻧﻲ ﻧﺘﻮاﻧﺪ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ ﻣﻨﺎﺳﺒﻲ را ﻓﺮاﻫﻢ آورد‪ ،‬آﻧﮕﺎه ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ ﻓﻨﻲ دﻳﮕﺮ‬ ‫از ﻗﺒﻴﻞ ﻓﺎﻳﺮوالﻫﺎ و ‪IDS‬ﻫﺎ ﻧﻴﺰ ﻣﻲﺗﻮاﻧﻨﺪ دور زده ﺷﻮﻧﺪ‪.‬‬ ‫ﺟﻤﻠﻪاي وﺟﻮد دارد ﻛﻪ ﻣﻲﮔﻮﻳﺪ "زﻣﺎﻧﻴﻜﻪ ﺷﻤﺎ داﺧﻞ ﺷﺪﻳﺪ‪ ،‬ﺷﺒﻜﻪ ﻣﺎل ﺷﻤﺎﺳﺖ"‪ .‬ﺑﺎ اﻣﻦ ﺳﺎزي ﻓﻴﺰﻳﻜﻲ ﺷﺒﻜﻪ و‬ ‫ﺳﺎزﻣﺎنﺗﺎن‪ ،‬از ﺳﺮﻗﺖ ﺗﺠﻬﻴﺰاﺗﻲ ﻫﻤﭽﻮن ﻟﭗ ﺗﺎپﻫﺎ ﻳﺎ دراﻳﻮﻫﺎي ‪ ،tape‬ﺟﺎﺳﺎزي ‪keylogger‬ﻫﺎ روي ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬و ﻗﺮار‬ ‫دادن ‪access point‬ﻫﺎ روي ﺷﺒﻜﻪ‪ ،‬ﺟﻠﻮﮔﻴﺮي ﻣﻲﻛﻨﻴﺪ‪ .‬اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ‪ ،‬ﺑﻪ اﺷﺨﺎص واﺑﺴﺘﻪ اﺳﺖ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻣﺴﺘﻌﺪ‬ ‫ﺣﻤﻼت ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ اﺳﺖ ﻣﺜﻼ ورود ﺑﻪ ﺳﺎﺧﺘﻤﺎن ﭘﺸﺖ ﺳﺮ ﻳﻚ ﻛﺎرﻣﻨﺪ و ﻋﺪم اراﺋﻪ ﻛﺎرت ﺷﻨﺎﺳﺎﻳﻲ ﻳﺎ ﻛﻠﻴﺪ‬ ‫)ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬دور زدن ﻣﺸﻜﻞ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ(‪.‬‬

‫روﻳﺪادﻫﺎي ﻧﻘﺾ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ‬ ‫ﻫﺮ روزه‪ ،‬ﺧﺒﺮﻫﺎي زﻳﺎدي ﻣﻨﺘﺸﺮ ﻣﻲ ﺷﻮد ﻛﻪ ﺑﻴﺎن ﻣﻲﻛﻨﻨﺪ در دوﻟﺖ ﻳﺎ ﺷﺮﻛﺖﻫﺎي ﺑﺰرگ‪ ،‬ﻳﻜﺴﺮي از اﻃﻼﻋﺎت‬ ‫ﻣﺸﺘﺮﻳﺎن ﺑﻪ ﺧﻄﺮ ﻣﻲاﻓﺘﺪ و اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ ﻛﺎرﻣﻨﺪان اﻓﺸﺎ ﻣﻲﺷﻮد‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﻣﻤﻜﻦ اﺳﺖ زﻣﺎﻧﻴﻜﻪ ﻛﺎرﻣﻨﺪي در‬ ‫ﺣﺎل ﻣﺴﺎﻓﺮت اﺳﺖ‪ ،‬در ﺳﺮﻗﺖ از ﻣﻨﺰل او‪ ،‬ﻳﺎ از اﺗﺎق ﻫﺘﻞ‪ ،‬ﻟﭗ ﺗﺎپ ﻫﻢ دزدﻳﺪه ﺷﻮد‪ .‬اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ ﻳﺎ ﺣﺴﺎس ﻛﻪ ﺑﻪ‬ ‫دﺳﺖ ﻫﻜﺮ ﻣﻲاﻓﺘﺪ ﻣﻲﺗﻮاﻧﺪ ﺧﻄﺮﻧﺎك ﺑﺎﺷﺪ‪.‬‬

‫ﺳﺮﻗﺖ ﺗﺠﻬﻴﺰات‪ ،‬ﻳﻜﻲ از ﺣﻤﻼت راﻳﺞ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ اﺳﺖ‪ .‬اﻏﻠﺐ اﻓﺮاد اﻧﺘﻈﺎر ﺳﺮﻗﺖ ﻛﺎﻣﭙﻴﻮﺗﺮﺷﺎن را ﻧﺪارﻧﺪ‬ ‫ﺑﻨﺎﺑﺮاﻳﻦ در ﻣﻮرد ﻗﻔﻞ ﻛﺮدن ﺳﻴﺴﺘﻢﻫﺎﻳﺸﺎن‪ ،‬ﺑﻲ ﺗﻮﺟﻬﻲ ﻣﻲﻛﻨﻨﺪ و ﺗﻨﻬﺎ ﺑﻪ ﻣﻜﺎﻧﻴﺰمﻫﺎي اﺳﺘﺎﻧﺪارد اﻣﻨﻴﺘﻲ ﺷﺒﻜﻪ اﻛﺘﻔﺎ‬ ‫ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫‪190‬‬

‫ﺑﺴﻴﺎري از ﺣﻤﻼت داﺧﻠﻲ‪ ،‬در ﻧﺘﻴﺠﻪ ﻧﻘﺾ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ اﺳﺖ‪ .‬زﻣﺎﻧﻴﻜﻪ ﻫﻜﺮ ﺗﻮاﻧﺴﺖ دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﺑﻪ‬ ‫ﺳﺮور‪ ،‬ﻳﺎ ﻳﻚ ﻛﻼﻳﻨﺖ‪ ،‬ﻳﺎ ﻳﻚ ﭘﻮرت ﺷﺒﻜﻪ ﭘﻴﺪا ﻛﻨﺪ‪ ،‬ﻧﺘﺎﻳﺞ آن ﻣﻲﺗﻮاﻧﺪ ﻣﺨﺮب ﺑﺎﺷﺪ‪ .‬ﺑﺮﺧﻲ از ﺿﻌﻒﻫﺎي اﻣﻨﻴﺘﻲ راﻳﺞ‬ ‫ﻛﻪ ﺑﻪ دﻟﻴﻞ ﻛﻤﺒﻮد اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ ﺑﻪ وﺟﻮد ﻣﻲآﻳﻨﺪ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬

‫ﻧﺼﺐ ﻧﺮماﻓﺰارﻫﺎﻳﻲ از ﻗﺒﻴﻞ ‪keylogger‬ﻫﺎ‪ ،‬وﻳﺮوسﻫﺎ‪ ،‬ﺗﺮوﺟﺎنﻫﺎ‪backdoor ،‬ﻫﺎ‪ ،‬ﻳﺎ ‪rootkit‬ﻫﺎ‬

‫•‬

‫ﺷﻨﺎﺳﺎﻳﻲ و ﺑﺪﺳﺖ آوردن اﻃﻼﻋﺎت اﺣﺮاز ﻫﻮﻳﺘﻲ از ﻗﺒﻴﻞ ﭘﺴﻮردﻫﺎ ﻳﺎ ﮔﻮاﻫﻲﻫﺎ‬

‫•‬

‫ارﺗﺒﺎط ﻓﻴﺰﻳﻜﻲ ﺑﻪ ﺷﺒﻜﻪ ﻛﺎﺑﻠﻲ ﺟﻬﺖ اﺳﺘﺮاق ﺳﻤﻊ اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ از ﻗﺒﻴﻞ ﭘﺴﻮردﻫﺎ و ﺷﻤﺎرهﻫﺎي ﻛﺎرت‬ ‫اﻋﺘﺒﺎري‬

‫•‬

‫دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﺑﺮاي ﺟﻤﻊآوري دادهﻫﺎﻳﻲ ﻛﻪ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮردﻫﺎي ذﺧﻴﺮه ﺷﺪه روي‬ ‫ﺳﻴﺴﺘﻢ ﻣﺤﻠﻲ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‬

‫•‬

‫ﻓﺮﺻﺖ ﺑﺮاي ﻗﺮار دادن ‪ access point‬ﺗﻘﻠﺒﻲ در ﺷﺒﻜﻪ ﺑﺮاي اﻳﺠﺎد ﻳﻚ ﺷﺒﻜﻪ واﻳﺮﻟﺲ ﺑﺎز ﺑﺎ اﻣﻜﺎن دﺳﺘﺮﺳﻲ ﺑﻪ‬ ‫ﺷﺒﻜﻪ ﻛﺎﺑﻠﻲ‬

‫•‬

‫ﺳﺮﻗﺖ ﻣﺴﺘﻨﺪات ﻛﺎﻏﺬي ﻳﺎ اﻟﻜﺘﺮوﻧﻴﻜﻲ‬

‫•‬

‫ﺳﺮﻗﺖ اﻃﻼﻋﺎت ﺣﺴﺎس ﻓﻜﺲ‬

‫•‬

‫ﺣﻤﻠﻪ آﺷﻐﺎل ﮔﺮدي )ﺗﺎﻛﻴﺪ ﺑﺮ ﺧﺮد ﻛﺮدن اﺳﻨﺎد ﻣﻬﻢ(‬

‫اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ‬ ‫ﺑﻄﻮر ﻛﻠﻲ‪ ،‬ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ ﺑﻪ ﺳﻪ روش زﻳﺮ دﺳﺘﻪ ﺑﻨﺪي ﻣﻲﺷﻮد‪:‬‬ ‫ﻓﻴﺰﻳﻜﻲ‪:‬ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﺷﺎﻣﻞ ﻧﮕﻬﺒﺎﻧﺎن اﻣﻨﻴﺘﻲ‪ ،‬روﺷﻨﺎﻳﻲ‪ ،‬ﺣﺼﺎر‪ ،‬ﻗﻔﻞﻫﺎ‪،‬‬ ‫و آﻻرمﻫﺎ ﻫﺴﺘﻨﺪ‪ .‬ﺑﺎﻳﺴﺘﻲ ﻧﻘﺎط دﺳﺘﺮﺳﻲ ﺳﺎﺧﺘﻤﺎن‪ ،‬ﻣﺤﺪود ﺑﺎﺷﺪ و ﺗﻮﺳﻂ دورﺑﻴﻦﻫﺎي ‪ CCTV‬و آﻻرمﻫﺎ‪ ،‬ﻣﺎﻧﻴﺘﻮر و‬ ‫ﻣﺤﺎﻓﻈﺖ ﺷﻮﻧﺪ‪ .‬ورود ﺑﻪ ﺳﺎﺧﺘﻤﺎن ﺗﻨﻬﺎ ﺑﺮاي اﻓﺮاد ﻣﺠﺎز ﻣﺤﺪود ﺷﻮد‪ .‬دﺳﺘﺮﺳﻲ ﺑﻪ ﻟﭗ ﺗﺎپﻫﺎ و ﻛﻮل دﻳﺴﻚﻫﺎ‪tape ،‬ﻫﺎ‪،‬‬ ‫و دﻳﺴﻚﻫﺎ ﻣﺤﺪود و ﺑﺼﻮرت ﻣﺤﺎﻓﻈﺖ ﺷﺪه ﺑﺎﺷﺪ‪ .‬ﺻﻔﺤﻪ ﻣﺎﻧﻴﺘﻮر از دﻳﺪ اﻓﺮادي ﻛﻪ در ﺣﺎل ﻋﺒﻮر ﻫﺴﺘﻨﺪ‪ ،‬ﻣﺨﻔﻲ ﺑﺎﺷﺪ‬ ‫و ﺳﻴﺎﺳﺘﻲ ﭘﻴﺎدهﺳﺎزي ﺷﻮد ﻛﻪ ﻛﺎرﺑﺮان را اﻟﺰام ﻛﻨﺪ زﻣﺎﻧﻴﻜﻪ ﺑﻪ ﻫﺮ دﻟﻴﻠﻲ ﻛﺎﻣﭙﻴﻮﺗﺮﺷﺎن را ﺗﺮك ﻣﻲﻛﻨﻨﺪ‪ ،‬آن را ﻗﻔﻞ‬ ‫)‪ (lock‬ﻛﻨﻨﺪ‪ .‬ﺳﻴﺴﺘﻢﻫﺎي ﻛﺎﻣﭙﻴﻮﺗﺮي ﻛﻪ داراي اﻃﻼﻋﺎت ﺣﺴﺎﺳﻲ ﻫﺴﺘﻨﺪ ﺑﺎﻳﺪ در ﻣﺤﻴﻄﻲ ﺑﺴﺘﻪ و ﻗﻔﻞ ﺷﺪه‪ ،‬ﻣﺤﺎﻓﻈﺖ‬ ‫ﺷﻮﻧﺪ ﻣﺜﻼ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ اﺗﺎق‪ ،‬ﻧﻴﺎز ﺑﻪ اﺣﺮاز ﻫﻮﻳﺖ داﺷﺘﻪ ﺑﺎﺷﺪ و درب رك ﻗﻔﻞ ﺑﺎﺷﺪ و ‪. ...‬‬ ‫ﻓﻨﻲ‪ :‬ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ ﻓﻨﻲ از ﻗﺒﻴﻞ ﻓﺎﻳﺮوالﻫﺎ‪ ،IDS ،‬ﻓﻴﻠﺘﺮﻳﻨﮓ ﻣﺤﺘﻮاي ‪ ،spyware‬و اﺳﻜﻦ وﻳﺮوس و ﺗﺮوﺟﺎن ﺑﺎﻳﺪ‬ ‫روي ﺗﻤﺎم ﻛﻼﻳﻨﺖﻫﺎ‪ ،‬ﺷﺒﻜﻪﻫﺎ و ﺳﺮورﻫﺎي راه دور‪ ،‬ﭘﻴﺎده ﺳﺎزي ﺷﻮد‪.‬‬ ‫‪191‬‬

‫ﻋﻤﻠﻴﺎﺗﻲ‪ :‬ﺑﺎﻳﺪ ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ ﻋﻤﻠﻴﺎﺗﻲ ﺑﺮاي آﻧﺎﻟﻴﺰ ﺗﻬﺪﻳﺪات و اﻧﺠﺎم ارزﻳﺎﺑﻲ رﻳﺴﻚ‪ ،‬در ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﺳﺎزﻣﺎن‪،‬‬ ‫ﻣﺴﺘﻨﺪ ﺷﻮد‪.‬‬

‫ﺿﺮورت اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ ﭼﻴﺴﺖ؟‬ ‫ﺑﻪ ﻫﻤﺎن دﻟﻴﻞ ﻛﻪ ﻧﻴﺎز ﺑﻪ اﻧﻮاع دﻳﮕﺮ اﻣﻨﻴﺖ دارﻳﺪ )ﻓﻨﻲ ﻳﺎ ﻋﻤﻠﻴﺎﺗﻲ( ﺑﻪ ﻫﻤﺎن دﻟﻴﻞ ﻫﻢ ﻧﻴﺎز ﺑﻪ ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺖ‬ ‫ﻓﻴﺰﻳﻜﻲ دارﻳﺪ و آن ﺟﻠﻮﮔﻴﺮي از ﻫﻜﺮﻫﺎ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ و اﻃﻼﻋﺎت ﺷﻤﺎﺳﺖ‪ .‬در ﺻﻮرت وﺟﻮد ﺿﻌﻒﻫﺎي‬ ‫ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﻪ آﺳﺎﻧﻲ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ‪ .‬ﻋﻼوه ﺑﺮ اﻳﻦ‪ ،‬دادهﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ دﻻﻳﻞ ﻃﺒﻴﻌﻲ‬ ‫از ﺑﻴﻦ روﻧﺪ ﻳﺎ ﺧﺮاب ﺷﻮﻧﺪ‪ ،‬ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻣﺪﻳﺮان رﻳﺴﻚ زﻣﺎﻧﻴﻜﻪ ﺑﺮﻧﺎﻣﻪاي ﺑﺮاي اﻣﻨﻴﺖ ﻃﺮاﺣﻲ ﻣﻲﻛﻨﻨﺪ‪ ،‬ﻣﺸﻜﻼت ﻃﺒﻴﻌﻲ‬ ‫را ﻧﻴﺰ در ﻧﻈﺮ ﺑﮕﻴﺮﻧﺪ‪ .‬ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ‪ ،‬ﺟﻬﺖ ﭘﻴﺸﮕﻴﺮي از ﻣﻮارد زﻳﺮ اﺳﺖ‪:‬‬ ‫•‬

‫دﺳﺘﺮﺳﻲ ﻏﻴﺮ ﻣﺠﺎز ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﻛﺎﻣﭙﻴﻮﺗﺮي‬

‫•‬

‫ﺳﺮﻗﺖ اﻃﻼﻋﺎت از ﺳﻴﺴﺘﻢﻫﺎ‬

‫•‬

‫ﺧﺮاﺑﻲ دادهﻫﺎي ذﺧﻴﺮه ﺷﺪه ﺑﺮ روي ﻳﻚ ﺳﻴﺴﺘﻢ‬

‫•‬

‫از دﺳﺖ دادن دادهﻫﺎ ﻳﺎ ﺧﺮاﺑﻲ ﺳﻴﺴﺘﻢﻫﺎ ﺑﻨﺎ ﺑﺮ دﻻﻳﻞ ﻃﺒﻴﻌﻲ‬

‫ﺿﺮورت اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ‬

‫‪192‬‬

‫ﭼﻪ ﻛﺴﻲ ﻣﺴﺌﻮل اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ اﺳﺖ؟‬ ‫در ﻳﻚ ﺳﺎزﻣﺎن‪ ،‬اﻓﺮاد زﻳﺮ ﻣﺴﺌﻮل ﺗﺎﻣﻴﻦ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ ﻫﺴﺘﻨﺪ‪:‬‬ ‫•‬

‫ﻣﺎﻣﻮر اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ ﺳﺎزﻣﺎن‬

‫•‬

‫ﻣﺘﺨﺼﺼﺎن ﺳﻴﺴﺘﻢ اﻃﻼﻋﺎﺗﻲ‬

‫•‬

‫رﺋﻴﺲ ﻣﺎﻣﻮران اﻃﻼﻋﺎﺗﻲ‬

‫•‬

‫ﻛﺎرﻛﻨﺎن‬

‫در ﻳﻚ ﺳﺎزﻣﺎن‪ ،‬ﺗﻤﺎم اﻓﺮاد‪ ،‬ﻣﺴﺌﻮل اﺟﺮاي ﺳﻴﺎﺳﺖﻫﺎي اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ ﻫﺴﺘﻨﺪ‪ .‬ﻣﺎﻣﻮر اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ ﺳﺎزﻣﺎن‪،‬‬ ‫ﻣﺴﺌﻮل اﻳﺠﺎد اﺳﺘﺎﻧﺪارد اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ و ﭘﻴﺎده ﺳﺎزي ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ اﺳﺖ‪.‬‬

‫ﻋﻮاﻣﻠﻲ ﻛﻪ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ را ﺗﺤﺖ ﺗﺎﺛﻴﺮ ﻗﺮار ﻣﻲدﻫﻨﺪ‬ ‫اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ‪ ،‬ﺑﺎ ﻋﻮاﻣﻠﻲ ﺧﺎرج از ﻛﻨﺘﺮل اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ‪ ،‬ﺗﺎﺛﻴﺮ ﻣﻲﭘﺬﻳﺮد‪ .‬ﻋﻮاﻣﻠﻲ ﻛﻪ ﻣﻲﺗﻮاﻧﻨﺪ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ‬ ‫ﻳﻚ ﺳﺎزﻣﺎن را ﺗﺤﺖ ﺗﺎﺛﻴﺮ ﻗﺮار دﻫﻨﺪ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬

‫ﺗﺨﺮﻳﺐ‬

‫•‬

‫ﺳﺮﻗﺖ‬

‫•‬

‫ﻋﻮاﻣﻞ ﻃﺒﻴﻌﻲ از ﻗﺒﻴﻞ‬ ‫‪ o‬زﻟﺰﻟﻪ‬ ‫‪ o‬آﺗﺶ ﺳﻮزي‬ ‫‪ o‬ﺳﻴﻞ‬ ‫ﻣﺘﺨﺼﺼﺎن اﻣﻨﻴﺘﻲ‪ ،‬ﺑﺎﻳﺪ ﺑﺎ اﻳﻦ رﻳﺴﻚﻫﺎ آﺷﻨﺎ ﺑﺎﺷﻨﺪ و ﻃﺒﻴﻌﺘﺎ ﺑﺮﻧﺎﻣﻪاي ﺑﺮاي آﻧﻬﺎ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ .‬ﺑﺴﻴﺎري از‬

‫ﺳﺎزﻣﺎنﻫﺎ‪ ،‬ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺗﺪاوم ﻛﺴﺐ و ﻛﺎر )‪ ((BCP) business continuity plan‬ﻳﺎ ﺑﺮﻧﺎﻣﻪ ﺗﺮﻣﻴﻢ ﻣﺸﻜﻼت ) ‪disaster‬‬ ‫‪ ((DRP) recovery plan‬ﺑﺮاي اﻳﻦ اﺣﺘﻤﺎﻻت دارﻧﺪ‪.‬‬

‫‪193‬‬

‫ﭼﻚ ﻟﻴﺴﺖ اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ‬ ‫•‬

‫ﻣﺤﻴﻂ ﺷﺮﻛﺖ‪ :‬ورود ﺑﻪ ﺷﺮﻛﺖ ﺑﺎﻳﺪ ﺗﻨﻬﺎ ﺑﺮاي اﻓﺮاد ﻣﺠﺎز اﻣﻜﺎن ﭘﺬﻳﺮ ﺑﺎﺷﺪ‪ .‬ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر از دﻳﻮار‪ ،‬ﮔﻴﺖ‪،‬‬ ‫ﺣﺼﺎر‪ ،‬ﻧﮕﻬﺒﺎن‪ ،‬و آﻻرم ﺑﺎﻳﺪ اﺳﺘﻔﺎده ﺷﻮد‪.‬‬

‫در ﺷﻜﻞ زﻳﺮ‪ ،‬ﺗﺼﻮﻳﺮ ﺳﻤﺖ ﭼﭗ ﻧﺸﺎن دﻫﻨﺪه ﻣﺤﺎﻓﻈﺖ ﺑﻬﺘﺮ ﺑﺮاي ورود اﺳﺖ‪.‬‬

‫ﻫﻤﭽﻨﻴﻦ از دورﺑﻴﻦﻫﺎي ﻧﻈﺎرﺗﻲ ﻧﻴﺰ ﺑﺎﻳﺪ ﺑﺮاي ﻣﺎﻧﻴﺘﻮر ﻛﺮدن ﻣﺤﻴﻂ اﺳﺘﻔﺎده ﺷﻮد‪.‬‬

‫•‬

‫ﭘﺬﻳﺮش‪ :‬ﻣﻌﻤﻮﻻ ﻗﺴﻤﺖ ﭘﺬﻳﺮش‪ ،‬ﻣﻜﺎن ﺷﻠﻮﻏﻲ اﺳﺖ ﻛﻪ اﻓﺮاد زﻳﺎدي ﺑﻪ آﻧﺠﺎ وارد و ﺧﺎرج ﻣﻲﺷﻮﻧﺪ ﭘﺲ‬ ‫ﺑﺎﻳﺴﺘﻲ اﻗﺪاﻣﺎﺗﻲ ﺟﻬﺖ ﻣﺤﺎﻓﻈﺖ از آن ﺻﻮرت ﮔﻴﺮد از ﻗﺒﻴﻞ‪:‬‬ ‫‪ o‬ﻓﺎﻳﻞ ﻫﺎ و ﻣﺴﺘﻨﺪات‪ ،‬ﻛﻮل دﻳﺴﻚ‪ ،‬و ‪ ...‬ﻧﺒﺎﻳﺪ ﺑﺮ روي ﻣﻴﺰ ﭘﺬﻳﺮش ﻗﺮار ﮔﻴﺮﻧﺪ‬ ‫‪ o‬ﻣﻴﺰﻫﺎي ﭘﺬﻳﺮش ﺑﺎﻳﺪ ﺑﮕﻮﻧﻪاي ﻃﺮاﺣﻲ ﺷﻮﻧﺪ ﻛﻪ ﺟﻠﻮي دﺳﺘﺮﺳﻲ اﻓﺮاد ﺑﻪ اﻳﻦ ﻧﺎﺣﻴﻪ را ﺑﮕﻴﺮﻧﺪ‬ ‫‪ o‬ﺻﻔﺤﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺎﻳﺪ از دﻳﺪ اﻓﺮاد دﻳﮕﺮ ﻣﺤﺎﻓﻈﺖ ﺷﻮد‬ ‫‪ o‬زﻣﺎﻧﻴﻜﻪ ﻛﺎرﻣﻨﺪ ﭘﺬﻳﺮش ﻧﻴﺴﺖ‪ ،‬ﻣﺎﻧﻴﺘﻮر‪ ،‬ﻛﻴﺒﻮرد‪ ،‬و دﻳﮕﺮ ﺗﺠﻬﻴﺰات روي ﻣﻴﺰ ﭘﺬﻳﺮش‪ ،‬ﻗﻔﻞ ﺑﺎﺷﻨﺪ‬ ‫‪194‬‬

‫در ﺷﻜﻞ زﻳﺮ‪ ،‬ﺗﺼﻮﻳﺮ ﺳﻤﺖ ﭼﭗ‪ ،‬ﻣﺤﻴﻄﻲ ﺑﻬﺘﺮ ﺑﺮاي ﻗﺴﻤﺖ ﭘﺬﻳﺮش اﺳﺖ‪.‬‬

‫•‬

‫ﺳﺮور‪ :‬ﻣﻬﻢﺗﺮﻳﻦ ﻋﺎﻣﻞ در ﻫﺮ ﺷﺒﻜﻪ‪ ،‬ﺳﺮور اﺳﺖ و ﺑﺎﻳﺪ داراي اﻣﻨﻴﺖ ﺑﺎﻻ ﺑﺎﺷﺪ‪ .‬اﻗﺪاﻣﺎت زﻳﺮ ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر‬ ‫ﻣﻲﺗﻮاﻧﺪ ﺻﻮرت ﮔﻴﺮد‪:‬‬ ‫‪ o‬ﺑﺎﻳﺪ ﺑﺮاي ورود ﺑﻪ اﺗﺎق ﺳﺮور‪ ،‬اﻓﺮاد اﺣﺮاز ﻫﻮﻳﺖ ﺷﻮﻧﺪ و ﺗﻨﻬﺎ اﻓﺮاد ﻣﺠﺎز ﺣﻖ ورود را داﺷﺘﻪ ﺑﺎﺷﻨﺪ‬ ‫‪ o‬درب رك ﻗﻔﻞ ﺑﺎﺷﺪ‬ ‫‪ o‬راه اﻧﺪازي )‪ (boot‬ﺳﺮور از ﻃﺮﻳﻖ ‪ floppy‬و ‪ CD-ROM‬ﻣﺠﺎز ﻧﺒﺎﺷﺪ و دراﻳﻮﻫﺎي ﻣﺮﺑﻮط ﺑﻪ آﻧﻬﺎ ﻗﻔﻞ‬ ‫ﺑﺎﺷﺪ‬ ‫‪ o‬ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ‪ DOS‬ﺑﺎﻳﺪ از آﻧﻬﺎ ﭘﺎك ﺷﻮد ﺗﺎ ﻣﻬﺎﺟﻢ ﻧﺘﻮاﻧﺪ ﺳﺮور را ﺑﺼﻮرت راه دور و از ﻃﺮﻳﻖ ‪DOS‬‬ ‫راهاﻧﺪازي ﻛﻨﺪ‪.‬‬

‫•‬

‫ﻧﺎﺣﻴﻪ اﻳﺴﺘﮕﺎه ﻛﺎري‪ :‬ﻧﺎﺣﻴﻪاي اﺳﺖ ﻛﻪ اﻛﺜﺮ ﻛﺎرﻣﻨﺪان ﻛﺎر ﻣﻲﻛﻨﻨﺪ‪ .‬ﺑﺎﻳﺴﺘﻲ ﻛﺎرﻣﻨﺪان درﺑﺎره اﻣﻨﻴﺖ‬ ‫ﻓﻴﺰﻳﻜﻲ آﻣﻮزش ﺑﺒﻴﻨﻨﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﻣﻲﺗﻮان ﺑﺎ اﺳﺘﻔﺎده از اﻗﺪاﻣﺎت زﻳﺮ‪ ،‬اﻳﻦ ﻧﺎﺣﻴﻪ را اﻣﻦ ﺳﺎﺧﺖ‪:‬‬ ‫‪ o‬اﺳﺘﻔﺎده از دورﺑﻴﻦﻫﺎي ﻧﻈﺎرﺗﻲ‬ ‫‪ o‬ﻗﻔﻞ ﻛﺮدن ﺻﻔﺤﻪ ﻣﺎﻧﻴﺘﻮرﻫﺎ و ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ‬ ‫‪ o‬ﻃﺮاﺣﻲ ﺧﻮب اﻳﺴﺘﮕﺎهﻫﺎي ﻛﺎري‬ ‫‪ o‬ﺟﻠﻮﮔﻴﺮي از اﺳﺘﻔﺎده از ﻛﻮل دﻳﺴﻚﻫﺎ‬ ‫‪195‬‬

‫در ﺷﻜﻞ زﻳﺮ‪ ،‬ﻧﻤﺎﻳﻲ از اﻳﺴﺘﮕﺎهﻫﺎي ﻛﺎري ﻛﻪ ﺑﺼﻮرت ﺑﺪ ﻃﺮاﺣﻲ ﺷﺪه اﺳﺖ ﻣﺸﺎﻫﺪه ﻣﻲﻛﻨﻴﺪ‪.‬‬

‫•‬

‫‪Access point‬ﻫﺎي واﻳﺮﻟﺲ‪ :‬اﮔﺮ ﻫﻜﺮ ﺑﺘﻮاﻧﺪ ﺑﻪ ‪access point‬ﻫﺎي ﺷﺮﻛﺖ ﻣﺘﺼﻞ ﺷﻮد‪ ،‬ﻣﻲﺗﻮاﻧﺪ ﻣﺜﻞ دﻳﮕﺮ‬ ‫ﻛﺎرﻣﻨﺪان‪ ،‬وارد ﺷﺒﻜﻪ آﻧﺠﺎ ﺷﻮد‪ .‬ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از آن‪ ،‬ﺑﺎﻳﺪ اﻗﺪاﻣﺎت زﻳﺮ ﺻﻮرت ﮔﻴﺮد‪:‬‬ ‫‪ o‬اﺳﺘﻔﺎده از رﻣﺰﮔﺬاري ‪WEP‬‬ ‫‪ o‬ﻣﺨﻔﻲ ﺳﺎﺧﺘﻦ ‪SSID‬‬ ‫‪ o‬اﺳﺘﻔﺎده از ﭘﺴﻮرد ﺑﺮاي ورود ﺑﻪ ‪access point‬‬ ‫‪ o‬ﻗﻮي ﺑﻮدن ﭘﺴﻮرد ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺷﻜﺴﺘﻦ آن‬

‫•‬

‫ﺗﺠﻬﻴﺰات دﻳﮕﺮ از ﻗﺒﻴﻞ ﻓﻜﺲ‪ ،‬و ﻛﻮل دﻳﺴﻚﻫﺎ‪ :‬اﻗﺪاﻣﺎت زﻳﺮ ﺑﺮاي اﻣﻦ ﺳﺎزي اﻳﻦ ﺗﺠﻬﻴﺰات ﺑﺎﻳﺪ اﻧﺠﺎم‬ ‫ﺷﻮد‪:‬‬ ‫‪ o‬ﻣﻮدمﻫﺎ ﻧﺒﺎﻳﺪ ﺑﺮ روي ﭘﺎﺳﺨﮕﻮﻳﻲ ﺧﻮدﻛﺎر )‪ (auto answer‬ﺗﻨﻈﻴﻢ ﺷﺪه ﺑﺎﺷﻨﺪ‬ ‫‪ o‬ﻣﺎﺷﻴﻦﻫﺎي ﻓﻜﺲ ﻛﻪ ﺑﺮ روي ﻣﻴﺰ ﭘﺬﻳﺮش ﻗﺮار دارﻧﺪ‪ ،‬ﺑﺎﻳﺪ در زﻣﺎﻧﻴﻜﻪ ﻛﺎرﻣﻨﺪ ﭘﺬﻳﺮش ﻧﻴﺴﺖ‪ ،‬ﻗﻔﻞ‬ ‫ﺑﺎﺷﻨﺪ‬ ‫‪196‬‬

‫‪ o‬ﻛﻮل دﻳﺴﻚﻫﺎ ﻧﺒﺎﻳﺪ در ﻣﻜﺎنﻫﺎي ﻋﻤﻮﻣﻲ ﻗﺮار داﺷﺘﻪ ﺑﺎﺷﻨﺪ و ﻛﻮل دﻳﺴﻚﻫﺎﻳﻲ ﻛﻪ ﺧﺮاب ﺷﺪهاﻧﺪ‬ ‫ﺑﺎﻳﺪ ﺑﺼﻮرت ﻓﻴﺰﻳﻜﻲ ﻧﺎﺑﻮد ﺷﻮﻧﺪ‬

‫•‬

‫ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ‪ :‬ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ‪ ،‬ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از دﺳﺘﺮﺳﻲ ﻏﻴﺮﻣﺠﺎز ﺑﻪ ﻧﻮاﺣﻲ ﻋﻤﻠﻴﺎﺗﻲ ﺣﺴﺎس اﺳﺖ‪.‬‬ ‫ﻣﻲﺗﻮان از ﻣﻮارد زﻳﺮ ﺑﺮاي ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ اﺳﺘﻔﺎده ﻛﺮد‪:‬‬ ‫‪ o‬ﺟﺪاﺳﺎزي ﻧﻮاﺣﻲ ﻛﺎري‬ ‫‪ o‬ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ ﺑﻮﺳﻴﻠﻪ ﺑﻴﻮﻣﺘﺮﻳﻚ‬ ‫‪ o‬ﻛﺎرتﻫﺎي ورود‬ ‫‪ o‬ﻧﺸﺎن ﺷﻨﺎﺳﺎﻳﻲ‬

‫•‬

‫ﻧﮕﻬﺪاري ﺗﺠﻬﻴﺰات ﻛﺎﻣﭙﻴﻮﺗﺮ‪ :‬ﺷﺨﺼﻲ را ﻣﺴﺌﻮل ﻧﮕﻬﺪاري از ﺗﺠﻬﻴﺰات ﻛﺎﻣﭙﻴﻮﺗﺮي ﺑﻜﻨﻴﺪ‪.‬‬

‫•‬

‫اﺳﺘﺮاق ﺳﻤﻊ ﻣﻜﺎﻟﻤﺎت‪ ،wiretap :‬دﺳﺘﮕﺎﻫﻲ اﺳﺖ ﻛﻪ ﺑﺮاي ﺿﺒﻂ ﻣﻜﺎﻟﻤﺎت ﺗﻠﻔﻨﻲ ﺑﻜﺎر ﻣﻲرود‪ .‬ﺑﺎﻳﺪ ﻣﻄﻤﺌﻦ‬ ‫ﺷﻮﻳﺪ ﻛﺴﻲ ﻣﻜﺎﻟﻤﺎت ﺷﻤﺎ را ﺷﻨﻮد ﻧﻤﻲﻛﻨﺪ‪ .‬ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر ﺑﺎﻳﺪ ﺑﺮاي ﺗﻤﺎم ﺳﻴﻢﻫﺎ از ﻛﺎﺑﻞﻫﺎي روﻛﺶ دار‬ ‫)‪ (shilded‬اﺳﺘﻔﺎده ﻛﻨﻴﺪ و ﻧﻴﺰ ﻫﻴﭻ ﺳﻴﻤﻲ را ﺑﺪون روﻛﺶ ﻧﮕﺬارﻳﺪ‪.‬‬

‫‪197‬‬

‫•‬

‫دﺳﺘﺮﺳﻲﻫﺎي راه دور‪ :‬دﺳﺘﺮﺳﻲ راه دور‪ ،‬روﺷﻲ آﺳﺎن ﺑﺮاي ﻛﺎرﻣﻨﺪان اﺳﺖ ﺗﺎ ﺑﺘﻮاﻧﻨﺪ از ﺧﺎرج ﺷﺮﻛﺖ ﻛﺎر‬ ‫ﻛﻨﻨﺪ و ﺑﻪ ﺷﺒﻜﻪ ﺷﺮﻛﺖ ﻣﺘﺼﻞ ﺷﻮد‪ .‬اﻣﺎ ﻳﻜﻲ از راهﻫﺎﻳﻲ اﺳﺖ ﻛﻪ ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از آن‪ ،‬ﺑﻪ ﺷﺒﻜﻪ‬ ‫ﺷﺮﻛﺖ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ‪ .‬ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از اﺳﺘﺮاق ﺳﻤﻊ‪ ،‬ﺑﺎﻳﺪ اﻃﻼﻋﺎت در ﻃﻮل اﻳﻦ ﻓﺮآﻳﻨﺪ‪ ،‬رﻣﺰ ﺷﺪه‬ ‫ﺑﺎﺷﻨﺪ‪ .‬دﺳﺘﺮﺳﻲ از راه دور ﺑﺴﻴﺎر ﺧﻄﺮﻧﺎك اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ ﻫﻜﺮ در ﻧﺰدﻳﻜﻲ ﻣﺎ ﻗﺮار ﻧﺪارد و اﺣﺘﻤﺎل دﺳﺘﮕﻴﺮ‬ ‫ﺷﺪﻧﺶ‪ ،‬ﻛﻢﺗﺮ اﺳﺖ‪.‬‬

‫ﺑﺮﺧﻲ از اﺑﺰارﻫﺎي اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ‬ ‫اﺑﺰارﻫﺎي ردﻳﺎﺑﻲ ﻣﺤﻞ ﻟﭗ ﺗﺎپ دزدﻳﺪه‪ :‬ﺑﺮﻧﺎﻣﻪﻫﺎﻳﻲ وﺟﻮد دارﻧﺪ ﻛﻪ زﻣﺎﻧﻴﻜﻪ ﻟﭗ ﺗﺎپ ﺑﻪ اﻳﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ اﺳﺖ‪ ،‬ﻣﻜﺎن‬ ‫ﻟﭗ ﺗﺎپ را ﻣﻲﮔﻮﻳﻨﺪ‪ .‬از ﺟﻤﻠﻪ‪،(www.sentryinc.com) CyberAngel ،(www.ztrace.com) Ztrace Gold :‬‬ ‫‪ .(www.computrace.com) ComputracePlus‬ﺑﺎ اﺳﺘﻔﺎده از اﻳﻦ اﺑﺰارﻫﺎ ﻣﻲﺗﻮاﻧﻴﺪ ﻣﻜﺎن ﻓﻌﻠﻲ ﻟﭗ ﺗﺎپ را ﺑﻴﺎﺑﻴﺪ‪.‬‬ ‫دﺳﺘﮕﺎهﻫﺎي ﺟﺎﺳﻮﺳﻲ‪ :‬ﺑﺮﺧﻲ از اﻳﻦ اﺑﺰارﻫﺎ ﻋﺒﺎرﺗﻨﺪ از‪ :‬ﻋﻴﻨﻚ ﺟﺎﺳﻮﺳﻲ‪ ،‬دورﺑﻴﻦ دﻳﺪ در ﺷﺐ‪ ،‬اﺳﭙﺮي ﺑﺮاي دﻳﺪن‪،‬‬ ‫ردﻳﺎب ‪ ،GPS‬ﺿﺒﻂ ﻛﻨﻨﺪه ﻣﻜﺎﻟﻤﺎت‪ ،‬ﺗﻐﻴﻴﺮ دﻫﻨﺪه ﺻﺪا و ‪ . ...‬اﻳﻦ اﺑﺰاﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺗﻮﺳﻂ ﭘﺮﺳﻨﻞ ﺷﺮﻛﺖ ﺷﻤﺎ ﺑﺼﻮرت‬ ‫ﺧﻮاﺳﺘﻪ ﺑﺎ ﻧﺎﺧﻮاﺳﺘﻪ ﺣﻤﻞ ﺷﻮﻧﺪ و اﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ را ﺑﻪ ﺧﻄﺮ ﺑﻴﺎﻧﺪازد‪.‬‬

‫‪198‬‬

‫‪ :DeviceLock‬راه ﺣﻠﻲ ﺑﺮاي ﻛﻨﺘﺮل دﺳﺘﮕﺎهﻫﺎ اﺳﺖ ﺗﺎ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي ﺷﺒﻜﻪ را از ﺣﻤﻼت داﺧﻠﻲ و ﺧﺎرﺟﻲ‪ ،‬ﻣﺤﻔﻮظ‬ ‫ﻛﻨﺪ‪.‬‬

‫‪199‬‬

‫ﻓﺼﻞ دوازدﻫﻢ‬

‫ﻫﻚ ﻟﻴﻨﻮﻛﺲ‬

‫ﻣﻘﺪﻣﻪ‬ ‫ﻟﻴﻨﻮﻛﺲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻣﺤﺒﻮب ﺑﺮاي ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢﻫﺎ اﺳﺖ ﺑﺮاي اﻳﻨﻜﻪ اﭘﻦ ﺳﻮرس اﺳﺖ و اﺟﺎزه ﺗﻐﻴﻴﺮ در آن‬ ‫را ﻣﻲدﻫﺪ‪ .‬ﺑﺨﺎﻃﺮ اﭘﻦ ﺳﻮرس ﺑﻮدن ﻟﻴﻨﻮﻛﺲ‪ ،‬ﻧﺴﺨﻪﻫﺎي ﻣﺨﺘﻠﻔﻲ ﺑﺮاي آن وﺟﻮد دارد ﻛﻪ ‪ distribution‬ﻧﺎم دارد‪.‬‬ ‫ﺑﺮﺧﻲ از اﻳﻦ ﺗﻮزﻳﻊﻫﺎ‪ ،‬ﺑﻪ ﻋﻨﻮان ﻳﻚ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺗﺠﺎري ﺑﺮاي ﻛﻼﻳﻨﺖﻫﺎ و ﺳﺮورﻫﺎ ﻫﺴﺘﻨﺪ‪ .‬ﺑﺮﺧﻲ از ﺗﻮزﻳﻊﻫﺎي راﻳﺞ‬ ‫آن‪ Mandrake ،RedHat ،Debian ،‬و ‪ SUSE‬اﺳﺖ ﺑﺮﺧﻲ از ورژنﻫﺎي راﻳﮕﺎن آن ﻧﻴﺰ ‪ Gentoo‬و ‪ Knoppix‬اﺳﺖ‪.‬‬ ‫اﻧﻌﻄﺎف ﭘﺬﻳﺮي و ﻫﺰﻳﻨﻪ ﻟﻴﻨﻮﻛﺲ‪ ،‬و ﻫﻤﭽﻨﻴﻦ اﻓﺰاﻳﺶ ﺗﻌﺪاد ﺑﺮﻧﺎﻣﻪﻫﺎي ﻟﻴﻨﻮﻛﺲ‪ ،‬ﺳﺒﺐ اﻧﺘﺨﺎب ﻟﻴﻨﻮﻛﺲ ﺑﻪ‬ ‫ﻋﻨﻮان ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺑﺴﻴﺎري از ﺳﻴﺴﺘﻢﻫﺎ ﺷﺪه اﺳﺖ‪ .‬ﻫﺮ ﭼﻨﺪ ﻛﻪ اﻣﻨﻴﺖ ﻟﻴﻨﻮﻛﺲ ﺑﻴﺸﺘﺮ از وﻳﻨﺪوز اﺳﺖ اﻣﺎ ﺿﻌﻒﻫﺎﻳﻲ‬ ‫دارد ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﻣﻮرد ﺳﻮاﺳﺘﻔﺎده ﻗﺮار ﮔﻴﺮد‪ .‬اﻳﻦ ﻓﺼﻞ در ﻣﻮرد اﺳﺘﻔﺎده از ﻟﻴﻨﻮﻛﺲ ﺑﻪ ﻋﻨﻮان ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و‬ ‫روشﻫﺎي اﻣﻦ ﺳﺎزي آن ﺑﺮاي ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻠﻪ ﺗﻮﺿﻴﺢ ﻣﻲدﻫﺪ‪.‬‬

‫اﺳﺎس ﻟﻴﻨﻮﻛﺲ‬ ‫ﻟﻴﻨﻮﻛﺲ ﺑﺮ ﻣﺒﻨﺎي ﻳﻮﻧﻴﻜﺲ اﺳﺖ و ﻫﺮ ﻛﺴﻲ ﻛﻪ ﺑﺎ ﻣﺤﻴﻂ ﻳﻮﻧﻴﻜﺲ آﺷﻨﺎ ﺑﺎﺷﺪ ﻣﻲﺗﻮاﻧﺪ از ﻟﻴﻨﻮﻛﺲ ﻧﻴﺰ اﺳﺘﻔﺎده‬ ‫ﻛﻨﺪ‪ .‬ﺑﺴﻴﺎري از دﺳﺘﻮرات اﺳﺘﺎﻧﺪارد‪ ،‬در اﻏﻠﺐ ﺗﻮزﻳﻊﻫﺎي ﻟﻴﻨﻮﻛﺲ وﺟﻮد دارﻧﺪ‪.‬‬ ‫وﻳﺮاﻳﺸﮕﺮﻫﺎي ﻣﺘﻨﻲ زﻳﺎدي در ﻟﻴﻨﻮﻛﺲ وﺟﻮد دارﻧﺪ از ﻗﺒﻴﻞ ‪ jove ،pico ،ex ،vi‬و ‪ .GNU emacs‬ﺑﺴﻴﺎري از‬ ‫ﻛﺎرﺑﺮان ﻳﻮﻧﻴﻜﺲ‪ ،‬وﻳﺮاﻳﺸﮕﺮ ﺳﺎده ﻣﺜﻞ ‪ vi‬را ﺗﺮﺟﻴﺢ ﻣﻲدﻫﻨﺪ‪ .‬اﻣﺎ اﻳﻦ وﻳﺮاﻳﺸﮕﺮ ﺑﻪ دﻟﻴﻞ ﻗﺪﻳﻤﻲ ﺑﻮدن‪ ،‬ﻣﺤﺪودﻳﺖﻫﺎﻳﻲ‬ ‫دارد اﻣﺎ وﻳﺮاﻳﺸﮕﺮﻫﺎي ﭘﻴﺸﺮﻓﺘﻪاي ﻣﺜﻞ ‪ ،emacs‬در ﭼﻨﺪ ﺳﺎل اﺧﻴﺮ ﻣﺤﺒﻮﺑﻴﺖ ﻓﺮاواﻧﻲ ﻛﺴﺐ ﻛﺮدهاﻧﺪ‪.‬‬ ‫ﺑﺴﻴﺎري از ﻳﻮﺗﻴﻠﻴﺘﻲﻫﺎي ﭘﺎﻳﻪ ﻟﻴﻨﻮﻛﺲ‪ ،‬ﻧﺮماﻓﺰار ‪ GNU‬ﻫﺴﺘﻨﺪ ﺑﻪ اﻳﻦ ﻣﻌﻨﻲ ﻛﻪ ﺑﺼﻮرت راﻳﮕﺎن در ﺟﺎﻣﻌﻪ ﺗﻮزﻳﻊ‬ ‫ﺷﺪهاﻧﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﻳﻮﺗﻴﻠﻴﺘﻲﻫﺎي ‪ GNU‬ﻗﺎﺑﻠﻴﺖﻫﺎي ﭘﻴﺸﺮﻓﺘﻪ را ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﻛﻨﻨﺪ ﻛﻪ در ﻧﺴﺨﻪ اﺳﺘﺎﻧﺪارد ‪ BSD‬و‬ ‫ﻳﻮﻧﻴﻜﺲ وﺟﻮد ﻧﺪارد‪ .‬ﺑﺎ اﻳﻦ ﺣﺎل‪ ،‬ﻳﻮﺗﻴﻠﻴﺘﻲﻫﺎي ‪ GNU‬ﺑﺎ ‪ BSD‬ﺳﺎزﮔﺎر ﺑﺎﻗﻲ ﺧﻮاﻫﻨﺪ ﻣﺎﻧﺪ‪.‬‬ ‫ﺷ‪‬ﻞ‪ ،‬ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺧﻂ دﺳﺘﻮري اﺳﺖ ﻛﻪ ﺑﻪ ﻛﺎرﺑﺮ اﺟﺎزه ﻣﻲدﻫﺪ ﺗﺎ دﺳﺘﻮرات را وارد ﻛﻨﺪ و ﺳﻴﺴﺘﻢ‪ ،‬دﺳﺘﻮرات‬ ‫ﻛﺎرﺑﺮ را اﺟﺮا ﻣﻲﻛﻨﺪ‪ .‬ﻋﻼوه ﺑﺮ اﻳﻦ‪ ،‬ﺑﺴﻴﺎري از ﺷ‪‬ﻞﻫﺎ‪ ،‬داراي ﻗﺎﺑﻠﻴﺘﻬﺎﻳﻲ از ﻗﺒﻴﻞ ﻛﻨﺘﺮل ﭘﺮدازش )‪،(job control‬‬ ‫‪201‬‬

‫ﻣﺪﻳﺮﻳﺖ ﻫﻤﺰﻣﺎن ﭼﻨﺪﻳﻦ ﭘﺮدازش‪ ،‬و زﺑﺎن دﺳﺘﻮري ﺑﺮاي ﻧﻮﺷﺘﻦ ﺷ‪‬ﻞ اﺳﻜﺮﻳﭙﺖﻫﺎ ﻫﺴﺘﻨﺪ‪ .‬ﺷ‪‬ﻞ اﺳﻜﺮﻳﭙﺖ‪ ،‬ﺑﺮﻧﺎﻣﻪاي‬ ‫اﺳﺖ ﻛﻪ ﺑﻪ زﺑﺎن دﺳﺘﻮري ﺷﻞ ﻧﻮﺷﺘﻪ ﻣﻲﺷﻮد و ﻣﺸﺎﺑﻪ ﻓﺎﻳﻞ دﺳﺘﻪاي ‪ MS-DOS‬اﺳﺖ‪.‬‬ ‫ﺷ‪‬ﻞﻫﺎي زﻳﺎدي ﺑﺮاي ﻟﻴﻨﻮﻛﺲ وﺟﻮد دارد‪ .‬ﻣﻬﻢﺗﺮﻳﻦ ﺗﻔﺎوت ﺑﻴﻦ آﻧﻬﺎ‪ ،‬زﺑﺎن دﺳﺘﻮر اﺳﺖ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﺷ‪‬ﻞ ‪C‬‬ ‫)‪ (csh‬ﻣﺸﺎﺑﻪ زﺑﺎن ﺑﺮﻧﺎﻣﻪ ﻧﻮﻳﺴﻲ ‪ C‬اﺳﺖ‪ .‬ﺷ‪‬ﻞ ‪ (sh) classic Bourne‬از زﺑﺎن دﺳﺘﻮري دﻳﮕﺮي اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬اﻧﺘﺨﺎب‬ ‫ﻳﻚ ﺷ‪‬ﻞ‪ ،‬اﻏﻠﺐ ﺑﺮ ﻣﺒﻨﺎي زﺑﺎﻧﻲ دﺳﺘﻮري اﺳﺖ ﻛﻪ اراﺋﻪ ﻣﻲدﻫﺪ و ﻣﺸﺨﺺ ﻛﻨﻨﺪه ﻗﺎﺑﻠﻴﺘﻬﺎي در دﺳﺘﺮس ﺑﺮاي ﻛﺎرﺑﺮ‬ ‫اﺳﺖ‪.‬‬ ‫‪ ،GNU Bash‬ﻛﻪ ﻣﺸﺘﻘﻲ از ‪ Bash‬اﺳﺖ‪ ،‬ﺑﺴﻴﺎري از ﻗﺎﺑﻠﻴﺘﻬﺎي ﭘﻴﺸﺮﻓﺘﻪ ﻫﻤﭽﻮن ﻛﻨﺘﺮل ﭘﺮدازش ) ‪job‬‬ ‫‪ ،(control‬ﺗﺎرﻳﺨﭽﻪ دﺳﺘﻮرات‪ ،‬ﺗﻜﻤﻴﻞ دﺳﺘﻮرات و اﺳﻢ ﻓﺎﻳﻞﻫﺎ‪ ،‬و اﻳﻨﺘﺮﻓﻴﺴﻲ ﺑﺮاي وﻳﺮاﻳﺶ ﻓﺎﻳﻞﻫﺎ دارد‪ .‬ﺷ‪‬ﻞ راﻳﺞ‬ ‫دﻳﮕﺮ‪ tcsh ،‬اﺳﺖ ﻛﻪ ﻧﺴﺨﻪاي از ﺷ‪‬ﻞ ‪ C‬ﺑﺎ ﻋﻤﻠﻜﺮدﻫﺎي ﭘﻴﺸﺮﻓﺘﻪ اﺳﺖ‪ .‬ﺷ‪‬ﻞﻫﺎي دﻳﮕﺮ ﻋﺒﺎرﺗﻨﺪ از ‪small Bourne ،zsh‬‬ ‫‪ BSD's ash ،ksh ،likne shel‬و ‪.rc‬‬

‫دﺳﺘﻮرات ﭘﺎﻳﻪ ﻟﻴﻨﻮﻛﺲ‬ ‫ﻓﺎﻳﻞﻫﺎ و داﻳﺮﻛﺘﻮريﻫﺎ‪:‬‬ ‫•‬

‫ﺣﺪاﻛﺜﺮ ﻃﻮل ﻓﺎﻳﻞ‪ 256 ،‬ﻛﺎراﻛﺘﺮ اﺳﺖ‬

‫•‬

‫ﺑﻴﻦ ﺣﺮوف ﺑﺰرگ و ﻛﻮﭼﻚ ﺗﻔﺎوت وﺟﻮد دارد‬

‫•‬

‫داﺷﺘﻦ ﭘﺴﻮﻧﺪ ﺑﺮاي ﻓﺎﻳﻞ ﺿﺮوري ﻧﻴﺴﺖ‬

‫‪ :touch file.txt‬ﻓﺎﻳﻞ ‪ file.txt‬را اﻳﺠﺎد ﻣﻲﻛﻨﺪ‬ ‫]‪ :cat [file‬ﻣﺤﺘﻮﻳﺎت داﺧﻞ ﻓﺎﻳﻞ را ﻧﺸﺎن ﻣﻲدﻫﺪ‬ ‫‪ 10 :head file.txt‬ﺧﻂ اول ﻓﺎﻳﻞ ﻣﺘﻨﻲ را ﻧﻤﺎﻳﺶ ﻣﻲدﻫﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ دﺳﺘﻮر ‪ 25 ،head -25 file.txt‬ﺧﻂ او ﻓﺎﻳﻞ را‬ ‫ﻧﻤﺎﻳﺶ ﻣﻲدﻫﺪ‬ ‫‪ 10 :tail file.txt‬ﺧﻂ آﺧﺮ ﻓﺎﻳﻞ ﻣﺘﻨﻲ را ﻧﻤﺎﻳﺶ ﻣﻲدﻫﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ دﺳﺘﻮر ‪ 25 ،tail -25 file.txt‬ﺧﻂ آﺧﺮ ﻓﺎﻳﻞ را‬ ‫ﻧﻤﺎﻳﺶ ﻣﻲدﻫﺪ‬ ‫‪ :cp file newfile‬ﺑﺮاي ﻛﭙﻲ ﻛﺮدن ﻓﺎﻳﻞ‬ ‫‪ :mv file newfile‬ﺑﺮاي ﺟﺎﺑﺠﺎ ﻛﺮدن ﻓﺎﻳﻞ‬ ‫]‪ :mkdir [directoryname‬ﺑﺮاي ﺳﺎﺧﺖ ﻓﻮﻟﺪر‬ ‫‪202‬‬

‫‪ :rm file‬ﺑﺮاي ﺣﺬف ﻛﺮدن ﻓﺎﻳﻞ‬ ‫‪ :ls‬ﻣﻌﺎدل دﺳﺘﻮر ‪ dir‬در وﻳﻨﺪوز اﺳﺖ و ﻣﺤﺘﻮﻳﺎت ﻣﺴﻴﺮ ﺟﺎري را ﻧﺸﺎن ﻣﻲدﻫﺪ‬ ‫‪ :pwd‬ﻣﺴﻴﺮ ﺟﺎري را ﻧﺸﺎن ﻣﻲدﻫﺪ‬ ‫‪ :arp‬ﺑﺮاي ﺑﺮرﺳﻲ ارﺗﺒﺎط اﺗﺮﻧﺘﻲ ﻣﻮﺟﻮد و آدرس ‪ IP‬اﺳﺘﻔﺎده ﻣﻲﺷﻮد‬ ‫‪ :ifconfig‬اﺑﺰار ﺧﻂ دﺳﺘﻮري ﻛﻪ ﺑﺮاي ﭘﻴﻜﺮﺑﻨﺪي ﻳﺎ ﺑﺮرﺳﻲ ﺗﻤﺎم اﻳﻨﺘﺮﻓﻴﺲﻫﺎي ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‬ ‫‪ :netstat‬ﺧﻼﺻﻪاي از ارﺗﺒﺎﻃﺎت ﺷﺒﻜﻪاي و وﺿﻌﻴﺖ ﺳﻮﻛﺖﻫﺎ ﻣﻲدﻫﺪ‬ ‫‪ :nslookup‬ﻧﺎم داﻣﻴﻦ و اﻃﻼﻋﺎت ‪ IP‬ﺳﺮور را ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ‬ ‫‪ :ping‬ﺑﺴﺘﻪﻫﺎي آزﻣﺎﻳﺸﻲ ﺑﻪ ﻳﻚ ﺳﺮور ارﺳﺎل ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﺮرﺳﻲ ﻛﻨﺪ ﺗﺎ ﭘﺎﺳﺦ درﺳﺖ ﺑﺮﻣﻲﮔﺮداﻧﺪ ﻳﺎ ﺧﻴﺮ‬ ‫‪ :w‬ﺗﻤﺎم ‪session‬ﻫﺎﻳﻲ ﻛﻪ ﺑﻪ اﻳﻦ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺷﺪه اﺳﺖ را ﻧﺸﺎن ﻣﻲدﻫﺪ‬ ‫‪ :ps‬ﺗﻤﺎم ﭘﺮدازشﻫﺎي در ﺣﺎل اﺟﺮاي ﺳﺮور را ﻧﺸﺎن ﻣﻲدﻫﺪ‬ ‫‪ :route‬ﺟﺪول ﻣﺴﻴﺮﻳﺎﺑﻲ ﺳﺮور را ﻧﺸﺎن ﻣﻲدﻫﺪ‬ ‫‪ :shred‬ﻓﺎﻳﻞ را ﺑﻪ ﺻﻮرت اﻣﻦ ﺑﺎ ‪ overwrite‬ﻛﺮدن ﻣﺤﺘﻮا‪ ،‬ﭘﺎك ﻣﻲﻛﻨﺪ‬ ‫‪ :traceroute‬ﻣﺴﻴﺮﻫﺎي ﺷﺒﻜﻪاي ﻣﻮﺟﻮد را ﺑﻪ ﻳﻚ ﻛﺎﻣﭙﻴﻮﺗﺮ ردﻳﺎﺑﻲ ﻣﻲﻛﻨﺪ‬ ‫‪ :adduser user1‬ﺳﺎﺧﺖ ﻛﺎرﺑﺮ‬ ‫‪ :password user1‬ﻗﺮار دادن ﭘﺴﻮرد ﺑﺮاي ﻛﺎرﺑﺮ ‪user1‬‬

‫‪203‬‬

‫داﻳﺮﻛﺘﻮريﻫﺎي ﻟﻴﻨﻮﻛﺲ‪:‬‬ ‫‪ :bin‬ﻓﺎﻳﻞﻫﺎي ﺑﺎﻳﻨﺮي )اﺟﺮاﻳﻲ(‬

‫‪ :sbin‬ﻓﺎﻳﻞﻫﺎي ﺑﺎﻳﻨﺮي ﺳﻴﺴﺘﻤﻲ )ﺗﻮﺳﻂ ﻣﺪﻳﺮان اﺳﺘﻔﺎده ﻣﻲﺷﻮد(‬

‫‪ :etc‬ﻓﺎﻳﻞﻫﺎي ﭘﻴﻜﺮﺑﻨﺪي‬

‫‪ :include‬ﻓﺎﻳﻞﻫﺎي ‪include‬‬

‫‪ :lib‬ﻓﺎﻳﻞﻫﺎي ﻛﺘﺎﺑﺨﺎﻧﻪاي‬

‫‪ :src‬ﻓﺎﻳﻞﻫﺎي ﻣﻨﺒﻊ‬

‫‪ :doc‬ﻓﺎﻳﻞﻫﺎي اﺳﻨﺎد‬

‫‪ :man‬ﻓﺎﻳﻞﻫﺎي ‪) manual‬راﻫﻨﻤﺎ(‬

‫‪ :share‬ﻓﺎﻳﻞﻫﺎي ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ ﺷﺪه‬

‫ﻧﺤﻮه ﻛﺎﻣﭙﺎﻳﻞ ﻛﺮﻧﻞ ﻟﻴﻨﻮﻛﺲ‬ ‫ﺑﻪ ﺧﺎﻃﺮ ﻃﺒﻴﻌﺖ اﭘﻦ ﺳﻮرس ﺑﻮدن ﻟﻴﻨﻮﻛﺲ‪ ،‬ﻛﺪ ﻣﻨﺒﻊ ﺑﺼﻮرت راﻳﮕﺎن ﺗﻮزﻳﻊ ﺷﺪه اﺳﺖ‪ .‬ﻛﺪ ﻣﻨﺒﻊ ﺑﻪ ﻋﻨﻮان‬ ‫ﻓﺎﻳﻞﻫﺎي ﺑﺎﻳﻨﺮي ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺎﻳﺪ ﺑﺮاي ﻛﺎرﻛﺮد ﺻﺤﻴﺢ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‪ ،‬ﻛﺎﻣﭙﺎﻳﻞ ﺷﻮﻧﺪ‪ .‬ﻓﺎﻳﻞﻫﺎي ﺑﺎﻳﻨﺮي‪ ،‬در دﺳﺘﺮس‬ ‫ﻫﻤﮕﺎن ﻫﺴﺘﻨﺪ و ﻫﺮ ﻛﺴﻲ ﻣﻲﺗﻮاﻧﺪ آﻧﻬﺎ را داﻧﻠﻮد و ﺗﻐﻴﻴﺮاﺗﻲ در آﻧﻬﺎ اﻳﺠﺎد ﻛﻨﺪ ﺗﺎ ﻋﻤﻠﻜﺮد آﻧﻬﺎ را ﺗﻐﻴﻴﺮ دﻫﺪ‪ .‬ﻋﻤﻮﻣﺎ‪ ،‬ﺳﻪ‬ ‫دﻟﻴﻞ ﺑﺮاي ﻛﺎﻣﭙﺎﻳﻞ ﻣﺠﺪد ﻛﺮﻧﻞ ﻟﻴﻨﻮﻛﺲ وﺟﻮد دارد‪ .‬اول اﻳﻨﻜﻪ‪ ،‬ﻣﻤﻜﻦ اﺳﺖ ﺷﻤﺎ ﺳﺨﺖاﻓﺰاري داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﻛﻪ ﺑﺴﻴﺎر‬ ‫ﺟﺪﻳﺪ ﺑﺎﺷﺪ و ﺑﺮاي آﻧﻬﺎ‪ ،‬ﻣﺎژول ﻛﺮﻧﻞ ﺑﺮ روي ‪ CD‬وﺟﻮد ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬دوم اﻳﻨﻜﻪ‪ ،‬ﻣﻤﻜﻦ اﺳﺖ ﺷﻤﺎ ﻣﺸﻜﻼﺗﻲ داﺷﺘﻪ‬ ‫ﺑﺎﺷﻴﺪ ﻛﻪ ﺑﺎ اﺻﻼح ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺑﺮﻃﺮف ﺷﻮﻧﺪ‪ .‬و ﻧﻬﺎﻳﺘﺎ اﻳﻨﻜﻪ‪ ،‬ﻣﻤﻜﻦ اﺳﺖ ﻧﺮماﻓﺰارﻫﺎي ﺟﺪﻳﺪي داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﻛﻪ ﻧﻴﺎز‬ ‫ﺑﻪ ﻧﺴﺨﻪ ﺟﺪﻳﺪﺗﺮ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬ ‫ﻛﺎرﺑﺮان ﺑﺎﻳﺪ درﺑﺎره ﺳﺎﻳﺖﻫﺎﻳﻲ ﻛﻪ از آن‪ ،‬داﻧﻠﻮد ﻣﻲﻛﻨﻨﺪ ﻣﺤﺘﺎط ﺑﺎﺷﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ‪ ،‬ﻣﻤﻜﻦ اﺳﺖ ﺷﺎﻣﻞ ﺗﺮوﺟﺎن‬ ‫ﻳﺎ ‪ backdoor‬ﺑﺎﺷﻨﺪ‪ .‬ﺑﻪ دﻻﻳﻞ اﻣﻨﻴﺘﻲ‪ ،‬ﻟﻴﻨﻮﻛﺲ را ﺗﻨﻬﺎ از وب ﺳﺎﻳﺖﻫﺎي ﻗﺎﺑﻞ اﻋﺘﻤﺎد و ﺷﻨﺎﺧﺘﻪ ﺷﺪه‪ ،‬داﻧﻠﻮد ﻛﻨﻴﺪ‪.‬‬ ‫راﻳﺞﺗﺮﻳﻦ ﺳﺎﻳﺖ ﺑﺮاي داﻧﻠﻮد ﻛﺮﻧﻞ ﻟﻴﻨﻮﻛﺲ‪ ftp.kernel.org ،‬اﺳﺖ‬

‫ﺑﺮاي داﻧﻠﻮد‪ ،‬ﭘﻴﻜﺮﺑﻨﺪي و ﻛﺎﻣﭙﺎﻳﻞ ﻛﺮﻧﻞ ﻟﻴﻨﻮﻛﺲ‪ ،‬ﻣﺮاﺣﻞ زﻳﺮ را اﻧﺠﺎم دﻫﻴﺪ‪:‬‬ ‫‪ .1‬آﺧﺮﻳﻦ ﻧﺴﺨﻪ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ را ﭘﻴﺪا ﻛﻨﻴﺪ و آن را داﺧﻞ داﻳﺮﻛﺘﻮري ‪ /usr/src‬روي ﺳﻴﺴﺘﻢ ﻟﻴﻨﻮﻛﺲ داﻧﻠﻮد‬ ‫ﻛﻨﻴﺪ‪ .‬از دﺳﺘﻮر ‪ tar zxf‬ﺑﺮاي ﺑﺎز ﻛﺮدن آن اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬ ‫‪ .2‬ﻣﺮﺣﻠﻪ ﺑﻌﺪي‪ ،‬ﭘﻴﻜﺮﺑﻨﺪي ﻛﺮﻧﻞ ﻟﻴﻨﻮﻛﺲ اﺳﺖ‪ .‬داﻳﺮﻛﺘﻮري را ﺑﻪ ‪ /usr/src/Linux‬ﺗﻐﻴﻴﺮ دﻫﻴﺪ و ‪make‬‬ ‫‪ menuconfig‬را ﺗﺎﻳﭗ ﻛﻨﻴﺪ‪ .‬اﻳﻦ دﺳﺘﻮر‪ ،‬ﺗﻌﺪادي ﺑﺮﻧﺎﻣﻪ ﻣﻲﺳﺎزد و ﺳﭙﺲ ﺑﻪ ﺳﺮﻋﺖ ﭘﻨﺠﺮهاي را ﻧﺸﺎن‬ ‫ﻣﻲدﻫﺪ‪ .‬ﭘﻨﺠﺮه ‪ menu‬ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲدﻫﺪ ﺟﻨﺒﻪﻫﺎي ﻣﺨﺘﻠﻒ ﭘﻴﻜﺮﺑﻨﺪي ﻛﺮﻧﻞ را ﺗﻐﻴﻴﺮ دﻫﻴﺪ‪ .‬ﭘﺲ از اﻧﺠﺎم‬ ‫ﺗﻐﻴﻴﺮات ﺿﺮوري‪ ،‬ﺗﻨﻈﻴﻤﺎت را ذﺧﻴﺮه ﻛﻨﻴﺪ و ‪ make dep; make clean‬را ﺗﺎﻳﭗ ﻛﻨﻴﺪ‪ .‬اوﻟﻴﻦ دﺳﺘﻮر‪ ،‬درﺧﺘﻲ‬ ‫‪204‬‬

‫از واﺑﺴﺘﮕﻲﻫﺎي ﻣﺘﻘﺎﺑﻞ در ﻣﻨﺎﺑﻊ ﻛﺮﻧﻞ ﻣﻲﺳﺎزد‪ .‬ﻣﻤﻜﻦ اﺳﺖ اﻳﻦ واﺑﺴﺘﮕﻲﻫﺎ‪ ،‬ﺑﺎ ﺗﻨﻈﻴﻤﺎﺗﻲ ﻛﻪ ﺷﻤﺎ در ﻣﺮﺣﻠﻪ‬ ‫ﭘﻴﻜﺮﺑﻨﺪي اﻧﺘﺨﺎب ﻛﺮدهاﻳﺪ‪ ،‬ﺗﻐﻴﻴﺮ ﻛﻨﻨﺪ‪ .‬ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮر ‪ ،clean‬ﺗﻤﺎم ﻓﺎﻳﻞﻫﺎي ﻧﺎﺧﻮاﺳﺘﻪ از ﻧﺴﺨﻪ ﻗﺒﻠﻲ‬ ‫ﻛﺮﻧﻞ ﭘﺎك ﻣﻲﺷﻮد‪.‬‬ ‫‪ .3‬دﺳﺘﻮرات ﺑﻌﺪي‪ make zImage ،‬و ‪ ،make modules‬ﻣﻤﻜﻦ اﺳﺖ زﻣﺎن ﺑﻴﺸﺘﺮي ﺻﺮف ﻛﻨﻨﺪ ﺑﺮاي اﻳﻨﻜﻪ آﻧﻬﺎ‬ ‫در ﺣﺎل ﻛﺎﻣﭙﺎﻳﻞ ﻛﺮﻧﻞ ﻫﺴﺘﻨﺪ‪.‬‬ ‫‪ .4‬آﺧﺮﻳﻦ ﻣﺮﺣﻠﻪ‪ ،‬ﻧﺼﺐ ﻛﺮﻧﻞ ﺟﺪﻳﺪ اﺳﺖ‪ .‬در ﺳﻴﺴﺘﻢ ﻣﺒﺘﻨﻲ ﺑﺮ اﻳﻨﺘﻞ‪ ،‬ﻛﺮﻧﻞ ﺑﺎ دﺳﺘﻮر زﻳﺮ در ‪ /boot‬ﻧﺼﺐ‬ ‫ﻣﻲﺷﻮد‪:‬‬ ‫‪cp /usr/Linux/src/arch/i386/boot/zImage/boot/newkernel‬‬ ‫‪ .5‬ﺳﭙﺲ از دﺳﺘﻮر ‪ make modules_install‬اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪ .‬اﻳﻦ دﺳﺘﻮر‪ ،‬ﻣﺎژولﻫﺎ را در ‪ /lib/modules‬ﻧﺼﺐ‬ ‫ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ .6‬ﺳﭙﺲ‪ /etc/lilo.conf ،‬را وﻳﺮاﻳﺶ ﻛﻨﻴﺪ ﺗﺎ ﺑﺨﺸﻲ ﻣﺸﺎﺑﻪ زﻳﺮ را اﺿﺎﻓﻪ ﻛﻨﻴﺪ‪:‬‬ ‫‪image = /boot/newkernel‬‬ ‫‪label = new‬‬ ‫‪read-only‬‬ ‫‪ .7‬در راه اﻧﺪازي ﻣﺠﺪد‪ ،‬ﻛﺮﻧﻞ ﺟﺪﻳﺪ را در ‪ lilo‬اﻧﺘﺨﺎب ﻛﻨﻴﺪ و ﻛﺮﻧﻞ ﺟﺪﻳﺪ را ﺑﺎرﮔﺬاري ﻣﻲﻛﻨﺪ‪ .‬اﮔﺮ ﻛﺎر ﻛﺮد‪ ،‬آن‬ ‫را ﺑﻪ ﻣﻮﻗﻌﻴﺖ اوﻟﻴﻪ در ‪ lilo.conf‬اﻧﺘﻘﺎل دﻫﻴﺪ‪.‬‬ ‫‪ ،Linux live CD‬اﻧﺘﺨﺎب ﺧﻮﺑﻲ ﺑﺮاي ﺗﺎزه ﻛﺎرﻫﺎ در ﻟﻴﻨﻮﻛﺲ اﺳﺖ‪ .‬ﺑﺎ اﺳﺘﻔﺎده از اﻳﻦ ‪CD‬ﻫﺎ‪ ،‬ﻣﻲﺗﻮاﻧﻴﺪ ﺑﺪون‬ ‫اﻳﻨﻜﻪ ﻟﻴﻨﻮﻛﺲ را روي ﺳﻴﺴﺘﻢ ﻧﺼﺐ ﻛﻨﻴﺪ‪ ،‬ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ را ﺗﺴﺖ و ﺳﭙﺲ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪ .‬ﺑﺮاي اﺳﺘﻔﺎده از‬ ‫‪CD‬ﻫﺎي ‪ live‬ﻣﻲﺗﻮاﻧﻴﺪ ﺑﻪ ﺳﺎﻳﺖ ‪ www.distrowatch.com‬ﻣﺮاﺟﻌﻪ ﻛﺮده و ﺗﻮزﻳﻊ ﻣﻨﺎﺳﺐ آن را اﻧﺘﺨﺎب و ﺑﺮ‬ ‫روي ‪ CD‬راﻳﺖ ﻛﻨﻴﺪ‪ .‬اﻳﻦ ‪ CD‬را داﺧﻞ دﺳﺘﮕﺎه ﺑﮕﺬارﻳﺪ و ﻛﺎﻣﭙﻴﻮﺗﺮ را از ﻃﺮﻳﻖ آن راهاﻧﺪازي ﻛﻨﻴﺪ‪.‬‬

‫‪205‬‬

‫دﺳﺘﻮرات ﻛﺎﻣﭙﺎﻳﻞ ‪GCC‬‬ ‫‪ ،GCC‬ﻳﻚ ﻛﺎﻣﭙﺎﻳﻠﺮ ﺧﻂ دﺳﺘﻮري )‪ (command-line‬اﺳﺖ ﻛﻪ ﻛﺪ را ﻣﻲﮔﻴﺮد و آن را ﻗﺎﺑﻞ اﺟﺮا ﻣﻲﺳﺎزد‪ .‬ﺷﻤﺎ‬ ‫ﻣﻲﺗﻮاﻧﻴﺪ آن را از ‪ http://gcc.gnu.org‬داﻧﻠﻮد ﻛﻨﻴﺪ‪ .‬اﻳﻦ ﻛﺎﻣﭙﺎﻳﻠﺮ‪ ،‬ﺑﺮاي ﻛﺎﻣﭙﺎﻳﻞ و اﺟﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎي ‪ C++ ،C‬و ﻓﺮﺗﺮن‬ ‫اﺳﺘﻔﺎده ﻣﻲﺷﻮد ﺑﻨﺎﺑﺮاﻳﻦ آﻧﻬﺎ در ﻟﻴﻨﻮﻛﺲ ﻫﻢ اﺟﺮا ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫دﺳﺘﻮر زﻳﺮ ﺑﺮاي ﻛﺎﻣﭙﺎﻳﻞ ﻛﺪ ‪ C++‬ﺑﺎ ‪ GCC‬ﺑﺮاي اﺳﺘﻔﺎده ﺑﻪ ﻋﻨﻮان ﻳﻚ ﺑﺮﻧﺎﻣﻪ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪:‬‬ ‫‪g++ filename.cpp –o outputfilename.out‬‬ ‫دﺳﺘﻮر ﻛﺎﻣﭙﺎﻳﻞ ﻛﺪ ‪ C‬ﺑﺎ ‪ GCC‬ﺑﺮاي اﺳﺘﻔﺎده از آن ﺑﻪ ﻋﻨﻮان ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺑﺼﻮرت زﻳﺮ اﺳﺖ‪:‬‬ ‫‪gcc filename.c –o outputfilename.out‬‬

‫ﻧﺤﻮه ﻧﺼﺐ ﻣﺎژولﻫﺎي ﻛﺮﻧﻞ ﻟﻴﻨﻮﻛﺲ‬ ‫ﻣﺎژولﻫﺎي ﻛﺮﻧﻞ ﻟﻴﻨﻮﻛﺲ )‪ ،(LKM‬ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﻲدﻫﻨﺪ ﻛﻪ ﺑﺪون ﻛﺎﻣﭙﺎﻳﻞ دوﺑﺎره ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‪ ،‬ﻋﻤﻠﻜﺮدي را‬ ‫ﺑﻪ آن اﺿﺎﻓﻪ ﻛﻨﻴﺪ‪ .‬ﺧﻄﺮ اﺳﺘﻔﺎده از ‪ LKM‬اﻳﻦ اﺳﺖ ﻛﻪ ﻳﻚ ‪ rootkit‬ﻣﻲﺗﻮاﻧﺪ ﺑﻪ آﺳﺎﻧﻲ ﺑﻪ ﻋﻨﻮان ﻳﻚ ‪ LKM‬اﻳﺠﺎد‬ ‫ﺷﻮد و اﮔﺮ ﺑﺎرﮔﺬاري ﺷﻮد‪ ،‬ﻛﺮﻧﻞ را آﻟﻮده ﻣﻲﻛﻨﺪ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﺷﻤﺎ ﺑﺎﻳﺪ ‪LKM‬ﻫﺎ را ﻓﻘﻂ از ﻣﻨﺎﺑﻊ ﻣﻌﺘﺒﺮ داﻧﻠﻮد ﻛﻨﻴﺪ‪ .‬ﻣﺜﺎﻟﻲ‬ ‫از ‪LKM rootkit‬ﻫﺎ ﻋﺒﺎرﺗﻨﺪ از‪ ،Adore ،Knark :‬و ‪ .Rtkit‬از آﻧﺠﺎﺋﻴﻜﻪ آﻧﻬﺎ ﻛﺮﻧﻞ را آﻟﻮده ﻣﻲﻛﻨﻨﺪ‪ ،‬ﺷﻨﺎﺳﺎﻳﻲ اﻳﻦ‬ ‫‪rootkit‬ﻫﺎ‪ ،‬ﺑﺴﻴﺎر دﺷﻮار اﺳﺖ‪ .‬زﻣﺎﻧﻴﻜﻪ ﺳﻴﺴﺘﻤﻲ ﺑﻪ ﺧﻄﺮ اﻓﺘﺎد‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ‪ LKM‬را در داﻳﺮﻛﺘﻮري ‪ /tmp‬ﻳﺎ‬ ‫‪ /var/tmp‬ﻗﺮار دﻫﺪ ﻛﻪ ﺑﺎ ﻣﺨﻔﻲ ﻛﺮدن ﭘﺮدازشﻫﺎ‪ ،‬ﻓﺎﻳﻞﻫﺎ‪ ،‬و ارﺗﺒﺎﻃﺎت ﺷﺒﻜﻪاي‪ ،‬ﻧﻤﻲﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ ﻣﺎﻧﻴﺘﻮر‬ ‫ﺷﻮد‪ .‬ﻓﺮاﺧﻮاﻧﻲ ﺳﻴﺴﺘﻢ‪ ،‬ﺑﺎ آﻧﻬﺎﻳﻲ ﻛﻪ ﻫﻜﺮ ﺑﺮ روي ﺳﻴﺴﺘﻤﻲ ﻛﻪ ﺑﺎ ‪ LKM rootkit‬آﻟﻮده ﺷﺪه اﺳﺖ‪ ،‬و اﻧﺘﺨﺎب ﻛﺮده‬ ‫اﺳﺖ ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﺷﻮد‪ .‬دﺳﺘﻮر ﺑﺎرﮔﺬاري ‪ LKM‬ﺑﺼﻮرت ‪ modprobe LKM‬اﺳﺖ‪.‬‬

‫آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﻟﻴﻨﻮﻛﺲ‬ ‫از آﻧﺠﺎﺋﻴﻜﻪ ﻛﺪ ﻣﻨﺒﻊ ﻟﻴﻨﻮﻛﺲ در دﺳﺘﺮس ﻫﻤﮕﺎن اﺳﺖ‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﻪ آن دﺳﺘﺮﺳﻲ داﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺑﺮﺧﻲ از آﺳﻴﺐ‬ ‫ﭘﺬﻳﺮيﻫﺎﻳﻲ ﻛﻪ وﺟﻮد دارد ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬

‫‪cfengine ،cdrecord ،bugzilla ،bind ،balsa ،Appache‬‬

‫•‬

‫‪fileutils ،fetchmail (many) ،exim ،evolution ،ethereal (many) ،cvs ،cups ،Cron‬‬ ‫‪206‬‬

‫•‬

‫‪kernel ،kerberos ،KDE ،iproute ،inetd ،hylafax ،gzip ،gnupg ،glibc ،ghostscript ،Gdm‬‬

‫•‬

‫‪،openssh ،MYSQL ،mutt ،mplayer ،mpg123 ،mozilla ،man ،mailman ،lynx ،lsh ،Lprng‬‬ ‫‪openssl‬‬ ‫‪،sendmail ،screen ،samba ،rsync ،python ،proftpd ،PostgreSQL ،postfix ،PHP ،pine ،Perl‬‬

‫•‬

‫‪،xpdf ،xinetd ،XFree86 ،xchat ،wu-ftpd ،wget ،webmin ،vim ،tcpdump ،sudo ،stunnel ،snort‬‬ ‫‪zlib‬‬ ‫زﻣﺎﻧﻴﻜﻪ آدرس ‪ IP‬ﺳﻴﺴﺘﻢ ﻫﺪف ﻣﺸﺨﺺ ﺑﺎﺷﺪ‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﻓﺮآﻳﻨﺪ اﺳﻜﻦ ﭘﻮرت را اﻧﺠﺎم دﻫﺪ و ﺑﻪ دﻧﺒﺎل‬ ‫ﺣﻔﺮهﻫﺎﻳﻲ در ﺳﻴﺴﺘﻢ ﺑﺎﺷﺪ ﺗﺎ ﺑﺘﻮاﻧﺪ ﺑﻪ آن دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ‪ .‬ﻫﺮ ﺳﻴﺴﺘﻤﻲ داراي ‪ 65535‬ﭘﻮرت دارد ﻫﻢ ﺑﺮاي ‪TCP‬‬ ‫و ﻫﻢ ﺑﺮاي ‪ UDP‬دارد )در ﻣﺠﻤﻮع ‪ 131070‬ﭘﻮرت( ﻛﻪ ﻫﺮ ﻛﺪام از اﻳﻦ ﭘﻮرتﻫﺎ راﻫﻲ ﺑﺎﻟﻘﻮه ﺑﺮاي ﻧﻔﻮذ ﺑﻪ ﺳﻴﺴﺘﻢ‬ ‫ﻫﺴﺘﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Nmap‬اﺑﺰاري ﺑﺮاي ﻣﺸﺨﺺ ﻛﺮدن ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي روﺷﻦ و ﺳﺮوﻳﺲﻫﺎﻳﻲ ﻛﻪ ﺑﺮ روي آﻧﻬﺎ ﻓﻌﺎل ﻫﺴﺘﻨﺪ‪ ،‬اﺳﺖ‪ .‬اﻳﻦ اﺑﺰار‬ ‫ﺑﺮاي ﻣﺪﻳﺮان ﺷﺒﻜﻪ ﻧﻴﺰ ﺑﺴﻴﺎر ﺳﻮدﻣﻨﺪ اﺳﺖ‪.‬‬ ‫‪ :Nessus‬ﺑﺎ اﻳﻦ اﺑﺰار‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺪف ﻣﺘﺼﻞ ﺷﻮد و آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي آن را ﻛﺸﻒ ﻛﻨﺪ از ﻗﺒﻴﻞ ﺧﻄﺎﻫﺎ‬ ‫در ﭘﻴﻜﺮﺑﻨﺪي‪ ،‬ﺗﻨﻈﻴﻤﺎت ﭘﻴﺶ ﻓﺮض ﻛﻪ ﺑﻪ ﻫﻜﺮ اﺟﺎزه دﺳﺘﺮﺳﻲ را ﻣﻲدﻫﻨﺪ‪ ،‬و ﻧﻴﺰ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺟﺪﻳﺪ ﺳﻴﺴﺘﻢ‪.‬‬ ‫‪ ،Nessus‬اﺑﺰاري ﻗﺪرﺗﻤﻨﺪ ﺑﺮاي اﺳﻜﻦ ﺷﺒﻜﻪ اﺳﺖ‪.‬‬

‫‪ ،Xcrack‬اﺑﺰاري ﺳﺮﻳﻊ ﺑﺮاي ﺷﻜﺴﺘﻦ ﭘﺴﻮرد در ﻟﻴﻨﻮﻛﺲ اﺳﺖ ﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از دﻳﻜﺸﻨﺮي ﻛﻪ از ﻛﺎرﺑﺮ ﻣﻲﮔﻴﺮد‪ ،‬ﺷﺮوع‬ ‫ﺑﻪ ﭘﻴﺪا ﻛﺮدن ﭘﺴﻮردﻫﺎ ﻣﻲﻛﻨﺪ‪.‬‬

‫ﻟﻴﻨﻮﻛﺲ ﺑﻪ ﻋﻨﻮان ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ اﻣﻦ ﺷﻨﺎﺧﺘﻪ ﻧﻤﻲﺷﻮد ﭼﻮن ﻛﺪ آن در دﺳﺘﺮس اﺳﺖ و ﻳﺎﻓﺘﻦ آﺳﻴﺐ‬ ‫ﭘﺬﻳﺮيﻫﺎي ﺳﻴﺴﺘﻢ راﺣﺖﺗﺮ ﻣﻲ ﺷﻮد‪ .‬و ﻧﻴﺰ ﺑﺴﻴﺎري از ﺑﺮﻧﺎﻣﻪﻫﺎ در ﻟﻴﻨﻮﻛﺲ‪ ،‬ﺑﺼﻮرت ﭘﻴﺶ ﻓﺮض ﻧﺼﺐ ﻣﻲﺷﻮﻧﺪ ﻫﻤﻴﻦ‬ ‫ﺳﺒﺐ ﻣﻲﺷﻮد ﻛﻪ آﺳﻴﺐ ﭘﺬﻳﺮي آن ﺑﻴﺸﺘﺮ ﺷﻮد و اﻣﻨﻴﺖ آن از ﻛﺎرﺑﺮي ﺑﻪ ﻛﺎرﺑﺮ دﻳﮕﺮ ﻣﺘﻔﺎوت ﺑﺎﺷﺪ‪.‬‬

‫‪207‬‬

‫روشﻫﺎي اﻣﻦ ﺳﺎزي ﻟﻴﻨﻮﻛﺲ‬ ‫اﻣﻦ ﺳﺎزي )‪ ،(hardening‬ﻓﺮآﻳﻨﺪ ﺑﻬﺒﻮد اﻣﻨﻴﺖ روي ﺳﻴﺴﺘﻢ ﺑﺎ اﻳﺠﺎد اﺻﻼﺣﺎﺗﻲ در آن اﺳﺖ‪ .‬ﺑﺎ اﺟﺮاي ﻳﻜﺴﺮي از‬ ‫روشﻫﺎي اﻳﻤﻦ ﺳﺎزي‪ ،‬ﻟﻴﻨﻮﻛﺲ ﻣﻲﺗﻮاﻧﺪ ﺑﺴﻴﺎر اﻣﻦ ﺷﻮد‪ .‬اوﻟﻴﻦ ﮔﺎم در اﻣﻦ ﺳﺎزي ﺳﺮور‪ ،‬ﻟﻴﻨﻮﻛﺲ ﻳﺎ وﻳﻨﺪوز‪ ،‬اﻳﻦ اﺳﺖ‬ ‫ﻛﻪ ﻣﻄﻤﺌﻦ ﺷﻮﻳﻢ ﻛﻪ آن در ﻣﻜﺎن اﻣﻨﻲ ﻗﺮار دارد ﻣﺜﻼ در ﻣﺮﻛﺰ ﻋﻤﻠﻴﺎت ﺷﺒﻜﻪ‪ .‬ﻛﻪ اﺟﺎزه دﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﻫﻜﺮ ﺑﻪ‬ ‫ﺳﻴﺴﺘﻢ را ﻣﻲﮔﻴﺮد‪.‬‬

‫دوﻣﻴﻦ و واﺿﺢﺗﺮﻳﻦ ﻣﻌﻴﺎر اﻣﻨﻴﺘﻲ‪ ،‬اﺳﺘﻔﺎده از ﭘﺴﻮرد ﭘﻴﭽﻴﺪه اﺳﺖ‪ .‬ﻣﺪﻳﺮان ﺑﺎﻳﺪ ﻣﻄﻤﺌﻦ ﺑﺎﺷﻨﺪ ﻛﻪ ﭘﺴﻮرد‬ ‫ﺳﻴﺴﺘﻢﻫﺎ‪ null ،‬ﻧﻴﺴﺖ اﻳﻨﻜﺎر ﺑﺎ ﺑﺮرﺳﻲ اﻛﺎﻧﺖﻫﺎي ﻛﺎرﺑﺮ در ﻓﺎﻳﻞ ‪ /etc/shadow‬اﻣﻜﺎن ﭘﺬﻳﺮ اﺳﺖ‪.‬‬ ‫وﺿﻌﻴﺖ اﻣﻨﻴﺘﻲ ﭘﻴﺶ ﻓﺮض ﻛﻪ ﺑﺼﻮرت ‪ deny all‬اﺳﺖ ﺑﺮاي اﻣﻦ ﺳﺎزي ﻳﻚ ﺳﻴﺴﺘﻢ از ﻳﻚ ﺣﻤﻠﻪ ﺷﺒﻜﻪاي‬ ‫ﻣﻨﺎﺳﺐ اﺳﺖ‪ .‬ﺑﻌﺪ از ﺑﻜﺎر ﺑﺮدن ‪ ،deny all‬ﻣﺪﻳﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ﻛﺎرﺑﺮ ﺧﺎﺻﻲ‪ ،‬دﺳﺘﺮﺳﻲ را ﺑﺎز ﻛﻨﺪ‪ .‬ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮر‬ ‫‪ ،deny all‬ﻣﺪﻳﺮان ﻣﻄﻤﺌﻦ ﻣﻲﺷﻮﻧﺪ ﻛﻪ ﻛﺎرﺑﺮان ﺑﻪ ﻓﺎﻳﻞﻫﺎﻳﻲ ﻛﻪ اﺟﺎزه دﺳﺘﺮﺳﻲ ﻧﺪارﻧﺪ‪ ،‬دﺳﺘﺮﺳﻲ ﻧﺪارﻧﺪ‪ .‬دﺳﺘﻮر‬ ‫ﺟﻠﻮﮔﻴﺮي از دﺳﺘﺮﺳﻲ ﻛﺎرﺑﺮان ﺑﻪ ﺷﺒﻜﻪ ﺑﺼﻮرت زﻳﺮ اﺳﺖ‪:‬‬ ‫‪Cat "All:All>> /etc/hosts.deny‬‬ ‫ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻟﻴﻨﻮﻛﺲ‪ ،‬ﺗﻌﺪادي ﻣﻜﺎﻧﻴﺰم ﻣﺤﺎﻓﻈﺖ ﺗﻮﻛﺎر دارد ﻛﻪ ﺑﺎﻳﺪ ﺑﺎ ﺗﻐﻴﻴﺮ ﭘﺎراﻣﺘﺮﻫﺎي ﻛﺮﻧﻞ ﺳﻴﺴﺘﻢ در‬ ‫‪ /proc filesystem‬از ﻃﺮﻳﻖ ﻓﺎﻳﻞ ‪ /etc/sysctl.conf‬آﻧﻬﺎ را ﻓﻌﺎل ﻛﻨﻴﺪ‪.‬‬ ‫روشﻫﺎي دﻳﮕﺮ ﺑﺮاي اﻣﻦ ﺳﺎزي ﺳﺮور ﻟﻴﻨﻮﻛﺲ‪ ،‬ﭘﺎك ﻛﺮدن ﺳﺮوﻳﺲﻫﺎي ﻏﻴﺮ ﻣﻮرد اﺳﺘﻔﺎده و اﻃﻤﻴﻨﺎن از ﺑﻪ روز‬ ‫ﺑﻮدن ﺳﻴﺴﺘﻢﻫﺎ ﺑﺎ آﺧﺮﻳﻦ ‪patch‬ﻫﺎ اﺳﺖ‪ .‬ﻫﻤﭽﻨﻴﻦ ﻣﺪﻳﺮان ﺑﺎﻳﺪ ﻻگﻫﺎي ﺳﻴﺴﺘﻢ را ﺑﺼﻮرت ﻣﺮﺗﺐ ﺑﺮرﺳﻲ ﻛﻨﻨﺪ ﺗﺎ‬ ‫رﺧﺪادﻫﺎي ﻏﻴﺮﻣﻌﻤﻮل را ﻛﻪ ﻧﺸﺎﻧﻪاي از ﺣﻤﻠﻪ ﻫﺴﺘﻨﺪ را ﺑﺒﻴﻨﺪ‪.‬‬

‫‪208‬‬

‫اﻗﺪاﻣﺎت دﻳﮕﺮي ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي اﻣﻦ ﺳﺎزي ﻳﻚ ﺳﺮور ﻟﻴﻨﻮﻛﺲ اﻧﺠﺎم ﺷﻮﻧﺪ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬

‫اﺳﺘﻔﺎده از ﺗﻮزﻳﻊ ﺷﻨﺎﺧﺘﻪ ﺷﺪه و ﺧﻮب ﻟﻴﻨﻮﻛﺲ‬

‫•‬

‫ﻋﺪم ﻧﺼﺐ ﺑﺮﻧﺎﻣﻪﻫﺎ و ﺳﺮوﻳﺲﻫﺎي ﻏﻴﺮ ﺿﺮوري‬

‫•‬

‫ﺗﻐﻴﻴﺮ ﭘﺴﻮردﻫﺎي ﭘﻴﺶ ﻓﺮض‬

‫•‬

‫ﻏﻴﺮ ﻓﻌﺎل ﻛﺮدن دﺳﺘﺮﺳﻲ از راه دور‬

‫•‬

‫راه اﻧﺪازي و ﻓﻌﺎﻟﺴﺎزي ‪IP tables‬‬

‫•‬

‫ﻧﺼﺐ ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻴﺰﺑﺎن )‪(HIDS‬‬

‫•‬

‫اﺳﺘﻔﺎده از ﻓﺎﻳﻞﻫﺎي ﻻگ‪.‬‬

‫ﻓﺎﻳﺮوال در ﻟﻴﻨﻮﻛﺲ )‪(IPTable‬‬ ‫‪ ،IPTable‬ﺟﺎﻳﮕﺰﻳﻦ اﺑﺰار ‪ipchains‬ﻫﺎ در ﻛﺮﻧﻞ ﻟﻴﻨﻮﻛﺲ اﺳﺖ و داراي ﻗﺎﺑﻠﻴﺖﻫﺎي ﻓﺮاواﻧﻲ اﺳﺖ‪ .‬ﺗﻮاﻧﺎﻳﻲ‬ ‫ردﮔﻴﺮي ارﺗﺒﺎﻃﺎت‪ ،‬ﺳﺒﺐ ﻧﻈﺎرت ‪ statful‬ﺑﺴﺘﻪ ﻣﻲﺷﻮد‪ .‬در زﻳﺮ‪ ،‬ﺑﺮﺧﻲ از ﻣﺜﺎلﻫﺎي آن آورده ﺷﺪه اﺳﺖ‪:‬‬ ‫‪iptables –A INPUT –s 0/0 –i eth0 –d 192.168.1.1 –p TCP –j ACCEPT‬‬ ‫ﺑﺎ اﻳﻦ دﺳﺘﻮر‪ ،‬ﺑﻪ ﻓﺎﻳﺮوال اﺟﺎزه داده ﻣﻲﺷﻮد ﻛﻪ ﺗﻤﺎم ﺑﺴﺘﻪﻫﺎﻳﻲ ﻛﻪ از اﻳﻨﺘﺮﻓﻴﺲ ‪ eth0‬از ﻫﺮ آدرس ‪ IP‬ﻣﻲآﻳﻨﺪ‪ ،‬ﺑﻪ‬ ‫آدرس ‪ IP‬ﻓﺎﻳﺮوال ﻛﻪ ‪ 192,168,1,1‬اﺳﺖ‪ ،‬ﻣﻘﺼﺪدﻫﻲ ﺷﻮﻧﺪ‪.‬‬ ‫‪iptables –A OUTPUT –p icmp –icmp-type echo-request –j ACCEPT‬‬ ‫ﺑﺎ اﻳﻦ دﺳﺘﻮر‪ ،‬ﺑﻪ ﻓﺎﻳﺮوال اﺟﺎزه داده ﻣﻲﺷﻮد ﻛﻪ ‪ (ping) ICMP echo-request‬را ارﺳﺎل ﻛﻨﺪ و ﺑﺴﺘﻪﻫﺎي ﭘﺎﺳﺦ‬ ‫‪ ICMP‬را درﻳﺎﻓﺖ ﻛﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻟﻴﻨﻮﻛﺲ‬ ‫‪ ،(Security Auditor’s Research Assistant) SARA‬ﻧﺴﻞ ﺳﻮم از اﺑﺰارﻫﺎي ﺗﺤﻠﻴﻞ اﻣﻨﻴﺘﻲ اﺳﺖ ﻛﻪ ﺑﺮ ﭘﺎﻳﻪ‬ ‫ﻳﻮﻧﻴﻜﺲ ﻣﻲﺑﺎﺷﺪ‪ .‬اﻳﻦ اﺑﺰار‪ ،‬در ﭘﻠﺖ ﻓﺮمﻫﺎي ﻣﺨﺘﻠﻒ از ﻗﺒﻴﻞ ﻟﻴﻨﻮﻛﺲ و ‪ MAC OS‬اﺳﺖ‪.‬‬ ‫‪ ،Tcpdump‬اﺑﺰاري ﻗﺪرﺗﻤﻨﺪ ﺑﺮاي ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ ﺷﺒﻜﻪ و دادهﻫﺎ اﺳﺖ‪ .‬ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ از اﻳﻦ اﺑﺰار ﺑﺮاي ﺣﻞ ﻣﺸﻜﻼت‬ ‫ﺷﺒﻜﻪ‪ ،‬ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﺣﻤﻼت ‪ ping‬ﻳﺎ ﻣﺎﻧﻴﺘﻮر ﻛﺮدن ﻓﻌﺎﻟﻴﺖﻫﺎي ﺷﺒﻜﻪاي اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪.‬‬ ‫‪ ،Snort‬ﻳﻚ اﺳﺘﺮاق ﺳﻤﻊ ﻛﻨﻨﺪه ﺑﺴﺘﻪ اﺳﺖ ﻛﻪ ﺣﻤﻼت را ﺷﻨﺎﺳﺎﻳﻲ و ﺛﺒﺖ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ اﺑﺰار‪ ،‬داراي ﻗﺎﺑﻠﻴﺖ ﻫﺸﺪار‬ ‫دﻫﻲ اﺳﺖ ﻛﻪ ﺑﻪ ‪ syslog‬ارﺳﺎل ﻣﻲﺷﻮد‪.‬‬ ‫‪209‬‬

‫‪ ،Netcat‬ﺑﻪ ﻋﻨﻮان اﺑﺰار آﭼﺎر ﺳﻮﺋﻴﺴﻲ ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد ﻛﻪ دادهﻫﺎ را از ﻃﺮﻳﻖ ارﺗﺒﺎﻃﺎت ﺷﺒﻜﻪاي ﺑﺎ اﺳﺘﻔﺎده از ﭘﺮوﺗﻜﻞ‬ ‫‪ TCP‬ﻳﺎ ‪ UDP‬ﻣﻲﺧﻮاﻧﺪ ﻳﺎ ﻣﻲﻧﻮﻳﺴﺪ‪ .‬ﺑﺎ اﻳﻦ اﺑﺰار ﻣﻲﺗﻮاﻧﺪ ﺗﻘﺮﻳﺒﺎ ﻫﺮ ﻧﻮع ارﺗﺒﺎﻃﻲ را ﻛﻪ ﻧﻴﺎز دارﻳﺪ‪ ،‬اﻳﺠﺎد ﻛﻨﻴﺪ و ﻧﻴﺰ‬ ‫داراي ﻗﺎﺑﻠﻴﺘﻬﺎي ﺟﺎﻟﺐ دﻳﮕﺮي ﻫﻢ اﺳﺖ‪.‬‬

‫‪ ،SAINT‬اﺑﺰاري ﺑﺮاي ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ اﺳﺖ ﻛﻪ ﻣﺒﺘﻨﻲ ﺑﺮ ‪ SATAN‬اﺳﺖ‪ .‬ﻗﺎﺑﻠﻴﺖﻫﺎﻳﻲ ﻫﻤﭽﻮن اﺳﻜﻦ از ﻃﺮﻳﻖ ﻓﺎﻳﺮوال‪،‬‬ ‫ﺑﺮرﺳﻲﻫﺎي )‪ (check‬اﻣﻨﻴﺘﻲ ﺑﻪ روز ﺷﺪه دارد ﻛﻪ داراي ﭼﻬﺎر ﺳﻄﺢ اﻣﻨﻴﺘﻲ )ﻗﺮﻣﺰ‪ ،‬زرد‪ ،‬ﻗﻬﻮهاي‪ ،‬ﺳﺒﺰ( ﻣﻲﺑﺎﺷﺪ‪.‬‬ ‫‪ :Wireshark‬ﻧﺮماﻓﺰار آﻧﺎﻟﻴﺰ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎي ﻳﻮﻧﻴﻜﺲ و ﻣﺒﺘﻨﻲ ﺑﺮ ﻳﻮﻧﻴﻜﺲ اﺳﺖ و داراي راﺑﻂ‬ ‫ﮔﺮاﻓﻴﻜﻲ اﺳﺖ‪.‬‬ ‫دﻳﮕﺮ اﺑﺰارﻫﺎي اﻣﻨﻴﺘﻲ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻟﻴﻨﻮﻛﺲ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫‪ ،Hunt ،LIDS ،IPTraf ،LSOF ،Nemesis ،Sniffit ،Hping2 ،Abacus Port Sentry‬و ‪. ...‬‬

‫‪210‬‬

‫ﻓﺼﻞ ﺳﻴﺰدﻫﻢ‬

‫ﮔﺮﻳﺰ از ‪ IDS‬ﻫﺎ‪ honeypot ،‬ﻫﺎ و ﻓﺎﻳﺮوالﻫﺎ‬

‫ﻣﻘﺪﻣﻪ‬ ‫ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ )‪ ،(IDS‬ﻓﺎﻳﺮوالﻫﺎ‪ ،‬و ‪honeypot‬ﻫﺎ ﻣﻌﻴﺎرﻫﺎي اﻣﻨﻴﺘﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺷﻤﺎ را ﻣﻄﻤﺌﻦ‬ ‫ﻣﻲﺳﺎزﻧﺪ ﻫﻜﺮ ﻧﻤﻲﺗﻮاﻧﺪ ﺑﻪ ﺷﺒﻜﻪ ﻳﺎ ﺳﻴﺴﺘﻢ ﺷﻤﺎ دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ‪ .‬ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ )‪ (IDS‬و ﻓﺎﻳﺮوالﻫﺎ‪،‬‬ ‫ﺟﺰ دﺳﺘﮕﺎهﻫﺎي ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ ﻫﺴﺘﻨﺪ و ﺑﺮ اﺳﺎس ﻗﻮاﻧﻴﻦ از ﭘﻴﺶ ﻧﻮﺷﺘﻪ ﺷﺪه‪ ،‬ﺗﺮاﻓﻴﻚ را ﻣﺎﻧﻴﺘﻮر ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫‪ ،honeypot‬ﻳﻚ ﺳﻴﺴﺘﻢ ﻫﺪف ﺟﻌﻠﻲ اﺳﺖ ﻛﻪ ﺑﻪ ﻋﻨﻮان ﻃﻌﻤﻪاي ﺑﺮاي ﻫﻜﺮ اﺳﺘﻔﺎده ﻣﻲﺷﻮد ﺗﺎ او را از دﺳﺘﺮﺳﻲ ﺑﻪ‬ ‫اﻫﺪاف ﺑﺎ ارزش دور ﻧﮕﻪ دارد‪ .‬ﺑﻪ ﻋﻨﻮان ﻳﻚ ﻛﺎرﺷﻨﺎس اﻣﻨﻴﺘﻲ‪ ،‬ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﺎ ﻧﺤﻮه ﻛﺎرﻛﺮد و اﻳﺠﺎد اﻣﻨﻴﺖ ﺗﻮﺳﻂ آﻧﻬﺎ آﺷﻨﺎ‬ ‫ﺑﺎﺷﻴﺪ‪.‬‬

‫اﻧﻮاع ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ و ﺗﻜﻨﻴﻚﻫﺎي ﮔﺮﻳﺰ‬ ‫ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ‪ ،‬ﺳﻴﺴﺘﻢﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺗﺮاﻓﻴﻚ را ﻣﺎﻧﻴﺘﻮر ﻣﻲﻛﻨﻨﺪ و ‪ signature‬ﺣﻤﻼت ﻳﺎ‬ ‫اﻟﮕﻮﻫﺎي رﻓﺘﺎري ﻏﻴﺮﻣﻌﻤﻮل را ﻛﺸﻒ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻳﻜﻲ از ﻋﻨﺎﺻﺮ ‪IDS‬ﻫﺎ‪packet sniffer ،‬ﻫﺎ ﻫﺴﺘﻨﺪ ﻛﻪ ﺗﺮاﻓﻴﻚ را ﻣﺎﻧﻴﺘﻮر‬ ‫ﻣﻲﻛﻨﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ رﺧﺪادي در ﻟﻴﺴﺖ ‪ event‬اﻣﻨﻴﺘﻲ ﺷﺮﻛﺖ ﺛﺒﺖ ﺷﻮد‪ ،IDS ،‬ﭘﻴﻐﺎم ﻫﺸﺪاري از ﻃﺮﻳﻖ اﻳﻤﻴﻞ‪،pager ،‬‬ ‫ﻳﺎ ﺗﻠﻔﻦ ﻫﻤﺮاه ﺑﻪ ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ ارﺳﺎل ﻣﻲﻛﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﺗﺮاﻓﻴﻚ ﻣﺸﻜﻮﻛﻲ در ﺣﺎل ﻋﺒﻮر ﺑﺎﺷﺪ‪ ،‬ﺳﻴﺴﺘﻢﻫﺎي ﺟﻠﻮﮔﻴﺮي از‬ ‫ﺣﻤﻠﻪ )‪ ،(IPS‬اﻗﺪاﻣﺎﺗﻲ از ﻗﺒﻴﻞ ﺑﻠﻮﻛﻪ ﻛﺮدن ﺗﺮاﻓﻴﻚ و ‪ ...‬را اﻧﺠﺎم ﻣﻲدﻫﻨﺪ‪ .‬زﻣﺎﻧﻴﻜﻪ ﺗﻼﺷﻲ ﺑﺮاي ﻧﻔﻮذ اﻧﺠﺎم ﻣﻲﺷﻮد‪،‬‬ ‫ﺳﻴﺴﺘﻢﻫﺎي ‪ ،IPS‬ﺑﺼﻮرت اﺗﻮﻣﺎﺗﻴﻚ‪ ،‬از ﺑﺮوز ﺣﻤﻠﻪ ﺟﻠﻮﮔﻴﺮي ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫دو ﻧﻮع ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ )‪ (IDS‬وﺟﻮد دارد‪:‬‬ ‫‪ :Host-based‬ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻴﺰﺑﺎن )‪ ،(HIDS‬ﺑﺮﻧﺎﻣﻪﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮ روي ﻳﻚ‬ ‫ﺳﻴﺴﺘﻢ ﻧﺼﺐ ﻣﻲﺷﻮﻧﺪ و ﺗﺮاﻓﻴﻚ ﻳﺎ روﻳﺪادﻫﺎ را ﺑﺮ اﺳﺎس ﻟﻴﺴﺘﻲ از اﻣﻀﺎﻫﺎي ﺷﻨﺎﺧﺘﻪ ﺷﺪه ﺑﺮاي آن ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‪،‬‬ ‫ﻓﻴﻠﺘﺮ ﻣﻲﻛﻨﻨﺪ‪ .‬اﻳﻦ ﺳﻴﺴﺘﻢﻫﺎ‪agent ،‬ﻫﺎي ‪ Norton Internet Security‬و ‪ Cisco Security‬را دارﻧﺪ‪.‬‬ ‫ﻫﺸﺪار‪ :‬ﺑﺴﻴﺎري از وﻳﺮوسﻫﺎ و ‪worm‬ﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ‪ HIDS‬را ﺧﺎﻣﻮش ﻛﻨﻨﺪ‪.‬‬ ‫‪212‬‬

‫‪ :Network-based‬ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﺷﺒﻜﻪاي )‪ ،(NIDS‬دﺳﺘﮕﺎهﻫﺎي ﻧﺮماﻓﺰاري ﻫﺴﺘﻨﺪ ﻛﻪ در ﺷﺒﻜﻪ‬ ‫ﻗﺮار ﻣﻲﮔﻴﺮﻧﺪ‪ .‬اﻳﻦ دﺳﺘﮕﺎهﻫﺎ‪ ،‬ﺗﻨﻬﺎ ﺑﻪ ﻣﻨﻈﻮر ﺷﻨﺎﺳﺎﻳﻲ اﻧﻮاع ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪاي ﻣﺨﺮب ﻛﻪ ﺗﻮﺳﻂ ﻓﺎﻳﺮوال ﻗﺎﺑﻞ ﺷﻨﺎﺳﺎﻳﻲ‬ ‫ﻧﻴﺴﺘﻨﺪ اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪ .‬ﺗﺮاﻓﻴﻚﻫﺎي ﻣﺨﺮب ﺷﺎﻣﻞ ﺣﻤﻼت ﺑﺮ ﻋﻠﻴﻪ ﺳﺮوﻳﺲﻫﺎي آﺳﻴﺐ ﭘﺬﻳﺮ‪ ،‬ﺣﻤﻼت داده ﺑﺮ روي‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎي ﻛﺎرﺑﺮدي‪ ،‬ﺣﻤﻼت ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻴﺰﺑﺎن از ﻗﺒﻴﻞ اﻓﺰاﻳﺶ دﺳﺘﺮﺳﻲ‪ ،‬ورودﻫﺎي ﻏﻴﺮﻣﺠﺎز و دﺳﺘﺮﺳﻲ ﺑﻪ ﻓﺎﻳﻞﻫﺎي‬ ‫ﺣﺴﺎس‪ ،‬و ‪malware‬ﻫﺎ ﻣﻲﺷﻮﻧﺪ‪ .‬اﻳﻦ ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﺳﻴﺴﺘﻢﻫﺎي ﭘﺴﻴﻮ ﻫﺴﺘﻨﺪ‪ .‬ﺳﻨﺴﻮر ‪ ،IDS‬ﻳﻚ ﻧﻔﻮذ اﻣﻨﻴﺘﻲ ﺑﺎﻟﻘﻮه را‬ ‫ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ‪ ،‬اﻃﻼﻋﺎت را ﺛﺒﺖ ﻣﻲﻛﻨﺪ‪ ،‬و ﻫﺸﺪاري ﺑﻪ ﻛﻨﺴﻮل ﻣﺪﻳﺮﻳﺘﻲ ارﺳﺎل ﻣﻲﻛﻨﺪ‪.‬‬

‫ﻣﻜﺎن ‪ IDS‬در ﺷﺒﻜﻪ‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Snort‬ﻳﻚ ﻧﺮماﻓﺰار اﺳﺘﺮاق ﺳﻤﻊ ﻛﻨﻨﺪه ﺑﻼدرﻧﮓ ﺑﺴﺘﻪﻫﺎ‪ ،HIDS ،‬و اﺑﺰار ﺛﺒﺖ ﺗﺮاﻓﻴﻚ اﺳﺖ ﻛﻪ ﺑﺮ روي ﺳﻴﺴﺘﻢﻫﺎي‬ ‫ﻟﻴﻨﻮﻛﺲ و وﻳﻨﺪوز ﻧﺼﺐ ﻣﻲﺷﻮد‪ .‬ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ ﻗﻮاﻧﻴﻦ ‪ Snort‬و ‪ IDS‬را در ﻓﺎﻳﻞ ‪ ،snort.conf‬ﭘﻴﻜﺮﺑﻨﺪي ﻛﻨﻴﺪ‪ .‬دﺳﺘﻮر‬ ‫ﻧﺼﺐ و اﺟﺮاي ‪ snort‬ﺑﻪ ﺻﻮرت زﻳﺮ اﺳﺖ‪:‬‬ ‫‪Snort –l c:\snort\log –c C:\snort\etc\snoft.conf –A console‬‬ ‫‪ ،BlackICE‬داراي ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذي اﺳﺖ ﻛﻪ درﺑﺎره ﺣﻤﻼت ﻫﺸﺪار ﻣﻲدﻫﺪ و در ﺑﺮاﺑﺮ ﺗﻬﺪﻳﺪات ﺑﺮ ﻋﻠﻴﻪ‬ ‫ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﻣﻘﺎوﻣﺖ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار‪ ،‬از ﺳﻴﺴﺘﻢﻫﺎي وﻳﻨﺪوزي )ﻛﻼﻳﻨﺘﻲ و ﺳﺮوري( ﻣﺤﺎﻓﻈﺖ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪IDS‬ﻫﺎي دﻳﮕﺮ ﻋﺒﺎرﺗﻨﺪ از‪.RealSecure ،Lucent RealSecure ،eTrust Internet Defense ،Dragon Sensor :‬‬ ‫‪213‬‬

‫ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ )‪ (IDS‬ﺑﺮاي ﺗﺸﺨﻴﺺ ﺣﻤﻠﻪ‪ ،‬از ‪ signature analysis‬ﻳﺎ ‪ anomaly detection‬اﺳﺘﻔﺎده‬ ‫ﻛﻨﺪ‪ .‬ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﺒﺘﻨﻲ ﺑﺮ ﺗﺸﺨﻴﺺ ‪ ،signature‬ﺗﺮاﻓﻴﻚ را ﺑﺎ ‪signature‬ﻫﺎي ﺷﻨﺎﺧﺘﻪ ﺷﺪه و اﻟﮕﻮﻫﺎي‬ ‫ﺳﻮاﺳﺘﻔﺎده‪ ،‬ﻣﻘﺎﻳﺴﻪ ﻣﻲﻛﻨﺪ‪ ،Signature .‬اﻟﮕﻮﻳﻲ اﺳﺖ ﻛﻪ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻳﻚ ﻳﺎ ﻣﺠﻤﻮﻋﻪاي از ﺑﺴﺘﻪﻫﺎ ﻛﻪ ﺑﺮاي ﺣﻤﻠﻪ‬ ‫اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪ ،‬اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﻳﻚ ‪ IDS‬ﻛﻪ وب ﺳﺮورﻫﺎ را ﻛﻨﺘﺮل ﻣﻲﻛﻨﺪ‪ ،‬ﻣﻤﻜﻦ اﺳﺖ ﺑﻪ دﻧﺒﺎل رﺷﺘﻪ‬ ‫‪ phf‬ﺑﮕﺮدد ﺑﺮاي اﻳﻨﻜﻪ ﻧﺸﺎن دﻫﻨﺪه ﺣﻤﻠﻪ ‪ CGI‬اﺳﺖ‪ .‬اﻣﺎ ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذي ﻛﻪ از ‪anomaly detection‬‬ ‫اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ ،‬ﺑﻪ دﻧﺒﺎل ﺗﻼشﻫﺎي ﺣﻤﻠﻪ ﺑﺮ ﻣﺒﻨﺎي اﻟﮕﻮﻫﺎي ﻃﺒﻴﻌﻲ اﺷﺨﺎص ﻣﻲﮔﺮدﻧﺪ و زﻣﺎﻧﻴﻜﻪ رﻓﺘﺎر ﻏﻴﺮﻃﺒﻴﻌﻲ‬ ‫در دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﻓﺎﻳﻞﻫﺎ‪ ،‬و ﻻﮔﻴﻦﻫﺎ ﻣﺸﺎﻫﺪه ﻛﻨﻨﺪ‪ ،‬آن را ﮔﺰارش ﻣﻲﻛﻨﻨﺪ‪.‬‬

‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺎ ﺗﻐﻴﻴﺮ ﺗﺮاﻓﻴﻚ‪ ،‬از ‪ IDS‬ﻋﺒﻮر ﻛﻨﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻧﻤﻲﺗﻮاﻧﺪ ﺗﺮاﻓﻴﻚ را ﺑﺎ ‪ signature‬ﺷﻨﺎﺧﺘﻪ ﺷﺪهاي‬ ‫ﻣﻘﺎﻳﺴﻪ ﻛﻨﺪ‪ .‬اﻳﻦ اﻣﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از ﺟﺎﻳﮕﺰﻳﻨﻲ ﭘﺮوﺗﻜﻞ ‪ UDP‬ﺑﻪ ﺟﺎي ‪ ،TCP‬و ﻳﺎ ‪ HTTP‬ﺑﻪ ﺟﺎي ‪ ICMP‬اﻧﺠﺎم‬ ‫ﮔﻴﺮد‪ .‬ﻋﻼوه ﺑﺮ اﻳﻦ‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﻳﻚ ﺣﻤﻠﻪ را ﺑﻪ ﭼﻨﺪ ﺑﺴﺘﻪ ﻛﻮﭼﻚ ﺑﺸﻜﻨﺪ ﺗﺎ از ‪ IDS‬ﻋﺒﻮر ﻛﻨﺪ اﻣﺎ زﻣﺎﻧﻴﻜﻪ در ﻣﻘﺼﺪ‪،‬‬ ‫دوﺑﺎره ﺟﻤﻊ ﻣﻲﺷﻮﻧﺪ‪ ،‬ﻧﺘﻴﺠﻪ آن ﺑﺮاي ﺳﻴﺴﺘﻢ ﺧﻄﺮﻧﺎك ﺑﺎﺷﺪ‪ .‬اﻳﻦ ﻛﺎر ﺑﺎ ﻧﺎم ‪ session plicing‬ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪ .‬ﺑﺮﺧﻲ‬ ‫دﻳﮕﺮ از روشﻫﺎي ﮔﺮﻳﺰ از ﺷﻨﺎﺳﺎﻳﻲ‪ ،‬ﻋﺒﺎرﺗﻨﺪ از وارد ﻛﺮدن دادهﻫﺎي زﻳﺎد‪ ،‬اﺳﺘﻔﺎده از رﻣﺰﮔﺬاري ﺑﺮاي دادهﻫﺎ ﻳﺎ آدرس‪،‬‬ ‫ﻏﻴﺮﻫﻤﺰﻣﺎن ﺳﺎزي و ﮔﺮﻓﺘﻦ ﻧﺸﺴﺖ ﻛﻼﻳﻨﺖ ﺟﺎري‪.‬‬

‫اﻗﺪاﻣﺎﺗﻲ ﻛﻪ ﺑﺎﻳﺪ ﭘﺲ از ﺷﻨﺎﺳﺎﻳﻲ ﺣﻤﻠﻪ ﺗﻮﺳﻂ ‪ ،IDS‬اﻧﺠﺎم داد‪:‬‬ ‫•‬

‫ﻓﺎﻳﺮوال را ﭘﻴﻜﺮﺑﻨﺪي ﻛﻨﻴﺪ ﺗﺎ آدرس ‪ IP‬ﻫﻜﺮ را ﻓﻴﻠﺘﺮ ﻛﻨﺪ‬

‫•‬

‫ﺑﻪ ﻣﺪﻳﺮ ﺷﺒﻜﻪ اﻃﻼع دﻫﻴﺪ )از ﻃﺮﻳﻖ ﺗﻠﻔﻦ ﻳﺎ اﻳﻤﻴﻞ(‬ ‫‪214‬‬

‫در ‪ ،event.log‬ﻳﻚ وروردي ﺟﺪﻳﺪ ﺑﻨﻮﻳﺴﻴﺪ‪ .‬ﻳﻚ دﻳﺘﺎﮔﺮام ‪ SNMP‬ﺑﻪ ﻛﻨﺴﻮل ﻣﺪﻳﺮﻳﺘﻲ ﻫﻤﭽﻮن ‪Tivoli‬‬

‫•‬

‫ارﺳﺎل ﻛﻨﻴﺪ‬ ‫•‬

‫اﻃﻼﻋﺎت ﺣﻤﻠﻪ را ذﺧﻴﺮه ﻛﻨﻴﺪ )زﻣﺎن‪ IP ،‬ﻫﻜﺮ‪ IP ،‬و ﭘﻮرت ﻗﺮﺑﺎﻧﻲ‪ ،‬اﻃﻼﻋﺎت ﭘﺮوﺗﻜﻞ(‬

‫•‬

‫ﺑﺴﺘﻪﻫﺎي ﺧﺎم را در ﻳﻚ ﻓﺎﻳﻞ ردﮔﻴﺮي ﺑﺮاي ﺗﺤﻠﻴﻞﻫﺎي آﻳﻨﺪه ذﺧﻴﺮه ﻛﻨﻴﺪ‬

‫•‬

‫ﻧﺸﺴﺖ ‪ TCP‬را ﺧﺎﺗﻤﻪ دﻫﻴﺪ ﺑﺮاي اﻳﻨﻜﺎر ﻣﻲﺗﻮاﻧﻴﺪ از ﺑﺴﺘﻪ ‪ TCP FIN‬ﻳﺎ ‪ TCP RST‬ﺑﺮاي ﺧﺎﺗﻤﻪ ارﺗﺒﺎط‬ ‫اﺳﺘﻔﺎده ﻛﻨﻴﺪ‬

‫ﮔﺮﻳﺰ از ‪IDS‬‬ ‫ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ در ﺑﺴﻴﺎري از ﺷﺒﻜﻪﻫﺎي ﺳﺎده‪ ،‬ﺑﺮ ﻣﺒﻨﺎي ﻣﻘﺎﻳﺴﻪ اﻟﮕﻮ )‪ (patern matching‬ﻛﺎر‬ ‫ﻣﻲﻛﻨﻨﺪ‪ .‬اﺳﻜﺮﻳﭙﺖﻫﺎي ﺣﻤﻠﻪ‪ ،‬اﻟﮕﻮﻫﺎي ﺷﻨﺎﺧﺘﻪ ﺷﺪهاي دارﻧﺪ ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﺑﺎ اﻳﺠﺎد‬ ‫ﭘﺎﻳﮕﺎه دادهاي از اﻳﻦ اﺳﻜﺮﻳﭙﺖﻫﺎ‪ ،‬ﺑﻪ راﺣﺘﻲ ﻣﻲﺗﻮان ﺣﻤﻼت را ﺷﻨﺎﺳﺎﻳﻲ ﻛﺮد اﻣﺎ ﺑﺎ‬ ‫ﺗﻐﻴﻴﺮ اﺳﻜﺮﻳﭙﺖ‪ ،‬ﻣﻲﺗﻮان ‪ IDS‬را دور زد‪.‬‬

‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،ADMutate‬ﻳﻚ اﺳﻜﺮﻳﭙﺖ ﺣﻤﻠﻪ اﺳﺖ و اﺳﻜﺮﻳﭙﺖ دﻳﮕﺮي ﻛﻪ ﺑﺮاي اﻧﺠﺎم ﺣﻤﻠﻪ‪ ،‬ﻋﻤﻠﻴﺎﺗﻲ اﺳﺖ را اﻳﺠﺎد ﻣﻲﻛﻨﺪ‪.‬‬ ‫اﺳﻜﺮﻳﭙﺖ ﺟﺪﻳﺪ‪ ،‬در ﭘﺎﻳﮕﺎه داده ‪signature‬ﻫﺎي ﺷﻨﺎﺧﺘﻪ ﺷﺪه ﻧﻴﺴﺖ و ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬ﻣﻲﺗﻮاﻧﺪ ‪ IDS‬را دور ﺑﺰﻧﺪ‪.‬‬ ‫ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎ ﻋﺒﺎرﺗﻨﺪ از‪ Fragrouter ،Stick ،Mendax ،SideStep :‬و ‪.Anzen NIDSbench‬‬

‫ﻓﺎﻳﺮوال‬ ‫ﻓﺎﻳﺮوال‪ ،‬ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻧﺮماﻓﺰاري ﻳﺎ ﺳﺨﺖاﻓﺰاري اﺳﺖ ﻛﻪ اﺟﺎزه ﻳﺎ ﻋﺪم اﺟﺎزه دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ را ﻣﻲدﻫﺪ و از‬ ‫ﻗﻮاﻧﻴﻨﻲ ﻛﻪ ﻣﺪﻳﺮ ﻣﺸﺨﺺ ﻛﺮده اﺳﺖ‪ ،‬ﺗﺒﻌﻴﺖ ﻣﻲﻛﻨﺪ ﺗﺎ اﺟﺎزه ﻋﺒﻮر ﺑﺴﺘﻪﻫﺎ ار ﺑﻪ ﺷﺒﻜﻪ ﺑﺪﻫﺪ‪ .‬ﻓﺎﻳﺮوال ﺳﺨﺖاﻓﺰاري‬ ‫ﻣﺤﻴﻂ )‪ ،(perimeter‬در ﻟﺒﻪ ﺷﺒﻜﻪ ﻛﻪ ﺷﺒﻜﻪ ﻣﺤﻠﻲ ﺑﻪ اﻳﻨﺘﺮﻧﺖ )ﻳﺎ ﺷﺒﻜﻪ دﻳﮕﺮ( ﻣﺘﺼﻞ اﺳﺖ‪ ،‬ﻗﺮار ﻣﻲﮔﻴﺮد‪ .‬ﻓﺎﻳﺮوال‬ ‫ﻧﺮماﻓﺰاري‪ ،‬از ﻛﺎﻣﭙﻴﻮﺗﺮ ﺷﺨﺼﻲ ﻣﺤﺎﻓﻈﺖ ﻣﻲﻛﻨﺪ‪.‬‬

‫‪215‬‬

‫ﻛﺎرﻫﺎﻳﻲ ﻛﻪ ﻓﺎﻳﺮوال اﻧﺠﺎم ﻣﻲدﻫﺪ‪:‬‬ ‫•‬

‫ﻓﺎﻳﺮوال‪ ،‬ﺗﻤﺎم ﺗﺮاﻓﻴﻚ ﺑﻴﻦ دو ﺷﺒﻜﻪ را ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ ﺗﺎ ﺑﺒﻴﻨﺪ ﻛﻪ آﻳﺎ ﺗﺮاﻓﻴﻜﻲ ﺑﺎ ﻳﻜﻲ از ‪rule‬ﻫﺎ ﺳﺎزﮔﺎر اﺳﺖ‬ ‫ﻳﺎ ﻧﻪ‬

‫•‬

‫ﺑﺴﺘﻪﻫﺎ را ﺑﻴﻦ ﺷﺒﻜﻪﻫﺎ ﻣﺴﻴﺮدﻫﻲ ﻣﻲﻛﻨﺪ‬

‫•‬

‫دﺳﺘﺮﺳﻲ ﻋﻤﻮﻣﻲ ﺑﻪ ﻣﻨﺎﺑﻊ ﺷﺒﻜﻪ ﺧﺼﻮﺻﻲ را ﻣﺪﻳﺮﻳﺖ ﻣﻲﻛﻨﺪ‬

‫•‬

‫ﺗﻤﺎم ﺗﻼشﻫﺎ ﺑﺮاي ورود ﺑﻪ ﺷﺒﻜﻪ ﺧﺼﻮﺻﻲ را ﺛﺒﺖ ﻣﻲﻛﻨﺪ و زﻣﺎﻧﻴﻜﻪ ﻛﺴﻲ ﻗﺼﺪ دﺳﺘﺮﺳﻲ ﻏﻴﺮﻣﺠﺎز را داﺷﺘﻪ‬ ‫ﺑﺎﺷﺪ‪ ،‬ﻫﺸﺪار ﻣﻲدﻫﺪ‪.‬‬

‫اﻧﻮاع ﻓﺎﻳﺮوال‬ ‫ﻓﺎﻳﺮوالﻫﺎ ﺑﻪ ﭼﻬﺎر دﺳﺘﻪ ﺗﻘﺴﻴﻢ ﻣﻲﺷﻮﻧﺪ‪:‬‬ ‫•‬

‫‪ :Packet filters‬در ﻻﻳﻪ ‪ network‬از ﻣﺪل ‪ OSI‬ﻛﺎر ﻣﻲﻛﻨﺪ و ﻣﻌﻤﻮﻻ ﺑﺨﺸﻲ از روﺗﺮ اﺳﺖ‪ .‬در اﻳﻦ ﻧﻮع‬ ‫ﻓﺎﻳﺮوال‪ ،‬ﺑﺴﺘﻪﻫﺎ ﻗﺒﻞ از ارﺳﺎل‪ ،‬ﻣﻘﺎﻳﺴﻪ ﻣﻲﺷﻮﻧﺪ‪rule .‬ﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺷﺎﻣﻞ آدرس ‪ IP‬ﻣﺒﺪا و ﻣﻘﺼﺪ‪ ،‬ﺷﻤﺎره‬ ‫‪216‬‬

‫ﭘﻮرت ﻣﺒﺪا و ﻣﻘﺼﺪ‪ ،‬و ﭘﺮوﺗﻜﻞ ﻣﻮرد اﺳﺘﻔﺎده ﺑﺎﺷﻨﺪ‪ .‬ﻣﺰﻳﺖ اﻳﻦ ﻓﺎﻳﺮوالﻫﺎ اﻳﻦ اﺳﺖ ﻛﻪ ﺗﺎﺛﻴﺮ زﻳﺎدي در‬ ‫‪ performance‬ﺷﺒﻜﻪ ﻧﺪارﻧﺪ و ﻫﺰﻳﻨﻪ آﻧﻬﺎ ﭘﺎﻳﻴﻦ اﺳﺖ‪ .‬اﻏﻠﺐ روﺗﺮﻫﺎ‪ packet filtering ،‬رو ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫•‬

‫‪ :Circuit level gateways‬در ﻻﻳﻪ ‪ session‬از ﻣﺪل ‪ OSI‬ﻛﺎر ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﻓﺎﻳﺮوالﻫﺎ‪TCP handshaking ،‬‬ ‫را ﺑﻴﻦ ﺑﺴﺘﻪﻫﺎ ﻣﺎﻧﻴﺘﻮر ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﻗﺎﻧﻮﻧﻲ ﺑﻮدن ﻧﺸﺴﺖ را ﺗﻌﻴﻴﻦ ﻛﻨﺪ‪ .‬ﺑﺴﺘﻪﻫﺎﻳﻲ ﻛﻪ از ﻃﺮﻳﻖ ‪circuit-level‬‬ ‫‪gateway‬ﻫﺎ ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﻲرﺳﻨﺪ اﻳﻨﮕﻮﻧﻪ ﺑﻪ ﻧﻈﺮ ﻣﻲرﺳﻨﺪ ﻛﻪ از ‪ gateway‬ﺗﻮﻟﻴﺪ ﺷﺪهاﻧﺪ‪ .‬اﻳﻦ ﻓﺎﻳﺮوالﻫﺎ‪،‬‬ ‫ﻧﺴﺒﺘﺎ ارزان ﻫﺴﺘﻨﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ اﻳﻦ ﻧﻮع ﻓﺎﻳﺮوالﻫﺎ‪ ،‬اﻃﻼﻋﺎت ﺷﺒﻜﻪ ﺧﺼﻮﺻﻲ را ﻣﺨﻔﻲ ﻣﻲﻛﻨﻨﺪ‪.‬‬

‫•‬

‫‪ :Application level gateways‬اﻳﻦ ‪gateway‬ﻫﺎ ﺑﺎ ﻧﺎم ﭘﺮوﻛﺴﻲ ﻫﻢ ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮﻧﺪ ﻛﻪ ﻣﻲﺗﻮاﻧﻨﺪ‬ ‫ﺑﺴﺘﻪﻫﺎ را در ﻻﻳﻪ ‪ application‬ﻣﺪل ‪ OSI‬ﻓﻴﻠﺘﺮ ﻛﻨﻨﺪ‪ .‬اﮔﺮ ﻳﻚ ‪ ،application-level gateway‬ﺑﻪ ﻋﻨﻮان‬ ‫‪ web proxy‬ﭘﻴﻜﺮﺑﻨﺪي ﺷﻮد‪ ،‬اﺟﺎزه ﻋﺒﻮر ﺗﺮاﻓﻴﻚ ‪ telnet ،gopher ،FTP‬و ‪ ...‬را ﻧﻤﻲدﻫﺪ و از آﻧﺠﺎﺋﻴﻜﻪ در‬ ‫ﻻﻳﻪ ‪ application‬ﻛﺎر ﻣﻲﻛﻨﺪ‪ ،‬ﻣﻲﺗﻮاﻧﺪ دﺳﺘﻮرات ﺧﺎﺻﻲ از ﻗﺒﻴﻞ ‪ http:post‬و ‪ get‬را ﻓﻴﻠﺘﺮ ﻛﻨﺪ‪.‬‬

‫•‬

‫‪ :Stateful multilayer inspection firewalls‬اﻳﻦ ﻧﻮع ﻓﺎﻳﺮوالﻫﺎ‪ ،‬ﺟﻨﺒﻪﻫﺎي ﺳﻪ ﻧﻮع ﻓﺎﻳﺮوال را ادﻏﺎم‬ ‫ﻣﻲﻛﻨﻨﺪ‪ .‬اﻳﻦ ﻧﻮع ﻓﺎﻳﺮوالﻫﺎ‪ ،‬ﺑﺴﺘﻪﻫﺎ را در ﻻﻳﻪ ‪ network‬از ﻣﺪل ‪ OSI‬ﻓﻴﻠﺘﺮ ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﻗﺎﻧﻮﻧﻲ ﺑﻮدن ﻧﺸﺴﺘﻲ‬ ‫را ﺗﻌﻴﻦ ﻛﻨﻨﺪ و ﻣﺤﺘﻮاي ﺑﺴﺘﻪﻫﺎ را در ﻻﻳﻪ ‪ application‬ارزﻳﺎﺑﻲ ﻣﻲﻛﻨﻨﺪ‪ .‬اﻳﻦ ﻧﻮع ﻓﺎﻳﺮوالﻫﺎ‪ ،‬ﮔﺮان ﻫﺴﺘﻨﺪ و‬ ‫ﻧﻴﺎز ﺑﻪ داﻧﺶ ﻛﺎﻓﻲ ﺑﺮاي ﻣﺪﻳﺮﻳﺖ دﺳﺘﮕﺎه دارﻧﺪ‪.‬‬ ‫ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﻓﺎﻳﺮوال )ﻧﻮع‪ ،‬ﻧﺴﺨﻪ‪ ،‬و ﻗﻮاﻧﻴﻦ( ﻣﻲﺗﻮان از ﺗﻜﻨﻴﻚﻫﺎي ‪ ،Firewalking ،Port Scanning‬و‬

‫‪ Banner Grabbing‬اﺳﺘﻔﺎده ﻛﺮد‪ ،Firewalking .‬روﺷﻲ ﺑﺮاي ﺟﻤﻊآوري اﻃﻼﻋﺎت از ﺷﺒﻜﻪاي ﻛﻪ ﭘﺸﺖ ﻓﺎﻳﺮوال اﺳﺖ‪،‬‬ ‫ﻣﻲﺑﺎﺷﺪ‪ ،‬اﺳﺖ‪ .‬ﻫﻤﭽﻨﻴﻦ ‪ ،Banner Grabbing‬ﭘﻴﺎمﻫﺎﻳﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﻫﻨﮕﺎم اﺗﺼﺎل ﺑﻪ ﺳﺮوﻳﺲ‪ ،‬ﺗﻮﺳﻂ ﺳﺮوﻳﺲﻫﺎي‬ ‫ﺷﺒﻜﻪاي ارﺳﺎل ﻣﻲﺷﻮﻧﺪ و ﺳﺮوﻳﺲ در ﺣﺎل اﺟﺮا روي ﺳﻴﺴﺘﻢ را اﻋﻼم ﻣﻲﻛﻨﻨﺪ‪ .‬اﻳﻦ ﻳﻚ روش ﺳﺎده ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ‬ ‫ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ اﺳﺖ ﻫﻤﭽﻨﻴﻦ در ﺷﻨﺎﺳﺎﻳﻲ ﺳﺮوﻳﺲﻫﺎي در ﺣﺎل اﺟﺮا در ﭘﺸﺖ ﻓﺎﻳﺮوال ﻛﻤﻚ ﻣﻲﻛﻨﺪ‪ .‬ﺳﻪ ﺳﺮوﻳﺲ‬ ‫اﺻﻠﻲ ﻛﻪ ﺑﻨﺮﻫﺎ را ارﺳﺎل ﻣﻲﻛﻨﻨﺪ‪ ،‬ﺳﺮورﻫﺎي ‪ Telnet ،FTP‬و ‪ Web‬ﻫﺴﺘﻨﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‬

‫‪telnet‬‬

‫‪ ،mail.targetcompany.org 25‬ﻳﻚ ‪ SMTP banner grabbing‬اﺳﺖ‪.‬‬ ‫ﻳﻜﻲ از ﺳﺎدهﺗﺮﻳﻦ روشﻫﺎ ﺑﺮاي ﻧﻔﻮذ ﺑﻪ ﻓﺎﻳﺮوال‪ ،‬ﻧﺼﺐ ﻧﺮماﻓﺰار ﺷﺒﻜﻪاي ﺑﺮ روي ﺳﻴﺴﺘﻢ داﺧﻠﻲ اﺳﺖ ﻛﻪ ﺑﺎ‬ ‫اﺳﺘﻔﺎده از ﭘﻮرﺗﻲ ﻛﻪ اﺟﺎزه ﻋﺒﻮر از ﻓﺎﻳﺮوال را دارد‪ ،‬ارﺗﺒﺎط ﺑﺮﻗﺮار ﻣﻲﻛﻨﺪ‪ .‬ﻣﻌﻤﻮﻻ ﭘﻮرت ‪ 80‬ﺑﺮاي اﺳﺘﻔﺎده وب ﺳﺮورﻫﺎ‬ ‫در ﻓﺎﻳﺮوالﻫﺎ ﺑﺎز اﺳﺖ‪.‬‬ ‫آﺳﺎنﺗﺮﻳﻦ روش ﺑﺮاي دور زدن ﻓﺎﻳﺮوال‪ ،‬ﺣﻤﻠﻪ ﺑﻪ ﺳﻴﺴﺘﻢ از ﻃﺮف داﺧﻞ ﻳﺎ ﺑﺨﺶ ﻣﻮرد اﻋﺘﻤﺎد ﻓﺎﻳﺮوال اﺳﺖ‪.‬‬ ‫ﺳﭙﺲ ﺳﻴﺴﺘﻢ ﺑﻪ ﺧﻄﺮ اﻓﺘﺎده ﻣﻲﺗﻮاﻧﺪ از ﻃﺮﻳﻖ ﻓﺎﻳﺮوال‪ ،‬از ﺷﺒﻜﻪ داﺧﻠﻲ ﺑﻪ ﺷﺒﻜﻪ ﺑﻴﺮون و ﺳﻴﺴﺘﻢ ﻫﻜﺮ ﻣﺘﺼﻞ ﺷﻮد‪.‬‬ ‫راﻳﺞﺗﺮﻳﻦ روش ﺑﺮاي اﻳﻨﻜﺎر‪ ،‬اﺗﺼﺎل ﺳﻴﺴﺘﻢ ﺑﻪ ﺧﻄﺮ اﻓﺘﺎده ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﻜﺮ از ﻃﺮﻳﻖ ﭘﻮرت ‪ 80‬اﺳﺖ ﻛﻪ ﻣﺸﺎﺑﻪ اﺗﺼﺎل‬ ‫ﻳﻚ ﻛﻼﻳﻨﺖ ﺑﻪ ﻳﻚ وب ﺳﺮور از ﻃﺮﻳﻖ ﻓﺎﻳﺮوال اﺳﺖ‪ .‬اﻳﻦ روش ﺑﺎ ﻧﺎم ‪ reverse WWW shell‬ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪.‬‬

‫‪217‬‬

‫اﻳﻦ ﻧﻮع ﺣﻤﻠﻪ ﺟﻮاب ﻣﻲدﻫﺪ ﺑﺮاي اﻳﻨﻜﻪ اﻏﻠﺐ ﻓﺎﻳﺮوالﻫﺎ‪ ،‬اﺟﺎزه اﺗﺼﺎﻻت ﺧﺮوﺟﻲ ﻛﻪ ﺑﻪ ﭘﻮرت ‪ 80‬ﻣﻲﺷﻮد‪،‬‬ ‫را ﻣﻲدﻫﻨﺪ‬

‫ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از ﺗﺎﻧﻞ ﺑﺮاي ارﺳﺎل ﺗﺮاﻓﻴﻚ ‪ ،HTTP‬ﻓﺎﻳﺮوال را دور ﺑﺰﻧﺪ و ﺣﻤﻠﻪ را ﺑﻪ ﻋﻨﻮان ﺗﺮاﻓﻴﻚ ﺑﻲ‬ ‫ﺧﻄﺮ ﺑﻪ ﻓﺎﻳﺮوال ﻧﺸﺎن دﻫﺪ اﻳﻦ ﺣﻤﻼت ﺑﺮاي ﻣﺪﻳﺮان ﺳﻴﺴﺘﻢ‪ ،‬ﻏﻴﺮ ﻗﺎﺑﻞ ردﮔﻴﺮي ﻫﺴﺘﻨﺪ‪ .‬ﺑﺮﻧﺎﻣﻪﻫﺎي ﻫﻚ ﻣﻲﺗﻮاﻧﻨﺪ‬ ‫ﻛﺎﻧﺎلﻫﺎي ‪ covert‬اﻳﺠﺎد ﻛﻨﻨﺪ و ﺗﺮاﻓﻴﻚ ﺣﻤﻠﻪ را از ﻃﺮﻳﻖ ﻳﻚ ﻣﺴﻴﺮ ﻣﺠﺎز ﻣﺜﻞ درﺧﻮاﺳﺖﻫﺎ و ﭘﺎﺳﺦﻫﺎي ‪،ICMP‬‬ ‫اﻧﺘﻘﺎل دﻫﻨﺪ‪ .‬روش دﻳﮕﺮ ﺑﺮاي اﺳﺘﻔﺎده از ﻛﺎﻧﺎل ‪ ،covert‬ﺗﺎﻧﻞ زدن ﺗﺮاﻓﻴﻚ ﺣﻤﻠﻪ ﺑﻪ ﻋﻨﻮان ﻳﻚ ﺑﺎزﺧﻮرد ‪TCP‬‬ ‫)‪ (acknowledgment‬اﺳﺖ‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،007 Shell‬ﺑﺮﻧﺎﻣﻪ ‪ shell-tunneling‬اﺳﺖ ﻛﻪ ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲدﻫﺪ ﻛﻪ از ﻳﻚ ﻛﺎﻧﻞ ‪ covert‬ﺑﺮاي ﺣﻤﻠﻪ و دور زدن‬ ‫ﻗﻮاﻧﻴﻦ ﻓﺎﻳﺮوال اﺳﺘﻔﺎده ﻛﻨﺪ‪.‬‬ ‫‪ ،ICMP Shell‬ﺑﺮﻧﺎﻣﻪاي ﻣﺸﺎﺑﻪ ‪ Telnet‬اﺳﺖ ﻛﻪ ﻫﻜﺮ ﺑﺮاي اﻳﺠﺎد ارﺗﺒﺎط ﺑﺎ ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﺎ اﺳﺘﻔﺎده از دﺳﺘﻮرات ‪ICMP‬‬ ‫)ﻛﻪ اﻏﻠﺐ ﻓﺎﻳﺮوالﻫﺎ اﺟﺎزه ﻣﻲدﻫﻨﺪ( اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،AckCmd‬ﺑﺮﻧﺎﻣﻪ ﻛﻼﻳﻨﺖ ‪ /‬ﺳﺮوري اﺳﺖ ﻛﻪ ﺗﻨﻬﺎ ﺑﺎ اﺳﺘﻔﺎده از ﺑﺴﺘﻪﻫﺎي ‪ TCP ACK‬ارﺗﺒﺎط ﺑﺮﻗﺮار ﻣﻲﻛﻨﺪ و ﻣﻲﺗﻮاﻧﺪ‬ ‫از ﻓﺎﻳﺮوال ﻋﺒﻮر ﻛﻨﺪ‪.‬‬ ‫‪ ،Covert_TCP‬ﺑﺮﻧﺎﻣﻪاي اﺳﺖ ﻛﻪ ﻫﻜﺮ ﺑﺮاي ارﺳﺎل ﻓﺎﻳﻞ از ﻃﺮﻳﻖ ﻓﺎﻳﺮوال اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ ﻛﻪ اﻳﻨﻜﺎر را ﺑﺎ ارﺳﺎل ﻳﻚ‬ ‫ﺑﺎﻳﺖ در ﻫﺮ ﻟﺤﻈﻪ و ﺑﺎ ﻣﺨﻔﻲ ﻛﺮدن داده در ﻫﺪر ‪ IP‬اﻧﺠﺎم ﻣﻲدﻫﺪ‪.‬‬

‫اﺑﺰارﻫﺎي ﺗﺴﺖ‬ ‫‪ ،Traffic IQ Professional‬اﺑﺰاري ﺑﺮاي ﺗﺴﺖ ﺳﺮﻳﻊ و راﺣﺖ دﺳﺘﮕﺎهﻫﺎي اﻣﻨﻴﺘﻲ اﺳﺖ ﻛﻪ ﺗﺮاﻓﻴﻚ اﺳﺘﺎﻧﺪارد ﻳﺎ‬ ‫ﺗﺮاﻓﻴﻚ ﺣﻤﻠﻪ‪ ،‬ﺑﻴﻦ دو ﻣﺎﺷﻴﻦ ﻣﺠﺎزي اﻳﺠﺎد ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ارزﻳﺎﺑﻲ‪ ،‬ﺑﺮرﺳﻲ‪ ،‬و ﺗﺴﺖ وﻳﮋﮔﻲﻫﺎي‬ ‫رﻓﺘﺎري ﻫﺮ دﺳﺘﮕﺎه ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ اﺳﺘﻔﺎده ﺷﻮد از ﻗﺒﻴﻞ‪:‬‬ ‫‪Application layer firewalls‬‬ ‫‪Intrusion Detection Systems‬‬ ‫‪Intrusion Prevention Systems‬‬ ‫‪Routers and Switches‬‬

‫‪218‬‬

‫•‬ ‫•‬ ‫•‬ ‫•‬

‫‪ ،TCPOpera‬ﺑﺎ اﻳﺠﺎد ﺗﺮاﻓﻴﻚ‪ ،‬ﻣﺤﻴﻄﻲ را ﺑﺮاي ﺗﺴﺖ رﻓﺘﺎر ‪ IDS‬ﻓﺮاﻫﻢ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،Firewall Informer‬ﭘﻴﻜﺮﺑﻨﺪي و ﻛﺎراﻳﻲ ﻫﺮ ﻧﻮع ﻓﺎﻳﺮوال ﻳﺎ دﺳﺘﮕﺎهﻫﺎي دﻳﮕﺮ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ از ﻗﺒﻴﻞ روﺗﺮ و ﺳﻮﺋﻴﭻ‬ ‫را ارزﻳﺎﺑﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﺧﻼف دﻳﺪﮔﺎه ﭘﺴﻴﻮ در ارزﻳﺎﺑﻲ آﺳﻴﺐ ﭘﺬﻳﺮي ﻣﺤﺼﻮﻻت‪ ،‬اﻳﻦ ﻧﺮماﻓﺰار‪ ،‬از ﻧﺮماﻓﺰار ‪ BLADE‬ﻛﻪ از‬ ‫ﺗﻜﻨﻮﻟﻮژي ‪) SAFE‬ﺣﻤﻠﻪ ﺷﺒﻴﻪ ﺳﺎزي ﺷﺪه ﺑﺮاي ﺣﻤﻠﻪ( ﺑﻬﺮه ﻣﻲﮔﻴﺮد‪ ،‬ﺑﺮاي ﺗﺴﺖ اﻣﻨﻴﺖ زﻳﺮﺳﺎﺧﺖ در ﺑﺮاﺑﺮ ﺗﻬﺪﻳﺪات‬ ‫ﺟﻬﺎن واﻗﻌﻲ‪ ،‬اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،Atelier Web Firewall Tester‬اﺑﺰاري ﺑﺮاي ﺑﺮرﺳﻲ ﻗﺪرت ﻓﺎﻳﺮوال ﺷﺨﺼﻲ در ﺑﺮاﺑﺮ ﺗﻼش ﺑﺮاي ارﺗﺒﺎﻃﺎت ﺧﺮوﺟﻲ از‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎي ﻏﻴﺮﻣﺠﺎز اﺳﺖ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار‪ 6 ،‬ﻧﻮع ﺗﺴﺖ دارد ﻛﻪ ﻫﺮ ﻛﺪام از آﻧﻬﺎ ﻳﻚ ارﺗﺒﺎط ‪ HTTP‬را ﺑﺮﻗﺮار ﻣﻲﻛﻨﻨﺪ و‬ ‫ﺳﻌﻲ ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﺻﻔﺤﻪ وب داﻧﻠﻮد ﻛﻨﻨﺪ‪.‬‬

‫‪Honeypot‬‬ ‫‪ ،honeypot‬داﻣﻲ اﺳﺖ ﻛﻪ در ‪ DMZ‬ﺷﺒﻜﻪ ﺷﻤﺎ ﻗﺮار ﻣﻲﮔﻴﺮد و ﺗﻮﺳﻂ ﻣﺘﺨﺼﺼﺎن اﻣﻨﻴﺘﻲ ﺑﺮاي ﺑﻪ دام اﻧﺪاﺧﺘﻦ‬ ‫ﻫﻜﺮﻫﺎ ﻳﺎ ﺑﺮاي دور ﻧﮕﻪ داﺷﺘﻦ آﻧﻬﺎ از ﺳﻴﺴﺘﻢ ﻫﺪف اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ ،Honeypot .‬ﻳﻚ دام اﺳﺖ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ ﻫﻜﺮ‬ ‫ﺳﻌﻲ ﻛﻨﺪ ﻛﻪ ﺑﻪ آن ﺣﻤﻠﻪ ﻛﻨﺪ و ﻧﺮماﻓﺰار ﺳﻴﺴﺘﻢ‪ ،‬ﻣﻲﺗﻮاﻧﺪ اﻃﻼﻋﺎت ﻣﺮﺑﻮط ﺑﻪ ﻫﻜﺮ از ﻗﺒﻴﻞ آدرس ‪ IP‬را ﺛﺒﺖ ﻛﻨﺪ‪ .‬اﻳﻦ‬ ‫اﻃﻼﻋﺎت ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي دﺳﺘﮕﻴﺮي ﻫﻜﺮ ﭘﺲ از ﺣﻤﻠﻪ ﻛﻤﻚ ﻛﻨﺪ‪ .‬ﺑﻬﺘﺮﻳﻦ ﻣﻜﺎن ﺑﺮاي ﻳﻚ ‪ ،honeypot‬ﺟﻠﻮي ﻓﺎﻳﺮوال‬ ‫روي ‪ DMZ‬اﺳﺖ ﻛﻪ آن را ﺑﺮاي ﻫﻜﺮﻫﺎ ﺑﺴﻴﺎر ﺟﺬاب ﻣﻲﻛﻨﺪ‪ .‬ﻳﻚ ‪ honeypot‬ﺑﺎ ﻳﻚ آدرس اﺳﺘﺎﺗﻴﻚ‪ ،‬ﺷﺒﻴﻪ ﻳﻚ ﺳﺮور‬ ‫واﻗﻌﻲ اﺳﺖ‪.‬‬

‫‪219‬‬

‫اﻧﻮاع ﻣﺨﺘﻠﻒ ‪honeypot‬‬ ‫•‬

‫‪ Honeypot‬ﺑﺎ ﺗﻌﺎﻣﻞ ﻛﻢ )‪ :(Low-interaction‬از ﻗﺒﻴﻞ ‪ ،Honeyd ،Specter‬و ‪.KFSensr‬‬

‫•‬

‫‪ Honeypot‬ﺑﺎ ﺗﻌﺎﻣﻞ ﻣﺘﻮﺳﻂ )‪(Medium-interaction‬‬

‫•‬

‫‪ Honeypot‬ﺑﺎ ﺗﻌﺎﻣﻞ زﻳﺎد )‪ :(High-interaction‬از ﻗﺒﻴﻞ ‪Honeynets‬‬

‫ﻣﺰاﻳﺎي ‪:honeypot‬‬ ‫•‬

‫‪ False positive‬را ﻛﺎﻫﺶ ﻣﻲدﻫﺪ‬

‫•‬

‫ﺣﻤﻼت ﺟﺪﻳﺪ را ﻣﻲﮔﻴﺮد و ‪ false negative‬را ﻛﺎﻫﺶ ﻣﻲدﻫﺪ‬

‫•‬

‫در ﻣﺤﻴﻂﻫﺎي رﻣﺰ ﺷﺪه ﻳﺎ ‪ IPv6‬ﻛﺎر ﻣﻲﻛﻨﺪ‬

‫•‬

‫ﻣﻔﻬﻮم ﺳﺎدهاي اﺳﺖ ﻛﻪ ﺑﻪ ﻣﻨﺎﺑﻊ ﻛﻤﻲ ﻧﻴﺎز دارد‬

‫ﻋﻴﺐ ‪ honypot‬اﻳﻦ اﺳﺖ ﻛﻪ داراي رﻳﺴﻚ ﺑﺎﻻﻳﻲ اﺳﺖ )ﻣﺨﺼﻮﺻﺎ در ﻧﻮع ‪(high-interaction‬‬

‫ﻣﺤﻞ ﻗﺮار ﮔﻴﺮي ‪ honeypot‬در ﺷﺒﻜﻪ‬ ‫‪ Honeypot‬ﺑﺎﻳﺪ در ﺟﻠﻮي ﻓﺎﻳﺮوال روي ‪ DMZ‬ﻗﺮار ﮔﻴﺮد‪ .‬ﻫﻤﭽﻨﻴﻦ ﺑﻪ ﺧﺎﻃﺮ داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﻛﻪ ﻧﺒﺎﻳﺪ ﺑﺮاي ﻣﺪت ﻃﻮﻻﻧﻲ‬ ‫در ﻳﻚ ﺟﺎي ﺛﺎﺑﺖ ﻗﺮار ﮔﻴﺮد‪ .‬ﺷﻜﻞ زﻳﺮ ﻧﻤﺎﻳﻲ از ﻣﺤﻞ ﻗﺮار ﮔﻴﺮي ‪ honeypot‬را در ﺷﺒﻜﻪ ﻧﺸﺎن ﻣﻲدﻫﺪ‬

‫‪220‬‬

‫ﻫﻜﺮ ﺑﺮاي ﮔﺮﻳﺰ از ﺑﻪ دام اﻓﺘﺎدن ﺗﻮﺳﻂ ‪honeypot‬ﻫﺎ ﻣﻲﺗﻮاﻧﺪ ﻳﻚ ﻧﺮماﻓﺰار ‪ anti-honeypot‬اﺟﺮا ﻛﻨﺪ ﺗﺎ اﻳﻦ‬ ‫ﻧﺮماﻓﺰار‪ ،‬ﻣﺸﺨﺺ ﻛﻨﺪ آﻳﺎ ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻫﺪف‪ honeypot ،‬در ﺣﺎل اﺟﺮا اﺳﺖ ﻳﺎ ﻧﻪ‪ ،‬و آن را ﺑﻪ ﻫﻜﺮ اﻃﻼع دﻫﺪ‪ .‬در‬ ‫اﻳﻦ روش‪ ،‬ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﺗﻼش ﻛﻨﺪ ﺗﺎ از ﺷﻨﺎﺳﺎﻳﻲ ﺷﺪن ﺗﻮﺳﻂ ‪ honeypot‬ﺟﻠﻮﮔﻴﺮي ﻛﻨﺪ‪ .‬ﺑﺴﻴﺎري از ﻧﺮماﻓﺰارﻫﺎي‬ ‫‪ ،anti-honeypot‬ﻧﺮماﻓﺰار در ﺣﺎل اﺟﺮا ﺑﺮ روي ﺳﻴﺴﺘﻢ را ﺑﺎ ﻟﻴﺴﺘﻲ از ‪honeypot‬ﻫﺎي ﻣﻌﺮوف از ﻗﺒﻴﻞ ‪ honeyd‬و ‪...‬‬ ‫ﺑﺮرﺳﻲ ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫اﺑﺰارﻫﺎ‬ ‫‪Honeypot‬ﻫﺎ ﻫﻢ ﺑﺼﻮرت ﺗﺠﺎري و ﻫﻢ ﺑﺼﻮرت ‪ open source‬وﺟﻮد دارﻧﺪ‪:‬‬ ‫‪Honeypot‬ﻫﺎي ﺗﺠﺎري‪:‬‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬

‫‪KFSensor‬‬ ‫‪NetBait‬‬ ‫‪ManTrap‬‬ ‫‪Spector‬‬

‫‪Joneypot‬ﻫﺎي ‪:open source‬‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬

‫‪Bubblegum‬‬ ‫‪Jackpot‬‬ ‫‪BackOfficer Friendly‬‬ ‫‪Bait-n-Switch‬‬ ‫‪Bigeye‬‬ ‫‪HoneyWeb‬‬ ‫‪Deception Toolkit‬‬ ‫‪LaBrea Tarpit‬‬ ‫‪Honeyed‬‬ ‫‪221‬‬

‫‪Honeynets‬‬ ‫‪Sendmail SPAM Trap‬‬ ‫‪Tiny Honeypot‬‬

‫•‬ ‫•‬ ‫•‬

‫‪ ،Specter‬ﻳﻚ ‪ honeypot‬اﺳﺖ ﻛﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﺼﻮرت اﺗﻮﻣﺎﺗﻴﻚ اﻃﻼﻋﺎت ﻣﺎﺷﻴﻦ ﻫﻜﺮ را در ﺣﺎل ﻫﻚ ﺳﻴﺴﺘﻢ‪ ،‬ﺑﺪﺳﺖ‬ ‫آورد‪.‬‬ ‫‪ ،Honeyd‬ﻳﻚ ‪ honeypot‬اﭘﻦ ﺳﻮرس اﺳﺖ ﻛﻪ ﻣﺎﺷﻴﻦﻫﺎي ﻣﺠﺎزي ﺑﺮ روي ﺷﺒﻜﻪ اﻳﺠﺎد ﻣﻲﻛﻨﺪ و ﻫﺪﻓﻲ ﺑﺮاي ﻫﻜﺮﻫﺎ‬ ‫ﻣﻲﺷﻮد‪.‬‬ ‫‪ ،KFSensor‬ﻳﻚ ‪ HIDS‬اﺳﺖ ﻛﻪ ﺑﻪ ﻋﻨﻮان ‪ honeypot‬ﻋﻤﻞ ﻣﻲﻛﻨﺪ و ﻣﻲﺗﻮاﻧﺪ ﺳﺮوﻳﺲﻫﺎي ﻣﺠﺎزي و ﺗﺮوﺟﺎنﻫﺎ را‬ ‫ﺷﺒﻴﻪ ﺳﺎزي ﻛﻨﺪ‪.‬‬ ‫‪ ،Sebek‬اﺑﺰار ‪ honeypot‬ﺑﺮاي ﮔﺮﻓﺘﻦ دادهﻫﺎ اﺳﺖ ﻛﻪ ﻛﻠﻴﺪﻫﺎي ﻓﺸﺮده ﺷﺪه ﺗﻮﺳﻂ ﻫﻜﺮ را ﺑﺪﺳﺖ ﻣﻲآورد‪.‬‬

‫‪ Honeypot‬ﻓﻴﺰﻳﻜﻲ و ﻣﺠﺎزي‬ ‫‪ Honeypot‬ﻓﻴﺰﻳﻜﻲ‪ ،‬ﻳﻚ ﻣﺎﺷﻴﻦ واﻗﻌﻲ ﺑﺮ روي ﺷﺒﻜﻪ اﺳﺖ ﻛﻪ داراي آدرس ‪ IP‬اﺳﺖ و اﻏﻠﺐ ﺑﺼﻮرت ‪high-‬‬ ‫‪ interaction‬اﺳﺖ و اﺟﺎزه ﺑﻪ ﺧﻄﺮ اﻓﺘﺎدن ﺳﻴﺴﺘﻢ را ﺑﻄﻮر ﻛﺎﻣﻞ ﻣﻲدﻫﺪ‪ .‬ﻧﺼﺐ و ﻧﮕﻬﺪاري اﻳﻦ ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﭘﺮﻫﺰﻳﻨﻪ‬ ‫اﺳﺖ‪ Honeypot .‬ﻣﺠﺎزي‪ ،‬ﺗﻮﺳﻂ ﻣﺎﺷﻴﻦﻫﺎي دﻳﮕﺮ ﺷﺒﻴﻪ ﺳﺎزي ﻣﻲﺷﻮد ﻛﻪ ﺑﻪ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ ﻛﻪ ﺑﻪ ﺳﻤﺖ ‪honeypot‬‬ ‫ﻣﺠﺎزي ارﺳﺎل ﻣﻲﺷﻮد‪ ،‬ﭘﺎﺳﺦ ﻣﻲدﻫﺪ‪ .‬ﺑﺮاي ﻣﺤﻴﻂﻫﺎي ﺑﺎ ﻓﻀﺎي آدرس ﺑﺰررگ‪ ،‬ﭘﻴﺎدهﺳﺎزي ‪ honeypot‬ﻓﻴﺰﻳﻜﻲ ﺑﺮاي‬ ‫ﻫﺮ آدرس ‪ ،IP‬ﻏﻴﺮﻣﻤﻜﻦ اﺳﺖ در اﻳﻦ ﺣﺎﻟﺖ‪ ،‬ﻣﻲﺗﻮاﻧﺪ از ‪honeypot‬ﻫﺎي ﻣﺠﺎزي اﺳﺘﻔﺎده ﻛﺮد‪.‬‬ ‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،Send-Safe Honeypot Hunter‬اﺑﺰار ﺷﻨﺎﺳﺎﻳﻲ ‪ honeypot‬اﺳﺖ ﻛﻪ ‪honeypot‬ﻫﺎ را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ ،Nessus Vulnerability Scanner‬ﻧﻴﺰ ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ‪honeypot‬ﻫﺎ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﻴﺮد‪.‬‬

‫‪222‬‬

‫ﻓﺼﻞ ﭼﻬﺎردﻫﻢ‬

‫رﻣﺰﻧﮕﺎري‬

‫ﻣﻘﺪﻣﻪ‬ ‫رﻣﺰﻧﮕﺎري‪ ،‬ﻣﻄﺎﻟﻌﻪ رﻣﺰﮔﺬاري و اﻟﮕﻮرﻳﺘﻢﻫﺎي رﻣﺰﮔﺬاري اﺳﺖ‪ .‬در واﻗﻊ‪ ،‬رﻣﺰﻧﮕﺎري‪ ،‬ﺗﺒﺪﻳﻞ ﭘﻴﺎم از ﺣﺎﻟﺖ ﻗﺎﺑﻞ‬ ‫درك )‪ (clear text‬ﺑﻪ ﺣﺎﻟﺖ ﻏﻴﺮ ﻗﺎﺑﻞ درك )‪ (cipher text‬و ﺑﺮﻋﻜﺲ اﺳﺖ‪ .‬ﻫﺪف از رﻣﺰﮔﺬاري‪ ،‬ﺗﺒﺪﻳﻞ دادهﻫﺎ ﺑﻪ‬ ‫ﺣﺎﻟﺘﻲ اﺳﺖ ﻛﻪ اﺳﺘﺮاق ﺳﻤﻊ ﻛﻨﻨﺪه ﻳﺎ ﻛﺴﻲ ﻛﻪ رﻣﺰ را ﻧﺪارد‪ ،‬ﻧﺘﻮاﻧﺪ دادهﻫﺎ را ﺑﺨﻮاﻧﺪ‪ .‬رﻣﺰﮔﺬاري ﺑﺮاي اﻣﻦ ﺳﺎزي‬ ‫ارﺗﺒﺎﻃﺎت اﺳﺖ‪ .‬رﻣﺰﻧﮕﺎري‪ ،‬ﺗﻜﻨﻴﻚﻫﺎي ﻣﻮرد اﺳﺘﻔﺎده در رﻣﺰﮔﺬاري را ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﻓﺼﻞ‪ ،‬رﻣﺰﻧﮕﺎري و‬ ‫اﻟﮕﻮرﻳﺘﻢﻫﺎي رﻣﺰﮔﺬاري را ﺗﻮﺿﻴﺢ ﺧﻮاﻫﺪ داد‪.‬‬

‫ﺗﻜﻨﻴﻚﻫﺎي رﻣﺰﻧﮕﺎري و رﻣﺰﮔﺬاري‬ ‫رﻣﺰﮔﺬاري‪ ،‬ﺑﺮاي رﻣﺰ ﻛﺮدن دادهﻫﺎ در ﻃﻮل ارﺳﺎل ﻳﺎ ذﺧﻴﺮه ﺑﺮ روي ﻫﺎرد‪ ،‬اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪ .‬رﻣﺰﻧﮕﺎري‪ ،‬ﻣﻄﺎﻟﻌﻪ‬ ‫درﺑﺎره ﻣﺤﺎﻓﻈﺖ از اﻃﻼﻋﺎت ﺗﻮﺳﻂ ﻓﺮﻣﻮلﻫﺎي رﻳﺎﺿﻲ اﺳﺖ ﺗﺎ اﮔﺮ ﻛﺴﻲ آن ﻓﺮﻣﻮل را ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ ﻧﺘﻮاﻧﺪ آﻧﻬﺎ را‬ ‫رﻣﺰﮔﺸﺎﻳﻲ ﻛﻨﺪ‪ .‬اﻳﻦ ﻓﺮﻣﻮلﻫﺎي رﻳﺎﺿﻲ‪ ،‬اﻟﮕﻮرﻳﺘﻢﻫﺎي رﻣﺰﮔﺬاري ﻧﺎم دارﻧﺪ‪.‬‬ ‫اﻟﮕﻮرﻳﺘﻢﻫﺎي رﻣﺰﮔﺬاري ﻣﻲﺗﻮاﻧﻨﺪ از روشﻫﺎي ﺳﺎدهاي ﭼﻮن ‪) substitution‬ﺟﺎﻳﮕﺰﻳﻨﻲ ﻛﺎراﻛﺘﺮﻫﺎ ﺑﺎ ﻛﺎراﻛﺘﺮﻫﺎي‬ ‫دﻳﮕﺮ( و ‪) transposition‬ﺗﻐﻴﻴﺮ ﺗﺮﺗﻴﺐ ﻛﺎراﻛﺘﺮﻫﺎ( اﺳﺘﻔﺎده ﻛﻨﻨﺪ‪ .‬اﻟﮕﻮرﻳﺘﻢﻫﺎي رﻣﺰﮔﺬاري‪ ،‬ﻣﺤﺎﺳﺒﺎت رﻳﺎﺿﻲ ﺑﺮ ﭘﺎﻳﻪ‬ ‫‪ substitution‬و ‪ transposition‬ﻫﺴﺘﻨﺪ‪ .‬دو ﻧﻮع اﺻﻠﻲ رﻣﺰﮔﺬاري‪ ،‬رﻣﺰﮔﺬاري ﻛﻠﻴﺪ ﻣﺘﻘﺎرن و ﻧﺎﻣﺘﻘﺎرن اﺳﺖ‪.‬‬

‫‪224‬‬

‫رﻣﺰﮔﺬاري ﻛﻠﻴﺪ ﻣﺘﻘﺎرن‪ ،‬ﺑﻪ اﻳﻦ ﻣﻌﻨﻲ اﺳﺖ ﻛﻪ ﺑﺮاي رﻣﺰﮔﺬاري و رﻣﺰﮔﺸﺎﻳﻲ دادهﻫﺎ‪ ،‬از ﻳﻚ ﻛﻠﻴﺪ اﺳﺘﻔﺎده‬ ‫ﻣﻲﺷﻮد‪ .‬اﻳﺮاد اﻳﻦ روش اﻳﻦ اﺳﺖ ﻛﻪ روﺷﻲ ﻣﻄﻤﺌﻦ ﺑﺮاي ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻦ ﻛﻠﻴﺪ ﺑﻴﻦ ﭼﻨﺪﻳﻦ ﺳﻴﺴﺘﻢ وﺟﻮد ﻧﺪارد و‬ ‫ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر ﺑﺎﻳﺪ از روشﻫﺎي آﻓﻼﻳﻦ اﺳﺘﻔﺎده ﻛﺮد و اﻳﻨﻜﺎر در ﻣﺤﻴﻂﻫﺎي ﺑﺰرگ از ﻗﺒﻴﻞ اﻳﻨﺘﺮﻧﺖ‪ ،‬ﻋﻤﻠﻲ ﻧﻴﺴﺖ‪.‬‬

‫رﻣﺰﮔﺬاري ﻛﻠﻴﺪ ﻧﺎﻣﺘﻘﺎرن‪ ،‬ﺑﺮاي ﭘﻮﺷﺶ ﺿﻌﻒ ﻣﺪﻳﺮﻳﺖ و ﺗﻮزﻳﻊ ﻛﻠﻴﺪ ﻣﺘﻘﺎرن ﺑﻮﺟﻮد آﻣﺪ‪ .‬در اﻳﻦ روش‪ ،‬از دو‬ ‫ﻛﻠﻴﺪ ﻳﻜﻲ ﺑﺮاي رﻣﺰﮔﺬاري و دﻳﮕﺮي ﺑﺮاي رﻣﺰﮔﺸﺎﻳﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮد‪.‬‬

‫ﻧﺤﻮه ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪﻫﺎي ﻋﻤﻮﻣﻲ و ﺧﺼﻮﺻﻲ‬ ‫زﻣﺎﻧﻴﻜﻪ ﻛﻼﻳﻨﺖ و ﺳﺮور از رﻣﺰﮔﺬاري ﻧﺎﻣﺘﻘﺎرن اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ ،‬ﻫﺮ دو‪ ،‬ﺟﻔﺖ ﻛﻠﻴﺪﻫﺎي ﺧﻮد را ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﻨﺪ‪:‬‬ ‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺳﺮور‪ ،‬ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺳﺮور‪ ،‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻛﻼﻳﻨﺖ‪ ،‬ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻛﻼﻳﻨﺖ‪ .‬زوج ﻛﻠﻴﺪﻫﺎي ﻫﺮ ﻛﺪام از‬ ‫اﻳﻨﻬﺎ راﺑﻄﻪ رﻳﺎﺿﻲ ﺑﺎ ﻳﻜﺪﻳﮕﺮ دارﻧﺪ ﻛﻪ اﺟﺎزه رﻣﺰﮔﺬاري دادهﻫﺎ ﺑﺎ ﻳﻜﻲ از ﻛﻠﻴﺪﻫﺎ و رﻣﺰﮔﺸﺎﻳﻲ ﺗﻮﺳﻂ ﻛﻠﻴﺪ دﻳﮕﺮ را‬ ‫ﻣﻲدﻫﻨﺪ‪ .‬اﻳﻦ ﻛﻠﻴﺪﻫﺎ‪ ،‬ﺑﺮ اﺳﺎس اﻋﺪاد اول‪ ،‬ﺑﺎ ﻳﻜﺪﻳﮕﺮ راﺑﻄﻪ رﻳﺎﺿﻲ دارﻧﺪ ﻛﻪ ﺳﺒﺐ ﻣﻲﺷﻮد دادهاي ﻛﻪ ﺗﻮﺳﻂ ﻳﻜﻲ از‬ ‫اﻳﻦ ﻛﻠﻴﺪﻫﺎ رﻣﺰﮔﺬاري ﺷﺪه اﺳﺖ‪ ،‬ﺗﻨﻬﺎ ﺗﻮﺳﻂ ﻛﻠﻴﺪ دﻳﮕﺮ آن ﺟﻔﺖ رﻣﺰﮔﺸﺎﻳﻲ ﺷﻮد‪ .‬زﻣﺎﻧﻴﻜﻪ ﻛﻼﻳﻨﺖ و ﺳﺮوري ﺑﺨﻮاﻫﻨﺪ‬ ‫ﺑﺎ ﻳﻜﺪﻳﮕﺮ ارﺗﺒﺎط ﺑﺮﻗﺮار ﻛﻨﻨﺪ‪ ،‬ﻫﺮ ﻛﺪام از آﻧﻬﺎ‪ ،‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺧﻮد را ﺑﻪ ﺳﻴﺴﺘﻢ دﻳﮕﺮ ﻣﻲﻓﺮﺳﺘﺪ اﻣﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺧﻮد‬ ‫را اﻋﻼم ﻧﻤﻲﻛﻨﺪ‪ .‬ﭘﻴﻐﺎمﻫﺎ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ درﻳﺎﻓﺖ ﻛﻨﻨﺪه رﻣﺰ ﻣﻲﺷﻮﻧﺪ و ﺗﻨﻬﺎ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﮔﻴﺮﻧﺪه ﻗﺎﺑﻞ رﻣﺰﮔﺸﺎﻳﻲ‬ ‫ﻫﺴﺘﻨﺪ‪.‬‬

‫‪225‬‬

‫ﻧﮕﺎﻫﻲ ﺑﻪ اﻟﮕﻮرﻳﺘﻢﻫﺎي ‪ ،RC5 ،RC4 ،SHA ،MD5‬و ‪Blowfish‬‬ ‫ﻃﻮل ﻛﻠﻴﺪ اﻟﮕﻮرﻳﺘﻢﻫﺎ از ‪ 40‬ﺗﺎ ‪ 448‬ﺑﻴﺖ ﻣﺘﻔﺎوت اﺳﺖ‪ .‬ﻃﻮﻻﻧﻲ ﺑﻮدن ﻛﻠﻴﺪ ﺑﻪ ﻣﻌﻨﺎي ﻗﻮيﺗﺮ ﺑﻮدن اﻟﮕﻮرﻳﺘﻢ‬ ‫رﻣﺰﮔﺬاري اﺳﺖ‪ .‬ﺷﻜﺴﺘﻦ ﻛﻠﻴﺪ ‪ 40‬ﺑﻴﺘﻲ ﺑﺎ اﺳﺘﻔﺎده از ﺣﻤﻠﻪ ‪ ،brute-force‬از ‪ 1,4‬دﻗﻴﻘﻪ ﺗﺎ ‪ 0,2‬ﺛﺎﻧﻴﻪ ﻃﻮل ﻣﻲﻛﺸﺪ‬ ‫ﻛﻪ ﺑﺴﺘﮕﻲ ﺑﻪ ﻗﺪرت ﻛﺎﻣﭙﻴﻮﺗﺮ ﭘﺮدازش ﻛﻨﻨﺪه دارد‪ .‬در ﻣﻘﺎﻳﺴﻪ‪ ،‬ﺷﻜﺴﺘﻦ ﻳﻚ ﻛﻠﻴﺪ ‪ 64‬ﺑﻴﺘﻲ‪ ،‬ﺑﻴﻦ ‪ 50‬ﺳﺎل ﺗﺎ ‪ 37‬روز‬ ‫ﻃﻮل ﻣﻲﻛﺸﺪ ﻛﻪ ﺑﺎز ﻫﻢ ﺑﺴﺘﮕﻲ ﺑﻪ ﺳﺮﻋﺖ ﭘﺮدازﻧﺪه دارد‪ .‬در ﺣﺎل ﺣﺎﺿﺮ‪ ،‬ﻫﺮ ﻛﻠﻴﺪي ﺑﺎ ﻃﻮل ‪ 256‬ﺑﻴﺘﻲ‪ ،‬ﻏﻴﺮ ﻗﺎﺑﻞ‬ ‫ﺷﻜﺴﺘﻦ اﺳﺖ‪.‬‬

‫‪ ،RC5 ،RC4 ،SHA ،MD5‬و ‪ Blowfish‬اﻟﮕﻮرﻳﺘﻢﻫﺎي رﻳﺎﺿﻲ ﻣﺨﺘﻠﻔﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮاي رﻣﺰﮔﺬاري اﺳﺘﻔﺎده‬ ‫ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫‪ :MD5‬ﻳﻚ اﻟﮕﻮرﻳﺘﻢ ‪ hashing‬اﺳﺖ ﻛﻪ ﺑﺮاي ﺗﻮﻟﻴﺪ ﻳﻚ ﺧﻼﺻﻪ ﭘﻴﺎم ‪ 128‬ﺑﻴﺘﻲ‪ ،‬از ورودي ﺑﺎ ﻃﻮل ﺗﺼﺎدﻓﻲ‬ ‫اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ .‬اﺳﺘﻔﺎده از اﻣﻀﺎي دﻳﺠﻴﺘﺎﻟﻲ ﺑﺮاي ﺗﺎﺋﻴﺪ اﺳﻨﺎد و اﻳﻤﻴﻞﻫﺎ ﺑﺴﻴﺎر راﻳﺞ اﺳﺖ‪ .‬ﻓﺮآﻳﻨﺪ اﻣﻀﺎي دﻳﺠﻴﺘﺎﻟﻲ‪،‬‬ ‫ﺷﺎﻣﻞ اﻳﺠﺎد ﺧﻼﺻﻪ ﭘﻴﺎم ‪ MD5‬از ﺳﻨﺪ اﺳﺖ ﻛﻪ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ارﺳﺎل ﻛﻨﻨﺪه‪ ،‬رﻣﺰ ﻣﻲﺷﻮد‪.‬‬ ‫‪ :SHA‬ﻳﻚ ﭘﻴﺎم ﺧﻼﺻﻪ ‪ 160‬ﺑﻴﺘﻲ از دادهﻫﺎ اﻳﺠﺎد ﻣﻲﻛﻨﺪ‪ ،SHA .‬اﻧﺪﻛﻲ ﻃﻮﻻﻧﻲﺗﺮ از ‪ MD5‬اﺳﺖ و ﺑﻨﺎﺑﺮاﻳﻦ‪،‬‬ ‫ﺑﻪ ﻋﻨﻮان رﻣﺰﮔﺬاري ﻗﺪرﺗﻤﻨﺪي ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮد‪ SHA .‬ﻳﻚ اﻟﮕﻮرﻳﺘﻢ ﻣﻮرد دﻟﺨﻮاه ﺑﺮاي اﺳﺘﻔﺎده ﺗﻮﺳﻂ دوﻟﺖ اﺳﺖ‪.‬‬ ‫‪ RC4‬و ‪ RC4 :RC5‬ﻳﻚ اﻟﮕﻮرﻳﺘﻢ ﻛﻠﻴﺪ ﻣﺘﻘﺎرن و ﻳﻚ ‪ streaming cipher‬اﺳﺖ اﻳﻦ ﺑﺪان ﻣﻌﻨﻲ اﺳﺖ ﻛﻪ در‬ ‫ﻫﺮ ﻟﺤﻈﻪ ﻳﻚ ﺑﻴﺖ رﻣﺰ ﻣﻲﺷﻮد‪ RC4 .‬از ﺟﺎﻳﮕﺸﺖ ﺗﺼﺎدﻓﻲ رﻳﺎﺿﻲ و اﻧﺪازه ﻣﺘﻐﻴﺮ ﻛﻠﻴﺪ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ ،RC5 .‬ﻧﺴﻞ‬ ‫ﺑﻌﺪي اﻟﮕﻮرﻳﺘﻢ اﺳﺖ‪ RC5 .‬از ﺑﻠﻮكﻫﺎ و ﻛﻠﻴﺪﻫﺎﻳﻲ ﺑﺎ اﻧﺪازه ﻣﺨﺘﻠﻒ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ ،RC5 .‬ﺑﺎ ﻛﻠﻴﺪﻫﺎﻳﻲ ﺑﻪ اﻧﺪازه‬ ‫ﻛﻮﭼﻜﺘﺮ از ‪ 256‬ﺷﻜﺴﺘﻪ ﺷﺪه اﺳﺖ‪.‬‬ ‫‪ ،blowfih :Blowfish‬ﺑﻠﻮك ‪ cipher‬ﺑﻪ اﻧﺪازه ‪ 64‬ﺑﻴﺘﻲ اﺳﺖ ﻳﻌﻨﻲ اﻳﻨﻜﻪ دادهﻫﺎ را در ﺑﻠﻮكﻫﺎ رﻣﺰﮔﺬاري‬ ‫ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ روش‪ ،‬از ‪ stream cipher‬ﻗﻮيﺗﺮ اﺳﺖ و ﻛﻠﻴﺪي ﻣﺘﻐﻴﺮ ﺑﻪ اﻧﺪازه ‪ 32‬و ‪ 448‬ﺑﻴﺘﻲ دارد‪.‬‬

‫‪SSH‬‬ ‫‪ SSH‬ﺑﺮاي ورود‪ ،‬اﺟﺮاي دﺳﺘﻮرات‪ ،‬و اﻧﺘﻘﺎل ﻓﺎﻳﻞ ﺑﻪ ﺳﻴﺴﺘﻢ دﻳﮕﺮ در ﺷﺒﻜﻪ‪ ،‬ﺗﻮﻧﻞ رﻣﺰ ﺷﺪه اﻳﺠﺎد ﻣﻲﻛﻨﺪ‪ .‬ﻛﻪ‬ ‫ﺟﺎﻳﮕﺰﻳﻦ ﻣﻄﻤﺌﻨﻲ ﺑﺮاي ‪ telnet‬ﻣﺤﺴﻮب ﻣﻲﺷﻮد‪ SSH2 .‬ﻧﻴﺰ ﻧﺴﺨﻪ اﻣﻦﺗﺮ ‪ SSH‬اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ‪ SFTP‬اﺳﺖ‪.‬‬ ‫‪226‬‬

‫از اﻟﮕﻮرﻳﺘﻢﻫﺎي ‪ 40‬ﺑﻴﺘﻲ اﺳﺘﻔﺎده ﻧﻤﻲﺷﻮد‪ .‬اﻟﮕﻮرﻳﺘﻢﻫﺎﻳﻲ ﻛﻪ از ﻛﻠﻴﺪ ‪ 56‬ﺑﻴﺘﻲ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ ،‬ﺗﺎ ﺣﺪي‬ ‫ﺣﺮﻳﻢ ﺧﺼﻮﺻﻲ را اﻳﺠﺎد ﻣﻲﻛﻨﻨﺪ وﻟﻲ آﺳﻴﺐ ﭘﺬﻳﺮﻧﺪ‪ .‬اﻣﺮوزه اﻟﮕﻮرﻳﺘﻢﻫﺎي ‪ 64‬ﺑﻴﺘﻲ‪ ،‬اﻣﻦ ﻫﺴﺘﻨﺪ وﻟﻲ اﻧﺘﻈﺎر‬ ‫ﻣﻲرود ﻛﻪ ﺑﻪ زودي ﺷﻜﺴﺘﻪ ﺷﻮﻧﺪ‪ .‬اﻟﮕﻮرﻳﺘﻢﻫﺎي ‪ 128‬ﺑﻴﺘﻲ‪ ،‬ﻏﻴﺮ ﻗﺎﺑﻞ ﺷﻜﺴﺘﻦ ﻫﺴﺘﻨﺪ‪ .‬ﺷﻜﺴﺘﻦ‬ ‫اﻟﮕﻮرﻳﺘﻢﻫﺎي ‪ 256‬ﺑﻴﺘﻲ‪ ،‬ﻏﻴﺮ ﻣﻤﻜﻦ اﺳﺖ‪.‬‬

‫اﺑﺰارﻫﺎ‬ ‫‪ ،Advanced File Encryptor‬اﺑﺰاري ﺑﺮاي رﻣﺰﮔﺬاري و اﻣﻦ ﺳﺎزي ﻓﺎﻳﻞﻫﺎي ﺑﺴﻴﺎر ﻣﻬﻢ از ﻗﺒﻴﻞ اﻃﻼﻋﺎت ﺑﺎﻧﻜﻲ‪،‬‬ ‫اﻳﻤﻴﻞﻫﺎ‪ ،‬و ﻳﺎ ﻫﺮ ﻓﺎﻳﻞ ﺑﺎ ارزش دﻳﮕﺮ اﺳﺖ‪ .‬اﻳﻦ ﺑﺮﻧﺎﻣﻪ از ﻛﻠﻴﺪ ‪ 256‬ﺑﻴﺘﻲ ‪ AES‬ﺑﺮاي رﻣﺰﮔﺬاري اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ و‬ ‫ﺗﻀﻤﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ اﻃﻼﻋﺎت اﻣﻦ ﻫﺴﺘﻨﺪ‪.‬‬ ‫‪ ،Command Line Scriptor‬ﻋﻤﻠﻴﺎت رﻣﺰﮔﺬاري‪ ،‬رﻣﺰﮔﺸﺎﻳﻲ‪ ،‬اﻣﻀﺎي دﻳﺠﻴﺘﺎﻟﻲ‪ ،‬و ﺗﺼﺪﻳﻖ ﻫﻮﻳﺖ را ﺑﺼﻮرت اﺗﻮﻣﺎﺗﻴﻚ‬ ‫اﻧﺠﺎم ﻣﻲدﻫﺪ‪ .‬ﺑﺎ اﺳﺘﻔﺎده از اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﻣﻲﺗﻮان ﻓﺎﻳﻞﻫﺎ و اﻳﻤﻴﻞﻫﺎ را ﺑﺪون ﻣﺪاﺧﻠﻪ ﻛﺎرﺑﺮ و ﺑﺼﻮرت اﻣﻦ ارﺳﺎل ﻛﺮد‪.‬‬ ‫‪227‬‬

‫‪ ،PGP‬ﺑﺴﺘﻪ ﻧﺮماﻓﺰاري اﺳﺖ ﻛﻪ ﺑﺮاي رﻣﺰﮔﺬاري ﭘﻴﺎمﻫﺎ‪ ،‬اﻣﻀﺎﻫﺎي دﻳﺠﻴﺘﺎﻟﻲ‪ ،‬ﻓﺸﺮده ﺳﺎزي دادهﻫﺎ‪ ،‬و ‪ ...‬ﺑﻜﺎر ﻣﻲرود‪.‬‬ ‫اﻳﻦ ﻧﺮماﻓﺰار در ﭘﻠﺖ ﻓﺮمﻫﺎي ﻣﺨﺘﻠﻒ ﻗﺎﺑﻞ اﺳﺘﻔﺎده اﺳﺖ‪.‬‬

‫ﺑﺮﺧﻲ دﻳﮕﺮ از اﺑﺰارﻫﺎ ﺑﺮاي رﻣﺰﻧﮕﺎري ﻋﺒﺎرﺗﻨﺪ از‪Encrypt ،Encrypt Easy ،Encrypt PDF ،Encryption Engine :‬‬ ‫‪ABC ،Omziff ،Alive File Encryption ،Advanced HTML Encrypt and Password Protect ،My Folder‬‬ ‫‪.Command Line Scriptor ،CrypTool ،SafeCryptor ،CryptoForge ،EncryptOnClick ،CHAOS‬‬

‫اﺑﺰارﻫﺎي ﻫﻚ‬ ‫‪ ،PGP Crack‬ﺑﺮﻧﺎﻣﻪاي ﺑﺮاي اﻧﺠﺎم ‪ brute force‬ﺑﺮاي ﻓﺎﻳﻞﻫﺎي رﻣﺰ ﺷﺪه ﺑﺎ ‪ PGP‬اﺳﺖ‪.‬‬ ‫‪ ،Magic Lantern‬ﻧﺮماﻓﺰاري ﺑﺮاي ﺷﻜﺴﺘﻦ ﻛﻠﻴﺪ ﺑﺮﻧﺎﻣﻪﻫﺎﻳﻲ اﺳﺖ ﻛﻪ از اﻟﮕﻮرﻳﺘﻢﻫﺎي ﻗﻮي اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ .‬اﻳﻦ‬ ‫ﺑﺮﻧﺎﻣﻪ‪ ،‬وﻳﺮوﺳﻲ را وارد ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﻪ ﻋﻨﻮان ‪ keylogger‬ﻋﻤﻞ ﻣﻲﻛﻨﺪ و ﻛﻠﻴﺪﻫﺎي ﻓﺸﺮده ﺷﺪه ﺗﻮﺳﻂ ﻛﺎرﺑﺮ را‬ ‫ﺛﺒﺖ ﻣﻲﻛﻨﺪ‪.‬‬

‫‪228‬‬

‫ﻓﺼﻞ ﭘﺎﻧﺰدﻫﻢ‬

‫روشﻫﺎي ﺗﺴﺖ ﻧﻔﻮذ‬

‫ﻣﻘﺪﻣﻪ‬ ‫ﺗﺴﺖ ﻧﻔﻮذ‪ ،‬ﺣﻤﻠﻪ ﻫﻜﺮ ﺑﺮاي ﮔﺮﻓﺘﻦ دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ ﻳﺎ ﺳﻴﺴﺘﻢﻫﺎي ﻳﻚ ﺳﺎزﻣﺎن را ﺷﺒﻴﻪ ﺳﺎزي ﻣﻲﻛﻨﺪ‪ .‬ﻫﺪف‬ ‫از ﺗﺴﺖ ﻧﻔﻮذ‪ ،‬ﺑﺮرﺳﻲ ﭘﻴﺎدهﺳﺎزي و ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﻳﻚ ﺳﺎزﻣﺎن اﺳﺖ‪ :‬اﺳﺎﺳﺎ ﺑﺮاي ﻣﺸﺎﻫﺪه اﻳﻨﻜﻪ آﻳﺎ ﺳﺎزﻣﺎن‪ ،‬ﻣﻌﻴﺎرﻫﺎي‬ ‫اﻣﻨﻴﺘﻲ ﻛﻪ در ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﻣﺸﺨﺺ ﻛﺮده اﺳﺖ را ﺑﻪ درﺳﺘﻲ ﭘﻴﺎدهﺳﺎزي ﻛﺮده ﻳﺎ ﻧﻪ‪.‬‬ ‫ﻫﻜﺮي ﻛﻪ ﻗﺼﺪ دارد ﺑﻪ ﺷﺒﻜﻪ ﻳﻚ ﺳﺎزﻣﺎن دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ‪ ،‬ﺑﺎ ﺷﺨﺼﻲ ﻛﻪ ﻋﻤﻞ ﺗﺴﺖ ﻧﻔﻮذ )‪ (Pen tester‬را‬ ‫اﻧﺠﺎم ﻣﻲدﻫﺪ و از داﻧﺶ ﺧﻮد ﺟﻬﺖ اﻓﺰاﻳﺶ اﻣﻨﻴﺖ ﺷﺒﻜﻪ ﺳﺎزﻣﺎن ﺑﺪون اﻳﺠﺎد ﺧﻄﺮ اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪ ،‬ﻣﺘﻔﺎوت اﺳﺖ‪.‬‬

‫ارزﻳﺎﺑﻲﻫﺎي اﻣﻨﻴﺘﻲ‬ ‫‪ ،Pen tester‬وﺿﻌﻴﺖ اﻣﻨﻴﺘﻲ ﺳﺎزﻣﺎن را ﻣﻮرد ارزﻳﺎﺑﻲ ﻗﺮار ﻣﻲدﻫﺪ ﺗﺎ ﻧﺘﺎﻳﺞ ﺣﻤﻠﻪ واﻗﻌﻲ ﻳﻚ ﻫﻜﺮ را آﺷﻜﺎر ﻛﻨﺪ‪.‬‬ ‫ارزﻳﺎﺑﻲﻫﺎي اﻣﻨﻴﺘﻲ‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ ﻋﻨﻮان ﺑﺮرﺳﻲﻫﺎي اﻣﻨﻴﺘﻲ‪ ،‬ارزﻳﺎﺑﻲ آﺳﻴﺐ ﭘﺬﻳﺮي‪ ،‬ﻳﺎ ﺗﺴﺖ ﻧﻔﻮذ دﺳﺘﻪ ﺑﻨﺪي ﺷﻮﻧﺪ‪ .‬ﻫﺮ‬ ‫ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ‪ ،‬ﻣﺴﺘﻠﺰم اﻳﻦ اﺳﺖ ﻛﻪ اﻓﺮادي ﻛﻪ ارزﻳﺎﺑﻲ را اﻧﺠﺎم ﻣﻲدﻫﻨﺪ‪ ،‬ﻣﻬﺎرتﻫﺎي ﻣﺨﺘﻠﻔﻲ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬ ‫ﺑﺎزرﺳﻲ اﻣﻨﻴﺘﻲ و ارزﻳﺎﺑﻲ آﺳﻴﺐ ﭘﺬﻳﺮي‪ ،‬ﺷﺒﻜﻪﻫﺎي ‪ IP‬و ﺳﻴﺴﺘﻢﻫﺎ را ﺟﻬﺖ ﻳﺎﻓﺘﻦ ﻣﺸﻜﻼت اﻣﻨﻴﺘﻲ ﺷﻨﺎﺧﺘﻪ‬ ‫ﺷﺪه اﺳﻜﻦ ﻣﻲﻛﻨﻨﺪ‪ .‬آﻧﻬﺎ اﻳﻦ ﻛﺎر را ﺑﺎ اﺑﺰارﻫﺎﻳﻲ ﻛﻪ ﺑﺮاي ﺷﻨﺎﺳﺎﻳﻲ ﺳﻴﺴﺘﻢﻫﺎي ﻓﻌﺎل‪ ،‬ﻛﺎرﺑﺮان‪ ،‬و ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎ و‬ ‫ﺑﺮﻧﺎﻣﻪﻫﺎ ﻫﺴﺘﻨﺪ اﻧﺠﺎم ﻣﻲدﻫﻨﺪ‪.‬‬ ‫ارزﻳﺎﺑﻲ آﺳﻴﺐ ﭘﺬﻳﺮي ﻳﺎ اﻣﻨﻴﺘﻲ‪ ،‬ﺗﻨﻬﺎ آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺑﺎﻟﻘﻮه را ﺷﻨﺎﺳﺎﻳﻲ ﻣﻲﻛﻨﻨﺪ در ﺣﺎﻟﻴﻜﻪ ﺗﺴﺖ ﻧﻔﻮذ در‬ ‫واﻗﻊ ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ اﺳﺖ‪ .‬ﻣﺜﺎﻟﻲ از ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ‪ ،‬ﺑﺮرﺳﻲ درب ورودي اﺳﺖ ﻛﻪ اﮔﺮ ﺑﺎز ﺑﺎﺷﺪ آﻳﺎ ﻛﺴﻲ‬ ‫ﻣﻲﺗﻮاﻧﺪ دﺳﺘﺮﺳﻲ ﻏﻴﺮ ﻣﺠﺎز ﭘﻴﺪا ﻛﻨﺪ ﻳﺎ ﻧﻪ‪ .‬در ﺗﺴﺖ ﻧﻔﻮذ‪ ،‬ﺗﻼش ﻣﻲﺷﻮد ﺗﺎ درب ﺑﺎز ﺷﻮد ﺗﺎ ﻧﺘﺎﻳﺞ آن روﻳﺖ ﺷﻮد‪.‬‬ ‫ﺗﺴﺖ ﻧﻔﻮذ‪ ،‬ﺷﺎﺧﺺ ﺧﻮﺑﻲ از ﺿﻌﻒﻫﺎي ﺷﺒﻜﻪ ﻳﺎ ﺳﻴﺴﺘﻢﻫﺎ اﺳﺖ اﻣﺎ ﺑﺴﻴﺎر ﺗﻬﺎﺟﻤﻲ اﺳﺖ و ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬اﺣﺘﻤﺎل ﺗﺨﺮﻳﺐ‬ ‫ﺳﺮوﻳﺲﻫﺎي ﺷﺒﻜﻪ وﺟﻮد دارد‪.‬‬ ‫‪230‬‬

‫روشﻫﺎي ﺗﺴﺖ ﻧﻔﻮذ‬ ‫دو ﻧﻮع ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ وﺟﻮد دارد‪ :‬ارزﻳﺎﺑﻲ ﺧﺎرﺟﻲ و داﺧﻠﻲ‪ .‬ارزﻳﺎﺑﻲ ﺧﺎرﺟﻲ‪ ،‬اﻃﻼﻋﺎت ﻋﻤﻮﻣﻲ ﻗﺎﺑﻞ دﺳﺘﺮس را‬ ‫ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ‪ ،‬اﺳﻜﻦ ﺷﺒﻜﻪ را اﻧﺠﺎم ﻣﻲدﻫﺪ و اﻛﺴﭙﻠﻮﻳﺖﻫﺎ را از ﻣﺤﻴﻂ ﺧﺎرج از ﺷﺒﻜﻪ‪ ،‬و ﻣﻌﻤﻮﻻ از ﻃﺮﻳﻖ اﻳﻨﺘﺮﻧﺖ‬ ‫اﺟﺮا ﻣﻲﻛﻨﺪ‪ .‬ارزﻳﺎﺑﻲ داﺧﻠﻲ‪ ،‬از داﺧﻞ ﺷﺒﻜﻪ ﺳﺎزﻣﺎن اﺗﻔﺎق ﻣﻲاﻓﺘﺪ اﻣﺎ ﺗﺴﺖ ﻛﻨﻨﺪه ﺑﻪ ﻋﻨﻮان ﻛﺎرﻣﻨﺪ ﻛﻪ ﻣﻘﺪار ﻛﻤﻲ ﺑﻪ‬ ‫ﺷﺒﻜﻪ دﺳﺘﺮﺳﻲ دارد‪ ،‬ﻳﺎ ﻫﻜﺮ ﻛﻼه ﺳﻴﺎﻫﻲ ﻛﻪ ﻫﻴﭻ داﻧﺸﻲ از ﻣﺤﻴﻂ ﻧﺪارد‪ ،‬ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﻣﻌﻤﻮﻻ ﺗﺴﺖ ﻧﻔﻮذ ﺟﻌﺒﻪ ﺳﻴﺎه‪ ،‬رﻳﺴﻚ ﺑﺎﻻﻳﻲ دارﻧﺪ‪ .‬ﺗﻴﻢ‪ ،‬ﺑﺎﻳﺪ ﺑﺮﻧﺎﻣﻪ ﻫﻤﺎﻫﻨﮕﻲ را ﺑﺮاي اﺳﺘﻔﺎده ﺑﻬﻴﻨﻪ از ﻣﻨﺎﺑﻊ و‬ ‫زﻣﺎن ﻃﺮاﺣﻲ ﻛﻨﻨﺪ‪.‬‬ ‫اﮔﺮ ﺷﻤﺎ داﻧﺶ و ﺗﺠﺮﺑﻪ ﻛﺎﻓﻲ ﺑﺮاي اﻧﺠﺎم ﺗﺴﺖ ﻧﻔﻮذ ﻧﺪارﻳﺪ‪ ،‬ﻣﻲﺗﻮاﻧﻴﺪ آن را ‪ outsource‬ﻛﻨﻴﺪ‪ .‬ﺳﺎزﻣﺎﻧﻲ ﻛﻪ‬ ‫ﺷﺮاﻳﻂ ارزﻳﺎﺑﻲ را ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ ﺑﺎﻳﺪ ﻣﺤﺪوده ارزﻳﺎﺑﻲ را ﻣﺸﺨﺺ ﻛﻨﺪ‪ .‬ﻳﻌﻨﻲ ﭼﻴﺰﻫﺎﻳﻲ ﻛﻪ ﺑﺎﻳﺪ و ﻧﺒﺎﻳﺪ ﺗﺴﺖ ﺷﻮﻧﺪ را‬ ‫ﺑﺎﻳﺪ ﻣﺸﺨﺺ ﻛﻨﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‪ ،‬ﻣﻤﻜﻦ اﺳﺖ ﻣﻘﺮر ﺷﻮد ﻛﻪ ﺗﻨﻬﺎ ‪ 10‬ﺳﻴﺴﺘﻢ از ‪ DMZ‬ﻣﻮرد ارزﻳﺎﺑﻲ ﻗﺮار ﮔﻴﺮد‪ .‬در‬ ‫ﻣﺤﺪوده ﻛﺎري‪ ،‬ﺑﺎﻳﺪ ‪ SLA‬ﺗﻌﺮﻳﻒ ﺷﻮد ﺗﺎ ﻋﻤﻠﻴﺎﺗﻲ ﻛﻪ در زﻣﺎن ﻣﺨﺘﻞ ﺷﺪن ﺳﺮوﻳﺲ ﺑﺎﻳﺪ اﻧﺠﺎم ﺷﻮﻧﺪ‪ ،‬ﺗﻌﻴﻴﻦ ﺷﻮﻧﺪ‪.‬‬

‫ارزﻳﺎﺑﻲ اﻣﻨﻴﺘﻲ ﻳﺎ ﺗﺴﺖ ﻧﻔﻮذ‪ ،‬ﻣﻲﺗﻮاﻧﺪ ﺑﺼﻮرت دﺳﺘﻲ و ﺑﺎ اﺑﺰارﻫﺎي راﻳﮕﺎن ﻣﺨﺘﻠﻒ اﻧﺠﺎم ﺷﻮد‪ .‬دﻳﺪﮔﺎه دﻳﮕﺮ اﻳﻦ‬ ‫اﺳﺖ ﻛﻪ از اﺑﺰارﻫﺎي ﮔﺮان ﻗﻴﻤﺖ اﺗﻮﻣﺎﺗﻴﻚ اﺳﺘﻔﺎده ﺷﻮد‪ .‬ﮔﺎﻫﻲ اوﻗﺎت‪ ،‬ارزﻳﺎﺑﻲ وﺿﻌﻴﺖ اﻣﻨﻴﺘﻲ ﺑﺎ اﺳﺘﻔﺎده از ﺗﺴﺖ‬ ‫دﺳﺘﻲ‪ ،‬ﻧﺴﺒﺖ ﺑﻪ اﺳﺘﻔﺎده از اﺑﺰارﻫﺎي اﺗﻮﻣﺎﺗﻴﻚ‪ ،‬ﮔﺰﻳﻨﻪ ﺑﻬﺘﺮي اﺳﺖ‪ .‬دﻳﺪﮔﺎه اﺗﻮﻣﺎﺗﻴﻚ‪ ،‬ﺳﺮﻳﻌﺘﺮ و راﺣﺖﺗﺮ اﺳﺖ اﻣﺎ‬ ‫ﻣﻤﻜﻦ اﺳﺖ ﺑﺮﺧﻲ از ﺑﺎزرﺳﻲﻫﺎ اﻧﺠﺎم ﻧﺸﻮﻧﺪ در ﺣﺎﻟﻴﻜﻪ‪ ،‬در روش دﺳﺘﻲ‪ ،‬ﻧﻴﺎز ﺑﻪ ﺑﺮﻧﺎﻣﻪرﻳﺰي‪ ،‬زﻣﺎﻧﺒﻨﺪي‪ ،‬و ﻣﺴﺘﻨﺪ‬ ‫ﺳﺎزي ﺑﺎ ﺻﺒﺮ و ﺣﻮﺻﻠﻪ دارد‪.‬‬

‫ﻣﺮاﺣﻞ ﺗﺴﺖ ﻧﻔﻮذ‬ ‫ﺗﺴﺖ ﻧﻔﻮذ ﺷﺎﻣﻞ ﺳﻪ ﻣﺮﺣﻠﻪ اﺳﺖ‪:‬‬ ‫•‬

‫ﻣﺮﺣﻠﻪ ﭘﻴﺶ از ﺣﻤﻠﻪ )‪(pre-attack‬‬

‫•‬

‫ﻣﺮﺣﻠﻪ ﺣﻤﻠﻪ )‪(attack‬‬

‫•‬

‫ﻣﺮﺣﻠﻪ ﭘﺲ از ﺣﻤﻠﻪ )‪(post-attack‬‬ ‫‪231‬‬

‫ﻣﺮﺣﻠﻪ ﭘﻴﺶ از ﺣﻤﻠﻪ‪ ،‬ﺷﺎﻣﻞ ﺷﻨﺎﺳﺎﻳﻲ ﻳﺎ ﺟﻤﻊآوري داده اﺳﺖ‪ .‬اﻳﻦ اوﻟﻴﻦ ﻣﺮﺣﻠﻪ ﺑﺮاي ﺗﺴﺖ ﻧﻔﻮذ اﺳﺖ‪.‬‬ ‫ﺟﻤﻊآوري دادهﻫﺎ از ﻃﺮﻳﻖ ‪ ،DNS ،Whois‬و اﺳﻜﻦ ﺷﺒﻜﻪ ﻣﻲﺗﻮاﻧﺪ ﺑﻪ ﺷﻤﺎ در ﻳﺎﻓﺘﻦ ﻫﺪﻓﻲ ﻛﻪ داراي اﻃﻼﻋﺎت ﺑﺎ‬ ‫ارزﺷﻲ اﺳﺖ ﻛﻤﻚ ﻛﻨﺪ )ﺑﺪون در ﻧﻈﺮ ﮔﺮﻓﺘﻦ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و ﺑﺮﻧﺎﻣﻪﻫﺎي در ﺣﺎل اﺟﺮا ﺑﺮ روي ﺳﻴﺴﺘﻢ(‪ .‬ﺗﺴﺖ ﻧﻔﻮذ‬ ‫ﺷﺎﻣﻞ اﺳﺘﻔﺎده از ﻧﺎم داﻣﻨﻪ ﻳﺎ ‪ IP‬در ‪ Whois‬ﺑﺮاي ﭘﻴﺪا ﻛﺮدن اﻃﻼﻋﺎت ﺗﻤﺎس اﺷﺨﺎص‪ ،‬و اﻃﻼﻋﺎت ﺳﻴﺴﺘﻢﻫﺎ اﺳﺖ ﻛﻪ‬ ‫ﺑﻌﺪا ﻣﻲﺗﻮاﻧﺪ ﺑﺮاي اﻳﺠﺎد دﻳﺎﮔﺮام ﺟﺰﺋﻲ از ﺷﺒﻜﻪ و ﺷﻨﺎﺳﺎﻳﻲ ﻫﺪف ﻛﻤﻚ ﻛﻨﺪ‪ .‬ﺷﻤﺎ ﺑﺎﻳﺪ دﺳﺘﮕﺎهﻫﺎي ﻓﻴﻠﺘﺮﻳﻨﮓ ﺷﺒﻜﻪ را‬ ‫ﺗﺴﺖ ﻛﻨﻴﺪ ﺗﺎ ﺗﺮاﻓﻴﻚ ﻗﺎﻧﻮﻧﻲ‪ ،‬ﭘﺮوﻛﺴﻲ ﺳﺮورﻫﺎ‪ ،‬و ‪ ...‬را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﻴﺪ و ﻧﺼﺐ ﭘﻴﺶ ﻓﺮض ﻓﺎﻳﺮوالﻫﺎ را ﺑﺮرﺳﻲ ﻛﻨﻴﺪ ﺗﺎ‬ ‫ﻣﻄﻤﺌﻦ ﺷﻮﻳﺪ ﻛﻪ ﻧﺎمﻫﺎي ﻛﺎرﺑﺮي و ﭘﺴﻮردﻫﺎي ﭘﻴﺶ ﻓﺮض‪ ،‬ﻏﻴﺮ ﻓﻌﺎل ﺷﺪهاﻧﺪ ﻳﺎ ﺗﻐﻴﻴﺮ ﻛﺮدهاﻧﺪ و ﻧﻴﺰ اﺟﺎزه دﺳﺘﺮﺳﻲ از‬ ‫راه دور وﺟﻮد ﻧﺪارد‪ .‬ﭘﺲ اﻃﻼﻋﺎﺗﻲ ﻛﻪ در اﻳﻦ ﻣﺮﺣﻠﻪ ﺑﺪﺳﺖ ﻣﻲآﻳﻨﺪ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬

‫ﻣﻜﺎن ﻓﻴﺰﻳﻜﻲ و ﻣﻨﻄﻘﻲ ﺳﺎزﻣﺎن‬

‫•‬

‫ارﺗﺒﺎﻃﺎت آﻧﺎﻟﻮگ‬

‫•‬

‫اﻃﻼﻋﺎت ﺗﻤﺎسﻫﺎ‬

‫•‬

‫اﻃﻼﻋﺎت درﺑﺎره ﺳﺎزﻣﺎنﻫﺎي دﻳﮕﺮ‬

‫•‬

‫اﻃﻼﻋﺎت دﻳﮕﺮي ﻛﻪ ﺑﺮاي ﻫﻚ ﻣﻔﻴﺪ ﻫﺴﺘﻨﺪ‬ ‫ﻣﺮﺣﻠﻪ ﺑﻌﺪي‪ ،‬ﺣﻤﻠﻪ اﺳﺖ‪ .‬در اﻳﻦ ﻣﺮﺣﻠﻪ‪ ،‬اﺑﺰارﻫﺎ ﻣﻤﻜﻦ اﺳﺖ ﺗﺨﺮﻳﺒﻲ )‪ (exploitive‬ﻳﺎ واﻛﻨﺸﻲ )‪(responsive‬‬

‫ﺑﺎﺷﻨﺪ‪ .‬اﻳﻦ اﺑﺰارﻫﺎ ﺗﻮﺳﻂ ﻫﻜﺮﻫﺎي ﺣﺮﻓﻪاي ﺑﺮاي ﻣﺎﻧﻴﺘﻮر و ﺗﺴﺖ ﻛﺮدن اﻣﻨﻴﺖ ﺳﻴﺴﺘﻢﻫﺎ و ﺷﺒﻜﻪ اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫ﻓﻌﺎﻟﻴﺖﻫﺎي زﻳﺮ ﺟﺰ ﻣﺮاﺣﻞ ﺣﻤﻠﻪ ﻫﺴﺘﻨﺪ وﻟﻲ ﻓﻘﻂ ﺑﻪ اﻳﻦ ﻣﻮارد ﻣﺤﺪود ﻧﻤﻲﺷﻮد‪:‬‬

‫ﻧﻔﻮذ ﺑﻪ ﻣﺤﻴﻂ )‪ :(perimeter‬ﺷﺎﻣﻞ ﺑﺮرﺳﻲ ﮔﺰارﺷﺎت ﺧﻄﺎ‪ ،‬ﻛﻨﺘﺮلﻫﺎي دﺳﺘﺮﺳﻲ )‪ (ACL‬و ﻓﻴﻠﺘﺮﻳﻨﮓ ﭘﺮوﺗﻜﻞﻫﺎ ﺑﺎ‬ ‫اﺳﺘﻔﺎده از ﺑﺮﺧﻲ ﭘﺮوﺗﻜﻞﻫﺎ از ﻗﺒﻴﻞ ‪ ،FTP ،SSH‬و ‪ Telnet‬اﺳﺖ‪ .‬ﻫﻤﭽﻨﻴﻦ ﺗﺴﺖ ﻛﻨﻨﺪه ﺑﺎﻳﺪ ﺣﻤﻼت ‪buffer‬‬ ‫‪232‬‬

‫‪ DoS ،SQL injection ،overflow‬و ‪ ...‬را ﻧﻴﺰ ﺗﺴﺖ ﻛﻨﺪ‪ .‬ﻋﻼوه ﺑﺮ اﻳﻦ‪ ،‬ﺑﺮاي ﺗﺴﺖ ﻧﺮماﻓﺰار‪ ،‬ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﺮاي ﺗﺴﺖ وب‬ ‫اﭘﻠﻴﻜﺸﻦﻫﺎي داﺧﻠﻲ‪ ،‬و ﭘﻴﻜﺮﺑﻨﺪيﻫﺎي واﻳﺮﻟﺲ‪ ،‬زﻣﺎن ﺻﺮف ﻛﻨﻴﺪ ﺑﺮاي اﻳﻨﻜﻪ‪ ،‬اﻣﺮوزه‪ ،‬ﺗﻬﺪﻳﺪ داﺧﻠﻲ ﺑﺰرﮔﺘﺮﻳﻦ ﺗﻬﺪﻳﺪ‬ ‫اﻣﻨﻴﺘﻲ اﺳﺖ‪.‬‬ ‫ﺗﺴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎي ﺗﺤﺖ وب‪ :‬ﺑﺮﺧﻲ از ﺗﺴﺖﻫﺎﻳﻲ ﻛﻪ ﺑﺮاي اﻳﻦ ﻣﻨﻈﻮر اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ ﻋﺒﺎرﺗﻨﺪ از‪:‬‬ ‫•‬

‫‪ :Input Validation‬ﺷﺎﻣﻞ ‪LDAP ،SQL injection ،script injection ،OS command injection‬‬ ‫‪ ،injection‬و ‪.cross site scripting‬‬

‫•‬

‫‪ :Output Sanitization‬ﺷﺎﻣﻞ وارد ﻛﺮدن ﻛﺎراﻛﺘﺮﻫﺎي ﻣﺨﺼﻮص و ﺑﺮرﺳﻲ ﺧﻄﺎﻫﺎﻳﻲ ﻛﻪ ﺑﺮﻧﺎﻣﻪ ﻣﻲدﻫﺪ‪.‬‬

‫•‬

‫‪ :Access Control‬دﺳﺘﺮﺳﻲ ﺑﻪ اﻳﻨﺘﺮﻓﻴﺲﻫﺎي ﻣﺪﻳﺮﻳﺘﻲ را ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ و دادهﻫﺎ را ﺑﻪ ﻓﻴﻠﺪﻫﺎي ﻓﺮمﻫﺎ‬ ‫ارﺳﺎل ﻣﻲﻛﻨﺪ‪ ،‬اﺳﻜﺮﻳﭙﺖﻫﺎي ﺳﻤﺖ ﻛﻼﻳﻨﺖ را ﺗﻐﻴﻴﺮ ﻣﻲدﻫﺪ و ‪...‬‬

‫•‬

‫‪ :Checking for Buffer Overflow‬ﺷﺎﻣﻞ ﺗﺴﺖﻫﺎي ‪ ،heap overflow ،stack overflow‬و ‪format‬‬ ‫‪ string overflow‬اﺳﺖ‪.‬‬

‫•‬

‫‪ :Denial of Service‬ﺗﺴﺖ ﺣﻤﻼت ‪ DoS‬ﺑﺎ روﺷﻬﺎﻳﻲ از ﻗﺒﻴﻞ ورودي ﻧﺎﻗﺺ‪ ،‬ﻗﻔﻞ ﺑﺮﻧﺎﻣﻪ ﺑﻪ ﺧﺎﻃﺮ ﺑﺎر‬ ‫ﺗﺮاﻓﻴﻜﻲ زﻳﺎد‪ ،‬درﺧﻮاﺳﺖﻫﺎي ﺗﺮاﻛﻨﺶ‪ ،‬ﻳﺎ درﺧﻮاﺳﺖﻫﺎي زﻳﺎد ﺑﻪ ﺑﺮﻧﺎﻣﻪ اﻧﺠﺎم ﻣﻲﺷﻮد‪.‬‬

‫•‬

‫‪ :Compnent Checking‬ﻛﻨﺘﺮلﻫﺎي اﻣﻨﻴﺘﻲ روي ﻣﻮﻟﻔﻪﻫﺎي وب ﺳﺮورﻫﺎ‪ ،‬را ﺗﺴﺖ ﻣﻲﻛﻨﺪ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ‬ ‫آﺳﻴﺐ ﭘﺬﻳﺮ ﺑﻮدن ﺑﺮﻧﺎﻣﻪ ﺗﺤﺖ وب را ﻧﺸﺎن دﻫﺪ‪.‬‬

‫•‬

‫‪ :Confidentiality Check‬ﺑﺮاي ﺑﺮﻧﺎﻣﻪﻫﺎﻳﻲ ﻛﻪ از ﭘﺮوﺗﻜﻞﻫﺎ و رﻣﺰﮔﺬاري اﻣﻦ اﺳﺘﻔﺎده ﻣﻲﻛﻨﻨﺪ‪ ،‬اﺷﺘﺒﺎﻫﺎﺗﻲ‬ ‫ﻛﻪ در اﺳﺘﻔﺎده از اﻟﮕﻮرﻳﺘﻢ ﺿﻌﻴﻒ ﻳﺎ ﻣﻜﺎﻧﻴﺰم ﻣﺒﺎدﻟﻪ‪ ،‬ﺻﻮرت ﻣﻲﮔﻴﺮد را ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ‪.‬‬

‫•‬

‫‪ :Session Management‬ﺷﺎﻣﻞ ﺑﺮرﺳﻲ ﺻﺤﺖ ﺗﻮﻛﻦﻫﺎي ﻧﺸﺴﺖ‪ ،‬ﻃﻮل ﺗﻮﻛﻦﻫﺎ‪ ،‬و اﻧﻘﻀﺎي ﺗﻮﻛﻦﻫﺎي‬ ‫ﻧﺸﺴﺖ در اﻧﺘﻘﺎل از ﻣﻨﺎﺑﻊ ‪ SSL‬ﺑﻪ ﻏﻴﺮ ‪ ،SSL‬و وﺟﻮد ﺗﻮﻛﻦﻫﺎي ﻧﺸﺴﺖ در ‪ history‬ﻳﺎ ‪ cashe‬ﻣﺮورﮔﺮ اﺳﺖ‪.‬‬

‫ﺑﺪﺳﺖ آوردن ﻫﺪف‪ :‬اﻳﻦ ﻣﺠﻤﻮﻋﻪ از ﻓﻌﺎﻟﻴﺖﻫﺎ‪ ،‬ﺑﺴﻴﺎر ﺗﻬﺎﺟﻤﻲﺗﺮ از اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي ﻫﺴﺘﻨﺪ‪ .‬ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ از‬ ‫ﻳﻚ اﺑﺰار اﺗﻮﻣﺎﺗﻴﻚ اﻛﺴﭙﻠﻮﻳﺖ ﻣﺜﻞ ‪ ،CORE IMPACT‬ﻳﺎ از ﻃﺮﻳﻖ اﻃﻼﻋﺎﺗﻲ ﻛﻪ ار ﻃﺮﻳﻖ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﺑﺪﺳﺖ‬ ‫ﻣﻲآورﻳﺪ اﺳﺘﻔﺎده ﻛﻨﻴﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﺑﺎﻳﺪ اﻟﺰام ﺑﻪ اﺟﺮاي ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ‪ ،‬ﺷﻜﺴﺘﻦ ﭘﺴﻮرد ﺑﻪ روش ‪ ،brute-force‬ﻳﺎ‬ ‫اﺑﺰارﻫﺎي ﮔﺮﻓﺘﻦ دﺳﺘﺮﺳﻲ را ﺗﺴﺖ ﻛﻨﻴﺪ‪.‬‬ ‫اﻓﺰاﻳﺶ دﺳﺘﺮﺳﻲ‪ :‬زﻣﺎﻧﻴﻜﻪ اﻛﺎﻧﺖ ﻛﺎرﺑﺮ درﺧﻮاﺳﺖ ﻣﻲﺷﻮد‪ ،‬ﺗﺴﺖ ﻛﻨﻨﺪه ﻣﻲﺗﻮاﻧﺪ ﺳﻌﻲ ﻛﻨﺪ ﻛﻪ دﺳﺘﺮﺳﻲ ﺑﻴﺸﺘﺮي ﺑﻪ‬ ‫ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ را ﺑﻪ آن دﻫﺪ‪ .‬ﺑﺴﻴﺎري از اﺑﺰارﻫﺎي ﻫﻚ‪ ،‬ﻣﻲﺗﻮاﻧﻨﺪ از آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﺳﻴﺴﺘﻢ ﺑﺮاي اﻛﺴﭙﻠﻮﻳﺖ ﻛﺮدن‬ ‫و اﻳﺠﺎد ﺣﺴﺎب ﻛﺎرﺑﺮي ﺟﺪﻳﺪ ﺑﺎ دﺳﺘﺮﺳﻲ ‪ administrator‬اﺳﺘﻔﺎده ﻛﻨﻨﺪ‪.‬‬

‫‪233‬‬

‫اﺟﺮا‪ :‬آﺧﺮﻳﻦ ﻣﺮﺣﻠﻪ اﺳﺖ‪ .‬ﻣﻬﺎرت ﻫﻚ ﺷﻤﺎ ﺑﺎ اﻓﺰاﻳﺶ ﺳﻄﺢ دﺳﺘﺮﺳﻲ ﺑﺮ روي ﻳﻚ ﺳﻴﺴﺘﻢ ﻳﺎ ﺷﺒﻜﻪ ﺑﺎ در ﻧﻈﺮ ﮔﺮﻓﺘﻦ‬ ‫ﻋﺪم ﺗﻮﻗﻒ ﻓﺮآﻳﻨﺪﻫﺎي ﺗﺠﺎري‪ ،‬ﺑﻪ ﭼﺎﻟﺶ ﻛﺸﻴﺪه ﻣﻲﺷﻮد‪ .‬ﻧﺸﺎﻧﻪ ﮔﺬاري ﻛﺮدن )‪ ،(leaving a mark‬ﻧﺸﺎن ﻣﻲدﻫﺪ ﻛﻪ‬ ‫ﺷﻤﺎ ﻣﻲﺗﻮاﻧﺴﺘﻴﺪ دﺳﺘﺮﺳﻲ ﺑﻴﺸﺘﺮي ﺑﻪ ﻣﻨﺎﺑﻊ ﭘﻴﺪا ﻛﻨﻴﺪ‪ .‬ﺑﺴﻴﺎري از ﺷﺮﻛﺖﻫﺎ‪ ،‬ﻧﻤﻲﺧﻮاﻫﻨﺪ ﻛﻪ ﺷﻤﺎ اﻳﻨﻜﺎر را اﻧﺠﺎم‬ ‫دﻫﻴﺪ ﻳﺎ ﻛﺪﻫﺎي ﻣﻮرد دﻟﺨﻮاه ﺧﻮد را اﺟﺮا ﻛﻨﻴﺪ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ‪ ،‬اﻳﻦ ﻗﺒﻴﻞ ﻣﺤﺪودﻳﺖﻫﺎ وﺟﻮد دارﻧﺪ و ﭘﻴﺶ از اﻧﺠﺎم ﺗﺴﺖ‪،‬‬ ‫ﻋﻨﻮان ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫ﻣﺮﺣﻠﻪ ﭘﺲ از ﺣﻤﻠﻪ‪ ،‬ﺷﺎﻣﻞ ﺑﺎزﻳﺎﺑﻲ ﺳﻴﺴﺘﻢ ﺑﻪ ﭘﻴﻜﺮﺑﻨﺪيﻫﺎي ﭘﻴﺶ از ﺣﻤﻠﻪ اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﭘﺎك ﻛﺮدن ﻓﺎﻳﻞﻫﺎ‪،‬‬ ‫ﺣﺬف وروديﻫﺎي رﺟﻴﺴﺘﺮي‪ ،‬ﭘﺎك ﻛﺮدن ﺗﻤﺎم اﺑﺰارﻫﺎ و اﻛﺴﭙﻠﻮﻳﺖﻫﺎ از ﺳﻴﺴﺘﻢﻫﺎي ﺗﺴﺖ ﺷﺪه‪ ،‬و ﭘﺎك ﻛﺮدن ارﺗﺒﺎﻃﺎت‬ ‫اﺳﺖ‪.‬‬ ‫ﻧﻬﺎﻳﺘﺎ‪ ،‬ﺷﻤﺎ ﺗﻤﺎم ﻧﺘﺎﻳﺞ را ﺗﺤﻠﻴﻞ ﻣﻲﻛﻨﻴﺪ و آن را در ﻗﺎﻟﺐ ﮔﺰارﺷﻲ ﻛﺎﻣﻞ ﺑﻪ ﻣﺪﻳﺮﻳﺖ اراﺋﻪ ﻣﻲدﻫﻴﺪ‪ .‬اﻳﻦ ﮔﺰارش‬ ‫ﺷﺎﻣﻞ اﻫﺪاف ﺷﻤﺎ‪ ،‬ﻣﺸﺎﻫﺪات ﺷﻤﺎ‪ ،‬ﺗﻤﺎم ﻓﻌﺎﻟﻴﺖﻫﺎي ﺻﻮرت ﮔﺮﻓﺘﻪ‪ ،‬و ﻧﺘﺎﻳﺞ اﻳﻦ ﻓﻌﺎﻟﻴﺖﻫﺎ اﺳﺖ و ﻣﻤﻜﻦ اﺳﺖ ﺷﺎﻣﻞ‬ ‫روشﻫﺎﻳﻲ ﺑﺮاي ﺑﺮﻃﺮف ﻛﺮدن آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎ ﺑﺎﺷﺪ‪.‬‬

‫ﭼﺎرﭼﻮب ﻗﺎﻧﻮﻧﻲ ﺗﺴﺖ ﻧﻔﻮذ‬ ‫ﺷﺨﺼﻲ ﻛﻪ ﺗﺴﺖ ﻧﻔﻮذ را اﻧﺠﺎم ﻣﻲدﻫﺪ‪ ،‬ﺑﺎﻳﺪ از ﻣﺴﺎﺋﻞ ﻗﺎﻧﻮﻧﻲ ﻫﻚ ﻳﻚ ﺷﺒﻜﻪ آﮔﺎه ﺑﺎﺷﺪ ﺣﺘﻲ ﻫﻚ ﻗﺎﻧﻮﻧﻤﻨﺪ‪.‬‬ ‫ﻣﺴﺘﻨﺪاﺗﻲ ﻛﻪ ﻳﻚ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ ﺑﺎ ﻣﺸﺘﺮي ﺑﺮاي اﻧﺠﺎم ﺗﺴﺖ ﻧﻔﻮذ اﻣﻀﺎ ﻛﻨﺪ‪ ،‬ﺑﻪ ﺷﺮح زﻳﺮ ﻫﺴﺘﻨﺪ‪:‬‬ ‫•‬

‫ﻣﺤﺪوده ﻛﺎري‪ ،‬ﺑﺮاي ﺗﻌﻴﻴﻦ اﻳﻨﻜﻪ ﭼﻪ ﭼﻴﺰي ﺑﺎﻳﺪ ﺗﺴﺖ ﺷﻮد‬

‫•‬

‫ﺗﻮاﻓﻖ ﻧﺎﻣﻪ ﻋﺪم اﻓﺸﺎي اﻃﻼﻋﺎت )‪ ،(NDA‬در ﺷﺮاﻳﻄﻲ ﻛﻪ ﺗﺴﺖ ﻛﻨﻨﺪه‪ ،‬اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ را ﺑﺒﻴﻨﺪ‬

‫•‬

‫ﺗﻌﻬﺪ‪ ،‬ﺑﻪ اﻳﻨﻜﻪ ﻫﻜﺮ ﻗﺎﻧﻮﻧﻤﻨﺪ‪ ،‬از اﻧﺠﺎم ﻋﻤﻠﻴﺎت ﺧﺮاﺑﻜﺎراﻧﻪ ﺧﻮدداري ﺧﻮاﻫﺪ ﻛﺮد‬

‫اﺑﺰارﻫﺎي ﺧﻮدﻛﺎر ﺗﺴﺖ ﻧﻔﻮذ‬ ‫ﻧﺘﺎﻳﺞ ﺗﺤﻘﻴﻘﺎﺗﻲ ﻛﻪ در زﻣﻴﻨﻪ اﺑﺰارﻫﺎي ﺗﺴﺖ ﻧﻔﻮذ در ﺳﺎل ‪ 2006‬اﻧﺠﺎم ﺷﺪه اﺳﺖ‪ ،‬ده اﺑﺰار زﻳﺮ را ﺑﻪ ﻋﻨﻮان‬ ‫ﺑﻬﺘﺮﻳﻦ اﺑﺰارﻫﺎي ﺗﺴﺖ ﻧﻔﻮذ ﻣﻌﺮﻓﻲ ﻛﺮدهاﻧﺪ‪:‬‬ ‫‪ :Nessus‬اﻳﻦ ﻧﺮماﻓﺰار اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي ﺷﺒﻜﻪ اﺳﺖ ﻛﻪ ﺑﻴﺶ از ‪ 11000‬ﭘﻼﮔﻴﻦ دارد‪ .‬اﻳﻦ ﻧﺮماﻓﺰار‪ ،‬داراي‬ ‫ﺑﺮرﺳﻲﻫﺎي اﻣﻨﻴﺘﻲ ﻟﻮﻛﺎل و راه دور‪ ،‬ﻣﻌﻤﺎري ﻛﻼﻳﻨﺖ‪/‬ﺳﺮور ﺑﺎ راﺑﻂ ﮔﺮاﻓﻴﻜﻲ ‪ ،GTK‬و زﺑﺎن اﺳﻜﺮﻳﭙﺘﻲ ﺑﺮاي ﻧﻮﺷﺘﻦ‬ ‫ﭘﻼﮔﻴﻦﻫﺎي ﻣﻮرد دﻟﺨﻮاه اﺳﺖ‪.‬‬ ‫‪234‬‬

‫‪ :GFI LANguard‬اﻳﻦ ﻳﻚ اﺳﻜﻨﺮ ﺗﺠﺎري ﺑﺮاي اﻣﻨﻴﺖ ﺷﺒﻜﻪ ﺑﺮاي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﻳﻨﺪوز اﺳﺖ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار‪،‬‬ ‫ﺷﺒﻜﻪﻫﺎي ‪ IP‬را اﺳﻜﻦ ﻣﻲﻛﻨﺪ ﺗﺎ ﻣﺎﺷﻴﻦﻫﺎي در ﺣﺎل اﺟﺮا را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ‪ .‬اﻳﻦ ﻧﺮماﻓﺰار ﻣﻲﺗﻮاﻧﺪ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‬ ‫ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ‪ ،‬ﺑﺮﻧﺎﻣﻪﻫﺎي در ﺣﺎل اﺟﺮاي ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﺳﺮوﻳﺲ ﭘﻚ ﻧﺼﺐ ﺷﺪه ﺑﺮ روي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‪patch ،‬ﻫﺎي ﻧﺼﺐ‬ ‫ﻧﺸﺪه و ‪ ...‬را ﻛﺸﻒ ﻛﻨﺪ‪.‬‬ ‫‪ :Retina‬ﻳﻚ اﺳﻜﻨﺮ ﺗﺠﺎري آﺳﻴﺐ ﭘﺬﻳﺮي اﺳﺖ‪ .‬ﻫﻤﺎﻧﻨﺪ ‪ ،Nessus‬اﻳﻦ ﺑﺮﻧﺎﻣﻪ ﻧﻴﺰ ﺗﻤﺎم ﺳﻴﺴﺘﻢﻫﺎي ﻳﻚ ﺷﺒﻜﻪ را اﺳﻜﻦ‬ ‫ﻣﻲﻛﻨﺪ و ﺗﻤﺎم آﺳﻴﺐ ﭘﺬﻳﺮيﻫﺎي ﻛﺸﻒ ﺷﺪه را ﮔﺰارش ﻣﻲدﻫﺪ‪.‬‬ ‫‪ :CORE IMPACT‬ﻣﺤﺼﻮﻟﻲ ﺑﺮاي ﺧﻮدﻛﺎرﺳﺎزي ﻓﺮآﻳﻨﺪ ﺗﺴﺖ ﻧﻔﻮذ اﺳﺖ ﻛﻪ ﺑﻪ ﻋﻨﻮان ﻗﺪرﺗﻤﻨﺪﺗﺮﻳﻦ اﺑﺰار اﻛﺴﭙﻠﻮﻳﺖ‬ ‫ﻣﻄﺮح ﻣﻲﺷﻮد )اﻳﻦ ﻣﺤﺼﻮل ﺑﺴﻴﺎر ﮔﺮان اﺳﺖ(‪ .‬اﻳﻦ ﻣﺤﺼﻮل داراي ﭘﺎﻳﮕﺎه داده ﺑﺴﻴﺎر ﺑﺰرگ و آﭘﺪﻳﺖ اﺳﺖ ﻛﻪ‬ ‫اﻛﺴﭙﻠﻮﻳﺖﻫﺎي ﺣﺮﻓﻪاي را داراﺳﺖ‪.‬‬ ‫‪ :ISS Internet Scanner‬ﻳﻚ اﺑﺰار ارزﻳﺎﺑﻲ آﺳﻴﺐ ﭘﺬﻳﺮي در ﺳﻄﺢ اﭘﻠﻴﻜﺸﻦ اﺳﺖ‪ .‬اﺳﻜﻨﺮ اﻳﻨﺘﺮﻧﺖ ﻣﻲﺗﻮاﻧﺪ ﺑﻴﺶ از‬ ‫‪ 1300‬ﻧﻮع دﺳﺘﮕﺎه ﺷﺒﻜﻪ از ﻗﺒﻴﻞ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎي روﻣﻴﺰي‪ ،‬ﺳﺮورﻫﺎ‪ ،‬روﺗﺮﻫﺎ‪ ،‬ﺳﻮﺋﻴﭻﻫﺎ‪ ،‬ﻓﺎﻳﺮوالﻫﺎ‪ ،‬دﺳﺘﮕﺎهﻫﺎي اﻣﻨﻴﺘﻲ‪ ،‬و‬ ‫‪ ...‬را ﺷﻨﺎﺳﺎﻳﻲ ﻛﻨﺪ‪.‬‬ ‫‪ :X-Scan‬ﻳﻚ اﺳﻜﻨﺮ ﺷﺒﻜﻪ اﺳﺖ ﻛﻪ ﺑﺼﻮرت ﭼﻨﺪ ﻧﺨﻲ ﻋﻤﻠﻴﺎت اﺳﻜﻦ آﺳﻴﺐ ﭘﺬﻳﺮي را اﻧﺠﺎم ﻣﻲدﻫﺪ‪ .‬اﻳﻦ اﺑﺰار‬ ‫ﻣﻲﺗﻮاﻧﺪ ﻧﻮع ﺳﺮوﻳﺲﻫﺎ‪ ،‬ﻧﻮع ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎي راه دور و ﻧﺴﺨﻪ آﻧﻬﺎ‪ ،‬و ‪ username‬و ﭘﺴﻮردﻫﺎي ﺿﻌﻴﻒ را ﻛﺸﻒ ﻛﻨﺪ‪.‬‬ ‫‪ :SARA‬اﺑﺰار ارزﻳﺎﺑﻲ آﺳﻴﺐ ﭘﺬﻳﺮي اﺳﺖ ﻛﻪ از اﺳﻜﻨﺮ ‪ SATAN‬ﻣﺸﺘﻖ ﺷﺪه اﺳﺖ‪ .‬آﭘﺪﻳﺖﻫﺎي آن دو ﺑﺎر در ﻣﺎه‬ ‫ﻣﻨﺘﺸﺮ ﻣﻲﺷﻮد‪.‬‬

‫‪ :QualysGuard‬ﻳﻚ اﺳﻜﻨﺮ آﺳﻴﺐ ﭘﺬﻳﺮي ﺗﺤﺖ وب اﺳﺖ‪ .‬ﻛﺎرﺑﺮان ﻣﻲﺗﻮاﻧﻨﺪ از ﻃﺮﻳﻖ اﻳﻨﺘﺮﻓﻴﺲ وب ﺑﻪ آن وﺻﻞ‬ ‫ﺷﻮﻧﺪ‪ .‬اﻳﻦ اﺑﺰار‪ ،‬ﺑﻴﺶ از ‪ 5000‬آﺳﻴﺐ ﭘﺬﻳﺮي را ﭼﻚ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ :SAINT‬اﺑﺰاري ﺗﺠﺎري ﺑﺮاي ارزﻳﺎﺑﻲ آﺳﻴﺐ ﭘﺬﻳﺮي اﺳﺖ‪.‬‬ ‫‪235‬‬

‫‪ :MBSA‬ﻣﺤﺼﻮل ﻣﺎﻳﻜﺮوﺳﺎﻓﺖ اﺳﺖ ﻛﻪ ﺑﺎ دﻳﮕﺮ ﻣﺤﺼﻮﻻت ﻣﺎﻳﻜﺮوﺳﺎﻓﺖ ﺳﺎزﮔﺎري دارد‪ MBSA.‬ﺑﻪ ﻃﻮر ﻣﺘﻮﺳﻂ ﻫﺮ‬ ‫ﻫﻔﺘﻪ‪ 3 ،‬ﻣﻴﻠﻴﻮن ﻛﺎﻣﭙﻴﻮﺗﺮ را اﺳﻜﻦ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﻋﻼوه ﺑﺮ اﻳﻦ ﻟﻴﺴﺖ‪ ،‬ﺷﻤﺎ ﺑﺎﻳﺪ ﺑﺎ اﺑﺰارﻫﺎي دﻳﮕﺮ اﻛﺴﭙﻠﻮﻳﺖ آﺷﻨﺎ ﺑﺎﺷﻴﺪ‪:‬‬ ‫‪ :Metasploit Framework‬ﻧﺮماﻓﺰار اﭘﻦ ﺳﻮرس ﺑﺮاي اﻳﺠﺎد‪ ،‬ﺗﺴﺖ‪ ،‬و اﺳﺘﻔﺎده از اﻛﺴﭙﻠﻮﻳﺖ اﺳﺖ‪.‬‬ ‫‪ :Canvas‬اﺑﺰار ﺗﺠﺎري اﺳﺘﻔﺎده از آﺳﻴﺐ ﭘﺬﻳﺮي اﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﺑﻴﺶ از ‪ 150‬اﻛﺴﭙﻠﻮﻳﺖ اﺳﺖ‪.‬‬

‫ﻣﻮارد ﻗﺎﺑﻞ اراﺋﻪ در ﺗﺴﺖ ﻧﻔﻮذ‬ ‫اﺻﻠﻲﺗﺮﻳﻦ ﻣﻮرد ﻗﺎﺑﻞ اراﺋﻪ در ﭘﺎﻳﺎن ﺗﺴﺖ ﻧﻔﻮذ‪ ،‬ﮔﺰارش ﺗﺴﺖ ﻧﻔﻮذ اﺳﺖ‪ .‬اﻳﻦ ﮔﺰارش ﺑﺎﻳﺪ ﺷﺎﻣﻞ ﻣﻮارد زﻳﺮ ﺑﺎﺷﺪ‪:‬‬ ‫•‬

‫ﻟﻴﺴﺖ ﻳﺎﻓﺘﻪﻫﺎي ﺷﻤﺎ‪ ،‬ﺑﻪ ﺗﺮﺗﻴﺐ ﭘﺮﺧﻄﺮﺗﺮﻳﻦ رﻳﺴﻚ‬

‫•‬

‫ﺗﺤﻠﻴﻞ ﻳﺎﻓﺘﻪﻫﺎي ﺷﻤﺎ‬

‫•‬

‫ﻧﺘﺎﻳﺞ ﻳﺎ ﺗﻮﺿﻴﺢ ﻳﺎﻓﺘﻪﻫﺎي ﺷﻤﺎ‬

‫•‬

‫ﻣﻌﻴﺎرﻫﺎي رﻓﻊ ﻣﺸﻜﻞ ﺑﺮاي ﻳﺎﻓﺘﻪﻫﺎي ﺷﻤﺎ‬

‫•‬

‫ﻓﺎﻳﻞﻫﺎي ﻻگ اﺑﺰارﻫﺎ ﻛﻪ ﻣﺪرﻛﻲ ﺑﺮ ﻳﺎﻓﺘﻪﻫﺎي ﺷﻤﺎﺳﺖ‬

‫•‬

‫ﺧﻼﺻﻪ اﺟﺮاﻳﻲ از وﺿﻌﻴﺖ اﻣﻨﻴﺘﻲ ﺳﺎزﻣﺎن‬

‫•‬

‫ﻧﺎم ﺗﺴﺖ ﻛﻨﻨﺪه و ﺗﺎرﻳﺦ اﻧﺠﺎم ﺗﺴﺖ‬

‫•‬

‫ﻫﺮ ﻳﺎﻓﺘﻪ ﻣﺜﺒﺖ ﻳﺎ ﭘﻴﺎدهﺳﺎزي اﻣﻨﻴﺘﻲ ﺧﻮب‬

‫‪236‬‬