قراصنة الأخلاقي في الجزائر
السلام عليكم و رحمة الله و بركاته
الصلاة والسلام على اشرف المرسلين صلى الله عليه وسلم
مدونة معلومات في قراصنة الأخلاقي في الجزائر قد تفيدك فى حماية نفسك على الانترنت وتعرفك على اسليب وأنواع الاختراق الإلكتروني يرجى استخدامها على مسؤوليتك الخاصة. لن تكون مدونة قراصنة الأخلاقي في الجزائر مسؤولة إذا تأثر أي شخص بأي حال من الأحوال باستخدام هذه الأدوات والتقنيات المذكورة على مدونة قراصنة الأخلاقي في الجزائر و ارجو ان تستخدم معلومات في فيما يرضى الله نرجو منكم الدعاء شكرا وجزكم الله كل خير.

اخر الأخبار

الرئسية / analysisTools / Systems / ما هو انتحال IP..؟

ما هو انتحال IP..؟

أبريل 05, 2023 ,

 

 

 بسم الله الرحمن الرحيم

الحمد لله رب العالمين، وصلى الله وسلم وبارك على عبده ورسوله نبينا محمد وعلى آله وصحبه أجمعين

 

 

ما هو انتحال IP..؟

Everything you need to know about IP spoofing - Privacy PC

 

انتحال بروتوكول الإنترنت (IP) هو نوع من الهجمات الخبيثة حيث يخفي الفاعل المصدر الحقيقي لحزم IP لجعل من الصعب معرفة مصدرها. ينشئ المهاجم حزمًا ، ويغير عنوان IP المصدر لانتحال شخصية نظام كمبيوتر مختلف ، وإخفاء هوية المرسل أو كليهما. يحتوي حقل رأس الحزمة المخادعة لعنوان IP المصدر على عنوان مختلف عن عنوان IP المصدر الفعلي.
انتحال بروتوكول الإنترنت (IP) هو أسلوب يستخدمه المهاجمون غالبًا لشن هجمات رفض الخدمة الموزعة (DDoS) وهجمات الرجل في الوسط ضد الأجهزة المستهدفة أو البنى التحتية المحيطة. الهدف من هجمات DDoS هو إرباك الهدف بحركة المرور مع إخفاء هوية المصدر الضار ، مما يمنع جهود التخفيف.
يتيح استخدام عناوين IP المخادعة للمهاجمين القيام بما يلي:
منع السلطات من اكتشاف هويتهم وتورطهم في الهجوم ؛
منع الأجهزة المستهدفة من إرسال تنبيهات حول الهجمات التي يكونون مشاركين فيها عن غير   قصد  و تجاوز البرامج النصية والأجهزة والخدمات الأمنية التي تحظر عناوين IP المعروفة بأنها مصادر لحركة المرور الضارة.
كيف يعمل انتحال بروتوكول الإنترنت IP؟
يتم إرسال حركة المرور على الإنترنت في وحدات يشار إليها باسم الحزم. تحتوي الحزم على رؤوس IP التي تحتوي على معلومات توجيه حول الحزمة. تتضمن هذه المعلومات عنوان IP المصدر وعنوان IP الوجهة. فكر في الحزمة كحزمة في البريد وعنوان IP المصدر كعنوان إرجاع على تلك الحزمة.
في انتحال عنوان IP ، يغير المهاجم عنوان المصدر في رأس الحزمة الصادرة. بهذه الطريقة ، يرى الكمبيوتر الوجهة الحزمة على أنها قادمة من مصدر موثوق - مثل كمبيوتر على شبكة مؤسسة - ويقبلها.
قد ينشئ المهاجمون رؤوس حزم احتيالية عن طريق تزوير عنوان المصدر وتخصيصه عشوائيًا باستمرار باستخدام أداة. يمكنهم أيضًا استخدام عنوان IP الخاص بجهاز آخر موجود حتى يتم إرسال الردود على الحزمة المخادعة إلى هناك بدلاً من ذلك.
لتنفيذ انتحال عنوان IP ، يحتاج المهاجمون إلى ما يلي:
عنوان IP موثوق به سيسمح به جهاز الاستقبال بالدخول إلى الشبكة. هناك طرق عديدة للعثور على عناوين IP الخاصة بالجهاز. إحدى الطرق هي Shodan ، وهي قاعدة بيانات عبر الإنترنت لتعيينات عنوان IP لجهاز.
القدرة على اعتراض الحزمة واستبدال عنوان IP الحقيقي بالرأس الاحتيالي. يمكن استخدام أداة استنشاق الشبكة أو فحص بروتوكول تحليل العنوان (ARP) لاعتراض الحزم على الشبكة وجمع عناوين IP للخداع.
يقوم المهاجم باستخدام انتحال بروتوكول الإنترنت (IP) باختبار اتصال الخادم بشكل متكرر ، باستخدام عنوان IP الخاص بالهدف كمصدر. يعتقد الخادم أن الهدف يقدم طلبات مشروعة ويغمر الهدف بالردود ، مما يؤدي إلى حدوث خلل في وظيفته.
كيف يمكنك الكشف عن انتحال بروتوكول الإنترنت IP؟
يواجه المستخدمون النهائيون صعوبة في اكتشاف انتحال عنوان IP. يتم تنفيذ هذه الهجمات على طبقة الشبكة - الطبقة الثالثة من نموذج اتصالات ربط الأنظمة المفتوحة. بهذه الطريقة ، لا توجد علامات خارجية على العبث. تبدو طلبات الاتصال المخادعة مثل طلبات الاتصال المشروعة خارجيًا.
هناك أدوات مراقبة الشبكة التي يمكن للمؤسسات استخدامها لإجراء تحليل حركة المرور في نقاط نهاية الشبكة. تصفية الحزم هي الطريقة الرئيسية للقيام بذلك.
غالبًا ما يتم تضمين أنظمة تصفية الحزم في أجهزة التوجيه وجدران الحماية. يكتشفون التناقضات بين عنوان IP الخاص بالحزمة وعناوين IP المطلوبة الموجودة في قوائم التحكم في الوصول (ACLs). كما يكتشفون الحزم الاحتيالية.
ترشيح الدخول وتصفية الخروج هما نوعان من تصفية الحزمة:
تقوم تصفية الدخول بفحص الحزم الواردة لمعرفة ما إذا كان عنوان IP المصدر يطابق عنوان المصدر المسموح به. يرفض أي شيء لا يتطابق أو يعرض سلوكًا مشبوهًا آخر. يؤدي هذا التصفية إلى إنشاء قائمة التحكم بالوصول (ACL) مع عناوين IP المصدر المسموح بها.
تقوم ميزة تصفية الخروج بفحص الخارج بحثًا عن عناوين IP للمصدر التي لا تتطابق مع تلك الموجودة على شبكة الشركة. يمنع هذا الأسلوب المطلعين من شن هجوم انتحال لعنوان IP.

كيف تحمي من انتحال IP؟
لا يمكن التخلص من حزم IP المخادعة. لكن يمكن اتخاذ تدابير لحماية شبكاتها وبياناتها.
فيما يلي بعض الخطوات التي يمكن للشركات اتخاذها:
استخدم أساليب التحقق والمصادقة القوية لجميع عمليات الوصول عن بُعد. لا تقم بمصادقة الأجهزة والمستخدمين بناءً على عنوان IP فقط.
     قم بعمل ACL لعناوين IP.
     استخدم كلاً من ترشيح حزم الدخول والخروج.
     استخدم برامج مكافحة الفيروسات وبرامج الأمان الأخرى التي تراقب نشاط الشبكة المشبوه.
     استخدم بروتوكولات التشفير على مستوى IP لحماية حركة المرور من وإلى خادم المؤسسة.
    يمنع هذا الأسلوب المهاجمين من قراءة عناوين IP المحتملة لانتحال الشخصية.
     حافظ على برامج الشبكة محدثة ، ومارس إدارة التصحيح الجيدة.
     أداء مراقبة الشبكة المستمرة.

يجب تكوين قواعد تصفية موجه المؤسسة وجدران الحماية لرفض الحزم التي قد تكون مخادعة. سيشمل ذلك الحزم ذات عناوين IP الخاصة التي تأتي من خارج محيط المؤسسة. كما يغطي أيضًا حركة المرور التي تنشأ داخل المؤسسة ولكنها تنتحل عنوانًا خارجيًا كعنوان IP المصدر. هذا يمنع هجمات الانتحال من أن تبدأ من الشبكة الداخلية ضد الشبكات الخارجية.
ما هي الأنواع الأخرى من انتحال الشبكات؟
هناك عدة أنواع من الانتحال ، وكثير منها يحدث على الشبكات القائمة على بروتوكول الإنترنت. لكن معظم هذه ليست انتحال عنوان IP حيث يتم تغيير عنوان IP للحزمة.
تتضمن بعض أنواع الانتحال الأخرى التي تتعامل مع عناوين IP ما يلي:
بروتوكول تحليل العنوان. يحدث هجوم انتحال ARP عندما يرسل المهاجم رسائل ARP خاطئة عبر شبكة المنطقة المحلية (LAN). يؤدي هذا إلى ربط عنوان التحكم في الوصول إلى الوسائط الخاص بالمهاجم بعنوان IP لجهاز كمبيوتر أو خادم شرعي على الشبكة. يحدث هذا في طبقة ارتباط البيانات في إطارات Ethernet التي تحمل هذا البروتوكول.
نظام اسم المجال (DNS). باستخدام هجوم انتحال DNS ، يقوم DNS بتسجيل وتحويل حركة مرور الإنترنت بعيدًا عن الخوادم الشرعية ونحو الخوادم المزيفة. يقوم DNS بتعيين عناوين IP لمواقع الويب ، ويصل المستخدمون إلى خوادم DNS للوصول إلى مواقع الويب. يمكن للقراصنة إدخال إدخالات DNS المزيفة في خوادم DNS بحيث يتم إرسالهم ، عند وصول المستخدمين إلى الخادم ، إلى الموقع الذي قام المتسلل بحقنه ، بدلاً من وجهتهم المقصودة.
تتعامل طرق الانتحال الأخرى مع أنواع مختلفة من المعلومات وقد لا تؤثر على عناوين IP بشكل مباشر أو مطلق. تتضمن بعض الأمثلة ما يلي:
هوية المتصل. يؤدي انتحال هوية المتصل إلى تغيير معرف المتصل لجعل مكالمة هاتفية تبدو قادمة من موقع مختلف. يحدث هذا عادةً عندما يتصل المسوقون عبر الهاتف بالأهداف باستخدام رمز منطقة الهدف.
بريد إلكتروني. يغير المهاجمون حقول رأس البريد الإلكتروني للإشارة بشكل خاطئ إلى أن الرسالة نشأت من مرسل مختلف. غالبًا ما يكون البريد الإلكتروني المخادع جزءًا من هجوم تصيد يحتوي على ارتباط إلى نسخة مكررة من موقع ويب يبدو أنه النسخة الأصلية. يحاول الموقع المخادع خداع الضحايا المستهدفين لتسليم بيانات اعتماد تسجيل الدخول أو معلومات سرية أخرى.
نظام تحديد المواقع العالمي (GPS). انتحال GPS هو عندما يخدع مستخدم جهاز محمول الجهاز لعرض موقع مختلف عن موقعه الجغرافي الحقيقي. يمكن القيام بذلك باستخدام تطبيق جهة خارجية ينتج معلومات مختلفة عن الموقع والملاحة.
خدمة الرسائل القصيرة (SMS). يحدث انتحال الرسائل القصيرة أو الرسائل النصية عندما يتم تغيير رقم هاتف المرسل إلى رقم هاتف آخر لإخفاء رقم الهاتف الحقيقي. قد يقوم المهاجمون بتضمين روابط لمواقع التصيد أو تنزيلات البرامج الضارة في نصوصهم. قد تستخدم المؤسسات الشرعية أيضًا هذه الطريقة لاستبدال رقم هاتف يصعب تذكره بمعرف أبجدي رقمي يسهل تذكره.

URL
باستخدام هذا النوع من الانتحال ، تستخدم الجهات الخبيثة عنوان URL متطابقًا تقريبًا يحاكي عنوانًا حقيقيًا مع عدد قليل من الأحرف المتغيرة. القصد من ذلك هو جعل الهدف ينتقل إلى صفحة ويب تحاكي مظهر صفحة شرعية ثم تطلب منهم إدخال معلومات حساسة.
ما هي أمثلة انتحال بروتوكول الإنترنت IP؟
عندما يقوم المهاجمون بشن هجوم DDoS ، فإنهم يستخدمون عناوين IP مخادعة لإغراق خوادم الكمبيوتر بأحجام حزم كبيرة جدًا بحيث يتعذر على أجهزة الكمبيوتر الوجهة التعامل معها. غالبًا ما تُستخدم شبكات البوت نت لإرسال حزم متفرقة جغرافيًا. قد تحتوي شبكات الروبوت الكبيرة على عشرات الآلاف من أجهزة الكمبيوتر ، كل منها يمكن أن ينتحل عناوين IP متعددة المصادر في نفس الوقت. من الصعب تتبع هذه الهجمات الآلية.
تستخدم شبكات الروبوت انتحال بروتوكول الإنترنت كجزء من هجمات رفض الخدمة الموزعة.
تتضمن أمثلة كيفية استخدام الانتحال في هجمات DDoS ما يلي:
في 28 فبراير 2018 ، تعرضت منصة استضافة كود GitHub لما كان يُعتقد في ذلك الوقت أنه أكبر هجوم DDoS على الإطلاق. انتحل المهاجمون عنوان IP الخاص بـ GitHub وأرسلوا استعلامات إلى خوادم memcached التي تُستخدم غالبًا لتسريع المواقع التي تعتمد على قواعد البيانات. قامت الخوادم بتضخيم البيانات التي تم إرجاعها من تلك الطلبات إلى GitHub بمعامل يبلغ حوالي 50. ونتيجة لذلك ، تم إرسال ما يصل إلى 51 كيلوبايت إلى الهدف لكل بايت أرسله المهاجم. تم إصابة GitHub بـ 1.35 تيرابايت في الثانية من حركة المرور ، مما تسبب في انخفاض الموقع لمدة 10 دقائق.
تسوتومو شيمومورا. في 25 ديسمبر 1994 ، شن المتسلل كيفن ميتنيك هجومًا على أجهزة الكمبيوتر الخاصة بالمخترق المنافس تسوتومو شيمومورا باستخدام انتحال بروتوكول الإنترنت. استغل Mitnick علاقة الثقة بين الكمبيوتر الطرفي X الخاص بشيمومورا والخادم من خلال تعلم نمط أرقام تسلسل TCP التي يولدها الكمبيوتر. قام بإغراق الكمبيوتر بطلبات SYN من عناوين IP المخادعة التي كانت قابلة للتوجيه ولكنها غير نشطة. لم يتمكن الكمبيوتر من الاستجابة للطلبات ، وامتلأت ذاكرته بطلبات SYN. تُعرف هذه التقنية باسم مسح SYN.
تستخدم هجمات Man-in-the-middle أيضًا انتحال بروتوكول الإنترنت (IP) لانتحال شخصية مستلم مستهدف ، وتلقي حركة مرور الإنترنت لهذا المستلم والرد بحزمه الخاصة ، والتي قد تحتوي على برامج ضارة.
للخداع استخدامات مشروعة أيضًا. على سبيل المثال ، قد تستخدم الشركات انتحال بروتوكول الإنترنت IP لاختبار مواقع الويب عندما يتم نشرها ، لمحاكاة حركة المرور الخارجية إلى الموقع. يستخدم أفراد الأمن أيضًا الانتحال لمعرفة كيفية استجابة أنظمتهم لأنواع مختلفة من الهجمات.

ليست هناك تعليقات

الاشتراك في: تعليقات الرسالة ( Atom )