هناك العديد من الهجمات تتم باستخدام نوع من أنواع بروتوكولات الإنترنت، وهو بروتوكول (ARP) وهو اختصار (Address Resolution protocol).
ماهو بروتوكول ARP؟
بروتوكول (ARP) هو واحد من أهم البروتوكولات الموجودة في عالم الشبكات لأهميته الكبيرة، وهو خطر جداً في نفس الوقت، وتعود أهميته للوظيفة الأساسية التي يقوم بها على الشبكة، فهو يقوم بعملية تحديد العنوان الفيزيائي أو (Mac Address) الخاص بعنوان (IP) معلوم لدينا مسبقاً.
وأبسط مثال على ذلك هو الـ (Gateway) للشبكة، فمثلاً في حال أردنا الوصول إلى شبكات أخرى أو الاتصال عبر الانترنت، يتوجَّب هذا علينا تحديد (IP) المنفِّذ الذي يربطنا مع الروتر والذي يطلق عليه (Gateway)، لذا نقوم يدوياً بتحديده، أو يتم إرساله لنا أوتوماتيكياً من خلال الـ (DHCP).
ومن المؤكَّد أنَّك سوف تلاحظ أنَّنا حددنا (IP) فقط ولم نحدد (Mac Address)، وطبعا بدونه لن تتم عملية الاتصال مع المنفذ، لذا هنا سيأتي دور بروتوكول الـ (ARP) لكي يقوم أوتوماتيكياً بالبحث وتحديد (Mac Address) من خلال إرسال طلب خاص يسأل فيه الأجهزة الموجودة على الشبكة عن عنوان (Mac Address) لهذا ال(IP)، أمّا خطورته فهي تكمن في حدوث عملية تزوير مثل هذه الأنواع من الرسائل والتي سوف نتكلَّم عنها في هذا المقال.
هجمات ARP Spoofing
سوف نتطرَّق إلى نوع جديد من أنواع الهجمات التي تستهدف الشبكات على مستوى الطبقة الثانية من طبقات (OSI)، وهو هجوم الـ (ARP Spoofing) أحد أكثر الهجمات شيوعاً وخطورة على الشبكة، والتى توصلنا إلى أهم وأشهر هذه الهجمات وهي ما يعرف ب”هجمات الرجل في المنتصف ” (Man In The Middle).
قبل بدأ أيِّ اتصال على الشبكة لأيِّ جهازين موجودين عليها، يتوجَّب على كل واحد منهما أن يعلم العنوان الفيزيائي الخاص بالآخر والمعروف (Mac Address)، فلهذا السبب تمَّ إيجاد بروتوكول خاص بهذه العملية ويدعى (ARP Protocol).
وظيفة هذا البروتوكول هي إرسال طلب (ARP Request) إلى الشبكة على شكل (Broadcast)، يسأل فيها عن العنوان الفيزيائي ل (IP) معين يريد الاتصال معه، وبدوره ينتشر هذا الـ (Broadcast) على كل الشبكة حتى يصل إلى وجهته المقصودة (IP)، وعندما يصل هذا الطلب يرد عليه الجهاز المقصود بال(Mac Address) الخاص به على شكل (ARP Reply)، لكنَّ هذه المرَّة سوف يكون الرَّد (Unicast)، وبتلك الطريقة يبدأ الجهازان التواصل مع بعضهما البعض.
أمثلة على هجمات يتم تنفيذها باستخدام هجمات (Spoofing ARP)
هجمات (ARP Spoofing) يمكن أن تكون لها آثار خطيرة على الجميع. في أبسط تطبيقاتها، استخدام هجمات ARP Spoofing بهدف سرقة معلومات حسَّاسة. بالإضافة إلى ذلك، غالباً ما تستخدم هجمات (Spoofing ARP) لتسهيل العديد من الهجمات الأخرى مثل:
- هجمات الحرمان من الخدمة
باختصار، فإنَّ هجوم “DoS” او Denial-of-Service ومعناه هجوم الحرمان من الخدمة، هو طريقة تُستخدم لهدف تعطيل وصول المستخدمين الشرعيين منهم وحرمانهم من الوصول إلى شبكة مستهدفة أو مورد ويب. عادة يتم تحقيق ذلك عن طريق التحميل الزائد على الهدف (غالباً خادم ويب) بكميَّة هائلة من التصفُّح، أو عن طريق القيام بإرسال طلبات ضارة تتسبَّب في حدوث خلل لهذا المورد المُستهدف أو الشبكة، أو القيام بتعطيلهم بالكامل.
غالبًا ما تقوم هجمات (DoS) بالاستفادة من (ARP Spoofing) بالقيام بربط العديد من عناوين(IP)، بعنوان واحد هو عنوان (MAC) الخاص بالهدف. نتيجةً لذلك، سيتم إعادة توجيه كم هائل من التحميل الزائد المخصَّص بالعديد من عناوين (IP) المختلفة إلى عنوان (MAC) للهدف، ممّا يؤدِّي إلى زيادة التحميل وبالتالي حدوث خلل لهذا الهدف.
تم توثيق أول حالة لهجوم الحرمان من الخدمة (DoS) في شهر فبراير من عام 2000، عندما قام هكر كندي لا يتجاوز عمره 15 عاماً باستهداف خوادم ويب كل من (Amazon) و(eBay) بمثِّل هذا الهجوم. ومنذ ذلك الحين قام العديد من الأشخاص باستخدام هجمات الحرمان من الخدمة، بهدف تعطيل العديد من الصناعات لدى الأهداف المقصودين في هذه الهجمات.
2. هجمات استغلال الجلسة (Session hijacking)
يمكن لهجمات اختطاف الجلسة استخدام خداع ARP لسرقة معرفات الجلسات، ومنح المهاجمين القدرة على الوصول إلى الأنظمة والبيانات الخاصَّة.
هي أحد الهجمات المنتشرة في الفترة الأخيرة ويتزايد استخدام هذا النوع من الهجوم بشكل مستمر بسبب سهولة تنفيذه والخطورة الكبيرة الناتجة عن سرقة المعلومات.
يختلف هذا النوع عن باقي أنواع الاختطاف (session hijacking) في مفهوم الاختطاف، حيث يُبقى هذا الأسلوب الضحية في الخط، مع المهاجم على نفس الموقع، فلا يتم فصل اتصال الضحية عن الموقع.
وبعد أن يقوم المستخدم بتسجيل الدخول يتشارك كلاً من المهاجم والمستخدم في الوصول الى الموقع، دون أن يعلم المستخدم بوجود شخص آخر على نفس الحساب، وأيضاً لا يتم سرقة أي من كلمة المرور وأسماء المستخدمين كما هي في بعض هجمات “HTTP attacks”، إلَّا أنّ الفكرة مشابة ويعتبر هذا النوع من أحد أشكال “HTTP session hijacking”.
هجمات الرجل في المنتصف (Man-in-the-middle attacks):
يمكن أن تعتمد هجمات “MITM” على (ARP Spoofing) حيث تعتمد على الاعتراض وتعديل حركة المرور بين الضحايا.
هجمات “الرجل في المنتصف” (Man In The Middle وتختصر MITM)، المقصود بها هي عملية يقوم بها الهكر المهاجم بهدف اعتراض محادثة جارية بين طرفين ما. بحيث تظهر هذه المحادثة وكأنَّها تجري بين هذين الطرفين مباشرةً، ولكن في الحقيقة يتم التحكّم بها من قبل الشَّخص الثالث وهو الهكر المهاجم، حيث يتمكَّن من القيام بكل من عرض وإضافة وإزالة وتعديل واستبدال هذه الرسائل التي يتم تبادلها بين الطرفين في هذه المحادثة.