هجوم تحليل حركة المرور Traffic Analysis Attack

اقرأ في هذا المقال


في الوقت الحاضر، هناك العديد من التهديدات المختلفة القائمة على الإنترنت، ولسوء الحظ، ليس شرطا أن تكون شركة بملايين الدولارات لتصبح هدفًا للهجوم، حيث يستخدم المتسللون هذه الأيام ماسحات ضوئية آلية تبحث عن أجهزة ضعيفة في جميع أنحاء الإنترنت، ومن أحد هذه التهديدات الحديثة هو هجوم تحليل حركة المرور مثل الهجمات السلبية.

ما هو هجوم تحليل حركة المرور؟

في هجوم تحليل حركة المرور، يحاول المتسلل الوصول إلى نفس الشبكة التي تستخدمها للاستماع والتقاط كل حركة مرور الشبكة الخاصة، كما يمكن للمخترق تحليل حركة المرور هذه لمعرفة شيء ما عن الشركة، لذلك، على عكس الهجمات الأخرى الأكثر شيوعًا، لا يحاول المتسلل بشكل نشط اختراق الأنظمة أو اختراق كلمة المرور، لذلك، نصنف هذا الهجوم على أنه هجوم سلبي.

ماذا يمكن أن يكشف تحليل حركة المرور؟

يمكن لتحليل حركة مرور شبكة شخص ما إخبار المتسلل بالكثير، حيث لا يجب الاعتقاد أن الوضع آمن بمجرد القيام بتشفير حركة المرور الخاصة، بالواقع هذا لا يكفي، تعمل هجمات تحليل حركة المرور أيضًا مع البيانات المشفرة، يؤدي تشفير حركة المرور في معظم الحالات إلى تأمين محتوى حركة المرور فقط، لكن لا يزال بإمكان المهاجم الحصول على بعض المعلومات منه، حيث ان الأمر كله يتعلق بالبيانات الوصفية.

البيانات الوصفية

على سبيل المثال، شخصين يتحدثان عبر بعض برامج المراسلة، لا يمكن للمهاجم قراءة الرسائل الفعلية لأن حركة المرور مشفرة، ولكن من خلال تحليل حركة المرور المشفرة، يمكنهم معرفة، على سبيل المثال، متى وكيف تم إرسال الرسائل، حتى هذه المعلومات البسيطة يمكن أن تعني الكثير.

أنماط

من خلال البحث عن أنماط في حركة المرور التي تم التقاطها، يمكن للمهاجم، على سبيل المثال، معرفة موعد الاستيقاظ  والخلود إلى النوم للشخص، بالأضافة الى اسم الجهاز وموقعه إلى ذلك، وبالتالي يعرف المهاجم وقت مغادرة المنزل ووقت العودة عادةً، حتى قلة حركة المرور يمكن أن تقول شيئًا ما، إذا كان يخالف النمط المعتاد، فقد يعني لهم ذلك أن الشخص ذهب في إجازة مما يعني أنه الوقت المناسب لاقتحام منزله.

التحليل المتقدم

يمكن للمهاجم استخدام تحليل حركة المرور كقاعدة لهجمات أخرى، على سبيل المثال، في كل مرة يضغط فيها الشخص على مفتاح في لوحة المفاتيح، يرسل (SSH) وهو بروتوكول النقل الآمن، حزمة (IP) منفصلة وهو اختصار لبروتوكول الانترنت، من خلال تحليل هذه الحزم، يمكن للمهاجم تمييز التوقيت بين ضغطات المفاتيح، يمكنهم بعد ذلك استخدام هذه المعلومات، على سبيل المثال، لتخمين أطوال كلمة مرور المستخدمين، يمكن أن يساعد هذا في الواقع، المهاجم على تضييق نطاق هجمات القوة الغاشمة، باستخدام تقنيات أكثر تقدمًا، يمكن للمهاجم حتى تخمين المفاتيح الفعلية التي تضغط عليها باستخدام الأساليب الإحصائية.

الاستطلاع السلبي

يمكن أن يساعد تحليل حركة المرور المهاجمين أيضًا على فهم بنية الشبكة واختيار هدفهم التالي، على سبيل المثال، إذا كان هناك الكثير من حركة المرور القادمة من وإلى عقدة معينة، فمن المحتمل أن يكون هدفًا جيدًا لتجربة المزيد من الهجمات النشطة.

من ناحية أخرى، قد يكون الخادم الذي لا يتلقى العديد من الاتصالات هدفًا سهلاً، هناك احتمال أن يكون خادمًا أقل أهمية أو حتى خادم اختبار، وبالتالي قد يكون أقل أمانًا، فإذا تم الآن أننا تطبيق هذا النهج على الحركة العسكرية مثلا، من خلال تحليل حركة المرور هذه، قد يحاول المتسلل العثور على موقع مركز القيادة.

بروتوكولات الانترنت والاتصالات

إذا كانت المكالمة الصوتية الفعلية مشفرة، فقد لا يتم تهيئة الاتصال، هذا يعني أن المهاجم يمكنه رؤية أرقام الهواتف التي يتم الاتصال بها، حتى إذا تم تشفير أرقام الهواتف أيضًا، في بعض الحالات، سيظل المهاجم قادرًا على استخدام تحليل حركة المرور للحصول على بعض المعلومات المفيدة، على سبيل المثال، إذا حاول أحد المهاجمين هجوم تصيد احتيالي على أحد الموظفين، فيمكنه مراقبة حركة مرور (SIP ،VoIP) في نفس الوقت، سيساعدهم هذا في التحقق مما إذا كان هذا الموظف يتصل بقسم الأمن والذي يمكن تمييزه بعنوان (IP) الذي تتدفق إليه حركة المرور.

كيفية الحماية من هذا الهجوم

ليس من السهل حماية الشخص نفسه من هجمات تحليل حركة المرور، إنه نفس الشيء مع الهجمات السلبية الأخرى، نظرًا لأن المهاجم لا يفعل أي شيء بخلاف الاستماع، فمن الصعب اكتشافه، ومن ناحية اخرى أن هذا النوع من الهجوم يستغرق وقتًا طويلاً، فهو يتطلب ساعات من التحليل، ويحتاج المهاجم للوصول إلى الشبكة بطريقة ما أولاً، ومع ذلك، هناك بعض الإجراءات المضادة التي يمكنك اتخاذها للحماية من هجمات تحليل حركة المرور.

تشفير حركة المرور

أن هجوم تحليل حركة المرور يعمل حتى مع حركة المرور المشفرة، لكن التشفير يجعل تحليل حركة المرور أكثر صعوبة بالتأكيد، قد يتم الاعتقاد أيضًا أنه من الواضح أنه يجب تشفير حركة المرور الخاصة، لكن العديد من الشركات تتخطى تشفير بعض حركة المرور الداخلية، يذهب التفكير إلى أن حركة المرور داخلية حسب التصميم، لذلك لا ينبغي لأي شخص غير مصرح له الوصول إليها، لذلك، بينما يتطلب الأمر القليل من الجهد الإضافي لتشفير حركة المرور حيث لا تحتاج نظريًا إلى ذلك، فإنه يساعد في جعل مهام المهاجمين أكثر صعوبة.

نات

تعد ترجمة عنوان الشبكة طريقة فعالة بشكل مدهش لمنع هجمات تحليل حركة المرور، نظرًا لأنه سيتم توجيه كل حركة المرور عبر جهاز (NAT) وهو مصطلح يستخدم لوصف عدد من الآليات التي تستعمل لتبديل معرفات شبكية، وسيتم تغليف عناوين (IP) وإخفائها خلف (NAT IP)، يفقد المهاجم الكثير من المعلومات المهمة، على سبيل المثال، لن يتمكنوا بسهولة من معرفة من يتواصل مع من، وهو أحد الأهداف الرئيسية لهذا الهجوم.

وسادة حركة المرور

في حال البحث عن كل طريقة ممكنة لمنع أي هجوم محتمل، فإن هناك شيئًا للمساعدة في هجمات تحليل حركة المرور، يعني حشو حركة المرور إدخال حزم مزيفة في تدفق حركة المرور، حيث إنه يربك المهاجم، وفي بعض الحالات، يجعل الأمر يبدو وكأن حركة المرور غير منطقية، تمتزج حركة المرور الحقيقية مع حركة المرور المزيفة، سيعمل هذا الإجراء المضاد فقط مع حركة المرور المشفرة، بدونها، سيتمكن المهاجم ببساطة من معرفة الحزم المزيفة وتصفيتها.

قائمة انتظار المرور

إجراء مضاد أكثر تقدمًا هو التحكم في توقيت الحزم، في هذه الطريقة، تضع حركة المرور أولاً في قائمة الانتظار وتحررها فقط في أوقات محددة، من وجهة نظر المهاجم، ستبدو حركة المرور هذه مصطنعة، لذلك، لن يتمكنوا من أداء معظم التحليل القياسي المستند إلى الوقت.


شارك المقالة: