اقرأ في هذا المقال
- ما هو هجوم رجل في الوسط MiTM
- كيف يعمل هجوم Man-In-The-Middle
- أنواع هجمات الرجل في الوسط
- تقنيات هجوم الرجل في الوسط
ما هو هجوم رجل في الوسط MiTM
تعتبر هجمات الرجل في الوسط (MITM) نوعًا شائعًا من هجمات الأمن السيبراني التي تسمح للمهاجمين بالتنصت على الاتصال بين طرفين، يحدث الهجوم بين مضيفين يتواصلان بشكل شرعي، مما يسمح للمهاجم بالاستماع إلى محادثتهم، حيث لا يجب أن يكونوا قادرين على الاستماع إليها عادةً، لهذا سمي الهجوم بهجوم رجل في الوسط.
- “MITM” اختصار ل”man-in-the-middle“
كيف يعمل هجوم Man-In-The-Middle
عند تلقي المستخدم بريدًا إلكترونيًا يبدو أنه من البنك الذي يتعامل معه، سيطلب منه القيام بعملية تسجيل الدخول إلى الحساب لتأكيد معلومات الاتصال الخاصة به، حيث سيقوم بالنقر فوق ارتباط في البريد الإلكتروني ومن ثم يتم نقله إلى ما يبدو أنه موقع الويب الخاص بالمصرف الذي يتعامل معه، حيث يقوم بتسجيل الدخول وتنفيذ المهمة المطلوبة، في مثل هذا الموقف، تم أرسال البريد الإلكتروني للمستخدم من قبل الرجل في الوسط (MITM)، مما يجعله يبدو شرعيًا.
كما يتضمن هذا الهجوم أيضًا التصيد الاحتيالي، مما يجعل المستخدم ينقر على البريد الإلكتروني الذي يبدو أنه وارد من البنك الذي يتعامل معه، كما سيقوم المهاجم أيضًا بإنشاء موقع ويب يتشابه مع موقع الويب الخاص بالبنك الذي يتعامل معه المستخدم، لذلك لن يفكر المستخدم ولن يتردد في إدخال بيانات اعتماد تسجيل الدخول الخاصة به بعد النقر فوق الرابط في البريد الإلكتروني، ولكن عند القيام بذلك، فهو لا يقوم بتسجيل الدخول إلى حسابه المصرفي، بل يقوم بتسليم بيانات الاعتماد الخاصه به إلى المهاجم.
أنواع هجمات الرجل في الوسط
نقطة وصول احتيالية
وهي نقطة وصول لا سلكية تم تثبيتها على البنية التحتية السلكية للشبكة بدون موافقة مسؤول الشبكة، غالبًا ما تحاول الأجهزة المزودة ببطاقات لاسلكية الاتصال تلقائيًا بنقطة الوصول التي تنبعث منها أقوى إشارة، حيث يمكن للمهاجمين إعداد نقطة وصول لاسلكية خاصة بهم وخداع الأجهزة المجاورة للانضمام إلى مجالها، كما يمكن الآن للمهاجم التلاعب بجميع حركات مرور الشبكة الخاصة بالضحية، ان هذا أمر خطير لأن المهاجم لا يحتاج حتى إلى أن يكون على شبكة موثوق بها للقيام بذلك، بل يحتاج المهاجم ببساطة إلى قرب مادي قريب بما فيه الكفاية.
انتحال بروتوكول ARP
(ARP) هو بروتوكول تحليل العنوان، يتم استخدامه لحل عناوين (IP) حيث ان كل جهاز قادر على الاتصال بالإنترنت يحتوي على بروتوكول (IP) لعناوين (MAC) وهو عنوان دائم لا يتغير بتغيير النظام للتحكم في الوصول إلى الوسائط في شبكة المنطقة المحلية، كما انه عندما يحتاج مضيف إلى التحدث إلى مضيف بعنوان (IP) معين، فإنه يشير إلى ذاكرة التخزين المؤقت (ARP) لحل عنوان (IP)، حيث إذا لم يكن العنوان معروفًا، فسيتم تقديم طلب يسأل عن عنوان (MAC) الخاص بالجهاز مع عنوان (IP).
حيث يمكن للمهاجم الذي يرغب في الظهور كمضيف آخر أن يستجيب للطلبات التي لا ينبغي أن يستجيب لها بعنوان (MAC) الخاص به، مع بعض الحزم الموضوعة بدقة، كما يمكن للمهاجم قنص حركة المرور الخاصة بين مضيفين ويمكن استخراج المعلومات القيمة من حركة المرور، مثل تبادل الرموز المميزة للجلسة، مما يوفر وصولاً كاملاً إلى حسابات التطبيق التي لا ينبغي للمهاجم الوصول إليها.
- “ARP” اختصار ل”Address Resolution Protocol”.
- “IP” اختصار ل”Internet Protocol”.
- “MAC” اختصار ل” Media Access Control Address”.
انتحال بروتوكول MDNS
يشبه (Multicast DNS) وهو بروتوكول يربط اسم اسم المضيف بعنوان بروتوكول الانترنت نظام (DNS) وهي تقنية تجعل المستخدم يدخل على موقع ويب مزيف بدلاً من الموقع الحقيقي، ولكنه يتم على شبكة محلية (LAN) باستخدام البث مثل (ARP)، هذا يجعلها هدفًا مثاليًا لهجمات الانتحال، حيث من المفترض أن يجعل نظام تحليل الاسم المحلي تكوين أجهزة الشبكة أمرًا بسيطًا للغاية.
كما لا يتعين على المستخدمين معرفة بالضبط العناوين التي يجب أن تتواصل معها أجهزتهم وسمحوا للنظام بحلها نيابة عنهم، حيث تستفيد الأجهزة مثل أجهزة التلفزيون والطابعات وأنظمة الترفيه من هذا البروتوكول نظرًا لأنها عادةً ما تكون على شبكات موثوقة، فعندما يحتاج تطبيق ما إلى معرفة عنوان جهاز معين، يمكن للمهاجم أن يستجيب بسهولة لهذا الطلب ببيانات مزيفة، ويطلب منه حل العنوان الذي يتحكم فيه، ونظرًا لأن الأجهزة تحتفظ بذاكرة تخزين مؤقت محلية للعناوين، سيرى المستخدم الضحية جهاز المهاجم على أنه موثوق به لفترة من الوقت.
- “MDNS” اختصار ل”Multicast Domain Name System”.
انتحال خادم DNS
خادم (DNS) وهي اختصار (domain name system) على خلاف الطريقة التي يحل بها (ARP) عناوين (IP) لعناوين (MAC) على شبكة (LAN) وهي شبكة محلية تربط أجهزة الكمبيوتر ضمن منطقه محدودة مثل السكن او الحرم الجامعي، يحلل (DNS) أسماء المجال إلى عناوين (IP)، حيث انه عند استخدام هجوم انتحال (DNS)، يحاول المهاجم تقديم معلومات ذاكرة التخزين المؤقت (DNS) الفاسدة إلى مضيف في محاولة للوصول إلى مضيف آخر باستخدام اسم المجال الخاص به.
- “LAN” اختصار ل” Local area network”.
تقنيات هجوم الرجل في الوسط
التقاط الحزم Sniffing
يستخدم المهاجمون أدوات التقاط الحزم لفحص الحزم عند مستوى منخفض، حيث يمكن أن يسمح استخدام أجهزة لاسلكية معينة يُسمح بوضعها في وضع المراقبة أو الوضع المختلط للمهاجمين برؤية الحزم التي لا يقصد منها رؤيتها، مثل الحزم الموجهة إلى مضيفين آخرين.
حقن الحزم Packet Injection
يمكن للمهاجم أيضًا الاستفادة من وضع مراقبة أجهزته لحقن حزم ضارة في تدفقات اتصالات البيانات، كما يمكن أن تمتزج الحزم مع تدفقات اتصالات البيانات الصالحة لتظهر على أنها جزء من الاتصال، ولكنها ضارة بطبيعتها، عادةً ما يتضمن حقن الحزم التجسس الأول لتحديد كيف ومتى يتم تصنيع الحزم وإرسالها.
اختطاف الجلسة Session Hijacking
تستخدم معظم تطبيقات الويب آلية تسجيل دخول تنشئ رمزًا مؤقتًا للجلسة لاستخدامه في الطلبات المستقبلية لتجنب مطالبة المستخدم بكتابة كلمة مرور في كل صفحة، كما يمكن للمهاجم التجسس على حركة المرور الحساسة لتحديد الرمز المميز للجلسة للمستخدم واستخدامه لتقديم الطلبات كمستخدم، حيث لا يحتاج المهاجم إلى الانتحال بمجرد حصوله على رمز جلسة.
تجريد بروتوكول SSL
نظرًا لأن استخدام (HTTPS) هو حماية شائعة ضد انتحال (ARP) أو (DNS)، يستخدم المهاجمون أيضا تجريد (SSL) وهو بروتوكول يستخدم لإنشاء روابط آمنه بين أجهزة الكمبيوتر المتصلة بالشبكة، وذلك لاعتراض الحزم وتغيير طلبات العنوان المستندة إلى (HTTPS) للانتقال إلى نقطة نهاية (HTTP) المكافئة، مما يجبر المضيف على تقديم طلبات إلى الخادم غير مشفرة، كما يمكن أيضا تسريب المعلومات الحساسة في نص عادي.
- “HTTPS” احتصار ل”Hyper Text Transport Protocol secure”.
- “SSL” اختصار ل”secure sockets layer”.