تحقیق دانشجویی

فـهـرست مطـالـب

 

چكيده

روش Scan

Modem Scan (War – Dialing )

مقابله در برابر حملات War – Dialing

پويش جهت يافتن توپولوژي شبكه (Maooing Scan)

مقابله جهت يافتن توپولوژي شبكه

شكل مربوط به توپولوژي شبكه

پويش جهت يافتن پورت هاي باز (Port Scan)

مقابله با پويش پورت هاي شبكه

پويش نقاط آسيب پذير (Vulnerability Scan)

مقابله با پويش نقاط آسيب پذير

Wireless Scan (War –Driving )

مقابله با War – Driving

روش Trojan of Backdoor

Trojan ها

شكلTrojan ها

Backdoor ها

Backdoor هاي پنهان شده درون Trojan ها

جدول Rootkit

تروجان در سطح برنامه هاي كاربردي

چگونه مي توان متوجه آلوده شدن سيستم به يك تروجان شد.

روشهاي پيشگيري و مقابله با تروجانها در سطح برنامه هاي كاربردي

Rootkit هاي معمولي

روشهاي پيشگيري و مقابله با Rootkit هاي معمولي

Rootkit‌هاي سطح Kernel

روشهاي پيشگيري و مقابله با Rootkit هاي سطح هسته سيستم عامل

نتيجه گيري

پيوست ها و فهرست منابع

چكيده به زبان انگليسي

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

چكيده :

در اين گفتار به دو روش بسيار مرسوم نفوذ به شبكه مي پردازيم ابتدا به بررسي روش نفوذ به شبكه از طريق روش Scan و سپس نفوذ به شبكه از طريق روش Trajanal backdoor مي پردازيم.

روش Scan هر نفوذگري با استفاده از يكسري اطلاعات ابتدايي بدست آمده از شبكه ي هدف همچون شماره هاي تلفن ، آدرس IP ، مامهاي Damain شبكه و ... ميتواند شبكه را به منظور يافتن شكافي قابل پويش مورد پويش (scan) قرار دهد.

و در روش Trojan or Backdoor نفوذگران بجاي اينكه زحمت حمله و شسكتن حريم امنيتي يك شبكه را به خود بدهند مستقيم تلاش مي كنند سيستم يك كاربر ناآشنا با مسائل امنيتي را با استفاده از نرم افزارهاي آلوده و مخربي چون Trojan‌و Backdoor ها آلوده نمايند. آنها با استفاده از اين حربه قادر خواهند بود بدون برجاي گذاشتن ردپايي مشخص از خود حملات بعدي را به راحتي از طريق ماشين قرباني سازماندهي و هدايت نمايند.

 

روش Scan :

در اين بخش قصد داريم با آشنايي با روشهاي مختلف Scan كه از جانب نفوذگران اجرا مي شود. از جمله Scan شبكه يافتن مودم هاي فعال (War-Dialing) ، Scan شبكه جهت بدست آوردن نقشه از شبكه موجود (Mapping Scan) ، Scan شبكه جهت يافتن پورت هاي باز موجود در شبكه (Port Scan)، Scan شبكه جهت يافتان آسيب پذيريهاي برجاي مانده در شبكه (Vulnerability Scan) و در انتهاي بخش نز Scan شبكه هاي بي سيم (War - Driving) را مورد بحث قرار مي دهيم و راههاي مقابله با اينگون پويشهاي شبكه را در انتهاي هر بخش شرح خواهيم داد.

Modem Scan (War – Dialing )

بطور كلي نفوذگران در اولين مرحله از پويش خود به سراغ مودمهاي فعال موجود در شبكه ميرود. نفوذگر با استفاده از اين تكنيك و ابزارهاي موجود همچون THC-Scan‌قادر خواهد بود كار شماره گيري شماره تلفن هاي شبكه جهت يافتن مودمهاي فعال و ناامن را اجرا نمايد. يك نفوذگر تنها زماني ميتواند از مودمهاي فعال پيدا شده نهايت استفاده را ببرد كه يك سرويس دهنده مودم همچون نرم افزارهاي PCAnywhere، Laplink و ... در سيستم مربوطه نصب شده باشد. اينگونه سرويس دهنده ها به كاربران راه دور خود اجازه ميدهند تا با يك سيستم ارتباط برقرار نموده و از آن براي دسترسي به فايل سيستم، اعمال تغييرات مورد نياز بر روي آن، اجراي برنامه هاي مورد نظر و يا حتي استفاده از منابع اشتراكي موجود در شبكه همچون فايلها، پرينتر و اسكنر استفاده نمايند.

نفوذگران در ابتداي كار پويش با استفاده از ابزاري همچون THC – Scan شروع به پويش شبكه جهت يافتن مودهاي فعال و همچنين يافتن نوع سرويس دهنده آنها ميكنند و به عنوان مثال، به محض يافتن سرويس دهنده PCAnywhere بر روي مودم موجود كه هيچ كلمه عبوري نيز براي عبور تقاضا نمي كند كار پويش تمام شده محسوب شده و از آن به بعد نفوذگر تمركز خود را جهت دستيابي به سيستم ها و سرويس هاي مورد نظر در شبكه معطوف مي كند. در اين مرحله از پويش حتي اگر نفوذگر با مودمي مواجه شود كه سرويس دهنده آن براي ورود او كلمه عبور تقاضا كند اقدام بعدي او حدس زدن كلمه عبور و ورود به زور ( Brute Force) به آن سيستم ميباشد كه او براي اين كار ميتواند از ابزارهاي خودكاري همچون THC Login Hacker براي تشخيص كلمه عبور استفاده نمايد.

مقابله در برابر حملات War – Dialing

• توصيه مؤكد آنست كه به هيچ وجه اجازه استفاده پراكنده و شخصي از مودم را به هيچ كس در شبكه نداده و در صورت ضرورت استفاده از آن، آنرا به صورت متمركز و تحت نظارت دقيق و مستقيم مدير شبكه قرار دهيد تا بصورت مستمر امكان نظارت و بازرسي چنين ارتباطاتي وجود داشته باشد.
• تنظيم خطوط تلفن مي بايست مبتني بر سياست هاي تعيين شده باشد.
• از ابزارهاي پويش همچون THC – Scan‌ براي شناسايي مودمهاي فعال و سرويس دهنده هاي آسيب پذير و قابل نفوذ آنها استفاده نماييد.
• بررسي فيزيكي تمام سيستم هاي موجود در شبكه جهت يافتن مودمهاي فعال و خطوط تلفني مرتبط با آنها را بصورت ادواري اجرا نماييد.
• بررسي شماره هايي كه در طول ماه با آنها ارتباط برقرار شده و يافتن تماسها و ارتباطات مشكوك و نامشخص را براي شناسايي متخلفين اجرا نماييد.

پويش جهت يافتن توپولوژي شبكه (Maooing Scan)

در حاليكه يك War – Dialer غالباً براي پويش مودم هاي فعال شبكه سودمند مي باشد بسياري از تكنيك هاي ديگر Scan بر روي پويش ماشينهاي متصل به يك شبكه (اينترنت يا شبكه داخلي) با آدرس IP مشخص قابل اجرا مي باشند.

غالباً در پويش از نوع يافتن توپولوژي شبكه نفوذگر سعي ميكند اطلاعات فني و دقيق تري از شبكه هدف بدست آورد. در اين روش پويش او تلاش ميكند تا ساختار و توپولوژي شبكه را ترسيم نموده و معماري شبكه را از نظر سرويس دهنده ها، روترها، فايروال ها، سوئيچ ها ، IDS ها و ديگر تجهيزات موجود در شبكه تعيين نمايد.

 

نفوذگر غالباً براي اجراي اين نوع پويش از فرامين و ابزار برشمرده شده در زير استفاده مي نمايد:

• پيدا كردن سيستم هاي فعال شبكه با استفاده از دستور Ping (ICMO Echo Requestc) به آدرس IP هاي بدست آمده از شبكه اين امكان را براي نفوذگر فراهم مي كند تا سيستمها از لحاظ فعال بودن مورد آزمايش قرار دهد.
• استفاده از فرمان Traceroute يا Tracert نيز يكي از روشهاي تشخيص نقشه و توپولوژي شبكه توسط نفوذگر ميباشد. او با دريافت پيام ExceededICMP Time ميتواند هويت روتروهاي موجود در مسير را تشخيص داده و با مسيريابي بسته تا رسيدن به مقصد مورد نظر، نقشه اي كلي از شبكه را استخراج نمايد.
• اگر چه با استفاده از فرامين Ping‌و Trancroute و تحليل بازگشتي توپولوژي شبكه قابل استخراج ميباشد ولي نياز به صرف وقت فراوان دارد . براي رفع مشكل فوق مي توان از نرم افزارهاي موجود از جمله نرم افزار Cheops كه به صورت خودكار اقدام به نقشه برداري و تعيين سيستم هاي فعال در شبكه مي نمايد استفاده نمود.

 

 

 

مقابله جهت يافتن توپولوژي شبكه

• تنها قابليت Ping را بر روي سرورهاي عمومي كه در محيط DMZ قرار گرفته اند فعال نمايند تا ساير شبكه هاي مرتبط با شبكه شما توانايي تشخيص اتصال هاي فعال براي برقرار نمودن ارتباط را داشته باشند.
• غير از سرورهاي عمومي لازم است قابليت (ICMP)Ping را بر روي تمام سيستم هاي داخلي غير فعال نماييد.
• روترهاي مرزي با قابليت Packet Filter در شبكه را بگونه اي تنظيم نماييد كه بسته هاي ICMP ورودي به شبكه را بلوكه و حذف نمايند و علاوه بر آن بسته هاي خروجي ICMP‌از نوع Time Exceeded را نيز بلوكه نمايند. با اعمال اين سياست مي توانيد نرم افزارهايي همچون Traceroute , Cheops را از كارايي ساقط نماييد.

 

 

 

پويش جهت يافتن پورت هاي باز (Port Scan)

در مرحله قبل نفوذگر ماشينهاي فعال شبكه و همچنين توپولوژي تقريبي آن را از شناسايي نموده و اكنون ميخواهد بداند هر سيستم موجود در شبكه چه وظيفه اي برعهده دارد و چه خدماتي را ارائه ميدهد و علاوه بر آن هر كدام از خدمات و سرويسهاي ارائه شده به چه نحو در اختيار كاربران قرار مي گيرد.

اگر پورت هاي TCP/IP را به عنوان دربهاي ورودي يك سيستم فرض كنيم عمل پويش پورت يا همان Port Scan به منزله درب زدن است تا ببينيم آيا پراسس فعالي پشت درب هست يا خير.

تمام ابزارهاي پويش پورت مي توانند فهرست مشخصي از شماره پورتها را پويش نموده و باز يا بسته بودن آنها را مورد بررسي قرار دهند.

برخي از نرم افزارهاي معروف پويش پورت عبارتند از Nmap، Srtobe ، Ultrascan ، SuperScan كه از تمام ابزارهاي موجود نرم افزار Nimap بعنوان بهترين و كاملترين ابزار پويش پورت محسوب ميشود و اين ابزار از مكانيزمهاي متنوعي براي بررسي پورت هاي فعال استفاده مي نمايد كه در نوع خود بي نظير مي باشند.

 

 

شامل ورد 26 صفحه ای