حملات Session Hijacking چیست؟

تاریخ انتشار : تیر ۲, ۱۳۹۸
1 ستاره2 ستاره3 ستاره4 ستاره5 ستاره (5٫00 / 5)

حملات Session Hijacking به منظور اکسپلویت کردن نشست های کاربران که وظیفه مدیریت نشست ها برعهده دارند انجام می شود.

حملات Session Hijacking یا همان سرقت نشست ها وقنی اتفاق می افتد که پس از اینکه کاربر با موفقیت توسط سرور تایید شد، یک هکر کنترل نشست های آن کاربر را در اختیار میگیرد.

سرقت نشست ها مستلزم شناسایی شماره شناسه (IDs) ارتباطی نشست های اخیر کاربر در سرور می باشد و از این طریق هکر می تواند اختیار نشست های کاربر را در اختیار گیرد. ربودن نشست ها از طریق ابزارهایی که یک شماره متوالی را پیش بینی می کنند، انجام می شود.

حملات جاسوسی با حملات سرقت نشست متفاوت هستند. در یک حمله جاسوسی هکر عملیات شنود را انجام می دهد و ترافیکی که از مبدا به مقصد می رسید را گوش می دهد. سپس هکر از اطلاعات جمع آوری شده به منظور جاسوسی و مقاصد دیگر استفاده می کند. حملات Session Hijacking مستلزم این است که به منظور انجام حمله بصورت فعالانه کاربر دیگری را آفلاین کنیم.

هکر با اتکا به یک کاربر قانونی اتصال را برقرار کرده و تایید می شود پس از آن هکر نشست را در اختیار میگیرد و نشست های کاربر مجاز و قانونی قطع ارتباط می گردد.

حملات Session Hijacking به منظور انجام شامل مراحل زیر است :

  • Tracking the Session بررسی و پیگیری نشست : در این مرحله هکر یک نشست باز و فعال را شناسایی می کند و شماره توالی بسته های بعدی را پیش بینی می کند.
  • Desynchronizaing the Connection غیرهمگام سازی اتصال : هکر به سمت کاربر مجاز سیستم یک بسته TCP reset (RST) یا بسته پایان (FIN) می فرستد تا نشست وی پایان پذیرد.
  • Injecting the Attacker’s Packet تزریق بسته های هکر : هکر برای سرور یک بسته TCP با توالی شماره های پیش بینی شده می فرستد و سرور آن را به عنوان بسته معتبر بعدی که قرار بود از طرف کاربر قانونی ارسال شود (ولی حالا توسط هکر ارسال شده) قبول می کند.

حالا هکر خود را به جای کاربر مجاز وارد نشست کرده است.

هکرها می توانند از دو شیوه به منظور ربودن نشست های استفاده کنند : فعال و غیر فعال

تفاوت اولیه این دو مدل از سرقت نشست ها سطح درگیری هکر در نشست می باشد.

در یک حمله فعال مهاجم یک نشست فعال را پیدا می کند و از طریق استفاده از ابزارهای پیش بینی نشست، شماره توالی بکار رفته در بسته TCP را حدس زده و نشست را در اختیار میگیرد.

این در حالی است که در یک حمله غیرفعال، مهاجم یک نشست را در اختیار گرفته و سپس همه ترافیکی که تاکنون از طریق کاربر قانونی ارسال و دریافت شده است را جاسوسی می کند. در حقیقت نوع غیرفعال یک مدل جاسوسی است که از طریق آن اطلاعاتی مثل پسوردهای استفاده شده و اطلاعات دیگر بکار رفته در نشست، به سرقت می رود.

پیش بینی توالی های شناسه نشست

TCP یک پروتکل اتصال گراست که به منظور گردآوری جریانی از بسته ها و بازگشت آنها به نسخه اصلی کاربرد دارد. هر بسته ای که ارسال می شود بایستی یک شماره یکتا به آن اختصاص داده شود تا بسته ارسالی را بتوان در ماشین مقصد به بسته اصلی و اورجینال برگرداند.

این شماره یکتا را شماره توالی می نامند (Sequence Number). اگر بسته ها خارج از دستور دریافت شوند، همانگونه که معمولا اطلاعات در اینترنت جابجا می شوند، در این صورت با استفاده از شماره توالی جریان بسته ها به مقصد رسیده و اسمبل می شوند.

همانگونه که می دانید سیستمی که یک نشست TCP را آغاز می کند، بسته را با بیت ست SYN انتقال می دهد که در اینجا SYN مخفف Synchronize Packet به معنی همگام است و این بسته شامل شماره ISN هست.

ISN یک شماره تصادفی و رندوم از بین ۴ بیلیون ترکیب ممکن است. وقتی که بسته ACK ارسال شد، هر ماشین از شماره توالی که به همراه بسته ارسال شده به منظور تصدیق بسته استفاده می کند و یک شماره به آن اضافه می کند. این مورد نه تنها صحت بسته دریافتی را تصدیق می کند، بلکه به فرستنده می گوید که شماره توالی بسته بعدی نیز چه خواهد بود. در شیوه گفتگو یا دست داده سه طرفه (۳ Way Handshke) شماره افزایش عدد یک است. در ارتباطات معمولی داده مقدار افزایشی برابر با اندازه تعداد بایت داده است.

ابزارهای هکی که به منظور حملات Session Hijacking استفاده می شوند، عملیات پیش بینی شماره توالی را انجام می دهند. به منظور انجام موفق یک حمله با استفاده از پیش بینی توالی، هکر بایستی ترافیم بین سیستم ها را شنود کند. سپس هکر یا در واقع ابزار هک بایستی بتواند بصورت موفقیت آمیزی شماره توالی را پیش بینی کرده و حدس بزند و یا اینکه ISN را موقعیت یابی کند تا توالی بعدی را حدس بزند. این پروسه از آن چیزی که به نظر می رسد بسیار پیچیده تر است چون که بسته ها با سرعت بسیار زیادی جابجا می شوند.

وقتی که هکر قادر به شنود ترافیک اتصال شبکه نباشد، در نتیجه حدس زدن شماره توالی بعدی بسیار دشوار خواهد بود. به همین دلیل اکثر ابزارهای حملات Session Hijacking دارای ویژگی هایی هستند که هکر را قادر می سازد تا بتواند ترافیک شبکه را شنود کند. در این زمینه ابزارهای زیادی وجود دارند مثل : T-Sight , IP Watcher , TTYWahtcher , Hunt , Juggernaut

خطرات ناشی از حملات Session Hijacking

حملات Session Hijacking بسیار خطرناک هستند. اکثر سیستم ها در برابر اینگونه حمله ها آسیب پذیر هستند. دلیل آن هم این است که پروتکل ابتدایی و پیش فرض اکثر سیستم ها برای انتقال بسته ها پروتکل TCP می باشد. سیستم عامل های جدید سعی دارند تا خود را در برابر اینگونه حملات ایمن کنند اما چگونه؟ با استفاده از ایجاد کننده های شماره توالی تا ISN را محاسبه کنند و شماره توالی هایی ایجاد کنند که حدس آنها مشکل تر باشد. ولی بایستی با یاد داشت در صورتی که هکر قادر به شنود در شبکه باشد، این معیار امنیتی نیز ناکارآمد خواهد بود چونکه در این صورت هکر اطلاعات لازم برای انجام حمله را در اختیار خواهد داشت.

دفاع در برابر حملات Session Hijacking

به منظور دفاع در برابر حملات Session Hijacking ، یک شبکه بایستی چندین لایه دفاعی را پیاده سازی کند. موثرترین محافظت، رمزنگاری اطلاعات درون شبکه ای با استفاده از پروتکل IPSec می باشد. اینکار همچنین باعث می شود که اطلاعات در برابر هر عامل حمله ای دیگری که وابسته به نشود اطلاعات باشد مقاوم شود. در این صورت با وجود شنود اطلاعات توسط هکرها، اطلاعات لو رفته به دلیل اینکه رمزنگاری شده اند، فایده ای برای هکر نخواهند داشت.

راهکارهای دیگر عبارتند از استفاده از اپلیکیشن های رمزنگاری شده مثل SSH که همان کار تلنت را انجام می دهد ولی بصورت رمزنگاری شده. همچنین استفاده از SSL برای پروتکل HTTP که پروتکل HTTPS را فراهم می کند.

در اینجا لیستی از اقدامات متقابل علیه حملات Session Hijacking آورده شده است :

  • استفاده از رمزنگاری
  • استفاده از یک پروتکل ایمن
  • محدود کردن اتصالات ورودی
  • کاهش دسترسی های ریموت
  • تشخیص هویت و شناسایی قوی
  • آموزش کارمندان
  • استفاده از نام کاربری و رمز عبورهای متفاوت برای حساب های متفاوت
  • استفاده از سوییچ ها بجای استفاده از هاب در شبکه

نظرات

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *