پروتکل های شبکه مجموعه ای از قوانین تعیین شده هستند که با پیروی از روشی امن، قابل اعتماد و آسان، تبادل اطلاعات را کنترل می کنند. این مجموعه قوانین برای کاربردهای مختلف وجود دارد. برخی از نمونه های معروف پروتکل ها عبارتند از: شبکه های سیمی مانند اترنت (Ethernet)، شبکه های بی‌ سیم مانند WLAN ها و ارتباطات اینترنتی. مجموعه ی پروتکل اینترنت، که برای پخش و انتقال داده ها از طریق اینترنت استفاده می شود، شامل ده ها پروتکل است.

آسیب پذیری های (Vulnerabilities) متعددی در این پروتکل ها وجود دارد که منجر به بهره برداری فعال از آن ها شده و امنیت شبکه را با چالش های جدی مواجه می کند. در این مقاله می خواهیم 14 مورد از رایج ترین پروتکل های شبکه و آسیب‌پذیری های مربوط به آن ها را معرفی کنیم:

1. Address Resolution Protocol (ARP)

یک پروتکل لایه ی ارتباطی (فرایند نقشه برداری بین لایه ی پیوند داده و لایه ی شبکه) که برای شناسایی یک آدرس MAC با توجه به آدرس IP استفاده می شود. هیچ راهی وجود ندارد که میزبان بتواند تایید کند که بسته ی شبکه از کدام شبکه ی peer to peer آمده است. این یک آسیب پذیری است و باعث جعل ARP (ARP spoofing) می شود. اگر مهاجم در همان شبکه ی محلی هدف باشد یا از یک ماشین در معرض خطر استفاده کند که در همان شبکه است، می تواند از این مورد سوء استفاده کند. ایده این است که مهاجم آدرس MAC خود را با آدرس IP هدف مرتبط می کند تا هر ترافیکی که برای هدف در نظر گرفته شده است توسط مهاجم، دریافت شود.

2. Domain Name System (DNS)

آدرس های IP دارای فرمت عددی هستند و از این رو برای انسان به راحتی قابل خواندن یا به خاطر سپردن نیستند. DNS، یک سیستم سلسله مراتبی (hierarchical) است که این آدرس های IP را به hostname قابل خواندن توسط انسان، تبدیل می کند. رایج ترین آسیب پذیری در DNS، مسمومیت کش (cache poisoning) است. در این حالت، مهاجم آدرس IP قانونی را جایگزین می کند تا هدف را به وب سایت های مخرب بفرستد. همچنین تقویت DNS (DNS amplification) می تواند در یک سرور DNS مورد سوء استفاده قرار گیرد که امکان جستجوهای بازگشتی را فراهم می کند و از بازگشت، برای تقویت بزرگی حمله استفاده می کند.

جستجوی بازگشتی DNS جایی است که یک سرور DNS با چند سرور DNS دیگر ارتباط برقرار می کند تا یک آدرس IP را پیدا کند و آن را به مشتری بازگرداند. این برخلاف یک پرس و جوی تکراری DNS است که در آن کلاینت مستقیم با هر سرور DNS درگیر در جستجو، ارتباط برقرار می کند.

در یک حمله ی تقویت DNS، مهاجم به طور از گروهی از ماشین ها (معروف به بات نت) برای ارسال حجم بالایی از درخواست‌های DNS با استفاده از یک آدرس IP جعلی استفاده می‌کند. آدرسIP جعلی مانند آدرس برگشتی جعلی است. مهاجم درخواست هایی را از IP خود ارسال می کند، اما از قربانی می خواهد که پاسخ ها را دریافت کند. به منظور تشدید حمله، مهاجم همچنین از تکنیکی به نام تقویت استفاده می کند که در آن درخواست جعلی، درخواست پاسخ بسیار طولانی می کند. سرویس قربانی سیل پاسخ های DNS طولانی و ناخواسته را دریافت می کند که می تواند سرورهای آن ها را مختل یا حتی از بین ببرد. این یک نوع حمله DDoS است.

این به نوعی شبیه گروهی از شوخی های نوجوان است که به یک پیتزا فروشی زنگ می زنند و هر کدام ده ها پیتزا سفارش می دهند. به جای اینکه آدرس خودشان را برای تحویل بدهند، آدرس همسایه ی بی خبر را می دهند. قربانی که سپس جریانی از تحویل پیتزاهای بزرگ و ناخواسته را دریافت می کند، به احتمال زیاد اختلالات زیادی را در روز خود تجربه خواهد کرد.

یک سرور DNS که پرس و جوهای بازگشتی را می پذیرد برای انجام این نوع حمله مورد نیاز است، زیرا بسته های DNS تقویت شده، پاسخی به پرس و جوهای DNS بازگشتی هستند.

3. File Transfer Protocol/Secure (FTP/S)

یک پروتکل شبکه ی مبتنی بر معماری مدل client-server است که برای انتقال فایل ها بین مشتری و سرور در یک شبکه ی کامپیوتری استفاده می شود. بیشتر حملات متداول FTP زمانی که مهاجم از یک برنامه ی وب برای ارسال کدهای مخرب به شکل یک اسکریپت سمت مرورگر (یا کوکی ها) برای کاربر استفاده می کند، از اسکریپت Cross-Site بهره می برد. پروتکل انتقال فایل از راه دور (FTP)، اتصالات را کنترل نمی کند و داده های آن را رمزگذاری نمی کند. نام های کاربری همراه با رمزهای عبور به صورت متنی واضح منتقل می‌شوند که می‌تواند توسط هر ردیاب شبکه، رهگیری شود یا حتی می‌تواند منجر به حمله ی man-in-the-middle ا (MITM)شود.

4. HyperText Transfer Protocol/Secure (HTTP/S)

این پروتکل، برای برقراری ارتباط امن در یک شبکه ی کامپیوتری استفاده می شود. ویژگی های اصلی آن عبارتند از احراز هویت وب سایت مورد دسترسی و سپس محافظت از حریم خصوصی و یکپارچگی داده هایی که رد و بدل می شوند. یک آسیب پذیری مهم در HTTPS، حمله Drown است که به مهاجمان کمک می‌کند تا رمزگذاری را بشکنند، اطلاعات کارت اعتباری و رمزهای عبور را بدزدند. یکی دیگر از اشکالات جدی، اشکال Heartbleed است که اجازه سرقت اطلاعاتی را می دهد که توسط رمزگذاری TLS/SSL محافظت می شود که برای ایمن سازی اینترنت استفاده می شود. برخی از آسیب پذیری های دیگر عبارت اند از:

Factoring RSA export keys
Compressing Ratio Info-leak Made Easy

5. Internet Message Access Protocol (IMAP)

یک پروتکل ایمیل است که ایمیل ها را در سرور ایمیل ذخیره می‌کند اما به کاربر نهایی اجازه می‌دهد پیام ها را همان طور که به صورت محلی در دستگاه های کاربر ذخیره شده اند، بازیابی کرده، ببیند و دستکاری کند. اول این که، هنگامی که یک ایمیل از طریق اینترنت ارسال می شود، از کانال های ارتباطی محافظت نشده عبور می کند. نام های کاربری، رمز عبور و پیام ها را می توان رهگیری کرد. حمله Denial of Service (DoS) نیز می تواند بر روی سرور ایمیل انجام شود که منجر به ایمیل های دریافت نشده و ارسال نشده می شود. همچنین، سرور ایمیل را می توان با تزریق بد افزار (malware) آلوده کرد، که به نوبه خود می تواند با استفاده از پیوست های آلوده، برای مشتریان ارسال شود.

6. Post Office Protocol (POP3)

یک پروتکل اینترنت لایه ی کاربردی است که برای بازیابی ایمیل ها از سرور از راه دور، به ماشین محلی شخصی کلاینت، استفاده می شود. می توان از آن برای مشاهده ی پیام ها، حتی زمانی که آفلاین هستید، استفاده کرد. آسیب‌پذیری هایی که ذخیره سازی صندوق پستی (mailbox) را هدف قرار می‌دهند، شامل دسترسی مستقیم به حافظه Firewire یا حمله DMS است. این آسیب پذیری ها بر استفاده از دسترسی مستقیم سخت افزاری، برای خواندن یا نوشتن مستقیم در حافظه اصلی، بدون هیچ گونه تعامل یا نظارت سیستم عامل، متکی است. فرآیند های login به کاربر اجازه می دهد تا از طریق مسیرهای رمزگذاری نشده، متصل شود که در نتیجه اطلاعات اعتبارسنجی login، به صورت متن واضح در سراسر شبکه ارسال می شود.

7. Remote Desktop Protocol (RDP)

این پروتکل که توسط مایکروسافت توسعه یافته است، یک رابط گرافیکی برای اتصال به یک رایانه ی دیگر، از طریق یک اتصال شبکه در اختیار کاربران قرار می دهد، جایی که یک کاربر، نرم افزار کلاینت RDP را اجرا می کند و دیگری نرم افزار سرور RDP را اجرا می کند. آسیب پذیری به نام BlueKeep می‌تواند به بد افزارهایی مانند باج افزار (ransomware) اجازه انتشار در سیستم های آسیب‌پذیر را بدهد. این آسیب پذیری به مهاجمان اجازه می دهد تا به سرویس های RDP متصل شوند. سپس، آن ها می توانند دستوراتی را برای سرقت یا اصلاح داده ها، نصب بد افزارهای خطرناک و سایر فعالیت های مخرب، صادر کنند. بهره برداری از این آسیب پذیری نیازی به احراز هویت توسط کاربر ندارد. حتی نیازی نیست که کاربر روی چیزی کلیک کند تا فعال شود.

8. Session Initiation Protocol (SIP)

یک پروتکل بر اساس سیگنال است که برای شروع، حفظ، تغییر و خاتمه ی session های real-time (بلادرنگ)، استفاده می شود. این session ها می تواند شامل صدا، ویدئو، پیام رسانی و سایر برنامه ها و خدمات ارتباطی باشد که بین دو یا چند endpoint در شبکه های IP قرار دارند. ممکن است از تهدیدات امنیتی مانند سرریز بافر (buffer overflow)، حمله تزریق (injection attack)، ربودن (hijacking) و غیره متحمل شود. این آسیب پذیری ها با کمترین هزینه یا تقریبا بدون هزینه برای مهاجم، خواهد بود. حملات Flooding زمانی اتفاق می‌افتند که مهاجم حجم بالایی از ترافیک را ارسال می‌کند که باعث می‌شود سیستم هدف، تمام منابع خود را مصرف کند و آن را قادر به ارائه خدمات به مشتریان قانونی نمی‌کند. حمله ی Flood در زیر ساخت شبکه SIP می تواند به راحتی رخ دهد زیرا کانال ها برای سیگنال دهی و انتقال داده از هم جدا نیستند.

9. Server Message Block (SMB)

پروتکل ارتباطی شبکه برای دسترسی مشترک به فایل ها، چاپگرها و پورت های سریال بین گره های شبکه است. همچنین یک مکانیسم ارتباط بین فرآیندی (inter-process) تایید شده و مجاز را ارائه می دهد. آسیب پذیری در SMB حمله ی SMB Relay است و برای حمل حملات Man-in-the-Middle استفاده می شود. حمله ی دیگر حمله ی EternalBlue است. سرور SMBv1 در نسخه های مختلف ویندوز مایکروسافت، پکیج های ساخته شده ی خاص از مهاجمان از راه دور را اشتباه مدیریت می‌کند و به آن‌ها اجازه می‌دهد کد دلخواه را روی رایانه ی مورد نظر اجرا کنند.

Simple Mail Transfer Protocol (SMTP) .10

یک پروتکل لایه کاربردی ارتباطی است و برای ارسال ایمیل استفاده می شود. هرزنامه ها (Spammers) و هکرها می‌توانند از سرور پست الکترونیکی، برای ارسال هرزنامه یا بد افزار از طریق ایمیل استفاده کنند. هکرها همچنین یک حمله ی جمع آوری دایرکتوری را انجام می دهند، که راهی برای جمع آوری آدرس های ایمیل معتبر از یک سرور یا دامنه، برای استفاده ی آن ها است. آسیب پذیری ها همچنین شامل حملات سرریز بافر (buffer overflow)، حملات اسب تروجان (trojan horse)، حملات شل اسکریپت (shell script) و غیره است.

Simple Network Management Protocol (SNMP) .11

یک پروتکل استاندارد اینترنت برای جمع آوری و سازماندهی اطلاعات مربوط به دستگاه های مدیریت شده در شبکه های IP است. همچنین برای تغییر و اصلاح آن اطلاعات، برای تغییر رفتار دستگاه استفاده می شود. بازتاب SNMP نوعی انکار سرویس توزیع شده یا حمله ی DDoS است. این حملات می توانند حملات صدها گیگابیت در ثانیه را ایجاد کنند. مهاجم تعداد زیادی درخواست SNMP را با یک آدرس IP جعلی (که IP قربانی است) به چندین دستگاه متصل ارسال می کند که به نوبه ی خود به آن آدرس IP جعلی پاسخ می دهند. حجم حمله شدیدتر می‌شود زیرا دستگاه های بیشتر و بیشتری به پاسخ دادن ادامه می‌دهند تا زمانی که شبکه ی هدف، به خاطر حجم بالای این پاسخ ها پایین بیاید (down شود).

Secure SHell (SSH) .12

یک پروتکل شبکه مبتنی بر رمزنگاری برای کارکرد خدمات شبکه ی ایمن و قابل اعتماد در یک شبکه ی ناامن است. برخی از برنامه های کاربردی خاص شامل خط فرمان از راه دور (remote command-line)، اجرای فرمان از راه دور (remote command execution)، login هستند، اما هر سرویس شبکه را می توان با کمک SSH ایمن کرد. حمله ی man-in-the-middle (MITM) ممکن است به دشمن اجازه دهد تا رمزگذاری را کاملا بی ثبات کرده و از بین ببرد و ممکن است به محتویات رمزگذاری شده ای که می‌تواند شامل رمزهای عبور باشد، دسترسی پیدا کند. یک مهاجم موفق، کابلی است برای تزریق دستورات به ترمینال، برای تغییر داده ها در حین انتقال یا سرقت داده ها. این حمله همچنین می‌تواند امکان تزریق بد افزار مضر را به هر فایل باینری و سایر به روز رسانی های نرم افزاری دانلود شده، از طریق سیستم فراهم کند. این روش در گذشته توسط گروه های مختلف حمله و بسته های بد افزار استفاده شده است.

Telnet .13

یک پروتکل کاربردی است که در اینترنت یا شبکه محلی (LAN) استفاده می‌شود که ارتباط متن‌ محور (text-oriented) تعاملی دو طرفه را فراهم کرده که از اتصال ترمینال مجازی استفاده می‌کند. بزرگترین مشکل امنیتی در پروتکل telnet عدم رمزگذاری است. هر ارتباطی که از یک دستگاه راه دور که در حال پیکربندی است به یک دستگاه شبکه ارسال می شود به صورت متن ساده ارسال می شود. مهاجم به راحتی می تواند آن چه را که ما در آن دستگاه پیکربندی می کنیم، ببیند و می تواند رمز عبوری که برای اتصال به دستگاه استفاده کرده ایم را ببیند و وارد حالت پیکربندی شود. نوع دیگری از حملات، Telnet DoS است، مهاجم فریم های داده های غیر مفید و نامربوط زیادی را ارسال می کند و به این ترتیب اتصال را قطع می کند.

Virtual Network Computing (VNC) .14

ای پروتکل برای ایجاد اشتراک گذاری دسکتاپ از راه دور، که نوعی دسترسی از راه دور در شبکه های رایانه ای است، استفاده می شود. VNC نمایشگر بصری دسکتاپ رایانه ی دیگری را نمایش می دهد و آن رایانه را از طریق اتصال شبکه کنترل می کند. همه ی حملات به دلیل استفاده نادرست از حافظه ایجاد می شوند. حملاتی که از آن ها سوء استفاده می کنند منجر به انکار وضعیت سرویس، نقص عملکرد، و همچنین دسترسی غیر مجاز به اطلاعات کاربران و گزینه اجرای کدهای مخرب بر روی دستگاه هدف می شود. آسیب پذیری ها و حملات شامل حملات DoS، سرریز بافر (buffer overflow)، buffer underflow و اجرای کد از راه دور (remote code execution) است.

منبع

پروتکل‌های رایج شبکه و آسیب پذیری های آن‌ها