قام حدث الشبكة بحظر قناة ICMP المخفية. كيفية اكتشاف نقل البيانات المخفية على الشبكة؟ كيف يمكن اكتشاف الإرسال الخفي؟
تعد القنوات السرية إحدى طرق أمن المعلومات التي يمكن استخدامها مع علامة الزائد (لضمان عدم الكشف عن هويته والسرية) وعلامة الطرح (لتنظيم تسرب البيانات). لنفكر في المكون الثاني - الكشف عن نقل البيانات المخفية، أو نقل البيانات عبر القنوات المخفية، والتي تعد واحدة من أصعب مشاكل أمن المعلومات التي يجب حلها عمليًا. من أجل عدم زيادة حجم المقالة، سأتجاهل عمدا آليات إخفاء البيانات مثل التشفير وإخفاء المعلومات.
أليكسي لوكاتسكي
مستشار أمن سيسكو
ما هو نقل البيانات المخفية؟
إن نقل البيانات المخفية عبر الشبكة ليس التطبيق الوحيد لهذه الطريقة. ظهر مصطلح "القناة السرية" لأول مرة في عام 1973، وكان يستخدم لأنظمة الحوسبة التي ليس لديها اتصال تقليدي بالشبكة. على سبيل المثال، يمكن أن تعني القيمة الزوجية لمدة العملية واحدًا، ويمكن أن تعني القيمة الفردية صفرًا. وبالتالي، من خلال معالجة مدة العملية، يمكننا تشكيل تسلسل من 0 و 1، والذي يمكننا استخدامه لوصف أي شيء (وهذا ما يسمى بالقناة الزمنية). مثال آخر للعملية المخفية في أنظمة الحوسبة هو عندما تبدأ عملية مهمة معينة وتكملها في وقت معين، وهو ما يمكن تفسيره على أنه وحدة؛ وصفر إذا لم تكتمل المهمة خلال الوقت المحدد.
كيف يمكن تنفيذ النقل السري؟
إذا كنا نتحدث عن نقل بيانات الشبكة المخفية، فإن إحدى الطرق الأكثر شيوعًا والبسيطة نسبيًا في التنفيذ هي التغليف، والذي يتكون من تضمين المعلومات المحمية التي يجب إرسالها خارجيًا، أو الأمر الذي يجب استلامه خارجيًا، في بروتوكول معتمد.
في هذه الحالة، يمكن استخدام خيارات تغليف مختلفة تمامًا:
في عام 1987، تم اقتراح فكرة النقل الشبكي السري، ومنذ تلك اللحظة فصاعدًا، بدأت الأبحاث الجادة في هذه الطريقة لضمان السرية أو تسرب البيانات (اعتمادًا على أي جانب من السياج الذي تنظر إليه). على وجه الخصوص، في عام 1989 تم اقتراح لأول مرة لمعالجة البتات غير المستخدمة من إطارات إيثرنت وعدد من بروتوكولات القنوات الأخرى. من الواضح أن القنوات السرية في الشبكة المحلية ليست مثيرة للاهتمام للدراسة، على عكس إخفاء البيانات في الشبكات العالمية. يمكن النظر في حدوث اختراق (عام على الأقل) في عام 1996، عندما تم نشر دراسة أظهرت النقل والاستقبال الفعلي للبيانات عبر قناة TCP/IP مخفية؛ أو بالأحرى، في الحقول الفردية لرأسه.
- على مستوى HTTP، والذي أصبح منذ فترة طويلة المعيار الفعلي لبناء بروتوكولات التطبيقات الأخرى على أساسه. على سبيل المثال، تستخدم شبكة JAP المجهولة HTTP لنقل البيانات، وأيضًا باستخدام شبكة Tor التي يصعب التحكم فيها. في HTTP، من الممكن استخدام أوامر GET وPOST لنقل البيانات، وإذا تم استخدام HTTP لنقل دفق الفيديو والصوت، فإن قدرة المهاجمين على نقل كميات كبيرة من البيانات تصبح بلا حدود تقريبًا.
- على مستوى DNS، عندما يتم إخفاء المعلومات داخل استعلامات DNS والردود عليها. بدأ الناس يتحدثون عن هذه الطريقة لأول مرة في أوائل العقد الأول من القرن الحادي والعشرين، عندما ظهرت أداة DeNiSe لتوصيل بروتوكول TCP إلى DNS. في وقت لاحق كانت هناك دراسة أجراها دان كامينسكي توضح إمكانية تغليف SSH من خلال DNS وتم تقديمها في مؤتمر Defcon في عام 2005. ثم بدأ هذا الموضوع يكتسب شعبية - ظهر dns2tcp و DNScapy و DNScat و Heyoka و iodine و squeeza وما إلى ذلك.
- على مستوى ICMP، عندما يتم تغليف البيانات ضمن بروتوكول ICMP الآمن عادةً. برنامج Loki، الذي تم ذكره لأول مرة في عام 1996 في مجلة Phrack، يعمل على هذا المبدأ. تبعه Loki2 الأكثر تقدمًا. هناك أيضًا أداة تسمى icm-pchat تتيح لك التواصل مع الرسائل المشفرة عبر ICMP.
- على مستوى TCP/UDP/IP، عند استخدام حقول رأس الحزمة الفردية لإخفاء التسريبات أو تلقي الأوامر من الخارج. اعتمادًا على البروتوكول المستخدم، سيختلف حجم البيانات المرسلة من 2 إلى 12 و38 بايت، على التوالي، في بروتوكولات IP وUDP وTCP. هناك أداة مثيرة للاهتمام للغاية تستخدم تعديل رأس TCP تسمى Nushu. تكمن خصوصيتها في أنها في حد ذاتها لا تنشئ أي حركة مرور، ولكنها تعدل فقط تلك التي تم إرسالها بالفعل من العقدة بواسطة تطبيق أو عملية معينة. بمعنى آخر، يتم إرسال حركة المرور المعدلة حيث ينبغي أن تكون، ويقوم المهاجم ببساطة باعتراضها عبر الشبكة، وجمع البيانات المسربة بهذه الطريقة.
- في الشبكات اللاسلكية، عندما يتم إخفاء البيانات في حركة المرور المرسلة الموزعة عن طريق البث. بالمناسبة، في هذه الحالة ليس من السهل اكتشاف الجانب المتلقي، والذي يمكن أن يعمل في الوضع السلبي - فقط لتلقي البيانات. تم بناء أداة HICCUPS على هذا المبدأ.
كيف يمكن اكتشاف الإرسال الخفي؟
من خلال رؤية مجموعة متنوعة من الأساليب التي تستخدمها القنوات السرية والبروتوكولات التي تستخدمها، يمكنك فهم سبب وجود العديد من الطرق المختلفة لاكتشاف عمليات الإرسال السرية. العامل الرئيسي هو التحكم في الشذوذ، والذي يتكون من التحقق من المعلمات التالية (قائمة غير كاملة):
- حجم الطلب والاستجابة. على سبيل المثال، من المعروف أن متوسط طول طلب DNS لا يزيد عن 40-60 بايت. ولذلك، فإن الزيادة في عدد استعلامات DNS مع زيادة أطوال الحزمة قد تشير إلى وجود قناة سرية قيد التشغيل. يمكن اقتراح ممارسة مماثلة للبروتوكولات الأخرى - ICMP، SIP، إلخ.
- حجم الطلبات. عادةً، يكون حجم حركة المرور لأنواع معينة من البروتوكولات، إن لم يكن قيمة ثابتة، فنادرًا ما يتغير خلال أجزاء قليلة من النسبة المئوية. ولذلك، فإن الزيادة المفاجئة في حركة مرور بروتوكول الخدمة أو عدد طلبات DNS أو حجمها قد تشير إلى وجود حالة شاذة والحاجة إلى التحقيق. علاوة على ذلك، يمكن تقييم ملف تعريف حركة المرور في هذه الحالة لكل من عقدة المرسل وعقدة المتلقي.
- يمكن أيضًا أن يكون عدد النتائج أو جغرافيتها بمثابة سمة من سمات القنوات المخفية. على سبيل المثال، إذا كان لديك خادم DNS داخلي، فقد تشير المكالمات المستمرة إلى عقدة DNS الخارجية أيضًا إلى وجود حالة شاذة.
- تعتبر الأنواع الأخرى من التحليل الإحصائي مفيدة أيضًا للكشف عن القنوات السرية. على سبيل المثال، يمكنك تحليل مستوى الإنتروبيا في أسماء المضيفين لـ DNS. إذا تم نقل المعلومات المخفية في استعلامات DNS، فإن توزيع الأحرف المستخدمة سيختلف عن التوزيع التقليدي.
الأداة التي تسمح لك بمراقبة مثل هذه الحالات الشاذة في حركة مرور الشبكة هي أنظمة فئة NBAD (الكشف عن الشذوذ القائم على الشبكة)، والتي إما تحتوي بالفعل على عدد كبير من القواعد المضمنة أو يمكن تهيئتها بشكل مستقل بعد وضع التدريب.
بالإضافة إلى تحليل الحالات الشاذة، يمكن أيضًا اكتشاف القنوات السرية من خلال دراسة المحتوى في بروتوكولات معينة. يمكن القيام بذلك باستخدام حلول فئة الجيل التالي التقليدية، والتي يمكنها مراقبة انحرافات حركة مرور بروتوكول التطبيق من طلبات RFC، واستخدام أنظمة كشف التسلل. على سبيل المثال، هذا ما يبدو عليه التوقيع الخاص باكتشاف قناة NSTX المخفية في بروتوكول DNS بالنسبة للحل مفتوح المصدر Snort:
تنبيه udp $EXTERNAL_NET أي - > $HOME_NET 53 (رسالة: "نفق DNS محتمل لـ NSTX"؛ المحتوى:"|01 00|"؛ الإزاحة: 2؛ داخل: 4؛ المحتوى: "cT"؛ الإزاحة: 12؛ العمق: 3 ; المحتوى:"|00 10 00 01|";
ملخص
ربما يكون الافتقار إلى العالمية هو العقبة الرئيسية أمام الاستخدام النشط للقنوات السرية ومكافحتها.
تعد القنوات السرية في حركة مرور الشبكة طريقة محددة جدًا وليست عالمية ولها حدودها ونطاقها الخاص. كل قناة سرية لها خصائصها الخاصة، مثل عرض النطاق الترددي، والضوضاء، ووضع الإرسال (ثنائي الاتجاه أو أحادي الاتجاه)، والتي يجب مراعاتها - سواء عند استخدامها أو عند مكافحتها. لا يزال "الحرب والسلام" بقلم ل.ن. لا يمكن نقل تولستوي بسرعة عبر مثل هذه القنوات، كما أن بعض طرق النقل السري تتمتع بمستوى ضوضاء مرتفع جدًا، مما يمنع استخدامها بفعالية في الشبكات العالمية، حيث يمكن للعوامل الخارجية أن تؤثر بشكل كبير على نجاح البث السري.
ربما يكون الافتقار إلى العالمية هو العقبة الرئيسية أمام الاستخدام النشط للقنوات السرية ومكافحتها. هناك عدد كبير من القيود المفروضة على نقل البيانات السرية مما يجعلها مجالًا للتهديدات المستهدفة فقط والتي تم تطويرها لمهمة محددة وعميل محدد. يؤدي هذا الافتقار إلى العالمية إلى فكرة أنه لا يوجد حل سحري في شكل منتج واحد الآن أيضًا، ومن الضروري استخدام مجموعة كاملة من الأدوات والتقنيات لاكتشاف وتحييد نقل البيانات المخفية.
يمكنك معرفة كيفية تكوين MikroTik في دورة تدريبية عبر الإنترنت حول المعدات من هذه الشركة المصنعة. مؤلف الدورة هو مدرب MikroTik معتمد. يمكنك قراءة المزيد في نهاية المقال.
تجيب المقالة على سؤال حول مدى خطورة حظر حركة مرور ICMP.
ICMP هي نقطة خلاف
يعتقد العديد من مسؤولي الشبكات أن بروتوكول رسائل التحكم في الإنترنت (ICMP) يمثل خطرًا أمنيًا وبالتالي يجب حظره دائمًا. صحيح أن البروتوكول به بعض المشكلات الأمنية المرتبطة به، ويجب حظر بعض الطلبات، لكن هذا ليس سببًا لمنع كافة حركة مرور ICMP!
تتمتع حركة مرور ICMP بالعديد من الوظائف المهمة؛ بعضها مفيد لاستكشاف الأخطاء وإصلاحها، والبعض الآخر ضروري للتشغيل السليم للشبكة. فيما يلي بعض الأجزاء المهمة من بروتوكول ICMP التي يجب أن تعرفها. يجب أن تفكر في أفضل طريقة لتوجيههم عبر شبكتك.
طلب الصدى واستجابة الصدى
IPv4 - طلب الصدى (Type8، Code0) واستجابة الصدى (Type0، Code0)
IPv6 - طلب الصدى (Type128، Code0) واستجابة الصدى (Type129، Code0)
نعلم جميعًا جيدًا أن ping هو أحد الأدوات الأولى لاستكشاف الأخطاء وإصلاحها. نعم، إذا قمت بتمكين معالجة حزم ICMP على أجهزتك، فهذا يعني أن مضيفك أصبح الآن قابلاً للاكتشاف، ولكن ألا يستمع مضيفك بالفعل على المنفذ 80 ويرسل استجابات لطلبات العميل؟ بالطبع، قم بحظر هذه الطلبات أيضًا إذا كنت تريد حقًا أن تكون المنطقة المجردة من السلاح (DMZ) الخاصة بك على حافة الشبكة. ولكن من خلال حظر حركة مرور ICMP داخل شبكتك، لن تقوم بتعزيز أمانك، بل على العكس من ذلك، سينتهي بك الأمر مع نظام يتضمن عملية معقدة غير ضرورية لاستكشاف الأخطاء وإصلاحها ("الرجاء التحقق مما إذا كانت البوابة تستجيب لطلبات الشبكة؟"، "لا،" لكن هذا لا يزعجني على الإطلاق، لأنني لا أهتم.»
تذكر أنه يمكنك أيضًا السماح للطلبات بالذهاب في اتجاه معين؛ على سبيل المثال، قم بتكوين الجهاز بحيث تنتقل طلبات Echo من شبكتك إلى الإنترنت واستجابات Echo من الإنترنت إلى شبكتك، ولكن ليس العكس.
مطلوب تجزئة الحزمة (IPv4) / الحزمة كبيرة جدًا (IPv6)
IPv4 – (النوع3، الكود4)
IPv6 – (النوع2، الكود0)
تعتبر مكونات بروتوكول ICMP مهمة جدًا لأنها مكون مهم في Path MTU Discovery (PMTUD)، والذي يعد جزءًا لا يتجزأ من بروتوكول TCP. يسمح لمضيفين بضبط قيمة الحد الأقصى لحجم مقطع TCP (MSS) إلى قيمة تطابق أصغر وحدة MTU على طول مسار الاتصالات بين الوجهتين. إذا كانت هناك عقدة على طول مسار الحزم ذات وحدة نقل قصوى أصغر من المرسل أو المستلم، وليس لديهم الوسائل للكشف عن هذا التصادم، فسيتم تجاهل حركة المرور بهدوء. ولن تفهم ما يحدث مع قناة الاتصال؛ وبعبارة أخرى، "سوف تأتي لك أيام سعيدة."
لا تقم بالتجزئة - لن تمر ICMP!
إن إرسال حزم IPv4 باستخدام مجموعة بتات عدم التجزئة (معظمها!) أو حزم IPv6 (تذكر أنه لا يوجد تجزئة بواسطة أجهزة التوجيه في IPv6) والتي تكون كبيرة جدًا بحيث لا يمكن إرسالها عبر الواجهة، سيؤدي إلى قيام جهاز التوجيه بتجاهل الحزمة وإنشاء استجابة لمصدر الإرسال بأخطاء ICMP التالية: التجزئة مطلوبة ( مطلوب التجزئة)، أو الحزمة كبيرة جدًا ( الحزمة أيضاكبير). إذا تعذر إرجاع الاستجابات التي تحتوي على هذه الأخطاء إلى المرسل، فسيتم تفسير عدم وجود ردود تأكيد حول تسليم حزم ACK ( إعتراف) من جهاز الاستقبال باعتباره ازدحامًا/خسارة ومصدرًا لإعادة إرسال الحزم التي سيتم التخلص منها أيضًا.
من الصعب تحديد سبب هذه المشكلة وحلها بسرعة. تعمل عملية مصافحة TCP بشكل جيد لأنها تتضمن حزمًا صغيرة، ولكن بمجرد حدوث عملية نقل مجمعة للبيانات، تتجمد جلسة النقل لأن مصدر النقل لا يحدث. تلقي رسائل الخطأ.
استكشاف مسار تسليم الحزمة
تم تصميم RFC 4821 لمساعدة المشاركين في حركة مرور الشبكة على التغلب على هذه المشكلة باستخدام اختبار مسار الحزمة (اكتشاف مسار MTU (PLPMTUD). يسمح لك المعيار باكتشاف الحد الأقصى لكمية البيانات (وحدة النقل القصوى (MTU)، والتي يمكن إرسالها بواسطة البروتوكول في تكرار واحد، عن طريق زيادة الحد الأقصى لحجم كتلة البيانات المفيدة تدريجيًا (الحد الأقصى لحجم المقطع (MSS)، من أجل العثور على أقصى حجم ممكن للحزمة دون تجزئتها على طول المسار من جهاز الإرسال إلى جهاز الاستقبال. تعمل هذه الوظيفة على تقليل الاعتماد على استلام استجابات الأخطاء في الوقت المناسب عبر بروتوكول رسائل التحكم عبر الإنترنت (ICMP) وهي متوفرة في معظم مجموعات أجهزة الشبكة وأنظمة تشغيل العملاء، ولسوء الحظ، فهي ليست بنفس كفاءة الحصول مباشرة على بيانات حول أقصى حجم ممكن من الحزم المرسلة، يرجى السماح لرسائل ICMP هذه بالعودة إلى مصدر الإرسال، حسنًا؟
تم تجاوز وقت إرسال الحزمة
IPv4 – (Type11, Code0)
IPv6 – (النوع3، الكود0)
Traceroute هي أداة مفيدة للغاية لاستكشاف أخطاء اتصالات الشبكة بين مضيفين وإصلاحها، مع تقديم تفاصيل كل خطوة من خطوات الرحلة.
يرسل حزمة مع عمر حزمة البيانات لبروتوكول IP (وقت العيش (TTL)متساوي 1 لجعل جهاز التوجيه الأول يرسل رسالة خطأ (بما في ذلك عنوان IP الخاص به) تفيد بأن الحزمة قد تجاوزت وقت بقائها. ثم يرسل حزمة تحتوي على TTL 2 وهكذا. يعد هذا الإجراء ضروريًا لاكتشاف كل عقدة على طول مسار الحزمة.
NDP وSLAAC (IPv6)
التماس جهاز التوجيه (RS) (Type133، Code0)
إعلان جهاز التوجيه (RA) (Type134، Code0)
التماس الجيران (NS) (النوع 135، الرمز 0)
إعلان الجوار (غير متوفر) (Type136, Code0)
إعادة التوجيه (النوع137، الرمز0)
بينما يستخدم IPv4 بروتوكول تحليل العنوان (ARP) لتعيين الطبقتين 2 و3 من نموذج شبكة OSI، يستخدم IPv6 أسلوبًا مختلفًا في شكل بروتوكول اكتشاف الجوار (NDP). يوفر NDP العديد من الميزات بما في ذلك اكتشاف جهاز التوجيه واكتشاف البادئة ودقة العنوان والمزيد. بالإضافة إلى NDP، يسمح لك التكوين التلقائي لعنوان StateLess (SLAAC) بتكوين مضيف على الشبكة ديناميكيًا، على غرار مفهوم بروتوكول التكوين الديناميكي للمضيف (DHCP) (على الرغم من أن DHCPv6 مخصص لمزيد من التحكم الدقيق).
يجب عدم حظر هذه الأنواع الخمسة من رسائل ICMP داخل شبكتك (تجاهل المحيط الخارجي) حتى يعمل بروتوكول نقل بيانات IP بشكل صحيح.
ترقيم نوع ICMP
يحتوي بروتوكول رسائل التحكم بالإنترنت (ICMP) على العديد من الرسائل التي يتم تحديدها بواسطة حقل "النوع".
| يكتب | اسم | تخصيص |
|---|---|---|
| 0 | رد الصدى | |
| 1 | غير معين | |
| 2 | غير معين | |
| 3 | الوجهة غير متاحة | |
| 4 | إخماد المصدر (مهمل) | |
| 5 | إعادة توجيه | |
| 6 | عنوان المضيف البديل (مهمل) | |
| 7 | غير معين | |
| 8 | صدى صوت | |
| 9 | إعلان جهاز التوجيه | |
| 10 | التماس جهاز التوجيه | |
| 11 | لقد تجاوز الوقت | |
| 12 | مشكلة المعلمة | |
| 13 | الطابع الزمني | |
| 14 | الرد بالطابع الزمني | |
| 15 | طلب المعلومات (موقوف) | |
| 16 | رد المعلومات (موقوف) | |
| 17 | طلب قناع العنوان (مهمل) | |
| 18 | الرد على قناع العنوان (مهمل) | |
| 19 | محفوظة (للأمن) | منفرد |
| 20-29 | محفوظة (لتجربة المتانة) | ZSu |
| 30 | مسار التتبع (مهمل) | |
| 31 | خطأ في تحويل مخطط البيانات (مهمل) | |
| 32 | إعادة توجيه مضيف الجوال (موقوف) | ديفيد_جونسون |
| 33 | IPv6 أين أنت (موقوف) | |
| 34 | IPv6 أنا هنا (موقوف) | |
| 35 | طلب تسجيل الهاتف المحمول (موقوف) | |
| 36 | الرد على تسجيل الهاتف المحمول (موقوف) | |
| 37 | طلب اسم النطاق (موقوف) | |
| 38 | الرد على اسم النطاق (مهمل) | |
| 39 | تخطي (مهمل) | |
| 40 | فوتوريس | |
| 41 | رسائل ICMP التي تستخدمها بروتوكولات التنقل التجريبية مثل Seamoby | |
| 42 | طلب صدى ممتد | |
| 43 | رد الصدى الموسع | |
| 44-252 | غير معين | |
| 253 | تجربة نمط RFC3692 1 | |
| 254 | تجربة نمط RFC3692 2 | |
| 255 | محجوز |
بضع كلمات حول حدود السرعة
على الرغم من أن رسائل ICMP مثل تلك الموضحة في هذه المقالة يمكن أن تكون مفيدة جدًا، تذكر أن إنشاء كل هذه الرسائل يستغرق وقتًا من وحدة المعالجة المركزية (CPU) على أجهزة التوجيه الخاصة بك ويولد حركة المرور. هل تتوقع حقًا أنك ستحصل على 1000 ping في الثانية من خلال جدار الحماية الخاص بك في الوضع الطبيعي؟ فهل تعتبر هذه حركة مرور عادية؟ على الاغلب لا. الحد من عرض النطاق الترددي للشبكة لهذه الأنواع من حركة مرور ICMP كما تراه مناسبًا؛ يمكن أن تساعدك هذه الخطوة في تأمين شبكتك.
اقرأ وابحث وافهم
بالنظر إلى أن مناقشة موضوع "حظر أو عدم حظر" حزم ICMP تؤدي دائمًا إلى الارتباك والنزاعات والخلافات، أقترح الاستمرار في دراسة هذا الموضوع بنفسك. لقد قدمت العديد من الروابط على هذه الصفحة، وأعتقد أنه من أجل فهم أكثر اكتمالا للقضايا، يجب عليك قضاء بعض الوقت في قراءتها. وقم باختيارات مستنيرة بشأن ما يناسب شبكتك بشكل أفضل.
MikroTik: أين تنقر لتشغيله؟
مع كل مزاياها، فإن منتجات MikroTik لها عيب واحد - هناك الكثير من المعلومات المتناثرة وغير الموثوقة دائمًا حول تكوينها. نوصي بمصدر موثوق باللغة الروسية، حيث يتم جمع كل شيء بشكل منطقي ومنظم - دورة فيديو " إعداد أجهزة MikroTik" تتضمن الدورة 162 درسًا بالفيديو و45 عملاً مختبريًا وأسئلة الاختبار الذاتي والملاحظات. تبقى جميع المواد معك إلى أجل غير مسمى. يمكنك مشاهدة بداية الدورة مجاناً من خلال ترك طلب على صفحة الدورة. مؤلف الدورة هو مدرب MikroTik معتمد.
ستوضح لك هذه المقالة القصيرة كيفية استخدام جهازي كمبيوتر وبعض الأدوات الممتعة ونظام التشغيل للوصول إلى الإنترنت اللاسلكي حيثما أمكن ذلك. لقد وصفت الجانب الفني بوضوح تام وقدمت تعليقات.
1 المقدمة.
لقد حصلت للتو على أول كمبيوتر محمول خاص بي وأردت أن أحاول القيام بشيء غير لائق به (حتى أنني حاولت القيام ببعض الأعمال، لكن الأمر كان مملاً للغاية)
:)). كانت قيادة السيارات نشاطًا ممتعًا للغاية في البداية، لكنني شعرت بالملل قليلاً عندما أدركت أن الشبكات محمية
يعد WEP صعبًا للغاية بالنسبة لي (نظرًا لعدم وجود حركة مرور على الشبكة الداخلية - يمكن اعتبار الشبكات ميتة)، والشبكات غير المحمية ليست ذات أهمية على الإطلاق. ولحسن الحظ، كانت الشبكة اللاسلكية في حرم كليتي أكثر إثارة للاهتمام.
توفر الشبكة إنترنت لاسلكي مجاني، ولكنها تتطلب منك تسجيل عنوان MAC الخاص بك باسمك قبل السماح بالوصول - تتم إعادة توجيه المستخدمين غير المسجلين إلى صفحة الموفر (صفحة التسجيل). كان التسجيل يتطلب محادثة لمدة دقيقتين مع المسؤول، لكنني فكرت: "ربما
طريقة للوصول دون مثل هذا التواصل؟ بالطبع كان كذلك.
2. الطريقة الأولى للاختراق هي خداع MAC.
نظرًا لأن كل شيء يتمحور حول عنوان MAC، فإن أول ما يتبادر إلى ذهنك هو
كان اكتشاف عنوان MAC المسجل بالفعل والتعامل معه
انتحال. بالطبع، من السهل التحدث، لكنه لا يتطلب أي جهد تقريبًا، حتى مع الأخذ في الاعتبار أنني لم أفعل ذلك من قبل.
أول شيء فعلته هو تشغيل kismet ("kismet -c orinoco,eth1,wifi") واستنشاق الشبكة. يقوم Kismet بحفظ كل ما قمت بتنزيله
معلومات إلى ملف ("/var/log/kismet/*.dump" في حالتي)، يمكن عرض نتائج الاستنشاق كما هي
إيصالات. ونتيجة لذلك، تمكنت من عرض كافة المعلومات و
اكتب عنوان MAC المناسب.
الأوامر المستخدمة لتغيير عنوان MAC لبطاقة الشبكة:
ifconfig eth1 لأسفل
killall dhclient
ifconfig hw الأثير 00:11:22:33:44:55
إذا كان التكوين eth1 يصل
dhclient eth1
ليست كل الأوامر ضرورية، ولكنها مفيدة جدًا عندما تحاول تغيير عدة عناوين MAC واحدًا تلو الآخر، وهو ما قد يؤدي إلى تفاقم المشكلة
لقد كان مفيدًا بالنسبة لي، لأنه... عنوان MAC الذي حاولت تغييره لم يعمل على الفور. لقد تم حظري، وتعطلت الشبكة ولم أتمكن من العودة مرة أخرى، مما جعلني أتعامل مع بعض الأخطاء المزعجة قليلاً
في النظام الخاص بك. ولعل هذه المشاكل
ظهرت بسبب البرامج الثابتة التي تجرها الدواب، أو ربما بسبب وجود بطاقة شبكة بالفعل بنفس عنوان MAC على الشبكة.
لم تكن جميع محطات العمل نشطة، وكان استخدام kismet لعرض النتائج فور ظهورها غير فعال، لذلك جربت طريقة أخرى.
على الشبكة، تم إجراء تصفية عنوان MAC بمستوى عالٍ إلى حد ما. يمكنني الوصول إلى الشبكة في أي وقت، لأنه... عندما حاولت الانضمام، تم نقلي إلى صفحة تطلب مني التسجيل.
بطبيعة الحال، أثناء التفكير في المضيفين النشطين، تبادر إلى ذهني nmap. لذلك بدأت في التحقق من نطاق IP للمحطات النشطة.
ماركتوين:~# nmap -sP 10.0.0.1/22
بدء تشغيل nmap 3.81 (http://www.insecure.org/nmap/) في 2005-05-23 الساعة 12:54 بتوقيت شرق الولايات المتحدة
يبدو أن المضيف 10.1.0.14 قد بدأ العمل.
عنوان MAC: 00:0E:35:97:8C:A7 (إنتل)
يبدو أن المضيف 10.1.0.95 جاهز.
يبدو أن المضيف 10.1.0.109 جاهز.
عنوان MAC: 00:0D:54:A0:81:39 (3Com Europe)
...قص...
يبدو أن المضيف 10.1.2.92 قد بدأ العمل.
عنوان MAC: 00:02:2D:4D:1C:CE (أنظمة Agere)
يبدو أن المضيف 10.1.2.187 جاهز.
عنوان MAC: 00:02:2D:4D:1C:43 (أنظمة Agere)
تم الانتهاء من Nmap: تم فحص 1024 عنوان IP (20 مضيفًا) في 53.980 ثانية
مجموعة من عناوين MAC. معظم
جدول العناوين الناتج (كما أفترض) هو عناوين MAC للأجهزة التي زارت الشبكة خلال الأيام القليلة الماضية. كان هناك 245 MAS مختلفًا في الجدول
عناوين. لا أعرف إذا كان هذا سلوكًا طبيعيًا بالنسبة لك
نقاط الوصول، ولكن أعتقد أن الرجال بحاجة إلى شيء
التغيير في توزيع الانترنت على أي حال، لدي الآن ما يكفي من عناوين MAC للأجهزة التي زارت الشبكة، ولكن على الأرجح غادرت منذ فترة طويلة. بضع محاولات انتحال وكنت أتوجه بالفعل إلى neworder.box.sk...
3. المحاولة رقم 2 - نفق ICMP.
لقد أنجزت كل ما أردت، ولكن لا يزال هناك مجال للحفر في هذه الشبكة. ولكن ماذا
يمكنني أن أفعل ذلك إذا لم تكن هذه الشبكة موجودة
لن يكون سيارة واحدة مملوكة لي؟ لو
ألن يفتح nmap ويعرض كل عناوين MAC هذه؟ وعلى أية حال، قررت أن أجرب طريقة مختلفة للوصول.
لم يتم ذكر ذلك من قبل، ولكن تجاوز النظام
توزيع الإنترنت يمنح الإذن، وDHCP، تسمح الشبكة لرسائل ICMP بالمرور بحرية. التحقق من نشاط أي موقع إنترنت يعمل بشكل مثالي (لا أستطيع حقًا أن أفهم سبب عدم حظره - إلا إذا نسوا)، الأمر ping
تم اكتشافه حتى على أداة الشم التي كانت تعمل على الخادم الخاص بي.
كانت خطتي هي محاولة إنشاء نفق بين جهاز الكمبيوتر المحمول الخاص بي في الجامعة والخادم في المنزل. وتمرير كافة الاتصالات من خلاله.
لقد بحثت عن تطبيقات أنفاق ICMP على الإنترنت، ولكن لم يعمل أي منها بالطريقة التي أردتها (على وجه التحديد، أردت أن تكون بسيطة - بحيث إذا قمت بتشغيل متصفحي المفضل أو أي برنامج آخر، فإنه سيعمل فقط مع النفق) أو على الأقل
بدا سهل الهضم.
4. القليل من الترميز.
في البداية لم أخطط لترميز أي شيء. لقد قمت للتو بتجربة بعض تطبيقات نفق ICMP
مع Packetstorm، ولكن فجأة وجدت نفسي أقرأ الكود المصدري لأحدهم، وأدرك مدى بساطته المذهلة، ومدى سهولة القيام بشيء كهذا. اسم البرنامج – itunnel –
أداة شائعة لنفق ICMP. Itunnel رائع. لكنه مجرد نفق. تقوم بتشغيله على جهاز واحد، وفي النهاية يبدو أنك قمت بتوصيل جهازين
بطاقات الشبكة معا. لم يكن ذلك كافيا لما أردت القيام به.
لقد سمعت بالفعل عن وحدة kernel TUN/TAP، والتي تسمح لعمليات المستخدم باستقبال وإرسال حزم المعلومات مباشرة من/إلى kernel.
يقوم البرنامج بإنشاء واجهة شبكة افتراضية.
يقوم بإنشاء واجهة الشبكة التي
يعمل بالضبط نفس الشيء
معيار الشيء الأكثر إثارة للاهتمام هو ذلك
يجب على برامج المستخدم
بمثابة طبقة مادية للواجهة
نفق. يجب عليهم قراءة حزم المعلومات من
ملف الجهاز (على سبيل المثال، "/dev/net/tun0") وإعادة توجيهها بأي وسيلة وكتابة حزم الاستجابة
العودة إلى الملف.
لم أتمكن من العثور على أي مورد جيد
بواسطة TUN/TAP، ولكن هناك برنامج - vtun - يستخدم TUN/TAP لأنفاقه، لذلك
لقد استخدمت مصادر فتون. بعد قليل من البحث، تبين أن هناك مكتبة صغيرة من الوظائف المستخدمة للإنشاء والقراءة منها والكتابة للضبط*
الأجهزة. لماذا يجب أن أكتب برنامجًا بنفسي إذا كان من الممكن القيام بذلك عن طريق إصلاح بعض البتات؟
الكود الذي كتبته بالفعل:
#تتضمن "driver.h" /* أعلن مكتبة vtun */
#يشمل
#يشمل
/* تم تعديل main() قليلاً من itunnel
*/
int run_icmp_tunnel (معرف int، حجم الحزمة int، char *desthost، int tun_fd)؛
/* الوحدة القصوى - الحد الأقصى
حجم الحزمة المغلفة
*/
كونست إنت متو = 1400؛
int main(int argc, char **argv) (
شار * ديف؛
int tun_fd = 0;
/* إنشاء جهاز النفق */
dev = (char *) malloc(16);
إذا (ديف == NULL) (
printf("إذا لم تواجهك مشكلات من قبل
تخصيص 16 بايت\"
"الذاكرة هي المرة الأولى لك. Fatal.n");
العودة 1؛
}
ديف = 0;
/*
وظيفة مكتبة جميلة
من vtun يقبل سلسلة فارغة كـ*
*
الوسيطة، تقوم بإنشاء جهاز tunX و
يمرره إلى *dev */
tun_fd = tun_open(dev);
إذا (tun_fd< 1) {
printf("غير قادر على إنشاء جهاز. Fatal.n");
العودة 1؛
}
آخر(
printf("تم إنشاء جهاز الأنفاق: %sn"، dev);
}
/* 7530 هو حقل معرف ICMP،
تستخدم للحزم في النفق
*/
run_icmp_tunnel(7530, mtu, argv, tun_fd);
tun_Close(tun_fd, dev);
}
هنا هو. ومعظمها عبارة عن تعليقات وتدقيق للأخطاء
كما ذكرت سابقًا، يعتبر itunnel مثاليًا لبناء الأنفاق. لديها وظيفة رئيسية وهي
الملفات المفتوحة للإدخال والإخراج والمقبس؛ أيضًا
لقد تلقيت بعض المعلمات لسطر الأوامر (والتي قد تكون مفيدة لأغراضي). بعد ذلك، أطلق عليها اسم وظيفة مجردة قليلاً، والتي تنقل في الأساس حزمًا من المعلومات. رأس ICMP مجاني
موصوف في الكود ويمكن تغييره بسهولة إلى أي رأس آخر،
يمكن تكوين الإدخال/الإخراج/المقبس وفقًا لبعض الدوائر المنطقية الأخرى - ستعمل الوظيفة مع الحد الأدنى من التعديلات.
كان التغيير الأكبر الذي قمت به هو إزالة جميع عمليات التلاعب بسطر الأوامر - مما يعني بشكل أساسي إزالة عدة كتل من التعليمات البرمجية. والأهم من ذلك بالنسبة لمنطق النفق، أنني قمت بإزالة التمييز بين الإدخال والإخراج لأنهما كلاهما
تعليق على نفس الواصف (جهاز tunX) -
لقد أعطتني ذلك بدلاً من التصرف مثل
netcat وإعادة توجيه stdin إلى مقبس ICMP ومقبس ICMP إلى stdout،
يرسل الإشارة الصادرة إلى جهاز tunX (مثل طلبات http من المتصفح) إلى ICMP
مأخذ التوصيل ومخرج مقبس ICMP (كما لو كان HTTP
تم إرسال الطلبات من الخادم مرة أخرى
عبر النفق) إلى جهاز tunX (إلى
سيعود مرة أخرى إلى المتصفح). وبما أن الجملة الأخيرة طويلة جدًا ومعقدة، فأنا أقدم رسمًا تخطيطيًا صغيرًا للتوضيح:
تتبع حزم معلومات الاستجابة نفس المسار، ولكن
الطريق الاخر.
في مرحلة ما، شعرت بالجنون بدرجة كافية وكتبت سطرًا جديدًا من التعليمات البرمجية. تبدو هكذا:
memcpy(&(target->sin_addr.s_addr), &(from.sin_addr.s_addr), 4);
وتتمثل مهمتها في البدء في إرسال كافة حزم المعلومات إلى المكان الذي وصلت إليه الحزمة الأخيرة. أنا استطيع
تشغيله على الخادم الخاص بي والاتصال
من أي مكان إرسال حزمة عبر النفق
ويقوم على الفور بتغيير IP الخاص بالمستلم إلى IP
جهاز الكمبيوتر المحمول الخاص بي.
يمكنك أخذ النتيجة من هنا:
5. تركيب الأنفاق.
لقد اختبرت النفق في المنزل وكان يعمل بشكل جيد، ولكن لم يكن هناك جدار حماية في المنزل. وفي اليوم التالي في الجامعة كنت مستعدًا لاختباره في الحياة الواقعية. بالصدفة، أثناء جلوسي على طاولة في مقهى، عثرت على عنوان MAC باستخدام الانتحال وقمت بإنشاء نفق.
من الصعب أن أتذكر كل الأشياء الغبية التي قمت بها والتجارب الصغيرة التي قمت بها، لذلك حاولت أن أجعل هذا الجزء منظمًا قدر الإمكان. في الواقع، لم أفعل كل شيء بهذا الوضوح.
لجعل كل شيء يعمل بالنسبة لي
استغرق الأمر 3 ساعات وحاولت كل ما بوسعي بينما كنت أستنشق كل ما أستطيع وعدّل الكود بحيث يهتف "حزمة!" عندما يتلقى حزمة من المعلومات، وشيء مزعج عندما يرسل الحزمة الخاصة به. وما إلى ذلك وهلم جرا.
قمت بتشغيل هذه الأوامر على الخادم:
tsee-diees:~# ./create_tun wifi.ttu.ee
جهاز النفق الذي تم إنشاؤه: tun0
توقف ./create_tun wifi.ttu.ee
tsee-diees:~# ifconfig tun0 mtu 1400 192.168.3.1 up
tsee-diees:~# مسار إضافة 192.168.3.2 tun0
tsee-diees:~# Tethereal -i eth0 -f "icmp"
اعتقدت أن هذا سيعمل على الفور وقمت بتشغيل هذا على الكمبيوتر المحمول الخاص بي:
ماركتوين:~# ./create_tun 194.204.48.52
جهاز النفق الذي تم إنشاؤه: tun0
متوقف ./create_tun 194.204.48.52
ماركتوين:~# ifconfig tun0 mtu 1400 192.168.3.2 up
marktwain:~# مسار إضافة 192.168.3.1 tun0.1
ماركتوين:~# Tethereal -i eth0 -f "icmp"
ما كان علي فعله هو الإنشاء
شبكة بها مضيفان - خادم باسم 192.168.3.1 وجهاز كمبيوتر محمول باسم 192.168.3.2. شبكة LAN عادية بسيطة، وستكون طبقتها المادية فقط هي نفق ICMP. مثلك على الأرجح
يفهم من النص المتبقي في المقال
الطريقة لم تنجح حقا. لقد بدأت تنفيذ الأمر ping ("ping 192.168.3.1")، لكن الحزم لم تصل بعد.
لحسن الحظ، أعطاني المتشمم الموجود على الكمبيوتر المحمول فكرة بسيطة - كانت حزم ICMP عبارة عن ردود مرتجعة. بالطبع لا يفعلون ذلك
كانوا يغادرون. لذلك نقوم بإغلاق النفق، وتمكين itunnel على الكمبيوتر المحمول واستخدام استجابات icmp العكسية (تغيير "icmp->type = 0;" إلى "icmp->type = 8;")، وإعادة النفق.
النظام لا يزال لا يعمل، ولكن هذه المرة الحزم
ظهر على الشم على الخادم.
ماذا يمكن أن يكون الخطأ؟ لقد جربت تعديلًا واحدًا كان من المفترض أن يصرخ "حزمة!" عندما تصل الحزمة التالية، لكن علامات التعجب لم تفعل ذلك
نشأت. تساءلت: "لماذا، في الواقع، إذا تم تثبيت جدار الحماية، فهل يجب حظر جميع حزم ICMP من الإنترنت؟" بعد مرور بعض الوقت، أدركت أن هذا هو الحال بالفعل (تم حظر جميع حزم ICMP من الإنترنت).
بالفعل أفضل. النفق يهتف "حزمة!" ، ويمكن رؤية الردود على أداة الشم الموجودة على الخادم. في الواقع، هناك استجابتان لكل طلب، يمكن رؤية واحدة فقط منهما على أداة الشم الموجودة على الكمبيوتر المحمول. وما زال الأمر ping لا يعمل.
نظرًا لأن إحدى الحزمتين زائدة عن الحاجة، فقد طلبت من النواة عدم الرد على عمليات إعادة النشر لـ icmp:
tsee-diees:~# echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
وبدأت الأصوات بالمرور! في هذه المرحلة، كنت لا أزال أعتمد على عنوان MAC المخادع للوصول إلى الخادم. نظرًا لأن الفكرة كانت تتمثل في نقل الحزم في كلا الاتجاهين من مستخدم غير مسجل، فقد توقفت عن انتحال عناوين MAC. وفي الوقت نفسه، استمر النفق في العمل، وكانت هذه مفاجأة سارة إلى حد ما.
تم إنشاء تدفق الحزم، وحان الوقت لتشغيل "الإنترنت".
هناك حاجة لإجراء بعض التغييرات على IP
التوجيه على جهاز كمبيوتر محمول. المسار من خلال
كان لا بد من استبدال جهاز التوجيه اللاسلكي الخاص بالجامعة بعنوان نفق الخادم (192.168.3.1 في هذه الحالة). لا تزال هناك حاجة إلى وجود مسار إلى الخادم حتى يتمكن النفق نفسه من العمل (تحتاج حزم نفق ICMP أيضًا إلى مسار لتتبعه).
حصلت على بعض النتائج الجيدة:
marktwain:~# إضافة المسار 194.204.48.52 gw 10.0.0.111 # من خلال جهاز التوجيه اللاسلكي
ماركتوين:~# المسار الافتراضي
marktwain:~# مسار إضافة الافتراضي gw 192.168.3.1 # كل شيء آخر من خلال النفق.
وبما أنني ذكي نوعًا ما، اعتقدت أنه قد يكون هناك عدم تطابق بينهما
عدد الحزم المرسلة من وإلى الخادم. لقد بدأت بينغ
في الخلفية لتتبع الوضع:.
ماركتوين:~# ping 194.204.48.52 -i 0.2
PING 194.204.48.52 (194.204.48.52) 56(84) بايت من البيانات.
وبطبيعة الحال، لم تكن هناك ردود، لأن هذه لم تكن "أصوات النفق"، وكانت الردود من النواة
أطفئ.
منذ أن تم تدريب الخادم الخاص بي بالفعل
مشاركة اتصال الإنترنت بين عدة أجهزة كمبيوتر، كل ما كان علي فعله على الخادم هو إضافة قاعدتين لـ
سلسلة FORWARD في iptables لقبول الحزم من وإلى tun0. عندما كنت أتحقق بشكل روتيني من القواعد الحالية ("iptables -vL FORWARD")، انقطع الاتصال فجأة. لقد اتصلت مرة أخرى وبحثت في هذا الموضوع ،
ولكن سرعان ما انقطع الاتصال مرة أخرى. لقد فوجئت حقًا - لماذا الاتصال غير مستقر إلى هذا الحد؟
بعد التفكير، أدركت أنه في كل مرة يرسل الخادم استجابة ICMP كبيرة
(بعد كل شيء، كان رأس ping فقط 1400+)، تم رفضه
المعدات نفسها. منذ أن كان النفق ماديا
على مستوى IP، حاول TCP بشكل طبيعي إرسال الحزم مرة أخرى، لكن الحجم ظل كما هو، وتم التخلص منها. لذلك قمت بتغيير MTU للنفق إلى 300 (in
عموما عن طريق الصدفة)
ماركتوين:~# ifconfig tun0 mtu 300
tsee-diees:~# ifconfig tun0 mtu 300
وعمل النظام برمته.
6. الاستنتاج.
الآن افعل ذلك بنفسك.
القنوات المخفيةهي إحدى طرق إخفاء الأعمال أو تنفيذ الهجمات، والتي تستخدم لنقل المعلومات بشكل سري أو غير مصرح به أو غير قانوني. بمساعدة القنوات المخفية، يمكن تسريب المعلومات أو، على العكس من ذلك، يمكن إدخال المعلومات إلى المنظمة. يمكن تشبيه القناة المخفية على الإنترنت بمقصورة سرية في حقيبة، حيث يمكن للمهاجم أن يحاول إخفاء وثائق سرية من أجل تهريبها عبر مدخل منشأة أمنية. على الإنترنت، يمكن للمهاجمين استخدام القنوات المخفية لنقل مواد سرية دون أن يتم اكتشافها - في هذه الحالة، تعمل آليات أمان الشبكة كبوابة أمنية. مثلما قد يقوم الجاسوس بإخفاء سلاح في نفس الحجرة السرية لإخفائه عن الأمن و اخترقوإلى جانب ذلك إلى المنشأة، على الإنترنت، يمكن للمهاجمين استخدام القنوات المخفية لنقل الأسلحة السيبرانية سرًا، على سبيل المثال، لتنزيل البرامج الضارة من خادم خارجي إلى عقدة في الشبكة الخاصة للمؤسسة.
فهم القنوات السرية على الإنترنت
يمكن أن تعتمد القنوات السرية على الإنترنت على الاستخدام غير التقليدي لبروتوكولات الإنترنت المألوفة. يجب أن تستخدم نقاط النهاية لقناة منفصلة - الكمبيوتر المصاب ومركز قيادة المهاجمين - برامج خاصة قادرة على التعرف على مثل هذه التقنيات غير التقليدية ومعالجتها لمهاجمة الإجراءات أو إخفائها. يمكن تثبيت هذه البرامج بواسطة المستخدم نفسه أو بواسطة برامج ضارة أو بواسطة مهاجمين يستخدمون أدوات الإدارة عن بعد (RAT). تختلف قنوات الإنترنت السرية عن الأنفاق المشفرة. يمكن نقل المعلومات من خلالها بشكل غير مشفر (يحدث هذا غالبًا)، لكن هذه القنوات نفسها مخفية عن الغرباء. ليست هناك حاجة لاستخدام التشفير أو مفاتيح التشفير في هذه الحالة، ولكن في بعض الأحيان لا تزال القنوات السرية تستخدم طرقًا مختلفة لتشفير البيانات أو تشويشها.
دعونا ننظر إلى مثالين. الأسلوب الأول هو نقل المعلومات بشكل سري حرفًا واحدًا في كل مرة إلى حقل المعرف (ID) لرأس حزمة بروتوكول الإنترنت (IP). في التطبيقات الشائعة لهذه التقنية، يتم ضرب رموز ASCII للأحرف في 256 لإنشاء قيم 16 بت يتم استبدالها في حقل المعرف. لإرسال اختصار ICANN، سيكون من الضروري إرسال 5 حزم IP مع قيم حقل المعرف التالية:
| حقيبة بلاستيكية | قيمة ASCII العشرية | معرف حزمة IP (x256) |
| 1 | 71 ("أنا") | 18176 |
| 2 | 67 ("ج") | 17152 |
| 3 | 65 ("أ") | 16640 |
| 4 | 78 ("ن") | 19968 |
| 5 | 78 ("ن") | 19968 |
يقوم الكمبيوتر المستقبل بفك تشفير قيمة حقل معرف حزمة IP عن طريق قسمة القيمة الناتجة على 256. إن إرسال مثل هذه القيم لا يثير أي شك، وبما أن بروتوكول IP يسمح بنقل الحزم المكررة، فإن احتمالية حدوث ذلك حركة المرور التي يتم اكتشافها منخفضة. يتم تعويض السرعة البطيئة بتسلل ناقل الحركة.
تتضمن التقنية الثانية لإنشاء قناة سرية استخدام حمولة البروتوكول، أي المعلومات التقنية المرسلة في إطار البروتوكول المحدد. في هذه الحالة، تتم إضافة البيانات إلى طلبات واستجابات ECHO - وهي رسائل خدمة يتم استخدامها في بروتوكول رسائل التحكم بالإنترنت، أو ICMP. يتم استخدام رسائل ECHO في خدمة مشتركة بينغ. غالبًا ما يستخدم مسؤولو الشبكة اختبار ping للتحقق من إمكانية الوصول إلى مضيف بعيد، لذلك يُسمح عادةً بحركة مرور حزم ICMP ECHO من خلال أدوات أمان الشبكة مثل جدران الحماية.
إذا كنت مهتمًا بمعرفة المزيد حول هذه التقنيات، فاطلع على المقالات التالية: أسئلة وأجوبة حول القنوات السرية والقنوات السرية عبر ICMP (ملف PDF بحجم 740 كيلوبايت).
إضافي. قنوات DNS السرية
يحتوي بروتوكول نظام اسم المجال (DNS) على عدد من الخصائص التي تجعل من السهل استخدام القنوات السرية. يُسمح بحركة مرور DNS عبر جدران الحماية في كلا الاتجاهين. غالبًا ما يتم التغاضي عن مخاطر استخدام DNS لإنشاء قنوات سرية أو التقليل من شأنها، ولهذا السبب لا تقوم المؤسسات أو مقدمو خدمات الإنترنت دائمًا بفحص حركة مرور DNS بحثًا عن علامات الهجمات. في بعض الأحيان يتم تسريب حركة مرور DNS إلى شبكة الإنترنت الأوسع لتحليل الأسماء قبل إجراء وظائف التفويض أو مصادقة المستخدم، مما يسمح باستخدام قنوات DNS السرية لتجاوز عناصر التحكم في الوصول هذه.
في مقالتنا التالية، سنغطي كيفية استخدام قنوات DNS السرية لاستخراج البيانات أو تجاوز عناصر التحكم في الوصول أو تنزيل البرامج الضارة.
-
17 أبريل 2015مصباح الملح "زهرة الحجر" -
17 أبريل 2015طرق مثمرة لقضاء الوقت على الإنترنت -
17 أبريل 2015كيفية تثبيت تطبيق سوق بلاي على جهاز كمبيوتر محمول
