معرفی حمله مرد میانی (Man-in-the-Middle) و راه های مقابله با آن

با پیشرفت تکنولوژی و علم کمتر کسی پیدا می شود که کلمه ی هک یا هکر به گوشش نخورده باشد.حتی اگر قصد سوئ استفاده از اطلاعات کسی را نداشته باشیم، برای ما پیش آمده که در خصوص اطلاعات شبکه های اجتماعی اطرافیانمان کنجکاو شویم و برای هک اکانت تلگرام آنها وسوسه شویم. ما در عصر دیجیتالی زندگی می کنیم که در آن امنیت سایبری مهم تر از امنیت فیزیکی است. در واقع هک عملی غیر اخلاقی و غیر قانونی است و هکر بدون اجازه ی دسترسی، به سیستم رایانه ای مانند موبایل، کامپیوتر و… فردی نفوذ می کند. این روزها هکر ها تلاش می کنند تا انواع مختلفی از هک را اجرا کنند. البته لازم به ذکر است هکر ها به دو دسته ی هکر های مفید و هکر های مضر تقسیم می شوند. یکی از انواع هک ها که دنیای اینترنت را تهدید می کند، حمله ی مرد میانی (Man-in-the-Middle) یا به اختصار MITM است که در اینجا به توضیح کامل آن و روش های مقابله با آن خواهیم پرداخت.

حمله مرد میانی Man-in-the-Middle چیست؟

حمله ی مرد میانی (Man-In-The-Middle با مخفف MITM) به عنوان یکی از خطرناک ترین حملات در شبکه های کامپیوتری شناخته شده است و علتش هم این است که در بیشتر اوقات کاربران نمی دانند که به آنها حمله شده و اطلاعاتشان مورد سو استفاده قرار گرفته شده است.

در این حمله همانطور که از نامش مشخص است، مهاجم در بین راه ارتباطی دو دستگاه با مقاصدی همچون بررسی و جاسوسی اطلاعات ، دستکاری اطلاعاتی که بین این دو دستگاه رد و بدل می شود قرار می گیرد. به عبارتی دیگر، هکر یا مهاجم در درخواست هایی که از سوی کاربر به سرور ارسال می شود، مانند یک واسطه به نفوذ و جاسوسی می پردازد.

در حقیقت در ارتباط های اینترنتی، ترافیک بین دو کامپیوتری که در ارتباط با یکدیگر قرار دارند رد و بدل می شود. به عنوان نمونه، کاربر ۱ و ۲ از طریق اینترنت در حال ارسال اطلاعات و یا در حال مکالمه با یکدیگرند و اطلاعات بین این دو کاربر رد و بدل می شود. در این نوع حمله، هکر کاربران را متقاعد می کند که در حال ارتباط با یکدیگر هستند و در حال صحبت با یکدیگر به‌طور مستقیم در طول یک اتصال خصوصی می باشند. اما در واقع اطلاعاتی که بین آن ها منتقل می شود از سیستم هکر می‌گذرد و توسط او کنترل می شود. بنابراین هکر می تواند به راحتی تمام اطلاعات را بررسی کند و در آن ها جاسوسی کند. این اطلاعات می تواند شامل رمز عبور، نام کاربری آن ها، تمامی گفتگو‌ ها و اطلاعات ردوبدل شده باشد.

کارهایی که هکر می تواند در طی حمله MITM انجام دهد

هکر ها در کمین پیدا کردن کوچکترین راه نفوذی برای جاسوسی و دسترسی به اطلاعات شخصی شما هستند. در حمله مرد میانی هکر می تواند به اطلاعات شما دست پیدا کند همچنین می تواند آن ها را نیز دستکاری کند. در اینجا به بخشی از کار هایی که هکر در این حمله می تواند انجام دهد اشاره می کنیم:

• هکر می تواند شما را به سایت های بی ربطی که مقصود شما نیست هدایت کند و آن ها را در سیستمتان باز کند.
• او امکان این را دارد فایل هایی که دانلود کرده اید را با هر فایلی که می خواهد جایگزین کند.
• هکر می تواند به تاریخچه ی مرورگر شما دسترسی پیدا کند همچنین تایپ های شما را می تواند ببیند. بنابراین از این طریق، امکان دسترسی به رمز های عبور شما را نیز خواهد داشت.
• مهاجم یا هکر می تواند در صورت باز بودن پورتی به سیستم شما وصل شود.

ممکن است با خواندن این موارد دچار اضطراب شوید اما باید گفت که جای نا امیدی نیست و شما می توانید خیلی ساده با در نظر داشتن یک سری نکات ، از این نوع حملات محفوظ بمانید. در ادامه برای شما روش های مقابله با حمله مرد میانی را آموزش خواهیم داد.

حمله مرد میانی به چه صورت انجام می شود؟

همانطور که گفتیم، این حمله با هدف دسترسی به اطلاعات ردوبدل شده بین دو کاربر اتفاق می افتد که به نوعی می توان گفت استراق سمع است. حمله مرد میانی می تواند در دو لایه اتفاق بیفتد. در اینجا به توضیح بیشتر آن ها خواهیم پرداخت.

حمله در لایه 2

حمله در لایه ی دو به این صورت است که مهاجم یا هکر آدرس MAC را که در لایه دو وجود دارد جعل می کند. سپس او دستگاه های موجود در شبکه LAN را متقاعد می کند که آدرس لایه دو خودش (هکر)، آدرس لایه دو default gateway می باشد. ARP poisoning را برای این عمل نامگذاری کرده اند.

اکنون فریم هایی که قرار بوده به default gateway ارسال شوند، بر اساس آدرس لایه دو به مهاجم ارسال می شوند. پس از رسیدن فریم ها به دست مهاجم، می تواند استفاده خود را بکند و سپس آن ها را به مقصد درست ارسال کند. به همین علت است که کاربران متوجه حمله نمی شوند.

برای اینکه بتوانید از جعل لایه دو توسط هکر پیشگیری کنید، از تکنیک هایی مانند Dynamic ARP Inspection (DAI) در سوئیچ بهره بگیرید.

هکر می تواند سوئیچی را نیز در شبکه قرار بدهد و (Spanning Tree Protocol (STP را در آن تنظیم کندو سوئیچ را به root switch تبدیل کند. در این حالت تمام ترافیک هایی را که باید از root switch عبور کنند را می بیند و از این راه حمله ای را به وجود آورد.

می توانید از مکانیزم امنیتی root guard برای حفاظت از پروتکل Spanning Tree استفاده کنید.

حمله در لایه 3

این حمله در لایه ی سه به گونه ای است که هکر یک روتر غیر مجاز در شبکه قرار می دهد و از این طریق سایر روتر ها را فریب می دهد که این روتری جدید و با بهترین مسیر است.

بنابراین در این حالت از طریق این روتر غیر مجاز، ترافیک شبکه جریان پیدا می کند و باعث می شود هکر این امکان را داشته باشد تا بتواند دیتا شبکه را سرقت کند.

برای کاهش این گونه حملات می توانید برای پروتکل های مسیریابی از authentication استفاده کنید و یا از فیلترینگ برای جلوگیری از ارسال و دریافت update های مرتبط با مسیریابی روی اینترفیس های خاص استفاده کنید.

چگونگی حفاظت از خود در برابر این نوع حمله

این نوع از هک در مکان های عمومی که سرویس های وای فای به طور رایگان ارائه می دهند اتفاق می افتد. مکان هایی مانند کافی شاپ ها، رستوران ها، ایستگاه های قطار و مترو، کتابخانه ها و دیگر مکان هایی از این قبیل.

زمانی که از پروتکل های plaintext مانند Telnet یا HTTP استفاده می شود، مهاجم یا هکر می تواند به اطلاعات موجود در بسته ها دسترسی پیدا کند زیرا ترافیک به صورت cleartext در حال انتقال می باشد. اما همانطور که گفتیم، راه هایی برای مقابله با حمله مرد میانی MITM و محافظت از خود در برابر ARP spoofing وجود دارد که می توانید به راحتی آن ها را انجام داده و از وقوع این حملات توسط هکرها جلوگیری کرد. در این جا به توضیح این راه می پردازیم.

• استفاده از رمزنگاری یکی از بهترین راه هایی است که می توانید از اطلاعات در حال انتقال محافظت کنید. شما باید از پروتکل هایی که دارای مکانیزم های رمزنگاری هستند استفاده کنید مثل (Secure Shell (SSH و (Hypertext Transfer Protocol Secure (HTTPS
• از VPN برای محافظت از دیتاهای حساس که به صورت cleartext هستند نیز میتوان استفاده کرد.

عملکرد HTTPS به این صورت است که اطلاعاتی که بین مرورگر شما و سرور مقصد منتقل می‌شود را رمزنگاری می‌کند تا از این طریق اطلاعات شما از دید اشخاص غیرمجاز مخفی نگه داشته شود. VPN‌ هم تقریبا به همین صورت عمل می کند و با رمزنگاری به مخفی کردن اطلاعات شما از دید اشخاص غیر مجاز می پردازد.

اما باز در هر دوی این روش های امنیتی، هکر می تواند به اطلاعات ردوبدل شده دسترسی پیدا کند اما این اطلاعات دیگر برایش قابل خواندن نیستند. در این صورت هکر باید کلید رمزگشایی آن را داشته باشد. هر چند این کار برای هکر غیر ممکن نیست اما نیاز به هزینه‌ زیادی هم دارد. بنابراین همین باعث می شود کار را برای مهاجم سخت کند.