پروتکل‌های زمینه‌ساز حمله‌های سایبری

پروتکل‌های شبکه مجموعه قواعد و دستورالعمل‌هایی هستند که تجهیزات شبکه با استفاده از آن‌ها با یک‌دیگر ارتباط برقرار می‌کنند. پروتکل‌های شبکه راهکاری ایمن، قابل اعتماد و آسان برای تبادل اطلاعات در اختیار ما قرار می‌دهند و اجازه می‌دهند بر عملکرد تجهیزات نظارت دقیقی داشته باشیم. امروزه، طیف گسترده‌ای از پروتکل‌ها در دنیای شبکه مورد استفاده قرار می‌گیرند که از مهم‌ترین آن‌ها باید به پروتکل‌ اترنت در ارتباط با شبکه‌های محلی و مجموعه پروتکل‌های شبکه‌های بی‌سیم اشاره کرد. علاوه بر این، پروتکل اینترنت که برای انتقال داده‌ها از طریق اینترنت استفاده می‌شود، پروتکل مهم دیگری است که خود شامل ده‌ها پروتکل است.

14 مورد از پروتکل‌های پرکاربرد دنیای شبکه به‌همراه آسیب‌پذیری‌های آن‌ها

برخی از پروتکل‌های شبکه به‌طور طبیعی آسیب‌پذیر هستند، زیرا در محیط‌های آزمایشگاهی توسعه پیدا کردند و توسعه‌دهندگان تصور نمی‌کردند این پروتکل‌ها در آینده نقش تاثیرگذاری بر ارتباطات جهانی داشته باشند. TCP/IP یکی از این پروتکل‌ها است که بر مبنای این فرضیه شکل گرفت که قرار نیست در مقیاس کلان و فرا قاره‌ای مورد استفاده قرار گیرد. پروتکل مذکور با گذر زمان به تجهیزات و شبکه‌های مختلفی راه پیدا کرد و امروزه نقش مهمی در برقراری ارتباط شبکه‌های کامپیوتری دارد. پروتکلی که ضعف‌هایی در طراحی دارد که به هکرها اجازه می‌دهد حمله‌های DoS و DDoS را با موفقیت پیاده‌سازی کنند. آسیب‌پذیری‌های زیادی در برخی از پروتکل‌های شبکه وجود دارند که مجرمان سایبری می‌توانند به بهره‌برداری از آن‌ها پرداخته و امنیت شبکه را با چالش‌های روبه‌رو کنند. در این مطلب 14 مورد از رایج‌ترین پروتکل‌های شبکه و آسیب‌پذیری‌های مرتبط با آن‌ها را بررسی می‌کنیم. 

1. پروتکل تفکیک آدرس (ARP)

پروتکل تفکیک آدرس (ARP) سرنام Address Resolution Protocol یک پروتکل لایه ارتباطی است که فرایند نگاشت بین لایه پیوند داده و لایه شبکه را بر عهده دارد و برای شناسایی مک ‌آدرس (MAC) از طریق آدرس آی‌پی استفاده می‌شود. نقطه ضعف پروتکل مذکور این است که هیچ راهی وجود ندارد که میزبانی متوجه شود یک بسته شبکه را از چه نقطه‌ای در یک شبکه همتا به همتا دریافت کرده است. آسیب‌پذیری فوق به هکرها اجازه می‌دهد تا حمله مسموم‌سازی ARP را با موفقیت پیاده‌سازی کنند. هکری که در یک شبکه محلی قرار دارد یا یک ماشین تحت شبکه را آلوده کرده، قادر به سوءاستفاده از آسیب‌پذیری مذکور است. هکر سعی می‌کند مک آدرس خود را با آدرس آی‌پی روتر یا سوئیچ مرتبط کند تا هر ترافیکی را که برای شبکه هدف ارسال می‌شود شنود کند. فرآیند جعل با ارسال درخواست‌ یا پاسخ‌های مختلف ARP به سوئیچ و تجهیزات شبکه با هدف هدایت ترافیک به سیستم شنودکننده انجام می‌شود. در این حالت بسته‌های Bogus ARP توسط سوئیچ و تجهیزات شبکه دریافت و ذخیره ‌می‌شوند. 

2. سامانه نام دامنه

ارتباطات در دنیای شبکه و اینترنت با آدرس‌های آی‌پی صورت می‌گیرد. با این حال، به‌خاطر سپردن تمامی آدرس‌های آی‌پی برای انسان‌ها ممکن نیست. سامانه نام دامنه (DNS) سرنام Domain Name System یک سیستم ساسله‌مراتبی است که برای تبدیل نام دامنه به آدرس آی‌پی کاربرد دارد. بنابراین، برای دسترسی به یک وب‌سایت تنها کافی است نام دامنه، برای مثال google.com را وارد کنید. رایج‌ترین آسیب‌پذیری در DNS مسمومیت کش (cache poisoning) است. در این‌جا مهاجم آدرس آی‌پی معتبر را با نمونه آلوده جایگزین می‌کند تا مخاطب به وب‌سایت‌های مخرب هدایت شود. دومین بردار حمله، DNS Amplification  است که یک سرور DNS را هدف قرار می‌دهد و با هدف افزایش ترافیک DNS انجام می‌شود و علاوه بر این به هکرها امکان پیاده‌سازی جست‌وجوهای بازگشتی را می‌دهد.

3. پروتکل انتقال فایل/ایمن (FTP/S)

FTP یک پروتکل شبکه مبتنی بر معماری کلاینت و سرور است که برای انتقال فایل‌ها میان کلاینت و سرور در یک شبکه کامپیوتری استفاده می‌شود. هکرها می‌توانند از یک برنامه وب برای ارسال کدهای مخرب به‌شکل یک اسکریپت سمت مرورگر (یا کوکی‌ها) برای کاربر با استفاده از این پروتکل استفاده ‌کنند. البته در بیشتر موارد از اسکریپت‌های Cross-Site استفاده می‌شود. پروتکل انتقال فایل از راه دور (FTP) نه‌تنها اتصالات را کنترل نمی‌کند، بلکه داده‌ها را رمزگذاری نمی‌کند. در نتیجه نام‌های کاربری و رمزهای عبور به‌صورت متن واضح منتقل می‌شوند. هکرها می‌توانند از ابزارهای شنودکننده یا بردار حمله مرد میانی (MITM) به شنود اطلاعات بپردازند. 

4. پروتکل انتقال ابرمتن/ایمن (HTTP/S)

پروتکل انتقال ابرمتن ایمن (HTTPS) سرنام Hypertext Transfer Protocol Secure یک پروتکل ارتباطی برای ارسال امن اطلاعات در شبکه‌های کامپیوتری است که به‌شکل گسترده‌ای در اینترنت استفاده می‌شود. HTTPS شامل یک مکانیزم ارتباطی است که اطلاعات مبادله‌شده میان کاربران و وب‌سایت‌ها را رمزگذاری می‌کند. اصلی‌ترین دلیل استفاده از HTTPS اصالت‌سنجی وب‌سایت، محافظت از حریم خصوصی و یکپارچگی داده‌های انتقالی است. با این‌حال، پروتکل HTTPS آلوده به آسیب‌پذیری‌‌ای است که به هکرها امکان پیاده‌سازی حمله Drown را می‌دهد. به‌طوری که هکرها می‌توانند رمزگذاری را بشکنند و اطلاعات کارت‌های اعتباری و رمزهای عبور را سرقت کنند. حمله DROWN  از نوع مرد میانی است و در صورت پیاده‌سازی موفقیت‌آمیز به هکرهای مهاجم اجازه سرقت اطلاعات یک نشست TLS را می‌دهد. آسیب‌پذیری مهم دیگری که این پروتکل دارد، امکان پیاده‌سازی حمله Heartbleed را می‌دهد. در نتیجه هکرها می‌توانند اطلاعاتی را  که توسط پروتکل‌های رمزگذاری TLS/SSL محافظت می‌شوند سرقت کنند. از آسیب‌پذیری‌های دیگر این پروتکل باید به Factoring RSA Export keys و Compresing Ratio Info-leak Made Easy نیز اشاره کرد.

5. پروتکل دسترسی به پیام اینترنتی (IMAP)

پروتکل دسترسی به پیام اینترنتی (IMAP) سرنام Internet Message Access Protocol  اجازه ذخیره‌سازی ایمیل‌ها در سرور ایمیل را می‌دهد. علاوه بر این، به کاربر نهایی اجازه می‌دهد پیام‌ها را به همان ترتیبی که ذخیره شده‌اند، بازیابی، مشاهده و ویرایش کند. یکی از آسیب‌پذیری‌های بزرگ پروتکل IMAP مربوط به عدم پشتیبانی از یک مکانیزم احراز هویت قوی و به‌ویژه احراز هویت چندعاملی (MFA) در زمان استفاده از برنامه‌های کلاینت ابرمحور است. به‌طوری که هنگام ارسال ایمیل از طریق پروتکل مذکور، ایمیل از طریق کانال‌های ارتباطی محافظت‌نشده عبور می‌کند. در نتیجه امکان شنود نام‌های کاربری، رمز عبور و پیام‌ها وجود دارد. هکرها می‌توانند حمله انکار سرویس (DoS) سرنام Denial of Service را روی سرور پست الکترونیکی پیاده‌سازی کنند تا مانع ارسال یا دریافت ایمیل‌ها شوند. همچنین، سرور ایمیل را می‌توان با بدافزارها آلوده کرد تا پیوست‌های آلوده برای کاربران ارسال شود.

6. پروتکل اداره پست 

پروتکل اداره پست (POP3) سرنام Post Office Protocol، یک پروتکل لایه کاربرد است که برای بازیابی ایمیل‌ها از سرور‌ها و ارسال آن برای نرم‌افزارهای کلاینت استفاده می‌شود. پروتکل فوق به کاربران اجازه می‌دهد هنگامی که آفلاین هستند، پیام‌ها را مشاهده کنند. حمله‌هایی که صندوق پستی کاربر را هدف قرار می‌دهند به هکرها اجازه می‌دهد دسترسی مستقیم به حافظه کش پیدا کنند یا حمله DMS را پیاده‌سازی کنند که دسترسی مستقیم به حافظه را می‌دهد. در این حالت، هکرها قادر به پیاده‌سازی حمله‌های فارغ از فایل (Fileless) هستند که به‌طور کامل از حافظه اصلی سیستم استفاده می‌کنند. 

7. پروتکل دسترسی از راه دور

پروتکل دسترسی از راه دور (RDP) سرنام Remote Desktop Protocol توسط مایکروسافت توسعه یافته و به کاربران اجازه می‌دهد از طریق یک رابط گرافیکی به کامپیوترهای تحت شبکه متصل شوند. در مکانیزم فوق یک کاربر نرم‌افزار کلاینت RDP را اجرا می‌کند و دیگری نرم‌افزار سرور RDP را اجرا می‌کند. آسیب‌پذیری پیرامون این پروتکل که BlueKeep نام دارد به هکرها امکان ارسال بدافزارها و باج‌افزار‌ها برای سیستم‌های آلوده به این آسیب‌پذیری را می‌دهد. 

علاوه بر این، آسیب‌پذیری مذکور به مهاجمان اجازه می‌دهد به سرویس‌های RDP متصل شوند و دستوراتی را برای سرقت یا ویرایش داده‌ها، نصب روت‌کیت‌ها یا بدافزارها و غیره انجام دهند. هکرها برای بهره‌برداری از این آسیب‌پذیری نیازی ندارند به انتظار بنشینند تا کاربر عملیات احراز هویت را انجام دهد و حتا نیازی نیست تا کاربر روی لینک مخربی کلیک کند.

8. پروتکل شروع جلسه

پروتکل شروع جلسه (SIP) سرنام Session Initiation Protocol یک پروتکل سیگنالینگ است که برای شروع، حفظ، تغییر و خاتمه نشست‌های بلادرنگ استفاده می‌شود. این نشست‌ها می‌توانند شامل صدا، ویدئو، پیام‌رسانی و دیگر خدمات کاربردی ارتباطی باشند که بین دو یا چند نقطه پایانی در شبکه‌های آی‌پی برقرار می‌شوند. آسیب‌پذیری مستتر در پروتکل مذکور به هکرها امکان پیاده‌سازی بردارهای حمله مختلفی مثل سرریز بافر، تزریق کد، سرقت نشست‌ها و غیره را می‌دهد. این آسیب‌پذیری‌ها با کمترین هزینه قابل بهره‌برداری هستند. هکرها می‌توانند از آسیب‌پذیری‌های پیرامون این پروتکل برای پیاده‌سازی حمله‌های سیلابی (Flooding) و ارسال حجم زیادی ترافیک برای سامانه‌ها یا سرورهای هدف استفاده کنند تا منابع سیستمی به‌سرعت مصرف شوند. در نتیجه سرور قادر به ارائه خدمات به کلاینت‌ها نخواهد بود. هکرها می‌توانند در صورتی که از مکانیزم‌های امنیتی درست در زیرساخت‌های شبکه استفاده نشده باشد، حمله سیلابی در زیرساخت شبکه SIP را با موفقیت پیاده‌سازی کنند، زیرا کانال‌های سیگنال‌دهی و انتقال داده از هم متمایز نیستند. 

9. پروتکل بلوک پیام سرور

پروتکل بلوک پیام سرور (SMB) سرنام Server Message Block یک پروتکل ارتباطی است که برای دسترسی اشتراکی به فایل‌ها، چاپگرها و پورت‌های سریال بین گره‌های شبکه استفاده می‌شود. علاوه بر این، یک مکانیسم ارتباط بین فرآیندی (Inter-Process) تایید‌شده و معتبر را ارائه می‌دهد. آسیب‌پذیری موجود در SMB به هکرها اجازه می‌دهد حمله Relay و حمله مرد میانی را پیاده‌سازی کنند. حمله دیگر مرتبط با این پروتکل EternalBlue است. سرور SMBv1 در نسخه‌های مختلف وصله‌نشده سیستم‌عامل ویندوز به هکرها اجازه می‌دهد از راه دور کدهای مخرب را روی سامانه قربانیان اجرا کنند. 

‌10. پروتکل ساده انتقال نامه 

پروتکل ساده انتقال نامه (SMTP) سرنام Simple Mail Transfer Protocol یک پروتکل لایه کاربردی است که برای ارسال ایمیل استفاده می‌شود. ارسال‌کنندگان هرزنامه‌ها و هکرها می‌توانند از این سرور پست الکترونیکی، برای ارسال هرزنامه یا بد‌افزار استفاده کنند. علاوه بر این، هکرها می‌توانند حمله‌ای با هدف جمع‌آوری آدرس‌های معتبر ایمیل از یک سرور یا دامنه بر مبنای پروتکل فوق پیاده‌سازی کنند. از حمله‌های شایع پیرامون پروتکل فوق باید به حمله‌های سرریز بافر، اسب‌های تروا (trojan horse)، حمله‌های شل اسکریپت (shell script) و غیره اشاره کرد. 

11. پروتکل مدیریت شبکه ساده 

پروتکل (SNMP) سرنام Simple Network Management Protocol  یک پروتکل استاندارد برای جمع‌آوری اطلاعات از دستگاه‌های تحت شبکه است. به‌طور معمول، سرپرستان شبکه از پروتکل فوق برای جمع‌آوری اطلاعات دقیق در ارتباط با تجهیزات شبکه، عملکرد آن‌ها و ترافیک شبکه استفاده می‌کنند. این پروتکل به سرپرستان شبکه اجازه می‌دهد از راه دور به مدیریت تجهیزات پرداخته و تنظیمات آن‌ها را پیکربندی کنند. یکی از بردارهای حمله شایع پیرامون پروتکل فوق، حمله بازتابی SNMP است که نوعی حمله انکار سرویس توزیع‌شده (DDoS) است. حمله‌ای که می‌تواند ترافیکی معادل صدها گیگابیت در ثانیه ایجاد کند. در حمله فوق، مهاجم تعداد زیادی درخواست SNMP را با یک آدرس آی‌پی جعلی یا کامپیوترهایی که آلوده کرده برای سرور ارسال می‌کند تا سرور را مجبور به پاسخ‌گویی به آدرس‌های آی‌پی جعلی کند. هرچه تعداد دستگاه‌هایی که اقدام به ارسال درخواست برای سرور می‌کنند بیشتر شود، به همان نسبت سرور با بار ترافیکی شدیدتری روبه‌رو می‌شود که در نهایت عملکرد آن مختل می‌شود. 

12. پروتکل پوسته ایمن

پوسته ایمن (SSH) سرنام Secure Shell مکانیزمی برای برقراری ارتباط امن بین کاربر و سرور ارائه می‌کند. به بیان دقیق‌تر، پروتکل مذکور را باید نسخه تقویت‌شده پروتکل تلنت (Telnet) توصیف کرد. پروتکل مذکور سعی می‌کند با رمزگذاری اطلاعاتی که قرار است در یک شبکه غیرایمن ارسال شوند، مانع ارسال اطلاعات در قالب متن ساده ‌شود. این پروتکل مکانیزمی در اختیار کاربران قرار می‌دهد تا به‌شکل ایمن از محیط استفاده کنند و دستوراتی را برای ماشین‌های راه دور ارسال کنند. با این‌حال، هکرها می‌توانند از حمله مرد میانی در ارتباط با پروتکل فوق استفاده کنند، به‌طوری که مکانیزم رمزگذاری را بی‌اثر کنند و به محتویات بسته‌های رمزگذاری‌شده دسترسی پیدا کرده و رمزهای عبور و نام‌های کاربری را سرقت کنند. 

13. تلنت

تلنت (Telnet) پروتکلی است که در اینترنت یا شبکه‌های محلی استفاده می‌شود و به دو طرف کانال ارتباطی امکان برقراری یک ارتباط متن‌محور را از طریق یک ترمینال مجازی می‌دهد. یکی از بزرگ‌ترین آسیب‌پذیری‌های پیرامون پروتکل تلنت عدم رمزگذاری اطلاعات است. به بیان دقیق‌تر، هر ارتباطی که میان دو دستگاه راه دور برقرار می‌شود و هرگونه اطلاعاتی که مبادله می‌شود به‌شکل یک متن آشکار ارسال می‌شود. به‌طور مثال، اگر قصد پیکربندی یک روتر یا سوئیچ سیسکو را داشته باشید و از پروتکل فوق استفاده کنید، هکرها می‌توانند اطلاعات احراز هویت و دستوراتی را که برای پیکربندی تجهیزات ارسال می‌کنید مشاهده کنند. متاسفانه هیچ مکانیزمی برای حل این مشکل وجود ندارد و در نتیجه در کاربردهای خاص و مهم نباید از پروتکل مذکور استفاده کنید. بردار حمله دیگری که پیرامون تلنت قرار دارد، حمله انکار سرویس است که امکان ارسال فریم‌های داده‌ای غیرمفید و غیرمربوط زیاد را امکان‌پذیر می‌کند تا اتصال با یک دستگاه پرکاربرد شبکه مثل روتر یا سوئیچ قطع شود.

14. محاسبات شبکه مجازی

محاسبات شبکه مجازی (VNC) سرنام Virtual Network Computing پروتکل اشتراک‌گذاری دسکتاپ از راه دور است که از مولفه‌های مهم دنیای سرورهای مجازی و سرورهای ابری است. این پروتکل به‌دلیل سهولت در استفاده و عدم پیچیدگی، مورد توجه کاربران و شرکت‌ها قرار دارد. VNC با ارائه یک ابزار گرافیکی اشتراکی دسکتاپی مبتنی بر پروتکل Remote Frame Buffer برای کنترل از راه دور کامپیوترها استفاده می‌شود. بخش عمده‌ای از حمله‌های مرتبط با این پروتکل به واسطه پیکربندی اشتباه حافظه با موفقیت پیاده‌سازی می‌شوند. از بردارهای رایج حمله پیرامون این پروتکل باید به انکار وضعیت سرویس (Service State)، نقص عملکرد، دسترسی غیرمجاز به اطلاعات کاربران و اجرای کدهای مخرب روی دستگاه‌های هدف اشاره کرد.