هذه العملية تتم من خلال مراقبة وإلتقاط كل حزم البيانات التي تمر عبر الشبكة باستخدام تطبيقات (برامج) أو أجهزة Hardware Device
عملية إلتقاط حزم البيانات تتم بشكل سلسل في الشبكات التي تعتمد على أجهزة Hub كون هذا النوع من الأجهزة يقوم بتمرير حزم البيانات لكل الأجهزة المتصلة به، معظم الشبكات في يومنا الحالي تعتمد على أجهزة السويتش والتي تعمل من خلال الاعتماد على عناوين MAC للأجهزة المتصلة وكل فريم يتم تمريره فقط عبر المنفذ المتصل من خلاله الجهاز الذي يملك عنوان MAC للجهاز الهدف.
المهاجم يجب أن يتلاعب بآلية عمل السويتش ليتمكن من رؤية كل حركة البيانات التي تمر من خلاله، لأن أدوات إلتقاط حزم البيانات يمكنها فقط إلتقاط حركة البيانات الخاصة بشبكة فرعية معينة subnet ولا يمكنها إلتقاط حزم البيانات من شبكات أخرى، لنفرض أن المهاجم تمكن من وصل جهازه مع الشبكة وعندها يمكنه العمل بنمط promiscuous mode وهذا يسمح له بإلتقاط وتحليل كل حركة البيانات عبر الشبكة.
بالرغم من أن معظم الشبكات في يومنا الحالي تعمل بالاعتماد على أجهزة السويتش ولكن مازالت آلية إلتقاط حزم البيانات مفيدة حيث يمكن للمهاجم أن يقوم بتنصيب برامج على الأجهزة التي تمر من خلالها حركة بيانات كبيرة مثل السيرفرات أو أجهزة الراوتر وهذه البرامج يتم التحكم بها من عند بعد وتعمل على إلتقاط حزم البيانات وهذا يسمح للمهاجم بالحصول على حزم البيانات التي تحوي على معلومات حساسة ككلمات السر وحركة البيانات الخاصة بإعدادات أجهزة الشبكة
يمكن للمهاجم رؤية حركة البيانات الخاصة بالبرتوكولات
SMTP, POP, telnet, SQL database, SMB, and FTP
وسيحصل المهاجم على كمية معلومات كبيرة تسمح له لاحقاً باختراق كامل الخدمات عبر الشبكة، الشكل التالي يوضح عملية إلتقاط حزم البيانات من قبل المهاجم بين أجهزة المستخدمين
كيف تتم عملية إلتقاط حزم البيانات:
الطريقة الأكثر شيوعاً لإلتقاط حزم البيانات تتم عبر الاتصال السلكي مع الشبكة، الأجهزة ضمن الشبكة تتصل مع بعضها من خلال نوعين من العناوين MAC and IP
عنوان MAC هو عنوان فريد مرتبط بكرت الشبكة NIC والبرتوكول Ethernet يستخدم عناوين MAC في عملية إرسال واستقبال الفريمات بين الأجهزة أما عناوين IP فتستخدم في الطبقة الثالثة لتوجيه حركة البيانات بين الأجهزة وآلية التحويل بين نظامي العنونة تتم من باستخدام البرتوكول ARP – Address Resolution Protocol
يوجد نوعين أساسيين لبيئات الشبكات السلكية وإلتقاط حزم البيانات يمكن أن يتم بكلا النوعين:
- Shared Ethernet: في هذه البيئة يتم استخدام خط اتصال واحد أو من خلال جهاز hub وكل الأجهزة ستتلقى حزم البيانات التي تخص جهاز معين، فعندما يريد أحد الأجهزة (الجهاز 1) الاتصال مع جهاز آخر (الجهاز 2) يقوم بإرسال حزم البيانات لها عنوان الهدف هو عنوانMAC للجهاز 2 وعندها فإن باقي الأجهزة ضمن نفس الشبكة (الجهاز 3 – الجهاز 4) ستصلهم فريمات البيانات وستتم عملية مقارنة لعنوان MAC الخاص بالجهاز الهدف وسيتم تجاهل هذه البيانات لأنها لا تتطابق مع عناوين MAC في هذه الأجهزة ولكن الجهاز الذي يعمل على إلتقاط البيانات سوف يتجاهل هذه القاعدة وسوف يقبل كل فريمات البيانات، إلتقاط حزم البيانات في هذه البيئة من الشبكات يعتبر passive ومن الصعب اكتشافه
- Switched Ethernet: في هذه البيئة يتم وصل الأجهزة عبر جهاز سويتش والذي يعمل بالاعتماد على تحديد عناوين MAC لكل جهاز مع رقم المنفذ المتصل من خلاله ليتم تسليم الفريمات فقط للجهاز الهدف وهنا لا يتم إرسال البيانات لكل الأجهزة وهذا يساعد على توفير عرص الحزمة bandwidth ويزيد من مستوى الحماية وفي حال تم ضبط كرت الشبكة ليعمل بنمط promiscuous mode للعمل على جمع وإلتقاط حزم البيانات فإنه لن يتمكن من القيام بذلك ولهذا السبب فإن بعض الأشخاص يعتقدوا بإن بنية الشبكات المعتمدة على أجهزة السويتش هي آمنة ضد آليات إلتقاط حزم البيانات ولكن هذا الاعتقاد غير صحيح.
يمكننا القول أن السويتش أكثر أماناً من جهاز ال hub
و لكن إلتقاط حزم البيانات في الشبكات التي تعتمد على السويتش ليس بالأمر المستحيل ويمكن أن يتم من خلال التقنيات التالية:
- ARP Spoofing: هذا البرتوكول يعتبر stateless ويمكن لأي جهاز أن يرسل ARP reply حتى ولو أنه لم يتلقى طلب لذلك وهنا يمكن للمهاجم أن ينتحل شخصية الراوتر أو البوابة الافتراضية gateway للشبكة من خلال ARP spoofing وعندها فإن ARP cache في الجهاز الهدف سوف يحوي على مدخلات غير صحيحة بخصوص البوابة الافتراضية gateway للشبكة وكل حركة البيانات التي يجب أن تصل إلى gateway (الراوتر) ستمر عبر جهاز المهاجم الذي قام بانتحال gateway MAC
- MAC Flooding: جهاز السويتش يعتمد في عمله على جدول يربط من خلاله عناوين MAC للأجهزة مع أرقام المنافذ المتصلة بها ولكن الذاكرة الخاصة بالسويتش محدودة وإغراق هذا الجدول بعناوين MAC مزورة سيؤدي إلى محدودية عمل الجهاز وسيتحول لنمط العمل fail-open mode وسيعمل بشكل مشابه لجهاز hub وسيقوم بإرسال البيانات بشكل broadcast عبر كل المنافذ وهذا مناسب جداً للمهاجم الذي يرغب بإلتقاط البيانات عبر الشبكة
بشكل افتراضي فإن نمط promiscuous mode يكون غير فعال ضمن الأجهزة وعندها فإن كروت الشبكة ستقبل فقط حزم البيانات المخصصة لها وتتجاهل الباقي أما المهاجم فسيقوم بإعداد كرت الشبكة بجهازه للعمل بهذا النمط ليتمكن من الحصول على كامل حركة البيانات عبر الشبكة
