حمله فعال و غیرفعال شبکه چیست؟

در دنیایی که روزانه میلیاردها بسته داده میان کاربران، سرورها و تجهیزات شبکه جابه‌جا می‌شود، یک سوال اساسی مطرح می‌شود؛ اینکه آیا تمام این داده‌ها واقعاً به صورت امن به مقصد می‌رسند؟ بر اساس گزارش‌های امنیت سایبری، بخش قابل‌توجهی از نفوذها و نشت‌های اطلاعاتی نه با حملات پیچیده، بلکه با شنود ساده ترافیک شبکه یا دستکاری هوشمندانه داده‌ها آغاز می‌شوند. مهاجمانی که گاهی بدون ایجاد کوچک‌ترین اختلال در سرویس‌ها، تنها با «تماشا کردن» اطلاعات ارزشمند را سرقت می‌کنند و گاهی دیگر با تغییر، تزریق یا تخریب داده‌ها، کل یک سرویس حیاتی را از کار می‌اندازند.

در علم امنیت شبکه، این دو رویکرد کاملا متفاوت با عنوان حملات غیرفعال (Passive Attacks) و حملات فعال (Active Attacks) شناخته می‌شوند؛ حملاتی که شناخت تفاوت آن‌ها، نخستین گام برای طراحی یک شبکه امن با استفاده از خدمات امنیت شبکه است. در این مقاله، ابتدا یاد می‌گیریم که حمله فعال و غیرفعال شبکه چیست، سپس تفاوت‌های کلیدی آن‌ها را بررسی می‌کنیم و در نهایت با روش‌های جلوگیری از بروز این حملات آشنا می‌شویم.

حمله فعال و غیرفعال شبکه چیست؟

حمله شبکه زمانی رخ می‌دهد که یک هکر یا بدافزار قصد دارد به شبکه‌ی ما نفوذ کند، اطلاعاتی را از آن بدزدد، آن را مختل کند یا کنترلش را به دست بگیرد. بر اساس کارهایی که مهاجم در شبکه انجام می‌دهد، این حملات به دو نوع حمله فعال و غیرفعال شبکه تقسیم‌بندی می‌شوند که در ادامه با آن‌ها آشنا خواهید شد.

تعریف حمله فعال و انواع حملات فعال

در حمله فعال مهاجم به طور مستقیم وارد عمل می‌شود و تغییری را در شبکه یا دیتای عبوری ایجاد می‌کند. در این نوع حمله، مهاجم شروع به ارسال بسته‌ها، تغییر مسیرها یا ارسال پیام‌های جعلی می‌کند تا سرویس را مختل کند، ترافیک را بدزدد یا خطا ایجاد کند. ویژگی اصلی حملات فعال این است که عملکرد یا داده‌های واقعی در شبکه تغییر می‌کنند، یعنی مهاجم به شکل مستقیم در مسیر ترافیک دخالت می‌کند. انواع حملات فعال شبکه عبارتند از:

• در حمله DDoS هکر با ارسال حجم عظیمی از درخواست‌های تقلبی باعث می‌شود سرویس از کار بیافتد.
• در حمله مرد میانی یا MITM ، مهاجم خودش را بین فرستنده و گیرنده قرار می‌دهد و اطلاعات را می‌بیند، تغییر می‌دهد یا هدایت می‌کند.
• در IP Spoofing، مهاجم آدرس IP خودش را جعل می‌کند تا مثل یک سیستم معتبر به نظر برسد و به شبکه دسترسی پیدا کند.
• در ARP Poisoning پیام‌های ARP در شبکه را آلوده می‌کند تا ترافیک به سمت مهاجم هدایت شود.

تعریف حمله غیر فعال و انواع حملات غیر فعال

در این نوع حمله، مهاجم فقط گوش می‌دهد یا نظاره می‌کند تا صرفا اطلاعات را سرقت کرده و هیچ تغییری مستقیم در شبکه ایجاد نمی‌کند. ویژگی اصلی حملات غیرفعال این است که در این نوع حمله‌ شبکه، داده‌ها خوانده می‌شوند اما تغییر نمی‌کنند. به عبارت دیگر، این نوع حملات اغلب بدون اینکه شبکه متوجه شود انجام می‌شوند. موارد زیر، نمونه‌هایی از حملات غیرفعال شبکه هستند:

• Sniffing (گوش دادن به ترافیک): یک مهاجم بسته‌های شبکه را جمع می‌کند و محتوای آن‌ها را تحلیل می‌کند. برای نام کاربری و رمز عبور یا اطلاعات حساس.
• Traffic Analysis: مهاجم بدون دست‌کاری بسته‌ها، فقط الگوی ترافیک را تحلیل می‌کند. به طور مثال، چه زمانی بیشترین ترافیک است، کاربران چه صفحاتی را بازدید می‌کنند و…
• Eavesdropping: مهاجم بدون اطلاع شبکه اطلاعات ردوبدل‌شده را می‌بیند؛ مانند شنود در مکالمات.

تفاوت حمله فعال و غیرفعال شبکه

حال که با مفهوم حمله فعال و غیرفعال شبکه آشنا شدید، بهتر است تفاوت‌های کلیدی این دو حمله را نیز بشناسید تا بتوانید ببینید که شبکه‌ی شما بر اساس ماهیت اطلاعاتی که رد و بدل می‌کنند، ممکن است بیشتر قربانی کدام نوع حمله شود. در جدول زیر، این تفاوت‌ها به شکل خلاصه و کاربردی آورده شده‌اند تا بتوانید سریع‌تر تفاوت‌های حمله فعال و غیرفعال شبکه را یاد بگیرید:

چگونه حملات فعال و غیرفعال را تشخیص دهیم؟

تشخیص اینکه شبکه تحت حمله فعال است یا غیرفعال، یکی از مهم‌ترین مهارت‌هایی است که هر مدیر شبکه باید آن را داشته باشد؛ زیرا اگر نوع حمله را اشتباه تشخیص دهید، یا دیر اقدام می‌کنید یا راهکار اشتباه انتخاب می‌کنید یا اصلا متوجه نمی شوید که اطلاعات در حال سرقت هستند. در ادامه با روش‌هایی که می‌توانید بر با استفاده از آن‌ها حمله فعال و غیرفعال شبکه را سریع تشخیص بدهید، آشنا خواهید شد.

چطور تشخیص دهیم که شبکه تحت حمله فعال (Active Attack) است؟

حمله فعال یعنی مهاجم در حال تاثیرگذاری لحظه‌ای روی شبکه است، پس نشانه‌های آن اغلب خیلی زود دیده می‌شود. این نشانه‌ها عبارتند از:

• کندی محسوس یا اختلال در سرویس‌ها مانند دیر باز شدن سایت ها، قطع و وصل
• شدن اتصال کاربران، افزایش پینگ، پاسخ ندادن سرورهای حیاتی، افزایش مصرف CPU سوئیچ یا روتر.
• وجود ترافیک غیر عادی مانند چند برابر شدن ناگهانی ترافیک، ورود به شبکه از یک IP ناشناس، مشاهده کردن حجم غیرعادی broadcast / multicast.
• خطا و هشدار در لاگ‌ها مانند دیدن پیام های STP topology change و DHCP conflict و ARP spoof detected.
• تغییر رفتار تجهیزات شبکه مانند flap شدن لینک‌ها، آپ و داون شدن پورت‌ها، دریافت بسته‌های malformed، افزایش خطاهای CRC و packet drop.
• گزارش مشکلات مختلف مانند کند شدن وای‌فای، دیر بالا آمدن سیستم‌ها، باز نشدن سایت شرکت یا افت کیفیت تماس VoIP توسط کاربران.

مطالب مرتبط: انواع تهدیدات سایبری

چطور تشخیص دهیم که شبکه تحت حمله غیرفعال (Passive Attack) است؟

حمله غیرفعال بسیار خطرناک‌تر از حمله فعال است؛ زیرا هیچ تغییر محسوسی ایجاد نمی‌کند و مهاجم فقط «گوش می‌دهد» و شما اغلب چیزی حس نمی‌کنید. با این حال، این حمله چند نشانه‌ی مهم دارد که می‌توانند به شما کمک کند تا سریع‌تر آن را تشخیص دهید. نشانه‌هایی از قبیل:

• ارتباطات ناشناس در شبکه که توسط ابزارهایی مانند NetFlow و sFlow و show ip connections و بررسی جدول ARP قابل تشخیص هستند.
• استفاده از پورت‌های promiscuous: در حمله‌های شنود، اغلب کارت شبکه سیستم مهاجم روی حالت Promiscuous Mode قرار می‌گیرد که با ابزارهایی مانند:
• Nmap و Wireshark detection tools قابل تشخیص است.
• رفتار غیر معمول اما بدون اختلال مانند افزایش آرام و غیرمحسوس ترافیک، تلاش برای مشاهده Packet Header بدون تغییر محتوا و درخواست‌های ARP غیرمعمول.
• تحلیل الگوی ترافیک و مشاهده مواردی مانند استفاده مداوم از پروتکل‌های خاص یا درخواست‌های زیاد برای DNS بدون هدف.
• شناسایی رفتارهایی مانند تلاش برای جمع‌آوری اطلاعات، تلاش برای Sniffing یا پورت اسکن‌های بسیار آرام توسط ابزارهای IDS (مثل Snort یا Suricata).

روش‌های جلوگیری از حملات فعال و غیرفعال شبکه

تا اینجا با حمله فعال و غیرفعال شبکه، تفاوت این حملات و روش‌های تشخیص هر یک آشنا شدید و احتمالا این سوال برایتان پیش آمده است که چطور باید از بروز چنین حملاتی جلوگیری کنیم تا شبکه آسیب نبیند؟ روش‌های زیر، بهترین و کارآمدترین راهکارهایی هستند که شما می‌توانید با استفاده از آن ها، از شبکه‌ی سازمانی خود در مقابل حمله فعال و غیرفعال شبکه محافظت کنید:

• رمزنگاری ترافیک (Encryption) مانند استفاده از HTTPS به جای HTTP برای وب‌سرویس‌ها و SSH به جای Telnet برای مدیریت تجهیزات.
• شبکه‌بندی و تقسیم‌بندی (Segmentation / VLANs): جدا کردن بخش‌های مختلف شبکه (برای مثال کاربران، مهمانان، سرورها) با VLAN یا firewalled subnets.
• استفاده از فایروال‌ها و تعیین قوانین دسترسی (Firewalls & ACLs): فایروال‌ها و ACLها ترافیک نامطلوب را قبل از رسیدن به سرویس‌ها مسدود می‌کنند.
• استفاده از سیستم‌های تشخیص و جلوگیری از نفوذ (IDS / IPS): ابزار IDS فقط هشدار می‌دهد؛ IPS علاوه بر هشدار می‌تواند ترافیک مخرب را بلاک کند.
• احراز هویت و کنترل دسترسی قوی (AAA, 2FA, RBAC): کنترل اینکه چه کسی و با چه سطح دسترسی‌ای می‌تواند وارد شبکه و تجهیزات شود.
• مدیریت پورت‌ها و امنیت سوئیچ (Port Security & 802.1X): جلوگیری از وصل شدن دستگاه‌های ناشناس به سوئیچ و کاهش خطر حملات غیرفعال/فعال از طریق پورت فیزیکی.
• محافظت در برابر DDoS و نرخ‌گذاری (Rate Limiting): محدود کردن نرخ ترافیک ورودی و تشخیص ترافیک غیرمعمول برای جلوگیری از حملات حجمی.
• ایمن‌سازی وایرلس (Secure Wi-Fi): برای مثال استفاده از WPA2-Enterprise یا WPA3.
• به‌روزرسانی و مدیریت پچ (Patching)
• لاگینگ، مانیتورینگ و تحلیل (با ابزارهایی مانند Syslog, SIEM, NetFlow)
• آموزش کاربران و تعیین سیاست‌های امنیتی
• بکاپ‌گیری و ایجاد یک برنامه بازیابی
• تست نفوذ و بررسی امنیت دوره‌ای
• افزایش امنیت فیزیکی و کنترل دسترسی به تجهیزات

آنچه درباره حمله فعال و غیرفعال شبکه گفتیم

در این مقاله با حمله فعال و غیرفعال شبکه آشنا شدیم و دیدیم که حمله فعال یعنی مهاجم مستقیم وارد شبکه می‌شود و با تغییر، ارسال یا حذف بسته‌ها باعث اختلال می‌شود؛ در حالیکه حمله غیرفعال یعنی مهاجم فقط اطلاعات را می‌شنود یا تحلیل می‌کند بدون اینکه کاری در شبکه انجام دهد. سپس روش‌های تشخیص هرکدام و راهکارهای مقاله با آنها را یاد گرفتیم. چنانچه برای پیاده سازی این روش‌ها چالش دارید یا نیاز به مشاوره دارید می‌توانید با شماره 0218363 تماس بگیرید یا روی لینک زیر بزنید.

با مشاوران شبکه فالنیک، کسب‌وکارتان را متحول کنید

با دریافت مشاوره شبکه از متخصصین کاربلد، شبکه‌ای می‌سازید که تا سال‌ها کسب‌و‌کارتان را بیمه می‌کند. در این مسیر سه دهه تجربه متخصصان فالنیک، همراه شماست. با کلیک روی لینک، اولین قدم برای ایجاد و رشد کسب و کارتان را بردارید.

درخواست مشاوره شبکهمشاوره رایگان