آشنایی با انواع تهدیدهای سوئیچ شبکه؛ 6 حمله رایج به سوئیچ لایه 2

سوئیچ‌های لایه 2 قلب شبکه‌های محلی هستند، اما در برابر حملاتی مانند ARP Spoofing یا MAC Flooding آسیب‌پذیرند. یک مشکل رایج، دسترسی غیرمجاز مهاجمان به ترافیک شبکه از طریق دستکاری پروتکل‌ها یا جداول سوئیچ است که امنیت داده‌ها را به خطر می‌اندازد. این مقاله با بررسی انواع تهدیدهای سوئیچ شبکه شامل ردیابی ترافیک، جعل سوئیچ، VLAN Hopping، ARP Spoofing، STP Manipulation و MAC Flooding، به شما کمک می‌کند تا این حملات را شناسایی و راهکارهای دفاعی مناسب را پیاده‌سازی کنید. با فالنیک همراه باشید.

انواع تهدیدهای سوئیچ شبکه

سوئیچ‌های لایه 2، مانند هر دستگاه دیگر شبکه با برخی خطرات امنیتی روبرو هستند. در ادامه برخی از مهم‌ترین این خطرات و مشکلات امنیتی سوئیچ های لایه 2 را بررسی می‌کنیم:

حمله ردیابی ترافیک (Traffic Sniffing)

ردیابی ترافیک در سوییچ به معنای نظارت و ثبت ترافیک شبکه است که از طریق سوییچ عبور می‌کند. وقتی ترافیک شبکه از یک سوییچ عبور می‌کند، سوییچ می‌تواند اطلاعات مربوط به ترافیک را ثبت و ذخیره کند. این اطلاعات شامل جزئیاتی مانند مک آدرس منبع و مقصد، پورت‌های ورودی و خروجی، پروتکل‌های استفاده شده و سایر اطلاعات مربوط به فریم‌ها یا بسته‌ها می‌شوند. هکرها برای ردیابی ترافیک سوییچ از روش‌ها و تکنیک‌های مختلف برای ردیابی ترافیک شبکه استفاده می‌کنند.

یکی از پر کاربردترین روش‌ها در این زمینه استفاده از نرم‌افزارهای شنودکننده مثل Wireshark، tcpdump  و TShark است که امکان رصد و ردیابی ترافیک شبکه را فراهم می‌کنند. هکرها این نرم‌افزارها را روی دستگاه‌های خود نصب کرده و می‌توانند ترافیک شبکه را دریافت و تحلیل کنند. البته برای استفاده از این روش هکرها نیاز به دسترسی فیزیکی به ترافیک شبکه یا متصل شدن به دستگاه‌های سوییچ دارند. روش پرکاربرد دیگری که هکرها از آن استفاده می‌کنند  MITM سرنام Man-in-the-Middle است که به هکرها امکان می‌دهد ترافیک بین دو دستگاه متصل به سوییچ مانند یک اکسس پوینت را کنترل کنند. با انجام این حملات، هکرها می‌توانند ترافیک را ردیابی و تحلیل کرده و اطلاعات حساس را استخراج کنند.

حمله جعل‌ سوییچ (Switch Spoofing)

این حمله به معنای تقلید یا جعل هویت یک سوییچ در شبکه است. در این نوع حمله که یکی از رایج‌ترین مشکلات امنیتی سوئیچ هاست، هکر سعی می‌کند سوییچ جعلی را به شبکه وارد کند و به عنوان یک سوییچ معتبر نشان دهد. در این حالت، هکر قادر خواهد بود ترافیک را کنترل و ردیابی کند، اطلاعات حساس را برداشت کند یا به شکل عملیاتی به شبکه متصل شود.

روش دیگری که هکرها از آن استفاده می‌کنند، استفاده از نرم‌افزارهای جعلی است. در این روش از نرم‌افزارهای جعلی یا ماشین‌های مجازی استفاده می‌شود که قابلیت شبیه‌سازی یک سوییچ را دارند. این نرم‌افزارها به هکر امکان می‌دهند تا به صورت مجازی سوییچ جعلی را در شبکه ایجاد و ترافیک را ردیابی کند. روش دیگری که هکرها از آن استفاده می‌کنند تغییر تنظیمات سوییچ است. در این روش هکر یا عامل وابسته به هکر به رابط‌های مدیریتی سوییچ دسترسی پیدا کنند و تنظیمات را تغییر می‌دهند. این تغییرات می‌تواند شامل تغییر مک آدرس، VLAN‌ها یا تنظیمات دیگر سوییچ باشد. با انجام این تغییرات، هکر می‌تواند سوییچ جعلی را در شبکه ایجاد کرده و ترافیک را کنترل کند.

حمله VLAN Hopping

در حمله فوق هکر سعی می‌کند از یک VLAN به دیگری وارد شود و از امکانات و منابع شبکه‌ مقصد سوء استفاده کند. شبکه محلی مجازی روشی برای تقسیم یک شبکه فیزیکی به بخش‌های کوچک‌تر است که به صورت منطقی و مجزا عمل می‌کنند. در حمله VLAN Hopping، هکر سعی می‌کند از یک VLAN به VLAN دیگر سوییچ کند تا به اطلاعات و منابعی دسترسی پیدا کند که در واقع نباید به آن‌ها دسترسی داشته باشد.

این حمله معمولا با استفاده از ضعف‌های موجود در پروتکل‌های VLAN انجام می‌شود. یکی از روش‌های معمول حمله VLAN Hopping، استفاده از تکنیک Double Tagging است. در این روش، هکر یک بسته شبکه ارسال می‌کند که شامل دو برچسب VLAN است. اولین برچسب VLAN مربوط به VLAN مبدا مرتبط با هکر است و دومین برچسب VLAN اشاره به VLAN مقصد دارد. با ارسال این بسته به سوییچ، هکر می‌تواند از VLAN مبدا به VLAN مقصد منتقل شود، حتی اگر اجازه دسترسی به VLAN مقصد را نداشته باشد.

حمله ARP Spoofing

در این حمله، هکر سعی می‌کند ترافیک شبکه را تغییر داده و اطلاعات حساس را به دست آورد. در این حمله، هکر تلاش می‌کند تا جدولARP  را با نمونه خود جایگزین کند تا ترافیک شبکه را به سمت خودش هدایت کند. برای درک بهتر حمله ARP Spoofing، باید توضیح کوتاهی در ارتباط با عملکرد پروتکل ARP ارائه دهیم. پروتکل ARP به این دلیل استفاده می‌شود تا مک آدرس دستگاه‌ها را با آدرس آی‌پی آن‌ها متناظر کند. این پروتکل در شبکه‌های اترنت که بسته‌های داده با استفاده از مک آدرس ارسال و دریافت می‌شوند، استفاده می‌شود.

در حمله ARP Spoofing، هکر یک درخواست جعلی ARP برای دستگاه‌های هدف می‌فرستد و خود را به عنوان دستگاه مرجع (راهنما) معرفی می‌کند. این درخواست شامل جفت IP/MAC آدرس هکر است. در نتیجه، جدول ARP در دستگاه هدف به‌طور اشتباه به‌روزرسانی می‌شود و ترافیک شبکه به مک آدرس جعلی هدایت می‌شود. با جعل درخواست‌های ARP، هکر می‌تواند ترافیک شبکه را کنترل کند و اطلاعات حساس را به دست آورد که از جمله باید به امکان مشاهده و ضبط ترافیک، تغییر و انتقال داده‌ها یا حتی دسترسی به اطلاعات حساب کاربری و رمز عبور اشاره کرد

حمله STP Manipulation

از دیگر مشکلات امنیتی سوئیچ باید به حمله STP Manipulation اشاره کنیم. در این حمله هکر سعی می‌کند تنظیمات STP را با هدف آسیب وارد کردن به شبکه تغییر دهد. این حمله از طریق انتقال پیام‌های STP جعلی و تغییر در توپولوژی شبکه انجام می‌شود. STP یک پروتکل شبکه است که در شبکه‌های اترنت استفاده می‌شود تا حلقه‌های بدون درخت را شناسایی و از بروز مشکلات مربوط به آن‌ها جلوگیری کند. با استفاده از الگوریتم STP، توپولوژی درختی شبکه ساخته می‌شود و مسیرهای بهینه برای انتقال داده‌ها تعیین می‌شوند. در حمله STP Manipulation، هکر تلاش می‌کند تا پیام‌های STP جعلی را در شبکه ارسال کند و توپولوژی شبکه را تغییر دهد. در این حالت، مشکلات مختلفی مثل حلقه‌های بی‌نهایت، افزایش ترافیک، وقوع اختلالات در شبکه و موارد مشابه به وجود می‌آید.

حمله MAC Flooding

در حمله فوق هکر سعی می‌کند جداول مک آدرس سوئیچ شبکه را به شکل غیرمجاز پر کند. در شبکه‌های اترنت، هر دستگاه دارای مک آدرس منحصر به فردی است که برای شناسایی و ارتباط با دستگاه‌های دیگر استفاده می‌شود. در حمله MAC Flooding، حمله‌کننده بسته‌های شبکه که شامل مک آدرس جعلی هستند را ارسال می‌کند، اما آدرس فیزیکی در سرآیند بسته را تغییر می‌دهد تا برای هر بسته مک آدرس جدیدی استفاده شود. با ارسال تعداد زیادی بسته با مک آدرس جعلی، جدول مک آدرس در سوئیچ پر می‌شود و سوئیچ دیگر اطلاعات لازم برای ارسال بسته‌ها را نخواهد داشت. رویکرد فوق باعث می‌شود سوئیچ به صورت پخشی (flooding) بسته‌ها را به تمامی پورت‌ها ارسال کند که افزایش ترافیک و کاهش عملکرد شبکه را به همراه دارد. حمله MAC Flooding یکی از مشکلات امنیتی سوئیچ هاست که باید حتماً به آن توجه شود.

روش‌های کاربردی برای مقابله با انواع تهدیدهای سوئیچ شبکه

شما می‌توانید با به‌کار بردن چند روش کاربردی، با حملات و تهدیدهای سوئیچ شبکه مقابله کنید. از جمله این روش‌ها می‌توان به کنترل دسترسی، آپدیت نرم‌افزار سوییچ، بستن پورت‌های بدون استفاده و VLANبندی اشاره کرد. در مقاله روش‌های افزایش امنیت سوئیچ شبکه می‌توانید با تمامی این روش‌ها به‌طور کامل آشنا شوید.

انواع تهدیدهای سوئیچ شبکه در یک نگاه

در این مقاله با انواع تهدیدهای سوئیچ شبکه و حملات رایجی که به این دستگاه می‎‌شود، آشنا شدیم. آشنایی با این حملات می‌تواند به شما کمک کند تا تهدیدها را سریع‌تر و دقیق‌تر شناسایی کنید و امنیت سوئیچ و در نهایت امنیت شبکه خود را ارتقا دهید. همچنین می‌توانید تأمین امنیت سوییچ شبکه خود را به متخصصان حرفه‌ای واگذار کنید.

خدمات امنیت شبکه توسط بهترین‌ها

متخصصان ما با اجرای بیش از 9 هزار پروژه موفق IT و به پشتوانه سه دهه تجربه در ارائه تجهیزات و خدمات شبکه، امنیت شبکه شما را به بهترین نحو تامین می‌کنند. همین حالا با ما تماس بگیرید و ضمن استفاده از مشاوره رایگان متخصصان ما، شبکه‌ی خود را به دژی غیر قابل نفوذ تبدیل کنید.

خدمات امنیت شبکهمشاوره رایگان