مقدمه

در دنیای دیجیتال امروز، شبکه‌های کامپیوتری به عنوان ستون فقرات ارتباطات بین افراد، سازمان‌ها و سیستم‌ها عمل می‌کنند. با افزایش وابستگی به شبکه‌های کامپیوتری، مسائل امنیتی نیز به طور چشمگیری افزایش یافته‌اند. یکی از مهم‌ترین و پرخطرترین تهدیدهای امنیتی در شبکه‌های کامپیوتری، Sniffing یا گوش دادن به ترافیک شبکه است.

Sniffing به معنای نظارت و ضبط داده‌های ارسالی در یک شبکه است. در حالی که این فرآیند می‌تواند برای اهداف قانونی و امنیتی (مانند عیب‌یابی شبکه یا نظارت بر عملکرد) استفاده شود، اما بیشترین استفاده آن در دست هکرها و مهاجمان قرار دارد تا اطلاعات حساسی مانند نام کاربری، رمز عبور، ایمیل‌ها و داده‌های مالی را دزدیده و از آن‌ها سوءاستفاده کنند.

در این مقاله، به‌صورت جامع و یونیک به بررسی مفهوم Sniffing، انواع آن، تکنیک‌های اجرایی، ابزارهای معروف، تهدیدات ناشی از آن و راهکارهای دفاعی در برابر آن می‌پردازیم. هدف ما ایجاد آگاهی عمیق از این تهدید مهم امنیتی و ارائه راهکارهای عملی برای مقابله با آن است.

۱. Sniffing چیست؟

Sniffing (به فارسی: “گوش دادن” یا “نوسنجی شبکه”) به فرآیند ضبط و تحلیل ترافیک شبکه گفته می‌شود. این عمل با استفاده از ابزارهای خاصی به نام Network Sniffers انجام می‌شود که قادرند تمام بسته‌های داده (data packets) عبوری از یک بخش خاص از شبکه را ضبط و تجزیه و تحلیل کنند.

در یک شبکه محلی (LAN)، داده‌ها به صورت بسته‌های کوچک از یک دستگاه به دستگاه دیگر منتقل می‌شوند. در حالت عادی، هر دستگاه فقط بسته‌هایی را پردازش می‌کند که به آن اختصاص داده شده‌اند. اما با فعال کردن حالت Promiscuous Mode در کارت شبکه (NIC)، یک دستگاه می‌تواند تمام بسته‌های عبوری در شبکه را حتی اگر به آن اختصاص نداشته باشند، دریافت و ضبط کند. این حالت، پایه اصلی عملیات Sniffing است.

۲. انواع Sniffing

Sniffing به دو دسته کلی تقسیم می‌شود:

۲.۱. Passive Sniffing (جلوگیری غیرفعال)

در این نوع، مهاجم فقط ترافیک شبکه را می‌بیند و ضبط می‌کند، اما هیچ تغییری در آن ایجاد نمی‌کند. این نوع Sniffing در شبکه‌هایی که از هاب (Hub) استفاده می‌کنند، بسیار موثر است، زیرا هاب تمام بسته‌ها را به تمام دستگاه‌های متصل ارسال می‌کند.

  • مزیت: تشخیص نشدنی بودن (چون ترافیک تغییر نمی‌کند).
  • معایب: فقط در شبکه‌های قدیمی یا نامناسب قابل اجرا است.

۲.۲. Active Sniffing (جلوگیری فعال)

در شبکه‌های مدرن که از سوئیچ (Switch) استفاده می‌کنند، هر بسته فقط به دستگاه مقصد ارسال می‌شود. بنابراین، برای انجام Sniffing، مهاجم باید ترافیک را به سمت خود هدایت کند. این کار با تکنیک‌هایی مانند:

  • ARP Spoofing / Poisoning
  • DNS Spoofing
  • MAC Flooding
  • DHCP Spoofing

انجام می‌شود. این روش‌ها باعث می‌شوند سوئیچ اشتباه کند و ترافیک را به دستگاه مهاجم ارسال کند.

  • مزیت: قابلیت اجرا در شبکه‌های مدرن.
  • معایب: احتمال تشخیص توسط سیستم‌های امنیتی بالاتر است.

۳. تکنیک‌های رایج در Sniffing

۳.۱. ARP Spoofing

ARP (Address Resolution Protocol) مسئول تبدیل آدرس IP به آدرس MAC در شبکه‌های محلی است. در تکنیک ARP Spoofing، مهاجم بسته‌های جعلی ARP ارسال می‌کند تا دستگاه‌ها فکر کنند آدرس MAC مهاجم، متعلق به روتر یا دستگاه مقصد است. در نتیجه، تمام ترافیک از طریق دستگاه مهاجم عبور می‌کند.

مثال:
دستگاه A می‌خواهد به اینترنت متصل شود. مهاجم بسته ARP جعلی می‌فرستد و می‌گوید: “من روتر هستم و MAC من XX:XX:XX است.” دستگاه A این اطلاعات را ذخیره می‌کند و تمام ترافیک را به مهاجم می‌فرستد.

۳.۲. MAC Flooding

سوئیچ‌ها یک جدول به نام CAM Table دارند که نگاشت بین آدرس MAC و پورت‌های فیزیکی را نگه می‌دارد. در MAC Flooding، مهاجم تعداد زیادی بسته با آدرس MAC تصادفی ارسال می‌کند تا این جدول پر شود. وقتی جدول پر شود، سوئیچ به حالت هاب تبدیل می‌شود و تمام ترافیک را به همه پورت‌ها ارسال می‌کند. در این حالت، مهاجم می‌تواند تمام ترافیک را ببیند.

۳.۳. DNS Spoofing

مهاجم با جعل پاسخ‌های DNS، کاربران را به سایت‌های جعلی هدایت می‌کند. در این حالت، کاربر فکر می‌کند به سایت واقعی (مثلاً بانک) وارد شده، اما در واقع در یک صفحه جعلی است که اطلاعاتش را دزدیده می‌شود.

۴. ابزارهای معروف Sniffing

۴.۱. Wireshark

  • ویژگی: یکی از قدرتمندترین ابزارهای تحلیل ترافیک شبکه.
  • کاربرد: ضبط، تجزیه و تحلیل بسته‌ها، فیلتر کردن ترافیک، شناسایی مشکلات شبکه.
  • نکته: ابزاری قانونی و مورد استفاده توسط متخصصان شبکه.

۴.۲. Tcpdump

  • ویژگی: ابزار خط فرمان برای ضبط ترافیک شبکه در سیستم‌های لینوکس/یونیکس.
  • کاربرد: عیب‌یابی شبکه، امنیت، تحلیل بسته‌ها.

۴.۳. Ettercap

  • ویژگی: ابزاری برای انجام Sniffing فعال، به‌ویژه با استفاده از ARP Spoofing.
  • کاربرد: MITM (Man-in-the-Middle)، جمع‌آوری اطلاعات کاربران در شبکه محلی.

۴.۴. Cain & Abel

  • ویژگی: ابزار ویندوزی برای Sniffing، رمزگشایی رمز عبور و ARP Spoofing.
  • کاربرد: تست نفوذ، بازیابی رمز عبور (در محیط‌های قانونی).

۵. تهدیدات ناشی از Sniffing

۵.۱. دزدی اطلاعات حساس

  • نام کاربری و رمز عبور
  • اطلاعات کارت بانکی
  • ایمیل‌ها و پیام‌های شخصی

۵.۲. حملات Man-in-the-Middle (MITM)

مهاجم بین دو طرف مکالمه قرار می‌گیرد و می‌تواند داده‌ها را تغییر دهد، حذف کند یا اطلاعات جعلی ارسال کند.

۵.۳. جعل هویت

با دزدی اطلاعات احراز هویت، مهاجم می‌تواند به حساب‌های کاربری دسترسی پیدا کند.

۵.۴. رهگیری فعالیت‌های کاربر

مهاجم می‌تواند بفهمد کاربر چه سایت‌هایی را باز کرده، چه پیام‌هایی فرستاده و چه فایل‌هایی دانلود کرده است.

۶. شناسایی Sniffing در شبکه

تشخیص Sniffing چالش‌برانگیز است، زیرا در حالت Passive، مهاجم فقط ترافیک را می‌بیند و تغییری ایجاد نمی‌کند. اما روش‌هایی وجود دارند:

۶.۱. بررسی حالت Promiscuous

  • ابزارهایی مانند ARPwatch یا Snort می‌توانند تغییرات غیرعادی در جدول ARP را تشخیص دهند.
  • در ویندوز، دستور netsh interface ip show joins می‌تواند نشان دهد که آیا کارت شبکه در حالت Promiscuous است.

۶.۲. استفاده از IDS/IPS

سیستم‌های تشخیص نفوذ (IDS) می‌توانند الگوهای غیرعادی مانند تعداد زیاد درخواست‌های ARP را تشخیص دهند.

۶.۳. نظارت بر CAM Table

در سوئیچ‌های مدیریتی، می‌توان از دستوراتی مانند show mac address-table برای بررسی تغییرات غیرعادی استفاده کرد.

۷. راهکارهای دفاعی در برابر Sniffing

۷.۱. استفاده از رمزنگاری

  • HTTPS به جای HTTP
  • SSH به جای Telnet یا FTP
  • VPN برای ارتباطات امن
  • WPA3 به جای WEP یا WPA2 در شبکه‌های بی‌سیم

نکته طلایی: اگر داده‌ها رمزنگاری شوند، حتی اگر مهاجم ترافیک را ببیند، نمی‌تواند آن‌ها را بخواند.

۷.۲. قطع دسترسی به حالت Promiscuous

  • محدود کردن دسترسی به کارت شبکه در سیستم‌های حساس.
  • استفاده از سیاست‌های گروهی (GPO) در شبکه‌های ویندوزی.

۷.۳. استفاده از سوئیچ‌های مدیریتی با امنیت بالا

  • فعال کردن Port Security برای محدود کردن آدرس MAC مجاز.
  • استفاده از Dynamic ARP Inspection (DAI) برای جلوگیری از ARP Spoofing.
  • فعال کردن DHCP Snooping برای جلوگیری از حملات DHCP Spoofing.

۷.۴. تقسیم شبکه به VLAN‌ها

با تقسیم شبکه به بخش‌های کوچک‌تر (VLAN)، دامنه گسترش ترافیک کاهش می‌یابد و احتمال دسترسی مهاجم به ترافیک حساس کم می‌شود.

۷.۵. آموزش کاربران

  • آموزش کاربران درباره خطرات استفاده از شبکه‌های عمومی.
  • تشویق به استفاده از ابزارهای امنیتی مانند VPN.

۸. کاربردهای قانونی Sniffing

هرچند Sniffing اغلب با فعالیت‌های مخرب مرتبط است، اما کاربردهای قانونی و مثبتی نیز دارد:

  • عیب‌یابی شبکه: شناسایی مشکلات عملکردی، تأخیر، یا از دست رفتن بسته.
  • نظارت بر عملکرد: بررسی میزان استفاده از پهنای باند و شناسایی مصرف‌کنندگان زیاد.
  • امنیت شبکه: شناسایی حملات، رفتارهای غیرعادی و نفوذ به شبکه.
  • توسعه نرم‌افزار: تست پروتکل‌ها و ارتباطات شبکه‌ای در محیط‌های توسعه.

۹. مثال عملی: حمله ARP Spoofing با Ettercap

فرض کنید مهاجمی در یک شبکه محلی (مثلاً کافه اینترنت) می‌خواهد ترافیک یک کاربر را ببیند:

  1. مهاجم ابزار Ettercap را اجرا می‌کند.
  2. شبکه را اسکن می‌کند تا دستگاه‌های متصل را پیدا کند.
  3. دستگاه قربانی (مثلاً با IP 192.168.1.10) و روتر (192.168.1.1) را انتخاب می‌کند.
  4. حمله ARP Spoofing را فعال می‌کند.
  5. اکنون تمام ترافیک بین کاربر و روتر از طریق مهاجم عبور می‌کند.
  6. مهاجم می‌تواند با استفاده از Wireshark یا خود Ettercap، اطلاعات ارسالی را ببیند.

اگر کاربر از HTTP استفاده کند: مهاجم می‌تواند نام کاربری و رمز عبور را ببیند.
اگر از HTTPS استفاده کند: مهاجم فقط متوجه می‌شود که کاربر به چه سایتی وصل شده، اما محتوای ترافیک را نمی‌بیند.

۱۰. آینده Sniffing و چالش‌های امنیتی

با پیشرفت فناوری، شبکه‌ها پیچیده‌تر شده‌اند:

  • شبکه‌های SDN (Software Defined Networking) و شبکه‌های ابری، Sniffing را سخت‌تر می‌کنند اما فرصت‌های جدیدی برای حمله ایجاد می‌کنند.
  • IoT و دستگاه‌های متعدد متصل به شبکه، نقطه ضعف‌های جدیدی ایجاد می‌کنند.
  • استفاده از رمزنگاری end-to-end (مانند Signal، WhatsApp) Sniffing را بی‌فایده می‌کند.

اما همچنان، در شبکه‌های داخلی، شبکه‌های بی‌سیم عمومی و سیستم‌های قدیمی، Sniffing یک تهدید واقعی است.

نتیجه‌گیری

Sniffing یکی از قدیمی‌ترین و همچنان خطرناک‌ترین تهدیدهای امنیت شبکه است. در حالی که ابزارها و تکنیک‌های آن پیچیده شده‌اند، راهکارهای دفاعی نیز پیشرفت کرده‌اند. کلید مقابله با Sniffing، آگاهی، رمزنگاری و استفاده از زیرساخت امن است.

سازمان‌ها باید:

  • شبکه‌های خود را به‌روز نگه دارند.
  • از پروتکل‌های امن استفاده کنند.
  • سیستم‌های نظارتی و تشخیص نفوذ را فعال کنند.
  • کاربران را آموزش دهند.

و کاربران عادی باید:

  • از شبکه‌های عمومی با احتیاط استفاده کنند.
  • همیشه از HTTPS استفاده کنند.
  • از VPN در محیط‌های نامطمئن بهره ببرند.

در نهایت، Sniffing فقط یک ابزار است — خطر آن در دست چه کسی باشد، تعیین می‌شود. با دانش و اقدامات امنیتی مناسب، می‌توان از این تهدید محافظت کرد.

منابع و مطالعه بیشتر

  • Wireshark Official Website: https://www.wireshark.org
  • OWASP Guide to Network Sniffing
  • NIST Special Publication on Network Security
  • Kurose & Ross, “Computer Networking: A Top-Down Approach”
  • CompTIA Security+ Study Guide

نویسنده: تیم امنیت شبکه
تاریخ: ۲۰ اردیبهشت ۱۴۰۳
نسخه: ۱.۰
مجوز: این مقاله قابل استفاده آزاد برای اهداف آموزشی و غیرتجاری با ذکر منبع است.

دسته بندی شده در:

تکنولوژی