panasonic.ir
Registered User
مقاله هک و امنیت : امنیت در شبکه های کامپیوتری
مهاجمین با نفوذ به سیستم*های کم اهمیت موجود در روی شبکه و با گسترش میزان دسترسی خود از طریق حفره*های موجود، به کلیه سیستم*ها و اطلاعات موجود در روی شبکه دسترسی پیدا می*کنند.در این نوشتارشیوه*ها و تکنیک*هایی که غالباً توسط مهاجمین برای دسترسی به اطلاعات و کنترل سیستم*های موجود در روی شبکه مورد استفاده قرار می*گیرد مورد بحث و بررسی قرار خواهد گرفت که از جمله این روش*ها می*توان به شنود (sniffing) ، جعل (spoofing) و سرقت نشست (Session hijacking) اشاره نمود.
تذکر این نکته ضروری است که در ادامه بحث فرض براین نهاد شده که مهاجم، از قبل بر روی یکی از سیستم*های موجود در شبکهِ هدف دارای یک Account بوده و به یک Interactive Shell در روی آن سیستم دسترسی دارد. حال ممکن است این فرد Account مزبور را از طریق نفوذ به شبکه به*دست* آورده یا از قبل در اختیارداشته باشد .
شنود
از جمله شیوه*هایی که مهاجمین برای جمع*آوری اطلاعات تبادلی بر روی شبکه به کار می*برند می*توان به شنود یا Sniffing اشاره نمود. در این روش، مهاجم با نصب و اجرای برنامه*هایی که قابلیت جمع*آوری ترافیک شبکه مورد*نظر را بر روی یکی از کامپیوترهای متصل به شبکه دارند، اقدام به جمع*آوری اطلاعات از روی شبکه می*نماید.
از آن*جایی که غالب این Snifferها در لایه Data Link پشته پروتکلی را هدف قرار داده و بسته*های داده را از این لایه جمع*آوری می*نمایند و بنا بر ویژگی*های این لایه، عملاً محدودیتی در نوع اطلاعات جمع*آوری شده وجود نخواهد داشت.
مهاجم پس از دستیابی به Shell یکی از سیستم*های موجود در شبکه و انتقال فایل*های برنامه sniffer بر روی کامپیوتر مذکور، اقدام به نصب و راه*اندازی برنامه نموده و آن را به*گونه*ای تنظیم می*نماید که ترافیک دریافتی از سطح شبکه بر روی یک فایل محلی ذخیره شود. پس از گذشت مدت زمان مشخصی، مهاجم فایل موردنظر را جهت بررسی داده*ها و استخراج اطلاعات موردنظر، بر روی کامپیوتر خود منتقل می*کند.
در میان اطلاعات جمع*آوری شده می*توان به داده*هایی از قبیل شناسه*های کاربری، کلمات عبور، پاسخ*های DNS ، کلمات عبورFTP ، فایل*هایی که با استفاده ازNetwork File System یا Shareهای ویندوز به اشتراک گذاشته شده*اند دست یافت که با استفاده از این اطلاعات، بالاخص شناسه*های کاربری و کلمات عبور، فرد مهاجم می*تواند به کامپیوترهای بیشتری در سطح شبکه دسترسی یافته و میزان تسلط خود را بالاتر ببرد .
Snifferها می*توانند بر روی انواع مختلفی از واسط*های شبکه (مانند واسط*های PPP یا Token Ring) مورد استفاده قرار گیرند ولی به علت وجود پروتکل غالب اترنت در طراحی LAN ، اغلب Sniffer ها برای این نوع پروتکل شبکه طراحی و تنظیم می*شوند. همان*طوری که می*دانید در طراحی یک LAN اترنتی می*توان از هاب (Hub) یا از سوییچ (Switch) استفاده نمود که هر دو ابزار دارای وظیفه*ای یکسان با عملکردی متفاوت می*باشند. در یک LAN طراحی شده با هاب، وقتی در تست نفوذ بسته*های داده از یک کامپیوتر به سمت کامپیوتر دیگری ارسال می*گردد، هاب مستقر در segment کامپیوتر مقصد، پس از دریافت بسته موردنظر آن را به همه کامپیوترهای متصل به خود و موجود در آن قسمت ارسال خواهد داشت.
بنابراین اگر مهاجمی یک Sniffer را روی یکی از سیستم*های موجود در آن قسمت راه*اندازی نماید، Sniffer می*تواند داده*هایی را که به هر سیستم رویLAN فرستاده شده و یا از آن خارج می*شود را دریافت و ذخیره نماید. به این نوع جمع*آوری اطلاعات، ردیابی غیرفعال یا Passive Sniffing گویند.
برخلاف هاب، سوئیچ*ها تمامی اطلاعات دریافتی را به همه سیستم*های موجود در LAN ارسال نخواهند داشت؛ بلکه یک سوئیچ پس از دریافت هر بسته اطلاعات با بررسی Header آن بسته، آدرس MAC کامپیوتر مقصد را استخراج نموده و با توجه به جدول نگاشت آدرس*های MAC موجود در حافظه خود، بسته مذبور را فقط به سمت کامپیوتر مقصد هدایت می*نماید (آدرس*های MAC آدرس*های سخت*افزاری یکتا برای هر کارت شبکه می*باشند).
در واقع می*توان گفت که بدین طریق سوئیچ*ها، ترافیک موجود در شبکه را تا حد زیادی کاهش می*دهند. اگر مهاجمSinffer غیرفعالی را روی یک LAN طراحی شده با سوئیچ فعال نماید، Sniffer فقط اطلاعاتی را دریافت خواهد کرد که به سمت کامپیوتر موردنظر ارسال شده و یا از آن خارج می*شود.
در این موارد، مهاجمین برای کسب همه اطلاعات رد و بدل شده در طول شبکه از طریق شیوه*های شنود، غالباً از تکنیک*هایی ازقبیل MAC Flooding و یا Arp spoofing استفاده می*کنند. در روش اول، مهاجم ترافیک سنگینی از بسته*های داده را به آدرس*های MAC مورد استفاده هر پیوند هدایت می*نماید.
سرانجام حافظه سوئیچ با آدرس*های MAC غیرمجاز و جعلی پر شده و سوئیچ در چنین شرایطی شروع به ارسال داده*ها روی تمامی پیوندهای متصل به خود می*کند. در واقع در این مرحله عملاً سوئیچ همانند هاب عمل کرده و مهاجم به راحتی توسط هرSinffer غیرفعالی می*تواند تمامی ترافیک موجود در شبکه را مشاهده و ذخیره نماید. در بعضی از ساختارهای سوئیچ، معروف به Unfloodable ، پس از این*که حافظه آدرس*های MAC سوئیچ تا حد خاصی پر شد، سوئیچ دیگر آدرس*های MAC جدید را در خود ذخیره نمی*کند و عملاً تکنیک MAC flooding درباره این سوئیچ*ها کارگر نخواهد بود. در مواجهه با چنین شرایطی غالباً مهاجمان از تکنیکی به نام Arp spoofing استفاده می*کنند.
همان*طوری که می*دانیم براساس پروتکل RFC۶۲۸ ) ARP ) ، آدرس*های ۳۲ بیتی IP جهت استفاده در طول شبکه تبدیل به آدرس*های ۴۸ بیتی سخت*افزاری می*شوند. بدین*ترتیب در یک شبکه محلی با یک مسیریاب پیش*فرض، هرگاه سیستمی قصد برقراری ارتباط با یکی از کامپیوترهای موجود در شبکه را داشته باشد با ارسال پیغام*های عمومی ARP شروع به جستجوی آدرس سخت*افزاری سیستم هدف می*کند.
در این مرحله سیستم هدف، با ارسال آدرس سخت*افزاری خود پاسخ این جسجو را داده و ارتباط برقرار خواهد شد. در تکنیک Arp spoofing مهاجم با ارسال پاسخ*های ARP جعلی به سمت سیستم هدف، جدول ARP قربانی را با نگاشت آدرس IP مسیریاب پیش*فرض (لایه ۳) به آدرس MAC خود (لایه ۲) تغییر داده و با این*کار سیستم هدف را مجبور می*کند که برای دستیابی به مسیریاب پیش*فرض، از آدرس MAC مهاجم استفاده می*کند و بدین ترتیب همه داده*های خروجی سیستم هدف با مقصد مسیریاب پیش*فرض به سمت کامپیوتر مهاجم ارسال خواهند شد. در واقع در طی این فرایند کامپیوتر مهاجم نقش واسط را بین سیستم هدف و مسیریاب پیش*فرض بازی می*کند.
در مرحله بعد مهاجم با راه*اندازی سرویس IP Forwarding بر روی کامپیوتر خود همه ترافیک دریافتی از سیستم هدف را به سمت مسیریاب پیش*فرض مسیردهی می*کند تا از ارتباط درخواستی سیستم هدف جلوگیری به عمل نیامده باشد .
جعل آدرسIP:روش متداول دیگری که مهاجمان برای ایجاد اختلال، پوشاندن ردپا و دسترسی غیرمجاز مورد استفاده قرار می*دهند، جعل آدرس IP می*باشد. در این روش مهاجم با تغییر آدرس IP خود از طریق پیکر*بندی مجدد سیستم سعی در معرفی خود به*عنوان یکی از سیستم*های موجود در شبکه می*نماید. غالباً این نوع روش جعل، زمانی مورد استفاده قرار می*گیرد که مهاجم بخواهد منبع بسته*های ارسالی را مخفی نماید.
در این روش، از آن*جایی که تمامی بسته*های ارسالی از جانب کامپیوترِ هدف به سمت آدرس جعلی که مهاجم وانمود کرده است، ارسال می*شود، عملاً مهاجم هیچگونه پاسخی را دریافت نکرده و در نتیجه نمی*تواند هیچ*گونه نشست تعاملی را با سیستم هدف و تست نفوذ داشته باشد. لازم به ذکر است که تکنیک*های جعل آدرس IP بر روی سیستم*های مبتنی بر پروتکل TCP قابل اجرا بوده و سیستم*هایی را هدف قرار می*دهند که از آدرس*های IP برای اعتبارسنجی و برقراری ارتباط استفاده می*کنند.در نوع دیگری از تقلید آدرس IP که به تکنیک مسیریابی مبدا معروف است مهاجم از طریق دستکاری در Header بسته*های ارسالی، مسیری که سیستم هدف برای برقراری ارتباط با هر سیستم دلخواه دیگری باید مورد استفاده قرار دهد را تعیین نموده و ضمن وارد نمودن آدرس IP خود به عنوان بخشی از این مسیر، مسیر فوق را به سیستم هدف تحمیل می*کند. بدین*طریق کامپیوتر قربانی جهت برقراری ارتباط براساس مسیر تعیین شده از جانب مهاجم، شروع به ارسال داده*ها خواهد نمود.جریان داده*های مذبور در مسیر خود به سمت مقصد ضمن گذر از مسیریاب*های مختلف، از کامپیوتر مهاجم نیز عبور کرده و بدین*طریق مهاجم تمامی داده*های ارسالی از سیستم هدف را دریافت خواهد نمود این موضوع از طریق یک تست نفوذ قابل مشاهده است. برتری این روش نسبت به روش اول در این نکته می*باشد که در صورت موفقیت*آمیز بودن این عمل، مهاجم با مشاهده پاسخ*های ارسالی از کامپیوتر هدف توانایی ایجاد نشست*های تعاملی با سیستم* هدف را دارا خواهد بود.سرقت نشست: در سطوح بالاتر مهاجمین با ترکیب روش*های ذکر شده در بالا و به کار بردن تکنیکی به نام سرقت نشست (Session hijacking) ، توانایی مشاهده و کنترل تمامی ارتباطات تعاملی ممکن از قبیل rlogin ،Ftp ،telnet و ... را خواهند داشت. این تکنیک با توجه به شیوه*های اجرای آن به دو نوع سرقت نشست مبتنی بر میزبان (hostBased) و مبتنی بر شبکه (NetworkBased) تقسیم*بندی می*شود.
اگر فرض کنیم نشستی از نوع FTP بین سیستم*های شماره یک و دو برقرار شده باشد و مهاجم نیز کنترل یکی از سیستم*های موجود در همان قسمت از شبکه را در اختیار داشته باشد، به راحتی می*توان از طریق تکنیک*های شنود، داده*های در حال انتقال در طی برقراری این نشست را مشاهده نموده و بر شماره سریال TCP بسته*های ارسالی نیز نظارت داشت. همان*طوری که می*دانید، هر ارتباط TCP با ارسال یک بسته Synchronization یا هماهنگ*سازی برای درخواست برقراری ارتباط شروع می*شود.با توجه به Header بسته*های TCP ، هر بسته Syn اولیه دارای یک عدد تصادفی با نام شماره سریال می*باشد که در صورت برقراری ارتباط بسته*های ارسالی بعدی با پیروی از شماره سریال اولیه روندی افزایشی خواهند داشت در نگارش*های قدیمی IOS که سیستم*عامل روترهای سیسکو می*باشد شماره سریال TCP به راحتی قابل تخمین می*باشد ولی در نگارش*های ۰.۱۲ و ۱.۱۲ این امر تا حد زیادی بهبود یافته است. در تکنیک Session hijacking ، مهاجم در ابتدا با جعل آدرس IP کامپیوتر موجود در سوی دیگر ارتباط، یعنی سیستم شماره یک، و استفاده از شماره سریال*های TCP درست و مناسب، بسته*های داده جعلی را به سمت سیستم هدف ارسال می*دارد.
سیستم هدف پس از دریافت بسته*های مذکور با بررسی شماره سریال و آدرس IP مبدا بسته*ها، صحت بسته*های دریافتی را تأیید کرده و از آن* جایی که تصور می*کند که بسته*های دریافتی از جانب کامپیوتر شماره یک است، براساس موارد خواسته شده پاسخ*های مناسب را به سمت وی ارسال خواهد داشت. بدین*ترتیب مهاجم کنترل نشست را در اختیار گرفته و به راحتی می*تواند فرامین دلخواه را بر روی سیستم قربانی به اجرا درآورد.
در طرف دیگر ارتباط، سیستم شماره یک با دریافت بسته*های پاسخ و بررسی شماره سریال آن*ها متوجه روند افزایشی آن شده و با توجه به این*که هیچ*گونه درخواستی برای اطلاعات مذکور از جانب وی صورت نگرفته است به ازای هر بسته دریافتی یک پیغام ACK جهت ایجاد هماهنگی مجدد ارسال خواهد داشت که پس از گذشت مدت زمان کوتاهی از به سرقت رفتن نشست، ترافیک سنگینی از بسته*ها در طول شبکه به وجود آمده و در نهایت کامپیوتر شماره دو پس از ارسال تعداد مشخصی پیغام ACK ارتباط را قطع خواهد کرد.
از آن جایی که در این روش، نشست در هنگام ارسال بر روی شبکه به سرقت می*رود به آن سرقت نشست مبتنی بر شبکه گویند.
مهاجمین با نفوذ به سیستم*های کم اهمیت موجود در روی شبکه و با گسترش میزان دسترسی خود از طریق حفره*های موجود، به کلیه سیستم*ها و اطلاعات موجود در روی شبکه دسترسی پیدا می*کنند.در این نوشتارشیوه*ها و تکنیک*هایی که غالباً توسط مهاجمین برای دسترسی به اطلاعات و کنترل سیستم*های موجود در روی شبکه مورد استفاده قرار می*گیرد مورد بحث و بررسی قرار خواهد گرفت که از جمله این روش*ها می*توان به شنود (sniffing) ، جعل (spoofing) و سرقت نشست (Session hijacking) اشاره نمود.
تذکر این نکته ضروری است که در ادامه بحث فرض براین نهاد شده که مهاجم، از قبل بر روی یکی از سیستم*های موجود در شبکهِ هدف دارای یک Account بوده و به یک Interactive Shell در روی آن سیستم دسترسی دارد. حال ممکن است این فرد Account مزبور را از طریق نفوذ به شبکه به*دست* آورده یا از قبل در اختیارداشته باشد .
شنود
از جمله شیوه*هایی که مهاجمین برای جمع*آوری اطلاعات تبادلی بر روی شبکه به کار می*برند می*توان به شنود یا Sniffing اشاره نمود. در این روش، مهاجم با نصب و اجرای برنامه*هایی که قابلیت جمع*آوری ترافیک شبکه مورد*نظر را بر روی یکی از کامپیوترهای متصل به شبکه دارند، اقدام به جمع*آوری اطلاعات از روی شبکه می*نماید.
از آن*جایی که غالب این Snifferها در لایه Data Link پشته پروتکلی را هدف قرار داده و بسته*های داده را از این لایه جمع*آوری می*نمایند و بنا بر ویژگی*های این لایه، عملاً محدودیتی در نوع اطلاعات جمع*آوری شده وجود نخواهد داشت.
مهاجم پس از دستیابی به Shell یکی از سیستم*های موجود در شبکه و انتقال فایل*های برنامه sniffer بر روی کامپیوتر مذکور، اقدام به نصب و راه*اندازی برنامه نموده و آن را به*گونه*ای تنظیم می*نماید که ترافیک دریافتی از سطح شبکه بر روی یک فایل محلی ذخیره شود. پس از گذشت مدت زمان مشخصی، مهاجم فایل موردنظر را جهت بررسی داده*ها و استخراج اطلاعات موردنظر، بر روی کامپیوتر خود منتقل می*کند.
در میان اطلاعات جمع*آوری شده می*توان به داده*هایی از قبیل شناسه*های کاربری، کلمات عبور، پاسخ*های DNS ، کلمات عبورFTP ، فایل*هایی که با استفاده ازNetwork File System یا Shareهای ویندوز به اشتراک گذاشته شده*اند دست یافت که با استفاده از این اطلاعات، بالاخص شناسه*های کاربری و کلمات عبور، فرد مهاجم می*تواند به کامپیوترهای بیشتری در سطح شبکه دسترسی یافته و میزان تسلط خود را بالاتر ببرد .
Snifferها می*توانند بر روی انواع مختلفی از واسط*های شبکه (مانند واسط*های PPP یا Token Ring) مورد استفاده قرار گیرند ولی به علت وجود پروتکل غالب اترنت در طراحی LAN ، اغلب Sniffer ها برای این نوع پروتکل شبکه طراحی و تنظیم می*شوند. همان*طوری که می*دانید در طراحی یک LAN اترنتی می*توان از هاب (Hub) یا از سوییچ (Switch) استفاده نمود که هر دو ابزار دارای وظیفه*ای یکسان با عملکردی متفاوت می*باشند. در یک LAN طراحی شده با هاب، وقتی در تست نفوذ بسته*های داده از یک کامپیوتر به سمت کامپیوتر دیگری ارسال می*گردد، هاب مستقر در segment کامپیوتر مقصد، پس از دریافت بسته موردنظر آن را به همه کامپیوترهای متصل به خود و موجود در آن قسمت ارسال خواهد داشت.
بنابراین اگر مهاجمی یک Sniffer را روی یکی از سیستم*های موجود در آن قسمت راه*اندازی نماید، Sniffer می*تواند داده*هایی را که به هر سیستم رویLAN فرستاده شده و یا از آن خارج می*شود را دریافت و ذخیره نماید. به این نوع جمع*آوری اطلاعات، ردیابی غیرفعال یا Passive Sniffing گویند.
برخلاف هاب، سوئیچ*ها تمامی اطلاعات دریافتی را به همه سیستم*های موجود در LAN ارسال نخواهند داشت؛ بلکه یک سوئیچ پس از دریافت هر بسته اطلاعات با بررسی Header آن بسته، آدرس MAC کامپیوتر مقصد را استخراج نموده و با توجه به جدول نگاشت آدرس*های MAC موجود در حافظه خود، بسته مذبور را فقط به سمت کامپیوتر مقصد هدایت می*نماید (آدرس*های MAC آدرس*های سخت*افزاری یکتا برای هر کارت شبکه می*باشند).
در واقع می*توان گفت که بدین طریق سوئیچ*ها، ترافیک موجود در شبکه را تا حد زیادی کاهش می*دهند. اگر مهاجمSinffer غیرفعالی را روی یک LAN طراحی شده با سوئیچ فعال نماید، Sniffer فقط اطلاعاتی را دریافت خواهد کرد که به سمت کامپیوتر موردنظر ارسال شده و یا از آن خارج می*شود.
در این موارد، مهاجمین برای کسب همه اطلاعات رد و بدل شده در طول شبکه از طریق شیوه*های شنود، غالباً از تکنیک*هایی ازقبیل MAC Flooding و یا Arp spoofing استفاده می*کنند. در روش اول، مهاجم ترافیک سنگینی از بسته*های داده را به آدرس*های MAC مورد استفاده هر پیوند هدایت می*نماید.
سرانجام حافظه سوئیچ با آدرس*های MAC غیرمجاز و جعلی پر شده و سوئیچ در چنین شرایطی شروع به ارسال داده*ها روی تمامی پیوندهای متصل به خود می*کند. در واقع در این مرحله عملاً سوئیچ همانند هاب عمل کرده و مهاجم به راحتی توسط هرSinffer غیرفعالی می*تواند تمامی ترافیک موجود در شبکه را مشاهده و ذخیره نماید. در بعضی از ساختارهای سوئیچ، معروف به Unfloodable ، پس از این*که حافظه آدرس*های MAC سوئیچ تا حد خاصی پر شد، سوئیچ دیگر آدرس*های MAC جدید را در خود ذخیره نمی*کند و عملاً تکنیک MAC flooding درباره این سوئیچ*ها کارگر نخواهد بود. در مواجهه با چنین شرایطی غالباً مهاجمان از تکنیکی به نام Arp spoofing استفاده می*کنند.
همان*طوری که می*دانیم براساس پروتکل RFC۶۲۸ ) ARP ) ، آدرس*های ۳۲ بیتی IP جهت استفاده در طول شبکه تبدیل به آدرس*های ۴۸ بیتی سخت*افزاری می*شوند. بدین*ترتیب در یک شبکه محلی با یک مسیریاب پیش*فرض، هرگاه سیستمی قصد برقراری ارتباط با یکی از کامپیوترهای موجود در شبکه را داشته باشد با ارسال پیغام*های عمومی ARP شروع به جستجوی آدرس سخت*افزاری سیستم هدف می*کند.
در این مرحله سیستم هدف، با ارسال آدرس سخت*افزاری خود پاسخ این جسجو را داده و ارتباط برقرار خواهد شد. در تکنیک Arp spoofing مهاجم با ارسال پاسخ*های ARP جعلی به سمت سیستم هدف، جدول ARP قربانی را با نگاشت آدرس IP مسیریاب پیش*فرض (لایه ۳) به آدرس MAC خود (لایه ۲) تغییر داده و با این*کار سیستم هدف را مجبور می*کند که برای دستیابی به مسیریاب پیش*فرض، از آدرس MAC مهاجم استفاده می*کند و بدین ترتیب همه داده*های خروجی سیستم هدف با مقصد مسیریاب پیش*فرض به سمت کامپیوتر مهاجم ارسال خواهند شد. در واقع در طی این فرایند کامپیوتر مهاجم نقش واسط را بین سیستم هدف و مسیریاب پیش*فرض بازی می*کند.
در مرحله بعد مهاجم با راه*اندازی سرویس IP Forwarding بر روی کامپیوتر خود همه ترافیک دریافتی از سیستم هدف را به سمت مسیریاب پیش*فرض مسیردهی می*کند تا از ارتباط درخواستی سیستم هدف جلوگیری به عمل نیامده باشد .
جعل آدرسIP:روش متداول دیگری که مهاجمان برای ایجاد اختلال، پوشاندن ردپا و دسترسی غیرمجاز مورد استفاده قرار می*دهند، جعل آدرس IP می*باشد. در این روش مهاجم با تغییر آدرس IP خود از طریق پیکر*بندی مجدد سیستم سعی در معرفی خود به*عنوان یکی از سیستم*های موجود در شبکه می*نماید. غالباً این نوع روش جعل، زمانی مورد استفاده قرار می*گیرد که مهاجم بخواهد منبع بسته*های ارسالی را مخفی نماید.
در این روش، از آن*جایی که تمامی بسته*های ارسالی از جانب کامپیوترِ هدف به سمت آدرس جعلی که مهاجم وانمود کرده است، ارسال می*شود، عملاً مهاجم هیچگونه پاسخی را دریافت نکرده و در نتیجه نمی*تواند هیچ*گونه نشست تعاملی را با سیستم هدف و تست نفوذ داشته باشد. لازم به ذکر است که تکنیک*های جعل آدرس IP بر روی سیستم*های مبتنی بر پروتکل TCP قابل اجرا بوده و سیستم*هایی را هدف قرار می*دهند که از آدرس*های IP برای اعتبارسنجی و برقراری ارتباط استفاده می*کنند.در نوع دیگری از تقلید آدرس IP که به تکنیک مسیریابی مبدا معروف است مهاجم از طریق دستکاری در Header بسته*های ارسالی، مسیری که سیستم هدف برای برقراری ارتباط با هر سیستم دلخواه دیگری باید مورد استفاده قرار دهد را تعیین نموده و ضمن وارد نمودن آدرس IP خود به عنوان بخشی از این مسیر، مسیر فوق را به سیستم هدف تحمیل می*کند. بدین*طریق کامپیوتر قربانی جهت برقراری ارتباط براساس مسیر تعیین شده از جانب مهاجم، شروع به ارسال داده*ها خواهد نمود.جریان داده*های مذبور در مسیر خود به سمت مقصد ضمن گذر از مسیریاب*های مختلف، از کامپیوتر مهاجم نیز عبور کرده و بدین*طریق مهاجم تمامی داده*های ارسالی از سیستم هدف را دریافت خواهد نمود این موضوع از طریق یک تست نفوذ قابل مشاهده است. برتری این روش نسبت به روش اول در این نکته می*باشد که در صورت موفقیت*آمیز بودن این عمل، مهاجم با مشاهده پاسخ*های ارسالی از کامپیوتر هدف توانایی ایجاد نشست*های تعاملی با سیستم* هدف را دارا خواهد بود.سرقت نشست: در سطوح بالاتر مهاجمین با ترکیب روش*های ذکر شده در بالا و به کار بردن تکنیکی به نام سرقت نشست (Session hijacking) ، توانایی مشاهده و کنترل تمامی ارتباطات تعاملی ممکن از قبیل rlogin ،Ftp ،telnet و ... را خواهند داشت. این تکنیک با توجه به شیوه*های اجرای آن به دو نوع سرقت نشست مبتنی بر میزبان (hostBased) و مبتنی بر شبکه (NetworkBased) تقسیم*بندی می*شود.
اگر فرض کنیم نشستی از نوع FTP بین سیستم*های شماره یک و دو برقرار شده باشد و مهاجم نیز کنترل یکی از سیستم*های موجود در همان قسمت از شبکه را در اختیار داشته باشد، به راحتی می*توان از طریق تکنیک*های شنود، داده*های در حال انتقال در طی برقراری این نشست را مشاهده نموده و بر شماره سریال TCP بسته*های ارسالی نیز نظارت داشت. همان*طوری که می*دانید، هر ارتباط TCP با ارسال یک بسته Synchronization یا هماهنگ*سازی برای درخواست برقراری ارتباط شروع می*شود.با توجه به Header بسته*های TCP ، هر بسته Syn اولیه دارای یک عدد تصادفی با نام شماره سریال می*باشد که در صورت برقراری ارتباط بسته*های ارسالی بعدی با پیروی از شماره سریال اولیه روندی افزایشی خواهند داشت در نگارش*های قدیمی IOS که سیستم*عامل روترهای سیسکو می*باشد شماره سریال TCP به راحتی قابل تخمین می*باشد ولی در نگارش*های ۰.۱۲ و ۱.۱۲ این امر تا حد زیادی بهبود یافته است. در تکنیک Session hijacking ، مهاجم در ابتدا با جعل آدرس IP کامپیوتر موجود در سوی دیگر ارتباط، یعنی سیستم شماره یک، و استفاده از شماره سریال*های TCP درست و مناسب، بسته*های داده جعلی را به سمت سیستم هدف ارسال می*دارد.
سیستم هدف پس از دریافت بسته*های مذکور با بررسی شماره سریال و آدرس IP مبدا بسته*ها، صحت بسته*های دریافتی را تأیید کرده و از آن* جایی که تصور می*کند که بسته*های دریافتی از جانب کامپیوتر شماره یک است، براساس موارد خواسته شده پاسخ*های مناسب را به سمت وی ارسال خواهد داشت. بدین*ترتیب مهاجم کنترل نشست را در اختیار گرفته و به راحتی می*تواند فرامین دلخواه را بر روی سیستم قربانی به اجرا درآورد.
در طرف دیگر ارتباط، سیستم شماره یک با دریافت بسته*های پاسخ و بررسی شماره سریال آن*ها متوجه روند افزایشی آن شده و با توجه به این*که هیچ*گونه درخواستی برای اطلاعات مذکور از جانب وی صورت نگرفته است به ازای هر بسته دریافتی یک پیغام ACK جهت ایجاد هماهنگی مجدد ارسال خواهد داشت که پس از گذشت مدت زمان کوتاهی از به سرقت رفتن نشست، ترافیک سنگینی از بسته*ها در طول شبکه به وجود آمده و در نهایت کامپیوتر شماره دو پس از ارسال تعداد مشخصی پیغام ACK ارتباط را قطع خواهد کرد.
از آن جایی که در این روش، نشست در هنگام ارسال بر روی شبکه به سرقت می*رود به آن سرقت نشست مبتنی بر شبکه گویند.