دنیای امنیت سایبری پر از تهدیدهایی است که گاه دیده می‌شوند و گاه کاملاً پنهان می‌مانند. در میان این تهدیدها، دو دستهٔ کلی وجود دارد: حملات فعال (Active Attacks) که مهاجم با تغییر یا اختلال در داده‌ها وارد می‌شود، و حملات غیرفعال (Passive Attacks) که تنها اطلاعات را شنود یا جمع‌آوری می‌کنند بدون اینکه مستقیماً کاری را تغییر دهند.

What is a Cyber Attack

حمله سایبری یا Cyber Attack یعنی وقتی یه نفر یا یه گروه سعی میکنن به سیستم‌های کامپیوتری، شبکه‌ها یا اطلاعات یه سازمان یا حتی یه فرد به صورت غیرمجاز دسترسی پیدا کنن. هدفشون میتونه هر چیزی باشه، از دزدیدن اطلاعات گرفته تا خراب کردن سیستم یا از کار انداختن یه سایت.

به زبون ساده‌تر، حمله سایبری همون موقعیه که یکی میخواد کاری کنه که حقش نیست. مثلا وارد حساب کسی بشه بدون داشتن رمز، اطلاعات کاربرها رو بدزده، فایل‌ها رو قفل کنه (مثل باج‌افزارها یا Ransomware) یا کاری کنه که سرور یه شرکت از کار بیفته (DoS Attack).

چرا حمله سایبری انجام میدن؟

دلیلش همیشه یکی نیست، ولی معمولاً توی یکی از این چند دسته قرار میگیره:

1. دزدی اطلاعات (Data Theft): مثلا هکری که دنبال رمز عبور، کارت بانکی یا اطلاعات کاربرهاست.
2. خرابکاری (Sabotage): هدفش اینه که سیستم‌ها یا سرویس‌ها از کار بیفتن، مثل حملات DDoS که باعث میشن سایت‌ها داون بشن.
3. جاسوسی (Espionage): مخصوصاً بین دولت‌ها یا سازمان‌های بزرگ که دنبال اطلاعات محرمانه‌ان.
4. انگیزه مالی (Financial Gain): مثلا حملات باج‌افزاری که قربانی باید پول بده تا دوباره به فایل‌هاش دسترسی پیدا کنه.
5. شهرت یا سرگرمی (Fame or Fun): بعضی از هکرها فقط برای چالش یا معروف شدن این کارو میکنن.

انواع حملات در امنیت سایبری

حملات سایبری رو میشه به صورت کلی به دو دسته تقسیم کرد: Active Attack و Passive Attack. این دو تا دسته رو فهمیدن خیلی مهمه چون از دید دفاعی باید رفتارمون فرق کنه. حالا قدم‌به‌قدم ببینیم هرکدوم چی هستن، چی مثال‌هایی دارن و چطور میشه مقابلشون ایستاد.

تفاوت Active Attack و Passive Attack

حملات امنیتی دو دسته‌اند: Active Attack (حملهٔ فعال) و Passive Attack (حملهٔ غیرفعال). فرق اصلی بینشون در رفتار مهاجمه:

Active Attack مهاجم وارد عمل میشه و مستقیم با سیستم تعامل می‌کنه. یعنی درخواست می‌فرسته یا پکت (packet) ارسال می‌کنه، داده‌ها رو تغییر میده یا پیام جدید وارد می‌کنه. چون دستکاری انجام میشه، معمولاً باعث اختلال در سرویس یا بروز علائم میشه و معمولاً قابل مشاهده‌تره.

Passive Attack مهاجم هیچ درخواستی نمی‌فرسته و هیچ پکتی تولید نمی‌کنه؛ فقط ترافیک رو گوش میده و اطلاعات رو جمع‌آوری می‌کنه. در این حالت هیچ تغییری در داده‌ها یا سرویس ایجاد نمیشه، بنابراین شناسایی حمله سخت‌تره.

مثال Active:
برای بدست آوردن username و password، مهاجم چندین درخواست به وب‌سرور می‌فرسته و مقادیر مختلف رو امتحان می‌کنه تا بالاخره درستش رو پیدا کنه. این ارسال درخواست و پکت، نمونهٔ حملهٔ فعاله.

مثال Passive:
مهاجم ترافیک شبکه رو با ابزاری مثل Wireshark گوش می‌ده و بسته‌ها رو ذخیره می‌کنه تا بعداً تحلیل کنه؛ هیچ درخواستی از طرف مهاجم به سرور ارسال نمی‌شه — این نمونهٔ حملهٔ غیرفعاله.

Passive attack چیست؟

در حوزهٔ امنیت شبکه (Network Security — امنیت شبکه)، یکی از مهم‌ترین تهدیدهایی که ممکن است سیستم‌ها و سازمان‌ها را در معرض خطر قرار دهد، حملهٔ غیرفعال (Passive Attack) است. این نوع حمله زمانی اتفاق می‌افتد که مهاجم بدون ایجاد هیچ تغییری در داده‌ها یا فرآیندها، تنها به شنود (Listening) یا مشاهده (Monitoring) اطلاعات می‌پردازد. هدف اصلی در این حملات، دسترسی پنهانی به اطلاعات حساس مانند رمزهای عبور، محتواهای ارتباطی یا الگوهای ترافیک (Traffic Patterns — الگوهای ترافیک) است.

در حمله غیرفعال، مهاجم تلاش می‌کند بدون جلب توجه و بدون دستکاری داده‌ها، اطلاعات را از سیستم یا شبکه هدف استخراج کند. این نوع حمله برخلاف حملات فعال (Active Attacks)، هیچ نشانه آشکاری از خود بر جای نمی‌گذارد و معمولاً تشخیص آن بسیار دشوار است.

خلاصه توضیح میشه مهاجم در Passive Attack فقط می‌بیند و گوش می‌دهد، اما دخالت نمی‌کند.

انواع حملات Passive attack

استراق‌سمع (Eavesdropping) – شنود بسته‌ها (Packet Sniffing) – تحلیل ترافیک (Traffic Analysis) – جمع‌آوری اطلاعات عمومی (OSINT) – DNS پسیو (Passive DNS) – شناسایی سیستم‌عامل پسیو (Passive OS Fingerprinting) – مانیتورینگ وایرلس (Wireless Monitoring) – تحلیل جریان شبکه (NetFlow / IPFIX Analysis) – چشم‌چرانی فیزیکی (Shoulder Surfing) – تحلیل کانال جانبی (Timing / EM Side-Channel Analysis)

Active Attacks چیست؟

یک active attacker (مهاجم فعال) مهاجمی است که وارد عمل می‌شود و سعی می‌کند با ارسال پکت، تغییر ترافیک، یا اجرای اکسپلویت‌ها به یک شبکه یا سرویس خسارت وارد کند یا آن را آزمایش کند. بر خلاف حملات Passive (غیرفعال) که فقط می‌بینند و می‌شنوند، مهاجم اکتیو مستقیماً تداخل ایجاد می‌کند. او معمولاً sniffing (شنود صرف) انجام نمی‌دهد بلکه با تغییر، ارسال یا تحریف داده‌ها تاثیر می‌گذارد

انواع حملات active attacker

• DoS — Denial of Service (قطع سرویس): حمله‌ای که با اشباع منابع سرور یا سرویس، دسترسی کاربران قانونی را قطع می‌کند.
• مثال: ارسال حجم زیاد درخواست‌های HTTP به یک وب‌سرور تا سرویس از پاسخدهی باز بماند.

• DDoS — Distributed Denial of Service (قطع سرویس توزیع‌شده): نسخهٔ توزیع‌شدهٔ DoS که از تعداد زیادی دستگاه (بات‌نت) هم‌زمان انجام می‌شود و مهار سخت‌تر است.
• مثال: صدها هزار دستگاه آلوده هم‌زمان به یک آدرس IP هدف پکت می‌فرستند و لینک شبکه را پر می‌کنند.

• Buffer Overflow (سرریز بافر): ارسال دادهٔ بیش‌ازحد یا ساختار نادرست به برنامه به‌طوری که حافظه خراب شود و مهاجم بتواند رفتار برنامه را تغییر دهد.
• مثال: یک ورودی طولانی باعث کرش سرویس و امکان اجرای کد از راه دور روی سرور می‌شود.

• SYN Flood: سیلی از بسته‌های SYN که اتصال‌های نیمه‌کامل TCP ایجاد می‌کند و جدول اتصالات سرویس‌دهنده را پر می‌کند.
• مثال: هزاران درخواست SYN به پورت سرویس ارسال می‌شود و سرور نمی‌تواند handshake کامل کند.

• SQL Injection (تزریق SQL): وارد کردن رشتهٔ مخرب در ورودی‌های وب تا کوئری‌های پایگاه‌داده تغییر کند و داده خوانده یا دستکاری شود.
• مثال: وارد کردن ' OR '1'='1 در فرم لاگین که باعث برگشت همهٔ رکوردها می‌شود.

• Man-in-the-Middle / ARP Spoofing: قرار گرفتن مهاجم در مسیر ارتباط دو طرف و دیدن یا تغییر ترافیک؛ ARP spoofing در شبکهٔ محلی نمونهٔ رایج است.
• مثال: مهاجم با جعل ARP جدول‌ها، ترافیک یک ایستگاه به سمت خودش هدایت می‌کند و اطلاعات را می‌خواند.

• Ransomware / Malware (باج‌افزار/بدافزار): نصب یا اجرای نرم‌افزاری مخرب که فایل‌ها را رمز می‌کند، سرویس‌ها را مختل می‌سازد یا اطلاعات را می‌دزدد.
• مثال: باز شدن پیوست مخرب در ایمیل و قفل شدن فایل‌های اشتراکی روی سرور با درخواست باج.

سخن پایانی

در دنیای امنیت شبکه، شناخت دو دسته‌ی اصلی حملات یعنی Passive و Active اهمیت بسیار زیادی دارد، چون درک تفاوت آن‌ها به ما کمک می‌کند روش‌های دفاعی دقیق‌تری طراحی کنیم. هرچند هر دو نوع حمله با هدف دسترسی یا آسیب به اطلاعات انجام می‌شوند، اما شیوه‌ی عملکرد و اثرشان کاملاً متفاوت است.

در حملات غیرفعال (Passive Attacks)، مهاجم فقط مشاهده‌گر است؛ او سعی می‌کند بدون هیچ تغییری در داده‌ها، اطلاعات حساس را از جریان ارتباطی استخراج کند. این حملات معمولاً شامل شنود ترافیک (Packet Sniffing)، تحلیل الگوهای ارتباطی (Traffic Analysis) یا شنود بی‌سیم (Wireless Eavesdropping) هستند. چون در این نوع حمله هیچ داده‌ای تغییر نمی‌کند، تشخیص آن بسیار سخت است. هدف اصلی مهاجم در اینجا جمع‌آوری اطلاعات بدون جلب توجه است. ابزارهایی مثل Wireshark، Kismet، tcpdump و Zeek اغلب برای تحلیل یا بررسی قانونی این نوع ترافیک استفاده می‌شوند. در واقع، Passive Attack مرحله‌ای است که مهاجم در حال شناخت هدف است، نه آسیب مستقیم به آن.

در مقابل، حملات فعال (Active Attacks) مرحله‌ای است که مهاجم وارد عمل می‌شود. در این نوع حمله، داده‌ها تغییر می‌کنند، سرویس‌ها مختل می‌شوند یا کدهای مخرب اجرا می‌گردند. حملاتی مانند DoS، DDoS، Buffer Overflow، SYN Flood، SQL Injection یا Man-in-the-Middle از رایج‌ترین نمونه‌ها هستند. در این حالت مهاجم ساکت نیست، بلکه به‌طور مستقیم روی سرویس یا سیستم اثر می‌گذارد. هدف در اینجا ایجاد اختلال، دستکاری داده، یا نفوذ به سیستم برای کنترل یا تخریب است. ابزارهایی مانند Burp Suite، Suricata، ModSecurity، NetFlow analyzers و EDRها برای تحلیل و دفاع در برابر این نوع تهدیدها کاربرد دارند.

تفاوت اصلی این دو دسته را می‌توان در یک جمله خلاصه کرد:
در Passive Attack مهاجم فقط می‌بیند و می‌شنود، اما در Active Attack مهاجم عمل می‌کند و تغییر ایجاد می‌کند.