Tải bản đầy đủ

BÁO cáo CHUYÊN đề 4 tìm HIỂU về SNIFFER

BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER

MỤC LỤC
MỤC LỤC .................................................................................................................1
CHƯƠNG I: LÝ THUYẾT VỀ SNIFFER ............................................................2
I. Các khái niệm căn bản về Sniffer .................................................................2
1.1 Một số thuật ngữ : ..........................................................................................2


Địa chỉ Ethernet MAC là gì ? .....................................................................4

1.2 Đôi nét về Sniffer : ........................................................................................5
1.3 Sniffer được sử dụng như thế nào ? ...............................................................6
1.4 Phân loại Sniffing .........................................................................................7
II . Các phương pháp phát hiện Sniffer trên hệ thống mạng :.........................9
2.1 Phương pháp dùng Ping:..............................................................................10
2.3 Phương pháp sử dụng DNS : .......................................................................13
2.4 Phương pháp Source-Route : .......................................................................13
2.5 Phương pháp giăng bẫy (Decoy) : ...............................................................14
2.6 Phương pháp kiểm tra sự chậm trễ của gói tin (Latency) : .........................14
III Phương pháp ngăn chặn Sniffer trên hệ thống mạng : .............................14

3.1 Các hệ thống mạng có nguy cơ Sniffer : .....................................................14
3.2 Các giao thức có nguy cơ Sniffer: ............................................................15
3.3 Phương pháp ngăn chặn Sniffer dữ liệu ?...............................................15
3.4 Phương pháp ngăn chặn Sniffer Password : ................................................16
3.5 Phương pháp ngăn chặn Sniffer trên thiết bị phần cứng .............................17
CHƯƠNG II: PHẦN THỰC HÀNH LAP ..........................................................18
CHƯƠNG III: MỘT VÀI CÁCH CHỐNG SNIFFER TRONG LAN .............36
CHƯƠNG IV:TÀI LIỆU THAM KHẢO ............................................................42
CHƯƠNG V: KẾT LUẬN ....................................................................................43

Trang 1
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER

CHƯƠNG I: LÝ THUYẾT VỀ SNIFFER
I. Các khái niệm căn bản về Sniffer
1.1 Một số thuật ngữ :
 Ethernet : Một công nghệ nối mạng có năng lực mạnh được sử dụng
trong hầu hết các mạng LAN.
 Wireless : Các công nghệ nối mạng không dây.
 Serial Direct Cable Connection : Công nghệ kết nối máy tính bằng Cable
truyền nhận dữ liệu.
 PPP (Point-to-Point Protocol) : Một giao thức kết nối Internet tin cậy
thông qua Modem.
 IP (Internet Protocol) : Giao thức được dùng để xử lý cơ chế truyền dữ
liệu thực tế. Là cơ sở cho việc định hướng và vận chuyển dữ liệu trên
Internet.
 ICMP (Internet Control Message Protocol) : Giao thức xử lý các thông
báo trạng thái cho IP, ví dụ như báo lỗi và các thay đổi mạng có thể ảnh
hưởng đến việc định tuyến.
 ARP (Address Resolution Protocol) : Giao thức chuyển các địa chỉ mạng
sang địa chỉ phần cứng vật lý tương dùng các thông điệp Broadcast.
Dùng để xác định địa chỉ mạng.

Trang 2
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER

 RARP (Reverse Address Resolution Protocol) : Làm công việc ngược
lại ARP, chuyển địa chỉ phần cứng từ một máy sang địa chỉ IP.
 TCP (Transmission Control Protocol) : Một giao thức, dịch vụ dựa trên
kết nối, điều này cho phép các máy nhận và gửi dữ liệu có thể truyền
thông với nhau vào mọi lúc, mọi nơi.
 UDP (User Datagram Protocol) : Một giao thức, một dịch vụ không kết
nối, hai máy gửi và nhận sẽ không truyền thông với nhau thông qua một
kết nối liên tục.
 Telnet : Giao thức cho phép đăng nhập từ xa đê người ding trên máy
này có thể kết nối với máy kia và sẽ hoạt động như là ngồi ở máy đó vậy.
 FTP (File Transfer Protocol) : Giao thức truyền dữ liệu từ máy này sang
máy khác dùng giao thức TCP.
Trang 3
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER
 SMTP (Simple Mail Transfer Protocol) : Giao thức dùng để truyền nhận
thư điện tử giữa các máy.
 DNS (Domain Name Service) : Xác định các địa chỉ máy tính từ tên chữ
sang số. Còn rất nhiều giao thức dịch vụ khác ở tầng 7. Nhưng do khuôn
khổ bài viết lên tôi chỉ nêu một số giao thức dịch vụ cơ bản.
 Địa chỉ Ethernet MAC là gì ?
Địa chỉ MAC (Media Access Control) : là kiểu địa chỉ vật lí, đặc trưng
cho một thiết bị hoặc một nhóm các thiết bị trong mạng LAN. Địa chỉ
này được dùng để nhận diện các thiết bị giúp cho các gói tin lớp 2 có thể
đến đúng đích.
Một địa chỉ MAC bao gồm 6 byte và thường được viết dưới dạng hexa,
với các thiết bị của Cisco, địa chỉ này được viết dưới dạng số hexa ,ví dụ:
0000.0C12.FFFF là một địa chỉ MAC hợp lệ. Để đảm bảo địa chỉ MAC
của một thiết bị là duy nhất, các nhà sản xuất cần phải ghi địa chỉ đó lên
ROM của thiết bị phần cứng và định danh của nhà sản xuất sẽ được xác
định bởi 3 byte đầu OUI (Organizationally Unique Identifier).
Địa chỉ MAC được phân làm 3 loại
- Unicast: đây là loại địa chỉ dùng để đại diện cho một thiết bị duy nhất.
- Multicast: đây là loại địa chỉ đại diện cho một nhóm các thiết bị trong
mạng LAN. Địa chỉ được dùng trong trường hợp một ứng dụng có thể
muốn trao đổi với một nhóm các thiết bị. Bằng cách gửi đi một bản tin có
địa chỉ multicast; tất cả các thiết bị trong nhóm đều nhận và xử lí gói tin
trong khi các thiết bị còn lại trong mạng sẽ bỏ qua. Giao thức IP cũng hỗ
trợ truyền multicast. Khi một gói tin IP multicast được truyền qua một
mạng LAN, địa chỉ MAC multicast tương ứng với địa chỉ IP sẽ là
0100.5exxx.xxxx.
- Broadcast: địa chỉ này đại diện cho tất cả các thiết bị trong cùng một
mạng LAN. Điều đó cũng có nghĩa là nếu một gói tin có địa chỉ MAC là
FFFF.FFFF.FFFF được gửi đi thì tất cả các thiết bị trong mạng LAN đều
phải thu nhận và xử lí.

Trang 4
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER
1.2 Đôi nét về Sniffer :
 Khởi đầu Sniffer là tên một sản phẩm của Network Associates có tên
là Sniffer Network Analyzer.
 Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe
ngóng các lưu lượng thông tin trên hệ thống mạng
 Sniffer được sủ dụng như một công cụ để nhà quản trinh mạng theo
dõi và bảo trì hệ thống mạng. Về mặt tiêu cực, Sniffer được sủ dụng
như một công cụ với mục đích nghe lén các thông tin trê mạng để lấy
các thông tin qua trọng
 Sniffer dựa vào phương thức tấn công ARP để bắt các gói tin được
truyền qua mạng
 Những giao dịch giữa các hệ thống mạng máy tính thường là những
dữ liệu ở dạng nhị phân (Binary). Bởi vậy để nghe lén và hiểu được
những dữ liệu ở dạng nhị phân này, các chương trình Sniffer phải có
tính năng được biết như là sự phân tích các nghi thức (Protocol
Analysis), cũng như tính năng giải mã (Decode) các dữ liệu ở dạng
nhị phân để hiểu được chúng.
 Trong một hệ thống mạng sử dụng những giao thức kết nối chung và
đồng bộ. Bạn có thể sử dụng Sniffer ở bất cứ Host nào trong hệ thống
mạng của bạn. Chế độ này được gọi là chế độ hỗn tạp (promiscuous
mode).
 Một số các ứng dụng của Sniffer được sử dụng như DSNiff,
Snort,Cain, ettercap, sniffer pro……

Trang 5
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER
1.3 Sniffer được sử dụng như thế nào ?
 Sniffer thường được sử dụng vào 2 mục đích :
Một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ
thống mạng của mình.
Một chương trình được cài vào một hệ thống mạng máy tính với
mục đích đánh hơi, nghe lén các thông tin trên đoạn mạng này...
 Những điều kiện để có thể Sniffer có thể xảy ra
Sniff có thể hoặt động trong mạng Lan , Wan, mạng Wlan
Điều kiện cần chỉ là dùng chung subnetMark khi sniffer
Ngoài ra còn dùng một số tool để bắt và phân tích gói tin
 Một số tính năng của Sniffer :
Các Hacker sử dụng để bắt tên người sử dụng (Username) và mật
khẩu không được mã hoá (Clear Text Password) trong hệ thống
mạng của bạn.
Giúp các nhà quản trị theo dõi các thông tin dữ liệu trên đường
truyền. Họ có thể đọc và hiểu được ý nghĩa của những dữ liệu đó.
Giúp các nhà quản trị giám sát lưu lượng của hệ thống qua đó các
quản trị viên có thể phân tích những lỗi đang mắc phải trên hệ
thống lưu lượng của mạng.


Ví dụ như : Tại sao gói tin từ máy A không thể gửi được sang máy B... etc
Một số công cụ Sniffer còn có thể tự động phát hiện và cảnh báo
các cuộc tấn công đang được thực hiện vào hệ thống mạng mà nó
đang hoạt động (Intrusion Detecte Service).

Các Sniffer giúp ghi lại thông tin về các gói dữ liệu, các phiên truyền… Phục vụ
cho công việc phân tích, khắc phục các sự cố trên hệ thống mạng.

Trang 6
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER
1.4 Phân loại Sniffing
Sniffing được chia làm 2 loại là: Passive Sniffing ( Sniffing thụ động) và Active
Sniffing ( Sniffing chủ động )

a- Passive Sniffing

Trang 7
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER

Gọi là Passive Sniffing bời vì các attacker thụ động nằm trên mạng Lan chờ
đợi các gói dữ liệu được gửi đi và bắt lấy chúng.Điều đó sẽ hiệu quả trong
việc âm thầm thu nhập các dữ liệu từ mạng Lan
- Môi trường : Hoạt động chủ yếu trong môi trường không có các thiết bị
chuyển mạch gói. Phổ biến hiện nay là các dạng mạch sủ dụng HUB hay
các mạch không dây( Wireless)
- Cơ chế hoạt động: Do không có các thiết bị chuyển mạch gói nên các
host phải broadcast các gói tin đi trong mạng từ đó có thể bắt gói tin lại
để xem( dù Host nhận gói tin không phải là nơi đến của gói tin đó
- Đặc điểm: do các máy tự boardcast các gói nên hình thức sniff này rất
khó phát hiện
Passive Sniffing thực hiện sniffing thông qua Hub

b- Active Sniffing

Trang 8
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER
- Môi trường: Chủ yếu hoạt động trong môi trường có các thiết bị chuyển
mạch gói.Phổ biến hiện nay là các dạng mạng sủ dụng Switch
- Cơ chế hoạt động: chủ yểu hiện nay thường sử dụng cơ chế ARP và
RARP( 2 cơ chế chuyển đổi IP sang MAC và từ MAC sang IP) bằng cách
phát đi các gói tin đầu độc, mà cụ thể ở đây là phát đi các gói thông báo cho
máy gởi gói tin là: “Tôi là người nhận” mặc dù không phải người nhận
- Đặc điểm: do phải gởi gói tin nên có thể chiếm băng thông mạng. Nên nếu
sniffing quá nhiều trong mạng thì lượng gói gởi đi sẽ rất lớn( do liên tục gởi
các gói tin giả mạo) có thể dẫn đến nghẽn mạng hay gây quá tải trên chính
NIC của máy đang dùng sniffing ( thắt nút cổ chai)
- Ngoài ra các sniffer còn dùng 1 số kỹ thuật để ép dòng dữ liệu đi qua NIC
của mình như:
- MAC flooding: làm tràn bộ nhớ switch từ đó switch sẽ chạy chế độ
forwarding mà không chuyển mạch gói
- Giả MAC : các sniffer sẽ thay đổi MAC của mình thành các MAC
của một máy hợp lệ và qua được chức năng lọc của MAC của thiết bị
- Đầu độc DHCP để thay dổi gateway của client……..

II . Các phương pháp phát hiện Sniffer trên hệ thống mạng :
Về mặt lý thuyết thì rất khó có thể phát hiện được sự hiện diện của các chương
trình Sniffer trên hệ thống. Bởi chúng bắt và cố gắng đọc các gói tin, chúng
không gây ra sự xáo trộn hay mất mát Packet nghiêm trọng nào trên đường
truyền cả. Tuy nhiên trên thực tế lại có nhiều cách để phát hiện ra sự hiện diện
của các Sniffer. Khi đứng đơn lẻ trên một máy tính không có sự truyền thông thì
sẽ không có dấu hiệu gì. Tuy nhiên nếu được cài đặt trên một máy tính không
đơn lẻ và có sự truyền thông, bản thân Sniffer sẽ phát sinh ra lưu lượng thông tin.
Bạn có thể truy vấn ngược DNS để tìm thông tin liên quan đến những địa chỉ IP.
Sau đây là một số phương pháp để phát hiện Sniffer.

Trang 9
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER
2.1 Phương pháp dùng Ping:
Hầu hết các chương trình Sniffer được cài đặt trên các máy tính trong mạng sử
dụng TCP/IP Stack. Bởi vậy khi bạn gửi yêu cầu đến những máy tính này, chúng
sẽ phản hồi lại cho bạn kết quả. Bạn hãy gửi một yêu cầu phản hồi tới địa chỉ IP
của máy tính nào đó trong mạng (máy mà bạn cần kiểm tra xem có bị cài đặt
Sniffer hay không), nhưng không thông qua Adapter Ethernet của nó.
Lấy ví dụ cụ thể :
1. Bạn nghi ngờ máy tính có địa chỉ IP là 10.0.0.1, có địa chỉ MAC là 00-40-05A4-79-32. Đã bị cài đặt Sniffer.
2. Bạn đang ở trong cùng một hệ thống mạng Ethernet mà bạn nghi ngờ có kẻ đã
tiến hành Sniffer.
3. Bạn thay đổi địa chỉ MAC của bạn thành là 00-40-05-A4-79-33.
4. Bạn Ping đến địa chỉ IP và địa chỉ MAC mới.
5. Trên nguyên tắc không một máy tính nào có thể nhìn thấy có thể nhìn thấy được
Packet này. Bởi Adapter Ethernet chỉ chấp nhận những địa chỉ MAC hợp lệ của
chính nó.
6. Nếu bạn thấy sự trả lời từ địa chỉ mà bạn nghi ngờ không phải trên địa chỉ lọc
của MAC (MAC Address Filter) trên Ethernet Card…Máy tính có địa chỉ IP
10.0.0.1 đã bị cài đặt Sniffer.
Bằng các kỹ thuật của mình các Hacker vẫn có thể né tránh được phương pháp nêu
trên. Các Hacker sẽ sử dụng những MAC Address ảo. Rất nhiều hệ thống máy tính
trong đó có Windows có tích hợp khả năng MAC Filtering. Windows chỉ kiểm tra
những byte đầu tiên. Nếu một địa chỉ MAC có dạng FF-00-00-00-00-00, thì đơn
giản Windows sẽ coi nó là FF-FF-FF-FF-FF-FF. Đây là sơ hở cho phép các Hacker
có thể khai thác đánh lừa hệ thống máy tính của bạn. Kỹ thuật phát hiện Sniffer
đơn giản này thường được sử dụng trên các hệ thống Ethernet dựa trên Switch và
Bridge.
2.2 Phương pháp sử dụng ARP:
Đây là phương pháp chủ yếu để các attack tấn công

Trang 10
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER


Phương pháp phát hiện Sniffer này tương tự như phương pháp dùng Ping.
Khác biệt chỗ chúng ta sẽ sử dụng những Packet ARP.



Đây là dạng tấn công rất nguy hiểm , gọi là Man In The Middle. Trong
trường hợp này giống như bị đặt máy nghe lén, phiên làm việc giữa máy
giử và nhận vẫn diễn ra bình thường nên người sủ dụng không hề hay
biết mình bị tấn công

Sơ lược quá trình hoặt động:
Trên cùng một mạng, Host A và Host B muốn truyền tin cho nhau , các
packet sẽ được đưa xuống tầng Datalink để đóng gói, các Host phải đóng gói
MAC nguồn, MAC đích và Frame. Như vậy trước khi quá trình truyền dữ
liệu, các Host phải hỏi địa chỉ MAC của nhau
Nếu như host A khởi động quá trình hỏi MAC trước, nó sẻ hỏi broadcast gói
tin ARP request cho tất cả các Host để hỏi MAC host B, lúc đó Host B đã có
MAC của Host A, sau đó Host B chỉ trả lời cho Host A Mac của Host B(
ARP reply)
Có 1 Host C liên tục gửi ARP reply cho Host A và Host B địa chỉ Mac của
Host C, nhưng lại đạt lại địa chỉ IP là Host A và Host B,lúc này Host A cứ
nghĩ máy B có Mac là C. Như vậy các gói tin mà Host A gởi cho Host B đề
bị đưa đến Host C, gói tin Host B trả lời cho Host A cũng đưa đến Host
C.Nếu Host C bật chức năng forwarding thì coi như Host A và Host B không
hề hay biết rằng mình bị tần công ARP

HOST A
HOST B

HOST C

Trang 11
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER

Ví dụ:
Ta có mô hình gồm các host
Attacker: là máy hacker dùng để tấn công ARP
IP: 10.0.0.11
MAC: 0000.0000.1011
Victim: là máy bị tấn công
IP: 10.0.0.12
MAC: 0000.0000.1012
HostA
IP: 10.0.0.13
MAC: 0000.0000.1013
- Đầu tiên, HostA muốn gởi dữ liệu cho Victim, cần phải biết địa chỉ MAC
của Victim
để liên lạc. HostA sẽ gởi broadcast ARP Request tới tất cả các máy trong cùng
mạng
LAN để hỏi xem IP 10.0.0.12 (IP của Victim) có địa chỉ MAC là bao nhiêu.
- Attacker và Victim đều nhận được gói tin ARP Request, nhưng chỉ có
Victim gởi trả
lời gói tin ARP Reply lại cho HostA. ARP Reply chứa thông tin về IP 10.0.0.12 và
MAC 0000.0000.1012 của Victim
- HostA nhận được gói ARP Realy từ Victim, biết được địa chỉ MAC của
Victim là
0000.0000.1012 sẽ bắt đầu thực hiện liên lạc truyền dữ liệu đến Victim. Attacker
không thể xem nội dung dữ liệu được truyền giữa HostA và Victim
Máy Attacker muốn thực hiện ARP attack đối với máy Victim. Attacker muốn mọi
gói tin
HostA gởi đến máy Victim đều có thể chụp lại được để xem trộm
- Attacker thực hiện gởi liên tục ARP Reply chứa thông tin về IP của Victim
10.0.0.12,
còn địa chỉ MAC là của Attacker 0000.0000.1011.
- HostA nhận được ARP Reply nghĩ rằng IP Victim 10.0.0.12 có địa chỉ
MAC là
0000.0000.1011. HostA lưu thông tin này vào bảng ARP Cache và thực hiện kết
nối.
Trang 12
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER
- Lúc này mọi thông tin, dữ liệu HostA gởi tới máy có IP 10.0.0.12 (là máy
Victim) sẽ gởi qua địa chỉ MAC 0000.0000.1011 của máy Attacker.
2.3 Phương pháp sử dụng DNS :
 Rất nhiều chương trình Sniffer có tính năng phân giải ngược các địa IP
thành DNS mà chúng nhìn thấy (như dsniff). Bởi vậy khi quan sát lưu
lượng truyền thông của DNS bạn có thể phát hiện được Sniffer ở chế độ
hỗn tạp (Promiscuous Mode).
 Để thực hiện phương pháp này, bạn cần theo dõi quá trình phân giải
ngược trên DNS Server của bạn. Khi bạn phát hiện được những hành
động Ping liên tục với mục đích thăm dò đến những địa chỉ IP không tồn
tại trên hệ thống mạng của bạn. Tiếp đó là những hành động cố gắng phân
giải ngược những địa chỉ IP được biết từ những Packet ARP. Không gì
khác đây là những hành động của một chương trình Sniffer.
2.4 Phương pháp Source-Route :
 Phương pháp này sử dụng những thông tin như địa chỉ nguồn và địa chỉ
đích trong mỗi Header của IP để phát hiện hành động Sniffer trên từng
đoạn mạng.
 Tiến hành ping từ một máy tính này đến một máy tính khác. Nhưng tính
năng Routing trên máy tính nguồn phải được vô hiệu hoá. Hiểu đơn giản
là làm thế nào để gói tin này không thể đi đến đích. Nếu như bạn thấy sự
trả lời, thì đơn giản hệ thống mạng của bạn đã bị cài đặt Sniffer.


Để sử dụng phương pháp này bạn cần sử dụng vào một vài tuỳ chọn
trong Header IP. Để Router sẽ bỏ qua những địa chỉ IP đến và tiếp tục
chuyển tiếp đến những địa chỉ IP trong tuỳ chọn Source-Route của
Router.



Lấy một ví dụ cụ thể :
o Bob và Anna cùng nằm trên một đoạn mạng. Khi có một người
khác trên cùng đoạn mạng gửi cho cô ta vài Packet IP và nói
chuyển chúng đến cho Bob. Anna không phải là một Router, cho
nên cô ta sẽ Drop tất cả Packet IP mà người kia muốn chuyển tới
Trang 13
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER
Bob (bởi cô ta không thể làm việc này). Một Packet IP không được
gửi đến Bob, mà anh ta vẫn có thể trả lời lại được. Điều này vô lý,
vậy anh ta đã sử dụng các chương trình Sniffer.
2.5 Phương pháp giăng bẫy (Decoy) :
 Tương tự như phương pháp sử dụng ARP nhưng nó được sử dụng trong
những phạm vi mạng rộng lớn hơn (gần như là khắp nơi). Rất nhiều giao
thức sử dụng các Password không được mã hoá trên đường truyền, các
Hacker rất coi trọng những Password này, phương pháp giăng bẫy này sẽ
thoả mãn điều đó. Đơn giản bạn chỉ cần giả lập những Client sử dụng
Service mà Password không được mã hoá như : POP, FTP, Telnet,
IMAP...Bạn có thể cấu hình những User không có quyền hạn, hay thậm
chí những User không tồn tại. Khi Sniffer được những thông tin được coi
là «quý giá» này các Hacker sẽ tìm cách kiểm tra, sử dụng và khai thác
chúng...Bạn sẽ làm gí kế tiếp ???
2.6 Phương pháp kiểm tra sự chậm trễ của gói tin (Latency) :
 Phương pháp này sẽ làm giảm thiểu sự lưu thông trên hệ thống mạng của
bạn. Bằng cách gửi một lượng thông tin lớn đến máy tính mà bạn nghi là
đã bị cài đặt Sniffer. Sẽ không có hiệu ứng gí đáng kể nếu máy tính đó
hoàn toàn không có gì. Bạn ping đến máy tính mà bạn nghi ngờ đã bị cài
đặt Sniffer trước thời gian chịu tải và trong thời gian chị tải. Để quan sát
sự khác nhau của 2 thời điểm này.


Tuy nhiên phương pháp này tỏ ra không mấy hiệu quả. Bản thân những
Packet IP được gửi đi trên đường truyền cũng gây ra sự trậm trễ và thất
lạc. Cũng như những Sniffer chạy ở chế độ “User Mode” được xử lý độc
lập bởi CPU cũng cho ra những kết quả không chính xác.

III Phương pháp ngăn chặn Sniffer trên hệ thống mạng :
3.1 Các hệ thống mạng có nguy cơ Sniffer :

Cable Modem


DSL



ADSL
Trang 14
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER


Switched Network



Wireless like IEEE 802.11 a.k.a. AirPort (hệ thống mạng không
dây)

3.2 Các giao thức có nguy cơ Sniffer:


Telnet, Rlogin: Tổ hợp bàn phím bao gồm User và password



SNMP: Mật khẩu và dữ liệu được gửi trong văn bản rõ ràng



NNTP: Mật khẩu và dữ liệu được gửi trong văn bản rõ ràng



POP, IMAP, SMTP: Mật khẩu và dữ liệu được gửi trong văn
bản rõ ràng



FTP: Mật khẩu và dữ liệu được gửi trong văn bản rõ ràng



HTTP: Dữ liệu được gửi trong văn bản rõ ràng

3.3 Phương pháp ngăn chặn Sniffer dữ liệu ?
Có lẽ cách đơn giản nhất để ngăn chặn những kẻ muốn Sniffer dữ liệu là sử
dụng các giao thức mã hoá chuẩn cho dữ liệu trên đường truyền. Khi mã hoá
dữ liệu, những kẻ tấn công ác ý có thể Sniffer được dữ liệu, nhưng chúng lại
không thể đọc được nó...
 SSL (Secure Socket Layer) : Một giao thức mã hoá được phát triển cho
hầu hết các Webserver, cũng như các Web Browser thông dụng. SSL
được sử dụng để mã hoá những thông tin nhạy cảm để gửi qua đường
truyền như : Số thẻ tin dụng của khách hàng, các password và thông tin
quan trọng.
 PGP và S/MIME: E-mail cũng có khả năng bị những kẻ tấn công ác ý
Sniffer. Khi Sniffer một E-mail không được mã hoá, chúng không chỉ
biết được nội dung của mail, mà chúng còn có thể biết được các thông
tin như địa chỉ của người gửi, địa chỉ của người nhận…Chính vì vậy để
đảm bảo an toàn và tính riêng tư cho E-mail bạn cũng cần phải mã hoá
chúng… S/MIME được tích hợp trong hầu hết các chương trình gửi
Trang 15
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER
nhận Mail hiện nay như Netscape Messenger, Outlock Express…PGP
cũng là một giao thức được sủ dụng để mã hoá E-mail. Nó có khả năng
hỗ trợ mã hoá bằng DSA, RSA lên đến 2048 bit dữ liệu.
 OpenSSH: Khi bạn sử dụng Telnet, FTP…2 giao thức chuẩn này không
cung cấp khả năng mã hoá dữ liệu trên đường truyền. Đặc biệt nguy
hiểm là không mã hoá Password, chúng chỉ gửi Password qua đường
truyền dưới dạng Clear Text. Điều gì sẽ xảy ra nếu những dữ liệu nhạy
cảm này bị Sniffer. OpenSSH là một bộ giao thức được ra đời để khắc
phục nhược điểm này: SSH (sử dụng thay thế Telnet), SFTP (sử dụng
thay thế FTP)…
 VPNs (Virtual Private Networks): Được sử dụng để mã hoá dữ liệu khi
truyền thông trên Internet. Tuy nhiên nếu một Hacker có thể tấn công và
thoả hiệp được những Node của của kết nối VPN đó, thì chúng vẫn có
thể tiến hành Sniffer được.
Một ví dụ đơn giản,là một người dùng Internet khi lướt Web đã sơ ý để nhiễm
RAT (Remoto Access Trojan), thường thì trong loại Trojan này thường có
chứa sẵn Plugin Sniffer. Cho đến khi người dùng bất cẩn này thiết lập một kết
nối VPN. Lúc này Plugin Sniffer trong Trojan sẽ hoạt động và nó có khả năng
đọc được những dữ liệu chưa được mã hoá trước khi đưa vào VPN. Để phòng
chống các cuộc tấn công kiểu này: bạn cần nâng cao ý thức cảnh giác cho
những người sử dụng trong hệ thống mạng VPN của bạn, đồng thời sử dụng
các chương trình quét Virus để phát hiện và ngăn chặn không để hệ thống bị
nhiễm Trojan.
3.4 Phương pháp ngăn chặn Sniffer Password :
Để ngăn chăn những kẻ tấn công muốn Sniffer Password. Bạn đồng thời sử
dụng các giao thức, phương pháp để mã hoá password cũng như sử dụng
một giải pháp chứng thực an toàn (Authentication):
 SMB/CIFS: Trong môi trường Windows/SAMBA bạn cần kích hoạt tính
năng LANmanager Authencation.

Trang 16
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER
 Keberos: Một giải pháp chứng thực dữ liệu an toàn được sử dụng trên
Unix cũng như Windows
 Stanford SRP (Secure Remote Password): Khắc phục được nhược điểm
không mã hoá Password khi truyền thong của 2 giao thức FTP và Telnet
trên Unix:
3.5 Phương pháp ngăn chặn Sniffer trên thiết bị phần cứng
 Việc thay thế Hub của bạn bằng những Switch, nó có thể cung cấp một
sự phòng chống hiệu quả hơn. Switch sẽ tạo ra một “Broadcast Domain”
nó có tác dụng gửi đến những kẻ tấn công những gói ARP không hợp lệ
(Spoof ARP Packet).
 Tuy nhiên các Hacker vẫn có những cách thức khéo léo để vượt qua sự
phòng thủ này. Các yêu cầu truy vấn ARP chứa đựng những thông tin
chính xác từ IP cho đến MAC của người gửi. Thông thường để giảm bớt
lưu lượng ARP trên đường truyền, đa số các máy tính sẽ đọc và sử dụng
các thông tin từ bộ đệm (Cache) mà chúng truy vấn được từ Broadcast.
 Bởi vậy một Hacker có thể Redirect những máy tính gần mình để vượt
qua sự phòng thủ này bằng cách gửi những gói ARP chứa đựng những
thông tin về địa chỉ IP của Router đến chính địa chỉ MAC của anh ta. Tất
cả những máy tính trong hệ thống mạng cục bộ này sẽ nhầm tưởng anh ta
là Router và sẽ thiết lập phiên truyền thông đi qua máy tính của anh ta.
 Một cuộc tấn công DOS tương tự trên một hệ thống mạng cục bộ, khi
thành công sẽ đá văng mục tiêu mà họ muốn tấn công ra khỏi mạng. rồi
bắt đầu sử dụng chính địa chỉ IP của máy tính vừa bị tấn công này.
Những kẻ tấn công sẽ khéo léo thừa kể và sử dụng những kết nối này.
Bản thân Windows khi phát hiện được hành động này, nó không hành
động gì cả mà lại tử tế đóng Stack TCP/IP của chính mình và cho phép
kết nối này tiếp tục.
Để phòng chống lại các cuộc tấn công dạng bạn chỉ cần sử dụng các công
cụ IDS (Intrusion Detecte Service). Các IDS như BlackICE IDS, Snort sẽ
tự động phát hiện và cảnh báo về các cuộc tấn công dạng này.

Trang 17
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER

 Hầu hết các Adapter Ethernet đều cho phép cấu hình địa chỉ MAC bằng
tay. Hacker có thể tạo ra các địa chỉ Spoof MAC bằng cách hướng vào
các địa chỉ trên Adapter. Để khắc phục điều này, hầu hết các Switch đều
không cho phép tự ý cấu hình lại các địa chỉ MAC.

CHƯƠNG II: PHẦN THỰC HÀNH LAP
PHẦN CHUẨN BỊ CHO THỰC HÀNH
Sủ dụng 2 hệ thống PC , sủ dụng công cụ máy ảo Vmware( Wmware Workstation
) để thực hành
Ở đây tôi sẽ đưa ra mô hình thực hành như sau :
Trong đó máy Attack và máy Victim sẽ sử dụng Windows XP Professional sp2
..Hai máy cùng trong một lớp mạng 192.168.1.x và đi ra môi trường Internet bằng
Router LinkSys A300 có địa chỉ IP là 192.168.1.1 .

Trang 18
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER
Công cụ hỗ trợ sniffer được sủ dụng
- Cain & Abel v4.9.8
Cain & Abel là một công cụ giao diện đồ họa dùng để giám sát ARP Cache của
máy tính.Nó gửi request định kỳ đến bảng ARP cache của máy tính và báo cáo
những thay đổi về việc ánh xạ giữa địa chỉ IP và địa chỉ MAC trong ARP cache.Do
vậy nó có thể được sử dụng để phát hiện ra kiểu tấn công ARP Poisoning trong
mạng LAN.
XARP là 1 chương trình miễn phí.Nó có thể chạy trên hệ điều hành windows 2000
hoặc windows xp phiên bản mới nhất là 4.9.39 dành cho Windown 7

QUÁ TRÌNH THỰC HIỆN
Bước 1: Quá trình cài đặt
Ta bắt đầu quá trình cài đặt công cụ Sniffer Cain & Abel, trong quá trình cài đặt
công cụ Cain cần có thêm phần mềm hỗ trợ WinPcap để có thể sniffer trên hệ
thống mạng .

Trang 19
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER
Chọn Next 

Chọn Next 

Trang 20
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER

Như đã nói ban đầu để quá trình Sniffer có thể tiến hành được thì cần có gói phần
mềm hỗ trợ WinPcap, ta tiến hành cài đặt WinPcap, chọn Install  .

Trang 21
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER

Chọn Ok rùi Next  .

Nhấn OK để bắt đầu cài WinPcap 4.02

Trang 22
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER

Chọn I Argee ->
Trang 23
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER

Quá trình cài đặt WinPcap bắt đầu

Trang 24
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


BÁO CÁO CHUYÊN ĐỀ 4-TÌM HIỂU VỀ SNIFFER

Ấn Finsih để kết thúc quá trình cài đạt
Bước 2: Quá trình cài đặt thông số để bắt đầu quá trình Sniffera
Kết thúc quá trình cài đặt!ta bắt tay vào cấu hình để có thế bắt đầu sniffer
Trong VD sau đây sẽ là cách thức đế sniffer 1 tài khoảng gồm User và Password
của tài khoảng Gmail
Bước 1: Thực hiện trên máy Attack, ta chạy công cụ Cain & Abel

Trang 25
NGUYỄN CHÍ BẢO- MSSV: 2985.52- LỚP 52PM2


Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×

×