lecture 3 sniffer tmp
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (12.78 MB, 36 trang )
Sniffer
Ngô Văn Công
Scenario
Dave làm việc tại bộ phận IT trong một ngân
hàng đa quốc gia. Sam vừa tốt nghiệp kỹ
sư máy tính, được nhận vào làm trong
nhà băng dưới quyền của Dave, Sam biết
về trình nghe lén gói tin và những cách sử
dụng vào mục đích xấu của nó.
Sam muốn nghe lén mạng để chỉ ra những
điểm yếu cho Dave, Sam cần phải cài
chương trình gì để thực hiện thao tác
trên,
3. Làm sao Sam biết được là có chương trình
phát hiện nghe lén trong mạng không?
4. Sam có thể nghe lén từ xa không?
5. Có thể cái đặt trình nghe lén trên máy
Dave không?
6. Hành động của Sam có hợp pháp hay
không?
Nội dung
Định nghĩa
Mục đích của sniffing
Passive Sniffing
Active Sniffing
Các công cụ sniffing khác nhau
Giải pháp
Tổng kết
Định nghĩa: sniffing
Là chương trình bắt
các thông tin đang
trao đổi trong hệ
thống mạng
Sniffing dựa trên kỹ
thuật “data
interception”
Mục đích của sniffing
là bắt các thông tin
Password (e-mail, web,
SMB, ftp, SQL, telnet)
Email text
Files in transfer (e-mail, ftp,
SMB)
Các giao thức có nguy cơ bị sniffing
Telnet và Rlogin:username và password
HTTP:Dữ liệu gửi dưới dạng “clear text”
SMTP:Password và dữ liệu gửi dưới dạng
“clear text”
POP:Password và dữ liệu gửi dưới dạng
“clear text”
FTP:Password và dữ liệu gửi dưới dạng “clear
text”
IMAP:Password và dữ liệu gửi dưới dạng
“clear text”
Có 2 dạng sniffing
Passive Sniffing
Được gọi là “passive” vì rất khó phát hiện
“Passive sniffing”: nghe lén tại Hub
Attacker đơn giản kết nối laptop vào Hub và bắt
đầu sniffing
Active Sniffing
Switch tìm kiếm đia chỉ MAC kết
hợp với mỗi frame và chỉ gửi dữ
liệu cho cổng kết nối
Attacker sẽ cố gắng đánh lừa
switch bằng cách gửi các địa chỉ
MAC giả
•
Sniffing switch
•
Tương đối khó
•
Dễ bị phát hiện
Kỹ thuật active sniffing
•
MAC flooding
•
ARP spoofing
ARP(Address Resolution Protocol) là gi
ARP là một giao thức tầng mạng dùng để chuyển đổi từ địa chỉ IP
sang địa chỉ vật lý(MAC)
Để có được địa chỉ MAC, host sẽ quảng bá goi tin ARP tới mạng
TCP/IP
Host với địa chỉ IP giống như trong yêu cầu sẽ trả lời với địa chỉ
MAC kèm theo.
Công cụ:Netviewer –quét các thiết bị mạng
Wireshark
Wireshark là bộ phân
tích các giao thức mạng
cho Unix và Window
Cho phép người dùng
xem dữ liệu từ “live net”
hay là từ file trên đĩa
Người dùng có thể duyệt
qua các dữ liệu, xem tổng
hợp, hay chi tiết cho mỗi
gói tin.
Lọc trong wireshark
Lọc giao thức
arp,http,tcp,udp,dns
Lọc địa chỉ IP
ip.addr==10.0.0.4
lọc nhiều địa chỉ IP
ip.addr==10.0.0.4 or
ip.addr==10.0.0.5
Giám sát cổng nào đó
tcp.port==443
ip.addr=192.168.1.10 &&
tcp.port=443
Lọc khác
ip.dst==10.0.0.1 &&
frame.pkt_len.400
ip.src==205.162.0.1 or
ip.dst==205.153.60.10
Theo vết luồng thông tin trong wireshark
Wireshark tập hợp tất cả gói tin TCP và
hiển thị dưới định dạng dạng văn bản rất
dễ đọc
Dễ dàng lấy ra username && password từ
giao thức không an toàn như telnet hay ftp
Command:chọn một gói tin trong mục
summary window, sau đó chọn Analyze-
>Follow TCP Stream
(tt)
ARP Poisoning
ARP chuyển địa chỉ IP thành địa chỉ
MAC của card mạng gửi dữ liệu
Gói tin ARP có thể bị giả mạo để dữ liệu
được gửi về cho máy của attacker.
Attacker có thể khai thác ARP Poisoning
để can thiệp vào luồng lưu thông giữa 2
máy tính trong mạng
MAC flooding một bảng ARP của switch
có thể giúp attacker làm quá tải switch
và sau đó attacker có thể dùng các
chương trình nghe lén mạng trong khi
switch chuyển qua chế độ "Hub"
Man in the Middle
Hacker muốn lắng nghe các luồng thông
tin giữa máy nạn nhân, 192.168.0.12 và
router, 192.168.0.1
Bước 1
Gửi gói tin
ARP reply giả
tới router.
Bước 2
Gửi gói tin
ARP reply giả
tới máy tính
của bạn.
Bước 3
ARP Poisoning
Router
192.168.0.1
Attacker
Victim
192.168.0.12
Step 1
Attacker tự nhận địa chỉ IP của
mình là 192.168.0.12 và địa chỉ
MAC là ATTACKERS_MAC
Step 2
Luồng thông tin của máy nạn
nhân được chuyển qua máy
của attacker
Step 3
Attacker chuyển tiếp
luồng thông tin qua router
Giải pháp
Hệ thống mạng nhỏ
Sử dụng địa chỉ IP tĩnh và bảng ARP tĩnh có
thể ngăn cản hacker thêm các mục mới vào
trong bảng ARP của mạng
Hệ thống mạng lớn
Sử dụng thuộc tính "Port Security" của các
switch trong mạng
sử dụng Arpwatch để theo dõi hoạt động của
mạng
/>MAC flooding
Làm ngập lụt switch
với rất nhiều
“requests”
Vì bộ nhớ switch hạn
chế nên sẽ không
kiểm soát được
Sáu đó thì sniffing có
thể dễ dàng thực hiện
Công cụ
Macof
EtherFlood
EtherFlood
“MAC Duplicating” Attack
Tấn công “MAC
duplicating” được triển khai
bằng cách nghe lén mạng
để lấy được địa chỉ MAC
của máy client đang kết
nối vào cổng switch, và sử
dụng lại những địa chỉ này
Bằng cách lắng nghe thông
tin lưu thông trong mạng,
attacker có được địa chỉ
MAC hợp lệ
Attacker sẽ nhận những
thông tin gửi tới cho user
có địa chỉ MAC đó
Kỹ thuật này dùng trong
mạng wireless với cơ chế
MAC filtering
“MAC Duplicating” Attack
