Giáo trình CEH v7 tiếng việt chương 8 sniffer
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (9.39 MB, 88 trang )
Nhóm thực hiện : 5
Thành viên : Lê Long Bảo
Lớp : MM03A
GVHD : Lê Tự Thanh
CHƢƠNG 8 : NGHE LÉN
1
Theo các nghiên cứu mới nhất lịch sử trình duyệt của bạn
kém an toàn
Các nhà nghiên cứu tại trƣờng đại học California, đã tổ chức
điều tra rộng rãi các website phổ biến để đƣa ra quyết định,
website nào lấy nhiều thông tin từ khách hàng viếng thăm (ví
dụ: nghe lén hoặc lấy cắp lịch sử trình duyệt), và một điều
không ngạc nhiên đó là trang YouPorn nằm trong top các site
gián điệp, các trang khác nhƣ Technorati, TheSun.co.uk.
2
Các trang này khai thác thông tin theo thói quen truy
cập của khách hàng, các thông tin đƣợc dùng với mục
đích quảng cáo, nhằm sinh lợi cho công ty bằng cách
tận dụng các click chuột khi truy cập web và các đoạn
scripts
3
Nghe lén
hợp pháp
Nghe lén
Mối đe dọa
nghe lén
Các kiểu
nghe lén
Phân tích
giao thức
phần cứng
Tấn công
MAC
Tấn công
DHCP
Tấn công
đầu độc
ARP
Tấn công
giả mạo
Tấn công
đầu độc
DNS
Biện pháp
ngăn chặn
Tool Nghe
lén
4
Nghe lén hợp pháp cho phép cơ quan quản lý (LEA)
thực thi việc giám sát một mục tiêu nào đó dƣới sự ủy
quyền của ngƣời quản lý. Việc giám sát đƣợc thực hiện
bằng việc quan sát trên các phƣơng tiện truyền thông,
các dịch vụ thoại internet, dữ liệu và mạng đa dịch vụ
Cơ quan quản lý gửi yêu cầu về việc nghe lén đến
nhà cung cấp dịch vụ, những ngƣời mà chịu trách
nhiệm ngăn chặn hay cho phép giao tiếp dữ liệu đến
và đi giữa các cá nhân
Các nhà cung cấp dịch vụ dùng IP đích hoặc phiên làm
việc để quyết định thiết bị định tuyến nào sẽ cho phép
lƣu lƣợng đi qua đến mạng đích, và một bản sao về các
lƣu lƣợng sẽ đƣợc gửi đến cơ quan quản lý
5
Cho phép nhiều cơ quan quản lý thực thi việc nghe lén trên
cùng một mục tiêu mà các cơ quan này không biết đến
nhau.
Ẩn thông tin về việc nghe lén trên tất cả phƣơng tiện, chỉ
user có quyền mới thực thi đƣợc.
Hỗ trợ việc nghe lén cả đầu vào lẫn đầu ra
Không hiệu quả cho các dịch vụ thuê bao trên router
6
Hỗ trợ nghe lén thuê bao cá nhân, những ngƣời mà dùng
chung đƣờng truyền vật lý
Không cần quản trị viên, cũng không cần các bên nhận thức
đƣợc rằng các cuộc gọi đang đƣợc khai thác
Cung cấp 2 phƣơng pháp:
- thiết đặt việc nghe lén một cách an toàn
- gửi thông tin về lƣu lƣợngcơ quan quản lý
7
Là chƣơng trình dùng để lƣu trữ
và xử lý lƣu lƣợng mạng bởi nhà
cung cấp dịch vụ
Đƣợc cung cấp bởi hãng thứ 3 dùng
để xử lý hầu hết các tiến trình cho LI
Thiết bị cung cấp thông tin cho LI
IAP
Mediation
Device
Collection Function
8
Nghe lén là một tiến trình cho phép giám sát cuộc gọi và cuộc
hội thoại internet bởi thành phần thứ ba.
Kẻ tấn công để thiết bị lắng nghe giữa mạng mang thông tin
nhƣ hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên
internet.
Kiểu nghe lén
Bị động
Giám sát và ghi lại tất
cả thông tin lƣu lƣợng
Chủ động
Chỉ giám sát và ghi lại
thông tin lƣu lƣợng
9
Bằng cách đặt các gói tin
trên mạng ở chế độ đa
mode, kẻ tấn công có thể
bắt và phân tích tất cả
lƣu lƣợng, thông tin
mạng
Nhiều port đƣợc mở
trên swich
Các gói tin nghe
lén có thể chỉ bắt
những thông tin
trên cùng 1 miền
mạng
Thông thƣờng thì
laptop có thể tham
gia vào mạng và
thực thi
10
Sniffer đặt card mạng ở chế độ đa mode và lắng nghe tất cả
các dữ liệu chuyển đi trên mạng
Sniffer có thể đọc các thông tin trên máy tính thông qua card
NIC bằng cách giải mã các thông tin đƣợc đóng gói trong gói
tin
11
12
Nghe lén bị động nghĩa là nghe lén thông qua hub. Trên
hub lƣu lƣợng đƣợc chuyển đến tất cả các port
Nghe lén bị động không gửi các gói tin, nó giám sát các gói
tin đƣợc gửi đến mạng khác
Nghe lén chủ động liên quan đến việc gửi các gói tin thăm
dò đến AP. Hub không đƣợc dùng cho ngày nay
13
Khi nghe lén đƣợc đặt trong môi trƣờng switch, nó đƣợc biết
đến nhƣ là nghe lén chủ động.
Nghe lén chủ động dựa vào việc bơm các gói tin vào miền
mạng
14
Telnet
RLogin
HTTP SMTP NNTP POP FTP IMAP
Tổ hợp phím bao
gồm username và
pasword
Dữ liệu đƣợc gửi
dƣới dạng clear text
Password và dữ
liệu đƣợc gửi dƣới
dạng clear text
Password và dữ
liệu đƣợc gửi dƣới
dạng clear text
Password và dữ
liệu đƣợc gửi dƣới
dạng clear text
Password và dữ
liệu đƣợc gửi dƣới
dạng clear text
Password và dữ
liệu đƣợc gửi dƣới
dạng clear text
15
Sniffer hoạt động tại lớp Data Link trong mô hình OSI .
Chúng không tuân thủ các luật nhƣ lớp ứng dụng.
Nếu một lớp bị tấn công, các giao tiếp sẽ bị tổn tƣơng mà
không cần các lớp khác nhận biết đƣợc vấn đề.
16
Là một phần của thiết bị phần
cứng đƣợc bắt mà không làm
thay đổi lƣu lƣợng trên đƣờng
truyền
Nó bắt các gói dữ liệu
,giải mã và phân tích nội
dung trong gói dữ liệu để
quyết định các luật
Nó dùng để giám sát lƣu
lƣợng sử dụng mạng và
xác định lƣu lƣợng độc
hại trong mạng bằng các
phần mềm tấn công đƣợc
cài đặt trong mạng
17
18
là port mà đƣợc cấu hình để
nhận bản sao của mỗi gói tin
khi đi qua switch
Khi kết nối đến span port kẻ tấn công
có thể làm tổn thƣơng miền mạng
19
20
Ngập lụt MAC là làm ngập
lụt switch với một số lƣợng
lớn yêu cầu .
Switch có bộ nhớ giới hạn
cho việc ánh xạ địa chỉ MAC
và port vật lý trên switch
Ngập lụt MAC làm cho bộ
nhớ giới hạn của switch đầy
lên bằng cách giả mạo nhiều
địa chỉ MAC khác nhau và
gửi đến switch
Lúc này switch hoạt động nhƣ một
hub và các gói tin sẽ đƣợc gửi ra
tất cả các máy trên cùng miền
mạng và kẻ tấn công có thể dễ
dàng nghe lén
21
Bảng CAM của switch thì có kích thƣớc giới hạn.
Nó lƣu trữ thông tin nhƣ địa chỉ MAC address gắn với cổng
tƣơng ứng trên switch cùng với các tham số miền mạng vlan
1258.3582.8DAB
0000.0aXX.XXXX
0000.0aXX.XXXX
FFFF.FFFF.FFFF
48Bit Hexadecimal
24 bit đầu tiên là mã nhà sản
xuất đƣợc gán bởi IEEE
24 bit thứ hai là giao diện đặt
biệt đƣợc gán bởi nhà sản xuất
Địa chỉ Broadcast
22
23
Một khi bảng CAM trên Switch đầy thì các lƣu lƣợng ARP
request sẽ làm ngập lụt mỗi cổng của switch
Lúc này cơ bản switch hoạt động nhƣ hub
Tấn công lúc này sẽ làm đầy bảng CAM của switch
24
macof là công cụ Linux
macof sẽ gửi ngẫu nhiên địa chỉ MAC nguồn và địa chỉ IP
công cụ này sẽ làm ngập lụt bảng CAM (131,000/phút) bằng
cách gửi các địa chỉ MAC không có thật
25
