Tải bản đầy đủ (.doc) (14 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

KỸ THUẬT SNIFFING TRONG HỆ THỐNG MẠNG & CÁCH PHÒNG CHỐNG

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (992.51 KB, 14 trang )

Nông Xuân Sơn
KỸ THUẬT SNIFFING TRONG HỆ THỐNG MẠNG &
CÁCH PHÒNG CHỐNG

Ngày 01 tháng 04 năm 2011
2
MỤC LỤC
I. Giới thiệu chung về sniffing 03
1. Khái niệm 03
2. Mục đích sử dụng 03
3. Các giao thức dễ bị sniffing 03
4. Các tính năng của chương trình sniffer 03
5. Các điều kiện để có thể sniffing 03
6. Phân loại sniffing 03
II. Cách tấn công sniffing
04
1. Tìm hiểu nguyên lý sniffing qua kỹ thuật ARP Cache Poisoning 04
2. Kỹ thuật tấn công MAC flooding 05
3. Các bước tiến hành lấy password yahoo mail bằng công cụ Cain & Abel 06
III. Các phương pháp phòng chống sniffing 11
1. Tổng quan 11
2. Đối với một mạng nhỏ 12
3. Đối với một mạng lớn 12
IV. Kết luận 12
V. Tài liệu tham khảo
13
3
I . Giới thiệu chung về sniffing
1. Khái niệm :
Sniffer là một chương trình hoặc thiết bị theo dõi, nghe lén thông tin trên hệ
thống mạng sử dụng kỹ thuật chặn dữ liệu dựa trên những đặc điểm của cơ chế


TCP/IP.
2. Mục đích sử dụng :
- Là một kỹ thuật bảo mật, được phát triển nhằm giúp đỡ những nhà quản trị
mạng khai thác mạng hiệu quả hơn và có thể kiểm tra các dữ liệu ra vào
mạng, cũng như các dữ liệu chạy trong mạng.
- Được các hacker sử dụng nhằm để nghe lén trên mạng nhằm lấy các thông
tin, dữ liệu quan trọng và nhạy cảm như mật khẩu, email, các file truyền trên
hệ thống mạng.
3. Các giao thức dễ bị sniffing :
- Telnet, Rlogin : do các phím bấm chứa username và password.
- HTML : do dữ liệu được gửi dưới dạng text.
- SMTP, POP, FTP, IMAP : do password và dữ liệu gửi dưới dạng text.
4. Các tính năng của chương trình sniffer :
- Bắt username và password dạng text không được mã hóa trong hệ thống
mạng.
- Theo dõi thông tin dữ liệu trên đường truyền, giám sát lưu lượng hệ thống từ
đó có thể phân tích các lỗi đang có trên hệ thống lưu lượng mạng, phát hiện,
cảnh báo sự tấn công vào hệ thống mạng.
5. Các điều kiện để có thể sniffing :
- Sniffing có thể hoạt động trong môi trường mạng LAN, WLAN và WAN.
- Sniffing các máy tính có cùng chung subnet mask.
- Sniffing sử dụng một công cụ để bắt và phân tích gói tin.
6. Phân loại sniffing :
Sniffing gồm có 2 loại : passive sniffing (sniffing bị động) và active
sniffing(sniffing chủ động).
4
a, Passive sniffing :
- Hoạt động trong môi trường không có các thiết bị chuyển mạch gói. Phổ biến
hiện nay là các mạng sử dụng Hub hoặc các mạng không dây.
- Do mạng không có thiết bị chuyển mạch gói nên các host phải broadcast gói

tin đi trong mạng, từ đó có thể sniffing bắt các gói tin lại để xem. Khi card
mạng được đặt ở chế độ Promiscuous mode thì nó có thể nhận các gói tin mà
không bị ràng buộc kiểm tra địa chỉ đích đến.
- Do các host tự broadcast gói tin nên passive sniffing rất khó bị phát hiện.
- Chỉ cần một kết nối đơn giản vào mạng qua Hub là hacker có thể sử dụng
máy tính để bắt đầu sniffing.
b, Active sniffing :
- Hoạt động trong môi trường có các thiết bị chuyển mạch gói, phổ biến là các
mạng sử dụng Switch.
- Chủ yếu hoạt động dựa trên cơ chế ARP – Address Resolution Protocol
(chuyển đổi địa chỉ IP sang MAC) và RARP – Reserve Address Resolution
Protocol (chuyển đổi địa chỉ MAC sang IP). Bằng cách sử dụng kỹ thuật ARP
Cache Poisoning (đầu độc các gói tin ARP) hoặc MAC flooding (làm tràn bộ
nhớ Switch).
- Active sniffing thường khó thực hiện và dễ bị phát hiện, do phải gửi các gói
tin nên sẽ chiếm băng thông mạng.
II . Cách tấn công sniffing.
1. Tìm hiểu nguyên lý sniffing qua kỹ thuật ARP Cache Poisoning :
- Như đã biết ở mô hình 7 lớp OSI, các máy tính và thiết bị trong một mạng
liên lạc với nhau thông qua địa chỉ IP. Và switch có nhiệm vụ phiên dịch địa
chỉ IP sang địa chỉ MAC và ngược lại. Quá trình phiên dịch được thực hiện
thông qua giao thức của tầng Network là ARP (Address Resolution Protocol).
- Khi máy tính A gởi dữ liệu cho máy tính B, thì nó sẽ gởi một request ARP
đến switch mà nó kết nối. Ban đầu, switch sẽ gởi một gói tin ARP broadcast
tới tất cả các cổng, khi máy B nhận được gói tin này nó sẽ trả về địa chỉ MAC
của nó và switch sẽ lưu vào MAC Address Table và định tuyến được kết nối
giữa máy A và máy B.
Như vậy, bằng cách nào đó ta sẽ gởi một gói tin ARP với địa chỉ MAC giả
tạo tới switch nhằm đánh lừa switch và tiến hành bắt các gói tin.
5

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×