phát hiện và phòng chống nghe trộm trong lan
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (501.18 KB, 19 trang )
Đề tài môn
Security+
PHÁT HIỆN
VÀ
PHÒNG CHỐNG NGHE TRỘM
TRONG LAN
Học viên: Phan Xuân Bách
Giáo viên hướng dẫn: Võ Đỗ Thắng
ATHENA
Nghe trộm (sniff) là gì?
Sniffer là một hình thức nghe lén trên hệ thống
mạng, dựa trên những đặc điểm của cơ chế
TCP/IP.
Sniffer là một kỹ thuật bảo mật, được phát triển
nhằm giúp đỡ những nhà Quản trị mạng.
ATHENA
Sniff dùng để làm gì?
Được phát triển để thu thập các gói tin trong hệ
thống.
Mục đích ban đầu: Giúp nhà quản trị mạng quản
lý tốt hệ thống.
Biến thể của Sniffer là các chương trình nghe lén
bất hợp pháp như: Chương trình nghe lén
Yahoo, MSN, ăn cắp password Email v.v.
Sniffer hoạt động chủ yếu dựa trên phương thức
tấn công ARP
ATHENA
Điều kiện sniff?
Sniff có thể hoạt động trong mạng LAN, mạng
WAN, mạng WLAN.
Điều kiện cần chỉ là cùng chung Subnet Mark
khi Sniffer.
ATHENA
Có bao nhiêu loại sniff?
Active sniff
• Chủ yếu trong môi trường mạng sử dụng SWITCH.
• Hoạt động chủ yếu dựa trên cơ chế thay đổi đường đi
của dòng dữ liệu.
Passive sniff
• Chủ yếu trong môi trường mạng sử dụng HUB.
• Hoạt động dựa trên cơ chế broadcast gói tin trong
mạng.
ATHENA
Các phương pháp thay đổi dòng dữ liệu
Arp poisoning: thay đổi thông tin ARP.
MAC duplicating: làm switch mất tính năng
chuyển mạch gói.
DHCP spoofing: thay đổi thông tin của DHCP.
DNS spoofing: làm phân giải sai tên miền
Face MAC: giả mạo MAC của máy khác
ATHENA
Active sniff?
Host A và Host B là 2 Máy tính đang “nói
chuyện” với nhau, Host C là “Sniffer”.
Ở Host A trên bảng ARP có lưu địa chỉ IP và
MAC tương ứng của Host B.
Ở Host B trên bảng ARP có lưu địa chỉ IP và
MAC tương ứng của Host A
Host C thực hiện quá trình nghe lén: Host C gửi
các gói ARP tới cả Host A và Host B có nội dung
sau: “ tôi là A, B, MAC và IP của tôi là XX, YY”
ATHENA
ATHENA
ATHENA
Passive sniff?
Xem các gói tin trong mạng từ Host A qua Host
B thông qua quá trình broadcast gói tin trong
mạng.
Nguyên nhân: Do môi trường mạng hoạt động
không chuyển mạch gói tin.
ATHENA
Active và Passive sniff?
Giống:
• Thỏa điều kiện sniff.
• Cùng chức năng sniff.
Khác:
• Active:
– Môi trường mạng có switch.
– Đầu độc ARP.
• Passive:
– Môi trường mạng có hub.
– Bắt gói do quá trình broadcast gói tin.
ATHENA
Phát hiện sniff?
Passive:
• Khó có khả năng phát hiện, vì bất kỳ host nào trong mạng cũng
có thể bắt được gói tin.
Active:
• Dựa trên quá trình đầu độc ARP trong mạng.
• Băng thông trong mạng.
• Dạng gói tin.
ATHENA
Phát hiện active sniff?
Dựa trên quá trình đầu độc ARP
• Vì phải đầu độc arp nên sniffer sẽ phải liên tục gởi các
gói arp tới các host bị sniff.
• Do đó phát hiện loại sniff này nếu ta có chương trình
bắt gói sẽ thấy sniffer sẽ liên tục gởi các gói arp.
• Hay ta có thể kiểm tra bảng arp trong máy tính. Khả
năng bị sniff xảy ra nếu thấy có 2 host trong bảng arp
có cùng MAC.
Dựa trên băng thông
• Vì phải liên tục gởi các gói arp ra các host bị sniff nên
sniffer sẽ làm giảm băng thông trong mạng.
• Nhưng phương pháp này cũng khó phát hiện được
nếu sniffer không sniff nhiều host trong mạng.
ATHENA
Phòng chống passive sniff?
Thay HUB bằng SWITCH để gói tin có thể
chuyển mạch gói. Lúc này hiện tượng broadcast
sẽ không xảy ra, các host cũng sẽ không bắt được
gói tin nữa.
ATHENA
Phòng chống active sniff?
Người quản trị:
• Dùng các công cụ bắt gói để kiểm tra mạng.
• Dùng các công cụ kiểm tra băng thông.
• Dùng thiết bị các thiết bị có khả năng lọc MAC, VLAN
trunking, SSL.
• Tắt đi chức năng Netbios.
Người dùng:
• Sử dụng ARP tĩnh.
• Một số công cụ sniff có thể giả CA cho 1 số website nên người
dùng cần cẩn thận với các thông báo từ trình duyệt.
ATHENA
ARP static mode in window
ATHENA
Phòng chống active sniff?
Ettercap:
• Dùng monitor mạng.
• Phát hiện các NICs đang trong chế độ lắng nghe.
• Phát hiện các host đang thực hiện hành động đầu độc mạng.
• Cô lập máy tính trong mạng.
Các công cụ khác:
• Đa số các công cụ khác có tính năng cảnh báo.
ATHENA
Ettercap dected sniffer
ATHENA
Ettercap dected promisc NICs
