Module 1: Sniffers
Phạm Minh Thuấn
NỘI DUNG
1
Định nghĩa
2
Các kiểu Sniff
3
Các biện pháp phòng chống Sniff
4
Các công cụ sử dụng trong Sniff và ARP
1. Định nghĩa
Sniff là hình thức nghe lén trên
hệ thống mạng, dựa trên
những đặc điểm của cơ chế
TCP/IP
Sniff có thể là phần mềm hoặc
thiết bị được sử dụng để chụp
lại các thông tin lưu thông qua
mạng
Sử dụng Sniff để lấy cắp các
thông tin:
Tài khoản
Mật khẩu
Các thông tin nhạy cảm khác …
Giao thức có thể Sniff
Các giao thức dễ bị Sniff:
Telnet và Rlogin: Username và Password.
HTTP: Dữ liệu được gửi đi dưới dạng rõ.
SMTP: Password và dữ liệu được gửi đi dưới dạng rõ.
NNTP: Password và dữ liệu được gửi đi dưới dạng rõ.
POP: Password và dữ liệu được gửi đi dưới dạng rõ.
FTP: Password và dữ liệu được gửi đi dưới dạng rõ.
IMAP: Password và dữ liệu được gửi đi dưới dạng rõ.
…
2. Các kiểu Sniff
Passive Sniff
Môi trường:
Chủ yếu hoạt động trong môi trường không có các
thiết bị chuyển mạch gói.
Phổ biến hiện nay là các mạng sử dụng Hub, các
mạng không dây.
Cơ chế hoạt động:
Dựa trên cơ chế Broadcast gói tin thông qua Hub
Đặc điểm:
Khó phát hiện
Active Sniff
Môi trường:
Chủ yếu hoạt động trong môi trường có các thiết bị
chuyển mạch gói
Phổ biến hiện nay là các mạng sử dụng Switch
Cơ chế hoạt động:
Sử dụng cơ chế ARP Spoofing và MAC Flooding
Đặc điểm:
Chiếm nhiều băng thông mạng
Có thể dẫn đến nghẽn mạng hay gây quá tải trên
chính NIC của máy đang dùng Sniff
Address Resolution Protocol
(ARP)
Là giao thức lớp mạng được sử dụng để chuyển
đổi từ địa chỉ IP sang địa chỉ vật lý (MAC).
Để có được địa chỉ vật lý, host thực hiện broadcast
một ARP request tới toàn bộ mạng.
Host nhận được ARP request sẽ gửi trả lại yêu cầu
với địa chỉ IP và địa chỉ MAC của mình.
ARP Spoofing
MAC Flooding
3. Các biện pháp phòng chống Sniff
Active Sniff (quản trị):
Công cụ:
• Kiểm tra băng thông: Do khi Sniff có thể gây nghẽn
mạng.
• Bắt gói tin: Các Sniffer phải đầu độc ARP nên sẽ gửi
ARP đi liên tục, nếu dùng các công cụ này có thể thấy
được ai đang Sniff trong mạng.
Thiết bị:
• Lọc MAC
• Sử dụng VLAN Trunking, Port Security với Switch
Cấu hình SSL
3. Các biện pháp phòng chống Sniff
Active Sniff (người dùng):
Sử dụng ARP dạng tĩnh
Sử dụng công cụ phát hiện Sniff
Tắt chức năng NetBios
3. Các biện pháp phòng chống Sniff
Passive Sniff:
Thay việc sử dụng Hub bằng sử dụng Switch
4. Một số công cụ sử dụng
trong Sniff và ARP
Wireshark
Cain & Abel
Ethereal
Switch Sniffer
Wireshark
Cain & Abel
Ethereal
Switch Sniffer
Module 2: Scanning
Phạm Minh Thuấn
www.themegallery.com
NỘI DUNG
1
Định nghĩa Scanning
2
Các kiểu Scanning
3
Các bước Scanning
4
Các công cụ sử dụng để Scanning
www.themegallery.com
1. Định nghĩa Scanning
Scanning là một trong ba giai
đoạn Information Gathering mà
Hacker cần thực hiện trước khi
tiến hành một cuộc tấn công
Các thông tin cần tìm kiếm trong
giai đoạn Scanning:
Địa chỉ IP của hệ thống đích
Hệ điều hành
Kiến trúc hệ thống
Các cổng mở và các dịch vụ đang chạy trên hệ
thống
2. Các kiểu Scanning
Có 3 kiểu Scanning:
Port Scanning: Quét cổng để xác định cổng/dịch vụ
đang trong trạng thái active
Network Scanning: Quét dải mạng để xác định các host
trên mạng đang hoạt động
Vulnerability Scanning: Quét lỗ hổng của hệ điều hành,
của các ứng dụng đang hoạt động
3. Các bước Scanning
3. Các bước Scanning
Checking for live system:
Sử dụng giao thức ICMP: Ping
Có thể tham tham số -t để ping không giới hạn
Check for Open Ports:
Áp dụng cơ chế bắt tay ba bước
Sử dụng các Flag trong gói tin TCP khi quét theo kiểu TCP
Xác định gói tin ICMP type 3 code 3 khi quét theo kiểu UDP
Identity Services:
Dựa vào các Open Ports để xác định Service
Banner Grabbing/OS Fingerprinting
Sử dụng Telnet
Sử dụng công cụ: Nmap, SuperScan, …
Scan for Vulnerability
Sử dụng công cụ để phát hiện ra điểm yếu: Nessus, Retina, GFI
LANGuard, Acunetix, …
Cấu tạo gói tin TCP
SYN: Yêu cầu kết nối giữa hai máy tính
ACK: Trả lời kết nối hai máy tính có thể bắt đầu thực hiện
FIN: Kết thúc quá trình kết nối giữa hai máy tính
RST: Kết nối không thể sử dụng
PSH & URG: Thiết lập độ ưu tiên