BÁO cáo CHUYÊN đề 4 tìm HIỂU về SNIFFER

 DNS Domain Name Service : Xác định các địa chỉ máy tính từ tên chữ sang số.. Các Sniffer giúp ghi l i thông tin v các gói dữ liệu, các phiên truy n… Phục vụ cho công việc phơn tích, kh

M C L C

M C L C 1

CH NG I: Lụ THUY T V SNIFFER 2

I C ác khái ni m căn b n v Sniffer 2

1.1 M t số thuật ngữ : 2

 Đ a ch Ethernet MAC lƠ gì ? 4

1.2 Đôi nét v Sniffer : 5

1.3 Sniffer đ ợc sử dụng nh th nƠo ? 6

1.4 Phơn lo i Sniffing 7

II Các ph ng pháp phát hi n Sniffer trên h th ng m ng : 9

2.1 Ph ng pháp dùng Ping: 10

2.3 Ph ng pháp sử dụng DNS : 13

2.4 Ph ng pháp Source-Route : 13

2.5 Ph ng pháp giăng bẫy (Decoy) : 14

2.6 Ph ng pháp ki m tra sự chậm tr của gói tin (Latency) : 14

III Ph ng pháp ngăn chặn Sniffer trên h th ng m ng : 14

3.1 Các hệ thống m ng có nguy c Sniffer : 14

3.2 Các giao thức có nguy c Sniffer: 15

3.3 Ph ng pháp ngăn chặn Sniffer d li u ? 15

3.4 Ph ng pháp ngăn chặn Sniffer Password : 16

3.5 Ph ng pháp ngăn chặn Sniffer trên thi t bị phần cứng 17

CH NG II: PH N TH C HẨNH LAP 18

CH NG III: M T VẨI CÁCH CH NG SNIFFER TRONG LAN 36

CH NG IV:TẨI LI U THAM KH O 42

CH NG V: K T LU N 43

 Wireless : Các công nghệ nối m ng không dơy

 Serial Direct Cable Connection : Công nghệ k t nối máy tính bằng Cable truy n nhận dữ liệu

 PPP (Point-to-Point Protocol) : M t giao thức k t nối Internet tin cậy

thông qua Modem

 IP (Internet Protocol) : Giao thức đ ợc dùng đ xử lý c ch truy n dữ liệu thực t LƠ c s cho việc định h ng vƠ vận chuy n dữ liệu trên

 RARP (Reverse Address Resolution Protocol) : LƠm công việc ng ợc

l i ARP, chuy n địa chỉ phần cứng từ m t máy sang địa chỉ IP

 TCP (Transmission Control Protocol) : M t giao thức, dịch vụ dựa trên

k t nối, đi u nƠy cho phép các máy nhận vƠ gửi dữ liệu có th truy n thông v i nhau vƠo mọi lúc, mọi n i

 UDP (User Datagram Protocol) : M t giao thức, m t dịch vụ không k t nối, hai máy gửi vƠ nhận s không truy n thông v i nhau thông qua m t

 SMTP (Simple Mail Transfer Protocol) : Giao thức dùng đ truy n nhận

th điện tử giữa các máy

 DNS (Domain Name Service) : Xác định các địa chỉ máy tính từ tên chữ sang số Còn r t nhi u giao thức dịch vụ khác tầng 7 Nh ng do khuôn khổ bƠi vi t lên tôi chỉ nêu m t số giao thức dịch vụ c b n

 Đ a ch Ethernet MAC lƠ gì ?

Địa chỉ MAC (Media Access Control) : lƠ ki u địa chỉ vật lí, đặc tr ng cho m t thi t bị hoặc m t nhóm các thi t bị trong m ng LAN Địa chỉ nƠy đ ợc dùng đ nhận diện các thi t bị giúp cho các gói tin l p 2 có th

đ n đúng đích

M t địa chỉ MAC bao gồm 6 byte vƠ th ng đ ợc vi t d i d ng hexa,

v i các thi t bị của Cisco, địa chỉ nƠy đ ợc vi t d i d ng số hexa ,ví dụ: 0000.0C12.FFFF lƠ m t địa chỉ MAC hợp lệ Đ đ m b o địa chỉ MAC của m t thi t bị lƠ duy nh t, các nhƠ s n xu t cần ph i ghi địa chỉ đó lên ROM của thi t bị phần cứng vƠ định danh của nhƠ s n xu t s đ ợc xác định b i 3 byte đầu OUI (Organizationally Unique Identifier)

Địa chỉ MAC đ ợc phơn lƠm 3 lo i

- Unicast: đơy lƠ lo i địa chỉ dùng đ đ i diện cho m t thi t bị duy nh t

- Multicast: đơy lƠ lo i địa chỉ đ i diện cho m t nhóm các thi t bị trong

m ng LAN Địa chỉ đ ợc dùng trong tr ng hợp m t ứng dụng có th muốn trao đổi v i m t nhóm các thi t bị Bằng cách gửi đi m t b n tin có địa chỉ multicast; t t c các thi t bị trong nhóm đ u nhận vƠ xử lí gói tin trong khi các thi t bị còn l i trong m ng s bỏ qua Giao thức IP cũng hỗ trợ truy n multicast Khi m t gói tin IP multicast đ ợc truy n qua m t

m ng LAN, địa chỉ MAC multicast t ng ứng v i địa chỉ IP s lƠ

0100.5exxx.xxxx

- Broadcast: địa chỉ nƠy đ i diện cho t t c các thi t bị trong cùng m t

m ng LAN Đi u đó cũng có nghĩa lƠ n u m t gói tin có địa chỉ MAC lƠ FFFF.FFFF.FFFF đ ợc gửi đi thì t t c các thi t bị trong m ng LAN đ u

ph i thu nhận vƠ xử lí

1.2 Đôi nét v Sniffer :

 Kh i đầu Sniffer lƠ tên m t s n phẩm của Network Associates có tên

là Sniffer Network Analyzer

 Sniffer đ ợc hi u đ n gi n nh lƠ m t ch ng trình cố gắng nghe ngóng các l u l ợng thông tin trên hệ thống m ng

 Sniffer đ ợc sủ dụng nh m t công cụ đ nhƠ qu n trinh m ng theo dõi vƠ b o trì hệ thống m ng V mặt tiêu cực, Sniffer đ ợc sủ dụng

nh m t công cụ v i mục đích nghe lén các thông tin trê m ng đ l y các thông tin qua trọng

 Sniffer dựa vƠo ph ng thức t n công ARP đ bắt các gói tin đ ợc truy n qua m ng

 Những giao dịch giữa các hệ thống m ng máy tính th ng lƠ những

dữ liệu d ng nhị phơn (Binary) B i vậy đ nghe lén vƠ hi u đ ợc những dữ liệu d ng nhị phơn nƠy, các ch ng trình Sniffer ph i có tính năng đ ợc bi t nh lƠ sự phơn tích các nghi thức (Protocol Analysis), cũng nh tính năng gi i mư (Decode) các dữ liệu d ng nhị phơn đ hi u đ ợc chúng

 Trong m t hệ thống m ng sử dụng những giao thức k t nối chung vƠ đồng b B n có th sử dụng Sniffer b t cứ Host nƠo trong hệ thống

m ng của b n Ch đ nƠy đ ợc gọi lƠ ch đ hỗn t p (promiscuous

mode)

 M t số các ứng dụng của Sniffer đ ợc sử dụng nh DSNiff,

Snort,Cain, ettercap, sniffer pro……

 Những đi u kiện đ có th Sniffer có th x y ra

Sniff có th hoặt đ ng trong m ng Lan , Wan, m ng Wlan

Đi u kiện cần chỉ lƠ dùng chung subnetMark khi sniffer NgoƠi ra còn dùng m t số tool đ bắt vƠ phơn tích gói tin

 M t số tính năng của Sniffer :

Các Hacker sử dụng đ bắt tên ng i sử dụng (Username) vƠ mật khẩu không đ ợc mư hoá (Clear Text Password) trong hệ thống

m ng của b n

Giúp các nhƠ qu n trị theo dõi các thông tin dữ liệu trên đ ng truy n Họ có th đọc vƠ hi u đ ợc ý nghĩa của những dữ liệu đó Giúp các nhƠ qu n trị giám sát l u l ợng của hệ thống qua đó các

qu n trị viên có th phơn tích những lỗi đang mắc ph i trên hệ thống l u l ợng của m ng

 Ví dụ nh : T i sao gói tin từ máy A không th gửi đ ợc sang máy B etc

M t số công cụ Sniffer còn có th tự đ ng phát hiện vƠ c nh báo các cu c t n công đang đ ợc thực hiện vƠo hệ thống m ng mƠ nó đang ho t đ ng (Intrusion Detecte Service)

Các Sniffer giúp ghi l i thông tin v các gói dữ liệu, các phiên truy n… Phục vụ cho công việc phơn tích, khắc phục các sự cố trên hệ thống m ng

1.4 Phơn lo i Sniffing

Sniffing đ ợc chia lƠm 2 lo i lƠ: Passive Sniffing ( Sniffing thụ đ ng) vƠ Active Sniffing ( Sniffing chủ đ ng )

a- Passive Sniffing

Gọi lƠ Passive Sniffing b i vì các attacker thụ đ ng nằm trên m ng Lan ch

đợi các gói dữ liệu đ ợc gửi đi vƠ bắt l y chúng.Đi u đó s hiệu qu trong

việc ơm thầm thu nhập các dữ liệu từ m ng Lan

- Môi tr ng : Ho t đ ng chủ y u trong môi tr ng không có các thi t bị

chuy n m ch gói Phổ bi n hiện nay lƠ các d ng m ch sủ dụng HUB hay

các m ch không dơy( Wireless)

- C ch ho t đ ng: Do không có các thi t bị chuy n m ch gói nên các

host ph i broadcast các gói tin đi trong m ng từ đó có th bắt gói tin l i

đ xem( dù Host nhận gói tin không ph i lƠ n i đ n của gói tin đó

- Đặc đi m: do các máy tự boardcast các gói nên hình thức sniff nƠy r t

khó phát hiện

Passive Sniffing thực hiện sniffing thông qua Hub

b- Active Sniffing

- Môi tr ng: Chủ y u ho t đ ng trong môi tr ng có các thi t bị chuy n

m ch gói.Phổ bi n hiện nay lƠ các d ng m ng sủ dụng Switch

- C ch ho t đ ng: chủ y u hiện nay th ng sử dụng c ch ARP vƠ

RARP( 2 c ch chuy n đổi IP sang MAC vƠ từ MAC sang IP) bằng cách phát đi các gói tin đầu đ c, mƠ cụ th đơy lƠ phát đi các gói thông báo cho máy g i gói tin lƠ: “Tôi lƠ ng i nhận” mặc dù không ph i ng i nhận

- Đặc đi m: do ph i g i gói tin nên có th chi m băng thông m ng Nên n u sniffing quá nhi u trong m ng thì l ợng gói g i đi s r t l n( do liên tục g i các gói tin gi m o) có th dẫn đ n ngh n m ng hay gơy quá t i trên chính NIC của máy đang dùng sniffing ( thắt nút cổ chai)

- NgoƠi ra các sniffer còn dùng 1 số kỹ thuật đ ép dòng dữ liệu đi qua NIC của mình nh :

- MAC flooding: lƠm trƠn b nh switch từ đó switch s ch y ch đ forwarding mƠ không chuy n m ch gói

- Gi MAC : các sniffer s thay đổi MAC của mình thƠnh các MAC của m t máy hợp lệ vƠ qua đ ợc chức năng lọc của MAC của thi t bị

- Đầu đ c DHCP đ thay dổi gateway của client……

V mặt lý thuy t thì r t khó có th phát hiện đ ợc sự hiện diện của các ch ng trình Sniffer trên hệ thống B i chúng bắt vƠ cố gắng đọc các gói tin, chúng

không gơy ra sự xáo tr n hay m t mát Packet nghiêm trọng nƠo trên đ ng

truy n c Tuy nhiên trên thực t l i có nhi u cách đ phát hiện ra sự hiện diện của các Sniffer Khi đứng đ n lẻ trên m t máy tính không có sự truy n thông thì

s không có d u hiệu gì Tuy nhiên n u đ ợc cƠi đặt trên m t máy tính không

đ n lẻ vƠ có sự truy n thông, b n thơn Sniffer s phát sinh ra l u l ợng thông tin

B n có th truy v n ng ợc DNS đ tìm thông tin liên quan đ n những địa chỉ IP Sau đơy lƠ m t số ph ng pháp đ phát hiện Sniffer

1 B n nghi ng máy tính có địa chỉ IP lƠ 10.0.0.1, có địa chỉ MAC lƠ

00-40-05-A4-79-32 Đư bị cƠi đặt Sniffer

2 B n đang trong cùng m t hệ thống m ng Ethernet mƠ b n nghi ng có kẻ đư

ti n hƠnh Sniffer

3 B n thay đổi địa chỉ MAC của b n thƠnh lƠ 00-40-05-A4-79-33

4 B n Ping đ n địa chỉ IP vƠ địa chỉ MAC m i

5 Trên nguyên tắc không m t máy tính nƠo có th nhìn th y có th nhìn th y đ ợc Packet nƠy B i Adapter Ethernet chỉ ch p nhận những địa chỉ MAC hợp lệ của

chính nó

6 N u b n th y sự tr l i từ địa chỉ mƠ b n nghi ng không ph i trên địa chỉ lọc của MAC (MAC Address Filter) trên Ethernet Card…Máy tính có địa chỉ IP

10.0.0.1 đư bị cƠi đặt Sniffer

Bằng các kỹ thuật của mình các Hacker vẫn có th né tránh đ ợc ph ng pháp nêu trên Các Hacker s sử dụng những MAC Address o R t nhi u hệ thống máy tính trong đó có Windows có tích hợp kh năng MAC Filtering Windows chỉ ki m tra những byte đầu tiên N u m t địa chỉ MAC có d ng FF-00-00-00-00-00, thì đ n

gi n Windows s coi nó lƠ FF-FF-FF-FF-FF-FF Đơy lƠ s h cho phép các Hacker

có th khai thác đánh lừa hệ thống máy tính của b n Kỹ thuật phát hiện Sniffer

đ n gi n nƠy th ng đ ợc sử dụng trên các hệ thống Ethernet dựa trên Switch vƠ

Bridge

2.2 Ph ng pháp sử dụng ARP:

Đơy lƠ ph ng pháp chủ y u đ các attack t n công

 Ph ng pháp phát hiện Sniffer nƠy t ng tự nh ph ng pháp dùng Ping Khác biệt chỗ chúng ta s sử dụng những Packet ARP

 Đơy lƠ d ng t n công r t nguy hi m , gọi lƠ Man In The Middle Trong

tr ng hợp nƠy giống nh bị đặt máy nghe lén, phiên lƠm việc giữa máy giử vƠ nhận vẫn di n ra bình th ng nên ng i sủ dụng không h hay

bi t mình bị t n công

S l ợc quá trình hoặt đ ng:

Trên cùng m t m ng, Host A vƠ Host B muốn truy n tin cho nhau , các

packet s đ ợc đ a xuống tầng Datalink đ đóng gói, các Host ph i đóng gói MAC nguồn, MAC đích vƠ Frame Nh vậy tr c khi quá trình truy n dữ liệu, các Host ph i hỏi địa chỉ MAC của nhau

N u nh host A kh i đ ng quá trình hỏi MAC tr c, nó sẻ hỏi broadcast gói tin ARP request cho t t c các Host đ hỏi MAC host B, lúc đó Host B đư có MAC của Host A, sau đó Host B chỉ tr l i cho Host A Mac của Host B(

ARP reply)

Có 1 Host C liên tục gửi ARP reply cho Host A vƠ Host B địa chỉ Mac của Host C, nh ng l i đ t l i địa chỉ IP lƠ Host A vƠ Host B,lúc nƠy Host A cứ nghĩ máy B có Mac lƠ C Nh vậy các gói tin mƠ Host A g i cho Host B đ

bị đ a đ n Host C, gói tin Host B tr l i cho Host A cũng đ a đ n Host

C.N u Host C bật chức năng forwarding thì coi nh Host A vƠ Host B không

h hay bi t rằng mình bị tần công ARP

HOST A

HOST B

HOST C

LAN đ hỏi xem IP 10.0.0.12 (IP của Victim) có địa chỉ MAC lƠ bao nhiêu

- Attacker vƠ Victim đ u nhận đ ợc gói tin ARP Request, nh ng chỉ có Victim g i tr

l i gói tin ARP Reply l i cho HostA ARP Reply chứa thông tin v IP 10.0.0.12 và MAC 0000.0000.1012 của Victim

- HostA nhận đ ợc gói ARP Realy từ Victim, bi t đ ợc địa chỉ MAC của

HostA g i đ n máy Victim đ u có th chụp l i đ ợc đ xem tr m

- Attacker thực hiện g i liên tục ARP Reply chứa thông tin v IP của Victim

10.0.0.12,

còn địa chỉ MAC lƠ của Attacker 0000.0000.1011

- HostA nhận đ ợc ARP Reply nghĩ rằng IP Victim 10.0.0.12 có địa chỉ

MAC là

0000.0000.1011 HostA l u thông tin nƠy vƠo b ng ARP Cache vƠ thực hiện k t nối

- Lúc nƠy mọi thông tin, dữ liệu HostA g i t i máy có IP 10.0.0.12 (lƠ máy Victim) s g i qua địa chỉ MAC 0000.0000.1011 của máy Attacker

 Đ thực hiện ph ng pháp nƠy, b n cần theo dõi quá trình phơn gi i

ng ợc trên DNS Server của b n Khi b n phát hiện đ ợc những hƠnh

đ ng Ping liên tục v i mục đích thăm dò đ n những địa chỉ IP không tồn

t i trên hệ thống m ng của b n Ti p đó lƠ những hƠnh đ ng cố gắng phơn

gi i ng ợc những địa chỉ IP đ ợc bi t từ những Packet ARP Không gì khác đơy lƠ những hƠnh đ ng của m t ch ng trình Sniffer

lƠ lƠm th nƠo đ gói tin nƠy không th đi đ n đích N u nh b n th y sự

tr l i, thì đ n gi n hệ thống m ng của b n đư bị cƠi đặt Sniffer

 Đ sử dụng ph ng pháp nƠy b n cần sử dụng vƠo m t vƠi tuỳ chọn trong Header IP Đ Router s bỏ qua những địa chỉ IP đ n vƠ ti p tục chuy n ti p đ n những địa chỉ IP trong tuỳ chọn Source-Route của

Router

 L y m t ví dụ cụ th :

o Bob vƠ Anna cùng nằm trên m t đo n m ng Khi có m t ng i khác trên cùng đo n m ng gửi cho cô ta vƠi Packet IP vƠ nói chuy n chúng đ n cho Bob Anna không ph i lƠ m t Router, cho nên cô ta s Drop t t c Packet IP mƠ ng i kia muốn chuy n t i

Bob (b i cô ta không th lƠm việc nƠy) M t Packet IP không đ ợc gửi đ n Bob, mƠ anh ta vẫn có th tr l i l i đ ợc Đi u nƠy vô lý, vậy anh ta đư sử dụng các ch ng trình Sniffer

2.5 Ph ng pháp giăng b y (Decoy) :

 T ng tự nh ph ng pháp sử dụng ARP nh ng nó đ ợc sử dụng trong những ph m vi m ng r ng l n h n (gần nh lƠ khắp n i) R t nhi u giao thức sử dụng các Password không đ ợc mư hoá trên đ ng truy n, các Hacker r t coi trọng những Password nƠy, ph ng pháp giăng bẫy nƠy s tho mưn đi u đó Đ n gi n b n chỉ cần gi lập những Client sử dụng Service mƠ Password không đ ợc mư hoá nh : POP, FTP, Telnet,

IMAP B n có th c u hình những User không có quy n h n, hay thậm chí những User không tồn t i Khi Sniffer đ ợc những thông tin đ ợc coi

lƠ ấquý giá» nƠy các Hacker s tìm cách ki m tra, sử dụng vƠ khai thác chúng B n s lƠm gí k ti p ???

2.6 Ph ng pháp kiểm tra s ch m tr của gói tin (Latency) :

 Ph ng pháp nƠy s lƠm gi m thi u sự l u thông trên hệ thống m ng của

b n Bằng cách gửi m t l ợng thông tin l n đ n máy tính mƠ b n nghi lƠ

đư bị cƠi đặt Sniffer S không có hiệu ứng gí đáng k n u máy tính đó hoƠn toƠn không có gì B n ping đ n máy tính mƠ b n nghi ng đư bị cƠi đặt Sniffer tr c th i gian chịu t i vƠ trong th i gian chị t i Đ quan sát

sự khác nhau của 2 th i đi m nƠy

 Tuy nhiên ph ng pháp nƠy tỏ ra không m y hiệu qu B n thơn những Packet IP đ ợc gửi đi trên đ ng truy n cũng gơy ra sự trậm tr vƠ th t

l c Cũng nh những Sniffer ch y ch đ “User Mode” đ ợc xử lý đ c lập b i CPU cũng cho ra những k t qu không chính xác

III Ph ng pháp ngăn chặn Sniffer trên h th ng m ng :

3.1 Các h th ng m ng có nguy c Sniffer :

 Cable Modem

 DSL

 ADSL

 Switched Network

 Wireless like IEEE 802.11 a.k.a AirPort (hệ thống m ng không

dây)

3.2 Các giao thức có nguy c Sniffer:

 Telnet, Rlogin: Tổ hợp bƠn phím bao gồm User vƠ password

 SNMP: Mật khẩu vƠ dữ liệu đ ợc gửi trong văn b n rõ rƠng

 NNTP: Mật khẩu vƠ dữ liệu đ ợc gửi trong văn b n rõ rƠng

 POP, IMAP, SMTP: Mật khẩu vƠ dữ liệu đ ợc gửi trong văn

b n rõ rƠng

 FTP: Mật khẩu vƠ dữ liệu đ ợc gửi trong văn b n rõ rƠng

 HTTP: Dữ liệu đ ợc gửi trong văn b n rõ rƠng

 PGP và S/MIME: E-mail cũng có kh năng bị những kẻ t n công ác ý Sniffer Khi Sniffer m t E-mail không đ ợc mư hoá, chúng không chỉ

bi t đ ợc n i dung của mail, mƠ chúng còn có th bi t đ ợc các thông tin nh địa chỉ của ng i gửi, địa chỉ của ng i nhận…Chính vì vậy đ

đ m b o an toƠn vƠ tính riêng t cho E-mail b n cũng cần ph i mư hoá chúng… S/MIME đ ợc tích hợp trong hầu h t các ch ng trình gửi

nhận Mail hiện nay nh Netscape Messenger, Outlock Express…PGP cũng lƠ m t giao thức đ ợc sủ dụng đ mư hoá E-mail Nó có kh năng

hỗ trợ mư hoá bằng DSA, RSA lên đ n 2048 bit dữ liệu

 OpenSSH: Khi b n sử dụng Telnet, FTP…2 giao thức chuẩn nƠy không cung c p kh năng mư hoá dữ liệu trên đ ng truy n Đặc biệt nguy

hi m lƠ không mư hoá Password, chúng chỉ gửi Password qua đ ng truy n d i d ng Clear Text Đi u gì s x y ra n u những dữ liệu nh y

c m nƠy bị Sniffer OpenSSH lƠ m t b giao thức đ ợc ra đ i đ khắc phục nh ợc đi m nƠy: SSH (sử dụng thay th Telnet), SFTP (sử dụng thay th FTP)…

 VPNs (Virtual Private Networks): Đ ợc sử dụng đ mư hoá dữ liệu khi truy n thông trên Internet Tuy nhiên n u m t Hacker có th t n công vƠ tho hiệp đ ợc những Node của của k t nối VPN đó, thì chúng vẫn có

th ti n hƠnh Sniffer đ ợc

M t ví dụ đ n gi n,lƠ m t ng i dùng Internet khi l t Web đư s ý đ nhi m RAT (Remoto Access Trojan), th ng thì trong lo i Trojan nƠy th ng có chứa sẵn Plugin Sniffer Cho đ n khi ng i dùng b t cẩn nƠy thi t lập m t k t nối VPN Lúc nƠy Plugin Sniffer trong Trojan s ho t đ ng vƠ nó có kh năng đọc đ ợc những dữ liệu ch a đ ợc mư hoá tr c khi đ a vƠo VPN Đ phòng chống các cu c t n công ki u nƠy: b n cần nơng cao ý thức c nh giác cho những ng i sử dụng trong hệ thống m ng VPN của b n, đồng th i sử dụng các ch ng trình quét Virus đ phát hiện vƠ ngăn chặn không đ hệ thống bị nhi m Trojan

3.4 Ph ng pháp ngăn chặn Sniffer Password :

Đ ngăn chăn những kẻ t n công muốn Sniffer Password B n đồng th i sử dụng các giao thức, ph ng pháp đ mư hoá password cũng nh sử dụng

m t gi i pháp chứng thực an toƠn (Authentication):

 SMB/CIFS: Trong môi tr ng Windows/SAMBA b n cần kích ho t tính

năng LANmanager Authencation

 Keberos: M t gi i pháp chứng thực dữ liệu an toƠn đ ợc sử dụng trên Unix cũng nh Windows

 Stanford SRP (Secure Remote Password): Khắc phục đ ợc nh ợc đi m không mư hoá Password khi truy n thong của 2 giao thức FTP vƠ Telnet

trên Unix:

3.5 Ph ng pháp ngăn chặn Sniffer trên thi t b ph n cứng

 Việc thay th Hub của b n bằng những Switch, nó có th cung c p m t

sự phòng chống hiệu qu h n Switch s t o ra m t “Broadcast Domain”

nó có tác dụng gửi đ n những kẻ t n công những gói ARP không hợp lệ

(Spoof ARP Packet)

 Tuy nhiên các Hacker vẫn có những cách thức khéo léo đ v ợt qua sự phòng thủ nƠy Các yêu cầu truy v n ARP chứa đựng những thông tin chính xác từ IP cho đ n MAC của ng i gửi Thông th ng đ gi m b t

l u l ợng ARP trên đ ng truy n, đa số các máy tính s đọc vƠ sử dụng các thông tin từ b đệm (Cache) mƠ chúng truy v n đ ợc từ Broadcast

 B i vậy m t Hacker có th Redirect những máy tính gần mình đ v ợt qua sự phòng thủ nƠy bằng cách gửi những gói ARP chứa đựng những thông tin v địa chỉ IP của Router đ n chính địa chỉ MAC của anh ta T t

c những máy tính trong hệ thống m ng cục b nƠy s nhầm t ng anh ta

lƠ Router vƠ s thi t lập phiên truy n thông đi qua máy tính của anh ta

 M t cu c t n công DOS t ng tự trên m t hệ thống m ng cục b , khi thƠnh công s đá văng mục tiêu mƠ họ muốn t n công ra khỏi m ng rồi bắt đầu sử dụng chính địa chỉ IP của máy tính vừa bị t n công nƠy

Những kẻ t n công s khéo léo thừa k vƠ sử dụng những k t nối nƠy

B n thân Windows khi phát hiện đ ợc hƠnh đ ng nƠy, nó không hƠnh

đ ng gì c mƠ l i tử t đóng Stack TCP/IP của chính mình vƠ cho phép

k t nối nƠy ti p tục

Đ phòng chống l i các cu c t n công d ng b n chỉ cần sử dụng các công

cụ IDS (Intrusion Detecte Service) Các IDS nh BlackICE IDS, Snort s

tự đ ng phát hiện vƠ c nh báo v các cu c t n công d ng nƠy

 Hầu h t các Adapter Ethernet đ u cho phép c u hình địa chỉ MAC bằng tay Hacker có th t o ra các địa chỉ Spoof MAC bằng cách h ng vƠo các địa chỉ trên Adapter Đ khắc phục đi u nƠy, hầu h t các Switch đ u không cho phép tự ý c u hình l i các địa chỉ MAC

CH NG II: PH N TH C HẨNH LAP

PH N CHU N B CHO TH C HẨNH

Sủ dụng 2 hệ thống PC , sủ dụng công cụ máy o Vmware( Wmware Workstation ) đ thực hƠnh

đơy tôi s đ a ra mô hình thực hƠnh nh sau :

Trong đó máy Attack vƠ máy Victim s sử dụng Windows XP Professional sp2

Hai máy cùng trong m t l p m ng 192.168.1.x vƠ đi ra môi tr ng Internet bằng Router LinkSys A300 có địa chỉ IP lƠ 192.168.1.1

Công cụ hỗ trợ sniffer đ ợc sủ dụng

- Cain & Abel v4.9.8

Cain & Abel lƠ m t công cụ giao diện đồ họa dùng đ giám sát ARP Cache của máy tính.Nó gửi request định kỳ đ n b ng ARP cache của máy tính vƠ báo cáo những thay đổi v việc ánh x giữa địa chỉ IP vƠ địa chỉ MAC trong ARP cache.Do vậy nó có th đ ợc sử dụng đ phát hiện ra ki u t n công ARP Poisoning trong

Chọn Next 

Chọn Next 

Nh đư nói ban đầu đ quá trình Sniffer có th ti n hƠnh đ ợc thì cần có gói phần

m m hỗ trợ WinPcap, ta ti n hƠnh cƠi đặt WinPcap, chọn Install 