Sam muốn nghe lén mạng để chỉ ra những điềm yếu cho Dave, Sam cần phải cài chương trình gì để thực hiện thao tác trên, Làm sao Sam biết được là có chương trình phát hiện nghe lén tron
Trang 1Sniffer
Ngo Van Cong
Trang 2
Dave lam việc tại bộ phận TT trong một ngân
hàng đa quốc gia Sam vừa tốt nghiệp ky
sư máy tính, được nhận vào làm trong
nhà bãng dưới quyên của Dave, Sam biết
về trình nghe lén gói tin và những cách sử dụng vào mục đích xấu của nó
Sam muốn nghe lén mạng để chỉ ra những
điềm yếu cho Dave, Sam cần phải cài chương trình gì để thực hiện thao tác
trên,
Làm sao Sam biết được là có chương trình phát hiện nghe lén trong mạng không?
Sam có thể nghe lén từ xa không?
Có thể cái đặt trình nghe lén trên máy
Trang 4
Dinh nghia: sniffing
Là chương trình bắt
cac thông tin đang
trao doi trong he
la bat cac thong tin
= Password (e-mail, web,
Trang 5
Các giao thức có nguy co’ bi sniffing
Telnet va Rlogin: username va password
HTTP: DỮ liệu gửi dưới dạng "*clear text”
SMTP:Password và dữ liệu gửi dưới dạng
Trang 7Attacker
Được gọi là “passive” vì rất khó phát hiện
“Passive sniffing’: nghe len tai Hub
dau sniffing
Trang 8Switch « Attacker
Switch tim kiém dia chi MAC két hợp với mỗi frame và chỉ gửi dữ liệu cho công kết nỗi
switch băng cách gửi các địa chi MAC giả
Trang 9ARP là một giao thức tầng mạng dùng để chuyên đổi từ địa chỉ IP
sang địa chỉ vật lý(MAC)
Đề có được địa chỉ MAC, host sẽ quảng bá goi tin ARP tới mạng
TCP/IP
Host với địa chỉ IP giỗng như trong yêu câu sẽ trả lời với địa chỉ
MAC kem theo
176.16.1.1
Host A 172.16.1.40
What is the MAC for 172.16.1.1?
00-60-08-BD-7D-2A
Trang 10
Công cu:Netviewer —quét các thiết bị mạng
&
40.1 1.13 40.1.1.42 40.1.1.1 4.1 + 1Ö 40.119 19M AS400 Business aarnowhers.com Linux Nowhere Org Sun Solars.Winner ong Exchange Enterprise Server
11 11.25 1.1.1.5 10.1.1 27 11.1128 1.1.1 Z8 1.1.1.3 Main Printar ý 1zt Flser Node 10.4.1.26 HP Tamminal for NT *& Terminal pol.comp.org KT 4.0 Serer
Trang 11TS The Wireshark Network Analyzer ˆ a I7
Bk Edt Mew Œo Capture Analyze Statistics bel
119 60 33,0000) 204,2142.109,14 207 183, 142.87 Sage Ack «2006 Wire) 600M
117 41 33999 207,189.142,97 204 2 103 1© To 1019 » 22 (ex) Sages Ackhoms (23225
118 M233,.5000 2M,752.103,79 25.25, 25.25 BÒTIP [Pecket size lirdted diring capture]
119 240 54.2104% 00000232,0O60973b071 009220O,1ffff11{11fff NHI [Packet size Llirdted duri ture)
121 EO 54,093⁄XVĐ 06;00:46;06;5d:6 D1:83:cZ; 03:09; DO srr Conf, Foot = @5535/08:0O;4e:08;5d;%5 Cos†
- aT ì b ra 122 (#© hytee on wire, OD bytes captured! vn _ 0
the re: “py “lh 1 P Jnternet PrọtocoL, c; 297.163,142.67 |297.13 142.67], Ost: 24,22, 102.2 (a, 2, 102.2) Long dữ lSS từ live net + Traamassion Control Protecel, Sre Port: 22567 (22587), Ost Port: 110 1110), Seq: 20, Ack: 134, Len: 6
` \ 5 A Source port: 22587 (22587)
hay la từ file tren đĩa Destination port: 110 (110)
Cee Lea) WOE Sh MCD a Ml le
Íl#2teL smgư,nv0 thai ( 33 troletave ooyuenve runber >)
Acknowledgunant murber: 16 (relative ack ư#sr | Header Length; 20 bytes
b Plage: GOL (Pe, and) re
0000 OD 00 Ọc 36:00:19 00.60 Af CF eb CO OB 00 02 6 0 E,
ee „ R R UOl3 GD 2t 75 02 đ3 02 4005 24 bạ cÍ b7 9e 57 cc Éc et BM
Người dùng cĩ thê duyệt [xxx oo
qua aed ol TUE il tong ance number itcp.seql 4 bytes |B: 3632 D) 632 M10
hợp, hay chỉ tiết cho mỗi
gĩi tin
Trang 12Loc trong wireshark
frets name Relator Xe (set 2 byte:!
08 Change Oh ir sper + Chenge Ophea: Stet Message (9gU& 4 + *J 6 (resent ki»
xá se setae Alsr! Ísser (đt veneer) ~ ưu 7.1
sbliecbishabictinaaia’ ler aang ““m——————-——-—
xí hưnlh‡c co Cczớc Gan Cenc set-ế» se ) m %.- + a hờ»4/xióo 90929 97 - S4690f 1) (J0 tệ S%V seesen, alow tt k4 AMGL1A (3% CC 2+
tine e.x ape econ hee x
sưmab£ XKI1^ 16 c8 heeded corp _petock - Corprecdean Methods |Lat of compres
"Pa ?2%/(L x tol hanebetebe comm preted - Comprenetar Meth werewe>y Met)
na ~ (Lư i6
xÝ lysli sec msxvrvesta mag) Cy tewore Length doret? o& bebo « m " = -
n?Š DHE_PGA_WITH CAMELLIA 18 (Fe
sa ambche Crlorcen type - ly pe Otete extorcey) toe) LÝ BỊ vớ AT CAMELLIA 120 Cie
0d Nandctabe eetencen an: Leng Lengm of a tel etecoet)
J CÀ A“O% MAI 9U
LỆ lu sÂ(Sêm màösvod, date - Cate tebe feo des)
_ Min: (CÝÀ (AC 2/4 170 TẢ
wh eee cortices rth - Ce iictes Legh dere & coed TUCO Oot VI 7E1_Cm- -
pá ha»4c»see coutitcater - Cai tắc bat | Ll# số cotticatec) = _
ra nandstabe corttcate Cortitcate (Corti ete
Trang 13Theo vết luông thông tin trong wireshark
Wireshark tap hop tat ca goi tin TCP va
hiển thị dưới định dạng dạng văn bản rất
dé doc
Dé dang lady ra username && password ttr
giao thuc khong an toan nhu telnet hay ftp
Command:chon mot goi tin trong muc
summary window, sau do chon Analyze-
>Follow TCP Stream
Trang 14HTTP/1.0 200 DK Connection: close
Server: UPnP/1.0 UPnP-Device-Host/1.0
User-Agent: Mozilla/4.0 (corpatible; UPnP/1.03 Windows NT/S.1)
@ A451] © EBCDIC © Hex Durp © C Arrays © Row
X Close
i) Fltot Gut This Stream
Trang 15
ARP Poisoning
ARP chuyén dia chi IP thanh dia chi
MAC của card mạng gửi dữ liệu
Gói tin ARP có thể bị già mạo đề dữ liệu
được gưi về cho mày của attacker
Attacker co thé khai thac ARP Poisonin
đe can thiệp vào luong Iuu thông giữa
may tinh trong mang
MAC flooding mot bang ARP cua switch
co the giup attacker Jam qua tai switch
va sau do attacker co the dung cac
chương trinh nghe lên mạng tĩong khi
switch chuyến qua chế độ “Hub”
Trang 16
Man in the Middle
Hacker mu6n lang nghe các luông thông
tin giữa máy nạn nhân, 192.168.0.12 và
router, 192.168.0.1
Trang 18
Tam 192.168.0.1
My MAC address is [HACKER'S MAC]
của bạn.
Trang 20ARP Poisoning
Step 2
Luông thông tin của máy nạn
của attacker
Step 1 Attacker tự nhận địa chỉ IP của
minh la 192.168.0.12 va dia chi
MAC la ATTACKERS MAC
Trang 21
Giai phap
Hệ thống mạng nhỏ
= Sử dụng dia chi IP tinh va bang ARP tinh co
thê ngăn cản hacker thêm các mục mới vào trong bảng ARP của mạng
Hệ thống mạng lớn
= Sw dung thuéc tinh "Port Security" cua cac
switch trong mang
“ sử dụng Arpwatch đề theo dõi hoạt động của
Mang http://www.redhat.com/swr/i386/arpwatch-2.1a11-1.1386.html
Trang 22kiểm soát được
Sau đó thi sniffing co
the dé dàng thực hiện
Công cụ
“ Macof
= EtherFlood
Trang 23The effect on some switches is
network with Ethernet frames with random hardware traffic out on all ports so that F = O°
traffic on sub-network
Ur\Documente and SettingeWidminicstrator.JVINDOWE \DecktopNotherf Lood>ethert lood
ktherFlood 1.1 fc) 2042, Aeyne Videtron Carne videtromUnteecurity.nud
— http: //ntcecurity.nu’too lbox/etherf lood/
Inctalled network adapters:
1 Intel 2114@-Based PCI Fast Ethernet Adapter (Generic?
Select an adapter number: 1
Flooding the network vith vandon Ethernet addresses - -
Trang 24
“MAC Duplicating” Attack
Tan cong “MAC
duplicating” dudc triển khai
bang cách nghe lén mạng
để lấy được địa chỉ MAC
của máy client đang kết
nối vào cổng switch, và sử
dụng lại những địa chỉ này
Bằng cach lang nghe thông
tin lưu thông trong mang,
attacker có được địa chỉ
MAC hợp lệ
Attacker sẽ nhận những
thông tin gửi tới cho user
có địa chỉ MAC đó
Kỹ thuật này dùng trong
mạng wireless với cơ chế
MAC filtering
Trang 25“MAC Duplicating” Attack
Switch Rule: Allow access to
Trang 27dùng kiểm tra dữ liệu từ
"live network" hay tu
tập tin dữ liệu đã bat
lưu trên đĩa
Người dùng có thể
tương tác với dữ liệu đã
bắt được, xem thống
kê, và thông tin chỉ tiết
của mỗi gói tin bắt
oi
File Edit Capture
No.) Time
Display Tools Source 10.0 f 2
2.000801 00:40:35:42:2f;3e FÍ14 1z Who has 10.0.0.2? Tell 10.0.0 30.000955 00:00:21:20:a0:05 00:40: 95:42: 2: 9e ARP 10.0.0.2 is at 00:00:21:20:a0:0
4 0.001509 10.0.0.5 10.0.0.2 NFS V2 GETATTR Reply XID Oxee9c59d6
5 0.64666? 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxef9c59d6
6 0.647631 = 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxef9c59d6 70.650313 = 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf09¢59d6
8 0.651290 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxf09c59d6
9 0.651530 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf19c59d6
10 0.652470 = 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxf19c59d6 110.6852718 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf29¢59d6 12.0.653655 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxf29c59d6
13 0.653883 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf39¢59d6
14 0.65478? 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxf39c59d6
15 0.655023 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf49c59d6
16 0.655941 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxf49c59d6
17658120 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf59c59d6
Ethernet II Internet Protocol
H Frame 1 (186 on wire, 186 captured)
H User Datagram Protocol
H Remote Procedure Call
Fl Network File Syvetem
Trang 28MACOF giúp dễ dàng can
thiệp vào băng thông
00/27/02 22:06:44 192,168.02 => 192.160.0,258 (pop)
Trang 29dùng để theo dõi tải
trong mang IP, các
kiểu dịch vụ mạng
được dùng nhiều
Trang 30
Sniffer: doc cac ggi tin
trong mang va hien
thi no thanh cac luong
lien tuc
packet logger: luu
nhat ky các goi tin
Vv Show Snort console Autostart options
I Don't restart Snort, if it is killed J Start Snort when IDScenter is started Process priority
(* Normal ( Hinh C Realtime Log folder
Set a logging directory and standard log file
( External viewer/editor for logfiles (WinSnort2HTML / ACID ? SnortSnarf with another browser)
IDScenter |General
Trang 31
Macof, MailSnarf, URLSnarf, WebSpy
(HA Konsole - root@localhost:~ - Konsole 0 st -[=[BllXi |
| rie Sessions Settings Help
địa chi MAC ngâu - nhiên, làm cho một số switch khong the mg ở che do lap, do do de
dang de nghe len
Mailsnarf: bat va dua ket qua ra dudi dang
các thông điệp mail:
urlsnart: công cụ đề
giam sat lưu thông
WEB
webspy: cho phép _ người dụng xem tat ca
web mà nan nhân truy Cap
Trang 32
MAC changer
MAC changer là công cụ thường dùng
trong Linux, để thiết lập địa chỉ MAC cho 1
giao tiếp mạng
Cho phép người dùng thiết lập địa chỉ MAC
một cách ngâu nhiên, thiết lập địa chỉ MAC
của nhà cung cấp khác
Người dùng co thể thiết lập MAC cho giao
tiếp không giay(wireless card)
Cung cấp một lựa chọn các nhà cung cấp
MAC(> 6200)
Trang 33TCPDump, Network Monitor
TCPDump
“ Là một công cụ được sử dụng rộng rãi đề phân tích
và chuân đoán trên nén Unix
= Dung dé theo vết lỗi, phát hiện tân công ping, va theo
dõi các hoạt động của mạng
“ Hoạt động ở tâng ứng dụng
Network Monitor
= La c6éng cụ theo dõi mạng chạy trên nên window
“ Có thê bắt tất cả các luồng dữ liệu
" Bat cac luông trong mạng và chuyền nó sang định
dạng có thê đọc được
Trang 34
Một số giải pháp
Hạn chế truy cap vat ly vào thiết bị mạng
để đảm bảo packet sniffer không được cài
đặt
Cách tốt nhất để chống lại sniffer là dùng
mã hóa, nó không ngàn được các sniffer
chạy, nhưng nó đảm bảo là sniffer đọc
không hiểu được
ARP spoofing được sử dụng để lắng nghe
mạng chuyển mạch, vì vậy attacker sẽ giả
ARP của gateway, điều này có thể ngăn
được bằng cách thêm tĩnh địa chỉ MAC của
gateway vào bảng ARP
Trang 35
chuyén mang sang dung SSH
có rất nhiều công cụ dùng để phát hiện
xem trong mang co sniffer hay khong
" ARP Watch
= Promiscan
“ Anfisniff
=" Prodetect
Trang 36
Nghe lén mạng cho phép bắt các thông tin
ng độ VILal information) trong mang, no co
a
the lang nghe trén Hub hay switch
Bat mật khẩu, email, dữ liệu
ARP poisoning có thể dùng để thay đổi chế
do hoat dong cua switch sang che do Hub
Ethereal, Dsniff, Sniffit, Aldebaran, Hunt,
NGSSniff là một trong những công cụ
nghe lén rất phổ biến
Cách tốt nhất để ngăn chặn nghe lén là
dùng mã hóa.
