Giáo trình CEH v7 tiếng việt chương 8 sniffer

Việc giám sát được thực hiện bằng việc quan sát trên các phương tiện truyền thông, các dịch vụ thoại internet, dữ liệu và mạng đa dịch vụ Cơ quan quản lý gửi yêu cầu về việc nghe lén đế

Nhóm thực hiện : 5 Thành viên : Lê Long Bảo Lớp : MM03A

GVHD : Lê Tự Thanh

CHƯƠNG 8 : NGHE LÉN

1

 Theo các nghiên cứu mới nhất lịch sử trình duyệt của bạn kém an toàn

 Các nhà nghiên cứu tại trường đại học California, đã tổ chức điều tra rộng rãi các website phổ biến để đưa ra quyết định, website nào lấy nhiều thông tin từ khách hàng viếng thăm (ví dụ: nghe lén hoặc lấy cắp lịch sử trình duyệt), và một điều không ngạc nhiên đó là trang YouPorn nằm trong top các site gián điệp, các trang khác như Technorati, TheSun.co.uk

2

 Các trang này khai thác thông tin theo thói quen truy

cập của khách hàng, các thông tin đƣợc dùng với mục

đích quảng cáo, nhằm sinh lợi cho công ty bằng cách

tận dụng các click chuột khi truy cập web và các đoạn

scripts

3

Phân tích giao thức phần cứng

Tấn công MAC

Tấn công DHCP

Tấn công đầu độc ARP

Tấn công giả mạo

Tấn công đầu độc DNS

Biện pháp ngăn chặn

Tool Nghe

lén

4

Nghe lén hợp pháp cho phép cơ quan quản lý (LEA)

thực thi việc giám sát một mục tiêu nào đó dưới sự ủy quyền của người quản lý Việc giám sát được thực hiện bằng việc quan sát trên các phương tiện truyền thông, các dịch vụ thoại internet, dữ liệu và mạng đa dịch vụ

Cơ quan quản lý gửi yêu cầu về việc nghe lén đến

nhà cung cấp dịch vụ, những người mà chịu trách

nhiệm ngăn chặn hay cho phép giao tiếp dữ liệu đến

và đi giữa các cá nhân

Các nhà cung cấp dịch vụ dùng IP đích hoặc phiên làm việc để quyết định thiết bị định tuyến nào sẽ cho phép lưu lượng đi qua đến mạng đích, và một bản sao về các lưu lượng sẽ được gửi đến cơ quan quản lý

5

 Cho phép nhiều cơ quan quản lý thực thi việc nghe lén trên cùng một mục tiêu mà các cơ quan này không biết đến

nhau

 Ẩn thông tin về việc nghe lén trên tất cả phương tiện, chỉ

user có quyền mới thực thi được

 Hỗ trợ việc nghe lén cả đầu vào lẫn đầu ra

 Không hiệu quả cho các dịch vụ thuê bao trên router

6

 Hỗ trợ nghe lén thuê bao cá nhân, những người mà dùng

chung đường truyền vật lý

 Không cần quản trị viên, cũng không cần các bên nhận thức được rằng các cuộc gọi đang được khai thác

 Cung cấp 2 phương pháp:

- thiết đặt việc nghe lén một cách an toàn

- gửi thông tin về lưu lượngcơ quan quản lý

7

Là chương trình dùng để lưu trữ

và xử lý lưu lượng mạng bởi nhà

cung cấp dịch vụ

Được cung cấp bởi hãng thứ 3 dùng

để xử lý hầu hết các tiến trình cho LI

Thiết bị cung cấp thông tin cho LI IAP

Mediation

Device

Collection Function

8

 Nghe lén là một tiến trình cho phép giám sát cuộc gọi và cuộc hội thoại internet bởi thành phần thứ ba

 Kẻ tấn công để thiết bị lắng nghe giữa mạng mang thông tin như hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên

internet

Kiểu nghe lén

Bị động

Giám sát và ghi lại tất

cả thông tin lưu lượng

Chủ động

Chỉ giám sát và ghi lại thông tin lưu lượng

9

Thông thường thì laptop có thể tham gia vào mạng và thực thi

10

 Sniffer đặt card mạng ở chế độ đa mode và lắng nghe tất cả các dữ liệu chuyển đi trên mạng

 Sniffer có thể đọc các thông tin trên máy tính thông qua card NIC bằng cách giải mã các thông tin đƣợc đóng gói trong gói tin

11

12

Nghe lén bị động nghĩa là nghe lén thông qua hub Trên hub lưu lượng được chuyển đến tất cả các port

Nghe lén bị động không gửi các gói tin, nó giám sát các gói tin được gửi đến mạng khác

Nghe lén chủ động liên quan đến việc gửi các gói tin thăm

dò đến AP Hub không được dùng cho ngày nay

13

 Khi nghe lén được đặt trong môi trường switch, nó được biết đến như là nghe lén chủ động

 Nghe lén chủ động dựa vào việc bơm các gói tin vào miền mạng

14

Password và dữ liệu được gửi dưới dạng clear text

Password và dữ liệu được gửi dưới dạng clear text

Password và dữ liệu được gửi dưới dạng clear text

Password và dữ liệu được gửi dưới dạng clear text

Password và dữ liệu được gửi dưới dạng clear text

15

 Sniffer hoạt động tại lớp Data Link trong mô hình OSI

Chúng không tuân thủ các luật như lớp ứng dụng

 Nếu một lớp bị tấn công, các giao tiếp sẽ bị tổn tương mà

không cần các lớp khác nhận biết được vấn đề

16

Là một phần của thiết bị phần cứng được bắt mà không làm thay đổi lưu lượng trên đường

truyền

Nó bắt các gói dữ liệu ,giải mã và phân tích nội dung trong gói dữ liệu để quyết định các luật

là port mà được cấu hình để

nhận bản sao của mỗi gói tin

khi đi qua switch

Khi kết nối đến span port kẻ tấn công

có thể làm tổn thương miền mạng

19

Ngập lụt MAC là làm ngập

lụt switch với một số lƣợng

lớn yêu cầu

Switch có bộ nhớ giới hạn cho việc ánh xạ địa chỉ MAC

và port vật lý trên switch

Ngập lụt MAC làm cho bộ nhớ giới hạn của switch đầy lên bằng cách giả mạo nhiều địa chỉ MAC khác nhau và gửi đến switch

Lúc này switch hoạt động nhƣ một

hub và các gói tin sẽ đƣợc gửi ra

tất cả các máy trên cùng miền

mạng và kẻ tấn công có thể dễ

dàng nghe lén

21

 Bảng CAM của switch thì có kích thước giới hạn

 Nó lưu trữ thông tin như địa chỉ MAC address gắn với cổng tương ứng trên switch cùng với các tham số miền mạng vlan

1258.3582.8DAB

FFFF.FFFF.FFFF

48Bit Hexadecimal

24 bit đầu tiên là mã nhà sản

xuất được gán bởi IEEE

24 bit thứ hai là giao diện đặt biệt được gán bởi nhà sản xuất

Địa chỉ Broadcast

22

 Một khi bảng CAM trên Switch đầy thì các lưu lượng ARP request sẽ làm ngập lụt mỗi cổng của switch

 Lúc này cơ bản switch hoạt động như hub

24

 macof là công cụ Linux

 macof sẽ gửi ngẫu nhiên địa chỉ MAC nguồn và địa chỉ IP

 công cụ này sẽ làm ngập lụt bảng CAM (131,000/phút) bằng cách gửi các địa chỉ MAC không có thật

25

Chỉ cho phép 1 địa chỉ MAC trên 1 port switch

Bảo mật port cho switch giúp làm giảm ngập lụt MAC và khóa cổng

trên switch

Cầu hình bảo mật port trên switch cisco

27

 DHCP server duy trì các thông tin cấu hình TCP/IP trong cơ

sở dữ liệu nhƣ là các tham số cấu hình TCP/IP, địa chỉ ip hợp

lệ

 Nó cung cấp các địa chỉ đã đƣợc cấu hình đến máy trạm trong suốt quá trình thuê

29

Client nhận đƣợc DHCP Offer, nó sẽ gửi gói broadcast để chấp nhận Offer đó

DHCP server nhận đƣợc DHCP request sẽ trả lại DHCP client 1 DHCP ACK hoặc NACK

Client gửi đến Server địa chỉ mạng đã đƣợc dùng Client gửi đến Server địa chỉ mạng và hủy thuê Client gửi đến Server các thông tin cấu hình cục bộ

31

 Kẻ tấn công gửi các gói tin để khám phá máy chủ cấp phát DHCP và phạm vi cấp phát và sau đó kẻ tấn công cố gắng

thuê tất cả dãy địa chỉ IP cấp phát này

 Đây là kiểu tấn công từ chối dịch vụ bằng cách thuê tất cả địa chỉ cấp phát của máy chủ DHCP

32

 Kẻ tấn công sẽ giả mạo máy chủ DHCP trên cùng miền mạng

và cung cấp địa chỉ để cấp phát cho user

Bằng cách giả mạo máy chủ DHCP,kẻ tấn công có thể gửi các thông tin cấu hình TCP/IP sai

- Default Gate  default gateway giả mạo

- Địa chỉ IP  IP giả mạo

33

Kích hoạt bảo mật port để ngăn chặn tấn

công tước quyền DHCP

Kích hoạt DHCP Snooping để ngăn chặn giả mạo DCHP lúc này switch sẽ phân loại thành cổng tin cậy và không tin cậy

35

ARP là giao thức ánh xạ địa chỉ IP đến địa chỉ vật lý được

Tất cả các máy trong miền mạng sẽ so sánh địa chỉ IP đến

địa chỉ MAC của chúng

Nếu một trong những máy đó, xác định được đó chính là địa chỉ của mình, nó là gửi gói ARP hồi đáp và địa chỉ này sẽ được lưu trong bảng ARP và quá trình giao tiếp diễn ra

37

Gói tin ARP có thể bị

giả mạo để gửi dữ liệu

đến máy của kẻ tấn

công

C Cuối cùng thì sau khi bảng

ARP bị đầy thì switch sẽ hoạt

Kẻ tấn công làm ngập lụt bộ nhớ cache chứa địa chỉ ARP của máy mục tiêu bằng các địa chỉ ARP giả mạo, phương thức này còn được gọi là đầu độc

38

Khi user A muốn thiết lập một phiên đến user B , một gói tin ARP request được quảng bá ra toàn miền mạng, lúc này user A chờ phản hồi

từ user B

User B phản hồi ARP Reply thật

Switch broadcast ARP trên đường truyền

Kẻ tấn công nghe gói các gói tin ARP Request và ARP Reply và giả mạo mình chính là user hợp pháp Sau khi bắt được gói ARP

Request và ARP Reply,

attacker có thể giả mạo ARP

Reply của user B và gửi đến

 Giả mạo gói tin ARP giúp kẻ tấn công có thể chuyển hướng tất cả giao tiếp giữa hai máy, khi đó tất cả lưu lượng được gửi thông qua máy của kẻ tấn công

 Tấn công từ chối dịch vụ

 Ăn cắp thông tin dữ liệu

 Nghe lén cuộc gọi

 Thao tác dữ liệu

40

Dùng DHCP Snooping và Dynamic ARP Inspection để kiểm tra ARP

44

46

 Tấn công giả mạo địa chỉ MAC bằng cách chạy chương trình

nghe lén địa chỉ MAC của máy trạm ,máy được liên kết với

switch và dùng địa chỉ MAC đó để truy cập mạng

 Bằng cách lắng nghe lưu lượng đi qua trong mạng, kẻ tấn công

có thể ăn cắp và dùng địa chỉ MAC hợp pháp của nạn nhân để

nhận tất cả lưu lượng đi từ máy nạn nhân đến đích

Luật của Switch : Cho phép thực thi đến miền mạng internet nếu máy bạn có địa chỉ MAC : A:B:C:D:E

Attacker nghe lén miền mạng của user hợp pháp để lấy địa chỉ MAC sau đó

dùng nó để tấn công

47

Giả mạo MAC

+ Nếu MAC đƣợc dùng để thực thi

trong mạng, kẻ tấn công có thể có

quyền thực thi trong mạng đó

+ Kẻ tấn công có thể tiến hành nhận dạng một ai đó trên mạng

 Là kỹ thuật lừa DNS Server tin rằng nó nhận một thông tin chứng thực đúng đó là thật nhưng thực sự thì thông tin đó không tồn tại

 Kết quả là tên miền sẽ trỏ sang ip giả,ip mà DNS Server

tưởng là thật, thay vì trỏ sang ip thật

52

 Trong kỹ thuật này, bạn phải kết nối đến miền mạng LAN mà

có thể nghe lén được các gói tin

 Nó làm việc tốt trong môi trường switches với kiểu đầu độc ARP

53

 Với kỹ thuật này kẻ tấn công có thể cài vào máy nạn nhân

con trojan và con này sẽ thay đổi IP DNS của nạn nhân đến máy kẻ tấn công

54

 Kẻ tấn công sẽ gửi trojan đến máy nạn nhân và con này sẽ thay đổi Proxy server trong trình duyệt internet của nạn nhân

55

 Đầu độc cache DNS liên quan đến việc chỉnh sửa,thay đổi thêm và xóa bớt bản ghi DNS của Server với mục đích làm cho DNS truy vấn sai IP và trỏ IP DNS đến máy kẻ tấn công chứa trang web giả mạo

56

Giải quyết tất cả truy vấn DNS đến DNS Server cục bộ

Khóa các truy vấn DNS từ server bên ngoài

Cấu hình DNS Resolv dùng port nguồn ngẫu nhiên từ dãy port có sẵn cho mỗi truy vấn

 Wireshark là tool nghe lén gói tin miễn phí

 Wireshark dùng Winpcap để bắt gói tin, nó chỉ bắt các gói tin trên mạng hỗ trợ bởi Winpcap

 Bắt sống các lưu lượng trên mạng từ Ethernet, IEEE 820.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame

Bộ lọc đƣợc dùng để thay đổi cách hiển thị của gói tin

trong file bắt đƣợc

62

 Tcpdump là tool giao diện dòng lệnh dùng để sniff gói

tin rất manh, có thể chạy trên Linux hoặc Windown

65

 Network View là một tool khám phá miền mạng và

quản lý dành cho Windown

DNS, SNMP, Ports, NetBIOS, và WMI

66

 The Dude Sniffer có thể quét tất cả thiết bị trên cùng

miền mạng và vẽ thành bản đồ chi tiết

67

 Ace có thể giám sát và bắt password FTP, POP3,

HTTP, SMTP, Telnet, và webmail password

68

 Capsa Network Analyzer bắt tất cả dữ liệu trên mạng

và cung cấp các bảng phân tích thống kê thông qua

giao diện đồ họa

69

 OmniPeek sniffer hiển thị các địa chỉ IP public trong gói tin, kết hợp với google map

 Đây là các tốt nhất để quan sát mạng theo thời gian thực và

có thể xem được lưu lượng đi qua mọi nơi trên thế giới

70

 Observer cung cấp toàn diện về lưu lượng mạng và có

thể thống kê lại thời gian, báo cáo, thông báo, công cụ

ứng dụng, và quan sát đường đi mạng

71

 NetWitness điều tra và bắt sống lưu lượng và xử lý gói

tin từ tất cả miền mạng của các thiết bị mạng một cách

nhanh chóng và phân tích dễ dàng

 Thống kê theo thời gian thực

 Phân tích dữ liệu từ lớp ứng dụng

 Giải quyết các địa chỉ IP đến các nước, thành phố

 Giải mã SSL (với chứng thực server)

 Tương tác bảng đồ thời gian và tổng hợp

72

Nó hoạt động theo thời gian thực, các địa chỉ url, email,

chat, games, FTP, luồng dữ liệu, và tạo bản sao các

trang web,email,ftp… và đƣa ra các bảng phân tích

Attacker kết nối laptop với port

nhân được hướng sang máy hacker

Hacker trích xuất password và dữ

liệu lấy được

 Hạn chế thực thi các phương tiện mạng vật lý, để đảm bảo gói tin không thể nghe lén được

 Mã hóa để bảo vệ thông tin chứng thực

 Dùng địa chỉ IP và MAC tĩnh để ngăn chặn kẻ tấn công có thể giả mạo

 Chặn tất cả gói tin broadcast, nếu có thể hạn chế chứng thực user để bảo vệ miền mạng không bị khám phá bởi sniffing

tool

 Dùng địa chỉ IPv6 thay IPv4

 Dùng phiên mã hóa như SSH thay vì Telnet, FTP, SSL cho kết nối mail

81

tin đến và đi IDS

Chạy IDS để kiểm tra nếu địa chỉ MAC bị thay đổi

Công cụ mạng

Chạy những công

cụ mạng như HP Performance để giám sát các gói tin trong mạng

IDS thông báo cho người quản trị về các hoạt động gián điệp

Kích hoạt nó bạn có thể xem, phân tích các lưu lượng trong mạng

84

 Bằng cách đặt các gói tin nghe lén trong mạng, kẻ tấn công có thể bắt và phân tích tất cả lưu lượng mạng

 Kẻ tấn công có thể nghe lén các thông tin chứng thực như là email, hội thoại chat, password, lưu lượng web

 Nghe lén có 2 kiểu là chủ động và bị động Bị động liên quan đến việc nghe lén trong môi trường hub, còn chủ động thì môi trường switch

86

 Nghe lén hoạt động tại lớp Data Link trong mô hình OSI và không có luật nào quản lý giống nhƣ lớp Ứng dụng

 Kẻ tấn công có thể, tấn công MAC, DHCP, đầu độc ARP, tấn công giả mạo, đầu độc DNS, để nghe lén trong mạng

 Các biện pháp ngăn chặn bao gồm: đặt IP và ARP tĩnh, dùng phiên mã hóa nhƣ SSH thay Telnet, dùng SCP thay cho FTP, dùng SSL để chuyển dữ liệu

87

HẾT