Bài giảng Sniffer

Trang 1

Module 4: Sniffers

Phạm Minh Thuấn

Trang 2

NỘI DUNG

Định nghĩa

1

Các kiểu Sniff

2

Các biện pháp phòng chống Sniff

3

Các công cụ sử dụng trong Sniff và ARP

4

Trang 3

1 Định nghĩa

Sniff là hình thức nghe lén trên

hệ thống mạng, dựa trên

những đặc điểm của cơ chế

TCP/IP

Sniff có thể là phần mềm hoặc

thiết bị được sử dụng để chụp

lại các thông tin lưu thông qua

mạng

Sử dụng Sniff để lấy cắp các

thông tin:

 Tài khoản

 Mật khẩu

 Các thông tin nhạy cảm khác …

Trang 4

Giao thức có thể Sniff

Các giao thức dễ bị Sniff:

 Telnet và Rlogin: Username và Password.

 HTTP: Dữ liệu được gửi đi dưới dạng rõ.

 SMTP: Password và dữ liệu được gửi đi dưới dạng rõ.

 NNTP: Password và dữ liệu được gửi đi dưới dạng rõ.

 POP: Password và dữ liệu được gửi đi dưới dạng rõ.

 FTP: Password và dữ liệu được gửi đi dưới dạng rõ.

 IMAP: Password và dữ liệu được gửi đi dưới dạng rõ.

 …

Trang 5

2 Các kiểu Sniff

Trang 6

Passive Sniff

Môi trường:

 Chủ yếu hoạt động trong môi trường không có các thiết bị chuyển mạch gói

 Phổ biến hiện nay là các mạng sử dụng Hub, các mạng không dây

Cơ chế hoạt động:

 Dựa trên cơ chế Broadcast gói tin thông qua Hub

Đặc điểm:

 Khó phát hiện

Trang 7

Active Sniff

Môi trường:

 Chủ yếu hoạt động trong môi trường có các thiết bị chuyển mạch gói

 Phổ biến hiện nay là các mạng sử dụng Switch

Cơ chế hoạt động:

 Sử dụng cơ chế ARP Spoofing và MAC Flooding

Đặc điểm:

 Chiếm nhiều băng thông mạng

 Có thể dẫn đến nghẽn mạng hay gây quá tải trên chính NIC của máy đang dùng Sniff

Trang 8

Address Resolution Protocol

(ARP)

Là giao thức lớp mạng được sử dụng để chuyển

đổi từ địa chỉ IP sang địa chỉ vật lý (MAC).

Để có được địa chỉ vật lý, host thực hiện broadcast một ARP request tới toàn bộ mạng.

Host nhận được ARP request sẽ gửi trả lại yêu cầu với địa chỉ IP và địa chỉ MAC của mình.

Trang 9

ARP Spoofing

Trang 10

MAC Flooding

Trang 11

3 Các biện pháp phòng chống Sniff

Active Sniff (quản trị):

 Công cụ:

• Kiểm tra băng thông: Do khi Sniff có thể gây nghẽn mạng.

• Bắt gói tin: Các Sniffer phải đầu độc ARP nên sẽ gửi ARP đi liên tục, nếu dùng các công cụ này có thể thấy được ai đang Sniff trong mạng.

 Thiết bị:

• Lọc MAC

• Sử dụng VLAN Trunking, Port Security với Switch

 Cấu hình SSL

Trang 12

Active Sniff (người dùng):

 Sử dụng ARP dạng tĩnh

 Sử dụng công cụ phát hiện Sniff

 Tắt chức năng NetBios

Trang 13

Passive Sniff:

 Thay việc sử dụng Hub bằng sử dụng Switch

Trang 14

4 Một số công cụ sử dụng

trong Sniff và ARP

Wireshark

Cain & Abel

Ethereal

Switch Sniffer

Trang 15

Wireshark

Trang 16

Cain & Abel

Trang 17

Ethereal

Trang 18

Switch Sniffer

Tiêu đề	Sniffers
Tác giả	Phạm Minh Thuấn
Trường học	Trường Đại Học Công Nghệ Thông Tin
Chuyên ngành	Công Nghệ Thông Tin
Thể loại	Bài giảng

Định dạng
Số trang	19
Dung lượng	2,13 MB