Nghe lén hoạt động như thế nàoSniffer đặt card mạng ở chế độ đa mode và lắng nghe tất cả các dữ liệu chuyển đi trên mạng Sniffer có thể đọc các thông tin trên máy tính thông qua card NIC
Trang 1MÔN AN NINH
MẠNG
NGHE LÉN
Trang 3cả thông tin lưu lượng
Chủ động Chỉ giám sát và ghi lại thông tin lưu lượng
Trang 4Nghe lén hoạt động như thế nào
Sniffer đặt card mạng ở chế độ đa mode và lắng nghe tất cả các dữ liệu chuyển đi trên mạng
Sniffer có thể đọc các thông tin trên máy tính thông qua card NIC bằng cách giải mã các thông tin được đóng gói trong gói tin
Trang 5Password và dữ liệu được gửi dưới dạng clear text
Password và dữ liệu được gửi dưới dạng clear text
Password và dữ liệu được gửi dưới dạng clear text
Password và dữ liệu được gửi dưới dạng clear text
Trang 6và port vật lý trên switch
Ngập lụt MAC làm cho bộ nhớ giới hạn của switch đầy lên bằng cách giả mạo nhiều địa chỉ MAC khác nhau và gửi đến switch
Lúc này switch hoạt động như một
hub và các gói tin sẽ được gửi ra
tất cả các máy trên cùng miền
mạng và kẻ tấn công có thể dễ
dàng nghe lén
Trang 7Địa chỉ MAC và Bảng CAMBảng CAM của switch thì có kích thước giới hạn.
Nó lưu trữ thông tin như địa chỉ MAC address gắn với cổng tương ứng trên switch cùng với các tham số miền mạng vlan
1258.3582.8DAB
FFFF.FFFF.FFFF
48Bit Hexadecimal
24 bit đầu tiên là mã nhà sản
xuất được gán bởi IEEE
24 bit thứ hai là giao diện đặt biệt được gán bởi nhà sản xuất
Địa chỉ Broadcast
Trang 8Bảng CAM làm việc như thế nào
Trang 9Chuyện gì xảy ra khi bảng CAM đầy
Một khi bảng CAM trên Switch đầy thì các lưu lượng ARP request sẽ làm ngập lụt mỗi cổng của switch
Lúc này cơ bản switch hoạt động như hub
Tấn công lúc này sẽ làm đầy bảng CAM của switch
Trang 10DHCP server duy trì các thông tin cấu hình TCP/IP trong cơ sở dữ liệu như là các tham
số cấu hình TCP/IP, địa chỉ ip hợp lệ
Nó cung cấp các địa chỉ đã được cấu hình đến máy trạm trong suốt quá trình thuê
Trang 11Kẻ tấn công gửi các gói tin để khám phá máy chủ cấp phát DHCP và phạm vi cấp phát
và sau đó kẻ tấn công cố gắng thuê tất cả dãy địa chỉ IP cấp phát này
Đây là kiểu tấn công từ chối dịch vụ bằng cách thuê tất cả địa chỉ cấp phát của máy chủ DHCP
Trang 12Kẻ tấn công sẽ giả mạo máy chủ DHCP trên cùng miền mạng và cung cấp địa chỉ để cấp phát cho user
Bằng cách giả mạo máy chủ DHCP,kẻ tấn công có thể gửi các thông tin cấu hình TCP/IP sai
- Default Gate default gateway giả mạo
- Địa chỉ IP IP giả mạo
Trang 13Kích hoạt bảo mật port để ngăn chặn tấn
công tước quyền DHCP
Kích hoạt DHCP Snooping để ngăn chặn giả mạo DCHP lúc này switch sẽ phân loại thành cổng tin cậy và không tin cậy
Trang 14Gói tin ARP có thể bị
giả mạo để gửi dữ liệu
đến máy của kẻ tấn
công
C Cuối cùng thì sau khi bảng
ARP bị đầy thì switch sẽ hoạt
Kẻ tấn công làm ngập lụt bộ nhớ cache chứa địa chỉ ARP của máy mục tiêu bằng các địa chỉ ARP giả mạo, phương thức này còn được gọi là đầu độc
Trang 15Khi user A muốn thiết lập một phiên đến user B , một gói tin ARP request được quảng bá ra toàn miền mạng, lúc này user A chờ phản hồi
từ user B
User B phản hồi ARP Reply thật
Switch broadcast ARP trên đường truyền
Kẻ tấn công nghe gói các gói tin ARP Request và ARP Reply và giả mạo mình chính là user hợp pháp Sau khi bắt được gói ARP
Request và ARP Reply,
attacker có thể giả mạo ARP
Trang 16Giả mạo gói tin ARP giúp kẻ tấn công có thể chuyển hướng tất cả giao tiếp giữa hai máy, khi đó tất cả lưu lượng được gửi thông qua máy của kẻ tấn công
Tấn công từ chối dịch vụ
Ăn cắp thông tin dữ liệu
Nghe lén cuộc gọi
Ăn cắp password
Thao tác dữ liệu
Trang 17Là kỹ thuật lừa DNS Server tin rằng nó nhận một thông tin chứng thực đúng đó là thật nhưng thực sự thì thông tin đó không tồn tại
Kết quả là tên miền sẽ trỏ sang ip giả,ip mà DNS Server tưởng là thật, thay vì trỏ sang
ip thật
Trang 18Trong kỹ thuật này, bạn phải kết nối đến miền mạng LAN mà có thể nghe lén được các gói tin
Nó làm việc tốt trong môi trường switches với kiểu đầu độc ARP
Trang 19Với kỹ thuật này kẻ tấn công có thể cài vào máy nạn nhân con trojan và con này sẽ thay đổi IP DNS của nạn nhân đến máy kẻ tấn công
Trang 20Kẻ tấn công sẽ gửi trojan đến máy nạn nhân và con này sẽ thay đổi Proxy server trong trình duyệt internet của nạn nhân
Trang 21Giải quyết tất cả truy vấn DNS đến DNS Server cục bộ
Khóa các truy vấn DNS từ server bên ngoài
Cấu hình DNS Resolv dùng port nguồn ngẫu nhiên từ dãy port có sẵn cho mỗi truy vấn
Trang 22Bằng cách đặt các gói tin nghe lén trong mạng, kẻ tấn công có thể bắt và phân tích tất cả lưu lượng mạng
Kẻ tấn công có thể nghe lén các thông tin chứng thực như là email, hội thoại chat,
password, lưu lượng web
Nghe lén có 2 kiểu là chủ động và bị động Bị động liên quan đến việc nghe lén trong môi trường hub, còn chủ động thì môi trường switch
Trang 24Nghe lén hoạt động tại lớp Data Link trong mô hình OSI và không có luật nào quản lý giống như lớp Ứng dụng
Kẻ tấn công có thể, tấn công MAC, DHCP, đầu độc ARP, tấn công giả mạo, đầu độc DNS, để nghe lén trong mạng
Các biện pháp ngăn chặn bao gồm: đặt IP và ARP tĩnh, dùng phiên mã hóa như SSH thay Telnet, dùng SCP thay cho FTP, dùng SSL để chuyển dữ liệu
