Sniffer đặt card mạng ở chế độ đa mode và lắng nghe tất cả các dữ liệu chuyển đi trên mạng Sniffer có thể đọc các thông tin trên máy tính thông qua card NIC bằng cách giải mã các thôn
Trang 1MÔN AN NINH MẠNG
1
TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN
HỮU NGHỊ VIỆT HÀN
Nhóm thực hiện : 5 SVTH : Lê Long Bảo Lớp : MM03A
GVHD : Lê Tự Thanh
CHƯƠNG 8 : NGHE LÉN
Trang 3Kiểu nghe lén
Bị động
Giám sát và ghi lại tất
cả thông tin lưu lượng
Trang 4 Sniffer đặt card mạng ở chế độ đa mode và lắng nghe tất cả các dữ liệu chuyển đi trên mạng
Sniffer có thể đọc các thông tin trên máy tính thông qua card NIC bằng cách giải mã các thông tin được đóng gói trong gói tin
Nghe lén hoạt động như thế nào
4
Trang 5Telnet
Các lỗ hổng của giao thức để Sniffing
Tổ hợp phím bao gồm username và
pasword
Dữ liệu được gửi dưới dạng clear text
Password và dữ liệu được gửi dưới dạng clear text
Password và dữ liệu được gửi dưới dạng clear text
Password và dữ liệu được gửi dưới dạng clear text
Password và dữ liệu được gửi dưới dạng clear text
Password và dữ liệu được gửi dưới dạng clear text 5
Trang 6Ngập lụt MAC
Ngập lụt MAC là làm ngập lụt switch với một số lượng
lớn yêu cầu
Switch có bộ nhớ giới hạn cho việc ánh xạ địa chỉ MAC
và port vật lý trên switch
Ngập lụt MAC làm cho bộ nhớ giới hạn của switch đầy lên bằng cách giả mạo nhiều địa chỉ MAC khác nhau và gửi đến switch
Lúc này switch hoạt động như một hub và các gói tin sẽ được gửi ra tất cả các máy trên cùng miền mạng và kẻ tấn công có thể dễ dàng nghe lén
6
Trang 7 Bảng CAM của switch thì có kích thước giới hạn.
Nó lưu trữ thông tin như địa chỉ MAC address gắn với cổng tương ứng trên switch cùng với các tham số miền mạng vlan
Địa chỉ MAC và Bảng CAM
Trang 8Bảng CAM làm việc như thế nào
8
Trang 9 Một khi bảng CAM trên Switch đầy thì các lưu lượng ARP request sẽ làm ngập lụt mỗi cổng của switch
Lúc này cơ bản switch hoạt động như hub
Tấn công lúc này sẽ làm đầy bảng CAM của switch
Chuyện gì xảy ra khi bảng CAM đầy
9
Trang 10 DHCP server duy trì các thông tin cấu hình TCP/IP trong cơ
sở dữ liệu như là các tham số cấu hình TCP/IP, địa chỉ ip hợp
Trang 11 Kẻ tấn công gửi các gói tin để khám phá máy chủ cấp phát DHCP và phạm vi cấp phát và sau đó kẻ tấn công cố gắng thuê tất cả dãy địa chỉ IP cấp phát này.
Đây là kiểu tấn công từ chối dịch vụ bằng cách thuê tất cả địa chỉ cấp phát của máy chủ DHCP
Tấn công tước quyền DHCP
11
Trang 12 Kẻ tấn công sẽ giả mạo máy chủ DHCP trên cùng miền mạng
và cung cấp địa chỉ để cấp phát cho user
Tấn công giả mạo DHCP
Bằng cách giả mạo máy chủ DHCP,kẻ tấn công có thể gửi các thông tin cấu hình TCP/IP sai
- Default Gate default gateway giả mạo
- Địa chỉ IP IP giả mạo
12
Trang 13Ngăn chặn tấn công DHCP
Kích hoạt bảo mật port để ngăn chặn tấn
công tước quyền DHCP
Kích hoạt DHCP Snooping để ngăn chặn giả mạo DCHP lúc này switch sẽ phân loại thành cổng tin cậy và không tin cậy
13
Trang 14Tấn công giả mạo ARP
Gói tin ARP có thể bị giả mạo để gửi dữ liệu đến máy của kẻ tấn công
C Cuối cùng thì sau khi bảng ARP bị đầy thì switch sẽ hoạt động ở chế độ forwarding, lúc này thì kẻ tấn công có thể
dễ dàng nghe lén mọi hoạt động trong mạng
Giả mạo ARP liên quan đến việc xây dựng một số lượng lớn ARP request giả mạo và gói ARP reply liên tục được phản hồi dẫn đến tình trạng quá tải switch
Kẻ tấn công làm ngập lụt bộ nhớ cache chứa địa chỉ ARP của máy mục tiêu bằng các địa chỉ ARP giả mạo, phương thức này còn được gọi là đầu độc
14
Trang 15Cách thức giả mạo ARP
Khi user A muốn thiết lập một phiên đến user B , một gói tin ARP request được quảng bá ra toàn miền mạng, lúc này user A chờ phản hồi
từ user B
User B phản hồi ARP Reply thật
Switch broadcast ARP trên đường truyền
Kẻ tấn công nghe gói các gói tin ARP Request và ARP Reply và giả mạo mình chính là user hợp
pháp
Sau khi bắt được gói ARP Request và ARP Reply, attacker có thể giả mạo ARP Reply của user B và gửi đến user A
15
Trang 16 Giả mạo gói tin ARP giúp kẻ tấn công có thể chuyển hướng tất cả giao tiếp giữa hai máy, khi đó tất cả lưu lượng được gửi thông qua máy của kẻ tấn công
Tấn công từ chối dịch vụ
Ăn cắp thông tin dữ liệu
Nghe lén cuộc gọi
Ăn cắp password
Thao tác dữ liệu
Mối đe dọa về đầu độc ARP
16
Trang 17 Là kỹ thuật lừa DNS Server tin rằng nó nhận một thông tin chứng thực đúng đó là thật nhưng thực sự thì thông tin đó không tồn tại
Kết quả là tên miền sẽ trỏ sang ip giả,ip mà DNS Server tưởng là thật, thay vì trỏ sang ip thật
Kỹ thuật đầu độc DNS
17
Trang 18 Trong kỹ thuật này, bạn phải kết nối đến miền mạng LAN mà
có thể nghe lén được các gói tin
Nó làm việc tốt trong môi trường switches với kiểu đầu độc ARP
Giả mạo DNS Intranet
18
Trang 19 Với kỹ thuật này kẻ tấn công có thể cài vào máy nạn nhân con trojan và con này sẽ thay đổi IP DNS của nạn nhân đến máy kẻ tấn công
Giả mạo DNS Internet
19
Trang 20 Kẻ tấn công sẽ gửi trojan đến máy nạn nhân và con này sẽ thay đổi Proxy server trong trình duyệt internet của nạn nhân
Giả mạo Proxy DNS
20
Trang 21Giải quyết tất cả truy vấn DNS đến DNS Server cục bộ
Khóa các truy vấn DNS từ server bên ngoài
Cấu hình DNS Resolv dùng port nguồn ngẫu nhiên từ dãy port có sẵn cho mỗi truy vấn
Trang 22 Bằng cách đặt các gói tin nghe lén trong mạng, kẻ tấn công có thể bắt và phân tích tất cả lưu lượng mạng
Kẻ tấn công có thể nghe lén các thông tin chứng thực như là email, hội thoại chat, password, lưu lượng web
Nghe lén có 2 kiểu là chủ động và bị động Bị động liên quan đến việc nghe lén trong môi trường hub, còn chủ động thì môi trường switch
22
Kết luận
Trang 23 Nghe lén hoạt động tại lớp Data Link trong mô hình OSI và không có luật nào quản lý giống như lớp Ứng dụng
Kẻ tấn công có thể, tấn công MAC, DHCP, đầu độc ARP, tấn công giả mạo, đầu độc DNS, để nghe lén trong mạng
Các biện pháp ngăn chặn bao gồm: đặt IP và ARP tĩnh, dùng phiên mã hóa như SSH thay Telnet, dùng SCP thay cho FTP, dùng SSL để chuyển dữ liệu
23
Kết luận
