Packet Sniffer hay Protocol Analyzer là những công cụ được sử dụng để chuẩn đoán và phát hiện lỗi hệ thống mạng và các vấn đề liên quan. Packet Sniffers được các Hacker sử dụng với mục đích như theo dõi bí mật Network Traffic và thu thập thông tin mật khẩu người dùng.Một số Packet Sniffer được các kỹ thuật viên sử dụng với mục đích chuyên dụng giải quyết phần cứng trong khi những Packet Sniffer khác là những phần mềm ứng dụng chạy trên máy tính người dùng được cấp tiêu chuẩn, sử dụng các phần cứng mạng được cung cấp trên các máy chủ để thực hiện chặn gói dữ liệu và đưa dữ liệu vào.
Trang 2Giới thiệu về Sniffing Các phương thức tấn công Các phương pháp phát hiện Sniffing Các phương pháp ngăn chặn Sniffing Một và cách phòng chống Sniffing trong mạng LAN
NỘI DUNG
2
2 3
1
4 5
Trang 3GIỚI THIỆU VỀ SNIFFING
quan trọng
Trang 4GIỚI THIỆU VỀ SNIFFING
Trang 5GIỚI THIỆU VỀ SNIFFING
5
2 Sniffing thường xảy ra ở đâu
Trang 6GIỚI THIỆU VỀ SNIFFING
6
3 Phân loại Sniffing
Trang 7GIỚI THIỆU VỀ SNIFFING
7
3 Phân loại Sniffing
Passive Sniffing
Trang 8GIỚI THIỆU VỀ SNIFFING
8
3 Phân loại Sniffing
Active Sniffing
Trang 9GIỚI THIỆU VỀ SNIFFING
9
4 Các công cụ tiến hành Sniffing
Các công cụ này ngày càng được tối ưu hóa, dễ dàng sử dụng và tránh bị phát hiện khi
được thực thi
Trang 11CÁC PHƯƠNG THỨC TẤN CÔNG
1 Tấn công MAC
Tấn công MAC là tấn công làm ngập lụt Switch với số lượng lớn các yêu cầu.
Ngập lụt MAC làm cho bộ nhớ giới hạn của Switch đầy lên bằng cách giả mạo nhiều địa chỉ MAC khác nhau và gửi đến Swith.
Trang 13CÁC PHƯƠNG THỨC TẤN CÔNG
2 Tấn công DHCP
Quá trình cấp phát IP từ máy chủ DHCP
Trang 16CÁC PHƯƠNG THỨC TẤN CÔNG
3 Tấn công đầu độc ARP
ARP là giao thức ánh xạ địa chỉ IP đến địa chỉ vật lý được nhận diện
Giao thức ARP sẽ quảng bá miền mạng của máy để tìm địa chỉ vật lý
Khi một máy cần một giao tiếp với một máy khác:
• Tìm trong bảng ARP của mình.
• Nếu địa chỉ MAC không được tìm thấy trong bảng, giao thức ARP sẽ quảng bá ra toàn miền mạng
• Tất cả các máy trong miền mạng sẽ so sánh địa chỉ IP với địa chỉ MAC của chúng.
• Nếu một trong các máy đó, xác định đó chính là địa chỉ của mình, nó sẽ gửi gói ARP hồi đáp và địa chỉ này sẽ được lưu trong bảng ARP và quá trình giao tiếp diễn ra.
Trang 17CÁC PHƯƠNG THỨC TẤN CÔNG
3 Tấn công đầu độc ARP
Cách thức làm việc của ARP
Trang 18CÁC PHƯƠNG THỨC TẤN CÔNG
3 Tấn công đầu độc ARP
Cách thức giả mạo ARP
Trang 19CÁC PHƯƠNG THỨC TẤN CÔNG
4 Tấn công giả mạo
Cách thức giả mạo MAC
Trang 20CÁC PHƯƠNG THỨC TẤN CÔNG
5 Tấn công DNS
Fake DNS
Trang 21CÁC PHƯƠNG THỨC TẤN CÔNG
5 Tấn công DNS
Trang 23CÁC PHƯƠNG THỨC TẤN CÔNG
5 Tấn công DNS
Trang 24PHƯƠNG PHÁP PHÁT HIỆN SNIFFING
1 Phương pháp dùng PING
Trang 25PHƯƠNG PHÁP PHÁT HIỆN SNIFFING
2 Phương pháp dùng ARP
Trang 27• Để phát hiện sniffing, phương pháp Source-Router sử dụng một kĩ thuật gọi
là loose-source router Loose-Source router chứa thông tin đường đi (danh sách các địa chỉ IP) mà gói tin phải đi qua để đến được đích
Trang 28PHƯƠNG PHÁP PHÁT HIỆN SNIFFING
4 Phương pháp dùng Source-Route
Trang 29PHƯƠNG PHÁP PHÁT HIỆN SNIFFING
5 Phương pháp giăng bẫy
• Tương tự như phương pháp sử dụng ARP nhưng nó được sử dụng trong những phạm vi mạng rộng lớn hơn (gần như là khắp nơi) Rất nhiều giao thức sử dụng các Password không được mã hoá trên đường truyền, các Hacker rất coi trọng những Password này
• Để thực hiện phương pháp chỉ cần, giả lập những Client sử dụng Service mà Password không được mã hoá như : POP, FTP, Telnet, IMAP Hoặc có thể cấu hình những User không có quyền hạn, hay thậm chí những User không tồn tại
Trang 30PHƯƠNG PHÁP PHÁT HIỆN SNIFFING
5 Phương pháp kiểm tra độ chậm trễ của gói tin
• Bằng cách gửi một lượng thông tin lớn đến máy tính mà bạn nghi là
đã bị cài đặt Sniffer Sẽ không có hiệu ứng gí đáng kể nếu máy tính
đó hoàn toàn không có gì Bạn ping đến máy tính mà bạn nghi ngờ
đã bị cài đặt Sniffer trước thời gian chịu tải và trong thời gian chị tải
Để quan sát sự khác nhau của 2 thời điểm này
• Từ đó có thể phát hiện ra trong hệ thống mạng có máy cài đặt chương trình Sniffing hay không
Trang 31Ngăn chặn Sniffing dữ liệu
Ngăn chặn Sniffing Password
Ngăn chặn Sniffing trên thiết bị phần cứng
Trang 32PHƯƠNG PHÁP NGĂN CHẶN SNIFFING
Các hệ thống có nguy cơ bị Sniffing:
Cable Modem
Trang 33PHƯƠNG PHÁP NGĂN CHẶN SNIFFING
Các giao thức có nguy cơ bị Sniffing:
Trang 34PHƯƠNG PHÁP NGĂN CHẶN SNIFFING
1 Ngăn chặn Sniffing dữ liệu:
Sử dụng các giao thức mã hoá chuẩn cho dữ liệu trên đường truyền:
SSL (Secure Socket Layer)
PGP(Pretty Good Privacy) và S/MIME(Secure/Multipurpose Internet Mail Extension)
OpenSSH
VPNs(Virtual Private Networks)
Trang 35PHƯƠNG PHÁP NGĂN CHẶN SNIFFING
1 Ngăn chặn Sniffing dữ liệu:
Một giao thức mã hoá được phát triển cho hầu hết các Webserver, cũng như các Web Browser thông dụng
SSL được sử dụng để mã hoá những thông tin nhạy cảm để gửi qua đường truyền như :
• Số thẻ tin dụng của khách hàng,
• Password và thông tin quan trọng
Trang 36PHƯƠNG PHÁP NGĂN CHẶN SNIFFING
1 Ngăn chặn Sniffing dữ liệu:
PGP có thể được sử dụng để chứng thực một thông điệp, mã hóa thông điệp, hoặc cả 2.
PGP cho phép những định dạng tổng quát như chứng thực, nén ZIP, mã hóa…
Phiên bản đầu tiên của PGP do Phil Zimmermann công bố vào năm 1991.
Các ứng dụng PGP bao gồm thư điện tử, chữ kí số, mật mã hóa ổ cứng, bảo mật tập tin thư mục, tập tin nén tự giải mã, xóa tập tin an toàn…
Các phiên bản mới nhất của PGP cho phép sử dụng
cả 2 tiêu chuẩn OpenPGP và S/MIME
Trang 37PHƯƠNG PHÁP NGĂN CHẶN SNIFFING
1 Ngăn chặn Sniffing dữ liệu:
Là một chuẩn Internet về dịnh dạng cho email
Hầu như mọi email trên Internet được truyền qua giao thức SMTP theo định dạng MIME
S/MIME đưa vào 2 phương pháp an ninh cho email: mã hóa email và chứng thực
Trang 38PHƯƠNG PHÁP NGĂN CHẶN SNIFFING
1 Ngăn chặn Sniffing dữ liệu:
Tạo ra một chữ kí số cho một email gửi đi để đảm bảo người nhận email tin rằng không có sự can thiệp và được đến từ người gửi
Mã hóa một email gửi đi để ngăn chặn bất cứ ai xem, thay đổi…nội dung của email trước khi đến với người nhận
Xác minh chữ kí số của một email đã ký đến với một quá trình liên quan đến một danh sách thu hồi chứng chỉ
Tự động giải mã một email gửi đến để người nhận có thể đọc được nội dung của email
Trao đổi chữ kí hoặc email đã được mã hóa với những người dung khác của S/MIME
Các tính năng của một Webmail client hỗ trợ S/MIME:
Trang 39PHƯƠNG PHÁP NGĂN CHẶN SNIFFING
1 Ngăn chặn Sniffing Password:
Giải pháp chứng thực an toàn (Authentication):
SMB/CIFS: Trong môi trường Windows/SAMBA bạn cần kích hoạt tính năng LANmanager Authencation
Kerberos: Một giải pháp chứng thực dữ liệu an toàn được sử dụng trên Unix cũng như Windows
Stanford SRP (Secure Remote Password): Khắc phục được nhược điểm không mã hoá Password khi truyền thông tin của
2 giao thức FTP và Telnet trên Unix:
Trang 40PHƯƠNG PHÁP NGĂN CHẶN SNIFFING
2 Ngăn chặn Sniffing Password:
Giải pháp chứng thực an toàn (Authentication):
SMB/CIFS: Trong môi trường Windows/SAMBA bạn cần kích hoạt tính năng LANmanager Authencation
Kerberos: Một giải pháp chứng thực dữ liệu an toàn được sử dụng trên Unix cũng như Windows
Stanford SRP (Secure Remote Password): Khắc phục được nhược điểm không mã hoá Password khi truyền thông tin của
2 giao thức FTP và Telnet trên Unix:
Trang 41PHƯƠNG PHÁP NGĂN CHẶN SNIFFING
2 Ngăn chặn Sniffing Password:
Trang 42PHƯƠNG PHÁP NGĂN CHẶN SNIFFING
3 Ngăn chặn Sniffing trên thiết bị phần cứng
Thay thế
Trang 43PHÒNG NGỪA SNIFFING
Cách thứ nhất: các chương trình thuộc dạng này ban đầu phải quét các địa chỉ IP trong mạng, khi đã có IP rồi thì hacker mới tiến hành sniffer! Do đó cách đầu tiên là vô hiệu hóa Netbios name nhằm ngăn cản sự dò tìm IP của các chương trình này.
Trang 44PHÒNG NGỪA SNIFFING
• Cách thứ hai: khóa cứng bảng ARP và chọn dạng ARP startic,
có thể làm việc này trên từng Client, hay có thể config trực tiếp trên Router! để tự bảo vệ mình thì có thể khóa cứng ARP trên máy để tránh bị sniffer
Trang 45PHÒNG NGỪA SNIFFING
• Cách thứ ba: Sử dụng XARP và các công cụ hỗ trợ khác
Trang 4646
Trang 4747