Sniffer – Phương Thức Hoạt động Các Kiểu Tấn Công Và Phòng Chống

Trang chủ » Chống Sniffer » Sniffer – Phương Thức Hoạt động Các Kiểu Tấn Công Và Phòng Chống

Có thể bạn quan tâm

Định nghĩa Sniffer

1. Khái niệm Sniffer

Khởi đầu Sniffer là tên một sản phẩm của Network Associates có tên là Sniffer Network Analyzer. Đơn giản bạn chỉ cần gõ vào từ khoá Sniffer trên bất cứ công cụ tìm kiếm nào, bạn sẽ có những thông tin về các Sniffer thông dụng hiện nay.

Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng các lưu lượng thông tin trên (trong một hệ thống mạng). Tương tự như là thiết bị cho phép nghe lén trên đường dây điện thoại. Chỉ khác nhau ở môi trường là các chương trình Sniffer thực hiện nghe lén trong môi trường mạng máy tính.

Tuy nhiên những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân (Binary). Bởi vậy để nghe lén và hiểu được những dữ liệu ở dạng nhị phân này, các chương trình Sniffer phải có tính năng được biết như là sự phân tích các giao thức (Protocol Analysis), cũng như tính năng giải mã (Decode) các dữ liệu ở dạng nhị phân sang dạng khác để hiểu được chúng. Trong một hệ thống mạng sử dụng những giao thức kết nối chung và đồng bộ. Bạn có thể sử dụng Sniffer ở bất cứ Host nào trong hệ thống mạng của bạn. Chế độ này được gọi là chế độ hỗn tạp(promiscuous mode).

Đối tượng Sniffing là

o Password (từ Email, Web, SMB, FTP, SQL hoặc Telnet)

o Các thông tin về thẻ tín dụng

o Văn bản của Email

o Các tập tin đang di động trên mạng (tập tin Email, FTP hoặc SMB)

2. Mục đích sử dụng

Sniffer thường được sử dụng vào 2 mục đích khác biệt nhau. Nó có thể là một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình. Cũng như theo hướng tiêu cực nó có thể là một chương trình được cài vài một hệ thống mạng máy tính với mục đích đánh hơi, nghe lén các thông tin trên đoạn mạng này…Dưới đây là một số tính năng của Sniffer được sử dụng theo cả hướng tích cực và tiêu cực :

Tự động chụp các tên người sử dụng (Username) và mật khẩu không được mã hoá (Clear Text Password). Tính năng này thường được các Hacker sử dụng để tấn công hệ thống của bạn.

Chuyển đổi dữ liệu trên đường truyền để những quản trị viên có thể đọc và hiểu được ý nghĩa của những dữ liệu đó.

 

Bằng cách nhìn vào lưu lượng của hệ thống cho phép các quản trị viên có thể phân tích những lỗi đang mắc phải trên hệ thống lưu lượng của mạng. Ví dụ như : Tại sao gói tin từ máy A không thể gửi được sang máy B… etc

Một số Sniffer tân tiến còn có thêm tính năng tự động phát hiện và cảnh báo các cuộc tấn công đang được thực hiện vào hệ thống mạng mà nó đang hoạt động (Intrusion Detecte Service).

Ghi lại thông tin về các gói dữ liệu, các phiên truyền…Tương tự như hộp đen của máy bay, giúp các quản trị viên có thể xem lại thông tin về các gói dữ liệu, các phiên truyền sau sự cố…Phục vụ cho công việc phân tích, khắc phục các sự cố trên hệ thống mạng.

3. Các giao thức có thể sử dụng Sniffing

− Telnet và Rlogin : ghi lại các thông tin như Password, usernames

− HTTP: Các dữ liệu gởi đi mà không mã hóa

− SMTP : Password và dữ liệu gởi đi không mã hóa

− NNTP : Password và dữ liệu gởi đi không mã hóa

− POP : Password và dữ liệu gởi đi không mã hóa

− FTP : Password và dữ liệu gởi đi không mã hóa

− IMAP : Password và dữ liệu gởi đi không mã hóa

II. Phương thức hoạt động Sniffer

Công nghệ Ethernet được xây dựng trên một nguyên lý chia sẻ. Theo một khái niệm này thì tất cả các máy tính trên một hệ thống mạng cục bộ đều có thể chia sẻ đường truyền của hệ thống mạng đó. Hiểu một cách khác tất cả các máy tính đó đều có khả năng nhìn thấy lưu lượng dữ liệu được truyền trên đường truyền chung đó. Như vậy phần cứng Ethernet được xây dựng với tính năng lọc và bỏ qua tất cả những dữ liệu không thuộc đường truyền chung với nó.

Nó thực hiện được điều này trên nguyên lý bỏ qua tất cả những Frame có địa chỉ MAC không hợp lệ đối với nó. Khi Sniffer được tắt tính năng lọc này và sử dụng chế độ hỗn tạp (promiscuous mode). Nó có thể nhìn thấy tất cả lưu lượng thông tin từ máy B đến máy C, hay bất cứ lưu lượng thông tin giữa bất kỳ máy nào trên hệ thống mạng. Miễn là chúng cùng nằm trên một hệ thống mạng.

1. Active

Là Sniffing qua Switch, nó rất khó thực hiện và dễ bị phát hiện. Attacker thực hiện loại tấn công này như sau:

o Attacker kết nối đến Switch bằng cách gởi địa chỉ MAC nặc danh

o Switch xem địa chỉ kết hợp với mỗi khung (frame)

o Máy tính trong LAN gởi dữ liệu đến cổng kết nối

2. Passive

Đây là loại Sniffing lấy dữ liệu chủ yếu qua Hub. Nó được gọi là Sniffing thụ động vì rất khó có thể phát hiện ra loại Sniffing này. Attacker sử dụng máy tính của mình kết nối đến Hub và bắt đầu Sniffing

Chia sẻ:

  • Twitter
  • Facebook
Thích Đang tải...

Từ khóa » Chống Sniffer