Sniffer Ngô Văn Công Scenario Dave làm việc phận IT ngân hàng đa quốc gia Sam vừa tốt nghiệp kỹ sư máy tính, nhận vào làm nhà băng quyền Dave, Sam biết trình nghe gói tin cách sử dụng vào mục đích xấu Sam muốn nghe mạng để điểm yếu cho Dave, Sam cần phải cài chương trình để thực thao tác trên, Làm Sam biết có chương trình phát nghe mạng khơng? Sam nghe từ xa khơng? Có thể đặt trình nghe máy Dave khơng? Hành động Sam có hợp pháp hay khơng? Nội dung  Định nghĩa  Mục đích sniffing  Passive Sniffing  Active Sniffing  Các công cụ sniffing khác  Giải pháp  Tổng kết Định nghĩa: sniffing  Là chương trình bắt thơng tin trao đổi hệ thống mạng  Sniffing dựa kỹ thuật “data interception”  Mục đích sniffing bắt thông tin  Password (e-mail, web, SMB, ftp, SQL, telnet)  Email text  Files in transfer (e-mail, ftp, SMB) Các giao thức có nguy bị sniffing  Telnet Rlogin:username password  HTTP:Dữ liệu gửi dạng “clear text”  SMTP:Password liệu gửi dạng “clear text”  POP:Password liệu gửi dạng “clear text”  FTP:Password liệu gửi dạng “clear text”  IMAP:Password liệu gửi dạng “clear text” Có dạng sniffing Passive Sniffing Được gọi “passive” khó phát “Passive sniffing”: nghe Hub Attacker đơn giản kết nối laptop vào Hub bắt đầu sniffing Active Sniffing Switch tìm kiếm đia MAC kết hợp với frame gửi liệu cho cổng kết nối Attacker cố gắng đánh lừa switch cách gửi địa MAC giả •Sniffing switch •Tương đối khó •Dễ bị phát Kỹ thuật active sniffing •MAC flooding •ARP spoofing ARP(Address Resolution Protocol) gi ARP giao thức tầng mạng dùng để chuyển đổi từ địa IP sang địa vật lý(MAC) Để có địa MAC, host quảng bá goi tin ARP tới mạng TCP/IP Host với địa IP giống yêu cầu trả lời với địa MAC kèm theo Công cụ:Netviewer –quét thiết bị mạng MAC flooding  Làm ngập lụt switch với nhiều “requests”  Vì nhớ switch hạn chế nên khơng kiểm sốt  Sáu sniffing dễ dàng thực  Cơng cụ  Macof  EtherFlood EtherFlood “MAC Duplicating” Attack  Tấn công “MAC duplicating” triển khai cách nghe mạng để lấy địa MAC máy client kết nối vào cổng switch, sử dụng lại địa  Bằng cách lắng nghe thông tin lưu thơng mạng, attacker có địa MAC hợp lệ  Attacker nhận thông tin gửi tới cho user có địa MAC  Kỹ thuật dùng mạng wireless với chế MAC filtering “MAC Duplicating” Attack Tools For Sniffing  Ethereal  Dsniff  Sniffit  Aldebaran  Hunt  NGSSniff  Ntop  pf  IPTraf  Etherape  Netfilter  Network Probe  Maa Tec Network Analyzer Ethereal  Ethereal phân tích giao thức mạng cho window hay Unix  Nó cho phép người dùng kiểm tra liệu từ "live network" hay từ tập tin liệu bắt lưu đĩa  Người dùng tương tác với liệu bắt được, xem thống kê, thơng tin chi tiết gói tin bắt Dsniff  Dsniff công cụ dùng cho việc kiểm toán(audit) mạng kiểm tra xâm nhập vào hệ thống  ARPSPOOF, DNSSPOOF, MACOF giúp dễ dàng can thiệp vào băng thơng mạng mà bình thường attacker không truy cập  SSHMITM WEBMITM giúp thực công "active man-in-the-middle" đối lập với SSH https IPTraf  IPTraf công cụ theo dõi mạng, can thiệp vào gói tin mạng đưa thông tin khác lưu lượng mạng  IPTraf dùng để theo dõi tải mạng IP, kiểu dịch vụ mạng dùng nhiều Tool: Snort  Snort hoạt động chế độ chính:nghe lén(sniffer), lưu nhật ký(packet logger), hệ thống phát xâm nhập(Instrusion Detection System)  Sniffer: đọc gói tin mạng hiển thị thành luồng liên tục  packet logger: lưu nhật ký gói tin đĩa  IDS: phân tích lưu thơng mạng theo luật người dùng định nghĩa trước Macof, MailSnarf, URLSnarf, WebSpy  Macof: làm tràn ngập(flood) hệ thống mạng cục với địa MAC ngẫu nhiên, làm cho số switch mở chế độ lặp, dễ dàng để nghe  Mailsnarf: bắt đưa kết dạng thông điệp mail  urlsnart: công cụ để giám sát lưu thông WEB  webspy: cho phép người dùng xem tất web mà nan nhân truy cập MAC changer  MAC changer công cụ thường dùng Linux, để thiết lập địa MAC cho giao tiếp mạng  Cho phép người dùng thiết lập địa MAC cách ngẫu nhiên, thiết lập địa MAC nhà cung cấp khác  Người dùng co thể thiết lập MAC cho giao tiếp không giây(wireless card)  Cung cấp lựa chọn nhà cung cấp MAC(> 6200) TCPDump, Network Monitor  TCPDump  Là công cụ sử dụng rộng rãi để phân tích chuẩn đốn Unix  Dùng để theo vết lỗi, phát công ping, theo dõi hoạt động mạng  Hoạt động tầng ứng dụng  Network Monitor  Là công cụ theo dõi mạng chạy window  Có thể bắt tất luồng liệu  Bắt luồng mạng chuyển sang định dạng đọc Một số giải pháp  Hạn chế truy cập vật lý vào thiết bị mạng để đảm bảo packet sniffer không cài đặt  Cách tốt để chống lại sniffer dùng mã hóa, khơng ngăn sniffer chạy, đảm bảo sniffer đọc khơng hiểu  ARP spoofing sử dụng để lắng nghe mạng chuyển mạch, attacker giả ARP gateway, điều ngăn cách thêm tĩnh địa MAC gateway vào bảng ARP (tt)  chuyển mạng sang dùng SSH  có nhiều cơng cụ dùng để phát xem mạng có sniffer hay không  ARP Watch  Promiscan  Antisniff  Prodetect Summary  Nghe mạng cho phép bắt thông tin sống(vital information) mạng, lắng nghe Hub hay switch  Bắt mật khẩu, email, liệu  ARP poisoning dùng để thay đổi chế độ hoạt động switch sang chế độ Hub  Ethereal, Dsniff, Sniffit, Aldebaran, Hunt, NGSSniff công cụ nghe phổ biến  Cách tốt để ngăn chặn nghe dùng mã hóa ... cập vật lý vào thiết bị mạng để đảm bảo packet sniffer không cài đặt  Cách tốt để chống lại sniffer dùng mã hóa, khơng ngăn sniffer chạy, đảm bảo sniffer đọc không hiểu  ARP spoofing sử dụng...  Giám sát cổng  tcp.port==4 43  ip.addr=192.168.1.10 && tcp.port=4 43  Lọc khác  ip.dst==10.0.0.1 && frame.pkt_len.400  ip.src==205.162.0.1 or ip.dst==205.1 53. 60.10 Theo vết luồng thông tin... Tool: Snort  Snort hoạt động chế độ chính:nghe lén (sniffer) , lưu nhật ký(packet logger), hệ thống phát xâm nhập(Instrusion Detection System)  Sniffer: đọc gói tin mạng hiển thị thành luồng liên