Đang tải... (xem toàn văn)
Tài liệu tham khảo KỸ THUẬT SNIFFING TRONG HỆ THỐNG MẠNG & CÁCH PHÒNG CHỐNG
Nông Xuân Sơn KỸ THUẬT SNIFFING TRONG HỆ THỐNG MẠNG & CÁCH PHÒNG CHỐNG Ngày 01 tháng 04 năm 2011 2 MỤC LỤC I. Giới thiệu chung về sniffing 03 1. Khái niệm 03 2. Mục đích sử dụng 03 3. Các giao thức dễ bị sniffing 03 4. Các tính năng của chương trình sniffer 03 5. Các điều kiện để có thể sniffing 03 6. Phân loại sniffing 03 II. Cách tấn công sniffing 04 1. Tìm hiểu nguyên lý sniffing qua kỹ thuật ARP Cache Poisoning 04 2. Kỹ thuật tấn công MAC flooding 05 3. Các bước tiến hành lấy password yahoo mail bằng công cụ Cain & Abel 06 III. Các phương pháp phòng chống sniffing 11 1. Tổng quan 11 2. Đối với một mạng nhỏ 12 3. Đối với một mạng lớn 12 IV. Kết luận 12 V. Tài liệu tham khảo 13 3 I . Giới thiệu chung về sniffing 1. Khái niệm : Sniffer là một chương trình hoặc thiết bị theo dõi, nghe lén thông tin trên hệ thống mạng sử dụng kỹ thuật chặn dữ liệu dựa trên những đặc điểm của cơ chế TCP/IP. 2. Mục đích sử dụng : - Là một kỹ thuật bảo mật, được phát triển nhằm giúp đỡ những nhà quản trị mạng khai thác mạng hiệu quả hơn và có thể kiểm tra các dữ liệu ra vào mạng, cũng như các dữ liệu chạy trong mạng. - Được các hacker sử dụng nhằm để nghe lén trên mạng nhằm lấy các thông tin, dữ liệu quan trọng và nhạy cảm như mật khẩu, email, các file truyền trên hệ thống mạng. 3. Các giao thức dễ bị sniffing : - Telnet, Rlogin : do các phím bấm chứa username và password. - HTML : do dữ liệu được gửi dưới dạng text. - SMTP, POP, FTP, IMAP : do password và dữ liệu gửi dưới dạng text. 4. Các tính năng của chương trình sniffer : - Bắt username và password dạng text không được mã hóa trong hệ thống mạng. - Theo dõi thông tin dữ liệu trên đường truyền, giám sát lưu lượng hệ thống từ đó có thể phân tích các lỗi đang có trên hệ thống lưu lượng mạng, phát hiện, cảnh báo sự tấn công vào hệ thống mạng. 5. Các điều kiện để có thể sniffing : - Sniffing có thể hoạt động trong môi trường mạng LAN, WLAN và WAN. - Sniffing các máy tính có cùng chung subnet mask. - Sniffing sử dụng một công cụ để bắt và phân tích gói tin. 6. Phân loại sniffing : Sniffing gồm có 2 loại : passive sniffing (sniffing bị động) và active sniffing(sniffing chủ động). 4 a, Passive sniffing : - Hoạt động trong môi trường không có các thiết bị chuyển mạch gói. Phổ biến hiện nay là các mạng sử dụng Hub hoặc các mạng không dây. - Do mạng không có thiết bị chuyển mạch gói nên các host phải broadcast gói tin đi trong mạng, từ đó có thể sniffing bắt các gói tin lại để xem. Khi card mạng được đặt ở chế độ Promiscuous mode thì nó có thể nhận các gói tin mà không bị ràng buộc kiểm tra địa chỉ đích đến. - Do các host tự broadcast gói tin nên passive sniffing rất khó bị phát hiện. - Chỉ cần một kết nối đơn giản vào mạng qua Hub là hacker có thể sử dụng máy tính để bắt đầu sniffing. b, Active sniffing : - Hoạt động trong môi trường có các thiết bị chuyển mạch gói, phổ biến là các mạng sử dụng Switch. - Chủ yếu hoạt động dựa trên cơ chế ARP – Address Resolution Protocol (chuyển đổi địa chỉ IP sang MAC) và RARP – Reserve Address Resolution Protocol (chuyển đổi địa chỉ MAC sang IP). Bằng cách sử dụng kỹ thuật ARP Cache Poisoning (đầu độc các gói tin ARP) hoặc MAC flooding (làm tràn bộ nhớ Switch). - Active sniffing thường khó thực hiện và dễ bị phát hiện, do phải gửi các gói tin nên sẽ chiếm băng thông mạng. II . Cách tấn công sniffing. 1. Tìm hiểu nguyên lý sniffing qua kỹ thuật ARP Cache Poisoning : - Như đã biết ở mô hình 7 lớp OSI, các máy tính và thiết bị trong một mạng liên lạc với nhau thông qua địa chỉ IP. Và switch có nhiệm vụ phiên dịch địa chỉ IP sang địa chỉ MAC và ngược lại. Quá trình phiên dịch được thực hiện thông qua giao thức của tầng Network là ARP (Address Resolution Protocol). - Khi máy tính A gởi dữ liệu cho máy tính B, thì nó sẽ gởi một request ARP đến switch mà nó kết nối. Ban đầu, switch sẽ gởi một gói tin ARP broadcast tới tất cả các cổng, khi máy B nhận được gói tin này nó sẽ trả về địa chỉ MAC của nó và switch sẽ lưu vào MAC Address Table và định tuyến được kết nối giữa máy A và máy B. Như vậy, bằng cách nào đó ta sẽ gởi một gói tin ARP với địa chỉ MAC giả tạo tới switch nhằm đánh lừa switch và tiến hành bắt các gói tin. 5 - Việc đầu độc bản tin ARP chính là lợi dụng bản tính không an toàn của giao thức ARP. Không giống như các giao thức khác, các thiết bị sử dụng giao thức ARP sẽ chấp nhận nâng cấp bất cứ lúc nào. Có nghĩa rằng bất cứ thiết bị nào có thể gửi gói ARP reply đến một máy tính khác và máy tính này sẽ cập nhật vào bảng ARP cache của nó ngay giá trị mới này. - Việc gửi một gói ARP reply khi không có request nào được tạo ra được gọi là việc gửi ARP “vu vơ”. Khi các ARP reply vu vơ này đến được các máy tính đã gửi request, máy tính request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để truyền thông, tuy nhiên thực chất họ lại đang truyền thông với một kẻ tấn công. - Các tool thực hiện sniffing : Cain & Abel , Ethereal , EtherPeek, EffeTechHTTP Sniffer, Switch Sniffer, .v.v. 2. Kỹ thuật tấn công MAC flooding : - Chức năng chính của switch là vận chuyển các frame lớp 2 qua lại giữa các collision domain (miền xung đột). Các collision domain này còn được gọi là các đoạn mạng LAN (LAN segment). Để có thể vận chuyển chính xác được gói tin đến đích, switch cần phải có một sơ đồ ánh xạ giữa địa chỉ MAC của các thiết bị vật lí gắn tương ứng với cổng nào của nó. Sơ đồ này được lưu lại trong switch và được gọi là bảng CAM (Content Address Memory). - Kiểu tấn công MAC flooding (làm tràn bảng CAM) dựa vào điểm yếu của thiết bị chuyển mạch: bảng CAM chỉ chứa được một số hữu hạn các ánh xạ và các ánh xạ này không phải tồn tại mãi mãi trong bảng CAM. Sau một khoảng thời gian nào đó, thường là 300s, nếu địa chỉ này không được dùng trong việc trao đổi thông tin thì nó sẽ bị gỡ bỏ khỏi bảng. - Khi bảng CAM được điền đầy, tất cả thông tin đến sẽ được gửi đến tất cả các cổng của nó trừ cổng nó nhận được. Lúc này chức năng của switch không khác gì chức năng của một hub. 6 - Trong hình trên, host C của kẻ tấn công gửi đi liên tục hàng loạt các bản tin có địa chỉ MAC nguồn là địa chỉ giả mạo (host X và host Y). Switch sẽ cập nhật địa chỉ của các host giả mạo này vào bảng CAM. Kết quả là khi host A gửi tin đến cho host B, địa chỉ của B không tồn tại trong bảng nên gói tin được switch gửi ra các cổng của nó và bản tin A chỉ gửi riêng cho B cũng sẽ được chuyển đến C. 3. Các bước tiến hành lấy password yahoo mail bằng công cụ Cain & Abel : - Giới thiệu về tool Cain & Abel : đây là công cụ bảo mật khá phổ biến của Oxid.it. Cain & Abel thực hiện khá nhiều thứ ngoài vấn đề giả mạo ARP cache, nó là một tool rất hữu dụng cần có trong kho công cụ của bạn. Việc cài đặt công cụ này khá đơn giản. - Giả sử máy hacker có địa chỉ IP là 192.168.1.100 và máy victim có địa chỉ IP là 192.168.1.101 - Bước 1: Khởi động chương trình Cain & Abel lên sẽ thấy giao diện như sau 7 - Bước 2 : Chuyển sang tab Sniffer -> chọn Configure -> chọn card mạng giao tiếp với hệ thống mạng để tiến hành sniffing -> chọn OK. - Bước 3 : Chọn Start sniffer. 8 - Bước 4 : Chọn Add to List (+) -> chọn All hosts in my subnet -> chọn OK. - Bước 5 : Chương trình liệt kê các máy tính có trong hệ thống mạng. 9 - Bước 6 : Chuyển sang tab ARP -> chọn Add to List (+) -> chọn địa chỉ Router để sniffing -> chọn các máy tính muốn sniffing -> chọn OK. - Bước 7 : Chọn Start ARP và quá trình sniffing bắt đầu, giờ đợi victim đăng nhập vào yahoo mail. 10 [...]... sniffing của tool 11 - Bước 9 : Chuyển sang tab Password -> chọn HTTP -> xem kết quả III Các phương pháp phòng chống sniffing 1 Tổng quan : - Thay thế thiết bị tập trung Hub bằng Switch là giải pháp làm tăng độ khó của sniffing và tăng khả năng phát hiện sniffing Phòng chống sniffing, nếu thực hiện tốt, cũng đồng nghĩa với khả năng giảm thiểu rủi ro bị sniffing ở mức thấp nhất 12 - Nếu để xảy ra sniffing. .. - Cách thức này chỉ áp dụng được trong môi trường mạng với quy mô nhỏ, nếu mạng lớn hơn là không thể vì chúng ta phải thêm vào ARP table bằng tay với số lượng quá nhiều 3 Đối với một mạng lớn : - Giới hạn mức độ và phạm vi broadcast bằng cách phân chia VLAN (Virtual Local Area Network) - Giới hạn khả năng bị cài đặt chương trình nghe lén bằng cách áp dụng chính sách quản lý cài đặt phần mềm cho hệ thống. .. bị sniffing ở mức thấp nhất 12 - Nếu để xảy ra sniffing rồi mới tìm cách phát hiện và chống thì rất khó thực hiện và xác xuất thành công rất thấp Nên sử dụng kết hợp các giải pháp phòng chống sniffing 2 Đối với một mạng nhỏ : - Ta có thể sử dụng địa chỉ IP tĩnh và ARP table tĩnh, khi đó, bạn sẽ liệt kê bằng tay IP nào đi với MAC nào Trong Windows có thể sử dụng câu lệnh ipconfig /all để xem IP và MAC,... nhất là ngăn chặn, phòng ngừa ngay từ đầu bằng cách xây dựng Chính sách bảo mật mạng (Network Security Policy) IV Kết luận : Sniffing là một hình thức nghe lén thông tin trên mạng nhằm khai thác hiệu quả hơn tài nguyên mạng hoặc được các hacker dùng để theo dõi thông tin bất hợp pháp 13 Sniffing đơn giản nhưng hiệu quả và thường khó phát hiện Để hạn chế sniffing các nhà quản trị thường dùng các chính... ra trong mạng Nhờ đó, nếu có hiện tượng tấn công bằng ARP Poisoning thì có thể giải quyết kịp thời - Mã hóa dữ liệu truyền dẫn bằng các cơ chế truyền thông dữ liệu an toàn SSL (Secure Sockets Layer), mạng riêng ảo VNP (Virtual Private Network) Nói cách khác là thay thế hoặc hạn chế sử dụng các giao thức truyền thông không mã hóa dữ liệu bằng giao thức mã hóa - Cách bảo vệ tốt nhất là ngăn chặn, phòng. .. hóa luồng thông tin Với người dùng nên sử dụng các phần mềm phát hiện sniffing trong mạng để tránh mất mát thông tin quan trọng V Tài liệu tham khảo Tài liệu được thực hiện dựa trên những kiến thức đã học trên lớp môn An ninh mạng và có sự tham khảo của các tài liệu sau : 1 Giáo trình CEH v6(Cetified Ethical Hacker) 2 Diễn đàn công nghệ http://ceh.vn/ 3 Diễn đàn hacking http://www.hvaonline.net/ 14