Sniffer
Trang 2Dave lam việc tại bộ phận TT trong một ngõn
hàng đa quốc gia Sam vừa tốt nghiệp ky
sư mỏy tớnh, được nhận vào làm trong
nhà bóng dưới quyờn của Dave, Sam biết về trỡnh nghe lộn gúi tin và những cỏch sử dụng vào mục đớch xấu của nú
Sam muốn nghe lộn mạng để chỉ ra những
điềm yếu cho Dave, Sam cần phải cài chương trỡnh gỡ để thực hiện thao tỏc
trờn,
Làm sao Sam biết được là cú chương trỡnh phỏt hiện nghe lộn trong mạng khụng?
Sam cú thể nghe lộn từ xa khụng?
Trang 4
Dinh nghia: sniffing
Là chương trỡnh bắt
cac thụng tin đang
trao doi trong he thong mang Sniffing dựa trờn kỹ thuat “data interception” Mục đớch của sniffing
la bat cac thong tin
Trang 5
Cỏc giao thức cú nguy co’ bi sniffing
Trang 7Attacker
Được gọi là “passive” vỡ rất khú phỏt hiện
“Passive sniffing’: nghe len tai Hub
Attacker đơn giản kết nụi laptop vào Hub và bắt
Trang 8Switch ô Attacker
Switch tim kiộm dia chi MAC kột hợp với mỗi frame và chỉ gửi dữ liệu cho cụng kết nỗi
Attacker sẽ cụ gắng đỏnh lừa
Trang 9ARP là một giao thức tầng mạng dựng để chuyờn đổi từ địa chỉ IP
sang địa chỉ vật lý(MAC)
Đề cú được địa chỉ MAC, host sẽ quảng bỏ goi tin ARP tới mạng
TCP/IP
Host với địa chỉ IP giỗng như trong yờu cõu sẽ trả lời với địa chỉ
Trang 11TS The Wireshark Network Analyzer ˆ a I7
Bk Edt Mew Œo Capture Analyze Statistics bel Wireshark la bộ phõn B @ @ à ữỉ x â@ R3 â ằ â # # BR QQQMN BMRX tớch cỏc giao thức mạng cho Unix va Window Wetter: LV | # opteesen | wckar | Ơ Aoply| 119 60 33,0000) 204,2142.109,14 207 183, 142.87 Sage Ack ô2006 Wire) 600M
117 41 33999 207,189.142,97 204 2 103 1â To 1019 ằ 22 (ex) Sages Ackhoms (23225
118 M233,.5000 2M,752.103,79 25.25, 25.25 BOỉTIP [Pecket size lirdted diring capture]
119 240 54.2104% 00000232,0O60973b071 009220O,1ffff11{11fff NHI [Packet size Llirdted duri ture)
121 EO 54,093⁄XVĐ 06;00:46;06;5d:6 D1:83:cZ; 03:09; DO srr Conf, Foot = @5535/08:0O;4e:08;5d;%5 Cos† PO "4,71 XW 707.,143.142,37 Z04, 2, 1f12 2 Request: S&T 123 6634.71000 204,252.102,2 207 183, 142.87 mop R@as@âfda; +ể( 2 3447 ' we en ca View’ VY ta lỏ“ A7 ~waA Sey 18" 4% we Caw wees (TY * 4 | LEE
- aT ỡ b ra 122 (#â hytee on wire, OD bytes captured! vn _ 0
Cho phep ngươi dựng b Ethernet {l, 9c: @9;c0:4f:c?;eb:c@ |D0O:c@:4f1:c?:eb:c0l, Det: 00:09;:0c;39:00:10 (09:00:ểc : %6; 09: 19|
the re: “py “lh 1 P Jnternet PrọtocoL, c; 297.163,142.67 |297.13 142.67], Ost: 24,22, 102.2 (a, 2, 102.2)
Long dữ lSS từ live net + Traamassion Control Protecel, Sre Port: 22567 (22587), Ost Port: 110 1110), Seq: 20, Ack: 134, Len: 6 ` \ 5 A Source port: 22587 (22587)
hay la từ file tren đĩa Destination port: 110 (110)
Cee Lea) WOE Sh MCD a Ml le
Íl#2teL smgư,nv0 thai ( 33 troletave ooyuenve runber >)
Acknowledgunant murber: 16 (relative ack ư#sr | Header Length; 20 bytes
b Plage: GOL (Pe, and) re
0000 OD 00 Ọc 36:00:19 00.60 Af CF eb CO OB 00 02 6 0 E, ee „ R R UOl3 GD 2t 75 02 đ3 02 4005 24 bạ cÍ b7 9e 57 cc ẫc et BM
Người dựng cú thờ duyệt [xxx oo
qua aed ol TUE il tong ance number itcp.seql 4 bytes |B: 3632 D) 632 M10
hợp, hay chỉ tiết cho mỗi
Trang 12Loc trong wireshark Loc giao thuc = arp,http,tcp,udp,dns Loc dia chi IP " jip.addr==10.0.0.4 loc nhiộu dia chi IP = jp.addr==10.0.0.4 or Ăip.addr==10.0.0.5 Giỏm sỏt cổng nào đú “= tcp.port==443 = ip.addr=192.168.1.10 && tcp.port=443 Lọc khỏc = jp.dst==10.0.0.1 && frame.pkt_len.400 = jp.src==205.162.0.1 or ip.dst==205.153.60.10
frets name Relator Xe (set 2 byte:!
08 Change Oh ir sper + Chenge Ophea: Stet Message (9gU& 4 + *J 6 (resent kiằ xỏ se setae Alsr! Ísser (đt veneer) ~ ưu 7.1 we et Period - (20/6 ( (v1 S49°%60+ eet t- h4 m—ỊD& 7H 2Ê 29 {C 9 sj tổ e8“ rẻ:som 4đteC (0927217 6t Yđ(7aQ2 22:r21Ê > L5 P4 WỊrTH ÁG i8 C9 29 tỏ !'as4( S4ằ - F44945 g9 ?rrí cv xý (*‹vVÂ* te protest mecca ‹ ax ~ me =< R ee -Lđằg!: 14x17: đực +4 recằ@I ad ` r2 t M wilh 25 2 Oe oe vỏ heise vere - K^s4(ý: 23994419 66 x4 are he - aren WT R_ALS_128_One_: Như lHiic cư y về se - J/ dưvý tước (vs ỏc Mekl of rede T13 F3^ WIH AE? 79 CO 2% ly lvl2ỏc r6 ytớc cư ơi tự ờe (3x42 đaiex2 se DH Ds rm aes coc = ~ơ+% lỏ hư4thc cpter sates length - Crier Subos Long 2 mọtt s? x L5 P34 WỊTH 6E 79%_C9 52% of hay it xờu co s05 - Cipher Stee Qiet che ôtere + with Aes oe ~~ sbliecbishabictinaaia’ ler aang ““m——————-——-—
xớ hưnlh‡c co Cczớc Gan Cenc set-ếằ se ) m %.- + a hờằ4/xiúo 90929 97 - S4690f 1) (J0 tệ S%V seesen, alow tt k4 AMGL1A (3% CC 2+
tine e.x ape econ hee x sưmabÊ XKI1^ 16 c8 heeded corp _petock - Corprecdean Methods |Lat of compres "Pa ?2%/(L x tol hanebetebe comm preted - Comprenetar Meth werewe>y Met) na ~ (Lư i6 xí lysli sec msxvrvesta mag) Cy tewore Length doret? o& bebo ô m " = -
n?Š DHE_PGA_WITH CAMELLIA 18 (Fe
sa ambche Crlorcen type - ly pe Otete extorcey) toe) Lí BỊ vớ AT CAMELLIA 120 Cie
0d Nandctabe eetencen an: Leng Lengm of a tel etecoet)
J CÀ A“O% MAI 9U
LỆ lu sÂ(Sờm màửsvod, date - Cate tebe feo des)
_ Min: (CíÀ (AC 2/4 170 TẢ wh eee cortices rth - Ce iictes Legh dere & coed TUCO Oot VI 7E1_Cm- -
pỏ haằ4cằsee coutitcater - Cai tắc bat | Ll# số cotticatec) = _
Trang 13Theo vết luụng thụng tin trong wireshark
Wireshark tap hop tat ca goi tin TCP va
hiển thị dưới định dạng dạng văn bản rất
dộ doc
Dộ dang lady ra username && password ttr
giao thuc khong an toan nhu telnet hay ftp Command:chon mot goi tin trong muc
summary window, sau do chon Analyze-
Trang 14Stream Contert SUPA LUE /upno/service/Layerstorwarding HITP/1.2 # ¿22T? #2v*e¿trÊ Callback: chttp://192.168.0.2:50C0/notitys Timeout: Second-1800 Host: 192.16Â.0.1 Contert-Length: â Pragna: no-cache HTTP/1.0 200 DK Connection: close Server: UPnP/1.0 UPnP-Device-Host/1.0 Timeout: Second-1806 S1D: uuid:cf [2] seve 3s Clprit Entire conversabon (368 bytes)
User-Agent: Mozilla/4.0 (corpatible; UPnP/1.03 Windows NT/S.1)
@ A451] â EBCDIC â Hex Durp â C Arrays â Row
X Close
Trang 15
ARP Poisoning
ARP chuyộn dia chi IP thanh dia chi
MAC của card mạng gửi dữ liệu
Gúi tin ARP cú thể bị già mạo đề dữ liệu
được gưi về cho mày của attacker
Attacker co thộ khai thac ARP Poisonin
đe can thiệp vào luong Iuu thụng giữa may tinh trong mang
MAC flooding mot bang ARP cua switch co the giup attacker Jam qua tai switch va sau do attacker co the dung cac
chương trinh nghe lờn mạng tĩong khi
Trang 16
Man in the Middle
Hacker mu6n lang nghe cỏc luụng thụng
tin giữa mỏy nạn nhõn, 192.168.0.12 và
Trang 20ARP Poisoning
Step 2
Luụng thụng tin của mỏy nạn
nhõn được chuyển qua mỏy Attacker
của attacker
Step 1
Attacker tự nhận địa chỉ IP của
minh la 192.168.0.12 va dia chi
Trang 21
Giai phap
Hệ thống mạng nhỏ
= Sử dụng dia chi IP tinh va bang ARP tinh co thờ ngăn cản hacker thờm cỏc mục mới vào trong bảng ARP của mạng
Hệ thống mạng lớn
= Sw dung thuộc tinh "Port Security" cua cac
switch trong mang
“ sử dụng Arpwatch đề theo dừi hoạt động của
Mang
Trang 22MAC flooding Làm ngập lụt switch với rất nhiều “requests” VI bộ nhớ switch han chế nờn sẽ khụng
kiểm soỏt được
Sau đú thi sniffing co the dộ dàng thực hiện Cụng cụ
“ Macof
Trang 23The effect on some switches is
EtherFlood floods a switched that they start sending all
network with Ethernet frames with random hardware traffic out on all ports so that F = O°
addresses SEN the attacker is able to sniff all
traffic on sub-network
Ur\Documente and SettingeWidminicstrator.JVINDOWE \DecktopNotherf Lood>ethert lood ktherFlood 1.1 fc) 2042, Aeyne Videtron Carne videtromUnteecurity.nud
— http: //ntcecurity.nu’too lbox/etherf lood/ Inctalled network adapters:
1 Intel 2114@-Based PCI Fast Ethernet Adapter (Generic? Select an adapter number: 1
Flooding the network vith vandon Ethernet addresses - -
Trang 24
“MAC Duplicating” Attack
Tan cong “MAC
duplicating” dudc triển khai bang cỏch nghe lộn mạng
để lấy được địa chỉ MAC
của mỏy client đang kết
nối vào cổng switch, và sử
dụng lại những địa chỉ này
Bằng cach lang nghe thụng
tin lưu thụng trong mang,
attacker cú được địa chỉ MAC hợp lệ
Attacker sẽ nhận những thụng tin gửi tới cho user
cú địa chỉ MAC đú
Kỹ thuật này dựng trong mạng wireless với cơ chế
Trang 25“MAC Duplicating” Attack My MAC address is A:B:C:D:E
Switch Rule: Allow access to
Trang 27Ethereal là bộ phõn tớch giao thức mạng cho window hay Unix Nú cho phộp người
dựng kiểm tra dữ liệu từ
"live network" hay tu
tập tin dữ liệu đó bat
lưu trờn đĩa
Người dựng cú thể
tương tỏc với dữ liệu đó
bắt được, xem thống
kờ, và thụng tin chỉ tiết của mỗi gúi tin bắt oi File Edit Capture No.) Time Display Tools Source 10.0 f 2 Destination [IRINIR: !ff:ff:ff ARP The Ethereal Network Analyzer Protocol | Info V2 0ETATTR Call XI0 0xee3c53d6
2.000801 00:40:35:42:2f;3e FÍ14 1z Who has 10.0.0.2? Tell 10.0.0 30.000955 00:00:21:20:a0:05 00:40: 95:42: 2: 9e ARP 10.0.0.2 is at 00:00:21:20:a0:0 4 0.001509 10.0.0.5 10.0.0.2 NFS V2 GETATTR Reply XID Oxee9c59d6 5 0.64666? 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxef9c59d6 6 0.647631 = 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxef9c59d6 70.650313 = 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf09Â59d6 8 0.651290 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxf09c59d6 9 0.651530 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf19c59d6 10 0.652470 = 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxf19c59d6 110.6852718 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf29Â59d6 12.0.653655 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxf29c59d6 13 0.653883 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf39Â59d6 14 0.65478? 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxf39c59d6 15 0.655023 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf49c59d6 16 0.655941 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxf49c59d6 17658120 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf59c59d6
mM J ~
Ethernet II Internet Protocol
H Frame 1 (186 on wire, 186 captured)
H User Datagram Protocol H Remote Procedure Call
Trang 28Dsniff là bộ cỏc cụng cụ dựng cho việc kiểm toỏn(audit) mạng và kiểm tra sự xõm nhập vào hệ thống ARPSPOOF, DNSSPOOF, và
Trang 29IPTraf [PTraf là cụng cụ theo dừi mạng, nú can thiệp VaàO Cỏc gúi tin mm trong mạng và đưa ra cỏc thụng tin khỏc nhau về lưu lượng mạng IPTraf cú thể được
dựng để theo dừi tải trong mang IP, cỏc
kiểu dịch vụ mạng được dựng nhiều
Trang 30Tool: Snort Snort hoạt động ở 3 che do chinh:nghe | len(sniffer), lưu nhật, ky(packet logger), hệ thụng phat hiện xõm nhap(Instrusion Detection System)
Sniffer: doc cac ggi tin trong mang va hien thi no thanh cac luong
lien tuc
packet logger: luu nhat ky cỏc goi tin tren dia IDS: phần tớch lưu „ thụng mạng theo cỏc luật người dụng định nghĩa trước IDScenter 1.1 RC2 @ Start Snort 5] View alerts ớ* Reset alarm | is Test settings I General vị Main configuration đ Snort 1.9/1.8 â Snort 1.7 [~ Snort service mo Reload *; Apply xị 6 Snort executable file C:\IDS\snort.exe de |
Vv Show Snort console Autostart options
Minimized Snort window | Start IDScenter with Windows
I Don't restart Snort, if it is killed J Start Snort when IDScenter is started Process priority (* Normal ( Hinh C Realtime Log folder Set a logging directory and standard log file C:\Snort\log\alert.ids —ee | =Loq viewer
(* Use internal log viewer
(* Standard log file ( XML log file ( Explorer URL (HTML file, ACID, SnortSnarf) ( External viewer/editor for logfiles
Trang 31Macof, MailSnarf, URLSnarf, WebSpy
(HA Konsole - root@localhost:~ - Konsole 0 st -[=[BllXi |
| rie Sessions Settings Help 4412844(0) win 512 :85:61:21:52:39 23:dizdc:26:6aid8 0.0.0.0.57674d > 0.0.0.0.53397; S 1300147483; 1300147483(0> win 512 d;24;3f ;2a;95;3f_ a6;e7;34;17;e1;e6 0.,0,0,0,5660 > 0,0,0,0,44476; S 1924679314;1 24679314(0) win 512 ¿95;:7e;1:ae‡:f8 12;fa;9b;69;ad;d2 0,0,0.,0,54690 > 0,0,0,0,18370; S 6915763103691 76310(0) win 512 6:be369:73:7dibe aOraf:95:75:0:a9 0,0,0,.0,50437 > 0.0.0.0,.4d3058: S 101860445931 186044530) win 512 a;68;e5:Se;3e;9/ eb;15;49:63;fa;c5 0.,0,0,0,49891 > 0,0,0.0,543322; S 577228608;9 7228606(0) uin 512 7;40;75;:7c;30;88 8d;:c9:4f ;2b;2a;aO 0,0,0,0,50485 > 0,0,0,0,45185; 5 265027417;2 5027417(0) uớn 512 f;85;16 ;17;b4‡cQ Ge:d:73:6d:9b:d1 0,0,0,.0.55655 > 0.0.0,.0,11963: S 210081709132 1008170910) win 512 e;đ1:4c;2d;1a:b1l e6;f4;20;24:6f;6d 0,0,0,0.12666 > 0,0,0,0,47609; S 2106232290;2 108239290{0) win 512 2e;27:e9;e:4f;e8 e4;c;6f;1e:4;2h 0,0,0,0,29287 > 0,0,0,0,19999; S 1952772224;193 P772224(0) win 512 Hasdd3a837c319:53 be:be:82:3:64:55 0,0,0,0,.5933 > 0.0.0.0.60955: S 1590426598;15 30426598 (0) win 512 đf;fb;25:34:d:42 b7:d9;:8b;59:ec:48 0,0,0,0,40979 > 0,0,0,0,59414;: S 562685018:56 2885018(9) win 512 E 1 Dô.|Jlé‹ôsô Macof: làm tràn | ngap(flood) he thong mạng cục bộ với cỏc địa chi MAC ngõu - nhiờn, làm cho một số switch khong the mg ở che do lap, do do de
dang de nghe len
Mailsnarf: bat va dua ket qua ra dudi dang
cỏc thụng điệp mail:
urlsnart: cụng cụ đề
giam sat lưu thụng
WEB
webspy: cho phộp _ người dụng xem tat ca
Trang 32
MAC changer
MAC changer là cụng cụ thường dựng
trong Linux, để thiết lập địa chỉ MAC cho 1
giao tiếp mạng
Cho phộp người dựng thiết lập địa chỉ MAC một cỏch ngõu nhiờn, thiết lập địa chỉ MAC
của nhà cung cấp khỏc
Người dựng co thể thiết lập MAC cho giao
tiếp khụng giay(wireless card)
Cung cấp một lựa chọn cỏc nhà cung cấp
Trang 33TCPDump, Network Monitor
TCPDump
“ Là một cụng cụ được sử dụng rộng rói đề phõn tớch
và chuõn đoỏn trờn nộn Unix
= Dung dộ theo vết lỗi, phỏt hiện tõn cụng ping, va theo
dừi cỏc hoạt động của mạng
“ Hoạt động ở tõng ứng dụng Network Monitor
= La c6ộng cụ theo dừi mạng chạy trờn nờn window “ Cú thờ bắt tất cả cỏc luồng dữ liệu
" Bat cac luụng trong mạng và chuyền nú sang định
Trang 34
Một số giải phỏp
Hạn chế truy cap vat ly vào thiết bị mạng
để đảm bảo packet sniffer khụng được cài
đặt
Cỏch tốt nhất để chống lại sniffer là dựng
mó húa, nú khụng ngàn được cỏc sniffer
chạy, nhưng nú đảm bảo là sniffer đọc
khụng hiểu được
ARP spoofing được sử dụng để lắng nghe mạng chuyển mạch, vỡ vậy attacker sẽ giả ARP của gateway, điều này cú thể ngăn
được bằng cỏch thờm tĩnh địa chỉ MAC của
Trang 35
chuyộn mang sang dung SSH
cú rất nhiều cụng cụ dựng để phỏt hiện
xem trong mang co sniffer hay khong
" ARP Watch
Trang 36
Nghe lộn mạng cho phộp bắt cỏc thụng tin
ng độ VILal information) trong mang, no co a
the lang nghe trộn Hub hay switch
Bat mật khẩu, email, dữ liệu
ARP poisoning cú thể dựng để thay đổi chế
do hoat dong cua switch sang che do Hub Ethereal, Dsniff, Sniffit, Aldebaran, Hunt,
NGSSniff là một trong những cụng cụ
nghe lộn rất phổ biến
Cỏch tốt nhất để ngăn chặn nghe lộn là