1. Trang chủ
  2. » Công Nghệ Thông Tin

lecture 3 sniffer tmp

36 365 0
Tài liệu được quét OCR, nội dung có thể không chính xác

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 36
Dung lượng 1,15 MB

Nội dung

Trang 1

Sniffer

Trang 2

Dave lam việc tại bộ phận TT trong một ngõn

hàng đa quốc gia Sam vừa tốt nghiệp ky

sư mỏy tớnh, được nhận vào làm trong

nhà bóng dưới quyờn của Dave, Sam biết về trỡnh nghe lộn gúi tin và những cỏch sử dụng vào mục đớch xấu của nú

Sam muốn nghe lộn mạng để chỉ ra những

điềm yếu cho Dave, Sam cần phải cài chương trỡnh gỡ để thực hiện thao tỏc

trờn,

Làm sao Sam biết được là cú chương trỡnh phỏt hiện nghe lộn trong mạng khụng?

Sam cú thể nghe lộn từ xa khụng?

Trang 4

Dinh nghia: sniffing

Là chương trỡnh bắt

cac thụng tin đang

trao doi trong he thong mang Sniffing dựa trờn kỹ thuat “data interception” Mục đớch của sniffing

la bat cac thong tin

Trang 5

Cỏc giao thức cú nguy co’ bi sniffing

Trang 7

Attacker

Được gọi là “passive” vỡ rất khú phỏt hiện

“Passive sniffing’: nghe len tai Hub

Attacker đơn giản kết nụi laptop vào Hub và bắt

Trang 8

Switch ô Attacker

Switch tim kiộm dia chi MAC kột hợp với mỗi frame và chỉ gửi dữ liệu cho cụng kết nỗi

Attacker sẽ cụ gắng đỏnh lừa

Trang 9

ARP là một giao thức tầng mạng dựng để chuyờn đổi từ địa chỉ IP

sang địa chỉ vật lý(MAC)

Đề cú được địa chỉ MAC, host sẽ quảng bỏ goi tin ARP tới mạng

TCP/IP

Host với địa chỉ IP giỗng như trong yờu cõu sẽ trả lời với địa chỉ

Trang 11

TS The Wireshark Network Analyzer ˆ a I7

Bk Edt Mew Œo Capture Analyze Statistics bel Wireshark la bộ phõn B @ @ à ữỉ x â@ R3 â ằ â # # BR QQQMN BMRX tớch cỏc giao thức mạng cho Unix va Window Wetter: LV | # opteesen | wckar | Ơ Aoply| 119 60 33,0000) 204,2142.109,14 207 183, 142.87 Sage Ack ô2006 Wire) 600M

117 41 33999 207,189.142,97 204 2 103 1â To 1019 ằ 22 (ex) Sages Ackhoms (23225

118 M233,.5000 2M,752.103,79 25.25, 25.25 BOỉTIP [Pecket size lirdted diring capture]

119 240 54.2104% 00000232,0O60973b071 009220O,1ffff11{11fff NHI [Packet size Llirdted duri ture)

121 EO 54,093⁄XVĐ 06;00:46;06;5d:6 D1:83:cZ; 03:09; DO srr Conf, Foot = @5535/08:0O;4e:08;5d;%5 Cos† PO "4,71 XW 707.,143.142,37 Z04, 2, 1f12 2 Request: S&T 123 6634.71000 204,252.102,2 207 183, 142.87 mop R@as@âfda; +ể( 2 3447 ' we en ca View’ VY ta lỏ“ A7 ~waA Sey 18" 4% we Caw wees (TY * 4 | LEE

- aT ỡ b ra 122 (#â hytee on wire, OD bytes captured! vn _ 0

Cho phep ngươi dựng b Ethernet {l, 9c: @9;c0:4f:c?;eb:c@ |D0O:c@:4f1:c?:eb:c0l, Det: 00:09;:0c;39:00:10 (09:00:ểc : %6; 09: 19|

the re: “py “lh 1 P Jnternet PrọtocoL, c; 297.163,142.67 |297.13 142.67], Ost: 24,22, 102.2 (a, 2, 102.2)

Long dữ lSS từ live net + Traamassion Control Protecel, Sre Port: 22567 (22587), Ost Port: 110 1110), Seq: 20, Ack: 134, Len: 6 ` \ 5 A Source port: 22587 (22587)

hay la từ file tren đĩa Destination port: 110 (110)

Cee Lea) WOE Sh MCD a Ml le

Íl#2teL smgư,nv0 thai ( 33 troletave ooyuenve runber >)

Acknowledgunant murber: 16 (relative ack ư#sr | Header Length; 20 bytes

b Plage: GOL (Pe, and) re

0000 OD 00 Ọc 36:00:19 00.60 Af CF eb CO OB 00 02 6 0 E, ee „ R R UOl3 GD 2t 75 02 đ3 02 4005 24 bạ cÍ b7 9e 57 cc ẫc et BM

Người dựng cú thờ duyệt [xxx oo

qua aed ol TUE il tong ance number itcp.seql 4 bytes |B: 3632 D) 632 M10

hợp, hay chỉ tiết cho mỗi

Trang 12

Loc trong wireshark Loc giao thuc = arp,http,tcp,udp,dns Loc dia chi IP " jip.addr==10.0.0.4 loc nhiộu dia chi IP = jp.addr==10.0.0.4 or Ăip.addr==10.0.0.5 Giỏm sỏt cổng nào đú “= tcp.port==443 = ip.addr=192.168.1.10 && tcp.port=443 Lọc khỏc = jp.dst==10.0.0.1 && frame.pkt_len.400 = jp.src==205.162.0.1 or ip.dst==205.153.60.10

frets name Relator Xe (set 2 byte:!

08 Change Oh ir sper + Chenge Ophea: Stet Message (9gU& 4 + *J 6 (resent kiằ xỏ se setae Alsr! Ísser (đt veneer) ~ ưu 7.1 we et Period - (20/6 ( (v1 S49°%60+ eet t- h4 m—ỊD& 7H 2Ê 29 {C 9 sj tổ e8“ rẻ:som 4đteC (0927217 6t Yđ(7aQ2 22:r21Ê > L5 P4 WỊrTH ÁG i8 C9 29 tỏ !'as4( S4ằ - F44945 g9 ?rrí cv xý (*‹vVÂ* te protest mecca ‹ ax ~ me =< R ee -Lđằg!: 14x17: đực +4 recằ@I ad ` r2 t M wilh 25 2 Oe oe vỏ heise vere - K^s4(ý: 23994419 66 x4 are he - aren WT R_ALS_128_One_: Như lHiic cư y về se - J/ dưvý tước (vs ỏc Mekl of rede T13 F3^ WIH AE? 79 CO 2% ly lvl2ỏc r6 ytớc cư ơi tự ờe (3x42 đaiex2 se DH Ds rm aes coc = ~ơ+% lỏ hư4thc cpter sates length - Crier Subos Long 2 mọtt s? x L5 P34 WỊTH 6E 79%_C9 52% of hay it xờu co s05 - Cipher Stee Qiet che ôtere + with Aes oe ~~ sbliecbishabictinaaia’ ler aang ““m——————-——-—

xớ hưnlh‡c co Cczớc Gan Cenc set-ếằ se ) m %.- + a hờằ4/xiúo 90929 97 - S4690f 1) (J0 tệ S%V seesen, alow tt k4 AMGL1A (3% CC 2+

tine e.x ape econ hee x sưmabÊ XKI1^ 16 c8 heeded corp _petock - Corprecdean Methods |Lat of compres "Pa ?2%/(L x tol hanebetebe comm preted - Comprenetar Meth werewe>y Met) na ~ (Lư i6 xí lysli sec msxvrvesta mag) Cy tewore Length doret? o& bebo ô m " = -

n?Š DHE_PGA_WITH CAMELLIA 18 (Fe

sa ambche Crlorcen type - ly pe Otete extorcey) toe) Lí BỊ vớ AT CAMELLIA 120 Cie

0d Nandctabe eetencen an: Leng Lengm of a tel etecoet)

J CÀ A“O% MAI 9U

LỆ lu sÂ(Sờm màửsvod, date - Cate tebe feo des)

_ Min: (CíÀ (AC 2/4 170 TẢ wh eee cortices rth - Ce iictes Legh dere & coed TUCO Oot VI 7E1_Cm- -

pỏ haằ4cằsee coutitcater - Cai tắc bat | Ll# số cotticatec) = _

Trang 13

Theo vết luụng thụng tin trong wireshark

Wireshark tap hop tat ca goi tin TCP va

hiển thị dưới định dạng dạng văn bản rất

dộ doc

Dộ dang lady ra username && password ttr

giao thuc khong an toan nhu telnet hay ftp Command:chon mot goi tin trong muc

summary window, sau do chon Analyze-

Trang 14

Stream Contert SUPA LUE /upno/service/Layerstorwarding HITP/1.2 # ¿22T? #2v*e¿trÊ Callback: chttp://192.168.0.2:50C0/notitys Timeout: Second-1800 Host: 192.16Â.0.1 Contert-Length: â Pragna: no-cache HTTP/1.0 200 DK Connection: close Server: UPnP/1.0 UPnP-Device-Host/1.0 Timeout: Second-1806 S1D: uuid:cf [2] seve 3s Clprit Entire conversabon (368 bytes)

User-Agent: Mozilla/4.0 (corpatible; UPnP/1.03 Windows NT/S.1)

@ A451] â EBCDIC â Hex Durp â C Arrays â Row

X Close

Trang 15

ARP Poisoning

ARP chuyộn dia chi IP thanh dia chi

MAC của card mạng gửi dữ liệu

Gúi tin ARP cú thể bị già mạo đề dữ liệu

được gưi về cho mày của attacker

Attacker co thộ khai thac ARP Poisonin

đe can thiệp vào luong Iuu thụng giữa may tinh trong mang

MAC flooding mot bang ARP cua switch co the giup attacker Jam qua tai switch va sau do attacker co the dung cac

chương trinh nghe lờn mạng tĩong khi

Trang 16

Man in the Middle

Hacker mu6n lang nghe cỏc luụng thụng

tin giữa mỏy nạn nhõn, 192.168.0.12 và

Trang 20

ARP Poisoning

Step 2

Luụng thụng tin của mỏy nạn

nhõn được chuyển qua mỏy Attacker

của attacker

Step 1

Attacker tự nhận địa chỉ IP của

minh la 192.168.0.12 va dia chi

Trang 21

Giai phap

Hệ thống mạng nhỏ

= Sử dụng dia chi IP tinh va bang ARP tinh co thờ ngăn cản hacker thờm cỏc mục mới vào trong bảng ARP của mạng

Hệ thống mạng lớn

= Sw dung thuộc tinh "Port Security" cua cac

switch trong mang

“ sử dụng Arpwatch đề theo dừi hoạt động của

Mang

Trang 22

MAC flooding Làm ngập lụt switch với rất nhiều “requests” VI bộ nhớ switch han chế nờn sẽ khụng

kiểm soỏt được

Sau đú thi sniffing co the dộ dàng thực hiện Cụng cụ

“ Macof

Trang 23

The effect on some switches is

EtherFlood floods a switched that they start sending all

network with Ethernet frames with random hardware traffic out on all ports so that F = O°

addresses SEN the attacker is able to sniff all

traffic on sub-network

Ur\Documente and SettingeWidminicstrator.JVINDOWE \DecktopNotherf Lood>ethert lood ktherFlood 1.1 fc) 2042, Aeyne Videtron Carne videtromUnteecurity.nud

— http: //ntcecurity.nu’too lbox/etherf lood/ Inctalled network adapters:

1 Intel 2114@-Based PCI Fast Ethernet Adapter (Generic? Select an adapter number: 1

Flooding the network vith vandon Ethernet addresses - -

Trang 24

“MAC Duplicating” Attack

Tan cong “MAC

duplicating” dudc triển khai bang cỏch nghe lộn mạng

để lấy được địa chỉ MAC

của mỏy client đang kết

nối vào cổng switch, và sử

dụng lại những địa chỉ này

Bằng cach lang nghe thụng

tin lưu thụng trong mang,

attacker cú được địa chỉ MAC hợp lệ

Attacker sẽ nhận những thụng tin gửi tới cho user

cú địa chỉ MAC đú

Kỹ thuật này dựng trong mạng wireless với cơ chế

Trang 25

“MAC Duplicating” Attack My MAC address is A:B:C:D:E

Switch Rule: Allow access to

Trang 27

Ethereal là bộ phõn tớch giao thức mạng cho window hay Unix Nú cho phộp người

dựng kiểm tra dữ liệu từ

"live network" hay tu

tập tin dữ liệu đó bat

lưu trờn đĩa

Người dựng cú thể

tương tỏc với dữ liệu đó

bắt được, xem thống

kờ, và thụng tin chỉ tiết của mỗi gúi tin bắt oi File Edit Capture No.) Time Display Tools Source 10.0 f 2 Destination [IRINIR: !ff:ff:ff ARP The Ethereal Network Analyzer Protocol | Info V2 0ETATTR Call XI0 0xee3c53d6

2.000801 00:40:35:42:2f;3e FÍ14 1z Who has 10.0.0.2? Tell 10.0.0 30.000955 00:00:21:20:a0:05 00:40: 95:42: 2: 9e ARP 10.0.0.2 is at 00:00:21:20:a0:0 4 0.001509 10.0.0.5 10.0.0.2 NFS V2 GETATTR Reply XID Oxee9c59d6 5 0.64666? 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxef9c59d6 6 0.647631 = 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxef9c59d6 70.650313 = 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf09Â59d6 8 0.651290 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxf09c59d6 9 0.651530 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf19c59d6 10 0.652470 = 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxf19c59d6 110.6852718 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf29Â59d6 12.0.653655 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxf29c59d6 13 0.653883 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf39Â59d6 14 0.65478? 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxf39c59d6 15 0.655023 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf49c59d6 16 0.655941 10.0.0.5 10.0.0.2 NFS V2 LOOKUP Reply XID Oxf49c59d6 17658120 10.0.0.2 10.0.0.5 NFS V2 LOOKUP Call XID Oxf59c59d6

mM J ~

Ethernet II Internet Protocol

H Frame 1 (186 on wire, 186 captured)

H User Datagram Protocol H Remote Procedure Call

Trang 28

Dsniff là bộ cỏc cụng cụ dựng cho việc kiểm toỏn(audit) mạng và kiểm tra sự xõm nhập vào hệ thống ARPSPOOF, DNSSPOOF, và

Trang 29

IPTraf [PTraf là cụng cụ theo dừi mạng, nú can thiệp VaàO Cỏc gúi tin mm trong mạng và đưa ra cỏc thụng tin khỏc nhau về lưu lượng mạng IPTraf cú thể được

dựng để theo dừi tải trong mang IP, cỏc

kiểu dịch vụ mạng được dựng nhiều

Trang 30

Tool: Snort Snort hoạt động ở 3 che do chinh:nghe | len(sniffer), lưu nhật, ky(packet logger), hệ thụng phat hiện xõm nhap(Instrusion Detection System)

Sniffer: doc cac ggi tin trong mang va hien thi no thanh cac luong

lien tuc

packet logger: luu nhat ky cỏc goi tin tren dia IDS: phần tớch lưu „ thụng mạng theo cỏc luật người dụng định nghĩa trước IDScenter 1.1 RC2 @ Start Snort 5] View alerts ớ* Reset alarm | is Test settings I General vị Main configuration đ Snort 1.9/1.8 â Snort 1.7 [~ Snort service mo Reload *; Apply xị 6 Snort executable file C:\IDS\snort.exe de |

Vv Show Snort console Autostart options

Minimized Snort window | Start IDScenter with Windows

I Don't restart Snort, if it is killed J Start Snort when IDScenter is started Process priority (* Normal ( Hinh C Realtime Log folder Set a logging directory and standard log file C:\Snort\log\alert.ids —ee | =Loq viewer

(* Use internal log viewer

(* Standard log file ( XML log file ( Explorer URL (HTML file, ACID, SnortSnarf) ( External viewer/editor for logfiles

Trang 31

Macof, MailSnarf, URLSnarf, WebSpy

(HA Konsole - root@localhost:~ - Konsole 0 st -[=[BllXi |

| rie Sessions Settings Help 4412844(0) win 512 :85:61:21:52:39 23:dizdc:26:6aid8 0.0.0.0.57674d > 0.0.0.0.53397; S 1300147483; 1300147483(0> win 512 d;24;3f ;2a;95;3f_ a6;e7;34;17;e1;e6 0.,0,0,0,5660 > 0,0,0,0,44476; S 1924679314;1 24679314(0) win 512 ¿95;:7e;1:ae‡:f8 12;fa;9b;69;ad;d2 0,0,0.,0,54690 > 0,0,0,0,18370; S 6915763103691 76310(0) win 512 6:be369:73:7dibe aOraf:95:75:0:a9 0,0,0,.0,50437 > 0.0.0.0,.4d3058: S 101860445931 186044530) win 512 a;68;e5:Se;3e;9/ eb;15;49:63;fa;c5 0.,0,0,0,49891 > 0,0,0.0,543322; S 577228608;9 7228606(0) uin 512 7;40;75;:7c;30;88 8d;:c9:4f ;2b;2a;aO 0,0,0,0,50485 > 0,0,0,0,45185; 5 265027417;2 5027417(0) uớn 512 f;85;16 ;17;b4‡cQ Ge:d:73:6d:9b:d1 0,0,0,.0.55655 > 0.0.0,.0,11963: S 210081709132 1008170910) win 512 e;đ1:4c;2d;1a:b1l e6;f4;20;24:6f;6d 0,0,0,0.12666 > 0,0,0,0,47609; S 2106232290;2 108239290{0) win 512 2e;27:e9;e:4f;e8 e4;c;6f;1e:4;2h 0,0,0,0,29287 > 0,0,0,0,19999; S 1952772224;193 P772224(0) win 512 Hasdd3a837c319:53 be:be:82:3:64:55 0,0,0,0,.5933 > 0.0.0.0.60955: S 1590426598;15 30426598 (0) win 512 đf;fb;25:34:d:42 b7:d9;:8b;59:ec:48 0,0,0,0,40979 > 0,0,0,0,59414;: S 562685018:56 2885018(9) win 512 E 1 Dô.|Jlé‹ôsô Macof: làm tràn | ngap(flood) he thong mạng cục bộ với cỏc địa chi MAC ngõu - nhiờn, làm cho một số switch khong the mg ở che do lap, do do de

dang de nghe len

Mailsnarf: bat va dua ket qua ra dudi dang

cỏc thụng điệp mail:

urlsnart: cụng cụ đề

giam sat lưu thụng

WEB

webspy: cho phộp _ người dụng xem tat ca

Trang 32

MAC changer

MAC changer là cụng cụ thường dựng

trong Linux, để thiết lập địa chỉ MAC cho 1

giao tiếp mạng

Cho phộp người dựng thiết lập địa chỉ MAC một cỏch ngõu nhiờn, thiết lập địa chỉ MAC

của nhà cung cấp khỏc

Người dựng co thể thiết lập MAC cho giao

tiếp khụng giay(wireless card)

Cung cấp một lựa chọn cỏc nhà cung cấp

Trang 33

TCPDump, Network Monitor

TCPDump

“ Là một cụng cụ được sử dụng rộng rói đề phõn tớch

và chuõn đoỏn trờn nộn Unix

= Dung dộ theo vết lỗi, phỏt hiện tõn cụng ping, va theo

dừi cỏc hoạt động của mạng

“ Hoạt động ở tõng ứng dụng Network Monitor

= La c6ộng cụ theo dừi mạng chạy trờn nờn window “ Cú thờ bắt tất cả cỏc luồng dữ liệu

" Bat cac luụng trong mạng và chuyền nú sang định

Trang 34

Một số giải phỏp

Hạn chế truy cap vat ly vào thiết bị mạng

để đảm bảo packet sniffer khụng được cài

đặt

Cỏch tốt nhất để chống lại sniffer là dựng

mó húa, nú khụng ngàn được cỏc sniffer

chạy, nhưng nú đảm bảo là sniffer đọc

khụng hiểu được

ARP spoofing được sử dụng để lắng nghe mạng chuyển mạch, vỡ vậy attacker sẽ giả ARP của gateway, điều này cú thể ngăn

được bằng cỏch thờm tĩnh địa chỉ MAC của

Trang 35

chuyộn mang sang dung SSH

cú rất nhiều cụng cụ dựng để phỏt hiện

xem trong mang co sniffer hay khong

" ARP Watch

Trang 36

Nghe lộn mạng cho phộp bắt cỏc thụng tin

ng độ VILal information) trong mang, no co a

the lang nghe trộn Hub hay switch

Bat mật khẩu, email, dữ liệu

ARP poisoning cú thể dựng để thay đổi chế

do hoat dong cua switch sang che do Hub Ethereal, Dsniff, Sniffit, Aldebaran, Hunt,

NGSSniff là một trong những cụng cụ

nghe lộn rất phổ biến

Cỏch tốt nhất để ngăn chặn nghe lộn là

Ngày đăng: 11/03/2014, 16:06

HÌNH ẢNH LIÊN QUAN

 MAC flooding một bảng ARP của switch có thể giúp attacker làm quá tải switch  và sau đó attacker có thể dùng các  - lecture 3 sniffer tmp
flooding một bảng ARP của switch có thể giúp attacker làm quá tải switch và sau đó attacker có thể dùng các (Trang 15)
 Sử dụng địa chỉ IP tĩnh và bảng ARP tĩnh có - lecture 3 sniffer tmp
d ụng địa chỉ IP tĩnh và bảng ARP tĩnh có (Trang 21)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

  • Đang cập nhật ...

TÀI LIỆU LIÊN QUAN