Đang tải... (xem toàn văn)
Bài giảng Sniffer
Module 4: SniffersPhạm Minh Thuấn NỘI DUNGĐịnh nghĩa1Các kiểu Sniff2Các biện pháp phòng chống Sniff3Các công cụ sử dụng trong Sniff và ARP4 1. Định nghĩaSniff là hình thức nghe lén trên hệ thống mạng, dựa trên những đặc điểm của cơ chế TCP/IPSniff có thể là phần mềm hoặc thiết bị được sử dụng để chụp lại các thông tin lưu thông qua mạngSử dụng Sniff để lấy cắp các thông tin:Tài khoảnMật khẩuCác thông tin nhạy cảm khác … Giao thức có thể SniffCác giao thức dễ bị Sniff:Telnet và Rlogin: Username và Password.HTTP: Dữ liệu được gửi đi dưới dạng rõ.SMTP: Password và dữ liệu được gửi đi dưới dạng rõ.NNTP: Password và dữ liệu được gửi đi dưới dạng rõ.POP: Password và dữ liệu được gửi đi dưới dạng rõ.FTP: Password và dữ liệu được gửi đi dưới dạng rõ.IMAP: Password và dữ liệu được gửi đi dưới dạng rõ.… 2. Các kiểu Sniff Passive SniffMôi trường:Chủ yếu hoạt động trong môi trường không có các thiết bị chuyển mạch gói. Phổ biến hiện nay là các mạng sử dụng Hub, các mạng không dây.Cơ chế hoạt động:Dựa trên cơ chế Broadcast gói tin thông qua HubĐặc điểm:Khó phát hiện Active SniffMôi trường:Chủ yếu hoạt động trong môi trường có các thiết bị chuyển mạch góiPhổ biến hiện nay là các mạng sử dụng SwitchCơ chế hoạt động:Sử dụng cơ chế ARP Spoofing và MAC FloodingĐặc điểm:Chiếm nhiều băng thông mạngCó thể dẫn đến nghẽn mạng hay gây quá tải trên chính NIC của máy đang dùng Sniff Address Resolution Protocol (ARP)Là giao thức lớp mạng được sử dụng để chuyển đổi từ địa chỉ IP sang địa chỉ vật lý (MAC).Để có được địa chỉ vật lý, host thực hiện broadcast một ARP request tới toàn bộ mạng.Host nhận được ARP request sẽ gửi trả lại yêu cầu với địa chỉ IP và địa chỉ MAC của mình. ARP Spoofing MAC Flooding . và ARP WiresharkCain & AbelEtherealSwitch Sniffer Wireshark Cain & Abel Ethereal Switch Sniffer . cụ:•Kiểm tra băng thông: Do khi Sniff có thể gây nghẽn mạng.•Bắt gói tin: Các Sniffer phải đầu độc ARP nên sẽ gửi ARP đi liên tục, nếu dùng các công cụ này