www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477 Chương 7: Tài liệu học an ninh mạng – Hacker Mũ Trắng – Trung tâm đào tạo quản trị mạng & an ninh mạng ATHENA CHAPTER 7 : SNIFFER I. Sniffing : - Sniffing là quá trì nh thu thậ p thông tin cá c thông tin nhạ y cả m như username, password,data ca Hacker bng cch đt card mng vo ch đ gi l promicuous mode để lắ ng nghe cá c data truyề n đi trong mạ ng. - Mc đnh card mng ch chp nhn cc gi tin c destination MAC l ca card mng v cc gi broadcast c dng MAC ff:ff:ff:ff:ff:ff, nế u gó i tin mang MAC khc card mng s loi b. - Promicuous mode là chế độ mà card mng s chp nhn mi gi tin đi ti card mng .Windows khi cà i WinPcap, kernel driver thay đổ i sẽ là m cho Windows tưở ng nhầ m MAC nà o cũ ng là củ a mì nh vì thế system sẽ chấ p nhậ n mọ i gó i tin. Card mạ ng cng c th chuyn sang capture mode khi cà i Microsoft Network Monitor Driver bằ ng cá ch sử dụ ng Windows sockets raw IP. - Qu trnh sniffing din ra  Data Link Layer trong mô hì nh OSI. Ngoi ra do rt nhiề u protocol hiệ n đang sử dụ ng phổ biế n đượ c truyề n đi bằ ng plaint-text như http,ftp,telnet ngoi ra hacker c th capture cc thông tin(password) m ho đ cracking offline vì thế nế u Hacker có thể sniff trong mạ ng là 1 điề u rấ t nguy hiể m. - Điề u kiệ n cầ n để có thể sniifing là Hacker phả i ở cù ng subnet vớ i victim. - Sniffing chia thà nh 2 kiu ty theo môi trưng sniffing: + Passive sniffing : dng trong môi trườ ng hub hoặ c wireless(collision domain). Hacker chỉ cầ n chuyể n card mạ ng sang promicuous mode và thụ độ ng chờ đợ i.Khi passive sniffing rấ t khó bị phá t hiệ n. + Active sniffing : dng trong môi trưng switched network. Do trong môi trườ ng switched network luồ ng data sẽ đượ c switch chuyể n chí nh xá c giữ a cá c host dự a theo bả ng MAC table nên Hacker phả i kế t hợ p thêm 1 số kỹ thuậ t để có thể chuyể n luồ ng data đi ngang qua card mạ ng củ a mì nh. Active sniffing có thể phá t hiệ n dự a trên cá c dấ u hiệ u củ a sự dị ch chuyể n củ a cá c luồ ng data. II. Cc k thut chuyn lung data : - ARP Poisoning: dự a trên tí nh năng dynamic update củ a ARP cache. Hacker sẽ gử i cc gi ARP reply đ chuyn MAC address trong cache ca victim và server thà nh MAC củ a mì nh để é p luồ ng data đi qua trung gian là Hacker theo mô hì nh sau : www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477 Chương 7: Tài liệu học an ninh mạng – Hacker Mũ Trắng – Trung tâm đào tạo quản trị mạng & an ninh mạng ATHENA v sau khi ARP poisoning thnh công : Hacker trở thà nh ngườ i đứ ng trung gian giữ a luồ ng data. K thut ny cn đưc gi l Man-in-the-Midle (MITM) attack. - MAC flooding attack(CAM Table Overflow) : lợ i dụ ng sự hạ n chế củ a memory ca cc switch trung gian, hacker sẽ inject liên tụ c nhiề u gó i tin vớ i cá c MAC khá c nhau để là m trà n memory củ a switch. Mt s switch khi b trn memory s chuyn sang forwarding mode trở thà nh giố ng như hub environt. - MAC Duplicating : Hacker thay đổ i MAC address củ a mì nh thà nh MAC address ca client hp l đ bypass MAC filter - DHCP spoofing : Hacker dự a và o DHCP protocol để thay đổ i IP gateway củ a client. www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477 Chương 7: Tài liệu học an ninh mạng – Hacker Mũ Trắng – Trung tâm đào tạo quản trị mạng & an ninh mạng ATHENA - DNS spoofing : Hacker dự a trên DNS protocol để phân gii sai IP. - Ngoi ra cò n rấ t nhiề u techniques đ sniff trên Layer 2 như VLAN hopping Attack, Spanning-Tree Protocol Manipulation III. Phương phá p phò ng chố ng sniffer : - Physical secure: ngăn ngừ a hacker có thể tiế p xú c physical vớ i subnet củ a LAN network.V d: chia VLAN, port secure - Logical secure: theo dõ i sự thay đổ i củ a ARP cache, sử dụ ng cá c phương phá p mã ho đ bo v thông tin, kiể m tra phá t hiệ n cá c NIC trong promicuous mode, IDS IV. LAB: 1. Wireshark: Analyzer protocol tool l phiên bn tip theo ca Ethereal c th xem live cá c packet khi đang capture. www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477 Chương 7: Tài liệu học an ninh mạng – Hacker Mũ Trắng – Trung tâm đào tạo quản trị mạng & an ninh mạng ATHENA www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477 Chương 7: Tài liệu học an ninh mạng – Hacker Mũ Trắng – Trung tâm đào tạo quản trị mạng & an ninh mạng ATHENA www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477 Chương 7: Tài liệu học an ninh mạng – Hacker Mũ Trắng – Trung tâm đào tạo quản trị mạng & an ninh mạng ATHENA - Khi cà i đặ t Wireshark cũ ng sẽ phả i cà i đặ t thêm WinPcap(l b đriver v thư việ n gip cho card mng chp nhn tt c mi packet đi ti card mng) www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477 Chương 7: Tài liệu học an ninh mạng – Hacker Mũ Trắng – Trung tâm đào tạo quản trị mạng & an ninh mạng ATHENA www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477 Chương 7: Tài liệu học an ninh mạng – Hacker Mũ Trắng – Trung tâm đào tạo quản trị mạng & an ninh mạng ATHENA www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477 Chương 7: Tài liệu học an ninh mạng – Hacker Mũ Trắng – Trung tâm đào tạo quản trị mạng & an ninh mạng ATHENA - Chn card mng s capture: www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477 Chương 7: Tài liệu học an ninh mạng – Hacker Mũ Trắng – Trung tâm đào tạo quản trị mạng & an ninh mạng ATHENA - Wireshark vừ a capture vừ a list cá c packet capture đượ c . 090 78 79 477 Chương 7: Tài liệu học an ninh mạng – Hacker Mũ Trắng – Trung tâm đào tạo quản trị mạng & an ninh mạng ATHENA www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477 . 78 79 477 Chương 7: Tài liệu học an ninh mạng – Hacker Mũ Trắng – Trung tâm đào tạo quản trị mạng & an ninh mạng ATHENA www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477 . 78 79 477 Chương 7: Tài liệu học an ninh mạng – Hacker Mũ Trắng – Trung tâm đào tạo quản trị mạng & an ninh mạng ATHENA www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477