TÌM HIỂU VÀ MINH HỌA SNIFFER 1 MỤC LỤC LỜI CẢM ƠN 3 PHẦN I: GIỚI THIỆU ĐỀ TÀI 4 PHẦN II: NỘI DUNG 5 CHƢƠNG I: CÁC GIAO THỨC LIÊN QUAN 5 1.1 GIAO THỨC PHÂN GIẢI ĐỊA CHỈ-ARP (ADDRESS RESOLUTION PROTOCOL) 5 1.2 GIAO THỨC CẤU HÌNH HOST ĐỘNG-DHCP (DYNAMIC HOST CONFIGURATION PROTOCOL) 10 1.3 SPANNING TREE PROTOCOL (STP) 13 1.4 MẠNG LANS ẢO-VLAN (VIRTUAL LOCAL AREA NETWORK) 17 1.5 HỆ THỐNG PHÂN GIẢI TÊN MIỀN-DNS (DOMAIN NAME SYSTEM) …………………………………………………………………………….22 1.6 ĐỊA CHỈ MAC (MEDIA ACCESS CONTROL) 25 CHƢƠNG II: TỔNG QUAN VỀ SNIFFER 28 2.1 ĐỊNH NGHĨA SNIFFER 28 2.2 PHÂN LOẠI SNIFFER 28 2.3 MỘT SỐN PHƢƠNG PHÁP PHÁT HIỆN SNIFFER 29 2.4 CÁC PHƢƠNG PHÁP PHÒNG CHỐNG SNIFFER 33 CHƢƠNG III: CÁC LOẠI SNIFFER VÀ CÁCH PHÒNG CHỐNG 35 3.1 MAC FLOODING 35 3.2 DHCP STARVATION 39 3.3 ROGUE DHCP SERVER 45 3.4 ARP POISONING 49 3.5 DNS POISONING 55 3.6 MAC SPOOFING 63 3.7 VLAN HOPPING 65 TÌM HIỂU VÀ MINH HỌA SNIFFER 2 3.8 SPANNING TREE PROTOCOL ATTACK 71 PHẦN III: TỔNG KẾT VÀ ĐÁNH GIÁ 77 1. KẾT QUẢ ĐẠT ĐƢỢC 78 2. HƢỚNG PHÁT TRIỂN 78 PHẦN IV: TÀI LIỆU THAM KHẢO 79 TÌM HIỂU VÀ MINH HỌA SNIFFER 3 LỜI CẢM ƠN Trƣớc tiên, nhóm em xin gửi lời cảm ơn chân thành nhất tới thầy Đinh Công Đoan, ngƣời thầy đã tận tình giúp đỡ, chỉ bảo nhóm trong suốt quá trình làm tiểu luận. Bên cạnh đó, xin chân thành cám ơn khoa Công nghệ Thông tin, Bộ môn Mạng máy tính, trƣờng Đại học Sƣ Phạm Kỹ Thuật TP.HCM đã tạo điều kiện thuận lợi cho nhóm thực hiện đề tài này. Nhóm em cũng xin gửi lời biết ơn sâu sắc tới thầy, cô trong trƣờng Đại học Sƣ Phạm Kỹ Thuật TP.HCM. Thầy, cô đã dìu dắt, truyền lại cho chúng em không chỉ những kiến thức chuyên ngành mà còn dạy bảo chúng em đạo làm ngƣời, rèn luyện cho chúng em nghị lực, khát vọng vƣơn lên, phát huy khả năng tƣ duy sáng tạo trong mọi lĩnh vực. Cuối cùng, nhóm xin đƣợc cảm ơn gia đình, bạn bè, những ngƣời thân yêu nhất. Mọi ngƣời luôn ở bên cạnh động viên, khuyến khích chúng em trong suốt thời gian học tập và nghiên cứu. Dù đã cố gắng hoàn thành đề tài tiểu luận đúng yêu cầu, nhƣng do thời gian hạn hẹp và khả năng còn hạn chế nên chắc chắn sẽ có những thiếu sót không tránh khỏi. Nhóm mong nhận đƣợc sự thông cảm và chỉ bảo của các quý thầy cô . TP.HCM, tháng 1 năm 2013 Nhóm thực hiện: Phan Huỳnh Trung và Nguyễn Đức Phú TÌM HIỂU VÀ MINH HỌA SNIFFER 4 PHẦN I: GIỚI THIỆU ĐỀ TÀI Hiện nay, khi công nghệ thông tin đang phát triển một cách mạnh mẽ, mạng máy tính là một thành phần không thể thiếu đối với các hệ thống thông tin của mọi tổ chức. Hơn nữa, hầu hết các giao dịch, dịch vụ của xã hội đều đƣợc triển khai trên mạng. Nhƣng liệu khi tham gia vào hoạt động trên mạng thông tin của chúng ta có thực sự an toàn, đó là câu hỏi mà nhiều ngƣời thƣờng xuyên đặt ra và đi tìm lời giải đáp. Nếu chúng ta không khắc phục những điểm yếu này thì môi trƣờng mạng sẽ trở thành một mảnh đất màu mỡ cho những hacker xâm nhập, gây ra sự thất thoát thông tin, tiền bạc. Do đó bảo mật trong mạng đang là một vấn đề quan trọng hàng đầu. Hiểu đƣợc các vấn đề đó, nhóm đã quyết định chọn đề tài “Tìm hiểu và minh họa một số kỹ thuật Sniffer”. Đề tài này sẽ tập trung mô phỏng các phƣơng thức tấn công tổng quát trên mạng thông qua các chƣơng trình Sniffer và tìm hiểu các cách phát hiện cũng nhƣ phòng chống Sniffer sao cho hiệu quả nhất. Nội dung đề tài gồm 4 phần: phần giới thiệu đề tài, phần nội dung, phần tổng kết và phần tài liệu tham khảo. Phần nội dung của bài tiểu luận đƣợc chia thành 4 chƣơng: chƣơng đầu tiên giới thiệu các giao thức liên quan đến Sniffer. Chƣơng tiếp theo sẽ giới thiệu tổng quan về Sniffer, phân loại các loại Sniffer, các giao thức dễ bị Sniffer và phƣơng pháp phát hiện cũng nhƣ phòng chống Sniffer hiệu quả. Chƣơng cuối cùng là trình bày các loại Sniffer và các minh họa cụ thể. TÌM HIỂU VÀ MINH HỌA SNIFFER 5 PHẦN II: NỘI DUNG CHƢƠNG I: CÁC GIAO THỨC LIÊN QUAN 1.1 Giao thức phân giải địa chỉ-ARP (Address Resolution Protocol) 1.1.1 Khái niệm ARP là phƣơng thức phân giải địa chỉ động giữa địa chỉ lớp network và địa chỉ lớp data-link. Sở dĩ cần phải có giao thức chuyển đổi nhƣ vậy là do có nhiều giao thức lớp 3 nhƣ IP, IPX, Appletalk… mỗi giao thức lại có qui ƣớc về địa chỉ logic riêng. Khi đƣợc đóng gói vào một frame tại lớp thì tất cả các địa chỉ này cần phải đƣợc qui đổi thành một kiểu địa chỉ thống nhất (địa chỉ MAC) nhằm giúp cho mọi thiết bị có thể trao đổi với các thiết bị khác khi chúng nằm trong cùng một môi trƣờng truyền dẫn vật lý. Ban đầu ARP chỉ đƣợc sử dụng trong mạng Ethernet để phân giải địa chỉ IP và địa chỉ MAC. Nhƣng ngày nay ARP đã đƣợc ứng dụng rộng rãi và dùng trong các công nghệ khác dựa trên lớp hai. Hình 1.1. Vị trí của ARP 1.1.2 Cấu trúc bảng tin ARP - Hardware type: xác định kiểu mạng phần cứng: Ethernet, Token ring. - Protocol: xác định kiểu của giao thức lớp network. - HLEN: độ dài địa chỉ MAC: 48 bits (Ethernet), 32 bits (Token ring). - PLEN: độ dài địa chỉ IP. TÌM HIỂU VÀ MINH HỌA SNIFFER 6 Hình 1.2. Cấu trúc bản tin ARP - Operation: xác định kiểu thông điệp ARP (Request/Respone) - Sender HA/ Target HA: địa chỉ MAC máy gửi/máy nhận. - Sender IP/ Target IP: địa chỉ IP máy gửi/máy nhận. 1.1.3 Cơ chế hoạt động Quá trình thực hiện ARP đƣợc bắt đầu khi một thiết bị nguồn trong một mạng IP có nhu cầu gửi một gói tin IP. Trƣớc hết thiết bị đó phải xác định xem địa chỉ IP đích của gói tin có phải nằm cùng trong mạng nội bộ của mình hay không. Nếu đúng vậy thì thiết bị sẽ gửi trực tiếp gói tin đến thiết bị đích. Nếu địa chỉ IP đích nằm trên mạng khác, thì thiết bị sẽ gửi gói tin đến một trong các Router nằm cùng trên mạng nội bộ để Router này làm nhiệm vụ forward gói tin. Cả hai trƣờng hợp ta đều thấy đƣợc là thiết bị phải gói tin IP đến một thiết bị IP khác trên cùng mạng nội bộ. Ta biết rằng việc gửi gói tin trong cùng mạng thông qua Switch là dựa vào địa chỉ MAC hay địa chỉ phần cứng của thiết bị. Sau khi gói tin đƣợc đóng gói thì mới bắt đầu đƣợc chuyển qua quá trình phân giải địa chỉ ARP và đƣợc chuyển đi. ARP về cơ bản là một quá trình 2 chiều request/response giữa các thiết bị trong cùng mạng nội bộ. Thiết bị nguồn request bằng cách gửi một bản tin broadcast trên toàn mạng. Thiết bị đích response bằng một bản tin unicast đến thiết bị nguồn. TÌM HIỂU VÀ MINH HỌA SNIFFER 7 Các bƣớc hoạt động của ARP - B1. Source Device Checks Cache: Trong bƣớc này, thiết bị sẽ kiểm tra cache (bộ đệm) của mình. Nếu đã có địa chỉ IP đích tƣơng ứng với MAC nào đó rồi thì lập tức chuyển lên bƣớc 9. - B2. Source Device Generates ARP Request Message: Bắt đầu khởi tạo gói tin ARP Request với các trƣờng địa chỉ nhƣ trên. - B3. Source Device Broadcasts ARP Request Message: Thiết bị nguồn quảng bá gói tin ARP Request trên toàn mạng. - B4. Local Devices Process ARP Request Message: Các thiết bị trong mạng đều nhận đƣợc gói tin ARP Request. Gói tin đƣợc xử lý bằng cách các thiết bị đều nhìn vào trƣờng địa chỉ Target Protocol Address. Nếu trùng với địa chỉ của mình thì tiếp tục xử lý, nếu không thì hủy gói tin. - B5. Destination Device Generates ARP Reply Message: Thiết bị với IP trùng với IP trong trƣờng Target Protocol Address sẽ bắt đầu quá trình khởi tạo gói tin ARP Reply bằng cách lấy các trƣờng Sender Hardware Address và Sender Protocol Address trong gói tin ARP nhận đƣợc đƣa vào làm Target trong gói tin gửi đi. Đồng thời thiết bị sẽ lấy địa chỉ datalink của mình để đƣa vào trƣờng Sender Hardware Address. - B6. Destination Device Updates ARP Cache: Thiết bị đích (thiết bị khởi tạo gói tin ARP Reply) đồng thời cập nhật bảng ánh xạ địa chỉ IP và MAC của thiết bị nguồn vào bảng ARP cache của mình để giảm bớt thời gian xử lý cho các lần sau. - B7. Destination Device Sends ARP Reply Message: Thiết bị đích bắt đầu gửi gói tin Reply đã đƣợc khởi tạo đến thiết bị nguồn. Gói tin reply là gói tin gửi unicast. - B8. Source Device Processes ARP Reply Message: Thiết bị nguồn nhận đƣợc gói tin reply và xử lý bằng cách lƣu trƣờng Sender Hardware Address trong gói reply nhƣ địa chỉ phần cứng của thiết bị đích. TÌM HIỂU VÀ MINH HỌA SNIFFER 8 - B9. Source Device Updates ARP Cache: Thiết bị nguồn update vào ARP cache của mình giá trị tƣơng ứng giữa địa chỉ network và địa chỉ datalink của thiết bị đích. Lần sau sẽ không còn cần tới request. Hình 1.3. Quá trình gửi/nhận bản tin ARP 1.1.4 ARP Caching ARP là một giao thức phân giải địa chỉ động. Quá trình gửi gói tin Request và Reply sẽ tiêu tốn băng thông mạng. Chính vì vậy càng hạn chế tối đa việc gửi gói tin Request và Reply sẽ càng góp phần làm tăng khả năng họat động của mạng. Từ đó sinh ra nhu cầu của ARP Caching. ARP Cache có dạng giống nhƣ một bảng tƣơng ứng giữa địa chỉ hardware và địa chỉ IP. Có hai cách đƣa các thành phần tƣơng ứng vào bảng ARP: - Static RP Cache Entries: Đây là cách mà các thành phần tƣơng ứng trong bảng ARP đƣợc đƣa vào lần lƣợt bởi ngƣời quản trị. Công việc đƣợc tiến hành một cách thủ công. - Dynamic ARP Cache Entries: Đây là quá trình mà các thành phần địa chỉ hardware/IP đƣợc đƣa vào ARP cache một cách hoàn toàn tự động bằng phần mềm sau khi đã hoàn tất quá trình phân giải địa chỉ. Chúng đƣợc lƣu trong cache trong một khoảng thời gian và sau đó sẽ đƣợc xóa. TÌM HIỂU VÀ MINH HỌA SNIFFER 9 Dynamic Cache đƣợc sử dụng rộng rãi hơn vì tất cả các quá trình diễn ra tự động và không cần đến sự tƣơng tác của ngƣời quản trị. Tuy nhiên static cache vẫn có phạm vi ứng dụng nhất định của nó. Đó là trƣờng hợp mà các workstation nên có static ARP entry đến router và file server nằm trong mạng. Điều này sẽ hạn chế việc gửi các gói tin để thực hiện quá trình phân giải địa chỉ. Tuy nhiên ngoài hạn chế của việc phải nhập bằng tay, static cache còn thêm hạn chế nữa là khi địa chỉ IP của các thiết bị trong mạng thay đổi thì sẽ dẫn đến việc phải thay đổi ARP cache. Quá trình xóa thông tin trong Cache Ta xét trƣờng hợp bảng cache của một thiết bị A, trong đó có chứa thông tin về thiết bị B trong mạng. Nếu các thông tin trong cache đƣợc lƣu mãi mãi, sẽ có một số vấn đề nhƣ sau xảy ra: - Địa chỉ phần cứng thiết vị đƣợc thay đổi: Đây là trƣờng hợp khi thiết bị B đƣợc thay đổi card mạng hay thiết bị giao tiếp, làm thay đổi địa chỉ MAC của thiết bị. Điều này làm cho các thông tin trong cache của A không còn đúng nữa. - Địa chỉ IP của thiết bị đƣợc thay đổi: Ngƣời quản trị hay nhà cung cấp thay đổi địa chỉ IP của B, cũng làm cho thông tin trong cache của A bị sai lệch. - Thiết bị đƣợc rút ra khỏi mạng: Khi B đƣợc rút ra khỏi mạng nhƣng A không đƣợc biết, và gây lãng phí về tài nguyên của A để lƣu thông tin không cần thiết và tốn thời gian để tìm kiếm. Để tránh đƣợc những vấn đề này, các thông tin trong dynamic cache sẽ đƣợc tự động xóa sau một khoảng thời gian nhất định. Quá trình này đƣợc thực hiện một cách hoàn toàn tự động khi sử dụng ARP với khoảng thời gian thƣờng là 10 hoặc 20 phút. Sau một khoảng thời gian nhất định đƣợc lƣu trong cache , thông tin sẽ đƣợc xóa đi. Lần sử dụng sau, thông tin sẽ đƣợc update trở lại. [...]... những User không tồn tại Khi sniff đƣợc những thông tin này, các Hacker sẽ tìm cách kiểm tra, sử dụng và khai thác chúng 2.3.6 Minh họa sử dụng công cụ Ettercap để phát hiện Arp poisoning 192.168.1.20 Admin 192.168.1.1 192.168.1.10 Attacker 192.168.1.21 User Hình 2.1 Mô hình minh họa TÌM HIỂU VÀ MINH HỌA SNIFFER 31 Ở minh họa này máy Attacker sẽ sử dụng phần mềm Cain & Abel để thực hiện tấn công Arp... mạng LAN đều phải thu nhận và xử lí Số lƣợng địa chỉ MAC rất lớn (248 địa chỉ) và sẽ đƣợc tái sử dụng vài năm một lần nên đủ giải quyết việc phân định địa chỉ vật lý cho tất cả các máy tính TÌM HIỂU VÀ MINH HỌA SNIFFER 27 CHƢƠNG II: TỔNG QUAN VỀ SNIFFER 2.1 Định nghĩa Sniffer Sniffer là một hình thức nghe lén trên hệ thống mạng, dựa trên những đặc điểm của cơ chế TCP/IP Sniffer là một kỹ thuật bảo... trình nghe lén trong mạng TÌM HIỂU VÀ MINH HỌA SNIFFER 34 CHƢƠNG III: CÁC LOẠI SNIFFER VÀ CÁCH PHÒNG CHỐNG 3.1 MAC flooding 3.1.1 Bảng CAM (Content Address Memory) Bảng CAM là vùng nhớ trong RAM của Switch dùng để lƣu các ánh xạ giữa địa chỉ MAC nguồn của các PC, thiết bị mạng và port trên Switch mà các thiết bị đó kết nối vào mạng Kích thƣớc các bảng CAM là giới hạn và tùy thuộc vào các dòng Switch khác... đến địa chỉ IP và MAC mới này Theo nguyên tắc thì không có máy tính nào có thể trả lời, nhƣng vẫn có TÌM HIỂU VÀ MINH HỌA SNIFFER 29 trả lời từ máy tính chạy chƣơng trình sniffer, vì máy này có thể đã tắt tính năng MAC Address Filtering trên card mạng Trên cơ sở đó, ngƣời quản trị mạng sẽ xác định đƣợc máy tính nào chạy sniffer trên hệ thống 2.3.2 Phƣơng pháp ARP Phƣơng pháp phát hiện Sniffer này tƣơng... 192.168.0.17  192.168.0.23, TÌM HIỂU VÀ MINH HỌA SNIFFER với 30 192.168.0.12 là địa chỉ nguồn, 192.168.0.23 là địa chỉ đích Giả sử rằng để đến đƣợc máy D, gói tin từ máy A phải đi qua máy B và máy C Nếu ngƣời quản trị vô hiệu hóa tính năng routing trên máy C mà gói tin vẫn đi sang máy D đƣợc thì rất có thể máy C đã cài đặt các chƣơng trình sniffer Một cách khác để phát hiện sniffer là sử dụng trƣờng... ra các sniffer còn dùng một số kỹ thuật để ép dòng dữ liệu đi qua NIC nhƣ: o MAC fooding: làm tràn bộ nhớ switch từ đó switch sẽ chạy chế độ forwarding mà không chuyển mạch gói o MAC Spoofing/Duplicating: các sniffer sẽ thay đổi MAC của mình thành MAC của một máy hợp lệ và qua đƣợc chức năng lọc MAC của thiết bị o Đầu độc DHCP để thay đổi gateway của client o Giả mạo ARP TÌM HIỂU VÀ MINH HỌA SNIFFER. .. Start sniffing, sang tab Plugin  Manage the plugin Click đúp vào mục search_promisc để lọc ra những card mạng đang ở trạng thái promiscuous mode, ta đƣợc kết quả Hình 2.3 Phát hiện Sniffer bằng Ettercap TÌM HIỂU VÀ MINH HỌA SNIFFER 32 Ở dòng Most probably sniffing NICs liệt kê những địa chỉ IP có khả năng cao đang chạy các chƣơng trình Sniffer( máy Attacker) Ở phần này Admin cũng có thể sử dụng thêm... phải đƣợc gán vào VLAN tƣơng ứng theo sự thiết kế Dựa trên tính năng VLAN có thể đƣợc cấu hình tĩnh hay động mà ngƣời quản trị mạng có thể dùng một trong 2 phƣơng pháp sau để thiết lập thành viên cho VLAN (gán thiết bị vào VLAN tƣơng ứng) TÌM HIỂU VÀ MINH HỌA SNIFFER 19 Static VLAN (Port based VLAN): Hình 1.10 Static VLAN Đây là cách cấu hình VLAN tĩnh, tức là việc gán các thiết bị mạng vào làm thành... không nhận và chuyển gói tin - restrict: cổng chỉ cho phép các gói tin có địa chỉ MAC hợp lệ đi qua, các gói tin vi phạm sẽ bị huỷ Đồng thời sẽ báo syslog cho ngƣời quản trị - protect: cũng giống nhƣ trong trƣờng hợp restrict, tuy nhiên sẽ không báo syslog 3.2.3 Minh họa Chuẩn bị - Một Cisco Switch - Một PC đóng vai trò User - Một PC đóng vai trò Attacker - Cáp kết nối TÌM HIỂU VÀ MINH HỌA SNIFFER 36... chế hoạt động STP là một giao thức hoạt động ở lớp 2, nó sử dụng một giải thuật để tìm ra các vòng lặp trong mạng và tác động của một mạng không bị loop Giải thuật chống Loop trong STP đƣợc thực hiện lần lƣợt qua 3 bƣớc: Bƣớc 1: lựa chọn một Switch gốc (root bridge) trong số các Switch trên mạng TÌM HIỂU VÀ MINH HỌA SNIFFER 14 Bƣớc 2: Lựa chon một root port (là một cổng duy nhất trên mà Switch sử dụng . Sniffer hiệu quả. Chƣơng cuối cùng là trình bày các loại Sniffer và các minh họa cụ thể. TÌM HIỂU VÀ MINH HỌA SNIFFER 5 PHẦN II: NỘI DUNG CHƢƠNG I: CÁC GIAO THỨC LIÊN. nhận đƣợc sự thông cảm và chỉ bảo của các quý thầy cô . TP.HCM, tháng 1 năm 2013 Nhóm thực hiện: Phan Huỳnh Trung và Nguyễn Đức Phú TÌM HIỂU VÀ MINH HỌA SNIFFER 4 PHẦN I:. VỀ SNIFFER 28 2.1 ĐỊNH NGHĨA SNIFFER 28 2.2 PHÂN LOẠI SNIFFER 28 2.3 MỘT SỐN PHƢƠNG PHÁP PHÁT HIỆN SNIFFER 29 2.4 CÁC PHƢƠNG PHÁP PHÒNG CHỐNG SNIFFER 33 CHƢƠNG III: CÁC LOẠI SNIFFER VÀ CÁCH