phát hiện và phòng chống nghe trộm trong lan

phát hiện và phòng chống nghe trộm trong lan

Đề tài môn

Security+

PHÁT HIỆN

VÀ PHÒNG CHỐNG NGHE TRỘM

TRONG LAN

Học viên: Phan Xuân Bách Giáo viên hướng dẫn: Võ Đỗ Thắng

Nghe trộm (sniff) là gì?

Sniffer là một hình thức nghe lén trên hệ thống mạng, dựa trên những đặc điểm của cơ chế

TCP/IP

Sniffer là một kỹ thuật bảo mật, được phát triển nhằm giúp đỡ những nhà Quản trị mạng

Sniff dùng để làm gì?

Được phát triển để thu thập các gói tin trong hệ thống

Mục đích ban đầu: Giúp nhà quản trị mạng quản

lý tốt hệ thống

Biến thể của Sniffer là các chương trình nghe lén bất hợp pháp như: Chương trình nghe lén

Yahoo, MSN, ăn cắp password Email v.v

Sniffer hoạt động chủ yếu dựa trên phương thức tấn công ARP

Điều kiện sniff?

Sniff có thể hoạt động trong mạng LAN, mạng WAN, mạng WLAN

Điều kiện cần chỉ là cùng chung Subnet Mark khi Sniffer

Có bao nhiêu loại sniff?

Active sniff

• Chủ yếu trong môi trường mạng sử dụng SWITCH.

• Hoạt động chủ yếu dựa trên cơ chế thay đổi đường đi của dòng dữ liệu.

Passive sniff

• Chủ yếu trong môi trường mạng sử dụng HUB.

• Hoạt động dựa trên cơ chế broadcast gói tin trong mạng.

Các phương pháp thay đổi dòng dữ liệu

Arp poisoning: thay đổi thông tin ARP

MAC duplicating: làm switch mất tính năng

chuyển mạch gói

DHCP spoofing: thay đổi thông tin của DHCP

DNS spoofing: làm phân giải sai tên miền

Face MAC: giả mạo MAC của máy khác

Active sniff?

Host A và Host B là 2 Máy tính đang “nói

chuyện” với nhau, Host C là “Sniffer”

Ở Host A trên bảng ARP có lưu địa chỉ IP và

MAC tương ứng của Host B

Ở Host B trên bảng ARP có lưu địa chỉ IP và

MAC tương ứng của Host A

Host C thực hiện quá trình nghe lén: Host C gửi các gói ARP tới cả Host A và Host B có nội dung sau: “ tôi là A, B, MAC và IP của tôi là XX, YY”

Passive sniff?

Xem các gói tin trong mạng từ Host A qua Host

B thông qua quá trình broadcast gói tin trong mạng

Nguyên nhân: Do môi trường mạng hoạt động không chuyển mạch gói tin

Active và Passive sniff?

Giống:

• Thỏa điều kiện sniff.

• Cùng chức năng sniff.

Khác:

• Active:

– Môi trường mạng có switch.

– Đầu độc ARP.

• Passive:

– Môi trường mạng có hub.

– Bắt gói do quá trình broadcast gói tin.

Phát hiện sniff?

Passive:

• Khó có khả năng phát hiện, vì bất kỳ host nào trong mạng cũng

có thể bắt được gói tin.

Active:

• Dựa trên quá trình đầu độc ARP trong mạng.

• Băng thông trong mạng.

• Dạng gói tin.

Phát hiện active sniff?

Dựa trên quá trình đầu độc ARP

• Vì phải đầu độc arp nên sniffer sẽ phải liên tục gởi các gói arp tới các host bị sniff.

• Do đó phát hiện loại sniff này nếu ta có chương trình bắt gói sẽ thấy sniffer sẽ liên tục gởi các gói arp.

• Hay ta có thể kiểm tra bảng arp trong máy tính Khả năng bị sniff xảy ra nếu thấy có 2 host trong bảng arp

có cùng MAC.

Dựa trên băng thông

• Vì phải liên tục gởi các gói arp ra các host bị sniff nên sniffer sẽ làm giảm băng thông trong mạng.

• Nhưng phương pháp này cũng khó phát hiện được nếu sniffer không sniff nhiều host trong mạng.

Phòng chống passive sniff?

Thay HUB bằng SWITCH để gói tin có thể

chuyển mạch gói Lúc này hiện tượng broadcast

sẽ không xảy ra, các host cũng sẽ không bắt được gói tin nữa

Phòng chống active sniff?

Người quản trị:

• Dùng các công cụ bắt gói để kiểm tra mạng.

• Dùng các công cụ kiểm tra băng thông.

• Dùng thiết bị các thiết bị có khả năng lọc MAC, VLAN trunking, SSL.

• Tắt đi chức năng Netbios.

Người dùng:

• Sử dụng ARP tĩnh.

• Một số công cụ sniff có thể giả CA cho 1 số website nên người dùng cần cẩn thận với các thông báo từ trình duyệt.

ARP static mode in window

Phòng chống active sniff?

Ettercap:

• Dùng monitor mạng.

• Phát hiện các NICs đang trong chế độ lắng nghe.

• Phát hiện các host đang thực hiện hành động đầu độc mạng.

• Cô lập máy tính trong mạng.

Các công cụ khác:

• Đa số các công cụ khác có tính năng cảnh báo.

Ettercap dected sniffer

Ettercap dected promisc NICs