Đang tải... (xem toàn văn)
phát hiện và phòng chống nghe trộm trong lan
Đề tài môn Security+ PHÁT HIỆN VÀ PHÒNG CHỐNG NGHE TRỘM TRONG LAN Học viên: Phan Xuân Bách Giáo viên hướng dẫn: Võ Đỗ Thắng ATHENA Nghe trộm (sniff) là gì? Sniffer là một hình thức nghe lén trên hệ thống mạng, dựa trên những đặc điểm của cơ chế TCP/IP. Sniffer là một kỹ thuật bảo mật, được phát triển nhằm giúp đỡ những nhà Quản trị mạng. ATHENA Sniff dùng để làm gì? Được phát triển để thu thập các gói tin trong hệ thống. Mục đích ban đầu: Giúp nhà quản trị mạng quản lý tốt hệ thống. Biến thể của Sniffer là các chương trình nghe lén bất hợp pháp như: Chương trình nghe lén Yahoo, MSN, ăn cắp password Email v.v. Sniffer hoạt động chủ yếu dựa trên phương thức tấn công ARP ATHENA Điều kiện sniff? Sniff có thể hoạt động trong mạng LAN, mạng WAN, mạng WLAN. Điều kiện cần chỉ là cùng chung Subnet Mark khi Sniffer. ATHENA Có bao nhiêu loại sniff? Active sniff • Chủ yếu trong môi trường mạng sử dụng SWITCH. • Hoạt động chủ yếu dựa trên cơ chế thay đổi đường đi của dòng dữ liệu. Passive sniff • Chủ yếu trong môi trường mạng sử dụng HUB. • Hoạt động dựa trên cơ chế broadcast gói tin trong mạng. ATHENA Các phương pháp thay đổi dòng dữ liệu Arp poisoning: thay đổi thông tin ARP. MAC duplicating: làm switch mất tính năng chuyển mạch gói. DHCP spoofing: thay đổi thông tin của DHCP. DNS spoofing: làm phân giải sai tên miền Face MAC: giả mạo MAC của máy khác ATHENA Active sniff? Host A và Host B là 2 Máy tính đang “nói chuyện” với nhau, Host C là “Sniffer”. Ở Host A trên bảng ARP có lưu địa chỉ IP và MAC tương ứng của Host B. Ở Host B trên bảng ARP có lưu địa chỉ IP và MAC tương ứng của Host A Host C thực hiện quá trình nghe lén: Host C gửi các gói ARP tới cả Host A và Host B có nội dung sau: “ tôi là A, B, MAC và IP của tôi là XX, YY” ATHENA ATHENA ATHENA Passive sniff? Xem các gói tin trong mạng từ Host A qua Host B thông qua quá trình broadcast gói tin trong mạng. Nguyên nhân: Do môi trường mạng hoạt động không chuyển mạch gói tin. [...]...Active và Passive sniff? Gi ng: • Th a đi u ki n sniff • Cùng ch c năng sniff Khác: • Active: – Môi trư ng m ng có switch – Đ u đ c ARP • Passive: – Môi trư ng m ng có hub – B t gói do quá trình broadcast gói tin ATHENA Phát hi n sniff? Passive: • Khó có kh năng phát hi n, vì b t kỳ host nào trong m ng cũng có th b t đư c gói tin Active: • D a trên quá trình đ u đ c ARP trong m ng • Băng thông trong. .. b các thi t b có kh năng l c MAC, VLAN trunking, SSL • T t đi ch c năng Netbios Ngư i dùng: • S d ng ARP tĩnh • M t s công c sniff có th gi CA cho 1 s website nên ngư i dùng c n c n th n v i các thông báo t trình duy t ATHENA ARP static mode in window ATHENA Phòng ch ng active sniff? Ettercap: • • • • Dùng monitor m ng Phát hi n các NICs đang trong ch đ l ng nghe Phát hi n các host đang th c hi n hành... arp ra các host b sniff nên sniffer s làm gi m băng thông trong m ng • Nhưng phương pháp này cũng khó phát hi n đư c n u sniffer không sniff nhi u host trong m ng ATHENA Phòng ch ng passive sniff? Thay HUB b ng SWITCH đ gói tin có th chuy n m ch gói Lúc này hi n tư ng broadcast s không x y ra, các host cũng s không b t đư c gói tin n a ATHENA Phòng ch ng active sniff? Ngư i qu n tr : • Dùng các công... trong m ng • D ng gói tin ATHENA Phát hi n active sniff? D a trên quá trình đ u đ c ARP • Vì ph i đ u đ c arp nên sniffer s ph i liên t c g i các gói arp t i các host b sniff • Do đó phát hi n lo i sniff này n u ta có chương trình b t gói s th y sniffer s liên t c g i các gói arp • Hay ta có th ki m tra b ng arp trong máy tính Kh năng b sniff x y ra n u th y có 2 host trong b ng arp có cùng MAC D a trên... mode in window ATHENA Phòng ch ng active sniff? Ettercap: • • • • Dùng monitor m ng Phát hi n các NICs đang trong ch đ l ng nghe Phát hi n các host đang th c hi n hành đ ng đ u đ c m ng Cô l p máy tính trong m ng Các công c khác: • Đa s các công c khác có tính năng c nh báo ATHENA Ettercap dected sniffer ATHENA Ettercap dected promisc NICs ATHENA . môn Security+ PHÁT HIỆN VÀ PHÒNG CHỐNG NGHE TRỘM TRONG LAN Học viên: Phan Xuân Bách Giáo viên hướng dẫn: Võ Đỗ Thắng ATHENA Nghe trộm (sniff) là gì? Sniffer là một hình thức nghe lén trên hệ. window ATHENA Phòng chống active sniff? Ettercap: • Dùng monitor mạng. • Phát hiện các NICs đang trong chế độ lắng nghe. • Phát hiện các host đang thực hiện hành động đầu độc mạng. • Cô lập máy tính trong. tin. ATHENA Phát hiện sniff? Passive: • Khó có khả năng phát hiện, vì bất kỳ host nào trong mạng cũng có thể bắt được gói tin. Active: • Dựa trên quá trình đầu độc ARP trong mạng. • Băng thông trong