Module Sniffer Những Nội Dung Chính Trong Chương Này Sniffer Là Gì ? Những Giao Thức Dễ Bị Tấn Công Bởi Sniffer Các Công Cụ Sniffer Active Sniff Passive Sniff Thế ARP Poisoning ? Wireshark Capture Và Ứng Dụng Bộ Lọc MAC Flooding DNS Spoofing Cách Phòng Chống Sniffer Sniffer Là Gì ? Sniffer thuật ngữ thường dùng điệp viên, ám việc nghe thông tin đối phương Trong môi trường bảo mật thông tin sniffer công cụ có khả chặn bắt gói tin trình truyền hiển thị dạng giao diện đồ họa hay dòng lệnh để theo dõi dễ dàng Một số ứng dụng sniffer cao cấp đánh cắp gói tin mà ráp chúng lại thành liệu ban đầu thư điện tử hay tài liệu gốc Sniffer dùng để đánh chặn liệu hai hệ thống tùy thuộc vào công cụ chế bảo mật thiết lập mà hacker đánh cắp thông bí mật tài khoản người dùng mật đăng nhập vào Web, FTP, Email, POP3/SMTP hay tin nhắn nhanh chương trình Yahoo ! Messenger, Skype, ICQ Trong chương thảo luận cách làm việc sniffer công cụ nghe hàng đầu Hình 8.1 – Khi card mạng hoạt động chế độ promiscous, máy tính trở thành sniffer Lưu ý : Thuật ngữ packet (gói tin) dùng để mô tả liệu tầng mạng, lớp mô hình OSI frame đề cập đến liệu tầng Data Link ( lớp 2) Các frame chứa địa MAC packet chứa địa IP Những Giao Thức Dễ Bị Tấn Công Bởi Sniffer Thông thường, máy tính tiếp nhận gói tin có địa đến trùng với địa MAC card mạng, máy tính cài đặt ứng dụng sniffer chúng tiếp nhận tất thông tin cho dù địa IP nhận có trùng lắp với địa MAC hay không, máy tính hoạt động chế độ gọi promicouse mode Hình 8.1, chế độ đặc biệt mà tổ chức cho phép quản trị hệ thống hay người thuộc bổ phận hỗ trợ kỹ thuật phép sử dụng Để hoạt động chế độ ứng dụng sniffer cài đặt thêm chương trình điều khiển đặc biệt cho card mạng, hầu hết chương trình sniffer thông dụng thực chức Bất kì giao thức không thực mã hóa 1iệu nguyên tắt bị hacker công qua hình thức sniffer Những giao thức thông dụng HTTP, POP3, Simple Network Mnagement Protocol (SNMP), giao thức truyền tập tin FTP bị sniffer đánh cắp liệu dễ dàng thông tin đăng nhập gởi dạng cleartext (không mã hóa) Hình 8.2 - Các ứng dụng thông tin dễ bị công sniffer Xem thêm phần giới thiệu Sniffer : http://youtu.be/Y61vSLzv-v0 Các Công Cụ Sniffer Sniffer sử dụng hacker mà chuyên gia bảo mật hày quản trị mạng thường hay sử dụng chúng để dò tìm lỗi, khắc phục cố hay tìm kiếm luồng thông tin bất thường hệ thống mạng Một ứng dụng WireShark, mà phiên cũ có tên gọi Ethereal Hiện nay, WireShark xếp hạng số danh sách công cụ bảo mật hàng đâu giới, hay công cụ yêu thích bở hacker chuyên gia bảo mật bình chọn địa http://sectools.org/ mạnh mẽ nó, Wiresharke ứng dụng nguồn mở hoàn toàn miễn phí, hoạt động hệ thống Windows, Linux hay MAC Ngoài Wiresharke chương trình nguồn mở khác Snort có khả hoạt động sniffer việc nghe gói tin Tuy nhiên Snort tiếng hệ thống dò tìm xâm phạm trái phép hiệu quả, với khả phát có mặt virus Conflicker, công mạng scan port, công CGI, giả mạo Server Message Block (SMB) hay dò tìm OS fingerpringting Hình 8.3 - Danh sách số công cụ sniffer Active Sniff Passive Sniff Có hai dạng nghe mạng nghe chủ động nghe bị động mà gọi thuật ngữ tương ứng active sniff passive sniff Trong hai dạng nghe passive sniff thường khó phát hacker tiến hành lắng nghe đường truyền bắt giữ lại gói tin mà tác động đáng kể vào hệ thống, thường phương pháp hay ứng dụng môi trường mạng kết nối qua thiết bị hub Vào khoảng đầu năm 2011 công tác công ty Cyrus nhân viên cố tình chặn bắt thông điệp thư điện tử phòng quản trị thông qua chế Passive Sniff bị phát Trong đó, active sniff hay nghe chủ động tiến hành gởi tìn hiệu giả mạo ARP (Address Resolution Protocol) hay sử dụng công cụ làm cho hệ thống mạng hoạt động Switch (các chuyển mạch) bị ngập tràn gói tin, thông qua hacker đánh cắp liệu quan trọng người dùng trình truyền Với phương pháp hacker nhanh chóng đạt mục tiêu bù lại dò tìm phát tiến hành công Vậy dạng nghe thành công ? Đó môi trường mạng kết nối thông qua thiết bị hub gói tin gởi dạng broadcast, nghĩa tất máy tính nhận liệu cho dù địa nhận có trùng lắp với địa MAC hay không, hacker cần đặt hệ thống vào chế độ promocouse nghe thông tin cách dễ dàng với công cụ dsniff Còn hệ thống mạng sử dụng Switch khác, tình máy tính truyền thông với theo chế trực tiếp không truyền theo dạng broadcast tình trên, chi có máy tính có địa MAC trùng khợp với địa đích gói tin nhận liệu truyền, làm cho hệ thống bị nghẽn mạng mà phòng tránh dạng công theo hình thức Passive Sniff Thế ARP Poisoning ? Mặc dù hệ thống dùng switch bảo vệ bạn trước dạng công passive sniff chất, giao thức phân giả địa MAC ARP dễ bị tổn thưong hacker sử dụng phương pháp “đầu độc ARP” mà theo thuật ngữ CEH ARP Poisoning Vậy ARP Poisoning mà nguy hiểm đến Để hiệu rõ bạn nên cài thử ứng dụng Wiresharke máy tính sau giám sát trình Ping đơn giãn để gởi thông điệp ICMP ECHO Request đến máy tính khác mạng thấy kết trả máy dang hoạt động, theo dõi qua chương trình giám sát thấy máy truyền dùng giao thức ARP tung tìn hiệu theo dạng broadcast để hỏi xem địa MAC máy nhận máy ? Khi hệ thống mạng hoạt động bình thường nhận câu trả lời từ chủ nhân địa MAC gởi về, có hacker chạy tiến trình đầu độc ARP bạn nhận kết giả mạo với địa MAC máy tính hacker thông qua công cụ đầu độc ARP hàng đầu Cain, Ettercap Kết thay máy tính mở chương trình duyệt mail ThunderBird cần kết nối đến default gateway để truyền thông tin đăng nhập đến mail server liệu riêng tư lại gởi đến cho hacker, sau bắt giữ tài khoản password người dùng máy giả mạo truyền liệu đến máy chủ email thật nhằm bảo dảm phiên truyền diễn thành công nạn nhân không hay biết bị công Đây ví dụ điển hình dạng công Man In The Middle hay hiểu theo nghĩa đen “người đàn ông đứng giữa” Demo công Man In The Middle : http://youtu.be/RVn6vfYGi1E Hướng dẫn sử dụng Yahoo Monitor Sniffer : http://youtu.be/vnFBsRJ82ZY Để ngăn ngừa bị đầu độc ARP bạn cần gán tĩnh thông tin địa MAC máy tính cần truyền thay cập nhật động cách mặc định Trên hệ thống Windows bạn sử dụng lệnh arp –s để cập nhật tĩnh thông tin địa MAC cho máy tính hình minh họa sau : Tuy nhiên, hệ thống mạng lớn phương pháp gặp nhiều trở ngại, hệ thống mạng sử dụng switch bạn nên cấu hình chế port-base security phép địa MAC hoạt động port Wireshark Capture Và Ứng Dụng Bộ Lọc Như giới thiệu trước đây, Wiresharke phiên nâng cao Ethereal hoàn toàn miễn phí (download http://www.wireshark.org/download.html) Chương trình có khả bắt giữ hầu hết gói tin truyền hệ thống mạng với giao thức khác Vì Wiresharke thường hacker chuyên gia bảo mật sử dụng trình nghe hay chẩn đoán, khắc phục cố mạng Tuy nhiên, truyền thông mạng nhiều làm cho kết thị bị tràn ngập thông tin làm cho khó theo dõi, bạn cần nắm số lọc để loại bốt kết không cần thiết thị hay bắt giữ thông tin đáng quan tâm Sau số ví dụ ứng dụng lọc WireSharke : ip.dst eq www.eccouncil.org— Thiết lập bắt giữ gói tin có địa đích trang web www.eccouncil.org ip.src == 192.168.1.1— Thiết lập bắt giữ gói tin đến từ máy tính có địa IP 192.168.1.1 eth.dst eq ff:ff:ff:ff:ff:ff — Thiết lập bắt giữ gói tin gởi dạng broadcast lớp mô hình OSI Các bạn tham khảo video hướng dẫn Wiresharke phân tích trình Three-way Handshake : http://www.youtube.com/watch?v=5zOGCHqre84 Hình 8.4 - Hướng dẫn dùng Wireshark MAC Flooding Như vậy, bạn thấy khác biệt dạng công passive sniff active sniff sử dụng tùy theo hệ thống mạng dùng hub hay switch Với chế đầu độc ARP hacker giả mạo địa MAC để bắt giữ thông tin trái phép Ngoài phương pháp hacker sử dụng công cụ làm tràn ngập mạng gói tin hay tín hiệu ARP giả mạo để thiết bị switch không hoạt động theo chế truyền trực tiếp mà phải chuyển qua cách truyền thông broadcast thông thường thiết bị hub hay dùng Điều xảy hệ thống mạng có nhiều tiến trình đầu độc ARP diễn Ettercap, lúc bạn thấy đèn tín hiệu thiết bị switch nhấp nhày liên tục hay chí bị treo buộc phải khởi động lại hoạt động Kỹ Thuật DNS Spoofing Spoofing có nghĩ giả mạo, thuật ngữ DNS Spoofing hay gọi DNS poisoning kỹ thuật cho máy chủ DNS chấp nhận thông tin phân giải địa IP giả mạo lưu trữ thông tin liệu cache, sau gởi cho máy trạm (DNS client) máy có nhu cầu phân giải thông tin DNS bị hacker giả mạo Ví dụ bạn muốn truy cập vào trang web www.netpro.edu.vn lại bị phân giải qua địa IP www.security365.vn Điều thật nguy hiêm truy cập vào trang paypal hay tài khoản ngân hàng trực tuyến để thực giao dịch lại bị dẫn sang web giả mạo có chủ ý đánh cắp tài khoản người dùng Đây hình thức công nguy hiểm người dùng khó mà phát “tin tưởng” vào máy chủ DNS mà cấu hình hay cấu hình Để công theo hình thức hacker tìm cách khai thác máy chủ DNS bị lỗi để buộc chúng chấp nhận thông tin không hợp lệ, hình thức công gián tiếp tác động mạnh lên kết phân giải người dùng Không giống môi trường thật, nghi ngờ nhận dẫn sai để đến nơi đó, máy tính hoàn toàn tin tưởng nhận đáp ứng từ nơi mà chúng cho xuất phát từ nguồn tin cậy Sau số kỹ thuật DNS Spoofing thông dụng : Intranet spoofing—hoạt động thiết bị lớp mạng nội Internet spoofing—hoạt động thiết bị internet Proxy server DNS poisoning—thay đổi mục DNS proxy server để chuyển hướng người dùng đến trạm đích khác DNS cache poisoning— thay đổi mục DNS hệ thống để chuyển hướng người dùng đến trạm đích khác Các Công Cụ Tấn Công DNS Spoofing EtherFlood : Được sử dụng để làm tràn ngập hệ thống Ethernet switch làm hoạt động hub Với cách hacker bắt giữ tất truyền thông lớp mạng gói tin gởi nhận từ máy họ Dsniff : Gồm tập hợp nhiều công cụ khác chạy Windows Linux (tuy nhiên sử dụng Dsniff Linux đạt hiệu tốt với đầy đủ tính nang nó) Những chức mà dsniff cung cấp gồm có bắt giữ thông điệp thư điện tử với mailsnarf, bắt giữ tập tin với filesnarf, đánh cắp thông điệp chat với msgsnarf… Tuy nhiên, ứng dụng hoạt động hiệu môi trường hub với chế passsive sniff, hệ thống mạng sử dụng Ethernet switch dsniff tác dụng Packet Crafter : Được dùng để tạo gói tin TCP/UDP tùy biến lại ví dụ đổi địa nguồn gói tin hay thiết lập cờ theo mục đích riêng hacker đặt cờ RST yêu cầu hệ thống nhận phải reset lại kết nối, sữa đổi giá trị sequence number … Cain & Able : Mặc dù dsniff tác dụng môi trường mạng chuyển mạch với thiết bị switch, hacker sử dụng Cain & Able với sức mạnh nhiều có khả chặn bắt gói tin thông qua bước đầu độc ARP để điều hướng liệu nhạy cảm máy hacker đánh cắp thông tin nhạy cảm người dùng Ngoài ra, cain & Able có khả bắt gói tin voice ip Skype, giả mạo chứng điện tử để thâm nhập hộp thư Gmail, Yahoo hay bẻ khóa mật hệ thống mạng không dây, mật mã hóa với MD5 SMAC : Dùng để thay đổi địa MAC hệ thống, cho phép hacker giả mạo địa phần cứng công vào mục tiêu đó, qua mặt chế kiểm tra dựa địa MAC MAC Changer : Công cụ dùng để thay đổi địa MAC Unix/Linux, cho phép hacker giả mạo địa phần cứng thông tin nhà sản xuất WinDNSSpoof : Một công cụ đơn giãn chạy Windows dùng để giả mạo địa thông tin DNS Thông thường, hacker kết hợp WinDNSSpoof với ứng dụng có khả đầu độc ARP để mang lại hiệu cho WinDNSSpoof hệ thống mạng dùng thiết bị swicth Distributed DNS Flooder : Có khả gởi số lượng lớn yêu cầu truy vấn đến máy chủ DNS, tạo công từ chối dịch vụ (DOS) khiến cho máy chủ DNS đáp ứng yêu cầu thật máy khách Cách Phòng Chống Sniffer Để phòng chống bị nghe hay đánh cắp thông tin cần cẩn thận truy cập hệ thống mạng công cộng sân bay, quán cà phê wifi Trong trường hợp cần phải kiểm tra thư hay truy cập thông tin bí mật hệ thống mạng không an toàn nên sử dụng chế mã hóa hay dùng VPN Có giải pháp VPN miễn phí hiệu môi trường mạng không dây giải pháp dùng Hot Pot Shield (http://anchorfree.com/) Ngoài ra, bạn cài đặt chương trình dò tìm phát sniffer mạng XARP, ứng dụng cảnh báo phát có dấu hiệu khả nghi xuất có máy tính hoạt động chế độ promicouse hay tiến hành ARP poisoning Các bạn download chương trình XARP http://www.chrismc.de Nếu hệ thống mạng quản lý thông qua máy chủ Active Directory giải pháp phòng chống đơn giãn đề cập cấu hình địa MAC tĩnh default gateway cho tất máy tính thông qua sách an ninh toàn vùng kết hợp với kịch chạy khởi động, để tất máy tính đề cập nhập thông tin sau khởi động Vì cập nhật thông tin thông qua lệnh arp –s thông thường máy tính khởi động lại liệu bị xóa Các bạn tham khảo hướng dẫn phòng chống sniffer theo chế đại http://www.youtube.com/watch?v=SfW3a-KZdPo Tổng Kết Như vậy, chương thảo luận chủ đế quan trọng công dạng nghe Các bạn phân biệt Active Sniff Passive Sniff MAC Flooding, DNS Spoofing kèm theo giả pháp phòng chống thích hợp Có thực hành phòng chống sniffer mà trình bày trogn chương trình đào tạo CEH sử dụng công cụ AntiNetcut 3, ứng dụng chạy hệ thống Windows XP, Windows hoàn toàn miễn phí Khi cài đặt công cụ bạn bảo vệ khỏi dòm ngó sniffer cách tư động Trong chương tới tìm hiểu dạng công phi kỹ thuật Social Engineering 10