•Packet Sniffer hay Protocol Analyzer là công cụ được sử dụng để chuẩn đoán và phát hiện lỗi hệ thống mạng và các vấn đề liên quan. Packet Sniffer được các Hacker sử dụng với mục đích như theo dõi bí mật Network Traffic và thu thập thông tin mật khẩu người dùng.•Những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân (Binary). Bởi vậy để nghe lén và hiểu được những dữ liệu ở dạng nhị phân này, các chương trình Sniffer phải có tính năng được biết như là sự phân tích các nghi thức (Protocol Analysis), cũng như tính năng giải mã (Decode) các dữ liệu ở dạng nhị phân để hiểu được chúng.
TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TPHCM KHOA CÔNG NGHỆ THÔNG TIN - BÀI BÁO CÁO MÔN AN NINH MẠNG Đề tài: Tìm hiểu thực nghiệm Packet Sniffer Giảng viên hướng dẫn: Th.s Nguyễn Thị Thanh Vân Sinh viên thực hiện: Phan Quốc Dũng 10110016 Nguyễn Thị Hồng 14110072 TP.Hồ Chí Minh, tháng 12 năm 2017 Mục lục Lý thuyết 1.1 1.1.1 Giới thiệu packet sniffer 1.1.2 Packet sniffer sử dụng nào? 1.1.3 Phân loại packet sniffing 1.2 Các phương pháp phát Sniffer hệ thống mạng 1.2.1 Phương pháp dùng Ping 1.2.2 Phương pháp sử dụng ARP 1.2.3 Phương pháp sử dụng DNS 1.2.4 Phương pháp Source-Route 1.2.5 Phương pháp giăng bẫy (Decoy) 1.2.6 Phương pháp kiểm tra chậm trễ gói tin (Latency) .6 1.3 Các khái niệm Packet sniffer .1 Các phương pháp ngăn chặn Sniffer hệ thống mạng 1.3.1 Các hệ thống mạng có nguy Sniffer 1.3.2 Các giao thức có nguy Sniffer 1.3.3 Phương pháp ngăn chặn Sniffer liệu 1.3.4 Phương pháp ngăn chặn Sniffer Password 1.3.5 Phương pháp ngăn chặn Sniffer thiết bị phần cứng .8 Thực nghiệm 2.1 Lấy trộm tài khoản đăng nhập website sniffing với Wireshark network analyzer 2.1.1 Chuẩn bị 2.1.2 Thực KẾT LUẬN 12 TÀI LIỆU THAM KHẢO 13 HÌNH ẢNH Hình 1: Packet sniffer Hình 2: Chương trình Wireshark Hình 3: Wireshark bắt gói tin thơng qua card mạng wifi Hình 4: Máy nạn nhân đăng nhập vào website khơng có bảo mật SSL Hình 5: Gói tin cần tìm với phương thức POST Hình 6: Tên hostname Hình 7: Username Hình 8: Password Lý thuyết 1.1 Các khái niệm Packet sniffer 1.1.1 Giới thiệu packet sniffer Packet Sniffer hay Protocol Analyzer công cụ sử dụng để chuẩn đoán phát lỗi hệ thống mạng vấn đề liên quan Packet Sniffer Hacker sử dụng với mục đích theo dõi bí mật Network Traffic thu thập thơng tin mật người dùng Những giao dịch hệ thống mạng máy tính thường liệu dạng nhị phân (Binary) Bởi để nghe hiểu liệu dạng nhị phân này, chương trình Sniffer phải có tính biết phân tích nghi thức (Protocol Analysis), tính giải mã (Decode) liệu dạng nhị phân để hiểu chúng Đối tượng Sniffing là: o Password (từ Email, Web, SMB, FTP, SQL Telnet) o Các thơng tin thẻ tín dụng o Văn Email o Các tập tin di động mạng (tập tin Email, FTP SMB) Một số ứng dụng Sniffer sử dụng DSNiff, Snort,Cain, Ettercap, Sniffer pro, Wireshark… 1.1.2 Hình 1: Mơ hình Packet sniffer Packet sniffer sử dụng nào? Sniffer thường sử dụng vào mục đích : o Một cơng cụ giúp cho quản trị mạng theo dõi bảo trì hệ thống mạng o Một chương trình cài vào hệ thống mạng máy tính với mục đích đánh hơi, nghe thơng tin đoạn mạng Những điều kiện để Sniffer xảy o Sniff hoạt động mạng Lan , Wan, mạng Wlan o Điều kiện cần dùng chung subnetMark sniffer o Ngồi dùng số tool để bắt phân tích gói tin Một số tính Sniffer : o Các Hacker sử dụng để bắt tên người sử dụng (Username) mật khơng mã hố (Clear Text Password) hệ thống mạng bạn o Giúp nhà quản trị theo dõi thông tin liệu đường truyền Họ đọc hiểu ý nghĩa liệu o Giúp nhà quản trị giám sát lưu lượng hệ thống qua quản trị viên phân tích lỗi mắc phải hệ thống lưu lượng mạng Các Sniffer giúp ghi lại thơng tin gói liệu, phiên truyền… Phục vụ cho cơng việc phân tích, khắc phục cố hệ thống mạng 1.1.3 Phân loại packet sniffing Sniffing chia làm loại là: Passive Sniffing (Sniffing thụ động) Active Sniffing (Sniffing chủ động) a Passive Sniffing Gọi Passive Sniffing attacker thụ động nằm mạng Lan chờ đợi gói liệu gửi bắt lấy chúng Điều hiệu việc âm thầm thu nhập liệu từ mạng Lan o Môi trường : Hoạt động chủ yếu môi trường thiết bị chuyển mạch gói Phổ biến dạng mạch sử dụng HUB hay mạch không dây (Wireless) o Cơ chế hoạt động: Do khơng có thiết bị chuyển mạch gói nên host phải broadcast gói tin mạng từ bắt gói tin lại để xem o Đặc điểm: máy tự boardcast gói nên hình thức sniff khó phát Passive Sniffing thực Sniffing thông qua Hub b Active Sniffing Là Sniffing qua Switch, khó thực dễ bị phát o Môi trường: Chủ yếu hoạt động mơi trường có thiết bị chuyển mạch gói Phổ biến dạng mạng sử dụng Switch o Cơ chế hoạt động: chủ yểu thường sử dụng chế ARP RARP (2 chế chuyển đổi IP sang MAC từ MAC sang IP) cách phát gói tin đầu độc, mà cụ thể phát gói thơng báo cho máy gởi gói tin là: “Tôi người nhận” người nhận o Đặc điểm: phải gởi gói tin nên chiếm băng thông mạng Nên sniffing nhiều mạng lượng gói gởi lớn (do liên tục gởi gói tin giả mạo) dẫn đến nghẽn mạng hay gây tải NIC máy dùng sniffing o Ngồi sniffer dùng số kỹ thuật để ép dòng liệu qua NIC như: MAC flooding: làm tràn nhớ switch từ switch chạy chế độ forwarding mà khơng chuyển mạch gói Giả MAC : sniffer thay đổi MAC thành MAC máy hợp lệ qua chức lọc MAC thiết bị Đầu độc DHCP để thay đổi gateway client Attacker thực loại công sau: o Attacker kết nối đến Switch cách gửi địa MAC nặc danh o Switch xem địa kết hợp với khung (frame) o Máy tính LAN gửi liệu đến cổng kết nối 1.2 Các phương pháp phát Sniffer hệ thống mạng Về mặt lý thuyết khó phát diện chương trình Sniffer hệ thống Bởi chúng bắt cố gắng đọc gói tin, chúng khơng gây xáo trộn hay mát Packet nghiêm trọng đường truyền Tuy nhiên thực tế lại có nhiều cách để phát diện Sniffer Khi đứng đơn lẻ máy tính khơng có truyền thơng khơng có dấu hiệu Tuy nhiên cài đặt máy tính khơng đơn lẻ có truyền thơng, thân Sniffer phát sinh lưu lượng thơng tin Bạn truy vấn ngược DNS để tìm thơng tin liên quan đến địa IP Sau số phương pháp để phát Sniffer 1.2.1 Phương pháp dùng Ping Hầu hết chương trình Sniffer cài đặt máy tính mạng sử dụng TCP/IP Stack Bởi bạn gửi yêu cầu đến máy tính này, chúng phản hồi lại cho bạn kết Bạn gửi yêu cầu phản hồi tới địa IP máy tính mạng (máy mà bạn cần kiểm tra xem có bị cài đặt Sniffer hay không), không thông qua Adapter Ethernet Bằng kỹ thuật Hacker né tránh phương pháp nêu Các Hacker sử dụng MAC Address ảo Rất nhiều hệ thống máy tính có Windows có tích hợp khả MAC Filtering Windows kiểm tra byte Nếu 1.2.2 1.2.3 địa MAC có dạng FF-00-00-00-00-00, đơn giản Windows coi FF-FF-FF-FF-FF-FF Đây sơ hở cho phép Hacker khai thác đánh lừa hệ thống máy tính bạn Kỹ thuật phát Sniffer đơn giản thường sử dụng hệ thống Ethernet dựa Switch Bridge Phương pháp sử dụng ARP Đây phương pháp chủ yếu để attack công o Phương pháp phát Sniffer tương tự phương pháp dùng Ping Khác biệt chỗ sử dụng Packet ARP o Đây dạng công nguy hiểm, gọi Man In The Middle Trong trường hợp giống bị đặt máy nghe lén, phiên làm việc máy gửi nhận diễn bình thường nên người sử dụng khơng hay biết bị cơng Sơ lược q trình hoạt động: o Trên mạng, Host A Host B muốn truyền tin cho nhau, packet đưa xuống tầng Datalink để đóng gói, Host phải đóng gói MAC nguồn, MAC đích Frame Như trước trình truyền liệu, Host phải hỏi địa MAC o Nếu host A khởi động q trình hỏi MAC trước, sẻ hỏi broadcast gói tin ARP request cho tất Host để hỏi MAC host B, lúc Host B có MAC Host A, sau Host B trả lời cho Host A Mac Host B (ARP reply) o Có Host C liên tục gửi ARP reply cho Host A Host B địa Mac Host C, lại đặt lại địa IP Host A Host B, lúc Host A nghĩ máy B có Mac C Như gói tin mà Host A gởi cho Host B bị đưa đến Host C, gói tin Host B trả lời cho Host A đưa đến Host C Nếu Host C bật chức forwarding coi Host A Host B không hay biết bị cơng ARP Phương pháp sử dụng DNS Rất nhiều chương trình Sniffer có tính phân giải ngược địa IP thành DNS mà chúng nhìn thấy (như dsniff) Bởi quan sát lưu lượng truyền thơng DNS bạn phát Sniffer chế độ hỗn tạp (Promiscuous Mode) Để thực phương pháp này, bạn cần theo dõi trình phân giải ngược DNS Server bạn Khi bạn phát hành 1.2.4 1.2.5 1.2.6 động Ping liên tục với mục đích thăm dò đến địa IP khơng tồn hệ thống mạng bạn Tiếp hành động cố gắng phân giải ngược địa IP biết từ Packet ARP Khơng khác hành động chương trình Sniffer Phương pháp Source-Route Phương pháp sử dụng thông tin địa nguồn địa đích Header IP để phát hành động Sniffer đoạn mạng Tiến hành ping từ máy tính đến máy tính khác Nhưng tính Routing máy tính nguồn phải vơ hiệu hố Hiểu đơn giản làm để gói tin khơng thể đến đích Nếu bạn thấy trả lời, đơn giản hệ thống mạng bạn bị cài đặt Sniffer Để sử dụng phương pháp bạn cần sử dụng vào vài tuỳ chọn Header IP Để Router bỏ qua địa IP đến tiếp tục chuyển tiếp đến địa IP tuỳ chọn Source-Route Router Phương pháp giăng bẫy (Decoy) Tương tự phương pháp sử dụng ARP sử dụng phạm vi mạng rộng lớn (gần khắp nơi) Rất nhiều giao thức sử dụng Password không mã hoá đường truyền, Hacker coi trọng Password này, phương pháp giăng bẫy thoả mãn điều Đơn giản bạn cần giả lập Client sử dụng Service mà Password không mã hố : POP, FTP, Telnet, IMAP Bạn cấu hình User khơng có quyền hạn, hay chí User khơng tồn Khi Sniffer thơng tin Hacker tìm cách kiểm tra, sử dụng khai thác chúng Phương pháp kiểm tra chậm trễ gói tin (Latency) Phương pháp làm giảm thiểu lưu thông hệ thống mạng bạn Bằng cách gửi lượng thông tin lớn đến máy tính mà bạn nghi bị cài đặt Sniffer Sẽ khơng có hiệu ứng gí đáng kể máy tính hồn tồn khơng có Bạn ping đến máy tính mà bạn nghi ngờ bị cài đặt Sniffer trước thời gian chịu tải thời gian chị tải Để quan sát khác thời điểm Tuy nhiên phương pháp không hiệu Bản thân Packet IP gửi đường truyền gây trậm trễ thất lạc Cũng Sniffer chạy chế độ “User Mode” xử lý độc lập CPU cho kết không xác 1.3 Các phương pháp ngăn chặn Sniffer hệ thống mạng 1.3.1 Các hệ thống mạng có nguy Sniffer Cable Modem DSL ADSL Switched Network Wireless like IEEE 802.11 a.k.a AirPort (hệ thống mạng khơng dây) 1.3.2 Các giao thức có nguy Sniffer Telnet Rlogin : ghi lại thông tin Password, usernames HTTP: Các liệu gởi mà khơng mã hóa SMTP : Password liệu gởi khơng mã hóa NNTP : Password liệu gởi khơng mã hóa POP : Password liệu gởi không mã hóa FTP : Password liệu gởi khơng mã hóa IMAP : Password liệu gởi khơng mã hóa 1.3.3 Phương pháp ngăn chặn Sniffer liệu Có lẽ cách đơn giản để ngăn chặn kẻ muốn Sniffer liệu sử dụng giao thức mã hoá chuẩn cho liệu đường truyền Khi mã hoá liệu, kẻ cơng ác ý Sniffer liệu, chúng lại khơng thể đọc o SSL (Secure Socket Layer): Một giao thức mã hoá phát triển cho hầu hết Webserver, Web Browser thông dụng SSL sử dụng để mã hố thơng tin nhạy cảm để gửi qua đường truyền như: Số thẻ tin dụng khách hàng, password thông tin quan trọng o PGP S/MIME: E-mail có khả bị kẻ công ác ý Sniffer Khi Sniffer E-mail không mã hố, chúng khơng biết nội dung mail, mà chúng biết thơng tin địa người gửi, địa người nhận…Chính để đảm bảo an tồn tính riêng tư cho Email bạn cần phải mã hố chúng S/MIME tích hợp hầu hết chương trình gửi nhận Mail Netscape Messenger, Outlock Express…PGP giao thức sử dụng để mã hố E-mail Nó có khả hỗ trợ mã hoá DSA, RSA lên đến 2048 bit liệu o OpenSSH: Khi bạn sử dụng Telnet, FTP…2 giao thức chuẩn khơng cung cấp khả mã hố liệu đường truyền Đặc 1.3.4 1.3.5 biệt nguy hiểm khơng mã hố Password, chúng gửi Password qua đường truyền dạng Clear Text Điều xảy liệu nhạy cảm bị Sniffer OpenSSH giao thức đời để khắc phục nhược điểm này: SSH (sử dụng thay Telnet), SFTP (sử dụng thay FTP)… o VPNs (Virtual Private Networks): Được sử dụng để mã hố liệu truyền thơng Internet Tuy nhiên Hacker cơng thoả hiệp Node của kết nối VPN đó, chúng tiến hành Sniffer Một ví dụ đơn giản,là người dùng Internet lướt Web sơ ý để nhiễm RAT (Remoto Access Trojan), thường loại Trojan thường có chứa sẵn Plugin Sniffer Cho đến người dùng bất cẩn thiết lập kết nối VPN Lúc Plugin Sniffer Trojan hoạt động có khả đọc liệu chưa mã hoá trước đưa vào VPN Để phòng chống công kiểu này: bạn cần nâng cao ý thức cảnh giác cho người sử dụng hệ thống mạng VPN bạn, đồng thời sử dụng chương trình qt Virus để phát ngăn chặn khơng để hệ thống bị nhiễm Trojan Phương pháp ngăn chặn Sniffer Password Để ngăn chăn kẻ công muốn Sniffer Password Bạn đồng thời sử dụng giao thức, phương pháp để mã hoá password sử dụng giải pháp chứng thực an toàn (Authentication): o SMB/CIFS: Trong mơi trường Windows/SAMBA bạn cần kích hoạt tính LANmanager Authencation o Keberos: Một giải pháp chứng thực liệu an toàn sử dụng Unix Windows o Stanford SRP (Secure Remote Password): Khắc phục nhược điểm khơng mã hố Password truyền thơng giao thức FTP Telnet Unix Phương pháp ngăn chặn Sniffer thiết bị phần cứng Việc thay Hub bạn Switch, cung cấp phòng chống hiệu Switch tạo “Broadcast Domain” có tác dụng gửi đến kẻ cơng gói ARP khơng hợp lệ (Spoof ARP Packet) Tuy nhiên Hacker có cách thức khéo léo để vượt qua phòng thủ Các yêu cầu truy vấn ARP chứa đựng thơng tin xác từ IP MAC người gửi Thông thường để giảm bớt lưu lượng ARP đường truyền, đa số máy tính đọc sử dụng thông tin từ đệm (Cache) mà chúng truy vấn từ Broadcast Bởi Hacker Redirect máy tính gần để vượt qua phòng thủ cách gửi gói ARP chứa đựng thơng tin địa IP Router đến địa MAC Tất máy tính hệ thống mạng cục nhầm tưởng Router thiết lập phiên truyền thông qua máy tính Một công DOS tương tự hệ thống mạng cục bộ, thành công đá văng mục tiêu mà họ muốn công khỏi mạng bắt đầu sử dụng địa IP máy tính vừa bị công Những kẻ công khéo léo thừa kế sử dụng kết nối Bản thân Windows phát hành động này, khơng hành động mà lại tử tế đóng Stack TCP/IP cho phép kết nối tiếp tục Để phòng chống lại công dạng bạn cần sử dụng công cụ IDS (Intrusion Detecte Service) Các IDS BlackICE IDS, Snort tự động phát cảnh báo công dạng Hầu hết Adapter Ethernet cho phép cấu hình địa MAC tay Hacker tạo địa Spoof MAC cách hướng vào địa Adapter Để khắc phục điều này, hầu hết Switch khơng cho phép tự ý cấu hình lại địa MAC Thực nghiệm 2.1 Lấy trộm tài khoản đăng nhập website sniffing với Wireshark network analyzer 2.1.1 Chuẩn bị Máy công máy nạn nhân kết nối qua mạng LAN sử dụng chế broadcast (wifi) Phần mềm Wireshark Winpcap máy công 2.1.2 Thực Khởi động Wireshark, chọn cổng kết nối mạng muốn bắt gói tin Hình 2: Chương trình Wireshark Bắt đầu bắt gói tin qua router Hình 3: Wireshark bắt gói tin thơng qua card mạng wifi Hình 4: Máy nạn nhân đăng nhập vào website khơng có bảo mật SSL Trên Wireshark tìm gói tin có Protocol HTTP Info có phương thức POST (có thể lọc chức filter Wireshark) Hình 5: Gói tin cần tìm với phương thức POST Right-click vào gói tin chọn Follow HTTP Stream, cửa sổ lên với thông tin hostname, location, cookie, liệu bị mã hóa khác Trong có username password dạng plantext Hình 6: Tên hostname Hình 7: Username Hình 8: Password KẾT LUẬN Packet sniffing kỹ thuật công mạng dạng bị động (passive) nên khó phát khơng đem lại thay đổi (cụ thể) đến hệ thống mạng Tổn thất mà đem lại lớn (tài khoản đăng nhập, thơng tin thẻ tín dụng, email, …) Cần phải sử dụng biện pháp phòng chống nghe trộm gói tin dù người dùng cá nhân hay công ty, hệ thống lớn Người dùng cá nhân nên xác nhận độ tin cậy website trước đăng nhập, gửi email hay sử dụng thơng tin tín dụng Các hệ thống lớn cần phải thiết lập kết nối an toàn cho thiết bị mạng server kỹ thuật an ninh mạng SSL, TLS, SSH, IDS, … TÀI LIỆU THAM KHẢO How to use a free packet sniffer - https://www.pluralsight.com/blog/itops/free-packet-sniffer Introducing to Packet Sniffing - https://www.lifewire.com/introduction-topacket-sniffing-2486803 How to protect a home network from packet sniffers https://www.flashrouters.com/blog/2017/10/31/how-to-protect-yourselffrom-packet-sniffers/ ... Một số ứng dụng Sniffer sử dụng DSNiff, Snort,Cain, Ettercap, Sniffer pro, Wireshark… 1.1.2 Hình 1: Mơ hình Packet sniffer Packet sniffer sử dụng nào? Sniffer thường sử dụng vào mục đích :... Packet sniffer 1.1.1 Giới thiệu packet sniffer Packet Sniffer hay Protocol Analyzer công cụ sử dụng để chuẩn đoán phát lỗi hệ thống mạng vấn đề liên quan Packet Sniffer Hacker sử dụng với mục... 1.1 1.1.1 Giới thiệu packet sniffer 1.1.2 Packet sniffer sử dụng nào? 1.1.3 Phân loại packet sniffing 1.2 Các phương pháp phát Sniffer hệ thống mạng