Nghe lén(nghe lén) được hiểu đơn giản như là việc cố gắng nghe ngóng các gói tin được truyền trên mạng, có thể là hợp pháp cũng có thể bất hợp pháp. Về mặt tích cực, nghe lén giúp người quản trị theo dõi hệ thống mạng của mình, giúp ích rất nhiều trong việc quản trị và tìm ra sự cố. Về tiêu cực, các hacker có thể sử dụng nghe lén để cố ích tìm ra các thông tin nhạy cảm. Các gói tin được truyền trên mạng đều mang thông tin dưới dạng nhị phân, chính vì vậy các chương trình nghe lén đều có chức năng giải mã nhị phân và hiện thị thông tin dưới ngôn ngữ có thể hiểu được. Việc nghe lén chủ yếu xảy ra trong cùng một mạng LAN, các hacker phải chiếm được một máy trong cùng một subnet với client. Việc này đỏi hỏi phải tiếp cấn vật lý như ngồi cùng quán cà phê, trong cùng phòng làm việc, sử dụng chung mạng công cộng… Tuy nhiên việc này cũng có thể thực hiện từ xa bằng cách cài các chương trình trên một máy client và gửi thông tin nghe lén về cho hacker.
Báo cáo Sinh viên: 14520214 – Huỳnh Tấn Duy Sinh viên: 14520541 – Đỗ Bá Tứ Mỹ Sinh viên: 14520812 – Bùi Minh Thái Sinh viên: 14520817 – Dương Hồng Thái Sinh viên: 14520842 – Nguyễn Hoàng Thanh SNIFFING NGHE LÉN TRÊN KHƠNG GIAN MẠNG Mơn học Bảo mật Internet Giảng viên: Tô Nguyễn Nhật Quang Sinh viên: 14520214 – Huỳnh Tấn Duy Sinh viên: 14520541 – Đỗ Bá Tứ Mỹ Sinh viên: 14520812 – Bùi Minh Thái Sinh viên: 14520817 – Dương Hồng Thái Sinh viên: 14520842 – Nguyễn Hoàng Thanh Báo cáo Sinh viên: 14520214 – Huỳnh Tấn Duy Sinh viên: 14520541 – Đỗ Bá Tứ Mỹ Sinh viên: 14520812 – Bùi Minh Thái Sinh viên: 14520817 – Dương Hồng Thái Sinh viên: 14520842 – Nguyễn Hoàng Thanh Mục Lục Giới thiệu nghe lén: 1.1 Nghe lén(nghe lén) gì? 1.2 Mối đe dọa từ nghe lén? 1.3 Cơ chế hoạt động nghe lén? 1.4 Mục đích nghe lén? 1.5 Phân loại nghe .5 Các kiểu nghe phổ biến: 2.1 Tấn công vào bảng CAM 2.2 Tấn công vào DHCP 2.3 Tấn công đầu độc ARP .9 2.4 Tấn công giả mạo MAC 10 2.5 Nghe hợp pháp 10 Cách phát phòng chống nghe lén: 11 3.1 Cách phát nghe 11 3.2 Cách phòng chống nghe 11 Báo cáo Sinh viên: 14520214 – Huỳnh Tấn Duy Sinh viên: 14520541 – Đỗ Bá Tứ Mỹ Sinh viên: 14520812 – Bùi Minh Thái Sinh viên: 14520817 – Dương Hồng Thái Sinh viên: 14520842 – Nguyễn Hoàng Thanh Giới thiệu nghe lén: 1.1 Nghe lén(nghe lén) gì? - Nghe lén(nghe lén) hiểu đơn giản việc cố gắng nghe ngóng gói tin truyền mạng, hợp pháp bất hợp pháp - Về mặt tích cực, nghe giúp người quản trị theo dõi hệ thống mạng mình, giúp ích nhiều việc quản trị tìm cố Về tiêu cực, hacker sử dụng nghe để cố ích tìm thơng tin nhạy cảm - Các gói tin truyền mạng mang thông tin dạng nhị phân, chương trình nghe có chức giải mã nhị phân thị thông tin ngơn ngữ hiểu - Việc nghe chủ yếu xảy mạng LAN, hacker phải chiếm máy subnet với client Việc đỏi hỏi phải tiếp cấn vật lý ngồi quán cà phê, phòng làm việc, sử dụng chung mạng cơng cộng… Tuy nhiên việc thực từ xa cách cài chương trình máy client gửi thông tin nghe cho hacker 1.2 Mối đe dọa từ nghe lén? - Hiện đa số người dùng internet không ý thức nguy dùng chung mạng công cộng wifi quán phê… nên việc thực công dễ dàng Tình hình thực tế đại đa số điểm truy cập internet công cộng không quan tâm đến việc quản lý lỏng lẽo dễ bị kẻ xấu lợi dụng - Một số trang web khơng sử dụng https để mã hóa liệu cá nhân khách hàng góp phần làm tăng nguy - Việc nghe lại ngày trở lên dễ dàng, nhiều cơng cụ phục vụ cho việc ettercap, ethereal, TCPdum, wireshaft,… 1.3 Cơ chế hoạt động nghe lén? Báo cáo Sinh viên: 14520214 – Huỳnh Tấn Duy Sinh viên: 14520541 – Đỗ Bá Tứ Mỹ Sinh viên: 14520812 – Bùi Minh Thái Sinh viên: 14520817 – Dương Hồng Thái Sinh viên: 14520842 – Nguyễn Hoàng Thanh - Promiscuous mode chế độ đặc biệt, chế độ card mạng nhận tất gói mà khơng cần quan tâm đến địa destination MAC address Chế độ thường card mạng nhận gói tin có MAC address gửi đến cho - Các máy nghe để card mạng chế độ promiscuous - Ở mơi trường Hub, gói tin gửi đi, hub copy gửi tất port, cần client chung hub dễ dạng nghe mà khơng phải làm - Ở mơi trường switch, switch hoạt động dựa vào bảng CAM Nó chuyển gói tin đến địa chỉnh MAC xác nên muốn nghe phải thực công khác Báo cáo Sinh viên: 14520214 – Huỳnh Tấn Duy Sinh viên: 14520541 – Đỗ Bá Tứ Mỹ Sinh viên: 14520812 – Bùi Minh Thái Sinh viên: 14520817 – Dương Hồng Thái Sinh viên: 14520842 – Nguyễn Hoàng Thanh Figure Các giao thức lợi dụng để nghe 1.4 Mục đích nghe lén? - Nghe sử dụng cho mục đích tơt lẫn xấu - Hacker sử dụng nghe để có gắng đánh cắp thông tin usernam, password khách hàng chí để theo dõi thói quen, thu thập thơng tin nạn nhân - Các nhà quản trị lại sử dụng nghe để theo dõi lưu lượng thông tin đường truyền Việc giúp ích lớn việc sử lý khắc phục cố Nghe lớn công cụ quan trọng việc điều tra số - Một số cơng cụ nghe có chức cảnh báo, tự động phát công 1.5 Phân loại nghe - Nghe phân làm loại nghe chủ động nghe thụ động Báo cáo Sinh viên: 14520214 – Huỳnh Tấn Duy Sinh viên: 14520541 – Đỗ Bá Tứ Mỹ Sinh viên: 14520812 – Bùi Minh Thái Sinh viên: 14520817 – Dương Hồng Thái Sinh viên: 14520842 – Nguyễn Hoàng Thanh Figure Các loại nghe - Nghe thụ động tức hacker thụ động nằm mạng LAN nghe gói tin đến mà khơng thực hành vi cơng Thường thực môi trường HUB hay wireless, kiểu cơng âm thầm khó phát - Một số nhà quản trị thực việc thu thập thơng tin thơng qua tính port moniter, netFlow… tính nghe thụ động với ý nghĩa tích cực - Nghe chủ động: Trong mơi trường switch, gói tin gửi port theo bảng CAM Chính vị hacker muốn nghe phải thực công vào hệ thống mạng Kiểu công dễ phát thường gây đề nghiêm trọng nghẽn băng thông, tải RAM, CPU… Các kiểu nghe phổ biến: 2.1 Tấn công vào bảng CAM - Switch sử dụng bảng CAM để forward gói tin đến port mà khơng cần broadcast Bảng cam chứa thông tin liên hệ port địa MAC Báo cáo Sinh viên: 14520214 – Huỳnh Tấn Duy Sinh viên: 14520541 – Đỗ Bá Tứ Mỹ Sinh viên: 14520812 – Bùi Minh Thái Sinh viên: 14520817 – Dương Hồng Thái Sinh viên: 14520842 – Nguyễn Hồng Thanh - Bảng CAM có giới hạn kích thước, bảng đầy switch hoạt động HUB hacker lợi dụng điều để công làm tràn bảng CAM - Hacker thực việc đơn giản bẳng gửi gói tin với source MAC address khác nhau, switch ghi nhận MAC vào bảng CAM dẫn đến bảng bị đầy - Quản trị viên phát bẳng cách theo dõi bảng CAM clear bảng cần thiết Figure Mô tả hoạt động bảng CAM 2.2 Tấn công vào DHCP - Cơ chế hoạt động DHCP đơn giản Đầu tiên client gửi gói tin DHCP discover để tìm DHCP server, DHCP server gửi gói tin offer chứa thơng tin ip cấp cho client, sau client gửi gói DHCP request để xác nhận chấp nhận địa DHCP DHCP server gửi lại gói tin ACK Báo cáo Sinh viên: 14520214 – Huỳnh Tấn Duy Sinh viên: 14520541 – Đỗ Bá Tứ Mỹ Sinh viên: 14520812 – Bùi Minh Thái Sinh viên: 14520817 – Dương Hồng Thái Sinh viên: 14520842 – Nguyễn Hoàng Thanh - DHCP hoạt động khơng có chế xác thực client server Hacker dễ dàng giả mạo DHCP server mà client phát truy cập DHCP server có an tồn hay không - Việc hacker tạo DHCP giả mạo dẫn đến nhiều mối nguy nguy hiểm Hacker dễ dàng thay đổi thông tin quan trọng địa Gateway, ip, DNS… kéo theo dễ dàng thực cơng khác có nghe Figure Minh họa DHCP giả mạo - Sau công DHCP server hacker thực nhiều kiểu cơng tiếp theo, hacker thay đổi Gateway để thực nghe - Lúc hacker thay đổi gateway ip mình, tất gói tin internet qua máy hacker dễ dàng phục vụ cho việc nghe Hơn Báo cáo Sinh viên: 14520214 – Huỳnh Tấn Duy Sinh viên: 14520541 – Đỗ Bá Tứ Mỹ Sinh viên: 14520812 – Bùi Minh Thái Sinh viên: 14520817 – Dương Hồng Thái Sinh viên: 14520842 – Nguyễn Hồng Thanh hacker sử dụng proxy để nghe gói tin mã hóa https - Còn nhiều kiểu công theo sau công DHCP khác không liên quan đến nghe nên khơng trình bày 2.3 Tấn công đầu độc ARP - ARP giao thức ánh xạ địa IP đến địa vật lý Một gói tin gửi phải biết thông tin MAC đến IP đến Khi client phát thơng tin MAC khơng có bảng ARP gửi broadcast ARP để tìm Máy có MAC hợp lệ trả lời gói tin - Hacker thực thi việc đầu độc bảng ARP nạn nhân cách trả lời trước gói tin ARP request Lúc nạn nhân có bảng ARP sai lệch với IP xác MAC address lại máy nạn nhân Switch hoạt động theo MAC address nên gói tin gửi cho hacker - Việc công ARP làm ngập lụt bảng CAM switch Figure Cách thức công đầu độc ARP Báo cáo Sinh viên: 14520214 – Huỳnh Tấn Duy Sinh viên: 14520541 – Đỗ Bá Tứ Mỹ Sinh viên: 14520812 – Bùi Minh Thái Sinh viên: 14520817 – Dương Hồng Thái Sinh viên: 14520842 – Nguyễn Hồng Thanh - Tấn cơng đầu độc ARP làm chuyển hướng lưu lượng mạng sang máy hacker, thơng qua hacker dễ dàng nghe thông tin cần thiết 2.4 Tấn công giả mạo MAC - Cách công thực cách nghe với địa MAC nạn nhân - Bằng cách hacker nhận gói tin gửi tới nạn nhân thực việc nghe Figure Tấn công giả mạo địa MAC 2.5 Nghe hợp pháp - Nghe thực mục đích tích cực, giúp quản trị viên kiểm sốt hệ thơng tốt - Một số tính port moniter, span port, netFlow giúp thu thập thông tin lưu lượng mạng máy chủ lưu trữ quy giúp quản trị điều tra khắc phục cố - Việc thường xun kiểm tra thơng tin giúp cho quản trị viên phát sớm bất thường có biện pháp đối phó Cách phát phòng chống nghe lén: 3.1 Cách phát nghe Báo cáo Sinh viên: 14520214 – Huỳnh Tấn Duy Sinh viên: 14520541 – Đỗ Bá Tứ Mỹ Sinh viên: 14520812 – Bùi Minh Thái Sinh viên: 14520817 – Dương Hồng Thái Sinh viên: 14520842 – Nguyễn Hoàng Thanh - Bản thân việc phát nghe khó, có vài phương pháp khả thi - Sử dụng ping, ví dụ nghi ngờ ip hacker x.x.x.x, thử gửi gói icmp request đến ip với MAC không tồn Nếu bình thường khơng có gói icmp trả máy nghe phải để card mạng chế độ promiscuous nên hacker nhận gói tin trả gói icmp - Theo dõi log thơng tin lưu lượng mạng, đa số trước nghe hacker phải thực công khác đầu đọc ARP, làm tràn bảng CAM,… việc theo dõi log giúp phát điểm bất thường hệ thống - Mốt số thiết bị IDS/IPS giúp phát kiểu cơng cách chủ động 3.2 Cách phòng chống nghe - Có nhiều cách giúp phòng chống nghe khác - Cách hữu hiệu sử dụng chế mã hóa https, ssl, ssh… Việc bao gồm thay giao thức cũ khơng có mã hóa giao thức SSH thay có telnet, pop3 thay cho pop… - Thêm cố định địa MAC gateway vào bảng ARP, bảng CAM Địa gateway điểm dễ bị nhắm vào công liên quan đến nghe - Dùng IP vào MAC tĩnh Sử dụng tính port security để chống loại công liên quan đến MAC address - Sử dụng Ipv6 góp phần vào việc chống công nghe -HẾT - ... thiệu nghe lén: 1.1 Nghe lén (nghe lén) gì? 1.2 Mối đe dọa từ nghe lén? 1.3 Cơ chế hoạt động nghe lén? 1.4 Mục đích nghe lén? 1.5 Phân loại nghe. .. Thanh Giới thiệu nghe lén: 1.1 Nghe lén (nghe lén) gì? - Nghe lén (nghe lén) hiểu đơn giản việc cố gắng nghe ngóng gói tin truyền mạng, hợp pháp bất hợp pháp - Về mặt tích cực, nghe giúp người quản... cài chương trình máy client gửi thông tin nghe cho hacker 1.2 Mối đe dọa từ nghe lén? - Hiện đa số người dùng internet không ý thức nguy dùng chung mạng công cộng wifi quán phê… nên việc thực