Học Viện Kỹ Thuật Mật Mã Nhóm 15 Bộ Mơn: Cơ Sở An Tồn Thơng Tin Nguyễn Năng Lực AT150238 TrầnThế ThếLong Long Trần AT150335 AT150335 Nhóm 15 Lê Văn Lộc AT150430 Nghe Lén? Nhóm 15 Chủ Đề: Tấn Cơng Sniffing 1 Tổng quan công Sniffing Nhóm 15 Chủ Đề: Tấn Cơng Sniffing Các kỹ thuật cơng Sniffing Nhóm 15 Chủ Đề: Tấn Công Sniffing Demo kỹ cơng Nhóm 15 Chương I: Tổng quan công Sniffing  Giới Thiệu Khái Niệm a Khái niệm Sniffing  Sniffing hình thức nghe hệ thống mạng dựa đặc điểm chế TCP/IP Người nghe để thiết bị lắng nghe mạng mang thông tin hai thiết bị điện thoại hai thiết bị đầu cuối internet  Nghe sử dụng công cụ để nhà quản trị mạng theo dõi, bảo trì hệ thống mạng kiểm tra liệu vào mạng Về mặt tiêu cực, sử dụng với mục đích nghe thông tin mạng để lấy thông tin quan trọng Nhóm 15 Chương I: Tổng quan cơng Sniffing b  Cơ chế hoạt động sniffing: Những giao dịch hệ thống mạng máy tính thường liệu dạng nhị phân Bởi để hiểu liệu này, chương trình nghe phải có tính phân tích nghi thức, tính giải mã liệu dạng nhị phân để hiểu chúng Nhóm 15 Chương I: Tổng quan công Sniffing  Trong mơi trường Hub: • Một khung gói tin chuyển từ máy A sang máy B đồng thời gửi đến tất máy khác kết nối Hub theo chế loan tin (broadcast) Các máy khác nhận gói tin tiến hành so sánh yêu cầu địa MAC frame gói tin với địa đích • Nếu trùng lập nhận, cịn khơng cho qua Do gói tin từ A gửi đến B nên so sánh có B giống địa đích đến nên có B thực tiếp nhận Nhóm 15 Chương I: Tổng quan công Sniffing  Trong mơi trường Hub: • Dựa vào ngun tắc đó, máy cài đặt chương trình nghe trộm “tự nhận” gói tin lưu chuyển mạng qua Hub, kể đích đến gói tin có đích đến khơng phải nó, sniffer chuyển card mạng máy sang chế độ hỗn tạp (promiscuous mode) • Promiscuous mode chế độ đặc biệt Khi card mạng đặt chế độ này, nhận tất gói tin mà khơng bị ràng buộc kiểm tra địa đích đến Nhóm 15 Chương I: Tổng quan công Sniffing  Trong môi trường Switch: • Khác với Hub, Switch chuyển tải gói tin đến địa cổng xác định bảng chuyển mạch nên nghe trộm kiểu “tự nhận” Hub không thực Tuy nhiên, kẻ cơng dùng chế khác để công môi trường Switch ARP spoofing, MAC spoofing, MAC duplicating, DNS spoofing, v.v… Nhóm 15 Chương II: CÁC KỸ THUẬT TẤN CƠNG SNIFFING Nhóm 15 Chương II: CÁC KỸ THUẬT TẤN CƠNG SNIFFING Chặn bắt thơng tin dùng ARP – Poisoning: • Tổ chức giao thức ARP vốn xoay quanh hai gói tin chính, ARP request ARP reply • Mục đích gói tin request reply để định vị địa MAC thiết bị phần cứng tương ứng với địa IP mà gán cho • Từ đó, luồng liệu truyền tới đích mạng mà khơng bị thất lạc hay nhầm lẫn máy tính khác khơng yêu cầu gói tin Nhóm 15 Chương II: CÁC KỸ THUẬT TẤN CƠNG SNIFFING Chặn bắt thơng tin dùng DNS – Spoofing: a Giao thức DNS:  Giao thức DNS (Domain Name System – hệ thống phân giải tên miền) giao thức quan trọng dùng Internet, cho phép thiết lập tương ứng địa IP tên miền  Mỗi website có tên (là tên miền hay đường dẫn URL) địa IP Khi mở trình duyệt Web nhập tên website, trình duyệt đến thẳng website mà không cần phải thông qua việc nhập địa IP trang web Nhóm 15 Chương II: CÁC KỸ THUẬT TẤN CƠNG SNIFFING  Q trình "dịch" tên miền thành địa IP trình duyệt hiểu truy cập vào website công việc DNS server  Các DNS trợ giúp qua lại với để dịch địa "IP" thành "tên" ngược lại Người sử dụng cần nhớ "tên", không cần phải nhớ địa IP (địa IP số khó nhớ) b  Phương pháp công DNS – Spoofing: DNS – spoofing kĩ thuật cung cấp thông tin DNS sai lệch cho host Khi người dùng yêu cầu truy cập đến địa website chuyển hướng, đưa người dùng tới địa giả mạo có hình thức giống với địa thật họ không hay biết bị lừa Nhóm 15 Chương II: CÁC KỸ THUẬT TẤN CƠNG SNIFFING  Kẻ cơng lấy cắp thông tin nhạy cảm người dùng, cài phần mềm độc hại, hay gây từ chối dịch vụ Mơ hình cơng DNS - spoofing Nhóm 15 Chương II: CÁC KỸ THUẬT TẤN CƠNG SNIFFING Tấn cơng giả mạo DNS sử dụng phương pháp ID Spoofing Nhóm 15 Chương II: CÁC KỸ THUẬT TẤN CÔNG SNIFFING  Q trình cơng thực với hai bước: • Đầu tiên, tiến hành ARP Cache Poisoning thiết bị, mục đích để định tuyến lại lưu lượng qua host sử dụng để cơng • Từ chặn u cầu DNS gửi gói liệu giả mạo để lừa nạn nhân truy cập vào website giả mạo kẻ cơng dựng nên thay vào thẳng website thức mà họ cố gắng truy cập Nhóm 15 Chương II: CÁC KỸ THUẬT TẤN CÔNG SNIFFING TÀI LIỆU THAM KHẢO [1] Lê Đình Thích, Hồng Sỹ Tương, An tồn mạng máy tính, Học viện kỹ thuật mật mã, 2013 [2] Đặng Trường Sơn, Các kiểu công mạng, Đại học Ngoại ngữ tin học TPHCM, 2010 [3] Ngơ Xn Giang, Kỹ thuật cơng phịng thủ không gian mạng, Viện nghiên cứu an ninh mạng, 2012 [4] Lê Bảo Long, Tìm hiểu an ninh mạng kỹ thuật Sniffer, Cao đẳng CNTT hữu nghị Việt Hàn, 2012 [5] Nguyễn Hiếu Minh, Tấn công mạng máy tính, Học viện kỹ thuật qn Nhóm 15 Chương III: CÁC BIỆN PHÁP PHÒNG CHỐNG  Cách thức chủ yếu dùng phần mềm phát hoạt động chương trình nghe mạng AntiSniff, PromiScan, Promqry and PromqryUI, ARPwatch, Ettercap, v.v…  Riêng với Ettercap (ettercap), chương trình vừa dùng để nghe trộm, vừa có khả phát nghe trộm nhờ hỗ trợ plugin arp_cop (phát trạng thái ARP posioning);find_ettercap (phát trình ettercap khác chạy);scan_poisoner (phát máy thực posioning); seach_promisc (phát máy nghe trộm chế độ “hỗn tạp”),… Nhóm 15 Chương III: CÁC BIỆN PHÁP PHỊNG CHỐNG  Dùng chương trình giám sát hoạt động mạng Thiết lập hệ thống phát xâm nhập IDS (Intrution Detection System) trình miễn phí Snort (Snort :: Home Page) nhằm phát tượng lạ mạng, có ARP spoofing, để có biện pháp đối phó thích hợp   Dưới số giải pháp phòng chống – nên sử dụng kết hợp: Giới hạn mức độ phạm vi broadcast cách phân chia VLAN (Virtual Local Area Network) Giới hạn khả bị cài đặt chương trình nghe cách áp dụng sách quản lý cài đặt phần mềm cho hệ thống Áp tính port security để hạn chế thiết bị mạng kết nối trái phép Nhóm 15 Chương III: CÁC BIỆN PHÁP PHÒNG CHỐNG Đối với mạng nhỏ, nên sử dụng địa IP tĩnh bảng ARP tĩnh để hạn chế khả bị công kiểu ARP spoofing thông qua giám sát chặt chẽ thay đổi địa MAC (Media Access Control) thiết bị switch Áp dụng chế one-time password – thay đổi password liên tục Mã hóa liệu truyền dẫn chế truyền thơng liệu an tồn SSL (Secure Sockets Layer), mạng riêng ảo VNP (Virtual Private Network) Nhóm 15 Chương III: CÁC BIỆN PHÁP PHỊNG CHỐNG  Để ngăn chăn kẻ công muốn Sniffer Password Chúng ta đồng thời sử dụng giao thức, phương pháp để mã hoá password sử dụng giải pháp chứng thực an tồn (Authentication): • SMB/CIFS: Trong mơi trường Windows/SAMBA bạn cần kích hoạt tính LANmanager Authencation • Keberos: Một giải pháp chứng thực liệu an toàn sử dụng Unix Windows: ftp://aeneas.mit.edu/pub/kerberos/doc/KERBEROS.FAQ • Stanford SRP (Secure Remote Password): Khắc phục nhược điểm khơng mã hố Password truyền thơng giao thức FTP Telnet Unix:http://srp.stanford.edu/srp/ Nhóm 15 Chương III: CÁC BIỆN PHÁP PHÒNG CHỐNG a b c d Mã hóa đường truyền SSL (Secure Socket Layer) PGP S/MIME OpenSSH VPNs (Virtual Private Network) IDS, IPS Phương pháp ping Phương pháp Arp Phương pháp sử dụng DNS Phương pháp Source Route Phương pháp giăng bẫy (decoy) Nhóm 15 Nhóm 15 Chương III: CÁC BIỆN PHÁP PHỊNG CHỐNG Nhóm 15 ...Nghe Lén? Nhóm 15 Chủ Đề: Tấn Cơng Sniffing 1 Tổng quan cơng Sniffing Nhóm 15 Chủ Đề: Tấn Công Sniffing Các kỹ thuật cơng Sniffing Nhóm 15 Chủ Đề: Tấn Công Sniffing Demo kỹ cơng Nhóm 15 Chương... lại Nhóm 15 Chương II: CÁC KỸ THUẬT TẤN CÔNG SNIFFING Lắng Nghe thơng tin qua Span Port Switch Nhóm 15 Chương II: CÁC KỸ THUẬT TẤN CÔNG SNIFFING Lắng nghe thơng tin qua nút trung gian A B Nhóm 15. .. cầu Nhóm 15 Chương II: CÁC KỸ THUẬT TẤN CƠNG SNIFFING Chặn bắt thơng tin dùng ARP – Poisoning: Nhóm 15 Chương II: CÁC KỸ THUẬT TẤN CƠNG SNIFFING Nhóm 15 Chương II: CÁC KỸ THUẬT TẤN CƠNG SNIFFING