4.1. Phòng chống sniffer
4.1.1. Phát hiện sniffer trong mạng.
Một số trong những phương pháp đơn giản nhất để phát hiện các chương trình sniffer:
Phương thức Ping: gửi một gói tin ping tới địa chỉ IP mà không phải là Ethernet Adapter, gồm những bước như sau:
o Giả sử máy nghi ngờ có địa chỉ IP 10.0.0.1 và MAC là 00- 40-05-A4-79-32
o Gửi một gói tin “ICMP Echo Request” (ping) có IP của máy nghi ngờ và địa chỉ MAC thay đổi (ví dụ 00-40-05-A4-79- 31).
o Nếu như ta nhận được phản hồi tức là máy nghi ngờ đã bỏ chức năng Ethernet Filter, do đó nó đang lắng nghe trên đường dây.
Phương thức ARP
Tương tự như phương thức Ping nhưng sử dụng gói tin ARP thay cho ICMP
Phương thức DNS
Rất nhiều chương trình sniffer sẽ tự động chuyển đổi địa chỉ IP thông qua DNS. Ta có thể phát hiện promiscuous mode của một máy dựa vào DNS traffic mà nó tạo ra (yêu cầu cần phải thiết đặt máy nghi ngờ request tại DNS server mà ta có thể kiểm soát, sau đó dựa vào traffic để kiểm tra).
4.1.2. Ngăn chặn sniffer
Chống sniffing dữ liệu
o SSL – Sercure Socket Layer o SSH – Sercure Shell
o VPNs – Virtual Private Networks
Cài đặt mạng để sniffing khó khăn hơn
o Kiểm tra đường dây và các máy trong mạng. o Sử dụng Switch thay vì Hub.
Sử dụng Adapter không hỗ trợ sniffing
Một vài loại Adapter cũ không hỗ trợ promiscuous mode.
4.1.3 Một số chương trình phát hiện sniffer
AntiSniff
http://packetstormsecurity.com/sniffers/antisniff/
ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/
Dành cho UNIX.
cpm (Check Promiscuous Mode)
ftp://ftp.cerias.purdue.edu/pub/tools/unix/sysutils/cpm/
CHƯƠNG II. XÂY DỰNG CHƯƠNG TRÌNH
Để xây dựng chương trình sniffer, chúng ta có các lựa chọn chính: Chặn bắt ở mức ứng dụng, mức hệ điều hành và mức network adapter. Trong đồ án này chúng ta sử dụng ở mức network adapter