4. Bây giờ, hai máy thành công việc thiết lập một phiên.
2.6.4.2Các cách thức nghe và bắt gói tin trên mạng
Để thực hiện việc bắt các gói tin trên mạng, ta phải chỉ ra những vị trí tương ứng để đặt Wireshark vào hệ thống đường truyền của mạng. Quá trình này đơn giản là đặt Wireshark vào đúng vị trí vật lý nào trong một mạng máy tính. Việc nghe các gói tin khơng đơn giản chỉ là cắm một máy xách tay vào mạng và bắt gói. Thực tế, nhiều khi việc đặt máy nghe Wireshark vào mạng khó hơn việc phân tích các gói tin. Thách thức của việc này là ở chỗ là có một số lượng lớn các thiết bị mạng phần cứng được sử dụng để kết nối các thiết bị với nhau. Lý do là vì 3 loại thiết bị chính (hub, switch, router) có ngun lý hoạt động rất khác nhau. Và điều này đòi hỏi ta phải nắm rõ được cấu trúc vật lý của mạng mà ta đang phân tích.
Tìm hiểu về an ninh mạng và kỹ thuật tấn cơng Session Haijacking
Trước khi nghe các gói tin trên mạng, ta cần một card mạng có hỗ trợ chế độ Promiscuous. Chế độ Promiscuous cho phép card mạng nhìn thấy thất cả các gói tin đi qua hệ thống dây mạng. Khi một card mạng khơng ở chế độ này, nó nhìn thấy một số lượng lớn các gói tin trên mạng nhưng khơng gửi cho nó, nó sẽ huỷ (drop) các gói tin này. Khi nó ở chế độ Promiscuous, nó bắt tất cả các gói tin và gửi tồn bộ tới CPU.
• “Nghe” trong mạng có Hub
Cơ chế hoạt động của Hub cho phép gói tin được gửi tất cả các cổng của hub. Hơn nữa, để phân tích một gói tin trên một hub, tất cả các công việc mà ta cần làm là cắm máy nghe Wireshark vào một cổng cịn trống trên hub. Ta có thể nhìn thấy tất cả các thơng tin truyền và nhận từ tất cả các máy đang kết nối với hub đó, của sổ tầm nhìn của ta khơng bị hạn chế khi mà máy nghe Wireshark của ta được kết nối với một mạng hub.
• “Nghe” trong mạng Switched
Một mơi trường switched là kiểu mạng phổ biến mà ta làm việc. Switch cung cấp một phương thức hiệu quả để vận chuyển dữ liệu thông qua broadcast, unicast, multicast. Switch cho phép kết nối song cơng (full-duplex), có nghĩa là máy trạm có thể truyền và nhận dữ liệu đồng thời từ switch. Khi ta cắm một máy nghe Wireshark vào một cổng của switch, ta chỉ có thể nhìn thấy các broadcast traffic và những gói tin gửi và nhận của máy tính mà ta đang sử dụng.
Có 3 cách chính để bắt được các gói tin từ một thiết bị mục tiêu trên mạng switch: port mirroring, ARP cache poisoning và hubbing out.
Port Mirroring:
Port mirroring hay cịn gọi là port spanning có thể là cách đơn giản nhất để bắt các lưu lượng từ thiết bị mục tiêu trên mạng switch. Với cách này, ta phải truy cập được giao diện dòng lệnh của switch mà máy mục tiêu cắm vào. Tất nhiên là switch này phải hỗ trợ tính năng port mirroring và có một port
trống để ta có thể cắm máy nghe Wireshark vào. Khi ánh xạ cổng, ta đã copy toàn bộ lưu lượng đi qua cổng này sang một cổng khác.
Hubbing Out:
Một cách đơn giản khác để bắt các lưu lượng của thiết bị mục tiêu trong một mạng switch là hubbing out. Hubbing out là kỹ thuật mà trong đó ta đặt thiết bị mục tiêu và máy nghe Wireshark vào cùng một phân mạng bằng cách đặt chúng trực tiếp vào một hub.
hubbing out là một giải pháp hồn hảo trong các tình huống mà ta không thể thực hiện port mirroring nhưng vẫn có khả năng truy cập vật lý tới switch mà thiết bị mục tiêu cắm vào. Trong hầu hết các tình huống, hubbing out sẽ giảm tính năng song cơng của thiết bị mục tiêu (full to haft). Nó thường được ta sử dụng như là một lựa chọn khi mà switch không hỗ trợ port mirroring.
ARP Cache Poisoning:
Địa chỉ tầng 2 (địa chỉ MAC) được sử dụng chung với hệ thống hệ thống địa chỉ tầng 2. Tất cả các thiết bị trong một mạng liên lạc với nhau thông qua địa chỉ IP. Do switch làm việc tại tầng 2, vì vậy nó phải có khả năng phiên dịch địa chỉ tầng 2 (MAC) sang địa chỉ tầng 3 (IP) hoặc ngược lại để có thể chuyển tiếp gói tin tới thiết bị tương ứng. Quá trình phiên dịch được thực hiện thơng qua một giao thức tầng 3 là ARP (Address Resolution Protocol).
Khi một máy tính cần gửi dữ liệu cho một máy khác, nó gửi một yêu cầu ARP tới switch mà nó kết nối. Switch đó sẽ gửi một gói ARP broadcast tới tất cả các máy đang kết nối với nó để hỏi. Khi mà máy đích nhận được gói tin này, nó sẽ thơng báo cho switch bằng cách gửi địa chỉ MAC của nó. Sau khi nhận được gói tin phản hồi, Switch định tuyến được kết nối tới máy đích. Thơng tin nhận được được lưu trữ trong ARP cache của switch và switch sẽ không cần phải gửi một thông điệp ARP broadcast mới mỗi lần nó cần gửi dữ liệu tới máy nhận.
Tìm hiểu về an ninh mạng và kỹ thuật tấn công Session Haijacking
ARP cache poisoning là q trình gửi một thơng điệp ARP với địa chỉ MAC giả mạo tới switch hoặc router nhằm mục đích nghe lưu lượng của thiết bị mục tiêu. ARP cache poisoning là một kỹ thuật nâng cao trong việc nghe đường truyền trong một mạng switch. Nó được sử dụng phổ biến bởi hacker để gửi các gói tin địa chỉ sai tới máy nhận với mục tiêu để nghe trộm đường truyền hiện tại hoặc tấn công từ chối dịch vụ, nhưng ARP cache poisoning chỉ có thể phục vụ như là một cách hợp pháp để bắt các gói tin của máy mục tiêu trong mạng switch.
• Nghe trong mạng sử dụng Router:
Tất cả các kỹ thuật nghe trong mạng switch đều có thể được sử dụng trong mạng router. Chỉ có một việc cần quan tâm khi mà thực hiện với mạng router là sự quan trọng của việc đặt máy nghe Wireshark khi mà thực hiện xử lý một vấn đề liên quan đến nhiều phân mạng. Broadcast domain của một thiết bị được mở rộng cho đến khi nó gặp router. Khi đó, lưu lượng sẽ được chuyển giao sang dịng dữ liệu router tiếp theo và ta sẽ mất liên lạc với các gói tin đó cho đến khi ta nhận được một ACK của các máy nhận trả về. Trong tình hướng này, dữ liệu sẽ lưu chuyển qua nhiều router, vì vậy rất quan trọng để thực hiện phân tích tất cả lưu lượng trên các giao diện của router.