Phát hiện và phòng chống sniff:
Dựa vào quá trình đầu độc ARP của sniff để phát hiện:
Vì phải đầu độc ARP nên sniffer sẽ liên tục gửi gói tin đầu độc tới các victim. Do đó ta có thể dùng các công cụ bắt gói tin trong mạng để phát hiện.
Một cách khác ta có thể kiểm tra bảng ARP của host. Nếu thấy trong bảng APR có 2 MAC giống nhau thì có thể mạng đang bị sniffer
Dựa trên băng thông:
Do quá trình gửi gói tin đầu độc của sniffer nên quá trình này có thể chiếm băng thông từ đây có thể dùng một số công cụ kiểm tra băng thông để phát hiện.
Các công cụ phát hiện sniffer: Xarp, ARPwatch, Simantec endpoint protection
4.2.5 Các phương thức tấn công khác
Phần mềm độc hại, còn có tên gọi khác là mã độc, đƣợc xác định là chƣơng trình bất kỳ, đƣợc bí mật đƣa vào một chƣơng trình khác với mục đích làm tổn hại tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống dữ liệu, các ứng dụng hay hệ điều hành của nạn nhân. Phần mềm độc hại đã trở thành mối đe dọa bên ngoài lớn nhất đối với hầu hết các máy chủ, gây thiệt hại lớn, gây khó khăn và chi phí tốn kém trong phục hồi hệ thống, dữ liệu của các tổ chức. Các loại phần mềm độc hại phổ biến hiện nay gồm:
- Virus: là phần mềm độc hại tự sao chép bằng cách chèn các bản sao của chính nó vào chƣơng trình lƣu trữ hoặc các tập tin dữ liệu. Virus thƣờng đƣợc kích hoạt thông qua các tƣơng tác của ngƣời dùng nhƣ là mở một tập tin hoặc chạy một chƣơng trình. Virus đƣợc chia thành hai tiểu thể loại là: virus biên dịch và virus diễn dịch. Virus biên dịch (Compiled virus) đƣợc kích hoạt bởi một hệ điều hành, còn Virus diễn dịch (Interpreted virus) đƣợc khởi động bởi một ứng dụng.
- Worms (sâu máy tính): là một chƣơng trình “đóng gói”, tự sao chép, có khả năng tự kích hoạt mà không cần sự can thiệp của ngƣời dùng, đƣợc chia thành hai loại: Sâu dịch vụ kích hoạt mà không cần sự can thiệp của ngƣời dùng, đƣợc chia thành hai loại: Sâu dịch vụ mạng và sâu “gửi bƣu phẩm”. Sâu dịch vụ mạng (Network Service Worms) lợi dụng các lỗ hổng trong dịch vụ mạng để phát tán chính nó và lây nhiễm sang các máy chủ khác. Sâu gửi bƣu phẩm (Mass Mailing Worms) đƣợc phân phối bằng cách gửi nhƣ file đính kèm vào email hoặc các tin nhắn.
- Trojan Horses (mã độc Trojan): là chƣơng trình không có khả năng sao chép, xuất hiện dƣờng nhƣ là vô hại nhƣng chúng đƣợc thiết kế để thực hiện một số hành động độc hại hiện dƣờng nhƣ là vô hại nhƣng chúng đƣợc thiết kế để thực hiện một số hành động độc hại ẩn trên máy tính nạn nhân. Mã độc Trojan có khả năng thay thế các file hiện tại bằng phiên bản độc hại hoặc thêm các tệp độc hại mới cho máy chủ. Chúng còn có khả năng ăn cắp mật khẩu và các thông tin cá nhân nhạy cảm, theo dõi các hoạt động của ngƣời dùng… cung cấp về các máy chủ đƣợc điều khiển từ xa.