V. CÁCH PHÒNG CHỐNG 1 Đối với Trojan
3. Đối với sniffer
Active Sniff:
- Công cụ kiểm tra băng thông: Như đã nêu trên các sniffer có thể gây nghẽn mạng do đó có thể dùng các cơng cụ kiểm tra băng thông. Tuy nhiên, cách làm này không hiệu quả.
- Cơng cụ bắt gói tin: Các sniffer phải đầu độc arp nên sẽ gởi arp đi liên tục, nếu dùng các công cụ này ta có thể thấy được ai đang sniff trong mạng.Cách này tương đối hiệu quả hơn, nhưng có một vài cơng cụ sniff có thể giả IP và MAC để đánh lừa.
- Thiết bị: Đối với thiết bị ta có thể dùng các loại có chức năng lọc MAC để phịng chống.Riêng với switch có thể dùng thêm chức năng VLAN trunking, có thể kết hợp thêm chức năng port security (tương đối hiệu quả do dùng VLAN và kết hợp thêm các chức năng bảo mật).
- Cách khác: Ngồi ra ta có thể cấu hình SSL, tuy hiệu quả, nhưng chưa cao vẫn có khả năng bị lấy thơng tin.
Đối với người dùng:
- Dùng các công cụ phát hiện Sniff (đã kể trên): Khi có thay đổi về thơng tin arp thì các công cụ này sẽ cảnh báo cho người sử dụng.
Đề tài 13: Tấn cơng qua mạng và cách phịng chống
- Cẩn trọng với các thông báo từ hệ thống hay trình duyệt web: Do một số cơng cụ sniff có thể giả CA (Cain & Abel) nên khi bị sniff hệ thống hay trình duyệt có thể thơng báo là CA khơng hợp lệ.
- Tắt chức năng Netbios (người dùng cấp cao) để q trình qt host của các sniffer khơng thực hiện được. Tuy nhiên cách này khó có thể áp dụng thực tế nguyên nhân là do switch có thể đã lưu MAC trong bảng thơng tin của nó thơng qua q trình hoạt động.
Passive sniff:
- Dạng sniff này rất khó phát hiện cũng như phòng chống.
- Thay thế các hub bằng các switch, lúc này các gói tin sẽ khơng cịn broadcast đi nữa , nhưng lúc này ta lại đứng trước nguy cơ bị sniff dạng active.