CHƯƠNG 3: PHÒNG CHỐNG VÀ CÁCH PHÁT HIỆN KHI BỊ NGHE LÉN
3.1.1. Phương pháp dùng Ping
Hầu hết các chương trình Sniffer được cài đặt trên các máy tính trong mạng sử dụng TCP/IP Stack. Bởi vậy khi bạn gửi yêu cầu đến những máy tính này, chúng sẽ phản hồi lại cho bạn kết quả. Bạn hãy gửi một yêu cầu phản hồi tới địa chỉ IP của máy tính nào đó trong mạng (máy mà bạn cần kiểm tra xem có bị cài đặt Sniffer hay không), nhưng không thông qua Adapter Ethernet của nó.
Lấy ví dụ cụ thể:
1. Bạn nghi ngờ máy tính có địa chỉ IP là 10.0.0.1, có địa chỉ MAC là 00-40-05- A4-79-32. Đã bị cài đặt Sniffer.
2. Bạn đang ở trong cùng một hệ thống mạng Ethernet mà bạn nghi ngờ có kẻ đã tiến hành Sniffer.
3. Bạn thay đổi địa chỉ MAC của bạn thành là 00-40-05-A4-79-33. 4. Bạn Ping đến địa chỉ IP và địa chỉ MAC mới.
41
5. Trên nguyên tắc không một máy tính nào có thể nhìn thấy có thể nhìn thấy được Packet này. Bởi Adapter Ethernet chỉ chấp nhận những địa chỉ MAC hợp lệ của chính nó.
6. Nếu bạn thấy sự trả lời từ địa chỉ mà bạn nghi ngờ không phải trên địa chỉ lọc của MAC (MAC Address Filter) trên Ethernet Card…Máy tính có địa chỉ IP 10.0.0.1 đã bị cài đặt Sniffer Bằng các kỹ thuật của mình các Hacker vẫn có thể né tránh được phương pháp nêu trên. Các Hacker sẽ sử dụng những MAC Address ảo. Rất nhiều hệ thống máy tính trong đó có Windows có tích hợp khả năng MAC Filtering.
Windows chỉ kiểm tra những byte đầu tiên. Nếu một địa chỉ MAC có dạng FF- 00-00-00-00-00, thì đơn giản Windows sẽ coi nó là FF-FF-FF-FF-FF-FF. Đây là sơ hở cho phép các Hacker có thể khai thác đánh lừa hệ thống máy tính của bạn. Kỹ thuật phát hiện Sniffer đơn giản này thường được sử dụng trên các hệ thống Ethernet dựa trên Switch và Bridge.