Phát hiện và phòng chống sniffer

CÁC KHÁI NIỆM VỀ SNIFFER

Đôi nét về sniffer

Sniffer, một sản phẩm nổi bật của Network Associates, được biết đến với tên gọi Sniffer Network Analyzer Để tìm hiểu thêm về các Sniffer phổ biến hiện nay, bạn chỉ cần nhập từ khóa "Sniffer" vào bất kỳ công cụ tìm kiếm nào.

Sniffer là một chương trình được sử dụng để theo dõi và phân tích lưu lượng thông tin trong hệ thống mạng, tương tự như thiết bị nghe lén trên đường dây điện thoại Tuy nhiên, Sniffer hoạt động trong môi trường mạng máy tính, cho phép người dùng nắm bắt và giám sát dữ liệu truyền tải qua mạng.

Các giao dịch giữa các hệ thống mạng máy tính thường sử dụng dữ liệu ở dạng nhị phân Để nghe lén và hiểu các dữ liệu này, các chương trình Sniffer cần có khả năng phân tích các nghi thức và giải mã dữ liệu nhị phân.

Trong một hệ thống mạng với các giao thức kết nối chung và đồng bộ, bạn có thể sử dụng Sniffer tại bất kỳ máy chủ nào trong mạng Chế độ này được gọi là chế độ hỗn tạp (promiscuous mode).

1.1.2 Những điều kiện nào sniffer có thể xảy ra?

- Sniffer có thể hoạt động trong mạng LAN, mạng WAN, mạng WLAN

- Điều kiện cần chỉ là cần chung subnet mark khi sniffer

- Ngoài ra ta còn cần một công cụ để bắt và phân tích gói tin

1.1.3 Các loại Sniffer a Active sniffer i Môi trường: chủ yếu hoạt động trong môi trường có các thiết bị chuyển mạch gói Phổ biến hiện nay là các dạng mạng sứ dụng switch

SVTH: Thái Văn Thuyết - Lớp: 47K-CNTT 9 Hiện nay, cơ chế hoạt động chủ yếu được sử dụng là ARP và RARP, cho phép chuyển đổi gói tin từ IP sang MAC và ngược lại Điều này thường diễn ra thông qua việc phát đi các gói tin đầu độc, trong đó máy gửi thông tin giả mạo rằng "tôi là người nhận" dù không phải là người nhận thực sự Đặc điểm của phương pháp này là việc gửi gói tin có thể chiếm băng thông mạng, và nếu một sniffer theo dõi quá nhiều máy trong mạng, lượng gói gửi đi sẽ rất lớn, dẫn đến tình trạng nghẽn mạng hoặc quá tải trên NIC của máy đang sử dụng sniffer Ngoài ra, các sniffer còn áp dụng một số kỹ thuật để ép dòng dữ liệu đi qua NIC của mình.

- MAC flooding: làm tràn bộ nhớ switch từ đó switch sẽ chạy chế độ forwarding mà không chuyển mạch gói

- Giả MAC: các sniffer sẽ thay đổi MAC của mình thành MAC của một máy hợp lệ và qua đƣợc chức năng lọc MAC của thiết bị

Đầu đọc DHCP có khả năng thay đổi gateway của client Passive sniffer hoạt động chủ yếu trong môi trường không có thiết bị chuyển mạch gói, thường gặp trong các mạng sử dụng hub hoặc mạng không dây Cơ chế hoạt động của nó dựa trên việc các host phải broadcast gói tin trong mạng, cho phép bắt gói tin ngay cả khi host không phải là nơi đến của gói tin đó Đặc điểm nổi bật của phương pháp sniff này là rất khó phát hiện do các máy tự động broadcast gói tin.

Sniffer đƣợc sử dụng nhƣ thế nào?

1.2.1 Sniffer thường được sử dụng vào 2 mục đích :

- Một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình

- Một chương trình được cài vào một hệ thống mạng máy tính với mục đích đánh hơi, nghe lén các thông tin trên đoạn mạng này

SVTH:Thái Văn Thuyết - Lớp: 47K-CNTT 10

1.2.2 Một số tính năng của Sniffer :

- Các Hacker sử dụng để bắt tên người sử dụng (Username) và mật khẩu không đƣợc mã hoá (Clear Text Password) trong hệ thống mạng của bạn

- Giúp các nhà quản trị theo dõi các thông tin dữ liệu trên đường truyền

Họ có thể đọc và hiểu đƣợc ý nghĩa của những dữ liệu đó

Công cụ giám sát lưu lượng mạng giúp các nhà quản trị theo dõi và phân tích các lỗi trong hệ thống, chẳng hạn như nguyên nhân gói tin từ máy A không gửi được đến máy B Ngoài ra, một số công cụ Sniffer còn có khả năng tự động phát hiện và cảnh báo các cuộc tấn công đang diễn ra, đóng vai trò như dịch vụ phát hiện xâm nhập (Intrusion Detection Service).

Sniffer là công cụ quan trọng giúp ghi lại thông tin về các gói dữ liệu và các phiên truyền, từ đó hỗ trợ công việc phân tích và khắc phục sự cố trên hệ thống mạng hiệu quả.

Quá trình sniffer đƣợc diễn ra nhƣ thế nào

Công nghệ Ethernet hoạt động dựa trên nguyên lý chia sẻ, cho phép tất cả các máy tính trong một mạng cục bộ cùng sử dụng đường truyền chung Điều này có nghĩa là mọi máy tính đều có khả năng quan sát lưu lượng dữ liệu trên mạng Do đó, phần cứng Ethernet được thiết kế để lọc và loại bỏ các dữ liệu không thuộc về đường truyền chung, đảm bảo hiệu suất và tính ổn định cho mạng.

Quá trình lọc dữ liệu dựa trên nguyên tắc loại bỏ các Frame có địa chỉ MAC không hợp lệ Khi Sniffer tắt tính năng lọc và chuyển sang chế độ hỗn tạp (promiscuous mode), nó có khả năng quan sát toàn bộ lưu lượng thông tin trong hệ thống mạng.

Địa chỉ ethernet mac là gì

Khi nhiều máy tính trên mạng chia sẻ một đường truyền, mỗi máy cần có thông tin nhận dạng riêng biệt Để gửi dữ liệu từ bên ngoài vào hệ thống mạng Ethernet, bạn cần biết rõ địa chỉ của thiết bị nhận.

SVTH:Thái Văn Thuyết - Lớp: 47K-CNTT 11 cần gửi dữ liệu đến Thông tin dùng để nhận dạng từng máy tính trên mạng là địa chỉ Ethernet MAC

1.4.2 Chi tiết về đỉa chị Ethernet MAC :

- MAC là một dãy 12 số Hex

- Địa chỉ MAC là một dãy số 48 bits

+ 48 bits này tiếp tục đƣợc chia đôi

+ 24 bit đầu tiên xác định tên hãng sản xuất Ethernet Card của bạn

Địa chỉ MAC gồm 24 bit, trong đó 24 bit đầu tiên là số hiệu Serial do nhà sản xuất gán, đảm bảo không có hai Ethernet Card nào trùng địa chỉ 24 bit thứ hai, gọi là OUI (Organizationally Unique Identifier), thực chất chỉ dài 22 bit, với 2 bit còn lại phục vụ cho các mục đích khác Một bit được chỉ định cho địa chỉ Broadcast/Multicast, trong khi bit còn lại được sử dụng để thiết lập lại địa chỉ cục bộ cho Adapter.

Một số công cụ hỗ trợ sniffer

Một chương trình tóm gói tin sniffer Packet hay nhất

Wireshark, trước đây được biết đến với tên Ethereal cho đến mùa hè năm 2006, là một công cụ mã nguồn mở mạnh mẽ hỗ trợ phân tích giao thức trên hệ điều hành Unix và Windows Công cụ này cho phép người dùng thu thập và lưu trữ thông tin từ các giao tiếp mạng một cách hiệu quả, đồng thời cung cấp khả năng phân tích nội dung của các gói tin cụ thể Wireshark nổi bật với chế độ lọc thông tin hiệu quả, giúp người dùng theo dõi từng phiên và giao tiếp mạng, và hỗ trợ hàng trăm giao thức khác nhau Một trong những lý do chính khiến Wireshark thay thế Ethereal là để khắc phục các lỗ hổng bảo mật của phiên bản trước.

Một tool rất hiệu quả để sniffer gói tin trên mạng Wireless Kismet là một chương trình với giao diện command hỗ trợ giao thức 802.11

SVTH: Thai Van Thuy - Class: 47K-CNTT 12, features a Network Detector and Sniffer, functioning as an IDS monitoring device It automatically detects packets from various protocols such as TCP, UDP, ARP, and DHCP packets, which are recorded using Wireshark/TCPDump This tool is also utilized for activities like Wardriving, Warwalking, and Wareflying.

Là một tools cũ nhƣng hiệu quả trong việc giám sát hệ dữ liệu trên mạng

Tcpdump là một công cụ IP sniffers được sử dụng trước khi có Wireshark và vẫn được một số người dùng ưa chuộng Mặc dù không có giao diện đồ họa hấp dẫn như Wireshark, Tcpdump hoạt động hiệu quả và ít gặp lỗ hổng bảo mật hơn Nó yêu cầu phần cứng thấp và tiêu tốn ít tài nguyên hệ thống, mặc dù hỗ trợ ít tính năng hơn Tcpdump rất hiệu quả trong việc xác định nguyên nhân gây nghẽn mạng và các giao tiếp thực tế chiếm băng thông.

4 Cain & Abel – Công cụ dùng để lấy Password trên Windows hiệu quả nhất

Trên hệ thống UNIX, người dùng thường có thể tận dụng các tài nguyên miễn phí, trong khi nền tảng Windows lại không có nhiều lựa chọn tương tự Mặc dù Windows có nhiều công cụ hỗ trợ crack password, nhưng số lượng công cụ cho phép tóm gói tin và giải mã ngược lại để lấy password thì rất hạn chế Một trong những công cụ nổi bật là Cain & Abel, cho phép người dùng không chỉ crack password trực tiếp trên máy tính mà còn có khả năng tóm gói tin từ mạng và giải mã chúng để lấy thông tin cần thiết.

Dictionary và Bruforce Attack Ngoài ra Cain & Abel là một công cụ sniffer khá hiệu quả

Ettercap là một công cụ mạnh mẽ với tính năng Sniffer trên môi trường LAN Switch, giúp nâng cao hiệu quả và bảo mật mạng Nó hoạt động như một trình giám sát, chặn và ghi lại dữ liệu trên mạng LAN, hỗ trợ nhiều giao thức khác nhau Với giao diện hợp lý và khả năng lọc kết quả hấp dẫn, Ettercap cho phép triển khai nhiều mức độ Sniffering, mang lại hiệu quả cao Ngoài ra, công cụ này còn hỗ trợ nhiều Plugins và có khả năng nhận diện hệ điều hành (OS fingerprint), giúp tối ưu hóa quá trình giám sát mạng.

(đoán hệ điều hành của các máy tính online trên mạng)

Là một tool rất hiệu quả để giám sát hệ thống mạng và thực hiện penetration-testing

Công cụ này, được phát triển bởi Dug Song, rất phổ biến và bao gồm nhiều tính năng hữu ích như dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf và giám sát truy cập web Nó hiệu quả trong việc thu thập các gói tin chứa thông tin nhạy cảm như Password, Email và File Với tính năng Arpspoof và dnsspoof, công cụ này có khả năng kết hợp với nhiều phần mềm khác để thực hiện các cuộc tấn công, bao gồm cả tấn công Man-in-the-Middle Ngoài ra, nó còn cho phép theo dõi các phiên kết nối HTTPS, làm cho nó trở thành một công cụ cần thiết để sniffer password trên mạng.

Là một công cụ miễn phí trên Windows thực hiện Sniffer trên chuẩn 802.11

Netstumbler là một công cụ hàng đầu trên Windows để tìm kiếm các Access Points đang hoạt động, đồng thời có phiên bản Ministumbler dành cho WinCE trên PDA Đây là một công cụ miễn phí, mặc dù mã nguồn không được cung cấp miễn phí Netstumbler hoạt động hiệu quả hơn Kismet và KisMAC trong việc tìm kiếm Wireless Access Point.

Ntop là một công cụ giám sát giao tiếp mạng, giúp xác định các giao tiếp chiếm nhiều băng thông nhất và các dịch vụ tiêu tốn băng thông Công cụ này hoạt động trên mạng Hosting, trong môi trường Webnos, và chức năng như một Web Server, tạo ra các file HTML để hiển thị trạng thái hiện tại của mạng.

Ngrep, một công cụ do GNU phát triển, hoạt động trên lớp Network của mô hình OSI, cho phép hiển thị thông tin Sniffer dưới nhiều định dạng khác nhau, bao gồm cả dạng Hexa Với khả năng lọc mạnh mẽ, Ngrep thường được kết hợp với các công cụ như tvpdump và snoop để tối ưu hóa quá trình phân tích dữ liệu mạng.

EtherApe là một công cụ Network Monitor với giao diện đồ họa trên hệ điều hành Linux, cho phép hiển thị các hệ thống đang hoạt động thông qua các màu sắc khác nhau Công cụ này hỗ trợ nhiều mô hình mạng như Ethernet, FDDI, Token Ring, ISDN, PPP và SLIP EtherApe còn có khả năng lọc và hiển thị kết quả, giúp người dùng dễ dàng đọc và phân tích dữ liệu từ quá trình sniffer.

Giao diện đồ họa để thực hiện Sniffer trên hệ điều hành Mac OS X thường được biết đến với công cụ KisMAC, một phiên bản dễ sử dụng hơn so với giao diện console của Kismet KisMAC cho phép người dùng dễ dàng thực hiện và lọc các kết quả Sniffer trong môi trường đồ họa Bên cạnh đó, công cụ này kết hợp với Pcap để nhập các kết quả và cung cấp khả năng giải mã, giúp thực hiện xác thực vào các hệ thống khác nhau.

Demo sniffer với công cụ Cain & Abel

Cain & Abel là một công cụ sniffer mạng được cung cấp bởi http://www.oxid.it, thường được sử dụng rộng rãi bởi các hacker.

Bài lab đƣợc sử dụng nhƣ sau:

Máy Pc1 và Pc2 cùng chạy Win XP professional SP2 Hai máy cùng một địa chỉ lớp mạng 192.168.1.x và có kết nối internet

Trên Pc1 ta cài đặt công cụ sniffer Cain & Abel Đây là gói phần mềm để cài đặt công cụ sniffer Cain & Abel 4.9.40

Sau khi cài đặt xong ta đƣợc giao diện của Cain & Abel

Trên máy Pc1 ta chạy công cụ Cain & Abel

Ta chọn card mạng giao tiếp với hệ thống mạng để tiến hành Sniffer  Ở đây tôi chọn card mạng 192.168.1.53 

Chọn OK  (Đây là lớp mạng ta muốn Sniffer, ở đây tôi để mặc định).

SVTH: Thái Văn Thuyết - Lớp: 47K-CNTT 26 Quá trình quét toàn bộ hệ thống mạng giúp xác định danh sách các máy có trong mạng Sử dụng Sniffer để thu thập thông tin và phân tích các thiết bị trong hệ thống mạng.

Trong bảng trên cùng bên phải, ta nhấn chuột vào trong bảng để hiện ra Add to List (+) 

Chọn tất cả các máy ta muốn Sniffer 

Chọn OK  Nhƣ vậy ta đã xong quá trình sniffer

CÁC PHƯƠNG PHÁP PHÁT HIỆN SNIFFER TRÊN HỆ THỐNG MẠNG

Phương pháp dùng Ping

Hầu hết các chương trình Sniffer được cài đặt trên máy tính sử dụng TCP/IP Stack trong mạng Khi bạn gửi yêu cầu đến những máy tính này, chúng sẽ phản hồi lại kết quả Để kiểm tra xem một máy tính trong mạng có bị cài đặt Sniffer hay không, bạn hãy gửi yêu cầu phản hồi tới địa chỉ IP của máy tính đó mà không thông qua Adapter Ethernet của nó.

Lấy ví dụ cụ thể:

1 Bạn nghi ngờ máy tính có địa chỉ IP là 10.0.0.1, có địa chỉ MAC là 00-40-05-A4-79-32 Đã bị cài đặt sniffer

2 Bạn đang ở trong cùng một hệ thống mạng Ethernet mà bạn nghi ngờ có kẻ đã tiến hành sniffer

3 Bạn thay đổi địa chỉ MAC của bạn thành là 00-40-05-A4-79-33

4 Bạn Ping đến địa chỉ IP và địa chỉ MAC mới

5 Trên nguyên tắc không một máy tính nào có thể nhìn thấy đƣợc Packet này Bởi Adapter Ethenet chỉ chấp nhận những địa chỉ MAC hợp lệ của chính nó

6 Nếu bạn thấy sự trả lời từ địa chỉ mà bạn nghi ngờ không phải trên địa chỉ lọc của MAC (MAC Address Filter) trên Ethernet Card…Máy tính có địa chỉ IP 10.0.0.1 đã bị cài đặt Sniffer

Các Hacker có thể né tránh các phương pháp bảo mật bằng cách sử dụng địa chỉ MAC ảo Nhiều hệ thống máy tính, bao gồm cả Windows, có khả năng lọc MAC nhưng chỉ kiểm tra những byte đầu tiên Khi một địa chỉ MAC có dạng FF-00-00-00-00-00, Windows sẽ nhận diện nó như FF-FF-FF-FF-FF-FF, tạo ra lỗ hổng mà Hacker có thể khai thác để đánh lừa hệ thống Kỹ thuật phát hiện Sniffer đơn giản thường được áp dụng trên các hệ thống Ethernet dựa trên Switch và Bridge.

Phương pháp sử dụng ARP

Phương pháp phát hiện Sniffer tương tự như cách sử dụng Ping, nhưng thay vào đó, chúng ta sử dụng Packet ARP Để thực hiện, bạn cần gửi một Packet ARP đến một địa chỉ trong mạng (không phải Broadcast) Nếu máy tính nhận được phản hồi từ Packet ARP với địa chỉ của chính nó, điều đó cho thấy máy tính đó đang chạy Sniffer ở chế độ hỗn tạp (Promiscuous Mode).

Mỗi gói Packet ARP chứa thông tin chi tiết về người gửi và người nhận, bao gồm địa chỉ IP và địa chỉ MAC Khi hacker gửi gói ARP đến địa chỉ phát sóng (Broadcast Address), các máy tính trong mạng Ethernet sẽ lưu trữ thông tin này Sau đó, khi hacker gửi các gói ARP không qua Broadcast Address và ping đến địa chỉ này, bất kỳ máy tính nào phản hồi mà không sử dụng ARPing sẽ bị hacker thu thập thông tin địa chỉ MAC thông qua việc sử dụng Sniffer để chụp các khung ARP.

Phương pháp sử dụng DNS

Nhiều chương trình Sniffer, như dsniff, có khả năng phân giải ngược các địa chỉ IP thành DNS mà chúng phát hiện Bằng cách theo dõi lưu lượng DNS, bạn có thể nhận diện Sniffer đang hoạt động ở chế độ hỗn tạp (Promiscuous Mode) Để thực hiện điều này, hãy giám sát quá trình phân giải ngược trên máy chủ DNS của bạn Khi phát hiện các hành động Ping liên tục đến những địa chỉ IP không tồn tại trong mạng, cùng với những nỗ lực phân giải ngược các địa chỉ IP từ Packet ARP, đó chính là dấu hiệu cho thấy sự hiện diện của một chương trình Sniffer.

Phương pháp Source-Route

Phương pháp này áp dụng thông tin địa chỉ nguồn và địa chỉ đích trong mỗi Header của IP để phát hiện hành động Sniffer trên từng đoạn mạng.

Để thực hiện việc ping từ một máy tính đến máy tính khác, bạn cần vô hiệu hóa tính năng Routing trên máy tính nguồn, nhằm ngăn chặn gói tin đến đích Nếu nhận được phản hồi, điều đó cho thấy mạng của bạn đã được cài đặt Sniffer Phương pháp này yêu cầu sử dụng một số tùy chọn trong Header IP, cho phép Router bỏ qua các địa chỉ IP đến và tiếp tục chuyển tiếp đến các địa chỉ IP trong tùy chọn Source-Route của Router.

Bob và Anna đang nằm trên cùng một đoạn mạng Khi một người khác gửi cho Anna một số gói Packet IP và yêu cầu chuyển chúng đến Bob, Anna không thể thực hiện điều này vì cô không phải là Router, do đó cô sẽ từ chối tất cả các gói Packet IP đó Mặc dù Bob không nhận được gói nào, anh vẫn có thể phản hồi Điều này có vẻ phi lý, nhưng thực tế Bob đã sử dụng các chương trình Sniffer để theo dõi và trả lời.

Phương pháp giăng bẫy (Decoy)

Phương pháp này tương tự như ARP nhưng áp dụng cho các mạng rộng lớn hơn, nơi nhiều giao thức sử dụng mật khẩu không được mã hóa trên đường truyền, điều này thu hút sự chú ý của hacker Bằng cách giả lập các client sử dụng dịch vụ như POP, FTP, Telnet, IMAP với những người dùng không có quyền hạn hoặc thậm chí không tồn tại, hacker có thể thu thập thông tin nhạy cảm Khi sniffer ghi lại những thông tin quý giá này, hacker sẽ tìm cách kiểm tra, sử dụng và khai thác chúng Vậy bạn sẽ làm gì tiếp theo?

Phương pháp kiểm tra sự chậm trễ của gói tin (Latency)

Phương pháp này giúp giảm thiểu lưu lượng mạng bằng cách gửi một lượng lớn thông tin đến máy tính nghi ngờ có cài đặt Sniffer Nếu máy tính không có gì, sẽ không có hiệu ứng đáng kể Bạn nên thực hiện việc ping đến máy tính nghi ngờ trước và trong thời gian chịu tải để quan sát sự khác biệt giữa hai thời điểm này.

Phương pháp này không hiệu quả do các gói IP gửi qua đường truyền gây ra trễ và thất lạc Hơn nữa, các Sniffer hoạt động ở chế độ "User Mode" và được xử lý độc lập bởi CPU cũng cho kết quả không chính xác.

PHƯƠNG PHÁP NGĂN CHẶN SNIFFER TRÊN HỆ THỐNG MẠNG

Các hệ thống mạng có nguy cơ Sniffer

 Wireless like IEEE 802.11 a.k.a AirPort (hệ thống mạng không dây)

Các giao thức có nguy cơ Sniffer

Chống sniffer trong LAN cho user

Hiện nay, việc sử dụng dịch vụ web yêu cầu đăng nhập ID như email và tài khoản diễn đàn đang gia tăng, khiến người dùng lo ngại về việc bị lộ thông tin cá nhân do các hacker sử dụng các chương trình như Cain & Abel, Wireshark hay Ethereal để bắt gói tin Để hạn chế tình trạng này, người dùng cần hiểu rằng các chương trình này phải quét địa chỉ IP trong mạng trước khi tiến hành sniffer Do đó, việc bảo vệ thông tin cá nhân là rất quan trọng.

SVTH:Thái Văn Thuyết - Lớp: 47K-CNTT 35 tiên là vô hiệu hóa Netbios name nhằm ngăn cản sự dò tìm IP của các chương trình này

Các chương trình tấn công dựa trên việc thay đổi bảng ARP và sử dụng phương thức "Man in the middle" Để khắc phục tình trạng này, người dùng nên khóa cứng bảng ARP và thiết lập ARP static, có thể thực hiện trên từng Client hoặc cấu hình trực tiếp trên Router để bảo vệ hệ thống.

Có thể khóa cứng ARP trên máy để tránh bị sniffer

Phương pháp ngăn chặn Sniffer dữ liệu ?

Cách hiệu quả nhất để ngăn chặn những kẻ muốn Sniffer dữ liệu là sử dụng các giao thức mã hóa tiêu chuẩn cho dữ liệu trên đường truyền Mặc dù kẻ tấn công có thể Sniffer dữ liệu, nhưng nhờ vào việc mã hóa, chúng sẽ không thể đọc được thông tin đó.

SSL (Secure Socket Layer) là một giao thức mã hóa được phát triển cho hầu hết các web server và trình duyệt web phổ biến Nó được sử dụng để mã hóa thông tin nhạy cảm, như số thẻ tín dụng, mật khẩu và các dữ liệu quan trọng, nhằm bảo vệ thông tin khi truyền qua mạng.

PGP và S/MIME là những công nghệ quan trọng giúp bảo vệ e-mail khỏi các cuộc tấn công của Sniffer Khi một e-mail không được mã hóa, kẻ tấn công có thể truy cập không chỉ nội dung mà còn cả thông tin như địa chỉ người gửi và người nhận Để đảm bảo an toàn và bảo mật thông tin cá nhân, việc mã hóa e-mail là rất cần thiết S/MIME hiện đã được tích hợp trong hầu hết các ứng dụng gửi nhận e-mail như Netscape Messenger và Outlook Express, trong khi PGP cũng là một giải pháp mã hóa hiệu quả.

SVTH: Thái Văn Thuyết - Lớp: 47K-CNTT 40, là một phương thức được sử dụng để mã hóa E-mail, hỗ trợ mã hóa bằng DSA và RSA với độ dài lên đến 2048 bit.

OpenSSH là bộ giao thức được thiết kế để khắc phục những điểm yếu của các giao thức chuẩn như Telnet và FTP, vốn không cung cấp khả năng mã hóa dữ liệu trên đường truyền Điều này đặc biệt nguy hiểm vì mật khẩu được gửi dưới dạng Clear Text, dễ bị đánh cắp bởi các công cụ Sniffer Với OpenSSH, SSH thay thế Telnet và SFTP thay thế FTP, giúp bảo vệ thông tin nhạy cảm trong quá trình truyền tải.

VPN (Mạng Riêng Ảo) được sử dụng để mã hóa dữ liệu khi truyền tải trên Internet Tuy nhiên, nếu hacker có thể tấn công và xâm nhập vào các node của kết nối VPN, họ vẫn có khả năng thực hiện việc sniffer dữ liệu.

Một người dùng Internet có thể vô tình nhiễm RAT (Remote Access Trojan) khi lướt Web, trong đó thường chứa Plugin Sniffer Khi người dùng này thiết lập kết nối VPN, Plugin Sniffer sẽ hoạt động và có khả năng đọc dữ liệu chưa được mã hóa trước khi được bảo vệ bởi VPN Để ngăn chặn các cuộc tấn công như vậy, cần nâng cao ý thức cảnh giác cho người dùng trong hệ thống mạng VPN và sử dụng các chương trình quét virus để phát hiện và ngăn chặn Trojan.

Phương pháp ngăn chặn Sniffer Password

Để bảo vệ khỏi các cuộc tấn công đánh cắp mật khẩu, bạn cần áp dụng các giao thức và phương pháp mã hóa mật khẩu, đồng thời sử dụng giải pháp chứng thực an toàn.

 SMB/CIFS: Trong môi trường Windows/SAMBA bạn cần kích hoạt tính năng LANmanager Authencation

 Keberos: Một giải pháp chứng thực dữ liệu an toàn đƣợc sử dụng trên Unix cũng nhƣ Windows

 Stanford SRP (Secure Remote Password): Khắc phục đƣợc nhƣợc điểm không mã hoá Password khi truyền thong của 2 giao thức FTP và Telnet trên Unix.

Phương pháp ngăn chặn Sniffer trên thiết bị phần cứng

Việc thay thế Hub bằng Switch sẽ mang lại hiệu quả phòng chống tốt hơn, vì Switch tạo ra một "Broadcast Domain" giúp gửi đến các kẻ tấn công những gói ARP không hợp lệ (Spoof ARP Packet).

Mặc dù có các biện pháp phòng thủ, hacker vẫn tìm ra những cách tinh vi để vượt qua Các yêu cầu truy vấn ARP chứa thông tin chính xác về IP và MAC của người gửi Để giảm thiểu lưu lượng ARP trên mạng, hầu hết máy tính thường sử dụng thông tin từ bộ đệm (Cache) mà chúng nhận được từ Broadcast.

Một hacker có thể dễ dàng đánh lừa các máy tính trong mạng cục bộ bằng cách gửi các gói ARP giả mạo, trong đó chứa thông tin địa chỉ IP của router nhưng lại trỏ đến địa chỉ MAC của chính mình Kết quả là, tất cả các máy tính trong mạng sẽ nhầm tưởng hacker là router và thiết lập phiên truyền thông thông qua máy tính của hắn.

Một cuộc tấn công DOS trên hệ thống mạng cục bộ có thể làm cho mục tiêu bị loại khỏi mạng và sau đó kẻ tấn công sử dụng địa chỉ IP của máy tính bị tấn công Kẻ tấn công sẽ lợi dụng các kết nối này mà Windows không có biện pháp ngăn chặn hiệu quả, dẫn đến việc hệ thống tự động đóng Stack TCP/IP của mình Để bảo vệ hệ thống khỏi các cuộc tấn công này, việc sử dụng các công cụ IDS (Intrusion Detection Service) là cần thiết.

BlackICE IDS, Snort sẽ tự động phát hiện và cảnh báo về các cuộc tấn công dạng này

Hầu hết các Adapter Ethernet cho phép người dùng cấu hình địa chỉ MAC thủ công, điều này tạo cơ hội cho hacker tạo ra địa chỉ Spoof MAC bằng cách tấn công vào các địa chỉ trên Adapter Để ngăn chặn tình trạng này, nhiều Switch hiện nay không cho phép thay đổi địa chỉ MAC một cách tự ý.

CHƯƠNG TRÌNH XARP

Giới thiệu

XARP là một công cụ giao diện đồ họa giúp giám sát ARP Cache trên máy tính Nó gửi yêu cầu định kỳ đến bảng ARP cache và thông báo về những thay đổi trong ánh xạ giữa địa chỉ IP và địa chỉ MAC Nhờ đó, XARP có khả năng phát hiện các cuộc tấn công ARP Poisoning trong mạng LAN.

XARP là 1 chương trình miễn phí.Nó có thể chạy trên hệ điều hành windows 2000 hoặc windows xp

Các mức bảo mật trong XARP

Mức độ bảo mật Minimal là cấp độ thấp nhất trong XARP, tại đây hệ thống chỉ thực hiện việc phát hiện một cách thụ động mà không tiến hành khám phá Các module giám sát trong XARP có khả năng phát hiện những phương thức tấn công cơ bản.

Phương thức cơ bản hoạt động dựa trên một chiến lược phát hiện các tấn công mặc định, từ đó nhận diện những phương thức tấn công chuẩn Đây là mức bảo mật được khuyến nghị cho mọi môi trường.

Phương thức High trong mạng discovery network cung cấp mức độ bảo mật cao với tốc độ phát hiện nhanh hơn so với các phương thức khác Tuy nhiên, nó yêu cầu gửi nhiều gói tin discovery hơn vào mạng, và trong một số môi trường, việc sử dụng mức độ này có thể dẫn đến cảnh báo sai.

The aggressive security level activates all monitoring modules to oversee every ARP packet and increases the frequency of discovery packets While this heightened security setting enhances vigilance, it may also lead to false attack alerts.

Demo phát hiện tấn công ARP Poisoning

Đầu tiên từ 1 máy trong mạng LAN chúng ta mở chương trình Cain lên bắt đầu thực hiện việc sniffer và tấn công dạng ARP Poisoning:

Tiếp theo trong chương trình Cain ta tiến hành chọn interface để tiến hành việc sniffer trong LAN:

Sau khi chọn card mạng ta thực hiện sniffer bằng cách click vào button Start/Stop Sniffer trên hình:

Sau đó, trong mục host gốc dưới màn hình ta scan địa chỉ Mac address của tất cả các host trong mạng sẽ đƣợc hình sau:

Tiếp theo nhấn nút start/stop arp, sau đó add địa chỉ ip của những máy mà chúng ta muốn giám sát:

Khi mở chương trình XARP đã cài đặt trên máy PC2 với mức bảo mật cơ bản, chúng ta có thể phát hiện cuộc tấn công ARP Poisoning thông qua cảnh báo từ chương trình.

Và đây là thống kê của chương trình về tất cả cảnh báo

Các hàng đƣợc khung đỏ lại chính là cảnh báo về việc thay đổi địa chỉ Mac address:

Sử dụng XARP là một cách chống lại việc tấn công ARP Poisoning trong mạng LAN hiệu quả

Tiêu đề	Phát Hiện Và Phòng Chống Sniffer
Tác giả	Thái Văn Thuyết
Người hướng dẫn	ThS. Phạm Thị Thu Hiền
Trường học	Trường Đại Học Vinh
Chuyên ngành	Công Nghệ Thông Tin
Thể loại	Đồ Án Tốt Nghiệp
Năm xuất bản	2011
Thành phố	Vinh

Định dạng
Số trang	53
Dung lượng	2,2 MB