• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Các phương pháp phát hiện Sniffer trên hệ thống mạng

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Các phương pháp phát hiện Sniffer trên hệ thống mạng

    Hiện nay, khi người dùng sử dụng các dịch vụ web yêu cầu phải đăng nhập ID như mail, tài khỏan diễn đàn v.v. Trong hệ thống mạng LAN hay wirelessLAN việc bị kẻ xấu sử dụng các chương trình như cain&Abel, wireShark hay Ethereal để capture, thì việc bị lộ ID là điều làm nhiều người đau đầu. Vậy làm sao để phát hiện ???

    Về mặt lý thuyết thì rất khó có thể phát hiện được sự hiện diện của các chương trình Sniffer trên hệ thống. Bởi chúng bắt và cố gắng đọc các gói tin, chúng không gây ra sự xáo trộn hay mất mát Packet nghiêm trọng nào trên đường truyền cả. Tuy nhiên trên thực tế lại có nhiều cách để phát hiện ra sự hiện diện của các Sniffer. Khi đứng đơn lẻ trên một máy tính không có sự truyền thông thì sẽ không có dấu hiệu gì. Tuy nhiên nếu được cài đặt trên một máy tính không đơn lẻ và có sự truyền thông, bản thân Sniffer sẽ phát sinh ra lưu lượng thông tin. Bạn có thể truy vấn ngược DNS để tìm thông tin liên quan đến những địa chỉ IP. Sau đây là
    một số phương pháp để phát hiện Sniffer.



    1. Phương pháp dùng Ping:

    Hầu hết các chương trình Sniffer được cài đặt trên các máy tính trong mạng sử dụng TCP/IP Stack. Bởi vậy khi bạn gửi yêu cầu đến những máy tính này, chúng sẽ phản hồi lại cho bạn kết quả. Bạn hãy gửi một yêu cầu phản hồi tới địa chỉ IP của máy tính nào đó trong mạng (máy mà bạn cần kiểm tra xem có bị cài đặt Sniffer hay không), nhưng không thông qua Adapter Ethernet của nó.
    • Lấy ví dụ cụ thể :


    1. Bạn nghi ngờ máy tính có địa chỉ IP là 10.0.0.1, có địa chỉ MAC là 00-40-05-A4-79-32. Đã bị cài đặt Sniffer.

    2. Bạn đang ở trong cùng một hệ thống mạng Ethernet mà bạn nghi ngờ có kẻ đã tiến hành Sniffer.

    3. Bạn thay đổi địa chỉ MAC của bạn thành là 00-40-05-A4-79-33.

    4. Bạn Ping đến địa chỉ IP và địa chỉ MAC mới.

    5. Trên nguyên tắc không một máy tính nào có thể nhìn thấy có thể nhìn thấy được Packet này. Bởi Adapter Ethernet chỉ chấp nhận những địa chỉ MAC hợp lệ của chính nó.

    6. Nếu bạn thấy sự trả lời từ địa chỉ mà bạn nghi ngờ không phải trên địa chỉ lọc của MAC (MAC Address Filter) trên Ethernet Card…Máy tính có địa chỉ IP 10.0.0.1 đã bị cài đặt Sniffer.

    Bằng các kỹ thuật của mình các Hacker vẫn có thể né tránh đượcphương pháp nêu trên. Các Hacker sẽ sử dụng những MAC Address ảo. Rất nhiều hệ thống máy tính trong đó có Windows có tích hợp khả năng MAC Filtering. Windows chỉ kiểm tra những byte đầu tiên. Nếu một địa chỉ MAC có dạng FF-00-00-00-00-00, thì đơn giản
    Windows sẽ coi nó là FF-FF-FF-FF-FF-FF. Đây là sơ hở cho phép các Hacker có thể khai thác đánh lừa hệ thống máy tính của bạn. Kỹ thuật phát hiện Sniffer đơn giản này thường được sử dụng trên các hệ thống Ethernet dựa trên Switch và Bridge.

    2 Phương pháp sử dụng ARP:

    Phương pháp phát hiện Sniffer này tương tự như phương pháp dùng Ping. Khác biệt chỗ chúng ta sẽ sử dụng những Packet ARP. Để thực hiện quá trình bạn cần gửi một Packet ARP đến một địa chỉ nào đó trong mạng (không phải Broadcast). Nếu máy tính đó trả lời lại Packet ARP bằng địa chỉ của chính nó. Thì máy tính đó đang cài đặt
    Sniffer ở chế độ hỗn tạp (Promiscuous Mode).
    • Mỗi Packet ARP đều chứa đầy đủ thông tin về người gửi và ngườinhận. Khi Hacker gửi một Packet ARP đến địa chỉ loan truyền tin(Broadcast Address), nó bao gồm thông tin về địa chỉ IP của bạn vàđịa chỉ MAC được phân giải bởi Ethernet. Ít phút sau mọi máy tínhtrong hệ thống mạng Ethernet đều nhớ thông tin này. Bởi vậy khiHacker gửi các Packet ARP không đi qua Broadcast Address. Tiếp đó anh ta sẽ ping đến Broadcast Address. Lúc này bất cứ máy tínhnào trả lời lại anh ta mà không bằng ARPing, anh ta có thể chụp được các thông tin về địa chỉ MAC của máy tính này bằng cách sửdụng Sniffer để chụp các khung ARP (ARP Frame).

    3 Phương pháp sử dụng DNS :
    • Rất nhiều chương trình Sniffer có tính năng phân giải ngược các địa IP thành DNS mà chúng nhìn thấy (như dsniff). Bởi vậy khi quan sát lưu lượng truyền thông của DNS bạn có thể phát hiện được Sniffer ở chế độ hỗn tạp (Promiscuous Mode).
    • Để thực hiện phương pháp này, bạn cần theo dõi quá trình phân giải ngược trên DNS Server của bạn. Khi bạn phát hiện được những hành động Ping liên tục với mục đích thăm dò đến những địa chỉ IP không tồn tại trên hệ thống mạng của bạn. Tiếp đó là những hành động cố gắng phân giải ngược những địa chỉ IP được biết từ những Packet ARP. Không gì khác đây là những hành động của một chương trình Sniffer.

    4 Phương pháp Source-Route :
    • Phương pháp này sử dụng những thông tin như địa chỉ nguồn và địachỉ đích trong mỗi Header của IP để phát hiện hành động Sniffer trêntừng đoạn mạng.
    • Tiến hành ping từ một máy tính này đến một máy tính khác. Nhưngtính năng Routing trên máy tính nguồn phải được vô hiệu hoá. Hiểuđơn giản là làm thế nào để gói tin này không thể đi đến đích. Nếunhư bạn thấy sự trả lời, thì đơn giản hệ thống mạng của bạn đã bị cài đặt Sniffer.
    • Để sử dụng phương pháp này bạn cần sử dụng vào một vài tuỳ chọntrong Header IP. Để Router sẽ bỏ qua những địa chỉ IP đến và tiếptục chuyển tiếp đến những địa chỉ IP trong tuỳ chọn Source-Routecủa Router.

    • Lấy một ví dụ cụ thể :

    o Bob và Anna cùng nằm trên một đoạn mạng. Khi có một người khác trên cùng đoạn mạng gửi cho cô ta vài Packet IP và nói chuyển chúng đến cho Bob. Anna không phải là một Router, cho nên cô ta sẽ Drop tất cả Packet IP mà người kia muốn chuyển tới Bob (bởi cô ta không thể làm việc này). Một Packet IP không được gửi đến Bob, mà anh ta vẫn có thể trả lời lại được. Điều này vô lý, vậy anh ta đã sử dụng các chương trình Sniffer.

    5 Phương pháp giăng bẫy (Decoy) :
    • Tương tự như phương pháp sử dụng ARP nhưng nó được sử dụng trong những phạm vi mạng rộng lớn hơn (gần như là khắp nơi). Rất nhiều giao thức sử dụng các Password không được mã hoá trên đường truyền, các Hacker rất coi trọng những Password này, phương pháp giăng bẫy này sẽ thoả mãn điều đó. Đơn giản bạn chỉ cần giả lập những Client sử dụng Service mà Password không được mã hoá như : POP, FTP, Telnet, IMAP...Bạn có thể cấu hình những User không có quyền hạn, hay thậm chí những User không tồn tại. Khi Sniffer được những thông tin được coi là «quý giá» này các Hacker sẽ tìm cách kiểm tra, sử dụng và khai thác chúng...Bạn sẽ làm gí kế tiếp ???

    6 Phương pháp kiểm tra sự chậm trễ của gói tin (Latency) :
    • Phương pháp này sẽ làm giảm thiểu sự lưu thông trên hệ thống mạng của bạn. Bằng cách gửi một lượng thông tin lớn đến máy tính mà bạn nghi là đã bị cài đặt Sniffer. Sẽ không có hiệu ứng gí đáng kể nếu máy tính đó hoàn toàn không có gì. Bạn ping đến máy tính mà bạn nghi ngờ đã bị cài đặt Sniffer trước thời gian chịu tải và trong thời gian chị tải. Để quan sát sự khác nhau của 2 thời điểm này.
    • Tuy nhiên phương pháp này tỏ ra không mấy hiệu quả. Bản thân những Packet IP được gửi đi trên đường truyền cũng gây ra sự trậm trễ và thất lạc. Cũng như những Sniffer chạy ở chế độ “User Mode” được xử lý độc lập bởi CPU cũng cho ra những kết quả không chính xác.
    Lâm Văn Tú
    Email :
    cntt08520610@gmail.com
    Viet Professionals Co. Ltd. (VnPro)
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 35124257 (5 lines)
    Fax (08) 35124314
    Tập tành bước đi....



  • #2
    hay quá...thanks bác Tú :)

    Comment


    • #3
      có demo thì tốt quá bác Tú ơi. Hay bác dịch theo tài liệu nào thì port đường dẫn cho a e tham khảo với.. thanks bác nhiều.

      Comment

      Working...
      X