1. Trang chủ
  2. Kỹ Thuật - Công Nghệ

Các khái niệm căn bản về sniffer

19 572 0
Các khái niệm căn bản về sniffer

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Sniffer Thông tin tài liệu I Các khái niệm Sniffer 1.1 Sniffer ? 1.2 Sniffer sử dụng ? 1.3 Quá trình Sniffer diễn ? 1.4 Địa Ethernet MAC ? 1.5 Định dạng địa MAC 1.6 Làm để biết địa MAC ? 1.7 Tôi Sniffer kết nối người mà quyền truy cập vào đường truyền họ không ? II Làm để phòng chống công Sniffer ? 2.1 Làm để ngăn chặn kẻ muốn Sniffer liệu ? 2.2 Làm để ngăn chặn kẻ muốn Sniffer Password ? 2.3 Làm để ngăn chặn hành động Sniffer thiết bị phần cứng ? 2.4 Tôi sử dụng Adapter không hỗ trợ Sniffing không ? 2.5 Làm để phát Sniffer hệ thống mạng ? III Quá trình phân tích giao thức (Protocol Analysis) ? 3.1 Hexadecimal ? 3.2 ASCII ? 3.3 Mô hình lớp mạng OSI 3.4 Một số Sniffer thông dụng 3.5 Screen Shot số Sniffer thông dụng IV Lời kết Thông tin tài liệu Tài liệu tổng hợp, dịch chỉnh sửa dựa tài liệu nguyên tiếng anh: Sniffer Network Writetap Khi sử dụng lại nội dung viết này, xin vui lòng trích dẫn rõ nguồn tài liệu người thực Rất cảm ơn quan tâm bạn đến tài liệu Sai xót điều tránh khỏi Mọi đóng góp, thắc mắc liên quan đến tài liệu xin vui lòng liên hệ: NGUYỄN Xuân Bình Email: binhnx2000@yahoo.com Home: http://www.binhnx2000.com/ I Các khái niệm Sniffer 1.1 Sniffer ? Khởi đầu Sniffer tên sản phẩm Network Associates có tên Sniffer Network Analyzer Đơn giản bạn cần gõ vào từ khoá Sniffer công cụ tìm kiếm nào, bạn có thông tin Sniffer thông dụng Sniffer hiểu đơn giản chương trình cố gắng nghe ngóng lưu lượng thông tin (trong hệ thống mạng) Tương tự thiết bị cho phép nghe đường dây điện thoại Chỉ khác môi trường chương trình Sniffer thực nghe nén môi trường mạng máy tính Tuy nhiên giao dịch hệ thống mạng máy tính thường liệu dạng nhị phân (Binary) Bởi để nghe hiểu liệu dạng nhị phân này, chương trình Sniffer phải có tính biết phân tích nghi thức (Protocol Analysis), tính giải mã (Decode) liệu dạng nhị phân để hiểu chúng Trong hệ thống mạng sử dụng giao thức kết nối chung đồng Bạn sử dụng Sniffer Host hệ thống mạng bạn Chế độ gọi chế độ hỗn tạp (promiscuous mode) 1.2 Sniffer sử dụng ? Sniffer thường sử dụng vào mục đích khác biệt Nó công cụ giúp cho quản trị mạng theo dõi bảo trì hệ thống mạng Cũng theo hướng tiêu cực chương trình cài vài hệ thống mạng máy tính với mục đích đánh hơi, nghe nén thông tin đoạn mạng Dưới số tính Sniffer sử dụng theo hướng tích cực tiêu cực: - Tự động chụp tên người sử dụng (Username) mật không mã hoá (Clear Text Password) Tính thường Hacker sử dụng để công hệ thống bạn - Chuyển đổi liệu đường truyền để quản trị viên đọc hiểu ý nghĩa liệu - Bằng cách nhìn vào lưu lượng hệ thống cho phép quản trị viên phân tích lỗi mắc phải hệ thống lưu lượng mạng Ví dụ : Tại gói tin từ máy A gửi sang máy B etc - Một số Sniffer tân tiến có thêm tính tự động phát cảnh báo công thực vào hệ thống mạng mà hoạt động (Intrusion Detecte Service) - Ghi lại thông tin gói liệu, phiên truyền…Tương tự hộp đen máy bay, giúp quản trị viên xem lại thông tin gói liệu, phiên truyền sau cố…Phục vụ cho công việc phân tích, khắc phục cố hệ thống mạng 1.3 Quá trình Sniffer diễn ? Công nghệ Ethernet xây dựng nguyên lý chia sẻ Theo khái niệm tất máy tính hệ thống mạng cục chia sẻ đường truyền hệ thống mạng Hiểu cách khác tất máy tính có khả nhìn thấy lưu lượng liệu truyền đường truyền chung Như phần cứng Ethernet xây dựng với tính lọc bỏ qua tất liệu không thuộc đường truyền chung với Nó thực điều nguyên lý bỏ qua tất Frame có địa MAC không hợp lệ Khi Sniffer tắt tính lọc sử dụng chế độ hỗn tạp (promiscuous mode) Nó nhìn thấy tất lưu lượng thông tin từ máy B đến máy C, hay lưu lượng thông tin máy hệ thống mạng Miễn chúng nằm hệ thống mạng 1.4 Địa Ethernet MAC ? Khi nhiều máy tính mạng chia sẻ đường truyền? Thì thân máy phải có thông tin nhận dạng khác Khi bạn gửi liệu từ bên hệ thống mạng Ethernet bạn phải biết rõ địa nào? Máy ? mà bạn cần gửi liệu đến MAC dãy 12 số Hex cho phần cứng Ethernet để thực nhiệm vụ Sự truyền thông hệ thống mạng Ethernet xử lý thiết bị phần cứng Ethernet (Card mạng) _ / .\ / Internet.\ + -+ + + .+ -+ |Alice| -|ROUTER| .|Bob| + -+ ^ + + .+ -+ | \ / | \ -/ -+ |wiretap| + -+ Alice có địa IP 10.0.0.23 Bob có địa IP 192.168.100.54 Để nói chuyện với Bob, Alice cần phải tạo Packet IP từ 10.0.0.23 đến 192.168.100.54 Trong gói liệu ngang qua Internet từ Router đến Router Các Router kiểm tra địa đến định có cho Packet hay không ? Trong sơ đồ đơn giản trên, coi môi trường Internet đám mây Tất Packet IP Alice muốn chuyển đến Bob qua Router Alice cấu trúc Internet, tuyền đường mà Packet IP cô phải qua Cô phải nói chuyện với Router để chúng thực việc Trong hệ thống mạng cục bộ, để nói chuyện với Router cô sử dụng Ethernet + + + + + + + | destination MAC | + + + + + + + | source MAC | + + + + + + + |08 00| + + + -+ IP packet || + + + + + -+ | CRC | + + + + + Những phương pháp Stack TCP/IP máy Alice tạo gói liệu dài 100 bytes (hãy nói cho tạo 20 bytes cho thông tin IP, 20 bytes cho thông tin TCP 60 bytes cho thông tin liệu) Stack TCP/IP gửi cho Modules Ethernet, đặt 14 bytes cho địa MAC nơi nhận, nơi gửi Cuối gán bytes kết thúc cho trình kiểm tra CRC/Checksum Bộ tiếp hợp (Adapter) gửi thông tin Tất adapter dựa phần cứng hệ thống mạng nhìn thấy Frame liệu Bao gồm adapter Router, chương trình Sniffer tất adapter hệ thống mạng Tuy nhiên có phận thiết bị phần cứng Ethernet dùng để so sánh địa MAC gửi với khung địa MAC (Frame MAC) Nếu chúng không phù hợp bỏ qua Frame MAC Quá trình xử lý lý thiết bị phần cứng 1.5 Định dạng địa MAC Địa MAC dãy số 48 bits 48 bits tiếp tục chia đôi 24 bit xác định tên hãng sản xuất Ethernet Card bạn 24 bit lại số hiệu Serial gán nhà sản xuất Đảm bảo nguyên tắc Ethernet Card có trùng địa MAC 24 bit thứ gọi OUI (Organizationally Unique Identifier) Tuy nhiên OUI có độ dài thực 22 bit, bit dư lại sử dụng cho mục đích khác bit định địa Broadcast/Multicast (địa loan báo tin chung hệ thống mạng) bit lại sử dụng cần thiết lập lại địa cục cho Adapter 1.6 Làm để biết địa MAC ? Với Windows bạn sử dụng câu lệnh « ipconfig /all » : Windows NT IP Configuration Host Name : sample.robertgraham.com DNS Servers : 192.0.2.254 Node Type : Hybrid NetBIOS Scope ID : IP Routing Enabled : No WINS Proxy Enabled : No NetBIOS Resolution Uses DNS : No Ethernet adapter SC12001: Description : DEC DC21140 PCI Fast Ethernet Adapter Physical Address : 00-40-05-A5-4F-9D DHCP Enabled : No IP Address : 192.0.2.160 Subnet Mask : 255.255.255.0 Default Gateway : 192.0.2.1 Primary WINS Server : 192.0.2.253 Địa MAC ví dụ 00-40-05-A5-4F-9D Trong Linux/Unix bạn sử dụng câu lệnh « ifconfig » eth0 Link encap:Ethernet HWaddr 08:00:17:0A:36:3E inet addr:192.0.2.161 Bcast:192.0.2.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1137249 errors:0 dropped:0 overruns:0 TX packets:994976 errors:0 dropped:0 overruns:0 Interrupt:5 Base address:0x300 Địa MAC ví dụ 08 :00 :17 :0A :36 :3E Nếu muốn biết địa Ethernet mà bạn truyền thông, đơn giản cần sử dụng lệnh« arp –a » cho Windows *Nix 1.7 Tôi Sniffer kết nối người mà quyền truy cập vào đường truyền họ không ? Hãy tưởng tượng : Alice Bob người Berlin, người London Họ truyền thông với Còn bạn, bạn Paris Bạn muốn nghe trộm phiên truyền thông họ ? Bạn quyền nhảy vào đường truyền họ Rất tiếc! Câu trả lời không Bạn phải có quyền truy cập đường truyền mà bạn muốn Sniffer Tuy nhiên bạn Hacker thực thụ có cách để bạn thực mục đích cách dành quyền truy cập từ xa : - Tấn công đột nhập vào máy tính Bob hay Alice cài đặt phầm mềm Sniffer, từ xa bạn việc khai thác thông tin - Tấn công đột nhập vào hệ thống mạng ISP cài đặt Sniffer - Hối lộ, lừa đảo nhân viên ISP để bạn tiến hành móc nối cài đặt thiết bị, chương trình Sniffer thiết bị vật lý ISP Như đường dây Cable chẳng hạn II Làm để phòng chống công Sniffer ? 2.1 Làm để ngăn chặn kẻ muốn Sniffer liệu ? Có lẽ cách đơn giản để ngăn chặn kẻ muốn Sniffer liệu bạn sử dụng giao thức mã hoá chuẩn cho liệu đường truyền Khi bạn mã hoá liệu, kẻ công ác ý Sniffer liệu bạn, chúng lại đọc - SSL (Secure Socket Layer) : Một giao thức mã hoá phát triển cho hầu hết Webserver, Web Browser thông dụng SSL sử dụng để mã hoá thông tin nhạy cảm để gửi qua đường truyền như: Số thẻ tin dụng khách hàng, password thông tin quan trọng http://www.openssl.org/ http://www.modssl.org/ - PGP S/MIME:E-mail có khả bị kẻ công ác ý Sniffer Khi Sniffer E-mail không mãhoá, chúng nội dung mail, mà chúng biết thông tin địa người gửi, địa người nhận…Chính để đảm bảo an toàn tính riêng tư cho E-mail bạn cần phải mã hoá chúng…S/MIME tích hợp hầu hết chương trình gửi nhận Mail Netscape Messenger, Outlock Express… - PGP giao thức sủ dụng để mã hoá E-mail Nó có khả hỗ trợ mã hoá DSA, RSA lên đến 2048 bit liệu http://www.gnupg.org/ - OpenSSH: Khi bạn sử dụng Telnet, FTP…2 giao thức chuẩn không cung cấp khả mã hoá liệu đường truyền Đặc biệt nguy hiểm không mã hoá Password, chúng gửi Password qua đường truyền dạng Clear Text Điều xảy liệu nhạy cảm bị Sniffer OpenSSH giao thức đời để khắc phục nhược điểm này: ssh (sử dụng thay Telnet), sftp (sử dụng thay FTP)… http://www.openssh.org/ - VPNs (Virtual Private Networks): Được sử dụng để mã hoá liệu truyền thong Internet Tuy nhiên Hacker công thoả hiệp Node của kết nối VPN đó, chúng tiến hành Sniffer Một ví dụ đơn giản,là người dung Internet lướt Web sơ ý để nhiễm RAT (Remoto Access Trojan), thường loại Trojan thường có chứa sẵn Plugin Sniffer Cho đến người dùng bất cẩn thiết lập kết nối VPN Lúc Plugin Sniffer Trojan hoạt động có khả đọc liệu chưa mã hoá trước đưa vào VPN Để phòng chống công kiểu này: bạn cần nâng cao ý thức cảnh giác cho người sử dụng hệ thống mạng VPN bạn, đồng thời sử dụng chương trình quét Virus để phát ngăn chặn không để hệ thống bị nhiễm Trojan 2.2 Làm để ngăn chặn kẻ muốn Sniffer Password ? Để ngăn chăn kẻ công muốn Sniffer Password Bạn đồng thời sử dụng giao thức, phương pháp để mã hoá password sử dụng giải pháp chứng thực an toàn (Authentication): - SMB/CIFS:Trong môi trường Windows/SAMBA bạn cần kích hoạt tính LANmanager Authencation - Keberos: Một giải pháp chứng thực liệu an toàn sử dụng Unix Windows: ftp://aeneas.mit.edu/pub/kerberos/doc/KERBEROS.FAQ - Stanford SRP (Secure Remote Password):Khắc phục nhược điểm không mã hoá Password truyền thông giao thức FTP Telnet Unix: http://srp.stanford.edu/srp/ 2.3 Làm để ngăn chặn hành động Sniffer thiết bị phần cứng ? Việc thay Hub bạn Switch, cung cấp phòng chống hiệu Switch tạo “Broadcast Domain” có tác dụng gửi đến kẻ công gói ARP không hợ lệ (Spoof ARP Packet) Tuy nhiên Hacker có cách thức khéo léo để vượt qua phòng thủ Các yêu cầu truy vấn ARP chứa đựng thông tin xác từ IP MAC người gửi Thông thường để giảm bớt lưu lượng ARP đường truyền, đa số máy tính đọc sử dụng thông tin từ đệm (Cache) mà chúng truy vấn từ Broadcast Bởi Hacker Redirect máy tính gần để vượt qua phòng thủ cách gửi gói ARP chứa đựng thông tin địa IP Router đến địa MAC Tất máy tính hệ thống mạng cục nhầm tưởng Router thiết lập phiên truyền thông qua máy tính Một công DOS tương tự hệ thống mạng cục bộ, thành công đá văng mục tiêu mà họ muốn công khỏi mạng bắt đầu sử dụng địa IP máy tính vừa bị công Những kẻ công khéo léo thừa kể sử dụng kết nối Bản than Windows phát hành động này, không hành động mà lại tử tế đóng Stack TCP/IP cho phép kết nối tiếp tục Để phòng chống lại công dạng bạn cần sử dụng công cụ IDS (Intrusion Detecte Service) Các IDS BlackICE IDS, Snort tự động phát cảnh báo công dạng http://www.blackice.com/ http://www.snort.org/ Hầu hết Adapter Ethernet cho phép cấu hình địa MAC tay Hacker tạo địa Spoof MAC cách hướng vào địa Adapter Để khắc phục điều này, hầu hết Switch không cho phép tự ý cấu hình lại địa MAC 2.4 Tôi sử dụng Adapter không hỗ trợ Sniffing không ? Câu trả lời có Một số Adapter cũ không hỗ trợ chế độ hỗn tạp (Promiscuos Mode) Về Adapter Token Ring IBM không hỗ trợ chế độ hỗn tạp Cũng có số Adapter cũ khác không hỗ trợ chế độ hỗn tạp Nếu bạn thật không muốn Sniffing chế độ hỗn tạp xảy Bạn tham khảo thông tin nhà sản xuất Sniffer để biết Card Ethernet mà họ không hỗ trợ chế độ Sniffing chế độ hỗn tạp 2.5 Làm để phát Sniffer hệ thống mạng ? Về mặt lý thuyết khó phát diện chương trình Sniffer hệ thống Bởi chúng chộp cố gắng đọc gói tin, chúng không gây xáo trộn hay mát Packet nghiêm trọng đường truyền Tuy nhiên thực tế lại có nhiều cách để phát diện Sniffer Khi đứng đơn lẻ máy tính truyền thông dấu hiệu Tuy nhiên cài đặt máy tính không đơn lẻ có truyền thông, thân Sniffer phát sinh lưu lượng thông tin Bạn truy vấn ngược DNS để tìm thông tin liên quan đến địa IP Dưới liệt kê số phương pháp để phát Sniffer : Phương pháp dùng Ping: Hầu hết chương trình Sniffer cài đặt máy tính mạng sử dụng TCP/IP Stack Bởi bạn gửi yêu cầu đến máy tính này, chúng phản hồi lại cho bạn kết Bạn gửi yêu cầu phản hồi tới địa IP máy tính mạng (máy mà bạn cần kiểm tra xem có bị cài đặt Sniffer hay không), không thông qua Adapter Ethernet Lấy ví dụ cụ thể : Bạn nghi ngờ máy tính có địa IP 10.0.0.1, có địa MAC 00-40-05-A4-79-32 Đã bị cài đặt Sniffer Bạn hệ thống mạng Ethernet mà bạn nghi ngờ có kẻ tiến hành Sniffer Bạn thay đổi địa MAC bạn thành 00-40-05-A4-79-33 Bạn Ping đến địa IP địa MAC Trên nguyên tắc không máy tính nhìn thấy nhìn thấy Packet Bởi Adapter Ethernet chấp nhận địa MAC hợp lệ Nếu bạn thấy trả lời từ địa mà bạn nghi ngờ địa lọc MAC (MAC Address Filter) Ethernet Card…Máy tính có địa IP 10.0.0.1 bị cài đặt Sniffer Bằng kỹ thuật Hacker né tránh phương pháp nêu Các Hacker sử dụng MAC Address ảo Rất nhiều hệ thống máy tính có Windows có tích hợp khả MAC Filtering Windows kiểm tra byte Nếu địa MAC có dạng FF-00-00-00-00-00, đơn giản Windows coi FF-FF-FF-FF-FF-FF Đây sơ hở cho phép Hacker khai thác đánh lừa hệ thống máy tính bạn Kỹ thuật phát Sniffer đơn giản thường sử dụng hệ thống Ethernet dựa Switch Bridge Phương pháp sử dụng ARP: Phương pháp phát Sniffer tương tự phương pháp dùng Ping Khác biệt chỗ sử dụng Packet ARP Bạn tim thấy hướng dẫn chi tiết cụ thể với chương trình kèm hỗ trợ việc phát Sniffer theo phương pháp : http://www.apostols.org/projectz/neped/ Đơn giản bạn cần gửi Packet ARP đến địa mạng (không phải Broadcast) Nếu máy tính trả lời lại Packet ARP địa Thì máy tính cài đặt Sniffer chế độ hỗn tạp (Promiscuous Mode) Mỗi Packet ARP chứa đầy đủ thông tin người gửi người nhận Khi Hacker gửi Packet ARP đến địa loan truyền tin (Broadcast Address), bao gồm thông tin địa IP bạn địa MAC phân giải Ethernet Ít phút sau máy tính hệ thống mạng Ethernet nhớ thông tin Bởi Hacker gửi Packet ARP không qua Broadcast Address Tiếp ping đến Broadcast Address Lúc máy tính trả lời lại mà không ARPing, chụp thông tin địa MAC máy tính cách sử dụng Sniffer để chụp khung ARP (ARP Frame) Phương pháp sử dụng DNS : Rất nhiều chương trình Sniffer có tính phân giải ngược địa IP thành DNS mà chúng nhìn thấy (như dsniff) Bởi quan sát lưu lượng truyền thông DNS bạn phát Sniffer chế độ hỗn tạp (Promiscuous Mode) Để thực phương pháp này, bạn cần theo dõi trình phân giải ngược DNS Server bạn Khi bạn phát hành động Ping liên tục với mục đích thăm dò đến địa IP không tồn hệ thống mạng bạn Tiếp hành động cố gắng phân giải ngược địa IP biết từ Packet ARP Không khác hành động chương trình Sniffer Phương pháp Source-Route : Phương pháp sử dụng thông tin địa nguồn địa đích Header IP để phát hành động Sniff đoạn mạng Tiến hành ping từ máy tính đến máy tính khác Nhưng tính Routing máy tính nguồn phải vô hiệu hoá Hiểu đơn giản làm để gói tin đến đích Nếu bạn thấy trả lời, đơn giản hệ thống mạng bạn bị cài đặt Sniffer Để sử dụng phương pháp bạn cần sử dụng vào vài tuỳ chọn Header IP Để Router bỏ qua địa IP đến tiếp tục chuyển tiếp đến địa IP tuỳ chọn Source-Route Router Lấy ví dụ cụ thể : Bob Anna nằm đoạn mạng Khi có người khác đoạn mạng gửi cho cô ta vài Packet IP nói chuyển chúng đến cho Bob Anna Router, cho lên cô ta Drop tất Packet IP mà người muốn chuyển tới Bob (bởi cô ta làm việc này) Một Packet IP không gửi đến Bob, mà trả lời lại Điều vô lý, sử dụng chương trình Sniffer Phương pháp giăng bẫy (Decoy) : Tương tự phương pháp sử dụng ARP sử dụng phạm vi mạng rộng lớn (gần khắp nơi) Rất nhiều giao thức sử dụng Password không mã hoá đường truyền, Hacker coi trọng Password này, phương pháp giăng bẫy thoả mãn điều Đơn giản bạn cần giả lập Client sử dụng Service mà Password không mã hoá : POP, FTP, Telnet, IMAP Bạn cấu hình User quyền hạn, hay chí User không tồn Khi Sniff thông tin coi «quý giá» Hacker tìm cách kiểm tra, sử dụng khai thác chúng Bạn làm gí ??? Để biết thêm thông tin phương pháp thú vị bạn tham khảo trang thông tin: http://www.zurich.ibm.com/%7Edac/Prog_RAID98/Full_Papers/sniffer_detector.html/index.htm Phương pháp kiểm tra chậm trễ gói tin (Latency) : Phương pháp làm giảm thiểu lưu thông hệ thống mạng bạn Bằng cách gửi lượng thông tin lớn đến máy tính mà bạn nghi bị cài đặt Sniffer Sẽ hiệu ứng gí đáng kể máy tính hoàn toàn Bạn ping đến máy tính mà bạn nghi ngờ bị cài đặt Sniffer trước thời gian chịu tải thời gian chị tải Để quan sát khác thời điểm Tuy nhiên phương pháp tỏ không hiệu Bản thân Packet IP gửi đường truyền gây trậm trễ thất lạc Cũng Sniffer chạy chế độ “User Mode” xử lý độc lập CPU cho kết không xác Do mà tài liệu có tính chất giới thiệu Sniffer, nên không đề cập đến cách thức để sử dụng Sniffer hệ thống mạng Tuy nhiên nêu qua hệ thống mạng bị Sniffer: Cable Modem DSL ADSL Switched Network Wireless like IEEE 802.11 a.k.a AirPort (hệ thống mạng không dây) Những giao thức mà thông tin Password không mã hoá, nguy hiểm bị Sniffer: Telnet, Rlogin SNMP NNTP POP, IMAP, SMTP FTP … III Quá trình phân tích giao thức (Protocol Analysis) ? Là trình chụp lưu lượng liệu xem xét cấu trúc bên chúng truyền qua đường truyền Vềcăn liệu truyền đường truyền chia nhỏ thành nhiều gói chúng ráp lại cuối đường truyền trước đến tay người nhận Chẳng hạn bạn lấy xuống tài liệu có độ lớn khoảng 45,000 bytes, phân thành 30 gói với độ lớn gói 1,500 bytes để chuyển đến cho bạn Lấy ví dụ gói liệu chụp chương trình Sniffer Nó có độ lớn 1517 bytes, hiển thị 512 bytes đây: 000 00 00 BA 5E BA 11 00 A0 C9 B0 5E BD 08 00 45 00 ^ ^ E 010 05 DC 1D E4 40 00 7F 06 C2 6D 0A 00 00 02 0A 00 @ m 020 01 C9 00 50 07 75 05 D0 00 C0 04 AE 7D F5 50 10 P.u }.P 030 70 79 8F 27 00 00 48 54 54 50 2F 31 2E 31 20 32 py.' HTTP/1.1.2 040 30 30 20 4F 4B 0D 0A 56 69 61 3A 20 31 2E 30 20 00.OK Via:.1.0 050 53 54 52 49 44 45 52 0D 0A 50 72 6F 78 79 2D 43 STRIDER Proxy-C 060 6F 6E 6E 65 63 74 69 6F 6E 3A 20 4B 65 65 70 2D onnection:.Keep070 41 6C 69 76 65 0D 0A 43 6F 6E 74 65 6E 74 2D 4C Alive Content-L 080 65 6E 67 74 68 3A 20 32 39 36 37 34 0D 0A 43 6F ength:.29674 Co 090 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 ntent-Type:.text 0A0 2F 68 74 6D 6C 0D 0A 53 65 72 76 65 72 3A 20 4D /html Server:.M 0B0 69 63 72 6F 73 6F 66 74 2D 49 49 53 2F 34 2E 30 icrosoft-IIS/4.0 0C0 0D 0A 44 61 74 65 3A 20 53 75 6E 2C 20 32 35 20 Date:.Sun,.25 0D0 4A 75 6C 20 31 39 39 39 20 32 31 3A 34 35 3A 35 Jul.1999.21:45:5 0E0 31 20 47 4D 54 0D 0A 41 63 63 65 70 74 2D 52 61 1.GMT Accept-Ra 0F0 6E 67 65 73 3A 20 62 79 74 65 73 0D 0A 4C 61 73 nges:.bytes Las 100 74 2D 4D 6F 64 69 66 69 65 64 3A 20 4D 6F 6E 2C t-Modified:.Mon, 110 20 31 39 20 4A 75 6C 20 31 39 39 39 20 30 37 3A 19.Jul.1999.07: 120 33 39 3A 32 36 20 47 4D 54 0D 0A 45 54 61 67 3A 39:26.GMT ETag: 130 20 22 30 38 62 37 38 64 33 62 39 64 31 62 65 31 "08b78d3b9d1be1 140 3A 61 34 61 22 0D 0A 0D 0A 3C 74 69 74 6C 65 3E :a4a" 150 53 6E 69 66 66 69 6E 67 20 28 6E 65 74 77 6F 72 Sniffing.(networ 160 6B 20 77 69 72 65 74 61 70 2C 20 73 6E 69 66 66 k.wiretap,.sniff 170 65 72 29 20 46 41 51 3C 2F 74 69 74 6C 65 3E 0D er).FAQ 180 0A 0D 0A 3C 68 31 3E 53 6E 69 66 66 69 6E 67 20 Sniffing 190 28 6E 65 74 77 6F 72 6B 20 77 69 72 65 74 61 70 (network.wiretap 1A0 2C 20 73 6E 69 66 66 65 72 29 20 46 41 51 3C 2F ,.sniffer).FAQ This.docu 1C0 6D 65 6E 74 20 61 6E 73 77 65 72 73 20 71 75 65 ment.answers.que 1D0 73 74 69 6F 6E 73 20 61 62 6F 75 74 20 74 61 70 stions.about.tap 1E0 70 69 6E 67 20 69 6E 74 6F 20 0D 0A 63 6F 6D 70 ping.into comp 1F0 75 74 65 72 20 6E 65 74 77 6F 72 6B 73 20 61 6E uter.networks.an … Trên “hexdump” chuẩn gói liệu, trước chúng giải mã (Decode) Hexdump gồm có cột thông tin: cột thông tin nhận dạng theo dòng, liệu dạng hexadecimal cuối liệu dạng ASCII Gói tin gồm có 14 bytes cho Ethernet Header, 20 bytes cho IP Header, 20 bytes cho TCP Header, HTTP Header chấm dứt sau hàng “(0D 0A 0D 0A)” tiếp liệu truyền thông Lý mà gói tin sử dụng Hex ASCII, có trường hợp liệu hiển thị dạng Hex dễ đọc ngược lại ASCII tương tự Quá trình phân tích giao thức tiến hành chộp Hexdump cố gắng hiển thị chúng cách dễ hiểu: ETHER: Destination address : 0000BA5EBA11 ETHER: Source address : 00A0C9B05EBD ETHER: Frame Length : 1514 (0x05EA) ETHER: Ethernet Type : 0x0800 (IP) IP: Version = (0x4) IP: Header Length = 20 (0x14) IP: Service Type = (0x0) IP: Precedence = Routine IP: = Normal Delay IP: = Normal Throughput IP: .0 = Normal Reliability IP: Total Length = 1500 (0x5DC) IP: Identification = 7652 (0x1DE4) IP: Flags Summary = (0x2) IP: .0 = Last fragment in datagram IP: = Cannot fragment datagram IP: Fragment Offset = (0x0) bytes IP: Time to Live = 127 (0x7F) IP: Protocol = TCP - Transmission Control IP: Checksum = 0xC26D IP: Source Address = 10.0.0.2 IP: Destination Address = 10.0.1.201 TCP: Source Port = Hypertext Transfer Protocol TCP: Destination Port = 0x0775 TCP: Sequence Number = 97517760 (0x5D000C0) TCP: Acknowledgement Number = 78544373 (0x4AE7DF5) TCP: Data Offset = 20 (0x14) TCP: Reserved = (0x0000) TCP: Flags = 0x10 : A TCP: = No urgent data TCP: = Acknowledgement field significant TCP: = No Push function TCP: .0 = No Reset TCP: = No Synchronize TCP: .0 = No Fin TCP: Window = 28793 (0x7079) TCP: Checksum = 0x8F27 TCP: Urgent Pointer = (0x0) HTTP: Response (to client using port 1909) HTTP: Protocol Version = HTTP/1.1 HTTP: Status Code = OK HTTP: Reason = OK Quá trình phân tích giao thức thật không đơn giản, đòi hỏi người sử dụng phải có hiểu biết giao thức mạng Các thông tin Hexdump giải mã thông tin hữu ích cho nhà quản trị, thông tin có giá trị cho kẻ công 3.1 Hexadecimal ? Như biết giới PC, tất liệu hiểu ghi lại dạng số theo hệ nhị phân, thập phân…Hexadecimal đơn giản hế số sử dụng để ghi lại liệu (hệ 16), hệ sử dụng để ghi lại liệu hệ thống mạng Hệ thập phân (Decimal) có nghĩa liệu sử dụng ký tự hệ thập phân này: 0123456789 Hệ 16 (Hexdecimal) tương tự hệ thập phân chúng mở rộng chút: 0123456789ABCDEF Cách hiển thị liệu hệ 16: 0000 = 0001 = 0010 = 0011 = 0100 = 0101 = 0110 = 0111 = 1000 = 1001 = 1010 = A 1011 = B 1100 = C 1101 = D 1110 = E 1111 = F Lưu ý: Các chữ số hệ 16 thường kèm với ký tự đặc biệt Lấy ví dụ số 12, thường hiểu sau: 0x12, x12, $12 3.2 ASCII ? American Standard Code for Information Interchange - Đơn giản bảng mã chuẩn quy định cho việc hiển thị liệu máy tính 3.3 Mô hình lớp mạng OSI Về mặt bản, Internet hệ thống mạng máy tính lớn dùng để kết nối máy tính khắp nơi giới với bao gồm nhiều giao thức (Protocol) Các giao thức xếp cách hợp lý mô hình mạng OSI (Open Systems Interconnect Refence Model) hay gọi mô hình mạng lớp: Tầng - Physcial: Thực truyền thông tin cấp độ vật lý máy tính với Bao gồm giao thức: Ethernet, Wireless, Serial Direct Cable Connection, Point to Point Protocol (PPP) Tầng - Data Link: Định nghĩa quy luật để nhận gửi thông tin từ máy ày đến máy khác Bao gồm giao thức: Ethernet, Wrieless, Serial Direct Cable Connection, Point to Point Protocol (PPP) Tầng - Network: Định hướng đường đI cho liệu hệ thống lớn mạng để đảm bảo liệu đến đích Bao gồm giao thức: IP (Internet Protocol), ICMP (Internet Control Message Protocol), ARP (Address Resolution Protocol), RARP (Reverse Address Resolution Protocol) Tầng - Transport: Vận chuyển, kiểm tra, khắc phục truyền lại liệu Bao gồm giao thức: TCP (Tranmission Control Protocol), UDP (User Datagram Protocol) Tầng - Session: Giám sát truyền thông tin hệ thống bao gồm: bảo mật (Security), nhật ký – ghi nhớ (Logging) chức giám sát quản trị (IDS, Admin) Bao gồm giao thức: TCP (Tranmission Control Protocol), UDP (User Datagram Protocol) Tầng - Presentation: Điều khiển định dạng thông tin để hiển thị hay in mã hoá liệu Bao gồm giao thức ứng dụng: Telnet, FTP (File Transfer Protocol), HTTP (Hyper Text Transfer Protocol), SMTP (Simple Mail Transfer Protocol), DNS (Domain Name Service) 7: Applicationon 6: Presentationon 5: Sessionon 4: Transportrt 3: Networkrk 2: Datata Linknk 1: Physcialal Tầng - Applications: Các ứng dụng tương tác cụ thể Bao gồm giao thức ứng dụng: Telnet, FTP (File Transfer Protocol), HTTP (Hyper Text Transfer Protocol), SMTP (Simple Mail Transfer Protocol), DNS (Domain Name Service) etc Giải thích số thuật ngữ viết tắt giao thức: Ethernet : Một công nghệ nối mạng có lực mạnh sử dụng hầu hết mạng LAN Wireless : Các công nghệ nối mạng không dây Serial Direct Cable Connection : Công nghệ kết nối máy tính Cable truyền nhận liệu PPP (Point-to-Point Protocol) : Một giao thức kết nối Internet tin cậy thông qua Modem IP (Internet Protocol) : Giao thức dùng để xử lý chế truyền liệu thực tế Là sở cho việc định hướng vận chuyển liệu Internet ICMP (Internet Control Message Protocol) :Giao thức xử lý thông báo trạng thái cho IP, ví dụ báo lỗi thay đổi mạng ảnh hưởng đến việc định tuyến ARP (Address Resolution Protocol) : Giao thức chuyển địa mạng sang địa phần cứng vật lý tương dùng thông điệp Broadcast Dùng để xác định địa mạng RARP (Reverse Address Resolution Protocol) :Làm công việc ngược lại ARP, chuyển địa phần cứng từ máy sang địa IP TCP (Transmission Control Protocol) : Một giao thức, dịch vụ dựa kết nối, điều cho phép máy nhận gửi liệu truyền thông với vào lúc, nơi UDP (User Datagram Protocol) : Một giao thức, dịch vụ không kết nối, hai máy gửi nhận không truyền thông với thông qua kết nối liên tục Telnet : Giao thức cho phép đăng nhập từ xa đê người ding máy kết nối với máy hoạt động ngồi máy FTP (File Transfer Protocol) : Giao thức truyền liệu từ máy sang máy khác ding giao thức TCP SMTP (Simple Mail Transfer Protocol) : Giao thức dùng để truyền nhận thư điện tử máy DNS (Domain Name Service) :Xác định địa máy tính từ tên chữ sang số Còn nhiều giao thức dịch vụ khác tầng Nhưng khuôn khổ viết lên nêu số giao thức dịch vụ + -+ | Computer | || | + -+ | | | Web | | | |Browser| | / \ | + ++-+ | / Internet\ | || | | cloud \ | + ||-+ | + + | + + | | TCP \\| + -+ Link | Router | \ | Web | | | IP \+=+ NIC +===//==+ +=====//======+====+ Site | | | | + -+ || / || | + -+ | + + | + + || |/ + -+ \ / \ / 3.4 Một số Sniffer thông dụng Windows: Network Associates Sniffer (for Windows) http://www.nai.com/mktg/survey.asp?type=d&code=2483 Analyzer: a public domain protocol analyzer http://netgroup-serv.polito.it/analyzer/ Windump http://windump.polito.it/ Unix: Tcpdump http://www.tcpdump.org/ Ethereal http://www.ethereal.com/ Ettercap http://ettercap.sourceforge.net/ Dsniff http://www.monkey.org/dugsong/dsniff 3.5 Screen Shot số Sniffer thông dụng Windump, version sniffer thông dụng tcpdump OS *Nix Windump phiên capture đơn giản Điểm mạnh Windump ? Cũng người anh em tcpdump …khi hoạt động tốn tài nguyên hệ thống, hoạt động an toàn, ổn định Nó trở thành chương trình môi trường Shell đa số Administrator Lưu ý : Để sử dụng Windump hay số Sniffer khác Ethereal, Ettercap…etc Ban đầu Sniffer môi trường *Nix Sau tiếp tục phát triển phiên Windows Bạn cần phải cài thư viện Wincap Bạn xem thêm thông tin chi tiết thư viện Wincap địa : http://www.winpcap.org/install/default.htm Ettercap, sniffer thông dụng giới *Nix Ettercap phiên capture finger print host trao đổi thông tin với hệ thống mà hoạt động Ettercap nhiều người dùng có nhiều plugin, hỗ trợ nhiều tính đặc biệt cài đặt không cần đòi hỏi nhiểu thư viện Sniffer đồng nghiệp khác giới *Nix Ở version sau ettercap sử dụng thư viện gtk cho giao diện đồ hoạ Muốn sử dụng Ettercap chế độ GUI cài đặt ban đầu Ettercap yêu cầu hệ thống bạn phải cài đặt gtk Với Ettercap bạn theo dõi lưu lượng thông tin hoạt động hệ thống mạng bạn, chụp thông tin, hiển thị can thiệp vào kết nối Đã có phiên Ettercap cho Windows Ethereal, Sniffer xuất giới Nix Điểm mạnh Ethereal khả Decode phân tích gói liệu tốt… IV Lời kết Hy vọng qua dịch nhỏ bạn hiểu vấn đề bản: Sniffer ? Nó hoạt động sao? Nó có tính ? Cách sử dụng phòng chống số khái niệm khác liên quan đến Sniffer [...]... phiên bản Ettercap cho Windows Ethereal, một trong những Sniffer mới xuất hiện trong thế giới Nix Điểm mạnh của Ethereal là khả năng Decode và phân tích các gói dữ liệu khá tốt… IV Lời kết Hy vọng qua bài dịch nhỏ này bạn có thể hiểu được các vấn đề cơ bản: Sniffer là gì ? Nó hoạt động ra sao? Nó có những tính năng gì ? Cách sử dụng và phòng chống nó ra sao và một số khái niệm khác liên quan đến Sniffer. .. Administrator Lưu ý : Để sử dụng Windump hay một số Sniffer khác như Ethereal, Ettercap…etc Ban đầu là những Sniffer trên môi trường *Nix Sau này được tiếp tục phát triển các phiên bản trên Windows Bạn cần phải cài thư viện Wincap Bạn có thể xem thêm thông tin chi tiết về thư viện Wincap ở địa chỉ : http://www.winpcap.org/install/default.htm Ettercap, sniffer khá thông dụng trong thế giới *Nix Ettercap... thư viện như các Sniffer đồng nghiệp khác trong thế giới *Nix Ở các version mới sau này ettercap sử dụng các thư viện gtk cho giao diện đồ hoạ Muốn sử dụng Ettercap ở chế độ GUI khi cài đặt ban đầu Ettercap yêu cầu hệ thống của bạn phải cài đặt gtk Với Ettercap bạn có thể theo dõi những lưu lượng thông tin hoạt động trên hệ thống mạng của bạn, chụp các thông tin, hiển thị và can thiệp vào các kết nối... HTTP/1.1 HTTP: Status Code = OK HTTP: Reason = OK Quá trình phân tích giao thức thật sự không đơn giản, nó đòi hỏi người sử dụng phải có một hiểu biết nền căn bản về các giao thức mạng Các thông tin được Hexdump và giải mã là những thông tin khá hữu ích cho các nhà quản trị, cũng như là những thông tin khá có giá trị cho những kẻ tấn công 3.1 Hexadecimal là gì ? Như chúng ta đã biết trong thế giới PC, tất... là một hế số được sử dụng để ghi lại dữ liệu (hệ 16), là hệ được sử dụng để ghi lại các dữ liệu trên các hệ thống mạng Hệ thập phân (Decimal) có nghĩa là các dữ liệu được sử dụng các ký tự trong hệ thập phân này: 0123456789 Hệ 16 (Hexdecimal) tương tự như hệ thập phân nhưng chúng mở rộng ra một chút: 0123456789ABCDEF Cách hiển thị dữ liệu của hệ 16: 0000 = 0 0001 = 1 0010 = 2 0011 = 3 0100 = 4 0101... Lưu ý: Các chữ số trong hệ 16 thường được đi kèm với một ký tự đặc biệt Lấy ví dụ như số 12, nó thường được hiểu như sau: 0x12, x12, $12 3.2 ASCII là gì ? American Standard Code for Information Interchange - Đơn giản chỉ là một bảng mã chuẩn quy định cho việc hiển thị dữ liệu trên máy tính 3.3 Mô hình 7 lớp mạng OSI Về mặt cơ bản, Internet là một hệ thống mạng máy tính lớn được dùng để kết nối các máy... thức (Protocol) Các giao thức này được sắp xếp một cách hợp lý trong một mô hình mạng OSI (Open Systems Interconnect Refence Model) hay còn gọi là mô hình mạng 7 lớp: Tầng 1 - Physcial: Thực hiện truyền thông tin ở cấp độ vật lý giữa các máy tính với nhau Bao gồm các giao thức: Ethernet, Wireless, Serial Direct Cable Connection, Point to Point Protocol (PPP) Tầng 2 - Data Link: Định nghĩa các quy luật... Transport: Vận chuyển, kiểm tra, khắc phục và truyền lại dữ liệu Bao gồm các giao thức: TCP (Tranmission Control Protocol), UDP (User Datagram Protocol) Tầng 5 - Session: Giám sát truyền thông tin giữa các hệ thống bao gồm: bảo mật (Security), nhật ký – ghi nhớ (Logging) và các chức năng giám sát quản trị (IDS, Admin) Bao gồm các giao thức: TCP (Tranmission Control Protocol), UDP (User Datagram Protocol)... vận chuyển dữ liệu trên Internet ICMP (Internet Control Message Protocol) :Giao thức xử lý các thông báo trạng thái cho IP, ví dụ như báo lỗi và các thay đổi mạng có thể ảnh hưởng đến việc định tuyến ARP (Address Resolution Protocol) : Giao thức chuyển các địa chỉ mạng sang địa chỉ phần cứng vật lý tương dùng các thông điệp Broadcast Dùng để xác định địa chỉ mạng RARP (Reverse Address Resolution Protocol)... 3.5 Screen Shot của một số Sniffer thông dụng Windump, một version của sniffer thông dụng tcpdump trên các OS *Nix Windump đang trong phiên capture đơn giản của mình Điểm mạnh của Windump ? Cũng như người anh em tcpdump của nó …khi hoạt động tốn rất ít tài nguyên của hệ thống, cũng như hoạt động khá an toàn, ổn định Nó đã trở thành một chương trình ở môi trường Shell của đa số các Administrator Lưu ý .. .Sniffer Thông tin tài liệu I Các khái niệm Sniffer 1.1 Sniffer ? 1.2 Sniffer sử dụng ? 1.3 Quá trình Sniffer diễn ? 1.4 Địa Ethernet MAC ? 1.5 Định... http://www.binhnx2000.com/ I Các khái niệm Sniffer 1.1 Sniffer ? Khởi đầu Sniffer tên sản phẩm Network Associates có tên Sniffer Network Analyzer Đơn giản bạn cần gõ vào từ khoá Sniffer công cụ tìm kiếm... 1.7 Tôi Sniffer kết nối người mà quyền truy cập vào đường truyền họ không ? II Làm để phòng chống công Sniffer ? 2.1 Làm để ngăn chặn kẻ muốn Sniffer liệu ? 2.2 Làm để ngăn chặn kẻ muốn Sniffer

Ngày đăng: 03/01/2016, 19:10

Xem thêm: Các khái niệm căn bản về sniffer

Mục lục

    Thông tin về tài liệu

    I Các khái niệm căn bản về Sniffer

    1.2 Sniffer được sử dụng như thế nào ?

    1.3 Quá trình Sniffer được diễn ra như thế nào ?

    1.4 Địa chỉ Ethernet MAC là gì ?

    1.5 Định dạng của các địa chỉ MAC

    1.6 Làm thế nào để biết được địa chỉ MAC ?

    1.7 Tôi có thể Sniffer kết nối giữa 2 người mà tôi không có quyền truy cập vào đường truyền của họ k

    II Làm thế nào để phòng chống các cuộc tấn công Sniffer ?

    2.1 Làm thế nào để ngăn chặn những kẻ muốn Sniffer dữ liệu của tôi ?

Tài liệu cùng người dùng

Tài liệu liên quan