HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN *** HỌC PHẦN: AN TỒN MẠNG Bài báo cáo: Tìm hiểu cơng cụ Driftnet Kali Linux Giảng viên: TS Đặng Minh Tuấn Sinh viên thực hiện:Nguyễn Xuân Khải Mã SV: B18DCAT125 Nhóm: 02 Năm học: 2021-2022 Hà Nội – 2021 MỤC LỤC DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT Từ khóa Từ đầy đủ Giải nghĩa ARP Address Resolution Protocol Chuyển đổi địa Internet Protocol (IP) thành địa mạng vật lý tương ứng FTP File Transfer Protocol Giao thức truyền tập tin GUI Graphical User Interface Giao diện đồ hòa người dùng HTTP Hyper Text Transfer Protocol Giao thức truyền tải siêu văn HTTPS Hypertext Transfer Protocol Secure Phiên mở rộng HTTP IMAP Internet Message Access Protocol Giao thức để mail client truy xuất mail server từ xa qua TCP/IP IP Internet Protocol Địa giao thức internet MITM Man in the middle Cuộc công xen MPEG Moving Picture Experts Group Một dạng file video NNTP Network News Transport Protocol Giao thức truyền tải tin tức mạng POP Post Office Protocol Giao thức để mail client truy xuất mail server từ xa qua TCP/IP SMB Server Message Block Giao thức hệ điều hành Windows DOS SMTP Simple Mail Transfer Protocol Giao thức nhận hay truyền tải liệu email Telnet Giao thức truyền dòng lệnh DANH MỤC CÁC HÌNH VẼ LỜI MỞ ĐẦU Thế giới bước vào Cách mạng công nghiệp lần thứ tư với phát triển mạnh mẽ không gian mạng mang lại lợi ích to lớn nhiều lĩnh vực đời sống xã hội, làm thay đổi diện mạo nhiều quốc gia, đem lại thành tựu vượt bậc cho nhân loại Tuy nhiên, với tính tồn cầu khả kết nối vơ hạn khơng gian mạng nói khơng bị giới hạn không gian, thời gian chất xã hội không gian mạng đặt nhiều thách thức lớn an ninh quốc gia giới như: chiến tranh mạng, chiến tranh thông tin, khủng bố mạng, tội phạm mạng… vấn đề phát triển làm chủ không gian mạng trở thành nhiệm vụ cấp bách nhiều quốc gia đặc biệt quan tâm Chính vậy, bảo đảm an ninh mạng ưu tiên hàng đầu thể rõ quan điểm, chiến lược hành động cụ thể quốc gia, có Việt Nam Phát biểu Tổng thống Mỹ Barack Obama: “Đe dọa an ninh mạng trở thành thách thức kinh tế an ninh quốc gia nguy hiểm nước Mỹ Internet trở thành vũ khí hủy diệt hàng loạt” Phát biểu Tổng thống Nga Putin: “Trong điều kiện nay, sức sát thương cơng mạng cao loại vũ khí thơng thường nào” Có thể thấy khơng gian mạng lãnh thổ mới, khơng gian sinh tồn mở rộng có tầm quan trọng ngang với lãnh thổ khác chiến tranh, đất liền, biển, không không gian Như không gian mạng quốc gia lãnh thổ đặc biệt quốc gia, xác định phạm vi không gian Nhà nước quản lý, kiểm sốt hình sách, pháp luật lực cơng nghệ Với mục đích nghiên cứu tìm hiểu nguyên lý, chế công hacker nói chung, kĩ thuật nói riêng, em chọn đề tài tìm hiểu kĩ thuật công Sniffing, đề tài gồm chương: ● Chương I Tổng quan Sniffing ● Chương II Giới thiệu Driftnet ● Chương III Chuẩn bị công cụ 10 Hình ảnh 10: Các hình ảnh tải trình duyệt máy nạn nhân(Win10) 62 Hình ảnh 11: : Hình ảnh Driftnet bắt 63 64 Hình ảnh 12: Hình ảnh tải trình duyệt Firefox máy Kali Linux 65 Hình ảnh 13: Hình ảnh Driftnet bắt Kịch 2: Nếu bạn muốn lưu ảnh chụp để phân tích sau, bạn sử dụng lệnh sau Tạo thư mục tạm thời để lưu ảnh(/home/kali/Pictures/Driftnet/) ảnh chụp chương trình lưu thư mục Thực dòng lệnh sau: sudo driftnet -d /home/kali/Pictures/Driftnet/ -a -i eth0 mô tả tham số: -d định thư mục tạm thời -a chế độ bổ sung: chụp ảnh lưu vào thư mục tạm thời; không hiển thị cửa sổ ảnh chụp -i thiết lập giao diện để nghe 66 Hình ảnh 14: Hình ảnh tải trình duyệt máy nạn nhân(Win10) 67 Hình ảnh 15: Các ảnh đã lưu gói liệu khơng mã hóa Chương V Các hình thức phịng chống cơng Sniffing [4] Mã hóa đường truyền SSL Một giao thức mã hoá phát triển cho hầu hết Webserver, Web Browser thông dụng SSL sử dụng để mã hố thơng tin nhạy cảm để gửi qua đường truyền : Số thẻ tín dụng khách hàng, password thơng tin quan trọng Quản lý port console Switch a Tính dễ bị tổn thương Một hệ điều hành Switch Cisco có quản lý port, dây Console(line 0) mà cung cấp truy xuất trực tiếp đến Switch cho quản trị Nếu quản lý port cài đặt q lỏng lẻo Switch bị ảnh hưởng công.Và chi tiết tính dễ bị tổn thương việc quản lý Port bao gồm phần sau đây: − Một Switch với management port sử dụng tài khoản user mặc định cho phép kẻ công cố gắng tạo kết nối sử dụng nhiều tài khoản mặc định biết đến(administrator, root, security) − Nếu Switch có management port mà khơng cài password, password mặc định hay password yếu, kẻ cơng đốn pass hay crack chúng lấy thay đổi thông tin Switch Cũng việc cài password nhiều Switch cung cấp điểm đơn hỏng hóc Kẻ cơng, người mà thỏa hiệp Switch thỏa hiệp với Switch lại Cuối việc cài đặt password cho management port cài đặt khác Switch cho phép thỏa hiệp tiềm tàng password cài đặt dạng Plaintext bị thu thập mạng mà có người phân tích mạng Kẻ cơng người mà thu thập password telnet từ traffic mạng truy cập vào management port Switch lúc khác 68 − Nếu kết nối đến Switch sử dụng management port mà không cài đặt thời gian Timeout cài đặt khoảng thời gian Timeout lớn (lớn phút), kết nối sẵn sàng cho kẻ công hack chúng.Một Banner đưa ghi cho người kết nối đến Switch mà chứng thực bị theo dõi cho hành động nào.Toà án bỏ qua trường hợp chống lại người mà công vào hệ thống Banner cảnh báo b Giải pháp Hầu hết phương pháp bảo đảm cho việc quản trị Switch nằm ngồi việc quản lý nhóm.Phương pháp khơng trộn lẫn việc quản lý traffic với việc thao tác traffic.Việc quản lý ngồi nhóm sủ dụng dành cho hệ thống truyền thông Sơ đồ dây Serial kết nối đến Server chia việc quản lý máy tính ngồi cổng Console kết nối đến port Switch Giải pháp thỉ đủ cho nhiều chức quản lý Tuy nhiên Network-based, việc truy xuất thích hợp cho chức xác(cập nhật IOS), cịn bao gồm việc sử dụng Virtual Local Area Network (VLAN) miêu tả giải pháp cho VLAN phần Virtual Local Area Networks Giải pháp sau làm giảm tính dễ bị tổn thương sử dụng dây Console Switch: Cài đặt tài khoản cho nhà quản trị truy xuất dây Console Lệnh sau ví dụ việc tạo tài khoản cấp privileged cài đặt cấp privilege thành mặc định(0) cho dây Console Ỏ cấp privileged cấp thấp Switch Cisco cho phép cài đặt lệnh Người quản trị làm tăng cấp privileged lên 15 câu lệnh enable Cũng vậy, tài khoản truy xuất từ dây virtual terminal Switch(config)# username ljones privilege Switch(config)# line Switch(config-line)# privilege level 69 Sử dụng dịng hướng dẫn sau để tạo password an tồn: password ký tự; khơng từ bản; thêm vào ký tự đặc biệt hay số như:!@#$ %^&*()|+_…; thay đổi password tháng lần Sử dụng Switch(config)# username ljones secret g00d-P5WD Switch(config)# line Switch(config-line)# login local IDS, IPS − IDS: phát xâm nhập − IPS: phát ngăn chặn xâm nhập Được chia làm loại chính: − HIDS (và IPS): triển khai máy trạm server quan trọng, để bảo vệ riêng máy − NIDS: đặt điểm quan trọng hệ thống mạng, để phát xâm nhập cho khu vực Cơng việc IDS/IPS: Nếu hoạt động theo kiểu nhận dạng mẫu packet so trùng packet với mẫu cơng mà có, trùng ==> loại packet công ==> cảnh báo ngăn cản Hiện đa số IDS/IPS hoạt động theo kiểu Tuy nhiên kiểu cơng IDS không nhận biết được, nên phải cập nhật lỗi thường xuyên giống cập nhật virus Nếu hoạt động theo kiểu heuristic thông minh (không biết dịch cho phải) IDS theo dõi mạng xem có tượng bất thường hay không, phản ứng lại Lợi điểm nhận biết kiểu cơng mới, nhiều trường hợp bị báo động nhầm (không phải trường hợp công mà gây báo động) 70 Phương pháp ping Hầu hết chương trình Sniffer cài đặt máy tính mạng sử dụng TCP/IP Stack Bởi bạn gửi yêu cầu đến máy tính này, chúng phản hồi lại cho bạn kết Bạn gửi yêu cầu phản hồi tới địa IP máy tính mạng (máy mà bạn cần kiểm tra xem có bị cài đặt Sniffer hay khơng), khơng thơng qua Adapter Ethernet Lấy ví dụ cụ thể : a Bạn nghi ngờ máy tính có địa IP 10.0.0.1, có địa MAC 00-40-05-A4-79-32 Đã bị cài đặt Sniffer b Bạn hệ thống mạng Ethernet mà bạn nghi ngờ có kẻ tiến hành Sniffer c Bạn thay đổi địa MAC bạn thành 00-40-05-A4-79-33 d Bạn Ping đến địa IP địa MAC e Trên ngun tắc khơng máy tính nhìn thấy nhìn thấy Packet Bởi Adapter Ethernet chấp nhận địa MAC hợp lệ f Nếu bạn thấy trả lời từ địa mà bạn nghi ngờ địa lọc MAC (MAC Address Filter) Ethernet Card…Máy tính có địa IP 10.0.0.1 bị cài đặt Sniffer Bằng kỹ thuật Hacker né tránh phương pháp nêu Các Hacker sử dụng MAC Address ảo Rất nhiều hệ thống máy tính có Windows có tích hợp khả MAC Filtering Windows kiểm tra byte Nếu địa MAC có dạng FF-00-00-00-00-00, đơn giản Windows coi FF-FF- FF-FF-FF-FF Đây sơ hở cho phép Hacker khai thác đánh lừa hệ thống máy tính bạn 71 Kỹ thuật phát Sniffer đơn giản thường sử dụng hệ thống Ethernet dựa Switch Bridge Phương pháp Arp Phương pháp phát Sniffer tương tự phương pháp dùng Ping Khác biệt chỗ sử dụng Packet ARP Bạn tim thấy hướng dẫn chi tiết cụ thể với chương trình kèm hỗ trợ việc phát Sniffer theo phương pháp :http://www.apostols.org/projectz/neped / Đơn giản bạn cần gửi Packet ARP đến địa mạng (khơng phải Broadcast) Nếu máy tính trả lời lại Packet ARP địa Thì máy tính cài đặt Sniffer chế độ hỗn tạp(Promiscuous Mode) Mỗi Packet ARP chứa đầy đủ thông tin người gửi người nhận Khi Hacker gửi Packet ARP đến địa loan truyền tin (Broadcast Address), bao gồm thơng tin địa IP bạn địa MAC phân giải Ethernet Ít phút sau máy tính hệ thống mạng Ethernet nhớ thông tin Bởi Hacker gửi Packet ARP không qua Broadcast Address Tiếp ping đến Broadcast Address Lúc máy tính trả lời lại mà khơng ARPing, chụp thông tin địa MAC máy tính cách sử dụng Sniffer để chụp khung ARP (ARP Frame) Phương pháp sử dụng DNS Rất nhiều chương trình Sniffer có tính phân giải ngược địa IP thành DNS mà chúng nhìn thấy (như dsniff) Bởi quan sát lưu lượng truyền thơng DNS bạn phát Sniffer chế độ hỗn tạp(Promiscuous Mode) Để thực phương pháp này, bạn cần theo dõi trình phân giải ngược DNS Server bạn Khi bạn phát hành động Ping liên tục với mục đích thăm dị đến địa IP khơng tồn hệ thống mạng bạn Tiếp hành 72 động cố gắng phân giải ngược địa IP biết từ Packet ARP Khơng khác hành động chương trình Sniffer Phương pháp Source Route Phương pháp sử dụng thông tin địa nguồn địa đích Header IP để phát hành động Sniff đoạn mạng Tiến hành ping từ máy tính đến máy tính khác Nhưng tính Routing máy tính nguồn phải vơ hiệu hố Hiểu đơn giản làm để gói tin khơng thể đến đích Nếu bạn thấy trả lời, đơn giản hệ thống mạng bạn bị cài đặt Sniffer Để sử dụng phương pháp bạn cần sử dụng vào vài tùy chọn Header IP Để Router bỏ qua địa IP đến tiếp tục chuyển tiếp đến địa IP tuỳ chọn Source- Route Router Lấy ví dụ cụ thể : Bob Anna nằm đoạn mạng Khi có người khác đoạn mạng gửi cho ta vài Packet IP nói chuyển chúng đến cho Bob Anna Router, cho lên cô ta Drop tất Packet IP mà người muốn chuyển tới Bob (bởi cô ta làm việc này) Một Packet IP không gửi đến Bob, mà trả lời lại Điều vô lý, sử dụng chương trình Sniffer 73 KẾT LUẬN Driftnet công cụ chụp ảnh đơn giản dễ sử dụng để thu thập hình ảnh gói liệu mạng Nó thường kết hợp với Ettercap ARP Poisoning để bắt hình ảnh mà máy nạn nhân xem trình duyệt Tuy nhiên, có nhược điểm lấy hình ảnh từ giao thức HTTP văn túy Vì vậy, nạn nhân truy cập HTTPS giao thức mà mã hóa SSL TLS, nên Driftnet khơng thể hiển thị hình ảnh lưu lượng mã hóa nên khơng thể truy cập thơng tin bên gói mã hóa đóng gói Bài báo cáo trình bày khái niệm tổng quát Sniffing nói chung, cách thức Driftnet hoạt động nói riêng, loại cơng Sniffing tầm quan trọng Tuy nhiên với vốn kiến thức hạn hẹp, báo cáo em khơng thể tránh khỏi thiếu sót! Em mong nhận góp ý, nhận xét thầy để em cải thiện thêm kiến thức Driftnet! Em xin chân thành cảm ơn! 74 DANH MỤC TÀI LIỆU THAM KHẢO 75 [ N M Chau, "Sniffing gì?," [Online] Available: https://nguyenminhchau.com/sniffing-la-mot-hinh-thuc-tan-cong-gi/ ] [ "Driftnet," KALI, [Online] Available: https://www.kali.org/tools/driftnet/ ] [ "Ettercap," KALI, [Online] Available: https://www.kali.org/tools/ettercap/ ] [ "Phát phòng chống Sniffer," ĐH Duy Tân, [Online] Available: https://kcntt.duytan.edu.vn/Home/ArticleDetail/vn/128/3629/phat-hien-va] phong-chong-sniffer 76 ... vô hạn không gian mạng nói khơng bị giới hạn không gian, thời gian chất xã hội không gian mạng đặt nhiều thách thức lớn an ninh quốc gia giới như: chiến tranh mạng, chiến tranh thông tin, khủng... Có thể thấy khơng gian mạng lãnh thổ mới, khơng gian sinh tồn mở rộng có tầm quan trọng ngang với lãnh thổ khác chiến tranh, đất liền, biển, không không gian Như không gian mạng quốc gia lãnh... vấn đề phát triển làm chủ không gian mạng trở thành nhiệm vụ cấp bách nhiều quốc gia đặc biệt quan tâm Chính vậy, bảo đảm an ninh mạng ưu tiên hàng đầu thể rõ quan điểm, chiến lược hành động cụ