92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
1
Giáo viên hướng dẫn : Võ Đỗ Thắng
Nhóm thực hiện :
0512253 Bùi Xuân Phong
0512213 Phan Bảo Lộc
0512211 Hứa Thắnng Lộc
0512205 Nguyễn Kinh Luân
0512187 Quách Minh Khánh
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
2
Contents
I. Các khái niệm căn bản về Sniffer. ................................................................................... 3
1.2 Sniffer được sử dụng như thế nào ? ........................................................................... 3
1.3 Quá trình Sniffer được diễn ra như thế nào ? ............................................................. 4
1.4 Địa chỉ Ethernet MAC là gì ? ..................................................................................... 5
1.4.1 Giới thiệu : ........................................................................................................... 5
1.4.2 Chi tiết về đỉa chị Ethernet MAC : ...................................................................... 5
II Các phương pháp phát hiện Sniffer trên hệ thống mạng : ............................................... 5
2.1 Phương pháp dùng Ping: ............................................................................................ 6
2.2 Phương pháp sử dụng ARP: ....................................................................................... 7
2.3 Phương pháp sử dụng DNS : ...................................................................................... 7
2.4 Phương pháp Source-Route : ..................................................................................... 8
2.5 Phương pháp giăng bẫy (Decoy) :.............................................................................. 9
2.6 Phương pháp kiểm tra sự chậm trễ của gói tin (Latency) : ........................................ 9
III Phương pháp ngăn chặn Sniffer trên hệ thống mạng : ................................................... 9
3.1 Các hệ thống mạng có nguy cơ Sniffer : .................................................................... 9
3.2 Các giao thức có nguy cơ Sniffer: ............................................................................ 10
3.3 Phương pháp ngăn chặn Sniffer dữ liệu ? ................................................................ 10
3.4 Phương pháp ngăn chặn Sniffer Password : ............................................................ 12
3.5 Phương pháp ngăn chặn Sniffer trên thiết bị phần cứng : ........................................ 12
3.6 Một số thuật ngữ : .................................................................................................... 13
IV Chương trình XARP : ................................................................................................... 15
4.1 Giới thiệu : ............................................................................................................... 15
4.2 Giao diện chương trình : .......................................................................................... 15
4.3 Các mức bảo mật trong XARP : .............................................................................. 16
4.4 Demo phát hiện tấn công ARP Poisoning : .............................................................. 17
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
3
I. Các khái niệm căn bản về Sniffer.
1.1 Đôi nét về Sniffer :
Khởi đầu Sniffer là tên một sản phẩm của Network Associates có tên là
Sniffer Network Analyzer.
Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng
các lưu lượng thông tin trên môi trường mạng máy tính.
Những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu
ở dạng nhị phân (Binary). Bởi vậy để nghe lén và hiểu được những dữ liệu
ở dạng nhị phân này, các chương trình Sniffer phải có tính năng được biết
như là sự phân tích các nghi thức (Protocol Analysis), cũng như tính năng
giải mã (Decode) các dữ liệu ở dạng nhị phân để hiểu được chúng.
Trong một hệ thống mạng sử dụng những giao thức kết nối chung và đồng
bộ. Bạn có thể sử dụng Sniffer ở bất cứ Host nào trong hệ thống mạng của
bạn. Chế độ này được gọi là chế độ hỗn tạp (promiscuous mode).
1.2 Sniffer được sử dụng như thế nào ?
Sniffer thường được sử dụng vào 2 mục đích :
o Một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống
mạng của mình.
o Một chương trình được cài vào một hệ thống mạng máy tính với
mục đích đánh hơi, nghe lén các thông tin trên đoạn mạng này...
Một số tính năng của Sniffer :
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
4
o Các Hacker sử dụng để bắt tên người sử dụng (Username) và mật
khẩu không được mã hoá (Clear Text Password) trong hệ thống
mạng của bạn.
o Giúp các nhà quản trị theo dõi các thông tin dữ liệu trên đường
truyền. Họ có thể đọc và hiểu được ý nghĩa của những dữ liệu đó.
o Giúp các nhà quản trị giám sát lưu lượng của hệ thống qua đó các
quản trị viên có thể phân tích những lỗi đang mắc phải trên hệ thống
lưu lượng của mạng.
Ví dụ như : Tại sao gói tin từ máy A không thể gửi được sang
máy B... etc
o Một số công cụ Sniffer còn có thể tự động phát hiện và cảnh báo các
cuộc tấn công đang được thực hiện vào hệ thống mạng mà nó đang
hoạt động (Intrusion Detecte Service).
Các Sniffer giúp ghi lại thông tin về các gói dữ liệu, các phiên
truyền… Phục vụ cho công việc phân tích, khắc phục các sự cố trên
hệ thống mạng.
1.3 Quá trình Sniffer được diễn ra như thế nào ?
Công nghệ Ethernet được xây dựng trên một nguyên lý chia sẻ. Theo khái
niệm này thì tất cả các máy tính trên một hệ thống mạng cục bộ đều có thể
chia sẻ đường truyền của hệ thống mạng đó. Hiểu một cách khác tất cả các
máy tính đó đều có khả năng nhìn thấy lưu lượng dữ liệu được truyền trên
đường truyền chung đó. Như vậy phần cứng Ethernet được xây dựng với
tính năng lọc và bỏ qua tất cả những dữ liệu không thuộc đường truyền
chung với nó.
Quá trình lọc được thực hiện dự trên nguyên lý bỏ qua tất cả những Frame
có địa chỉ MAC không hợp lệ đối với nó. Sniffer tắt tính năng lọc này và sử
dụng chế độ hỗn tạp (promiscuous mode) thì có thể nhìn thấy tất cả lưu
lượng thông tin trên hệ thống mạng.
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
5
1.4 Địa chỉ Ethernet MAC là gì ?
1.4.1 Giới thiệu :
Khi nhiều máy tính trên mạng có thể cùng chia sẻ một đường truyền.
Thì bản thân mỗi máy đó phải có một thông tin nhận dạng khác nhau. Khi
bạn gửi dữ liệu từ bên ngoài hệ thống mạng Ethernet bạn phải biết rõ địa
chỉ nơi bạn cần gửi dữ liệu đến. Thông tin dùng để nhận dạng từng máy
tính trên mạng là địa chỉ Ethernet MAC.
1.4.2 Chi tiết về đỉa chị Ethernet MAC :
MAC là một dãy 12 số Hex.
Địa chỉ MAC là một dãy số 48 bits.
o 48 bits này tiếp tục được chia đôi.
o 24 bit đầu tiên xác định tên hãng sản xuất Ethernet Card của
bạn.
o 24 bit còn lại là số hiệu Serial được gán bởi nhà sản xuất.
Đảm bảo trên nguyên tắc không có 2 Ethernet Card có trùng
một địa chỉ MAC. 24 bit thứ 2 còn được gọi là OUI
(Organizationally Unique Identifier).
o Tuy nhiên OUI có độ dài thực sự chỉ là 22 bit, 2 bit còn dư lại
sẽ được sử dụng cho những mục đích khác. 1 bit được chỉ
định nếu nó là địa chỉ Broadcast/Multicast (địa chỉ loan báo
tin chung trên một hệ thống mạng). 1 bit còn lại được sử dụng
nếu cần thiết lập lại địa chỉ cục bộ cho một Adapter.
II Các phương pháp phát hiện Sniffer trên hệ thống mạng :
Về mặt lý thuyết thì rất khó có thể phát hiện được sự hiện diện của các chương
trình Sniffer trên hệ thống. Bởi chúng bắt và cố gắng đọc các gói tin, chúng không
gây ra sự xáo trộn hay mất mát Packet nghiêm trọng nào trên đường truyền cả.
Tuy nhiên trên thực tế lại có nhiều cách để phát hiện ra sự hiện diện của các
Sniffer. Khi đứng đơn lẻ trên một máy tính không có sự truyền thông thì sẽ không
có dấu hiệu gì. Tuy nhiên nếu được cài đặt trên một máy tính không đơn lẻ và có
sự truyền thông, bản thân Sniffer sẽ phát sinh ra lưu lượng thông tin. Bạn có thể
