Theo các nghiên cứu mới nhất lịch sử trình duyệt của bạn
kém an toàn
Các nhà nghiên cứu tại trường đại học California, đã tổ chức
điều tra rộng rãi các website phổ biến để đưa ra quyết định,
website nào lấy nhiều thông tin từ khách hàng viếng thăm (ví
dụ: nghe lén hoặc lấy cắp lịch sử trình duyệt), và một điều
không ngạc nhiên đó là trang YouPorn nằm trong top các site
gián điệp, các trang khác như Technorati, TheSun.co.uk.
88 trang |
Chia sẻ: khactoan_hl | Lượt xem: 2236 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Chương 8: Nghe lén, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Nhóm thực hiện : 5
Thành viên : Lê Long Bảo
Lớp : MM03A
GVHD : Lê Tự Thanh
CHƢƠNG 8 : NGHE LÉN
1
Theo các nghiên cứu mới nhất lịch sử trình duyệt của bạn
kém an toàn
Các nhà nghiên cứu tại trƣờng đại học California, đã tổ chức
điều tra rộng rãi các website phổ biến để đƣa ra quyết định,
website nào lấy nhiều thông tin từ khách hàng viếng thăm (ví
dụ: nghe lén hoặc lấy cắp lịch sử trình duyệt), và một điều
không ngạc nhiên đó là trang YouPorn nằm trong top các site
gián điệp, các trang khác nhƣ Technorati, TheSun.co.uk.
2
Các trang này khai thác thông tin theo thói quen truy
cập của khách hàng, các thông tin đƣợc dùng với mục
đích quảng cáo, nhằm sinh lợi cho công ty bằng cách
tận dụng các click chuột khi truy cập web và các đoạn
scripts
3
Nghe lén
hợp pháp
Nghe lén
Mối đe dọa
nghe lén
Các kiểu
nghe lén
Phân tích
giao thức
phần cứng
Tấn công
MAC
Tấn công
DHCP
Tấn công
đầu độc
ARP
Tấn công
giả mạo
Tấn công
đầu độc
DNS
Biện pháp
ngăn chặn
Tool Nghe
lén
4
Nghe lén hợp pháp cho phép cơ quan quản lý (LEA)
thực thi việc giám sát một mục tiêu nào đó dƣới sự ủy
quyền của ngƣời quản lý. Việc giám sát đƣợc thực hiện
bằng việc quan sát trên các phƣơng tiện truyền thông,
các dịch vụ thoại internet, dữ liệu và mạng đa dịch vụ
Cơ quan quản lý gửi yêu cầu về việc nghe lén đến
nhà cung cấp dịch vụ, những ngƣời mà chịu trách
nhiệm ngăn chặn hay cho phép giao tiếp dữ liệu đến
và đi giữa các cá nhân
Các nhà cung cấp dịch vụ dùng IP đích hoặc phiên làm
việc để quyết định thiết bị định tuyến nào sẽ cho phép
lƣu lƣợng đi qua đến mạng đích, và một bản sao về các
lƣu lƣợng sẽ đƣợc gửi đến cơ quan quản lý
5
Cho phép nhiều cơ quan quản lý thực thi việc nghe lén trên
cùng một mục tiêu mà các cơ quan này không biết đến
nhau.
Ẩn thông tin về việc nghe lén trên tất cả phƣơng tiện, chỉ
user có quyền mới thực thi đƣợc.
Hỗ trợ việc nghe lén cả đầu vào lẫn đầu ra
Không hiệu quả cho các dịch vụ thuê bao trên router
6
Hỗ trợ nghe lén thuê bao cá nhân, những ngƣời mà dùng
chung đƣờng truyền vật lý
Không cần quản trị viên, cũng không cần các bên nhận thức
đƣợc rằng các cuộc gọi đang đƣợc khai thác
Cung cấp 2 phƣơng pháp:
- thiết đặt việc nghe lén một cách an toàn
- gửi thông tin về lƣu lƣợngcơ quan quản lý
7
Là chƣơng trình dùng để lƣu trữ
và xử lý lƣu lƣợng mạng bởi nhà
cung cấp dịch vụ
Đƣợc cung cấp bởi hãng thứ 3 dùng
để xử lý hầu hết các tiến trình cho LI
Thiết bị cung cấp thông tin cho LI IAP
Mediation
Device
Collection Function
8
Nghe lén là một tiến trình cho phép giám sát cuộc gọi và cuộc
hội thoại internet bởi thành phần thứ ba.
Kẻ tấn công để thiết bị lắng nghe giữa mạng mang thông tin
nhƣ hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên
internet.
Kiểu nghe lén
Bị động
Giám sát và ghi lại tất
cả thông tin lƣu lƣợng
Chủ động
Chỉ giám sát và ghi lại
thông tin lƣu lƣợng
9
Bằng cách đặt các gói tin
trên mạng ở chế độ đa
mode, kẻ tấn công có thể
bắt và phân tích tất cả
lƣu lƣợng, thông tin
mạng
Nhiều port đƣợc mở
trên swich
Các gói tin nghe
lén có thể chỉ bắt
những thông tin
trên cùng 1 miền
mạng
Thông thƣờng thì
laptop có thể tham
gia vào mạng và
thực thi
10
Sniffer đặt card mạng ở chế độ đa mode và lắng nghe tất cả
các dữ liệu chuyển đi trên mạng
Sniffer có thể đọc các thông tin trên máy tính thông qua card
NIC bằng cách giải mã các thông tin đƣợc đóng gói trong gói
tin
11
12
Nghe lén bị động nghĩa là nghe lén thông qua hub. Trên
hub lƣu lƣợng đƣợc chuyển đến tất cả các port
Nghe lén bị động không gửi các gói tin, nó giám sát các gói
tin đƣợc gửi đến mạng khác
Nghe lén chủ động liên quan đến việc gửi các gói tin thăm
dò đến AP. Hub không đƣợc dùng cho ngày nay
13
Khi nghe lén đƣợc đặt trong môi trƣờng switch, nó đƣợc biết
đến nhƣ là nghe lén chủ động.
Nghe lén chủ động dựa vào việc bơm các gói tin vào miền
mạng
14
Telnet
RLogin
HTTP SMTP NNTP POP FTP IMAP
Tổ hợp phím bao
gồm username và
pasword
Dữ liệu đƣợc gửi
dƣới dạng clear text
Password và dữ
liệu đƣợc gửi dƣới
dạng clear text
Password và dữ
liệu đƣợc gửi dƣới
dạng clear text
Password và dữ
liệu đƣợc gửi dƣới
dạng clear text
Password và dữ
liệu đƣợc gửi dƣới
dạng clear text
Password và dữ
liệu đƣợc gửi dƣới
dạng clear text
15
Sniffer hoạt động tại lớp Data Link trong mô hình OSI .
Chúng không tuân thủ các luật nhƣ lớp ứng dụng.
Nếu một lớp bị tấn công, các giao tiếp sẽ bị tổn tƣơng mà
không cần các lớp khác nhận biết đƣợc vấn đề.
16
Là một phần của thiết bị phần
cứng đƣợc bắt mà không làm
thay đổi lƣu lƣợng trên đƣờng
truyền
Nó bắt các gói dữ liệu
,giải mã và phân tích nội
dung trong gói dữ liệu để
quyết định các luật
Nó dùng để giám sát lƣu
lƣợng sử dụng mạng và
xác định lƣu lƣợng độc
hại trong mạng bằng các
phần mềm tấn công đƣợc
cài đặt trong mạng
17
18
là port mà đƣợc cấu hình để
nhận bản sao của mỗi gói tin
khi đi qua switch
Khi kết nối đến span port kẻ tấn công
có thể làm tổn thƣơng miền mạng
19
20
Ngập lụt MAC là làm ngập
lụt switch với một số lƣợng
lớn yêu cầu .
Switch có bộ nhớ giới hạn
cho việc ánh xạ địa chỉ MAC
và port vật lý trên switch
Ngập lụt MAC làm cho bộ
nhớ giới hạn của switch đầy
lên bằng cách giả mạo nhiều
địa chỉ MAC khác nhau và
gửi đến switch
Lúc này switch hoạt động nhƣ một
hub và các gói tin sẽ đƣợc gửi ra
tất cả các máy trên cùng miền
mạng và kẻ tấn công có thể dễ
dàng nghe lén
21
Bảng CAM của switch thì có kích thƣớc giới hạn.
Nó lƣu trữ thông tin nhƣ địa chỉ MAC address gắn với cổng
tƣơng ứng trên switch cùng với các tham số miền mạng vlan
1258.3582.8DAB
0000.0aXX.XXXX 0000.0aXX.XXXX
FFFF.FFFF.FFFF
48Bit Hexadecimal
24 bit đầu tiên là mã nhà sản
xuất đƣợc gán bởi IEEE
24 bit thứ hai là giao diện đặt
biệt đƣợc gán bởi nhà sản xuất
Địa chỉ Broadcast
22
23
Một khi bảng CAM trên Switch đầy thì các lƣu lƣợng ARP
request sẽ làm ngập lụt mỗi cổng của switch
Lúc này cơ bản switch hoạt động nhƣ hub
Tấn công lúc này sẽ làm đầy bảng CAM của switch
24
macof là công cụ Linux
macof sẽ gửi ngẫu nhiên địa chỉ MAC nguồn và địa chỉ IP
công cụ này sẽ làm ngập lụt bảng CAM (131,000/phút) bằng
cách gửi các địa chỉ MAC không có thật
25
26
Chỉ cho phép 1 địa chỉ
MAC trên 1 port switch
Bảo mật port cho switch giúp làm
giảm ngập lụt MAC và khóa cổng
trên switch
Cầu hình bảo mật port trên switch cisco
27
28
DHCP server duy trì các thông tin cấu hình TCP/IP trong cơ
sở dữ liệu nhƣ là các tham số cấu hình TCP/IP, địa chỉ ip hợp
lệ
Nó cung cấp các địa chỉ đã đƣợc cấu hình đến máy trạm trong
suốt quá trình thuê
29
30
Bảng tin
DHCP Discover
DHCP Offer
DHCP Request
DHCP Ack và Nak
DHCP Decline
DHCP Release
DHCP Inform
Chức năng
Client gửi gói broadcast ra toàn miền mạng để tìm server cấp phát
Server gửi phản hồi đến Client với các tham số cấu hình
Client nhận đƣợc DHCP Offer, nó sẽ gửi gói broadcast để chấp
nhận Offer đó
DHCP server nhận đƣợc DHCP request sẽ trả lại DHCP client 1
DHCP ACK hoặc NACK.
Client gửi đến Server địa chỉ mạng đã đƣợc dùng
Client gửi đến Server địa chỉ mạng và hủy thuê
Client gửi đến Server các thông tin cấu hình cục bộ
31
Kẻ tấn công gửi các gói tin để khám phá máy chủ cấp phát
DHCP và phạm vi cấp phát và sau đó kẻ tấn công cố gắng
thuê tất cả dãy địa chỉ IP cấp phát này.
Đây là kiểu tấn công từ chối dịch vụ bằng cách thuê tất cả địa
chỉ cấp phát của máy chủ DHCP
32
Kẻ tấn công sẽ giả mạo máy chủ DHCP trên cùng miền mạng
và cung cấp địa chỉ để cấp phát cho user
Bằng cách giả mạo máy chủ DHCP,kẻ
tấn công có thể gửi các thông tin cấu
hình TCP/IP sai
- Default Gate default gateway
giả mạo
- Địa chỉ IP IP giả mạo
33
34
Kích hoạt bảo mật port để ngăn chặn tấn
công tƣớc quyền DHCP
Kích hoạt DHCP Snooping để ngăn chặn giả
mạo DCHP lúc này switch sẽ phân loại
thành cổng tin cậy và không tin cậy
35
36
ARP là giao thức ánh xạ địa chỉ IP đến địa chỉ vật lý đƣợc
nhận diện
Giao thức ARP sẽ quảng bá miền mạng của máy để tìm địa chỉ
vật lý
Khi một máy cần giao tiếp với máy khác, và nó tìm trong
bảng ARP của mình. Nếu địa chỉ MAC không đƣợc tìm thấy
trong bảng, giao thức ARP sẽ quảng bá ra toàn miền mạng
Tất cả các máy trong miền mạng sẽ so sánh địa chỉ IP đến
địa chỉ MAC của chúng
Nếu một trong những máy đó, xác định đƣợc đó chính là địa
chỉ của mình, nó là gửi gói ARP hồi đáp và địa chỉ này sẽ
đƣợc lƣu trong bảng ARP và quá trình giao tiếp diễn ra
37
Gói tin ARP có thể bị
giả mạo để gửi dữ liệu
đến máy của kẻ tấn
công
C
Cuối cùng thì sau khi bảng
ARP bị đầy thì switch sẽ hoạt
động ở chế độ forwarding,
lúc này thì kẻ tấn công có thể
dễ dàng nghe lén mọi hoạt
động trong mạng
Giả mạo ARP liên quan đến
việc xây dựng một số lƣợng
lớn ARP request giả mạo và
gói ARP reply liên tục đƣợc
phản hồi dẫn đến tình trạng
quá tải switch
Kẻ tấn công làm ngập lụt bộ
nhớ cache chứa địa chỉ ARP
của máy mục tiêu bằng các
địa chỉ ARP giả mạo, phƣơng
thức này còn đƣợc gọi là đầu
độc .
38
Khi user A muốn thiết lập một
phiên đến user B , một gói tin ARP
request đƣợc quảng bá ra toàn miền
mạng, lúc này user A chờ phản hồi
từ user B
User B phản hồi
ARP Reply thật
Switch broadcast ARP
trên đƣờng truyền
Kẻ tấn công nghe gói các
gói tin ARP Request và
ARP Reply và giả mạo
mình chính là user hợp pháp Sau khi bắt đƣợc gói ARP
Request và ARP Reply,
attacker có thể giả mạo ARP
Reply của user B và gửi đến
user A
39
Giả mạo gói tin ARP giúp kẻ tấn công có thể chuyển hƣớng
tất cả giao tiếp giữa hai máy, khi đó tất cả lƣu lƣợng đƣợc gửi
thông qua máy của kẻ tấn công
Tấn công từ chối dịch vụ
Ăn cắp thông tin dữ liệu
Nghe lén cuộc gọi
Ăn cắp password
Thao tác dữ liệu
40
41
42
43
Dùng DHCP Snooping và Dynamic ARP Inspection để kiểm tra ARP
44
45
46
Tấn công giả mạo địa chỉ MAC bằng cách chạy chƣơng trình
nghe lén địa chỉ MAC của máy trạm ,máy đƣợc liên kết với
switch và dùng địa chỉ MAC đó để truy cập mạng
Bằng cách lắng nghe lƣu lƣợng đi qua trong mạng, kẻ tấn công
có thể ăn cắp và dùng địa chỉ MAC hợp pháp của nạn nhân để
nhận tất cả lƣu lƣợng đi từ máy nạn nhân đến đích
Luật của Switch : Cho phép thực thi đến miền mạng
internet nếu máy bạn có địa chỉ MAC : A:B:C:D:E
Attacker nghe lén miền mạng của user
hợp pháp để lấy địa chỉ MAC sau đó
dùng nó để tấn công
47
Giả mạo MAC
+ Nếu MAC đƣợc dùng để thực thi
trong mạng, kẻ tấn công có thể có
quyền thực thi trong mạng đó
+ Kẻ tấn công có thể tiến hành nhận
dạng một ai đó trên mạng
Giả mạo IP
Ping of death
Gói tin ICMP không thể truy cập
Ngập lụt cờ SYN
IP thật có thể bị giả mạo
48
49
50
51
Là kỹ thuật lừa DNS Server tin rằng nó nhận một thông tin
chứng thực đúng đó là thật nhƣng thực sự thì thông tin đó
không tồn tại
Kết quả là tên miền sẽ trỏ sang ip giả,ip mà DNS Server
tƣởng là thật, thay vì trỏ sang ip thật
52
Trong kỹ thuật này, bạn phải kết nối đến miền mạng LAN mà
có thể nghe lén đƣợc các gói tin
Nó làm việc tốt trong môi trƣờng switches với kiểu đầu độc
ARP
53
Với kỹ thuật này kẻ tấn công có thể cài vào máy nạn nhân
con trojan và con này sẽ thay đổi IP DNS của nạn nhân đến
máy kẻ tấn công
54
Kẻ tấn công sẽ gửi trojan đến máy nạn nhân và con này sẽ
thay đổi Proxy server trong trình duyệt internet của nạn nhân
55
Đầu độc cache DNS liên quan đến việc chỉnh sửa,thay đổi
thêm và xóa bớt bản ghi DNS của Server với mục đích làm
cho DNS truy vấn sai IP và trỏ IP DNS đến máy kẻ tấn công
chứa trang web giả mạo
56
Giải quyết tất cả truy vấn DNS đến DNS Server cục bộ
Khóa các truy vấn DNS từ server bên ngoài
Cấu hình DNS Resolv dùng port nguồn ngẫu nhiên từ dãy
port có sẵn cho mỗi truy vấn
Hạn chế các dịch vụ DNS, cấp quyền user
Thực hiện DNSSec
Cấu hình tƣờng lửa để hạn chế truy vấn DNS từ bên ngoài
Dùng NXDOMAIN
57
58
Wireshark là tool nghe lén gói tin miễn phí
Wireshark dùng Winpcap để bắt gói tin, nó chỉ bắt các gói tin
trên mạng hỗ trợ bởi Winpcap
Bắt sống các lƣu lƣợng trên mạng từ Ethernet, IEEE 820.11,
PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame
Relay, FDDI
File bắt đƣợc có thể dùng chƣơng trình để chỉnh sửa thông
qua command line
Cài đặt bộ lọc để hiển thị dữ liệu dễ dàng
59
60
61
Bộ lọc đƣợc dùng để thay đổi cách hiển thị của gói tin
trong file bắt đƣợc
62
63
64
Tcpdump là tool giao diện dòng lệnh dùng để sniff gói
tin rất manh, có thể chạy trên Linux hoặc Windown
65
Network View là một tool khám phá miền mạng và
quản lý dành cho Windown
Khám phá các node TCP/IP và các đƣờng đi dùng
DNS, SNMP, Ports, NetBIOS, và WMI
66
The Dude Sniffer có thể quét tất cả thiết bị trên cùng
miền mạng và vẽ thành bản đồ chi tiết
67
Ace có thể giám sát và bắt password FTP, POP3,
HTTP, SMTP, Telnet, và webmail password
68
Capsa Network Analyzer bắt tất cả dữ liệu trên mạng
và cung cấp các bảng phân tích thống kê thông qua
giao diện đồ họa
69
OmniPeek sniffer hiển thị các địa chỉ IP public trong gói tin,
kết hợp với google map
Đây là các tốt nhất để quan sát mạng theo thời gian thực và
có thể xem đƣợc lƣu lƣợng đi qua mọi nơi trên thế giới
70
Observer cung cấp toàn diện về lƣu lƣợng mạng và có
thể thống kê lại thời gian, báo cáo, thông báo, công cụ
ứng dụng, và quan sát đƣờng đi mạng
71
NetWitness điều tra và bắt sống lƣu lƣợng và xử lý gói
tin từ tất cả miền mạng của các thiết bị mạng một cách
nhanh chóng và phân tích dễ dàng.
Thống kê theo thời gian thực
Phân tích dữ liệu từ lớp ứng dụng
Mở rộng miền mạng và bộ lọc ứng dụng
Giải quyết các địa chỉ IP đến các nƣớc, thành phố
Giải mã SSL (với chứng thực server)
Tƣơng tác bảng đồ thời gian và tổng hợp
72
73
Nó hoạt động theo thời gian thực, các địa chỉ url, email,
chat, games, FTP, luồng dữ liệu, và tạo bản sao các
trang web,email,ftp… và đƣa ra các bảng phân tích
thống kê
Big-Mother là chƣơng
trình nghe lén switch,
dùng để bắt và phân
tích các giao tiếp, lƣu
lƣợng trên mạng
74
75
76
77
78
79
80
Attacker kết nối laptop với port
của switch
Attacker chạy chƣơng trình khám
phá topology của mạng
Attacker tìm máy nạn nhân để tấn
công
Attacker đầu độc máy nạn nhân
bằng kỹ thuật ARP Poisoning
Tất cả lƣu lƣợng đƣợc từ máy nạn
nhân đƣợc hƣớng sang máy hacker
Hacker trích xuất password và dữ
liệu lấy đƣợc
Hạn chế thực thi các phƣơng tiện mạng vật lý, để đảm bảo gói
tin không thể nghe lén đƣợc
Mã hóa để bảo vệ thông tin chứng thực
Thêm địa chỉ MAC của gate với bảng cache ARP
Dùng địa chỉ IP và MAC tĩnh để ngăn chặn kẻ tấn công có thể
giả mạo
Chặn tất cả gói tin broadcast, nếu có thể hạn chế chứng thực
user để bảo vệ miền mạng không bị khám phá bởi sniffing
tool
Dùng địa chỉ IPv6 thay IPv4
Dùng phiên mã hóa nhƣ SSH thay vì Telnet, FTP, SSL cho kết
nối mail
81
82
83
Đa mode
- Kiểm tra các máy
đang chạy ở chế độ
đa mode
- Đa mode cho phép
các thiết bị mạng
có thể đọc mỗi gói
tin đến và đi
IDS
Chạy IDS để kiểm
tra nếu địa chỉ
MAC bị thay đổi
Công cụ mạng
Chạy những công
cụ mạng nhƣ HP
Performance để
giám sát các gói tin
trong mạng
IDS thông báo cho
ngƣời quản trị về các
hoạt động gián điệp
Kích hoạt nó bạn có
thể xem, phân tích các
lƣu lƣợng trong mạng
84
85
Bằng cách đặt các gói tin nghe lén trong mạng, kẻ tấn công có
thể bắt và phân tích tất cả lƣu lƣợng mạng
Kẻ tấn công có thể nghe lén các thông tin chứng thực nhƣ là
email, hội thoại chat, password, lƣu lƣợng web
Nghe lén có 2 kiểu là chủ động và bị động. Bị động liên quan
đến việc nghe lén trong môi trƣờng hub, còn chủ động thì môi
trƣờng switch
86
Nghe lén hoạt động tại lớp Data Link trong mô hình OSI và
không có luật nào quản lý giống nhƣ lớp Ứng dụng
Kẻ tấn công có thể, tấn công MAC, DHCP, đầu độc ARP, tấn
công giả mạo, đầu độc DNS, để nghe lén trong mạng
Các biện pháp ngăn chặn bao gồm: đặt IP và ARP tĩnh, dùng
phiên mã hóa nhƣ SSH thay Telnet, dùng SCP thay cho FTP,
dùng SSL để chuyển dữ liệu
87
88
HẾT