Professional Documents
Culture Documents
Baigiang02c - Sniffer (WireShark)
Baigiang02c - Sniffer (WireShark)
1 2
Công cụ Sniffer
Sniffer là công cụ (phần cứng hoặc phần mềm) "bắt" các
thông tin lưu chuyển trên mạng.
Có thể bắt được các thông tin trao đổi giữa nhiều trạm làm
SNIFFER việc với nhau.
Từ các thông tin "bắt" được có thể xử lý để trích ra những
nội dung có giá trị.
Các chương trình sniffer bắt các gói tin ở tầng Network trở
xuống (gồm IP datagram và Ethernet Packet).
Gói tin chứa các giao thức khác nhau ở các tầng như: TCP,
UDP, IPX, …
3 4
Destination Address
Source Address
5
Sniffer Sniffer
Các trạm khác có thể "nghe" được bằng cách thiết lập chế độ
promiscuous mode trên các card mạng của trạm đó. Các
chương trình Sniffer sẽ thực hiện công việc này.
Cần phải xâm nhập được vào hệ thống mạng đó và cài đặt
các phần mềm sniffer.
Chương trình sniffer cũng yêu cầu người sử dụng phải hiểu
sâu về kiến trúc, các giao thức mạng.
Số lượng các thông tin trên mạng rất lớn nên các dữ liệu do
các chương trình sniffer sinh ra khá lớn.
7 8
Người quản trị cũng cần thiết lập các chương trình sniffer để Dsniff,
phân tích các thông tin lưu chuyển trên mạng TCPdump,
Sniffer hoạt động ở các tầng thấp, và không ảnh hưởng tới …
các ứng dụng cũng như các dịch vụ hệ thống đó cung cấp
9 10
WireShark
1
The Ethereal network protocol analyzer has changed its name List available capture
to Wireshark. interfaces
http://www.wireshark.org/
Download:
http://prdownloads.sourceforge.net/wireshark/wireshark-
2
setup-0.99.5.exe Start a capture
3
11 Stop the capture 12
Capture Options
menu
main toolbar
filter toolbar
15 16
17 18
3
1
2
2
19 20
Filter Expression
!(ip.dst == 10.10.13.137)
21 22
23 24
Follow TCP Stream
25 26
Export
27 28
Frame 31 (613 bytes on wire, 613 bytes captured) Mức độ nguy hại của sniffer
Ethernet II, Src: AsustekC_6a:ea:8d (00:13:d4:6a:ea:8d), Dst: 10.10.13.254 (00:02:ba:ab:74:2b)
Internet Protocol, Src: 10.10.13.137 (10.10.13.137), Dst: 163.22.20.16 (163.22.20.16) 1. Tấn công sniffer rất nguy hiểm, vì được thực hiện ở các
Transmission Control Protocol, Src Port: 1822 (1822), Dst Port: http (80), Seq: 1, Ack: 1, Len: 559
Source port: 1822 (1822) tầng rất thấp trong hệ thống mạng.
Destination port: http (80)
Sequence number: 1 (relative sequence number) 2. Hệ thống sniffer cho phép lấy được toàn bộ các thông tin
Next sequence number: 560 (relative sequence number) trao đổi trên mạng:
Acknowledgement number: 1 (relative ack number)
Header length: 20 bytes - Các tài khoản và mật khẩu truy nhập
Flags: 0x0018 (PSH, ACK)
Window size: 17520 - Các thông tin nội bộ hoặc có giá trị cao
Checksum: 0xf4f3 [correct]
Hypertext Transfer Protocol - …
29 30
Các biện pháp hạn chế sniffer Các biện pháp hạn chế sniffer
Xây dựng chính sách bảo vệ mạng (Network Security Policy)
Quản lý hệ thống mạng với những quy định:
Mã hóa dữ liệu trên đường truyền: 1. Đối tượng được phép sử dụng máy
2. Đối tượng được phép gắn thêm thiết bị/cài chương trình
SSL (Secure Sockets Layer), 3. Không cho người dùng tự ý cài đặt chương trình, v.v…
Mạng riêng ảo VPN (Virtual Private Network) nhằm hạn chế tối đa khả năng xâm nhập về mặt vật lý để cài
đặt các chương trình nghe lén trong mạng.
Dùng SSH (Secure Shell Host) thay cho Telnet Kiểm tra các tiến trình trên hệ thống: tài nguyên sử dụng,
thời gian khởi tạo tiến trình... để phát hiện các chương trình
Truyền tập tin SFTP (secure FTP) thay cho FTP
sniffer.
Giao thức HTTPS thay cho HTTP v.v… Phát hiện card mạng ở chế độ promiscuous?
Không có giải pháp hoàn hảo để chống bắt gói tin. Cần đề
phòng là cách tốt nhất.
31 32
33