Mô tả:
MÔN AN NINH
MẠNG
NGHE LÉN
1
Mục tiêu bài học
Nghe lén là gì
Lỗ hổng các giao thức
Các kiểu tấn công
- Tấn công DHCP
- Tấn công DNS
- Tấn công ARP
Nghe lén (Sniffer)
Nghe lén là một tiến trình cho phép giám sát cuộc gọi và cuộc hội thoại internet bởi
thành phần thứ ba.
Kẻ tấn công để thiết bị lắng nghe giữa mạng mang thông tin như hai thiết bị điện thoại
hoặc hai thiết bị đầu cuối trên internet.
Kiểu nghe lén
Chủ động
Chỉ giám sát và ghi lại
thông tin lưu lượng
Bị động
Giám sát và ghi lại tất
cả thông tin lưu lượng
Nghe lén hoạt động như thế nào
Sniffer đặt card mạng ở chế độ đa mode và lắng nghe tất cả các dữ liệu chuyển đi trên
mạng
Sniffer có thể đọc các thông tin trên máy tính thông qua card NIC bằng cách giải mã các
thông tin được đóng gói trong gói tin
4
Các lỗ hổng của giao thức để
Sniffing
Dữ liệu được gửi
dưới dạng clear text
Telnet
RLogin
Tổ hợp phím bao
gồm username và
pasword
HTTP
Password và dữ
liệu được gửi dưới
dạng clear text
SMTP
Password và dữ
liệu được gửi dưới
dạng clear text
NNTP
Password và dữ
liệu được gửi dưới
dạng clear text
POP
Password và dữ
liệu được gửi dưới
dạng clear text
FTP
IMAP
Password và dữ
liệu được gửi dưới
dạng clear text
5
Ngập lụt MAC
Ngập lụt MAC là làm ngập
lụt switch với một số lượng
lớn yêu cầu .
Lúc này switch hoạt động như một
hub và các gói tin sẽ được gửi ra
tất cả các máy trên cùng miền
mạng và kẻ tấn công có thể dễ
dàng nghe lén
Switch có bộ nhớ giới hạn
cho việc ánh xạ địa chỉ MAC
và port vật lý trên switch
Ngập lụt MAC làm cho bộ
nhớ giới hạn của switch đầy
lên bằng cách giả mạo nhiều
địa chỉ MAC khác nhau và
gửi đến switch
6
Địa chỉ MAC và Bảng CAM
Bảng CAM của switch thì có kích thước giới hạn.
Nó lưu trữ thông tin như địa chỉ MAC address gắn với cổng tương ứng trên switch cùng
với các tham số miền mạng vlan
48Bit Hexadecimal
1258.3582.8DAB
24 bit đầu tiên là mã nhà sản
xuất được gán bởi IEEE
24 bit thứ hai là giao diện đặt
biệt được gán bởi nhà sản xuất
0000.0aXX.XXXX
0000.0aXX.XXXX
Địa chỉ Broadcast
FFFF.FFFF.FFFF
7
Bảng CAM làm việc như thế nào
8
Chuyện gì xảy ra khi bảng CAM đầy
Một khi bảng CAM trên Switch đầy thì các lưu lượng ARP request sẽ làm ngập lụt mỗi
cổng của switch
Lúc này cơ bản switch hoạt động như hub
Tấn công lúc này sẽ làm đầy bảng CAM của switch
9
DHCP server duy trì các thông tin cấu hình TCP/IP trong cơ sở dữ liệu như là các tham
số cấu hình TCP/IP, địa chỉ ip hợp lệ
Nó cung cấp các địa chỉ đã được cấu hình đến máy trạm trong suốt quá trình thuê
10
Kẻ tấn công gửi các gói tin để khám phá máy chủ cấp phát DHCP và phạm vi cấp phát
và sau đó kẻ tấn công cố gắng thuê tất cả dãy địa chỉ IP cấp phát này.
Đây là kiểu tấn công từ chối dịch vụ bằng cách thuê tất cả địa chỉ cấp phát của máy chủ
DHCP
11
Kẻ tấn công sẽ giả mạo máy chủ DHCP trên cùng miền mạng và cung cấp địa chỉ để cấp
phát cho user
Bằng cách giả mạo máy chủ DHCP,kẻ
tấn công có thể gửi các thông tin cấu
hình TCP/IP sai
- Default Gate default gateway
giả mạo
- Địa chỉ IP IP giả mạo
12
Kích hoạt bảo mật port để ngăn chặn tấn
công tước quyền DHCP
Kích hoạt DHCP Snooping để ngăn chặn giả
mạo DCHP lúc này switch sẽ phân loại
thành cổng tin cậy và không tin cậy
13
Gói tin ARP có thể bị
giả mạo để gửi dữ liệu
đến máy của kẻ tấn
công
Giả mạo ARP liên quan đến
việc xây dựng một số lượng
lớn ARP request giả mạo và
gói ARP reply liên tục được
phản hồi dẫn đến tình trạng
quá tải switch
C
Cuối cùng thì sau khi bảng
ARP bị đầy thì switch sẽ hoạt
động ở chế độ forwarding,
lúc này thì kẻ tấn công có thể
dễ dàng nghe lén mọi hoạt
động trong mạng
Kẻ tấn công làm ngập lụt bộ
nhớ cache chứa địa chỉ ARP
của máy mục tiêu bằng các
địa chỉ ARP giả mạo, phương
thức này còn được gọi là đầu
độc .
14
Khi user A muốn thiết lập một
phiên đến user B , một gói tin ARP
request được quảng bá ra toàn miền
mạng, lúc này user A chờ phản hồi
từ user B
Switch broadcast ARP
trên đường truyền
Sau khi bắt được gói ARP
Request và ARP Reply,
attacker có thể giả mạo ARP
Reply của user B và gửi đến
user A
User B phản hồi
ARP Reply thật
Kẻ tấn công nghe gói các
gói tin ARP Request và
ARP Reply và giả mạo
mình chính là user hợp pháp
15
Giả mạo gói tin ARP giúp kẻ tấn công có thể chuyển hướng tất cả giao tiếp giữa hai máy,
khi đó tất cả lưu lượng được gửi thông qua máy của kẻ tấn công
Tấn công từ chối dịch vụ
Ăn cắp thông tin dữ liệu
Nghe lén cuộc gọi
Ăn cắp password
Thao tác dữ liệu
16
Là kỹ thuật lừa DNS Server tin rằng nó nhận một thông tin chứng thực đúng đó là thật
nhưng thực sự thì thông tin đó không tồn tại
Kết quả là tên miền sẽ trỏ sang ip giả,ip mà DNS Server tưởng là thật, thay vì trỏ sang
ip thật
17
Trong kỹ thuật này, bạn phải kết nối đến miền mạng LAN mà có thể nghe lén được các
gói tin
Nó làm việc tốt trong môi trường switches với kiểu đầu độc ARP
18
Với kỹ thuật này kẻ tấn công có thể cài vào máy nạn nhân con trojan và con này sẽ thay
đổi IP DNS của nạn nhân đến máy kẻ tấn công
19
Kẻ tấn công sẽ gửi trojan đến máy nạn nhân và con này sẽ thay đổi Proxy server trong
trình duyệt internet của nạn nhân
20
- Xem thêm -