Embed Size (px)
DESCRIPTION
bài tập lớn môn ATBMTT trường DHBKHN
Citation preview
BÀI TẬP LỚN MÔN AN TOÀN BẢO MẬT THÔNG TIN
Tìm hiểu về Sniffers
Giáo viên hướng dẫn: Ths Đỗ Văn Uy.
Nhóm sinh viên thực hiện:
Mai Thị Gấm 20090843
Trương Hoàng Linh 20102688
Nguyễn Sỹ Quân 20102724
Phạm Thị Sen 20102077
Nguyễn Kim Tú 20102520
MAY 20, 2014
1
Mục lục Lời mở đầu ............................................................................................................. 3
Sniffer .................................................................................................................... 4
Giới thiệu ........................................................................................................... 4
Mục đích sử dụng .............................................................................................. 4
Cách thức hoạt động .......................................................................................... 4
Phân loại ............................................................................................................ 5
Lawful Intercept ..................................................................................................... 6
Giới thiệu và cơ chế hoạt động .......................................................................... 6
Lợi ích ................................................................................................................ 6
Các thành phần mạng sử dụng cho Lawful Intercept ......................................... 7
Wiretapping (nghe lén) .......................................................................................... 7
Khái niệm và phân loại ....................................................................................... 7
Các hình thức ..................................................................................................... 7
Hardware Protocal Analyzer .................................................................................. 9
Khái niệm về Protocal Analyzer .......................................................................... 9
Thiết bị phần cứng ............................................................................................. 9
SPAN Port .............................................................................................................. 9
MAC Flooding ...................................................................................................... 10
DHCP Attacks ....................................................................................................... 10
DHCP là gì ........................................................................................................ 10
Cơ chế hoạt động ............................................................................................. 11
Tấn công DHCP ................................................................................................. 12
ARP Poisoning ...................................................................................................... 14
ARP là gì ........................................................................................................... 14
Cơ chế tấn công ARP Poisoning ........................................................................ 14
Chống lại ARP Attack ........................................................................................ 16
Spoofing Attack .................................................................................................... 17
2
Định nghĩa ........................................................................................................ 17
Các kiểu tấn công ............................................................................................. 17
Phòng chống Spoofing Attack .......................................................................... 18
DNS Poisoning ...................................................................................................... 18
DNS Server là gì ................................................................................................ 18
Hệ thống máy chủ DNS .................................................................................... 18
Các kỹ thuật tấn công ....................................................................................... 19
Cách chống lại tấn công DNS ............................................................................ 21
Sniffing Tools ....................................................................................................... 22
Wireshark ........................................................................................................ 22
Công cụ Password sniffing Tool: ACE ................................................................ 27
Capsa Network Analyzer .................................................................................. 27
Discovery Tool: NetworkView .......................................................................... 31
Tài liệu tham khảo ............................................................................................... 32
3
Lời mở đầu Theo một nghiên cứu mới nhất, hiện nay các trình duyệt đang được sử dụng rộng
rãi trên toàn thế giới với lịch sử duyệt web là không an toàn như những gì chúng ta
nghĩ. Trên thực thế, sau khi thực hiện việc kiểm tra các website phổ biến để tìm ra
những website nào sẽ thu thập thông tin của người dùng, và không ngạc nhiên khi
YouPorn là trang web hàng đầu về việc lấy thông tin người dùng. Các trang khác
như Technorati, TheSun.co.uk cũng không ngoại lệ và cũng chẳng mấy ngạc nhiên.
Các dữ liệu được thu thập thường được sử dụng để xác định mục tiêu cho chiến
dịch quảng cáo. Nhưng không đơn thuần là vậy, cùng với sự phát triển của khoa
học kỹ thuật, càng ngày càng có nhiều các ứng dụng thông minh được đưa lên
Internet để phục vụ con người, chẳng hạn như các ứng dụng liên quan đến ngân
hàng, tài chính,… Do vậy mà dữ liệu sử dụng của con người ngày càng trở nên nhạy
cảm, và bằng việc sử dụng các dịch vụ đó, chúng ta vô tình trở thành những nạn
nhân của việc lấy cắp thông tin. Việc lấy cắp các thông tin nhạy cảm càng trở nên
phổ biến và tinh vi hơn, tất nhiên mục đích của những hacker là sinh lợi từ nguồn
thông tin đó, có thể là rao bán thông tin cá nhân, hay thậm chí là ăn cắp thông tin
về tài khoản ngân hàng, hoặc tống tiền nạn nhân bằng việc thu thập những dữ liệu
nhạy cảm…
Mục đích của bài viết này nhằm đưa ra các kỹ thuật mà con người có thể sử dụng
để thu thập thông tin từ người khác thông qua máy tính và các hành động có kết
nối với Internet. Từ đó để chúng ta có thể hiểu được cơ chế hoạt động của các kỹ
thuật này nhằm chủ động thực hiện các hành động phòng tránh nhằm giảm thiểu
hậu quả.
4
Sniffer
Giới thiệu Khởi đầu sniffer là tên một sản phẩm của Network Associates có tên là Sniffer
Network Analyzer. Sniffer được hiểu đơn giản là một công cụ dùng để ‘nghe ngóng’
những thông tin được truyền tải trong hệ thống mạng máy tính. Tương tự như là
thiết bị nghe lén đường dây điện thoại, chỉ khác nhau về môi trường hoạt động.
Tuy nhiên, các giao dịch giữa các hệ thống mạng máy tính hay giữa các máy tính với
nhau trong cùng một mạng thường là những dữ liệu ở dạng nhị phân, do đó việc
nghe lén các thông tin trong mạng thì các chương trình sniffer cần được cung cấp
tính năng có thể nhận diện được các gói tin, các giao thức truyền tải và chức năng
giải mã các gói tin.
Mục đích sử dụng Sniffer thường được sử dụng vào 2 mục đích khác biệt, nó có thể là một công cụ
hữu ích để các nhà quản trị mạng theo dõi và bảo trì hệ thống. Tuy nhiên, với các
hacker thì nó sẽ là một công cụ không thể thiếu để có thể ăn cắp thông tin của
người dùng, chẳng hạn như tài khoản tín dụng,…
- Tự động bắt các gói tin có chứa thông tin về tài khoản người dùng trên các
hệ thống gồm username và passwork (dưới dạng clear text).
- Chuyển đổi dữ liệu trên đường truyền để quản trị viên có thể đọc và hiểu ý
nghĩa của những dữ liệu đó.
- Dựa vào lưu lượng của hệ thống, quản trị viên có thể phân tích những lỗi
đang mắc phải trên hệ thống mạng.
- Một số chương trình có thể tự động phát hiện và cảnh báo các cuộc tấn công
đang được thực hiện vào hệ thống mạng mà nó đang hoạt động.
- Ghi lại thông tin về các gói dữ liệu, các phiên truyền tải,... giúp quản trị viên
có thể xem lại thông tin về các gói dữ liệu, các phiên truyền sau sự cố. Phục
vụ cho việc phân tích và khắc phục sự cố trong hệ thống mạng.
Cách thức hoạt động Ethernet là một công nghệ của mạng máy tính, nó được giới thiệu thương mại lần
đầu tiên vào năm 1980 và đến năm 1983 thì được chuẩn hóa. Nó phần lớn thay đổi
cộng nghệ tương tranh mạng có dây như Token ring, FDDI, và ARCNET. Ethernet
được xây dựng dựa trên ý tưởng các máy tính giao tiếp thông qua một cáp đồng
5
trục chia sẻ đóng vai trò như một phương tiện truyền dẫn phát sóng. Do vậy mà
mọi máy tính trong mạng đều có thể xem được thông tin về dữ liệu được truyền
tải trong mạng, nhưng phần cứng Ethernet được xây dựng và cấu hình để lọc và bỏ
qua các dữ liệu không thuộc đường truyền của nó dựa trên thông tin về địa chỉ
MAC. Do vậy khi những tin tặc tấn công, chúng sẽ dựa trên đặc điểm này của kết
nối Ethernet để thực hiện. Khi một hacker thực hiện tấn công sniffer, chúng sẽ
chuyển NIC của thiết bị sang trạng thái hỗn tạp, tức NIC sẽ có thể nhận được tất cả
các gói tin được truyền tải trong mạng. Từ đó chúng có thể giải mã các gói tin và
đánh cắp những thông tin quan trọng để phục vụ cho mục đích riêng.
Khi tin tặc tấn công một switch, chúng sẽ sử dụng các kỹ thuật:
- MAC Flooding.
- DNS Poisoning.
- ARP Poisoning.
- DHCP Attacks.
- Password Sniffing.
- Spoofing Attack.
Phân loại Active Snifffing
Là hoạt động sniffing được thực hiện trên thiết bị chuyển mạch (switch) trong mạng
máy tính. Nó dựa trên việc đưa các gói tin vào mạng máy tính mà có thể gây ảnh
hưởng đến lưu lượng. Active Sniffing đòi hỏi phải vượt qua các phân đoạn mà
switch cung cấp, các thiết bị chuyển mạch duy trì bộ đệm ARP với tên gọi là Content
Adressable Memory (CAM), duy trì việc theo dõi xem host nào đang được kết nối
tới cổng nào của thiết bị. Sniffer sẽ được tổ chức tại tầng liên kết dữ liệu trong mô
hình OSI, tức là nó sẽ không cần phải đóng vai trò như một ứng dụng hay dịch vụ,
nó có thể lấy bất cứ thông tin gì có thể thấy trong đường để xem lại sau này. Nó có
thể cho người dùng thấy được tất cả dữ liệu trong gói, kể cả những thông tin đang
được ẩn đi. Nhưng phương pháp này trên thực tế rất khó thực hiện và cũng dễ bị
phát hiện.
Passive Sniffing
Là hoạt động sniffing được thực hiên trên hub trong mạng máy tính, phương thức
tấn công này rất khó phát hiện và đòi hỏi người tấn công phải kết nối đến 1 hub.
6
Trong mạng, mọi thông tin dữ liệu sẽ được gửi đến tất cả các cổng của hub, tất cả
những gì còn lại cần làm là chờ đợi một người nào đó cùng ở trong “miền đụng độ”
(collison domain) gửi và nhận dữ liệu.
Các giao thức dễ bị tổn thương bởi sniffing:
- Telnet and Rlogin: tổ hợp phím chứa username và password.
- HTTP: dữ liệu được gửi đi dưới dạng văn bản thuần thúy.
- SMTP: dữ liệu và mật khẩu được gửi dưới dạng văn bản.
- NNTP: dữ liệu và mật khẩu được gửi dưới dạng văn bản.
- POP: dữ liệu và mật khẩu được gửi dưới dạng văn bản.
- FTP: dữ liệu và mật khẩu được gửi dưới dạng văn bản.
- IMAP: dữ liệu và mật khẩu được gửi dưới dạng văn bản.
Các hoạt động sniffing được tổ chức trong tầng liên kết dữ liệu của mô hinh OSI,
chúng không cần phải đóng vai trò như một ứng dụng hay dịch vụ cư trú trên các
tầng trên trong mô hình. Nếu như một lớp bị tấn công, các giao tiếp sẽ được thỏa
hiệp và các lớp khác sẽ không được biết về sự cố.
Lawful Intercept
Giới thiệu và cơ chế hoạt động Là một quá trình cho phép cơ quan thực thi pháp luật (Law Enforcement Agency)
thực hiện một cuộc giám sát một mục tiêu đã được xác minh bởi một yêu cầu tư
pháp hoặc hành chính. Việc giám sát được thực hiện thông qua việc nghe lén trên
hệ thống viễn thông truyền thống và dịch vụ Internet trên âm thanh, dữ liệu và các
mạng đa dịch vụ ( multiservice network ).
Đầu tiên LEA gửi một yêu cầu nghe lén đến nhà cung cấp dịch vụ của mục tiêu cần
tiếp cận, họ là những người có trách nhiệm ngăn chặn việc truyền tải dữ liệu đến
mục tiêu hoặc dữ liệu được gửi từ mục tiêu. Nhà cung cấp dịch vụ sẽ sử dụng địa
chỉ IP để xác định bộ định tuyến chịu trách nhiệm xử lỹ dữ liệu của mục tiêu. Sau
đó họ sẽ chặn lưu lượng truy cập của mục tiêu khi nó đi qua bộ định tuyến đồng
thời gửi một bản sao của lưu lượng bị chặn đến LEA mà mục tiêu không hề hay biết.
Lợi ích - Chấp nhận nhiều LEA cùng thực hiện Lawful Intercept (LI) mà các cơ quan
khác không biết.
7
- Hỗ trợ nghe lén kể cả đầu vào lẫn đầu ra.
- Không ảnh hưởng đến thuê bao dịch vụ.
- Cung cấp 2 giao diện an toàn: một cho việc cài đặt việc nghe lén và một cho
việc gửi thông tin đến LEA.
- Kể cả quản trị viên hay người dùng đều không nhận thức được rằng các gói
tin đang được sao chép hay cuộc gọi đang bị nghe lén.
- Hỗ trợ nghe lén thuê bao cá nhân, những người chia sẻ giao diện phần
cứng.
- Giấu thông tin LI với tất cả mọi người trừ những người đặc quyền.
Các thành phần mạng sử dụng cho Lawful Intercept - IAP ( intercept access point ) : là một thiết bị cung cấp thông tin cho LI.
- Meditation Device: là thiết bị được cung cấp bởi bên thứ 3 xử lý gần như
toàn bộ tiến trình của LI.
- Collection Function: là một chương trình lưu trữ và thực thi lưu lượng bị
chặn bởi nhà cung cấp dịch vụ.
Wiretapping (nghe lén)
Khái niệm và phân loại Wiretapping là hành động nghe lén của bên thứ 3 thông qua đường dây điện thoại
hoặc qua mạng Internet một cuộc hội thoại. Wiretapping được xem là một hành
động Lawful Interception nếu như người thực hiện là cơ quan hành pháp, chính
phủ. Có 2 loại wiretapping là active wiretapping và passive wiretapping:
- Active wiretapping: là hoạt động nghe lén không chỉ giám sát lưu lượng
truyền tải mà còn làm thay đổi hoặc gây ảnh hưởng đến nội dung được
truyền tải của cuộc hội thoại.
- Passive wiretapping: không như Active Wiretapping, kiểu nghe lén thứ 2 chỉ
thực hiện việc giám sát lưu lượng và sao chép lại nội dung truyền tải trong
quá trình thực hiện.
Các hình thức - Thực hiện công khai (Official Use)
Trong thỏa thuận của các nhà mạng với chính phủ, các nhà mạng được đặt
ra yêu cầu phải cung cấp quyền truy cập cho việc nghe lén nhằm hỗ trợ các
cơ quan hành pháp thực thi pháp luật. Trong những năm trước, việc nghe
8
lén được thực hiện thông qua lắp đặt các thiết bị phần cứng để điều hướng
các tín hiệu âm thanh của cuộc gọi, nhưng cùng với sự phát triển của khoa
học, hiện tại các nhà mạng sử dụng công nghệ kỹ thuật số với ưu điểm là đơn
giản hơn và có khả năng điều khiển từ xa bằng máy tính. Nếu việc nghe lén
được thực hiện trên một máy chuyển mạch số thì nó đơn giản chỉ làm sao
chép dữ liệu của các cuộc hội thoại dưới dạng các chuỗi bit đến một đường
dây thứ 2 và tất nhiên không thể phát hiện được rằng cuộc hội thoại đang bị
nghe lén.
- Thực hiện không công khai (Non-offcial use)
Các cuộc hội thoại có thể bị ghi âm hoặc giám sát một cách lén lút, thông qua
việc nghe lén của bên thứ ba hoặc chính là một trong số những bên tham gia
cuộc hội thoại, nó có thể bị xem là phi pháp hoặc hợp pháp tùy theo hoàn
cảnh và quyền hạn. Có rất nhiều cách để theo dõi nội dung các cuộc gọi,
thông qua các thiết bị nghe lén, hoặc một thiết bị ghi âm có khi là một máy
tính chạy phần mềm ghi âm cuộc gọi.
- Dữ liệu về vị trí
Đối với di động, các mối đe dọa là tập các dữ liệu thông tin liên lạc, nó không
chỉ dừng lại ở các thông tin về thời gian gọi đi, thời lượng cuộc gọi, người gọi,
người nhân mà nó còn bao gồm thông tin xác nhận về trạm phát sóng, nơi
mà cuộc gọi được khởi tạo, có vị trí gần đúng với vị trí của điện thoại. Việc
lấy chính xác vị trí của điện thoại là hoàn toàn có thể dựa trên các thiết bị
khác xung quanh.
- Internet
Hiện tại, việc thực hiện các cuộc gọi không chỉ dựa trên sóng vô tuyến thông
thường mà còn có thể được thực hiện thông qua mạng Internet. Thông
thường kiểu tấn công này sẽ được thực hiện qua kết nối Wifi đến kết nối
Internet của một ai đó thông qua việc bẻ khóa WEP hay WPA.
- Điện thoại di động
Điện thoại di động có rất nhiều vấn đề riêng tư, chính phủ, các cơ quan hành
pháp cũng như các dịch vụ thông minh thường sử dụng để xác nhận việc giám
sát ở một số quốc gia. Và nó cũng thường được sử dụng để thu thập dữ liệu
về vị trí kể cả khi tính năng định vị của điện thoại không được khởi động,
thông qua việc tính thời gian khi tín hiệu được truyền từ điện thoại đến
những trạm phát sóng. Ở thế hệ mạng điện thoại 2G, việc theo dõi điện thoại
di động là khá dễ dàng do sử dụng kết nối analog, nhưng đến thế hệ thứ 3,
9
mọi thứ trở nên khó khăn hơn do các nhà mạng sử dụng kết nối kỹ thuật số
được mã hóa. Nhưng chính phủ vẫn có thể khai thác thông tin truyền tải trên
điện thoại di động cũng như giải mã tín hiệu âm thanh nhờ sự hợp tác của
các công ty sản xuất điện thoại.
- Webtapping
Là hành động đăng nhập vào địa chỉ IP của một người truy cập trang web.
Thường được sử dụng để theo dõi các trang web chứa các thông tin nguy
hiểm hoặc nhạy cảm, và những người truy cập chúng.
Hardware Protocal Analyzer
Khái niệm về Protocal Analyzer Protocal Analyzer có thể là một thiết bị phần cứng hay phần mềm được tạo ra nhằm
mục đích bắt và phân tích các tín hiệu hay dữ liệu được truyền tải thông qua các
kênh giao tiếp.
Thiết bị phần cứng Một phần cứng phân tích giao thức là một phần của thiết bị có thể bắt các tín hiệu
nhưng không làm thay đổi lưu lượng trong một đoạn cáp. Nó có thể được sử dụng
để theo dõi lưu lượng sử dụng mạng và xác định các lưu lượng độc hại được tạo ra
từ các phần mềm độc hại được cài đặt trong hệ thống mạng. Sau khi lấy được các
gói tin, nó sẽ tiến hành giải mã và phân tích nội dung của các gói tin đó dựa trên
các giao thức đã được định sẵn.
SPAN Port Port minorring thường được sử dụng trên một switch để gửi bản sao chép của các
gói tin truyền trong một cổng hoặc toàn bộ mạng máy tính đến một kết nối giám
sát mạng trên một cổng khác của switch. Nó thường được dùng cho các thiết bị
mạng có yêu cầu giám sát lưu lượng mạng, chẳng hạn như một hệ thống phát hiện
xâm nhập, hoặc kỹ thuật giám sát người dùng thực tế để hỗ trợ hiệu suất quản lý.
Port minorring được biết đến trong hệ thống của Cisco với tên gọi là SPAN Port.
Các kỹ sư mạng máy tính hoặc quản trị viên thường sử dụng port minorring để phân
tích, gỡ rối hay chuẩn đoán các lỗi xảy ra trong một mạng máy tính. Nó giúp các
quản trị viên có thể giám sát mạng và khi có vấn đề xảy ra, ngay lập tức nó sẽ thông
báo đến quản trị. Ngoài ra port minorring còn có thể được sử dụng để sao lưu lưu
lượng sử dụng đến hoặc đi ( hoặc cả hai ) trong một giao diện hoặc nhiều giao diện.
10
MAC Flooding Switch thì có bộ nhớ giới hạn cho việc ánh xạ địa chỉ MAC và port vật lý trên switch.
Tấn công MAC là tấn công làm ngập lụt switch với một số lượng lớn yêu cầu, lúc
này switch hoạt động như hub và lúc này các gói tin sẽ được gửi ra tất cả các máy
trên cùng miền mạng và kẻ tấn công có thể dễ dàng nghe lén. Ngập lụt MAC làm
cho bộ nhớ giới hạn của switch đầy lên bằng cách giả mạo nhiều địa chỉ MAC khác
nhau và gửi đến switch.
Bảng CAM của switch thì có kích thước giới hạn. Nó chỉ lưu trữ thông tin như địa
chỉ MAC gắn với công tương ứng trên switch cùng với các tham sô miền mạng vlan.
Khi máy A gửi gói tin đến máy B, nó sẽ tìm trong bảng địa chỉ MAC của nó, coi thử
có địa chỉ MAC của máy B hay không, nếu không có máy A sẽ gửi gói tin ARP đến
switch để hỏi địa chỉ MAC của máy B. Máy B lúc này nhận được gói tin phản hồi lại
cho máy A sau đó các gói tin được lưu chuyển từ A đến B mà không chuyển sang
các máy khác.
DHCP Attacks
DHCP là gì DHCP(dynamic host configuration protocol): là giao thức cấu hình Host hoạt động,
được thiết kế nhằm làm giảm thời gian chỉnh cấu hình cho mạng TCP/IP bằng cách
tự động gán địa chỉ IP cho các máy khách(client) khi tham gia vào mạng.
11
Ý nghĩa của việc sử dụng DHCP
- Tự động cấp phát địa chỉ IP phù hợp cho máy trạm khi vào mạng, tự động
quản lý các địa chỉ IP và loại bỏ được các lỗi làm mất liên lạc như tình trạng
nhầm lẫn hay trùng lặp địa chỉ IP, đồng thời giảm thiểu chi phí quản trị cho
hệ thống mạng.
- Phù hợp cho các máy tính thường xuyên di chuyển qua lại giữa các mạng.
- Kết hợp với hệ thống mạng không dây(Wireless) cung cấp các điểm Host như:
nhà ga, sân bay,…
Cơ chế hoạt động DHCP là một giao thức có nguồn gốc từ BOOTP( Boostrap Protocal), được dùng để
cấu hình cho các máy trạm khởi động mà không cần đĩa cứng. BOOTP thi hành các
công việc sau:
- Tìm kiếm địa chỉ IP cho chính nó.
- Tìm IP của BOOTP Server.
- Nạp một file khởi động từ server vào bộ nhớ.
- Bắt đầu khởi động.
DHCP khai thác ưu điểm của giao thức truyền tin và các kỹ thuật khai báo cấu hình
được định nghĩa trong BOOTP, trong đó có khả năng tìm kiếm và gán địa chỉ IP cho
nhiều mạng con, nhưng BOOTP không hỗ trợ việc cấu hình tự động khi từng client
kết nối vào mạng cũng như không thể tái sử dụng các địa chỉ IP.
Quá trình lấy địa chỉ IP được mô tả như sau:
- Máy trạm khởi động với địa chỉ IP rỗng, cho pháp liên lạc mới máy chủ DHCP
bằng giao thức TCP/IP. Nó chuẩn bị một thông điệp quảng bá là DHCP
discover chứa địa chỉ MAC và tên máy tính. Thông điệp này có thể chứa địa
chỉ IP trước đó đã thuê, và máy client phát thông điệp này liên tục đến server
cho đến khi nhận được phản hồi từ server.
- Mọi DHCP server có thể nhận thông điệp và chuẩn bị thông điệp DHCP offer
chứa địa chỉ IP cho máy trạm. Nếu server có cấu hình hợp lệ cho client, nó sẽ
chuẩn bị thông điệp chứa địa chỉ MAC của client, địa chỉ IP, subnet mask và
12
địa chỉ IP của máy chủ cùng với thời gian thuê. Và sau đó phát tán thông điệp
này lên mạng.
- Khi client nhận được thông điệp và chấp nhận một trong các địa chỉ IP, client
phát tán thông điệp DHCP request để khẳng định nó đã nhận địa chỉ IP từ
DHCP server nào. Điều này giúp cho việc các gói tin còn lại không được chấp
nhận sẽ được các DHCP server rút lại và dùng để cấp phát cho các client khác.
- Khi DHCP server nhận được gói tin DHCP request từ client, nó sẽ trả lời bằng
một gói tin DHCP ack nhằm mục đích thông báo là chấp nhận cho client đó
thuê địa chỉ IP. Nó sẽ chứa thông tin về địa chỉ IP, và các thông tin cấu hình
khác. Cuối cùng, khi client nhận được gói tin DHCP ack thì cũng là lúc quá
trình thuê và cấp phát địa chỉ IP kết thúc.
Tấn công DHCP Hầu hết dịch vụ DHCP mặc định không được bảo mật, lợi dụng điều này, những kẻ
tấn công có thể tiến hành tấn công các máy chủ DHCP. Sau đây là một số kiểu tấn
công DHCP:
Tấn công từ chối dịch vụ bằng cách ‘vét cạn’ tất cả các giá trị mà DHCP có thể
cấp cho client.
- Cách thức tấn công: Attacker thực hiện bằng cách gửi một lượng lớn DHCP
request với các giá trị MAC address thay đổi liên tục đến DHCP server. Khi
DHCP server nhận được các request với các MAC address khác nhau, DHCP
sẽ cấp một giá trị IP tương ứng với mỗi request đó. Vì số lượng địa chỉ IP có
giới hạn nên chỉ cần một lượng request tương đối là attacker có thể đăng ký
hết số lượng IP này trên DHCP. Kết quả là các request hợp lệ của client sẽ
13
không còn phục vụ cho người đến sau. Đây là kiểu tấn công từ chối dịch vụ
DHCP dễ dàng nhất mà attacker có thể thực hiện.
- Cách khắc phục: sử dụng các switch có tính năng bảo mật của Cisco. Các
switch này sẽ giới hạn số lượng MAC address có thể sử dụng trên một port.
Mục đích là để ngăn chặn việc trong một khoảng thời gian giới hạn, một port
của nó có quá nhiều MAC address được phép sử dụng. Nếu vượt qua quy
định này, port của nó có sẽ shutdown.
Tấn công theo kiểu Man-in-the-middle bằng việc sử dụng DHCP server giả mạo
- Cách thức tấn công:
o Attacker xây dựng DHCP giả mạo với đầy đủ các thông số để cấp cho
client.
o Khi 1 DHCP client broadcast một gói tin DHCP discovery, cả 2 DHCP
hợp lệ và DHCP giả mạo cùng gửi gói tin DHCP offer đến client.
o Client sẽ tiếp nhận gói tin nào đến trước, nếu gói tin của DHCP server
hợp lệ đến trước thì quá trình tấn công theo dạng này sẽ thất bại. Do
đó để chắc chắn rằng client sẽ nhận được gói tin do DHCP server giả
14
mạo cấp, attacker thường tiến hành tấn công từ chối dịch vụ theo kiểu
“vét cạn” đối với DHCP server thật.
o Trong gói tin response đến client, địa chỉ Default Gateway lại chỉ về
máy tính cho attacker kiểm soát.
o khi client gửi gói tin cho mạng bên ngoài(thường là internet). Gói tin
này sẽ được chuyển tiếp đến cho máy tính có địa chỉ Default Gateway
giả mạo và nội dung bên trong bị xem trộm.
- Cách khắc phục: Các thiết bị switch của Ciso cung cấp tính năng bảo mật dành
cho DHCP. Tính năng DHCP snooping, bẳng cách chỉ cho kết nối đến DHCP
trên một hoặc một số port nhất định mà thôi
ARP Poisoning
ARP là gì ARP là một trong những giao thức của IP, chức năng của nó dùng để định vị một
host trong một segment mạng bằng cách phân giải địa chỉ IP ra địa chỉ MAC. Khi
một thiết bị muốn kết nối đến một thiết bị khác, nó sẽ tìm kiếm trong bảng ARP địa
chỉ MAC tương ứng với địa chỉ IP của thiết bị cần kết nối. Nếu như trong bảng ARP
không có thông tin về địa chỉ MAC tương ứng, nó ARP thực hiện một tiến trình
broadcast gửi gói tin chứa địa chỉ IP cần kết nối và địa chỉ MAC của chính nó trên
toàn bộ hệ thống mạng. Các thiết bị khác khi nhận được gói tin sẽ tiến hành so sánh
địa chỉ IP trong gói tin với địa chỉ IP của mình, nếu như 2 địa chỉ trùng nhau thì nó
sẽ gửi lại địa chỉ MAC của nó cho thiết bị đang yêu cầu.
ARP có 4 loại message cơ bản sau:
- ARP request: máy tính A sẽ hỏi toàn mạng: “ai có địa chỉ IP này?”
- ARP reply: máy tính B trả lời máy tính A: “tôi có IP đó, địa chỉ MAC của tôi
là….”
- Reverse ARP request: máy tính A sẽ hỏi toàn mạng: “ai có địa chỉ MAC này?”
- Reverse ARP reply: máy tính B trả lời máy tính A: “tôi có MAC đó,địa chỉ IP
của tôi là…”
Cơ chế tấn công ARP Poisoning Khi một gói tin ARP reply, nó hoàn toàn tin tưởng và mặc nhiên sử dụng thông tin
đó để sử dụng sau này mà không cần biết thông tin đó có phải trả lời từ một host
mà mình mong muốn hay không.ARP không có cơ chế nào để kiểm tra việc dó và
15
trên thực tế một host có thể chấp nhận gói ARP reply mà trước đó không cần phải
gửi gói tin ARP request. Lợi dụng điều này, attacker có thể triển khai các phương
thức tấn công như: Man in the middle, Mac flooding,..
Tấn công theo kiểu Man in the middle:
Giả sử attacker muốn theo dõi Host A gửi thông tin gì cho host B. Đầu tiên, attacker
sẽ gửi gói ARP reply đến host A với nội dung là địa chỉ MAC của attacker và địa chỉ
của host B.
Sau đó, attacker sẽ gửi gói tin ARP reply tới host B với nội dung là MAC của máy
attacker và IP của host A. Vậy cả 2 host A và host B đều tiếp nhận gói ARP reply đó
và lưu vào trong ARP table của mình. Đến lúc này, khi host A muốn gửi thông tin
đến host B, nó liền tra vào ARP table thấy đã có sẵn thông tin về địa chỉ MAC của
host B nên sẽ lấy thông tin đó ra sử dụng, nhưng thực chất địa chỉ MAC đó là hacker.
Đồng thời máy tính của hacker sẽ mở chức năng gọi là IP Forwading giúp chuyển
tải nội dung mà host A gửi qua host B.Host A và host B giao tiếp bình thường và
không có cảm giác bị qua máy trung gian là máy của hacker.
Ví dụ: Giả sử ta có mạng LAN như mô hình trên gồm các host A, B và máy tính của
Attacker.
Attacker
- IP: 10.0.0.11
- Mac: 0000:0000:0111
HostA
- IP: 10.0.0.09
- MAC: 0000:0000:0109
HostB
- IP: 10.0.0.08
- MAC: 0000:0000:0108
Victim
- IP: 10.0.0.10
- MAC: 0000:0000:0110
Attacker muốn thực hiện ARP Attack đối với Victim nhằm bắt mọi gói tin từ Host
A truyền đến Victim.
16
Đầu tiên, nếu như Host A muốn gửi gói tin đến Victim thì nó cần biết địa chỉ MAC
của Victim, do vậy nó sẽ gửi quảng bá gói tin ARP Request đến tất cả các thiết bị
trong mạng để hỏi xem địa chỉ MAC tương ứng với địa chỉ IP 10.0.0.10. Tất cả các
thiết bị Host B, Attacker và Victim đều nhận được gói tin này và Victim sẽ gửi lại gói
tin trả lời. Để có thể thỏa mãn mục đích tấn công, Attacker sẽ gửi hàng loạt các gói
tin ARP Reply ( kỹ thuật ARP spoofing ) chứa thông tin về địa chỉ IP của Victim, địa
chỉ MAC của Attacker và địa chỉ MAC của Host A. Host A khi nhận được reply từ
Attacker sẽ tin tưởng địa chỉ MAC của Attacker chính là địa chỉ MAC của Victim. Từ
đó các gói tin được truyền từ Host A đến Victim sẽ bị chuyển hướng đến Attacker.
Tấn công theo kiểu Mac flooding:
Cách tấn công này dùng kỹ thuật ARP Poisoning mà đối tượng nhắm đến là switch.
Attacker sẽ gửi những gói ARP reply giả tạo với số lượng khổng lồ nhằm làm Switch
xử lý không kịp và trở nên quá tải. Khi đó, Switch sẽ không đủ sứ thể hiện bản chất
Layer2 của mình làm nữa mà broadcast gói tin ra toàn bộ các port của mình.
Attacker dễ dàng bắt được toàn bộ thông tin trong mạng của bạn.
Chống lại ARP Attack ARP Poisoning là một kiểu tấn công dạng local, nghĩa là attacker thực hiện tấn công
từ bên trong mạng của bạn. Hậu quả của cách tấn công này là rất lớn, những người
quản trị mạng cần nắm bắt rõ về kỹ thuật tấn công này. Sau đây là một số kỹ thuật
giúp phòng chống tấn công kiểu ARP Poisoning:
Đối với một mạng nhỏ:
Ta có thể sử dụng địa chỉ IP tĩnh và ARP table tĩnh, khi đó, bạn sẽ liệt kê bằng tay IP
nào đi với MAC nào. Khi mà ép tĩnh như vậy sẽ ngăn chặn attacker gửi các gói tin
ARP reply giả tạo đến máy của mình vì khi sử dụng ARP table tĩnh thì nó luôn luôn
thay đổi.
Đối với một mạng lớn:
Khi quản trị một mạng quy mô lớn, ta có thể sử dụng chức năng Port security. Khi
mở chức năng Port security lên các port của Switch, ta có thể quy định port đó chỉ
chấp nhận một địa chỉ MAC. Như vậy sẽ ngăn chặn việc thay đổi địa chỉ MAC trên
máy attacker.
17
Spoofing Attack
Định nghĩa Spoofing Attack (tấn công giả mạo) là một kiểu tấn công mà kẻ tấn công có thể giả
mạo một người hoặc một thiết bị nhằm khởi động các cuộc tấn công chống lại các
máy chủ, ăn cắp dữ liệu, lây lan phần mềm độc hại hoặc vượt qua điều khiển truy
nhập (access control).
Các kiểu tấn công MAC Spoofing là một kỹ thuật giả mạo để thay đổi địa chỉ MAC đã được nhà sản
xuất đặt sẵn. Địa chỉ MAC được mã hóa cứng trên thiết bị và không thể thay đổi,
tuy nhiên có nhiều cách để có thể làm cho một hệ điều hành tin rằng địa chỉ MAC
có giá trị là một địa chỉ được người dùng lựa chọn. Những kẻ tấn công thường nghe
ngóng các thông điệp được truyền trong mạng để lấy địa chỉ MAC của người dùng.
Sau đó sử dụng chúng với mục đích lấy tất cả những gói tin được truyền tới người
sử dụng hợp pháp.
IP Spoofing là kỹ thuật tấn công giả mạo phổ biến được sử dụng. Trong kỹ thuật
này, kẻ tấn công sẽ gửi những gói tin IP với địa chỉ nguồn giả nhằm che giấu bản
thân hoặc mạo danh những hệ thống hay máy tính khác. Trong các cuộc tấn công
từ chối dịch vụ, kỹ thuật này thường được sử dụng để làm quá tải các hệ thống.
Có 2 cách thực hiện kỹ thuật này, cách thứ nhất chỉ đơn giản là gửi các gói tin IP
đến một mục tiêu với số lượng nằm ngoài khả năng xử lý của mục tiêu đó. Một cách
khác là kẻ tấn công sẽ giả mạo nạn nhân và gửi các gói tin đến nhiều máy tính khác
với địa chỉ nguồn là địa chỉ của nạn nhân. Khi các gói tin được gửi đến đích, những
máy tính kia sẽ gửi phản hồi lại cho mục tiêu cần tấn công. Mặt khác kỹ thuật này
còn có thể được sử dụng với mục đích vượt qua hệ thống xác nhận dựa trên địa chỉ
IP nhằm lấy quyền truy cập.
ARP Spoofing là kỹ thuật thường được sử dụng trong mạng nội bộ thông qua việc
gửi các gói tin ARP với địa chỉ IP là một địa chỉ IP của một máy tính trong mạng, và
tất nhiên địa chỉ MAC sẽ là địa chỉ MAC của kẻ tấn công. Việc này sẽ thiết lập một
liên kết giữa địa chỉ IP của thành viên hợp pháp trong mạng với máy tính của kẻ tấn
công. Kỹ thuật này thường được dùng để ăn cắp dữ liệu, thay đổi dữ liệu hoặc chặn
lưu lượng trong mạng.
Các mối đe dọa
18
- Nếu như địa chỉ MAC được sử dụng để cấp quyền truy cập vào mạng máy
tính thì một kẻ tấn công có thể sử dụng kỹ thuật này để thâm nhập vào hệ
thống mạng.
- Một kẻ tấn công có thể lấy đi danh tính của ai đó đã được có sẵn trong mạng.
Phòng chống Spoofing Attack - Sử dụng bộ lọc gói (Packet Filtering): bộ lọc sẽ kiểm tra các gói tin trước khi
chúng được truyền qua mạng. Bộ lọc này rất hữu ích trong việc phòng chống
IP Spoofing bởi nó có thể lọc ra và ngăn chặn những gói tin có địa chỉ nguồn
không hợp lý (gói tin gửi từ bên ngoài với địa chỉ nguồn ở trong mạng).
- Tránh sử dụng các quan hệ tin tưởng: việc sử dụng nhiều các quan hệ được
tin tưởng sẽ tạo ra nhiều cơ hôi cho những kẻ tấn công hơn. Và vì chúng
thường được xác nhận bằng địa chỉ IP, do đó hệ thống tốt nhất nên sử dụng
càng ít quan hệ này càng tốt.
- Sử dụng các phần mềm phát hiệ giả mạo.
- Sử dụng các giao thức mạng mật mã như TLS, SSH, HTTPS và các giao thức
truyền thông an toàn khác bằng việc mã hóa tin trước khi gửi cũng như chứng
thực dữ liệu trước khi nhận.
DNS Poisoning
DNS Server là gì DNS Server là hệ thống phân giải tên miền, chức năng của hệ thống này là trả về
địa chỉ IP của các tên miền cho những yêu cầu từ phía client. Hỗ trợ cho người dùng
trong việc truy cập các máy chủ bởi tên miền rất dễ nhớ còn địa chỉ IP thì không.
Các máy chủ DNS có thể hỗ trợ lẫn nhau để có thể phân giải tên miền mà người
dùng yêu cầu.
Hệ thống máy chủ DNS
- Primary Server: máy chủ sơ cấp, là nguồn xác thực thông tin chính thức, các
tên miền cho Primary Server quản lý sẽ được khởi tạo, sửa đổi và sau đó gửi
thông tin cập nhật đến secondary server.
- Secondary Server: được sử dụng nhằm chia tải cho Primary Server, giúp làm
tăng sự hiệu quả cũng như độ ổn định của hệ thống. Nó có thể quản lý tên
miền nhưng tên miền không được khởi tạo ở đây mà nó phải lấy thông tin từ
Primary Server.
19
- Caching-DNS Server: là server chỉ dùng cho việc truy vấn, lưu giữ câu trả lời
dựa trên thông tin trên cache của máy và cho kết quả truy vấn. Chúng không
quản lý tên miền và thông tin nó chỉ giới hạn những gì được lưu trên cache
của Server.
Hình ảnh minh họa hoạt động của DNS Server: Máy tính bên trái là client, một yêu
cầu về địa chỉ IP của tên miền “centr.org” được gửi đến DNS Server. Sau khi nhận
được request từ client, DNS trả về địa chỉ IP tương ứng của tên miền “192.0.2.0”.
Tấn công đầu độc DSN ( DNS Poisoning attacking ): là kỹ thuật đánh lừa máy chủ
DNS nghĩ răng nó đã nhận được thông tin xác thực trong khi trên thực tế thì điều
đó không xảy ra. Nó dẫn đến việc thay đổi địa chỉ của nhà cung cấp Internet của
dịch vụ tên miền, tức thay đổi địa chỉ máy chủ DNS.
Các kỹ thuật tấn công - Intranet DNS Spoofing: Kỹ thuật này đòi hỏi người tấn công phải kết nối đến
một mạng cục bộ và có thể kiểm soát các gói tin được truyền đi trong mạng.
Đầu tiên kẻ tấn công sẽ kết nối và đầu độc bộ định tuyến trong mạng cục bộ,
mọi yêu cầu được gửi đến bộ định tuyến này sẽ bị chuyển hướng đến địa chỉ
mà kẻ tấn công mong muốn. Khi người sử dụng yêu cầu dịch vụ phân giải cho
một tên miền nào đó, chẳng hạn ‘www.hust.edu.vn’ thì yêu cầu sẽ được gửi
đển router, và sau đó nó được chuyển tiếp đến máy địa chỉ của máy tính mà
20
kẻ tấn công kiểm soát. Khi đó một địa chỉ IP sẽ được gửi trả về cho người sử
dụng và tất nhiên nó sẽ trỏ đến máy chủ của kẻ tấn công đã thiết lập sẵn.
Máy chủ của kẻ tấn công sẽ lấy thông tin ủy quyền và gửi request đến máy
chủ thật mà người sử dụng mong muốn. Ngoài ra kẻ tấn công có thể đầu độc
người sử dụng thông qua việc thay đổi địa chỉ IP của DNS Server trên máy
tính của người dùng bằng DNS server được quản lý bởi chúng. Do đó mọi yêu
cầu về dịch vụ DNS của người dùng sẽ được chuyển đến máy chủ DNS này và
tất nhiên những yêu cầu này sẽ được trả về với địa chỉ IP của máy chủ giả
nhằm mục đích ăn cắp thông tin.
- Proxy Server DNS Poisoning ( đầu độc máy chủ Proxy DNS ): kẻ tấn công gửi
mã độc đến người sử dụng và làm thay đổi địa chỉ IP của máy chủ Proxy DNS
trên máy tính người dùng bằng địa chỉ của máy chủ khác của kẻ tấn công. Các
yêu cầu của người dùng bây giờ sẽ đi qua máy chủ proxy của kẻ tấn công,
21
máy chủ proxy sẽ gửi yêu cầu của người dùng đến website giả mạo của mình
nhằm ăn cắp thông tin rồi sau đó mới chuyển tiếp yêu cầu đến máy chủ thực.
- DNS Cache Poisoning ( đầu độc bộ nhớ đệm DNS ): kỹ thuật này bao gồm
hành vi thay đổi hoặc thêm các bản ghi trong bộ nhớ đệm của máy chủ DNS.
Vì vậy mà các yêu cầu cho một tên miền sẽ được trả về địa chỉ IP của một
website giả mạo được thiết lập bởi kẻ tấn công. Nếu như máy chủ không thể
xác minh phản hồi của DNS đến từ một nguồn đáng tin cậy, nó sẽ lưu vào bộ
đệm những thực thể sai thông tin và sử dụng chúng để phục vụ cho những
người dùng có cùng yêu cầu.
Cách chống lại tấn công DNS - Giải quyết những truy vấn DNS trên DNS cục bộ.
- Chặn các yêu cầu DNS từ việc tìm kiếm các máy chủ bên ngoài.
- Sử dụng DNSSEC ( công nghệ xác thực DNS, có khả năng tự chứng thực và
đảm bảo toàn vẹn cho DNS ).
22
- Cấu hình các máy trạm DNS để sử dụng một nguồn ngẫu nhiên từ phạm vi
của chúng cho mỗi truy vấn.
- Cấu hình tường lửa để hạn chế việc tìm kiếm DNS từ bên ngoài.
- Hạn chế dịch vụ DNS đệ quy, 1 phần lẫn toàn phân để xác thực người dùng.
- Sử dụng DNS Non-Existent Domain (NXDOMAIN) Rate Limiting.
( NXDOMAIN: là một tiên miền không tồn tại, là một thuật ngữ được sử dụng
cho những tên miền không thể phân giải bằng máy chủ DNS hoặc những tên
miền chưa được đăng ký. Hoặc nó có thể xảy ra khi máy chủ DNS hay mạng
máy tính gặp trục trặc. )
Sniffing Tools
Wireshark Wireshark là một công cụ bắt gói tin miễn phí, sau đó phân tích để hiển thị khuôn
dạng dữ liệu của từng gói tin dưới dạng tường minh nhất có thể
Wireshark sử dụng Winpcap để chụp các gói tin, vì vậy nó chỉ hoạt động trên
mạng được hỗ trợ bởi Winpcap (Khi cài đặt Wireshark sẽ yêu cầu cài đặt phần
mềm Winpcap – là phần mềm dùng để thu thập tức thì các luồng dữ liệu trong
mạng)
Nó có thể ghi lại các gói tin trên đường truyền mạng qua Ethernet, IEEE 802.11,
ATM, Bluetooth, USB…
Hỗ trợ giải mã trên nhiều giao thức phổ biến như: SSL/TSL, WEP, WPA,…
Cửa sổ chính:
Dưới đây là giao diện mà người dùng thường gặp sau khi các gói tin được bắt và
hiển thị:
23
Tại đây, chúng ta sẽ thấy có nhiều màu sắc khác nhau, bao gồm: xanh lá cây, xanh
da trời và đen. Wireshark dựa vào cơ chế này để giúp người dùng phân biệt được
các loại traffic khác nhau. Ở chế độ mặc định, màu xanh lá cây là traffic TCP, xanh
da trời đậm là traffic DNS, xanh da trời nhạt là traffic UDP và màu đen là
góiTCP đang có vấn đề.
Khung trên hiển thị chi tiết về các gói tin bắt được gồm có:
+ Frame: gồm có thời gian bắt được gói tin, thời gian chụp và hiển thị gói tin so với
gói tin phía trước nó, thời gian bắt gói tin kể từ lúc bắt đầu khởi động việc bắt các
gói tin, thứ tự frame, độ dài frame và giao thức của frame (lưu ý mỗi gói tin tương
ứng với một frame trong trong bảng).
+ Ethernet: Cho biết địa chỉ MAC nguồn và địa chỉ MAC đích của gói tin
+ IP: Cho biết thông tin về địa chỉ IP của gói tin.
24
Cài đặt ban đầu
Đầu tiên ta vào capture Options, thấy thông tin các giao diện mạng, chọn một giao
diện mạng trong danh sách để bắt và phân tích các gói tin đi qua giao diện này.
Theo dấu gói tin
Ví dụ nhấn chuột phải vào từng package và chọn Follow TCP Stream:
25
Chúng ta sẽ thấy toàn bộ quãng thời gian giao tiếp giữa server và client:
Sử dụng bộ lọc trong wireshark
26
Trong wireshark hỗ trợ các bộ lọc để người sử dụng có thể lọc gói tin
Ví dụ: - ip.addr == “192.168.1.1” lọc các gói tin có địa chỉ nguồn hoặc đích có ip
là 192.168.1.1
- ip.dst == … lọc các gói tin có địa chỉ đích là…
- ip.src == .. lọc các gói tin có địa chỉ nguồn
- frame.number > < == (lọc các gói tin có định danh lớn hơn, nhỏ hơn
hoặc bằng …)
- tcp : lọc theo giao thức tcp
- udp: lọc theo giao thức udp
Ví dụ về sử dụng wireshark để lấy mật khẩu
Bằng việc sử dụng wireshark ta có thể bắt gói tin có chứa dữ liệu về tên đăng
nhập và mật khẩu
Ví dụ như khi login vào trang tinhte.vn , ta lọc gói tin có giao thức http và có phương
thức request là POST (http.request.method == “POST”) ta bắt được gói tin và phân
tích thấy được trường dữ liệu về username, password như sau
Như vậy từ đó tốt nhất với các trang web không hỗ trợ mã hóa thì ta không nên
đăng nhập các tài khoản quan trọng khi ở mạng công cộng
27
Công cụ Password sniffing Tool: ACE Ace Password Sniffer có thể theo dõi trên mạng LAN cho phép nhà quản trị mạng
lấy password của bất cứ người dùng nào trong mạng . Ace Password Sniffer có thể
theo dõi và lấy password thông qua FTP, POP3, HTTP, SMTP, Telnet, vv...
Ví dụ : (lưu ý phần mềm ace password sniffer là phần mềm có phí, nếu dùng bản
trial thì mật khẩu sẽ không được hiển thị đầy đủ)
Capsa Network Analyzer Capsa được thiết kế cho việc giải mã gói tin và chuẩn đoán hệ thống mạng, giám
sát lưu lượng mạng truyền qua một hệ thống mạng nội bộ. capsa giúp người quản
trị nhanh chóng xác định vị trí những vấn đề trong hệ thống mạng và phát hiện
được các mối nguy tiềm ẩn.
Capsa có giao diện thân thiện, hiển thị các số liệu thống kê phân tích đơn giản.
Các số liệu thống kê có tổ chức, cùng các biểu đồ giúp quản trị viên rút ngắn thời
gian trong việc tìm kiếm các thông tin và chuẩn đoán các vấn đề trong hệ thống
mạng.
Capsa có các chức năng chính sau:
- Phân tích lưu lượng mạng
- Giám sát mạng truyền thông
- Chuẩn đoán các vấn đề liên quan đến hệ thống mạng
- Phân tích các vấn đề về bảo mật mạng
- Phân tích hiệu suất hoạt động của hệ thống mạng
- Phân tích các giao thức mạng
Capsa có thể phân tích hệ thống mạng của lớp thấp nhất đến lớp ứng dụng.
Giao diện chọn mạng quản lý
28
Giao diện quản lý chính
29
Capsa có hỗ trợ sử dụng bộ lọc
Nếu không kích hoạt bộ lọc thì capsa sẽ bắt và phân tích tất cả các gói tin truyền
qua card mạng , vậy bộ lọc cần thiết để loại bỏ các gói tin không quan trọng.
Một bộ lọc là điều kiện đánh giá mà chương trình sử dụng để kiểm tra một gói tin
bắt được có phù hợp hay không. Nếu phù hợp gói được chấp nhận và phân tích còn
nếu ngược lại thì chương trình sẽ bỏ qua nó.
Trong capsa có thể kích hoạt bộ lọc như sau:
Sử dụng công cụ filter
Sau khi nhập vào biểu tượng filter sẽ hiện như sau
Một bảng mới sẽ hiện thị các bộ lọc, accept để chấp nhận hoặc reject để bỏ qua, ta
có thể nhấn đúp vào để tùy chỉnh các bộ lọc riêng.
30
Một số tính năng khác của capsa
- Tab summary: tab này cung cấp các thông tin rút gọn, các số liệu thống kê
về hệ thống mạng
- Phân tích các thông tin trong hệ thống mạng: điều này giúp nâng cao hiệu
quả sử dụng các thông tin đã được thống kế một cách hiệu quả (chỉ sử
dụng được trên bản capsa có phí dành cho doanh nghiệp)
- Tab matrix: hiển thị số liệu thống kê lưu lượng truy cập trên hệ thống với
biểu đồ eclip.
Khi di chuyển chuột lên một node mạng, các đường kết nối giữa các node sẽ được
đánh dấu và in đậm.
Matrix giúp chúng ta có được các thông tin sau:
- Tất cả các node trong mạng
- Các giao tiếp trong hệ thống được hiển thị với địa chỉ MAC
- Các giao tiếp trong hệ thống được hiển thị với địa chỉ IP
- Các thông tin về các gói tin được gởi và nhận tại nút đó
- …
Ví dụ:
31
Lưu ý: với bản dành cho doanh nghiệp có phí Capsa giúp phát hiện các cuộc tấn
công ARP (tab Diagnosis) , Phát hiện Trojan và Worm (tab Worm)
Discovery Tool: NetworkView NetworkView là công cụ quản lý và khám phá các thiết bị trong cùng mạng
Ví dụ khi chạy công cụ trên mạng của người viết sẽ thấy các thiết bị kết nối trong
cùng một mạng LAN
32
Tài liệu tham khảo Wikipedia - https://en.wikipedia.org
HAVonline - http://www.hvaonline.net
Quản trị mạng – http://www.quantrimang.com.vn
Nhất nghệ - http://www.nhatnghe.com
Telelink - http://itsecurity.telelink.com/mac-address-spoofing/
Veracode - http://www.veracode.com/security/spoofing-attack
