Series Sniffing – Phần 2 : Các Hình Thức Tấn Công Sniffing Phổ Biến
anonymousvn.org
7
nguyenhopquang
7
White

Nguyễn Hợp Quang viết ngày 22/11/2019

Hello mọi người, sau bài viết phần 1 tại đây thì mình sẽ gửi tới các bạn phần 2 của series bài viết này <3 . Bạn nào chưa đọc phần 1 thì có thể theo dõi tại đây : https://anonymousvn.org/series-sniffing-phan-1-tong-quan-ve-sniffing.hav

1.Lắng nghe thông tin qua Hub

Phương pháp tấn công

Sniffing trên mạng môi trường Hub là 1 giấc mơ đối với bất kỳ ai, bởi gói tin được gửi đi qua thiết bị Hub thì sẽ đi qua tất cả các cổng kết nối với Hub đó. Một khung gói tin khi chuyển từ máy A sang máy B thì đồng thời nó gửi đến tất cả các máy khác đang kết nối cùng Hub theo cơ chế loan tin (broadcast).

Mô hình lắng nghe thông tin qua Hub

Để phân tích lưu lượng đi qua 1 máy tính kết nối với 1 thiết bị Hub thì chỉ cần kết nối một packet sniffer tới 1 cổng còn trống trên Hub. Tuy nhiên, những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân. Vì thế các chương trình nghe lén phải có chức năng giải mã dữ liệu ở dạng nhị phân để hiểu được chúng. Ngoài ra, kẻ tấn công sẽ chuyển card mạng sang chế độ Promiscuous. Chế độ Promiscuous cho phép card mạng nhìn thấy tất cả các gói tin đi qua hệ thống dây mạng. Khi card mạng được đặt dưới chế độ này, nó có thể nhận tất cả các gói tin mà không bị ràng buộc kiểm tra địa chỉ đích đến. Từ đó, kẻ tấn công có thể thấy được tất cả truyền thông đến và đi từ máy tính đó, cũng như truyền thông giữa các thiết bị khác kết nối với thiết bị Hub. Tuy nhiên, ngày nay mạng Hub không còn được ưa chuộng bởi vì chỉ có 1 thiết bị duy nhất có thể truyền thông tại một thời điểm, 1 thiết bị kết nối qua 1 Hub phải cạnh tranh băng thông với các thiết bị khác cũng đang cố gắng truyền thông qua thiết bị Hub đó. Khi hai hay nhiều thiết bị truyền thông ngay tại cùng một thời điểm, sẽ dễ xảy ra xung đột. Vì thế nên dù Hub có tiện lợi, dễ sử dụng nhưng ngày nay, hầu hết các mạng đều sử dụng Switch thay cho Hub.

Các biện pháp phòng chống

Phương pháp lắng nghe thông tin qua Hub khó phát hiện và phòng chống, vì kẻ tấn công chỉ tiến hành lắng nghe trên đường truyền và bắt giữ lại những gói tin mà không có sự tác động đáng kể nào vào hệ thống. Vì thế một trong những cách đơn giản nhất là làm cách nào để các gói tin không còn broadcast nữa, bằng cách sử dụng Switch thay cho Hub. Ngoài ra có thể dùng phương pháp "lấy độc trị độc" là sử dụng chính các công cụ nghe lén để phát hiện mình có bị nghe lén hay không. Các công cụ này ngoài việc thực hiện tác vụ nghe lén, còn có khả năng dò tìm trên mạng nội bộ có máy nào đang nghe lén hay không.

Tấn công MAC

Khái niệm địa chỉ MAC

Địa chỉ MAC (Media Access Control) là kiểu địa chỉ vật lí, đặc trưng cho một thiết bị hoặc một nhóm các thiết bị trong LAN. Địa chỉ này được dùng để nhận diện các thiết bị giúp cho các gói tin lớp 2 có thể đến đúng đích.

Địa chỉ MAC gồm một bộ sáu cặp hai ký tự, cách nhau bằng dấu hai chấm. Ví dụ 00:1B:44:11:3A:B7 là một địa chỉ MAC.

Phương pháp tấn công

Tấn công MAC là kỹ thuật khá phổ biến trong mạng LAN. Mục đích của kỹ thuật này là làm ngập lụt switch với một số lượng lớn yêu cầu. Thoạt nhìn thì thấy đây chỉ là mục đích phá hoại nhưng đối tượng tấn công có thể đi xa hơn khi tận dụng để nghe lén các gói tin của người khác.

Kẻ tấn công phải nằm trong chính mạng LAN đó và sử dụng một ứng dụng phần mềm để tạo thật nhiều frame với địa chỉ MAC giả mạo (MAC spoofing) rồi gửi đến switch. Khi nhận được frame này, switch không phân biệt được đâu là giả đâu là thật và sẽ xem nó như một frame bình thường. Lúc này, switch sẽ cập nhật các địa chỉ MAC mới vào bảng CAM.

Bảng CAM (Content Addressable Memory), cũng có thể gọi là bảng MAC, là nơi lưu trữ các địa chỉ MAC của các port và các tham số VLAN trong switch. Nhờ vào bảng CAM, switch có thể biết được một thiết bị có địa chỉ MAC X đang nằm ở port vật lý nào để còn đẩy frame trả lời về port đó. Kẻ tấn công sẽ đầu độc switch liên tục toàn các địa chỉ MAC giả mạo. Bảng CAM của switch thì có kích thước giới hạn, nên đến một thời điểm nào đó bảng CAM sẽ bị đầy.

Đầu độc switch bằng địa chỉ MAC giả khiến bảng CAM trong sswitch bị đầy.

Khi máy A gửi gói tin đến máy B, nó sẽ tìm trong bảng địa chỉ MAC của nó, coi thử có địa chỉ MAC của máy B hay không, nếu không có máy A sẽ gửi gói tin ARP request đến switch để hỏi địa chỉ MAC của máy B. Máy B lúc này nhận được gói tin sẽ gửi phản hồi lại cho máy A sau đó các gói tin được lưu chuyển từ A đến B mà không chuyển sang các máy khác. Tuy nhiên, lúc này bảng CAM đã bị đầy tràn, các lưu lượng ARP request sẽ làm ngập lụt mỗi cổng của switch. Switch đã bị lụt với các gói tin của các địa chỉ MAC khác nhau và sẽ broadcast lưu lượng mà ko cần thông qua bảng CAM nữa. Đến lúc này thì switch hoạt động không khác gì hub. Kẻ tấn công sẽ sử dụng 1 công cụ Packet Sniffer để thâu tóm các dữ liệu mong muốn.

Switch hoạt động như một hub và lắng nghe được thông tin trong mạng.

Các biện pháp phòng chống

Nguyên lí chung của các phương pháp phòng chống là không để các gói tin có địa chỉ MAC lạ đi qua switch. Phương pháp phòng chống hiệu quả nhất là cấu hình port security trên switch. Đây là một đặc trưng cấu hình cho phép điều khiển việc truy cập vào cổng switch thông qua địa chỉ MAC của thiết bị gắn vào. Khi switch nhận được một gói tin chuyển đến, nó sẽ kiểm tra địa chỉ MAC nguồn của gói tin với danh sách các địa chỉ đã được cấu hình trước đó. Nếu hai địa chỉ này khác nhau thì tuỳ theo sự cấu hình của người quản trị mà switch sẽ xử lí gói tin đến với các mức độ khác nhau.

Các lệnh cấu hình port security:

  • Switch(config-if)# switchport mode access
  • Switch(config-if)# switchport port-security: Cho phép cổng được hoạt động trong chế độ port-security.
  • Mặc định thì cổng chỉ cho phép một địa chỉ MAC (một thiết bị) được gán vào và số địa chỉ có thể nằm trong khoảng từ 1 đến 1024.
  • Switch(config-if)#sw port-security violation shutdown: Nếu vi phạm sẽ tắt cổng, kẻ tấn công sẽ không thể làm tràn bảng CAM

Nguồn : https://anonymousvn.org/series-sniffing-phan-2-cac-hinh-thuc-tan-cong-sniffing-pho-bien.hav/

Bình luận


White
{{ comment.user.name }}
Bỏ hay Hay
{{comment.like_count}}
Male avatar
{{ comment_error }}
Hủy
   

Hiển thị thử

Chỉnh sửa

White

Nguyễn Hợp Quang

11 bài viết.
33 người follow
Kipalog
{{userFollowed ? 'Following' : 'Follow'}}
Cùng một tác giả
White
45 14
Lỗ hổng bảo mật XSS và Bruteforce ở trang Sendo.vn Chào mọi người. Do mấy ngày rảnh rỗi không có gì làm ( Vì hè rồi mà, nên học và làm cũng nhàn ...
Nguyễn Hợp Quang viết 7 tháng trước
45 14
White
7 0
Cross Site Scripting Crosssite scripting (XSS) is a type of computer security vulnerability typically found in web applications. XSS enables atta...
Nguyễn Hợp Quang viết 1 năm trước
7 0
White
6 0
Hiện nay do nhu cầu pentest tăng cao, số lượng tool được viết ra để phục vụ mục đích nghiên cứu ngày càng nhiều. Với kĩ thuật MITM, khi một hacker...
Nguyễn Hợp Quang viết 7 tháng trước
6 0
Bài viết liên quan
White
2 0
Hello mọi người, vừa hôm qua thì mình có viết bài hướng dẫn một số thủ thuật về XSS, các bạn có thể xem lại tại đây (Link) Nay mình giới thiệu ti...
Nguyễn Hợp Quang viết 7 tháng trước
2 0
White
0 0
Mấy ngày nay trên mạng có rộ lên về một cách hack vào macOS bằng file zip. Qua quá trình tìm hiểu thì trong bài viết này mình sẽ hướng dẫn các bạn ...
Nguyễn Hợp Quang viết 6 tháng trước
0 0
White
2 0
CHƯƠNG I: TỔNG QUAN VỀ SNIFFING 1. Định nghĩa Sniffing 1. Khái niệm Sniffing Sniffing là một chương trình lắng nghe trên hệ thống mạng để truyền...
Nguyễn Hợp Quang viết 1 tháng trước
2 0
{{like_count}}

kipalog

{{ comment_count }}

bình luận

{{liked ? "Đã kipalog" : "Kipalog"}}


White
{{userFollowed ? 'Following' : 'Follow'}}
11 bài viết.
33 người follow

 Đầu mục bài viết

Vẫn còn nữa! x

Kipalog vẫn còn rất nhiều bài viết hay và chủ đề thú vị chờ bạn khám phá!