chào các bạn, sắp tới ngoài những bài viết cơ bản, bên mình sẽ cố gắng tập trung vào những series bài viết về cac kiến thứn ơnd ượnd ượ ượ n đ n đ n đ n đ n đ n đ n đ n đ n ượ n đ n đ n đ n đ n đ n đ n ượ ượ đ n. giản nhất. chính vì vậy, bọn mình đã chọn sniffing làm chủ đề đầu tiên để viết. toàn bộ series bài viết này ược một bạn đang học vềi tại kma chia sẻ, mình sẽ ể ể ể ể ể ể ể ể ể ể ể ể ể ể ể ể ể ể
chƯƠng i: tỔng quan vỀ sniff
-
Định nghĩa sniffing
-
khái niệm sniffing
sniff là một chương trình lắng nghe trên hệ thống mạng để truyền dữ liệu. smell cho phép các cá nhân nắm bắt dữ liệu khi nó truyền qua mạng. Kỹ Thuật Này ượC Sử DụNG BởI Cáá Chuyên Gia Mạng ể Chuẩn đoán Các sự cố mạng và bởi những users Có ýnh xấu ể Thu Thập dữ liệu không ược mar, nhon. nếu thông tin này được ghi lại trong quá trình người dùng có thể truy cập vào hệ thống hoặc mạng.
khởi đầu sniffer là tên một sản phầm của network partners có tên là sniffer analyzer.
những dữ liệu mà sniffing chụp được là những dữ liệu ở dạng nhị phân (binary). vậy ể ể nghe lén và hiểu ược những dữ liệu ở Dạng nhị phân này, cc chương trìnhnh sniffing pHải có tynh năng ược biết như là sựn tích các giaoc (thyc (n. chung.
Đối tượng smelling là:
-
password (từ email, web, smb, ftp, sql hoặc telnet)
-
các thông tin về thẻ tín dụng
-
văn bản của email
-
các tập tin đang di động trên mạng (tập tin email, ftp hoặc smb)
- mục đích sử dụng
- tích cực:
-
chuyển đổi dữ liệu trên đường truyền để quản trị viên có thể đọc va hiểu ý nghĩa của những dữ.
-
một số sniffing tân tiến có thêm tính năng tự ộng phát hiện và cảnh báo các cuộc tấn công đang ược thực hiện vào hệ thống mạng mà nó đang ột ột ột ột ột ột ột ột ột ột ột ột ột (intrusion detection service)
In việc phân tích, khắc phục các sự cố trên hệ thống mạng.
- tiêu cực:
- nghe lén thông tin trên mạng để lấy các thông tin quan trọng.
- các giao thức có thể sử dụng sniff
-
telnet và rlogin: ghi lại các thông tin như password, usernames
-
http (hypertext transfer protocol): các dữ liệu gửi đi không mã hóa
-
smtp, nntp, pop, ftp, imap: password và dữ liệu gửi đi không mã hóa.
- phương thức hoạt động to sniff
-
phân loại sniffing:
- active
-
- passive:
- các hình thức tấn công
-
lắng nghe thông tin qua hub
-
tấn công mac
-
tấn công dhcp
-
chặn bắt thông tin dùng arp- poisoning
-
chặn bắt thông tin dùng dns-spoofing
-
vlan hopping
<p hơn về sniff.
như đã nói ở trên, mình để lại link facebook của tác giả series này, mọi người đều có thể kết bạn làm quen với nhau :
tác giả: hoàng sơn hà
chúc các bạn học tốt
nguồn bài viết: https://anonymousvn.org/series-sniffing-phan-1-tong-quan-ve-sniffing.hav/
chủ yếu hoạt động trong môi trường không có các thiết bị chuyển mạch gói, phổ biến hiện nay là các dạng mạng sử dụng hub. do không có các thiết bị chuyển mạch gói nên các gói tin được broadcast đi trong mạng. chính vì vậy, việc thực hiện smelling là khá đơn giản. kẻ tấn công không cần gửi ra gói tin giả mạo nào, chỉ cần bắt các gói tin từ port về (dù host nhận gói tin không phải là nơi đếón c). hình thức sniffing này rất khó phát hiện do các máy tự broadcast các gói tin. ngày no hình thức này thường ít được sử dụng do hub không còn được ưa chuộng nhiều, thay vao đó là switch.
sniffing là hình thức nghe lén thông tin trên mạng nhằm khai thác hiệu quả hơn tài nguyên mạng, theo dõi thông tin bất hợp pháp. tuy nhiên, sau này các hacker dùng sniffing để lấy các thông tin nhạy cảm, do đó cũng có thể coi đó là 1 hình thức hack. có khá nhiều các phương pháp để thực hiện sniff, dù là tấn công chủ động hay bị động. bài báo cáo sẽ nói cụ thể về 6 phương pháp tấn công sniff:
chủ yếu hoạt động trong môi trường có các thiết bị chuyển mạch gói, phổ biến hiện nay là các dạng mạch sử dụng switch. kẻ tấn công thực hiện sniffing dựa trên cơ chế arp và rarp (2 cơ chế chuyển ổi từ ip sang mac và từ mac blood ip ip) bằng cach phat đi các gói tin ầu ộc, mà cụ thể ở ở đ đ ở báo cho máy gửi gói tin là “tôi là người nhận” mặc không phải là “người nhận”. Ngoài ra, Các Sniffer của minh. tuy nhiên, do gói tin phải gửi đi nên sẽ chiếm băng thông. nếu thực hiện sniffing qua nhiều Máy trong mạng thì lượng gói tin gửi đi sẽ rất lớn (do líên tục gửi đi các gói tin tin giả mạo) có thể dẫn ếnn nGhẽn mạng.
công nghệ ethernet được xây dựng trên một nguyên lý chia sẻ. theo một khái niệm này thì tất cả các máy tính trên hệ thống mạng cục bộ đều có thể chia sẻ đường truyền của hệ thỡng mó. hiểu một cách khác tất cả các máy tính đều có khả năng nhìn thấy lưu lượng dữ liệu được truyền của hệ thống mạng. như vậy phần cứng ethernet được xây dựng với tính năng lọc và bỏ qua tất cả những dữ liệu không thuộc đường truyền chung v.
nó thực hiện được điều này trên nguyên lý bỏ qua tất cả những frame có địa chỉ mac không hợp lệ đối với nó. khi sniffing được tắt tính năng lọc này và sử dụng chế độ hỗn tạp (promiscuous mode). nó có thể nhìn thấy tất cả lưu lượng thông tin từ máy b đến máy c, hay bất cứ lưu lượng thông tin giữa bất kỳ máy nàtho ng m. miễn là chúng cùng nằm trên một hệ thống mạng.
trong môi trường hub: một khung gói tin khi chuyển từ máy a sang máy b thì đồng thời nó gửi đến tất cả các máy khác đang kết nối cùcast nối hub cùcast loan (hub bối cùcast cùmong). các máy khác nhận được gói tin này sẽ tiến hành so sánh yêu cầu về địa chỉ mac của frame gói tin với địa chỉ đích. nếu trùng lập thì sẽ nhận, with không thì cho qua. do gói tin từ a được gửi đến b nên khi so sánh thì chỉ có b mới giống địa chỉ đích đến nên chỉ có b mới thực hiếp.<p tạp (promiscuous mode). promiscuous way là chế độ đặc biệt. card khi mạng được đặt dưới chế độ này, nó có thể nhận tất cả các gói tin mà không bị ràng buộc kiểm tra địa chỉ đích
Trong Môi Trường Switch: Khac Với Hub, Switch Chỉ Chuyển Tải Các Gói Tin ến NHữNG ịA CHỉNG XAC ịNH TRONG BảNG CHUYểN MạCH NGHE TRộM KIểU “Tự NHậN” NHưN ởNG ởNG ởNG ở tuy nhiên, kẻ tấn công có thể dùng các cơ chế khác để tấn công trong môi trường switch như arp spoofing, mac spoofing, mac duplicating, dns spoofing, vv…
sniff thường được sử dụng vào 2 mục đích khác biệt nhau.
-
