Select Page

Hacking 13 – Kỹ thuật Sniffing trong Hacking

Hacking 13 – Kỹ thuật Sniffing trong Hacking

Kỹ thuật Sniffing là quá trình theo dõi và bắt giữ tất cả các gói đi qua một mạng nhất định bằng các công cụ Sniffing. Nó là một hình thức của “khai thác điện thoại dây” và nhận biết về cuộc trò chuyện. Nó cũng được gọi là nghe lén khi áp dụng cho các mạng máy tính.

Có rất nhiều nguy cơ nếu mạng của doanh nghiệp bị mở nhiều cổng, thì một nhân viên của họ có thể nghe lén toàn bộ gói tin trong mạng. Bất cứ ai ở cùng vị trí đó đều có thể cấm dây vào mạng bằng cáp Ethernet hoặc kết nối không dây với mạng đó và nghe lén tổng lưu lượng dữ liệu truyền qua lại.

Nói cách khác, Sniffing cho phép bạn xem tất cả các loại lưu lượng, cả được bảo vệ và không được bảo vệ. Trong điều kiện phù hợp và với các giao thức phù hợp, bên tấn công có thể thu thập thông tin được sử dụng cho các cuộc tấn công tiếp theo hoặc gây ra các vấn đề khác cho chủ sở hữu mạng hoặc hệ thống.

Có thể dùng kỹ thuật Sniffing để được lấy dữ liệu gì?

Chúng ta có thể Sniffing các dữ liệu sau từ một mạng:

  • Lưu lượng Email.
  • Mật khẩu FPT.
  • Lưu lượng duyệt web.
  • Mật khẩu Telnet.
  • Cấu hình Router.
  • Các phiên chat.
  • Lưu lượng DNS.

Kỹ thuật Sniffing hoạt động như thế nào?

Một Sniffer sẽ chạy NIC của hệ thống sang chế độ Promiscuous để nghe lén tất cả dữ liệu được truyền trên phân đoạn của nó.

Chế độ Promiscuous liên quan đến cách thức duy nhất của phần cứng Ethernet, đặc biệt là giao diện mạng (NIC), một NIC cho phép nhận tất cả lưu lượng truy cập trên mạng, ngay cả khi nó không được gửi đến NIC. Theo mặc định, một NIC bỏ qua tất cả lưu lượng không được gửi đến nó, điều này được thực hiện bằng cách si sánh địa chỉ đích của gói Ethernet với địa chỉ phần cứng (như MAC) của thiết bị. Mặc dù điều này có ý nghĩa tốt cho việc kết nối mạng, chế độ Promiscuous gây khó khăn cho việc sử dụng phần mềm giám sát và phân tích mạng để chuẩn đoán các vấn đề về kết nối hoặc thống kê lưu lượng.

Một chương trình Sniffer có thể liên tục theo dõi tất cả lưu lượng truy cập vào máy tính thông qua NIC bằng cách giải mã thông tin được gói gọn trong các gói dữ liệu.

Các phương pháp Sniffing

Sniffing có thể dùng phương pháp Chủ động hoặc Bị động.

Sniffing thụ động

Trong việc Sniffing thụ động, traffic bị khóa nhưng nó không bị thay đổi. Sniffing thụ động chỉ cho phép nghe. Nó hoạt động với các thiết bị Hub. Trên một thiết bị trung tâm, lưu lượng được gửi đến tất cả các cổng. Trong một mạng sử dụng các Hub để kết nối các hệ thống, tất cả các máy chủ trên mạng có thể thấy lưu lượng sử dụng. Do đó, một kẻ tấn công có thể dễ dàng nắm bắt lưu lượng đi qua.

Hiện tại các Hub dường như đã lỗi thời. Hầu hết các mạng hiện đại sử dụng thiết bị switches. Do đó, việc Sniffing thụ động đã không còn hiệu quả.

Sniffing chủ động

Khi Sniffing chủ động, traffic không chỉ bị khóa và theo dõi, mà còn bị thay đổi theo một cách nào được xác định bởi cuộc tấn công. Hoạt động sniffing chủ động sử dụng đánh hơi dựa trên mạng switch. Nó liên quan đến việc tiêm vào các gói phân giải địa chỉ (Address Resolution Packets – ARP) vào mạng đích để tràn vào bảng bộ nhớ địa chỉ nội dung chuyển đổi (Content Addressble Memory – CAM). CAM theo dõi máy chủ được kết nối với cổng.

Kỹ thuật Sniffing chủ động để làm gì?

  •     MAC Flooding
  •     DHCP Attacks
  •     DNS Poisoning
  •     Spoofing Attacks
  •     ARP Poisoning

Các giao thức bị ảnh hưởng

Các giao thức TCP/IP thực sự đã không được thiết kế bảo mật và cung cấp các khả năng chống lại những kẻ xâm nhập tiềm năng. Một số quy tắc để giúp bạn thực hiện kỹ thuật Sniffing dễ dàng.

  • HTTP – Nó được sử dụng để gửi thông tin văn bản mà không có sự mã hóa nào và do đó nó là một mục tiêu thực sự.
  • SMTP (Simple Mail Transfer Protocol) – Về cơ bản, SMTP được sử dụng trong việc chuyển email. Giao thức này hiệu quả, nhưng nó không bao gồm sự bảo vệ chống lại việc sniffing.
  • NNTP (Network News Transfer Protocol) – Nó được sử dụng cho tất cả các loại thông tin liên lạc, nhưng dược điểm chính của nó là dữ liệu và thậm chí mật khẩu được gửi qua mạng dưới dạng văn bản rõ ràng.
  • POP (Post Office Protocol) – POP được sử dụng để nhận email từ các máy chủ. Giao thức này không bao gồm sự bảo vệ chống lại việc sniffing vì nó có thể bị bẫy.
  • FTP (File Transfer Protocol) – FTP được sử dụng để gửi và nhận các tập tin, nhưng nó không cung cấp bất kỳ tính năng bảo mật nào. Tất cả các dữ liệu được gửi dưới dạng văn bản rõ ràng có thể dễ dàng bị Sniffing.
  • IMAP (Internet Message Access Protocol) – IMAP cũng giống như SMTP trong các chức năng của nó, nhưng nó rất dễ bị Sniffing.
  • Telnet – Telnet gửi mọi thứ (tên người dùng, mật khẩu, tổ hợp phím) qua mạng lưới dạng văn bản rõ ràng và do đó, nó có thể dễ dàng bị Sniffing.

Nghe lén không chỉ là tiện ích cho phép bạn xem lưu lượng truy cập trực tiếp. Nếu bạn thực sự muốn phân tích từng gói tin, hãy lưu giữ và xem lại bất cứ khi nào có thời gian.

Thiết bị phân tích giao thức

Trước khi chúng ta đi sâu chi tiết hơn về Sniffing, điều quan trọng là chúng ta thảo luận về phân tích giao thức phần cứng. Các thiết bị này được cắm vào mạng ở cấp độ phần cứng và có thể giám sát lưu lượng mà không cần thao tác nhiều.

  • Thiết bị này được sử dụng để giám sát và xác định lưu lượng mạng độc hại được tạo ra bởi ứng dụng hacking bị cài trong hệ thống.
  • Nó nắm bắt một gói dữ liệu, giải mã nó và phân tích nội dung của nó theo các quy tắc nhất định.
  • Thiết bị này cho phép kẻ tấn công nhìn thấy các byte dữ liệu riêng lẻ của mỗi gói đi qua cáp.

About The Author

Pao Pevil

Cuộc sống này đối với tôi là màu đen tối vô tận. Đen tối đó che chở, bảo vệ và tôi tôn thờ nó. Ánh sáng có thể cho chúng ta sự sống, nhưng đêm tối mới cho chúng ta sự vĩnh hằng. Máu thịt tôi là Quỷ dữ, tôi muốn sống với cội gốc của mình. Linh hồn tôi là Bóng tối, tôi muốn là chính tôi.

Leave a Reply

Recommend

Subscribe

Nhận bài viết, thông tin mới qua Email bằng cách nhập Email của bạn vào ô dưới.

Join 12 other subscribers

Recent Tweets