Tìm hiểu chung về phương thức tấn công Sniffer – GiaiphapmangH3T

Khởi đầu Sniffer là tên một sản phẩm của Network Associates có tên là Sniffer Network Analyzer. Tấn công Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng. Các lưu lượng thông tin trên (trong một hệ thống mạng). Tương tự như là thiết bị cho phép nghe lén trên đường dây điện thoại. Chỉ khác nhau ở môi trường là các chương trình Sniffer thực hiện nghe lén trong môi trường mạng máy tính.

Đối tượng Sniffing là:

• Password (từ Email, Web, SMB, FTP, SQL hoặc Telnet)
• Các thông tin về thẻ tín dụng
• Văn bản của Email
• Các tập tin đang di động trên mạng (tập tin Email, FTP hoặc SMB)

Tấn công Sniffer thường được sử dụng vào 2 mục đích khác biệt nhau. Nó có thể là một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình. Cũng như theo hướng tiêu cực nó có thể là một chương trình được cài vài một hệ thống mạng máy tính với mục đích đánh hơi, nghe lén các thông tin trên đoạn mạng này…Dưới đây là một số tính năng của Sniffer được sử dụng theo cả hướng tích cực và tiêu cực :

Tự động chụp các tên người sử dụng (Username) và mật khẩu không được mã hoá (Clear Text Password). Tính năng này thường được các Hacker sử dụng để tấn công hệ thống của bạn.

Chuyển đổi dữ liệu trên đường truyền để những quản trị viên có thể đọc và hiểu được ý nghĩa của những dữ liệu đó. Bằng cách nhìn vào lưu lượng của hệ thống cho phép các quản trị viên có thể phân tích những lỗi đang mắc phải trên hệ thống lưu lượng của mạng.

Sniffing chủ yếu xảy ra ở mặt vật lý. Nghĩa là kẻ tấn công phải tiếp cận. Và có thể điều khiển một thành phần của hệ thống mạng. Chẳng hạn như một máy tính nào đó. Ví dụ kẻ tấn công có thể dùng laptop hoặc PC trong các dịch vụ Internet, các quán café WiFi, trong hệ thống mạng nội bộ doanh nghiệp, v.v… Trường hợp hệ thống máy tính nghe trộm. Và kẻ tấn công ở cách xa nhau. Kẻ tấn công tìm cách điều khiển một máy tính nào đó trong hệ thống. Rồi cài đặt trình nghe lén vào máy đó để thực hiện nghe trộm từ xa

Hiện nay, nghe trộm mạng thực hiện rất dễ dàng. Bởi có quá nhiều công cụ giúp thực hiện như Cain&Abel, Ettercap, Ethereal, Dsniff, TCPdump, Sniffit,… Các công cụ này ngày càng được “tối ưu hóa” để dễ sử dụng. Và tránh bị phát hiện sử được thực thi. So với các kiểu tấn công khác, tấn công dạng Sniffing cực kỳ nguy hiểm. Bởi nó có thể ghi lại toàn bộ thông tin được truyền dẫn trên mạng. Và người sử dụng không biết là đang bị nghe trộm lúc nào. Do máy tính của họ vẫn hoạt động bình thường, không có dấu hiệu bị xâm hại. Điều này dẫn đến việc phát hiện và phòng chống nghe trộm rất khó. Và hầu như chỉ có thể phòng chống trong thế bị động (passive). Nghĩa là chỉ phát hiện được bị nghe trộm khi đang ở tình trạng bị nghe trộm.

• Telnet và Rlogin : ghi lại các thông tin như Password, usernames
• HTTP: Các dữ liệu gởi đi mà không mã hóa
• SMTP : Password và dữ liệu gởi đi không mã hóa
• NNTP : Password và dữ liệu gởi đi không mã hóa
• POP : Password và dữ liệu gởi đi không mã hóa
• FTP : Password và dữ liệu gởi đi không mã hóa
• IMAP : Password và dữ liệu gởi đi không mã hóa

Công nghệ Ethernet được xây dựng trên một nguyên lý chia sẻ. Theo một khái niệm này thì tất cả các máy tính trên một hệ thống mạng cục bộ. Đều có thể chia sẻ đường truyền của hệ thống mạng đó. Hiểu một cách khác tất cả các máy tính đó. Đều có khả năng nhìn thấy lưu lượng dữ liệu. Được truyền trên đường truyền chung đó. Như vậy phần cứng Ethernet được xây dựng với tính năng lọc. Và bỏ qua tất cả những dữ liệu không thuộc đường truyền chung với nó.

Nó thực hiện được điều này trên nguyên lý. Bỏ qua tất cả những Frame có địa chỉ MAC không hợp lệ đối với nó. Khi Sniffer được tắt tính năng lọc này. Và sử dụng chế độ hỗn tạp (promiscuous mode). Nó có thể nhìn thấy tất cả lưu lượng thông tin từ máy B đến máy C. Hay bất cứ lưu lượng thông tin giữa bất kỳ máy nào trên hệ thống mạng. Miễn là chúng cùng nằm trên một hệ thống mạng.