25/5/2011, 20:13
Bài viết về chủ đề này có rất nhiều ở trên mạng, và chắc hẳn trong chúng
ta ít nhiều gì cũng nghe nói về cái này. Vậy Sniffer là gì?
Sniffer
là kỹ thuật được sử dụng để bắt dữ liệu thô trên đang lưu chuyển trên
đường dây, các admin quản trị hệ thống có thể ứng dụng nó để tìm hiểu kỹ
hơn về cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái gì đang
sử dụng băng thông, chỉ ra những thời điểm mà việc sử dụng mạng đạt cao
điểm, chỉ ra các khả năng tấn công và các hành vi phá hoại, và tìm ra
các ứng dụng không được bảo mật để quản trị hệ thống được tốt hơn.
Nguyên lý làm việc của Sniffer là kỹ thuật ARP Cache Poisoning (đầu độc ARP):
Như
ta đã biết ở mô hình 7 lớp OSI, các máy tính và thiết bị trong một mạng
liên lạc với nhau thông qua địa chỉ IP. Và Switch có nhiệm vụ phiên
dịch địa chỉ MAC sang địa chỉ IP và ngược lại. Quá trình phiên dịch được
thực hiện thông qua giao thức của tầng Network là ARP (Address
Resolution Protocol). Khi máy tính A gởi dữ liệu cho máy tính B, thì nó
sẽ gởi 1 request ARP đến Switch mà nó kết nối. Ban đầu, Switch sẽ gởi 1
gói tin ARP broadcast tới tất cả các cổng, khi máy B nhận được gói tin
này nó sẽ trả về địa chỉ MAC của nó và Switch sẽ lưu vào MAC Address
Table và định tuyến được kết nối giữa máy A và máy B.
Như vậy,
bằng cách nào đó ta sẽ gởi 1 gói tin ARP với địa chỉ MAC giả tạo tới
Switch nhằm đánh lừa Switch và tiến hành bắt các gói tin.
Nói nôm
na cho dễ hiểu là: máy A muốn send 1 gói tin đến máy B, gói tin được
truyền từ máy A đến Switch để Switch truyền đến máy B. Hacker ngồi ở máy
C la lên rằng tao là B nè nhằm đánh lừa Switch để nhận gói tin, sau đó
gởi chuyển tiếp cho máy B. Anh em có thể tìm hiểu kỹ hơn tại đây.
Hacker có thể lợi dụng kỹ thuật này để thực hiện Sniffer các loại thông tin mà họ muốn.
Có
rất nhiều tool để thực hiện công việc Sniffer như: Cain & Abel ,
Ethereal , EtherPeek, EffeTechHTTP Sniffer, Switch Sniffer, .v.v.
Ở
bài viết này, tôi sẽ sử dụng 2 máy: 1 máy XP làm Attacker
(192.168.1.100), 1 máy 2K3 làm victim (192.168.1.101), 1 Router ADSL
Zyxel (192.168.1.1) và 1 Switch. Công cụ Cain & Abel để tiến hành
get password khi victim login vào mail.
Sau khi download phiên
bản mới nhất về, ta tiến hành cài đặt công cụ Cain & Abel. Quá trình
cài đặt như ta cài đặt một phần mềm thông thường, cứ Next và Finish
nhé. Lưu ý là trong quá trình cài đặt, chương trình sẽ yêu cầu cài gói
phần mềm hỗ trợ WinPcap, ta chọn Install và cài đặt luôn nhé.
Để tiến hành bắt gói tin, ta làm theo các bước sau đây:
B1: Khởi động Cain & Abel lên nào. Giao diện của chương trình như sau:
B2:
Ta chuyển sang tab Sniffer >> Chọn Configure >> Chọn Card
mạng giao tiếp với hệ thống mạng để tiến hành nghe lén. >> Apply
>> OK
B3: Chọn Start Sniffer
B4: Chọn Add to List (+). Ở đây, ta để mặc định luôn nhé. >> OK
B5: Chương trình sẽ liệt kê ra các máy có trong hệ thống mạng.
B6:
Ta chuyển sang tab ARP. Ta click chọn vào bảng 1 cái để nút Add to List
(+) sáng lên. Chọn Add to List (+) >> Chọn địa chỉ Router để
sniff >> Chọn các máy ta muốn sniffer >> OK
B7: Chọn Start ARP. Vậy là quá trình nghe lén của ta bắt đầu. Bây giờ, ta chỉ việc ngồi đợi victim login vào Yahoo là dính chấu.
Giả sử victim truy cập vào [You must be registered and logged in to see this link.] và đăng nhập thành công.
B8: Ta quan sát quá trình Sniffer của tool nào
B9: Chuyển sang tab Password. Chọn HTTP >> Xem kết quả nhé. Password login Yahoo Mail của victim đã bị ta dớt rồi đó.
Trên
đây, tôi chỉ khái quát sơ để anh em hiểu rõ hơn về kỹ thuật Sniffer,
anh em có thể tự tìm hiểu và khai thác thêm về các chức năng khác nhé.
Tìm hiểu là để mở mang kiến thức, chứ không phải tìm hiểu để phá. Anh em tùy mục đích mà sử dụng nhé!
ta ít nhiều gì cũng nghe nói về cái này. Vậy Sniffer là gì?
Sniffer
là kỹ thuật được sử dụng để bắt dữ liệu thô trên đang lưu chuyển trên
đường dây, các admin quản trị hệ thống có thể ứng dụng nó để tìm hiểu kỹ
hơn về cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái gì đang
sử dụng băng thông, chỉ ra những thời điểm mà việc sử dụng mạng đạt cao
điểm, chỉ ra các khả năng tấn công và các hành vi phá hoại, và tìm ra
các ứng dụng không được bảo mật để quản trị hệ thống được tốt hơn.
Nguyên lý làm việc của Sniffer là kỹ thuật ARP Cache Poisoning (đầu độc ARP):
Như
ta đã biết ở mô hình 7 lớp OSI, các máy tính và thiết bị trong một mạng
liên lạc với nhau thông qua địa chỉ IP. Và Switch có nhiệm vụ phiên
dịch địa chỉ MAC sang địa chỉ IP và ngược lại. Quá trình phiên dịch được
thực hiện thông qua giao thức của tầng Network là ARP (Address
Resolution Protocol). Khi máy tính A gởi dữ liệu cho máy tính B, thì nó
sẽ gởi 1 request ARP đến Switch mà nó kết nối. Ban đầu, Switch sẽ gởi 1
gói tin ARP broadcast tới tất cả các cổng, khi máy B nhận được gói tin
này nó sẽ trả về địa chỉ MAC của nó và Switch sẽ lưu vào MAC Address
Table và định tuyến được kết nối giữa máy A và máy B.
Như vậy,
bằng cách nào đó ta sẽ gởi 1 gói tin ARP với địa chỉ MAC giả tạo tới
Switch nhằm đánh lừa Switch và tiến hành bắt các gói tin.
Nói nôm
na cho dễ hiểu là: máy A muốn send 1 gói tin đến máy B, gói tin được
truyền từ máy A đến Switch để Switch truyền đến máy B. Hacker ngồi ở máy
C la lên rằng tao là B nè nhằm đánh lừa Switch để nhận gói tin, sau đó
gởi chuyển tiếp cho máy B. Anh em có thể tìm hiểu kỹ hơn tại đây.
Hacker có thể lợi dụng kỹ thuật này để thực hiện Sniffer các loại thông tin mà họ muốn.
Có
rất nhiều tool để thực hiện công việc Sniffer như: Cain & Abel ,
Ethereal , EtherPeek, EffeTechHTTP Sniffer, Switch Sniffer, .v.v.
Ở
bài viết này, tôi sẽ sử dụng 2 máy: 1 máy XP làm Attacker
(192.168.1.100), 1 máy 2K3 làm victim (192.168.1.101), 1 Router ADSL
Zyxel (192.168.1.1) và 1 Switch. Công cụ Cain & Abel để tiến hành
get password khi victim login vào mail.
Sau khi download phiên
bản mới nhất về, ta tiến hành cài đặt công cụ Cain & Abel. Quá trình
cài đặt như ta cài đặt một phần mềm thông thường, cứ Next và Finish
nhé. Lưu ý là trong quá trình cài đặt, chương trình sẽ yêu cầu cài gói
phần mềm hỗ trợ WinPcap, ta chọn Install và cài đặt luôn nhé.
Để tiến hành bắt gói tin, ta làm theo các bước sau đây:
B1: Khởi động Cain & Abel lên nào. Giao diện của chương trình như sau:
B2:
Ta chuyển sang tab Sniffer >> Chọn Configure >> Chọn Card
mạng giao tiếp với hệ thống mạng để tiến hành nghe lén. >> Apply
>> OK
B3: Chọn Start Sniffer
B4: Chọn Add to List (+). Ở đây, ta để mặc định luôn nhé. >> OK
B5: Chương trình sẽ liệt kê ra các máy có trong hệ thống mạng.
B6:
Ta chuyển sang tab ARP. Ta click chọn vào bảng 1 cái để nút Add to List
(+) sáng lên. Chọn Add to List (+) >> Chọn địa chỉ Router để
sniff >> Chọn các máy ta muốn sniffer >> OK
B7: Chọn Start ARP. Vậy là quá trình nghe lén của ta bắt đầu. Bây giờ, ta chỉ việc ngồi đợi victim login vào Yahoo là dính chấu.
Giả sử victim truy cập vào [You must be registered and logged in to see this link.] và đăng nhập thành công.
B8: Ta quan sát quá trình Sniffer của tool nào
B9: Chuyển sang tab Password. Chọn HTTP >> Xem kết quả nhé. Password login Yahoo Mail của victim đã bị ta dớt rồi đó.
Trên
đây, tôi chỉ khái quát sơ để anh em hiểu rõ hơn về kỹ thuật Sniffer,
anh em có thể tự tìm hiểu và khai thác thêm về các chức năng khác nhé.
Tìm hiểu là để mở mang kiến thức, chứ không phải tìm hiểu để phá. Anh em tùy mục đích mà sử dụng nhé!