Đề tài Phát hiện và phòng chống nghe trộm trong LAN

Nội dung text: Đề tài Phát hiện và phòng chống nghe trộm trong LAN

1. Đ tài môn Security+ PHÁTHI N VÀ PHÒNGCH NGNGHETR M TRONGLAN Hc viên:Phan Xuân Bách Giáo viên hưng dn:Võ Đ Th ng
2. Nghe tr m (sniff)là gì?
   Sniffer là mt hình th c nghe lén trên h th ng mng,da trên nh ng đc đi m ca cơ ch TCP/IP.
   Sniffer là mt k thu t bo mt,đưc phát tri n nh m giúp đ nh ng nhà Qu n tr mng. ATHENA
3. Sniffdùng đ làm gì?
   Đưc phát tri n đ thu th p các gói tintrong h th ng.
   Mc đích banđu:Giúp nhà qu n tr mng qu n lý tt h th ng.
   Bi n th ca Sniffer là các ch ươ ng trình nghe lén bt hp pháp nh ư:Ch ươ ng trình nghe lén Yahoo,MSN,ăn cp passwordEmailv.v.
   Sniffer ho t đng ch yu da trên ph ươ ng th c tn công ARP ATHENA
4. Đi u ki n sniff?
   Sniffcó th ho t đng trong mng LAN,mng WAN,mng WLAN.
   Đi u ki n cn ch là cùng chung SubnetMark khi Sniffer. ATHENA
5. Có bao nhiêu lo i sniff?
   Activesniff • Ch yu trong môi tr ưng mng s dng SWITCH. • Ho t đng ch yu da trên cơ ch thay đi đưng đi ca dòng d li u.
   Passivesniff • Ch yu trong môi tr ưng mng s dng HUB. • Ho t đng da trên cơ ch broadcast gói tintrong mng. ATHENA
6. Các ph ươ ng pháp thay đi dòng d li u
   Arp poisoning:thay đi thông tinARP.
   MACduplicating:làm switchmt tính năng chuy n mch gói.
   DHCPspoofing:thay đi thông tinca DHCP.
   DNSspoofing:làm phân gi i sai tên mi n
   FaceMAC:gi mo MACca máy khác ATHENA
7. Activesniff?
   HostAvà HostBlà 2Máy tính đang “nói chuy n” vi nhau,HostClà “Sniffer”.
   HostAtrên bng ARPcó lưu đa ch IPvà MACtươ ng ng ca HostB.
   HostBtrên bng ARPcó lưu đa ch IPvà MACtươ ng ng ca HostA
   HostCth c hi n quá trình nghe lén:HostCgi các gói ARPti c HostAvà HostBcó ni dung sau:“ tôi là A,B,MACvà IPca tôi là XX,YY” ATHENA
8. ATHENA
9. ATHENA
10. Passivesniff?
    Xem các gói tintrong mng t HostAquaHost Bthông quaquá trình broadcastgói tintrong mng.
    Nguyên nhân:Domôi tr ưng mng ho t đng không chuy n mch gói tin. ATHENA
11. Activevà Passivesniff?
    Gi ng: • Th a đi u ki n sniff. • Cùng ch c năng sniff.
    Khác: • Active: – Môi tr ưng mng có switch. – Đu đc ARP. • Passive: – Môi tr ưng mng có hub. – Bt gói doquá trình broadcastgói tin. ATHENA
12. Phát hi n sniff?
    Passive: • Khó có kh năng phát hi n,vì bt kỳ hostnào trong mng cũng có th bt đưc gói tin.
    Active: • Da trên quá trình đu đc ARPtrong mng. • Băng thông trong mng. • Dng gói tin. ATHENA
13. Phát hi n activesniff?
    Da trên quá trình đu đc ARP • Vì ph i đu đc arp nên sniffer s ph i liên tc gi các gói arp ti các hostb sniff. • Dođó phát hi n lo i sniffnày nu ta có ch ươ ng trình bt gói s th y sniffer s liên tc gi các gói arp. • Hayta có th ki m tra bng arp trong máy tính.Kh năng b sniffxy ra nu th y có 2hosttrong bng arp có cùng MAC.
    Da trên băng thông • Vì ph i liên tc gi các gói arp ra các hostb sniffnên sniffer s làm gi m băng thông trong mng. • Nh ưng ph ươ ng pháp này cũng khó phát hi n đưc nu sniffer không sniffnhi u hosttrong mng. ATHENA
14. Phòng ch ng passivesniff?
    Thay HUBbng SWITCHđ gói tincó th chuy n mch gói.Lúc này hi n tưng broadcast s không xy ra,các hostcũng s không bt đưc gói tinna. ATHENA
15. Phòng ch ng activesniff?
    Ng ưi qu n tr : • Dùng các công c bt gói đ ki m tra mng. • Dùng các công c ki m tra băng thông. • Dùng thi t b các thi t b có kh năng lc MAC,VLAN trunking,SSL. • Tt đi ch c năng Netbios.
    Ng ưi dùng: • S dng ARPtĩnh. • Mt s công c sniffcó th gi CAcho 1s websitenên ng ưi dùng cn cn th n vi các thông báo t trình duy t. ATHENA
16. ARPstaticmodeinwindow ATHENA
17. Phòng ch ng activesniff?
    Ettercap: • Dùng monitormng. • Phát hi n các NICs đang trong ch đ lng nghe. • Phát hi n các hostđang th c hi n hành đng đu đc mng. • Cô lp máy tính trong mng.
    Các công c khác: • Đa s các công c khác có tính năng cnh báo. ATHENA
18. Ettercap dected sniffer ATHENA
19. Ettercap dected promisc NICs ATHENA