Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 28-10-2009, 08:43 AM   #1
hoctinhoc
Guest
 
Trả Lời: n/a
Nghe trộm trên mạng và phòng tránh!


Nghe trộm trên mạng và phòng tránh





Nghe trộm hay nghe lén trên mạng (sniffer) là một phần của kỹ thuật tấn công Man In The Middle (kẻ đứng giữa) trong thế giới bảo mật máy tính. Đây là kỹ thuật tấn công phổ biến, nguy hiểm và khó phòng chống bậc nhất hiện nay. Theo đúng như tên gọi, kỹ thuật này không tấn công trực diện vào các máy khách hay máy chủ, mà nó nhằm vào đoạn truyền dữ liệu thông qua cable hay tín hiệu vô tuyến giữa các máy, đặc biệt nhất là trên mạng Ethernet.


Khởi thủy, sniffer được các quản trị viên dùng theo dõi, chuẩn đoán, phát hiện các sự cố nhằm giúp cải thiện hoạt động hệ thống mạng. Về sau nó bị biến tướng, trở thành công cụ đắc lực phục vụ mục đích thu thập trái phép các thông tin nhạy cảm, tên tài khoản, mật khẩu, credit card, v.v… Nói cách khác là có khả năng lấy được mọi thông của người dùng khi chúng được luân chuyển trên mạng.
Nhìn chung, sniffer chỉ xảy ra ở mặt vật lý, nghĩa là kẻ tấn công phải tiếp cận được với hệ thống thì mới thực thi được. Ví dụ trong các điểm dịch vụ Internet, các quán café WiFi, trong hệ thống LAN doanh nghiệp, v.v… mà chỉ cần một máy tính trong mạng bị cài đặt trình nghe lén, tất cả luồng thông tin truyền dẫn qua mạng đó đều có thể bị ghi lại. Trường hợp hệ thống máy tính nghe trộm và kẻ tấn công ở cách xa nhau, kẻ tấn công tìm cách điều khiển một máy tính nào đó trong hệ thống rồi cài đặt trình nghe lén vào máy đó để thực hiện nghe trộm từ xa.

Hiện nay, nghe trộm mạng thực hiện rất dễ dàng, bởi có quá nhiều công cụ giúp thực hiện như Ettercap, Ethereal, dsniff, TCPdump, Sniffit,... Các công cụ này ngày càng được “tối ưu hóa” để dễ sử dụng và tránh bị phát hiện sử được thực thi. So với các kiểu tấn công khác, tấn công dạng Sniffer cực kỳ nguy hiểm, bởi nó có thể ghi lại toàn bộ thông tin được lưu chuyển qua card mạng của các máy, và bản thân người sử dụng không biết là đang bị nghe trộm lúc nào do máy tính của họ vẫn hoạt động bình thường, không có dấu hiệu bị xâm nhập hay phá hoại. Chính điều đó dẫn đến việc phát hiện và phòng chống nghe trộm rất khó, và hầu như chỉ có thể phòng chống trong thế bị động (passive) - nghĩa là chỉ phát hiện được bị nghe trộm khi đang ở tình trạng bị nghe trộm.

Dưới đây là một số biện pháp phòng chống tổng hợp:

- Thay thế thiết bị tập trung Hub bằng Switch, và giám sát chặt chẽ sự thay đổi địa chỉ MAC (Media Access Control) của card mạng

- Áp dụng cơ chế one-time password – thay đổi password liên tục

- Mã hóa dữ liệu truyền dẫn bằng các cơ chế truyền thông dữ liệu an toàn SSL (Secure Sockets Layer), thiết lập IPSec và mạng riêng ảo VNP (Virtual Private Network),… Hạn chế hay thay thế các chương trình không chức năng mã hóa dữ liệu hay mã hóa mật khẩu, như: sử dụng SSH (Secure Shell Host) thay cho Telnet, Rlogin; dùng SFTP (secure FTP) thay vì FTP; dùng Trillian (http://trillian.cc) hay Jabber (http://jabber.org) làm chương trình chat; dùng giao thức https thay cho http v.v…

- Sử dụng các phần mềm phát hiện sự hoạt động của các chương trình nghe lén trên mạng như AntiSniff, PromiScan, Promqry and PromqryUI, ARPwatch, Ettercap, v.v…

Riêng với Ettercap (http://ettercap.sourceforge.net), chương trình này vừa dùng để nghe trộm, nhưng cũng vừa có khả năng phát hiện nghe trộm nhờ được hỗ trợ các plugin như arp_cop (phát hiện trạng thái ARP posioning); find_ettercap (phát hiện các trình ettercap khác đang chạy); scan_poisoner (phát hiện máy đang thực hiện posioning); seach_promisc (phát hiện máy đang nghe trộm ở chế độ “hỗn tạp”),…

- Dùng các chương trình giám sát hoạt động của mạng. Thiết lập hệ thống phát hiện xâm nhập IDS (Intrution Detection System) như trình miễn phí Snort (http://www.snort.org) nhằm phát hiện những hiện tượng lạ trong mạng, trong đó có ARP spoofing, để có biện pháp đối phó thích hợp

Trong số giải pháp trên, sử dụng phần mềm phát hiện nghe trộm và mã hóa dữ liệu để chống là giải pháp nhanh và thuận tiện nhất đối với người dùng cuối. Tuy nhiên hạn chế lớn của các chương trình này là cũng chỉ phát hiện được sau khi đã bị nghe lén – phát hiện trong thế bị động, vì đa phần các chương trình chống đều dựa vào việc phát hiện tình trạng Promiscuous (hỗn độn) và ARP spoofing để cảnh báo tình trạng bị nghe trộm.

Đối với hệ thống mạng công ty, cách bảo vệ tốt nhất là ngăn chặn, phòng ngừa ngay từ đầu bằng cách xây dựng Chính sách bảo mật mạng (Network Security Policy). Trong đó có những chính sách quản lý truy xuất, quản lý bảo vệ vật lý hệ thống mạng với những quy định như: ai được phép tiếp xúc với các máy; được phép sử dụng máy; được phép gắn thêm máy; được phép cài đặt những loại chương trình nào, v.v… nhằm hạn chế đến mức tối đa khả năng xâm nhập về mặt vật lý đế cài đặt các chương trình nghe lén trong mạng. Không có giải pháp hoàn hảo để chống nghe trộm, đề phòng trước khi đã rồi xem ra là giải pháp khả thi nhất!



Download Sniff-Phuong phap phong chong

Trích dẫn:

Sniff-phuong phap phong chong
Suu tap


  Trả lời ngay kèm theo trích dẫn này
Gửi trả lời



Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 03:17 AM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.