TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN
HỮU NGHỊ
VIỆT HÀN

MÔN AN NINH MẠNG
CHƯƠNG 8 : NGHE LÉN

Nhóm thực hiện : 5
SVTH : Lê Long Bảo
Lớp
: MM03A
GVHD : Lê Tự Thanh


Mục tiêu bài học




Nghe lén là gì
Lỗ hổng các giao thức
Các kiểu tấn công
- Tấn công DHCP
- Tấn công DNS
- Tấn công ARP


Nghe lén (Sniffer)




Dữ liệu được gửi
dưới dạng clear text

Telnet
RLogin
Tổ hợp phím bao
gồm username và
pasword

HTTP

Password và dữ
liệu được gửi dưới
dạng clear text

SMTP

Password và dữ
liệu được gửi dưới
dạng clear text

NNTP

Password và dữ
liệu được gửi dưới
dạng clear text

POP

Password và dữ

địa chỉ MAC khác nhau và
gửi đến switch


Địa chỉ MAC và Bảng CAM



Bảng CAM của switch thì có kích thước giới hạn.
Nó lưu trữ thông tin như địa chỉ MAC address gắn với cổng
tương ứng trên switch cùng với các tham số miền mạng vlan
48Bit Hexadecimal
1258.3582.8DAB
24 bit đầu tiên là mã nhà sản
xuất được gán bởi IEEE

24 bit thứ hai là giao diện đặt
biệt được gán bởi nhà sản xuất

0000.0aXX.XXXX

0000.0aXX.XXXX
Địa chỉ Broadcast
FFFF.FFFF.FFFF


Bảng CAM làm việc như thế nào


Chuyện gì xảy ra khi bảng CAM đầy

thuê tất cả dãy địa chỉ IP cấp phát này.
Đây là kiểu tấn công từ chối dịch vụ bằng cách thuê tất cả địa
chỉ cấp phát của máy chủ DHCP


Tấn công giả mạo DHCP


Kẻ tấn công sẽ giả mạo máy chủ DHCP trên cùng miền mạng
và cung cấp địa chỉ để cấp phát cho user

Bằng cách giả mạo máy chủ DHCP,kẻ
tấn công có thể gửi các thông tin cấu
hình TCP/IP sai
- Default Gate  default gateway
giả mạo
- Địa chỉ IP  IP giả mạo


Ngăn chặn tấn công DHCP
Kích hoạt bảo mật port để ngăn chặn tấn
công tước quyền DHCP

Kích hoạt DHCP Snooping để ngăn chặn giả
mạo DCHP lúc này switch sẽ phân loại
thành cổng tin cậy và không tin cậy


Tấn công giả mạo ARP
Gói tin ARP có thể bị

request được quảng bá ra toàn miền
mạng, lúc này user A chờ phản hồi
từ user B
Switch broadcast ARP
trên đường truyền

Sau khi bắt được gói ARP
Request và ARP Reply,
attacker có thể giả mạo ARP
Reply của user B và gửi đến
user A

User B phản hồi
ARP Reply thật

Kẻ tấn công nghe gói các
gói tin ARP Request và
ARP Reply và giả mạo
mình chính là user hợp
pháp


Mối đe dọa về đầu độc ARP


Giả mạo gói tin ARP giúp kẻ tấn công có thể chuyển hướng
tất cả giao tiếp giữa hai máy, khi đó tất cả lưu lượng được gửi
thông qua máy của kẻ tấn công



Trong kỹ thuật này, bạn phải kết nối đến miền mạng LAN mà
có thể nghe lén được các gói tin
Nó làm việc tốt trong môi trường switches với kiểu đầu độc
ARP


Giả mạo DNS Internet


Với kỹ thuật này kẻ tấn công có thể cài vào máy nạn nhân
con trojan và con này sẽ thay đổi IP DNS của nạn nhân đến
máy kẻ tấn công


Giả mạo Proxy DNS


Kẻ tấn công sẽ gửi trojan đến máy nạn nhân và con này sẽ
thay đổi Proxy server trong trình duyệt internet của nạn nhân


Ngăn chặn giả mạo DNS

Giải quyết tất cả truy vấn DNS đến DNS Server cục bộ
Khóa các truy vấn DNS từ server bên ngoài
Thực hiện DNSSec
Cấu hình DNS Resolv dùng port nguồn ngẫu nhiên từ dãy
port có sẵn cho mỗi truy vấn
Cấu hình tường lửa để hạn chế truy vấn DNS từ bên ngoài
Hạn chế các dịch vụ DNS, cấp quyền user

công giả mạo, đầu độc DNS, để nghe lén trong mạng



Các biện pháp ngăn chặn bao gồm: đặt IP và ARP tĩnh, dùng
phiên mã hóa như SSH thay Telnet, dùng SCP thay cho FTP,
dùng SSL để chuyển dữ liệu