1. Sniffing là gì
Nghe lén (Sniffing) được hiểu đơn giản là một chương trình cố gắng nghe ngóng các lưu lượng thông tin trên một hệ thống mạng. Là một tiến trình cho phép giám sát cuộc gọi và hội thoại internet bởi thành phần thứ ba.
Người nghe lén để thiết bị lắng nghe giữa mạng mang thông tin như hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet. Nghe lén được sử dụng như công cụ để các nhà quản trị mạng theo dõi và bảo trì hệ thống mạng. Về mặt tiêu cực, nó được sử dụng như một công cụ với mục đích nghe lén các thông tin trên mạng để lấy các thông tin quan trọng.
Nghe lén dựa vào phương thức tấn công ARP để bắt các gói thông tin được truyền qua mạng. Tuy nhiên những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân. Bởi vậy để hiểu được những dữ liệu ở dạng nhị phân này, các chương trình nghe lén phải có tính năng phân tích các nghi thức, cũng như tính năng giải mã các dữ liệu ở dạng nhị phân để hiểu được chúng.
2. Cơ chế hoạt động chung của Sniffing
Nghe lén (Sniffing) được hiểu đơn giản là một chương trình cố gắng nghe ngóng các lưu lượng thông tin trên một hệ thống mạng. Là một tiến trình cho phép giám sát cuộc gọi và hội thoại internet bởi thành phần thứ ba.
Người nghe lén để thiết bị lắng nghe giữa mạng mang thông tin như hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet. Nghe lén được sử dụng như công cụ để các nhà quản trị mạng theo dõi và bảo trì hệ thống mạng. Về mặt tiêu cực, nó được sử dụng như một công cụ với mục đích nghe lén các thông tin trên mạng để lấy các thông tin quan trọng.
Nghe lén dựa vào phương thức tấn công ARP để bắt các gói thông tin được truyền qua mạng. Tuy nhiên những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân. Bởi vậy để hiểu được những dữ liệu ở dạng nhị phân này, các chương trình nghe lén phải có tính năng phân tích các nghi thức, cũng như tính năng giải mã các dữ liệu ở dạng nhị phân để hiểu được chúng.
2. Cơ chế hoạt động chung của Sniffing
Để hiểu cơ chế hoạt động thì cần hiểu được nguyên tắc chuyển tải các khung (frame) của lớp Datalink từ các gói tin ở lớp Network trong mô hình OSI. Cụ thể là qua hai loại thiết bị tập trung các node mạng sử dụng phổ biến hiện nay là Hub và Switch.
* Ở môi trường Hub: Một khung gói tin khi chuyển từ máy A sang máy B thì đồng thời nó gửi đến tất cả các máy khác đang kết nối cùng Hub theo cơ chế loan tin (broadcast). Các máy khác nhận được gói tin này sẽ tiến hành so sánh yêu cầu về địa chỉ MAC của frame gói tin với địa chỉ đích. Nếu trùng lập thì sẽ nhận, còn không thì cho qua. Do gói tin từ A được gửi đến B nên khi so sánh thì chỉ có B mới giống địa chỉ đích đến nên chỉ có B mới thực hiện tiếp nhận.
Dựa vào nguyên tắc đó, máy được cài đặt chương trình nghe trộm sẽ tự “nhận” bất cứ gói tin được lưu chuyển trong mạng qua Hub, kể cả khi đích đến gói tin có đích đến không phải là nó, nhờ card mạng được đặt ở chế độ hỗn tạp (promiscuous mode). Promiscuous mode là chế độ đặc biệt. Khi card mạng được đặt dưới chế độ này, nó có thể nhận tất cả các gói tin mà không bị ràng buộc kiểm tra địa chỉ đích đến.
* Trong môi trường Switch: Khác với Hub, Switch chỉ chuyển tải các gói tin đến những địa chỉ cổng xác định trong bảng chuyển mạch nên nghe trộm kiểu “tự nhận” như ở Hub không thực hiện được. Tuy nhiên, kẻ tấn công có thể dùng các cơ chế khác để tấn công trong môi trường Switch như ARP spoofing, MAC spoofing, MAC duplicating, DNS spoofing, v.v…
3. CÁC PHƯƠNG THỨC TẤN CÔNG
- Tấn công MAC
- Tấn công DHCP
- Tấn công đầu độc ARP
- Tấn công giả mạo
- Tấn công DNS
