Wireshark Hướng dẫn: Đánh hơi mạng và mật khẩu
Máy tính giao tiếp bằng cách sử dụng mạng. Các mạng này có thể nằm trên mạng LAN cục bộ hoặc được kết nối với internet. Network Sniffers là các chương trình thu thập dữ liệu gói cấp thấp được truyền qua mạng. Kẻ tấn công có thể phân tích thông tin này để khám phá những thông tin có giá trị như id người dùng và mật khẩu.
Trong bài viết này, chúng tôi sẽ giới thiệu cho bạn các kỹ thuật và công cụ đánh hơi mạng phổ biến được sử dụng để đánh hơi mạng. Chúng tôi cũng sẽ xem xét các biện pháp đối phó mà bạn có thể áp dụng để bảo vệ thông tin nhạy cảm được truyền qua mạng.
Network Sniffing là gì?
Máy tính giao tiếp bằng cách phát các tin nhắn trên mạng bằng địa chỉ IP. Sau khi tin nhắn được gửi trên mạng, máy tính người nhận có địa chỉ IP phù hợp sẽ phản hồi bằng địa chỉ MAC của nó.
Đánh hơi mạng là quá trình chặn các gói dữ liệu được gửi qua mạng.Việc này có thể được thực hiện bằng chương trình phần mềm chuyên dụng hoặc thiết bị phần cứng. Đánh hơi có thể được sử dụng để;
- Thu thập dữ liệu nhạy cảm như thông tin đăng nhập
- Nghe lén tin nhắn trò chuyện
- Các tập tin chụp đã được truyền qua mạng
Sau đây là các giao thức dễ bị đánh hơi
Các giao thức trên dễ bị tấn công nếu thông tin đăng nhập được gửi dưới dạng văn bản thuần túy
Đánh hơi thụ động và chủ động
Trước khi xem xét việc đánh hơi thụ động và chủ động, chúng ta hãy xem xét hai thiết bị chính được sử dụng để nối mạng máy tính; hub và switch.
Hub hoạt động bằng cách gửi tin nhắn quảng bá đến tất cả các cổng đầu ra trên đó ngoại trừ cổng đã gửi quảng bá. Máy tính người nhận sẽ phản hồi tin nhắn quảng bá nếu địa chỉ IP khớp. Điều này có nghĩa là khi sử dụng hub, tất cả các máy tính trên mạng đều có thể xem tin nhắn quảng bá. Nó hoạt động ở lớp vật lý (lớp 1) của Mô hình OSI.
Sơ đồ dưới đây minh họa cách thức hoạt động của hub.
Công tắc hoạt động theo cách khác; nó ánh xạ địa chỉ IP/MAC tới các cổng vật lý trên đó. Tin nhắn quảng bá được gửi đến các cổng vật lý phù hợp với cấu hình địa chỉ IP/MAC cho máy tính người nhận. Điều này có nghĩa là các tin nhắn quảng bá chỉ được máy tính người nhận nhìn thấy. Switch hoạt động ở lớp liên kết dữ liệu (lớp 2) và lớp mạng (lớp 3).
Sơ đồ dưới đây minh họa cách hoạt động của công tắc.
Đánh hơi thụ động là chặn các gói được truyền qua mạng sử dụng trung tâm. Nó được gọi là đánh hơi thụ động vì rất khó phát hiện. Việc này cũng dễ thực hiện vì hub gửi tin nhắn quảng bá tới tất cả các máy tính trên mạng.
Đánh hơi tích cực là chặn các gói được truyền qua mạng sử dụng bộ chuyển mạch. Có hai phương pháp chính được sử dụng để đánh hơi các mạng liên kết chuyển mạch, Ngộ độc ARPvà lũ lụt MAC.
Hoạt động hack: Đánh hơi lưu lượng truy cập mạng
Trong kịch bản thực tế này, chúng ta sẽ sử dụng Wireshark để đánh hơi các gói dữ liệu khi chúng được truyền qua giao thức HTTP. Trong ví dụ này, chúng tôi sẽ đánh hơi mạng bằng cách sử dụng Wireshark, sau đó đăng nhập vào ứng dụng web không sử dụng liên lạc an toàn. Chúng ta sẽ đăng nhập vào một ứng dụng web trên http://www.techpanda.org/
Địa chỉ đăng nhập là quản trị viên@google.comvà mật khẩu là Mật khẩu2010.
Lưu ý: chúng tôi sẽ đăng nhập vào ứng dụng web chỉ nhằm mục đích trình diễn. Kỹ thuật này cũng có thể đánh hơi các gói dữ liệu từ các máy tính khác trên cùng mạng với máy tính mà bạn đang sử dụng để đánh hơi. Việc đánh hơi không chỉ giới hạn ở techpanda.org mà còn đánh hơi tất cả các gói dữ liệu giao thức HTTP và khác.
Đánh hơi mạng bằng cách sử dụng Wireshark
Hình minh họa dưới đây cho bạn thấy các bước bạn sẽ thực hiện để hoàn thành bài tập này mà không bị nhầm lẫn
Tải về Wireshark từ liên kết này http://www.wireshark.org/download.html
- Mở Wireshark
- Bạn sẽ nhận được màn hình sau
- Chọn giao diện mạng bạn muốn đánh hơi. Lưu ý cho phần trình diễn này, chúng tôi đang sử dụng kết nối mạng không dây. Nếu bạn đang sử dụng mạng cục bộ thì bạn nên chọn giao diện mạng cục bộ.
- Bấm vào nút bắt đầu như hình trên
- Mở trình duyệt web của bạn và gõ vào http://www.techpanda.org/
- Email đăng nhập là quản trị viên@google.com và mật khẩu là Mật khẩu2010
- Bấm vào nút gửi
- Đăng nhập thành công sẽ cung cấp cho bạn bảng thông tin sau
- Quay trở lại Wireshark và dừng việc chụp trực tiếp
- Lọc kết quả giao thức HTTP chỉ bằng cách sử dụng hộp văn bản bộ lọc
- Xác định vị trí cột Thông tin và tìm các mục có động từ HTTP POST và nhấp vào cột đó
- Ngay bên dưới các mục nhật ký, có một bảng tóm tắt dữ liệu đã ghi lại. Hãy tìm phần tóm tắt có nội dung Dữ liệu văn bản dựa trên dòng: application/x-www-form-urlencoded
- Bạn sẽ có thể xem các giá trị văn bản gốc của tất cả các biến POST được gửi tới máy chủ thông qua giao thức HTTP.
Lũ lụt MAC là gì?
Lũ lụt MAC là một kỹ thuật đánh hơi mạng làm tràn bảng MAC của switch bằng các địa chỉ MAC giả. Điều này dẫn tới tình trạng quá tải bộ nhớ của switch và khiến nó hoạt động như một hub. Khi công tắc bị xâm phạm, nó sẽ gửi tin nhắn quảng bá đến tất cả các máy tính trên mạng. Điều này giúp có thể đánh hơi các gói dữ liệu khi chúng được gửi trên mạng.
Các biện pháp chống lũ lụt MAC
- Một số switch có tính năng bảo mật cổng. Tính năng này có thể được sử dụng để giới hạn số lượng Địa chỉ MAC trên các cổng. Nó cũng có thể được sử dụng để duy trì một bảng địa chỉ MAC an toàn ngoài bảng được cung cấp bởi switch.
- Máy chủ xác thực, ủy quyền và kế toán có thể được sử dụng để lọc các địa chỉ MAC được phát hiện.
Các biện pháp đánh hơi
- Hạn chế đối với phương tiện vật lý mạng làm giảm đáng kể nguy cơ cài đặt trình thám thính mạng
- Mã hóa tin nhắn vì chúng được truyền qua mạng làm giảm đáng kể giá trị của chúng vì chúng khó giải mã.
- Thay đổi mạng thành Secure Shell (SSH)mạng cũng làm giảm nguy cơ mạng bị đánh cắp.
Tổng kết
- Đánh hơi mạng là chặn các gói khi chúng được truyền qua mạng
- Việc đánh hơi thụ động được thực hiện trên mạng sử dụng hub. Rất khó để phát hiện.
- Việc đánh hơi tích cực được thực hiện trên mạng sử dụng bộ chuyển mạch. Thật dễ dàng để phát hiện.
- Việc tràn MAC hoạt động bằng cách làm tràn danh sách địa chỉ bảng MAC bằng các địa chỉ MAC giả. Điều này làm cho switch hoạt động giống như một HUB
- Các biện pháp bảo mật như đã nêu ở trên có thể giúp bảo vệ mạng khỏi bị đánh hơi.