Vấn đề Sniffer trong mạn LAN mô hình Client-Server

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Vấn đề Sniffer trong mạn LAN mô hình Client-Server

[Question] Vấn đề Sniffer trong mạn LAN mô hình Client-Server	05/08/2011 21:12:32 (+0700) \| #1 \| 244621

nhocx
Member

Joined: 01/08/2011 10:15:20
Messages: 19
Offline

Mình có một vấn đề là giả sử mạng Lan của mình thuộc dạng Client-Server.
Và mọi user sẻ dưới quyền quản lý của một domain (win28 chẳng hạn).
Thì làm cách nào admin (quản trị viên máy chủ) có thể nghe lén mọi hoạt động của Client bằng việc sử dụng các phần mềm bắt gói tin nhưng lại cấm đối với các user.
Và giả sử như user có quyền cài các phần mềm bắt gói tin đi nữa thì cũng không thể nghe lén.

Mô hình:
Server nghe lén user ==> Được phép
User nghe lén User ==> Không được phép.
User nghe lén Server ==> không được phép.

------------------------------------------------------
Đa số cái gì cũng không biết trừ biết học hỏi.

[Question] Vấn đề Sniffer trong mạn LAN mô hình Client-Server	05/08/2011 22:07:07 (+0700) \| #2 \| 244629

phuongnvt
Member

Joined: 09/02/2011 03:35:39
Messages: 332
Offline

mình thấy có 2 hướng để làm việc này:

- bạn cài đặt chương trình sniff ở con gateway trong mạng của mình

- nếu dòng switch bạn đang sử dụng có chức năng port Mirroring thì bạn enable cái này lên và chỉ cần cấm PC cài chương trình sniff lên trên đó.hình như dòng cisco 2950 có thì phải.hoặc thấp hơn thì có dòng draytek 2950 cũng có 1 port dành cho việc monitor thông qua software smartmonitor.

mình chỉ biết có vậy bạn nào bổ sung nha!

Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó

[Question] Vấn đề Sniffer trong mạn LAN mô hình Client-Server	07/08/2011 15:30:41 (+0700) \| #3 \| 244696

nhocx
Member

Joined: 01/08/2011 10:15:20
Messages: 19
Offline

Có cách nào user có công cụ sniffer nhưng cũng không thể sniff được không nhưng quản trị lại có thể sniff toàn bộ hệ thống.

------------------------------------------------------
Đa số cái gì cũng không biết trừ biết học hỏi.

[Question] Vấn đề Sniffer trong mạn LAN mô hình Client-Server	07/08/2011 22:36:32 (+0700) \| #4 \| 244709

phanledaivuong
Member

Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline

nhocx wrote:

Có cách nào user có công cụ sniffer nhưng cũng không thể sniff được không nhưng quản trị lại có thể sniff toàn bộ hệ thống.

Cho cái dấu vào cho dễ đọc.
học thêm về network trước khi nghĩ làm mấy cái trò đơn giản này. toàn hỏi mấy cái cơ bản để làm trong khi không chịu đọc sách.
Theo bạn thì việc sniff thì công cụ hoạt động như thế nào?
nếu biết được điều đó thì sẽ làm được những việc trên.

[Question] Vấn đề Sniffer trong mạn LAN mô hình Client-Server	08/08/2011 15:21:14 (+0700) \| #5 \| 244749

phuongnvt
Member

Joined: 09/02/2011 03:35:39
Messages: 332
Offline

trích
[quota]
Xin phép mọi người cho tớ múa rìu qua mắt thợ. Tớ cũng không có kiến thức nhiều về mảng này, những gì tớ đang có hầu như chỉ xây dựng trên cơ sở kinh nghiệm và tự học, chưa qua một trường lớp chính quy nào, vì vậy có gì sai sót mong mọi người bổ sung chỉnh sửa. smilie Giờ tớ xin trình bày lại vấn đề:

Đầu tiên chúng ta cùng nói lại về về Man In The Middle. Để có thể chẩn đoán và khắc phục sự cố mạng, các quản trị mạng thường sử dụng các chương trình phân tích gói tin như Network Monitor, Sniffer Pro, WireShark, Iris Packet Sniffer, ... Tuy nhiên, đây cũng là những công cụ thường được attacker sử dụng để “nghe lén” hệ thống mạng và lấy cắp các thông tin nhạy cảm như username, password hay các thông tin quan trọng khác trong máy. Để đối phó được với mối nguy hiểm này, chúng ta sử dụng thiết bị chuyển mạch như switch để bảo đảm các gói tin chỉ được truyền đến đúng máy tính có địa chỉ thích hợp chứ không áp dụng broadcast trong hệ thống LAN.

Nhưng ngay cả với mạng dùng switch chúng ta vẫn có thể bị tấn công bởi các chương trình phân tích gói tin mạnh như dsniff, snort hay ettercap. Ettercap có thể giả danh địa chỉ MAC của card mạng máy tính bị tấn công, thay vì gói tin được truyền đến máy tính cần đến thì nó lại được chuyển đến máy tính có cài đặt ettercap trước rồi sau đó mới truyền đến máy tính đích. Đây là một dạng tấn công rất nguy hiểm được gọi là Man In The Middle.

Có vài cách thức nghe ngóng thông tin trong mạng mà chúng ta có thể liệt kê như:

- Living Promiscuously (bắt tất cả các gói tin đi qua):
Cần một card mạng có chế độ Promiscuous, chế độ Promiscuous cho phép card mạng nhìn thấy thất cả các gói tin đi qua hệ thống dây mạng. Khi nó ở chế độ Promiscuous, nó bắt tất cả các gói tin và gửi toàn bộ các gói tin tới CPU. Còn khi một card mạng không ở chế độ Promiscuous, nó nhìn thấy một số lượng lớn các gói tin trên mạng nhưng không gửi cho nó, nó sẽ drop các gói tin này.

- Sniff trong mạng có Hub:
Cơ chế hoạt động của Hub cho phép gói tin được gửi tất cả các cổng của hub. Để phân tích một máy tính trên một hub, tất cả các công việc mà bạn cần làm là cắm máy nghe vào một cổng còn trống trên hub. Bạn có thể nhìn thấy tất cả các thông tin truyền và nhận từ tất cả các máy đang kết nối với hub đó.

- Sniff trong mạng có switched:
Switch cung cấp một phương thức hiệu quả để vận chuyển dữ liệu thông qua broadcast, unicast, multicast. Switch cho phép kết nối song công (full-duplex). Khi bạn cắm một máy nghe vào một cổng của switch, bạn chỉ có thể nhìn thấy các broadcast traffic và những gói tin gửi và nhận của máy tính mà bạn đang sử dụng. Có 3 cách chính để bắt được các gói tin từ một thiết bị mục tiêu trên mạng switch, đó là: port mirroring, ARP cache poisoning và hubbing out.

+ Port mirroring (port spanning) là cách đơn giản nhất để bắt các lưu lượng từ thiết bị trên mạng switch. Bạn phải truy cập được giao diện dòng lệnh của switch mà máy mục tiêu cắm vào. Tất nhiên là switch này phải hỗ trợ tính năng port mirroring và có một port trống để bạn có thể cắm máy nghe vào. Khi ánh xạ cổng, bạn đã copy toàn bộ lưu lượng đi qua cổng này sang một cổng khác

+ Hubbing Out là một cách đơn giản để bắt các lưu lượng của thiết bị mục tiêu trong một mạng switch. Hubbing out là kỹ thuật mà trong đó bạn đặt thiết bị mục tiêu và máy nghe vào cùng một phân mạng bằng cách đặt chúng trực tiếp vào một hub.

+ ARP Cache Poisoning:
Tất cả các thiết bị trong một mạng liên lạc với nhau thông qua địa chỉ IP. Do switch làm việc tại tầng 2, vì vậy nó phải có khả năng phiên dịch địa chỉ MAC sang địa chỉ IP hoặc ngược lại để có thể chuyển tiếp gói tin tới thiết bị tương ứng. Quá trình phiên dịch được thực hiện thông qua một giao thức tầng 3 là ARP (Address Resolution Protocol). Khi một máy tính cần gửi dữ liệu cho một máy khác, nó gửi một yêu cầu ARP tới switch mà nó kết nối. Switch đó sẽ gửi một gói ARP broadcast tới tất cả các máy đang kết nối với nó để hỏi. Khi mà máy đích nhận được gói tin này, nó sẽ thông báo cho switch bằng cách gửi địa chỉ MAC của nó. Sau khi nhận được gói tin phản hồi, Switch định tuyến được kết nối tới máy đích. Thông tin nhận được được lưu trữ trong ARP cache của switch và switch sẽ không cần phải gửi một thông điệp ARP broadcast mới mỗi lần nó cần gửi dữ liệu tới máy nhận.

ARP cache poisoning là một kỹ thuật nâng cao trong việc nghe đường truyền trong một mạng switch. Attacker gửi các gói tin địa chỉ sai tới máy nhận với mục đích để nghe trộm đường truyền hiện tại, ARP cache poisoning là quá trình gửi một thông điệp ARP với địa chỉ MAC giả mạo tới switch hoặc router nhằm mục đích nghe lưu lượng của thiết bị mục tiêu.
[/quota]
bạn đọc cái này sẽ hiểu để sniff thì điều kiện cần là gì, còn đều kiện đủ thì bạn phải đọc nhiều tài liệu vào không thành công thì cũng thành nhân thôi smilie

Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó

[Question] Vấn đề Sniffer trong mạn LAN mô hình Client-Server	13/08/2011 16:01:23 (+0700) \| #6 \| 245005

insanity
Member

Joined: 20/02/2011 00:20:38
Messages: 17
Offline

có copy nguồn nào không , sao không thấy tên nguồn và tên tác giả smilie

Go to:

Users currently in here
1 Anonymous