ความรู้เบื้องต้นเกี่ยวกับ Sniffer
sniffer คืออุปกรณ์ที่ต่อเข้ากับเครือข่ายคอมพิวเตอร์และคอยดักฟังข้อมูลในเครือข่าย
sniffer ถูกนำมาใช้ในด้านไหน
มี การนำ sniffing program มาใช้เป็นเวลานานแล้ว และลักษณะการใช้จะแบ่งเป็น 2 ประเภทคือ sniffer เชิงพานิชย์ ซึ่งใช้ในการดูแลเครือข่ายและ sniffer ซ่อนเร้น ซึ่งใช้ในการโจมตีหรือบุกรุกคอมพิวเตอร์โดยใช้งานโปรแกรม ได้แก่
การดักจับรหัสผ่านและ user name จากเครือข่าย ซึ่ง hacker/cracker ใช้ในการเจาะเข้าสู่ระบบ
ใช้ในการวิเคราะห์ปัญหาเรื่องความผิดพลาดของเครือข่าย
การวิเคราะห์ประสิทธิภาพของเครือข่าย
ใช้ในระบบตรวจจับการบุกรุก
sniffing/wiretap ทำงานอย่างไร ?
Ethernet ถูกสร้างขึ้นมาบนกฎของการใช้ร่วมกัน นั่นคือคอมพิวเตอร์ทุกเครื่องบน local network จะใช้ Ethernet wire เดียวกัน ฮาร์ดแวร์ของ Ethernet ถูกสร้างมาด้วย “ตัวกรอง” ที่จะไม่น่าสนใจ traffic ที่เป็นของคนอื่น ซึ่งทำได้โดยจะไม่สนใจเฟรมที่มี MAC address ไม่ตรงกับของตนเอง แต่โปรแกรม sniffing หรือ wiretap จะตัดตัวกรองนี้ออกไป
การเข้าถึง wire ด้วยวิธี remote
หากท่านเป็น hacker/cracker ฝีมือเยี่ยม มีหลายวิธีที่ท่านอาจจะเข้าถึง wire นั้นได้
บุกเข้าสู่คอมพิวเตอร์พวกเขาและทำการติดตั้ง sniffing software ที่ท่านสามารถควบคุมจากทางไกลได้
เจาะเข้าสู่ ISP และติดตั้ง sniffing software
หากล่องที่ ISP ซึ่งสนับสนุน sniffing เช่น RMON probe หรือ Dss (Distributed Sniffer System)
ปกป้องตัวเองจาก sniffers ได้อย่างไร ?
การ ป้องกันตัวเองที่ดีที่สุดคือ การเข้ารหัสข้อมูลเพราะถึงแม้ hacker จะดักฟังข้อมูลท่านได้ แต่ก็อ่านข้อมูลนั้นไม่ได้ ซึ่งทางเทคนิคการเข้ารหัสข้อมูลได้แก่
SSL (Secure Socket Layer)
SSL ถูกสร้างมาเพื่อใช้กับ browsers และ web servers เป็นส่วนใหญ่และถูกใช้ใน e-commerce เมื่อมีการซื้อขายโดยใช้ credit card ผ่านทาง web
PGP และ S/MIME (Secure MIME)
E-mail อาจถูกดักฟังโดยวิธีการต่าง ๆ ดังนั้นวิธีการที่ดีที่สุดที่จะให้ e-mail เป็นความลับคือ การเข้ารหัส ซึ่งทำได้โดยใช้ PGP (Pretty Good Privacy) และ S/MIME
SSH (Secure Shell)
SSH กลายเป็นมาตรฐานในการ login เข้าสู่ระบบ UNIX จากอินเตอร์เน็ต ท่านควรจะใช้ SSH แทน telnet
VPNs (Virtual Private Network)
VPNs ทำการเข้ารหัสข้อมูลที่ส่งผ่านทางอินเตอร์เน็ต แต่ถ้า hacker สามารถเจาะเข้าสู่ end-node ของการเชื่อมต่อ VPN ได้ เขาก็สามารถดักข้อมูลนั้นได้
ท่านจะหยุดการดักฟังรหัสผ่านของท่านได้ อย่างไร
การเข้ารหัสข้อมูลก็เป็นวิธีหนึ่งที่จะทำให้การรับรองผู้ใช้ ปลอดภัยและวิธีอื่น ๆ ได้แก่
SMB/CIFS
ใช้ ใน Windows/SAMBA environment ท่านต้องแน่ใจว่า Lan Manager เวอร์ชันเก่าได้ถูกปิด ซึ่งท่านต้องใช้ SAMBA อย่างน้อยเวอร์ชัน 2 , WinNT SP3
Kerberos V5
ทั้ง Windows 2000 และ UNIX สนับสนุนการรองรับแบบ Kerberos ซึ่งเป็นกลไกที่เยี่ยมยอดตัวหนึ่ง
บัตรอัจฉริยะ (smart card)
มี การนำ smart card ที่เป็นแบบ one-time password มาใช้อยู่ทั่วไป โดยส่วนใหญ่จะใช้เมื่อต้องการเชื่อมต่อแบบ remote ไม่ว่าจะเป็น dial-in หรือผ่าน VPN
Standford SRP (Secure Remote Password)
เพิ่ม ประสิทธิภาพของ Telnet และ FTP สำหรับ UNIX และ WindowS
วิธีของการ ตรวจจับ Sniffer
1. ping method
ตัวอย่าง
1.เครื่องที่ท่านสงสัย ว่ามี sniffer ติดตั้งอยู่มี IP address เป็น 10.0.0.1 และ Ethernet Address เป็น 00-40-05-A4-79-33
2.ท่านอยู่บนส่วนเดียวกับเครื่องที่ท่าน สงสัย
3.ท่านทำการเปลี่ยน MAC address เป็น 00-40-05-A4-79-33
4.ท่าน ส่ง “ICMP Echo Request” กับ IP address และ MAC address ที่ท่านเพิ่งเปลี่ยน
จำไว้ว่าจะไม่มีผู้ใดเห็น packet นี้ เนื่องจากขณะที่ frame กำลังเคลื่อนไปตาม wire นั้น Ethernet adapter จะทำการ match MAC address กับ MAC Address ของตัว เอง ซึ่งถ้าไม่เหมือนกัน ก็จะไม่สนใจเฟรมดังกล่าว
5.แต่ถ้าท่านเห็น response แสดงว่าเครื่องน่าสงสัยไม่ได้รัน “MAC Address Filter” อยู่บน adapter และนั้นหมายถึงกำลัง sniffing อยู่
2.ARP method
การส่ง ARP ไปยัง non-broadcast address ถ้าเครื่องนั้นตอบสนองต่อ ARP ด้วย IP address ของเครื่องแสดงว่าอยู่ใน promiscuous mode
3.DNS method
โปรแกรม sniffer ส่วนมากจะกระทำ revers-DNS lookup โดยอัตโนมัติต่อ IP address ที่มันเห็น ดังนั้นท่านสามารถตรวจจับ promiscuous mode ได้โดยการสังเกต DNS traffic
4.host method
เมื่อใดที่ hacker เจาะเข้าสู่ระบบของท่าน เขามักจะติดตั้ง sniffer ให้ทำงานเป็น background และคอยดักจับ user name และ password บ่อยครั้งที่โปรแกรมนี้ทำงานอยู่หรือไม่ โดยการสอบถามไปยัง interface ว่ากำลังทำงานใน promiscuous mode หรือไม่ โดยใช้คำสั่ง
“ifconfig – a ”
ความรู้จาก Thaiadmin.Org
ไม่มีความคิดเห็น:
แสดงความคิดเห็น