Khóa học IT & Phần mượt Phần cứng và Bảo mật Certified Ethical tin tặc v10 Vietnamese 8.1 Nghe trộm - Khái niệm nghe trộm, tấn công MAC, DHCPhường.
*

Tóm tắt

Tại chương này bọn họ đang mày mò câu hỏi nghe trộm. Nghe trộm giúp họ quan cạnh bên tất cả các các loại giao thông mạng, cho dù mạng được đảm bảo an toàn hay không. Những báo cáo nghe trộm được rất có thể hữu dụng cho tiến công cùng sản xuất trsinh hoạt hổ ngươi đến nàn nhân. Bên cạnh đó, bọn họ đã khám phá những một số loại tiến công như Media Access Control (MAC), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP) Poisoning, MAC Spoofing, DNS Poisoning.

Bạn đang xem: Dhcp snooping là gì

Sau khi nghe trộm dứt, bạn cũng có thể thường xuyên tiến hành những loại tiến công nlỗi Session Hijacking, DoS Attacks, MITM attaông xã, ... Tuy nhiên hãy nhớ là công cụ nghe trộm không phải quy định hacking. Chúng là đa số luật chẩn đoán thù, thường xuyên dùng để quan tiền gần kề mạng với đầy đủ vấn đề cập nhật sự nuốm.

Khái niệm nghe trộm

Giới thiệu sơ sài về nghe trộm

Nghe trộm là quá trình sử dụng qui định để quét cùng quan sát hồ hết gói tin truyền vào hệ thống. Quy trình nghe trộm được triển khai bởi port lếu láo tạp. Kích hoạt tâm lý hỗn tạp sẽ giúp đỡ thu thập được đông đảo một số loại giao thông vận tải. Một Lúc đang tích lũy được gói tin, kẻ tiến công thuận tiện dò la câu chữ bên phía trong.

Có nhị nhiều loại nghe trộm:

Nghe trộm công ty độngNghe trộm thụ động

Kẻ tấn công có thể tích lũy được các một số loại gói tin nlỗi Syslog, DNS, Web, gmail với những nhiều loại dữ liệu khác truyền qua khối hệ thống mạng nhờ vào nghe trộm. Thu thập gói tin góp kẻ tiến công rước được các công bố như dữ liệu, thương hiệu người dùng, mật khẩu tự gần như giao thức nhỏng HTTP, POP, IMAP, SMTP, NMTP, FTP, Telnet, cùng Rlogin cũng như những thông báo khác. Những người nghỉ ngơi trong mạng LAN hoặc kết nối với cùng 1 mạng có thể nghe trộm gói tin. Tiếp theo bọn họ triệu tập nghiên cứu cách thức kẻ nghe trộm thực hiện hành động cũng giống như rất nhiều thứ nghe trộm có thể đem cắp.

Cách thức hoạt động vui chơi của kẻ nghe trộm

Trước hết, kẻ tấn công sẽ liên kết với 1 hệ thống mạng để nghe trộm. Kẻ tấn công áp dụng dụng cụ sniffer để kích hoạt trạng thái láo tạp vào thẻ đồ họa hệ thống (NIC) của hệ thống nàn nhân, từ bỏ đó thu thập gói tin. Trong tinh thần lếu tạp, NIC phản hồi với đa số gói tin nó nhận được. Nhỏng chúng ta thấy làm việc hình dưới, kẻ tấn công được liên kết trong tâm trạng láo lếu tạp và chấp nhận gói tin dù gói tin kia ko được gửi mang lại hắn.

Sau Khi thu thập, kẻ tiến công có thể giải hóa gói tin để trích rút biết tin. Ngulặng tắc cơ bạn dạng đằng sau kinh nghiệm này là

quý khách hàng kết nối được với một hệ thống mục tiêu gồm switch (trái với hub với broadcast) và giao thông multicast truyền bên trên những cổng.Switch chuyến qua gói tin unicast đến port riêng rẽ liên kết với host thật.Switch bảo trì bảng MAC để chứng thực fan làm sao sẽ liên kết cùng với port làm sao.

Trong ngôi trường hòa hợp này, kẻ tấn công biến đổi tùy chỉnh thiết lập switch bởi các kinh nghiệm khác nhau nlỗi Port Mirroring hoặc Switched Port Analyzer (SPAN). Tất cả những gói tin truyền sang 1 port nhất định sẽ được xào nấu bên trên port kia (kẻ tiến công kết nối với port này trong tâm lý lếu láo tạp). Nếu các bạn kết nối với hub, nó đang truyền gói tin cho tất cả các port.

*

Các một số loại nghe trộm

Nghe trộm thụ động

Đây là một số loại nghe trộm ko đề xuất gửi thêm gói tin hoặc can thiệp vào những lắp thêm nhỏng hub để nhận gói tin. Nhỏng chúng ta sẽ biết, hub truyền gói tin mang đến port của nó. Kẻ tấn công rất có thể lợi dụng đặc điểm đó nhằm dễ dàng quan liêu sát giao thông vận tải truyền qua mạng.

Nghe trộm công ty động

Đây là các loại nghe trộm nhưng kẻ tiến công phải gửi thêm gói tin cho lắp thêm đang kết nối nlỗi switch để thừa nhận gói tin. Như đã nói, switch chỉ truyền gói tin unicast mang đến một port một mực. Kẻ tấn công áp dụng một số trong những kỹ năng nlỗi MAC Flooding, DHCP Attacks, DNS poisoning, Switch Port Stealing, ARP Poisoning, với Spoofing để quan liêu liền kề giao thông truyền qua switch. Những kinh nghiệm này sẽ tiến hành trình làng tại vị trí sau của chương thơm.

Công vắt so với giao thức phần cứng

Máy so sánh giao thức phần cứng xuất xắc phần mềm hầu hết dùng làm đối chiếu gói tin với biểu đạt truyền qua kênh truyền dẫn. Máy đối chiếu giao thức phần cứng là hồ hết đồ vật tích lũy gói tin nhưng ko can thiệp vào giao thông mạng. Một điểm mạnh bự của đồ vật này là sự giữ rượu cồn, linc hoạt, và giữ tốc. Kẻ tấn công có thể thực hiện trang bị phân tích giao thức này để:

Quan tiếp giáp network usageNhận diện giao thông vận tải từ bỏ ứng dụng hackingGiải hóa gói tinTrích rút thông tinXác định kích thước gói tin

KEYSIGHT Technologies hỗ trợ khá nhiều thành phầm. Để mày mò ban bố tương tự như nâng cấp, mang lại địa chỉ www.keysight.com. Trên thị phần cũng có rất nhiều trang bị so sánh giao thức Hartware khác ví như RADCOM & Fluke.

*

Port SPAN

Một người dùng phàn nàn về triệu chứng mạng, tuy vậy chúng ta thấy không một ai vào tòa bên chạm mặt sự việc những điều đó. Quý Khách muốn chạy một vật dụng so với khối hệ thống như Wireshark bên trên port để quan gần cạnh giao thông vận tải ra vào mạng.

SPAN (Switch Port Analyser – Máy so sánh switch port) hoàn toàn có thể khiến cho bạn vào câu hỏi này. SPAN cho phép bạn thu thập giao thông từ một port đến một port khác trên cùng switch.

SPAN sao chép tất cả những đơn vị tài liệu giao thức phương pháp cho một port với truyền mang lại port đích SPAN. Một số nhiều loại giao thông vận tải không được SPAN nối tiếp nhỏng BDPUs, CDP, DTP, VTP, STP. Số session của SPAN rất có thể thiết lập cấu hình trên switch nhờ vào vào mô hình. ví dụ như, những switch Cisteo 3560 và 3750 chỉ hỗ trợ các tuyệt nhất 2 sessions SPAN và một dịp, trong lúc loại switch Cisteo 6500 cung ứng lên đến mức 16 sessions.

SPAN rất có thể tùy chỉnh nhằm tích lũy giao thông vận tải vào, ra hoặc cả hai. Quý khách hàng có thể tùy chỉnh cấu hình nguồn SPAN như một port khẳng định, một port đối chọi trong kênh Ether, một kênh Ether hoặc một VLAN. SPAN chẳng thể được cấu hình thiết lập với một port nguồn của MEC (Multi chassis Ether channel). quý khách cũng không thể tùy chỉnh cấu hình nguồn của một port 1-1 hoặc một VLAN. khi tùy chỉnh nhiều mối cung cấp cho một session SPAN, bạn chỉ việc xác định rõ hình ảnh của mối cung cấp.

Một vấn đề cần ghi ghi nhớ Khi thiết lập cấu hình SPAN là nếu như khách hàng sử dụng port mối cung cấp có đường dẫn lớn hơn port đích, vào ngôi trường thích hợp liên kết bị nghẽn, giao thông vẫn dừng lại.

Thiết lập Local SPAN solo giản

Xem xét mẫu vẽ sau đây trong số ấy một Router (R1) được kết nối với switch qua Switch’s Fast Ethernet port 0/1, port này được cấu hình thiết lập là port SPAN nguồn. Giao thông coppy tự FE0/1 đang phản ảnh FE0/24 vị trí mà workstation của họ đang chờ để thu thập giao thông vận tải.

*

Sau lúc chúng ta chạy sản phẩm công nghệ phân tích mạng, bước trước tiên là tùy chỉnh cấu hình Fast Ethernet 0/1 thành port SPAN mối cung cấp cùng Fast Ethernet 0/24 thành port SPAN đích. Sau Khi tùy chỉnh nhị giao diện, LED của port SPAN đích (FE0/24) bước đầu vạc nhanh hao trong nhất quán hóa cùng với LED của FE0/1 – một hành động không nghĩ tới trước giả dụ để mắt tới tình huống tất cả gói tin FE0/1 được xào luộc thành FE0/24.

Wiretapping

Wiretapping là quy trình thu thập công bố bằng phương pháp mắc ống nghe vào dây dẫn như dây điện thoại cảm ứng tốt mạng internet. Wiretapping đa số được triển khai bởi vì bên sản phẩm công nghệ bố để nghe lén đoạn hội thoại. Wiretapping cơ phiên bản là mắc ống nghe vào mặt đường dây Smartphone. Legal Wiretapping được điện thoại tư vấn là ngăn bắt hợp pháp, thường xuyên được cơ quan chính phủ giỏi những phòng ban an toàn tiến hành.

Wiretapping được phân thành nhì loại:

Wiretapping chủ động

Wiretapping chủ động là quy trình quan lại gần kề, thu thập biết tin bằng cách nghe trộm qua dây dẫn. Ngoài ra, wiretapping dữ thế chủ động bao hàm chỉnh sửa đoạn đối thoại.

Wiretapping thụ động

Quá trình quan tiền tiếp giáp cùng thu thập biết tin mà không chỉnh sửa hội thoại.

Xem thêm: Iphone 7G Là Gì - Shopee Việt Nam

Chặn bắt thích hợp pháp

Đây là quy trình wiretapping cùng với vừa đủ bản thảo, chất nhận được các ban ngành thi hành quy định được nghe trộm qua dây dẫn các đoạn đối thoại của user. Tổ chức chuẩn hóa viễn thông vẫn tiêu chuẩn chỉnh hóa cổng chặn bắt đúng theo pháp để ship hàng mang lại quy trình ngăn bắt của những ban ngành.

Công nuốm lên kế hoạch tích thích hợp tài nguyên (PRISM)

PRISM viết tắt mang đến Planning Tool for Resource Integration, Synchronization và Management (cơ chế lên planer tích vừa lòng, đồng nhất hóa với quản lí tài nguyên). PRISM là cơ chế xây dựng chuyên dụng nhằm thu thập báo cáo và quy trình truyền qua American servers. PRISM được tạo ra bởi Ban quản lý mối cung cấp đặc biệt (SSO) của Cơ quan tiền an ninh tổ quốc (NSA). Mục đích chủ yếu của PRISM là nhận diện và quan liêu gần cạnh phần đa đối thoại xứng đáng ngờ của kim chỉ nam. NSA nghe trộm qua dây dẫn giao thông mạng vào nước Mỹ, cũng như tài liệu tàng trữ ở các VPS nội địa.

Mindmap

*

Tấn công MAC

Bảng địa chỉ MAC/ bảng CAM

Media Access Control Address (xúc tiến kiểm soát điều hành truy vấn phương thơm tiện) tốt tác động MAC là liên quan đồ lí của một sản phẩm. Địa chỉ MAC là một số trong những định danh 48-bits độc nhất đặt cho thứ hệ thống nhằm tiếp xúc trên tầng link tài liệu. Địa chỉ MAC bao gồm Object Unique Identifier (QUI) 24-bits cùng Network Interface Controller (NIC) 24-bits. Nếu có khá nhiều NIC thì máy đang có khá nhiều can hệ MAC khác biệt.

*

Cách thức hoạt động của bộ nhớ lưu trữ hoàn toàn có thể truy cập (CAM)

Học liên tưởng MAC là trọng trách cơ bạn dạng của switch. Switch quan tiền gần kề các frame cho và khắc ghi liên can MAC nguồn của các frame này trong bảng thúc đẩy MAC. Nó cũng đánh dấu port khẳng định của tương tác MAC nguồn. Switch đã dựa vào những ban bố này nhằm sự chuyển tiếp giữa frame hoàn hảo.

Chú ý:máy tính xách tay có thể bị tắt hoặc di chuyển bất cứ dịp như thế nào. Do kia, switch phải tính thời hạn của địa chỉ MAC cùng xóa nó ngoài bảng còn nếu như không thấy nó một thời gian.

*

Switch hỗ trợ những hệ trọng MAC trên tất cả port bắt buộc bạn có thể kết nối workstation cá nhân hoặc các trang bị qua switch tốt router. Dựa vào tài năng liên hệ hễ, switch update tương tác mối cung cấp nhưng những gói tin gửi, gắn thêm nó vào hình ảnh from which it is received. Do đông đảo sản phẩm được sản xuất tuyệt xóa đi, bọn chúng được cập nhật vô cùng sôi nổi. Thời gian thoái hóa khoác định của xúc tiến MAC là 300 giây. Switch được thiết lập cấu hình học can hệ MAC mang định.

MAC Flooding

MAC Flooding là một kỹ năng, trong đó kẻ tấn công gửi đột nhiên phần đa tác động MAC với xúc tiến IP để triển khai đầy dung lượng lưu trữ của bảng CAM. Nhỏng chúng ta đang biết, bảng CAM bao gồm độ lâu năm cố định, cần switch tiếp đến đang hoạt động nhỏng một hub. Nó đang truyền gói tin trên mọi port, góp kẻ tấn công nghe trộm gói tin tiện lợi. Tài ngulặng Unix / Linux “macof” hỗ trợ MAC flooding. MAC mối cung cấp tự dưng và IP rất có thể được gửi trên hình ảnh sử dụng macof.

Đánh cắp switch port

Đây cũng là một trong những kĩ thuật nghe trộm gói tin khác sử dụng MAC flooding. Kẻ tấn công sẽ gửi gói tin ARPhường trả cùng với can dự MAC nguồn của kim chỉ nam với xúc tiến đích của chính nó nhằm đóng góp giả host của mục tiêu, ví dụ host A. khi những báo cáo này gửi kế tiếp switch, switch đã update bảng CAM. Khi host A gửi gói tin thì switch buộc phải cập nhật đợt nữa. Cđọng như thế, Khi host A gửi ARP và cửa hàng MAC, switch đã gửi gói tin mang đến kẻ tấn công do lầm tưởng host A liên kết với port này.

Chống lại tiến công MAC

Bảo mật port được sử dụng để lắp liên tưởng MAC của các sản phẩm công nghệ đã biết cùng với port đồ vật lí và xác định số đông hành vi đột nhập. Do đó, ví như kẻ tấn công test liên kết PC của mình cùng với switch port, nó đang ngay mau chóng ngăn chặn tấn công. trong bảo mật thông tin port đụng, bạn sẽ thiết lập cấu hình số shop MAC cùng switch chỉ cung cấp toàn bô liên can MAC này mà không quyên tâm đến nhiều loại can dự.

Thiết lập bảo mật thông tin port

Cisco Switch hỗ trợ bảo mật thông tin port nhằm chống rời tiến công MAC. quý khách hàng có thể cấu hình thiết lập switch với can hệ MAC tĩnh, hoặc MAC cồn vào một khoảng chừng cố định, hoặc cả nhị. Thiết lập bên trên Cisco Switch dưới đây đang hỗ trợ hệ trọng MAC khăng khăng với 4 liên hệ phú. Nếu switch đang học được thúc đẩy MAC tĩnh:

Thiết lập bảo mật thông tin port

Switch(config)# interface ethernet 0/0Switch(config-if)#switchport mode access Switch(config-if)# switchport port-security //Enabling Port Security Switch(config-if)# switchport port-security mac-address //Adding static MAC address to lớn be allowed on Ethernet 0/0 Switch(config-if)# switchport port-security maximum 4 //Configuring dynamic MAC addresses (maximum up to lớn 4 MAC addresses) to lớn be allowed on Ethernet 0/0 Switch(config-if)# switchport port-security violation shutdown //Configuring Violation action as shutdown Switch(config-if)#exit

Tấn công DHCP

Giao thức tùy chỉnh cấu hình host hễ (DHCP)

DHCP là quá trình phân chia hễ hệ trọng MAC thế nào cho những ảnh hưởng này được hướng dẫn và chỉ định tự động hóa và tái sử dụng khi host ko cần bọn chúng. Thời gian Round Trip (RTT) đo khoảng chừng thời hạn tự Lúc vạc hiện DHCPhường server cho đến lúc nhận ra can dự IPhường sẽ thuê.

RTT dùng để Reviews quality hoạt động của DHCPhường. Bằng giải pháp sử dụng phiên truyền UDP, DHCP.. client gửi gói tin DHCP-Discover ban đầu chính vì nó hoài nghi về hệ thống sẽ kết nối. DHCPhường server đánh giá gói tin DHCP-Discover cùng với gói tin DCHP-Offer cung cấp thông số kỹ thuật thiết lập cấu hình. DHCPhường client đang gửi tiếp gói tin DCHCP-request nhằm trải nghiệm thông số tùy chỉnh thiết lập. Cuối cùng, DHCP Server đang gửi gói tin DHCP-Acknowledgement cất thông số kỹ thuật tùy chỉnh cấu hình.

DHCPv4 áp dụng hai port khác nhau:

UDP port 67 cho Server.UDP.. port 68 cho Client.

*

DHCP Replay agent chuyến qua gói tin DHCP tự server đến client với client đến hệ thống. DHCPhường agent giúp chuyển tiếp tận hưởng với bình luận giữa server với client. khi nhận thấy tin nhắn DHCPhường, Replay agent sẽ khởi tạo ra một thử dùng DHCP. bắt đầu nhằm gửi từ 1 giao diện khác chứa thông tin cổng khoác định cũng như chọn lựa về công bố Replay-Agent (Option-82). khi Replay agent nhận thấy đánh giá trường đoản cú server, nó đang xóa Option 82 với sự chuyển tiếp giữa lại mang lại client.

Cách thức buổi giao lưu của Replay agent cùng DHCPv6 VPS giống như nlỗi IPv4 Relay agent cùng DHCPv4 Server. DHCP hệ thống dấn thử khám phá và chỉ định và hướng dẫn tác động IPhường, DNS, thời hạn mướn với các biết tin không giống mang lại client trong những lúc trả lời hệ thống chuyển tiếp lời nhắn DHCP..

*

DHCPv6 thực hiện nhì port không giống nhau:

UDP.. port 546 đến clients.UDPhường port 547 mang lại servers.

Tấn công DHCP.. Starvation

Đây là tấn công từ chối hình thức bên trên DHCP. Server. Trong tiến công này, kẻ tiến công gửi hưởng thụ ảo cùng với địa chỉ MAC trả để truyền cho DHCP. Server, từ đó mướn toàn bộ xúc tiến IPhường. trong bộ trữ IP.. Sau lúc tất cả xúc tiến IP được phân vạc, phần nhiều user tiếp theo sau sẽ không cảm nhận địa chỉ IP xuất xắc gia hạn hòa hợp đồng mướn. Tấn công DHCPhường Starvation rất có thể được triển khai bởi những hình thức nlỗi “Dhcpstarv” xuất xắc “Yersinia.”

*

Tấn công Rogue DHCP.. Server

Tấn công này được thực hiện bằng cách xúc tiến rogue DHCPhường Server trong khối hệ thống cùng với tiến công starvation. lúc hệ thống DHCP chủ yếu thống đang bị tấn công phủ nhận các dịch vụ, DHCPhường. client bắt buộc cảm nhận tương tác IPhường. Những gói tin DHCP Discovery (IPv4) hoặc Solicit (IPv6) tiếp theo được ý kiến bởi DHCPhường. hệ thống đưa cùng với những thông số tùy chỉnh phía giao thông mạng về phía nó.

*

Chống lại tấn công DHCP Starvation cùng Rogue Server

DHCP. Snooping

Một người rất có thể thuận lợi mang một server DHCP vào môi trường khối hệ thống, mặc dù vô tình tuyệt hữu ý. DHCPhường Snooping là kỹ năng chống tránh việc kia. Để bớt tphát âm tấn công, kỹ năng DHCP snooping được kích hoạt bên trên vật dụng khối hệ thống nhằm dấn diện hầu hết port an toàn và đáng tin cậy từ phần nhiều giao thông vận tải DHCP chủ yếu thống.

Những port khác phản hồi thử khám phá DHCP.. sẽ bị bỏ lỡ. Đây là hào kiệt bảo mật bằng phương pháp thanh lọc lời nhắn DHCP.. không đáng tin bằng cách chế tạo bảng gắn kết DHCP snooping. DHCP.. snooping có khả năng rành mạch thân giao diện ko đáng tin (kết nối với user/host cuối) và giao diện xứng đáng tin (kết nối cùng với DHCP server thiết yếu thống hoặc lắp thêm xứng đáng tin cậy).

Bảo mật port

Kích hoạt bảo mật port cũng góp sút tgọi phần lớn tấn công này bằng phương pháp số lượng giới hạn con số shop MAC bên trên port rất có thể học, thiết lập cấu hình vận động vi phạm, thời hạn thoái hóa, v.v.

Xem thêm: Tunngle Là Gì ? Hướng Dẫn Sử Dụng Phần Mềm Bán Hàng Vnuni: 0936

Thảo luận

Nếu bạn có bất kỳ trở ngại tuyệt vướng mắc gì về khóa đào tạo và huấn luyện, đừng e dè đặt thắc mắc trong phần BÌNH LUẬN bên dưới hoặc vào mục HỎI & ĐÁP trên tlỗi viện infobandarpkr.com.com để cảm nhận sự cung ứng tự cộng đồng.