Sniffer là gì?
Sniffer hay packet sniffer là một chương trình phần mềm nghe trộm gói tin (còn gọi là chương trình phân tích mạng, phân tích giao thức hay nghe trộm Ethernet), có khả năng chặn bắt và ghi lại lưu lượng dữ liệu qua một mạng viễn thông số hoặc một phần của một mạng. Khi các dòng dữ liệu di chuyển qua lại trong một mạng, chương trình sẽ chặn bắt các gói tin rồi giải mã và phân tích nội dung của nó theo đặc tả RFC hoặc các đặc tả thích hợp khác.
Tùy theo cấu trúc mạng (hub hay chuyển mạch) mà có thể nghe trộm tất cả hoặc chỉ một phần lưu lượng dữ liệu qua lại từ một máy trong mạng. Đối với mục đích giám sát mạng (network monitoring), có thể theo dõi tất cả các gói tin trong một mạng LAN bằng cách sử dụng một thiết bị chuyển mạch với một cổng theo dõi (lặp lại tất cả các gói tin đi qua các cổng của thiết bị chuyển mạch).
Khả năng của Sniffer
- Đối với mạng LAN có dây, phụ thuộc vào cấu trúc của mạng (sử dụng hub hay switch) để có thể chặn bắt toàn bộ hay một phần các thông tin trên mạng từ một nút duy nhất nằm trong mạng. Đối với hub, có thể chặn bắt tất cả các gói tin truyền tải qua mạng. Nhưng đối với switch, cần có một số phương thức đặc biệt như ARP snoofing.
- Đối với mạng LAN không dây, các gói tin được chặn bắt trên các kênh riêng biệt. Để một máy có thể chặn bắt thông tin trong mạng này, network adapter phải được đặt ở chế độ promiscuous mode.
Mục đích sử dụng Sniffer
Sử dụng Sniffer thường có 2 mục đích chính: kiểm tra bảo trì mạng và xâm nhập mạng. Cụ thể, Sniffer thường được sử dụng để:
- Phân tích các vấn đề của mạng.
- Phát hiện các cố gắng xâm nhập mạng.
- Thu thập thông tin để tăng hiệu quả một cuộc xâm nhập mạng.
- Theo dõi lưu lượng sử dụng mạng.
- Thu thập và lập báo cáo thống kê mạng.
- Lọc các nội dung đáng ngờ ra khỏi lưu lượng mạng.
- Do thám những người sử dụng mạng khác và thu thập thông tin nhạy cảm như mật khẩu (tùy theo các phương pháp mã hóa nội dụng được sử dụng).
- Kỹ thuật dịch ngược các giao thức truyền thông được sử dụng trên mạng.
- Tìm lỗi các giao tiếp khách/chủ.
Một số công cụ sniffer mạng
Wireshark
Wireshark là một công cụ kiểm tra, theo dõi và phân tích thông tin mạng được phát triển bởi Gerald Combs (người Mỹ). Phiên bản đầu tiên của Wireshark mang tên Ethereal được phát hành năm 1988. Đến nay, WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những giao thức phổ biến như TCP, IP đến những loại đặc biệt như AppleTalk và BitTorrent. Các ưu điểm của phần mềm Wireshark bao gồm:
- Thân thiện với người dùng: Giao diện của Wireshark thân thiện, dễ sử dụng, đồ họa trực với hệ thống điều khiển rất rõ ràng và được bố trí hợp lý.
- Chi phí: Wireshark là một sản phẩm miễn phí, có thể tải về và sử dụng Wireshark cho bất kỳ mục đích nào, kể cả với mục đích thương mại.
- Hỗ trợ kỹ thuật: Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất trong các dự án mã nguồn mở.
- Hỗ trợ đa hệ điều hành: Wireshark hỗ trợ hầu hết các hệ điều hành hiện nay.
Từ những lợi ích Wireshark đem lại đã giúp nó trở nên phổ biến như hiện nay. Wireshark có thể đáp ứng nhu cầu của các nhà phân tích chuyên nghiệp và nghiệp dư.
NetworkMiner
NetworkMiner là một công cụ phân tích điều tra mạng (Network Forensics Analysis Tool – NFAT) dành cho hệ điều hành Windows. NetworkMiner có thể được sử dụng như một công cụ chặn bắt gói tin thụ động nhằm nhận biết các hệ điều hành, các phiên làm việc, tên host, các port mở... mà không cần đặt bất cứ luồng dữ liệu nào lên mạng.
NetworkMiner cũng có thể phân tích các tệp tin pcap trong trường hợp ngoại tuyến và tái tạo các tập tin truyền tải, cấu trúc thư mục hay chứng chỉ từ tệp tin pcap. Mục đích của NetworkMiner là thu thập dữ liệu (chẳng hạn như chứng cứ) về các host trên mạng, chứ không thu thập dữ liệu về lưu lượng truy cập. Nó quan tâm đến trung tâm máy chủ (nhóm các thông tin trên từng máy) chứ không tập trung vào gói tin (thông tin về danh sách các gói tin, khung nhìn...). NetworkMiner là công cụ tiện dụng trong việc phân tích máy chủ C&C (Command & Control) hay khi kiểm soát lưu lượng truy cập từ mạng lưới botnet.
Tcpdump
Đây là công cụ được phát triển nhằm mục đích phân tích các gói dữ liệu mạng theo dòng lệnh. Tcpdump cho phép người dùng chặn và hiển thị các gói tin được truyền đi hoặc được nhận trên một mạng mà máy tính có tham gia.
Tcpdump xuất ra màn hình nội dung các gói tin (chạy trên card mạng mà máy chủ đang lắng nghe) phù hợp với biểu thức logic chọn lọc mà người dùng nhập vào. Với từng loại tùy chọn khác nhau người dùng có thể xuất những mô tả về gói tin này ra file pcap để phân tích sau và có thể đọc nội dung của file pcap đó với option –r của lệnh tcpdump.
OmniPeek
OmniPeek là một công cụ giám sát hệ thống mạng mạnh mẽ nhằm phân tích các hoạt động mạng LAN hay kiểm tra hiệu suất của mạng của doanh nghiệp.
Việc quản lý mạng là một hoạt động đòi hỏi phải có kiến thức chuyên sâu. Quản trị viên cần phải có thông tin thời gian thực về tất cả các máy tính kết nối và các cơ sở hạ tầng để khắc phục các lỗi khác nhau. Chương trình này được thiết kế để nắm bắt các hoạt động mạng và phân tích để hiển thị trạng thái hiện tại và số liệu thống kê cần thiết trong các hoạt động hàng ngày của một quản trị mạng. OmniPeek có tính năng là một giao diện trực quan cho phép người sử dụng dễ dàng nắm bắt các thông tin.
Để truy cập vào một số chi tiết, người dùng có thể lựa chọn một bảng điều khiển sẵn có từ công cụ. Ví dụ, có thể xem các địa chỉ IP sử dụng hầu hết các băng thông từ bảng điều khiển mạng, trong đó các tab cho phép phân tích lưu lượng dữ liệu. Các đồ thị sẽ hiển thị thống kê cho việc phân bố kích thước gói tin, các điểm truy cập không dây và các giao thức được sử dụng.
Nếu muốn kiểm tra các kết nối đến một máy tính nào đó, người dùng có thể gửi các gói dữ liệu bằng cách sử dụng các bộ chuyển đổi mạng có sẵn. Hơn nữa, quản trị viên có thể chia nhỏ gói dữ liệu hoặc sử dụng Tools Menu để giải mã các gói tin sử dụng mã hóa SSL.
Các tính năng của OmniPeek bao gồm:
- Phân tích lưu lượng truy cập của bất kỳ phân đoạn mạng (nội bộ hoặc từ xa), bao gồm Gigabit và các phân đoạn mạng WAN.
- Có khả năng phân tích tất cả các lỗ hổng đang hoạt động trong mạng.
- Có khả năng thay đổi các bộ lọc mà không cần khởi động lại Sniffer.
- Có khả năng hoàn thành phân tích tất cả các gói dữ liệu gửi/nhận.
- Có khả năng xem lưu lượng nội bộ, toàn cầu hoặc cả hai cùng một lúc.
- Tính linh hoạt độc đáo cho phép người dùng toàn quyền kiểm soát lưu lượng trên các phân khúc độc lập, cho phép các nhà thiết kế có thể xác định các vấn đề và vị trí của nó.
Foremost
Foremost là một chương trình điều khiển (console) dùng để khôi phục tệp tin dựa vào tiêu đề, phụ đề và các cấu trúc dữ liệu. Quá trình này thường được gọi là chạm khắc dữ liệu (data carving). Foremost có thể làm việc trên các tệp tin image, được tạo ra bởi các công cụ như dd, Safeback, Encase... hoặc trực tiếp từ trên ổ cứng. Tiêu đề và phụ đề có thể được xác định bởi một tệp tin cấu hình hoặc có thể sử dụng một switch dòng lệnh dựa trên dạng tệp tin tích hợp. Các dạng tích hợp này sẽ tra cứu cấu trúc dữ liệu của định dạng tệp tin được cung cấp nhằm đảm bảo việc phục hồi sẽ nhanh và đáng tin cậy hơn.
Scapy
Scapy là một công cụ thao tác với gói tin dùng cho mạng máy tính, được viết bằng Python bởi nhà nghiên cứu Philippe Biondi. Nó có thể giả mạo hoặc giải mã các gói tin, gửi lại trên đường truyền, chặn bắt và làm khớp các yêu cầu với phản hồi. Scapy cũng có thể xử lý những tác vụ khác như quét, truy vết, thăm dò, kiểm thử đơn vị, tấn công và phát hiện mạng.
Scapy cung cấp một giao diện Python vào libpcap (WinPCap trên Windows) theo một cách tương tự như cung cấp trong Wireshark với giao diện trực quan. Scapy cũng có thể giao tiếp với một số chương trình khác để cung cấp tính trực quan bao gồm cả Wireshark cho việc giải mã các gói tin, GnuPlot cho việc tạo đồ thị, graphviz hoặc Vpython cho việc hiển thị.
ScifiTek
09:00 | 07/03/2018
08:00 | 19/01/2018
14:00 | 26/12/2017
13:00 | 28/08/2024
Ngày nay, tin tức về các vụ vi phạm dữ liệu cá nhân trên không gian mạng không còn là vấn đề mới, ít gặp. Vậy làm thế nào để dữ liệu cá nhân của bạn không bị rơi vào tay kẻ xấu? Dưới đây là 6 cách để bảo vệ thông tin cá nhân khi trực tuyến.
09:00 | 28/04/2024
Không chỉ tác động đến lĩnh vực an toàn thông tin, Bug Bounty còn được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có là một góc nhìn tiêu cực cho hình thức bảo mật này?
08:00 | 15/03/2024
Bảo mật công nghệ trí tuệ nhân tạo (AI) đặt ra nhiều thách thức và luôn thay đổi trong bối cảnh chuyển đổi số hiện nay. Khi công nghệ AI phát triển, rủi ro và bề mặt tấn công cùng các mối đe dọa mới ngày càng tăng cao. Điều này đặt ra yêu cầu đối với các nhà phát triển, tổ chức và doanh nghiệp phải có cách tiếp cận chủ động, thường xuyên đánh giá và cập nhật các biện pháp bảo mật.
09:00 | 06/12/2023
Các cuộc chiến tranh giành lãnh địa trên không gian mạng trong tương lai sẽ xuất hiện và gia tăng giữa các nhóm tội phạm mạng khi nhiều đối thủ tập trung vào cùng một mục tiêu. Vừa qua Fortinet đã công bố Báo cáo Dự báo về các mối đe dọa an ninh mạng năm 2024 từ đội ngũ nghiên cứu FortiGuard Labs đưa ra những tác động của AI tới mô hình chiến tranh mạng, đồng thời nhấn mạnh xu hướng các mối đe dọa mới nổi có thể định hình bối cảnh chuyển đổi số trong năm tới và những năm sau.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Cách mạng công nghiệp 4.0 đang trở thành hiện thực, một phần không nhỏ nhờ công nghệ Internet vạn vật công nghiệp (IIoT) và các mạng 5G dùng riêng. Đến năm 2029, thị trường cách mạng công nghiệp 4.0 dự kiến sẽ đạt giá trị 377,30 tỷ USD. Bà Marie Hattar, Phó Chủ tịch cấp cao Keysight Technologies (Hoa Kỳ), đã chia sẻ tầm quan trọng của 5G trong hành trình cách mạng công nghiệp 4.0.
13:00 | 22/10/2024