Sniffer là gì?
Sniffer hay packet sniffer là một chương trình phần mềm nghe trộm gói tin (còn gọi là chương trình phân tích mạng, phân tích giao thức hay nghe trộm Ethernet), có khả năng chặn bắt và ghi lại lưu lượng dữ liệu qua một mạng viễn thông số hoặc một phần của một mạng. Khi các dòng dữ liệu di chuyển qua lại trong một mạng, chương trình sẽ chặn bắt các gói tin rồi giải mã và phân tích nội dung của nó theo đặc tả RFC hoặc các đặc tả thích hợp khác.
Tùy theo cấu trúc mạng (hub hay chuyển mạch) mà có thể nghe trộm tất cả hoặc chỉ một phần lưu lượng dữ liệu qua lại từ một máy trong mạng. Đối với mục đích giám sát mạng (network monitoring), có thể theo dõi tất cả các gói tin trong một mạng LAN bằng cách sử dụng một thiết bị chuyển mạch với một cổng theo dõi (lặp lại tất cả các gói tin đi qua các cổng của thiết bị chuyển mạch).
Khả năng của Sniffer
- Đối với mạng LAN có dây, phụ thuộc vào cấu trúc của mạng (sử dụng hub hay switch) để có thể chặn bắt toàn bộ hay một phần các thông tin trên mạng từ một nút duy nhất nằm trong mạng. Đối với hub, có thể chặn bắt tất cả các gói tin truyền tải qua mạng. Nhưng đối với switch, cần có một số phương thức đặc biệt như ARP snoofing.
- Đối với mạng LAN không dây, các gói tin được chặn bắt trên các kênh riêng biệt. Để một máy có thể chặn bắt thông tin trong mạng này, network adapter phải được đặt ở chế độ promiscuous mode.
Mục đích sử dụng Sniffer
Sử dụng Sniffer thường có 2 mục đích chính: kiểm tra bảo trì mạng và xâm nhập mạng. Cụ thể, Sniffer thường được sử dụng để:
- Phân tích các vấn đề của mạng.
- Phát hiện các cố gắng xâm nhập mạng.
- Thu thập thông tin để tăng hiệu quả một cuộc xâm nhập mạng.
- Theo dõi lưu lượng sử dụng mạng.
- Thu thập và lập báo cáo thống kê mạng.
- Lọc các nội dung đáng ngờ ra khỏi lưu lượng mạng.
- Do thám những người sử dụng mạng khác và thu thập thông tin nhạy cảm như mật khẩu (tùy theo các phương pháp mã hóa nội dụng được sử dụng).
- Kỹ thuật dịch ngược các giao thức truyền thông được sử dụng trên mạng.
- Tìm lỗi các giao tiếp khách/chủ.
Một số công cụ sniffer mạng
Wireshark
Wireshark là một công cụ kiểm tra, theo dõi và phân tích thông tin mạng được phát triển bởi Gerald Combs (người Mỹ). Phiên bản đầu tiên của Wireshark mang tên Ethereal được phát hành năm 1988. Đến nay, WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những giao thức phổ biến như TCP, IP đến những loại đặc biệt như AppleTalk và BitTorrent. Các ưu điểm của phần mềm Wireshark bao gồm:
- Thân thiện với người dùng: Giao diện của Wireshark thân thiện, dễ sử dụng, đồ họa trực với hệ thống điều khiển rất rõ ràng và được bố trí hợp lý.
- Chi phí: Wireshark là một sản phẩm miễn phí, có thể tải về và sử dụng Wireshark cho bất kỳ mục đích nào, kể cả với mục đích thương mại.
- Hỗ trợ kỹ thuật: Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất trong các dự án mã nguồn mở.
- Hỗ trợ đa hệ điều hành: Wireshark hỗ trợ hầu hết các hệ điều hành hiện nay.
Từ những lợi ích Wireshark đem lại đã giúp nó trở nên phổ biến như hiện nay. Wireshark có thể đáp ứng nhu cầu của các nhà phân tích chuyên nghiệp và nghiệp dư.
NetworkMiner
NetworkMiner là một công cụ phân tích điều tra mạng (Network Forensics Analysis Tool – NFAT) dành cho hệ điều hành Windows. NetworkMiner có thể được sử dụng như một công cụ chặn bắt gói tin thụ động nhằm nhận biết các hệ điều hành, các phiên làm việc, tên host, các port mở... mà không cần đặt bất cứ luồng dữ liệu nào lên mạng.
NetworkMiner cũng có thể phân tích các tệp tin pcap trong trường hợp ngoại tuyến và tái tạo các tập tin truyền tải, cấu trúc thư mục hay chứng chỉ từ tệp tin pcap. Mục đích của NetworkMiner là thu thập dữ liệu (chẳng hạn như chứng cứ) về các host trên mạng, chứ không thu thập dữ liệu về lưu lượng truy cập. Nó quan tâm đến trung tâm máy chủ (nhóm các thông tin trên từng máy) chứ không tập trung vào gói tin (thông tin về danh sách các gói tin, khung nhìn...). NetworkMiner là công cụ tiện dụng trong việc phân tích máy chủ C&C (Command & Control) hay khi kiểm soát lưu lượng truy cập từ mạng lưới botnet.
Tcpdump
Đây là công cụ được phát triển nhằm mục đích phân tích các gói dữ liệu mạng theo dòng lệnh. Tcpdump cho phép người dùng chặn và hiển thị các gói tin được truyền đi hoặc được nhận trên một mạng mà máy tính có tham gia.
Tcpdump xuất ra màn hình nội dung các gói tin (chạy trên card mạng mà máy chủ đang lắng nghe) phù hợp với biểu thức logic chọn lọc mà người dùng nhập vào. Với từng loại tùy chọn khác nhau người dùng có thể xuất những mô tả về gói tin này ra file pcap để phân tích sau và có thể đọc nội dung của file pcap đó với option –r của lệnh tcpdump.
OmniPeek
OmniPeek là một công cụ giám sát hệ thống mạng mạnh mẽ nhằm phân tích các hoạt động mạng LAN hay kiểm tra hiệu suất của mạng của doanh nghiệp.
Việc quản lý mạng là một hoạt động đòi hỏi phải có kiến thức chuyên sâu. Quản trị viên cần phải có thông tin thời gian thực về tất cả các máy tính kết nối và các cơ sở hạ tầng để khắc phục các lỗi khác nhau. Chương trình này được thiết kế để nắm bắt các hoạt động mạng và phân tích để hiển thị trạng thái hiện tại và số liệu thống kê cần thiết trong các hoạt động hàng ngày của một quản trị mạng. OmniPeek có tính năng là một giao diện trực quan cho phép người sử dụng dễ dàng nắm bắt các thông tin.
Để truy cập vào một số chi tiết, người dùng có thể lựa chọn một bảng điều khiển sẵn có từ công cụ. Ví dụ, có thể xem các địa chỉ IP sử dụng hầu hết các băng thông từ bảng điều khiển mạng, trong đó các tab cho phép phân tích lưu lượng dữ liệu. Các đồ thị sẽ hiển thị thống kê cho việc phân bố kích thước gói tin, các điểm truy cập không dây và các giao thức được sử dụng.
Nếu muốn kiểm tra các kết nối đến một máy tính nào đó, người dùng có thể gửi các gói dữ liệu bằng cách sử dụng các bộ chuyển đổi mạng có sẵn. Hơn nữa, quản trị viên có thể chia nhỏ gói dữ liệu hoặc sử dụng Tools Menu để giải mã các gói tin sử dụng mã hóa SSL.
Các tính năng của OmniPeek bao gồm:
- Phân tích lưu lượng truy cập của bất kỳ phân đoạn mạng (nội bộ hoặc từ xa), bao gồm Gigabit và các phân đoạn mạng WAN.
- Có khả năng phân tích tất cả các lỗ hổng đang hoạt động trong mạng.
- Có khả năng thay đổi các bộ lọc mà không cần khởi động lại Sniffer.
- Có khả năng hoàn thành phân tích tất cả các gói dữ liệu gửi/nhận.
- Có khả năng xem lưu lượng nội bộ, toàn cầu hoặc cả hai cùng một lúc.
- Tính linh hoạt độc đáo cho phép người dùng toàn quyền kiểm soát lưu lượng trên các phân khúc độc lập, cho phép các nhà thiết kế có thể xác định các vấn đề và vị trí của nó.
Foremost
Foremost là một chương trình điều khiển (console) dùng để khôi phục tệp tin dựa vào tiêu đề, phụ đề và các cấu trúc dữ liệu. Quá trình này thường được gọi là chạm khắc dữ liệu (data carving). Foremost có thể làm việc trên các tệp tin image, được tạo ra bởi các công cụ như dd, Safeback, Encase... hoặc trực tiếp từ trên ổ cứng. Tiêu đề và phụ đề có thể được xác định bởi một tệp tin cấu hình hoặc có thể sử dụng một switch dòng lệnh dựa trên dạng tệp tin tích hợp. Các dạng tích hợp này sẽ tra cứu cấu trúc dữ liệu của định dạng tệp tin được cung cấp nhằm đảm bảo việc phục hồi sẽ nhanh và đáng tin cậy hơn.
Scapy
Scapy là một công cụ thao tác với gói tin dùng cho mạng máy tính, được viết bằng Python bởi nhà nghiên cứu Philippe Biondi. Nó có thể giả mạo hoặc giải mã các gói tin, gửi lại trên đường truyền, chặn bắt và làm khớp các yêu cầu với phản hồi. Scapy cũng có thể xử lý những tác vụ khác như quét, truy vết, thăm dò, kiểm thử đơn vị, tấn công và phát hiện mạng.
Scapy cung cấp một giao diện Python vào libpcap (WinPCap trên Windows) theo một cách tương tự như cung cấp trong Wireshark với giao diện trực quan. Scapy cũng có thể giao tiếp với một số chương trình khác để cung cấp tính trực quan bao gồm cả Wireshark cho việc giải mã các gói tin, GnuPlot cho việc tạo đồ thị, graphviz hoặc Vpython cho việc hiển thị.
ScifiTek
09:00 | 07/03/2018
08:00 | 19/01/2018
14:00 | 26/12/2017
10:00 | 22/03/2024
Với sự tương tác kinh tế, xã hội và văn hóa ngày càng diễn ra phổ biến trên Internet, nhu cầu ngày càng tăng trong vài thập kỷ qua nhằm bắt chước sự ngẫu nhiên của thế giới tự nhiên và tạo ra các hệ thống kỹ thuật số để tạo ra các kết quả không thể đoán trước. Các trường hợp sử dụng cho tính không thể đoán trước này bao gồm đưa vào sự khan hiếm nhân tạo, xây dựng các cơ chế bảo mật mạnh mẽ hơn và tạo điều kiện cho các quy trình ra quyết định trung lập đáng tin cậy. Trong bài viết này, tác giả sẽ phân tích tính ngẫu nhiên, tìm hiểu về các loại ngẫu nhiên và vai trò quan trọng của sự ngẫu nhiên đối với Blockchain và hệ sinh thái Web3.
13:00 | 29/12/2023
Hiện nay, số lượng các vụ tấn công mạng trên ứng dụng web đang có xu hướng ngày càng gia tăng cả về quy mô lẫn mức độ tinh vi, với mục tiêu nhắm vào các dịch vụ cơ sở trọng yếu, khối tài chính, ngân hàng và các tổ chức/doanh nghiệp (TC/DN) lớn. Hậu quả của các cuộc tấn công này có thể là giả mạo giao dịch, gián đoạn hoạt động kinh doanh hay vi phạm dữ liệu, dẫn đến nguy cơ rò rỉ thông tin và mất mát dữ liệu quan trọng. Điều này gây ra nhiều thiệt hại đáng kể về tài chính cũng như uy tín của các TC/ DN. Bài báo sẽ trình bày thực trạng về bảo mật ứng dụng web năm 2023 dựa trên báo cáo của công ty an ninh mạng OPSWAT, cùng các giải pháp phòng tránh mối đe dọa tấn công mạng này.
09:00 | 13/12/2022
Công nghệ Blockchain (chuỗi khối) tạo ra chuỗi thông tin được bảo vệ an toàn, ghi nhận thời điểm giao dịch và không thể bị thay đổi. Blockchain cũng hứa hẹn một phương pháp hiệu quả trong việc tăng tốc độ quy trình xử lý. Với khả năng chia sẻ thông tin dữ liệu minh bạch, tiết kiệm không gian lưu trữ và bảo mật cao, công nghệ này mang lại nhiều triển vọng trong việc bảo hộ quyền sở hữu trí tuệ (SHTT) - một lĩnh vực đóng vai trò quan trọng trong thúc đẩy đổi mới sáng tạo và phát triển bền vững của các quốc gia.
08:00 | 07/11/2022
Công nghệ truyền thông di động 6G được tích hợp các công nghệ tiên tiến như trí tuệ nhân tạo (AI), học máy (ML), dữ liệu lớn, công nghệ chuỗi khối (Blockchain) nhằm hướng tới một xã hội siêu thông minh. Trong những năm gần đây, các thuật toán dự đoán, mô hình ML nhận dạng thông minh đã được sử dụng trong các bài toán tối ưu trong công nghệ 6G. Mặc dù ML mang lại những lợi thế đáng kể nhưng đồng thời cũng kéo theo những thách thức trong việc đảm bảo an toàn thông tin. Bài báo này sẽ giới thiệu đến độc giả nghiên cứu tổng quan về mạng 6G và phương pháp giảm thiểu các cuộc tấn công học máy đối nghịch FGSM trong mô hình dự đoán mã chùm tín hiệu định hướng RF beamforming.
Có một số phương pháp để xác định mức độ an toàn của các hệ mật sử dụng độ dài khóa mã (key length) tham chiếu làm thông số để đo độ mật trong cả hệ mật đối xứng và bất đối xứng. Trong bài báo này, nhóm tác giả tổng hợp một số phương pháp xác định độ an toàn của hệ mật khóa công khai RSA, dựa trên cơ sở các thuật toán thực thi phân tích thừa số của số nguyên modulo N liên quan đến sức mạnh tính toán (mật độ tích hợp Transistor theo luật Moore và năng lực tính toán lượng tử) cần thiết để phá vỡ một bản mã (các số nguyên lớn) được mã hóa bởi khóa riêng có độ dài bit cho trước. Mối quan hệ này giúp ước lượng độ an toàn của hệ mật RSA theo độ dài khóa mã trước các viễn cảnh tấn công khác nhau.
08:00 | 04/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024