การแฮ็กอย่างมีจริยธรรม - การดมกลิ่น

การดมกลิ่นเป็นกระบวนการตรวจสอบและบันทึกแพ็กเก็ตทั้งหมดที่ส่งผ่านเครือข่ายที่กำหนดโดยใช้เครื่องมือดมกลิ่น มันเป็นรูปแบบหนึ่งของการ "แตะสายโทรศัพท์" และทำความรู้จักกับบทสนทนา เรียกอีกอย่างว่าwiretapping นำไปใช้กับเครือข่ายคอมพิวเตอร์

มีความเป็นไปได้มากที่หากชุดของพอร์ตสวิตช์ขององค์กรเปิดอยู่พนักงานคนหนึ่งของพวกเขาจะสามารถสูดดมปริมาณการใช้งานทั้งหมดของเครือข่ายได้ ทุกคนที่อยู่ในสถานที่ตั้งเดียวกันสามารถเสียบเข้ากับเครือข่ายโดยใช้สายอีเทอร์เน็ตหรือเชื่อมต่อแบบไร้สายกับเครือข่ายนั้นและดักจับปริมาณการใช้งานทั้งหมด

กล่าวอีกนัยหนึ่ง Sniffing ช่วยให้คุณเห็นการจราจรทุกประเภททั้งที่มีการป้องกันและไม่มีการป้องกัน ในสภาวะที่เหมาะสมและด้วยโปรโตคอลที่เหมาะสมฝ่ายที่ถูกโจมตีอาจสามารถรวบรวมข้อมูลที่สามารถใช้สำหรับการโจมตีเพิ่มเติมหรือก่อให้เกิดปัญหาอื่น ๆ สำหรับเครือข่ายหรือเจ้าของระบบ

ดมแล้วได้อะไร?

เราสามารถดมข้อมูลที่ละเอียดอ่อนต่อไปนี้จากเครือข่าย -

  • การรับส่งอีเมล
  • รหัสผ่าน FTP
  • การเข้าชมเว็บ
  • รหัสผ่าน Telnet
  • การกำหนดค่าเราเตอร์
  • เซสชันการแชท
  • การรับส่งข้อมูล DNS

มันทำงานอย่างไร

โดยปกตินักดมกลิ่นจะเปลี่ยน NIC ของระบบเป็น promiscuous mode เพื่อให้รับฟังข้อมูลทั้งหมดที่ส่งในเซ็กเมนต์

โหมดสำส่อนหมายถึงวิธีการเฉพาะของฮาร์ดแวร์อีเทอร์เน็ตโดยเฉพาะอย่างยิ่งการ์ดเชื่อมต่อเครือข่าย (NIC) ที่ช่วยให้ NIC รับทราฟฟิกทั้งหมดบนเครือข่ายแม้ว่าจะไม่ได้ส่งถึง NIC โดยค่าเริ่มต้น NIC จะละเว้นการรับส่งข้อมูลทั้งหมดที่ไม่ได้ถูกส่งถึงซึ่งทำได้โดยการเปรียบเทียบที่อยู่ปลายทางของแพ็กเก็ตอีเทอร์เน็ตกับที่อยู่ฮาร์ดแวร์ (หรือที่เรียกว่า MAC) ของอุปกรณ์ แม้ว่าสิ่งนี้จะเหมาะสมอย่างยิ่งสำหรับระบบเครือข่าย แต่โหมดที่ไม่สำส่อนทำให้ยากที่จะใช้ซอฟต์แวร์การตรวจสอบและวิเคราะห์เครือข่ายสำหรับการวินิจฉัยปัญหาการเชื่อมต่อหรือการบันทึกการจราจร

นักดมกลิ่นสามารถตรวจสอบการรับส่งข้อมูลทั้งหมดไปยังคอมพิวเตอร์ผ่าน NIC ได้อย่างต่อเนื่องโดยการถอดรหัสข้อมูลที่ห่อหุ้มอยู่ในแพ็กเก็ตข้อมูล

ประเภทของการดมกลิ่น

การดมกลิ่นอาจเป็นแบบ Active หรือ Passive ก็ได้

การดมกลิ่นเรื่อย ๆ

ในการดมกลิ่นแบบพาสซีฟการจราจรจะถูกล็อค แต่จะไม่เปลี่ยนแปลง แต่อย่างใด Passive sniffing อนุญาตให้ฟังเท่านั้น ทำงานร่วมกับอุปกรณ์ Hub บนอุปกรณ์ฮับการรับส่งข้อมูลจะถูกส่งไปยังพอร์ตทั้งหมด ในเครือข่ายที่ใช้ฮับในการเชื่อมต่อระบบโฮสต์ทั้งหมดบนเครือข่ายสามารถมองเห็นการรับส่งข้อมูล ดังนั้นผู้โจมตีจึงสามารถดักจับการเข้าชมได้อย่างง่ายดาย

ข่าวดีก็คือฮับเกือบจะล้าสมัยในปัจจุบัน เครือข่ายสมัยใหม่ส่วนใหญ่ใช้สวิตช์ ดังนั้นการดมกลิ่นเฉยๆจึงไม่ได้ผลอีกต่อไป

Active Sniffing

ในการดมกลิ่นการจราจรไม่ได้ถูกล็อคและตรวจสอบเท่านั้น แต่ยังอาจมีการเปลี่ยนแปลงบางอย่างตามที่กำหนดโดยการโจมตี Active sniffing ใช้เพื่อสูดดมเครือข่ายที่ใช้สวิตช์ มันเกี่ยวข้องกับการฉีดยาaddress resolution packets (ARP) เข้าสู่เครือข่ายเป้าหมายเพื่อเปิดสวิตช์ content addressable memoryตาราง (CAM) CAM ติดตามว่าโฮสต์ใดเชื่อมต่อกับพอร์ตใด

ต่อไปนี้เป็นเทคนิคการดมกลิ่นที่ใช้งานอยู่ -

  • MAC น้ำท่วม
  • การโจมตี DHCP
  • DNS เป็นพิษ
  • การโจมตีด้วยการปลอมแปลง
  • ARP เป็นพิษ

โปรโตคอลที่ได้รับผลกระทบ

โปรโตคอลเช่น TCP / IP ที่พยายามและจริงไม่เคยได้รับการออกแบบมาโดยคำนึงถึงความปลอดภัยดังนั้นจึงไม่มีความต้านทานต่อผู้บุกรุกที่อาจเกิดขึ้น กฎหลายข้อให้ตัวเองดมง่าย -

  • HTTP - ใช้เพื่อส่งข้อมูลในรูปแบบข้อความที่ชัดเจนโดยไม่ต้องเข้ารหัสใด ๆ จึงเป็นเป้าหมายที่แท้จริง

  • SMTP(Simple Mail Transfer Protocol) - โดยทั่วไปแล้ว SMTP จะใช้ในการถ่ายโอนอีเมล โปรโตคอลนี้มีประสิทธิภาพ แต่ไม่รวมถึงการป้องกันการดมกลิ่น

  • NNTP (Network News Transfer Protocol) - ใช้สำหรับการสื่อสารทุกประเภท แต่ข้อเสียเปรียบหลักคือข้อมูลและแม้แต่รหัสผ่านจะถูกส่งผ่านเครือข่ายเป็นข้อความที่ชัดเจน

  • POP(Post Office Protocol) - POP ถูกใช้อย่างเคร่งครัดเพื่อรับอีเมลจากเซิร์ฟเวอร์ โปรโตคอลนี้ไม่รวมถึงการป้องกันการดมกลิ่นเนื่องจากสามารถดักจับได้

  • FTP(File Transfer Protocol) - FTP ใช้ในการส่งและรับไฟล์ แต่ไม่มีคุณสมบัติด้านความปลอดภัยใด ๆ ข้อมูลทั้งหมดจะถูกส่งเป็นข้อความที่ชัดเจนซึ่งสามารถดมได้ง่าย

  • IMAP (Internet Message Access Protocol) - IMAP เหมือนกับ SMTP ในการทำงานของมัน แต่มีความเสี่ยงสูงต่อการดมกลิ่น

  • Telnet - Telnet ส่งทุกอย่าง (ชื่อผู้ใช้รหัสผ่านการกดแป้นพิมพ์) ผ่านเครือข่ายเป็นข้อความที่ชัดเจนดังนั้นจึงสามารถดมได้อย่างง่ายดาย

Sniffers ไม่ใช่ยูทิลิตี้โง่ ๆ ที่อนุญาตให้คุณดูเฉพาะการจราจรสด หากคุณต้องการวิเคราะห์แต่ละแพ็กเก็ตจริง ๆ ให้บันทึกการจับภาพและตรวจสอบทุกครั้งที่มีเวลา

เครื่องวิเคราะห์โปรโตคอลฮาร์ดแวร์

ก่อนที่เราจะลงรายละเอียดเพิ่มเติมเกี่ยวกับนักดมกลิ่นสิ่งสำคัญคือเราต้องพูดคุยเกี่ยวกับ hardware protocol analyzers. อุปกรณ์เหล่านี้เสียบเข้ากับเครือข่ายในระดับฮาร์ดแวร์และสามารถตรวจสอบการรับส่งข้อมูลโดยไม่ต้องจัดการกับมัน

  • ตัววิเคราะห์โปรโตคอลฮาร์ดแวร์ใช้เพื่อตรวจสอบและระบุการรับส่งข้อมูลเครือข่ายที่เป็นอันตรายที่เกิดจากซอฟต์แวร์แฮ็กที่ติดตั้งในระบบ

  • พวกเขาจับแพ็กเก็ตข้อมูลถอดรหัสและวิเคราะห์เนื้อหาตามกฎบางประการ

  • เครื่องวิเคราะห์โปรโตคอลฮาร์ดแวร์ช่วยให้ผู้โจมตีสามารถมองเห็นไบต์ข้อมูลของแต่ละแพ็กเก็ตที่ส่งผ่านสายเคเบิล

อุปกรณ์ฮาร์ดแวร์เหล่านี้ไม่พร้อมใช้งานสำหรับแฮกเกอร์ที่มีจริยธรรมส่วนใหญ่เนื่องจากมีค่าใช้จ่ายมหาศาลในหลาย ๆ กรณี

การสกัดกั้นตามกฎหมาย

Lawful Interception (LI) หมายถึงการเข้าถึงข้อมูลเครือข่ายการสื่อสารที่ถูกต้องตามกฎหมายเช่นการโทรศัพท์หรือข้อความอีเมล LI จะต้องเป็นไปตามอำนาจที่ชอบด้วยกฎหมายเพื่อจุดประสงค์ในการวิเคราะห์หรือหลักฐานเสมอ ดังนั้น LI จึงเป็นกระบวนการรักษาความปลอดภัยที่ผู้ให้บริการเครือข่ายหรือผู้ให้บริการอนุญาตให้เจ้าหน้าที่บังคับใช้กฎหมายเข้าถึงการสื่อสารส่วนตัวของบุคคลหรือองค์กร

เกือบทุกประเทศได้ร่างและออกกฎหมายเพื่อควบคุมกระบวนการสกัดกั้นที่ชอบด้วยกฎหมาย กลุ่มมาตรฐานกำลังสร้างข้อกำหนดเทคโนโลยี LI โดยปกติกิจกรรม LI จะดำเนินการเพื่อวัตถุประสงค์ในการป้องกันโครงสร้างพื้นฐานและความปลอดภัยทางไซเบอร์ อย่างไรก็ตามผู้ให้บริการโครงสร้างพื้นฐานเครือข่ายส่วนตัวสามารถรักษาความสามารถของ LI ภายในเครือข่ายของตนเองได้ตามสิทธิโดยธรรมชาติเว้นแต่จะห้ามไว้เป็นอย่างอื่น

LI เดิมชื่อ wiretapping และมีมาตั้งแต่เริ่มมีการสื่อสารทางอิเล็กทรอนิกส์