Packet Sniffer là gì? Cách phòng chống tấn công hiệu quả nhất
- 08/02/2023
- LANIT JSC
Packet Sniffer là gì? Đây là công cụ phát hiện lỗi về mạng được nhiều quản trị viên dùng. Tuy nhiên, hacker lại sử dụng để thực hiện trong các cuộc tấn công. Vậy chống tấn công Packet Sniffing như thế nào hiệu quả nhất? LANIT mời các bạn tìm hiểu bài viết dưới đây nhé!
1. Tìm hiểu Packet Sniffer là gì?
Packet Sniffing là quá trình giám sát thông tin được truyền qua mạng. Công cụ này dùng để chẩn đoán và phát hiện lỗi hệ thống mạng. Đối với hacker, họ dùng để truy cập vào lưu lượng mạng và đánh cắp thông tin của người dùng.
Ngoài ra, Packet Sniffing còn ghi và lưu lại dữ liệu từ các máy khách để phân tích sâu hơn. Đặc biệt, công cụ này được sử dụng hợp pháp bởi quản trị viên mạng hoặc hệ thống. Điều này làm nâng cao vấn để giám sát và khắc phục sự cố lưu lượng mạng.
2. Cách thức hoạt động của Packet Sniffer
Packet Sniffer phân tích và trình bày dữ liệu để người dùng xem chi tiết về tình trạng các nút. Từ đó, kỹ thuật viên có thể xác định lỗi từ các thiết bị mạng.
Thông qua các giao diện mạng có dây hoặc không dây mà người dùng có thể quan sát được Packet Sniffer hoạt động. Công cụ có thể ngăn chặn và ghi lưu lượng mạng khi được cấp quyền truy cập vào máy chủ.
Khi các nút truyền dữ liệu qua mạng đều được chia nhỏ thành các gói tin (Packet). Các gói tin này trước khi gửi đến người nhận, sẽ đi qua nhiều nút khác. Mỗi gói tin được gắn một địa chỉ để tránh bị nhầm lẫn trong quá trình truyền tin.
Địa chỉ của gói tin được kiểm tra bởi Network Adapter. Ngoài ra, còn có các thiết bị kết nối nhằm xác định gói tin đó có sử dụng được không. Nếu các nút không nhận được dữ liệu từ các gói, hệ thống sẽ bỏ qua gói đó và nhận gói khác.
Trong giao diện mạng có dây, Packet Sniffer sẽ phụ thuộc vào cấu trúc của mạng. Với gói này, người dùng có thể xem lưu lượng mạng tùy thuộc vào cấu hình, đặt, v.v.
Còn với loại mạng không dây, gói thường chỉ có thể theo dõi một kênh. Nếu máy chủ có nhiều giao diện, Packet Sniffer có thể cho phép quan sát nhiều trang hơn.
Hacker dùng Sniffer để đánh cắp thông tin không được bảo mật tốt. Từ các dữ liệu khai thác được, họ sẽ biết được mật khẩu và mã thông báo xác thực. Sau đó sẽ lên các cuộc tấn công người trung gian và một số gói tin.
3. 14 phần mềm, công cụ được sử dụng trong Packet Sniffer
3.1 Netflow Analyzer
NetFlow Analyzer là một công cụ giám sát băng thông giúp phân tích việc sử dụng băng thông mạng. Công cụ này giúp xác định và tránh sự tắc nghẽn băng thông bằng các báo cáo tùy chỉnh. Đồng thời còn đặt cảnh báo qua email và SMS.
Nhiều tính năng mà NetFlow Analyzer mang lại như:
- Theo dõi và phân tích lưu lượng băng thông trong thời gian thực
- Xây dựng kế hoạch tiết kiệm dữ liệu, dự báo lượng băng thông tiêu tốn
- Giám sát lưu lượng mạng WAN, VoIP và video với Cisco IP SLA
- Giao diện người dùng thân thiện với người dùng và bảng điều khiển có thể tùy chỉnh
3.2 TCPDUMP.org
TCPDUMP là công cụ nhận diện và phân tích các gói dữ liệu mạng trên hệ điều hành Unix/Linux. Công cụ này cho phép khách hàng nhận các gói tin được gửi hoặc nhận trên một máy chủ. Người dùng phân tích gói tin mà TCPDUMP đã lưu lại để kiểm tra bảo mật và kết nối mạng.
Một số tính năng mà Tcpdump mang lại sẽ giúp người dùng phân các gói dữ liệu phù hợp như:
- Theo dõi bản tin và lưu với định dạng PCAP
- Giao diện trực quan với hệ thống Linux sử dụng wireshark
- Cập nhật tình hình dữ liệu nhanh tại DUMP trên terminal
3.3 Kismetwireless.net
Kismetwireless là công cụ giúp người dùng phát hiện ra các lỗi đối với mạng không dây. Hệ thống này được xem là công cụ tuyệt vời dành riêng cho Sniffer. Các tính năng nổi bật nhất của Kismetwireless là:
- Hỗ trợ phiên bản Sniffer 802.11
- Sử dụng nhật ký ngay cả với các công cụ khác như là TCPDump, Wireshark,…
- Sở hữu cấu trúc plugin hỗ trợ mở rộng chức năng quan trọng
- Giao diện cung cấp nhiều tùy chọn xuất gói trong thời gian thực.
3.4 Ether Ape
EtherApe là phần mềm dành cho Unix được mô phỏng theo Etherman. Với các chế độ lớp liên kết, IP và TCP, công cụ đã hiển thị hoạt động mạng bằng đồ họa. Đồng thời còn hỗ trợ các thiết bị Ethernet, SLIP và WLAN, cùng với một số định dạng đóng gói.
EtherApe lọc lưu lượng được hiển thị và đọc các gói từ một tệp cũng như trực tiếp từ mạng. Một số tính năng nổi trội của EtherApe như:
- Lưu lượng mạng được xây dựng và hiển thị bằng đồ họa.
- Người dùng tùy chọn giao thức
- EtherApe hỗ trợ các loại gói như Vlan, IP, IPv6, UDP, TCP, DOMAIN, FTP, HTTP, SNMP, …
- Tùy chọn đối thoại tóm tắt thống kê lưu lượng tổng thể của giao thức.
3.5 Netresec Networkminer
NetworkMiner là một công cụ phân tích pháp y mạng (NFAT) mã nguồn mở dành cho Windows. Công cụ này sử dụng như một công cụ chụp gói/bắt gói mạng thụ động để phát hiện hệ điều hành, phiên, tên máy chủ, cổng mở, v.v.
NetworkMiner cũng có thể phân tích cú pháp các tệp PCAP để phân tích ngoại tuyến và để tạo lại/tập hợp lại các tệp và chứng chỉ được truyền từ các tệp
3.6 Công cụ Paessler PRTG Network Monitor
Paessler PRTG Network Monitor là một giải pháp giám sát mạng tại chỗ và dựa trên đám mây. Nhờ tương thích với Windows 7 trở lên nên hệ thống được sử dụng cho nhiều công ty hiện nay.
Các tính năng chính Paessler PRTG Network Monitor như:
- Theo dõi và cảnh báo băng thông khi có vấn đề
- Xuất bản dữ liệu, hỗ trợ tùy chỉnh và báo cáo
- Phân tích lưu lượng truy cập bằng giao thức luồng hoặc đánh hơi gói
3.7 Wireshark
Wireshark là ứng dụng phân tích mạng được dùng nhiều nhất hiện nay. Người dùng phân tích và xác định vấn đề như: kết nối chậm hoặc truy cập bất thường. Hiện nay, Wireshark dùng để khắc phục sự cố về mạng.
Đồng thời còn có thể kiểm tra các vấn đề liên quan đến bảo mật. Trong khi đó thì Wireshark lại có thể xác minh các network applications. Còn đối với người dùng mạng máy tính bình thường thì Wireshark giúp nâng cao internals giao thức mạng.
3.8 Telerik Fiddler
Telerik Fiddler là phần mềm proxy phát hiện lỗi dành cho web miễn phí. Công cụ này sẽ ghi lại truy cập HTTP/HTTPS giữa ứng dụng của người dùng và hệ thống mạng. Mặc dù dành cho Windows nhưng quản trị viên vẫn dùng được các bản beta dành cho OS X và Linux.
3.9 Colasoft Capsa
Colasoft Capsa là một công cụ dự đoán và phân tích giao thức và hiệu suất mạng. Capsa hỗ trợ chẩn đoán tự động và giải mã gói tin. Đồng thời nhiều tính năng như chụp gói thời gian thực, lập bản đồ mạng, phân tích lưu lượng,…
Công cụ Colasoft Capsa sẽ giám sát và trực quan hóa hành vi mạng. Ngoài ra, còn có thể báo cáo cho người dùng biết về các tài nguyên và băng thông trên máy của mình.
3.10 OmniPeek
Omnipeek là bộ phần mềm phân tích mạng mang lại cho người tính minh bạch và đáng tin cậy. Phần mềm đảm bảo được sự bảo mật cao của ứng dụng và hiệu suất mạng. Omnipeek kết hợp nhiều tính năng như vị trí địa lý trực quan, khả năng sử dụng, bảo mật
Phần mềm sẽ phát hiện ngay lập tức và giải quyết vấn đề của mạng không dây và có dây. Omnipeek thân thiện với người dùng và cung cấp nhiều bảng điều khiển trực quan khác nhau.
Công cụ này ngăn chặn xâm nhập và phát hiện Snort và Suricata. Không những thế còn cho phép người dùng nhập các sự kiện một cách dễ dàng.
3.11 SolarWinds Network Packet Sniffer
SolarWinds Netflow Traffic Analyzer là phần mềm cho phép bạn thu thập dữ liệu từ các luồng lưu lượng truy cập mạng. Công cụ còn chuyển đổi dữ liệu thô thành các biểu đồ dễ hiểu. Phần mềm định lượng chính xác cách hoạt động mạng công ty đang được sử dụng như thế nào.
3.12 Công cụ Steelcentral Packet Analyzer
Steelcentral Packet Analyzer đi kèm với một loạt tính năng mạnh mẽ giúp ích rất nhiều công việc của các quản trị viên. Công cụ tách riêng lưu lượng truy cập chỉ cần thao tác kéo và thả.
Phần mềm sẽ kích hoạt và báo động nếu phát hiện hành vi bất thường. Steelcentral Packet Analyzer quét qua hàng triệu packet để dự đoán và phân tích. Mặt khác còn xác định chính xác các vấn đề trên mạng, trong nhiều trường hợp khác nhau.
3.13 WinDump
WinDump là bộ phân tích mạng dòng lệnh cho UNIX. WinDump hoàn toàn tương thích với tcpdump, được sử dụng để xem, chẩn đoán theo các quy tắc khác nhau.
Công cụ WinDump khắc phục sự cố không dây 802.11b/g thông qua bộ điều hợp CACE Technologies AirPcap. Người dùng có thể sử dụng miễn phí khi phần mềm đã được phát hành theo giấy phép kiểu BSD.
3.14 Scapy
Scapy xử lý tác vụ như quét mạng, theo dõi, kiểm tra đơn vị, tấn công hoặc khám phá mạng. Do khả năng thao tác của mình, Scapy có thể gửi các khung không hợp lệ. Phần mềm này giúp bạn chèn các khung hình 802.11 tùy chỉnh hoặc kết hợp kỹ thuật tấn công khác.
4. Cách phòng tránh hacker sử dụng Packet sniffer đánh cắp dữ liệu
Để phòng tránh tình trạng hacker lợi dụng Packet Sniffer để tấn công mạng, chúng ta cần có nhiều biện pháp. Dưới đây là một số phương pháp mà LANIT gợi ý.
Thứ nhất, sử dụng công cụ Antisniff. Công cụ này sẽ phát hiện khi giao diện mạng của bạn được đưa vào chế độ Promiscuous. Antisniff sẽ thông báo cho người dùng để tránh sự cố xảy ra.
Một cách nữa mà người dùng có thể là sử dụng chứng chỉ SSL hoặc Transport Layer Security (TLS). Các kiểu mã hóa này sẽ ngăn chặn dữ liệu của tải trọng để phát hiện sniffer sai.
Hai cách trên bạn có thể không dùng nhưng bạn phải sử dụng HTTPs và không sử dụng HTTP. HTTPS sẽ mã hóa tất cả các giao tiếp giữa trang web và trình duyệt.
- Website: https://lanit.com.vn/
- Hotline: 0945.96.95.94
- Địa chỉ: Tòa nhà CT5 X2 Bắc Linh Đàm – P.Hoàng Liệt, Q.Hoàng Mai, TP.Hà Nội
