Bloggang.com : saysil :

SNIFFER หรือ network wiretap

สนิฟเฟอร์หรือที่เรียกว่า network wiretap เป็นโปรแกรมซึ่งทำหน้าที่ดักจับแพ็กเกตในเครือข่าย โปรแกรมสนิฟเฟอร์จะถอดข้อมูลในแพ็กเกตและ เก็บบันทึกไว้ให้ผู้ติดตั้งนำไปใช้งานสนิฟเฟอร์จึงเป็นโปรแกรมหนึ่งที่แฮกเกอร์นิยมใช้เมื่อเจาะเข้าไปในเครื่องคอมพิวเตอร์ปลายทาย เพื่อใช้ดักจับ ข้อมูลโดยเฉพาะอย่างยิ่งชื่อบัญชีและรหัสผ่านเพื่อนำไปใช้เจาะระบบอื่นต่อไป
เราจะใช้สนิฟเฟอร์สำหรับทำอะไร

โดยส่วนมากแล้วจะมีการใช้โปรแกรมสนิฟเฟอร์อยู่สองรูปแบบคือ ใช้ในการบำรุงรักษาเครือข่าย หรือใช้วิเคราะห์การบุกรุก ตัวอย่างเช่นการวิเคราะห์ ปัญหาของเครือข่ายว่าทำไมเครื่องที่ 1 ไม่สามารถติดต่อกับเครื่องที่ 2 ได้หรือใช้วิเคราะห์ประสิทธิภาพของระบบเพื่อแก้ปัญหาคอขวดหรือใช้ใน การตรวจจับหาผู้บุกรุกระบบ
การทำงานของสนิฟเฟอร์

โทโปโลจีอีเธอร์เน็ตนั้นสร้างมาจากหลักการแชร์ คือ ทุกเครื่องบนเครือข่ายภายในเครือข่ายเดียวกันจะใช้สายตัวกลางสายเดียวกัน ซึ่งหมายความว่า ทุกเครื่องจะรับแพ็กเกตทั้งหมดบนสายตัวกลางนั้นได้ ดังนั้นฮาร์ดแวร์อีเธอร์เน็ตจึงถูกสร้างมาพร้อมกับตัวกรองซึ่งจะไม่สนใจแพ็กเกต ที่ไม่ได้ส่งถึง โดยการตรวจที่ฮาร์ดแวร์แอดเดรส แต่สนิฟเฟอร์จะปิดการทำงานของฟิลเตอร์นั้น และบังคับให้การ์ดเครือข่ายเข้าสู่ภาวะการทำงานที่เรียกว่า "promiscuous mode"
โปรแกรมสนิฟเฟอรส่วนใหญ่ทำงานให้กับอีเธอร์เน็ตการ์ดแทบทุกแบบ และเมื่อจับเฟรมข้อมูลขึ้นมาได้แล้ว ก็จะนำไปใส่ในบัฟเฟอร์ โดยการจับ ข้อมูลมีอยู่ 2 โหมด จับข้อมูลจนกระทั่งบัฟเฟอร์เต็ม หรือใช้บัฟเฟอร์แบบ round-robin (เขียนข้อมูลใหม่ทับข้อมูลที่เก่าที่สุด) โปรแกรมบางชนิด (เช่น BlackICE Sentry IDS ของ Network ICE) สามารถใช้ดิสก์เป็นบัฟเฟอร์แบบ round-robin ในการจับข้อมูลที่ความเร็วเต็มที่ 100 mbps ได้ ซึ่งทำให้มีบัฟเฟอร์ขนาดหลายกิกะไบต์ แทนที่จะใช้เฉพาะหน่วยความจำที่มีขนาดจำกัด
ทำอย่างไรถึงจะป้องกันผู้ที่มาดักจับข้อมูล

เราสามารถป้องกันการดักจับข้อมูลจากภายในเครือข่ายได้หรือทำให้การดักจับยากขึ้น แต่ไม่สามารถป้องกันการดักจับข้อมูลจากภายนอกเครือข่าย ได้ วิธีที่ดีที่สุดในการป้องกันข้อมูลคือ การเข้ารหัสข้อมูล เพราะถึงแม้ว่าผู้อื่นสามารถดักจับข้อมูลได้ แต่ก็ไม่สามารถอ่านข้อมูลได้ วิธีที่ใช้ในการเข้า รหัสข้อมูล มีดังนี้ คือ

SSL "Secure Socket Layer"
นิยมใช้อย่างแพร่หลายในเว็บ เพราะใช้ในการเข้ารหัสข้อมูลผ่านเว็บโดยส่วนใหญ่ จะใช้ในธุรกรรมอิเล็กทรอนิกส์เช่นการกรอกข้อมูลของเครดิตการ์ด

PGP และ S/MIME
E-mail สามารถถูกดักจับข้อมูลได้จากหลายทาน วิธีที่ดีที่สุดในการป้องกันข้อมูลของ mail คือการเข้ารหัสข้อมูลนิยมใช้อยู่สองระบบคือ PGP (Pretty Good Privacy) และ S/MIME
Ssh "Secure Shell"

ใช้สำหรับการล็อกอินเข้าไปใช้งานบนระบบยูนิกซ์ ssh จะใช้ในการเข้ารหัสข้อมูลเพื่อป้องกันการดักจับ ssh เป็นโปรแกรมที่ออกแบบมาใช้แทน telnet
ทำอย่างไรถึงทำให้การดักจับข้อมูลยากขึ้น

การเปลี่ยนจากการใช้ฮับมาเป็นสวิตช์ก็เป็นวิธีการที่ง่ายที่หสุดในการป้องกันระดับต้น แต่วิธีการเช่นนี้ยังมีจุดอ่อนในทางปฏิบัติ เพราะสวิตช์ยังมีการสร้าง แพ็กเกตบรอดคลาสซึ่งเป็นจุดอ่อนทำให้ผู้บุกรุกสามารถปลอมแพ็กเกต ARP เข้ามาใช้งานได้
นอกจากนี้แฮกเกอร์ใช้วิธี "router redirection" โดยวิธีบอกเส้นทางใหม่ที่ใช้ส่งแพ็กเกตไปหาผู้บุกรุกโดยผู้บุกรุกจะปลอมไอพีแอดเดรสเป็นเราเตอร์ ทำให้โฮสต์ต่าง ๆ บนเครือข่ายเข้าใจผิดว่าผู้บุกรุกเป็นเราเตอร์และส่งแพ็กเกตเข้าสู่เครื่องของผู้บุกรุก
ระบบป้องกันส่วนใหญ่มีเครื่องมือช่วยตรวจสอบ เช่น Expert Sniffer ซึ่งคอยตรวจสอบการบุกรุก อย่างเช่น BlackICE IDS บนระบบปฏิบัติการวินโดวส์ ซึ่งจะคอยตรวจสอบและแจ้งต่อผู้ดูแลระบบเมื่อมีการบุกรุกเกิดขึ้น
โดยทั่วไปบนอีเธอร์เน็ตอะแดปเตอร์สามารถกำหนดหมายเลขแมคแอดเดรสเองได้ ดังนั้นจึงเป็นจุดอ่อนให้ผู้บุกรุกเข้ามาปลอมหมายเลขแมคแอดเดรส โดยการปรับเปลี่ยนหมายเลขแมคแอดเดรส บนการ์ดนั้นใหม่ โดยผู้บุกรุกสามารถสร้างแพ็กเกตปลอมหมายเลขแมคแอดเดรสเพื่อให้สวิตช์รู้จัก หมายเลขแม็คแอดเดรส เมื่อสวิตช์รู้จักหมายเลขแมคแอดเดรสแล้วทำให้หมายเลขแมคแอดเดรสนั้นเป็นของผู้บุกรุก
วิธีตรวจหาโปรแกรมสนิฟเฟอร์

ในทางทฤษฎีนั้นเราไม่มีทางที่จะสามารถตรวจสอบหาโปรแกรมสนิฟเฟอร์ได้เลย เพราะว่าตัวโปรแกรมนั้นจะไม่ต่างกับโปรแกรมอื่นทั่ว ๆ ไป โปรแกรม สนิฟเฟอร์นั้นทำงานแบบ "เฉื่อย" (passive) กล่าวคือแค่เพียงดักจับและเก็บแพ็กเกตเท่านั้น แต่จะไม่มีการส่งแพ็กเกตใด ๆ ออกมา
แต่ในทางปฏิบัติจริง ๆ ก็จะมีทางวิธีที่สามารถตรวจหาโปรแกรมสนิฟเฟอร์ได้ เพราะลำพังตัวสนิฟเฟอร์เอง จะไม่มีการส่งแพ็กเกตอะไรออกมาเลย แต่ ถ้านำไปติดตั้งบนเครื่องคอมพิวเตอร์ธรรมดาแล้ว สนิฟเฟอร์นั้นก็อาจมีการส่งแพ็กเกตออกมา เช่นอาจจะมีการร้องขอบริการดีเอ็นเอส เพื่อใช้การหา ชื่อเครื่องของไอพีแอดเดรสที่สนิฟเฟอร์จับได้เป็นต้น ทำให้มีช่องทางตรวจหาเครื่องที่มีสนิฟเฟอร์ได้ วิธีทั่วไปที่ใช้ในการตรวจหาโปรแกรม สนิฟเฟอร์ มีดังนี้
ใช้คำสั่ง Ping

เครื่องที่ถูกติดตั้งสนิฟเฟอร์ยังคงทำงานและให้บริการอื่น ๆ ตามปกติซึ่งหมายความว่าถ้าเราร้องขอบริการไป เครื่องเหล่านั้นก็จะตอบกลับมา เทคนิค หนึ่งก็คือให้ส่งแพ็กเกตร้องขอไปยังไอพีแอดเดรสของเครื่องนั้น แต่ต้องสร้างแพ็กเกตที่ไม่ได้บรรจุอีเธอร์เน็ตแอดเดรสของเครื่องนั้น ขอให้พิจารณา ขั้นตอนต่อไปนี้
สมมติว่าเครื่องที่สงสัยว่ามีสนิฟเฟอร์อยู่นั้น มีไอพีแอดเดรสเป็น 10.0.0.1 และมีอีเธอร์เน็ตแอดเดรสเท่ากับ 00-40-05-A4-79-32
ให้เครื่องที่จะใช้ตรวจสอบอยู่ในเซกเมนต์เดียวกับเครื่องที่สงสัยว่ามีสนิฟเฟอร์ จากนั้นให้เครื่องตรวจสอบสร้างแพ็กเกตที่บรรจุอีเธอร์เน็ต แอดเดรสที่ไม่มีอยู่จริงในเซกเมนต์นั้น เช่นเปลี่ยนเป็น 00-40-05-A4-79-33
ส่ง "ICMP Echo Requrest" (ping) ไปโดยใช้ค่าอีเธอร์เน็ตแอดเดรสใหม่นี้ ไปยังเครื่องที่สงสัยว่ามีสนิฟเฟอร์ ซึ่งในที่นี้คือ 10.0.0.1
ทุกเครื่องที่ได้รับแพ็กเกตจะไม่สนใจต่อแพ็กเกตนี้ เนื่องจากไม่มีเครื่องใดที่มีอีเธอร์เน็ตแอดเดรสนี้ ยกเว้นเครื่องที่ถูกติดตั้งสนิฟเฟอร์ จะ ตอบกลับมาเพราะ เครื่องจะเก็บทุกแพ็กเกตโดยไม่สนใจอีเธอร์เน็ตแอดเดรส และแพ็กเกตนั้นก็ถูกส่งต่อไปยังโปรโตคอลระดับบนเนื่องจากมีไอพี แอดเดรสที่ส่งถึงตัวเอง
เทคนิคนี้เหมาะที่จะใช้บนโทโปโลจี ที่เป็นสวิตช์หรือบริดจ์ เพราะเมื่อสวิตช์พบอีเธอร์เน็ตแอดเดรสที่ไม่รู้จักก็จะกระจายแพ็กเกตไปยังทุกเครื่องที่อยู่ ในเซกเมนต์นั้น ๆ
เราสามารถเพิ่มประสิทธิภาพในวิธีการ ping ได้ดังนี้
ใช้โปรโตคอลประเภทที่มีการส่งไปแล้วมีการตอบกลับมาหาเช่น ใช้ UDP echo (พอร์ต 7)
หรืออาจส่งแพ็กเกตที่มีข้อผิดพลาดไปยังเครื่องที่เราสงสัย เช่นส่งแพ็กเกตที่มีไอพีเฮดเดอร์ผิดพลาดไป เมื่อเครื่องที่เราต้องการตรวจสอบก็จะ ส่ง ECMP กลับไป
วิธี ARP

วิธี ARP จะคล้าย ๆ กับวิธี Ping แต่จะใช้แพ็กเกต ARP แทน โดยส่งแพ็กเกต ARP ออกไปโดยให้อีเธอร์เน็ตแอดเดรสปลายทางที่เป็นค่าใดก็ได้ที่ไม่มี อยู่ในเซกเมนต์นั้น และถ้ามีการตอบการกลับมา แสดงว่าเครื่องที่มีเลขไอพีแอดเดรสนี้จะอยู่ในโหมด promiscuous
วิธี DNS

สนิฟเฟอร์บางตัวจะตรวจหาชื่อโฮสต์โดยอัตโนมัติจากไอพีแอดเดรสที่จับได้
การตรวจจับก็คือ มอนิเตอร์ว่ามีแพ็กเกตการร้องขอตรวจหาชื่อโฮสต์จากเครื่องใดในองค์กร นอกจากนี้ก็ให้ใช้วิธีหลอกโดยการส่งแพ็กเกตที่มี การปลอมไอพีแอดเดรสต้นทาง จากนั้นก็ให้สังเกตว่าแพ็กเกตมีการร้องขอตรวจหาชื่อโฮสต์โดยดูจากหมายเลขไอพีนี้หรือไม่ ถ้ามีก็ให้สงสัยว่า เครื่องนั้นมี สนิฟเฟอร์อยู่
วิธี source - route

วิธีนี้เป็นวิธีที่ใช้สำหรับตรวจจับสนิฟเฟอร์ที่มาจากที่อื่นหรือมาจากเซกเมนต์ข้างเคียงมีขั้นตอนดังนี้
ส่งแพ็กเกต ping ข้ามเซกเมนต์ออกไปยังเครื่อง ๆ หนึ่งที่เซตไว้ว่าจะไม่ตอบกลับไปให้
ถ้าได้รับการตอบกลับมาก็แสดงว่าภายในเซกเมนต์นั้นมีเครื่องที่ใช้โปรแกรมสนิฟเฟอร์อยู่
วิธี decoy
ขณะที่วิธี ping และ ARP นั้นสามารถใช้เฉพาะเครื่องที่อยู่บนเครือข่ายเดียวกัน แต่วิธี decoy นี้จะสามารถใช้ได้ทุกสถานที่
เนื่องจากบางโปรโตคอลอนุญาติให้ใช้รหัสผ่านแบบ "pain text" และแฮกเกอร์ก็พยายามที่จะมองหารหัสผ่านนั้น ๆ โดยการสนิฟ วิธีการของ decoy นั้นคือสร้างไคลเอนต์ซึ่งรันสคริปต์ในการ logon สู่เซิร์ฟเวอร์โดยใช้ telnet, POP/IMAP หรือโปรโตคอลอื่นที่ต้องส่งรหัสผ่าน โดยในเซิร์ฟเวอร์ นั้น จะมีบัญชีพิเศษที่ตั้งไว้หลอกเมื่อแฮกเกอร์ได้บัญชีและรหัสผ่านก็จะพยายามล็อกอินเข้ามา
วิธีโฮสต์

โดยมากเราสามารถตรวจว่ามีการเปิดโหมดแบบ promiscuous โดยใช้คำสั่ง "if config -a" ซึ่งจะได้ผลลัพธ์ดังต่อไปนี้
#ifconfig -a
loOLflag=849mtu8232
inet 127.0.0.1 netmark ff000000
hmenO:flags=863mtu1500
inet 192.0.2.99 netmask ffffff00 broadcast 192.0.2.255
Ether 8:0:20::90:9c:a2:98

ดังนั้นอย่างแรกที่แฮกเกอร์ต้องทำคือต้องซ่อนหรือปลอมแปลงโปรแกรม itconfig เพื่อปกปิด ดังนั้นผู้ดูแลระบบจึงจำเป็นต้องตรวจสอบโปรแกรม ifconfig เป็นประจำเพื่อป้องกันการปลอมแปลงโปรแกรม
วิธี latency

วิธีนี้เป็นรูปแบบหนึ่ง ที่ใช้ประสิทธิภาพของเน็ตเวิร์กมาช่วยป้องกัน คือใช้การสร้างแพ็กเกตหลอกขึ้นมาเข้าสู่เครือข่าย ในเครื่องที่เปิดโปรด promiscous จะมีผลมากในกระบวนการส่งผ่านข้อมูล วิธีง่าย ๆ ซึ่งสามารถตรวจสอบเครื่องที่เปิดโปรด promiscous คือเปรียบเทียบเวลาตอบรับ จากเครื่องก่อนมีการโหลดและหลังมีการโหลดเปรียบเทียบกัน อย่างไรก็ตามวิธีการนี้อาจจะสร้างปัญหาเรื่องสมรรถนะการทำงานโดยรวมให้กับ เครือข่ายในขณะทดสอบได้
เราสามารถรับสนิฟเฟอร์บนเครือข่ายที่ใช้สวิตช์ได้อย่างไร

ในทฤษฎีแล้วเราไม่สามารถดักจับแพ็กเกตในเครือข่ายที่ใช้สวิตช์ได้ แต่ในการปฏิบัติจริงมีหลายวิธีคือ
สวิตช์ Jamming

สวิตช์บางรุ่นนั้นสามารถเปลี่ยนจากระบบ "bridging" เป็นระบบ "repeating" (ส่งทุกเฟรมไปทุกพอร์ต) ได้ โดยการทำให้ตารางเก็บแอดเดรสของ สวิตช์เกิดล้นด้วยแมคแอดเดรสที่ผิด ๆ จำนวนมาก การทำให้ล้นนี้ทำได้โดยส่งสายข้อมูลขยะจำนวนมากที่สุ่มมาไปยังสวิตช์
เปลี่ยนทิศทางเออาร์พี (ARP Redirect)

แพ็กเกตเออาร์พีจะเก็บทั้งแมคแอดเดรสและแมคแอดเดรสที่ต้องการรู้ ยกตัวอย่างเช่น Alice ต้องการหาแมคแอดเดรสของ Bob ซึ่งมีไอพีแอดเดส คือ "192.0.2.2" ดังนั้น Alice ต้องส่งคำร้องขอเออาร์พีด้วยข้อมูลต่อไปนี้
- Operation Request
Alice 192.0.2.173 00-40-05-A4-79-32
Bob 192.0.2.1 ?? ?? ?? ?? ?? ??

การแลกเปลี่ยนข้อมูลจะเป็นดังนี้คือ Alice จะส่งไอพีแพ็กเกตไปยัง Bob เพื่อหาแมคแอดเดรสของ Bob โดยใช้การกระจายเมื่อ Bob ได้รับก็จะส่ง แมคแอดเดรสกลับไปหา Alice
เมื่อ Bob ต้องการจะส่งไอพีแพ็กเกตไปหา Alice นั้น ในทางทฤษฎี Bob จะต้องส่งคำร้องขอเออาร์พีไปยัง Alice เพื่อขอแมคแอดเดรส แต่ว่า Bob ไม่ต้องเพราะ Bob สามารถจำแมคแอดเดรสของ Alice ได้เมื่อ Alice ส่งคำร้องขอเออาร์พีมาขอในครั้งแรก
ในความจริงแล้วทุกเครื่องในเครือข่ายจะเห็นคำร้องขอเพราะว่าเป็นแพ็กเกตแบบกระจาย ดังนั้นถ้า Charles ต้องการ ping ไปหา Alice ก็ไม่จำเป็น ต้องขอเออาร์พีของ Alice เพราะว่า Charles เก็บแมคแอดเดรสไว้แล้ว แม้ว่าจะไม่เกี่ยวข้องกับการแลกเปลี่ยนในครั้งแรก
การกระจายนั้นจะส่งไปยังทุกเครื่องที่อยู่ในอีเธอร์เน็ตสวิตช์ ดังนั้นจึงสามารถหลอกสวิตช์ โดยส่งเออาร์พีที่อ้างเป็นเครื่องอื่น เช่น ผู้บุกรุกกระจาย เออาร์พีโดยอ้างว่าเป็นเราเตอร์ ซึ่งในกรณีนี้ทุก ๆ เครื่องจะพยายามหาเส้นทางเครื่องผู้บุกรุก หรือส่งคำร้องขอเออาร์พีไปยังแมคแอดเดรสของเหยื่อ โดยอ้างว่าเป็นเราเตอร์ ซึ่งเหยื่อก็จะส่งแพ็กเกตผ่านเครื่องที่หลอกมา
เปลี่ยนทิศทางไอซีเอ็มพี (ICMP Redirect)

ไอซีเอ็มพีรีไดเรคจะบอกให้เครื่องส่งแพ็กเกตไปในเส้นทางที่ต่างออกไป ยกตัวอย่างเช่นมี สองซับเน็ตในเซ็กเมนต์เดียวกัน โดย Alice อยู่บนซับเน็ต หนึ่งต้องการคุยกับ Bob ที่อยู่อีกซับเน็ตหนึ่ง แต่ทั้งคู่จะไม่รู้ว่าอยู่บนเซกเมนต์เดียวกัน แต่ว่าเราเตอร์รู้ เมื่อ Alice ส่งแพ็กเกตไปยังเราเตอร์โดยสถานี ปลายทางคือ Bob เราเตอร์ก็จะส่งไอซีเอ็มพีรีไดเรคไปยัง Alice ว่าให้มันส่งแพ็กเกตไปให้ Bob โดยตรงได้เลย
แฮกเกอร์นั้นจะสามารถหลอกได้โดย การส่งรีไดเรคไปยัง Alice แล้ว Alice จะเข้าใจผิดจึงต้องส่งแพ็กเกตของ Bob ไปให้แฮกเกอร์
ประกาศตัวเองว่าเป็นเราเตอร์

ไอซีเอ็มพีเราเตอร์แอดเวอร์ทิสเมนต์ จะแจ้งให้ทุกคนทราบว่าใครเป็นเราเตอร์แฮกเกอร์สามารถส่งแพ็กเกตเหล่านี้ออกไปโดยอ้างว่าเป็นเราเตอร์ ทุกคนก็จะเชื่อและส่งแพ็กเกตผ่านแฮกเกอร์
ปรับการทำงานของสวิตช์

สวิตช์ส่วนมากจะอนุญาตให้ปรับตั้งพอร์ต "monitor" หรือ "span" ได้ ซึ่งจะสำเนาการส่งแพ็กเกตบางส่วนหรือทั้งหมดที่ผ่านสวิตช์ไปยังพอร์ตนี้ ใน ความเป็นจริงแล้วพอร์ตเหล่านี้ได้รับการออกแบบมาสำหรับการตรวจจับแพ็กเกตเมื่อเครือข่ายมีปัญหา แฮกเกอร์สามารถเทลเน็ตไปยังสวิตช์หรือจะ รีคอนฟิกด้วย SNMP ก็ได้ ซึ่งสวิตช์ส่วนมากจะติดตั้งด้วยรหัสผ่านดีฟอลต์
ส่งท้าย

สนิฟเฟอร์ยังคงเป็นเครื่องมือยอดนิยมในหมู่แฮกเกอร์ ผู้ดูและระบบจำเป็นต้องหมั่นตรวจตราและคอยระมัดระวังการติดตั้งสติฟเฟอร์ในเครื่อง เนื่องจากเป็นวิธีการที่ง่ายในการติดตั้งและอาจพบได้เสมอในระบบที่ขาดการดูแล

Create Date : 27 พฤศจิกายน 2551

0 comments

Last Update : 27 พฤศจิกายน 2551 15:38:58 น.

Counter : 1525 Pageviews.