:complaint:Bài viết về chủ đề này có rất nhiều ở trên mạng, và chắc hẳn trong chúng ta ít nhiều gì cũng nghe nói về cái này. Vậy Sniffer là gì? Sniffer là kỹ thuật được sử dụng để bắt dữ liệu thô trên đang lưu chuyển trên đường dây, các admin quản trị hệ thống có thể ứng dụng nó để tìm hiểu kỹ hơn về cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái gì đang sử dụng băng thông, chỉ ra những thời điểm mà việc sử dụng mạng đạt cao điểm, chỉ ra các khả năng tấn công và các hành vi phá hoại, và tìm ra các ứng dụng không được bảo mật để quản trị hệ thống được tốt hơn. Nguyên lý làm việc của Sniffer là kỹ thuật ARP Cache Poisoning (đầu độc ARP): Như ta đã biết ở mô hình 7 lớp OSI, các máy tính và thiết bị trong một mạng liên lạc với nhau thông qua địa chỉ IP. Và Switch có nhiệm vụ phiên dịch địa chỉ MAC sang địa chỉ IP và ngược lại. Quá trình phiên dịch được thực hiện thông qua giao thức của tầng Network là ARP (Address Resolution Protocol). Khi máy tính A gởi dữ liệu cho máy tính B, thì nó sẽ gởi 1 request ARP đến Switch mà nó kết nối. Ban đầu, Switch sẽ gởi 1 gói tin ARP broadcast tới tất cả các cổng, khi máy B nhận được gói tin này nó sẽ trả về địa chỉ MAC của nó và Switch sẽ lưu vào MAC Address Table và định tuyến được kết nối giữa máy A và máy B. Như vậy, bằng cách nào đó ta sẽ gởi 1 gói tin ARP với địa chỉ MAC giả tạo tới Switch nhằm đánh lừa Switch và tiến hành bắt các gói tin. Nói nôm na cho dễ hiểu là: máy A muốn send 1 gói tin đến máy B, gói tin được truyền từ máy A đến Switch để Switch truyền đến máy B. Hacker ngồi ở máy C la lên rằng tao là B nè nhằm đánh lừa Switch để nhận gói tin, sau đó gởi chuyển tiếp cho máy B. Anh em có thể tìm hiểu kỹ hơn tại đây. Hacker có thể lợi dụng kỹ thuật này để thực hiện Sniffer các loại thông tin mà họ muốn. Có rất nhiều tool để thực hiện công việc Sniffer như: Cain & Abel , Ethereal , EtherPeek, EffeTechHTTP Sniffer, Switch Sniffer, .v.v. Ở bài viết này, tôi sẽ sử dụng 2 máy: 1 máy XP làm Attacker (192.168.1.100), 1 máy 2K3 làm victim (192.168.1.101), 1 Router ADSL Zyxel (192.168.1.1) và 1 Switch. Công cụ Cain & Abel để tiến hành get password khi victim login vào mail. Sau khi download phiên bản mới nhất về, ta tiến hành cài đặt công cụ Cain & Abel. Quá trình cài đặt như ta cài đặt một phần mềm thông thường, cứ Next và Finish nhé. Lưu ý là trong quá trình cài đặt, chương trình sẽ yêu cầu cài gói phần mềm hỗ trợ WinPcap, ta chọn Install và cài đặt luôn nhé. Để tiến hành bắt gói tin, ta làm theo các bước sau đây: B1: Khởi động Cain & Abel lên nào. Giao diện của chương trình như sau: B2: Ta chuyển sang tab Sniffer >> Chọn Configure >> Chọn Card mạng giao tiếp với hệ thống mạng để tiến hành nghe lén. >> Apply >> OK B3: Chọn Start Sniffer B4: Chọn Add to List (+). Ở đây, ta để mặc định luôn nhé. >> OK B5: Chương trình sẽ liệt kê ra các máy có trong hệ thống mạng. B6: Ta chuyển sang tab ARP. Ta click chọn vào bảng 1 cái để nút Add to List (+) sáng lên. Chọn Add to List (+) >> Chọn địa chỉ Router để sniff >> Chọn các máy ta muốn sniffer >> OK B7: Chọn Start ARP. Vậy là quá trình nghe lén của ta bắt đầu. Bây giờ, ta chỉ việc ngồi đợi victim login vào Yahoo là dính chấu. Giả sử victim truy cập vào http://mail.yahoo.com và đăng nhập thành công. B8: Ta quan sát quá trình Sniffer của tool nào. B9: Chuyển sang tab Password. Chọn HTTP >> Xem kết quả nhé. Password login Yahoo Mail của victim đã bị ta dớt rồi đó. Trên đây, tôi chỉ khái quát sơ để anh em hiểu rõ hơn về kỹ thuật Sniffer, anh em có thể tự tìm hiểu và khai thác thêm về các chức năng khác nhé. Tìm hiểu là để mở mang kiến thức, chứ không phải tìm hiểu để phá. Anh em tùy mục đích mà sử dụng nhé!