By | March 7, 2022

ภาพรวม

แพ็กเก็ตดมกลิ่นคือโปรแกรมหรืออุปกรณ์ที่ดักฟังการรับส่งข้อมูลเครือข่ายและรวบรวมข้อมูลจากแพ็กเก็ต บางครั้งการดักฟังดังกล่าวดำเนินการโดยผู้ดูแลระบบเครือข่ายเพื่อวัตถุประสงค์ที่เป็นประโยชน์ (เช่น การตรวจจับการบุกรุก การวิเคราะห์ประสิทธิภาพ ฯลฯ) ในทางกลับกัน ผู้บุกรุกที่เป็นอันตรายอาจติดตั้งตัวดักจับแพ็กเก็ตเพื่อดึงชื่อผู้ใช้และรหัสผ่านที่เป็นข้อความชัดเจนจากเครือข่ายท้องถิ่นหรือข้อมูลสำคัญอื่น ๆ ที่ส่งบนเครือข่าย โปรโตคอลที่มีช่องโหว่ (พร้อมรหัสผ่านแบบข้อความธรรมดา) ได้แก่ telnet, pop3, imap, ftp, smtp-auth และ nntp Sniffers ใช้งานได้เพราะอีเธอร์เน็ตได้รับการออกแบบให้แชร์ เครือข่ายส่วนใหญ่ใช้เทคโนโลยีการออกอากาศ ข้อความสำหรับคอมพิวเตอร์เครื่องหนึ่งสามารถอ่านได้โดยคอมพิวเตอร์เครื่องอื่นในเครือข่ายนั้น ในทางปฏิบัติ คอมพิวเตอร์จะไม่สนใจข้อความ ยกเว้นข้อความที่ส่งถึงพวกเขาโดยตรง (หรือเผยแพร่ไปยังโฮสต์ทั้งหมดในเครือข่าย) อย่างไรก็ตาม คอมพิวเตอร์สามารถอยู่ในโหมดสำส่อนและยอมรับข้อความได้ แม้ว่าจะไม่ได้มีไว้สำหรับพวกเขาก็ตาม นี่คือวิธีการทำงานของ Sniffer

ผู้คนคิดว่าคอมพิวเตอร์ที่เชื่อมต่อกับสวิตช์นั้นปลอดภัยจากการดมกลิ่น แต่จริงๆ แล้วไม่เป็นเช่นนั้น คอมพิวเตอร์ที่เชื่อมต่อกับสวิตช์มีความเสี่ยงต่อผู้ดมกลิ่นเช่นเดียวกับคอมพิวเตอร์ที่เชื่อมต่อกับฮับ

นักดมกลิ่นทำงานอย่างไร

คอมพิวเตอร์ที่เชื่อมต่อกับ LAN มีที่อยู่ 2 แห่ง แห่งหนึ่งคือที่อยู่ MAC ที่ระบุแต่ละโหนดในเครือข่ายโดยไม่ซ้ำกัน และถูกจัดเก็บไว้ในการ์ดเครือข่าย ที่อยู่ MAC ถูกใช้โดยโปรโตคอลอีเทอร์เน็ตเมื่อสร้างเฟรมเพื่อถ่ายโอนข้อมูล อีกอันคือที่อยู่ IP ซึ่งใช้โดยแอปพลิเคชัน Data Link Layer (เลเยอร์ 2 ของโมเดล OSI) ใช้ส่วนหัวอีเทอร์เน็ตกับที่อยู่ MAC ของเครื่องปลายทาง Network Layer (เลเยอร์ 3 ของโมเดล OSI) มีหน้าที่ในการจับคู่ที่อยู่เครือข่าย IP กับที่อยู่ MAC ตามที่ Data Link Protocol ต้องการ เลเยอร์ 3 พยายามค้นหาที่อยู่ MAC ของเครื่องปลายทางในตารางที่เรียกว่าแคช ARP หากไม่พบรายการ MAC สำหรับที่อยู่ IP โปรโตคอล Address Resolution Protocol จะออกอากาศคำขอแพ็กเก็ต (คำขอ ARP) ไปยังเครื่องทั้งหมดบนเครือข่าย เครื่องที่มีที่อยู่ IP นั้นตอบสนองต่อเครื่องต้นทางด้วยที่อยู่ MAC ที่อยู่ MAC นี้จะถูกเพิ่มไปยัง ARP Cache ของเครื่องต้นทาง ที่อยู่ MAC นี้จะถูกใช้โดยเครื่องต้นทางในการสื่อสารกับเครื่องปลายทางทั้งหมด

สภาพแวดล้อมอีเธอร์เน็ตพื้นฐานมีสองประเภท – แชร์และสลับ ใน แบ่งปัน สภาพแวดล้อมอีเทอร์เน็ต โฮสต์ทั้งหมดเชื่อมต่อกับบัสเดียวกันและแข่งขันกันเพื่อแบนด์วิดท์ ในสภาพแวดล้อมดังกล่าวจะได้รับแพ็คเก็ตสำหรับเครื่องหนึ่งเครื่องอื่นทั้งหมด คอมพิวเตอร์ทุกเครื่องบนอีเธอร์เน็ตที่ใช้ร่วมกันจะเปรียบเทียบที่อยู่ MAC ปลายทางของเฟรมกับของตนเอง หากทั้งสองไม่ตรงกัน เฟรมจะถูกละทิ้งอย่างเงียบๆ เครื่องที่ใช้ดมกลิ่นจะฝ่าฝืนกฎนี้และยอมรับเฟรมทั้งหมด ว่ากันว่าเครื่องดังกล่าวได้ใส่ลงใน โหมดสำส่อน และสามารถรับฟังการรับส่งข้อมูลทั้งหมดบนเครือข่ายได้อย่างมีประสิทธิภาพ การดมกลิ่นในสภาพแวดล้อมอีเทอร์เน็ตที่ใช้ร่วมกันนั้นเป็นแบบพาสซีฟและด้วยเหตุนี้จึงยากต่อการตรวจจับ

ใน เปลี่ยนแล้ว สภาพแวดล้อมที่โฮสต์เชื่อมต่อกับสวิตช์แทนที่จะเป็นฮับ สวิตช์จะรักษาตารางที่ติดตามที่อยู่ MAC ของคอมพิวเตอร์แต่ละเครื่องและพอร์ตจริงบนสวิตช์ที่เชื่อมต่อที่อยู่ MAC นั้น สวิตช์เป็นอุปกรณ์อัจฉริยะที่ส่งแพ็กเก็ตไปยังคอมพิวเตอร์ปลายทางเท่านั้น เป็นผลให้กระบวนการวางเครื่องเข้าสู่โหมดสำส่อนเพื่อรวบรวมแพ็กเก็ตไม่ทำงาน อย่างไรก็ตาม นี่ไม่ได้หมายความว่าเครือข่ายที่สับเปลี่ยนจะมีความปลอดภัยและไม่สามารถดักจับได้

แม้ว่าสวิตช์จะมีความปลอดภัยมากกว่าฮับ แต่คุณสามารถใช้วิธีการต่อไปนี้เพื่อดมกลิ่นสวิตช์ได้:

· ARP Spoofing — ARP เป็นแบบไร้สัญชาติ นั่นคือ คุณสามารถส่งการตอบกลับ ARP ได้แม้ว่าจะไม่มีการถามใดๆ และการตอบกลับดังกล่าวจะได้รับการยอมรับ ตัวอย่างเช่น เทคนิคหนึ่งคือ ARP Spoof เกตเวย์ของเครือข่าย แคช ARP ของโฮสต์เป้าหมายตอนนี้จะมีรายการเกตเวย์ที่ไม่ถูกต้องและได้รับการกล่าวขานว่าเป็น พิษ. จากนี้ไป การรับส่งข้อมูลทั้งหมดที่กำหนดไว้สำหรับเกตเวย์จะผ่านเครื่องดมกลิ่น เคล็ดลับอีกประการหนึ่งที่สามารถใช้ได้คือการวางยาพิษแคช ARP ของโฮสต์โดยการตั้งค่าที่อยู่ MAC ของเกตเวย์เป็น FF:FF:FF:FF:FF:FF (หรือเรียกอีกอย่างว่า Broadcast MAC)

· น้ำท่วม MAC — สวิตช์เก็บตารางการแปลที่จับคู่ที่อยู่ MAC กับพอร์ตที่มีอยู่จริงบนสวิตช์ ซึ่งช่วยให้พวกเขาสามารถกำหนดเส้นทางแพ็กเก็ตจากโฮสต์หนึ่งไปยังอีกโฮสต์หนึ่งได้อย่างชาญฉลาด สวิตช์มีหน่วยความจำจำนวนจำกัดสำหรับงานนี้ น้ำท่วม MAC ใช้ประโยชน์จากข้อจำกัดนี้เพื่อโจมตีสวิตช์ด้วยที่อยู่ MAC ปลอมจนกว่าสวิตช์จะตามไม่ทัน จากนั้นสวิตช์จะเข้าสู่โหมดที่เรียกกันว่า “โหมดล้มเหลว” จากนั้นสวิตช์จะเริ่มทำหน้าที่เป็นฮับโดยกระจายแพ็กเก็ตไปยังเครื่องทุกเครื่องในเครือข่าย เมื่อนั้นสามารถดมได้อย่างง่ายดาย

การตรวจจับ Sniffers บนเครือข่าย

นักดมกลิ่นมักจะอยู่เฉยๆ – เพียงแค่รวบรวมข้อมูล – และยากเป็นพิเศษที่จะตรวจพบเมื่อทำงานในสภาพแวดล้อมอีเทอร์เน็ตที่ใช้ร่วมกัน อย่างไรก็ตาม การตรวจจับผู้ดมกลิ่นนั้นทำได้ง่ายเมื่อติดตั้งบนเครือข่ายที่ปิดสวิตช์ เมื่อติดตั้งบนคอมพิวเตอร์ sniffer จะสร้างทราฟฟิกจำนวนเล็กน้อย ซึ่งช่วยให้สามารถตรวจจับได้โดยใช้เทคนิคประเภทต่อไปนี้:

· วิธีปิง — คำขอ ping ถูกส่งด้วยที่อยู่ IP ของเครื่องต้องสงสัย แต่ไม่ใช่ที่อยู่ MAC ตามหลักการแล้วไม่มีใครควรเห็นแพ็กเก็ตนี้ เนื่องจากอะแดปเตอร์อีเทอร์เน็ตแต่ละตัวจะปฏิเสธเนื่องจากไม่ตรงกับที่อยู่ MAC แต่ถ้าเครื่องต้องสงสัยกำลังทำการดมกลิ่น มันจะตอบสนองเนื่องจากยอมรับแพ็กเก็ตทั้งหมด

· วิธี ARP — วิธีนี้ขึ้นอยู่กับความจริงที่ว่าเครื่องทั้งหมดแคช ARP (เช่นที่อยู่ MAC) ที่นี่ เราส่ง ARP ที่ไม่แพร่ภาพ ดังนั้นเฉพาะเครื่องที่อยู่ในโหมดสำส่อนเท่านั้นที่จะแคชที่อยู่ ARP ของเรา ต่อไป เราจะส่งแพ็กเก็ต ping ออกอากาศด้วย IP ของเรา แต่เป็นที่อยู่ MAC อื่น เฉพาะเครื่องที่มีที่อยู่ MAC ที่ถูกต้องจากเฟรม ARP ที่ดมกลิ่นเท่านั้นที่จะสามารถตอบสนองคำขอ ping ออกอากาศของเราได้

· บนโฮสต์ท้องถิ่น — หากเครื่องถูกบุกรุก แฮ็กเกอร์อาจปล่อยให้ผู้ดมกลิ่นทำงาน มีโปรแกรมอรรถประโยชน์ที่สามารถเรียกใช้ได้ซึ่งรายงานว่าอะแดปเตอร์เครือข่ายของเครื่องในพื้นที่ถูกตั้งค่าเป็นโหมดสำส่อนหรือไม่

· วิธีการแฝง — ขึ้นอยู่กับสมมติฐานที่นักดมกลิ่นส่วนใหญ่ทำการแยกวิเคราะห์ ซึ่งจะเป็นการเพิ่มภาระให้กับเครื่องนั้น ดังนั้นจึงต้องใช้เวลาเพิ่มเติมในการตอบสนองต่อแพ็กเก็ต ping ความแตกต่างของเวลาตอบสนองนี้สามารถใช้เป็นตัวบ่งชี้ว่าเครื่องอยู่ในโหมดสำส่อนหรือไม่

· ARP Watch — เพื่อป้องกันแฮ็กเกอร์จากการปลอมแปลง ARP เกตเวย์ มียูทิลิตี้ที่สามารถใช้ตรวจสอบแคช ARP ของเครื่องเพื่อดูว่ามีการทำซ้ำสำหรับเครื่องหรือไม่

วิธีการป้องกันการดมกลิ่น

วิธีที่ดีที่สุดในการรักษาความปลอดภัยเครือข่ายจากการดมกลิ่นคือการใช้การเข้ารหัส แม้ว่าสิ่งนี้จะไม่ป้องกันการทำงานของนักดมกลิ่น แต่จะช่วยให้แน่ใจว่าข้อมูลที่รวบรวมโดยนักดมกลิ่นนั้นไม่สามารถตีความได้ นอกจากนี้ ในเครือข่ายแบบสวิตช์ โอกาสที่การปลอมแปลง ARP จะถูกใช้เพื่อวัตถุประสงค์ในการดมกลิ่น เครื่องที่แฮ็กเกอร์มีแนวโน้มว่า ARP-spoof มากที่สุดคือเกตเวย์เริ่มต้น เพื่อป้องกันไม่ให้สิ่งนี้เกิดขึ้น ขอแนะนำให้เพิ่มที่อยู่ MAC ของเกตเวย์ลงในแคช ARP ของแต่ละโฮสต์อย่างถาวร

คำแนะนำเพิ่มเติม ได้แก่ :

· ใช้ SSH แทน telnet

· ใช้ HTTPS แทน HTTP (หากเว็บไซต์รองรับ)

· หากกังวลเกี่ยวกับความเป็นส่วนตัวของอีเมล ให้ลองใช้บริการเช่น Hushmail (www.hushmail.com) ซึ่งใช้ SSL เพื่อให้แน่ใจว่าข้อมูลจะไม่ถูกอ่านระหว่างการส่ง นอกจากนี้ Pretty Good Privacy (www.gnupg.org) ยังสามารถใช้สำหรับเข้ารหัสและเซ็นชื่ออีเมลเพื่อป้องกันไม่ให้ผู้อื่นอ่าน

· ใช้เครื่องตรวจจับดมกลิ่น ตัวอย่างเช่น แพ็คเกจซอฟต์แวร์ PromiScan ถือเป็นเครื่องมือตรวจจับโหนดดมกลิ่นมาตรฐานและแนะนำโดยสถาบัน SANS (SysAdmin, Audit, Network, Security) เป็นแพ็คเกจแอปพลิเคชันที่ใช้ตรวจสอบคอมพิวเตอร์จากระยะไกลบนเครือข่ายท้องถิ่นเพื่อค้นหาอินเทอร์เฟซเครือข่ายที่ทำงานในโหมดที่หลากหลาย