2007/May/08

ว่าแล้วก้อมาเขียนต่อดีกว่า

ครั้งที่แล้วบอกไปแล้ว ตามหนังสือ Cisco จะบอกว่า Hub จะ Sniff ได้ แต่ Switch เนี่ย Sniff ไม่ได้นะจ๊ะ อย่าพยายามลอง แล้วจาเชื่อดีมั้ยเนี่ย งั้นเรามาแหกหนังสือกันดีกว่า

วิธีมันก้อมีอยู่ว่า ก้อต้องเข้าใจหลักการทำงานของ Switch ก่อนว่าทำไมถึง Sniff ไม่ได้

* Switch จะสร้างตาราง MAC Address แล้ว Forward Packet ออกไปตามตาราง ทำให้ข้อมูลถูกส่งออกที่ Port ที่ถูกต้องเท่านั้น (มันเลย Sniff ไม่ได้นี่เอง)

* ไม่เพียง Switch ที่ใช้ประโยชน์จาก MAC Address ไอ้เครื่องคอมเนี่ย ก้อใช้ด้วย แถมยังต้องมีคำสั่ง ARP และ RARP เพื่อหา IP Address

*** ถ้าเราสามารถปลอมตารางหละ เหอๆๆๆ อะไรจะเกิดขึ้นหละ ข้อมูลก้อจะถูกส่งมาหาเรานี่เอง ห้า!!!! รู้งี้แล้วทำไงหละ


วิธีการ Sniff บน Switch (ทุกยี่ห้อ)
- ARP Poisoning เป็นวิธีการส่ง ICMP ตารางปลอมไป แก้ไขให้ Switch งงเล่นๆ
- โปรแกรมที่เกี่ยวข้อง เช่น Ettercap

ข้อควรระวัง
- สังเกตเห็นว่า ในเชิงเทคนิคแล้วไม่ได้หลอก Switch ง่ายๆหรอกนะ แถมมีเครื่องคอมในระบบตั้งเท่าไหร่ จึงต้องมีการส่ง ICMP ปลอมๆมากมาย ICMP Flooding ถ้ามีคนฉลาดกว่านั่ง Sniff เราต่อ โดนแน่ๆคับพี่น้อง แถมรู้ด้วยว่าแอบดักจับใครอยู่

- โปรแกรมที่ใช้จับคนทำ ARP Poisoning => พวกแนว Network Statistic เช่น NTOP ดูแค่ ICMP ก็พอ มันจะบ้ามหาศาลผิดปกติ


พอพูดถึงตรงนี้แล้วเนี่ย เลยอยากบอกว่า อย่าไว้ใจทางอย่าวางใจอุปกรณ์คับ เห็นแล้วนะคับว่า Switch ก้อโดน Sniff ได้ แล้วเราควรทำกันไงดี ไม่มีวิธีป้องกันกันเลยรึ

---------------------------> ต่อภาคหน้า (อีก)



ปล. ความง่ายในการโดน Sniff
ร้านเกมส์ >>> ออฟฟิศ > ห้องเรียนคอมพิวเตอร์ > บ้าน
Wireless > Hub > Switch > Router > ADSL >= Dialup
จิงๆแล้ว Router, ADSL, Dialup แทบจะ Sniff ไม่ได้อยู่แล้ว



Comment

Comment:

Tweet


เออ ค่อยอ่านรู้เรื่องหน่อย ฮะๆ
#2 by zkan At 2007-05-09 03:39,
มาทีหละหน่อยดีจัง อิอิ
อ่านไม่เหนื่อยดี จะได้จำได้

อยากให้มีภาพประกอบจังค่ะ ^^
#1 by #G~nap# At 2007-05-08 22:36,