Tổng quan về Sniffer là gì?

Packet sniffer – còn được gọi là bộ phân tích gói, bộ phân tích giao thức hoặc bộ phân tích mạng – theo dõi lưu lượng truy cập internet của bạn – bao gồm các trang web bạn truy cập và bất kỳ thứ gì bạn tải xuống hoặc tải lên – trong thời gian thực, khiến chúng có khả năng xâm nhập vào máy bạn khá mạnh. Nhưng có nhiều loại sniffer khác nhau, chúng có thể là phần cứng hoặc phần mềm.

Sniffers hoạt động bằng cách kiểm tra các luồng data packet (gói dữ liệu) truyền giữa các máy tính trong mạng cũng như giữa các máy tính nối mạng Internet. Packet Sniffer hay Protocol Analyzer là những công cụ thường được các kỹ thuật viên sử dụng để chuẩn đoán và phát hiện lỗi hệ thống mạng và các vấn đề liên quan. Còn các hacker thì sử dụng chúng với mục đích xấu như theo dõi bí mật network traffic và thu thập thông tin mật khẩu người dùng.

Vậy Sniffer “xấu tính” cụ thể là gì?

Nhưng nếu bạn đang ở đây tự hỏi “virus sniffer là gì”, thì có lẽ bạn đang quan tâm nhiều hơn vào kiểu sniffer độc hại: mã gián điệp. Hacker có thể “đánh hơi” được vòng đời truy cập của bạn, cho phép chúng ghi lại và phân tích mọi thứ bạn đang làm bằng sniffer. Trong đó bao gồm tên người dùng, mật khẩu, chi tiết thẻ tín dụng và các thông tin cá nhân ngoài ra còn nhiều thông tin nhạy cảm khác. Rõ ràng là bạn không muốn bị dính kiểu sniffer đó bây giờ và kể cả sau này. Chúng tôi sẽ tìm hiểu một số mẹo để giúp bạn ngăn chặn thủ đoạn ấy. Đầu tiên, chúng tôi sẽ trình bày chính xác cách thức hoạt động tính năng dò tìm của sniffer và phân tích các kiểu ứng dụng khác nhau của sniffer.

Nhưng trước khi tiếp tục -chúng ta cần phân biệt rõ sniffer và virus không hề giống nhau. Virus là một loại phần mềm độc hại chiếm quyền điều khiển các phần mềm khác trên thiết bị của bạn và sửa đổi phần mềm đó để sao chép và lây lan virus. Sniffer không hoạt động theo cách đó và đôi khi, chúng thậm chí còn không phải là phần mềm. Có rất nhiều sniffer tồn tại dưới dạng là các thiết bị phần cứng riêng lẻ.

Sniffer có nhiều tên gọi, bao gồm bộ phân tích gói, bộ phân tích giao thức hoặc bộ phân tích mạng như đã nói ở trên, cũng như máy dò mạng, máy dò tìm không dây và máy dò Ethernet. Từ đó hành động lợi dụng sniffer có thể được thực hiện thông qua phần mềm hoặc phần cứng, tùy thuộc vào mục đích của người sử dụng. Về cơ bản, chúng sử dụng sniffer để nắm bắt, giải mã và diễn giải các gói dữ liệu được gửi qua mạng bằng TCP / IP hoặc các giao thức khác.

Phần mềm sniffer dò tìm mạng được sử dụng để làm gì?

Sniffer ban đầu được thiết kế dành cho các kỹ sư mạng (network engineer) chuyên nghiệp sử dụng để theo dõi lưu lượng và đảm bảo quá trình sử dụng mạng phù hợp. Nhưng thật không may, những hacker là những kẻ rất xảo quyệt, và hiện chúng đang lợi dụng các phần mềm sniffer có sẵn trên mạng (đôi khi thậm chí là miễn phí!).

Sniffer là công cụ được sử dụng bởi:

Kỹ sư mạng (Network engineer): Để tối ưu hóa mạng của họ, các kỹ sư phải theo dõi lưu lượng truy cập của họ.

Quản trị viên hệ thống (System administrator): Tương tự, quản trị viên cần quan sát lưu lượng truy cập để thu thập dữ liệu về các chỉ số như băng thông khả dụng. Họ cũng có thể kiểm tra xem các hệ thống cụ thể đang hoạt động như thế nào, chẳng hạn như tường lửa, cũng như khắc phục sự cố.

Các chuyên gia an ninh mạng (Cybersecurity professional): Nhân viên Cybersec có thể học được nhiều điều từ việc giám sát mạng của họ. Tăng đột biến bất thường hoặc các loại lưu lượng truy cập khác nhau có thể chỉ ra phần mềm độc hại hoặc tin tặc trong hệ thống.

Chủ sở hữu công ty: Người sử dụng lao động có thể sử dụng phần mềm sniffer để theo dõi nhân viên của họ và tìm hiểu xem họ có đang chill Netflix trong khi lượng công việc họ còn dang dở.

Hacker: Nói chung, mọi tin tặc đều khai thác phần mềm sniffer để theo dõi mọi người và đánh cắp dữ liệu cá nhân của họ, thường với mục tiêu cuối cùng là đánh cắp danh tính hoặc để chiếm đoạt tài sản. Ngoài ra còn uy hiếp tống tiền bằng những thông tin nhạy cảm.

Tóm lại, đây chỉ là một số trong nhiều cách mà các trình sniffer dò tìm mạng được sử dụng:

Đối với mục đích bảo trì mạng, các mục đích sử dụng hợp pháp của trình sniffer là:

• Nắm bắt các gói dữ liệu
• Ghi lại và phân tích lưu lượng truy cập
• Giải mã gói tin
• Khắc phục sự cố mạng
• Kiểm tra tường lửa
• Đảm bảo lưu lượng truy cập thông suốt

Việc sử dụng sniffer bất hợp pháp, về cơ bản là do thám thông tin, bao gồm:

• Nắm bắt thông tin cá nhân như tên người dùng, mật khẩu, số thẻ tín dụng, v.v.
• Ghi lại các liên lạc như email và các tin nhắn theo thời gian thực
• Giả mạo danh tính
• Đánh cắp tiền từ những thông tin mật về tài khoản, ..v.v

Cách Sniffer vận hành?

Đầu tiên, một số thông tin cơ bản về “lưu lượng truy cập” trên internet mà chúng tôi đã đề cập. Cũng giống như khi ô tô (chở người) tạo nên luồng giao thông di chuyển trên đường, lưu lượng truy cập internet bao gồm các gói (mang dữ liệu) di chuyển qua một mạng. Khi bạn đang ngồi ở nhà, bạn hầu như không biết mặt mũi người đang lái các chiếc oto ngoài kia, nhưng nếu có một chiếc xe tải đậu trước nhà của bạn, bạn có thể kiểm tra xem ai đang ở bên trong. Tương tự như vậy, máy tính của bạn bỏ qua hầu hết lưu lượng truyền qua mạng và chỉ kiểm tra các gói dữ liệu cụ thể được gửi đến nó.

Do đó, có thể xem những sniffer giống như một trạm thu phí – chúng được cử đến để kiểm tra tất cả những chiếc xe đang chạy trên đường, không chỉ những chiếc chạy trong làn xe tải mà cả xe máy. Những sniffer không có bộ lọc sẽ kiểm tra mọi chiếc oto – chúng thu thập tất cả lưu lượng truy cập đi qua một mạng. Còn những sniffer có bộ lọc có thể được cài đặt cấu hình để chỉ kiểm tra một số loại lưu lượng nhất định. Điều này giống như một trạm thu phí chỉ dừng xe BMW hoặc chỉ xe oto màu xanh lam, tùy thuộc vào loại phương tiện giao thông mà chủ nhân của trạm thu phí / sniffer này quan tâm.

Nhưng chúng ta hãy đi sâu vào các chi tiết kỹ thuật hơn nữa về cách thức hoạt động của sniffer dò tìm mạng. Và việc sniffer có thể được thực hiện bằng phần mềm hoặc phần cứng.

Người quản lý mạng hoặc quản trị viên hệ thống có thể sử dụng phần cứng, chẳng hạn như bộ định tuyến có khả năng dò tìm được tích hợp sẵn. Sniffer dưới dạng phần cứng bao gồm một bộ adapter đặc biệt kết nối với mạng hiện có. Bộ adapter thu thập dữ liệu và lưu trữ hoặc gửi dữ liệu cùng đến người đang thu thập chúng để kiểm tra thêm.

Thay vào đó, các hacker có xu hướng sử dụng sniffer dưới dạng phần mềm. Thông thường, máy tính sẽ bỏ qua tất cả lưu lượng truy cập đến nơi khác trong mạng, nhưng các ứng dụng này về cơ bản sẽ thay đổi cài đặt và quyền của máy tính để thu thập và sao chép tất cả các gói dữ liệu có sẵn trên mạng. Điều này cho phép hacker lưu trữ tất cả dữ liệu mạng và phân tích chúng sau đó. Phương thức này được gọi là chế độ “lăng nhăng” (promiscuous), nó hoạt động lén lút và không hạn chế.

Người dùng máy tính bình thường có thể gặp phải những kẻ “dòm ngó” này qua việc truy cập các trang web không an toàn, tự động tải xuống các ứng dụng bất chính hoặc tự mắc vào một trò lừa đảo nào đó bao gồm các tệp đính kèm, liên kết bị nhiễm hoặc sử dụng mạng Wi-FI không an toàn ở những nơi công cộng.

Tấn công Sniffer chủ động và thụ động

Tùy thuộc vào loại mạng bạn đang sử dụng, hacker sẽ sử dụng các phương pháp sniffer khác nhau.

Nếu mạng của bạn được cấu trúc bằng cách sử dụng các hub – kết nối nhiều thiết bị với nhau trên một mạng – thì tất cả lưu lượng truy cập đều di chuyển tự do. Điều đó có nghĩa là máy tính của bạn hiện đang nhận được tất cả lưu lượng truy cập trên mạng, nhưng nó bỏ qua mọi thứ không liên quan đến nó. Hacker sẽ chèn một sniffer thụ động và thay vì bỏ qua những lưu lượng truy cập không liên quan, nó sẽ hấp thụ tất cả. Kiểu sniffer thụ động này khá khó để phát hiện.

Nếu bạn đang sử dụng một hệ thống mạng lớn hơn, với nhiều máy tính được kết nối hơn, thì không phải tất cả lưu lượng truy cập đều có thể đến được tất cả các thiết bị. Trong trường hợp này, bộ chuyển mạch mạng (switch) được sử dụng để chỉ lưu lượng truy cập đến thiết bị cụ thể mà nó được sử dụng. Để một hacker có thể thu thập dữ liệu thành công trong loại môi trường này, chúng phải bỏ qua các ràng buộc được thực thi bởi các thiết bị chuyển mạch, bắt đầu cấu hình cho sniffer một cách chủ động. Điều này thường được thực hiện bằng cách thêm lưu lượng bổ sung vào mạng, tuy nhiên điều này cũng làm cho nó dễ dàng phát hiện hơn là sniffer thụ động.

Cách bảo vệ hệ thống của bạn khỏi sniffer

Như người ta đã nói, phòng bệnh hơn là chữa bệnh, và điều này chắc chắn đúng khi nói đến những kẻ lợi dụng sniffer để đánh cắp thông tin trên mạng. Dưới đây là những cách tốt nhất để trang bị hàng phòng thủ của bạn:

1. Sử dụng phần mềm chống virus mạnh: Phần mềm chống virus mạnh sẽ ngăn mọi phần mềm độc hại xâm nhập hệ thống của bạn. Nó cũng sẽ phát hiện bất kỳ thứ gì không nên có trên máy tính của bạn, chẳng hạn như sniffer và giúp bạn xóa nó
2. Tránh sử dụng Wi-Fi nơi công cộng: Các mạng Wi-Fi mở, chẳng hạn như các mạng Wi-Fi trong quán cà phê hoặc sân bay, chúng đều không đáng tin cậy. Việc các hacker lợi dụng sniffer lên toàn bộ hệ thống mạng là quá dễ dàng. Bạn nên tránh hoàn toàn việc sử dụng chúng, trừ khi bạn chắc chắn rằng … điện thoại, máy tính của bạn không có thông tin gì “nguy hiểm”.
3. Sử dụng VPN: Mạng ảo riêng đã được mã hóa kết nối và ẩn tất cả dữ liệu được gửi từ máy tính của bạn qua internet. Điều đó có nghĩa là kẻ theo dõi lưu lượng truy cập của bạn sẽ chỉ thấy thông tin xáo trộn và dữ liệu của bạn sẽ vẫn an toàn.
4. Tránh các giao thức không an toàn: Một cách khác để đảm bảo dữ liệu của bạn luôn được bảo vệ là khi bạn lướt web hãy kiểm tra link bạn truy cập có HTTPS không. Khi nhìn vào thanh địa chỉ của một trang web (ví dụ: https://topdev.vn/blog/), bạn sẽ thấy HTTP hoặc HTTPS. Một số trình duyệt sẽ hiển thị biểu tượng khóa để biểu thị HTTPS (và nếu bạn nhấp vào thanh địa chỉ để mở rộng URL, bạn cũng sẽ thấy HTTPS ở đó). Chỉ HTTPS là an toàn, có nghĩa là thông tin liên lạc của bạn đã được mã hóa. HTTP thì không an toàn và trình duyệt của bạn có thể hiển thị một chữ i thay vì biểu tượng khóa. Bạn nên tránh HTTP khi có thể, và đặc biệt nên làm như vậy khi mua sắm trực tuyến.
     Hiểu hơn HTTPS với bồ câu đưa thư
5. Cẩn thận với mọi thứ trên mạng: Như đã lưu ý trước đó, tội phạm mạng sử dụng các phương pháp như email lừa đảo và các trang web bị nhiễm để lừa nạn nhân vô tình tải xuống trình sniffer. Luyện tập các thói quen sử dụng trình duyệt web thông minh và tránh xa bất cứ điều gì khiến bạn khó hiểu.

Cách phát hiện sniffer trên hệ thống mạng của bạn

Như đã nói ở trên, sniffer thụ động rất khó bị phát hiện. Sniffer chủ động có thể nhìn thấy rõ hơn một chút, nhưng bạn vẫn sẽ cần một số hiểu biết về công nghệ. Nếu bạn nghi ngờ có thể có một trình sniffer ở trong máy bạn, bạn có thể dùng chính sniffer của riêng mình để khắc chế lại và theo dõi tất cả lưu lượng DNS trong mạng của bạn để phát hiện bất kỳ hoạt động đáng ngờ nào.

Một lựa chọn dễ dàng hơn là dựa vào các phương pháp phòng chống được đề cập ở trên, đặc biệt là sử dụng phần mềm chống virus và mạng riêng ảo (VPN) để mã hóa kết nối của bạn.

Xóa/gỡ sniffer như thế nào

Nếu bạn phát hiện ra mình bị nhiễm một phần mềm sniffer chuyên nghiệp, bạn cần phải gỡ bỏ phần mềm độc hại ngay. Bạn có thể thực hiện việc này thủ công bằng cách kiểm tra tất cả các ứng dụng hiện có trên máy tính của mình. Nhìn vào thư mục Tải xuống của bạn và sắp xếp theo ngày. Nếu bạn tìm thấy một số chương trình gần đây mà bạn không nhớ là mình đã cài đặt, hãy xóa chúng ngay lập tức. Tuy nhiên, bạn có thể sẽ gặp một phần mềm sniffer không cho phép gỡ cài đặt.

Trong trường hợp đó, bạn sẽ cần sử dụng công cụ chống phần mềm độc hại mạnh khác (đừng tải bậy trúng thêm cái sniffer nữa đó), các công cụ này sẽ quét và xóa phần mềm độc hại. Nó cũng có các biện pháp bảo vệ đặc biệt chống lại các bản tải xuống tiềm ẩn sniffer, các liên kết không an toàn và các tệp đính kèm email có hại, ngăn chặn những sniffer và virus khác.

Vài ví dụ về packet sniffers

– tcpdump (một công cụ dòng lệnh cho Linux và các hệ điều hành dựa trên Unix khác)

– CloudShark

– Cain and Abel

– Microsoft Message Analyzer

– CommView

– Omnipeek

– Capsa

– Ettercap

– PRTG

– Free Network Analyzer

– NetworkMiner

– IP Tools

Có một số công cụ sniffer miễn phí hoặc rẻ tiền trên mạng. Hầu hết chúng đều được bán trên thị trường với mục đích giúp bạn tìm hiểu về cách nắm bắt và phân tích lưu lượng mạng để khắc phục sự cố. Các giải pháp như Wireshark và CloudShark chỉ được cung cấp cho các mục đích sử dụng hợp pháp. Bên cạch đó thì cũng tồn tại những cái bất hợp pháp, chẳng hạn như BUTTsniffer.

Miễn là bạn làm theo các mẹo phòng tránh của chúng tôi ở trên, hy vọng bạn sẽ không gặp phải bất kỳ kẻ “dòm ngó” nào trong quá trình lướt web hằng ngày.

Có thể bạn quan tâm:

• 9 tuyệt kỹ “hack” JavaScript mà bạn nên biết
• Tôi đã hack 40 trang web trong vòng 7 phút như thế nào?
• 13 trang web bạn có thể hack thoải mái, hợp pháp, để luyện kỹ năng

Xem thêm các việc làm Developer hấp dẫn tại TopDev