วันศุกร์ที่ 9 มีนาคม พ.ศ. 2555

Hack&Programing&Virus&Tip esn....

อันนี้คือแทบหมดหัวเลย  :( :(
Hack
 การแฮกผ่าน Thum Drive  :o
บทนี้จะเป็ฯการแฮกผ่าน thum drive หรือ แฮกโดยติดตั่งโปรแกรามลงเรื่องเหยื่อ (ได้ผมระยะยาว) เหมากับมือใหม่หัดแฮค
 โปรแกรมที่แนะนำต่อไปนี้มี  MessenPass  แกะรหัสผ่าน ของ Msn  Yahoo ICQ  เป็นต้น
                                   Mail Pass view  แกะรหัสผ่านของเว็บเบสอย่าง Hotmail Yahoo และโปรแกรม outlook Express
                                   Protected Stprage Pass view แกะรหัสที่เก็บไว้ในเครื่อง PC เช่น Msn Express เป็นต้น
                                   Dialupass แกะรหัส ของ Dial-up,RAS,VPN

   จากที่ตรวจดูแล้ว โปรแกรมเหล่านี้ไม่ใช่ spyware หรือ Trojan  แต่ก้ยังหวั่นเพราะ โปรแกรมพวกนี้แจกฟรี ต้องเสี่ยงใช้งานเอง ไม่รับผิดชอบเมื่อมีปัญหาเกิดขึ้น

ปัญหาที่1 ??? เราจะลงเข้าเครื่องเจ้าบอยตรงๆได้เรื่องแน่ เพราะ วินโดว์ของโปรแกรมแสดงออกมา เมื่อเข้าไปอ่านรายละเอียดพบว่าทั่ง4โปรแปรมแกรม สามารถเรียกผ่าน คอมมานไลด์ได้ ซึ่งการรันลักษณะนี้วินโดว์จะไม่แสดงออกมา

 ปัญหาที่2 กว่าจะรันโปรแกรมเสจ ก้โดนจับได้พอดี มีตั่ง4โปรแกรมแกรม  การแก้ปัญหาคือเขียนแบตไฟล์ทั่ง4เอาไว้
ตัวอย่างคือ Star.bat
                           @echo off
                           mspass/stex acc1.txt
                           mailpv/stex acc2.txt
                           dialupass/stex acc3.txt
                           paspv/stex acc4.txt
ในการทำอย่างนี้จะไม่มีการแสดงคำสั่งต่าง
ระหว่างแบตไฟล์ทำงาน โดยการรันโปรแกรมตามลำดับ โดยเกบผลการทำงานไว้ในไฟล์ acc1.txt acc2.txt ตามลำดับ
การรันแบตไฟล์จะใช้วิธีการดับเบิ้ลคลอกผ่าน star.bat  เพื่อสั่งรันเหมื่อนโปรแกรมทั่วๆไปเมื่อรัน คอมมานไลด์จะแสดงว่างๆออกมา เมื่อรันเสจ วินโดว์คอมมานไลด์จะปิดตัวมา จะการทดลองใช้เวลาไม่ถึง2 - 4 วินาที

 ปัญหาที่3การเอาพวกนี้ใส่ ทัมไดฟ์ เพื่อเตรียมรันเข้าเครื่องชาวบ้าน หากเจ้าของเครื่องขอดูว่ามีโปรแกรมอะไรบ้าง  ไอคอนโปรแกรมจะแสดงออกมาโทงๆเลย ยิ่งมีชื่อไฟล์ว่าpass ยิ่งชวนสงสัย
แค่เปลี่ยนชื่อไฟล์ให้เป็นโปรแกรมที่น่า่เชื่อถือก้หมดเรื่องเช่น USB_xp_2000.exe  หากยังสงสัยให้ตอบไปว่า ทัมไดฟ์ตัวนี้ เฟริมแวร์มันซัฟพอร์ตแค่ USB1.0 เวลาเอาไปใช้กับเครื่องซัฟพอร์ด 2.0  บางครั้งการทรานเฟอร์ไฟล์ ซึ่งถ้าดูจากขนาดของไฟล์จะเหมื่อว่าไม่มีปัญหาแต่เวลาเปิดใช้งานเจอ corupt ตลอดเลย เลยจ้องลง แพทย์ ของไดเวอร์น่ะ มันเป็นปัญหากับบางเครื่องเท่านั้น ฮิๆๆ :-[ :-[จะเปลี่ยนชื่อไฟล์ยังถ้ามันยังนามสกุล .exe  การตบตาที่เรียนที่สุดคือเปลี่ยนเปรไฟล์ในเปนกราฟฟิก ก้ได้เช่น Brakground.jpg เป็นต้น (เนียนจิงๆ)
 เวลาจะรันก้เปลี่ยนกลับเป็น .exe  แต่การทำวิธีนี้จะเนียนมากกว่าวิธีที่1แต่มันก้ต้องเขียนโค้ดอีกนิดนึง (โค้ดเปลี่ยน นามสกุล jpgเป็น .exe)

 บทบั้กเล็กๆของ YABB SE   :( :(
Admin ต้องระวังไว้ให้มาก โดยเฉฮพาะเรื่องรหัสถ้ารหัสหลุดออกไป อาจมี ADMIn มากกว่า1 ก้เปนได้ หากท่านคิดอย่างนั้นก้สบายใจได้เลยครับ ฮิๆๆๆ  บั้กขกเกอร์มาแฮกไปได้เลยครัอง YaBB SE มันเล็กอย่างที่บอกไว้จริงๆ งั้นขอเชิญ แฮคเกอร์มาแฮกไปได้เลยครับ ขอเชิญญญ  ได้รหัสไปก้ทำอะไรไม่ได้หรอก ก็ากกกกกๆๆๆๆ  ;D ;D

บั้กของYabb SE ช่วยให้แฮกเกอร์สามารถสังเอาสคิปของ PHP จากข้างนอกเข้ารันในเซิฟเวอร์ได้ ความแสบมันอยุ่ที่สคิปที่ถูกเรียกเข้าไปนั้นละ  ที่จะทำให้ดูบทนี้คือการเรียกสคิป File Manager เข้าไป ไม่ได้เรียกรัน แต่จะเรียกเข้าไปเพื่อฝังตัวในเซิฟเวอร์เลย (ได้ผลระยะยาว ฮืิๆๆๆ)

การฝั่งไฟล์ File Manager คือยอดปราภนาของแฮคเกอรที่แฮกเว็บแบบเบสเลยละครับ เพราะมันสามารถเข้าไปดูข้อมูลในเวฺฟเวอร์ หรือ ลบ แก้ไข ได้อย่างง่ายๆ ดั่งนั้นถ้าถูกฝั่งแล้ว ไม่อยากคิดเลยครับ ยิ่งเว็บที่มีระบบรักษาความปลอดภัยอ่อนๆ มันจะเละสะใจขนาดไหน

บทนี้ผมจะหาสคิป Flie Manager จากอินเตอร์ เริ้มจากค้นหาใน Google (อาจารย์ของผมครับ) เจอแล้วครับ(ขอไม่เอยนามเว็บ) เมื่อดาวโหลดมา พบว่ามีสคิปหลักเพียงตัวเดียวคือ filethingie.php
ผมดาวโหลดมาและทดลองกับเว็บเพื่อนก่อนเลย ผมดาวโหลดและทดลองติดตั่งลงเว็บเพื่อนก่อนเลย เปลี่ยนชื่อไฟล์เปน fileman.php เมื่อเรียกสคิปผ่านเว็บาวเซอร์ จะมีหน้ต่าง ล็อคอิน  หลังจากที่ป้องรหัสผ่านตามที่ระบุในสคิป ก้เข้าสุ่ระบบ Flie manager ความสามารถเบื้องต้นที่เหนคือ สามารถอัปโหลดไฟล์และสร้างไฟล์ไดเร็กทอรีหรือไฟล์ได้

ทำไมถึงต้องใช้ proxy พรางตัว
 IP แอดเดส การติดต่อผ่าน TCP/IP นั้น ตรงทางปลายทางจะต้องทราบ IP ของกันและกัน ดั่งนั้นจึงเลี่ยงไม่ได้ที่ไม่ให้อีกฝ่ายเหน IP ของตัวเอบการพรางตัวของ proxy จะเป็นตัวนายหน้าดึงข้อมูลแทนเรา ดั่งนั้น หมายเลข proxy จะเปนเลข IP แทน เช่นใช้ 192.59.50.613  เปน 202.59.50.214

สำหรับการพรางตัวของแฮกเกอร์๋แบบทั่วๆไป นิยทใช้3วิธีคือ

- เชื่อมต่อผ่าน ISP
- ใช้อินเตอร์เน็ตค่าเฟ่หรือสาธารณะ
- ใช้ proxy พรางตัว

proxy สาธารณะ
Prosy หาไม่ยาก หาได้จาก
 www.proxz.com
 www.proxyfree4.com
 www.0privacy.com
ควรเลือก ใช้ Proxy ของต่างประเทศ  แล้ว ทำงานแบบ anonymouse

กำหนด proxy ให้เว็บบราวเซอร์
  ก่อนที่จะกำหนดเว็บบราวเซอร์ เราต้องหา IP เครื่อง หรือเซิฟเวอร์ก่อน  ที่สำคัญต้องทราบพอร์ตของ proxy ด้วย  ขึ้นกับทาง เซิฟเวอร์เขากำหนดไว้
สำหรับการเซต ให้กับเว็บบราวเซอร์ IE ทำโดย Tool > internet Option จะได้วินโโว์ internet Option แล้วคลิก Connections คลิกปุ่ม Lan setting ที่อยุ่กรอบ Local Area Network [LAN]Setting  แล้วป้อนข้อมูล Proxy  กำหนดให้เว็บบราวเซอร์ใช้หมายเลข Proxy ที่เตรียมไว้ จากนั้นกด OK 

กำหนด Proxy ให้ anti virus ESET
กดตั่งค่า > ตั่งค่า Proxy  ป้อนหมายเลขและพอร์ต proxy

โปรแกรม MutiProxy
Proxy มีอยุ่มากมาย แต่มักจะเจอproxy ที่เปิดให้บริการเอาแน่เอานอนไม่ได้ บางครั้งใช่งานได้แค่1อาทิตย์ บางทีหายไปเลย หรือจะกลับให้บริการเปนเดือน   โปรแกรมนี้จะเกบลิสของproxy เอาไว้ แต่เราต้องหามาใส่เอง  การใช้งานโปรแกรมแค่ รันโปรแกรมให้กำหนดเว็บบราวเซอร์ ใช้โปรแกรมดั่งกล่าวเป็น proxy ในเว็บบราวเซอร์เปน 127.0.0.1 พอร์ต 8088 ซึ่งโครงสรา้งเชื่อมต่อเปน

 202.59.50.214 -><- Proxy Server -><- Web Server  :-[ :-[ :-[   

เปลี่ยน IP (พร้อมรูป) = เห้นมีคนขอว่าอยากให้มีรูปประกอบ
คลิกขวาที่ Network Connections เลือก opperty (ประมาณนี้) แล้วคลิกขวาเลือก option ดั่งรูป

http://image.ohozaa.com/show.php?id=4981cb8d6f42fabb27d64e814b946835
แล้วเลือก TCP/IP กด OK แล้วแก้ เป็น Use..... ดั่งรูป

http://image.ohozaa.com/show.php?id=34a8bada8905e120d42ec0f3b74a626f

  ก้อปไม่ได้ก้อัดสะเลย  อันนี้สำคํยมากสำหับคนชอบก้อบของมีลิขสิทธิ์ ;D ;D
นานๆจะซื้อซีดีเพลงสักทีแผ่นนึง(ของแท้) เมื่อใส่แผ่นซีดีก้จะเจอ Autorun มีวินโดว์สำหรับเล่นเพลงออกมา การเล่นปกติไม่มีปัญหาอะไร  เพียงแต่ไม่ทราบชื่อเพลง ทีมีแค่ทำว่า Track 1  Track2 Track3
ใช้โปรแกรม windows explrer เปิดดูในซีดี  พบว่ามีสกุล wma นั้น ไม่สามารถก้อปปี้ออกมาเล่นเหมือนไฟล์ wma ทั่วไป แต่ละไฟล์มีขนาดแค่ 6 KB เท่านั้น (แปลกป่าววว) :R
ด้วยความสงสัย เลยเปิดดูไฟล์อื่นๆ ที่อยุ่ในแผ่น แล้วก้รุ้ว่าในแผ่นมีโปรแกรม PFC ไม่แปลกใจเลยที่ว่าทำไม ไฟล์มีขนาดแค่ 6KB เพราะโปรแกรมตัวนี้นี้เอง ไฟล์เพลงของจริงอาจถูกซ่อนไว้หรือเข้ารหัสด้วยกรรมวิธีของ PFC นั้นแหละ  ผมสังเกตึด่านล่างของเพลงมีปุ่ม save alubum คลิกปุ่มดั่งกล่าวว โปรแกรมทำการบันทึงเพลง ทุกเพลงมีขนาด 6 Mb ตามปกติ  เมือทดลองเปิดเพลงก้ไม่มีปัญ่งหมดไปฟังไวหาอะไร
ด้วยความอยากเอาเพลงทั่งหมดมาไว้ในเครื่อง จึงเอาเพลลงทั่งก้อปลงเครื่อง  ก้อปเสจเรียบร้อบ พอกดเปิดเพลง มันบอก เพลงดั่งกล่าวถูกป้องกันการดาวโหลดจากอินเตอร์เน็ต  สรุปเพลงเล่นไม่ได้
เพลงนี้เปนไฟล์คือค่าใน refitry จะแกะหรือไม่นั้นพั กก่อนเถอะ  ผมมีโปรแกรมเด็ดโปรแกรมนึง นั้นคือ Record Anythin สรรพคุณเบื่องต้นบอกไว้ว่า  สามารถบันทึกเสียงจากลำโพงได้ (แจ๋วจริง) :D
ขอไม่อธิบายการใช้โปรแกรม บอกแค่เทคนิคใช้หรือวิธีเบื้องต้น
- เวลาบันทึกเพลงไม่ควรเปิดดังจนเกินไป เอาแค่คนปกติฟัง อย่าดังมากหรือค่อยจนเกินไป  8)
- ให้โปรแกรมช่วยหาระดับเสียงที่เหมาะสม Optional

แต่ระวังเอาไปเผยแพร่โโนจับติดคุกไม่รุ้ด้วยน่าาาา 

วิธีการแฮกเว็บอัพโหลดไฟล์หรือแก้การโดนบล็อคเราเตอร์ห้ามเข้าเว็บ (ไม่ใช้แฮกหรอกทริคตาหากกก) :E
เช่น เราจะโหลดไฟล์จากเว็บ savefile  แต่มันให้โหลดได้แค่ที่ละ2ไฟล์ หรือ เราโดนบล็อคห้ามเข้าเว็บนั้นๆ ผมมีวิธีแก้ครับ คือเราใช้เว็บบราวเซอร์ Fire Fox โหลด เราก็เปลี่ยนมาเป็น IE (อันนนี้แก้ได้เฉพาะดาวโหลดเท่านั้น) ถ้าโโนบล็อคเว็บๆนึงแล้วจำเปนที่เราต้องเข้าก็ ลบเว็บบราวเซอร์?ที่โดนลบ แล้วติดตั่งใหม่ ก็เข้าได้แล้วครับบ(อันนี้ได้2อย่างเลย ทั่งดาวโหลดและบล็อค(ว่าไม่ต้องถึงขึ้นลบและติดตั่งใหม่หรอกโหลดไฟล์อ่ัะเหอะๆ (รอมันโหลดเสจยังคุ้มกว่าเลย))) ) :( :(  ง่ายป่ะ

แฮกบอร์ด phpBB
1. ให้ท่านหาเว็บที่เป็นเป้าหมายที่ใช้เว็บบอร์ด phpbb นะครับ แต่เว็บบอร์ดที่มาพร้อมกับ nuke นั้นยัง
ไม่สามารถทำได้ แต่ถ้าเป็นเว็บบอร์ดที่เป็น phpbb นั้นมีสิทธได้ 80% ครับ สังเกตได้จาก คำว่า Powered by phpBB 2.0 . 11 &copy; 2001, 2002 phpBB Group นะครับ ถ้าเป็น 2005 ส่วนมากไม่ได้ครับ

2. ให้ไปโหลดโปรแกรม Mozilla Firefox ในลิ้งค์นี้เลยครับ

ให้เอาตัวที่ชื่อว่า Mozilla Firefox 1.0.1 pop เลือกตรงคำว่า download แค่นี้แระครับจากนั้นก็รอๆๆๆๆ
ให้โหลด ให้เสร็จก็พอแล้ว แล้วก็อย่าลืม install มันด้วยล่ะ

3. หลังจากนั้นเปิดโปรแกรม Mozilla Firefox แล้วก็ใส่เว็บบอร์ด phpbb ที่เป็นเป้าหมายของเรา ปล่อย
ให้มันโหลดจนเเต็มหน้าก่อน

ซึ่งตอน นี้เรายังไม่ได้รีจีส(register)ชื่อด้วยซ้ำ หลังจากโหลดจนเต็มหน้า แ้ล้วก็ปิดกดปิดโปรแแกรม

4. เข้าไปที่
โค้ด:C:\Documents and Settings\Administrator\Application
Data\Mozilla\Firefox\Profiles\ur4nn6o5.default แล้วก็มองหาคำว่า cookies.txt

หมายเหตุบางท่านอาจจะมองไม่เห็นคำว่า Application Data ก็ให้ทำ ตามรูปด้านล่าง ครับ ไปเลือกที่คำ
ว่า เครื่องมือ แล้วไปที่คำว่า มุมมอง ให้คลิ๊กที่ช่อง ที่ลูกศร ชี้เลยครับ ส่วนของใครเป็นภาษาอังงกฤษ
ก็ลองเองครับ คงไม่อยากเกินไป หลังจากเจอแล้วก็ทำดามที่บอกไว้เลย

6. หลังจากนั้นให้ท่าน ก๊อป โค้ด:a%3A2%3A%7Bs%3A11%3A%22autologinid%22%3Bb%3A1%
3Bs%3A6%3A%22userid%22%3Bs%3A1%3A%222%22%3B%7D

สิ่ง ที่เห็นนี้ไปวางแทน คำว่า a%3A0%3A%7B%7D

ก็จะได้ในรูปแบบนี้

โค้ด:# HTTP Cookie File
# http://www.netscape.com/newsref/std/cookie_spec.html
# This is a generated file! Do not edit.
# To delete cookies, use the Cookie Manager.

โค้ด:www.host.com FALSE / FALSE 1142280655 phpbb2mysql_data a%3A2%3A%7Bs%3A11%
3A%22autologinid%22%3Bs%3A32%3A%22e7cd55de2ea3a157cd9d6161c5d329c6%22%
3Bs%3A6%3A%22userid%22%3Bi%3A2%3B%7D
.google.co.th TRUE / FALSE 2147368455 PREF
ID=321c995cdee9d9c9:LD=th:TM=1110728380:LM=1110728380:S=Y8aS-E1kX7uHp5CD

หมาย เหตุ www.host.com ที่เป็นตัวสีแดงหมายถึง เว็บเป้าหมายที่คุณเข้า ส่วนตัวเลข 1142280655
ก็จะไม่เป็นตามตัวนี้แล้ว แต่เว็บที่คุณเข้าไปครับ

จากนั้นมั่นใจก็กด save ครับ save cookies.txt นั่นแระครับ

7. จากนั้นเปิดโปรแกรม mozzila มาอีกครั้งหนึ่งครับ ใส่เว็บเป้าหมายอีกครั้งหนึ่ง คราวนี้สังเกตุการ
เปลี่ยน แปลงครับ
8. หลังจากนั้นคุณก็จะเป็น admin อย่างเต็มตัวครับ จากนั้นจะแก้จะทำอะไรก็ได้แล้วแต่คุณ

คำเตือน เพื่อการศึกษาเท่านั้นไม่ควรนำไปใช้ในทางที่ผิด!!!!!

ซอฟท์แวร์ sniffer
เป็นสามาถทำความเสียหายให้กับเน็ตเวิร์คนั้นได้อย่าง แท้จริง ในสมัยก่อน sniffer ใช้
ฮาร์ดแวร์ ที่มีขนาดใหญ่ซึ่งต่อเข้ากับเน็ตเวิร์คและเฝ้าดูการติดต่อสื่อสารที่ผ่านไป มาในเน็ตเวิร์ค แต่ในปัจจุปัน sniffer เป็นเพียงซอฟท์แวร์ง่าย ๆ ที่สามารถทำงานได้บนยูนิกซ์ ลีนุกซ์ หรือแม้แต่วินโดวส์ สิ่งที่ sniffer สามารถทำความเสียหายให้กับเน็ตเวิร์คคือ มันสามารถดักจับการสื่อสารที่กำลังดำเนินอยู่ รวมถึง
รหัสผ่านและข้อมูล ที่มีความสำคัญ โดยทฤษฏีแล้ว sniffer จะไม่สามารถหาเจอได้ ไม่แสดงตัวให้เห็น
และทำงานเพียงแต่ดักจับข้อมูลเท่านั้น อย่างไรก็ตาม เป้าหมายของมักจะเป็นเครื่องที่ใช้ยูนิกซ์หรือลีนุกซ์
(เพราะง่ายสำหรับ การเซ็ตอัป sniffer) จึง มีวิธีที่จะหา sniffer ที่กำลังรันอยู่ในเครื่องที่ใช้ลีนุกซ์โดยทั่วไป
วิธี การตรวจสอบว่าเครื่องของคุณกำลังรัน sniffer อยู่เหรือไม่ ถ้าเครื่องของคุณใช้ยูนิกซ์ ผู้โจมตีที่สามารถได้สิทธิ์ของ root สามารถรัน sniffer เพื่อให้สามารถเข้าถึงเน็ตเวิร์คได้มากขึ้น (เช่นเพื่อให้ได้รหัสผ่านของโฮสต์อื่นในเน็ตเวิร์ค)การตรวจหาโปรเซสที่รัน sniffer นั้น ยากเพราะชื่อของโปรเซสสามารถซ่อนในชื่อซึ่งดูไม่มีอันตรายได้ นอกจากนี้ยังอาจโปรแกรมที่เกี่ยวข้อง ที่มีโทรจันฮอร์สอยู่ในโปรแกรมได้ด้วย (ในกรณีนี้ผู้โจมตีไม่จำเป็นต้องมีสิทธิ์ของ root ในเครื่องนั้น เพียงแต่
ใส่ โทรจันไว้ในโปรแกรมแล้วรอให้ผู้บริหารระบบรันมันเท่านั้นเอง) เพียงวิธีเดียวที่สามารถตรวจหา sniffer คือ การตรวจดูว่า network interface อยู่ใน promiscuous mode หรือไม่ ซึ่งหมายความว่ามันดักจับการสื่อสารทั้งหมดในเน็ตเวิร์คทั้งหมดไม่เพียงแต่ การสื่อสารที่มีปลายทางที่เครื่องนั้นเท่านั้น เครื่องที่ใช้ยูนิกซ์ไม่ควรอยู่ในโหมด promiscuous ถ้าไม่มีเหตุจำเป็นจริง ๆ ดังนั้นเครื่องที่อยู่ใน promiscuous mode จึงเป็นเครื่องบ่งชี้ว่ามี sniffer รันอยู่ที่นั่น มีโปรแกรมหนึ่งที่สามารถตรวจได้ว่า network interface อยู่ใน promiscuous
หรือไม่คือ CPM (check Promiscuous Mode) ของ Carnegie Mellon University อีกวิธีการหนึ่งคือการใช้คำสั่ง: ifconfig -a ซึ่งจะบอกถึง network interface ที่มีทั้งหมดและแสดงข้อมูลเกี่ยวกับมันทั้งหมด
คำว่า PROMISC หมายถึง network interface นั้นอยู่ใน promiscuous mode ถ้าใช้คำสั่ง:
ifconfig -a | grep PROMISC
จะแสดงผลออกมาให้เห็นถ้า network interface
อยู่ใน promiscuous mode (สามารถประยุกต์ใช้ใน cron เพื่อตรวจเป็นรายชั่วโมง หรือรายวันเพื่อหา sniffer ที่กำลังรันอยู่)
ข้อควรสังเกตคือบางครั้ง โปรแกรม ifconfig จะถูกเปลี่ยนแปลงโดยผู้โจมตีเพื่อไม่ให้ตรวจพบ sniffer จึงควรใช้โปรแกรม
checksum (หรือ MD5 signature) เพื่อทำหลักฐานไว้ให้แน่ใจว่าโปรแกรมนี้จะไม่ถูกเปลี่ยนแปลงไป

วิธี การตรวจหา sniffer ที่อยู่ในเครื่องอื่นในเน็ตเวิร์ค
วิธีการตรวจหานี้ ยากมาก(และบางครั้งก็เป็นไปไม่ได้)
แต่การตรวจดูว่าเครื่องที่ใช้ลีนุกซ์ นั้นมี sniffer ที่กำลัง รันอยู่หรือไม่มีวิธีที่สามารถทำได้โดยการใช้ประโยชน์จากจุดอ่อน
ในการ ดำเนินการเกี่ยวกับ TCP/IP stack ของลีนุกซ์ ถ้าเครื่องที่ใช้ลีนุกซ์เครื่องนั้นอยู่ใน promiscuous mode มันจะตอบ
TCP/IP packet ที่ถูกส่งถึง IP ของมันถึงแม้ว่า MAC address ของ packet นั้นจะผิดก็ตาม (โดยปกติ packet ที่มี MAC address ที่ผิดจะไม่รับคำตอบเพราะ network interface จะไม่สนใจมัน)
ดังนั้นการ ส่ง TCP/IP packet ไปยังทุก ๆ IP address ที่อยู่ใน subnet นั้นโดยให้ MAC address ที่ผิด
ก็ จะสามารถบอกคุณได้ว่าลีนกซ์เครื่องใดที่อยู่ใน promiscuous mode (คำตอบจากเครื่องเหล่านี้จะเป็น RST packet) ถึงแม้ว่าวิธีนี้จะไม่เป็นวิธีที่ตรวจสอบได้อย่างแน่นอนแต่ก็สามารถตรวจหา กิจกรรมที่น่าสงสัยในเน็ตเวิร์คได้

วิธีหลีกเลี่ยงจากการถูกดักจับ packet จาก sniffer
Active hubs จะส่งข้อมูลไปยังเป้าหมายที่ต้องการเท่านั้น
วิธี นี้สามารถป้องกัน sniffer ได้เนื่องจากมันไม่สามารถรับ packet ที่ไม่ตั้งใจส่งไปยังเครื่องที่ต้องการ Cisco, HP และ 3Com มีผลิตภัณฑ์ที่ใช้ Active hubs ยูทิลิตี้อื่น ๆ CPM (ตรวจว่าเครื่องนั้นอยู่ใน promicuous หรือไม่)
http://ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/
โปรแกรม AntiSniff และ Neped เป็นเครื่องมือที่ดีเยี่ยมสำหรับการตรวจหา sniffer ในเน็ตเวิร์คนั้น Sniffer Utilities

                 
                           

ข้อมูลจาก ruk-com.in.th

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

;