Hỏi đáp công nghệ

Sniffer là gì? Cách bảo vệ bạn khỏi bị tấn công bởi sniffer

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Table of Contents

Sniffer là một thuật ngữ phổ biến được dùng trong lĩnh vực công nghệ thông tin hiện nay. Đây là một công cụ được sử dụng với mục đích kết nối và giám sát dữ liệu bên trong mạng máy tính. Ngày nay, việc sử dụng các ứng dụng web miễn phí trên internet ngày càng trở nên phổ biến thì Sniffer cũng được nhiều người tìm kiếm hơn. Tuy nhiên, không phải ai cũng hiểu biết về loại công cụ này. Trong bài viết này, Hỏi đáp Công nghệ sẽ trả lời chi tiết câu hỏi Sniffer là gì, cách hoạt động của Sniffer ra sao, chúng được sử dụng để làm gì và cách bạn có thể bảo vệ dữ liệu của mình trước sniffer bằng VPN. Hãy cùng chúng tôi tìm hiểu nhé!

Sniffer là gì?
Sniffer là gì?

Sniffer là gì? 

Sniffer là một phần mềm hoặc công cụ phần cứng cho phép người dùng “đánh hơi” hoặc theo dõi lưu lượng truy cập internet của bạn trong thời gian thực, thu thập tất cả dữ liệu đến và đi từ máy tính của bạn. Trong Tiếng Việt, Sniffer có nghĩa là kẻ đánh hơi.

Sniffer không phải lúc nào cũng là một cái gì đó xấu. Trong nhiều trường hợp, quản trị viên sử dụng các công cụ sniffing để duy trì luồng lưu lượng truy cập ổn định qua mạng của họ. Họ có thể phát hiện các lỗ hổng băng thông, chẳng hạn như trong trường hợp có ai đó sử dụng nhiều chương trình chia sẻ tệp, sau đó có hướng giải quyết thích hợp. Từ “Sniffer” với chữ S viết hoa thật ra đã được đăng ký thương hiệu, hiện thuộc sở hữu của NetScout, là một trong những công cụ thực hiện chức năng giám sát như vậy.

Nhưng nếu bạn đang hỏi một cuộc tấn công sniffer là gì, có lẽ bạn ít quan tâm đến các ứng dụng hợp pháp của công nghệ sniffing và hay về cách một người nào đó có thể sử dụng công nghệ đó để chống lại bạn. Những chương trình nhỏ bé ranh ma này có nhiều tên gọi khác nhau – máy dò mạng, máy dò tìm không dây, máy dò Ethernet, packet sniffers, packet analyzers – nhưng cho dù bạn gọi chúng là gì, chúng đều có chung một mục đích: nghe trộm bạn.

Sniffers hoàn thành công việc bằng cách nắm bắt và kiểm tra các “gói” (packet) dữ liệu di chuyển dọc theo mạng. Hãy tưởng tượng lưu lượng truy cập internet giống như giao thông trong thế giới thực: Một loạt xe ô tô chạy trên đường, khi đó, lưu lượng và luồng phương tiện tham gia giao thông phụ thuộc vào nhiều yếu tố khác nhau. Trên internet, mỗi chiếc xe là một packet, và những người bên trong là dữ liệu mà nó mang theo.

Một số sniffers có sẵn dưới dạng thiết bị phần cứng, thường được tích hợp trực tiếp vào các thiết bị mạng như bộ định tuyến để thuận tiện cho việc quản lý. Nhưng trong hầu hết các trường hợp, mọi người chọn phần mềm đánh hơi nhiều hơn là phần cứng.

Phần mềm sniffing được sử dụng để làm gì?

Khi lần đầu tiên được tạo ra, trình sniffer là (và hiện tại vẫn có thể là) công cụ rất hữu ích để các kỹ sư quản lý mạng của họ. Bởi vì chúng cho phép các quản trị viên xem tất cả lưu lượng trên mạng, cũng có thể được sử dụng để chẩn đoán sự cố và đánh giá hiệu suất.

Quản trị viên mạng sử dụng phần mềm sniffing như thế nào? Đầu tiên, điều quan trọng là phải hiểu về cách lưu lượng truy cập internet hoạt động qua mạng nói chung. Trong hầu hết các tình huống, máy tính của bạn sẽ chỉ điều tra các packet đã được gửi cụ thể cho nó. Liên quan đến phép ẩn dụ “ô tô đang lái trên một con đường”, chúng ta có thể hình dung máy tính của bạn giống như một ngôi nhà dọc theo con đường đó. Bạn sẽ không kiểm tra mọi chiếc ô tô chạy ngang qua nhà mình, nhưng nếu ai đó đậu trên ngõ nhà bạn, bạn có thể sẽ ra mở cửa để xem đó là ai. Đây là cách máy tính của bạn xử lý hầu hết các packet dữ liệu: Nó bỏ qua những gói dữ liệu đi dọc theo mạng đến các điểm đến khác và chỉ kiểm tra các packet được gửi đến nó.

Phần mềm sniffing điều chỉnh cài đặt mạng của máy tính để nó “đánh hơi” mọi packet – thay vì chỉ những gói tin được gửi đến máy tính – và sao chép tất cả chúng ra để tiện xem xét sau này. Thay vì chỉ mở cửa khi có người đến thăm, sniffer dán mắt vào cửa sổ, quan sát tất cả những chiếc xe khi họ lái qua.

Người “giám sát cửa sổ” của chúng ta có thể theo dõi mọi ô tô một cách ám ảnh hoặc chúng có thể chọn chỉ điều tra xe tải, ô tô màu đỏ, hoặc ô tô có ít nhất hai người ngồi hay có thể chỉ theo dõi xe máy thôi. Nói cách khác, một người sử dụng trình sniffer ở chế độ không lọc có thể thu thập tất cả lưu lượng truy cập của mạng hoặc họ có thể cài đặt cấu hình trình sniffer để lọc các packet chứa một loại dữ liệu được chỉ định.

Xem thêm >> Full stack là gì? Các kĩ năng để trở thành Full stack developer

Cách sử dụng hợp pháp sniffer

Các kỹ thuật viên lành nghề đặt các sniffer bên trong mạng để khai thác lưu lượng truy cập của mạng và theo dõi những gì đang được gửi đi. Bạn có thể đã xem ít nhất một bộ phim trong đó một thám tử xảo quyệt đã động chạm vào đường dây điện thoại của nghi phạm, sau đó nghe trộm cuộc thảo luận của họ về tất cả các việc xấu họ làm. Sniffer về cơ bản là cũng hoạt động tương tự, nhưng nó áp dụng đối với Internet.

Dưới đây là danh sách ngắn về những người có thể sử dụng trình sniffer:

  • Kỹ sư mạng: Bằng cách phân tích loại và mức độ lưu lượng truy cập trên mạng, các kỹ sư có thể sử dụng dữ liệu để tối ưu hóa cấu trúc mạng của họ về hiệu quả và tốc độ.
  • Quản trị viên hệ thống: Trình dò ​​tìm mạng là công cụ khắc phục sự cố tuyệt vời. Sysadmins có thể đi sâu vào vấn đề tắc nghẽn hoặc sự chậm lại khác khi họ đang kiểm tra các vấn đề.
  • Nhà tuyển dụng: Các kỹ thuật viên CNTT tại văn phòng công ty có thể sử dụng sniffer để giám sát nhân viên của họ khi làm việc. Người sử dụng lao động có thể tìm hiểu về các trang web mà nhân viên của họ đang truy cập, lượng thời gian họ ở đó và liệu họ có đang xem hay tải xuống bất cứ thứ gì họ không nên không.
  • Các chuyên gia bảo mật: Số lượng hoặc loại lưu lượng truy cập bất thường có thể chỉ ra rằng mọi thứ không hề yên ổn như nó thể hiện. Các nhóm bảo mật có thể xác định các kiểu sử dụng internet không điển hình để tìm thấy sự hiện diện của tin tặc hoặc phần mềm độc hại.

Tội phạm lạm dụng sniffer

Sniffer là gì
Sniffer là gì? Cách tội phạm lạm dụng sniffer

Network sniffer không chỉ được sử dụng bởi những mục đích tốt. Tội phạm mạng có thể thâm nhập vào một mạng và chúng sẽ thu thập dữ liệu của tất cả lưu lượng truy cập được gửi qua mạng đó. Bằng cách giám sát việc sử dụng internet của một máy tính, bao gồm email và tin nhắn tức thì, một tin tặc có thể truy cập vào thông tin đăng nhập, thông tin nội bộ và chi tiết tài chính của người dùng. Đó là lý do tại sao sniffer có thể rất nguy hiểm khi rơi vào tay kẻ xấu. Và có rất nhiều trình sniffer hoàn toàn miễn phí có sẵn trực tuyến – được truyền đến tai của tội phạm mạng.

Tội phạm mạng sẽ sử dụng các mánh khóe kỹ thuật xã hội hay các trò gian lận lừa đảo để đánh lừa nạn nhân tải xuống một phần mềm sniffer của chúng. Chúng có thể hướng các người dùng mục tiêu truy cập các trang web bị nhiễm tự động tải xuống trình sniffer hoặc gửi những email chứa các tệp đính kèm mà chúng có thể cài đặt phần mềm độc hại vào máy tính.

Ngoài ra, tin tặc có thể đánh hơi ra các mạng Wi-Fi công cộng không an toàn, rồi nắm bắt lưu lượng truy cập của bất kỳ ai sử dụng những mạng Wi-fi này. Phần mềm sniffer không dây là trường hợp cực kì phổ biến trong các cuộc tấn công giả mạo, vì tội phạm mạng có thể sử dụng dữ liệu mà phần mềm sniffer thu được để “giả mạo” một thiết bị trên mạng không dây.

Sniffer hoạt động như thế nào?

Chúng tôi đã đề cập đến những gì sniffer có thể làm, nhưng chúng hoạt động như thế nào? Có hai loại kỹ thuật sniffing chính: thụ động và chủ động. Loại kỹ thuật sniffing được sử dụng sẽ phụ thuộc vào cấu trúc của mạng mà người ta đang cố gắng đánh hơi. Sniffing thụ động hoạt động với các hubs, nhưng nếu có liên quan đến thiết bị chuyển mạch (switch), thì cần phải có tính năng sniffing chủ động.

Passive sniffing là gì?

Hub là các thiết bị mạng đơn giản giúp kết nối nhiều thiết bị với nhau thành một mạng duy nhất. Không có bất kỳ cơ chế quản lý nào hướng lưu lượng truy cập đến người nhận dự kiến ​​của nó. Thay vào đó, tất cả các thiết bị đều nhận được tất cả lưu lượng truy cập và sau đó xác định xem liệu lưu lượng truy cập đó có liên quan hay không.

Passive snifing diễn ra thông qua các trung tâm hoặc mạng không dây và những kẻ tấn công sử dụng địa chỉ MAC để đọc các cổng đích của dữ liệu. Chúng không thực hiện bất kỳ giao tiếp trực tiếp nào với mục tiêu, không giống như đánh hơi chủ động nên hầu hết các trình passive snifing rất khó phát hiện.

Active sniffing là gì?

Khi bạn kết nối các thiết bị bổ sung với một hub, mức lưu lượng cao hơn có thể làm cho nó trở nên quá tải. Bộ switche mạng là giải pháp cho vấn đề này. Bộ switch điều chỉnh lưu lượng trong mạng bằng cách gửi dữ liệu cụ thể đến thiết bị nhận nó. Một trình sniffer thụ động trên một hub mạng sẽ chỉ có thể xem dữ liệu đi và đến máy chủ của nó.

Đây là lúc mà tính năng active sniffing phát huy tác dụng. Để truy cập tất cả lưu lượng đi qua một mạng, một trình active sniffer cần phải đi vòng quanh hoặc vượt qua con đường các thiết bị switch điều hướng mọi thứ. Có những cách khác nhau để thực hiện điều này, nhưng tất cả chúng đều liên quan đến việc tiếp thêm lưu lượng vào mạng. Điều này làm cho nó trở thành một quá trình chủ động và phân biệt chúng với nhiều loại passive snifing.

Có một tin tốt cho các nạn nhân tiềm năng là một thiết bị active sniffing sẽ dễ dàng phát hiện hơn nhiều.

Xem thêm >> Mindset là gì? Khác biệt giữa tư duy cố định và tăng trưởng

Làm thế nào để chống lại tin tặc tấn công qua Sniffer?

Sniffing có thể là một trong những kỹ thuật hack lén lút nhất hiện nay, nhưng với một số biện pháp phòng ngừa, bạn có thể giữ cho thông tin của mình thoát khỏi những bàn tay không mong muốn.

Cài đặt phần mềm bảo mật

Ngăn chặn những kẻ dòm ngó thiết bị của bạn bằng tính năng bảo vệ an ninh mạng. Tin tặc sẽ sử dụng vi-rút, trojan và worm (phần mềm độc hại tự sao chép nhằm lây lan sang các máy tính chưa bị nhiễm) để cung cấp một sniffer đến máy tính mục tiêu. Một phần mềm bảo mật mạnh với khả năng chống phần mềm độc hại sẽ giúp bạn chống lại các cuộc tấn công này.

Có nhiều phần mềm cung cấp khả năng bảo vệ 24/7 để chặn phần mềm độc hại và cung cấp bảo mật bổ sung chống lại các liên kết, tải xuống và tệp đính kèm email độc hại. Ngoài ra, một số còn có một VPN tích hợp để bảo mật kết nối internet, mã hóa dữ liệu của bạn và ngăn những kẻ dòm ngó truy cập vào thông tin cá nhân của bạn.

Một số phần mềm chống vi-rút miễn phí cũng có tính năng quét mạng có thể xác định xem bạn có đang kết nối internet an toàn hay không. Mạng không an toàn là nơi săn lùng yêu thích của sniffer, vì vậy hãy thận trọng khi kết nối – hoặc hãy kết nối với VPN.

Mã hóa dữ liệu của bạn bằng VPN

Khi bạn đã thiết lập xong một giải pháp bảo mật ưa thích của mình, đã đến lúc bắt đầu suy nghĩ về mã hóa (encryption). Đó là lớp bảo vệ tốt nhất để chống lại việc bị sniffing, bởi vì ngay cả khi bạn bị đánh hơi, dữ liệu được mã hóa của bạn cũng vô dụng đối với kẻ lấy được. Không có cách nào để bẻ khóa mã hóa, dữ liệu bị đánh hơi là vô dụng.

Sniffer là gì
Sniffer là gì? Mã hóa dữ liệu của bạn bằng VPN để bảo vệ bạn khỏi sniffing attack

Để minh họa, chúng ta hãy quay lại một lần nữa với ví dụ về cái máy sniffer đáng sợ bên trong cửa sổ của ngôi nhà (một chiếc máy tính) nằm dọc theo con đường (một mạng lưới). Kẻ đánh hơi đang theo dõi tất cả các xe (packet) khi chúng lái qua và sao chép thông tin của tất cả những người bên trong mỗi xe (dữ liệu bên trong packet). Nếu bạn sơn màu cho cửa sổ ô tô (mã hóa dữ liệu của bạn) – thì những kẻ lập dị quan sát từ cửa sổ của ngôi nhà vẫn có thể thấy ô tô của bạn chạy ngang qua, nhưng chúng hoàn toàn không thể nhìn thấy những gì bên trong. Đây là lý do chính tại sao các mạng Wi-Fi không an toàn lại trở thành mục tiêu rất phổ biến với sniffer. Nếu không có mã hóa, tất cả dữ liệu sẽ gần như lộ thiên và gọi mời tội phạm mạng đánh hơi.

VPN, hoặc mạng riêng ảo, mã hóa tất cả lưu lượng truy cập trực tuyến của bạn. Khi bạn kết nối với internet thông qua VPN, tất cả lưu lượng truy cập của bạn sẽ đi qua một “đường hầm” được mã hóa an toàn, được bảo vệ ở mọi phía khỏi những kẻ nghe trộm. Hiện nay có một số bên VPN sử dụng mã hóa cấp ngân hàng để giữ cho dữ liệu của bạn an toàn ngay cả trên các mạng Wi-Fi công cộng. VPN cũng có thể làm nhiều việc khác cho bạn, chẳng hạn như cho phép bạn truy cập những nội dung bị giới hạn theo địa lý. Nhưng từ quan điểm bảo mật dữ liệu, khả năng mã hóa của VPN là thuộc tính có giá trị nhất của nó.

Không truy cập các trang web không được mã hóa

Hãy xem nhanh URL của trang web bạn định truy cập. Hãy xem nó bắt đầu có bắt đầu với “HTTPS” không? Trình duyệt của bạn thậm chí có thể hiển thị cho bạn một biểu tượng ổ khóa nhỏ bên cạnh URL. Khi bạn nhìn thấy HTTPS, S là viết tắt của “secure” – an toàn. Các trang web sử dụng HTTPS được mã hóa và hoạt động của bạn trên các trang web đó được bảo vệ khi bạn ở trang web đó. Biểu tượng ổ khóa sẽ chỉ là một trong nhiều cảnh báo để bạn xác định xem liệu trang web có an toàn hay không.

Ngược lại, các trang web có HTTP thay vì HTTPS không có mức độ bảo mật cao. Khi bạn truy cập các trang web này, không có gì đảm bảo rằng không có ai đang nhòm ngó bạn. Nếu bạn phải truy cập một trang web không có bảo vệ HTTPS, đừng bao giờ nhập bất kỳ thông tin cá nhân nào, thậm chí không nên đăng nhập.

Điều quan trọng cần lưu ý là mã hóa HTTPS chỉ bảo vệ bạn tại chính trang web cụ thể đó. Để mã hóa dữ liệu trực tuyến toàn diện, vẫn lời khuyên cũ là hãy sử dụng VPN.

Tắt Wi-Fi công cộng

Wi-Fi miễn phí là một ưu đãi hấp dẫn, đặc biệt là khi một số gói dữ liệu di động có thể rất đắt đỏ. Nhưng nếu bạn không tự bảo vệ mình bằng VPN, chúng tôi vẫn khuyên bạn không nên truy cập vào một mạng Wi-Fi không được bảo vệ. Bất kỳ ai khác được kết nối với điểm phát sóng đó đều có thể lầy về dữ liệu của bạn. Hãy nghĩ xem có bao nhiêu người kết nối cùng wifi công cộng với bạn trong sân bay, trong trung tâm mua sắm hoặc thậm chí ở quán cà phê. Khi bạn sử dụng Wi-Fi công cộng không được bảo mật, bạn đang đánh cược dữ liệu cá nhân của mình vào thời điểm đó.

Xem thêm >> About blank là gì? Có ảnh hưởng gì tới máy tính không?

Bỏ các ứng dụng nhắn tin không được mã hóa

Cũng giống như Wi-Fi không an toàn, các tin nhắn không được mã hóa là miếng mồi ngon và dễ dàng cho những kẻ dòm ngó. Chọn trò chuyện với bạn bè và gia đình của bạn thông qua một ứng dụng mã hóa tin nhắn để bảo vệ thông tin của mình. WhatsApp, Viber, LINE và Telegram là một số lựa chọn nổi tiếng nhất. Rất có thể bạn và những người liên hệ của bạn đã sử dụng một trong những ứng dụng này.

Làm cách nào tôi có thể tìm thấy sniffer trên mạng của mình?

Sau tất cả những thông tin trên về những kẻ đánh hơi và mức độ xảo quyệt của chúng, có lẽ bạn đang muốn tìm hiểu về các biện pháp đối phó với chúng. Cũng như nhiều cách phòng bệnh trong cuộc sống – đi khám bác sĩ, tập thể dục thường xuyên, ăn uống lành mạnh, cách tốt nhất để chống lại việc đánh hơi là phòng ngừa. Việc sử dụng một ứng dụng phát hiện và loại bỏ vi-rút, cùng với mã hóa VPN, sẽ giúp bạn chống lại phần lớn các cuộc tấn công sniffing trên mạng.

Như chúng tôi đã đề cập, việc phát hiện ra một trình đánh hơi thụ động (passive sniffer) không phải là một nhiệm vụ dễ dàng. Các passive sniffer trên Wi-Fi về cơ bản là vô hình. Vì vậy cách bảo vệ tốt nhất để bạn chống lại chúng là mã hóa. Nếu bạn đang ở trên một mạng switch, bạn sẽ phải đối phó với tính năng active sniffer, điều này sẽ để lại những dấu vết sau khi nó hoạt động. Quản trị viên mạng được đào tạo để tìm kiếm các tín hiệu đó và họ sẽ biết cách phản hồi và xử lý phù hợp.

Tôi có thể phát hiện một trình sniffer trên máy tính của riêng mình không?

Không phải lúc nào bạn cũng có thể phát hiện trực tiếp một sniffer. Tuy nhiên, nếu bạn nghi ngờ rằng bạn đang bị dính một trình sniffer, bạn có thể tìm các dấu hiệu sau:

  • Các quy trình không giải thích được: Nhiều trình sniffer chạy ở cấp độ người dùng của máy tính, có nghĩa là các tài khoản người dùng của máy tính (như bạn) sẽ có thể thấy chúng hoạt động.
  • Giảm dung lượng lưu trữ đột ngột: Một số sniffer có thể ẩn mình bằng rootkit. Nhưng ngay cả những sniffer siêu lén lút này cũng cần phải đặt dữ liệu của họ ở đâu đó. Việc hụt không gian lưu trữ không giải thích được có thể cho thấy máy tính của bạn có chứa sniffer.

Các công cụ Sniffer phổ biến nhất

Wireshark (trước đây còn được gọi là Ethereal) được công nhận rộng rãi là một trong những sniffer phổ biến nhất trên thế giới. Đây là một ứng dụng mã nguồn mở miễn phí dùng để hiển thị lưu lượng dữ liệu truy cập, ứng dụng sử dụng color coding để tìm ra giao thức truyền tải nào đã được sử dụng.

Ngoài ra, ngày càng nhiều ứng dụng phần mềm sniffer đã được phát triển và phát hành trong những năm gần đây. Một vài ví dụ nổi bật có thể kể đến như:

  • SolarWinds Network Performance Monitor (Tool yêu thích của chúng tôi)
  • Paessler PRTG Network Monitor.
  • ManageEngine NetFlow Analyzer.
  • Savvius Omnipeek.
  • tcpdump.
  • WinDump.
  • Wireshark.
  • Telerik Fiddler.
  • NETRESEC NetworkMiner
  • Colasoft Capsa

Có thể nói Sniffer đúng là một công cụ tuyệt vời giúp theo dõi và chuẩn đoán các vấn đề về hệ thống mạng. Tuy nhiên, nó cũng là một công cụ khá phiền phức khi rơi vào tay các Hacker, bởi vậy người dùng cần cẩn thận khi lướt một trang web hoặc click vào link lạ. Với những thông tin được chia sẻ trong bài viết này, hy vọng các bạn đã tìm hiểu được Sniffer là gì, cơ chế hoạt động của nó và lựa chọn được cho mình một công cụ sniffer phù hợp với thiết bị cũng như cho mục đích sử dụng của mình nhé. Nếu có bất kỳ thắc mắc về vấn đề này, đừng ngần ngại chia sẻ với Hỏi đáp Công nghệ nhé!

Các bài viết liên quan

2 thoughts on “Sniffer là gì? Cách bảo vệ bạn khỏi bị tấn công bởi sniffer”

  1. Pingback: Scrum là gì? Những lợi ích tuyệt vời của mô hình Scrum

Leave a Comment

Email của bạn sẽ không được hiển thị công khai.

Bài viết liên quan