วิธีง่ายและมีประสิทธิภาพที่จะป้องการดักจับข้อมูลคือ ใช้ switch แทน hub แต่ก็ไม่ใช่วิธีที่จะป้องกันการลอบดักจับข้อมูลได้ทั้งหมด เนื่องจาก switch อาจจะสร้าง ?broadcast domain? ทำให้ผู้โจมตีสามารถทำการ spoof ARP packets ได้ ซึ่งทำได้โดยการทำ ?router redirecion? โดยปกติ ARP queries ประกอบด้วย IP-to-MAC mapping ของผู้ส่ง และเพื่อที่จะต้องการลด ARP traffic เครื่องโดยส่วนใหญ่จะทำการ cache ข้อมูลที่อ่านเข้ามาจาก broadcast ดังนั้นผู้โจมตีสามารถทำการ redirect เครื่องให้ทำการส่งข้อมูลผ่านเครื่องของเขาด้วยการส่ง ARP packet ที่ประกอบด้วย IP address ของ router ที่ถูก mapped เข้ากับ MAC address ของเขา ทำให้ทุก ๆ เครื่องที่อยู่บน wire นั้น เข้าใจว่า hacker นั้นเป็น router และเครื่องเหล่านั้นก็จะส่งข้อมูลผ่านเขา แต่ยังไงก็ตามการนำระบบตรวจจับการบุกรุก (IDS) มาใช้สามารถที่จะตรวจจับเหตุการณ์ลักษณะนี้ได้ Ethernet adapter โดยส่วนใหญ่จะอนุญาตให้มีการปรับแต่ง MAC address ได้ ดังนั้น hacker สามารถทำการ spoof MAC address โดยการกำหนด address ใหม่ให้กับ adapter หรือโดยการ bypass stack และจัดสร้าง frame แต่ hacker ก็จะต้องรักษา stream ของ frames ให้คงที่เพื่อที่ให้ switch มั่นใจว่าเขาเป็นเจ้าของ MAC Address นั้น
อ่านมาถึงตรงนี้หลายคนคงอยากทราบว่าจะหาเครื่องมือ เปลี่ยน MAC Address ได้จากไหนผมหามาให้แล้ว http://www.neset.com/
Some Reference: http://www.thaicert.nectec.or.th/paper/ids/idsfaq4.php
Reply With Quote
