Trong một tổ chức khi sử dụng mail, web nội bộ chúng ta thường duyệt mail bằng 2 hình thức, một sử dụng bằng mail client như outlook và bằng duyệt web để đọc mail. Vì vậy việc sniffer trong LAN là rất nguy hiểm đối với chúng ta, với cách này kẻ xấu nó có thể lấy toàn bộ user password của chúng ta, kể cả hệ thống mail đã tích hợp SSL. Vậy tại sao đã mã hóa dùng giao thức SSL mà sniffer vẫn lấy được? có 2 nguyên nhân sau:
- Khi người dùng sử dụng oulook để lấy mail về, chúng ta không thiết lập mã hóa lúc connect giữa client đến server (rất nhiều người quên hoặc không biết cách thiết lập).
- Chúng ta sử dụng vào webmail, trường hợp này sniffer vẫn có thể lấy được user và password mail của chúng ta như sau: khi máy chúng ta đã là nạn nhân của sniffer, tưởng đương với chúng ta bị chèn 1 chứng chỉ giả vào máy của chúng ta, lúc này người dùng duyệt trang sử dụng SSL như gmail, yahoo…máy chúng ta sẽ bắn lên thông báo (đối với chúng ta dùng IE, nếu chúng ta sử dụng trình duyệt khác sẽ có thông báo hình thức khác) bạn có thể tham khảo thêm http://www.sslshopper.com/ssl-certificate-not-trusted-error.html
Nếu chúng ta click vào “yes” lúc này chúng ta đã bị kẻ xấu chèn chứng chỉ giả mạo vào máy của chúng ta, vì vậy tất cả user password đều bị tóm ở dạng rõ bằng cách tấn công Man-in-the-Middle. Vậy mọi người lưu ý khi chúng ta có cảnh bảo này trên máy.Cách khác phục:
- Chúng ta có thể config trên switch đẻ hạn chết lưu lượng arp trong LAN, bằng cách sử dụng port security...
- Bật firewall local.
- Cách đơn giản nhất là gắn mac tĩnh gateway. Chúng ta mở notepad đánh : arp –s
win xp.
Interface: 192.168.86.135 --- 0x5
nternet Address Physical Address Type
192.168.86.1 00-22-bd-09-7a-da static
192.168.86.91 00-1c-26-31-31-93 dynamic
192.168.86.121 00-21-00-6d-47-de dynamic
win 7: phải là quyền : administrator
netsh interface>ipv4
set neighbors "Wireless Network Connection" "192.168.86.1""00-22-bd-09-7a-d1"
Thiết lập tích hợp mã hóa connect từ clien to server (SSL):