Throwing Star LAN Tap

Đây là thiết bị tap Ethernet thụ động (Passive Ethernet tap). “Thụ động” nghĩa là không cần sử dụng nguồn điện ngoài để hoạt động. Nó chỉ chắn ngang đường truyền mạng và sao chép tín hiệu đến cổng giám sát mà không thực hiện phát (transmit) ngược tín hiệu vào mạng chính. Cổng giám sát sau đó được kết nối tới máy tính có cài dặt sẵn các công cụ phân tích gói mạng như như Wireshark, Tcpdump hay IDS để thực hiện việc quan sát các tín hiệu giữa hai nút mạng (thiết bị) trên đường truyền.

Thiết bị Throwing Star LAN Tap theo thiết kế của Great Scott Gadgets rất nhỏ gọn, nhét vừa trong túi áo hoặc nằm gọn trong nằm bàn tay. Nó thật sự rất cần thiết cho anh em nào đang làm việc trong lĩnh vực Network Admin, System Admin hay Cyber Security mà cần theo dõi, nghe lén mà “không để lại dấu vết”

Cách Sử Dụng Throwing Star LAN Tap

Trên thiết bị Throwing Star LAN tap có 4 cổng mạng được đánh dấu theo cặp J1-J2 và J3-J4. Để không bị nhầm, hãy lẩm bẩm nhớ rằng chẵn đi với chẵn, lẻ đi với lẻ

Bước 1: Nối hai cổng mạng chính J1 và J2 vào hai thiết bị mà chúng ta muốn thực hiện nghe lén.

Bước 2: Sử dụng cáp mạng RJ45 để kết nối một hoặc cả hai cổng giám sát J3 và J4 với các cổng mạng trên máy giám sát. Lưu ý, mỗi cổng chỉ giám sát lưu lượng theo một hướng (Mình sẽ giải thích kĩ hơn ở phía dưới)

Bước 3: Mở phần mềm Wireshark hoặc Tcpdump để quan sát gói tin

Bước 4: Sử dụng kỹ năng về Network của bạn để đọc hiểu những gì đang diễn ra trên giao diện của Wireshark

Nguyên Lý Hoạt Động

Thiết bị này hoạt động hiệu quả trên các thiết bị hỗ trợ chuẩn Ethernet 10/100Mbps (10BASE-T hoặc 100BASE-TX). Vì chuẩn này chỉ sử dụng 2 cặp xoắn (4 lõi) trong tổng số 4 cặp (8 lõi), bấm cáp theo chuẩn T568B trên đầu nối RJ45.

Cặp 1 (Cam): Pin 1-2, TX (truyền) của bên A sẽ được nối với RX (nhận) của bên B

Cặp 2 (Xanh lá): Pin 3-6, TX của bên B sẽ được nối với RX của bên A

Các cặp dây còn lại Pin 4-5, 7-8 sẽ không được được sử dụng trừ khi có cấp nguồn điện DC qua cáp mạng PoE (Power over Ethernet) sẽ giải thích ở phần PoE

Vì chuẩn 100Base-TX truyền dữ liệu bằng hai cặp tách biệt TX/RX. Tín hiệu Ethernet Data Signal truyền đi trong giao thức này là dạng xoay chiều (AC) sẽ mang toàn bộ bit MAC Frame Format của giao thức.

Do đó, thiết bị Throwing Star LAN Tap dễ dàng sao chép tín hiệu điện theo từng cặp. Cặp 1 (Pin 1-2) trên J1 sẽ được đấu (tap) vào J3, tương tự Cặp 2 (Pin 3-6) trên J2 được đấu vào J4. Hai cổng giám sát J3, J4 chỉ đóng vai trò nghe (receive) chứ không có đường nối ngược lại để gửi dữ liệu vào tín hiệu gốc. Khi quan sát lưu lượng mạng trên cổng J3 ta chỉ thấy dữ liệu theo một chiều từ J1 qua J2 và khi quan sát trên J4 ta chỉ thấy dữ liệu ở chiều ngược lại (J2 tới J1).

Nếu theo mô hình OSI, các tín hiệu hiệu điện trên J3 hoặc J4 sẽ đi tới card mạng của máy giám sát, tầng PHYSICAL (Layer 1) sẽ phục hồi lại thành dạng logic. Tầng Data Link (Layer 2) sẽ tái tạo các bit thành từng Ethernet Frame để xử lý. Bản chất thì việc tap sẽ cho card mạng ở máy giám sát một bản sao bit-for-bit cùng dạng, y nguyên nên Frame gửi đi nhận về như nào thì sẽ giữ nguyên vẹn (từ Preamble, SFD, Destination MAC, Source MAC, Ethernet Type, Payload, FCS…). Rồi từ Data Link sẽ phân tách thành IP Packet hoạt động ở tầng Network (Layer 3), cho tới TCP/UDP Protocol ở tầng Transport (Layer 4). Tương tự thế với các tầng cao hơn.

Đối Với Thiết Bị PoE

Throwing Star LAN Tap vẫn cho phép PoE (Power over Ethernet) đi qua mạng chính (J1, J2) nhưng không cho phép nguồn DC đi vào cổng giám sát. Chúng đã bị cách ly bởi tụ điện C1 220 pf ở Pin 4-5 trên cổng J3 và tụ điện C2 ở Pin 7-8 trên cổng J4. Khi có dòng điện một chiều PoE đi qua, 2 tụ điện sẽ được đầy rồi giữ điện tích sau đó không còn dòng chạy qua. Nếu không có tụ, nguồn điện +-48V có thể gây hỏng Card mạng của máy phân tích. Tín hiệu Ethernet là dạng AC nên tụ được nạp xả liên tục theo tần số nên tín hiệu vẫn đi qua một cách dễ dàng.

Trong thực tế, dù các chân 4-5 và 7-8 không truyền dữ liệu, nhưng chúng có thể mang nhiễu điện từ môi trường (EMI – Electromagnetic Interference) nên việc sử dụng tụ ở chỗ này cũng giống như các bộ lọc (filter) nhiễu.

Đối Với Thiết Bị Gigabit Ethernet

Khi hai thiết bị kết nối với nhau theo tiêu chuẩn Gigabit Ethernet (1000BASE‑T), chuẩn này sử dụng cả 4 cặp dây (8pin) và truyền song công (full duplex trên tất cả dây). Điều này sẽ rất khó khăn trong việc tap ra để nghe lén một cách thụ động. Để giải quyết vấn đề này, hai con tụ ở trên lại phát huy tác dụng. Gigabit Ethernet hoạt động ở tần số (f) cao hơn nhiều ( ~125MHz), khi đặt các tụ nhỏ có điện dung (C) cỡ 220pf sẽ tạo ra một dung kháng (đại lượng đặc trưng cho sự cản trở dòng điện xoay chiều của tụ điện) $Z = \frac{1}{2\pifC}$ khoảng 5.78Ohm, gây ảnh hưởng lớn tới tín hiệu ở tần số này.

Từ đó, các chân pin 4-5 và 7-8 có thể bị ngắt, không kết nối được gây ra việc tín hiệu bị suy hao. Tín hiệu ở hai dầu nút mạng sẽ bị suy giảm, chậm hơn so với ban đầu vì chúng nó buộc phải thương lượng (Auto-negotiation) về tốc độ thấp hơn (thường là 100BASETX). Vì thế thiết bị nghe lén của chúng ta lại được việc. Tính năng Auto-negotiation theo tiêu chuẩn Gigabit Ethernet (1000BASE-T).

Quan Sát (nghe lén) dữ liệu

Các Giao Thức Insecure

Thiết bị sẽ thấy được toàn bộ nội dung của các gói tin Insecure như HTTP, FTP, Telnet, POP3. Toàn bộ Payload bye-for-byte sẽ dễ dàng phân tích bằng công cụ Wireshark / TShark hoặc PyShark… Từ đó dễ dàng trích xuất được Credential, Session, Tokens nội dung File Upload hoặc Download của người dùng.

Các Giao Thức Có SSL/TLS

Thiết bị Throwing Star LAN Tap có thể đọc được các Metadata như IP nguồn đích, Port nguồn đích của các giao thức được mã hóa như HTTPS / SSH hay VPN. Gói tin TLS Hello khi chưa mã hóa chúng ta ta có thể đọc được các thông tin Cipher Suite, SNI (Server Name Indication) tức là tên Hostname hay Domain. Những dữ liệu ở phần Application Data như kiểu HTTP Body, Header Request, Header Response sẽ không thể đọc được

Chức Năng Auto-negotiation

Tuy nhiên, tính năng gắn tụ của Throwing Star LAN Tap cũng trở thành một hạn chế, hoặc cũng có thể coi là gót chân Asin của thiết bị này. Nếu chúng ta ép buộc cả HAI thiết bị A và B đều sử dụng kết nối ở 1000 Mbps, full duplex và tắt Auto-Negotiation, thì việc gắn một TAP như Throwing Star LAN Tap (chỉ hỗ trợ 100 Mbps) sẽ làm mất kết nối mạng hoàn toàn giữa hai thiết bị hoặc mạng rất chập chờn (packet loss cao). Từ ấy chúng ta cũng có thể suy diễn ra hệ thống mạng của mình đang có vấn đề bị can thiệp.

Windows

Sử dụng lệnh Get-NetAdapter trên cửa sổ Powershell, và quan sát ở cột LinkSpeed có đang là Gbps không

Get-NetAdapter | Select Name, Status, LinkSpeed

Name                      Status     LinkSpeed
----                      ------     ---------
Ethernet                  Up         1 Gbps
Wi-Fi                     Up         300 Mbps

Linux

Để kiểm tra thiết bị của mình có hỗ trợ Auto-negotiation không? hãy thử lệnh ethtool và quan sát giá trị Auto-negotiation có là On không

$ ethtool eth0
Speed: 1000Mb/s
Duplex: Full
Auto-negotiation: on

MacOS

Quan sát kết quả của lệnh ifconfig với card en0 hoặc en1 trên terminal, nếu có ghi 1000baseT, full-duplex tức là thiết bị của bạn có hỗ trợ Auto-negotiation

ifconfig
media: autoselect (1000baseT <full-duplex>)

Trong thực tế, không phải tất cả thiết bị đều tuân thủ hoàn toàn hoặc hỗ trợ tính năng này đúng cách, nhất là khi chúng ta làm việc với các thiết bị đời cũ, thiết bị giá rẻ / OEM đang chiếm phần lớn ngoài thị trường, các thiết bị công nghiệp hay IoT.

Nhiều thết bị rẻ tiền có thể dùng hệ thống đơn giản chỉ hỗ trợ 10/100/1000 nhưng không có mạch auto-negotiation hoàn chỉnh. Nên chúng ta không thể bật/ tắt việc bắt buộc thiết bị không được fallback.