Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 38 Bài 5: CÁC PHNG PHÁP SNIFFER I/ Gii thiu v Sniffer A. TNG QUAN SNIFFER Sniffer đc hiu đn gin nh là mt chng trình c gng nghe ngóng các lu lng thông tin trên mt h thng mng Sniffer đc s dng nh mt công c đ các nhà qun tr mng theo dõi và bo trì h thng mng. V mt tiêu cc, sniffer đc s dng nh mt công c vi mc đích nghe lén các thông tin trên mng đ ly các thông tin quan trng Sniffer da vào phng thc tn công ARP đ bt gói các thông tin đc truyn qua mng. Tuy nhiên nhng giao dch gia các h thng mng máy tính thng là nhng d liu  dng nh phân (binary). Bi vy đ hiu đc nhng d liu  dng nh phân này, các chng trình Sniffer này phi có tính nng phân tích các nghi thc (Protocol Analysis), cng nh tính nng gii mã (Decode) các d liu  dng nh phân đ hiu đc chúng Mt s các ng dng ca Sniffer đc s dng nh: dsniff, snort, cain, ettercap, sniffer pro… B. HOT NG CA SNIFFER Sniffer hot đng ch yu da trên dng tn công ARP. TN CÔNG ARP 1. Gii thiu ây là mt dng tn công rt nguy him, gi là Man In The Middle. Trong trng hp này ging nh b đt máy nghe lén, phiên làm vic gia máy gi và máy nhn vn din ra bình thng nên ngi s dng không h hay bit mình b tn công 2. S Lc Quá trình hot đng Trên cùng mt mng, Host A và Host B mun truyn tin cho nhau, các Packet s đc đa xung tng Datalink đ đóng gói, các Host phi đóng gói MAC ngun, MAC đích vào Frame. Nh vy trc khi quá trình truyn D liu, các Host phi hi đa ch MAC ca nhau. Nu nh Host A khi đng quá trình hi MAC trc, nó s gi broadcast gói tin ARP request cho tt c các Host đ hi MAC Host B, lúc đó Host B đã có MAC ca Host A, sau đó Host B ch tr li cho Host A MAC ca Host B(ARP reply ). Có 1 Host C liên tc gi ARP reply cho Host A và Host B đa ch MAC ca Host C, nhng li đt đa ch IP là Host A và Host B. Lúc này Host A c ngh máy B có MAC là C. Nh vy các gói tin mà Host A g i cho Host B đu b đa đn Host C, gói tin Host B tr li cho Host A cng đa đn Host C. Nu Host C bt chc nng forwarding thì coi nh Host A và Host B không h hay bit rng mình b tn công ARP Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 39 . Ví d: Ta có mô hình gm các host Attacker: là máy hacker dùng đ tn công ARP IP: 10.0.0.11 MAC: 0000.0000.1011 Victim: là máy b tn công IP: 10.0.0.12 MAC: 0000.0000.1012 HostA IP: 10.0.0.13 MAC: 0000.0000.1013 - u tiên, HostA mun gi d liu cho Victim, cn phi bit đa ch MAC ca Victim đ liên lc. HostA s gi broadcast ARP Request ti tt c các máy trong cùng mng LAN đ hi xem IP 10.0.0.12 (IP ca Victim) có đa ch MAC là bao nhiêu. - Attacker và Victim đu nhn đc gói tin ARP Request, nhng ch có Victim gi tr li gói tin ARP Reply li cho HostA. ARP Reply cha thông tin v IP 10.0.0.12 và MAC 0000.0000.1012 c a Victim - HostA nhn đc gói ARP Realy t Victim, bit đc đa ch MAC ca Victim là 0000.0000.1012 s bt đu thc hin liên lc truyn d liu đn Victim. Attacker không th xem ni dung d liu đc truyn gia HostA và Victim Máy Attacker mun thc hin ARP attack đi vi máy Victim. Attacker mun mi gói tin HostA gi đn máy Victim đu có th chp li đc đ xem trm - Attacker thc hin gi liên tc ARP Reply cha thông tin v IP ca Victim 10.0.0.12, còn đa ch MAC là ca Attacker 0000.0000.1011. - HostA nhn đc ARP Reply ngh rng IP Victim 10.0.0.12 có đa ch MAC là 0000.0000.1011. HostA lu thông tin này vào bng ARP Cache và thc hin kt ni. - Lúc này mi thông tin, d liu HostA gi ti máy có IP 10.0.0.12 (là máy Victim) s gi qua đa ch MAC 0000.0000.1011 ca máy Attacker. Host A Host B Host C Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 40 CAIN (S dng phn mm CAIN) 1.Yêu cu v phn cng: -  cng cn trng 10 Mb - h điu hành Win 2000/2003/XP - cn phi có Winpcap 2. Cài đt: Chn Next. Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 41 Chn Next. Chn Finish. Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 42 Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 43 Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 44 3. Cu hình Cain & Abel cn cu hình mt vài thông s, mïi th có th đc điu chnh thông qua bng Configuration dialog . Sniffer tab : -Ti đây chúng ta chn card mng s dng đ tin hành sniffer và tính nng APR . Check vào ô Option đ kích hot hay không kích hot tính nng. -Sniffer tng thích vi Winpcap version 2.3 hay cao hn . Version này h tr card mng rt nhiu . Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 45 APR tab: -ây là ni bn có th config ARP . Mc đnh Cain ngn cách 1 chui gi gói ARP t nn nhân trong vòng 30 giây . ây thc s là điu cn thit bi vì vic xâm nhp vào thit b có th s gây ra s không lu thông tính hiu . T dialog này bn có th xác đnh thi gian gia mi ln thc thi ARP, xác đnh thông s ít s to cho ARP lu thông nhiu,ngc li s khó khn h n trong vic xâm nhp . -Ti mc này, ta cn chú ý ti phn Spoofing Options: +Mc đu tiên cho phép ta s dng đa ch MAC và IP thc ca máy mà mình dang s dng. +Mc th hai cho phép s dng mt IP và đa ch MAC gi mo. (Lu ý đa ch ta chn phi không trùng vi IP ca máy khác) Khi click vào tab filters and ports, ta s thy mt s thông tin v giao thc và các con s port tng ng vi giao thc đó. Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 46 Fliter and Ports Tab : -Ti đây bn có th chn kích hot hay không kích hot các port ng dng TCP/UDP . HTTP fields tab : Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 47 - Ti đây có 1 list danh sách username và password s dng đc HTTP sniffer lc li. - Ti tab này cho phép ta bit dc chng trình này s bt 1 s thông tin v trang web nh: + Mc Username Fields: nó s ly thông tin nhng gì liên quan đn cái tên (user name, account, web name v.v ) . + Mc Password Fields: lanh vc này s đãm nhim vai trò ly thông tin v password (login password, user pass, webpass v.v…) 4. Các ng dng ca CAIN: + Bo v password manager: − Trc ht nó đc s dng nh 1 private key bo m t mt s vn đ cho user . Hu ht thông tin trong Protected Storage đc mã hóa.S dng nh 1 key nhn đc t vic logon password ca user.Cho phép điu hòa viêc truy cp thông tin đ owner có th an toàn truy xut . − Mt vài ng dng ca Windows có nét đc trng nên s dng dch v này: Internet Explorer, Oulook, Oulook Express + Gii mã password manager: − Nó cho phép bn đa user names và passwords cho 1 tài nguyên mng khác và 1 ng dng,sau đó h thng t đng cung cp thông tin v nhng s ving thm thông tin mà bn không can thip. + LSA secrets dumper : − LSA secrets thì s dng thông tin password cho accounts dùng đ start mt dch v khác d liu cc b. Dial Up và mt s ng dng khác xác đnh password nm  đây . + Gii mã password Dial-Up: [...]... và làm cho b nh c a Router y Tr c tiên ta th l nh sau: nemesis rip -V 1 -c 2 -i 1 92. 168.5.0 -S 1 92. 168.1.51 -D 1 92. 168.1 .25 4 Trong ó –V 1 là ta ang s d ng rip version 1, -c 2 là thông tin update, -i 1 92. 168.5.0 là route mà chúng ta qu ng bá, -S 1 92. 168.1.51 là a ch ngu n thông tin(có th không ph i là a ch c a PC, -D 1 92. 168.1 .25 4 là a ch c a fa0/0 Router VSIC1 Sau khi th c hi n l nh này, ta ki m tra... nh ng plug-in này, ta có th d ng m t s tính n ng quan tr ng c a ettercap VSIC Education Corporation ng Trang 62 Giáo trình bài t p C|EH Tài li u dành cho h c viên Ngoài ra Ettercap còn có 2 plug-in r t quan tr ng là arpcop và leech VSIC Education Corporation Trang 63 Giáo trình bài t p C|EH Tài li u dành cho h c viên Nó cho phép ta có th dùng chính Ettercap b o v máy mình tr c các ch ng trình sniffer... r i sau ó m i truy n n máy tính ích 2 Install trên Linux Tr c khi Install, chúng ta c n chu n b 3 gói cài sau: + ettercap-NG-0.7.1.tar – có th download t website http://prdownloads.sourceforge.net/ettercap + libpcap-0.8.1.tar + libnet-1.1 .2. 1.tar – có th download t website http://www.packetfactory.net/libnet/dist/ Install libnet: 1 2 3 4 5 # tar zxvf libnet-1.1 .2. 1.tar.gz # cd libnet # /configure #... libnet # /configure # make # make install Install libpcap: 6 # tar zxvf libpcap-1.1 .2. 1.tar.gz 7 # cd libpcap 8 # /configure 9 # make 10 # make install Install ettercap: 1 2 3 4 # tar zxvf ettercap-NG-0.7.1.tar.gz # cd ettercap-NG-0.7.1 # /configure # make VSIC Education Corporation Trang 54 Giáo trình bài t p C|EH Tài li u dành cho h c viên 5 # make install Quá trình cài t hoàn t t, trên c a s console... C|EH T i dòng User Messages se xu t hi n thông báo cho bi t d ch v - Tài li u dành cho h c viên ang start lên Trong menu Host, ch n Scan from hosts VSIC Education Corporation Trang 58 Giáo trình bài t p C|EH - Tài li u dành cho h c viên Trong menu Mitm, ch n Arp poisoning… VSIC Education Corporation Trang 59 Giáo trình bài t p C|EH Tài li u dành cho h c viên - Không ch n parameters, nh n enter b qua... C|EH Tài li u dành cho h c viên ARP-HTTPS cho phép vi c b t gói và gi i mã trong s l u thông c a HTTPS gi a các host ây là công vi c k t h p v i công c Certificate Collector Khi mà n n nhân Start HTTPS trình duy t c a anh ta s hi n lên po-pup báo ng VSIC Education Corporation Trang 51 Giáo trình bài t p C|EH Tài li u dành cho h c viên + Certificates Collector: VSIC Education Corporation Trang 52 Giáo... ) UDP Flooding: - Cách t n công UDP òi h i ph i có 2 h th ng máy cùng tham gia Hackers s làm cho h th ng c a mình i vào m t vòng l p trao i các d li u qua giao th c UDP Và gi m o a ch ip c a các gói tin là a ch loopback ( 127 .0.0.1 ), r i g i gói tin này n h th ng c a n n nhân trên c ng UDP echo (7 ) H th ng c a n n nhân s tr l i l i các messages do 127 .0.0.1(chính nó ) g i n, k t qu là nó s i vòng m... công này y (Trích d n Netsky (vniss)) II/ Mô t bài lab: Bài Lab 1: DoS b ng cách s d ng Ping of death Ngoài vi c s d ng các tool Nemesy ta còn có th s d ng l nh sau ping of death có th kh i ng For /L %i in (1,1,100) do start ping [ip victim] –l 10000 -t VSIC Education Corporation Trang 67 Giáo trình bài t p C|EH Ta có th ch y câu l nh này nhi u l n, Tài li u dành cho h c viên có th làm cho máy Client... trình bài t p C|EH Ta có th ch y câu l nh này nhi u l n, Tài li u dành cho h c viên có th làm cho máy Client b DoS hoàn toàn VSIC Education Corporation Trang 68 Giáo trình bài t p C|EH Tài li u dành cho h c viên Bài lab 2: DoS 1 giao th c không s d ng ch ng th c(trong bài s d ng giao th c RIP) Trong bài này chúng ta s d ng Cisco router ch y phiên b n RIP version 1 và s d ng tool Nemesis t máy CD Boot... t không bao gi g i a ch qua l i trên m ng.Trên m ng ng i t n công lúc nào c ng lén lúc gi a quan sát VSIC Education Corporation Trang 48 Giáo trình bài t p C|EH Tài li u dành cho h c viên Hình trên là ta mu n t n công ip t 1 92. 168.0.1 ( 1 92. 168.0.10 Công vi c ti n hành theo c ch Ng i gi a, ch ng trình s th c hi n 1 s t n công ARP poision, CAIN có th phát tri n s t n công b nh C a nhi u host trong kho . trng 10 Mb - h điu hành Win 20 00 /20 03/XP - cn phi có Winpcap 2. Cài đt: Chn Next. Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC. IP 10.0.0. 12 và MAC 0000.0000.10 12 c a Victim - HostA nhn đc gói ARP Realy t Victim, bit đc đa ch MAC ca Victim là 0000.0000.10 12 s bt đu