Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 38 Bài 5: CÁC PHNG PHÁP SNIFFER I/ Gii thiu v Sniffer A. TNG QUAN SNIFFER Sniffer đc hiu đn gin nh là mt chng trình c gng nghe ngóng các lu lng thông tin trên mt h thng mng Sniffer đc s dng nh mt công c đ các nhà qun tr mng theo dõi và bo trì h thng mng. V mt tiêu cc, sniffer đc s dng nh mt công c vi mc đích nghe lén các thông tin trên mng đ ly các thông tin quan trng Sniffer da vào phng thc tn công ARP đ bt gói các thông tin đc truyn qua mng. Tuy nhiên nhng giao dch gia các h thng mng máy tính thng là nhng d liu  dng nh phân (binary). Bi vy đ hiu đc nhng d liu  dng nh phân này, các chng trình Sniffer này phi có tính nng phân tích các nghi thc (Protocol Analysis), cng nh tính nng gii mã (Decode) các d liu  dng nh phân đ hiu đc chúng Mt s các ng dng ca Sniffer đc s dng nh: dsniff, snort, cain, ettercap, sniffer pro… B. HOT NG CA SNIFFER Sniffer hot đng ch yu da trên dng tn công ARP. TN CÔNG ARP 1. Gii thiu ây là mt dng tn công rt nguy him, gi là Man In The Middle. Trong trng hp này ging nh b đt máy nghe lén, phiên làm vic gia máy gi và máy nhn vn din ra bình thng nên ngi s dng không h hay bit mình b tn công 2. S Lc Quá trình hot đng Trên cùng mt mng, Host A và Host B mun truyn tin cho nhau, các Packet s đc đa xung tng Datalink đ đóng gói, các Host phi đóng gói MAC ngun, MAC đích vào Frame. Nh vy trc khi quá trình truyn D liu, các Host phi hi đa ch MAC ca nhau. Nu nh Host A khi đng quá trình hi MAC trc, nó s gi broadcast gói tin ARP request cho tt c các Host đ hi MAC Host B, lúc đó Host B đã có MAC ca Host A, sau đó Host B ch tr li cho Host A MAC ca Host B(ARP reply ). Có 1 Host C liên tc gi ARP reply cho Host A và Host B đa ch MAC ca Host C, nhng li đt đa ch IP là Host A và Host B. Lúc này Host A c ngh máy B có MAC là C. Nh vy các gói tin mà Host A g i cho Host B đu b đa đn Host C, gói tin Host B tr li cho Host A cng đa đn Host C. Nu Host C bt chc nng forwarding thì coi nh Host A và Host B không h hay bit rng mình b tn công ARP Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 39 . Ví d: Ta có mô hình gm các host Attacker: là máy hacker dùng đ tn công ARP IP: 10.0.0.11 MAC: 0000.0000.1011 Victim: là máy b tn công IP: 10.0.0.12 MAC: 0000.0000.1012 HostA IP: 10.0.0.13 MAC: 0000.0000.1013 - u tiên, HostA mun gi d liu cho Victim, cn phi bit đa ch MAC ca Victim đ liên lc. HostA s gi broadcast ARP Request ti tt c các máy trong cùng mng LAN đ hi xem IP 10.0.0.12 (IP ca Victim) có đa ch MAC là bao nhiêu. - Attacker và Victim đu nhn đc gói tin ARP Request, nhng ch có Victim gi tr li gói tin ARP Reply li cho HostA. ARP Reply cha thông tin v IP 10.0.0.12 và MAC 0000.0000.1012 c a Victim - HostA nhn đc gói ARP Realy t Victim, bit đc đa ch MAC ca Victim là 0000.0000.1012 s bt đu thc hin liên lc truyn d liu đn Victim. Attacker không th xem ni dung d liu đc truyn gia HostA và Victim Máy Attacker mun thc hin ARP attack đi vi máy Victim. Attacker mun mi gói tin HostA gi đn máy Victim đu có th chp li đc đ xem trm - Attacker thc hin gi liên tc ARP Reply cha thông tin v IP ca Victim 10.0.0.12, còn đa ch MAC là ca Attacker 0000.0000.1011. - HostA nhn đc ARP Reply ngh rng IP Victim 10.0.0.12 có đa ch MAC là 0000.0000.1011. HostA lu thông tin này vào bng ARP Cache và thc hin kt ni. - Lúc này mi thông tin, d liu HostA gi ti máy có IP 10.0.0.12 (là máy Victim) s gi qua đa ch MAC 0000.0000.1011 ca máy Attacker. Host A Host B Host C Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 40 CAIN (S dng phn mm CAIN) 1.Yêu cu v phn cng: -  cng cn trng 10 Mb - h điu hành Win 2000/2003/XP - cn phi có Winpcap 2. Cài đt: Chn Next. Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 41 Chn Next. Chn Finish. Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 42 Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 43 Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 44 3. Cu hình Cain & Abel cn cu hình mt vài thông s, mïi th có th đc điu chnh thông qua bng Configuration dialog . Sniffer tab : -Ti đây chúng ta chn card mng s dng đ tin hành sniffer và tính nng APR . Check vào ô Option đ kích hot hay không kích hot tính nng. -Sniffer tng thích vi Winpcap version 2.3 hay cao hn . Version này h tr card mng rt nhiu . Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 45 APR tab: -ây là ni bn có th config ARP . Mc đnh Cain ngn cách 1 chui gi gói ARP t nn nhân trong vòng 30 giây . ây thc s là điu cn thit bi vì vic xâm nhp vào thit b có th s gây ra s không lu thông tính hiu . T dialog này bn có th xác đnh thi gian gia mi ln thc thi ARP, xác đnh thông s ít s to cho ARP lu thông nhiu,ngc li s khó khn h n trong vic xâm nhp . -Ti mc này, ta cn chú ý ti phn Spoofing Options: +Mc đu tiên cho phép ta s dng đa ch MAC và IP thc ca máy mà mình dang s dng. +Mc th hai cho phép s dng mt IP và đa ch MAC gi mo. (Lu ý đa ch ta chn phi không trùng vi IP ca máy khác) Khi click vào tab filters and ports, ta s thy mt s thông tin v giao thc và các con s port tng ng vi giao thc đó. Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 46 Fliter and Ports Tab : -Ti đây bn có th chn kích hot hay không kích hot các port ng dng TCP/UDP . HTTP fields tab : Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 47 - Ti đây có 1 list danh sách username và password s dng đc HTTP sniffer lc li. - Ti tab này cho phép ta bit dc chng trình này s bt 1 s thông tin v trang web nh: + Mc Username Fields: nó s ly thông tin nhng gì liên quan đn cái tên (user name, account, web name v.v ) . + Mc Password Fields: lanh vc này s đãm nhim vai trò ly thông tin v password (login password, user pass, webpass v.v…) 4. Các ng dng ca CAIN: + Bo v password manager: − Trc ht nó đc s dng nh 1 private key bo m t mt s vn đ cho user . Hu ht thông tin trong Protected Storage đc mã hóa.S dng nh 1 key nhn đc t vic logon password ca user.Cho phép điu hòa viêc truy cp thông tin đ owner có th an toàn truy xut . − Mt vài ng dng ca Windows có nét đc trng nên s dng dch v này: Internet Explorer, Oulook, Oulook Express + Gii mã password manager: − Nó cho phép bn đa user names và passwords cho 1 tài nguyên mng khác và 1 ng dng,sau đó h thng t đng cung cp thông tin v nhng s ving thm thông tin mà bn không can thip. + LSA secrets dumper : − LSA secrets thì s dng thông tin password cho accounts dùng đ start mt dch v khác d liu cc b. Dial Up và mt s ng dng khác xác đnh password nm  đây . + Gii mã password Dial-Up: [...]... ta có th th c thi ch ng trình Nemesis nhi u l n và làm cho b nh c a Router y Tr c tiên ta th l nh sau: nemesis rip -V 1 -c 2 -i 1 92. 168.5.0 -S 1 92. 168.1.51 -D 1 92. 168.1 .25 4 Trong ó –V 1 là ta ang s d ng rip version 1, -c 2 là thông tin update, -i 1 92. 168.5.0 là route mà chúng ta qu ng bá, -S 1 92. 168.1.51 là a ch ngu n thông tin(có th không ph i là a ch c a PC, -D 1 92. 168.1 .25 4 là a ch c a fa0/0 Router... quan tr ng c a ettercap VSIC Education Corporation ng Trang 62 Giáo trình bài t p C|EH Tài li u dành cho h c viên Ngoài ra Ettercap còn có 2 plug-in r t quan tr ng là arpcop và leech VSIC Education Corporation Trang 63 Giáo trình bài t p C|EH Tài li u dành cho h c viên Nó cho phép ta có th dùng chính Ettercap b o v máy mình tr c các ch ng trình sniffer khác trên m ng 1 Arpcop: N u nghi ng ai ó ang “nghe... –C VSIC Education Corporation Trang 55 Giáo trình bài t p C|EH Tài li u dành cho h c viên - Tr c khi ti n hành c u hình, ta ki m tra option Promisc mode có d ch a thì ch n check - c check ch a, n u Trong menu sniff, ch n Unified sniffing VSIC Education Corporation Trang 56 Giáo trình bài t p C|EH - - Tài li u dành cho h c viên Ch n card m ng s d ng kh i ng quá trình l ng nghe, ch n menu start, start... VSIC Education Corporation Trang 57 Giáo trình bài t p C|EH T i dòng User Messages se xu t hi n thông báo cho bi t d ch v - Tài li u dành cho h c viên ang start lên Trong menu Host, ch n Scan from hosts VSIC Education Corporation Trang 58 Giáo trình bài t p C|EH - Tài li u dành cho h c viên Trong menu Mitm, ch n Arp poisoning… VSIC Education Corporation Trang 59 Giáo trình bài t p C|EH Tài li u dành cho... i a ch qua l i trên m ng.Trên m ng ng i t n công lúc nào c ng lén lúc gi a quan sát VSIC Education Corporation Trang 48 Giáo trình bài t p C|EH Tài li u dành cho h c viên Hình trên là ta mu n t n công ip t 1 92. 168.0.1 ( 1 92. 168.0.10 Công vi c ti n hành theo c ch Ng i gi a, ch ng trình s th c hi n 1 s t n công ARP poision, CAIN có th phát tri n s t n công b nh C a nhi u host trong kho ng th i gian nh... ang ch y các ch ng trình spoofing arp trên m ng 2 Leech: Khi xác nh n c i t ng t n công, ta có th ti n hành cô l p máy tính này kh i m ng ngay l p t c b ng cách s d ng plug-in này Còn có th dùng ettercap phát hi n các máy b nhi m virus ang phát tán trên m ng r i cô l p chúng b ng leech, sau ó di t b ng các ch ng trình ch ng virus r t hi u qu VSIC Education Corporation Trang 64 Giáo trình bài t p C|EH... Giáo trình bài t p C|EH Tài li u dành cho h c viên + Certificates Collector: VSIC Education Corporation Trang 52 Giáo trình bài t p C|EH VSIC Education Corporation Tài li u dành cho h c viên Trang 53 Giáo trình bài t p C|EH Tài li u dành cho h c viên ETTERCAP 1 Gi i Thi u Ettercap là ch ng trình phân tích các gói tin g i qua m ng, vì th Ettercap c ng là m t ph n m m hi u nghi m cho phép ng i s d ng... make # make install Install libpcap: 6 # tar zxvf libpcap-1.1 .2. 1.tar.gz 7 # cd libpcap 8 # /configure 9 # make 10 # make install Install ettercap: 1 2 3 4 # tar zxvf ettercap-NG-0.7.1.tar.gz # cd ettercap-NG-0.7.1 # /configure # make VSIC Education Corporation Trang 54 Giáo trình bài t p C|EH Tài li u dành cho h c viên 5 # make install Quá trình cài t hoàn t t, trên c a s console xu t hi n nh ng dòng... l i các messages do 127 .0.0.1(chính nó ) g i n, k t qu là nó s i vòng m t vòng l p vô t n Tuy nhiên, có nhi u h th ng không cho dùng a ch loopback nên hacker s gi m o m t a ch ip c a m t máy tính nào ó trên m ng n n nhân và ti n hành ng p l t UDP trên h th ng c a n n nhân N u b n làm cách này không thành công thì chính máy c a b n s b y VSIC Education Corporation Trang 66 Giáo trình bài t p C|EH Tài... %i in (1,1,100) do start ping [ip victim] –l 10000 -t VSIC Education Corporation Trang 67 Giáo trình bài t p C|EH Ta có th ch y câu l nh này nhi u l n, Tài li u dành cho h c viên có th làm cho máy Client b DoS hoàn toàn VSIC Education Corporation Trang 68 Giáo trình bài t p C|EH Tài li u dành cho h c viên Bài lab 2: DoS 1 giao th c không s d ng ch ng th c(trong bài s d ng giao th c RIP) Trong bài này . v phn cng: -  cng cn trng 10 Mb - h điu hành Win 20 00 /20 03/XP - cn phi có Winpcap 2. Cài đt: Chn Next. Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education. 41 Chn Next. Chn Finish. Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 42 Giáo trình bài tp C|EH Tài liu dành cho hc. quan sát Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 49 Hình  trên là ta mun tn công ip t 1 92. 168.0.1 ( 1 92. 168.0.10 .Công vic tin hành theo