Nghiên cứu kỹ thuật đọc lén dữ liệu trong mạng lan dùng phương pháp arp poisoning và xây dựng công cụ phát hiện đọc lén

53 575 2
Nghiên cứu kỹ thuật đọc lén dữ liệu trong mạng lan dùng phương pháp arp poisoning và xây dựng công cụ phát hiện đọc lén

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Nghiên cứu kỹ thuật đọc lén dữ liệu trong mạng lan dùng phương pháp arp poisoning và xây dựng công cụ phát hiện đọc lén

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài : “NGHIÊN CỨU KỸ THUẬT ĐỌC LÉN DỮ LIỆU TRONG MẠNG LAN DÙNG PHƯƠNG PHÁP ARP POISONING VÀ XÂY DỰNG CÔNG CỤ PHÁT HIỆN MÁY ĐỌC LÉN” Người hướng dẫn Hệ : THS LÊ PHÚC : ĐẠI HỌC CHÍNH QUY TP HỒ CHÍ MINH, NĂM 2012 TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài : “NGHIÊN CỨU KỸ THUẬT ĐỌC LÉN DỮ LIỆU TRONG MẠNG LAN DÙNG PHƯƠNG PHÁP ARP POISONING VÀ XÂY DỰNG CÔNG CỤ PHÁT HIỆN MÁY ĐỌC LÉN” Người hướng dẫn Hệ : THS LÊ PHÚC : ĐẠI HỌC CHÍNH QUY TP HỒ CHÍ MINH, NĂM 2012 Đồ án tốt nghiệp Đại học Lời cảm ơn LỜI CẢM ƠN Để hoàn thành đồ án tốt nghiệp này, lời em xin cảm ơn quý Thầy cô Khoa công nghệ thông tin trường Học viện công nghệ bưu viễn thông tận tình giảng dạy, truyền đạt kiến thức quý báu trình học tập làm tảng tạo điều kiện cho em thực tốt đồ án tốt nghiệp Đại học Em xin bày tỏ lòng biết ơn sâu sắc tới thầy Lê Phúc người hướng dẫn tận tình, bảo em suốt thời gian thực tập làm đồ án Mặc dù cố gắng nghiên cứu thực đồ án, thời gian trình độ hạn chế nên chắn báo cáo không tránh khỏi nhiều thiếu sót Em mong nhận đóng góp giúp đỡ thầy cô giáo, bạn sinh viên để em phát triển nghiên cứu chương trình Một lần em xin chân thành cảm ơn tất người giúp đỡ em hoàn thành đồ án tốt nghiệp cách tốt Em xin chân thành cảm ơn! Trang i Đồ án tốt nghiệp Đại học Mục lục MỤC LỤC Trang DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT iv DANH MỤC CÁC BẢNG VẼ v DANH MỤC CÁC HÌNH VẼ .vi MỞ ĐẦU CHƯƠNG 1: CÁC PHƯƠNG PHÁP ĐỌC LÉN DỮ LIỆU TRÊN MẠNG LAN 1.1 Đọc liệu mạng – sniffing 1.2 Tác hại sniffing 1.3 Hoạt động sniffing 1.4 Sniffing môi trường Shared Ethernet 1.5 Sniffing môi trường Switched Ethernet 1.6 Các phương pháp sniffing mạng LAN 1.6.1 MAC attack 1.6.2 DHCP attack 1.6.3 Spoofing Attack .7 1.6.4 DNS poisoning CHƯƠNG 2: CƠ CHẾ ĐỌC LÉN DÙNG PHƯƠNG PHÁP ARP POISONING 10 2.1 Giao thức ARP (Address Resolution Protocol) 10 2.2 Cơ chế hoạt động ARP 10 2.2.1 Cơ chế hoạt động ARP mạng LAN 11 2.2.2 Cơ chế hoạt động ARP môi trường hệ thống mạng 12 2.3 ARP Cache 13 2.4 Tấn công giả mạo ARP cahe (ARP poisoning) 14 2.4.1 Cơ chế công giả mạo ARP Cache (ARP Poisoning) 14 2.4.2 Thực công ARP poisoning .19 2.5 Các biện pháp phòng chống 24 2.5.1 Bảo mật mạng LAN .24 2.5.2 Cấu hình lại bảng ARP Cache 25 CHƯƠNG 3: XÂY DỰNG CÔNG CỤ PHÁT HIỆN ĐỌC LÉN TRÊN MẠNG LAN 26 3.1 Ý tưởng việc phát ARP poisoning 26 3.2 Bộ lọc phần cứng 26 3.3 Cơ phát node promiscuous 27 3.4 Bộ lọc phần mềm 28 3.4.1 Linux 28 3.4.2 Windows .29 Trang ii Đồ án tốt nghiệp Đại học 3.5 Xây dựng công cụ phát đọc mạng LAN Mục lục 31 3.5.1 Ý tưởng phát đọc mạng LAN 31 3.5.2 Các vấn đề xây dựng công cụ phát đọc mạng LAN .31 3.5.3 Lưu đồ giải thuật chế hệ thống phát đọc mạng LAN 33 3.5.3.1 Các lược đồ hệ thống 33 3.5.3.2 Cơ chế phát đọc hệ thống xây dựng công cụ phát đọc mạng LAN 35 3.6 Thực thử nghiệm phát đọc mạng LAN công cụ vừa xây dựng 38 KẾT LUẬN 43 TÀI LIỆU THAM KHẢO 44 Trang iii Đồ án tốt nghiệp Đại học Danh mục ký hiệu chữ viết tắt DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT Từ viết tắt Từ đầy đủ Nghĩa từ ARP Address Resolution Protocol Giao thức phân giải địa CAM Content addressable memory Bộ nhớ nội dung địa COM Component Object Model Mô hình đối tượng thành phần DFD Data flow diagram Lược đồ dòng liệu DHCP Dynamic Host Configuration Protocol Giao thức cấu hình host động DNS Domain Name System Hệ thống tên miền DNSSEC Domain Name System Security Extensions Công nghệ bảo mật mở rộng cho hệ thống tên miền FTP File Tranfer Protocol Giao thức truyền tập tin HTTP HyperText Tranfer Protocol Giao thức truyền tải siêu văn IMAP Internet Message Access Protocol Giao thức truy cập thư tín internet IP Internet Protocol Giao thức Internet LAN Local Area Network Mạng máy tính cục MAC Media Access Control Điều khiển môi trường truy cập NIC Network Interface Controller Card giao tiếp mạng NNTP Network News Tranfer Protocol Giao thức truyền tải tin tức mạng OSI Open Systems Interconnection Reference Model Mô hình tham chiều kết nối hệ thống mở POP Post Office Protocol Giao thức lấy thư tín Promisc Promiscuous Hỗn tạp/Hỗn loạn SMTP Simple Mail Tranfer Protocol Giao thức truyền tải thư đơn giản SQL Structured Query Language Ngôn ngữ truy vấn có cấu trúc TCP Tranmission Control Protocol Giao thức điều khiển truyễn dẫn TTL Time To Live Thời gian sống VLAN Virtual Local Area Network Mạng nội ảo Trang iv Đồ án tốt nghiệp Đại học Danh mục bảng vẽ DANH MỤC CÁC BẢNG VẼ Trang Bảng 1.1 Các gói tin DHCP Bảng 3.1 Bộ lọc phần cứng phần mềm Linux .29 Bảng 3.2 Kết thử nghiệm loại địa vật lý 30 Bảng 3.3 TTL Window Size hệ điều hành .32 Bảng 3.4 Thông số gói ARP request 35 Trang v Đồ án tốt nghiệp Đại học Mở đầu DANH MỤC CÁC HÌNH VẼ Trang Hình 1.1 Mạng Shared Ethernet Hình 1.2 Mạng Switched Ethernet .4 Hình 1.3 Hoạt động bảng CAM .5 Hình 1.4 Hoạt động DHCP .6 Hình 1.5 Tấn công MAC spoofing Hình 2.1 Mô hình OSI 10 Hình 2.2 Cơ chế hoạt động trình truyền thông ARP 13 Hình 2.3 Cập nhật bảng ARP Cache 14 Hình 2.4 Mô hình công giả mạo ARP Cache .18 Hình 2.5 Địa IP MAC thật Gateway ARP Cache thiết bị phát ARP Request 18 Hình 2.6 Địa MAC thật Gateway bị máy công thay MAC máy công 19 Hình 2.7 Sơ đồ mạng sử dụng thực công ARP poisoning 20 Hình 2.8 Chọn card NIC để thực công 20 Hình 2.9 Scan địa MAC host mạng LAN 21 Hình 2.10 Chọn mục tiêu công ARP poisoning 21 Hình 2.11 Bắt đầu công ARP poisoning 22 Hình 2.12 ARP cache máy nạn nhân sau bị công ARP poisoning 22 Hình 2.13 Địa MAC máy công 23 Hình 2.14 Nạn nhân đăng nhập website yahoo 23 Hình 2.15 Thông tin tài khoản mật nạn nhân bị lấy cắp 24 Hình 3.1 Bộ lọc phần cứng 27 Hình 3.2 Cách phát node promiscuous 28 Hình 3.3 Lưu đồ giải thuật phát ARP poisoning 31 Trang vi Đồ án tốt nghiệp Đại học Mở đầu Hình 3.4 Trường Sender IP address gói tin ARP 32 Hình 3.5 Lược đồ ngữ cảnh hệ thống phát đọc mạng LAN .33 Hình 3.6 DFD-0 Hệ thống phát đọc mạng LAN 34 Hình 3.7 Lưu đồ giải thuật hệ thống phát đọc mạng LAN 37 Hình 3.8 Sơ đồ mạng sử dụng thử nghiệm công cụ phát đọc mạng LAN 38 Hình 3.9 Bắt đầu thực Scan MAC address mạng .39 Hình 3.10 Danh sách host mạng LAN .39 Hình 3.11 Chọn host để bắt đầu công 40 Hình 3.12 Bắt đầu công ARP poisoning để đọc mạng LAN 40 Hình 3.13 ARP cache máy victim sau bị ARP poisoning 41 Hình 3.14 Bắt đầu bắt gói tin mạng LAN 41 Hình 3.15 Thông báo phát hệ thống mạng bị đọc .42 Hình 3.16 Thông tin máy attacker .42 Trang vii Đồ án tốt nghiệp Đại học Mở đầu MỞ ĐẦU Công nghệ mạng máy tính truyền thông ngày sử dụng cách rộng rãi với phần mềm công nghệ tạo để cung cấp cho người dùng Sự phát triển mạnh mẽ mạng Internet mang lại lợi ích mặt thông tin cho cá nhân, gia đình, tổ chức công ty Sự phát triển mạnh mẽ mạng máy tính truyền thông bên cạnh mang lại nhiều khó khăn việc thiết kế, bảo dưỡng an ninh mạng Đặc biệt lĩnh vực bảo đảm an toàn cho thông tin người dùng Đây vấn đề khó khăn liệu, thông tin người dùng vô quan trọng cá nhân, tổ chức Trên mạng nội LAN liệu luân chuyển mạng dễ dàng bị đọc hacker, điều vô nguy hiểm gây hại nghiêm trọng đến cá nhân người dùng tổ chức hacker đọc thông tin nhạy cảm Hiện việc đọc mạng lại thực hiễn dễ dàng nhiều công cụ giúp thực Cain&Abel, Ettercap, Dsniff, Wireshark, TCPdump, , việc nghe nguy hiểm người sử dụng lại khó phát liệu họ bị đọc Do việc có công cụ phát việc đọc diễn mạng vô quan Đó lý để em chọn đề tài “Nghiên cứu kỹ thuật đọc liệu mạng LAN dùng phương pháp ARP poisoning xây dựng công cụ phát đọc lén” Với mục đích tạo công cụ giúp ích cho việc phát đọc nhằm phần đưa cảnh báo trạng mạng có bị đọc hay không, qua người dùng có giải pháp để hạn chế việc liệu nhạy cảm bị đọc Thông qua đề tài, em nắm bắt giải pháp, kỹ thuật chế đọc liệu, từ tạo công cụ riêng Những kiến thức thu qua đề tài giúp em nhiều tương lai sau Nội dung đề tài gồm có:  Chương 1: Các phương pháp đọc liệu mạng LAN  Chương 2: Cơ chế đọc dùng phương pháp ARP poisoning  Chương 3: Xây dựng công cụ phát đọc mạng LAN  Phần kết luận tài liệu tham khảo Trang Đồ án tốt nghiệp Đại học Chương 3: Xây dựng công cụ phát đọc mạng LAN dựa kinh nghiệm để thử lọc phần mềm Windows Có loại địa vật lý sử dụng:  Broadcast ff:ff:ff:ff:ff:ff: Tất node nhận loại packet hồi đáp chúng Gói tin ARP request thường sử dụng packet  Fake Broadcast ff:ff:ff:ff:ff:fe: Đây địa fake broadcast với bit cuối Loại để kiểm tra lọc phần mềm có kiểm tra tất bit địa vật lý không, có reply  Fake Broadcast ff:ff:00:00:00:00: Đây địa fake broadcast với 16 bit đầu thiết lập Nó phân loại địa broadcast trả lời lọc kiểm tra bit đầu  Fake Broadcast ff:00:00:00:00:00: Đây địa fake broadcast với bit đầu thiết lập  Group bit 01:00:00:00:00:00: Đây địa với group bit thiết lập Để kiểm tra địa có nhận diện địa multicast Linux làm  Multicast 01:00:5e:00:00:00: Địa multicast không thường sử dụng Vì ta sử dụng để ví dụ cho địa multicast không đăng ký danh sách NIC Bộ lọc phần cứng loại bỏ packet Tuy nhiên packet bị phân loại nhầm thành địa multicast nều lọc phần mềm không kiểm tra hết tất bit Vì nhân hệ thông có thẻ trả lời packet NIC chế độ promiscuous  Multicast 01:00:53:00:00:01: Đây địa multicast với địa mà tất host mạng nội nhận Bộ lọc phần cứng thông qua packet cách mặc định Nhưng NIC không hỗ trợ multicast không hồi đáp Vì packet để kiểm tra xem host có hỗ trợ địa multicast không Sau thử nghiệm thu kết bảng sau: Địa vật lý Windows 9x/ME Windows 2k/NT4 Linux 2.2/2.4 Normal Promisc Normal Promisc Normal Promisc       ff:ff:ff:ff:ff:ff    ff:ff:ff:ff:ff:fe    ff:ff:00:00:00:00   ff:00:00:00:00:00  01:00:00:00:00:00  01:00:5e:00:00:00      01:00:5e:00:00:01  Bảng 3.2 Kết thử nghiệm loại địa vật lý Dựa vào kết ta thấy sử dụng loại địa fake broadcast: ff:ff:ff:ff:ff:fe hay ff:ff:00:00:00:00 để phát node promiscuous Trang 30 Đồ án tốt nghiệp Đại học Chương 3: Xây dựng công cụ phát đọc mạng LAN 3.5 Xây dựng công cụ phát đọc mạng LAN 3.5.1 Ý tưởng phát đọc mạng LAN Do đọc mạng attacker phải thiết lập NIC chế độ promiscuous để đọc tất gói tin Vì ý tưởng việc xây dựng công cụ phát đọc mạng LAN phát node promiscuous Để thực việc phát ta tạo gói tin ARP request với địa MAC đích thiết lập số địa fake broadcast Tuy nhiên với địa fake broadcast (ff:ff:ff:ff:ff:fe, ff:ff:00:00:00:00, ff:00:00:00:00:00), thực thử nghiệm có số thiết bị cấu hình nhận diện địa hợp lệ trả lời gói ARP request Vì ta sử dụng địa fake broadcast khác để thực việc phát promiscuous Qua trình thử nghiệm ta sử dụng địa fake broadcast fe:00:00:00:00:00 để làm địa đích gói ARP request Khi gửi gói ARP request với địa fe:00:00:00:00:00 node chế độ normal không hồi đáp gói tin này, node chế độ promiscuous ta thu gói tin ARP reply, từ kết luận hệ thống mạng bị ARP poisoning Gửi gói ARP request Không Hệ thống mạng không bị đọc Có nhận gói ARP reply không? Có Hệ thông mạng bị đọc Hình 3.3 Lưu đồ giải thuật phát ARP poisoning 3.5.2 Các vấn đề xây dựng công cụ phát đọc mạng LAN Với ý tưởng gửi gói ARP request mạng LAN chờ nhận gói ARP reply Tuy nhiên thực thử nghiệm cho thấy, với node bị đọc gửi gói tin ARP request nhận được gói tin ARP reply Trang 31 Đồ án tốt nghiệp Đại học Chương 3: Xây dựng công cụ phát đọc mạng LAN Qua thử nghiệm thấy node promiscuous khinhận gói tin ARP request node dựa vào trường Sender IP address để hồi đáp Nếu Sender IP address nằm IP bị attacker đọc node attacker hồi đáp gói tin ARP request Để khắc phục vấn đề gửi gói ARP request ta thay đổi giá trị trường Sender IP address cho phù hợp Hình 3.4 Trường Sender IP address gói tin ARP Nếu nhận gói tin ARP reply sau gửi gói tin ARP request ta lấy địa MAC từ gói tin ARP reply Địa MAC địa MAC node promiscuous hay địa attacker Sau phát hệ thống mạng bị công ARP poisoning ta phát gói tin ICMP nhằm tìm địa IP attacker Khi phát gói tin ICMP echo request đến node mạng ta nhận gói tin ICMP echo reply từ node này, sau ta so sánh địa MAC attacker tìm với địa MAC nguồn từ gói ICMP echo reply, trùng khớp ta lấy địa IP attacker Có địa IP attacker tìm hệ điều hành attacker thông qua trường gói tin TCP SYN/ACK Để nhận gói tin TCP SYN/ACK ta gửi gói TCP SYN đến attacker Qua thực tế sử dụng Cain&Abel để thực đọc mạng, phát attacker sử dụng Cain&Abel bắt đầu đọc mở port 8080 Vì ta sử dụng gói tin TCP SYN với port đích 8080 Dựa vào trường TTL(Time To Live) TCP window size để nhận diện hệ điều hành attacker Hệ điều hành Linux (Kernel 2.4 and 2.6) Google Linux FreeBSD Windows XP Windows Vista/7/8/ Server 2008 iOS 12.4 (Cisco Routers) Time To Live 64 64 64 128 128 255 TCP Window Size 5840 5720 65535 65535 / 64240 8192 4128 Bảng 3.3 TTL Window Size hệ điều hành Trang 32 Đồ án tốt nghiệp Đại học Chương 3: Xây dựng công cụ phát đọc mạng LAN 3.5.3 Lưu đồ giải thuật chế hệ thống phát đọc mạng LAN 3.5.3.1 Các lược đồ hệ thống Với ý tưởng vấn đề việc xây dựng công cụ phát đọc mạng LAN ta có lưu đồ giải thuật để xây dựng công cụ phát dọc lén: Lược đồ ngữ cảnh, lược đồ dòng liệu hệ thống phát đọc lén: Byte liệu (0) Packet lưu thông Hệ thống phát đọc mạng LAN Card mạng Thông tn card mạng Thô ng tn atta cke r Yêu cầu truy vấn thông tn attkacer Thông tn trạng mạng Yêu cầu scan mạng dải IP Th ôn g tn gói Người theo dõi Hình 3.5 Lược đồ ngữ cảnh hệ thống phát đọc mạng LAN Trang 33 Đồ án tốt nghiệp Đại học Chương 3: Xây dựng công cụ phát đọc mạng LAN Yêu cầu gửi ARP request packet Yêu cầu scan mạng dải IP (2) Nhận xử lý yêu cầu Yêu cầu truy vấn thông tn attacker Thông tn trạng mạng Yêu cầu gửi ICMP request Gửi ARP request packet Gửi ICMP echo request (3) Thông báo trạng mạng Danh sách IP bị công Danh sách IP bị công Yêu cầu thông báo trạng mạng MAC attacker IP bị công IP attacker (1) IP attacker Yêu cầu gửi TCP SYN IP attacker Gửi TCP SYN Địa M MAC attkacer AC att ac ke r Byte liệu Bắt gói xử lý gói tn Người theo dõi Thông tn gói Thông tn card mạng Card mạng Yêu cầu thông báo thông tn attacker MAC attacker (4) Thông tn attacker Packet lưu thông IP attacker Thông tn attacker Hình 3.6 DFD-0 Hệ thống phát đọc mạng LAN Trang 34 Đồ án tốt nghiệp Đại học Chương 3: Xây dựng công cụ phát đọc mạng LAN 3.5.3.2 Cơ chế phát đọc hệ thống xây dựng công cụ phát đọc mạng LAN Về mặt hệ thống gửi gói tin ARP request phân tích gói tin nhận để phát node promiscuous Để phục vụ cho việc bắt phân tích gói tin ta sử dụng thư viện PacketX Đây thư viện COM (Component Object Model) class mà dễ dàng sử dụng chức bắt gói Winpcap từ ngôn ngữ lập trình đại hỗ trợ ActiveX Bên cạnh thư viện PacketX cho phép bắt gói lớp – Data Link Layer, phù hợp cho việc bắt phân tích gói ARP, đồng thời PacketX hỗ trợ tốt cho việc gửi gói đặc biệt việc tạo gói tin ARP request  Bước 1: Khởi động trình bắt gói phân tích gói tin  Bước 2: Tạo gói ARP request gửi gói ARP request toàn mạng Gói ARP request thiết lập với thống số sau: Destination MAC address Source MAC address Type (ARP = 0806) Hardware type (Ethernet = 1) Protocol type (Ipv4 = 0800) Hardware size Protocol size Opcode (ARP request = 01, ARP reply =02) Sender MAC address Sender IP address Target MAC address Target IP address fe:00:00:00:00:00 (fake broadcast) Hardware address (6 byte) 08 06 00 01 08 00 06 04 00 01 Hardware address IP* 00 00 00 00 00 00 IP* Bảng 3.4 Thông số gói ARP request Nhìn vào bảng 3.4 ta thấy trường Destination MAC address thiết lập với địa Fake broadcast (fe:00:00:00:00:00) địa rút từ lần thử nghiệm thực tế Bên cạnh hai trường Sender IP address Target IP address với địa IP*, địa IP nằm dải IP mạng, cụ thể IP người theo dõi muốn gửi gói ARP request phát đọc Hai địa IP phải giống trường Sender IP address Target IP address Lý ta phải thiết lập trường là: • Thứ nhất: Target IP address trường địa IP cần phân giải thành địa MAC Địa giống với Sender IP address thông thường node gửi gói ARP request để phân giải địa Trang 35 Đồ án tốt nghiệp Đại học Chương 3: Xây dựng công cụ phát đọc mạng LAN IP nó, giúp việc lọc phát thực tốt • Thứ hai: Qua thực thực tế node promiscuous gửi gói ARP reply cho gói ARP request với Sender IP address nằm danh sách IP address bị đọc  Bước 3: Phân tích gói tin ARP reply nhận So sánh địa Target IP addrees gói ARP reply với địa gói ARP request mà hệ thống tạo gửi đi, trùng khớp thông báo với người theo dõi hệ thống mạng bị đọc Và ta lấy địa MAC attacker từ trường Source MAC address gói ARP reply trên, địa Target IP address gói ARP reply địa IP node bị đọc  Bước 4: Truy vấn thông tin attacker loại gói ICMP TCP SYN • Bước 4.1: Gửi gói ICMP echo request toàn mạng để tìm địa IP attacker Nếu nhận gói ICMP echo reply so sánh địa Source MAC address gói ICMP echo reply với địa MAC mà ta thu bước Nếu địa giống địa Source IP address gói ICMP echo reply địa IP attacker • Bước 4.2: Sau có địa IP attacker gửi gói TCP SYN với địa Destination IP address địa IP tìm bước 4.1, Destination port 8080 (qua thử nghiệm thực tế nhận thấy sử dụng Cain&Abel để tiến hành đọc node attacker mở port 8080)  Bước 5: Nhận diện hệ điều hành attacker thông qua trường TTL (Time To Live) Window size gói TCP SYN/ACK nhận từ attacker, với trường TTL Window size dựa vào bảng 3.3 Trang 36 Đồ án tốt nghiệp Đại học Chương 3: Xây dựng công cụ phát đọc mạng LAN Start Gửi gói ARP request Có nhận ARP reply không cần thiết không? Không Thông báo: Hệ thống mạng không bị đọc Có Hệ thống mạng bị đọc Gửi gói ICMP echo request Không Không thể tìm thêm thông tn attacker Nhận ICMP echo reply không? Có Gửi gói TCP SYN Không Nhận gói TCP SYN/ACK không? Không thể tìm thêm thông tn attacker Có Thông tn attacker Hình 3.7 Lưu đồ giải thuật hệ thống phát đọc mạng LAN Trang 37 Đồ án tốt nghiệp Đại học Chương 3: Xây dựng công cụ phát đọc mạng LAN 3.6 Thực thử nghiệm phát đọc mạng LAN công cụ vừa xây dựng Tài nguyên sử dụng Tài nguyên phần cứng:  Sử dụng máy tính laptop HP-HDX16T, dùng hệ điều hành Windows Tài nguyên phần mềm:  Hệ điều hành Windows Pro  Công cụ phát đọc mạng LAN viết Microsoft Visual Studio 2012 RTM, sử dụng thư viện PacketX, Net  VMware version 9.0.0 build-812388 để thực việc cài máy ảo chạy thử nghiệm  máy ảo cài đặt VMware sử dụng hệ điều hành Windows XP Professional SP3 Sơ đồ mạng sử dụng để thực thử nghiệm Hình 3.8 Sơ đồ mạng sử dụng thử nghiệm công cụ phát đọc mạng LAN Với máy attacker, victim1, victim2 máy ảo sử dụng hệ điều hành Windows XP professional SP3 cài đặt Vmware Trang 38 Đồ án tốt nghiệp Đại học Chương 3: Xây dựng công cụ phát đọc mạng LAN Tiến hành thực thử nghiệm: Bước 1: Sử dụng công cụ Cain&Abel máy attacker để bắt đầu đọc mạng LAN này, cần quét tất host có mạng LAN Hình 3.9 Bắt đầu thực Scan MAC address mạng Bước 2: Sau thu danh sách host hình 3.10 bắt đầu chọn host để thực việc công đọc Hình 3.10 Danh sách host mạng LAN Với host có địa IP 192.168.68.3 máy victim 1, host có địa IP 192.168.68.4 victim 2, host có địa IP 192.168.68.1 máy người theo dõi Trang 39 Đồ án tốt nghiệp Đại học Chương 3: Xây dựng công cụ phát đọc mạng LAN Hình 3.11 Chọn host để bắt đầu công Hình 3.12 Bắt đầu công ARP poisoning để đọc mạng LAN Ta kiểm tra arp cache máy victim để kiểm tra việc thực ARP poisoning có thành công không cách mở Command Prompt (cmd) gõ lệnh arp –a hình Trang 40 Đồ án tốt nghiệp Đại học Chương 3: Xây dựng công cụ phát đọc mạng LAN Hình 3.13 ARP cache máy victim sau bị ARP poisoning Như hình 3.13 ta thấy attacker giả mạo địa MAC máy victim (IP 192.168.68.4) có địa MAC giống địa MAC 00:0c:29:76:1d:78 Bước 3: Tiến hành thử nghiệm công cụ phát đọc mạng LAN Đầu tiên chọn card mạng bắt đầu trình bắt gói Hình 3.14 Bắt đầu bắt gói tin mạng LAN Sau khởi động trình bắt gói ta nhập vào dải IP mạng LAN tiến hành Scan để kiểm tra xem hệ thống mạng có bị nghe hay không Trang 41 Đồ án tốt nghiệp Đại học Chương 3: Xây dựng công cụ phát đọc mạng LAN Hình 3.15 Thông báo phát hệ thống mạng bị đọc Hình 3.15 cho thấy công cụ phát hệ thống mạng bị đọc máy có địa MAC: 00:0c:29:76:1d:78 – địa MAC máy attacker mô tả hình 3.13 Bảng thông báo bên phải hiển thị danh sách node bị đọc Bước 4: Truy vấn thêm thông tin attacker Nếu muốn truy vấn thêm thông tin attacker IP, hệ điều hành ta bấm vào nút Query Info Hình 3.16 Thông tin máy attacker Trang 42 Đồ án tốt nghiệp Đại học Kết luận KẾT LUẬN Với mục đích nghiên cứu chế đọc mạng LAN, từ xây dựng công cụ phát đọc mạng LAN để phần giúp người dùng cá nhân tổ chức công ty phát hiện trạng mạng nội Qua có giải pháp làm hạn chế việc liệu bị đọc đặc biệt liệu nhạy cảm Trong trình làm đồ án có khó khăn định việc nghiên cứu chế phát đọc thông qua sử dụng cách phát node promiscuous ban đầu không mang lại kết mong muốn Tuy nhiên nhờ lần thử nghiệm với việc truyền gói tin ARP request rút chế phát đọc để từ hoàn thành đề tài cách tốt Bên cạnh thời gian làm đồ án hạn chế đồng thời việc thực đồ án tốt nghiệp hoàn toàn không liên quan đến đồ án thực tập gây cho em khó khăn việc thực đồ án Tuy em cố gắng để hoàn thành đồ án cách tốt tránh khỏi thiếu sót công cụ xây dựng có hạn chế định Vì em mong nhận giúp đỡ, đóng góp ý thầy cô bạn sinh viên để nâng cao kiến thức đồng thời khắc phục hạn chế để hoàn thiện đồ án, từ rút kinh nghiệm, kiên thức cho thân để giúp ích cho tương lai học tập làm việc sau Trang 43 Đồ án tốt nghiệp Đại học Tài liệu tham khảo TÀI LIỆU THAM KHẢO Tiếng Việt: Slide: Module – lesson Institue of Network Security - istudy.vn Tiếng Anh: Fiach Reid, Network Programming in Net With C# and Visual Basic.Net (2004), Elsevier Inc 200 Wheeler Road, Burlington, MA 01803, USA Daiji Sanai, Detection of Promiscuous Nodes Using ARP Packets, The Black Hat Briefings 2001 Security Power Tools (2007), O’Reilly Media Inc Danh mục website tham khảo: http://www.beesync.com/packetx/ http://isc.sans.edu/ http://msdn.microsoft.com/en-us/library/ms229713.aspx Trang 44 [...]... Các phương pháp đọc lén dữ liệu trên mạng LAN CHƯƠNG 1: CÁC PHƯƠNG PHÁP ĐỌC LÉN DỮ LIỆU TRÊN MẠNG LAN 1.1 Đọc lén dữ liệu trên mạng – sniffing Đọc lén dữ liệu trên mạng (sniffing) là một phần của kỹ thuật tấn công truyền thông dữ liệu của ngành bảo mật máy tính Kỹ thuật này không tấn công trực diện vào các máy tính người dùng hay máy chủ, mà nó nhằm vào không gian truyền dữ liệu giữa các máy, là phương. .. học Chương 3: Xây dựng công cụ phát hiện đọc lén trên mạng LAN CHƯƠNG 3: XÂY DỰNG CÔNG CỤ PHÁT HIỆN ĐỌC LÉN TRÊN MẠNG LAN 3.1 Ý tưởng cơ bản của việc phát hiện ARP poisoning Về cơ bản ARP poisoning (giả mạo ARP cache) là lợi dụng tính không an toàn của giao thức ARP để gửi các gói ARP reply nhằm giả mạo địa chỉ MAC của máy nạn nhân bằng một địa chỉ MAC khác Và sniffing được thực hiện bằng cách nhận... phương pháp ARP poisoning Hình 2.7 Sơ đồ mạng sử dụng thực hiện tấn công ARP poisoning Ta khởi động công cụ Cain và tiến hành cấu hình lại công cụ này như sau: (1) Mở công cụ Cain, chọn địa chỉ IP (của máy ta) mà ta dùng để thực hiện tấn công: Hình 2.8 Chọn card NIC để thực hiện tấn công Trang 20 Đồ án tốt nghiệp Đại học Chương 2: Cơ chế đọc lén dùng phương pháp ARP poisoning (2) Chọn tab Sniffer và. .. công Lúc này kẻ tấn công sẽ xem được mọi thông tin cơ mật của cuộc trao đổi 2.4.2 Thực hiện tấn công ARP poisoning Hiện nay để thực hiện tấn công ARP poisoning, ta có thể nhờ sự hỗ trợ của nhiều công cụ Ở đây, ta sẽ sử dụng công cụ là Cain & Abel để thực hiện tấn công ARP poisoning Mô hình mạng sử dụng để thực hiện tấn công ARP poisoning: Trang 19 Đồ án tốt nghiệp Đại học Chương 2: Cơ chế đọc lén dùng. .. Các phương pháp đọc lén dữ liệu trên mạng LAN tính trong mạng Máy tính với địa chỉ IP đó sẽ gửi gói tin ARP reply với địa chỉ MAC của nó Địa chỉ MAC này sẽ được thêm vào trong ARP cache của máy yêu cầu Các hacker sẽ sử dụng các gói tin đọc lén (hoặc giả mạo) lan truyền vào trong mạng thông qua hub hoặc switch Attacker có thể bắt và phân tích tất cả các traffic của người dùng trong mạng Để thực hiện. .. chế đọc lén dùng phương pháp ARP poisoning CHƯƠNG 2: CƠ CHẾ ĐỌC LÉN DÙNG PHƯƠNG PHÁP ARP POISONING 2.1 Giao thức ARP (Address Resolution Protocol) Địa chỉ MAC là một địa chỉ vật lý được gán cho mỗi thiết bị mạng và đó là địa chỉ duy nhất Các thiết bị trong cùng một mạng dùng địa chỉ MAC này để liên lạc với nhau tại tầng Data Link trong mô hình OSI Hình 2.1 Mô hình OSI Khi các máy tính truyền dữ liệu. .. phương pháp đọc lén các gói tin trong mạng Sniffing ban đầu là kỹ thuật được các quản trị viên dùng theo dõi, chuẩn đoán, phát hiện các sự cố nhằm giúp cải thiện hoạt động hệ thống mạng Tuy nhiên, kỹ thuật này về sau bị biến tướng, trở thành công cụ phục vụ cho mục đích thu thập trái phép các thông tin của người dùng khi luân chuyển trên mạng 1.2 Tác hại của sniffing Hiện nay, đọc lén mạng thực hiện. .. Chọn mục tiêu tấn công ARP poisoning (2) Sau khi chọn mục tiêu tấn công, ta tiến hành đầu độc (Start ARP Poison) vào ARP Cache của nạn nhân, như sau: Trang 21 Đồ án tốt nghiệp Đại học Chương 2: Cơ chế đọc lén dùng phương pháp ARP poisoning Hình 2.11 Bắt đầu tấn công ARP poisoning -Lúc này, trên máy nạn nhân sẽ cập nhật động (dynamic) bảng ARP Cache, và trên bảng ARP Cache này sẽ xuất hiện các địa chỉ... duy trì cuộc tấn công ARP Trang 17 Đồ án tốt nghiệp Đại học Chương 2: Cơ chế đọc lén dùng phương pháp ARP poisoning Hình 2.4 Mô hình tấn công giả mạo ARP Cache  Ví dụ trong trường hợp thiết bị đích (thiết bị nhận tin) là một Gateway • Trước khi thực hiện cuộc tấn công ARP poisoning, thông tin về địa chỉ IP thật và địa chỉ MAC thật của Gateway lưu trong ARP Cache của thiết bị phát ARP Request như sau:... chỉ IP của các thiết bị trong mạng thay đổi thì sẽ dẫn đến việc phải thay đổi ARP cache 2.4 Tấn công giả mạo ARP cahe (ARP poisoning) 2.4.1 Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning) Tấn công giả mạo ARP Cache chỉ thực hiện được trong môi trường mạng LAN, mà không thực hiện được trên WAN Việc giả mạo bảng ARP Cache chính là lợi dụng bản tính không an toàn của giao thức ARP Không giống như các ... liệu họ bị đọc Do việc có công cụ phát việc đọc diễn mạng vô quan Đó lý để em chọn đề tài Nghiên cứu kỹ thuật đọc liệu mạng LAN dùng phương pháp ARP poisoning xây dựng công cụ phát đọc lén Với... VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài : “NGHIÊN CỨU KỸ THUẬT ĐỌC LÉN DỮ LIỆU TRONG MẠNG LAN DÙNG PHƯƠNG PHÁP ARP POISONING VÀ XÂY DỰNG CÔNG CỤ PHÁT HIỆN... 3.5 Xây dựng công cụ phát đọc mạng LAN Mục lục 31 3.5.1 Ý tưởng phát đọc mạng LAN 31 3.5.2 Các vấn đề xây dựng công cụ phát đọc mạng LAN .31 3.5.3 Lưu đồ giải thuật chế hệ thống phát

Ngày đăng: 18/04/2016, 22:23

Từ khóa liên quan

Mục lục

  • DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT

  • DANH MỤC CÁC BẢNG VẼ

  • DANH MỤC CÁC HÌNH VẼ

  • MỞ ĐẦU

  • CHƯƠNG 1: CÁC PHƯƠNG PHÁP ĐỌC LÉN DỮ LIỆU TRÊN MẠNG LAN.

    • 1.1. Đọc lén dữ liệu trên mạng – sniffing.

    • 1.2. Tác hại của sniffing.

    • 1.3. Hoạt động của sniffing.

    • 1.4. Sniffing trong môi trường Shared Ethernet.

    • 1.5. Sniffing trong môi trường Switched Ethernet.

    • 1.6. Các phương pháp sniffing trên mạng LAN.

      • 1.6.1. MAC attack.

      • 1.6.2. DHCP attack.

      • 1.6.3. Spoofing Attack.

      • 1.6.4. DNS poisoning.

  • CHƯƠNG 2: CƠ CHẾ ĐỌC LÉN DÙNG PHƯƠNG PHÁP ARP POISONING.

    • 2.1. Giao thức ARP (Address Resolution Protocol).

    • 2.2. Cơ chế hoạt động của ARP.

      • 2.2.1. Cơ chế hoạt động của ARP trong mạng LAN.

      • 2.2.2. Cơ chế hoạt động của ARP trong môi trường hệ thống mạng.

    • 2.3. ARP Cache.

    • 2.4. Tấn công giả mạo ARP cahe (ARP poisoning).

      • 2.4.1. Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning).

      • 2.4.2. Thực hiện tấn công ARP poisoning.

    • 2.5. Các biện pháp phòng chống.

      • 2.5.1. Bảo mật mạng LAN.

      • 2.5.2. Cấu hình lại bảng ARP Cache.

  • CHƯƠNG 3: XÂY DỰNG CÔNG CỤ PHÁT HIỆN ĐỌC LÉN TRÊN MẠNG LAN.

    • 3.1. Ý tưởng cơ bản của việc phát hiện ARP poisoning.

    • 3.2. Bộ lọc phần cứng.

    • 3.3. Cơ bản về phát hiện node promiscuous.

    • 3.4. Bộ lọc phần mềm.

      • 3.4.1. Linux.

      • 3.4.2. Windows.

    • 3.5. Xây dựng công cụ phát hiện đọc lén trên mạng LAN.

      • 3.5.1. Ý tưởng phát hiện đọc lén trên mạng LAN.

      • 3.5.2. Các vấn đề cơ bản về xây dựng công cụ phát hiện đọc lén trên mạng LAN.

      • 3.5.3. Lưu đồ giải thuật và cơ chế của hệ thống phát hiện đọc lén trên mạng LAN.

        • 3.5.3.1. Các lược đồ của hệ thống.

        • 3.5.3.2. Cơ chế phát hiện đọc lén của hệ thống và xây dựng công cụ phát hiện đọc lén trên mạng LAN.

    • 3.6. Thực hiện thử nghiệm phát hiện đọc lén trên mạng LAN bằng công cụ vừa xây dựng.

  • KẾT LUẬN

  • TÀI LIỆU THAM KHẢO

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan