Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 18 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
18
Dung lượng
1,88 MB
Nội dung
Phần mềm Cain Abel ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH ĐẠI HỌC CÔNG NGHỆ THÔNG TIN - BÁO CÁO MÔN HỌC: QUẢN TRỊ HỆ THỐNG MẠNG Đề tài: PHẦN MỀM CAIN & ABEL Giảng viên hướng dẫn: ThS Vũ Trí Dũng Nhóm 8: Võ Văn Hoàng Anh : 07520015 Nguyễn Thanh Tâm : 07520308 Trần Hải Đăng : 07520429 Phần mềm Cain Abel Mục Lục Trang Mục lục trang 2 Lời nói đầu 3 Cain 4 Nguyên lý hoạt động Cain Sniffer liệu Các dạng Sniffer Discovery Password 10 Cách phòng chống Cain 15 So sánh với công cụ khác 17 10 Tài liệu tham khảo 17 Phần mềm Cain Abel Lời Nói Đầu Hiện việc sử dụng máy tính để làm việc, giải trí, giao tiếp…đã ngày trở nên phổ biến toàn giới nói chung nước ta nói riêng Các hệ thống mạng lớn nhỏ dần hình thành Internet, Wan, Lan… Việc đòi hỏi phải có công cụ thực hữu hiệu nhằm giúp người quản trị mạng theo dõi, giám sát hệ thống mạng mình, có Nhận điều bất thường thay đổi …Từ có phương án sữa lỗi, phòng chống, thay … Vì mà công cụ quản trị mạng xuất ngày nhiều Các công cụ giúp biết thông tin máy mạng mình: thông tin lưu lượng, thông tin kết nối, tài khoản… Bên cạnh có công cụ giúp biết thông tin quan trọng hơn, tuyệt mật hơn, sử dụng chúng cho mục đích sai trái gây hậu nghiêm trọng Trong có Cain Abel, công cụ yêu thích Hacker Vì tìm hiểu biết phần mềm để phòng tránh ngăn chặn Trong trình hoàn tất đề tài này, khó tránh khỏi sai xót gặp vướng mắc số chỗ gây khó hiểu cho người đọc nên mong cô bạn đọc thông cảm ! Em mong đề tài cô nhiều bạn đọc yêu thích ! Phần mềm Cain Abel Xin chân thành cám ơn! TP HCM, ngày tháng 12 năm 2010 Sinh viên thực Võ Văn Hoàng Anh : 07520015 Nguyễn Thanh Tâm : 07520308 Trần Hải Đăng : 07520429 Cain Là Gì Cain (tên đầy đủ Cain & Abel) công cụ đứng top công cụ security.Ngày dễ dàng download tìm hiểu cách sử dụng phần mềm Cain Đây công cụ hữu ích việc sniff liệu, ăn trộm password môi trường switch Ví dụ như: – Trộm password tài khoản Email, diễn đàn… – Trộm password tài khoản local Nguyên lý hoạt động Cain Trong môi trường broadcast domain, máy nối mạng với kết nối đến server trao đổi thông tin Server có địa IP riêng địa MAC cố định Khi client kết nối đến server, Cain đổi địa MAC server thành MAC máy attacker để client tưởng máy attacker máy server Như tất liệu, thông tin trao đổi client server qua máy attacker Phần mềm Cain Abel Attacker sử dụng giao thức ARP Spoofing Cụ thể sau: Attacker “nghe lén” máy A B.A gửi gói tin ARP Request toàn mạng hỏi địa MAC B B gửi gói tin ARP Reply báo cho A địa MAC Và attacker có tất thông tin Attacker đổi địa Mac thành B Attacker gửi ARP Request A chép đè thông tin lên ARP cache Từ A gởi liệu đến Attacker Và Attacker đánh lừa B Khi Dữ liệu từ A đến B Attacker giữ lại chuyển tiếp đến cho B Và B trả lời lại cho A Attacker giữ lại chuyển tiếp đến cho A Sniffer Dữ Liệu 1.1 Giới Thiệu Sniff hiểu đơn giản chương trình cố gắng nghe ngóng lưu lượng thông tin hệ thống mạng Tương tự thiết bị cho phép nghe đường dây điện thoại Chỉ khác môi trường chương trình Sniffer thực nghe nén môi trường mạng máy tính Trong hệ thống mạng sử dụng giao thức kết nối chung đồng Chúng ta sử dụng Sniffer Host hệ thống mạng bạn Chế độ gọi chế độ hỗn tạp (promiscuous mode) 1.2 Mục đích sử dụng Sniffer công cụ giúp cho quản trị mạng theo dõi bảo trì hệ thống mạng Và theo hướng tiêu cực chương trình cài vài hệ thống mạng máy tính với mục đích đánh hơi, nghe nén thông tin đoạn mạng 1.3 Cách thức hoạt động Công nghệ Ethernet xây dựng nguyên lý chia sẻ tất máy tính có khả nhìn thấy lưu lượng liệu truyền đường truyền chung Phần mềm Cain Abel Nó thực điều nguyên lý bỏ qua tất Frame có địa MAC không hợp lệ Khi Sniffer tắt tính lọc sử dụng chế độ hỗn tạp (promiscuous mode) Nó nhìn thấy tất lưu lượng thông tin từ máy B đến máy C, hay lưu lượng thông tin máy hệ thống mạng Miễn chúng nằm hệ thống mạng Các Dạng SNIFFER ARP Poison Attack:thu thập thông tin mac address APR-DNS:Tấn công gia mạo dns(spoofing attcack) Dể dàng viết lại ip address gói dns reply Phần mềm Cain Abel APR-HTTPS :Bắt gói tin với giao thức https giải mã(decryption) gói tin APR-FTPS:bắc gói tin với giao thức truyền nhận data mã hóa FTPS decryption chúng Phần mềm Cain Abel APR-IMAPs:bắc gói tin với giao thức truyền nhận mail theo phương thức IMAP APR-LDAPS:bắc gói tin với giao thức truyền nhận quản lý client server Phần mềm Cain Abel APR-POP3S:bắc gói tin với giao thức truyền nhận mail theo phương thức POP3s APR-RDP:thu thập thông tin việc thực thi giao thức điều khiển máy từ xa(Remote Desktop Protocol )- giãi mã chế mà hóa RC4 APR-SSH-1:bắt gói tin với phương thức truy cập từ xa với giao thức SSH mã hóa SSH-1 Giãi phương thức mã hóa SSH-1 Certificates Collector:chức sử dụng thủ tục đăng ký phương pháp mã hóa SSL(Secure Socket Layer) việc kết hợp certificates collector Cain tự động chạy nhằm decryption thông tin capture VOIP(Voice over IP) :Bắt gói tin thọai gọi sử dụng công nghệ thoại ip Sniffer trích thông số RTP session : RTP port,ip address,dynamic code SIP MGCP Phần mềm Cain Abel Discovery Password Cain & Abel chương trình tìm mật chạy hệ điều hành Microsoft Nó cho phép dễ dàng tìm ran hiều loại mật cách dò tìm mạng, phá mật mã hóa phương pháp Dictionary, Brute-Force and Cryptanalysis…, giải mã mật bảo vệ, tìm file nơi chứa mật khẩu, phát mật có đệm 2.1 Password Crackers - Cain hổ trợ hầu hết phương thức băm (Hash) thông thường : MD2, MD4, MD5, SHA1, SHA2 (256 bit), SHA2 (384 bit), SHA2 (512 bit), RIPEMD160 -Các giải thuật : PWL files, Cisco-IOS Type-5 enable passwords, Cisco PIX enable passwords, APOP-MD5, CRAM-MD5, LM, LM + Challenge, NTLM, NTLM + Challenge, NTLM Session Security, NTLMv2, RIPv2-MD5, OSPFMD5, VRRP-HMAC-96, VNC-3DES, MS-Kerberos5 Pre-Auth, RADIUS Shared Secrets, IKE Pre-Shared Keys, Microsoft SQL Server 2000, Microsoft SQL Server 2005, Oracle, Oracle-TNS-DES, Oracle-TNS-3DES, Oracle-TNS-AES128, Oracle-TNS-AES192, MySQL323, MySQLSHA1, SIP-MD5, WPA-PSK, WPAPSK-AUTH, CHAP-MD5, MS-CHAPv1, MS-CHAPv2 2.1.1 Dictionary Password Crackers 10 Phần mềm Cain Abel Bao gồm tất từ từ điển Dùng phương thức so sánh với từ có Dictionary xem xét khả từ có khả xảy cao Phương thức có hiệu xuất cao Brute-force Có phương thức để cải thiện khả thành công cách thức công dictionary attack -Thứ sử dụng lương từ điển lớn -Thứ hai thực thi chuỗi kí tự từ điển 2.1.2 Cryptanalysis Được dùng để ám tới cố gắng để phá vỡ bảo mật giải thuật mật mã giao thức khác nói chung Tuy nhiên, cryptanalysis thường không bao gồm phương thức công mà không nhắm vào đích nhược điểm cách viết mật mã Kết cryptanalysis thay đổi không khả thành công giới hạn việc codebreaking, có phân cấp tạo nên công tốt Chức sử dụng phương thức giới thiệu Faster Cryptanalytictime – memory trade off giới thiệu Philippe Oechslin Kỹ thuật sử dụng số lượng Table lớn cho việc tính toán trước password mã hóa gọi Rainbow Tables 11 Phần mềm Cain Abel 2.1.3 Rainbowcrack-online -Crack trựctuyếnthông qua trang Rainbowcrack-online.com -Rainbowcrack-online.com dành cho doanh nghiệp hay cá nhân định mức sách password cungcấp bảng hàm hash 12 Phần mềm Cain Abel 2.1.4 WEP Cracker:giãimã password đượcmãhóabằngcơchế WEP - TấncôngKorek's WEP phương pháp bẻ khóa dựa thống kê phục hồi password Bẻ khóa dựa tảng yếu thuật toán mã hóa RC4 Phương pháp phục hồi chuổi khóa 64-bit 128-bit Cain hổ trợ phương pháp bẻ khóa PTW.Phương pháp bẻ khóa với 104 bit từ khóa WEP tần suất 50% với việc bắt khoảng 40,000 gói tin 13 Phần mềm Cain Abel 2.1.5 Brute-Force Password Cracker Brute-Force Password Cracker phương pháp phá mã.Phương pháp khả thi hay không phụ thuộcvào độ dài chuổi mã hóa Côngthứctính KS = L^(m) + L^(m+1) + L^(m+2) + + L^(M) Trongđó +L làđộdàichuỗikítự + m độdài củakhóa +M độdài max củakhóa 14 Phần mềm Cain Abel 2.2 Password Decoders • Password decoders sử dụng để giải mã password mã hóa cách sử dụng giải mã từ vài nguồn source ví dụ Protected Store, the Credential Manager, standard Edit Boxes, LSA secrets, passwords from SQL Enterprise Manager, Windows Mail, DialUp, Remote Desktop profiles Windows wireless configuration service • Cain củng bao gồm giải mã cho nhiều ứng dụng khác Microsoft,Cisco VPN application… Cách Phòng Chống Cain • Thông Thường IP server dạng dynamic Do mà attacker thay đổi IP server thành (địa MAC thay đổi theo) Để tránh “đầu độc” CAIN cần đổi IP Server dạng Static Thực : Vào cmd đánh câu lệnh sau: "arp –s “ 15 Phần mềm Cain Abel • • • • Ví dụ: arp -s 157.55.85.212 00-aa-00-62-c6-09 Tuy nhiên khởi động lại máy trường Type lại trở giá trị mặc định Lưu dòng lệnh vào file text save lại dạng file *.bat Đưa file vào phần Start up hệ thống -Phòng chống scan địa ip từ chương trình vô hiệu hóa NETBIOS name -Dấu hiệu cảnh báo trình duyệt có kẻ cố tình dùng cain & Abel mạng Cain&Abel thay đổi hay làm giả mạo CA (Certification Authority) để phát tới Victim Thế CA so sánhvới CA mặc định Windows Windows phát sai lệch CA mà nhận từ Cain&Abel, Và phát thông điệp cảnh báo trình duyệt IE ta login vào site sử dụng giao thức https PhòngChống Sniffer: -Về mặt lý thuyết khó phát diện chương trình Sniffer hệ thống Bởi chúng capture cố gắng đọc gói tin, chúng không gây xáo trộn hay mát Packet nghiêm trọng đường truyền Tuy nhiên thực tế lại có nhiều cách để phát diện Sniffer Khi đứng đơn lẻ máy tính truyền thông dấu hiệu Tuy nhiên cài đặt máy tính không đơn lẻ có truyền thông, thân Sniffer phát sinh lưu lượng thông tin Bạn truy vấn ngược DNS để tìm thông tin liên quan đến địa IP Các phương pháp phòng chống Sniffer phổ biến Phương pháp dùng Ping: Hầu hết chương trình Sniffer cài đặt máy tính mạng sử dụng TCP/IP Stack Bởi bạn gửi yêu cầu đến máy tính này, chúng phản hồi lại cho bạn kết Bạn gửi yêu cầu phản hồi tới địa IP máy tính mạng (máy mà bạn cần kiểm tra xem có bị cài đặt Sniffer hay không), không thông qua Adapter Ethernet VD: -Chúng ta nghi ngờ máy tính có địa IP 10.0.0.1, có địa MAC 00-4005-A4-79-32 Đã bị cài đặt Sniffer -Chúng ta hệ thống mạng Ethernet mà bạn nghi ngờ có kẻ tiến hành Sniffer -Thay đổi địa MAC bạn thành 00-40-05-A4-79-33 -Ping đến địa IP địa MAC -Trên nguyên tắc không máy tính nhìn thấy nhìn thấy Packet Bởi Adapter Ethernet chấp nhận địa MAC hợp lệ 16 Phần mềm Cain Abel -Nếu ta thấy trả lời từ địa mà bạn nghi ngờ địa lọc MAC (MAC Address Filter) Ethernet Card…Máy tính có địa IP 10.0.0.1 bị cài đặt Sniffer Bằng kỹ thuật Hacker né tránh phương pháp nêu Các Hacker sử dụng MAC Address ảo Rất nhiều hệ thống máy tính có Windows có tích hợp khả MAC Filtering Windows kiểm tra byte Nếu địa MAC có dạng FF-0000-00-00-00, đơn giản Windows coi FF-FF-FF-FF-FF-FF Đây sơ hở cho phép Hacker khai thác đánh lừa hệ thống máy tính bạn Phương pháp dùng DNS:Rất nhiều chương trình Sniffer có tính phân giải ngược địa IP thành DNS mà chúng nhìn thấy (như dsniff) Bởi quan sát lưu lượng truyền thông DNS bạn phát Sniffer chế độ hỗn tạp (Promiscuous Mode) Phương pháp Source-Route : Phương pháp sử dụng thông tin địa nguồn địa đích Header IP để phát hành động Sniff đoạn mạng -Phương pháp giăng bẫy (Decoy) : Tương tự phương pháp sử dụng ARP sử dụng phạm vi mạng rộng lớn (gần khắp nơi) Rất nhiều giao thức sử dụng Password không mã hoá đường truyền Phương pháp kiểm tra chậm trễ gói tin (Latency) Phòng Chống Crack Password Và Decoder Password Sử dụng phương pháp mã hóa tối ưu SSH-2,HTTPS… Thường xuyên thay đổi password So Sánh Với Các Công Cụ Khác Cain&Abel ,Wiresharkvà Microsoft Network Mornitor Cả công cụ miễn phí • Cain: chạy hệ điều hành Microsoft, Công cụ mạnh để crack password sniffer không hổ trợ công nghệ Telephony • Microsoft Network Mornitor chạy hệ điều hành Microsoft chủ yếu dùng để bắt gói tin, không hổ trợ nhiều giao thức • Wireshark chạy Microsoft MAC dung để bắt gói tin hổ trợ nhiều giao thức công nghệ mạng viễn thông (Telephony) củng công nghệ thoại IP GSM,VOIP,H.225,LTE, kén card mạng 17 Phần mềm Cain Abel TÀI LIỆU THAM KHẢO http://www.khkt.net/chu-de/6304-netbios-la-gi/ http://www.petri.co.il/forums/showthread.php?t=13380 http://en.wikipedia.org/wiki/Cain_and_Abel_%28software%29 http://www.oxid.it/cain.html http://www.rarpasswordcracker.com/ http://www.networkdictionary.com/howto/Detect-illegal-sniffing-tool.php 18 ... tình dùng cain & Abel mạng Cain& Abel thay đổi hay làm giả mạo CA (Certification Authority) để phát tới Victim Thế CA so sánhvới CA mặc định Windows Windows phát sai lệch CA mà nhận từ Cain& Abel, ... sử dụng Sniffer Host hệ thống mạng bạn Chế độ gọi chế độ hỗn tạp (promiscuous mode) 1.2 Mục đích sử dụng Sniffer công cụ giúp cho quản trị mạng theo dõi bảo trì hệ thống mạng Và theo hướng tiêu... address,dynamic code SIP MGCP Phần mềm Cain Abel Discovery Password Cain & Abel chương trình tìm mật chạy hệ điều hành Microsoft Nó cho phép dễ dàng tìm ran hiều loại mật cách dò tìm mạng, phá mật mã hóa