Bài thuyết trình Môn:QUẢN TRỊ HỆ THỐNG MẠNG Đề tài : Phần mềm Cain & Abel Giảng Viên Hướng Dẫn:ThS Vũ Trí Dũng NHÓM Sinh viên thực hiện: Võ Văn Hoàng Anh : 07520015 Nguyễn Thanh Tâm : 07520308 Trần Hải Đăng : 07520429 Các phần • • • I Giới thiệu CAIN II Nguyên lý hoạt động Cain III Chức chính: • Sniffer • Discovery Password • IV Cách phòng chống Cain • Phương pháp I CAIN phần mềm ưa thích hacker • • Cain (tên đầy đủ Cain & Abel) Một công cụ hữu ích việc sniff liệu, ăn trộm password môi trường switch – Trộm password tài khoản Email, diễn đàn… – Trộm password tài khoản local II Nguyên lý hoạt động Cain • Trong môi trường broadcast domain, máy nối mạng với kết nối đến server trao đổi thông tin • Server có địa IP riêng địa MAC cố định • Khi client kết nối đến server, Cain đổi địa MAC server thành MAC máy attacker để client tưởng máy attacker máy server • Như tất liệu, thông tin trao đổi client server qua máy attacker Attacker sử dụng giao thức ARP Spoofing Cụ thể sau: • Attacker “nghe lén” máy A B • A gửi gói tin ARP Request toàn mạng • • • • • hỏi địa MAC B B gửi gói tin ARP Reply báo cho A địa MAC Và attacker có tất thông tin Attacker đổi địa Mac thành B Attacker gửi ARP Request A chép đè thông tin lên ARP cache Từ A gởi liệu đến Attacker • Và Attacker đánh lừa B • Khi Dữ liệu từ A đến B Attacker giữ lại chuyển tiếp đến cho B • Và B trả lời lại cho A Attacker giữ lại chuyển tiếp đến cho A III Chức chính: 1.Sniffer 1.1 Giới Thiệu •Sniff hiểu đơn giản chương trình cố gắng nghe ngóng lưu lượng thông tin hệ thống mạng Tương tự thiết bị cho phép nghe đường dây điện thoại Chỉ khác môi trường chương trình Sniffer thực nghe nén môi trường mạng máy tính •Trong hệ thống mạng sử dụng giao thức kết nối chung đồng Chúng ta sử dụng Sniffer Host hệ thống mạng bạn Chế độ gọi chế độ hỗn tạp (promiscuous mode) 1.2 Mục đích sử dụng •Sniffer thường sử dụng vào mục đích khác biệt Nó công cụ giúp cho quản trị mạng theo dõi bảo trì hệ thống mạng Cũng theo hướng tiêu cực chương trình cài vài hệ thống mạng máy tính với mục đích đánh hơi, nghe nén thông tin đoạn mạng 1.3 Cách thức hoạt động •Công nghệ Ethernet xây dựng nguyên lý chia sẻ tất máy tính có khả nhìn thấy lưu lượng liệu truyền đường truyền chung • WEP Cracker:giãi mã password mã hóa chế WEP 2.2 Password Decoders •Password decoders sử dụng để giải mã password mã hóa •Cain củng bao gồm giải mã cho nhiều ứng dụng khác Microsoft,Cisco VPN application… • IV CÁCH PHÒNG CHỐNG CAIN PHƯƠNG PHÁP • Thông Thường IP server dạng • dynamic Do mà attacker thay đổi IP server thành (địa MAC thay đổi theo) Để tránh “đầu độc” CAIN cần đổi IP Server dạng Static • Vào cmd đánh câu lệnh sau: • • • • "arp –s “ Ví dụ: arp -s 157.55.85.212 00-aa-00-62-c6-09 Tuy nhiên khởi động lại máy trường Type lại trở giá trị mặc định Lưu dòng lệnh vào file text save lại dạng file *.bat Đưa file vào phần Start up hệ thống PHƯƠNG PHÁP • Phòng chống Sniffer: - Phương pháp dùng Ping: Hầu hết chương trình Sniffer cài đặt máy tính mạng sử dụng TCP/IP Stack Bởi bạn gửi yêu cầu đến máy tính này, chúng phản hồi lại cho bạn kết Bạn gửi yêu cầu phản hồi tới địa IP máy tính mạng (máy mà bạn cần kiểm tra xem có bị cài đặt Sniffer hay không), không thông qua Adapter Ethernet VD: Chúng ta nghi ngờ máy tính có địa IP 10.0.0.1, có địa MAC 00-40-05-A4-79-32 Đã bị cài đặt Sniffer Chúng ta hệ thống mạng Ethernet mà bạn nghi ngờ có kẻ tiến hành Sniffer Thay đổi địa MAC bạn thành 00-40-05A4-79-33 Ping đến địa IP địa MAC • Trên nguyên tắc không máy tính nhìn thấy nhìn thấy Packet Bởi Adapter Ethernet chấp nhận địa MAC hợp lệ Nếu ta thấy trả lời từ địa mà bạn nghi ngờ địa lọc MAC (MAC Address Filter) Ethernet Card…Máy tính có địa IP 10.0.0.1 bị cài đặt Sniffer Bằng kỹ thuật Hacker né tránh phương pháp nêu Các Hacker sử dụng MAC Address ảo Rất nhiều hệ thống máy tính có Windows có tích hợp khả MAC Filtering • Phòng chống Sniffer: - Phương pháp dùng ARP TABLE:củng giống phương pháp ping Khác biệt chỗ sử dụng Packet ARP • Phòng chống Sniffer: - Phương pháp dùng DNS:Rất nhiều chương trình Sniffer có tính phân giải ngược địa IP thành DNS mà chúng nhìn thấy (như dsniff) Bởi quan sát lưu lượng truyền thông DNS bạn phát Sniffer chế độ hỗn tạp (Promiscuous Mode) • Phòng chống Sniffer: -Phương pháp Source-Route : Phương pháp sử dụng thông tin địa nguồn địa đích Header IP để phát hành động Sniff đoạn mạng • Phòng chống Sniffer: -Phương pháp giăng bẫy (Decoy) : Tương tự phương pháp sử dụng ARP sử dụng phạm vi mạng rộng lớn (gần khắp nơi) Rất nhiều giao thức sử dụng Password không mã hoá đường truyền • Phòng chống Sniffer: Phương pháp kiểm tra chậm trễ gói tin (Latency) PHÒNG CHỐNG DISCOVERY PASSWORD • Sử dụng phương pháp mã hóa tối ưu SSH-2…… ... biệt Nó công cụ giúp cho quản trị mạng theo dõi bảo trì hệ thống mạng Cũng theo hướng tiêu cực chương trình cài vài hệ thống mạng máy tính với mục đích đánh hơi, nghe nén thông tin đoạn mạng 1.3... nghe ngóng lưu lượng thông tin hệ thống mạng Tương tự thiết bị cho phép nghe đường dây điện thoại Chỉ khác môi trường chương trình Sniffer thực nghe nén môi trường mạng máy tính •Trong hệ thống. .. máy C, hay lưu lượng thông tin máy hệ thống mạng Miễn chúng nằm hệ thống mạng CÁC DẠNG SNIFFER • ARP Poison Attack:thu thập thông tin mac address • APR-DNS:Tấn công gia mạo dns(spoofing attcack)