trong hộp thoại cấu hình chính.
Sniffer Tab
Tại đây bạn có thể thiết lập card mạng được sử dụng bởi sniffer Cain và các tính năng của APRHai hộp kiểm tra cuối cùng cho phép / vô hiệu hóa các chức năng này lúc khởi động của chương trình.
Sniffer này tương thích với WinPcap điều khiển phiên bản 2.3 hoặc mới hơn và trong phiên bản này chỉ có bộ điều hợp Ethernet được hỗ trợ bởi chương trình.Nếu kích hoạt, tùy chọn "Không sử dụng chế độ Promiscuous" cho phép APRNgộ độc trên các mạng không dây nhưng xin lưu ý rằng trong tình huống này bạn không thể sử dụng tính năng giả mạo MAC dưới đây!
APR Tab
Đây là nơi bạn có thể cấu hình APR(Arp Poison Routing). Cain sử dụng một chủ đề riêng biệt mà sẽ gửi gói ARP Poison để máy nạn nhân mỗi 30 giây theo mặc định. Điều này là cần thiết vì mục hiện tại trong cache ARP của máy từ xa có thể được xả ra ngoài trong trường hợp lưu lượng truy cập không có. Từ hộp thoại này bạn có thể đặt thời gian giữa các cơn bão ARP Poison: thiết lập tham số này vài giây sẽ gây ra rất nhiều lưu lượng mạng ARP trong khi thiết lập nó để trì hoãn lâu dài không thể sản xuất các hijacking giao thông mong muốn.
Các tùy chọn xác định các địa chỉ giả mạo mà Cain viết vào Ethernet, ARP Poison tiêu đề của gói ARP và tái định tuyến các gói dữ liệu. Trong trường hợp này, các cuộc tấn công ARP Poison sẽ hoàn toàn vô danh, vì thực sự của kẻ tấn công MAC một địa chỉ IP được không bao giờđược gửi trên mạng.
Nếu bạn muốn kích hoạt tùy chọn này bạn phải xem xét rằng:
Ethernet giả mạo địa chỉ có thể được sử dụng chỉ khi máy trạm của kẻ tấn công được kết nối với một HUB hay một switch mạng mà không sử dụng các "Port Security" tính năng. Nếu "Port Security" được kích hoạt trên switch, các địa chỉ nguồn MAC chứa trong mỗi khung ethernet được kiểm tra với một danh sách các địa chỉ MAC được phép đặt trên switch. Nếu địa chỉ MAC giả mạo không có trong danh sách này, việc chuyển đổi sẽ vô hiệu hóa các cổng và bạn sẽ mất kết nối.
Các địa chỉ IP giả mạo phải là một địa chỉ miễn phí của mạng con của bạn. Các giao thức ARP không định tuyến qua hoặc VLAN vì thế nếu bạn thiết lập một IP giả mạo đó là trong mạng của bạn máy chủ từ xa sẽ trả lời cho
cổng mặc định của nó và bạn sẽ không thấy phản ứng của nó. Ngoài ra nếu bạn sử dụng giả mạo địa chỉ IP đã được sử dụng trong mạng của bạn sẽ có một "địa chỉ IP xung đột" và tấn công sẽ được dễ dàng nhận thấy. Đây là một số ví dụ về các địa chỉ giả mạo hợp lệ:
Real địa chỉ IP
Subnet Mask Hợp lệ nhiều cho các địa chỉ IP giả mạo 192.168.0.1 255.255.255.
0
Phải là một địa chỉ không được sử dụng trong phạm vi 192.168.0.2 - 192.168.0.254
10.0.0.1 255.255.0.0 Phải là một địa chỉ không được sử dụng trong khoảng
10.0.0.2 - 10.0.255.254172.16.0.1 255.255.255. 172.16.0.1 255.255.255.
240
Phải là một địa chỉ không được sử dụng trong khoảng 172.16.0.2 - 172.16.0.14
200.200.20 0.1
255.255.255. 252
Phải là một địa chỉ không được sử dụng trong khoảng 200.200.200.2 - 200.200.200.3
Các địa chỉ IP giả mạo được tự động kiểm tra chương trình khi bạn nhấn "Apply", nếu địa chỉ đã được sử dụng trong mạng con người một hộp
thông báo sẽ báo cáo vấn đề.
Các địa chỉ MAC giả mạo không phải có mặt trong subnet của bạn. Sự hiện diện của hai giống địa chỉ MAC trên cùng một mạng LAN-2 lớp có thể gây ra các vấn đề hội tụ thiết bị chuyển mạch, vì lý do này tôi quyết định không cho phép bạn dễ dàng thiết lập các MAC giả mạo của sự lựa chọn của bạn từ hộp thoại cấu hình. Giá trị mặc định được thiết lập để 001122334455 là một địa chỉ không hợp lệ không được phép tồn tại trong mạng của bạn và cùng lúc có thể dễ dàng xác định để xử lý sự cố. QUAN TRỌNG! Bạn không thể có, trên cùng một mạng-2 lớp, hai hoặc nhiều máy sử dụng Cain giả mạo MAC của APRvà địa chỉ MAC giả mạo tương tự. Các địa chỉ MAC giả mạo có thể thay đổi thay đổi giá trị registry "SpoofMAC" tại địa điểm này: "HKEY_CURRENT_USER \ Software \ Cain \ Settings".
Tại đây bạn có thể cho phép / vô hiệu hóa bộ lọc của Cain và ứng dụng giao thức sniffer TCP / UDP. Cain chỉ nắm bắt thông tin xác thực không phải là toàn bộ nội dung của từng gói tin, tuy nhiên bạn có thể sử dụng Telnet lọc để đổ, vào một tập tin, tất cả các mặt trong một phiên TCP dữ liệu, sửa đổi các cổng lọc tương đối.
Cain có các bộ lọc nội bộ sniffer được thiết kế để tồn tại trong một thế giới không đáng tin cậy như là một hệ thống mạng bị tấn công ARP Poison; Cain sử dụng máy trạng thái khác nhau để trích xuất từ các gói tin mạng lưới thông tin cần thiết để khôi phục lại hình thức thô của một mật khẩu truyền. Một số giao thức xác thực sử dụng một cơ chế thách thức, đáp ứng vì vậy nó cần phải thu thập các thông số từ Server Client-> và Server-> Khách hàng giao thông, giao thông đánh chặn ở cả hai hướng luôn luôn có thể nếu Cấp mạng-2 của bạn được thực hiện bởi trung tâm chỉ hoặc nếu bạn kết nối với một cổng gương về chuyển đổi, nhưng trên các mạng
chuyển mạch nói chung, nó có thể đạt được chỉ bằng cách sử dụng một số loại tấn công kỹ thuật giao thông như tuyến Poison Arp (APR). Nếu APR được kích hoạt, các sniffer sẽ trích xuất đáp ứng thách thức xác thực chỉ khi bạn đạt đến một kết nối giữa các máy tính nạn nhân.
Dưới tab này, bạn cũng có thể cho phép / vô hiệu hóa việc phân tích các giao thức định tuyến (HSRP, VRRP, EIGRP, OSPF, RIPv1, RIPv2) và tính năng APR-DNS hoạt động như một lời rewriter DNS.
Tab HTTP Fields
Tab này chứa danh sách các trường tên người dùng và mật khẩu để được sử dụng bởi các HTTP sniffer lọc. Cookies và HTML hình thức mà đi du lịch trong các gói tin HTTP được kiểm tra theo cách này: đối với từng trường tên người sử dụng tất cả các mật khẩu sẽ được kiểm tra và nếu hai tham số được tìm thấy, các thông tin sẽ được bắt và hiển thị trên màn hình.
Cookie sử dụng các lĩnh vực "logonusername =" và "userpassword =" cho các mục đích xác thực, nếu bạn không bao gồm hai lĩnh vực trong danh sách trên các sniffer sẽ không trích xuất các thông tin tương đối.
Điều này được sử dụng để cấu hình của Cain ICMP / UDP / TCP traceroute. Bạn có thể thiết lập để giải quyết tên máy chủ, phát hiện sử dụng ICMP Mask và cho phép / vô hiệu hóa khai thác thông tin WHOIS cho mỗi bước nhảy.
Thách thức Spoofing Tab
Tại đây bạn có thể thiết lập giá trị thách thức tùy chỉnh để viết lại thành các gói tin xác thực NTLM. Tính năng này có thể được kích hoạt một cách nhanh chóng từ thanh công cụ của Cain và phải được sử dụng với APRMột thách thức cố định cho phép nứt NTLM băm bắt trên mạng bằng trung bình của RainbowTables.