hongthao_vn2001
New Member
Download miễn phí Giáo trình bài tập CEH - Các phương pháp Sniffer
Ettercap là chương trình phân tích các gói tin gởi qua mạng, vì thếEttercap cũng là một phần
mềm hiệu nghiệm cho phép người sửdụng “đánh hơi” các dữliệu trên mạng LAN, kểcả
những thông tin đã được mã hóa. Ettercap có thểgiảdanh địa chỉMAC của card mạng bịtấn
công, thay vì gói tin được truyền đến máy tính cần đến thì nó lại được truyền đến máy tính có
cài ettercap rồi sau đó mới truyền đến máy tính đích
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
iản như là một chương trình cố gắng nghe ngóng các lưulượng thông tin trên một hệ thống mạng
Sniffer được sử dụng như một công cụ để các nhà quản trị mạng theo dõi và bảo trì hệ
thống mạng. Về mặt tiêu cực, sniffer được sử dụng như một công cụ với mục đích nghe lén
các thông tin trên mạng để lấy các thông tin quan trọng
Sniffer dựa vào cách tấn công ARP để bắt gói các thông tin được truyền qua
mạng.
Tuy nhiên những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng
nhị phân (binary). Bởi vậy để hiểu được những dữ liệu ở dạng nhị phân này, các chương trình
Sniffer này phải có chức năng phân tích các nghi thức (Protocol Analysis), cũng như chức năng
giải mã (Decode) các dữ liệu ở dạng nhị phân để hiểu được chúng
Một số các ứng dụng của Sniffer được sử dụng như: dsniff, snort, cain, ettercap,
sniffer pro…
B. HOẠT ĐỘNG CỦA SNIFFER
Sniffer hoạt động chủ yếu dựa trên dạng tấn công ARP.
TẤN CÔNG ARP
1. Giới thiệu
Đây là một dạng tấn công rất nguy hiểm, gọi là Man In The Middle. Trong trường hợp
này giống như bị đặt máy nghe lén, phiên làm việc giữa máy gởi và máy nhận vẫn diễn ra
bình thường nên người sử dụng không hề hay biết mình bị tấn công
2. Sơ Lược Quá trình hoạt động
Trên cùng một mạng, Host A và Host B muốn truyền tin cho nhau, các Packet sẽ được đưa
xuống tầng Datalink để đóng gói, các Host phải đóng gói MAC nguồn, MAC đích vào Frame.
Như vậy trước khi quá trình truyền Dữ liệu, các Host phải hỏi địa chỉ MAC của nhau.
Nếu như Host A khởi động quá trình hỏi MAC trước, nó sẽ gởi broadcast gói tin ARP request
cho tất cả các Host để hỏi MAC Host B, lúc đó Host B đã có MAC của Host A, sau đó Host B
chỉ trả lời cho Host A MAC của Host B(ARP reply ).
Có 1 Host C liên tục gởi ARP reply cho Host A và Host B địa chỉ MAC của Host C, nhưng lại
đăt địa chỉ IP là Host A và Host B. Lúc này Host A cứ nghĩ máy B có MAC là C. Như vậy
các gói tin mà Host A gởi cho Host B đều bị đưa đến Host C, gói tin Host B trả lời cho Host
A cũng đưa đến Host C. Nếu Host C bật chức năng forwarding thì coi như Host A và Host B
không hề hay biết rằng mình bị tấn công ARP
Giáo trình bài tập C|EH Tài liệu dành cho học viên
VSIC Education Corporation Trang 39
.
Ví dụ:
Ta có mô hình gồm các host
Attacker: là máy hacker dùng để tấn công ARP
IP: 10.0.0.11
MAC: 0000.0000.1011
Victim: là máy bị tấn công
IP: 10.0.0.12
MAC: 0000.0000.1012
HostA
IP: 10.0.0.13
MAC: 0000.0000.1013
- Đầu tiên, HostA muốn gởi dữ liệu cho Victim, cần biết địa chỉ MAC của Victim
để liên lạc. HostA sẽ gởi broadcast ARP Request tới tất cả các máy trong cùng mạng
LAN để hỏi xem IP 10.0.0.12 (IP của Victim) có địa chỉ MAC là bao nhiêu.
- Attacker và Victim đều nhận được gói tin ARP Request, nhưng chỉ có Victim gởi trả
lời gói tin ARP Reply lại cho HostA. ARP Reply chứa thông tin về IP 10.0.0.12 và
MAC 0000.0000.1012 của Victim
- HostA nhận được gói ARP Realy từ Victim, biết được địa chỉ MAC của Victim là
0000.0000.1012 sẽ bắt đầu thực hiện liên lạc truyền dữ liệu đến Victim. Attacker
không thể xem nội dung dữ liệu được truyền giữa HostA và Victim
Máy Attacker muốn thực hiện ARP attack đối với máy Victim. Attacker muốn mọi gói tin
HostA gởi đến máy Victim đều có thể chụp lại được để xem trộm
- Attacker thực hiện gởi liên tục ARP Reply chứa thông tin về IP của Victim 10.0.0.12,
còn địa chỉ MAC là của Attacker 0000.0000.1011.
- HostA nhận được ARP Reply nghĩ rằng IP Victim 10.0.0.12 có địa chỉ MAC là
0000.0000.1011. HostA lưu thông tin này vào bảng ARP Cache và thực hiện kết nối.
- Lúc này mọi thông tin, dữ liệu HostA gởi tới máy có IP 10.0.0.12 (là máy Victim) sẽ
gởi qua địa chỉ MAC 0000.0000.1011 của máy Attacker.
Host A Host B
Host C
Giáo trình bài tập C|EH Tài liệu dành cho học viên
VSIC Education Corporation Trang 40
CAIN (Sử dụng phần mềm CAIN)
1.Yêu cầu về phần cứng:
- ổ cứng cần trống 10 Mb
- hệ điều hành windows 2000/2003/XP
- cần có Winpcap
2. Cài đặt:
Chọn Next.
Giáo trình bài tập C|EH Tài liệu dành cho học viên
VSIC Education Corporation Trang 41
Chọn Next.
Chọn Finish.
Giáo trình bài tập C|EH Tài liệu dành cho học viên
VSIC Education Corporation Trang 42
Giáo trình bài tập C|EH Tài liệu dành cho học viên
VSIC Education Corporation Trang 43
Giáo trình bài tập C|EH Tài liệu dành cho học viên
VSIC Education Corporation Trang 44
3. Cấu hình
Cain & Abel cần cấu hình một vài thông số, mọïi thứ có thể được điều chỉnh thông qua bảng
Configuration dialog .
Sniffer tab:
-Tại đây chúng ta chọn card mạng sử dụng để tiến hành sniffer và chức năng APR . Check vào
ô Option để kích hoạt hay không kích hoạt chức năng.
-Sniffer tương thích với Winpcap phiên bản 2.3 hay cao hơn . phiên bản này hỗ trợ card mạng rất
nhiều .
Giáo trình bài tập C|EH Tài liệu dành cho học viên
VSIC Education Corporation Trang 45
APR tab:
-Đây là nơi bạn có thể config ARP . Mặc định Cain ngăn cách 1 chuỗi gửi gói ARP từ nạn
nhân trong vòng 30 giây . Đây thực sự là điều cần thiết bởi vì việc xâm nhập vào thiết bị có
thể sẽ gây ra sự không lưu thông tính hiệu . Từ dialog này bạn có thể xác định thời gian giữa
mỗi lần thực thi ARP, xác định thông số ít sẽ tạo cho ARP lưu thông nhiều,ngược lại sẽ khó
khăn hơn trong việc xâm nhập .
-Tại mục này, ta cần chú ý tới phần Spoofing Options:
+Mục đầu tiên cho phép ta sử dụng địa chỉ MAC và IP thực của máy mà mình dang sử dụng.
+Mục thứ hai cho phép sử dụng một IP và địa chỉ MAC giả mạo.
(Lưu ý địa chỉ ta chọn phải không trùng với IP của máy khác)
Khi click vào tab filters and ports, ta sẽ thấy một số thông tin về giao thức và các con số port
tương ứng với giao thức đó.
Giáo trình bài tập C|EH Tài liệu dành cho học viên
VSIC Education Corporation Trang 46
Fliter and Ports Tab:
-Tại đây bạn có thể chọn kích hoạt hay không kích hoạt các port ứng dụng TCP/UDP .
HTTP fields tab:
Giáo trình bài tập C|EH Tài liệu dành cho học viên
VSIC Education Corporation Trang 47
- Tại đây có 1 list danh sách username và password sử dụng được HTTP sniffer lọc lại.
- Tại tab này cho phép ta biết dược chương trình này sẽ bắt 1 số thông tin về trang web như:
+ Mục Username Fields: nó sẽ lấy thông tin những gì liên quan đến cái tên (user name,
account, web name v.v..) .
+ Mục Password Fields: lanh vực này sẽ đãm nhiệm vai trò lấy thông tin về password
(login password, user pass, webpass v.v…)
4. Các ứng dụng của CAIN:
+ Bảo vệ password manager:
− Trước hết nó được sử dụng như 1 private key bảo mật một số vấn đề cho user . Hầu hết
thông tin trong Protected Storage được mã hóa.Sử dụng như 1 key nhận được từ việc
logon password của user.Cho phép điều hòa viêc truy cập thông tin để owner có thể an
toàn truy xuất .
− Một vài ứng dụng của Windows có nét đặc trưng nên sử dụng dịch vụ này: Internet
Explorer, Oulook, Oulook Express
+ Giải mã password manager:
− Nó cho phép bạn đưa user names và passwords cho 1 tài nguyên mạng khác và 1 ứng
dụng,sau đó hệ thống tự động cung cấp thông tin về những sự viếng thăm thông tin mà
bạn không can thiệp.
+ LSA secrets dumper:
− LSA secrets thì sử dụng thông tin password cho accounts dùng để star...
Tags: ứng dụng của Sniffer