Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 38
Bài 5:
CÁC PHNG PHÁP SNIFFER
I/ Gii thiu v Sniffer
A. TNG QUAN SNIFFER
Sniffer đc hiu đn gin nh là mt chng trình c gng nghe ngóng các lu
lng thông tin trên mt h thng mng
Sniffer đc s dng nh mt công c đ các nhà qun tr mng theo dõi và bo trì h
thng mng. V mt tiêu cc, sniffer đc s dng nh mt công c vi mc đích nghe lén
các thông tin trên mng đ ly các thông tin quan trng
Sniffer da vào phng thc tn công ARP đ bt gói các thông tin đc truyn qua
mng.
Tuy nhiên nhng giao dch gia các h thng mng máy tính thng là nhng d liu dng
nh phân (binary). Bi vy đ hiu đc nhng d liu dng nh phân này, các chng trình
Sniffer này phi có tính nng phân tích các nghi thc (Protocol Analysis), cng nh tính nng
gii mã (Decode) các d liu dng nh
phân đ hiu đc chúng
Mt s các ng dng ca Sniffer đc s dng nh: dsniff, snort, cain, ettercap,
sniffer pro…
B. HOT NG CA SNIFFER
Sniffer hot đng ch yu da trên dng tn công ARP.
TN CÔNG ARP1. Gii thiu
ây là mt dng tn công rt nguy him, gi là Man In The Middle. Trong trng hp
này ging nh b đt máy nghe lén, phiên làm vic gia máy gi và máy nhn vn din ra
HostA
IP: 10.0.0.13
MAC: 0000.0000.1013
- u tiên, HostA mun gi d liu cho Victim, cn phi bit đa ch MAC ca Victim
đ liên lc. HostA s gi broadcast ARP Request ti tt c các máy trong cùng mng
LAN đ hi xem IP 10.0.0.12 (IP ca Victim) có đa ch MAC là bao nhiêu.
- Attacker và Victim đu nhn đc gói tin ARP Request, nhng ch có Victim gi tr
li gói tin ARP Reply li cho HostA. ARP Reply cha thông tin v IP 10.0.0.12 và
MAC 0000.0000.1012 c
a Victim
- HostA nhn đc gói ARP Realy t Victim, bit đc đa ch MAC ca Victim là
0000.0000.1012 s bt đu thc hin liên lc truyn d liu đn Victim. Attacker
không th xem ni dung d liu đc truyn gia HostA và Victim
Máy Attacker mun thc hin ARP attack đi vi máy Victim. Attacker mun mi gói tin
HostA gi đn máy Victim đu có th chp li đc đ xem trm
- Attacker thc hin gi liên tc ARP Reply cha thông tin v IP ca Victim 10.0.0.12,
còn đa ch MAC là ca Attacker 0000.0000.1011.
- HostA nhn đc ARP Reply ngh rng IP Victim 10.0.0.12 có đa ch MAC là
0000.0000.1011. HostA lu thông tin này vào bng ARP Cache và thc hin kt ni.
- Lúc này mi thông tin, d liu HostA gi ti máy có IP 10.0.0.12 (là máy Victim) s
gi qua đa ch MAC 0000.0000.1011 ca máy Attacker.
Host A Host B
Host C
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 40 Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 43
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 44 3. Cu hình
Cain & Abel cn cu hình mt vài thông s, mïi th có th đc điu chnh thông qua bng
Configuration dialog .
Sniffer tab
:
-Ti đây chúng ta chn card mng s dng đ tin hành sniffer và tính nng APR . Check vào
ô Option đ kích hot hay không kích hot tính nng.
-Sniffer tng thích vi Winpcap version 2.3 hay cao hn . Version này h tr card mng rt
nhiu .
Giáo trình bài tp C|EH Tài liu dành cho hc viên
+ Mc Username Fields: nó s ly thông tin nhng gì liên quan đn cái tên (user name,
account, web name v.v ) .
+ Mc Password Fields: lanh vc này s đãm nhim vai trò ly thông tin v password
(login password, user pass, webpass v.v…)
4. Các ng dng ca CAIN:
+ Bo v password manager:
− Trc ht nó đc s dng nh 1 private key bo m
t mt s vn đ cho user . Hu ht
thông tin trong Protected Storage đc mã hóa.S dng nh 1 key nhn đc t vic
logon password ca user.Cho phép điu hòa viêc truy cp thông tin đ owner có th an
toàn truy xut .
− Mt vài ng dng ca Windows có nét đc trng nên s dng dch v này: Internet
Explorer, Oulook, Oulook Express + Gii mã password manager:
− Nó cho phép bn đa user names và passwords cho 1 tài nguyên mng khác và 1 ng
dng,sau đó h thng t đng cung cp thông tin v nhng s ving thm thông tin mà
bn không can thip.
+ LSA secrets dumper
:
− LSA secrets thì s dng thông tin password cho accounts dùng đ start mt dch v khác
d liu cc b. Dial Up và mt s ng dng khác xác đnh password nm đây .
+ Gii mã password Dial-Up: Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 48
+ Service manager: ta có th start/stop,pause/continued hay remove bt c 1 dch v nào có
trên ca s giao din
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 50
+ Sniffer:
ARP-DNS:
Nét đc trng đây là cho phép DNS tin hành gi mo thành 1 DNS-reply đ có th tn
công. ARP-DNS d dàng to ra 1 ip address trên DNS-reply .Sniffer d dàng rút ra đc tên yêu cu
t gói d liu kt hp vi vic thy đc đa ch trên bng danh sách. đây gói d liu s
đc chnh li IP address đ sau đó re-route đi .Lúc này client s b đánh la đ ta d dàng
bit đc đa ch đích .
ARP-HTTPS:
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 51
ARP-HTTPS cho phép vic bt gói và gii mã trong s lu thông ca HTTPS gia các host .
ây là công vic kt hp vi công c Certificate Collector . Khi mà nn nhân Start HTTPS
trình duyt ca anh ta s hin lên po-pup báo đng .
+ libnet-1.1.2.1.tar – có th download t website
http://www.packetfactory.net/libnet/dist/
Install libnet:
1. # tar zxvf libnet-1.1.2.1.tar.gz
2. # cd libnet
3. # ./configure
4. # make
5. # make install
Install libpcap:
6. # tar zxvf libpcap-1.1.2.1.tar.gz
7. # cd libpcap
8. # ./configure
9. # make
10. # make install
Install ettercap:
1. # tar zxvf ettercap-NG-0.7.1.tar.gz
2. # cd ettercap-NG-0.7.1
3. # ./configure
4. # make
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 55
5. # make install
Quá trình cài đt hoàn tt, trên ca s console xut hin nhng dòng thông báo
Ti dòng User Messages se xut hin thông báo cho bit dch v đang start lên
- Trong menu Host, chn Scan from hosts
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 59 - Trong menu Mitm, chn Arp poisoning…
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 60 - Không chn parameters, nhn enter b qua
- Ti dòng User messages xut hin thông báo
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 61
Copyright: Tài liệu đại học ©