REVISION HISTORY Date Version Description Author 23/10/2013 1.0 Generation for release Trịnh Thị Mỹ Nương DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT Ký hiệu Ý nghĩa Sniffing Nghe lén MAC Media Access Control DNS Domain Name System ARP Address Resolution Protocol DHCP Dynamic Host Configuration Protocol CAM Content Address Memory OUI Organizationally Unique Identifier DAI Dynamic ARP Inspection INTERNIC Internet Network Information Center I MỤC LỤC DANH MỤC HÌNH II DANH MỤC BẢNG III TÀI LIỆU THAM KHẢO 10 DANH MỤC HÌNH II DANH MỤC BẢNG III LỜI MỞ ĐẦU Trong thời đại phát triển như ngày nay, rõ ràng vai trò của Công Nghệ Thông Tin và Internet đóng một vai trò vô cùng quan trọng cho nền kinh tế tri thức của tương lai nhân loại. Với mạng toàn cầu Internet, nước ta được bình đẳng hơn với các nước phát triển khác về nguồn thông tin, tạo cho chúng ta cơ hội sản xuất và gia công phần mềm cho nước ngoài, phát triển và ứng dụng CNTT trong quản lý sản xuất, nâng cao chất lượng sản phẩm và sức cạnh tranh của hàng hóa Việt Nam. Bên canh những lợi thế mà Internet mang lại, chúng ta cũng phải chuẩn bị cho mình khả năng đối phó với những thử thách mới, đó là làm sao hội nhập được với thế giới mà vẫn bảo vệ được mình, nhiều ý đồ phá hoại đã nhắm vào hệ thống máy tính như nhiều website của các doanh nghiệp, công ty bảo mật hàng đầu trên thế giới đều bị hacker tấn công, gây tổn thất lớn về nguồn tài chính cho doanh nghiệp. Tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo động đỏ” của an ninh mạng Việt Nam và thế giới khi có nhiều lỗ hổng an ninh mạng nghiêm trọng được phát hiện, hình thức tấn công thay đổi và có rất nhiều cuộc tấn công của giới tội phạm công nghệ cao vào các hệ thống công nghệ thông tin của doanh nghiệp và chính phủ. Với mục đích nghiên cứu và tìm hiểu nguyên lý, cơ chế của các cuộc tấn công của hacker nói chung, và từng kỹ thuật tấn công nói riêng, nhóm em chọn đề tài: “Tìm hiểu về kỹ thuật tấn công Sniffing” là đồ án môn học. Nhóm em xin chân thành cảm ơn! 1 1. MAC 2. DHCP 3. ARP 3.1 Tấn công ARP bằng Cain & Abel và Wireshark (Đánh cắp tài khoản và cookie đăng nhập) Công cụ sử dụng: - Cain & Abel (Tấn công ARP) - Wireshark (Bắt và phân tích gói tin) Mô hình sử dụng: - Attacker: (Windows XP Pro SP3)  MAC: 00-0C-29-4D-80-18  IP: 192.168.220.10  Subnet mask: 255.255.255.0  Gateway: 192.168.220.2 - Victim: (Windows XP Pro SP3)  MAC: 00-0C-29-4D-08-0B  IP: 192.168.220.11  Subnet mask: 255.255.255.0  Gateway: 192.168.220.2 - Gateway: (VMWare NAT)  MAC: 00-50-56-FE-7E-09  IP: 192.168.220.2  Subnet mask: 255.255.255.0 Thực hiện tấn công: 1. Tấn công ARP 2. Đánh cắp tài khoản đăng nhập trang: qlht.ued.edu.vn 3. Đánh cắp cookie đăng nhập trang: mp3.zing.vn Tấn công ARP bằng Cain & Abel Trên máy Attacker mở Cain & Abel, thực hiện các bước sau: - Chọn card mạng để tấn công:  Click vào nút Configure trên thanh menu để mở hộp thoại cấu hình (Configuration Dialog) 2 Hình 3.1 Chọn card mạng để tấn công (1)  Hộp thoại Cấu hình xuất hiện: + Chọn thẻ Sniffer + Click chọn card mạng cần tấn công trong danh sách các card mạng + Click nút OK để chọn card mạng và đóng hộp thoại Hình 3.2 Chọn card mạng để tấn công (2) - Kích hoạt chế độ Sniffer  Click chọn nút Start/Stop Sniffer , sau khi được chọn, nút Start/Stop Sniffer sẽ có có trạng thái được ấn giữ như hình bên là chế độ Sniffer đã được kích hoạt - Chọn thẻ Sniffer của Cain & Abel (thẻ Sniffer chứa các chức năng dùng để tấn công ARP) Hình 3.3 Chọn thẻ Sniffer Trong thẻ Sniffer có chứa các thẻ con, trong đó có 2 thẻ qua trọng ta cần chú ý là thẻ con Host và thẻ con ARP - Tìm và thêm các host đang hoạt động trên mạng  Click chọn thẻ con Host của thẻ con Sniffer Hình 3.4 Chọn thẻ con Host của thẻ Sniffer 3  Click nút để mở hộp thoại tìm và thêm host (MAC Address Scanner)  Hộp thoại tìm kiếm host xuất hiện, chọn All hosts in my subnet Hình 3.5 Hộp thoại tìm kiếm host  Nhấn nút OK để đóng hộp thoại và bắt đầu quá trình tìm và thêm các host đang tham gia vào mạng  Sau khi tìm kiếm các host xong, danh sách các host tìm kiếm được sẽ hiển thị trên danh sách Hình 3.6 Danh sách các host - Chọn thêm các host vào danh sách tấn công ARP  Click chọn thẻ con ARP của thẻ Sniffer Hình 3.7 Chọn thẻ con ARP của thẻ Sniffer  Thẻ con ARP có 2 danh sách hiển thị. Danh sách trên sẽ hiển thị các host được chọn để tấn công. Danh sách dưới sẽ hiển thị trạng thái và các thông số tấn công đối với các host khi cuộc tấn công ARP bắt đầu.  Để thêm host vào danh sách tấn công, click nút để mở hộp thoại định tuyến tấn công ARP (New ARP Poison Routing) Chú ý: Nếu nút đang ở trạng thái Disable (như hình bên ) thì click vào Danh sách trên trước để kích hoạt nút.  Chọn host thứ nhất trong danh sách bên trái và host thứ hai trong danh sách bên phải, có thể chọn nhanh nhiều host 1 lần trong danh sách bên phải (nhấn giữ phím Shift hoặc Control rồi click chọn các host). Cain & Abel sẽ thực hiện tấn công ARP giữa host thứ nhất và host thứ 2 được chọn để đánh cắp các gói tin Ví dụ: Muốn tấn công ARP để đánh cắp các gói tin giữa host 192.168.220.11 và 192.168.220.2, ta sẽ click chọn host 192.168.220.11 ở danh sách bên trái. Sau khi click chọn, danh sách các host còn lại sẽ hiển thị ở danh sách bên phải, click chọn 4 host 192.168.220.2 sau đó nhấn nút OK để thêm. Hình 3.8 Chọn host tấn công  Sau khi chọn xong host, click nút OK để thêm vào danh sách tấn công và đóng hộp thoại. Host vừa thêm vào sẽ được hiển thị trong Danh sách trên Hình 3.9 Danh sách host tấn công đã được thêm vào - Thực hiện tấn công ARP  Click chọn nút Start/Stop ARP , sau khi được chọn, nút Start/Stop ARP sẽ có có trạng thái được ấn giữ như hình bên là cuộc tấn công ARP đã được bắt đầu  Trong thẻ con ARP, trạng thái của các host bị tấn công ở 2 danh sách sẽ hiển thị như hình bên dưới Danh sách trên Danh sách dưới Hình 3.9 Trạng thái của các host bị tấn công - Dừng tấn công ARP  Click bỏ chọn nút Start/Stop ARP 5 Đánh cắp tài khoản đăng nhập với Wireshark Mục tiêu tấn công: Đánh cắp tài khoản đăng nhập trang qlht.ued.edu.vn của Victim Wireshark là một công cụ mạnh mẽ cho phép bắt và phân tích các gói tin. Nhược điểm của chương trình này là chỉ bắt được các gói tin trên máy đang chạy nó, do vậy để tấn công đánh cắp tài khoản đăng nhập trong trường hợp này, ta cần chạy Wireshark kết hợp với một cuộc tấn công ARP vào máy victim. Mục đích của tấn công ARP là chuyển luồng dữ liệu của máy victim đi qua máy trung gian là máy của attacker, khi đó mặc dù chạy Wireshark ở máy attacker, ta vẫn có thể bắt và phân tích được các gói tin của máy victim. Mục tiêu của cuộc tấn công này là bắt gói tin của máy victim khi victim đăng nhập vào trang qlht.ued.edu.vn, từ đó phân tích gói tin và lấy ra được tài khoản đăng nhập. Thực hiện tấn công - Thực hiện tấn công ARP bằng Cain & Abel vào 2 host  Victim: 192.168.220.11  Gateway: 192.168.220.2 Lý do thực hiện tấn công ARP vào 2 host victim và gateway:  Tấc cả các gói tin muốn đi ra mạng internet để được gửi đến gateway để chuyển tiếp  Khi victim đăng nhập vào trang qlht.ued.edu.vn qua internet thì gói tin chứa thông đăng nhập sẽ được gửi từ máy victim vào gateway và gateway sẽ chuyển tiếp gói tin đi.  Do vậy, tấn công ARP vào host victim và gateway sẽ đánh cắp được gói tin chứa thông đăng nhập. Lưu ý: Cuộc tấn công cần diễn ra trước và duy trì cho đến khi victim thực hiện đăng nhập hoàn tất thì ta mới bắt được gói tin chứa thông tin đăng nhập khi nó được máy victim gửi đi. - Mở Wireshark, thực hiện các bước sau để bắt và phân tích các gói tin:  Chọn card mạng để tấn công + Click chọn nút Interface List để mở hộp thoại chọn card mạng Hình 3.10 Chọn card mạng để tấn công + Hộp thoại chọn card mạng xuất hiện, chọn card mạng cần bắt gói tin và click nút Start để bắt đầu bắt gói tin. 6 Hình 3.11 Chọn card mạng cần bắt gói tin  Nhập “http && http.host contains qlht” để lọc các gói tin HTTP (http - các gói tin thao tác với web là các gói tin dạng HTTP) có đích đến (http.host) chứa (contains) từ “qlht” chính là các gói tin khi máy victim thao tác với trang web qlht.ued.edu.vn Hình 3.12  Khi victim thao tác với trang qlht.ued.edu.vn, danh sách các gói tin bắt được sẽ hiển thị trên cửa sổ gói tin của Wireshark Hình 3.13  Ta cần quan sát để nhận biết đâu là gói tin chứa thông tin đăng nhập. Ở đây gói tin chứa thông tin đăng nhập là gói tin HTTP dạng POST đích đến là /UE_HethongServlet như trong hình,  Khi đã tìm được gói tin chứa thông tin đăng nhập, click vào dòng của gói tin, thông tin chi tiết sẻ hiển thị trong cửa sổ thông tin chi tiết 7 [...]... thể đăng nhập một cách bình thường Điều kiện của cách tấn công này là victim đã đăng nhập và đang duyệt web Khi đó ta có thể áp dụng tấn công ARP vào victim để bắt gói tin HTTP có chứa cookie đăng nhập của victim Trong phần này, ta sẽ tìm hiểu cách tấn công đánh cắp cookie đăng nhập vào trang mp3.zing.vn của victim Thực hiện tấn công - Thực hiện tấn công ARP vào victim và gateway (tương tự phần trên)... nhập và qlht.ued.edu.vn Đánh cắp cookie đăng nhập với Wireshark Mục tiêu tấn công: Đánh cắp cookie đăng nhập trang mp3.zing.vn của Victim Trong phần trên ta đã tìm hiểu cách đánh cắp tài khoản đăng nhập Tuy nhiên việc đánh cắp tài khoản đăng nhập trên thực tế gặp nhiều khó để thực hiện do tính chất của cách tấn công này là cuộc tấn công ARP phải được thực hiện xuyên suốt trong quá trình victim thực hiện... (http.cookie) và có đích đến (http.host) chứa (contains) từ “zing.vn” chính là các gói tin khi máy victim thao tác với trang web mp3.zing.vn  Khác với cách tấn công ở trên là ta cần tìm ra chính xác gói tin chứa thông tin đăng nhập của victim, với cách tấn công này, một khi victim đã đăng nhập thì mọi gói tin máy victim gửi lên web-server để chứa cookie đăng nhập, ta chỉ cần chọn một gói tin bất kỳ và phân... chắc victim sẽ thực hiện đăng nhập lúc nào để có để tấn công đánh cắp gói tin hiệu quả Một cách đơn giản hơn để chiếm quyền đăng nhập của victim vào trang web là khai thác cơ chế cookie của giao thức HTTP Giao thức HTTP sử dụng một cơ chế có tên là cookie để nhận biết thông tin từ người dùng Thông thường khi người dùng đăng nhập một trang web thành công thì web-server sẽ gửi gói tin phản hồi kèm theo... năng hỗ trợ sửa đổi cookie) để thay đổi cookie trình duyệt về các giá trị cookie lấy được + Sau khi đã thay đổi xong cookie, lúc này khi vào trang mp3.zing.vn ta sẽ thấy được đăng nhập bằng tài khoản của victim, mà không cần biết tên đăng nhập và mật khẩu của victim là gì 3.2 4 DNS TÀI LIỆU THAM KHẢO 1 Tài liệu hướng dẫn của thầy Nguyễn Đỗ Công Pháp 2 http://thamkhao.vn/tai-lieu/6588-do-an-tim-hieu-ky-thuat-tan-cong-bang-sniffer