Đang tải... (xem toàn văn)
Tài liệu lab CEH tiếng việt phần 2
Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 38 Bài 5: CÁC PHNG PHÁP SNIFFER I/ Gii thiu v Sniffer A. TNG QUAN SNIFFER Sniffer đc hiu đn gin nh là mt chng trình c gng nghe ngóng các lu lng thông tin trên mt h thng mng Sniffer đc s dng nh mt công c đ các nhà qun tr mng theo dõi và bo trì h thng mng. V mt tiêu cc, sniffer đc s dng nh mt công c vi mc đích nghe lén các thông tin trên mng đ ly các thông tin quan trng Sniffer da vào phng thc tn công ARP đ bt gói các thông tin đc truyn qua mng. Tuy nhiên nhng giao dch gia các h thng mng máy tính thng là nhng d liu dng nh phân (binary). Bi vy đ hiu đc nhng d liu dng nh phân này, các chng trình Sniffer này phi có tính nng phân tích các nghi thc (Protocol Analysis), cng nh tính nng gii mã (Decode) các d liu dng nh phân đ hiu đc chúng Mt s các ng dng ca Sniffer đc s dng nh: dsniff, snort, cain, ettercap, sniffer pro… B. HOT NG CA SNIFFER Sniffer hot đng ch yu da trên dng tn công ARP. TN CÔNG ARP 1. Gii thiu ây là mt dng tn công rt nguy him, gi là Man In The Middle. Trong trng hp này ging nh b đt máy nghe lén, phiên làm vic gia máy gi và máy nhn vn din ra bình thng nên ngi s dng không h hay bit mình b tn công 2. S Lc Quá trình hot đng Trên cùng mt mng, Host A và Host B mun truyn tin cho nhau, các Packet s đc đa xung tng Datalink đ đóng gói, các Host phi đóng gói MAC ngun, MAC đích vào Frame. Nh vy trc khi quá trình truyn D liu, các Host phi hi đa ch MAC ca nhau. Nu nh Host A khi đng quá trình hi MAC trc, nó s gi broadcast gói tin ARP request cho tt c các Host đ hi MAC Host B, lúc đó Host B đã có MAC ca Host A, sau đó Host B ch tr li cho Host A MAC ca Host B(ARP reply ). Có 1 Host C liên tc gi ARP reply cho Host A và Host B đa ch MAC ca Host C, nhng li đt đa ch IP là Host A và Host B. Lúc này Host A c ngh máy B có MAC là C. Nh vy các gói tin mà Host A g i cho Host B đu b đa đn Host C, gói tin Host B tr li cho Host A cng đa đn Host C. Nu Host C bt chc nng forwarding thì coi nh Host A và Host B không h hay bit rng mình b tn công ARP Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 39 . Ví d: Ta có mô hình gm các host Attacker: là máy hacker dùng đ tn công ARP IP: 10.0.0.11 MAC: 0000.0000.1011 Victim: là máy b tn công IP: 10.0.0.12 MAC: 0000.0000.1012 HostA IP: 10.0.0.13 MAC: 0000.0000.1013 - u tiên, HostA mun gi d liu cho Victim, cn phi bit đa ch MAC ca Victim đ liên lc. HostA s gi broadcast ARP Request ti tt c các máy trong cùng mng LAN đ hi xem IP 10.0.0.12 (IP ca Victim) có đa ch MAC là bao nhiêu. - Attacker và Victim đu nhn đc gói tin ARP Request, nhng ch có Victim gi tr li gói tin ARP Reply li cho HostA. ARP Reply cha thông tin v IP 10.0.0.12 và MAC 0000.0000.1012 c a Victim - HostA nhn đc gói ARP Realy t Victim, bit đc đa ch MAC ca Victim là 0000.0000.1012 s bt đu thc hin liên lc truyn d liu đn Victim. Attacker không th xem ni dung d liu đc truyn gia HostA và Victim Máy Attacker mun thc hin ARP attack đi vi máy Victim. Attacker mun mi gói tin HostA gi đn máy Victim đu có th chp li đc đ xem trm - Attacker thc hin gi liên tc ARP Reply cha thông tin v IP ca Victim 10.0.0.12, còn đa ch MAC là ca Attacker 0000.0000.1011. - HostA nhn đc ARP Reply ngh rng IP Victim 10.0.0.12 có đa ch MAC là 0000.0000.1011. HostA lu thông tin này vào bng ARP Cache và thc hin kt ni. - Lúc này mi thông tin, d liu HostA gi ti máy có IP 10.0.0.12 (là máy Victim) s gi qua đa ch MAC 0000.0000.1011 ca máy Attacker. Host A Host B Host C Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 40 CAIN (S dng phn mm CAIN) 1.Yêu cu v phn cng: - cng cn trng 10 Mb - h điu hành Win 2000/2003/XP - cn phi có Winpcap 2. Cài đt: Chn Next. Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 41 Chn Next. Chn Finish. Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 42 Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 43 Giáo trình bài tp C|EH Tài liu dành cho hc viên VSIC Education Corporation Trang 44 3. Cu hình Cain & Abel cn cu hình mt vài thông s, mïi th có th đc điu chnh thông qua bng Configuration dialog . Sniffer tab : -Ti đây chúng ta chn card mng s dng đ tin hành sniffer và tính nng APR . Check vào ô Option đ kích hot hay không kích hot tính nng. -Sniffer tng thích vi Winpcap version 2.3 hay cao hn . Version này h tr card mng rt nhiu .
