HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN Học phần: An tồn mạng Bài báo cáo: Tìm hiểu Responder cơng cụ Sniffing Spoofing Trên Kali Linux Cài đặt demo Giảng viên hướng dẫn: TS Đặng Minh Tuấn Sinh viên thực : Phạm Văn Nghị Mã SV : B18DCAT170 Hà Nội 2021 DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT DANH MỤC HÌNH VẼ LỜI MỞ ĐẦU Chương 1.Giới thiệu Kali Linux………………………………………….6 1.1.Giới thiệu…………………………………………………………………… 1.2.Lịch phát triển…………………………………………………………… 1.3.Đặcđiểm………………………………………………………………………6 Chương Giới thiệu Sniffer .7 1.Giới thiệu Sniffer 2.2.Phương thức hoạt động Sniffer ……………… ………………………8 2.3 Mục đích sử dụng Sniffer 2.4 Các hình thức cơng Sniffer 10 Chương 3: Giới thiệu Spoofing .10 3.1 Giới thiệu Spoofing 10 3.2 Các kiểu công Spoofing 11 3.2.1 Giả mạo email 11 3.2.2 Giả mạo website .11 3.2.3 Giả mạo tin nhắn 12 3.2.4 Giả mạo IP 12 3.2.5 Tấn công người đứng giữa(Mitm) 12 3.3 Cách phát công Spoofing 13 3.3.1 Giả mạo Website .13 3.3.2 Giả mạo Email .13 3.4 Cách phòng chống 14 Chương 4: Công cụ Responder Sniffing Spoofing Kali Linux .15 4.1 responder 15 4.1.1 Giới thiệu .15 4.1.2 Chi tiết hướng dẫn 15 4.2 Kịch công 16 4.3 Cách ngăn chặn………………………………………………………… 38 4.4 So sánh…………………………………………………………………… 41 4.5 Nhận xét đánh giá……………………………………………………….41 Tài liệu tham khảo 43 DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT Từ viết tắt Thuật ngữ tiếng Việt/Giải thích ARP Thuật ngữ tiếng Anh/Giải thích Address Resolution Protocol RARP Reverse Address ResolutionProtocol Giao thức phân giải địa ngược DoS Denial of Service Tấn công từ chối dịch vụ MITM Man in the middle Người đứng TCP/ IP Transmission Control Protocol/ Internet Protocol DDoS Distributed Denial of Service Giao thức điều khiển truyền nhận/ Giao thức liên mạng Tấn công từ chối dịch vụ phân tán SIP Session Initiation Protocol Giao thức Khởi tạo phiên SSL/TLS Secure Socket Layer / Transport Layer Security Bộ giao thức bảo mật SSL / TLS Giao thức phân giản địa DANH MỤC HÌNH VẼ Hình 1: kịch công responder 17 Hình 2: responder nghe _ 19 Hình 3: responder cơng chủ động 23 Hình 4: responder công chủ động 24 Hình 5: responder chủ động _ 25 Hình 6:tấn công responder –crack mật 28 Hình :responder demo 29 Hình 8: responder cơng đa MultiRelay(đa rơle) _ 30 Hình 9: cơng responder đa rơle _ 31 Hình 10: cơng responder 32 Hình 11: kết cơng responder đa rơle 33 Hình 12: công responder qua WPAD proxy 34 Hình 13: cơng responder qua WPAD proxy 35 Hình 14: cơng responder qua WPAD proxy 36 Hình 15: công responder qua WPAD proxy 38 LỜI MỞ ĐẦU Ngày thấy công nghệ thông tin Internet thành phần thiếu đời sống ngày.Điều có nghĩa thứ phụ thuộc vào máy tính mạng.Chính nhiều ý đồ xấu nhắm vào hệ thống nhằm đánh cắp thông tin hay phá hoại hệ thống việc diễn thường xuyên thời đại nay.Do đó,để đảm bảo máy tính hoạt động ổn định, liên tục địi hỏi hệ thống phải có cơng cụ bảo mật cao,hệ thống cảnh báo kịp thời giải pháp dự phịng để khắc phục có cố.Trong đề tài em xin giới thiệu số giải pháp giúp kiểm tra mức độ an toàn lỗ hổng tồn hệ thống dựa kiến thức học kiến thức tìm hiểu Cụ thể công nghe giả mạo (Sniffing Spoofing) Tấn công Sniffing hay công Sniffer, bối cảnh an ninh mạng, hành vi trộm cắp chặn liệu cách bắt lưu lượng truy cập mạng sniffer(một ứng dụng nhằm mục đích bắt gói tin mạng) Khi liệu truyền qua mạng, gói liệu khơng mã hóa, liệu gói mạng đọc trình thám thính Sử dụng ứng dụng sniffer, kẻ cơng phân tích mạng lấy thơng tin để cuối khiến mạng bị sập bị hỏng đọc thông tin liên lạc xảy mạng Cũng bối cảnh an ninh mạng nay, bên cạnh cơng sniffing cịn có cơng spoofing Nếu công sniffing việc chặn bắt gói tin cơng spoofing cơng giả mạo, tình mà người chương trình làm sai lệch liệu để đạt lợi ích bất hợp pháp Chương Giới thiệu Kali linux 1.1 Giới thiệu Kali Linux phiên hệ điều hành Linux Offensive Security phát hành vào tháng năm 2013 Không giống hệ điều hành Linux khác ,Kali Linux thường dùng để thử nghiệm xâm nhập hệ thống mạng.Đó cách để đánh giá mức độ an tồn hệ thống máy tính mạng cách mô công mạng Kali Linux OS tập hợp phân loại gần tất công cụ thiết yếu mà chuyên gia đánh giá bảo mật cần sử dụng đến Nếu bạn chưa biết Kali tên gọi nữ thần người Hindu, với ngụ ý khả huỷ diệt nữ thần gói gọn hệ điều hành mang tên Kali Linux 1.2 Lịch sử phát triển Kali phát triển tảng hệ điều hành Debian, tiền thân Kali hệ điều hành BackTrack xuất năm 2006 khơng ngừng cải tiến để đạt vị trí định cộng đồng bảo mật Kali Linux phát hành thức vào ngày 13 tháng năm 2013 1.3 Đặc điểm Kali Linux cài đặt sẵn với 400 công cụ để thử nghiệm thâm nhập hệ thống Tính tương thích kiến trúc: Kali có khả tương thích với kiến trúc ARM.Chúng ta xây dựng phiên Kali Raspberry Pi Samsung Galaxy Note Hỗ trợ mạng không dây tốt hơn: -Hỗ trợ số lượng lớn phần cứng bên thiết bị mạng không dây hay USB Dongle.Một yêu cầu quan trọng chuyên gia bảo mật thực đánh giá mạng không dây Khả tùy biến cao: -Kali linh hoạt đề cập đến giao diện khả tùy biến hệ thống Dễ dàng nâng cấp phiên bản: -Mục đích nhà phát triển trì cung cấp cập nhật để Kali trở thành lựa chọn tốt cho tìm kiếm hệ điều hành Pentest, hệ điều hành dành cho công việc bảo mật chuyên nghiệp Chương Giới thiệu Sniffer Giới thiệu Sniffer Sniffing chương trình lắng nghe hệ thống mạng để truyền liệu Sniffing cho phép cá nhân nắm bắt liệu truyền qua mạng Kỹ thuật sử dụng chuyên gia mạng để chuẩn đoán cố mạng users có ý định xấu để thu thập liệu khơng mã hóa, password username Nếu thơng tin ghi lại q trình người dùng truy cập vào hệ thống mạng Khởi đầu Sniffer tên sản phầm Network Associates có tên Sniffier Analyzer Những liệu mà Sniffing chụp liệu dạng nhị phân (Binary) Bởi để nghe hiểu liệu dạng nhị phân này, chương trình Sniffing phải có tính biết phân tích giao thức (Protocol Analysis), tính giải mã (Decode) liệu dạng nhị phân sang dạng khác để hiểu chúng Đối tượng Sniffing là: -Password (từ Email, Web, SMB, FTP, SQL Telnet) -Các thơng tin thẻ tín dụng -Văn Email -Các tập tin di động mạng (tập tin Email, FTP SMB) Tùy theo cấu trúc mạng (hub hay chuyển mạch) mà nghe trộm tất phần lưu lượng liệu qua lại từ máy mạng Đối với mục đích giám sát mạng (network monitoring), theo dõi tất gói tin mạng LAN cách sử dụng thiết bị chuyển mạch với cổng theo dõi (lặp lại tất gói tin qua cổng thiết bị chuyển mạch) 2.2 Phương thức hoạt động Sniffing Công nghệ Ethernet xây dựng nguyên lý chia sẻ Theo khái niệm tất máy tính hệ thống mạng cục chia sẻ đường truyền hệ thống mạng Hiểu cách khác tất máy tính có khả nhìn thấy lưu lượng liệu truyền hệ thống mạng Như phần cứng Ethernet xây dựng với tính lọc bỏ qua tất liệu không thuộc đường truyền chung với Nó thực điều nguyên lý bỏ qua tất Frame có địa MAC khơng hợp lệ Khi Sniffing tắt tính lọc sử dụng chế độ hỗn tạp (Promiscuous Mode) Nó nhìn thấy tất lưu lượng thông tin từ máy B đến máy C, hay lưu lượng thông tin máy hệ thống mạng Miễn chúng nằm hệ thống mạng Trong môi trường Hub: Một khung gói tin chuyển từ máy A sang máy B đồng thời gửi đến tất máy khác kết nối Hub theo chế loan tin (broadcast) Các máy khác nhận gói tin tiến hành so sánh yêu cầu địa MAC frame gói tin với địa đích Nếu trùng lập nhận, cịn khơng cho qua Do gói tin từ A gửi đến B nên so sánh có B giống địa đích đến nên có B thực tiếp nhận Dựa vào nguyên tắc đó, máy cài đặt chương trình nghe trộm "tự nhận" gói tin lưu chuyển mạng qua Hub, kể đích đến gói tin có đích đến khơng phải nó, sniffer chuyển card mạng máy sang chế độ hỗn tạp (promiscuous mode) Promiscuous mode chế độ đặc biệt Khi card mạng đặt chế độ này, nhận tất gói tin mà khơng bị ràng buộc kiểm tra địa đích đến Trong mơi trường Switch: Khác với Hub, Switch chuyển tải gói tin đến địa cổng xác định bảng chuyển mạch nên nghe trộm kiểu "tự nhận" Hub khơng thực Tuy nhiên, kẻ cơng dùng chế khác để công môi trường Switch ARP spoofing, MAC spoofing, MAC duplicating, DNS spoofing, v.v 1.Active(Chủ động): Chủ yếu hoạt động mơi trường có thiết bị chuyển mạch gói, phổ biến dạng mạch sử dụng Switch Kẻ công thực sniffing dựa chế ARP RARP (2 chế chuyển đổi từ IP sang MAC từ MAC sang IP) cách phát gói tin đầu độc, mà cụ thể phát gói thơng báo cho máy gửi gói tin "tơi người nhận" mặc khơng phải "người nhận" Ngồi ra, sniffer cịn dùng phương pháp giả địa MAC, thay đổi MAC thân thành MAC máy hợp lệ qua chức lọc MAC thiết bị, qua ép dịng liệu qua card mạng Tuy nhiên, gói tin phải gửi nên chiếm băng thông Nếu thực sniffing q nhiều máy mạng lượng gói tin gửi lớn (do liên tục gửi gói tin giả mạo) dẫn đến nghẽn mạng Passive (Thụ động) : Chủ yếu hoạt động mơi trường khơng có thiết bị chuyển mạch gói, phổ biến dạng mạng sử dụng Hub Do khơng có thiết bị chuyển mạch gói nên gói tin broadcast mạng Chính vậy, việc thực sniffing đơn giản Kẻ cơng khơng cần gửi gói tin giả mạo nào, cần bắt gói tin từ Port (dù host nhận gói tin khơng phải nơi đến gói tin đó) Hình thức sniffing khó phát máy tự broadcast gói tin Ngày hình thức thường sử dụng Hub khơng cịn ưa chuộng nhiều, thay vào Switch 2.3 Mục đích sử dụng Sniffer Sniffer thường ѕử dụng ᴠào mục đích khác biệt Nó cơng cụ giúp cho quản trị mạng theo dõi ᴠà bảo trì hệ thống mạng Cũng theo hướng tiêu cực chương trình cài ᴠài hệ thống mạng máу tính ᴠới mục đích đánh hơi, nghe thơng tin đoạn mạng nàу…Dưới đâу ѕố tính Sniffer ѕử dụng theo hướng tích cực ᴠà tiêu cực : • • • • • Tự động chụp tên người ѕử dụng (Uѕername) ᴠà mật khơng mã hố (Clear Teхt Paѕѕᴡord) Tính nàу thường Hacker ѕử dụng để công hệ thống bạn Chuуển đổi liệu đường truуền để quản trị ᴠiên đọc ᴠà hiểu ý nghĩa liệu Bằng cách nhìn ᴠào lưu lượng hệ thống cho phép quản trị ᴠiên phân tích lỗi mắc phải hệ thống lưu lượng mạng Ví dụ : Tại ѕao gói tin từ máу A gửi ѕang máу B… etc Một ѕố Sniffer tân tiến cịn có thêm tính tự động phát ᴠà cảnh báo công thực ᴠào hệ thống mạng mà hoạt động (Intruѕion Detecte Serᴠice) Ghi lại thông tin ᴠề gói liệu, phiên truуền…Tương tự hộp đen máу baу, giúp quản trị ᴠiên хem lại thơng tin ᴠề gói liệu, phiên truуền ѕau ѕự cố…Phục ᴠụ cho công ᴠiệc phân tích, khắc phục ѕự cố hệ thống mạng 2.4 Các hình thức cơng Sniffer Sniffing hình thức nghe thơng tin mạng nhằm khai thác hiệu tài nguyên mạng, theo dõi thông tin bất hợp pháp Tuy nhiên, sau hacker dùng sniffing để lấy thông tin nhạy cảm, coi hình thức hack Có nhiều phương pháp để thực sniffing, dù công chủ động hay bị động Có phương pháp cơng sniffing: • • • • • • Lắng nghe thông tin qua Hub Tấn công MAC Tấn công DHCP Chặn bắt thông tin dùng ARP- Poisoning Chặn bắt thông tin dùng DNS- Spoofing VLAN Hopping -Các giao thức sử dụng Sniffing: • • • Telnet Rlogin: ghi lại thông tin password, usernames HTTP (HyperText Transfer Protocol): Các liệu gửi khơng mã hóa SMTP, NNTP, POP, FTP, IMAP: Password liệu gửi khơng mã hóa Chương 3: Giới thiệu Spoofing 3.1 Giới thiệu Spoofing Spoofing hành động ngụy trang thông tin liên lạc một nguồn tin cậy, xác định nguồn khơng xác định Spoofing áp dụng cho email, gọi điện thoại trang web mang tính kỹ thuật hơn, chẳng hạn máy tính giả mạo địa IP, Giao thức phân giải địa (ARP) máy chủ Hệ thống tên miền (DNS) Việc giả mạo sử dụng để có quyền truy cập vào thơng tin cá nhân mục tiêu, phát tán phần mềm độc hại thông qua liên kết tệp đính kèm bị nhiễm, bỏ qua kiểm soát truy cập mạng phân phối lại lưu lượng để thực công từ chối dịch vụ Lừa đảo thường cách diễn viên xấu có quyền truy cập để thực công mạng lớn mối đe dọa dai dẳng tiên tiến cơng trung gian 10 Hình 7: responder demo Tấn cơng MultiRelay: Điều xảy mã băm theo dõi được? Vậy thì, chương trình phụ kèm MultiRelay Responder phát huy tác dụng Cơng cụ sử dụng để chuyển tiếp gói xác thực nạn nhân đến máy khác có quyền truy cập đặc quyền vào theo cách tương tự công Man-in-the-Middle Nếu nạn nhân bị giả mạo có 29 quyền truy cập quản trị vào máy nhắm mục tiêu, bị xâm phạm nghiêm trọng Các máy sử dụng SMB Signing để ngăn chặn công MITM kết nối SMB cách ký điện tử vào liệu truyền xác nhận tính xác thực Để chuẩn bị cho cơng này, chúng tơi cần phải vơ hiệu hóa máy chủ SMB HTTP sử dụng Reveronder không gặp số xung đột điều Multi-rơle (ví dụ hiển thị bên dưới) Đối với ví dụ sau đây, chúng tơi vơ hiệu hóa dịch vụ cụ thể tệp Responder.conf cách thay đổi dịch vụ có liên quan thành Tắt Off Cơng việc hồn thành Hình 8:responder công đa rơle 30 Một lần nữa, chạy responder với tùy chọn mặc định, thấy hai dịch vụ bị vơ hiệu hóa Hình 9: công responder đa rơle Chạy MultiRelay với mục tiêu máy Windows (chỉ máy SMB signing = false công được, mặc định máy nâng lên Domain controller SMB signing = true) 31 Hình 10: công responder 32 Lúc máy chủ cơng tiếp tục lắng nghe Nó đợi máy chủ DNS thực truy vấn sai nhận hàm băm NTLMv2 , sau chuyển tiếp thơng tin đăng nhập để truy cập vào máy nạn nhân Hình 11:kết cơng responder Tấn cơng qua WPAD proxy: 33 Hình 12:Tấn cơng responder WPAD proxy Khi nạn nhân truy vấn sai trình duyệt lên cửa sổ yêu cầu nhập username password Lúc kẻ công nhận thông tin đăng nhập dạng rõ 34 Hình 13: Tấn cơng responder qua WPAD proxy 35 Hình 14:Tấn cơng responder qua WPAD proxy 36 37 Hình 15: Tấn cơng responder qua WPAD proxy 4.3 Cách ngăn chặn 4.3.1.Vơ hiệu hóa LLMNR thơng qua group policy : Mở gpedit.msc theo dẫn Computer Configuration > Administrative Templates > Network > DNS Client > Turn off multicast name resolution and set to Enabled 38 4.3.2.Vơ hiệu hóa NBT-NS: Theo dẫn Network and Internet > Properties > IPv4 > Advanced > WINS “NetBIOS setting” chọn Disable NetBIOS over TCP/IP 39 Ngoài ra, nhiệm vụ thực thơng qua sửa đổi registry theo dẫn đến key sau thay đổi value thành 2: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parame ters\Interfaces\{$InterfaceID}\NetbiosOptions 40 4.4 So sánh Mặc dù Responder công cụ công Sniffing Spoofing dễ sử dụng hiệu để đạt thơng tin xác thực khơng công cụ phổ biến với Kali linux so với Wireshark -một cơng cụ phổ biến với Kali Nó phân tích giao thức mạng để thu thập liệu trực tiếp tất kết nối giao diện mạng có Bằng cách sử dụng Wireshark biết mạng bạn cấp độ vi mơ, bạn bảo vệ mạng trước nhiều loại cơng Hay Ettercap công cụ trung gian công mạng LAN công cụ cơng giả mạo Kali Nó có khả chặn lưu lượng truy cập phân đoạn mạng, nắm bắt mật thực hoạt động nghe trộm số giao thức phổ biến Nó hỗ trợ mổ sẻ hoạt động thụ động nhiều giao thức (ngay với Ciphered) Và bao gồm nhiều tính cho mạng lưới phân tích máy chủ 4.5 Nhận xét đánh giá 41 Responder cơng cụ mạnh mẽ để nhanh chóng đạt thơng tin xác thực chí truy cập hệ thống từ xa Nó chất độc LLMNR, NBT-NS & MDNS dễ sử dụng hiệu để chống lại mạng dễ bị công Trong vài năm gần đây, công cụ u thích hộp cơng cụ pentester Responder Responder hoạt động cách bắt chước số dịch vụ cung cấp chúng cho mạng Khi hệ thống Windows bị lừa việc giao tiếp với responder thông qua dịch vụ tên chia sẻ UNC khơng xác tìm kiếm mạng LAN, responder phản hồi yêu cầu, lấy băm tên người dùng mật ghi lại chúng Responder có khả nhắc người dùng thơng tin đăng nhập số dịch vụ mạng định yêu cầu, dẫn đến mật văn rõ ràng Nó thực công kiểu passthe-hash cung cấp shell từ xa 42 Tài liệu tham khảo Kali tool (online) Kali tool Retrieved from https://tools.kali.org Nguyễn Hợp Quang (2019, October 30) kipalog Retrieved December 12, 2021, from kipalog.com: https://kipalog.com/posts/Series-Sniffing -Phan-1 -Tong-Quan-Ve-Sniffing/ Ravi Sankar (2018, June 26) kalilinuxtutorials Retrieved December 12, 2021, from kalilinuxtutorials.com: https://kalilinuxtutorials.com/responder/ root (2016, July 1) securityzone Retrieved December 12, 2021, from securityzone.vn: https://securityzone.vn/ Spoofing (online) Spoofing Retrieved from https://www.malwarebytes.com/spoofing/ Webmaster (2013, November 16) sternsecurity Retrieved December 15, 2021, from sternsecurity.com: https://www.sternsecurity.com/blog/local-network-attacks-llmnr-and-nbt-ns-poisoning/ Wikipedia (online) Wikipedia Retrieved from https://en.wikipedia.org/wiki/Spoofing_attack/ Wikipedia (online) Wikipedia Retrieved from https://en.wikipedia.org/wiki/Sniffing_attack/ 43 ... Email -Các tập tin di động mạng (tập tin Email, FTP SMB) Tùy theo cấu trúc mạng (hub hay chuyển mạch) mà nghe trộm tất phần lưu lượng liệu qua lại từ máy mạng Đối với mục đích giám sát mạng (network... email liên kết đến trang web Cũng đáng lưu ý trang web giả mạo không giống trang web bị công Trong trường hợp hack trang web , trang web thực bị xâm phạm tiếp quản tội phạm mạng khơng có giả mạo... Galaxy Note Hỗ trợ mạng không dây tốt hơn: -Hỗ trợ số lượng lớn phần cứng bên thiết bị mạng không dây hay USB Dongle.Một yêu cầu quan trọng chuyên gia bảo mật thực đánh giá mạng không dây Khả