Lab security+baiso2 sniffer

02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: training@athenavn.com – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập security+ tại trung tâm An Ninh Mạng ATHENA 4
BÀI 2: CÁC PHƯƠNG PHÁP SNIFFER
A. TOÅNG QUAN SNIFFER
Sniffer ñöôïc hieåu ñôn giaûn nhö laø moät chöông trình coá gaéng nghe ngoùng
caùc löu löôïng thoâng tin treân moät heä thoáng maïng
Sniffer ñöôïc söû duïng nhö moät coâng cuï ñeå caùc nhaø quaûn trò maïng theo doõi
vaø baûo trì heä thoáng maïng. Veà maët tieâu cöïc, sniffer ñöôïc söû duïng nhö moät coâng
cuï vôùi muïc ñích nghe leùn caùc thoâng tin treân maïng ñeå laáy caùc thoâng tin quan
troïng
Sniffer döïa vaøo phöông thöùc taán coâng ARP ñeå baét goùi caùc thoâng tin ñöôïc
truyeàn qua maïng.
Tuy nhieân nhöõng giao dòch giöõa caùc heä thoáng maïng maùy tính thöôøng laø nhöõng
döõ lieäu ôû daïng nhò phaân (binary). Bôûi vaäy ñeå hieåu ñöôïc nhöõng döõ lieäu ôû daïng
nhò phaân naøy, caùc chöông trình Sniffer naøy phaûi coù tính naêng phaân tích caùc nghi
thöùc (Protocol Analysis), cuõng nhö tính naêng giaûi maõ (Decode) caùc döõ lieäu ôû
daïng nhò phaân ñeå hieåu ñöôïc chuùng
Moät soá caùc öùng duïng cuûa Sniffer ñöôïc söû duïng nhö : dsniff, snort, cain,
ettercap, sniffer pro…
B. HOAÏT ÑOÄNG CUÛA SNIFFER
Sniffer hoaït ñoäng chuû yeáu döïa treân daïng taán coâng ARP.
TAÁN COÂNG ARP POSIONING
1. Giôùi thieäu
Ñaây laø moät daïng taán coâng raát nguy hieåm, goïi laø Man In The Middle.
Trong tröôøng hôïp naøy gioáng nhö bò ñaët maùy nghe leùn, phieân laøm vieäc giöõa maùy

gôûi vaø maùy nhaän vaãn dieãn ra bình thöôøng neân ngöôøi söû duïng khoâng heà hay bieát
mình bò taán coâng
2. Sô Löôïc Quaù trình hoaït ñoäng
Treân cuøng moät maïng, Host A vaø Host B muoán truyeàn tin cho nhau, caùc
Packet seõ ñöôïc ñöa xuoáng taàng Datalink ñeå ñoùng goùi, caùc Host phaûi ñoùng goùi
MAC nguoàn, MAC ñích vaøo Frame. Nhö vaäy tröôùc khi quaù trình truyeàn Döõ lieäu,
caùc Host phaûi hoûi ñòa chæ MAC cuûa nhau.
Neáu nhö Host A khôûi ñoäng quaù trình hoûi MAC tröôùc, noù seõ gôûi broadcast
goùi tin ARP request cho taát caû caùc Host ñeå hoûi MAC Host B, luùc ñoù Host B ñaõ
coù MAC cuûa Host A, sau ñoù Host B chæ traû lôøi cho Host A MAC cuûa Host
B(ARP reply ).
Coù 1 Host C lieân tuïc gôûi ARP reply cho Host A vaø Host B ñòa chæ MAC
cuûa Host C, nhöng laïi ñaêt ñòa chæ IP laø Host A vaø Host B. Luùc naøy Host A cöù
nghó maùy B coù MAC laø C. Nhö vaäy caùc goùi tin maø Host A gôûi cho Host B ñeàu bò
ñöa ñeán Host C, goùi tin Host B traû lôøi cho Host A cuõng ñöa ñeán Host C. Neáu
Host C baät chöùc naêng forwarding thì coi nhö Host A vaø Host B khoâng heà hay
bieát raèng mình bò taán coâng ARP
.
Ví duï :
Ta coù moâ hình goàm caùc host
Attacker : laø maùy hacker duøng ñeå taán coâng ARP
Host A Host B
Host C

IP : 10.0.0.11
MAC : 0000.0000.1011
Victim : laø maùy bò taán coâng
IP : 10.0.0.12
MAC : 0000.0000.1012
HostA
IP : 10.0.0.13
MAC : 0000.0000.1013
- Ñaàu tieân, HostA muoán gôûi döõ lieäu cho Victim, caàn phaûi bieát ñòa chæ MAC
cuûa Victim ñeå lieân laïc. HostA seõ gôûi broadcast ARP Request tôùi taát caû
caùc maùy trong cuøng maïng LAN ñeå hoûi xem IP 10.0.0.12 (IP cuûa Victim)
coù ñòa chæ MAC laø bao nhieâu.
- Attacker vaø Victim ñeàu nhaän ñöôïc goùi tin ARP Request, nhöng chæ coù
Victim gôûi traû lôøi goùi tin ARP Reply laïi cho HostA. ARP Reply chöùa
thoâng tin veà IP 10.0.0.12 vaø MAC 0000.0000.1012 cuûa Victim
- HostA nhaän ñöôïc goùi ARP Realy töø Victim, bieát ñöôïc ñòa chæ MAC cuûa
Victim laø 0000.0000.1012 seõ baét ñaàu thöïc hieän lieân laïc truyeàn döõ lieäu
ñeán Victim. Attacker khoâng theå xem noäi dung döõ lieäu ñöôïc truyeàn giöõa
HostA vaø Victim
Maùy Attacker muoán thöïc hieän ARP attack ñoái vôùi maùy Victim. Attacker
muoán moïi goùi tin HostA gôûi ñeán maùy Victim ñeàu coù theå chuïp laïi ñöôïc ñeå xem
troäm
- Attacker thöïc hieän gôûi lieân tuïc ARP Reply chöùa thoâng tin veà IP cuûa
Victim 10.0.0.12, coøn ñòa chæ MAC laø cuûa Attacker 0000.0000.1011.
- HostA nhaän ñöôïc ARP Reply nghó raèng IP Victim 10.0.0.12 coù ñòa chæ
MAC laø 0000.0000.1011. HostA löu thoâng tin naøy vaøo baûng ARP Cache
vaø thöïc hieän keát noái.
- Luùc naøy moïi thoâng tin, döõ lieäu HostA gôûi tôùi maùy coù IP 10.0.0.12 (laø maùy
Victim) seõ gôûi qua ñòa chæ MAC 0000.0000.1011 cuûa maùy Attacker.

CAIN (Sử dụng phần mềm CAIN)
Phần mềm Cain là phần mềm sniffer khá hiệu quả hiện nay. Các tinh năng
của cain có thể cho phép sniffer được các thông tin “bí mật ” trong hệ thống mạng
LAN như passowrd e-mail, password dịch vụ ftp,telnet,….
1.Yeâu caàu veà phaàn cöùng :
- oå cöùng caàn troáng 10 Mb
- heä ñieàu haønh Win 2000/2003/XP
- caàn phaûi coù Winpcap
2. Caøi ñaët:
Choïn Next.

Choïn Next.

Choïn Finish.

3. Caáu hình
Cain & Abel caàn caáu hình moät vaøi thoâng soá , moïïi thöù coù theå ñöôïc ñieàu chænh
thoâng qua baûng Configuration dialog .
Sniffer tab:

-Taïi ñaây chuùng ta choïn card maïng söû duïng ñeå tieán haønh sniffer vaø tính naêng
APR . Check vaøo oâ Option ñeå kích hoaït hay khoâng kích hoaït tính naêng.
-Sniffer töông thích vôùi Winpcap version 2.3 hay cao hôn . Version naøy hoã trôï
card maïng raát nhieàu .
APR tab :

-Ñaây laø nôi baïn coù theå config ARP . Maëc ñònh Cain ngaên caùch 1 chuoãi göûi
goùi ARP töø naïn nhaân trong voøng 30 giaây . Ñaây thöïc söï laø ñieàu caàn thieát bôûi vì
vieäc xaâm nhaäp vaøo thieát bò coù theå seõ gaây ra söï khoâng löu thoâng tính hieäu . Töø
dialog naøy baïn coù theå xaùc ñònh thôøi gian giöõa moãi laàn thöïc thi ARP, xaùc ñònh
thoâng soá ít seõ taïo cho ARP löu thoâng nhieàu ,ngöôïc laïi seõ khoù khaên hôn trong
vieäc xaâm nhaäp .
-Taïi muïc naøy, ta caàn chuù yù tôùi phaàn Spoofing Options:
+Muïc ñaàu tieân cho pheùp ta söû duïng ñòa chæ MAC vaø IP thöïc cuûa maùy maø mình
dang söû duïng.
+Muïc thöù hai cho pheùp söû duïng moät IP vaø ñòa chæ MAC giaû maïo.
(Löu yù ñòa chæ ta choïn phaûi khoâng truøng vôùi IP cuûa maùy khaùc)
Khi click vaøo tab filters and ports, ta seõ thaáy moät soá thoâng tin veà giao thöùc vaø
caùc con soá port töông öùng vôùi giao thöùc ñoù.

Fliter and Ports Tab :
-Taïi ñaây baïn coù theå choïn kích hoaït hay khoâng kích hoaït caùc port öùng duïng
TCP/UDP .
HTTP fields tab :

- Taïi ñaây coù 1 list danh saùch username vaø password söû duïng ñöôïc HTTP sniffer
loïc laïi.
- Taïi tab naøy cho pheùp ta bieát döôïc chöông trình naøy seõ baét 1 soá thoâng tin veà
trang web nhö:
+ Muïc Username Fields: noù seõ laáy thoâng tin nhöõng gì lieân quan ñeán caùi teân
(user name, account, web name v.v..) .
+ Muïc Password Fields: lanh vöïc naøy seõ ñaõm nhieäm vai troø laáy thoâng tin veà
password (login password, user pass, webpass v.v…)
4. Caùc öùng duïng cuûa CAIN :
+ Baûo veä password manager :
Tröôùc heát noù ñöôïc söû duïng nhö 1 private key baûo maät moät soá vaán ñeà cho
user . Haàu heát thoâng tin trong Protected Storage ñöôïc maõ hoùa.Söû duïng nhö 1
key nhaän ñöôïc töø vieäc logon password cuûa user.Cho pheùp ñieàu hoøa vieâc truy
caäp thoâng tin ñeå owner coù theå an toaøn truy xuaát .
Moät vaøi öùng duïng cuûa Windows coù neùt ñaëc tröng neân söû duïng dòch vuï naøy :
Internet Explorer , Oulook , Oulook Express

+ Giaûi maõ password manager :
Noù cho pheùp baïn ñöa user names vaø passwords cho 1 taøi nguyeân maïng khaùc
vaø 1 öùng duïng ,sau ñoù heä thoáng töï ñoäng cung caáp thoâng tin veà nhöõng söï
vieáng thaêm thoâng tin maø baïn khoâng can thieäp.
+ LSA secrets dumper:
 LSA secrets thì söû duïng thoâng tin password cho accounts duøng ñeå start moät
dòch vuï khaùc döõ lieäu cuïc boä. Dial Up vaø moät soá öùng duïng khaùc xaùc ñònh
password naèm ôû ñaây .
+ Giaûi maõ password Dial-Up:

+APR:
APR laø neùt ñaëc tröng chính cuûa chöông trình .Noù cho pheùp laéng nghe veà caùc
maïng chuyeån maïch vaø söï taán coâng löu thoâng IP giöõa caùc host . “APR poinsion
routing” thöïc hieän : taán coâng vaø ñònh tuyeán chính xaùc ñòa chæ ñích
APR taán coâng cô baûn thoâng qua thao taùc cuûa host ARP.Treân 1 ñòa chæ IP hay
Ethernet khi maø 2 host muoán truyeàn tin laãn nhau thì phaûi bieát ñòa chæ MAC
addresses cuûa nhau. Host goác thaáy baûng ARP neáu maø ôû ñaây coù 1 MAC
addresses töông öùng vôùi ñòa chæ IP addresses cuûa noù. Neáu khoâng, noù laø ñòa chæ
broadcasts ,moät lôøi yeâu caàu ARP hoûi ñòa chæ MAC cuûa ñòa chæ ñích. Bôûi vì goùi
thoâng tin naøy ñöôïc göûi trong mieàn broadcasts, noù seõ ñi ñeán nhöõng caùi host
cuøng subnet , tuy nhieân host vôùi IP address treân lyù thuyeát khi nhaän ñöôïc yeâu
caàu seõ traû lôøi laïi ñòa chæ MAC goác cuûa noù. Traùi laïi neáu ARP-IP tieáp caän ñòa chæ
ñích cuûa host thì noù saün saøng ñöa ra soure host treân ARP cache. Ñieàu naøy seõ
ñöôïc duøng ñeå phaùt sinh löu thoâng ARP
Config :
Caàn chænh 1 vaøi thoâng soá, ñieàu naøy coù theå thöïc hieän ñöôïc baèng vieäc chæ roõ vieäc
baét chöôùc MAC vaø IP addresses baèng vieäc söû duïng ARP poision packets .
Ñieàu naøy thaät söï khoù khaên khi khoâng ñeå laïi veát tích cuûa vieäc taán coâng bôûi vì
ngöôøi taán coâng thöïc teá khoâng bao giôø göûi ñòa chæ qua laïi treân maïng.Treân maïng
ngöôøi taán coâng luùc naøo cuõng leùn luùc ôû giöõa ñeå quan saùt

Hình ôû treân laø ta muoán taán coâng ip töø 192.168.0.1  192.168.0.10 .Coâng vieäc
tieán haønh theo cô cheá Ngöôøi ôû giöõa , chöông trình seõ thöïc hieän 1 söï taán coâng
ARP poision , CAIN coù theå phaùt trieån söï taán coâng boä nhôù Cuûa nhieàu host trong
khoaûng thôøi gian nhö nhau, baïn caàn choïn 1 ñòa chæ ôû oâ beân traùi

+ Service manager : ta coù theå start/stop ,pause/continued hay remove baát cöù 1
dòch vuï naøo coù treân cöûa soå giao dieän
+ Sniffer :

ARP-DNS :
Neùt ñaëc tröng ôû ñaây laø cho pheùp DNS tieán haønh giaû maïo thaønh 1 DNS-reply ñeå
coù theå taán coâng .
ARP-DNS deã daøng taïo ra 1 ip address treân DNS-reply .Sniffer deã daøng ruùt ra
ñöôïc teân yeâu caàu töø goùi döõ lieäu keát hôïp vôùi vieäc thaáy ñöôïc ñòa chæ treân baûng
danh saùch.ÔÛ ñaây goùi döõ lieäu seõ ñöôïc chænh laïi IP address ñeå sau ñoù re-route ñi
.Luùc naøy client seõ bò ñaùnh löøa ñeå ta deã daøng bieát ñöôïc ñòa chæ ñích .
ARP-HTTPS :
ARP-HTTPS cho pheùp vieäc baét goùi vaø giaûi maõ trong söï löu thoâng cuûa HTTPS
giöõa caùc host . Ñaây laø coâng vieäc keát hôïp vôùi coâng cuï Certificate Collector . Khi
maø naïn nhaân Start HTTPS trình duyeät cuûa anh ta seõ hieän leân po-pup baùo ñoäng .

+ Certificates Collector :

Lab security+baiso2 sniffer

Recommended

Recommended

More Related Content

Similar to Lab security+baiso2 sniffer

Similar to Lab security+baiso2 sniffer (18)

More from xeroxk

More from xeroxk (20)

Lab security+baiso2 sniffer