Tài liệu CEH Lab book tiếng Việt phần 2 docx

HTTP fields tab:... Ngoài ra Ettercap còn có 2 plug-in r t quan tr ng là arpcop và leech... Winnuke: - DoS attack lo i này ch có th áp d ng cho các máy tính đang ch y Windows9x.

Giáo trình bài t p C|EH Tài li u dành cho h c viên

l ng thông tin trên m t h th ng m ng

Sniffer đ c s d ng nh m t công c đ các nhà qu n tr m ng theo dõi và b o trì h

th ng m ng V m t tiêu c c, sniffer đ c s d ng nh m t công c v i m c đích nghe lén các thông tin trên m ng đ l y các thông tin quan tr ng

Sniffer d a vào ph ng th c t n công ARP đ b t gói các thông tin đ c truy n qua

m ng

Tuy nhiên nh ng giao d ch gi a các h th ng m ng máy tính th ng là nh ng d li u d ng

nh phân (binary) B i v y đ hi u đ c nh ng d li u d ng nh phân này, các ch ng trình Sniffer này ph i có tính n ng phân tích các nghi th c (Protocol Analysis), c ng nh tính n ng

2 S L c Quá trình ho t đ ng

- u tiên, HostA mu n g i d li u cho Victim, c n ph i bi t đ a ch MAC c a Victim

đ liên l c HostA s g i broadcast ARP Request t i t t c các máy trong cùng m ng LAN đ h i xem IP 10.0.0.12 (IP c a Victim) có đ a ch MAC là bao nhiêu

- Attacker và Victim đ u nh n đ c gói tin ARP Request, nh ng ch có Victim g i tr

l i gói tin ARP Reply l i cho HostA ARP Reply ch a thông tin v IP 10.0.0.12 và MAC 0000.0000.1012 c a Victim

- HostA nh n đ c gói ARP Realy t Victim, bi t đ c đ a ch MAC c a Victim là 0000.0000.1012 s b t đ u th c hi n liên l c truy n d li u đ n Victim Attacker không th xem n i dung d li u đ c truy n gi a HostA và Victim

Máy Attacker mu n th c hi n ARP attack đ i v i máy Victim Attacker mu n m i gói tin HostA g i đ n máy Victim đ u có th ch p l i đ c đ xem tr m

- Attacker th c hi n g i liên t c ARP Reply ch a thông tin v IP c a Victim 10.0.0.12, còn đ a ch MAC là c a Attacker 0000.0000.1011

- HostA nh n đ c ARP Reply ngh r ng IP Victim 10.0.0.12 có đ a ch MAC là 0000.0000.1011 HostA l u thông tin này vào b ng ARP Cache và th c hi n k t n i

- Lúc này m i thông tin, d li u HostA g i t i máy có IP 10.0.0.12 (là máy Victim) s

Host C

Giáo trình bài t p C|EH Tài li u dành cho h c viên

Ch n Next

Ch n Finish

Giáo trình bài t p C|EH Tài li u dành cho h c viên

Giáo trình bài t p C|EH Tài li u dành cho h c viên

3 C u hình

Cain & Abel c n c u hình m t vài thông s , m ïi th có th đ c đi u ch nh thông qua b ng Configuration dialog

Sniffer tab:

APR tab:

- ây là n i b n có th config ARP M c đ nh Cain ng n cách 1 chu i g i gói ARP t n n nhân trong vòng 30 giây ây th c s là đi u c n thi t b i vì vi c xâm nh p vào thi t b có

th s gây ra s không l u thông tính hi u T dialog này b n có th xác đ nh th i gian gi a

m i l n th c thi ARP, xác đ nh thông s ít s t o cho ARP l u thông nhi u,ng c l i s khó

kh n h n trong vi c xâm nh p

-T i m c này, ta c n chú ý t i ph n Spoofing Options:

+M c đ u tiên cho phép ta s d ng đ a ch MAC và IP th c c a máy mà mình dang s d ng +M c th hai cho phép s d ng m t IP và đ a ch MAC gi m o

(L u ý đ a ch ta ch n ph i không trùng v i IP c a máy khác)

Khi click vào tab filters and ports, ta s th y m t s thông tin v giao th c và các con s port

t ng ng v i giao th c đó

Giáo trình bài t p C|EH Tài li u dành cho h c viên

Fliter and Ports Tab:

-T i đây b n có th ch n kích ho t hay không kích ho t các port ng d ng TCP/UDP

HTTP fields tab:

- T i đây có 1 list danh sách username và password s d ng đ c HTTP sniffer l c l i

- T i tab này cho phép ta bi t d c ch ng trình này s b t 1 s thông tin v trang web nh : + M c Username Fields: nó s l y thông tin nh ng gì liên quan đ n cái tên (user name, account, web name v.v )

+ M c Password Fields: lanh v c này s đãm nhi m vai trò l y thông tin v password (login password, user pass, webpass v.v…)

4 Các ng d ng c a CAIN:

+ B o v password manager:

− Tr c h t nó đ c s d ng nh 1 private key b o m t m t s v n đ cho user H u h t thông tin trong Protected Storage đ c mã hóa.S d ng nh 1 key nh n đ c t vi c logon password c a user.Cho phép đi u hòa viêc truy c p thông tin đ owner có th an toàn truy xu t

− M t vài ng d ng c a Windows có nét đ c tr ng nên s d ng d ch v này: Internet Explorer, Oulook, Oulook Express

+ Gi i mã password manager:

− Nó cho phép b n đ a user names và passwords cho 1 tài nguyên m ng khác và 1 ng

d ng,sau đó h th ng t đ ng cung c p thông tin v nh ng s vi ng th m thông tin mà

b n không can thi p

+ LSA secrets dumper:

− LSA secrets thì s d ng thông tin password cho accounts dùng đ start m t d ch v khác

d li u c c b Dial Up và m t s ng d ng khác xác đ nh password n m đây

+ Gi i mã password Dial-Up:

Giáo trình bài t p C|EH Tài li u dành cho h c viên

+APR:

− APR là nét đ c tr ng chính c a ch ng trình Nó cho phép l ng nghe v các m ng chuy n

m ch và s t n công l u thông IP gi a các host “APR poinsion routing” th c hi n: t n công và đ nh tuy n chính xác đ a ch đích

− APR t n công c b n thông qua thao tác c a host ARP.Trên 1 đ a ch IP hay Ethernet khi

mà 2 host mu n truy n tin l n nhau thì ph i bi t đ a ch MAC addresses c a nhau Host g c

th y b ng ARP n u mà đây có 1 MAC addresses t ng ng v i đ a ch IP addresses c a

nó N u không, nó là đ a ch broadcasts,m t l i yêu c u ARP h i đ a ch MAC c a đ a ch đích B i vì gói thông tin này đ c g i trong mi n broadcasts, nó s đi đ n nh ng cái host cùng subnet, tuy nhiên host v i IP address trên lý thuy t khi nh n đ c yêu c u s tr l i l i

đ a ch MAC g c c a nó Trái l i n u ARP-IP ti p c n đ a ch đích c a host thì nó s n sàng

đ a ra soure host trên ARP cache i u này s đ c dùng đ phát sinh l u thông ARP

− Config:

− C n ch nh 1 vài thông s , đi u này có th th c hi n đ c b ng vi c ch rõ vi c b t ch c MAC và IP addresses b ng vi c s d ng ARP poision packets i u này th t s khó kh n khi không đ l i v t tích c a vi c t n công b i vì ng i t n công th c t không bao gi g i

đ a ch qua l i trên m ng.Trên m ng ng i t n công lúc nào c ng lén lúc gi a đ quan sát

Hình trên là ta mu n t n công ip t 192.168.0.1 ( 192.168.0.10 Công vi c ti n hành theo c

ch Ng i gi a, ch ng trình s th c hi n 1 s t n công ARP poision, CAIN có th phát tri n s t n công b nh C a nhi u host trong kho ng th i gian nh nhau, b n c n ch n 1 đ a

ch ô bên trái

+ Service manager: ta có th start/stop,pause/continued hay remove b t c 1 d ch v nào có trên c a s giao di n

Giáo trình bài t p C|EH Tài li u dành cho h c viên

+ Sniffer:

ARP-DNS:

Nét đ c tr ng đây là cho phép DNS ti n hành gi m o thành 1 DNS-reply đ có th t n công

ARP-HTTPS cho phép vi c b t gói và gi i mã trong s l u thông c a HTTPS gi a các host

ây là công vi c k t h p v i công c Certificate Collector Khi mà n n nhân Start HTTPS trình duy t c a anh ta s hi n lên po-pup báo đ ng

Giáo trình bài t p C|EH Tài li u dành cho h c viên

+ Certificates Collector:

Giáo trình bài t p C|EH Tài li u dành cho h c viên

ETTERCAP

1 Gi i Thi u

Ettercap là ch ng trình phân tích các gói tin g i qua m ng, vì th Ettercap c ng là m t ph n

m m hi u nghi m cho phép ng i s d ng “đánh h i” các d li u trên m ng LAN, k c

nh ng thông tin đã đ c mã hóa Ettercap có th gi danh đ a ch MAC c a card m ng b t n công, thay vì gói tin đ c truy n đ n máy tính c n đ n thì nó l i đ c truy n đ n máy tính có cài ettercap r i sau đó m i truy n đ n máy tính đích

2 Install trên Linux

Tr c khi Install, chúng ta c n chu n b 3 gói cài sau:

+ ettercap-NG-0.7.1.tar – có th download t website

Giáo trình bài t p C|EH Tài li u dành cho h c viên

- Tr c khi ti n hành c u hình, ta ki m tra option Promisc mode có d c check ch a, n u

ch a thì ch n check

- Ch n card m ng s d ng

- kh i đ ng quá trình l ng nghe, ch n menu start, start sniffing

Giáo trình bài t p C|EH Tài li u dành cho h c viên

T i dòng User Messages se xu t hi n thông báo cho bi t d ch v đang start lên

- Trong menu Mitm, ch n Arp poisoning…

Giáo trình bài t p C|EH Tài li u dành cho h c viên

- xem các host đã đ c quét, ch n Connections, trong menu View

− b t gói, ch n host nào đang ch đ active, s hi n ra b n các gói b t đ c, các gói này s hi n th d i d ng mã hóa

Giáo trình bài t p C|EH Tài li u dành cho h c viên

- Ch n Log all packets and infos… trong menu Logging đ save nh ng file logs ch a các gói b t đ c l i

- có th đ c đ c các gói d i d ng mã hóa đó, trong c a s console, gõ l nh

# etterlog –p –k –i –ascii logfile.eci | less

4 Tính N ng C a Ettercap

Ettercap cung c p cho ta m t s plug-in, b ng cách ch n nh ng plug-in này, ta có th ng

d ng m t s tính n ng quan tr ng c a ettercap

Ngoài ra Ettercap còn có 2 plug-in r t quan tr ng là arpcop và leech

Giáo trình bài t p C|EH Tài li u dành cho h c viên

Nó cho phép ta có th dùng chính Ettercap đ b o v máy mình tr c các ch ng trình sniffer khác trên m ng

1 Arpcop: N u nghi ng ai đó đang “nghe lén” trên m ng, b n kh i đ ng ettercap và ch n plug-in này, đ i t ng s d ng ettercap hay dsniff ta v n có th dò tìm đ c, lúc đó m t c a

s m i s hi n th nh ng máy tính đang ch y các ch ng trình spoofing arp trên m ng

2 Leech: Khi xác nh n đ c đ i t ng t n công, ta có th ti n hành cô l p máy tính này

kh i m ng ngay l p t c b ng cách s d ng plug-in này Còn có th dùng ettercap đ phát hi n các máy b nhi m virus đang phát tán trên m ng r i cô l p chúng b ng leech, sau đó di t b ng các ch ng trình ch ng virus r t hi u qu

Bài 6:

T n Công t ch i d ch v DoS

I/ Gi i thi u:

DoS attack là gì? (Denial Of Services Attack )

DoS attack (d ch là t n công t ch i d ch v ) là ki u t n công r t l i h i, v i lo i t n công này, b n ch c n m t máy tính k t n i Internet là đã có th th c hi n vi c t n công đ c máy tính c a đ I ph ng th c ch t c a DoS attack là hacker s chi m d ng m t l ng l n tài nguyên trên server (tài nguyên đó có th là b ng thông, b nh , cpu, đ a c ng, ) làm cho server không th nào đáp ng các yêu c u t các máy c a ngu i khác (máy c a nh ng ng i dùng bình th ng ) và server có th nhanh chóng b ng ng ho t đ ng, crash ho c reboot

Các lo i DoS attack hi n đang đ c bi t đ n và s d ng:

a.) Winnuke:

- DoS attack lo i này ch có th áp d ng cho các máy tính đang ch y Windows9x Hacker s

g i các gói tin v i d li u “Out of Band” đ n c ng 139 c a máy tính đích (C ng 139 chính

là c ng NetBIOS, c ng này ch ch p nh n các gói tin có c Out of Band đ c b t) Khi máy tính c a victim nh n đ c gói tin này, m t màn hình xanh báo l i s đ c hi n th lên v i

n n nhân do ch ng trình c a Windows nh n đ c các gói tin này nh ng nó l i không bi t

ph n ng v i các d li u Out Of Band nh th nào d n đ n h th ng s b crash

- Nh ta đã bi t, t t c các d li u chuy n đi trên m ng t h th ng ngu n đ n h th ng đích

đ u ph i tr i qua 2 quá trình: d li u s đ c chia ra thành các m nh nh h th ng ngu n,

m i m nh đ u ph i có m t giá tr offset nh t đ nh đ xác đ nh v trí c a m nh đó trong gói d

li u đ c chuy n đi Khi các m nh này đ n h th ng đích, h th ng đích s d a vào giá tr offset đ s p x p các m nh l i v i nhau theo th t đúng nh ban đ u L i d ng s h đó, ta

ch c n g i đ n h th ng đích m t lo t gói packets v i giá tr offset ch ng chéo lên nhau H

th ng đích s không th nào s p x p l i các packets này, nó không đi u khi n đ c và có th

b crash, reboot ho c ng ng ho t đ ng n u s l ng gói packets v i giá tr offset ch ng chéo

Giáo trình bài t p C|EH Tài li u dành cho h c viên

ch đ i này vào b nh , gây lãng phí m t l ng đáng k b nh trên máy ch mà đúng ra là

ph i dùng vào vi c khác thay cho ph i ch đ i thông tin ph n h i không có th c này N u ta

g i cùng m t lúc nhi u gói tin có đ a ch IP gi nh v y thì h th ng s b quá t i d n đ n b crash ho c boot máy tính == > ném đá d u tay

e ) Land Attack:

- _ Land Attack c ng g n gi ng nh SYN Attack, nh ng thay vì dùng các đ a ch ip không có

th c, hacker s dùng chính đ a ch ip c a h th ng n n nhân i u này s t o nên m t vòng

l p vô t n gi a trong chính h th ng n n nhân đó, gi a m t bên c n nh n thông tin ph n h i còn m t bên thì ch ng bao gi g i thông tin ph n h i đó đi c == > G y ông đ p l ng ông

f ) Smurf Attack:

- Trong Smurf Attack, c n có ba thành ph n: hacker (ng i ra l nh t n công), m ng khu ch

đ i (s nghe l nh c a hacker) và h th ng c a n n nhân Hacker s g i các gói tin ICMP đ n

đ a ch broadcast c a m ng khu ch đ i i u đ c bi t là các gói tin ICMP packets này có đ a

ch ip ngu n chính là đ a ch ip c a n n nhân Khi các packets đó đ n đ c đ a ch broadcast

c a m ng khu ch đ i, các máy tính trong m ng khu ch đ i s t ng r ng máy tính n n nhân

đã g i gói tin ICMP packets đ n và chúng s đ ng lo t g i tr l i h th ng n n nhân các gói tin ph n h i ICMP packets H th ng máy n n nhân s không ch u n i m t kh i l ng kh ng

l các gói tin này và nhanh chóng b ng ng ho t đ ng, crash ho c reboot Nh v y, ch c n

g i m t l ng nh các gói tin ICMP packets đi thì h th ng m ng khu ch đ i s khu ch đ i

l ng gói tin ICMP packets này lên g p b I T l khu ch đ i ph thu c vào s m ng tính có trong m ng khu ch đ I Nhi m v c a các hacker là c chi m đ c càng nhi u h th ng

m ng ho c routers cho phép chuy n tr c ti p các gói tin đ n đ a ch broadcast không qua ch

l c đ a ch ngu n các đ u ra c a gói tin Có đ c các h th ng này, hacker s d dàng ti n

h ) T n công DNS:

- Hacker có th đ i m t l i vào trên Domain Name Server c a h th ng n n nhân r i cho ch

đ n m t website nào đó c a hacker Khi máy khách yêu c u DNS phân tích đ a ch b xâm

nh p thành đ a ch ip, l p t c DNS (đã b hacker thay đ i cache t m th I ) s đ i thành đ a ch

ip mà hacker đã cho ch đ n đó K t qu là thay vì ph i vào trang Web mu n vào thì các n n nhân s vào trang Web do chính hacker t o ra M t cách t n công t ch i d ch v th t h u

hi u !

g ) Distributed DoS Attacks (DDos ):

- DDoS yêu c u ph i có ít nh t vài hackers cùng tham gia u tiên các hackers s c thâm

nh p vào các m ng máy tính đ c b o m t kém, sau đó cài lên các h th ng này ch ng trình DDoS server Bây gi các hackers s h n nhau đ n th i gian đã đ nh s dùng DDoS client k t

n i đ n các DDoS servers, sau đó đ ng lo t ra l nh cho các DDoS servers này ti n hành t n công DDoS đ n h th ng n n nhân

h.) DRDoS (The Distributed Reflection Denial of Service Attack ):

- ây có l là ki u t n công l i h i nh t và làm boot máy tính c a đ i ph ng nhanh g n nh t Cách làm thì c ng t ng t nh DDos nh ng thay vì t n công b ng nhi u máy tính thì ng I

t n công ch c n dùng m t máy t n công thông qua các server l n trên th gi i V n v i

ph ng pháp gi m o đ a ch IP c a victim, k t n công s g i các gói tin đ n các server

m nh nh t, nhanh nh t và có đ ng truy n r ng nh t nh Yahoo v.v…, các server này s

ph n h i các gói tin đó đ n đ a ch c a victim Vi c cùng m t lúc nh n đ c nhi u gói tin thông qua các server l n này s nhanh chóng làm ngh n đ ng truy n c a máy tính n n nhân

và làm crash, reboot máy tính đó Cách t n công này l i h i ch ch c n m t máy có k t n i Internet đ n gi n v i đ ng truy n bình th ng c ng có th đánh b t đ c h th ng có đ ng truy n t t nh t th gi I n u nh ta không k p ng n ch n Trang Web HVA c a chúng ta c ng

b DoS v a r i b i cách t n công này đ y

(Trích d n Netsky (vniss))

II/ Mô t bài lab:

Bài Lab 1: DoS b ng cách s d ng Ping of death

Ngoài vi c s d ng các tool Nemesy ta còn có th s d ng l nh sau đ có th kh i đ ng ping of death

For /L %i in (1,1,100) do start ping [ip victim] –l 10000 -t