Tìm hiểu về kỹ thuật tấn công Sniffin

Trên máy Attacker mở Cain & Abel, thực hiện các bước sau:- Chọn card mạng để tấn công:  Click vào nút Configure trên thanh menu để mở hộp thoại cấu hình Configuration Dialog Hình 3.1 C

REVISION HISTORY

23/10/2013 1.0 Generation for release Trịnh Thị Mỹ Nương

DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT

MỤC LỤC

DANH MỤC HÌNH III DANH MỤC BẢNG V

LỜI MỞ ĐẦU 1

1 Khái niệm 2

2 Mối đe dọa 2

3 Phương pháp 3

3.1 MAC Attacks 3

3.2 DHCP Attacks 9

3.2.3 Định dạng gói tin IPv4 DHCP 12

3.2.7 Ngăn chặn tấn công DHCP 15

3.3 ARP Poisoning Attacks 18

3.4 Spoofing Attacks 32

3.5 DNS Poisoning 35

4 Công cụ 41

4.1 Sniffing Tool: Wireshark 41

4.2 Sniffing Tool: CACE Pilot 47

4.3 Sniffing Tool: Tcpdump/ Windump 48

4.4 Discovery Tool: Network View 49

5 Biện pháp đối phó 55

KẾT LUẬN 56

TÀI LIỆU THAM KHẢO 57

DANH MỤC HÌNH

DANH MỤC BẢNG

LỜI MỞ ĐẦU

Trong thời đại phát triển như ngày nay, rõ ràng vai trò của Công Nghệ Thông Tin và Internet đóng một vai trò vô cùng quan trọng cho nền kinh tế tri thức của tương lai nhân loại Với mạng toàn cầu Internet, nước ta được bình đẳng hơn với các nước phát triển khác về nguồn thông tin, tạo cho chúng ta cơ hội sản xuất và gia công phần mềm cho nước ngoài, phát triển và ứng dụng CNTT trong quản lý sản xuất, nâng cao chất lượng sản phẩm và sức cạnh tranh của hàng hóa Việt Nam

Bên canh những lợi thế mà Internet mang lại, chúng ta cũng phải chuẩn bị cho mình khả năng đối phó với những thử thách mới, đó là làm sao hội nhập được với thế giới mà vẫn bảo vệ được mình, nhiều ý đồ phá hoại đã nhắm vào hệ thống máy tính như nhiều website của các doanh nghiệp, công ty bảo mật hàng đầu trên thế giới đều bị hacker tấn công, gây tổn thất lớn về nguồn tài chính cho doanh nghiệp Tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo động đỏ” của an ninh mạng Việt Nam và thế giới khi có nhiều

lỗ hổng an ninh mạng nghiêm trọng được phát hiện, hình thức tấn công thay đổi và có rất nhiều cuộc tấn công của giới tội phạm công nghệ cao vào các hệ thống công nghệ thông tin của doanh nghiệp và chính phủ

Với mục đích nghiên cứu và tìm hiểu nguyên lý, cơ chế của các cuộc tấn công của hacker nói chung, và từng kỹ thuật tấn công nói riêng, nhóm em chọn đề tài: “Tìm hiểu về kỹ thuật tấn công Sniffing” là đồ án môn học

Nhóm em xin chân thành cảm ơn!

1 MAC

2 DHCP

3 ARP

3.1 Tấn công ARP bằng Cain & Abel và Wireshark

(Đánh cắp tài khoản và cookie đăng nhập)

Công cụ sử dụng:

- Cain & Abel (Tấn công ARP)

- Wireshark (Bắt và phân tích gói tin)

Mô hình sử dụng:

- Attacker: (Windows XP Pro SP3)

 MAC: 00-0C-29-4D-80-18

 IP: 192.168.220.10

 Subnet mask: 255.255.255.0

 Gateway: 192.168.220.2

- Victim: (Windows XP Pro SP3)

 MAC: 00-0C-29-4D-08-0B

 IP: 192.168.220.11

 Subnet mask: 255.255.255.0

 Gateway: 192.168.220.2

- Gateway: (VMWare NAT)

 MAC: 00-50-56-FE-7E-09

 IP: 192.168.220.2

 Subnet mask: 255.255.255.0

Thực hiện tấn công:

1 Tấn công ARP

2 Đánh cắp tài khoản đăng nhập trang: qlht.ued.edu.vn

3 Đánh cắp cookie đăng nhập trang: mp3.zing.vn

Tấn công ARP bằng Cain & Abel

Trên máy Attacker mở Cain & Abel, thực hiện các bước sau:

- Chọn card mạng để tấn công:

 Click vào nút Configure trên thanh menu để mở hộp thoại cấu hình (Configuration Dialog)

Hình 3.1 Chọn card mạng để tấn công (1)

 Hộp thoại Cấu hình xuất hiện:

 Chọn thẻ Sniffer

 Click chọn card mạng cần tấn công trong danh sách các card mạng

 Click nút OK để chọn card mạng và đóng hộp thoại

Hình 3.2 Chọn card mạng để tấn công (2)

- Kích hoạt chế độ Sniffer

 Click chọn nút Start/Stop Sniffer , sau khi được chọn, nút Start/Stop

Sniffer sẽ có có trạng thái được ấn giữ như hình bên là chế độ Sniffer

đã được kích hoạt

- Chọn thẻ Sniffer của Cain & Abel (thẻ Sniffer chứa các chức năng dùng để tấn công

ARP)

Hình 3.3 Chọn thẻ Sniffer

Trong thẻ Sniffer có chứa các thẻ con, trong đó có 2 thẻ qua trọng ta cần chú ý là thẻ con Host và thẻ con ARP

- Tìm và thêm các host đang hoạt động trên mạng

 Click chọn thẻ con Host của thẻ con Sniffer

Hình 3.4 Chọn thẻ con Host của thẻ Sniffer

 Click nút để mở hộp thoại tìm và thêm host (MAC Address Scanner)

 Hộp thoại tìm kiếm host xuất hiện, chọn All hosts in my subnet

Hình 3.5 Hộp thoại tìm kiếm host

 Nhấn nút OK để đóng hộp thoại và bắt đầu quá trình tìm và thêm các host đang

tham gia vào mạng

 Sau khi tìm kiếm các host xong, danh sách các host tìm kiếm được sẽ hiển thị trên danh sách

Hình 3.6 Danh sách các host

- Chọn thêm các host vào danh sách tấn công ARP

 Click chọn thẻ con ARP của thẻ Sniffer

Hình 3.7 Chọn thẻ con ARP của thẻ Sniffer

 Thẻ con ARP có 2 danh sách hiển thị Danh sách trên sẽ hiển thị các host được chọn để tấn công Danh sách dưới sẽ hiển thị trạng thái và các thông số tấn công

đối với các host khi cuộc tấn công ARP bắt đầu

 Để thêm host vào danh sách tấn công, click nút để mở hộp thoại định tuyến tấn công ARP (New ARP Poison Routing)

Chú ý: Nếu nút đang ở trạng thái Disable (như hình bên ) thì click vào

Danh sách trên trước để kích hoạt nút.

 Chọn host thứ nhất trong danh sách bên trái và host thứ hai trong danh sách bên

phải, có thể chọn nhanh nhiều host 1 lần trong danh sách bên phải (nhấn giữ phím Shift hoặc Control rồi click chọn các host) Cain & Abel sẽ thực hiện tấn công ARP giữa host thứ nhất và host thứ 2 được chọn để đánh cắp các gói tin

Ví dụ: Muốn tấn công ARP để đánh cắp các gói tin giữa host 192.168.220.11 và

192.168.220.2, ta sẽ click chọn host 192.168.220.11 ở danh sách bên trái Sau khi click chọn, danh sách các host còn lại sẽ hiển thị ở danh sách bên phải, click chọn host 192.168.220.2 sau đó nhấn nút OK để thêm

Hình 3.8 Chọn host tấn công

 Sau khi chọn xong host, click nút OK để thêm vào danh sách tấn công và đóng hộp thoại Host vừa thêm vào sẽ được hiển thị trong Danh sách trên

Hình 3.9 Danh sách host tấn công đã được thêm vào

- Thực hiện tấn công ARP

 Click chọn nút Start/Stop ARP , sau khi được chọn, nút Start/Stop ARP sẽ

có có trạng thái được ấn giữ như hình bên là cuộc tấn công ARP

đã được bắt đầu

 Trong thẻ con ARP, trạng thái của các host bị tấn công ở 2 danh sách sẽ hiển thị

như hình bên dưới

Danh sách trên

Danh sách dưới

Hình 3.9 Trạng thái của các host bị tấn công

- Dừng tấn công ARP

 Click bỏ chọn nút Start/Stop ARP

Đánh cắp tài khoản đăng nhập với Wireshark

Mục tiêu tấn công: Đánh cắp tài khoản đăng nhập trang qlht.ued.edu.vn của Victim

Wireshark là một công cụ mạnh mẽ cho phép bắt và phân tích các gói tin Nhược điểm của chương trình này là chỉ bắt được các gói tin trên máy đang chạy nó, do vậy để tấn công đánh cắp tài khoản đăng nhập trong trường hợp này, ta cần chạy Wireshark kết hợp với một cuộc tấn công ARP vào máy victim Mục đích của tấn công ARP là chuyển luồng dữ liệu của máy victim đi qua máy trung gian là máy của attacker, khi đó mặc dù chạy Wireshark ở máy attacker, ta vẫn có thể bắt và phân tích được các gói tin của máy victim

Mục tiêu của cuộc tấn công này là bắt gói tin của máy victim khi victim đăng nhập vào trang

qlht.ued.edu.vn, từ đó phân tích gói tin và lấy ra được tài khoản đăng nhập.

Thực hiện tấn công

- Thực hiện tấn công ARP bằng Cain & Abel vào 2 host

 Victim: 192.168.220.11

 Gateway: 192.168.220.2

Lý do thực hiện tấn công ARP vào 2 host victim và gateway:

 Tấc cả các gói tin muốn đi ra mạng internet để được gửi đến gateway để chuyển tiếp

 Khi victim đăng nhập vào trang qlht.ued.edu.vn qua internet thì gói tin chứa

thông đăng nhập sẽ được gửi từ máy victim vào gateway và gateway sẽ chuyển tiếp gói tin đi

 Do vậy, tấn công ARP vào host victim và gateway sẽ đánh cắp được gói tin chứa thông đăng nhập

Lưu ý: Cuộc tấn công cần diễn ra trước và duy trì cho đến khi victim thực hiện đăng nhập

hoàn tất thì ta mới bắt được gói tin chứa thông tin đăng nhập khi nó được máy victim gửi đi

- Mở Wireshark, thực hiện các bước sau để bắt và phân tích các gói tin:

 Chọn card mạng để tấn công

 Click chọn nút Interface List để mở hộp thoại chọn card mạng

Hình 3.10 Chọn card mạng để tấn công

 Hộp thoại chọn card mạng xuất hiện, chọn card mạng cần bắt gói tin và

click nút Start để bắt đầu bắt gói tin.

Hình 3.11 Chọn card mạng cần bắt gói tin

 Nhập “http && http.host contains qlht” để lọc các gói tin HTTP (http - các gói

tin thao tác với web là các gói tin dạng HTTP) có đích đến (http.host) chứa

(contains) từ “qlht” chính là các gói tin khi máy victim thao tác với trang web qlht.ued.edu.vn

Hình 3.12

 Khi victim thao tác với trang qlht.ued.edu.vn, danh sách các gói tin bắt được sẽ hiển thị trên cửa sổ gói tin của Wireshark

Hình 3.13

 Ta cần quan sát để nhận biết đâu là gói tin chứa thông tin đăng nhập Ở đây gói tin chứa thông tin đăng nhập là gói tin HTTP dạng POST đích đến là /UE_HethongServlet như trong hình,

 Khi đã tìm được gói tin chứa thông tin đăng nhập, click vào dòng của gói tin, thông tin chi tiết sẻ hiển thị trong cửa sổ thông tin chi tiết

Hình 3.14

Ta cần chú ý mục Line-based text data, đây chính là dữ liệu được gửi lên web-server trong gói tin HTTP khi victim đăng nhập, có chưa tên và mật khẩu đăng nhập trang qlht.ued.edu.vn của victim

 Đăng nhập:

 Trong hình trên, tên đăng nhập chính là 312011101133 và mật khẩu đăng nhập mà 01695266588

 Ta có thể sử dụng tài khoản này để đăng nhập và qlht.ued.edu.vn

Đánh cắp cookie đăng nhập với Wireshark

Mục tiêu tấn công: Đánh cắp cookie đăng nhập trang mp3.zing.vn của Victim

Trong phần trên ta đã tìm hiểu cách đánh cắp tài khoản đăng nhập Tuy nhiên việc đánh cắp tài khoản đăng nhập trên thực tế gặp nhiều khó để thực hiện do tính chất của cách tấn công này là cuộc tấn công ARP phải được thực hiện xuyên suốt trong quá trình victim thực hiện đăng nhập, trong khi đó ta lại không thể biết chắc victim sẽ thực hiện đăng nhập lúc nào để

có để tấn công đánh cắp gói tin hiệu quả

Một cách đơn giản hơn để chiếm quyền đăng nhập của victim vào trang web là khai thác cơ

chế cookie của giao thức HTTP Giao thức HTTP sử dụng một cơ chế có tên là cookie để

nhận biết thông tin từ người dùng Thông thường khi người dùng đăng nhập một trang web thành công thì web-server sẽ gửi gói tin phản hồi kèm theo một cookie để lưu thông tin đăng nhập Cookie này sau đó sẽ được trình duyệt web gửi kèm theo lên web-server khi thực hiện duyệt web Web-server dựa trên cookie để nhận biết thông tin đăng nhập của người dùng mà

không quan tâm cookie này được gửi từ đâu Nói các khác, nếu ta lấy được cookie của

victim và gửi lên web-server thì ta cũng có thể đăng nhập một cách bình thường

Điều kiện của cách tấn công này là victim đã đăng nhập và đang duyệt web Khi đó ta có thể

áp dụng tấn công ARP vào victim để bắt gói tin HTTP có chứa cookie đăng nhập của victim Trong phần này, ta sẽ tìm hiểu cách tấn công đánh cắp cookie đăng nhập vào trang

mp3.zing.vn của victim

Thực hiện tấn công

- Thực hiện tấn công ARP vào victim và gateway (tương tự phần trên)

- Mở Wireshark, tiến hành các bước sau

 Chọn card mạng và bắt đầu bắt gói tin (tương tự như phần trên)

 Nhập “http && http.host contains zing.vn && http.cookie” để lọc các gói tin

HTTP (http) có chứa cookie (http.cookie) và có đích đến (http.host) chứa

(contains) từ “zing.vn” chính là các gói tin khi máy victim thao tác với trang web mp3.zing.vn

 Khác với cách tấn công ở trên là ta cần tìm ra chính xác gói tin chứa thông tin đăng nhập của victim, với cách tấn công này, một khi victim đã đăng nhập thì mọi gói tin máy victim gửi lên web-server để chứa cookie đăng nhập, ta chỉ cần chọn một gói tin bất kỳ và phân tích

 Trong cửa sổ chi tiết của gói tin, trong mục Hypertext Transfer Protocol có trường cookie, đây chính là trường chứa giá trị cookie đăng nhập ta cần lấy

 Đăng nhập:

 Copy giá trị cookie (click chuột phải  chọn Copy  chọn Value).

 Sử dụng các tiện tích thay đổi cookie của trình duyệt (có thể dùng tiện ích Wireshark Cookie Dump cho trình duyệt Firefox hoặc các tiện tích cho các trình duyệt khác có chức năng hỗ trợ sửa đổi cookie) để thay đổi cookie trình duyệt về các giá trị cookie lấy được.

 Sau khi đã thay đổi xong cookie, lúc này khi vào trang mp3.zing.vn ta sẽ thấy được đăng nhập bằng tài khoản của victim, mà không cần biết tên đăng nhập và mật khẩu của victim là gì.

3.2

4 DNS

TÀI LIỆU THAM KHẢO

1 Tài liệu hướng dẫn của thầy Nguyễn Đỗ Công Pháp

2 http://thamkhao.vn/tai-lieu/6588-do-an-tim-hieu-ky-thuat-tan-cong-bang-sniffer

3 http://vietmatrix.wordpress.com/2009/09/17/layer-2-attack-mac-flooding/

4 http://vnreview.vn/tin-tuc-an-ninh-mang/-/view_content/content/522020/nhiem-doc-dns-cache-la-gi

5 http://www.thongtincongnghe.com/article/16547

6 http://hackvothuong.wordpress.com/tag/ceh-c%E1%BB%A7a-dinh-chi-thanh/page/7/

7 http://timtailieu.vn/tai-lieu/ky-thuat-tan-cong-va-phong-thu-tren-khong-gian-mang-ky-thuat-tan-cong-ky-thuat-sniffer-2878/

8 http://congdd.wordpress.com/2013/05/01/sniffer-phuong-thuc-hoat-dong-cac-kieu-tan-cong-va-phong-chong/

9 http://truongtan.edu.vn/forum/thread-4803-post-8196.html#pid8196