của Hacker bằng cách đặt card mạng vào chế độ gọi là promicuous mode để lắng nghe các data truyền đi trong mạng.. Ngoài ra do rất nhiều protocol hiện đang sử dụng ph
Trang 1CHAPTER 7 : SNIFFER
I Sniffing :
- Sniffing là quá trình thu thập thông tin các thông tin nhạy cảm như username, password,data của Hacker bằng cách đặt card mạng vào chế độ gọi là promicuous mode để lắng nghe các data truyền đi trong mạng
- Mặc định card mạng chỉ chấp nhận các gói tin có destination MAC là của card mạng và các gói broadcast có dạng MAC ff:ff:ff:ff:ff:ff, nếu gói tin mang MAC khác card mạng sẽ loại bỏ
- Promicuous mode là chế độ mà card mạng sẽ chấp nhận mọi gói tin đi tới card mạng Windows khi cài WinPcap, kernel driver thay đổi sẽ làm cho Windows tưởng nhầm MAC nào cũng là của mình vì thế system sẽ chấp nhận mọi gói tin Card mạng cũng có thể chuyển sang capture mode khi cài Microsoft Network Monitor Driver bằng cách sử dụng Windows sockets raw IP
- Quá trình sniffing diễn ra ở Data Link Layer trong mô hình OSI Ngoài ra do rất nhiều protocol hiện đang sử dụng phổ biến được truyền đi bằng plaint-text như
http,ftp,telnet ngoài ra hacker có thể capture các thông tin(password) mã hoá để cracking offline vì thế nếu Hacker có thể sniff trong mạng là 1 điều rất nguy hiểm
- Điều kiện cần để có thể sniifing là Hacker phải ở cùng subnet với victim
- Sniffing chia thành 2 kiểu tùy theo môi trường sniffing:
+ Passive sniffing : dùng trong môi trường hub hoặc wireless(collision domain) Hacker chỉ cần chuyển card mạng sang promicuous mode và thụ động chờ đợi.Khi passive sniffing rất khó bị phát hiện
+ Active sniffing : dùng trong môi trường switched network Do trong môi trường switched network luồng data sẽ được switch chuyển chính xác giữa các host dựa theo bảng MAC table nên Hacker phải kết hợp thêm 1 số kỹ thuật để có thể chuyển luồng data đi ngang qua card mạng của mình Active sniffing có thể phát hiện dựa trên các dấu hiệu của sự dịch chuyển của các luồng data
Trang 2www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
và sau khi ARP poisoning thành công :
Hacker trở thành người đứng trung gian giữa luồng data Kỹ thuật này còn được gọi là Man-in-the-Midle (MITM) attack
- MAC flooding attack(CAM Table Overflow) : lợi dụng sự hạn chế của memory của các switch trung gian, hacker sẽ inject liên tục nhiều gói tin với các MAC khác nhau để làm tràn memory của switch Một số switch khi bị tràn memory sẽ chuyển sang forwarding mode trở thành giống như hub environt
- MAC Duplicating : Hacker thay đổi MAC address của mình thành MAC address của client hợp lệ để bypass MAC filter
- DHCP spoofing : Hacker dựa vào DHCP protocol để thay đổi IP gateway của client
Trang 3- DNS spoofing : Hacker dựa trên DNS protocol để phân giải sai IP
- Ngoài ra còn rất nhiều techniques để sniff trên Layer 2 như VLAN hopping Attack,Spanning-Tree Protocol Manipulation
III Phương pháp phòng chống sniffer :
- Physical secure: ngăn ngừa hacker có thể tiếp xúc physical với subnet của LAN network.Ví dụ: chia VLAN, port secure
- Logical secure: theo dõi sự thay đổi của ARP cache, sử dụng các phương pháp mã hoá để bảo vệ thông tin, kiểm tra phát hiện các NIC trong promicuous mode, IDS
IV LAB:
1 Wireshark: Analyzer protocol tool là phiên bản tiếp theo của Ethereal có thể xem live các packet khi đang capture
Trang 4www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
Trang 6www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
- Khi cài đặt Wireshark cũng sẽ phải cài đặt thêm WinPcap(là bộ đriver và thư viện giúp cho card mạng chấp nhận tất cả mọi packet đi tới card mạng)
Trang 8www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
Trang 10www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
- Wireshark vừa capture vừa list các packet capture được
Trang 11- Wireshark có thể rebuild lại cấu trúc của connection data từ đó loc lại thông tin
Trang 12www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
2 HTTP sniffer: Sniffer và rebuild HTTP connection
- Sau khi cài đặt tại máy 1 và mở trương trình chọn Sniffer/Start sẽ có giao diện :
Trang 13- Tại máy thứ 2 mở trình duyệt và truy cập tới www.google.com.vn và gõ vào phần tìm kiếm “athenavn”
Trang 14www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
- Trở về máy 1 ta thấy :
Trang 15- Chọn Sniffer/View details chọn vào tab Content ta thấy lại trang web đang được mở ở máy 2:
3 ARPspoof và DNSspoof : là 2 tool nằm trong bộ Dsniff ARPSpoof sẽ tạo các gói arp giả để poisoning arp cache nhằm thay đổi luồng thông tin
Trang 16www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
Trang 17- Forward packet giữa 2 bên với Fragrouter
Trang 18www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
Check IP của Yahoo trước khi bị DNSspoofing ta thấy yahoo có IP là 66.94.234.13
-
Trang 19Dùng DNSspoof để tạo gói tin DNS giả IP của yahoo thành 192.168.2.12 , tại IP này có thể đặt trang Yahoo giả làm web fishing hoặc trở thành relay server sẽ forward packet lên yahoo sau khi lọc lại thông tin
Trang 20www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
4 Etherflood: flood switched network tool
- Trong môi trường switched Network,các switch forward các gói tin chính xác từ máy source tới máy destination nhờ vào bảng Content Addressable Memory(CAM table) trong đó chứa MAC address của tất cả các port nên khi nhận được gói tin từ 1 port bất kỳ switch sẽ tìm trong CAM table MAC adress tương ứng với destination từ đó biết port nào cần forward gói tin
- Vì CAM table có giới hạn về size và thông thường khi CAM table bị đầy switch sẽ chuyển sang chế độ forward gói tin tới tất cả các port switch trở thành giống môi trường hub dễ dàng cho Hacker sniff đường truyền
- Etherflood là tool có thể tạo hàng loạt các packet với MAC source và destination khác nhau và nhanh chóng làm đầy CAM table
+ Trước khi chạy Etherflood cần cài driver cho card mạng nào sẽ flood :
Trang 21- Chọn Install/Protocol
Trang 22www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
- Chọn Have Disk và browse tới folder Etherflood
Trang 23- Chọn file EthrDrv.inf để cài :
Trang 24www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
- Analyst bằng Wireshark ta thấy Etherflood gửi khoảng 450.000 trong khoảng 66s với mỗi packet các MAC khác nhau
Trang 255 Đổi MAC trên Windows và Linux để bypass các MAC filter
- Trên Linux :
+ ifconfig eth0 hw ether 00:11:22:33:44:55(MAC muốn thay)
Trang 26www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
Trang 27- Trên Windows phần lớn card mạng đều hỗ trợ thay MAC address trong phần Properties
Trang 28www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
- Mở Properties của NIC.Chọn Configure
- Chọn Tab Advanced Check vào Value nhập vào giá trị MAC muốn thay
Trang 30www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
6 DHCP poisoning: một trong những cách lái đường đi đơn giản là cung cấp
Gateway giả cho client vDHCP là 1 software dhcp server có thể cấu hình đơn giản Download tại http://www.pscs.co.uk/downloads/vdhcp/vdhcp013.zip Quá trình cài đặt đơn giản
Trang 32www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
Trang 34www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
- Cấu hình range IP như ý muốn :
Trang 35- Tab Reservations cho phép cấu hình cho chính xác từng client
Trang 36www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
- Arpwatch: phần mềm theo dõi và cảnh báo khi có sự thay đổi MAC address của IP trong ARP cache Trên Windows tương tự có CWatch,ARPCacheWatch
+ tar –vxfz arpwatch.tar.gz : giải nén
+ /configure và make và make install : cài đặt
Trang 38www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
Trang 40www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477
- Thông báo khi nhận được MAC mới :
Trang 41- Cảnh báo khi có MAC thay đổi trong ARP cache :
Trang 42www.Athena.Edu.Vn – Tel : (08) 38244041 – 090 78 79 477