Các hệ thống mạng lớn nhỏ cũng dần được hình thành như Internet, Wan, Lan… Việc này đòi hỏi phải có những công cụ thực sự hữu hiệu nhằm giúp người quản trị mạng có thể theo dõi, giám sát
Trang 1ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
- BÁO CÁO MÔN HỌC:
QUẢN TRỊ HỆ THỐNG MẠNG
Đề tài:
PHẦN MỀM CAIN & ABEL
Giảng viên hướng dẫn:
ThS Vũ Trí Dũng
Nhóm 8:
Võ Văn Hoàng Anh : 07520015 Nguyễn Thanh Tâm : 07520308 Trần Hải Đăng : 07520429
Trang 2Mục Lục Trang
1 Mục lục trang
2
2 Lời nói đầu
3
3 Cain là gì
4
4 Nguyên lý hoạt động của Cain
4
5 Sniffer dữ liệu
5
6 Các dạng Sniffer
6
7 Discovery Password
10
8 Cách phòng chống Cain
15
9 So sánh với các công cụ khác
17
10 Tài liệu tham khảo
17
Trang 3Lời Nói Đầu
Hiện nay việc sử dụng máy tính để làm việc, giải trí, giao tiếp…đã ngày càng trở nên phổ biến trên toàn thế giới nói chung cũng như nước ta nói riêng Các hệ thống mạng lớn nhỏ cũng dần được hình thành như Internet, Wan, Lan…
Việc này đòi hỏi phải có những công cụ thực sự hữu hiệu nhằm giúp người quản trị mạng có thể theo dõi, giám sát hệ thống mạng của mình, có Nhận ra các điều bất thường hoặc các sự thay đổi …Từ đó có thể có các phương án sữa lỗi, phòng chống, thay thế …
Vì vậy mà các công cụ quản trị mạng cũng lần lượt xuất hiện ngày một nhiều Các công cụ này giúp chúng ta biết được các thông tin về các máy trong mạng của mình: thông tin về lưu lượng, thông tin về kết nối, các tài khoản…
Bên cạnh đó cũng có những công cụ ngoài giúp chúng ta biết được các thông tin quan trọng hơn, tuyệt mật hơn, và nếu sử dụng chúng cho mục đích sai trái thì
sẽ gây hậu quả nghiêm trọng Trong đó có Cain và Abel, đây là một công cụ yêu thích của các Hacker Vì vậy chúng ta sẽ tìm hiểu và biết về phần mềm này để có thể phòng tránh và ngăn chặn nó
Trong quá trình hoàn tất đề tài này, khó tránh khỏi sai xót hoặc có thể gặp vướng mắc ở một số chỗ gây khó hiểu cho người đọc nên mong cô và bạn đọc thông cảm !
Em mong rằng đề tài này sẽ được cô và nhiều bạn đọc yêu thích !
Trang 4Xin chân thành cám ơn!
TP HCM, ngày 2 tháng 12 năm 2010
Sinh viên thực hiện
Võ Văn Hoàng Anh : 07520015
Nguyễn Thanh Tâm : 07520308
Trần Hải Đăng : 07520429
Cain Là Gì
Cain (tên đầy đủ là Cain & Abel) là một trong những công cụ đứng trong top các công cụ về security.Ngày nay chúng ta ai cũng có thể dễ dàng download và tìm hiểu cách sử dụng phần mềm Cain Đây là một công cụ hữu ích trong việc sniff dữ liệu, ăn trộm password trong môi trường switch Ví dụ như: – Trộm password các tài khoản Email, diễn đàn…
– Trộm password tài khoản local
Nguyên lý hoạt động của Cain
Trong môi trường broadcast domain, các máy được nối mạng với nhau và kết nối đến server trao đổi thông tin
Server có một địa chỉ IP riêng và một địa chỉ MAC cố định
Khi client kết nối đến server, Cain đổi địa chỉ MAC của server thành MAC của máy attacker để client đó tưởng máy của attacker là máy server
Như vậy tất cả dữ liệu, thông tin trao đổi giữa client và server đều đi qua máy attacker
Trang 5Attacker đã sử dụng giao thức ARP Spoofing Cụ thể như sau:
1 Attacker “nghe lén” 2 máy A và B.A gửi gói tin ARP Request ra toàn mạng
và hỏi địa chỉ MAC của B B gửi gói tin ARP Reply báo cho A địa chỉ MAC Và attacker có được tất cả các thông tin này Attacker đổi địa chỉ Mac của mình thành
B Attacker gửi ARP Request và A sẽ chép đè thông tin lên ARP cache Từ đây A
sẽ được gởi dữ liệu đến Attacker Và Attacker đánh lừa luôn cả B Khi Dữ liệu từ
A đến B Attacker giữ lại 1 bản và chuyển tiếp đến cho B Và B trả lời lại cho A thì Attacker cũng sẽ giữ lại 1 bản và chuyển tiếp đến cho A
Sniffer Dữ Liệu
1.1 Giới Thiệu
Sniff được hiểu đơn giản như là một chương trình cố gắng nghe ngóng các lưu lượng thông tin trên một hệ thống mạng Tương tự như là thiết bị cho phép nghe lén trên đường dây điện thoại Chỉ khác nhau ở môi trường là các chương trình Sniffer thực hiện nghe nén trong môi trường mạng máy tính
Trong một hệ thống mạng sử dụng những giao thức kết nối chung và đồng bộ Chúng ta có thể sử dụng Sniffer ở bất cứ Host nào trong hệ thống mạng của bạn Chế độ này được gọi là chế độ hỗn tạp (promiscuous mode)
1.2 Mục đích sử dụng
Sniffer có thể là một công cụ giúp cho các quản trị mạng theo dõi và bảo trì
hệ thống mạng của mình Và theo hướng tiêu cực nó có thể là một chương trình được cài vài một hệ thống mạng máy tính với mục đích đánh hơi, nghe nén các thông tin trên đoạn mạng này
1.3 Cách thức hoạt động
Công nghệ Ethernet được xây dựng trên một nguyên lý chia sẻ vì vậy tất cả các máy tính đó đều có khả năng nhìn thấy lưu lượng dữ liệu được truyền trên đường truyền chung đó
Trang 6Nó thực hiện được điều này trên nguyên lý bỏ qua tất cả những Frame có địa chỉ MAC không hợp lệ đối với nó Khi Sniffer được tắt tính năng lọc này và sử dụng chế độ hỗn tạp (promiscuous mode) Nó có thể nhìn thấy tất cả lưu lượng thông tin từ máy B đến máy C, hay bất cứ lưu lượng thông tin giữa bất kỳ máy nào trên hệ thống mạng Miễn là chúng cùng nằm trên một hệ thống mạng
Các Dạng SNIFFER
ARP Poison Attack:thu thập thông tin mac address
APR-DNS:Tấn công gia mạo dns(spoofing attcack) Dể dàng viết lại ip address trong gói dns reply
Trang 7APR-HTTPS :Bắt các gói tin với giao thức https và giải mã(decryption) những gói tin này
APR-FTPS:bắc gói tin với giao thức truyền nhận data mã hóa FTPS và decryption chúng
Trang 8APR-IMAPs:bắc gói tin với giao thức truyền nhận mail theo phương thức IMAP
APR-LDAPS:bắc gói tin với giao thức truyền nhận và quản lý giữa client và
server
Trang 9APR-POP3S:bắc gói tin với giao thức truyền nhận mail theo phương thức POP3s
APR-RDP:thu thập thông tin giữa việc thực thi giao thức điều khiển máy từ
xa(Remote Desktop Protocol )- giãi mã cơ chế mà hóa RC4
APR-SSH-1:bắt gói tin với phương thức truy cập từ xa với giao thức SSH và mã hóa SSH-1 Giãi phương thức mã hóa SSH-1
Certificates Collector:chức năng này sử dụng các thủ tục đăng ký của các phương pháp mã hóa SSL(Secure Socket Layer) việc kết hợp certificates collector được Cain tự động chạy nhằm decryption các thông tin capture được
VOIP(Voice over IP) :Bắt các gói tin thọai giữa các cuộc gọi sử dụng công nghệ thoại ip Sniffer trích những thông số RTP session như là : RTP port,ip
address,dynamic code SIP hoặc MGCP
Trang 10Discovery Password
Cain & Abel là chương trình tìm mật khẩu chạy trên hệ điều hành Microsoft Nó cho phép dễ dàng tìm ran hiều loại mật khẩu bằng cách dò tìm trên mạng, phá các mật khẩu đã mã hóa bằng các phương pháp Dictionary, Brute-Force and
Cryptanalysis…, giải mã các mật khẩu đã được bảo vệ, tìm ra file nơi chứa mật khẩu, phát hiện mật khẩu có trong bộ đệm
2.1 Password Crackers
- Cain hổ trợ hầu hết các phương thức băm (Hash) thông thường như là :
MD2, MD4, MD5, SHA1, SHA2 (256 bit), SHA2 (384 bit), SHA2 (512 bit), RIPEMD160
-Các giải thuật : PWL files, Cisco-IOS Type-5 enable passwords, Cisco PIX enable passwords, APOP-MD5, CRAM-MD5, LM, LM + Challenge, NTLM, NTLM + Challenge, NTLM Session Security, NTLMv2, RIPv2-MD5, OSPF-MD5, VRRP-HMAC-96, VNC-3DES, MS-Kerberos5 Pre-Auth, RADIUS Shared Secrets, IKE Pre-Shared Keys, Microsoft SQL Server 2000, Microsoft SQL Server
2005, Oracle, Oracle-TNS-DES, Oracle-TNS-3DES, Oracle-TNS-AES128, Oracle-TNS-AES192, MySQL323, MySQLSHA1, SIP-MD5, PSK, WPA-PSK-AUTH, CHAP-MD5, MS-CHAPv1, MS-CHAPv2
2.1.1 Dictionary Password Crackers
Trang 11này có hiệu xuất cao hơn Brute-force
Có 2 phương thức để cải thiện khả năng thành công của cách thức tấn công
dictionary attack
-Thứ nhất sử dụng lương từ điển lớn
-Thứ hai thực thi những chuỗi kí tự trên từ điển
2.1.2 Cryptanalysis
Được dùng để ám chỉ tới bất kỳ cố gắng để phá vỡ sự bảo mật của các giải thuật mật mã và giao thức khác nói chung Tuy nhiên, cryptanalysis thường không bao gồm các phương thức tấn công mà không nhắm vào đích chính là những nhược điểm của các cách viết mật mã hiện nay Kết quả của cryptanalysis cũng thay đổi không còn nữa khả năng thành công giới hạn trong việc codebreaking, và có một
sự phân cấp của những gì tạo nên một cuộc tấn công tốt
Chức năng này sử dụng phương thức được giới thiệu bởi Faster Cryptanalytictime – memory trade off được giới thiệu bởi Philippe Oechslin Kỹ thuật này sử dụng một số lượng Table lớn cho việc tính toán trước các password mã hóa được gọi là Rainbow Tables
Trang 122.1.3 Rainbowcrack-online
-Crack trựctuyếnthông qua trang Rainbowcrack-online.com
-Rainbowcrack-online.com dành cho doanh nghiệp hay cá nhân định mức chính sách password cungcấp 1 bảng hàm hash
Trang 132.1.4 WEP Cracker:giãimã password đượcmãhóabằngcơchế WEP
- TấncôngKorek's WEP là phương pháp bẻ khóa dựa trên thống kê và phục hồi password Bẻ khóa này dựa trên nền tảng sự yếu kém của thuật toán mã hóa RC4 Phương pháp này có thể phục hồi chuổi khóa 64-bit và 128-bit
Cain còn hổ trợ phương pháp bẻ khóa PTW.Phương pháp này có thể bẻ khóa với
104 bit từ khóa trong WEP tần suất 50% với việc bắt được khoảng 40,000 gói tin
Trang 142.1.5 Brute-Force Password Cracker
Brute-Force Password Cracker là phương pháp phá mã.Phương pháp này khả thi
hay không còn phụ thuộcvào độ dài của chuổi mã hóa
Côngthứctính KS = L^(m) + L^(m+1) + L^(m+2) + + L^(M)
Trongđó +L làđộdàichuỗikítự
+ m độdài min củakhóa
+M độdài max củakhóa
Trang 152.2 Password Decoders
• Password decoders có thể được sử dụng để giải mã những password đã được mã hóa bằng cách sử dụng bộ giải mã từ vài nguồn source ví dụ như Protected Store, the Credential Manager, standard Edit Boxes, LSA secrets, passwords from SQL Enterprise Manager, Windows Mail, DialUp, Remote Desktop profiles và Windows wireless configuration service
• Cain củng bao gồm bộ giải mã cho nhiều ứng dụng khác nhau
Microsoft,Cisco VPN application…
Cách Phòng Chống Cain
Thông Thường thì IP của server ở dạng dynamic Do đó mà attacker có thể thay đổi IP của server thành của mình (địa chỉ MAC sẽ thay đổi theo)
Để tránh được sự “đầu độc” của CAIN chúng ta chỉ cần đổi IP của Server
về dạng Static
Thực hiện :
• Vào cmd và đánh câu lệnh sau:
"arp –s <IP server><MAC server>“
Trang 16• Ví dụ:
arp -s 157.55.85.212 00-aa-00-62-c6-09
• Tuy nhiên khi khởi động lại máy thì trường Type lại trở về giá trị mặc định
• Lưu dòng lệnh trên vào trong file text và save lại dưới dạng file *.bat
• Đưa file này vào phần Start up của hệ thống
-Phòng chống scan địa chỉ ip từ chương trình này là vô hiệu hóa NETBIOS name -Dấu hiệu cảnh báo của trình duyệt khi có kẻ nào đó cố tình dùng cain & Abel trong mạng Cain&Abel thay đổi hay làm giả mạo các CA (Certification
Authority) để phát tới các Victim của nó Thế nhưng khi các CA này được so sánhvới CA mặc định của Windows thì ngay lập tức Windows phát hiện ra sự sai lệch của CA mà nó nhận từ Cain&Abel, Và phát ra thông điệp cảnh báo ngay trên trình duyệt IE khi ta login vào một site sử dụng giao thức https
PhòngChống Sniffer:
-Về mặt lý thuyết thì rất khó có thể phát hiện được sự hiện diện của các chương trình Sniffer trên hệ thống Bởi chúng chỉ capture và cố gắng đọc các gói tin, chúng không gây ra sự xáo trộn hay mất mát Packet nghiêm trọng nào trên đường truyền cả Tuy nhiên trên thực tế lại có nhiều cách để phát hiện ra sự hiện diện của các Sniffer Khi đứng đơn lẻ trên một máy tính không có sự truyền thông thì sẽ không có dấu hiệu gì Tuy nhiên nếu được cài đặt trên một máy tính không đơn lẻ và có sự truyền thông, bản thân Sniffer sẽ phát sinh ra lưu lượng thông tin Bạn có thể truy vấn ngược DNS để tìm thông tin liên quan đến những địa chỉ IP
Các phương pháp phòng chống Sniffer phổ biến
Phương pháp dùng Ping: Hầu hết các chương trình Sniffer được cài đặt
trên các máy tính trong mạng sử dụng TCP/IP Stack Bởi vậy khi bạn gửi yêu cầu đến những máy tính này, chúng sẽ phản hồi lại cho bạn kết quả Bạn hãy gửi một yêu cầu phản hồi tới địa chỉ IP của máy tính nào đó trong mạng (máy mà bạn cần kiểm tra xem có bị cài đặt Sniffer hay không), nhưng không thông qua Adapter Ethernet của nó
VD:
-Chúng ta nghi ngờ máy tính có địa chỉ IP là 10.0.0.1, có địa chỉ MAC là 00-40-05-A4-79-32 Đã bị cài đặt Sniffer
-Chúng ta đang ở trong cùng một hệ thống mạng Ethernet mà bạn nghi ngờ có kẻ
đã tiến hành Sniffer
-Thay đổi địa chỉ MAC của bạn thành là 00-40-05-A4-79-33
-Ping đến địa chỉ IP và địa chỉ MAC mới
-Trên nguyên tắc không một máy tính nào có thể nhìn thấy có thể nhìn thấy được Packet này Bởi Adapter Ethernet chỉ chấp nhận những địa chỉ MAC hợp lệ của chính nó
Trang 17đã bị cài đặt Sniffer Bằng các kỹ thuật của mình các Hacker vẫn có thể né tránh được phương pháp nêu trên Các Hacker sẽ sử dụng
những MAC Address ảo Rất nhiều hệ thống máy tính trong đó có Windows có tích hợp khả năng MAC Filtering
Windows chỉ kiểm tra những byte đầu tiên Nếu một địa chỉ MAC có dạng FF-00-00-00-00-00, thì đơn giản Windows sẽ coi nó là FF-FF-FF-FF-FF-FF Đây là sơ
hở cho phép các Hacker có thể khai thác đánh lừa hệ thống máy tính của bạn 1
Phương phá p d ùng DNS:Rất nhiều chương trình Sniffer có tính năng phân giải ngược các địa IP thành DNS mà chúng nhìn thấy (như dsniff) Bởi vậy khi quan sát lưu lượng truyền thông của DNS bạn có thể phát hiện được Sniffer ở chế độ hỗn tạp (Promiscuous Mode)
2
Phương pháp Source-Route : Phương pháp này sử dụng những thông tin như địa chỉ nguồn và địa chỉ đích trong mỗi Header của IP để phát hiện hành động Sniff trên từng đoạn mạng
3 -Phương pháp giăng bẫy (Decoy) : Tương tự như phương pháp sử dụng ARP nhưng nó được sử dụng trong những phạm vi mạng rộng lớn hơn (gần như là khắp nơi) Rất nhiều giao thức sử dụng các Password không được
mã hoá trên đường truyền
4 Phương pháp kiểm tra sự chậm trễ của gói tin (Latency)
Phòng Chống Crack Password Và Decoder Password
Sử dụng các phương pháp mã hóa mới nhất tối ưu nhất như là SSH-2,HTTPS… Thường xuyên thay đổi password
So Sánh Với Các Công Cụ Khác
Cain&Abel ,Wiresharkvà Microsoft Network Mornitor
Cả 3 công cụ này đều miễn phí
• Cain: chạy trên hệ điều hành Microsoft, Công cụ mạnh để crack password
và sniffer không hổ trợ công nghệ Telephony
• Microsoft Network Mornitor chạy trên hệ điều hành Microsoft chủ yếu dùng để bắt gói tin, không hổ trợ nhiều giao thức
• Wireshark chạy được trên cả Microsoft và MAC dung để bắt gói tin hổ trợ nhiều giao thức và công nghệ mạng viễn thông (Telephony) củng như công nghệ thoại IP như là GSM,VOIP,H.225,LTE, kén card mạng
Trang 18
TÀI LIỆU THAM KHẢO
http://www.khkt.net/chu-de/6304-netbios-la-gi/
http://www.petri.co.il/forums/showthread.php?t=13380
http://en.wikipedia.org/wiki/Cain_and_Abel_%28software%29
http://www.oxid.it/cain.html
http://www.rarpasswordcracker.com/
http://www.networkdictionary.com/howto/Detect-illegal-sniffing-tool.php