Báo cáo quản trị hệ thống mạng với công cụ Báo Cáo Quan Tri He Thong Mang-Nhom -Cain

Nguyên lý hoạt động cơ bản của Cain• Trong môi trường broadcast domain, các máy được nối mạng với nhau và kết nối đến server trao đổi thông tin • Server có một địa chỉ IP riêng và một đị

Bài thuyết trình Môn: QUẢN TRỊ HỆ THỐNG MẠNG

Đề tài : Phần mềm Cain & Abel

Giảng Viên Hướng Dẫn:ThS Vũ Trí Dũng

NHÓM 8

Sinh viên thực hiện:

Võ Văn Hoàng Anh : 07520015 Nguyễn Thanh Tâm : 07520308 Trần Hải Đăng : 07520429

Các phần chính

• I Giới thiệu CAIN

• II Nguyên lý hoạt động của Cain

I CAIN phần mềm ưa thích của hacker

• Cain (tên đầy đủ là Cain & Abel)

• Một công cụ hữu ích trong việc sniff dữ

liệu, ăn trộm password trong môi trường switch.

– Trộm password các tài khoản Email,

diễn đàn…

– Trộm password tài khoản local

II Nguyên lý hoạt động cơ bản của Cain

• Trong môi trường broadcast domain, các máy

được nối mạng với nhau và kết nối đến server

trao đổi thông tin

• Server có một địa chỉ IP riêng và một địa chỉ

MAC cố định

• Khi client kết nối đến server, Cain đổi địa chỉ

MAC của server thành MAC của máy attacker để client đó tưởng máy của attacker là máy server

• Như vậy tất cả dữ liệu, thông tin trao đổi giữa

client và server đều đi qua máy attacker

Attacker đã sử dụng giao thức ARP Spoofing Cụ thể như sau:

• 1 Attacker “nghe lén” 2 máy A và B

• A gửi gói tin ARP Request ra toàn mạng và hỏi địa chỉ MAC của B

• B gửi gói tin ARP Reply báo cho A địa chỉ MAC

• Và attacker có được tất cả các thông tin này

• Attacker đổi địa chỉ Mac của mình thành B

• Attacker gửi ARP Request và A sẽ chép đè thông tin lên ARP cache

• Từ đây A sẽ được gởi dữ liệu đến Attacker

• Và Attacker đánh lừa luôn cả B

• Khi Dữ liệu từ A đến B Attacker giữ lại 1 bản và chuyển tiếp đến cho B

• Và B trả lời lại cho A thì Attacker cũng sẽ giữ lại

1 bản và chuyển tiếp đến cho A.

III Chức năng chính:

1.Sniffer

1.1 Giới Thiệu

•Sniff được hiểu đơn giản như là một chương trình cố gắng

nghe ngóng các lưu lượng thông tin trên một hệ thống

mạng Tương tự như là thiết bị cho phép nghe lén trên

đường dây điện thoại Chỉ khác nhau ở môi trường là các

chương trình Sniffer thực hiện nghe nén trong môi trường mạng máy tính

•Trong một hệ thống mạng sử dụng những giao thức kết

nối chung và đồng bộ Chúng ta có thể sử dụng Sniffer ở bất

cứ Host nào trong hệ thống mạng của bạn Chế độ này được gọi là chế độ hỗn tạp (promiscuous mode)

1.2 Mục đích sử dụng

•Sniffer thường được sử dụng vào 2 mục đích

khác biệt nhau Nó có thể là một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống

mạng của mình Cũng như theo hướng tiêu cực nó

có thể là một chương trình được cài vài một hệ

thống mạng máy tính với mục đích đánh hơi, nghe nén các thông tin trên đoạn mạng này

1.3 Cách thức hoạt động

•Công nghệ Ethernet được xây dựng trên một

nguyên lý chia sẻ vì vậy tất cả các máy tính đó đều có khả năng nhìn thấy lưu lượng dữ liệu được truyền trên đường truyền chung đó

• Nó thực hiện được điều này trên nguyên lý bỏ qua tất cả những Frame có địa chỉ MAC không hợp lệ đối với nó Khi Sniffer được tắt tính năng lọc này và sử dụng chế độ hỗn tạp (promiscuous mode) Nó có thể nhìn thấy tất cả lưu lượng

thông tin từ máy B đến máy C, hay bất cứ lưu

lượng thông tin giữa bất kỳ máy nào trên hệ

thống mạng Miễn là chúng cùng nằm trên một

hệ thống mạng

CÁC DẠNG SNIFFER

• ARP Poison Attack:thu thập thông tin mac address

• APR-DNS:Tấn công gia mạo

dns(spoofing attcack)

-Dể dàng viết lại ip address trong gói dns reply

APR-HTTPS :Bắt các gói tin với giao thức https và giải mã(decryption) những gói tin này

• APR-FTPS:bắc gói tin với giao thức truyền nhận data mã hóa FTPS và decryption chúng

• APR-IMAPs:bắc gói tin với giao thức truyền nhận mail theo phương thức IMAP

• APR-LDAPS:bắc gói tin với giao thức truyền nhận và quản lý giữa client và server

• APR-POP3S:bắc gói tin với giao thức truyền nhận mail theo phương thức POP3s

• APR-RDP:thu thập thông tin giữa việc thực thi giao thức điều khiển máy từ xa( Remote Desktop Protocol ) Remote Desktop Protocol

-giãi mã cơ chế mà hóa RC4

• APR-SSH-1:bắt gói tin với phương thức

truy cập từ xa với giao thức SSH và mã hóa SSH-1

-Giãi phương thức mã hóa SSH-1

Certificates Collector:chức năng này sử dụng các thủ tục đăng ký của các phương

pháp mã hóa SSL( Secure Socket Layer)Secure Socket Layer

-việc kết hợp certificates collector được Cain tự động chạy nhằm decryption các

thông tin capture được

2.1.1 Dictionary

2.1.1 Dictionary Password Crackers

•Bao gồm tất cả các từ trong từ điển

•Dùng phương thức so sánh với các từ có trong Dictionary và xem xét khả năng từ nào có khả năng xảy ra cao nhất

• 2.1.2 Cryptanalysis 2.1.2

một số hàm Hash

• PIX HASH

• LM HASH

• 2.1.3Rainbowcrack-online 2.1.3

-Mã hóa trực tuyến thông qua trang Rainbowcrack-online.com

• WEP Cracker:giãi mã password được mã hóa bằng cơ chế WEP

2.2 Password Decoders

những password đã được mã hóa

khác nhau Microsoft,Cisco VPN application…

• IV CÁCH PHÒNG CHỐNG CAIN

1 PHƯƠNG PHÁP

• Thông Thường thì IP của server ở dạng

dynamic Do đó mà attacker có thể thay đổi IP của server thành của mình (địa chỉ MAC sẽ thay đổi theo)

• Để tránh được sự “đầu độc” của CAIN chúng ta chỉ cần đổi IP của Server về dạng Static

• Vào cmd và đánh câu lệnh sau:

"arp –s <IP server> <MAC server>“

1 PHƯƠNG PHÁP

• Phòng chống Sniffer:

- Phương pháp dùng Ping: Hầu hết các

chương trình Sniffer được cài đặt trên các máy tính

trong mạng sử dụng TCP/IP Stack Bởi vậy khi bạn gửi yêu cầu đến những máy tính này, chúng sẽ phản hồi lại cho bạn kết quả Bạn hãy gửi một yêu cầu phản hồi tới địa chỉ IP của máy tính nào đó trong mạng (máy mà bạn cần kiểm tra xem có bị cài đặt Sniffer hay không),

nhưng không thông qua Adapter Ethernet của nó

1 Chúng ta nghi ngờ máy tính có địa chỉ IP là

10.0.0.1, có địa chỉ MAC là 00-40-05-A4-79-32 Đã bị cài đặt Sniffer

2 Chúng ta đang ở trong cùng một hệ thống mạng Ethernet mà bạn nghi ngờ có kẻ đã tiến hành Sniffer

3 Thay đổi địa chỉ MAC của bạn thành là A4-79-33

00-40-05-4 Ping đến địa chỉ IP và địa chỉ MAC mới

• 5 Trên nguyên tắc không một máy tính nào có thể nhìn

thấy có thể nhìn thấy được Packet này Bởi Adapter Ethernet chỉ chấp nhận những địa chỉ MAC hợp lệ của chính nó

6 Nếu ta thấy sự trả lời từ địa chỉ mà bạn nghi ngờ không phải trên địa chỉ lọc của MAC (MAC Address Filter) trên

Ethernet Card…Máy tính có địa chỉ IP 10.0.0.1 đã bị cài đặt Sniffer Bằng các kỹ thuật của mình các Hacker vẫn có thể né tránh được phương pháp nêu trên Các Hacker sẽ sử dụng những MAC Address ảo Rất nhiều hệ thống máy tính trong

đó có Windows có tích hợp khả năng MAC Filtering.

• Phòng chống Sniffer:

- Phương pháp dùng ARP TABLE:củng giống như phương pháp ping nhưng Khác biệt chỗ chúng ta sẽ sử dụng những Packet ARP

• Phòng chống Sniffer:

- Phương pháp dùng DNS:Rất nhiều chương trình Sniffer có tính năng phân giải ngược các địa IP thành DNS mà chúng nhìn thấy (như

dsniff) Bởi vậy khi quan sát lưu lượng truyền thông của DNS bạn có thể phát hiện được

Sniffer ở chế độ hỗn tạp

(Promiscuous Mode)

• Phòng chống Sniffer:

-Phương pháp giăng bẫy (Decoy) : Tương tự như phương pháp sử dụng ARP nhưng nó được

sử dụng trong những phạm vi mạng rộng lớn hơn (gần như là khắp nơi) Rất nhiều giao thức

sử dụng các Password không được mã hoá trên đường truyền

• Phòng chống Sniffer:

Phương pháp kiểm tra sự chậm trễ của gói tin (Latency)

PHÒNG CHỐNG DISCOVERY PASSWORD

• Sử dụng các phương pháp mã hóa mới nhất tối

ưu nhất như là SSH-2……