Tài liệu lab CEH tiếng việt phần 2
Trang 1Giáo trình bài t p C|EH Tài li u dành cho h c viên
l ng thông tin trên m t h th ng m ng
Sniffer đ c s d ng nh m t công c đ các nhà qu n tr m ng theo dõi và b o trì h
th ng m ng V m t tiêu c c, sniffer đ c s d ng nh m t công c v i m c đích nghe lén các thông tin trên m ng đ l y các thông tin quan tr ng
Sniffer d a vào ph ng th c t n công ARP đ b t gói các thông tin đ c truy n qua
m ng
Tuy nhiên nh ng giao d ch gi a các h th ng m ng máy tính th ng là nh ng d li u d ng
nh phân (binary) B i v y đ hi u đ c nh ng d li u d ng nh phân này, các ch ng trình Sniffer này ph i có tính n ng phân tích các nghi th c (Protocol Analysis), c ng nh tính n ng
2 S L c Quá trình ho t đ ng
Trên cùng m t m ng, Host A và Host B mu n truy n tin cho nhau, các Packet s đ c đ a
xu ng t ng Datalink đ đóng gói, các Host ph i đóng gói MAC ngu n, MAC đích vào Frame
Nh v y tr c khi quá trình truy n D li u, các Host ph i h i đ a ch MAC c a nhau
N u nh Host A kh i đ ng quá trình h i MAC tr c, nó s g i broadcast gói tin ARP request cho t t c các Host đ h i MAC Host B, lúc đó Host B đã có MAC c a Host A, sau đó Host B
ch tr l i cho Host A MAC c a Host B(ARP reply )
Có 1 Host C liên t c g i ARP reply cho Host A và Host B đ a ch MAC c a Host C, nh ng l i
đ t đ a ch IP là Host A và Host B Lúc này Host A c ngh máy B có MAC là C Nh v y các gói tin mà Host A g i cho Host B đ u b đ a đ n Host C, gói tin Host B tr l i cho Host
A c ng đ a đ n Host C N u Host C b t ch c n ng forwarding thì coi nh Host A và Host B không h hay bi t r ng mình b t n công ARP
Trang 2Giáo trình bài t p C|EH Tài li u dành cho h c viên
- u tiên, HostA mu n g i d li u cho Victim, c n ph i bi t đ a ch MAC c a Victim
đ liên l c HostA s g i broadcast ARP Request t i t t c các máy trong cùng m ng LAN đ h i xem IP 10.0.0.12 (IP c a Victim) có đ a ch MAC là bao nhiêu
- Attacker và Victim đ u nh n đ c gói tin ARP Request, nh ng ch có Victim g i tr
l i gói tin ARP Reply l i cho HostA ARP Reply ch a thông tin v IP 10.0.0.12 và MAC 0000.0000.1012 c a Victim
- HostA nh n đ c gói ARP Realy t Victim, bi t đ c đ a ch MAC c a Victim là 0000.0000.1012 s b t đ u th c hi n liên l c truy n d li u đ n Victim Attacker không th xem n i dung d li u đ c truy n gi a HostA và Victim
Máy Attacker mu n th c hi n ARP attack đ i v i máy Victim Attacker mu n m i gói tin HostA g i đ n máy Victim đ u có th ch p l i đ c đ xem tr m
- Attacker th c hi n g i liên t c ARP Reply ch a thông tin v IP c a Victim 10.0.0.12, còn đ a ch MAC là c a Attacker 0000.0000.1011
- HostA nh n đ c ARP Reply ngh r ng IP Victim 10.0.0.12 có đ a ch MAC là 0000.0000.1011 HostA l u thông tin này vào b ng ARP Cache và th c hi n k t n i
- Lúc này m i thông tin, d li u HostA g i t i máy có IP 10.0.0.12 (là máy Victim) s
g i qua đ a ch MAC 0000.0000.1011 c a máy Attacker
Host C
Trang 3Giáo trình bài t p C|EH Tài li u dành cho h c viên
Trang 4Giáo trình bài t p C|EH Tài li u dành cho h c viên
Ch n Next
Ch n Finish
Trang 5Giáo trình bài t p C|EH Tài li u dành cho h c viên
Trang 6Giáo trình bài t p C|EH Tài li u dành cho h c viên
Trang 7Giáo trình bài t p C|EH Tài li u dành cho h c viên
3 C u hình
Cain & Abel c n c u hình m t vài thông s , m ïi th có th đ c đi u ch nh thông qua b ng Configuration dialog
Sniffer tab:
-T i đây chúng ta ch n card m ng s d ng đ ti n hành sniffer và tính n ng APR Check vào
ô Option đ kích ho t hay không kích ho t tính n ng
-Sniffer t ng thích v i Winpcap version 2.3 hay cao h n Version này h tr card m ng r t nhi u
Trang 16Giáo trình bài t p C|EH Tài li u dành cho h c viên
Trang 17Giáo trình bài t p C|EH Tài li u dành cho h c viên
ETTERCAP
1 Gi i Thi u
Ettercap là ch ng trình phân tích các gói tin g i qua m ng, vì th Ettercap c ng là m t ph n
m m hi u nghi m cho phép ng i s d ng “đánh h i” các d li u trên m ng LAN, k c
nh ng thông tin đã đ c mã hóa Ettercap có th gi danh đ a ch MAC c a card m ng b t n công, thay vì gói tin đ c truy n đ n máy tính c n đ n thì nó l i đ c truy n đ n máy tính có cài ettercap r i sau đó m i truy n đ n máy tính đích
2 Install trên Linux
Tr c khi Install, chúng ta c n chu n b 3 gói cài sau:
+ ettercap-NG-0.7.1.tar – có th download t website
Trang 18Giáo trình bài t p C|EH Tài li u dành cho h c viên
Trang 19Giáo trình bài t p C|EH Tài li u dành cho h c viên
- Tr c khi ti n hành c u hình, ta ki m tra option Promisc mode có d c check ch a, n u
ch a thì ch n check
- Trong menu sniff, ch n Unified sniffing
Trang 20Giáo trình bài t p C|EH Tài li u dành cho h c viên
- Ch n card m ng s d ng
- kh i đ ng quá trình l ng nghe, ch n menu start, start sniffing
Trang 21Giáo trình bài t p C|EH Tài li u dành cho h c viên
T i dòng User Messages se xu t hi n thông báo cho bi t d ch v đang start lên
- Trong menu Host, ch n Scan from hosts
Trang 30Giáo trình bài t p C|EH Tài li u dành cho h c viên
h ) T n công DNS:
- Hacker có th đ i m t l i vào trên Domain Name Server c a h th ng n n nhân r i cho ch
đ n m t website nào đó c a hacker Khi máy khách yêu c u DNS phân tích đ a ch b xâm
nh p thành đ a ch ip, l p t c DNS (đã b hacker thay đ i cache t m th I ) s đ i thành đ a ch
ip mà hacker đã cho ch đ n đó K t qu là thay vì ph i vào trang Web mu n vào thì các n n nhân s vào trang Web do chính hacker t o ra M t cách t n công t ch i d ch v th t h u
hi u !
g ) Distributed DoS Attacks (DDos ):
- DDoS yêu c u ph i có ít nh t vài hackers cùng tham gia u tiên các hackers s c thâm
nh p vào các m ng máy tính đ c b o m t kém, sau đó cài lên các h th ng này ch ng trình DDoS server Bây gi các hackers s h n nhau đ n th i gian đã đ nh s dùng DDoS client k t
n i đ n các DDoS servers, sau đó đ ng lo t ra l nh cho các DDoS servers này ti n hành t n công DDoS đ n h th ng n n nhân
h.) DRDoS (The Distributed Reflection Denial of Service Attack ):
- ây có l là ki u t n công l i h i nh t và làm boot máy tính c a đ i ph ng nhanh g n nh t Cách làm thì c ng t ng t nh DDos nh ng thay vì t n công b ng nhi u máy tính thì ng I
t n công ch c n dùng m t máy t n công thông qua các server l n trên th gi i V n v i
ph ng pháp gi m o đ a ch IP c a victim, k t n công s g i các gói tin đ n các server
m nh nh t, nhanh nh t và có đ ng truy n r ng nh t nh Yahoo v.v…, các server này s
ph n h i các gói tin đó đ n đ a ch c a victim Vi c cùng m t lúc nh n đ c nhi u gói tin thông qua các server l n này s nhanh chóng làm ngh n đ ng truy n c a máy tính n n nhân
và làm crash, reboot máy tính đó Cách t n công này l i h i ch ch c n m t máy có k t n i Internet đ n gi n v i đ ng truy n bình th ng c ng có th đánh b t đ c h th ng có đ ng truy n t t nh t th gi I n u nh ta không k p ng n ch n Trang Web HVA c a chúng ta c ng
b DoS v a r i b i cách t n công này đ y
(Trích d n Netsky (vniss))
II/ Mô t bài lab:
Bài Lab 1: DoS b ng cách s d ng Ping of death
Ngoài vi c s d ng các tool Nemesy ta còn có th s d ng l nh sau đ có th kh i đ ng ping of death
For /L %i in (1,1,100) do start ping [ip victim] –l 10000 -t
Trang 31Giáo trình bài t p C|EH Tài li u dành cho h c viên
Ta có th ch y câu l nh này nhi u l n, đ có th làm cho máy Client b DoS hoàn toàn
Trang 32Giáo trình bài t p C|EH Tài li u dành cho h c viên
Bài lab 2: DoS 1 giao th c không s d ng ch ng th c(trong bài s d ng giao th c RIP)
Trong bài này chúng ta s d ng Cisco router đ ch y phiên b n RIP version 1 và s
d ng tool Nemesis t máy CD Boot Linux đ chèn vào các thông đi p RIP update trên Router Router khi nh n đ c thông đi p update s l u l i trong b n đ nh tuy n Do v y ta có
th th c thi ch ng trình Nemesis nhi u l n và làm cho b nh c a Router đ y
th c hi n l nh này, ta ki m tra trên router đã có route này ch a, sau đó so n 1 script có các route khác nhau và ch y script
Trang 33Giáo trình bài t p C|EH Tài li u dành cho h c viên
Quá trình inject packet vào Router
Trang 34Giáo trình bài t p C|EH Tài li u dành cho h c viên
Router s b tràn Memory
B n đ nh tuy n c a Router lúc t n công
Nh v y v i vi c chèn vào nh ng thông tin update c a giao th c không ch ng th c,
chúng ta có th làm cho Router không ho t đ ng đ c i u này nói lên t m quan tr ng c a
Trang 35Giáo trình bài t p C|EH Tài li u dành cho h c viên
ch ng th c Trung Nemesis còn r t nhi u option v các giao th c ARP, OSPF v.v H c viên
có th t test nh ng giao th c còn l i
Bài Lab 3: S d ng flash đ DDoS
Ngoài vi c t n công tr c ti p thông qua các giao th c nh là RIP, OSPF, ARP v.v Hacker còn có th s d ng các file flash đ lên các forum, khi ng i s d ng ch y file flash này(có th là đo n phim ) thì đ ng th i s g i “HTTP POST “ đ n n n nhân Nh v y n u
nh file flash này đ c t i lên nhi u forum c ng nh đ c nhi u ng i xem cùng 1 lúc, thì vô tình các Server ch a các file này đã t n công DoS vào Server n n nhân
Ta s d ng file Flash trong CD (Module 8)sau đó, ch y file này b ng internet explorer, phân tích b ng webscarab proxy
Trang 36Giáo trình bài t p C|EH Tài li u dành cho h c viên
File flash m r t nhi u c a s Internet Explorer và m i explorer g i “HTTP POST”
v phía Server n n nhân
