Trao đổi với tôi

http://www.buidao.com

12/16/09

[Hacking] Sniff Server: how to prevent ARP Poison - ARP Spoofing and MAC Flooding?

Cơ bản về sniff

Sniff đã có từ thời internet khai sinh lập địa. Và cho đến hiện nay, các sniffer đã đã xây dựng rất nhiều công cụ hỗ trợ cho việc tấn công các mạng, mặc dù các quản trị mạng đã rât cố gắng trong việc phát hiện ra các cuộc đầu độc Mac Address, tuy nhiên vẫn còn nhiều hạn chế.
Vậy sniff như thế nào và cách phòng chống
Cách tấn công


Các phần mềm đi kèm sniffer (trên windows).
1. Cain & Abel 4.9.19:
Phần mềm xuất hiện gần đây - tích hợp nhiều công cụ khác cho phép tấn công - không giới hạn - vào các máy trong mạng LAN - trong cùng 1 dải IP LAN (server).

Code:
Cain & Abel is a password recovery tool for Microsoft Operating Systems. It allows easy recovery of various kind of passwords by sniffing the network, cracking encrypted passwords using Dictionary, Brute-Force and Cryptanalysis attacks, recording VoIP conversations, decoding scrambled passwords, revealing password boxes, uncovering cached passwords and analyzing routing protocols. The program does not exploit any software vulnerabilities or bugs that could not be fixed with little effort. It covers some security aspects/weakness present in protocol's standards, authentication methods and caching mechanisms; its main purpose is the simplified recovery of passwords and credentials from various sources, however it also ships some "non standard" utilities for Microsoft Windows users.

Cain & Abel has been developed in the hope that it will be useful for network administrators, teachers, security consultants/professionals, forensic staff, security software vendors, professional penetration tester and everyone else that plans to use it for ethical reasons. The author will not help or support any illegal activity done with this program. Be warned that there is the possibility that you will cause damages and/or loss of data using this software and that in no events shall the author be liable for such damages or loss of data. Please carefully read the License Agreement included in the program before using it.

The latest version is faster and contains a lot of new features like APR (Arp Poison Routing) which enables sniffing on switched LANs and Man-in-the-Middle attacks. The sniffer in this version can also analyze encrypted protocols such as SSH-1 and HTTPS, and contains filters to capture credentials from a wide range of authentication mechanisms. The new version also ships routing protocols authentication monitors and routes extractors, dictionary and brute-force crackers for all common hashing algorithms and for several specific authentications, password/hash calculators, cryptanalysis attacks, password decoders and some not so common utilities related to network and system security.
http://www.oxid.it/downloads/ca_setup.exe
2. Yahoo Messenger Monitor Sniffer 3.2 (nghe tên là biết rồi - không phải giới thiệu).
Code:
Yahoo Messenger Monitor Sniffer is handy network utility software designed to capture and observe Yahoo Messenger conversations on all computers in a network. It is able to record conversations automatically in real time. And export all intercepted messages to HTML files for later processing and analyzing. It is very easy to make it to work, and it will monitor all conversations in your Local Area network without the use of client software installed on the remote computer.


Key Features of Yahoo Messenger Monitor Sniffer



Capture and sniff Yahoo Messenger conversations from remote computer on the network.
Record or Yahoo Messenger chat conversations (include chat room).
Export all intercepted messages to HTML files.
Automatically send the chat logs to your e-mail for remote viewing.
Password and hot key protection.
Run in stealth mode.
Start capturing on the program startup.
User safe, easy, and powerful.
IM Monitor,MSN,Yahoo Messenger,AIM,ICQ - IM Sniffer Spy
crack: http://enfull.com/download.asp?newid...}&down=teldown

và tương tự: Immonitor Yahoo Messenger Spy 2.28
3. Nsauditor Network Security Auditor 1.73
Nsauditor is a network security scanner that allows to audit and monitor network computers for possible vulnerabilities , to see all open ports on your system and owner program names, including the process loaded modules, kernel objects, memory details, remote address and state of connections, dns name, country where from, service associated with connection, possible trojans associated with port and service description.
It's a real help for any network administrator.

All the mentioned features are provided with a user friendly graphical interface.The product contains a built-in database of known vulnerabilities, which allows you to select the items for scanning and add custom entries.

Nsauditor can reveal and catalog a variety of information, including installed software, shares, users, drives, hotfixes, NetBios, RPC, SQL and SNMP information, open ports.

Nsauditor Network Security Auditor can also audit password and security policies as well as make a variety of attack probes, such as stealth port scans, HTTP/CGI server auditing, registry auditing.

In addition, over 35 network tools for scanning, sniffing, enumerating and gaining access to machines, dns and whois lookups, Finger, e-mail validate, Traffic emulator, HTTP traffic generator and intrusion detection system based on security events log analyzer are included.

Nsauditor Network Security Auditor can sniff and use brute-force and dictionary attacks on LM and NTLM password hashes and expose the insecure ones.

Nsauditor does OS detection and automatically creates OS fingerprints which are not included in database. The outputs of scanned reports are in HTML and XML formats.
Download phần mềm
download crack
4. Kwakkelflap Sniff-O-Matic v1.06.1020
Code:
Sniff - O - Matic is a network protocol analyzer and packet sniffer with a clear and intuitive interface. It captures network traffic and enables you to analyze the data. Detailed packet information is available in a tree structure or a raw data view of the packet data.

We believe most sniffers are too complex. Too many features, too many buttons, too much to learn. Sniff - O - Matic solves all of this. Rather than implementing obscure protocols no one actually uses, we have added the most common protocols to provide you a useful tool at a reduced price. We do not use driver software, or worse, third party drivers you have no control of to capture packets.
Network protocol analyzer and packet sniffer
crack: download crack cho kwakkelflap

5. IP Sniffer 1.97.0.9
download: Download IP Sniffer 1.97.0.9 - A free protocol analyzer, that uses the XP/2K Raw Socket features - Softpedia

6....còn tiếp...

Phần 2:Phòng thủ

Bài viết này Lovelinux đưa ra chỉ để các quản trị viên tham khảo, vì Lovelinux đã từng là 1 tay sniffer cách đây khá lâu rồi và hồi đó gặp nhiều cao thủ quá - nên tắt điện - ngủ đông luôn. Có một số cách phòng thủ mà Lovelinux ngán nhất.

1. Tay admin vào command (shell của linux) gõ:
HTML Code:
arp -a

nó sẽ hiện ra các máy có MAC Address trùng với Mac của Gateway hay modem.
Khi đó họ chỉ cần sử dụng phần mềm tìm Mac 1 phát
ví dụ tớ sử dụng lanlook Look@LAN Network Monitor download and review - network monitor from SnapFiles
thế là phát hiện ra kẻ tấn công, sợ wé .

Cách chống lại "cách phòng thủ trên": Đơn giản nhưng hiệu nghiệm
A. Cài vmwave, sử dụng hệ điều hành này để sniff
B. MAC Flooding: Sử dụng đa hệ thống - send khoảng 20.000 cái Mac - máy này giả mac máy này, máy kia giả mac gate, máy nọ giả mác máy ... mình . Cho dữ liệu chạy loạn lên ). Cách này có tác dụng làm ... đơ luôn mạng và nếu máy bạn không quá mạnh - cũng đơ luôn =)). (có thể dùng Cain để tấn công Flood).
C. Remote vào 1 thằng nào đó sau đó tấn công - Xóa log. - Hữu hiệu nhất và rất khó phát hiện .

2. Tắt ARP đi - disable ARP
Trong linux sử dụng:
HTML Code:
ifconfig eth0 -ARP
để disable ARP protocol trên interface eth0
Trên Windows sử dụng:
HTML Code:
arp -d inet- addr
Thí dụ: arp -d 192.168.1.60 00-AA-00-26-09-B5
hoặc:
To disable gratuitous ARPs after applying this hotfix:
1. Click Start, click Run, type regedt32, and then click OK.
2. On the Windows menu, click HKEY_LOCAL_ MACHINE on Local Machine.
3. Click the \System\CurrentControlSet\Services\TcpIp\Parameter s folder.
4. Double-click the ArpRetryCount value, type 0, (for Windows 2000, type 1) and then click OK.
5. Quit Registry Editor, and then restart the computer.
(nếu ko có key này thì add thêm vào).


3. ARP Static - Đặt ARP tĩnh cho máy cần bảo vệ (personal)

Linux:
HTML Code:
arp -a
để liệt kê các entries có sắn,
Code:
arp -d 192.168.X.X
để delete lần lượt các entries tìm thấy
sau đó thêm vào các arp entries bằng tay:
HTML Code:
sudo arp -s 192.168.1.60 XXXXXXXXXX
hiện tại chỉ cần add vào một số entries cần thiết nhất như của Gateway chẳng hạn hoặc citrix

4. Sử dụng 1 số tool sau:
a. Nhận biết & chống MAC Flooding: Cách này dễ nhận biết.
MACManipulator: tool này cho phép thiết lập 1 phiên MAC Flood, giúp admin test xem switch có chịu nổi khi bị flood hay không. MAC Flooding chỉ có tác dụng đối với các loại switch rẻ tiền (ít port).
b. Chống ARP Spoofing: hơi khó do khi đó network traffic không có biến đổi gì nhiều. Một dấu hiệu là khi 1 host bị spoof thì máy attack sẽ có MAC giống với máy đó. Vì vậy admin chỉ cần query MAC từ các host trong network, nếu có 2 MAC giống nhau thì coi như network under attack.
Các tool ARP analyzer:
Công cụ xARP có chức năng phát hiện ARP Spoofing trên windows
tools dùng cho Linux: ARPSpoofDetector, ARP - GUARD, SGUIL, ARP Watch cho hệ thống company (tuy nhiên ko phù hợp khi sử dụng DHCP).

5.> Cách khác
> OS x has a patch y which helps preventing ARP spoofing (like antidote)
> or
> -OS x in version y has a small built in ARP prevention (like SunOS)
> or
> -Firewall/IDS x is able to prevent/detect ARP spoofing

tham khảo một số nguồn:
[thảo luận] virus ARP spoofing - .:: HVAOnline ::.
ARP spoofing HTTP infection malware - Security Labs Blog
Defending ARP Spoofing
comp.os.ms-windows.nt.admin.security: Re: Defending ARP Spoofing
How to Disable the Gratuitous ARP Function
Defending ARP Spoofing
http://www.acsac.org/2003/papers/111.pdf

Link: http://www.hackingart.com/bao_mat_tren_centos/109-sniff_server_how_prevent_arp_poison_arp_spoofing_mac_flooding.html