Bài 1
DÒ TÌM TRÊN MẠNG
1. MỤC ĐÍCH
Trong bài học này chúng ta sẽ tiến hành kiểm tra thông tin trên mạng bằng công cụ Super Scan. Cụ thể hơn, chúng ta sẽ dùng Super Scan để quét 1 IP và xác định cá lỗ hổng có thể xâm nhập vào hệ thống thông qua các port mà phần mềm xác định mở.
2. CÁC CÔNG CỤ CẦN CÓ TRONG BÀI LAB: Super Scan
Chúng ta có thể down tool Super Scan tại www.foundstone.com
3. CÁC BƯỚC TIẾN HÀNH
Sau khi down Super Scan về máy, bạn chạy chương trình như hình dưới:
Hostname/IP: Điền vào IP muốn quét
Hoặc bạn cũng có thể Scan cả 1 range IP:
- Start IP : IP bắt đầu
- End IP : IP kết thúc
Để bắt đầu quét ta click vào nút start ở góc trái bên dưới
Ngoài ra Super Scan còn có các options khác như:
- Host and Services Discovery: Dùng để thay đổi số port bạn muốn quét của IP đó hoặc dựa trên danh sách Port list có sẵn.
- Scan Options: Thay đổi các tham số host và services.
- Tools: Các chức năng để kiểm tra, tìm kiếm thông tin của 1 IP hoặc domain. (Ping, whois, HTTP Header request,…)
- Windows Enumeration: Thông tin mở rộng về IP hoặc Domain (NetBIOS,Mac address, Workstation,…)
Ví dụ: Khi scan IP 210.245.31.17 ta sẽ nhận được kết quả như hình dưới:
Ở đây, IP 210.245.31.17 đang mở tổng cộng 6 port: 5 TCP và 1 UDP
Theo như liệt kê thì các port TCP đang mở là:
- 21 : FTP
- 23 : Telnet
- 80 : web
- 443: SSL
- 8001: port này do Trojan mở
Để xem chi tiết kết quả hơn, ta click vào View HTML Results.
Từ đây ta sẽ xác định được các port mà hacker có thể lợi dụng để xâm nhập và có biện pháp secure cho các port này.
Một số tính năng khác của Super Scan trong phần Tools để ping, tracert hay whois 1 domain
Ở hình trên ta thu được thông tin khi tracert domain www.itsea.net như sau:
- Domain này có IP: 207.210.81.150 và qua 16 hop, server dùng hệ điều hành Linux, chạy Apache 1.3.36 (unix) ,OpenSSL 0.9.7a …
- Ngoài ra còn 1 số chức năng khác để khai thác triệt để những thông tin về domain này.
4. NHẬN XÉT
Super Scan là 1 công cụ scan kiểm tra thông tin IP rất mạnh và dễ sử dụng, ngoài ra còn 1 số công cụ khác như Scan port, 1st Blue scan port,… và có chức năng giống Super Scan.
Với 1 công cụ như Super Scan thì không khó để kiểm soát những thông tin về 1 IP và từ đó có cách bảo mật tốt hơn.
* kết thúc bài LAB thứ nhất!
BÀI 3
TẤN CÔNG TỪ CHỐI DỊCH VỤ DOS
1. GIỚI THIỆU VỀ DOS
Như chúng ta biết DOS (Denial Of Service) – tấn công từ chối dịch vụ là 1 hình thức tấn công gửi các request liên tục vào server chiếm resource và bandwitdh của server với cường độ lớn làm cho server không kịp đáp ứng dẫn đến hậu quả server sẽ bị overload và down.
Trong bài lab này, chúng ta sẽ thực hiện Syn Flood – gửi liên tục các gói Syn vào 1 PC nhằm mục đích làm cho PC đó không đáp ứng kịp và down.
2. SƠ ĐỒ MÔ HÌNH SYN FLOOD ATTACK
Ở sơ đồ trên, máy attacker bên trái sẽ thực hiện Syn Flood vào server. Sau 1 thời gian tấn công liên tục, server (victim) sẽ bị down và không thể đáp ứng các request của User được nữa.
3. CÔNG CỤ CẦN CÓ CHO BÀI LAB: Syn Flood tools.
4. CÁC BƯỚC TIẾN HÀNH
Sau khi có chương trình syn flood rồi bạn giải nén vào ở C:\>, khởi động CMD.
Trước tiên cần kiểm tra kết nối đến máy sẽ tấn công, ví dụ ở đây sẽ tấn công trực tiếp vào router ADSL.
Trước tiên kiểm tra kết nối giữa PC và router ADSL.
Như vậy là PC chúng ta đang kết nối với router ADSL qua defautl gateway là 192.168.1.1
Tiếp theo ta sẽ tấn công Syn Flood Router ADSL bằng cổng defautl gateway: khởi động chương trình Syn flood bằng CMD.
Câu lệnh tấn công:
C:\>Syn
Lưu ý: IP và Port có thể khai báo giả để nơi bị tấn công không thể truy ra địa chỉ thật của mình.
Ví dụ:
C:\>Syn 10.0.0.155 8080 192.168.1.1 80
Ở ví dụ trên 10.0.0.155 là địa chỉ giả và port 8080 cũng là port giả
192.168.1.1 là IP của defautl gateway và port 80 là port sẽ gửi những gói Syns.
Ở hình trên là quá trình đang Syn Flood đến Router ADSL. Với 1 số Router hoặc server tốt, để việc tấn công dồn dập hơn bạn hãy mở nhiều cửa sổ CMD và tấn công cùng lúc.
Và đây là kết quả của cuộc tấn công
Router ADSL hoàn toàn chết và không thể truy cập vào Internet được nữa. Quá trình Syn Flood sẽ vẫn tiếp diễn liên tục cho đến khi bạn muốn kết thúc bằng tổ hợp phím Ctrl + C.
5. NHẬN XÉT:
Syn Flood attack là 1 hình thức tấn công rất đơn giản nhưng hữu hiệu. Tuy nhiên nó chỉ có tác dụng với các client hoặc Router ADSL nhỏ và không có firewall. Còn đối với các server lớn hoặc được Firewall bảo vệ thì sẽ dùng 1 hình thức attack khác là Ddos.
--------------------------------------------
Còn tiếp!
--------------------------------------------
--------------------------------- RefLink: http://thegioimang.org/forum/tham-nhap-trong-microsoft/1185-huong-dan-thuc-hanh-lab-mon-serurity.html
DÒ TÌM TRÊN MẠNG
1. MỤC ĐÍCH
Trong bài học này chúng ta sẽ tiến hành kiểm tra thông tin trên mạng bằng công cụ Super Scan. Cụ thể hơn, chúng ta sẽ dùng Super Scan để quét 1 IP và xác định cá lỗ hổng có thể xâm nhập vào hệ thống thông qua các port mà phần mềm xác định mở.
2. CÁC CÔNG CỤ CẦN CÓ TRONG BÀI LAB: Super Scan
Chúng ta có thể down tool Super Scan tại www.foundstone.com
3. CÁC BƯỚC TIẾN HÀNH
Sau khi down Super Scan về máy, bạn chạy chương trình như hình dưới:
Hostname/IP: Điền vào IP muốn quét
Hoặc bạn cũng có thể Scan cả 1 range IP:
- Start IP : IP bắt đầu
- End IP : IP kết thúc
Để bắt đầu quét ta click vào nút start ở góc trái bên dưới
Ngoài ra Super Scan còn có các options khác như:
- Host and Services Discovery: Dùng để thay đổi số port bạn muốn quét của IP đó hoặc dựa trên danh sách Port list có sẵn.
- Scan Options: Thay đổi các tham số host và services.
- Tools: Các chức năng để kiểm tra, tìm kiếm thông tin của 1 IP hoặc domain. (Ping, whois, HTTP Header request,…)
- Windows Enumeration: Thông tin mở rộng về IP hoặc Domain (NetBIOS,Mac address, Workstation,…)
Ví dụ: Khi scan IP 210.245.31.17 ta sẽ nhận được kết quả như hình dưới:
Ở đây, IP 210.245.31.17 đang mở tổng cộng 6 port: 5 TCP và 1 UDP
Theo như liệt kê thì các port TCP đang mở là:
- 21 : FTP
- 23 : Telnet
- 80 : web
- 443: SSL
- 8001: port này do Trojan mở
Để xem chi tiết kết quả hơn, ta click vào View HTML Results.
Từ đây ta sẽ xác định được các port mà hacker có thể lợi dụng để xâm nhập và có biện pháp secure cho các port này.
Một số tính năng khác của Super Scan trong phần Tools để ping, tracert hay whois 1 domain
Ở hình trên ta thu được thông tin khi tracert domain www.itsea.net như sau:
- Domain này có IP: 207.210.81.150 và qua 16 hop, server dùng hệ điều hành Linux, chạy Apache 1.3.36 (unix) ,OpenSSL 0.9.7a …
- Ngoài ra còn 1 số chức năng khác để khai thác triệt để những thông tin về domain này.
4. NHẬN XÉT
Super Scan là 1 công cụ scan kiểm tra thông tin IP rất mạnh và dễ sử dụng, ngoài ra còn 1 số công cụ khác như Scan port, 1st Blue scan port,… và có chức năng giống Super Scan.
Với 1 công cụ như Super Scan thì không khó để kiểm soát những thông tin về 1 IP và từ đó có cách bảo mật tốt hơn.
* kết thúc bài LAB thứ nhất!
BÀI 2
CÁC PHƯƠNG PHÁP SNIFFER
1. TỔNG QUAN SNIFFER
Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng các lưu lượng thông tin trên một hệ thống mạng.
Sniffer được sử dụng như một công cụ để các nhà quản trị mạng theo dõi và bảo trì hệ thống mạng. Về mặt tiêu cực, sniffer được sử dụng như một công cụ với mục đích nghe lén các thông tin trên mạng để lấy các thông tin quan trọng.
Sniffer dựa vào phương thức tấn công ARP để bắt gói các thông tin được truyền qua mạng.
Tuy nhiên những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân (binary). Bởi vậy để hiểu được những dữ liệu ở dạng nhị phân này, các chương trình Sniffer này phải có tính năng phân tích các nghi thức (Protocol Analysis), cũng như tính năng giải mã (Decode) các dữ liệu ở dạng nhị phân để hiểu được chúng
Một số các ứng dụng của Sniffer được sử dụng như : dsniff, snort, cain, ettercap, sniffer pro…
2. HOẠT ĐỘNG CỦA SNIFFER
Sniffer hoạt động chủ yếu dựa trên dạng tấn công ARP.
TẤN CÔNG ARP
a. Giới thiệu:
Đây là một dạng tấn công rất nguy hiểm, gọi là Man In The Middle. Trong trường hợp này giống như bị đặt máy nghe lén, phiên làm việc giữa máy gởi và máy nhận vẫn diễn ra bình thường nên người sử dụng không hề hay biết mình bị tấn công.
b. Sơ lược quá trình hoạt động:
Trên cùng một mạng, Host A và Host B muốn truyền tin cho nhau, các Packet sẽ được đưa xuống tầng Datalink để đóng gói, các Host phải đóng gói MAC nguồn, MAC đích vào Frame. Như vậy trước khi quá trình truyền Dữ liệu, các Host phải hỏi địa chỉ MAC của nhau.
Nếu như Host A khởi động quá trình hỏi MAC trước, nó sẽ gởi broadcast gói tin ARP request cho tất cả các Host để hỏi MAC Host B, lúc đó Host B đã có MAC của Host A, sau đó Host B chỉ trả lời cho Host A MAC của Host B (ARP reply).
Có 1 Host C liên tục gởi ARP reply cho Host A và Host B địa chỉ MAC của Host C, nhưng lại đặt địa chỉ IP là Host A và Host B. Lúc này Host A cứ nghĩ máy B có MAC là C. Như vậy các gói tin mà Host A gởi cho Host B đều bị đưa đến Host C, gói tin Host B trả lời cho Host A cũng đưa đến Host C. Nếu Host C bật chức năng forwarding thì coi như Host A và Host B không hề hay biết rằng mình bị tấn công ARP.
Ví dụ :
Ta có mô hình gồm các host
• Attacker: là máy hacker dùng để tấn công ARP
IP: 10.0.0.11
MAC: 0000.0000.1011
• Victim: là máy bị tấn công
IP: 10.0.0.12
MAC: 0000.0000.1012
• HostA
IP: 10.0.0.13
MAC: 0000.0000.1013
- Đầu tiên, HostA muốn gởi dữ liệu cho Victim, cần phải biết địa chỉ MAC của Victim để liên lạc. HostA sẽ gởi broadcast ARP Request tới tất cả các máy trong cùng mạng LAN để hỏi xem IP 10.0.0.12 (IP của Victim) có địa chỉ MAC là bao nhiêu.
- Attacker và Victim đều nhận được gói tin ARP Request, nhưng chỉ có Victim gởi trả lời gói tin ARP Reply lại cho HostA. ARP Reply chứa thông tin về IP 10.0.0.12 và MAC 0000.0000.1012 của Victim.
- HostA nhận được gói ARP Realy từ Victim, biết được địa chỉ MAC của Victim là 0000.0000.1012 sẽ bắt đầu thực hiện liên lạc truyền dữ liệu đến Victim. Attacker không thể xem nội dung dữ liệu được truyền giữa HostA và Victim.
Máy Attacker muốn thực hiện ARP attack đối với máy Victim. Attacker muốn mọi gói tin HostA gởi đến máy Victim đều có thể chụp lại được để xem trộm.
- Attacker thực hiện gởi liên tục ARP Reply chứa thông tin về IP của Victim 10.0.0.12, còn địa chỉ MAC là của Attacker 0000.0000.1011.
- HostA nhận được ARP Reply nghĩ rằng IP Victim 10.0.0.12 có địa chỉ MAC là 0000.0000.1011. HostA lưu thông tin này vào bảng ARP Cache và thực hiện kết nối.
- Lúc này mọi thông tin, dữ liệu HostA gởi tới máy có IP 10.0.0.12 (là máy Victim) sẽ gởi qua địa chỉ MAC 0000.0000.1011 của máy Attacker.
CAIN (Sử dụng phần mềm CAIN)
Phần mềm Cain l phần mềm sniffer hiệu quả hiện nay. Cung cấp tính năng của cain có thể cho phép sniffer được cung cấp thông tin “bí mật ” trong hệ thống mạng LAN như password e-mail, password dịch vụ ftp, telnet,…
a. Yêu cầu về phần cứng :
Ổ cứng cần trống 10 Mb
Hệ điều hành Win 2000/2003/XP
Cần phải có Winpcap
b. Cài đặt:
Chọn Next.
Chọn next.
Chọn Finish.
Trong quá trình cài Ct đòi hỏi ta phải cài đặt kèm bộ thư viện WinPcap.
c. Cấu hình:
Cain & Abel cần cấu hình một vài thông số, mọi thứ có thể được điều chỉnh thông qua bảng Configuration dialog.
Sniffer Tab
Tại đây chúng ta chọn card mạng sử dụng để tiến hành sniffer và tính năng APR. Check vào ô Option để kích hoạt hay không kích hoạt tính năng.
Sniffer tương thích với Winpcap Version 2.3 hay cao hơn. Version này hỗ trợ card mạng rất nhiều .
Apr Tab
Đây là nơi bạn có thể config ARP. Mặc định Cain ngăn cách 1 chuỗi gửi gói ARP từ nạn nhân trong vòng 30 giây. Đây thực sự là điều cần thiết bởi vì việc xâm nhập vào thiết bị có thể sẽ gây ra sự không lưu thông tính hiệu. Từ dialog này bạn có thể xác định thời gian giữa mỗi lần thực thi ARP, xác định thông số ít sẽ tạo cho ARP lưu thông nhiều ,ngược lại sẽ khó khăn hơn trong việc xâm nhập.
Tại mục này, ta cần chú ý tới phần Spoofing Options:
• Mục đầu tiên cho phép ta sử dụng địa chỉ MAC và IP thực của máy mà mình dang sử dụng.
• Mục thứ hai cho phép sử dụng một IP và địa chỉ MAC giả mạo.
(Lưu ý địa chỉ ta chọn phải không trùng với IP của máy khác)
Khi click vào tab filters and ports, ta sẽ thấy một số thông tin về giao thức và các con số port tương ứng với giao thức đó.
Fliter and Ports Tab
Tại đây bạn có thể chọn kích hoạt hay không kích hoạt các port ứng dụng TCP/UDP.
HTTP fields tab
Tại đây có 1 list danh sách username và password sử dụng được HTTP sniffer lọc lại.
Tại tab này cho phép ta biết dược chương trình này sẽ bắt 1 số thông tin về trang web như:
• Mục Username Fields: Nó sẽ lấy thông tin những gì liên quan đến cái tên (user name, account, web name v.v..) .
• Mục Password Fields: Lãnh vực này sẽ đãm nhiệm vai trò lấy thông tin về password (login password, user pass, webpass…)
d. Các ứng dụng của CAIN :
Bảo vệ password manager :
- Trước hết nó được sử dụng như 1 private key bảo mật một số vấn đề cho user. Hầu hết thông tin trong Protected Storage được mã hóa. Sử dụng như 1 key nhận được từ việc logon password của user. Cho phép điều hòa viêc truy cập thông tin để owner có thể an toàn truy xuất.
- Một vài ứng dụng của Windows có nét đặc trưng nên sử dụng dịch vụ này: Internet Explorer , Oulook , Oulook Express.
Giải mã password manager :
Nó cho phép bạn đưa user names và passwords cho 1 tài nguyên mạng khác và 1 ứng dụng, sau đó hệ thống tự động cung cấp thông tin về những sự viếng thăm thông tin mà bạn không can thiệp.
LSA secrets dumper:
LSA secrets thì sử dụng thông tin password cho accounts dùng để start một dịch vụ khác dữ liệu cục bộ. Dial Up và một số ứng dụng khác xác định password nằm ở đây.
Giải mã password Dial-Up:
APR
APR là nét đặc trưng chính của chương trình. Nó cho phép lắng nghe về các mạng chuyển mạch và sự tấn công lưu thông IP giữa các host. “APR poinsion routing” thực hiện: tấn công và định tuyến chính xác địa chỉ đích.
APR tấn công cơ bản thông qua thao tác của host ARP. Trên 1 địa chỉ IP hay Ethernet khi mà 2 host muốn truyền tin lẫn nhau thì phải biết địa chỉ MAC addresses của nhau. Host gốc thấy bảng ARP nếu mà ở đây có 1 MAC addresses tương ứng với địa chỉ IP addresses của nó. Nếu không, nó là địa chỉ broadcasts, một lời yêu cầu ARP hỏi địa chỉ MAC của địa chỉ đích. Bởi vì gói thông tin này được gửi trong miền broadcasts, nó sẽ đi đến những cái host cùng subnet, tuy nhiên host với IP address trên lý thuyết khi nhận được yêu cầu sẽ trả lời lại địa chỉ MAC gốc của nó. Trái lại nếu ARP-IP tiếp cận địa chỉ đích của host thì nó sẵn sàng đưa ra soure host trên ARP cache. Điều này sẽ được dùng để phát sinh lưu thông ARP.
Config.
Cần chỉnh 1 vài thông số, điều này có thể thực hiện được bằng việc chỉ rõ việc bắt chước MAC và IP addresses bằng việc sử dụng ARP poision packets. Điều này thật sự khó khăn khi không để lại vết tích của việc tấn công bởi vì người tấn công thực tế không bao giờ gửi địa chỉ qua lại trên mạng. Trên mạng người tấn công lúc nào cũng lén lúc ở giữa để quan sát.
Hình ở trên là ta muốn tấn công ip từ 192.168.0.1 192.168.0.10. Công việc tiến hành theo cơ chế người ở giữa, chương trình sẽ thực hiện 1 sự tấn công ARP poision, CAIN có thể phát triển sự tấn công bộ nhớ của nhiều host trong khoảng thời gian như nhau, bạn cần chọn 1 địa chỉ ở ô bên trái.
Service manager : ta có thể start/stop, pause/continued hay remove bất cứ 1 dịch vụ nào có trên cửa sổ giao diện.
Sniffer
ARP-DNS
Nét đặc trưng ở đây là cho phép DNS tiến hành giả mạo thành 1 DNS-reply để có thể tấn công .
ARP-DNS dễ dàng tạo ra 1 ip address trên DNS-reply. Sniffer dễ dàng rút ra được tên yêu cầu từ gói dữ liệu kết hợp với việc thấy được địa chỉ trên bảng danh sách. Ở đây gói dữ liệu sẽ được chỉnh lại IP address để sau đó re-route đi. Lúc này client sẽ bị đánh lừa để ta dễ dàng biết được địa chỉ đích .
ARP-HTTPS
ARP-HTTPS cho phép việc bắt gói và giải mã trong sự lưu thông của HTTPS giữa các host. Đây là công việc kết hợp với công cụ Certificate Collector . Khi mà nạn nhân Start HTTPS trình duyệt của anh ta sẽ hiện lên po-pup báo động .
CÁC PHƯƠNG PHÁP SNIFFER
1. TỔNG QUAN SNIFFER
Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng các lưu lượng thông tin trên một hệ thống mạng.
Sniffer được sử dụng như một công cụ để các nhà quản trị mạng theo dõi và bảo trì hệ thống mạng. Về mặt tiêu cực, sniffer được sử dụng như một công cụ với mục đích nghe lén các thông tin trên mạng để lấy các thông tin quan trọng.
Sniffer dựa vào phương thức tấn công ARP để bắt gói các thông tin được truyền qua mạng.
Tuy nhiên những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân (binary). Bởi vậy để hiểu được những dữ liệu ở dạng nhị phân này, các chương trình Sniffer này phải có tính năng phân tích các nghi thức (Protocol Analysis), cũng như tính năng giải mã (Decode) các dữ liệu ở dạng nhị phân để hiểu được chúng
Một số các ứng dụng của Sniffer được sử dụng như : dsniff, snort, cain, ettercap, sniffer pro…
2. HOẠT ĐỘNG CỦA SNIFFER
Sniffer hoạt động chủ yếu dựa trên dạng tấn công ARP.
TẤN CÔNG ARP
a. Giới thiệu:
Đây là một dạng tấn công rất nguy hiểm, gọi là Man In The Middle. Trong trường hợp này giống như bị đặt máy nghe lén, phiên làm việc giữa máy gởi và máy nhận vẫn diễn ra bình thường nên người sử dụng không hề hay biết mình bị tấn công.
b. Sơ lược quá trình hoạt động:
Trên cùng một mạng, Host A và Host B muốn truyền tin cho nhau, các Packet sẽ được đưa xuống tầng Datalink để đóng gói, các Host phải đóng gói MAC nguồn, MAC đích vào Frame. Như vậy trước khi quá trình truyền Dữ liệu, các Host phải hỏi địa chỉ MAC của nhau.
Nếu như Host A khởi động quá trình hỏi MAC trước, nó sẽ gởi broadcast gói tin ARP request cho tất cả các Host để hỏi MAC Host B, lúc đó Host B đã có MAC của Host A, sau đó Host B chỉ trả lời cho Host A MAC của Host B (ARP reply).
Có 1 Host C liên tục gởi ARP reply cho Host A và Host B địa chỉ MAC của Host C, nhưng lại đặt địa chỉ IP là Host A và Host B. Lúc này Host A cứ nghĩ máy B có MAC là C. Như vậy các gói tin mà Host A gởi cho Host B đều bị đưa đến Host C, gói tin Host B trả lời cho Host A cũng đưa đến Host C. Nếu Host C bật chức năng forwarding thì coi như Host A và Host B không hề hay biết rằng mình bị tấn công ARP.
Ví dụ :
Ta có mô hình gồm các host
• Attacker: là máy hacker dùng để tấn công ARP
IP: 10.0.0.11
MAC: 0000.0000.1011
• Victim: là máy bị tấn công
IP: 10.0.0.12
MAC: 0000.0000.1012
• HostA
IP: 10.0.0.13
MAC: 0000.0000.1013
- Đầu tiên, HostA muốn gởi dữ liệu cho Victim, cần phải biết địa chỉ MAC của Victim để liên lạc. HostA sẽ gởi broadcast ARP Request tới tất cả các máy trong cùng mạng LAN để hỏi xem IP 10.0.0.12 (IP của Victim) có địa chỉ MAC là bao nhiêu.
- Attacker và Victim đều nhận được gói tin ARP Request, nhưng chỉ có Victim gởi trả lời gói tin ARP Reply lại cho HostA. ARP Reply chứa thông tin về IP 10.0.0.12 và MAC 0000.0000.1012 của Victim.
- HostA nhận được gói ARP Realy từ Victim, biết được địa chỉ MAC của Victim là 0000.0000.1012 sẽ bắt đầu thực hiện liên lạc truyền dữ liệu đến Victim. Attacker không thể xem nội dung dữ liệu được truyền giữa HostA và Victim.
Máy Attacker muốn thực hiện ARP attack đối với máy Victim. Attacker muốn mọi gói tin HostA gởi đến máy Victim đều có thể chụp lại được để xem trộm.
- Attacker thực hiện gởi liên tục ARP Reply chứa thông tin về IP của Victim 10.0.0.12, còn địa chỉ MAC là của Attacker 0000.0000.1011.
- HostA nhận được ARP Reply nghĩ rằng IP Victim 10.0.0.12 có địa chỉ MAC là 0000.0000.1011. HostA lưu thông tin này vào bảng ARP Cache và thực hiện kết nối.
- Lúc này mọi thông tin, dữ liệu HostA gởi tới máy có IP 10.0.0.12 (là máy Victim) sẽ gởi qua địa chỉ MAC 0000.0000.1011 của máy Attacker.
CAIN (Sử dụng phần mềm CAIN)
Phần mềm Cain l phần mềm sniffer hiệu quả hiện nay. Cung cấp tính năng của cain có thể cho phép sniffer được cung cấp thông tin “bí mật ” trong hệ thống mạng LAN như password e-mail, password dịch vụ ftp, telnet,…
a. Yêu cầu về phần cứng :
Ổ cứng cần trống 10 Mb
Hệ điều hành Win 2000/2003/XP
Cần phải có Winpcap
b. Cài đặt:
Chọn Next.
Chọn next.
Chọn Finish.
Trong quá trình cài Ct đòi hỏi ta phải cài đặt kèm bộ thư viện WinPcap.
c. Cấu hình:
Cain & Abel cần cấu hình một vài thông số, mọi thứ có thể được điều chỉnh thông qua bảng Configuration dialog.
Sniffer Tab
Tại đây chúng ta chọn card mạng sử dụng để tiến hành sniffer và tính năng APR. Check vào ô Option để kích hoạt hay không kích hoạt tính năng.
Sniffer tương thích với Winpcap Version 2.3 hay cao hơn. Version này hỗ trợ card mạng rất nhiều .
Apr Tab
Đây là nơi bạn có thể config ARP. Mặc định Cain ngăn cách 1 chuỗi gửi gói ARP từ nạn nhân trong vòng 30 giây. Đây thực sự là điều cần thiết bởi vì việc xâm nhập vào thiết bị có thể sẽ gây ra sự không lưu thông tính hiệu. Từ dialog này bạn có thể xác định thời gian giữa mỗi lần thực thi ARP, xác định thông số ít sẽ tạo cho ARP lưu thông nhiều ,ngược lại sẽ khó khăn hơn trong việc xâm nhập.
Tại mục này, ta cần chú ý tới phần Spoofing Options:
• Mục đầu tiên cho phép ta sử dụng địa chỉ MAC và IP thực của máy mà mình dang sử dụng.
• Mục thứ hai cho phép sử dụng một IP và địa chỉ MAC giả mạo.
(Lưu ý địa chỉ ta chọn phải không trùng với IP của máy khác)
Khi click vào tab filters and ports, ta sẽ thấy một số thông tin về giao thức và các con số port tương ứng với giao thức đó.
Fliter and Ports Tab
Tại đây bạn có thể chọn kích hoạt hay không kích hoạt các port ứng dụng TCP/UDP.
HTTP fields tab
Tại đây có 1 list danh sách username và password sử dụng được HTTP sniffer lọc lại.
Tại tab này cho phép ta biết dược chương trình này sẽ bắt 1 số thông tin về trang web như:
• Mục Username Fields: Nó sẽ lấy thông tin những gì liên quan đến cái tên (user name, account, web name v.v..) .
• Mục Password Fields: Lãnh vực này sẽ đãm nhiệm vai trò lấy thông tin về password (login password, user pass, webpass…)
d. Các ứng dụng của CAIN :
Bảo vệ password manager :
- Trước hết nó được sử dụng như 1 private key bảo mật một số vấn đề cho user. Hầu hết thông tin trong Protected Storage được mã hóa. Sử dụng như 1 key nhận được từ việc logon password của user. Cho phép điều hòa viêc truy cập thông tin để owner có thể an toàn truy xuất.
- Một vài ứng dụng của Windows có nét đặc trưng nên sử dụng dịch vụ này: Internet Explorer , Oulook , Oulook Express.
Giải mã password manager :
Nó cho phép bạn đưa user names và passwords cho 1 tài nguyên mạng khác và 1 ứng dụng, sau đó hệ thống tự động cung cấp thông tin về những sự viếng thăm thông tin mà bạn không can thiệp.
LSA secrets dumper:
LSA secrets thì sử dụng thông tin password cho accounts dùng để start một dịch vụ khác dữ liệu cục bộ. Dial Up và một số ứng dụng khác xác định password nằm ở đây.
Giải mã password Dial-Up:
APR
APR là nét đặc trưng chính của chương trình. Nó cho phép lắng nghe về các mạng chuyển mạch và sự tấn công lưu thông IP giữa các host. “APR poinsion routing” thực hiện: tấn công và định tuyến chính xác địa chỉ đích.
APR tấn công cơ bản thông qua thao tác của host ARP. Trên 1 địa chỉ IP hay Ethernet khi mà 2 host muốn truyền tin lẫn nhau thì phải biết địa chỉ MAC addresses của nhau. Host gốc thấy bảng ARP nếu mà ở đây có 1 MAC addresses tương ứng với địa chỉ IP addresses của nó. Nếu không, nó là địa chỉ broadcasts, một lời yêu cầu ARP hỏi địa chỉ MAC của địa chỉ đích. Bởi vì gói thông tin này được gửi trong miền broadcasts, nó sẽ đi đến những cái host cùng subnet, tuy nhiên host với IP address trên lý thuyết khi nhận được yêu cầu sẽ trả lời lại địa chỉ MAC gốc của nó. Trái lại nếu ARP-IP tiếp cận địa chỉ đích của host thì nó sẵn sàng đưa ra soure host trên ARP cache. Điều này sẽ được dùng để phát sinh lưu thông ARP.
Config.
Cần chỉnh 1 vài thông số, điều này có thể thực hiện được bằng việc chỉ rõ việc bắt chước MAC và IP addresses bằng việc sử dụng ARP poision packets. Điều này thật sự khó khăn khi không để lại vết tích của việc tấn công bởi vì người tấn công thực tế không bao giờ gửi địa chỉ qua lại trên mạng. Trên mạng người tấn công lúc nào cũng lén lúc ở giữa để quan sát.
Hình ở trên là ta muốn tấn công ip từ 192.168.0.1 192.168.0.10. Công việc tiến hành theo cơ chế người ở giữa, chương trình sẽ thực hiện 1 sự tấn công ARP poision, CAIN có thể phát triển sự tấn công bộ nhớ của nhiều host trong khoảng thời gian như nhau, bạn cần chọn 1 địa chỉ ở ô bên trái.
Service manager : ta có thể start/stop, pause/continued hay remove bất cứ 1 dịch vụ nào có trên cửa sổ giao diện.
Sniffer
ARP-DNS
Nét đặc trưng ở đây là cho phép DNS tiến hành giả mạo thành 1 DNS-reply để có thể tấn công .
ARP-DNS dễ dàng tạo ra 1 ip address trên DNS-reply. Sniffer dễ dàng rút ra được tên yêu cầu từ gói dữ liệu kết hợp với việc thấy được địa chỉ trên bảng danh sách. Ở đây gói dữ liệu sẽ được chỉnh lại IP address để sau đó re-route đi. Lúc này client sẽ bị đánh lừa để ta dễ dàng biết được địa chỉ đích .
ARP-HTTPS
ARP-HTTPS cho phép việc bắt gói và giải mã trong sự lưu thông của HTTPS giữa các host. Đây là công việc kết hợp với công cụ Certificate Collector . Khi mà nạn nhân Start HTTPS trình duyệt của anh ta sẽ hiện lên po-pup báo động .
BÀI 3
TẤN CÔNG TỪ CHỐI DỊCH VỤ DOS
1. GIỚI THIỆU VỀ DOS
Như chúng ta biết DOS (Denial Of Service) – tấn công từ chối dịch vụ là 1 hình thức tấn công gửi các request liên tục vào server chiếm resource và bandwitdh của server với cường độ lớn làm cho server không kịp đáp ứng dẫn đến hậu quả server sẽ bị overload và down.
Trong bài lab này, chúng ta sẽ thực hiện Syn Flood – gửi liên tục các gói Syn vào 1 PC nhằm mục đích làm cho PC đó không đáp ứng kịp và down.
2. SƠ ĐỒ MÔ HÌNH SYN FLOOD ATTACK
Ở sơ đồ trên, máy attacker bên trái sẽ thực hiện Syn Flood vào server. Sau 1 thời gian tấn công liên tục, server (victim) sẽ bị down và không thể đáp ứng các request của User được nữa.
3. CÔNG CỤ CẦN CÓ CHO BÀI LAB: Syn Flood tools.
4. CÁC BƯỚC TIẾN HÀNH
Sau khi có chương trình syn flood rồi bạn giải nén vào ở C:\>, khởi động CMD.
Trước tiên cần kiểm tra kết nối đến máy sẽ tấn công, ví dụ ở đây sẽ tấn công trực tiếp vào router ADSL.
Trước tiên kiểm tra kết nối giữa PC và router ADSL.
Như vậy là PC chúng ta đang kết nối với router ADSL qua defautl gateway là 192.168.1.1
Tiếp theo ta sẽ tấn công Syn Flood Router ADSL bằng cổng defautl gateway: khởi động chương trình Syn flood bằng CMD.
Câu lệnh tấn công:
C:\>Syn
Lưu ý: IP và Port có thể khai báo giả để nơi bị tấn công không thể truy ra địa chỉ thật của mình.
Ví dụ:
C:\>Syn 10.0.0.155 8080 192.168.1.1 80
Ở ví dụ trên 10.0.0.155 là địa chỉ giả và port 8080 cũng là port giả
192.168.1.1 là IP của defautl gateway và port 80 là port sẽ gửi những gói Syns.
Ở hình trên là quá trình đang Syn Flood đến Router ADSL. Với 1 số Router hoặc server tốt, để việc tấn công dồn dập hơn bạn hãy mở nhiều cửa sổ CMD và tấn công cùng lúc.
Và đây là kết quả của cuộc tấn công
Router ADSL hoàn toàn chết và không thể truy cập vào Internet được nữa. Quá trình Syn Flood sẽ vẫn tiếp diễn liên tục cho đến khi bạn muốn kết thúc bằng tổ hợp phím Ctrl + C.
5. NHẬN XÉT:
Syn Flood attack là 1 hình thức tấn công rất đơn giản nhưng hữu hiệu. Tuy nhiên nó chỉ có tác dụng với các client hoặc Router ADSL nhỏ và không có firewall. Còn đối với các server lớn hoặc được Firewall bảo vệ thì sẽ dùng 1 hình thức attack khác là Ddos.
--------------------------------------------
Còn tiếp!
--------------------------------------------