Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 38
Bài 5:
CÁC PHNG PHÁP SNIFFER

I/ Gii thiu v Sniffer
A. TNG QUAN SNIFFER
Sniffer đc hiu đn gin nh là mt chng trình c gng nghe ngóng các lu
lng thông tin trên mt h thng mng
Sniffer đc s dng nh mt công c đ các nhà qun tr mng theo dõi và bo trì h
thng mng. V mt tiêu cc, sniffer đc s dng nh mt công c vi mc đích nghe lén
các thông tin trên mng đ ly các thông tin quan trng
Sniffer da vào phng thc tn công ARP đ bt gói các thông tin đc truyn qua
mng.
Tuy nhiên nhng giao dch gia các h thng mng máy tính thng là nhng d liu  dng
nh phân (binary). Bi vy đ hiu đc nhng d liu  dng nh phân này, các chng trình
Sniffer này phi có tính nng phân tích các nghi thc (Protocol Analysis), cng nh tính nng
gii mã (Decode) các d liu  dng nh
phân đ hiu đc chúng
Mt s các ng dng ca Sniffer đc s dng nh: dsniff, snort, cain, ettercap,
sniffer pro…

B. HOT NG CA SNIFFER
Sniffer hot đng ch yu da trên dng tn công ARP.

TN CÔNG ARP


1. Gii thiu
ây là mt dng tn công rt nguy him, gi là Man In The Middle. Trong trng hp
này ging nh b đt máy nghe lén, phiên làm vic gia máy gi và máy nhn vn din ra

bình thng nên ngi s dng không h hay bit mình b tn công

2. S Lc Quá trình hot đng
Trên cùng mt mng, Host A và Host B mun truyn tin cho nhau, các Packet s đc đa
xung tng Datalink đ đóng gói, các Host phi đóng gói MAC ngun, MAC đích vào Frame.
Nh vy trc khi quá trình truyn D liu, các Host phi hi đa ch MAC ca nhau.
Nu nh Host A khi đng quá trình hi MAC trc, nó s gi broadcast gói tin ARP request
cho tt c các Host đ hi MAC Host B, lúc đó Host B đã có MAC ca Host A, sau đó Host B
ch tr li cho Host A MAC ca Host B(ARP reply ).
Có 1 Host C liên tc gi ARP reply cho Host A và Host B đa ch MAC ca Host C, nhng li
đt đa ch IP là Host A và Host B. Lúc này Host A c ngh máy B có MAC là C. Nh vy
các gói tin mà Host A g
i cho Host B đu b đa đn Host C, gói tin Host B tr li cho Host
A cng đa đn Host C. Nu Host C bt chc nng forwarding thì coi nh Host A và Host B
không h hay bit rng mình b tn công ARP

Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 39
.
Ví d:

Ta có mô hình gm các host

Attacker: là máy hacker dùng đ tn công ARP
IP: 10.0.0.11
MAC: 0000.0000.1011

Victim: là máy b tn công
IP: 10.0.0.12
MAC: 0000.0000.1012


HostA
IP: 10.0.0.13
MAC: 0000.0000.1013

- u tiên, HostA mun gi d liu cho Victim, cn phi bit đa ch MAC ca Victim
đ liên lc. HostA s gi broadcast ARP Request ti tt c các máy trong cùng mng
LAN đ hi xem IP 10.0.0.12 (IP ca Victim) có đa ch MAC là bao nhiêu.
- Attacker và Victim đu nhn đc gói tin ARP Request, nhng ch có Victim gi tr
li gói tin ARP Reply li cho HostA. ARP Reply cha thông tin v IP 10.0.0.12 và
MAC 0000.0000.1012 c
a Victim
- HostA nhn đc gói ARP Realy t Victim, bit đc đa ch MAC ca Victim là
0000.0000.1012 s bt đu thc hin liên lc truyn d liu đn Victim. Attacker
không th xem ni dung d liu đc truyn gia HostA và Victim

Máy Attacker mun thc hin ARP attack đi vi máy Victim. Attacker mun mi gói tin
HostA gi đn máy Victim đu có th chp li đc đ xem trm
- Attacker thc hin gi liên tc ARP Reply cha thông tin v IP ca Victim 10.0.0.12,
còn đa ch MAC là ca Attacker 0000.0000.1011.
- HostA nhn đc ARP Reply ngh rng IP Victim 10.0.0.12 có đa ch MAC là
0000.0000.1011. HostA lu thông tin này vào bng ARP Cache và thc hin kt ni.
- Lúc này mi thông tin, d liu HostA gi ti máy có IP 10.0.0.12 (là máy Victim) s
gi qua đa ch MAC 0000.0000.1011 ca máy Attacker.
Host A Host B
Host C
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 40



CAIN
(S dng phn mm CAIN)

1.Yêu cu v phn cng:

-  cng cn trng 10 Mb
- h điu hành Win 2000/2003/XP
- cn phi có Winpcap

2. Cài đt:




Chn Next.
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 41


Chn Next.



Chn Finish.
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 42










Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 43







Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 44


3. Cu hình
Cain & Abel cn cu hình mt vài thông s, mïi th có th đc điu chnh thông qua bng
Configuration dialog .

Sniffer tab
:

-Ti đây chúng ta chn card mng s dng đ tin hành sniffer và tính nng APR . Check vào
ô Option đ kích hot hay không kích hot tính nng.
-Sniffer tng thích vi Winpcap version 2.3 hay cao hn . Version này h tr card mng rt
nhiu .
Giáo trình bài tp C|EH Tài liu dành cho hc viên

VSIC Education Corporation Trang 45
APR tab:

-ây là ni bn có th config ARP . Mc đnh Cain ngn cách 1 chui gi gói ARP t nn
nhân trong vòng 30 giây . ây thc s là điu cn thit bi vì vic xâm nhp vào thit b có
th s gây ra s không lu thông tính hiu . T dialog này bn có th xác đnh thi gian gia
mi ln thc thi ARP, xác đnh thông s ít s to cho ARP lu thông nhiu,ngc li s khó
khn h
n trong vic xâm nhp .
-Ti mc này, ta cn chú ý ti phn Spoofing Options:
+Mc đu tiên cho phép ta s dng đa ch MAC và IP thc ca máy mà mình dang s dng.
+Mc th hai cho phép s dng mt IP và đa ch MAC gi mo.
(Lu ý đa ch ta chn phi không trùng vi IP ca máy khác)
Khi click vào tab filters and ports, ta s thy mt s thông tin v giao thc và các con s port
tng ng vi giao thc đó.
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 46


Fliter and Ports Tab
:
-Ti đây bn có th chn kích hot hay không kích hot các port ng dng TCP/UDP .
HTTP fields tab
:


Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 47
- Ti đây có 1 list danh sách username và password s dng đc HTTP sniffer lc li.
- Ti tab này cho phép ta bit dc chng trình này s bt 1 s thông tin v trang web nh:

+ Mc Username Fields: nó s ly thông tin nhng gì liên quan đn cái tên (user name,
account, web name v.v ) .
+ Mc Password Fields: lanh vc này s đãm nhim vai trò ly thông tin v password
(login password, user pass, webpass v.v…)

4. Các ng dng ca CAIN:

+ Bo v password manager:
− Trc ht nó đc s dng nh 1 private key bo m
t mt s vn đ cho user . Hu ht
thông tin trong Protected Storage đc mã hóa.S dng nh 1 key nhn đc t vic
logon password ca user.Cho phép điu hòa viêc truy cp thông tin đ owner có th an
toàn truy xut .
− Mt vài ng dng ca Windows có nét đc trng nên s dng dch v này: Internet
Explorer, Oulook, Oulook Express


+ Gii mã password manager:
− Nó cho phép bn đa user names và passwords cho 1 tài nguyên mng khác và 1 ng
dng,sau đó h thng t đng cung cp thông tin v nhng s ving thm thông tin mà
bn không can thip.
+ LSA secrets dumper
:
− LSA secrets thì s dng thông tin password cho accounts dùng đ start mt dch v khác
d liu cc b. Dial Up và mt s ng dng khác xác đnh password nm  đây .
+ Gii mã password Dial-Up:


Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 48



+APR:
− APR là nét đc trng chính ca chng trình .Nó cho phép lng nghe v các mng chuyn
mch và s tn công lu thông IP gia các host . “APR poinsion routing” thc hin: tn
công và đnh tuyn chính xác đa ch đích
− APR tn công c bn thông qua thao tác ca host ARP.Trên 1 đa ch IP hay Ethernet khi
mà 2 host mun truyn tin ln nhau thì phi bit đa ch MAC addresses ca nhau. Host gc
thy bng ARP nu mà  đây có 1 MAC addresses tng ng vi
đa ch IP addresses ca
nó. Nu không, nó là đa ch broadcasts,mt li yêu cu ARP hi đa ch MAC ca đa ch
đích. Bi vì gói thông tin này đc gi trong min broadcasts, nó s đi đn nhng cái host
cùng subnet, tuy nhiên host vi IP address trên lý thuyt khi nhn đc yêu cu s tr li li
đa ch MAC gc ca nó. Trái li nu ARP-IP tip cn đa ch đích ca host thì nó sn sàng
đa ra soure host trên ARP cache. iu này s
đc dùng đ phát sinh lu thông ARP
− Config:
− Cn chnh 1 vài thông s, điu này có th thc hin đc bng vic ch rõ vic bt chc
MAC và IP addresses bng vic s dng ARP poision packets . iu này tht s khó khn
khi không đ li vt tích ca vic tn công bi vì ngi tn công thc t không bao gi gi
đa ch qua li trên mng.Trên mng ngi t
n công lúc nào cng lén lúc  gia đ quan sát
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 49

Hình  trên là ta mun tn công ip t 192.168.0.1 ( 192.168.0.10 .Công vic tin hành theo c
ch Ngi  gia, chng trình s thc hin 1 s tn công ARP poision, CAIN có th phát
trin s tn công b nh Ca nhiu host trong khong thi gian nh nhau, bn cn chn 1 đa
ch  ô bên trái




+ Service manager: ta có th start/stop,pause/continued hay remove bt c 1 dch v nào có
trên ca s giao din
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 50

+ Sniffer:

ARP-DNS:
Nét đc trng  đây là cho phép DNS tin hành gi mo thành 1 DNS-reply đ có th tn
công.


ARP-DNS d dàng to ra 1 ip address trên DNS-reply .Sniffer d dàng rút ra đc tên yêu cu
t gói d liu kt hp vi vic thy đc đa ch trên bng danh sách. đây gói d liu s
đc chnh li IP address đ sau đó re-route đi .Lúc này client s b đánh la đ ta d dàng
bit đc đa ch đích .

ARP-HTTPS:
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 51
ARP-HTTPS cho phép vic bt gói và gii mã trong s lu thông ca HTTPS gia các host .
ây là công vic kt hp vi công c Certificate Collector . Khi mà nn nhân Start HTTPS
trình duyt ca anh ta s hin lên po-pup báo đng .






Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 52


+ Certificates Collector:


Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 53

Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 54
ETTERCAP


1. Gii Thiu

Ettercap là chng trình phân tích các gói tin gi qua mng, vì th Ettercap cng là mt phn
mm hiu nghim cho phép ngi s dng “đánh hi” các d liu trên mng LAN, k c
nhng thông tin đã đc mã hóa. Ettercap có th gi danh đa ch MAC ca card mng b tn
công, thay vì gói tin đc truyn đn máy tính cn đn thì nó li đc truyn đn máy tính có
cài ettercap ri sau đó mi truyn
đn máy tính đích

2. Install trên Linux

Trc khi Install, chúng ta cn chun b 3 gói cài sau:
+ ettercap-NG-0.7.1.tar – có th download t website

+ libpcap-0.8.1.tar

+ libnet-1.1.2.1.tar – có th download t website


Install libnet:

1. # tar zxvf libnet-1.1.2.1.tar.gz
2. # cd libnet
3. # ./configure
4. # make
5. # make install

Install libpcap:

6. # tar zxvf libpcap-1.1.2.1.tar.gz
7. # cd libpcap
8. # ./configure
9. # make
10. # make install

Install ettercap:

1. # tar zxvf ettercap-NG-0.7.1.tar.gz
2. # cd ettercap-NG-0.7.1
3. # ./configure
4. # make
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 55
5. # make install

Quá trình cài đt hoàn tt, trên ca s console xut hin nhng dòng thông báo





3. Cu Hình và S Dng Ettercap
- M giao din Ettercap bng cách gõ dòng lnh
# ettercap –C
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 56

- Trc khi tin hành cu hình, ta kim tra option Promisc mode có dc check cha, nu
cha thì chn check



- Trong menu sniff, chn Unified sniffing

Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 57


- Chn card mng s dng



-  khi đng quá trình lng nghe, chn menu start, start sniffing

Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 58


Ti dòng User Messages se xut hin thông báo cho bit dch v đang start lên







- Trong menu Host, chn Scan from hosts
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 59





- Trong menu Mitm, chn Arp poisoning…
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 60





- Không chn parameters, nhn enter b qua
- Ti dòng User messages xut hin thông báo
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 61




-  xem các host đã đc quét, chn Connections, trong menu View



−  bt gói, chn host nào đang  ch đ active, s hin ra bn các gói bt đc, các gói
này s hin th di dng mã hóa

Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 62


- Chn Log all packets and infos… trong menu Logging đ save nhng file logs cha các
gói bt đc li
-  có th đc đc các gói di dng mã hóa đó, trong ca s console, gõ lnh
# etterlog –p –k –i –ascii logfile.eci | less


4. Tính Nng Ca Ettercap
Ettercap cung cp cho ta mt s plug-in, bng cách chn nhng plug-in này, ta có th ng
dng mt s tính nng quan trng ca ettercap