Bài thuyết trình
Môn:QUẢN TRỊ HỆ THỐNG MẠNG
Đề tài
: Phần mềm Cain & Abel
Giảng Viên Hướng Dẫn:ThS. Vũ Trí Dũng
NHÓM 8
Sinh viên thực hiện:
Võ Văn Hoàng Anh : 07520015
Nguyễn Thanh Tâm : 07520308
Trần Hải Đăng
: 07520429
Các phần chính
•
•
•
I . Giới thiệu CAIN
II . Nguyên lý hoạt động của Cain
III. Chức năng chính:
• Sniffer
• Discovery Password
• IV . Cách phòng chống Cain
• Phương pháp
I. CAIN phần mềm ưa thích của hacker
•
•
Cain (tên đầy đủ là Cain & Abel)
Một công cụ hữu ích trong việc sniff dữ liệu,
ăn trộm password... trong môi trường switch.
– Trộm password các tài khoản Email,
diễn đàn…
– Trộm password tài khoản local..
II. Nguyên lý hoạt động cơ bản của Cain
• Trong môi trường broadcast domain, các máy
được nối mạng với nhau và kết nối đến server
trao đổi thông tin
• Server có một địa chỉ IP riêng và một địa chỉ
MAC cố định.
• Khi client kết nối đến server, Cain đổi địa chỉ
MAC của server thành MAC của máy attacker
để client đó tưởng máy của attacker là máy
server.
• Như vậy tất cả dữ liệu, thông tin trao đổi giữa
client và server đều đi qua máy attacker.
Attacker đã sử dụng giao thức ARP Spoofing. Cụ thể như sau:
• 1 Attacker “nghe lén” 2 máy A và B.
• A gửi gói tin ARP Request ra toàn mạng và
•
•
•
•
•
hỏi địa chỉ MAC của B.
B gửi gói tin ARP Reply báo cho A địa chỉ
MAC.
Và attacker có được tất cả các thông tin
này.
Attacker đổi địa chỉ Mac của mình thành B
Attacker gửi ARP Request và A sẽ chép đè
thông tin lên ARP cache
Từ đây A sẽ được gởi dữ liệu đến Attacker
• Và Attacker đánh lừa luôn cả B
• Khi Dữ liệu từ A đến B Attacker giữ lại 1 bản và
chuyển tiếp đến cho B.
• Và B trả lời lại cho A thì Attacker cũng sẽ giữ lại 1
bản và chuyển tiếp đến cho A.
III. Chức năng chính:
1.Sniffer
1.1 Giới Thiệu
•Sniff được hiểu đơn giản như là một chương trình cố
gắng nghe ngóng các lưu lượng thông tin trên một hệ
thống mạng. Tương tự như là thiết bị cho phép nghe lén
trên đường dây điện thoại. Chỉ khác nhau ở môi trường
là các chương trình Sniffer thực hiện nghe nén trong môi
trường mạng máy tính.
•Trong một hệ thống mạng sử dụng những giao thức kết
nối chung và đồng bộ. Chúng ta có thể sử dụng Sniffer ở
bất cứ Host nào trong hệ thống mạng của bạn. Chế độ
này được gọi là chế độ hỗn tạp (promiscuous mode).
1.2 Mục đích sử dụng
•Sniffer thường được sử dụng vào 2 mục
đích khác biệt nhau. Nó có thể là một công
cụ giúp cho các quản trị mạng theo dõi và
bảo trì hệ thống mạng của mình. Cũng như
theo hướng tiêu cực nó có thể là một chương
trình được cài vài một hệ thống mạng máy
tính với mục đích đánh hơi, nghe nén các
thông tin trên đoạn mạng này...
1.3 Cách thức hoạt động
•Công nghệ Ethernet được xây dựng trên
một nguyên lý chia sẻ vì vậy tất cả các máy
tính đó đều có khả năng nhìn thấy lưu lượng
dữ liệu được truyền trên đường truyền
chung đó
• Nó thực hiện được điều này trên nguyên lý
bỏ qua tất cả những Frame có địa chỉ MAC
không hợp lệ đối với nó. Khi Sniffer được tắt
tính năng lọc này và sử dụng chế độ hỗn tạp
(promiscuous mode). Nó có thể nhìn thấy
tất cả lưu lượng thông tin từ máy B đến máy
C, hay bất cứ lưu lượng thông tin giữa bất
kỳ máy nào trên hệ thống mạng. Miễn là
chúng cùng nằm trên một hệ thống mạng.
CÁC DẠNG SNIFFER
• ARP Poison Attack:thu thập thông tin mac
address
• APR-DNS:Tấn công gia mạo dns(spoofing
attcack)
-Dể dàng viết lại ip address trong gói dns reply
APR-HTTPS :Bắt các gói tin với giao thức https
và giải mã(decryption) những gói tin này
• APR-FTPS:bắc gói tin với giao thức truyền
nhận data mã hóa FTPS và decryption chúng
• APR-IMAPs:bắc gói tin với giao thức truyền
nhận mail theo phương thức IMAP
• APR-LDAPS:bắc gói tin với giao thức truyền
nhận và quản lý giữa client và server
• APR-POP3S:bắc gói tin với giao thức truyền
nhận mail theo phương thức POP3s
• APR-RDP:thu thập thông tin giữa việc thực thi
giao thức điều khiển máy từ xa(Remote
Desktop Protocol )
-giãi mã cơ chế mà hóa RC4
• APR-SSH-1:bắt gói tin với phương thức
truy cập từ xa với giao thức SSH và mã hóa
SSH-1
-Giãi phương thức mã hóa SSH-1
Certificates Collector:chức năng này sử dụng
các thủ tục đăng ký của các phương pháp mã
hóa SSL(Secure Socket Layer)
-việc kết hợp certificates collector được
Cain tự động chạy nhằm decryption các
thông tin capture được
VOIP(Voice over IP) :Bắt các gói tin thọai giữa
các cuộc gọi sử dụng công nghệ thoại ip
- sniffer trích những thông số RTP session
như là : RTP port,ip address,dynamic code
SIP hoặc MGCP
III. CHỨC NĂNG CHÍNH:
2. Discovery Password
2.1 Password Crackers
- Cian hổ trợ hầu hết các phương thức
băm (Hash) thông thường như là :
MD2, MD4, MD5, SHA1, SHA2
(256 bit), SHA2 (384 bit), SHA2 (512 bit),
RIPEMD160.