Tiểu luận Tìm hiểu phần mềm quản lý mạng ETTERCAP

Ettercap có thể đánh chặn các yêu cầu DNS, kiểm tra đối với cấu hình riêng của mình, và trả lời lại với một IP bất hợp pháp.

Giả phản ứng xảy ra trước khi các phản ứng thực sự có thể đạt được mục tiêu, do đó, máy tính nạn nhân bỏ qua nó.

Có thể được thực hiện dễ dàng trong chế độ "thống nhất", không có cầu nối cần thiết.

 

doc21 trang | Chia sẻ: lethao | Lượt xem: 4219 | Lượt tải: 2download
Bạn đang xem trước 20 trang tài liệu Tiểu luận Tìm hiểu phần mềm quản lý mạng ETTERCAP, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
TÌM HIỂU PHẦN MỀM QUẢN LÝ MẠNG ETTERCAP –&— LỜI MỞ ĐẦU Có thể nói ngày nay trong khoa học máy tính không lĩnh vực nào có thể quan trọng hơn lĩnh vực nối mạng. Mạng máy tính là hai hay nhiều máy tính được kết nối với nhau theo một cách nào đó sao cho chúng có thể trao đổi thông tin qua lại với nhau, dùng chung hoặc chia sẽ dữ liệu thông qua việc in ấn hay sao chép qua đĩa mềm, CDRom…. Vì vậy hạ tầng mạng máy tính là phần không thể thiếu trong các tổ chức hay các công ty. Trong điều kiện kinh tế hiện nay hầu hết đa số các tổ chức hay công ty có phạm vi sử dụng bị giới hạn bởi diện tích và mặt bằng đều triển khai xây dựng mạng LAN để phục vụ cho việc quản lý dữ liệu nội bộ cơ quan mình được thuận lợi, đảm bảo tính an toàn dữ liệu cũng như tính bảo mật dữ liệu mặt khác mạng Lan còn giúp các nhân viên trong tổ chức hay công ty truy nhập dữ liệu một cách thuận tiện với tốc độ cao. Một điểm thuận lợi nữa là mạng LAN còn giúp cho người quản trị mạng phân quyền sử dụng tài nguyên cho từng đối tượng là người dùng một cách rõ ràng và thuận tiện giúp cho những người có trách nhiệm lãnh đạo công ty dễ dang quản lý nhân viên và điều hành công ty. Bên cạnh đó, người quản trị mạng cũng cần phải có những phương thức để sao cho vấn đề bảo mật dữ liệu được đặt lên hàng đầu, tránh sự tấn công của hacker. Để làm được việc này, cần phải có sự tìm tòi, nghiên cứu và thử nghiệm một số công cụ phần mềm hỗ trợ cho việc quản lý mạng. Nhóm 2 chúng em đã đi tìm hiểu và thử nghiệm phần mềm quản lý mạng Ettercap dùng cho window XP. Với hệ hoàn chỉnh kiến thức như chúng em thì vấn đề nghiên cứu và thử nghiệm cũng là 1 vấn đề khó. Do kiến thức và thời gian có hạn, bài viết không thể tránh khỏi những sai sót nhất định. Rất mong nhận được sự đóng góp, trao đổi từ quý Thầy cô và các bạn để bài viết được hoàn chỉnh hơn. Xin trân trọng cảm ơn! Hà Nội, ngày 20 tháng 6 năm 2011 Nhóm thực hiện Nhóm 2 1.TÌM HIỂU CHUNG VỀ PHẦN MỀM 1.1Thông tin chung về phần mềm Ettercap là một công cụ trung gian giữa các cuộc tấn công trong mạng LAN. Nó có tính năng tìm kiếm các các kết nối trực tiếp, lọc nội dung chuyển trên mạng và nhiều thủ thuật thú vị khác. Nó hỗ trợ mổ sẻ hoạt động và thụ động của nhiều giao thức (ngay cả với Ciphered) và bao gồm nhiều tính năng cho mạng lưới phân tích và máy chủ. 1.2 Mục đích - Với Ettercap bạn có thể theo dõi những lưu lượng thông tin hoạt động trên hệ thống mạng của bạn, chụp các thông tin, hiển thị và can thiệp vào các kết nối, theo dõi các host đang trao đổi trên mạng. - Hỗ trợ kỹ thuật tấn công Address Resolution Protocol (ARP) spoofing hay còn gọi là ARP flooding, ARP poisoning hay ARP Poison Routing (APR). Đó là cách tấn công từ một máy tính trong mạng LAN, thông qua giao thức ARP và địa chỉ MAC, IP, nó nhằm ngắt kết nối từ một hay một số máy tính với Modem, dẫn đến tình trạng các máy tính đó không thể truy cập Internet. - Ngoài ra còn dùng trong 1 kiểu tấn công MITM khác là giả mạo DNS (DNS Spoofing). Các chức năng chính SSH1 Support: bạn có thể lấy được tên người dùng và mật khẩu hoặc thậm chí là CSDL của 1 SSH1 connection. HTTP support: bạn có thể lấy được dữ liệu từ HTTP SSL... và ngay cả khi kết nối được thực hiện thông qua một proxy. Giao thông từ xa thông qua đường hầm GRE : bạn có thể sniff lưu lượng truy cập từ xa thông qua một đường hầm GRE từ một bộ định tuyến của Cisco và thực hiện các cuộc tấn công MiTM vào nó. PPTP môi giới : bạn có thể thực hiện là 1 người dùng trong cuộc tấn công chống lại giữa PPTP. Mật khẩu thu cho : Telnet, FTP, POP, RLOGIN, SSH1, ICQ, nưa, MySQL, HTTP, nntp, X11, NAPSTER, IRC, RIP, BGP, Socks 5, IMAP 4, VNC, LDAP, giao thức NFS, SNMP, HALF LIFE , Quake 3, MSN, YMSG. Lọc gói/thả : Bạn có thể thiết lập một bộ lọc mà tìm kiếm cho một chuỗi (kể cả hex) trong TCP hay UDP Payload và thay thế nó bằng máy của bạn hoặc drop toàn bộ gói. Hệ điều hành dấu vân tay: bạn có thể giả dấu vân tay hệ điều hành của các nạn nhân và thậm chí là cả router mesh. Kill một kết nối: kết nối từ danh sách, bạn có thể giết chết tất cả các kết nối bạn muốn. Thụ động quét các mạng LAN: bạn có thể lấy thông tin các máy trong mạng LAN, mở cổng, các phiên bản, loại của các máy chủ (gateway, router hoặc đơn giảnlà 1host) và ước tính từ xa trong một bước mạng. Kiểm tra poisoners khác: Ettercap có khả năng chủ động hoặc thụ động tìm poisonners khác trên mạng. 2.PHÂN TÍCH MỘT SỐ ĐẶC ĐIỂM CỦA ETTERCAP Mô tả giao diện Ettercap trên giao diện Windows XP Ettercap có thể chạy trên Dos và trên nền windows, linux. Sau đây em xin mô tả phần mềm ettercap được cài đặt trên windows XP. Hình dưới đây sẽ cho ta thấy giao diện của chương trình khi đang theo dõi các máy tính trong cùng mạng LAN: Ettercap với tính năng Network sniffer/interceptor/logger trên mạng LAN. Công cụ này cũng hỗ trợ nhiều giao thức khác nhau. Có nhiều mức độ có thể triển khai mang lại hiệu quả cao trong quá trình Sniffering, nhiều Plugins đã hỗ trợ. Hỗ trợ LAN Switch và có khả năng OS fingerprint (đoán hệ điều hành của các máy tính online trên mạng). SNIFFer là gì? - Là hình thức nghe nén trên hệ thống mạng, dựa trên những đặc điểm của cơ chế TCP/IP. - Sniffer là kĩ thuật bảo mật, được phát triển nhằm giúp đỡ những nhà quản trị mạng khai thác mạng hiệu quả hơn và có thể kiểm tra các dữ liệu ra vào mạng. Chức năng: + Thu thập gói tin trong hệ thống. + Giúp quản trị mạng kiểm tra tốt hệ thống, lỗi hay các gói tin lạ. Qua hình ảnh trên, chúng ta nhận thấy các thông tin quan trọng và những tập tin riêng tư có thể bị đánh cắp khá dễ dàng. Để phòng ngừa các trường hợp như vậy, chúng ta không nên tiến hành các hình thức chứng thực username và password dưới dạng văn bản đơn thuần (không mã hóa) mà nên mã hóa chúng bằng IPSec hay SSL. Ettercap là một công cụ mạnh để sniffer, nó có thể bắt các gói tin kém an toàn một cách rõ ràng. Do đó, ta nên thay các giao thức kém an toàn (Ftp, telnet, smb) bằng các giao thức an toàn hơn, hay gia cố thêm chúng (SSL, VPN+Ipsec…). Mô hình mạng sử dụng ettercap Với tính năng Sniffer trên môi trường LAN Switch hiệu quả và bảo mật. Ettercap (chương trình được mệnh danh là Lord Of The TokenRing). Ettercap có thể giả danh địa chỉ MAC của card mạng máy tính bị tấn công, thay vì gói tin được truyền đến máy tính cần đến thì nó lại được chuyển đến máy tính có cài đặt ettercap trước rồi sau đó mới truyền đến máy tính đích. Đây là một dạng tấn công rất nguy hiểm được gọi là Man In The Middle (MITM), trong trường hợp này phiên làm việc giữa máy gửi và máy nhận vẫn diễn ra bình thường nên người sử dụng không hề hay biết mình đang bị tấn công, giống như trường hợp bị đặt máy nghe lén mà chúng ta thường gặp trên phim ảnh. Những chương trình dạng này thường được gọi là sniffer. UniFied Victim Computer The Interwebz Ettercap Card mạng 1 Bridget Victim Computer The Interwebz Ettercap Card mạng 1 Card mạng 2 Ettercap có một sniffer mật khẩu mạnh mẽ, và có thể tìm và hiển thị mật khẩu trong các giao thức sau đây: TELNET, FTP, POP, IMAP, rlogin, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, Napster, IRC, RIP, BGP, SOCKS 5, IMAP 4, LDAP, VNC, NFS, SNMP, Half-Life, Quake 3, MSN, YMSG Darn, đó là một LOT các giao thức tôi có thể ăn cắp mật khẩu từ! Sửa chữa và giả mạo DNS Ettercap có thể đánh chặn các yêu cầu DNS, kiểm tra đối với cấu hình riêng của mình, và trả lời lại với một IP bất hợp pháp. Giả phản ứng xảy ra trước khi các phản ứng thực sự có thể đạt được mục tiêu, do đó, máy tính nạn nhân bỏ qua nó. Có thể được thực hiện dễ dàng trong chế độ "thống nhất", không có cầu nối cần thiết. Các Plug-in của phần mềm Ettercap Bạn có thể dùng chính ettercap để dò tìm ra chính nó cũng như các chương trình sniffer khác trên mạng theo phương pháp Dĩ Độc Trị Độc. Ettercap có hai plug-in rất hữu ích, một dùng để tìm kiếm các máy tính chạy chương trình ettercap khác trên mạng và plug-in còn lại dùng để phát hiện các chương trình sniffer khả nghi khác. Ví dụ, nếu nghi ngờ có ai đó đang “nghe lén” trên mạng, bạn khởi động ettercap và nhấn phím P sau đó chọn plug-in đầu tiên sẽ tìm ra các máy đang chạy ettercap. Còn khi đối phương sử dụng các chương trình khác như dsniff, ta có thể dò tìm thông qua plug-in thứ 15 là arpcop, lúc đó một cửa sổ mới sẽ hiển thị những máy tính đang chạy các chương trình spoofing arp trên mạng. Khi xác nhận được đối tượng, ta có thể tiến hành cô lập máy tính này khỏi mạng ngay lập tức bằng cách chọn P và chọn plug-in tên là leech và sau đó chọn Yes, nhấn Enter. Một số người quản trị hệ thống còn dùng ettercap để phát hiện các máy bị nhiễm virus đang phát tán trên mạng rồi cô lập chúng bằng leech sau đó diệt bằng các chương trình chống virus rất hiệu quả. 2. Sơ đồ thử nghiệm Máy Tính A Máy Tính B Máy Tính C Attacker Victim Switch -Có 3 máy tính : -Một máy tính C tấn công (attacker): IP:192.168.15.3; Mac: 00:18:9A:8E:3F:DE -Máy A: IP 192.168.15. 1; Mac 00:17:9A:8E:2F:DE -Máy victim B: IP:192.168.15.2 ; Mac 00:16:36:2E:D2:2E - Một switch : Kết nối 3 máy tính trên. -Trên máy tấn công C cài đặt phần Ettercap. Trên máy tinh C (Attacker): Các bước thực hiện ARP Spoofing 1 Mở Ettercap ở chế độ đồ hoạ # ettercap -G 2 Chọn chế độ sniff: sniff/Unified sniffing 3 5 Scan cac hosts: hosts/scan for hosts Xem địa chỉ Mac và IP cac máy trong mạng: hosts/ hosts list 4 Chọn máy B đề đầu độc: chọn dòng chứa 192.168.15.2 nhấn nút Target 1 Hiện 2 máy: máy A: IP 192.168.15. 1; Mac 00:17:9A:8E:2F:DE Máy B: IP:192.168.15.2 ; Mac 00:16:36:2E:D2:2E 6 7 Kiểm tra mục tiêu: Targets/ current Targets 8 Bắt đầu đầu độc ARP: Mitm/ Arp poisoning Targets 9 Bắt đầu Sniffer: start/ sniffing Máy tính C Attacker muốn thực hiện ARP attack đối với máy Victim B . Attacker muốn mọi gói tin máy A truyền tới máy Victim B đều có thể chụp lại được để xem trộm. Làm thế nào để Attacker có thể hiện được điều đó? Đầu tiên, máy A muốn gởi dữ liệu cho Victim. máy A cần phải biết địa chỉ MAC của Victim (B) để liên lạc. máy A sẽ gửi broadcast ARP Request tới tất cả các máy trong cùng mạng Lan để hỏi xem IP 192.168.15.2 (IP của Victim) có địa chỉ MAC là bao nhiêu. - Attacker C, Victim B đều nhận được gói tin ARP Request, nhưng chỉ có Victim B là gửi lại gói tin ARP Reply lại cho HostA. ARP Reply chứa thông tin về IP của Victim B, MAC Victim, MAC máy A Sau khi nhận được gói tin ARP Reply từ Victim, máy A đã biết được địa chỉ MAC của Victim B. máy A bắt đầu thực hiện liên lạc, truyền dữ liệu tới Victim. Attacker C không thể xem nội dung dữ liệu được truyền giữa 2 máy (máy A và Victim B) Attacker C muốn xem dữ liệu truyền giữa máy A và Victim B . Attacker C sử dụng kiểu tấn công ARP Spoof. Attacker C thực hiện gửi liên tục ARP Reply chứa thông tin về IP Victim, MAC Attacker C, MAC máy A. Ở đây, thay vì là MAC Victim B, Attacker đã đổi thành địa chỉ MAC của mình. Máy A nhận được ARP Reply và nghĩ là IP Victim 192.168.15.2 sẽ có địa chỉ MAC là 00:18:9A:8E:3F:DE ( MAC của Attacker C). máy A lưu thông tin này vào bảng ARP Cache. Bây giờ mọi thông tin, dữ liệu máy A gửi tới 192.168.15.2 (Victim), Attacker đều có thể nhận được, Attacker có thể xem tòan bộ nội dung máy A gửi cho Victim B Attacker C còn có thể kiểm sóat tòan bộ quá trình liên lạc giữa máy A và Victim B thông qua ARP Attack Attacker C thường xuyên gửi các gói tin ARP Reply chứa địa chỉ IP của máy A và Victim B nhưng có địa chỉ MAC là của Attacker C. máy A nhận được gói tin này thì cứ nghĩ Victim B sẽ có địa chỉ MAC là 00:18:9A:8E:3F:DE (MAC của Attacker C) Victim nhận đươc gói tin này thì cứ nghĩ máy A sẽ có địa chỉ MAC là 00:18:9A:8E:3F:DE (MAC của Attacker) Mọi thông tin trao đổi giữa máy A và Victim B, Attacker C đều có thể nhận được. Như vậy là Attacker C có thể biết được nội dung trao đổi giữa máy A và Victim B Tiến trình cài đặt chạy thử nghiệm (chạy thử nghiệm trên 2 máy PC) Sau khi cài đặt ettercap, có giao diện màn hình như sau : Trên thanh công cụ , chọn sniff/Unified sniffing. Màn hình hiện text box: yêu cầu đăng nhập Trong mục Network interface: ta điền user eth0. Thanh công cụ xuất hiện nhiều chức năng hơn : ta chọn Targets/Current_Targets. Trong phần này ta có thể xem trong mạng lan có bao nhiêu máy tính ( dựa trên dải địa chỉ hiện chi tiết phần dưới) Giao diện xuất hiện target1 và target2 . trên thanh công cụ chọn : Host /Host List màn hình xuất hiện thông số của 2 máy tính gồm : Địa chỉ IP / Địa chỉ MAC Máy Attacker: có thể hiểu là máy hacker, máy Victim: là máy bị tấn công ở đây IP: 192.168.15.1 là máy Attacker IP: 192.168.15.2 là máy Victim Nhấp chuột vào dải địa chỉ máy Victim ấn Add to Target1 , dải địa chỉ máy hacker ấn Add to Target2 Vào Mitm/MITM attack ARP Poisoning. Trong hộp textbox chọn Sniff remote connections ấn OK. Trong bảng hiển thị phía dưới của phần mềm hiện các nhóm , nhấn Start sniffing Chọn Plugins/ Marage the plugins Trong mục Plugins có hiển thị thông số Nhấp đúp chuột ở mục repoison_arp Trong phần Command Prompt gõ arp –a Nhấp chuột vào repoison_wtg, mục dưới xuất hiện user + pass của máy Victim khi đăng nhập trên trang web youtube.com III. Ứng dụng thực tế trên mạng lớn Tấn công giả mạo DNS bằng phương pháp giả mạo DNS ID Ettercap còn có chức năng tuyệt giả mạo DNS và có thể được sử dụng để thực hiện nhiều kiểu tấn công MITM. Đây là công cụ có thể sử dụng cho cả Windows và Linux. Nếu cài đặt Ettercap trên máy tính Windows, bạn sẽ thấy nó có một giao diện đồ họa người dùng (GUI) khá tuyệt vời, tuy nhiên trong ví dụ này, chúng tôi sẽ sử dụng giao diện dòng lệnh. Trước khi thực thi Ettercap, yêu cần bạn cần phải thực hiện một chút cấu hình. Ettercap ở mức lõi của nó là một bộ đánh hơi (sniffer) dữ liệu, nó sử dụng plug-in để thực hiện các tấn công khác nhau. Plug-in dns_spoof là những gì mà chúng ta sẽ thực hiện trong ví dụ này, vì vậy chúng ta phải điều chỉnh file cấu hình có liên quan với plug-in đó. Trên hệ thống Windows, file này có thể download tại C:\Program Files (x86)\EttercapNG\share\etter.dns, và tại /usr/share/ettercap/etter.dns. Đây là mộ file khá đơn giản và có chứa các bản ghi DNS mà bạn muốn giả mạo. Với mục đích thử nghiệm, chúng ta muốn bất cứ người dùng nào đang cố gắng truy cập vào yahoo.com đều bị hướng (direct) đến một host trên mạng nội bộ, hãy thêm một entry được đánh dấu trong hình 5. Hình 5: Bổ sung bản ghi DNS giả mạo vào etter.dns Các entry này sẽ chỉ dẫn cho plug-in dns_spoof rằng khi thấy truy vấn DNS cho yahoo.com hoặc www.yahoo.com (với một bản ghi tài nguyên kiểu A), nó sẽ sử dụng địa chỉ IP 172.16.16.100 để đáp trả. Trong kịch bản thực, thiết bị tại địa chỉ IP 172.16.16.100 sẽ chạy một phần mềm máy chủ web và hiển thị cho người dùng website giả mạo. Khi file này được cấu hình và lưu lại, chúng ta hoàn toàn có thể thực thi chuỗi lệnh dùng để khởi chạy tấn công. Chuỗi lệnh sử dụng các tùy chọn dưới đây: -T – Chỉ định sử dụng giao diện văn bản-q – Chạy các lệnh trong chế độ “yên lặng” để các gói dữ liệu đã được capture không hiển thị trên màn hình.-P dns_spoof – Chỉ định sử dụng plug-in dns_spoof-M arp – Khởi tạo tấn công MITM giả mạo ARP để chặn các gói dữ liệu giữa các host.// // - Chỉ định toàn bộ mạng là mục tiêu tấn công. Chuỗi lệnh cuối cùng cho mục đích của chúng ta là: Ettercap.exe –T –q –P dns_spoof –M arp // // Khi chạy lệnh trên, bạn sẽ bắt đầu một tấn công hai giai đoạn, đầu tiên là giả mạo ARP cache của thiết bị trên mạng, sau đó là phát các đáp trả truy vấn DNS giả mạo. Hình 6: Ettercap đang lắng nghe tích cực các truy vấn DNS Khi khởi chạy, bất cứ ai đang cố gắng truy cập www.yahoo.com sẽ đều bị redirect đến website mã độc của chúng ta. Hình 7: Kết quả cố gắng giả mạo DNS từ phối cảnh người dùng Phòng chống giả mạo DNS Khá khó phòng chống việc giả mạo DNS vì có khá ít các dấu hiệu tấn công. Thông thường, bạn không hề biết DNS của mình bị giả mạo cho tới khi điều đó xảy ra. Những gì bạn nhận được là một trang web khác hoàn toàn so với những gì mong đợi. Trong các tấn công với chủ đích lớn, rất có thể bạn sẽ không hề biết rằng mình đã bị lừa nhập các thông tin quan trọng của mình vào một website giả mạo cho tới khi nhận được cuộc gọi từ ngân hàng hỏi tại sao bạn lại rút nhiều tiền đến vậy. Mặc dù khó nhưng không phải không có biện pháp nào có thể phòng chống các kiểu tấn công này, đây là một sô thứ bạn cần thực hiện: Bảo vệ các máy tính bên trong của bạn: Các tấn công giống như trên thường được thực thi từ bên trong mạng của bạn. Nếu các thiết bị mạng của an toàn thì sẽ bạn sẽ giảm được khả năng các host bị thỏa hiệp và được sử dụng để khởi chạy tấn công giả mạo.Không dựa vào DNS cho các hệ thống bảo mật: Trên các hệ thống an toàn và có độ nhạy cảm cao, không duyệt Internet trên nó là cách thực hiện tốt nhất để không sử dụng đến DNS. Nếu bạn có phần mềm sử dụng hostname để thực hiện một số công việc của nó thì chúng cần phải được điều chỉnh những gì cần thiết trong file cấu hình thiết bị.Sử dụng IDS: Một hệ thống phát hiện xâm nhập, khi được đặt và triển khai đúng, có thể vạch mặt các hình thức giả mạo ARP cache và giả mạo DNS.Sử dụng DNSSEC: DNSSEC là một giải pháp thay thế mới cho DNS, sử dụng các bản ghi DNS có chữ ký để bảo đảm sự hợp lệ hóa của đáp trả truy vấn. Tuy DNSSEC vẫn chưa được triển khải rộng rãi nhưng nó đã được chấp thuận là “tương lai của DNS”.Kết luận Giả mạo DNS là một hình thức tấn công MITM khá nguy hiểm khi được đi cặp với những dự định ác độc. Sử dụng công nghệ này những kẻ tấn công có thể tận dụng các kỹ thuật giả mạo để đánh cắp các thông tin quan trọng của người dùng, hay cài đặt malware trên một ổ đĩa bị khai thác, hoặc gây ra một tấn công từ chối dịch vụ. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu tiếp cho các bạn về các tấn công “pass the hash” và tấn công này có thể được sử dụng như thế nào để đăng nhập vào các máy tính Windows mà không cần đến các mật khẩu người dùng.

Các file đính kèm theo tài liệu này:

  • docTìm hiểu phần mềm quản lý mạng ettercap.doc