Phần mềm Cain và Abel

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
---------

BÁO CÁO MÔN HỌC:

QUẢN TRỊ HỆ THỐNG MẠNG

Đề tài:

PHẦN MỀM CAIN & ABEL

Giảng viên hướng dẫn:
ThS. Vũ Trí Dũng
Nhóm 8:
Võ Văn Hoàng Anh : 07520015
Nguyễn Thanh Tâm : 07520308
Trần Hải Đăng
: 07520429

1


Phần mềm Cain và Abel

Mục Lục Trang

1. Mục lục trang
.......................................................................................................................................

2
2. Lời nói đầu
.......................................................................................................................................
3
3. Cain là gì
.......................................................................................................................................
4
4. Nguyên lý hoạt động của Cain
.......................................................................................................................................
4
5. Sniffer dữ liệu
.......................................................................................................................................
5
6. Các dạng Sniffer
.......................................................................................................................................
6
7. Discovery Password
.......................................................................................................................................
10
8. Cách phòng chống Cain
.......................................................................................................................................
15
9. So sánh với các công cụ khác
.......................................................................................................................................
17
10. Tài liệu tham khảo
.......................................................................................................................................
17

2



Phần mềm Cain và Abel

Lời Nói Đầu
Hiện nay việc sử dụng máy tính để làm việc, giải trí, giao tiếp…đã ngày càng
trở nên phổ biến trên toàn thế giới nói chung cũng như nước ta nói riêng. Các hệ
thống mạng lớn nhỏ cũng dần được hình thành như Internet, Wan, Lan…
Việc này đòi hỏi phải có những công cụ thực sự hữu hiệu nhằm giúp người
quản trị mạng có thể theo dõi, giám sát hệ thống mạng của mình, có. Nhận ra các
điều bất thường hoặc các sự thay đổi …Từ đó có thể có các phương án sữa lỗi,
phòng chống, thay thế …
Vì vậy mà các công cụ quản trị mạng cũng lần lượt xuất hiện ngày một nhiều.
Các công cụ này giúp chúng ta biết được các thông tin về các máy trong mạng của
mình: thông tin về lưu lượng, thông tin về kết nối, các tài khoản…
Bên cạnh đó cũng có những công cụ ngoài giúp chúng ta biết được các thông
tin quan trọng hơn, tuyệt mật hơn, và nếu sử dụng chúng cho mục đích sai trái thì
sẽ gây hậu quả nghiêm trọng. Trong đó có Cain và Abel, đây là một công cụ yêu
thích của các Hacker. Vì vậy chúng ta sẽ tìm hiểu và biết về phần mềm này để có
thể phòng tránh và ngăn chặn nó
Trong quá trình hoàn tất đề tài này, khó tránh khỏi sai xót hoặc có thể gặp
vướng mắc ở một số chỗ gây khó hiểu cho người đọc nên mong cô và bạn đọc
thông cảm !
Em mong rằng đề tài này sẽ được cô và nhiều bạn đọc yêu thích !
3


Phần mềm Cain và Abel

Xin chân thành cám ơn!

TP HCM, ngày 2 tháng 12 năm 2010

Sinh viên thực hiện
Võ Văn Hoàng Anh : 07520015
Nguyễn Thanh Tâm : 07520308
Trần Hải Đăng
: 07520429

Cain Là Gì
Cain (tên đầy đủ là Cain & Abel) là một trong những công cụ đứng trong top
các công cụ về security.Ngày nay chúng ta ai cũng có thể dễ dàng download và
tìm hiểu cách sử dụng phần mềm Cain. Đây là một công cụ hữu ích trong việc

sniff dữ liệu, ăn trộm password... trong môi trường switch. Ví dụ như:
– Trộm password các tài khoản Email, diễn đàn…
– Trộm password tài khoản local..

Nguyên lý hoạt động của Cain
Trong môi trường broadcast domain, các máy được nối mạng với nhau và kết nối
đến server trao đổi thông tin
Server có một địa chỉ IP riêng và một địa chỉ MAC cố định.
Khi client kết nối đến server, Cain đổi địa chỉ MAC của server thành MAC của
máy attacker để client đó tưởng máy của attacker là máy server.
Như vậy tất cả dữ liệu, thông tin trao đổi giữa client và server đều đi qua máy
attacker.
4


Phần mềm Cain và Abel


Attacker đã sử dụng giao thức ARP Spoofing. Cụ thể như sau:
1 Attacker “nghe lén” 2 máy A và B.A gửi gói tin ARP Request ra toàn mạng
và hỏi địa chỉ MAC của B. B gửi gói tin ARP Reply báo cho A địa chỉ MAC. Và
attacker có được tất cả các thông tin này. Attacker đổi địa chỉ Mac của mình thành
B .Attacker gửi ARP Request và A sẽ chép đè thông tin lên ARP cache. Từ đây A
sẽ được gởi dữ liệu đến Attacker. Và Attacker đánh lừa luôn cả B. Khi Dữ liệu từ
A đến B Attacker giữ lại 1 bản và chuyển tiếp đến cho B. Và B trả lời lại cho A thì
Attacker cũng sẽ giữ lại 1 bản và chuyển tiếp đến cho A.

Sniffer Dữ Liệu
1.1 Giới Thiệu
Sniff được hiểu đơn giản như là một chương trình cố gắng nghe ngóng các
lưu lượng thông tin trên một hệ thống mạng. Tương tự như là thiết bị cho phép
nghe lén trên đường dây điện thoại. Chỉ khác nhau ở môi trường là các chương
trình Sniffer thực hiện nghe nén trong môi trường mạng máy tính.
Trong một hệ thống mạng sử dụng những giao thức kết nối chung và đồng bộ.
Chúng ta có thể sử dụng Sniffer ở bất cứ Host nào trong hệ thống mạng của bạn.
Chế độ này được gọi là chế độ hỗn tạp (promiscuous mode).
1.2 Mục đích sử dụng
Sniffer có thể là một công cụ giúp cho các quản trị mạng theo dõi và bảo trì
hệ thống mạng của mình. Và theo hướng tiêu cực nó có thể là một chương trình
được cài vài một hệ thống mạng máy tính với mục đích đánh hơi, nghe nén các
thông tin trên đoạn mạng này...
1.3 Cách thức hoạt động
Công nghệ Ethernet được xây dựng trên một nguyên lý chia sẻ vì vậy tất cả
các máy tính đó đều có khả năng nhìn thấy lưu lượng dữ liệu được truyền trên
đường truyền chung đó
5



Phần mềm Cain và Abel

Nó thực hiện được điều này trên nguyên lý bỏ qua tất cả những Frame có địa
chỉ MAC không hợp lệ đối với nó. Khi Sniffer được tắt tính năng lọc này và sử
dụng chế độ hỗn tạp (promiscuous mode). Nó có thể nhìn thấy tất cả lưu lượng
thông tin từ máy B đến máy C, hay bất cứ lưu lượng thông tin giữa bất kỳ máy nào
trên hệ thống mạng. Miễn là chúng cùng nằm trên một hệ thống mạng.

Các Dạng SNIFFER
ARP Poison Attack:thu thập thông tin mac address

APR-DNS:Tấn công gia mạo dns(spoofing attcack). Dể dàng viết lại ip
address trong gói dns reply

6


Phần mềm Cain và Abel

APR-HTTPS :Bắt các gói tin với giao thức https và giải mã(decryption) những gói
tin này

APR-FTPS:bắc gói tin với giao thức truyền nhận data mã hóa FTPS và decryption
chúng

7


Phần mềm Cain và Abel


APR-IMAPs:bắc gói tin với giao thức truyền nhận mail theo phương thức IMAP

APR-LDAPS:bắc gói tin với giao thức truyền nhận và quản lý giữa client và
server

8


Phần mềm Cain và Abel

APR-POP3S:bắc gói tin với giao thức truyền nhận mail theo phương thức POP3s

APR-RDP:thu thập thông tin giữa việc thực thi giao thức điều khiển máy từ
xa(Remote Desktop Protocol )- giãi mã cơ chế mà hóa RC4
APR-SSH-1:bắt gói tin với phương thức truy cập từ xa với giao thức SSH và mã
hóa SSH-1. Giãi phương thức mã hóa SSH-1
Certificates Collector:chức năng này sử dụng các thủ tục đăng ký của các phương
pháp mã hóa SSL(Secure Socket Layer) việc kết hợp certificates collector được
Cain tự động chạy nhằm decryption các thông tin capture được
VOIP(Voice over IP) :Bắt các gói tin thọai giữa các cuộc gọi sử dụng công nghệ
thoại ip. Sniffer trích những thông số RTP session như là : RTP port,ip
address,dynamic code SIP hoặc MGCP
9


Phần mềm Cain và Abel

Discovery Password
Cain & Abel là chương trình tìm mật khẩu chạy trên hệ điều hành Microsoft. Nó
cho phép dễ dàng tìm ran hiều loại mật khẩu bằng cách dò tìm trên mạng, phá các

mật khẩu đã mã hóa bằng các phương pháp Dictionary, Brute-Force and
Cryptanalysis…, giải mã các mật khẩu đã được bảo vệ, tìm ra file nơi chứa mật
khẩu, phát hiện mật khẩu có trong bộ đệm.
2.1 Password Crackers
- Cain hổ trợ hầu hết các phương thức băm (Hash) thông thường như là :
MD2, MD4, MD5, SHA1, SHA2 (256 bit), SHA2 (384 bit), SHA2
(512 bit), RIPEMD160
-Các giải thuật : PWL files, Cisco-IOS Type-5 enable passwords, Cisco
PIX enable passwords, APOP-MD5, CRAM-MD5, LM, LM + Challenge, NTLM,
NTLM + Challenge, NTLM Session Security, NTLMv2, RIPv2-MD5, OSPFMD5, VRRP-HMAC-96, VNC-3DES, MS-Kerberos5 Pre-Auth, RADIUS Shared
Secrets, IKE Pre-Shared Keys, Microsoft SQL Server 2000, Microsoft SQL Server
2005, Oracle, Oracle-TNS-DES, Oracle-TNS-3DES, Oracle-TNS-AES128,
Oracle-TNS-AES192, MySQL323, MySQLSHA1, SIP-MD5, WPA-PSK, WPAPSK-AUTH, CHAP-MD5, MS-CHAPv1, MS-CHAPv2.
2.1.1 Dictionary Password Crackers

10


Phần mềm Cain và Abel

Bao gồm tất cả các từ trong từ điển. Dùng phương thức so sánh với các từ có trong
Dictionary và xem xét khả năng từ nào có khả năng xảy ra cao nhất. Phương thức
này có hiệu xuất cao hơn Brute-force
Có 2 phương thức để cải thiện khả năng thành công của cách thức tấn công
dictionary attack
-Thứ nhất sử dụng lương từ điển lớn
-Thứ hai thực thi những chuỗi kí tự trên từ điển

2.1.2 Cryptanalysis
Được dùng để ám chỉ tới bất kỳ cố gắng để phá vỡ sự bảo mật của các giải thuật

mật mã và giao thức khác nói chung. Tuy nhiên, cryptanalysis thường không bao
gồm các phương thức tấn công mà không nhắm vào đích chính là những nhược
điểm của các cách viết mật mã hiện nay. Kết quả của cryptanalysis cũng thay đổi
không còn nữa khả năng thành công giới hạn trong việc codebreaking, và có một
sự phân cấp của những gì tạo nên một cuộc tấn công tốt.
Chức năng này sử dụng phương thức được giới thiệu bởi Faster Cryptanalytictime
– memory trade off được giới thiệu bởi Philippe Oechslin. Kỹ thuật này sử dụng
một số lượng Table lớn cho việc tính toán trước các password mã hóa được gọi là
Rainbow Tables

11


Phần mềm Cain và Abel

2.1.3 Rainbowcrack-online
-Crack trựctuyếnthông qua trang Rainbowcrack-online.com
-Rainbowcrack-online.com dành cho doanh nghiệp hay cá nhân định mức chính
sách password cungcấp 1 bảng hàm hash

12


Phần mềm Cain và Abel

2.1.4 WEP Cracker:giãimã password đượcmãhóabằngcơchế WEP
- TấncôngKorek's WEP là phương pháp bẻ khóa dựa trên thống kê và phục
hồi password. Bẻ khóa này dựa trên nền tảng sự yếu kém của thuật toán mã hóa
RC4. Phương pháp này có thể phục hồi chuổi khóa 64-bit và 128-bit


Cain còn hổ trợ phương pháp bẻ khóa PTW.Phương pháp này có thể bẻ khóa với
104 bit từ khóa trong WEP tần suất 50% với việc bắt được khoảng 40,000 gói tin

13


Phần mềm Cain và Abel

2.1.5 Brute-Force Password Cracker
Brute-Force Password Cracker là phương pháp phá mã.Phương pháp này khả thi
hay không còn phụ thuộcvào độ dài của chuổi mã hóa
Côngthứctính KS = L^(m) + L^(m+1) + L^(m+2) + ........ + L^(M)
Trongđó +L làđộdàichuỗikítự
+ m độdài min củakhóa
+M độdài max củakhóa

14


Phần mềm Cain và Abel

2.2 Password Decoders
•

Password decoders có thể được sử dụng để giải mã những password đã
được mã hóa bằng cách sử dụng bộ giải mã từ vài nguồn source ví dụ như
Protected Store, the Credential Manager, standard Edit Boxes, LSA secrets,
passwords from SQL Enterprise Manager, Windows Mail, DialUp, Remote
Desktop profiles và Windows wireless configuration service


•

Cain củng bao gồm bộ giải mã cho nhiều ứng dụng khác nhau
Microsoft,Cisco VPN application…

Cách Phòng Chống Cain

•

Thông Thường thì IP của server ở dạng dynamic. Do đó mà attacker có thể
thay đổi IP của server thành của mình (địa chỉ MAC sẽ thay đổi theo).
Để tránh được sự “đầu độc” của CAIN chúng ta chỉ cần đổi IP của Server
về dạng Static
Thực hiện :
Vào cmd và đánh câu lệnh sau:
"arp –s <IP server><MAC server>“
15


Phần mềm Cain và Abel

•
•
•
•

Ví dụ:
arp -s 157.55.85.212 00-aa-00-62-c6-09
Tuy nhiên khi khởi động lại máy thì trường Type lại trở về giá trị mặc định
Lưu dòng lệnh trên vào trong file text và save lại dưới dạng file *.bat.

Đưa file này vào phần Start up của hệ thống

-Phòng chống scan địa chỉ ip từ chương trình này là vô hiệu hóa NETBIOS name
-Dấu hiệu cảnh báo của trình duyệt khi có kẻ nào đó cố tình dùng cain & Abel
trong mạng. Cain&Abel thay đổi hay làm giả mạo các CA (Certification
Authority) để phát tới các Victim của nó. Thế nhưng khi các CA này được so
sánhvới CA mặc định của Windows thì ngay lập tức Windows phát hiện ra sự sai
lệch của CA mà nó nhận từ Cain&Abel, Và phát ra thông điệp cảnh báo ngay trên
trình duyệt IE khi ta login vào một site sử dụng giao thức https

PhòngChống Sniffer:
-Về mặt lý thuyết thì rất khó có thể phát hiện được sự hiện diện của các
chương trình Sniffer trên hệ thống. Bởi chúng chỉ capture và cố gắng đọc
các gói tin, chúng không gây ra sự xáo trộn hay mất mát Packet nghiêm
trọng nào trên đường truyền cả. Tuy nhiên trên thực tế lại có nhiều cách để
phát hiện ra sự hiện diện của các Sniffer. Khi đứng đơn lẻ trên một máy
tính không có sự truyền thông thì sẽ không có dấu hiệu gì. Tuy nhiên nếu
được cài đặt trên một máy tính không đơn lẻ và có sự truyền thông, bản
thân Sniffer sẽ phát sinh ra lưu lượng thông tin. Bạn có thể truy vấn ngược
DNS để tìm thông tin liên quan đến những địa chỉ IP.
Các phương pháp phòng chống Sniffer phổ biến
Phương pháp dùng Ping: Hầu hết các chương trình Sniffer được cài đặt
trên các máy tính trong mạng sử dụng TCP/IP Stack. Bởi vậy khi bạn gửi
yêu cầu đến những máy tính này, chúng sẽ phản hồi lại cho bạn kết quả.
Bạn hãy gửi một yêu cầu phản hồi tới địa chỉ IP của máy tính nào đó trong
mạng (máy mà bạn cần kiểm tra xem có bị cài đặt Sniffer hay không),
nhưng không thông qua Adapter Ethernet của nó.
VD:
-Chúng ta nghi ngờ máy tính có địa chỉ IP là 10.0.0.1, có địa chỉ MAC là 00-4005-A4-79-32. Đã bị cài đặt Sniffer.
-Chúng ta đang ở trong cùng một hệ thống mạng Ethernet mà bạn nghi ngờ có kẻ

đã tiến hành Sniffer.
-Thay đổi địa chỉ MAC của bạn thành là 00-40-05-A4-79-33.
-Ping đến địa chỉ IP và địa chỉ MAC mới.
-Trên nguyên tắc không một máy tính nào có thể nhìn thấy có thể nhìn thấy được
Packet này. Bởi Adapter Ethernet chỉ chấp nhận những địa chỉ MAC hợp lệ của
chính nó.
16


Phần mềm Cain và Abel

-Nếu ta thấy sự trả lời từ địa chỉ mà bạn nghi ngờ không phải trên địa chỉ lọc của
MAC (MAC Address Filter) trên Ethernet Card…Máy tính có địa chỉ IP 10.0.0.1
đã bị cài đặt Sniffer Bằng các kỹ thuật của mình các Hacker vẫn có thể né tránh
được phương pháp nêu trên. Các Hacker sẽ sử dụng
những MAC Address ảo. Rất nhiều hệ thống máy tính trong đó có Windows có
tích hợp khả năng MAC Filtering.
Windows chỉ kiểm tra những byte đầu tiên. Nếu một địa chỉ MAC có dạng FF-0000-00-00-00, thì đơn giản Windows sẽ coi nó là FF-FF-FF-FF-FF-FF. Đây là sơ
hở cho phép các Hacker có thể khai thác đánh lừa hệ thống máy tính của bạn.
1. Phương pháp dùng DNS:Rất nhiều chương trình Sniffer có tính năng phân
giải ngược các địa IP thành DNS mà chúng nhìn thấy (như dsniff). Bởi vậy
khi quan sát lưu lượng truyền thông của DNS bạn có thể phát hiện được
Sniffer ở chế độ hỗn tạp (Promiscuous Mode).
2. Phương pháp Source-Route : Phương pháp này sử dụng những thông tin
như địa chỉ nguồn và địa chỉ đích trong mỗi Header của IP để phát hiện
hành động Sniff trên từng đoạn mạng.
3. -Phương pháp giăng bẫy (Decoy) : Tương tự như phương pháp sử dụng
ARP nhưng nó được sử dụng trong những phạm vi mạng rộng lớn hơn (gần
như là khắp nơi). Rất nhiều giao thức sử dụng các Password không được
mã hoá trên đường truyền

4. Phương pháp kiểm tra sự chậm trễ của gói tin (Latency)

Phòng Chống Crack Password Và Decoder Password
Sử dụng các phương pháp mã hóa mới nhất tối ưu nhất như là SSH-2,HTTPS…
Thường xuyên thay đổi password.

So Sánh Với Các Công Cụ Khác
Cain&Abel ,Wiresharkvà Microsoft Network Mornitor
Cả 3 công cụ này đều miễn phí
• Cain: chạy trên hệ điều hành Microsoft, Công cụ mạnh để crack password
và sniffer không hổ trợ công nghệ Telephony
• Microsoft Network Mornitor chạy trên hệ điều hành Microsoft chủ yếu
dùng để bắt gói tin, không hổ trợ nhiều giao thức
• Wireshark chạy được trên cả Microsoft và MAC dung để bắt gói tin hổ trợ
nhiều giao thức và công nghệ mạng viễn thông (Telephony) củng như công
nghệ thoại IP như là GSM,VOIP,H.225,LTE, kén card mạng
17


Phần mềm Cain và Abel

TÀI LIỆU THAM KHẢO
/> /> /> /> /> />
18