Phòng chống hacker sử dụng Cain & Abel trong mạng LAN (Phần 2)

Bài hôm trước tôi đã giới thiệu về sự nguy hiểm của phần mền cain & abel, trong bài này tôi sẽ đưa ra giải pháp và công cụ để ngăn chặn. ( Phần 1)

Trước hết bạn tìm hiểu cơ chế để hiểu rõ hơn về cách phòng chống. ( Ai muốn quan tâm và hiểu sâu hơn )

Cơ chế hoạt động.

+ Môi trường mà Cain & Abel và các phần mền khác như Wireshask, IP Sniffer… hoạt động là trong mạng LAN ( đặc biệt cho những ai có tài khoản game có giá trị cùng với những thông tin quan trọng  như thông tin thẻ tín dụng, admin…. )

ví dụ :

Quán café.

Quán Net, Wireless công cộng.

Cùng dãy trọ sinh viên…

+ Lý do các gói tin của chúng ta bị bắt và chụp lại là do khi truyền đi các gói tin đó chưa được mã hóa.

cụ thể đối với các kiểu sau:

− HTTP: Các dữ liệu gởi đi mà không mã hóa

− Telnet và Rlogin : ghi lại các thông tin như Password, usernames

− SMTP : Password và dữ liệu gởi đi không mã hóa

− NNTP : Password và dữ liệu gởi đi không mã hóa

− POP : Password và dữ liệu gởi đi không mã hóa

− FTP : Password và dữ liệu gởi đi không mã hóa

− IMAP : Password và dữ liệu gởi đi không mã hóa

Do vậy hầu hết các tài khoản đăng nhập trên các trang web có sử dụng giao thức (http://địa chỉ WEB) là không an toàn.

Xem Thêm Bài Viết  Một số module chống DDOS cho IIS và Apache #01

+ Dấu hiệu phát hiện cơ bản nhất không dùng công cụ

Khi chúng ta vào các trang web có giao thức https như facebook hay gmail.com, yahoo.com…thì trình duyệt cảnh báo.

Quan sát các hình sau:

Trên trình duyệt Internet Explorer.

canhbao IE

Trên trình duyệt Crome.

canhbaotren Chrome

Trên trình duyệt Firefox.

canh bao firefox

Cảnh báo trên thường có nhiều nguyên nhân nhưng đột nhiên máy mình xuất hiện thì do đang có phần mềm nghe lén hoạt động đã làm giả chứng chỉ số của các trang mạng. Vậy các trang web thông thường bắt đầu http như đăng ký học, cơ quan, doanh nghiệp… thì trình duyệt không tự cảnh báo vì không dùng chứng chỉ số.

 Phát hiện và phòng chống Cain

 – Cách 1:

Sử dụng phần mềm XArp 2.0. ( link tại đây http://www.4shared.com/rar/O0a6wlkT/xarp200.html )
Bạn chạy chương trình XArp 2.0 và sẽ nhìn thấy một số dòng màu đỏ, trong đó có IP Gateway, máy tấn công và các máy nạn nhân.
Bạn hãy loại ra IP Gateway và các IP máy nạn nhân bị mất mạng, còn lại chính là IP của máy tính tấn công đó (máy này không bị mất mạng).
Nếu chú ý hơn vào XArp 2.0, bạn kéo ra sau cùng sẽ thấy cột How Often seen, bạn sẽ thấy số dữ liệu trao đổi giữa Gateway và các máy nạn nhân tăng lên tương ứng nhau, còn máy tấn công thì khác hẳn.
 

– Cách 2:

bạn ping đến từng máy trong mạng LAN xem máy nào kết nối chập chờn, lúc được lúc không thì đó chính là máy tấn công ARP spoofing bằng NetCut hay ArpSpoof. Tất nhiên cách này thủ công và mất nhiều thời gian hơn.
Ví dụ bạn phát hiện ra máy tấn công là 192.168.1.23

Xem Thêm Bài Viết  Đánh giá bảo mật (Pentest) và các công cụ (Phần 2)

– Cách 3:

+ Luôn bật netcut defend để chống ARP spoofing
+ Dùng câu lệnh add MAC mặc định của gateway vào trong máy mình :
1) Tìm địa chỉ MAC chính xác của Gateway.

– Ngắt toàn mạng ra khỏi gateway, chỉ giữ lại 1 máy tính sạch để bạn làm việc.

– Vào màn hình MS-DOS : từ bàn phím bấm Start + r-> gõ cmd

– Gõ lệnh ping đến IP của gateway, giả sử IP của gateway là 192.168.1.1, dùng lệnh: ping 192.168.1.1

– Gõ lệnh arp –a

– Bạn quan sát trên màn hình và sẽ thấy trên màn hình hiện lên các dòng tương tự sau:

Internet Address Physical Address Type

192.168.1.1 00-1b-0d-e7-4b-00 dynamic (  00-1b-0d-e7-4b-00 là địa chỉ MAC )

Địa chỉ MAC chính là Physical Address gắn liền với địa chỉ IP của gateway và là 00-1b-0d-e7-4b-00 .

2) Tạo file run.bat để tự động đưa MAC của gateway vào ARP enry theo kiểu static

– Dùng notepad soạn 1 file text có nội dung sau:

arp -s IP MAC ( với IP là địa chỉ IP của gateway và MAC là địa chỉ MAC chúng ta đã tìm được ở trên)

Ví dụ với IP là 192.68.1.1 và MAC tương ứng là 00-1b-0d-e7-4b-00 :

arp -s 192.168.1.1 00-1b-0d-e7-4b-00

– Đổi tên file text thành run.bat.

3) Copy file run.bat vào start up của các máy tính mạng để mỗi khi máy tính bật lên thì file run.bat sẽ được chạy.

* Ngoài cách phòng chống bị tấn công ở trên, còn một cách nữa là bạn sử dụng chính phần mềm NetCut và tích chọn Protected My Computer hoặc dùng phần mềm Anti Netcut v2

Link tại đây:

Xem Thêm Bài Viết  Sửa lỗi Firefox tự động bắt link download: openh264-win32-v1.3.zip bằng IDM

Lượt xem (5736)

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *