10:35:00 AM
Lee John
Đầu tiên các bạn download tool Ettercap theo đường link sau về máy
http://www.mediafire.com/?sfim56dbqrtdw4l
Nếu các bạn đã cài đặt wireshark hoạt động tốt rồi thì phần này các bạn không phải cài Winpcap nữa.
Sau khi cài đặt xong các bạn bật chương trình có giao diện:
trên giao diện chương trình các bạn chọn tab Sniff-->Unified sniffing cựa số mới xuất hiện các bạn chon card mạng của máy tính của các bạn(ở đây máy mình chạy Ubuntu nên card mạng của mình là Eth0).
Sau đó giao diện sẽ thế này:
Mình sẽ giới thiệu các bạn một số tab của chương trình cần thiết cho bài hướng dẫn của mình, trong quá trình sử dụng các bạn tự tìm tòi nghiên cứu thêm.
Tab Start :
Start sniffing: dùng để khới động quán trình sniffing(Capture packer).
Stop sniffing: dùng để dừng quán trình sniffing
Tab Targets:
Current Targets:có hai phần
Target 1: hiện thị thông tin máy tính mình sẽ tấn công(máy tính mình muốn nghe lén)
Target 2: Hiện thị thông tin đối tượng mình lợi dụng đế tấn công
Tab Hosts:
Hosts list: Hiện thị toàn bộ máy tính có trong mạng bào gồm địa chỉ IP và địa chỉ MAC.
Scan for hosts: là công cụ dùng để quét toàn bộ mạng để tìm máy tính nào đang hoạt động trên mạng.
Tab Mitm: hay còn gọi là Man - in -the - middle(Người đàn ông đứng giữa)
ARP poisoning: là công cụ dùng để làm nhiếm độc bảng ARP của các máy tính(như các bạn đã biết một máy tính muốn nói chuyện được vơi internet nó phái có địa chỉ ip gateway tức địa chỉ modem đó bạn, khi máy tính muốn đi ra internet thì đầu tiên nó phải biết địa chỉ ip của modem, sau đó nó gửi một bản tin ARP broadcast ra mạng và hỏi xem ai sở hữu địa chỉ ip này, khi modem nhận được gói tin và biết rằng mình sở hửu địa chỉ ip này, liền sau đó nó sẽ gửi bản tin chửa địa chỉ MAC của nó tới máy tính đó. Khi máy tính nhận được bản tin modem gửi về thì nó sẽ lưu thông tin này thành một bảng ARP, các lần sau mỗi khi nó cần nói chuyện với internet thì máy tính không phải gửi ARP broadcast nữa mà chỉ cần lấy thông tin trong bảng arp mà trước đó nó đã xây dựng) như vậy cơ chế làm việc của arp poisoning là gi? nó sẽ làm như sau:
Giá sử máy tính nạn nhân là: ip 10.1.1.1 MAC :0000:1111:2222:2222
Máy tính hacker: ip 10.1.1.2 MAC: 1111:2222:1111:3333
Modem: IP 10.1.1.10 MAC : 2222:2222:2222:2222
Đầu tiên hacker sẽ gửi nhiều bản tin giá mạo ARP tới modem với nội dung:
IP: là địa chỉ của máy tính nạn nhân
MAC: là địa chỉ mac của máy hacker
Mục địch là để làm cho modem hiểu rằng máy tính hacker là máy tính của nạn nhận
Tiếp theo hacker gửi nhiều bản tin ARP tới máy tính nạn nhân với nội dung:
IP: là địa chỉ ip của modem
MAC: là địa chỉ mac của máy hacker
Mục đích là để máy tính nạn nhân hiểu rằng máy tính hacker chính là modem.
Bước tiếp theo hacker sẽ bật tính năng IP Forwarding trên máy tính của họ.
Thế là toàn bộ thông tin truyên thông giữa modem và máy tính nạn nhân sẽ đi qua máy tính của hacker và điều gì đến cũng sẽ đến....hacker sẽ chụp được toàn bộ.
Mình đã giới thiệu cho các bạn biết một số tính năng cơ bản của Ettercap, còn một số tính năng nữa các bạn tự nghiên cứu nhé minh. Ettercap cũng có một tính năng cực hay nữa, mình nói qua các bạn tự nghiên cứu nhe đó là Tab Plugins
Nó có khả năng: khi bạn lướt web ,Ettercap có thế điều hướng được toàn bộ người dùng trong mạng của bạn truy cập vào mà hacker đã dựng sãn. Tình năng này gọi là DNS poisoning.
Giờ mình sẽ hưỡng dẫn các bạn thực hành với công cụ Ettercap nhé.
Tình huống thực hành:
Một máy tính nạn nhân có thông tin: IP 192.168.1.13
Modem: IP 192.168.1.1
Máy tính hacker: IP 192.168.1.11
Posted in: Tools
