CAIN and ABEL Tutorial 2

ni bagian dari tutorial akan meliputi:ARP Poison RoutingApril-HTTPSAprilAPR (ARP Poison Routing) adalah fitur utama dari program ini. Ini memungkinkan sniffing pada jaringan diaktifkan dan pembajakan lalu lintas IP antara host. Nama "ARP Poison Routing" berasal dari dua langkah yang dibutuhkan untuk melakukan sniffing jaringan yang tidak biasa seperti: Attack ARP Poison dan routing paket ke tujuan yang benar.ARP Poison SeranganSerangan semacam ini didasarkan pada manipulasi cache host ARP. Pada jaringan Ethernet / IP ketika dua host ingin berkomunikasi satu sama lain mereka harus mengenal satu sama lain alamat MAC. Sumber host melihat tabel ARP untuk melihat apakah ada alamat MAC sesuai dengan alamat IP host tujuan. Jika tidak, menyiarkan Permintaan ARP untuk seluruh jaringan menanyakan MAC dari host tujuan. Karena paket ini dikirim dalam siaran itu akan menjangkau setiap host dalam subnet namun hanya host dengan alamat IP yang ditetapkan dalam permintaan akan menjawab MAC nya ke host sumber. Sebaliknya jika entri ARP-IP untuk host tujuan sudah ada di cache ARP dari host sumber, entri yang akan digunakan tanpa menghasilkan lalu lintas ARP.Memanipulasi cache ARP dari dua host, adalah mungkin untuk mengubah arah normal lalu lintas antara mereka. Ini jenis lalu lintas pembajakan adalah hasil dari serangan ARP Poison dan juga prasyarat untuk mencapai "Man-in-the-Middle" kondisi antara host korban. Istilah Main-in-the-Tengah mengacu pada fakta bahwa lalu lintas antara host mengikuti jalan yang diwajibkan melalui sesuatu sebelum mencapai tujuan yang dikehendaki.Re-Routing PaketSekarang anggaplah bahwa Anda berhasil setup sebuah serangan ARP Poison antara dua host untuk mencegat lalu lintas jaringan mereka. Untuk melakukannya Anda telah ditentukan alamat MAC sniffer dalam paket ARP Poison dan sekarang Anda memaksa dua host berkomunikasi melalui komputer Anda.Dalam situasi ini sniffer menerima paket yang ditujukan ke alamat MAC, tetapi tidak ke alamat IP-nya sehingga stack protokol membuang paket ini menyebabkan Denial of Service antara host. Untuk menghindari masalah seperti sniffer harus mampu kembali rute paket beracun ke tujuan yang benar. (Anda tidak dapat menangkap kata sandi apapun jika host tidak dapat berkomunikasi)PrasyaratUntuk kembali rute paket beracun ke tujuan yang benar, program ini harus tahu setiap IP-MAC asosiasi host korban. Inilah sebabnya mengapa pengguna diminta untuk memindai alamat MAC pertama.KonfigurasiFitur ini membutuhkan konfigurasi dari beberapa parameter yang dapat diatur dari dialog konfigurasi. Hal ini dimungkinkan untuk menentukan MAC palsu dan alamat IP yang akan digunakan dalam paket ARP Poison, ini membuatnya sangat sulit untuk melacak kembali ke asal serangan itu karena alamat nyata penyerang tidak pernah dikirim melalui jaringan. Pada jaringan diaktifkan, serangan itu juga merupakan salah satu siluman dari titik pusat pandangan karena Kain April menggunakan alamat unicast Ethernet tujuan dalam paket ARP Poison, paket ini akan diteruskan oleh switch yang sesuai untuk tabel CAM mereka dan tidak pernah dikirim dalam siaran.

Korban host dapat dipilih dari Tab April menggunakan tombol + pada toolbar:Arti dari seleksi ini adalah: "Saya ingin membajak semua lalu lintas IP yang mengalir dari host 192.168.0.1 dan host 192.168.0.10 di setiap arah sehingga workstation saya akan berada dalam kondisi Man-in-the-Tengah antara mereka".Dengan cara ini program ini dikonfigurasi untuk melakukan serangan ARP Poison diarahkan ke host yang dipilih dan pada saat yang sama asosiasi yang diperlukan untuk kembali rute paket diracuni dibuat. Kain April telah dikembangkan untuk menangani serangan terhadap beberapa host pada saat yang sama sehingga Anda dapat memilih dalam daftar yang benar kolam alamat.Serangan itu sekarang dapat diaktifkan / dinonaktifkan menggunakan tombol toolbar relatif;April ViewsAnda dapat memonitor aktivitas lalu lintas dari dua pandangan di bawah TAB sub April Pandangan atas (LAN View) menunjukkan jumlah kembali diarahkan paket antara host beracun dan juga arah routing paket. Itu bisa terjadi bahwa untuk beberapa alasan (statis ARP entri misalnya) serangan ini berhasil untuk satu host saja, dalam hal ini Anda akan melihat jumlah re-routed paket meningkat untuk satu arah saja berarti bahwa sniffer sedang memproses setengah dari lalu lintas diharapkan.Pandangan yang lebih rendah (WAN View) menunjukkan jumlah kembali diarahkan paket diarahkan ke atau datang dari alamat IP yang berada di luar subnet saat ini. Jika salah satu dari dua host adalah router ada kemungkinan bahwa Kain April akan memproses lalu lintas WAN juga, dalam hal ini daftar yang lebih rendah akan secara otomatis diisi dengan asosiasi untuk lalu lintas WAN.Ketika meracuni router pertimbangan berikut muncul:- Jika Anda setup April untuk membajak lalu lintas IP antara host internal dan gateway default Anda secara otomatis akan mencegat lalu lintas dari host dan semua host lain yang hadir dalam jaringan eksternal yang terhubung oleh gateway tersebut.- Ketika April menerima paket berasal dari sebuah host internal dan diarahkan ke alamat IP yang berada di luar subnet saat ini ia harus kembali rute yang paket ke gateway yang benar yang tidak diketahui.IP alamat tujuan ada dalam paket adalah salah satu host eksternal dan alamat tujuan Ethernet adalah kami sniffer alamat MAC ..... muncul pertanyaan ke mana untuk kembali rute paket ini jika ada beberapa titik keluar (gateway) dalam LAN kita? Paket dapat dikirim dalam siaran tapi ini hanya bekerja dengan router, Aku memeriksa bahwa Checkpoint Firewall untuk paket contoh membuang diarahkan ke IP Unicast alamat dikemas dalam frame dengan alamat broadcast MAC.ketika April tidak tahu di mana untuk kembali rute paket itu akan menggunakan rute terbaik ditemukan di tabel rute sistem operasi lokal.Jika LAN anda menggunakan routing yang asimetris Anda dapat memodifikasi tabel rute lokal menggunakan Pengelola Tabel Rute untuk menghindari masalah di atas.- Keracunan default gateway subnet dengan semua host lain dalam LAN dapat menyebabkan kemacetan lalu lintas karena April tidak memiliki kinerja yang sama dari sebuah router kecepatan tinggi.- Default gateway alamat biasanya alamat virtual yang dihasilkan oleh HSRP atau VRRP routing protokol. Pertimbangkan jika Anda meracuni host normal dan gateway alamat default maya ...Dalam hal ini paket berasal dari luar jaringan lokal dan diarahkan ke host internal akan mencapai sniffer tetapi paket ini bisa berisi alamat MAC nyata dari host HSRP / VRRP aktif sebagai alamat sumber Ethernet. Karena ini sumber alamat MAC adalah bukan yang Anda setup dalam daftar APR, paket tidak akan kembali diarahkan oleh April menyebabkan DoS. Bila Anda ingin meracuni HSRP / VRRP alamat virtual Anda harus meracuni alamat juga nyata HSRP / VRRP anggota.April WAN Status

Setiap entri hadir dalam daftar WAN dapat mencapai status berikut:
- Penyiaran: Negara Ini berarti bahwa April menerima sebuah paket dari sebuah host yang berada pada jaringan yang berbeda dan diarahkan ke alamat IP dari domain broadcast anda. Paket yang harus diarahkan oleh APR tapi tujuan alamatMAC yang benar tidak ada dalam daftar host. Dalam situasi ini April akan menyiarkan paket yang ke semua host di LAN Anda.
- Setengah-Routing: Negara Ini berarti bahwa April adalah routing lalu lintasdengan benar tetapi hanya dalam satu arah (ex: Client-> Server atau Server->Client). Hal ini dapat terjadi jika salah satu dari dua host tidak dapat diracuni atau jika asimetris routing digunakan di LAN. Dalam keadaan ini sniffer kehilangansemua paket dalam arah seluruh sehingga tidak bisa ambil autentikasi yang menggunakan mekanisme tantangan-respon.
- Full-Routing: Negara Ini berarti bahwa lalu lintas IP antara dua host telah sepenuhnya dibajak dan APR bekerja dalam LENGKAP-DUPLEX. (misalnya:ServerClient). Sniffer akan mengambil informasi otentikasi sesuai dengan setfilter.
April-HTTPS memungkinkan penangkapan dan dekripsi lalu lintas HTTPS antara host. Ia bekerja bersama dengan Kolektor Sertifikat Kain untuk menyuntikkansertifikat palsu dalam sesi SSL, sebelumnya dibajak oleh rata-rata AprilMenggunakan trik ini adalah mungkin untuk mendekripsi data dienkripsi sebelum tiba ke tujuan yang sebenarnya melakukan apa yang disebut Man-in-the-Middleserangan.
Jadilah memperingatkan bahwa klien akan melihat serangan semacam inikarena file sertifikat server disuntikkan ke dalam sesi SSL adalah yang palsu dan meskipun sangat mirip dengan yang asli itu tidak ditandatangani oleh otoritassertifikasi terpercaya. Ketika klien korban mulai sesi HTTPS baru, browser-nyamenunjukkan peringatan pop-up dialog tentang masalah ini

April-HTTPS menggunakan file sertifikat dimanipulasi oleh Kolektor Sertifikat.Mereka berisi parameter yang sama dari yang nyata kecuali untuk kunci enkripsi asimetris, ini menyesatkan banyak pengguna untuk menerima sertifikat server dan lanjutkan dengan sesi.

Daftar di bawah pada tab April-HTTPS berisi semua file sesi yang telah ditangkapselama serangan Man-in-the-Tengah, data didekripsi disimpan dalam file teksyang terletak di bawah "HTTPS" subdirektori dari folder instalasi utama

Cara kerjanyaKain HTTPS sniffer bekerja di LENGKAP-DUPLEX CLIENT-SIDE modus STEALTH; server dan lalu lintas klien didekripsi dan jika diaktifkan spoofing IP penyerang dan alamat MAC tidak pernah terkena klien korban. Koneksi diterima oleh socket lokal "akseptor" mendengarkan pada port HTTPS didefinisikan dalam dialog konfigurasi; socket ini menangani koneksi klien dibajak tapi hanya jika April diaktifkan. OpenSSL perpustakaan ini digunakan untuk mengelola komunikasi SSL lebih dari dua soket lebih, yang digunakan untuk lalu lintas antara klien dan Kain lain yang digunakan untuk lalu lintas antara Kain server.Ini adalah bagaimana semuanya bekerja langkah demi langkah:1) Filter HTTPS diaktifkan oleh pengguna dalam dialog konfigurasi2) April diaktifkan oleh pengguna menggunakan tombol pada toolbar -> serangan Man-in-the-Tengah siap3) Klien korban mulai sesi baru ke server dengan HTTPS (misalnya https://xyz.com)4) Paket dari klien yang dibajak oleh April dan ditangkap oleh Kain sniffer oleh rata-rata pengemudi Winpcap5) April-HTTPS mencari sertifikat palsu terkait ke server yang diminta dalam Kolektor Sertifikat; jika ada sertifikat tersebut akan digunakan jika tidak maka akan secara otomatis didownload, baik dimodifikasi dan disimpan secara lokal agar dapat digunakan.6) Paket dari korban yang dimodifikasi sehingga mereka kembali diarahkan ke soket akseptor lokal; modifikasi yang dibuat pada alamat MAC, alamat IP dan port sumber TCP (Port Address Translation "PAT" digunakan untuk menangani beberapa sambungan). Data yang ditangkap kemudian dikirim lagi ke jaringan menggunakan Winpcap tetapi kali ini ditujukan kepada soket lokal yang akan menerima koneksi Client-side.7) Soket Server-side dibuat dan terhubung ke server sebenarnya diminta oleh korban.
 Perpustakaan OpenSSL ini digunakan untuk mengelola enkripsi pada kedua soket menggunakan sertifikat palsu korban-side dan sertifikat nyata memutuskan-side.9) Paket dikirim oleh soket sisi klien dimodifikasi lagi untuk mencapai host korban.10) Data yang berasal dari server didekripsi, disimpan ke file sesi, kembali dienkripsi dan dikirim ke host korban dengan rata-rata dari soket sisi klien.11) Data yang berasal dari klien didekripsi, disimpan ke file sesi, kembali dienkripsi dan dikirim ke server dengan maksud dari soket Server-side.Meskipun dapat melihat dari file sertifikat palsu yang digunakan, jenis serangan adalah STEALTH dari sudut pandang klien karena korban berpikir untuk terhubung ke server sebenarnya, mencoba "netstat-an" pada klien untuk memeriksa diri sendiri.Setelah didekripsi, lalu lintas dari klien juga dikirim ke HTTP sniffer filter untuk analisa lebih lanjut pada kredensial. Anda dapat melihat data yang disimpan dalam file sesi oleh April-HTTPS sini.PrasyaratFitur ini perlu April harus diaktifkan dan kondisi Man-in-the-Tengah antara server HTTPS dan host korban.KeterbatasanFitur ini tidak bekerja seperti sebuah server proxy, karena penggunaan dari driver Winpcap tidak dapat mendekripsi HTTPS sesi dimulai dari host lokal.PemakaianSetelah Anda berhasil mensetup April dan memungkinkan HTTPS sniffer filter, sesi secara otomatis disimpan dalam HTTPS subdirektori dan dapat dilihat dengan menggunakan fungsi relatif dalam daftar pop up menu.KREDIT-> Kain dan Habel ITU SENDIRI