Cain & Able DNS Spoofing

Cain & Able DNS Spoofing

Met Cain and Able is het mogelijk om netwerkpakketjes te onderscheppen,
waardoor wachtwoorden, communicatie, enz. kan worden gelezen.

Ook is het mogelijk om wachtwoorden te kraken.
Wachtwoorden zijn veelal gecodeerd met een one-way encoding systeem (MD5 is hier een voorbeeld van).
Deze manier zorgt ervoor dat iets wel naar een HASH kan worden berekent maar met de HASH niet de originele data kan worden terugberekend.
Echter kun je d.m.v. ‘collisions’ kijken wat het wachtwoord kan zijn (oftewel  Brute-forcing)

Tevens kan het wachtwoorden van Windows naar boven halen (Lokaal).. en nog veel meer..

Dit ga ik hier niet uitleggen.. wat ik wel ga uitleggen is hoe je met Cain & Able het netwerk kan ‘sniffen’ en hoe je iemand binnen het netwerk kan pesten door zijn dns functie te wijzigen.

DNS = Dynamic Name Service, dit zet ip adressen om in tekst.
Bijv. www.google.nl heeft IP adres 173.194.67.94
om bij google te komen kun je dus ook het ip adres intypen, maar omdat meeste mensen
slecht zijn in nummers onthouden kun je dus met tekst werken.
Daar zorgt de DNS voor dat de browser weet waar hij heen moet gaan.

Cain & Able werkt met DNS-Spoofing; vrij vertaald DNS-bedrog.

De software zal zich anders ‘voorstellen’ aan het netwerk en net doen of hij
een andere pc is binnen het netwerk. Hierdoor ontvangt hij ook de pakketjes die voor een ander bedoeld zijn.

Als het gelukt is en de instellingen zijn juist zal hij de verbinding van diegene beïnvloeden.
Dit heet
ARP Spoofing

Hiermee kunnen we iemand ‘redirecten’; doorsturen naar een andere adres dan de gebruiker wil.
In de browser ziet men geen verschil, want de sitenaam e.d. zoals de website die de gebruiker wilde bezoeken is nog steeds hetzelfde.
(Dit wordt ook veel gebruikt door hackers om mensen te geloven dat ze bijv. op de site zijn van hun bank, maar ondertussen is het de site van de hacker die er precies op lijkt om zo inloggegevens te verkrijgen).

Let op! Dit kan alleen binnen het netwerk waar je zit (bedrade netwerk thuis, wifi (hotspot), enz)

Opstarten

  • Start Cain & Able (met rechtermuisknop “Als Administrator uitvoeren” – Win 7)
    Soms krijg je een foutmelding met iets over HTTPS, gewoon wegklikken en doorgaan.
  • Ga naar “Configure” en kies de verbinding wat je wilt onderscheppen.

Meestal zijn het er 2. Als je via de router op het netwerk zit is het bijna altijd of 10.0.0.1 of 192.168.0.x / 192.168.23.x. (deze ip’s zijn voor lokaal gebruik).

Als je in de trein zit en je bent ingelogd op het gratis wifi netwerk kun je dus
alle gebruikers ‘zien’ en hun pakketjes te lezen.

  • Klik op “OK”

Nu heb je de juiste netwerk gekozen. Nu gaan we hem actief maken.

Activeren Cain

(Able is een apart programma die we niet gebruiken)

Activeer alle opties (Let op: Volgorde van links naar rechts)

So…ready to go…

Nu gaan we het netwerk afscannen naar andere apparaten die op hetzelfde netwerk
zitten.

  • Ga naar tabblad “Sniffer”
  • Klik op de plus teken bovin.
  • Een keuzescherm zal openen en klik op “OK”

Nu zal er een lijst ontstaan van IP adressen en OUI Fingerprint (Identificatie van de desbetreffende apparaat).


Dit is voorbeeld van mijn intern netwerk thuis.

Ok, nu gaan we ‘verbindingen’ maken om te gaan onderscheppen.
Om een goeie verbinding te maken moet je een connectie maken tussen het apparaat en de Host* maken.

* dit is het apparaat waaraan iedereen verbonden is (bijv. router of hotspot).

In mijn voorbeeld is dit 10.0.0.138 (mijn router) en ik wil van de 10.0.0.6 de verbinding afluisteren.

Ga naar onderste tabblad “APR”.

Klik op het scherm zodat de plusteken zichtbaar wordt.

Als + is opgelicht, klik hier op en een nieuw venster zal geopend worden.

Nu selecteer links de router (of wifi/hotspot), in dit geval 10.0.0.138.


Nu verschijnt rechts de overige IP adressen die je kan kiezen.

Kies diegene die je graag wilt ‘onderscheppen’.

Klik op OK om de keuze effectief te maken.

De scherm zal zich sluiten en nu zie je een nieuwe regel bij Status.

Idle betekent dat hij nog niet bezig is, dit kan enige tijd duren (als het correct is gedaan).
En zal na max. 1 minuut overgaan in “Poisioning”

Je kan deze procedure bij elke IP adres doen die in de lijst staat. Zodat je een grote lijst hebt met IP’s. *

* Let wel, hoe meer verbindingen hoe meer pakketjes Cain ontvangt. Dit kán zorgen voor een DDoS op je eigen netwerk waardoor je computer vast loopt.

Voorbeeld:

Full-routing betekend dat hij alles kan onderscheppen, Half-routing alleen de heen- of terugweg.

Zo, Cain doet zijn werk.

Nu the Fun part !!

Ga nu naar “APR-DNS” en klik op het +-teken.

Een nieuw scherm zal openen.

Voer in bovenste veld in www.google.nl
en onderste veld een IP adres of op “Resolve” klikken en je kan een url invoeren.

Voer hier in bijv. www.sex.nl

En nu gewoon maar afwachten tot er iemand begint te mopperen dat er iets mis is met zijn computer! *
Let op! Dit kan enige tijd duren voor het effect heeft!!

Dit is leuk om te doen in de trein, is onbeveiligd draadloos netwerk.
McDonalds e.d. ook, tevens tijdens het ‘sniffen’ zie je alle http requests met wachtwoorden ook voorbij komen. login’s van facebook e.d.

PDF: https://dl.dropboxusercontent.com/u/4378489/neusbeer.nl/cain/Cain_and_Able_DNS-spoofing.pdf