Tìm Hiểu Về Phương Pháp Tấn Công Sniffing Và Cách Phòng Chống + ...

Có thể bạn quan tâm

Tải bản đầy đủ (.docx) (51 trang)

Trang chủ

Công Nghệ Thông Tin

An ninh - Bảo mật

Tìm hiểu về phương pháp tấn công Sniffing và cách phòng chống + Demo cụ thể

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.98 MB, 51 trang )

MỤC LỤCLỜI MỞ ĐẦU............................................................................................3DANH MỤC HÌNH VẼ............................................................................4CHƯƠNG 1: GIỚI THIỆU......................................................................61.1.Tổng quan về an ninh mạng và các nguy cơ gây mất an ninh61.2.Các kiểu tấn công mạng phổ biến................................................91.3.Mục tiêu của báo cáo..................................................................11mạngCHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCHPHÒNG CHỐNG..............................................................................................122.1.Giới thiệu....................................................................................122.1.1. Khái niệm sniffing.................................................................122.1.2. Cơ chế hoạt động của sniffing..............................................122.1.3. Phân loại sniffing..................................................................132.1.4. Các hình thức tấn công.........................................................142.2.Lắng nghe thông tin qua Hub.....................................................142.2.1. Phương pháp tấn công..........................................................142.2.2. Các biện pháp phòng chống..................................................162.3.Tấn công MAC...........................................................................162.3.1. Khái niệm địa chỉ MAC.........................................................162.3.2. Phương pháp tấn công..........................................................162.3.3. Các biện pháp phòng chống..................................................182.4.Tấn công DHCP.........................................................................182.4.1. Khái niệm DHCP và quá trình cấp phát IP động.................182.4.2. DHCP Client giả...................................................................192.4.3. DHCP Server giả..................................................................202.4.4. Các biện pháp phòng chống..................................................212.5.Chặn bắt thông tin dùng ARP – Poisoning.................................222.5.1. Khái niệm và nguyên tắc làm việc của ARP trong mạng LAN222.5.2. Cách thức hoạt động của ARP poisoning.............................232.5.3. Các biện pháp phòng chống..................................................252.6.Chặn bắt thông tin dùng DNS – Spoofing.................................262.6.1. Giao thức DNS......................................................................262.6.2. Phương pháp tấn công DNS – Spoofing...............................262.6.3. Các biện pháp phòng chống DNS Spoofing..........................282.7.VLAN Hopping..........................................................................282.7.1. Các giao thức hoạt động trong môi trường VLAN................282.7.2. VLAN Hopping......................................................................312.7.3. Các biện pháp phòng chống..................................................32CHƯƠNG 3: DEMO MỘT SỐ PHƯƠNG PHÁP TẤN CÔNGSNIFFING..........................................................................................................333.1.Mô hình minh họa......................................................................333.2.Demo tấn công sniffing dùng ARP – Poisoning.........................343.2.1. Công cụ thực hiện demo........................................................343.2.2. Quá trình thực hiện tấn công................................................343.3.Demo tấn công sniffing dùng DNS – Spoofing.........................43TÀI LIỆU THAM KHẢO......................................................................51LỜI MỞ ĐẦUTheo thống kê và tính toán của Cục An toàn thông tin và Trung tâm Ứngcứu khẩn cấp máy tính Việt Nam (VNCERT) - Bộ TT&TT, năm 2016, Việt Namphát hiện 135.190 cuộc tấn công mạng, tăng gấp hơn 3 lần so với năm 2015, trongđó có 10.276 cuộc tấn công lừa đảo (Phishing), 47.135 cuộc tấn công cài phầnmềm độc hại (Malware) và 77.779 cuộc tấn công thay đổi giao diện (Deface).Trong đó, có 201 cuộc tấn công thay đổi giao diện vào các hệ thống có tên miền“.gov.vn”.Riêng trong nửa đầu năm 2017, Trung tâm VNCERT ghi nhận 6.303 cuộctấn công mạng vào các hệ thống thông tin của Việt Nam, bao gồm 1.522 cuộc tấncông lừa đảo, 3.792 cuộc tấn công cài đặt phần mềm độc hại và 989 cuộc tấn côngthay đổi giao diện. Tổng số cuộc tấn công mạng vào các hệ thống thông tin sửdụng tên miền “.gov.vn” trong 6 tháng đầu năm 2017 là 25 cuộc.Các cuộc tấn công ngày nay ngày càng diễn biến phức tạp, với số lượngcác cuộc tấn công mạng vào những cơ quan, tổ chức, doanh nghiệp có chiềuhướng tăng so với các năm trước đây, nhất là các cuộc tấn công mạng vào hệthống thông tin của cơ quan nhà nước và các doanh nghiệp lớn.Bài báo cáo sẽ giới thiệu tổng quát về phương pháp Hacker sử dụng để tấncông mạng, nói cụ thể về phương pháp tấn công sniffing và cách phòng chống.Nội dung bài báo cáo gồm 03 chương:CHƯƠNG 1: GIỚI THIỆUCHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCHPHÒNG CHỐNGCHƯƠNG 3: DEMO PHƯƠNG PHÁP TẤN CÔNG SNIFFING3DANH MỤC HÌNH VẼHình 2.1: Cơ chế hoạt động của sniffingHình 2.2.1: Lắng nghe thông tin qua HubHình 2.2.2: Xung đột khi nhiều thiết bị cùng truyền thông tại một thờiđiểmHình 2.3.1: Kẻ tấn công đầu độc switch bằng địa chỉ MAC giả mạo khiến bảngCAM trong switch bị đầyHình 2.3.2: Kẻ tấn công đã khiến switch hoạt động như một hub và lắng ngheđược thông tin trong mạngHình 2.4.1: Quá trình cấp phát IP từ máy chủ DHCPHình 2.4.2: Attacker thực hiện “vét cạn” khiến giải địa chỉ IP có trên DHCPServer bị cạn kiệtHình 2.4.3: Hoạt động của DHCP Server giả mạoHình 2.5.1: Cách thức hoạt động của ARPHình 2.5.2: Chặn bắt thông tin dùng ARP PoisoningHình 2.6.1: Mô hình tấn công DNS - spoofingHình 2.6.2: Tấn công giả mạo DNS sử dụng phương pháp ID SpoofingHình 2.7.1: Giao thức VTPHình 2.7.2: VLAN Hopping - Switch SpoofingHình 2.7.3: VLAN Hopping – Double taggingHình 3.1: Mô hình mạng minh họaHình 3.2.1: Thông tin máy tấn côngHình 3.2.2: Thông tin máy nạn nhânHình 3.2.3: Thực hiện ping thông 2 máyHình 3.2.4: Địa chỉ Default Gateway của máy tấn công và máy nạn nhânHình 3.2.5: Lựa chọn card mạng phù hợpHình 3.2.6: Bắt đầu tiến hành nghe lénHình 3.2.7: Thêm tất cả các địa chỉ IP trên cùng subnetHình 3.2.8: Phát hiện được địa chỉ IP của máy nạn nhânHình 3.2.9: Chọn địa chỉ Default Gateway và IP của máy nạn nhân4Hình 3.2.10: Bật tính năng ARPHình 3.2.11: Đăng nhập Facebook trên trình duyệt IE với dạng giao thức HTTPSHình 3.2.12: Thông tin Username và Password đã bị lấy cắpHình 3.2.13: Địa chỉ IP và MAC của máy nạn nhân đã bị thay đổiHình 3.2.14: Địa chỉ MAC của 2 máy trùng nhauHình 3.2.15: Tắt các tính năng trên máy tấn côngHình 3.2.16: Địa chỉ MAC của máy nạn nhân trở về là địa chỉ ban đầuHình 3.3.1: Danh sách các kiểu tấn công của bộ toolkit SETHình 3.3.2: Danh sách những lựa chọn tấn côngHình 3.3.3: Lựa chọn thứ 3 để tấn công webHình 3.3.4: Chọn nội dung sao nhập một trang web đơn giảnHình 3.3.5: Nhập IP host và URLHình 3.3.6: Web Facebook clone với địa chỉ là host IPHình 3.3.7: Chỉnh sửa thông số file bằng câu lệnhHình 3.3.8: Chỉnh sửa các thông sốHình 3.3.9: Chỉnh sửa các dòng lệnh để bật chức năng chuyển hướng các gói tinHình 3.3.10: Tiến hành thay đổi quyền truy cậpHình 3.3.11: Chỉnh sửa tên miền thành facebook và IP của máy ảo kaliHình 3.3.12: Chọn cardHình 3.3.13: Quét hostsHình 3.3.14: Chọn địa chỉ cho các targetHình 3.3.15: Chọn Sniff remote trong tấn công MITMHình 3.3.16: Chọn kiểu tấn công dns spoofHình 3.3.17: Nạn nhân đăng nhập vào facebookHình 3.3.18: Mật khẩu và email của nạn nhân được gửi về cho máy kẻ tấn công5CHƯƠNG 1: GIỚI THIỆU1.1.Tổng quan về an ninh mạng và các nguy cơ gây mất an ninh mạngTrong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật dữliệu đang trở nên rất được quan tâm. Khi cơ sở hạ tầng và các công nghệ mạngngày càng được đáp ứng tốt, tuy nhiên song song với việc đó là thực trạng tấncông trên mạng đang ngày một gia tăng, thì vấn đề bảo mật càng được chú trọnghơn. Không chỉ các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ màcác doanh nghiệp, tổ chức cũng có ý thức hơn về an toàn thông tin. Bảo mật hayan toàn thông tin là sự bảo vệ thông tin trước các mối đe dọa về "thông tin lộ","thông tin không còn toàn vẹn" và "thông tin không sẵn sàng". Ngoài ra, nó cònlà sự bảo vệ chống lại các nguy cơ về mất an toàn thông tin như "nguy hiểm","thiệt hại", "mất mát" và các tội phạm khác. Bảo mật như là hình thức về mứcđộ bảo vệ thông tin bao gồm "cấu trúc" và "quá trình xử lý" để nâng cao bảomật.Các nguyên tắc nền tảng của an ninh mạng: Tính bí mật: Là sự ngăn ngừa việc tiết lộ trái phép những thông tin quantrọng, nhạy cảm. Đó là khả năng đảm bảo mức độ bí mật cần thiết đượctuân thủ và thông tin quan trọng, nhạy cảm đó được che giấu với ngườidùng không được cấp phép. Đối với an ninh mạng thì tính bí mật rõ rànglà điều đầu tiên được nói đến và nó thường xuyên bị tấn công nhất Tính toàn vẹn: Là sự phát hiện và ngăn ngừa việc sửa đổi trái phép về dữliệu, thông tin và hệ thống, do đó đảm bảo được sự chính xác của thôngtin và hệ thống. Có ba mục đích chính của việc đảm bảo tính toàn vẹn:- Ngăn cản sự làm biến dạng nội dung thông tin của những người sửdụng không được phép.- Ngăn cản sự làm biến dạng nội dung thông tin không được phéphoặc không chủ tâm của những người sử dụng được phép.- Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên ngoài. Tính sẵn sàng: Bảo đảm các người sử dụng hợp pháp của hệ thống có khảnăng truy cập đúng lúc và không bị ngắt quãng tới các thông tin trong hệthống và tới mạng. Tính sẵn sàng có liên quan đến độ tin cậy của hệthống.Tình hình an ninh mạng trong những năm gần đây chuyển biến rất phứctạp, với sự xuất hiện của các loại hình cũ lẫn mới:6 Trojans chiếm tới hơn một nửa số mã độc mới: Vẫn tiếp tục xu thế gầnđây, trong nửa đầu năm 2009, Trojans chiếm tới 55% tổng số lượng mãđộc mới, tăng 9% so với nửa đầu năm 2008. Trojans đánh cắp thông tin làloại mã độc phổ biến nhất. Mã cực độc Conficker: Khởi đầu tháng 12 năm 2008 và phát triển mạnhvào tháng 4 năm 2009, Conficker đã gây trở ngại cho các nhà nghiên cứuan ninh và gây ra sự hoang mang cho cộng đồng người dùng máy tính.Hậu quả này đã minh chứng cho sự tinh vi và phức tạp của các tội phạmmạng. Những kiểu tấn công cũ nhưng tinh vi hơn: Những tấn công bằng sâu máytính trên diện rộng sẽ lại phổ biến và Trojan vẫn tiếp tục đóng vai trò chủyếu trong các hoạt động tấn công qua mạng. Các loại hình tấn công từchối dịch vụ diễn ra trên quy mô lớn trong nửa đầu năm 2009. Các kiểu tấn công mới: Đầu năm 2010 các mạng xã hội ảo càng bị tấncông chiếm lấy tài khoản thông tin nhiều hơn. Điện toán đám mây đangđược coi là đính ngắm của các hacker trong những tháng tiếp theo.Trong thực tế, có rất nhiều cách để tấn công, lấy cắp thông tin của một hệthống như từ các lỗ hổng của ứng dụng, lỗ hổng dịch vụ trực tuyến (web,mail…), lỗ hổng hệ điều hành… Vì thế, rất khó để có thể thiết lập và duy trì bảomật thông tin. Việc đảm bảo an ninh, an toàn thông tin còn trở nên phức tạp hơnkhi số lượng ứng dụng được sử dụng trên một thiết bị là vô cùng lớn, trong khingười dùng không có khả năng hoặc không có kiến thức thường trao toàn quyềnhệ thống cho các ứng dụng dẫn tới khả năng mất an toàn thông tin trở nên dễdàng. Các nguy cơ đe dọa an ninh mạng như: Lỗi và sự bỏ sót, cố tình bỏ quaNguy cơ này được xếp vào hàng nguy hiểm nhất. Khi lập trình, cáccảnh báo và lỗi do trình biên dịch đưa ra thường bị bỏ qua và nó có thểdẫn đến những sự việc không đáng có, ví dụ như tràn bộ đệm, tràn heap.Khi người dùng vô tình (hay cố ý) sử dụng các đầu vào không hợp lý thìchương trình sẽ xử lý sai, hoặc dẫn đến việc bị khai thác, đổ vỡ (crash).Kỹ thuật lập trình đóng vài trò rất quan trọng trong mọi ứng dụng. Và lậptrình viên phải luôn luôn cập nhật thông tin, các lỗi bị khai thác, cáchphòng chống, sử dụng phương thức lập trình an toàn. Lừa đảo và lấy cắp thông tin7Việc lấy cắp có thể được thực hiện dưới nhiều hình thức: lấy cắpvăn bản in hay lấy cắp thông tin số, cung cấp thông tin nội bộ cho bênngoài. Cách tốt nhất để phòng tránh nguy cơ này là phải có những chínhsách bảo mật được thiết kế tốt. Những chính sách có thể giúp người quảnlý bảo mật thông tin thu thập thông tin, từ đó điều tra và đưa ra những kếtluận chính xác, nhanh chóng. Khi đã có một chính sách tốt, người quản trịcó thể sử dụng các kỹ thuật điều tra số (forensics) để truy vết các hànhđộng tấn công. Hacker (Tin tặc)Có rất nhiều cách hacker tấn công hệ thống. Mỗi kẻ tấn công đều cónhững thủ thuật, công cụ, kiến thức, hiểu biết về hệ thống. Trước tiên,hacker thu thập thông tin về hệ thống, nhiều nhất có thể. Càng nhiềuthông tin, thì khả năng thành công của việc tấn công sẽ càng lớn. Nhữngthông tin đó có thể là: tên ứng dụng, phiên bản ứng dụng, hệ điều hành,email quản trị… Bước tiếp theo là quét hệ thống để tìm lỗ hổng. Các lỗhổng này có thể gây ra bởi ứng dụng xử lý thông tin hoặc do hệ điềuhành, hoặc bất kỳ thành phần nào có liên quan. Từ đó, họ sẽ lợi dụng cáclỗ hổng tìm được, hoặc sử dụng các tài khoản mặc định nhằm chiếmquyền truy cập vào ứng dụng. Khi đã thành công, hacker sẽ cài đặt cácphần mềm, mã độc để có thể xâm nhập vào hệ thống trong các lần sau.Bước cuối cùng là xóa vết tấn công.Để phòng tránh nguy cơ này, các ứng dụng tương tác với ngườidùng, dữ liệu cần phải giấu đi những thông tin quan trọng (nếu có thể)như phiên bản, loại ứng dụng, các thành phần kèm theo… Sử dụng cácphần mềm phát hiện truy cập trái phép, rà soát hệ thống thường xuyênxem có phần mềm lạ không, cấu hình tường lửa hợp lý, chính sách truycập của từng nhóm người dùng, quản lý truy cập… Lây lan mã độcCó rất nhiều loại mã độc có thể kể đến như: virus, sâu máy tính,Trojan horse, logic bomb… Nguy cơ do chúng gây ra là hoàn toàn rõ ràngvà vô cùng phong phú. Khi đã xâm nhập vào máy nạn nhân, mã độc cóthể: mở cổng hậu (back door) để kẻ tấn công có thể truy cập và làm mọiviệc trên máy nạn nhân; ghi lại thông tin sử dụng máy tính (thao tác bànphím, sử dụng mạng, thông tin đăng nhập…).8Cài mã độc vào máy tính có thể qua nhiều con đường: lỗ hổng phần mềm,sử dụng phần mềm crack, không có giấy phép sử dụng,… Cách tốt nhất để tránhnguy cơ này là luôn cập nhật phần mềm xử lý dữ liệu, hệ điều hành và phầnmềm an ninh mạng, diệt virus.1.2.Các kiểu tấn công mạng phổ biếnCó rất nhiều kiểu tấn công mạng để xâm nhập vào một hệ thống máy tính,nhưng phổ biến thường là các kiểu tấn công sau đây: Tấn công trực tiếp:Những cuộc tấn công trực tiếp thông thường được sử dụng tronggiai đoạn đầu để chiếm quyền truy nhập bên trong. Một phương pháp tấncông cổ điển là dò tìm tên người sử dụng và mật khẩu. Đây là phươngpháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nàođể bắt đầu. Kẻ tấn công có thể sử dụng những thông tin như tên ngườidùng, ngày sinh, địa chỉ, số nhà…để đoán mật khẩu. Trong trường hợp cóđược danh sách người sử dụng và những thông tin về môi trường làmviệc, có một chương trình tự động hoá về việc dò tìm mật khẩu này. Trongmột số trường hợp phương pháp này cho phép kẻ tấn công có được quyềncủa người quản trị hệ thống (root hay administrator).Hai chương trình thường được dùng cho phương pháp này làchương trình Sendmail và Rlogin của hệ thống Unix. Sendmail là mộtchương trình phức tạp với mã nguồn bao gồm hàng ngàn dòng lệnh C.Sendmail được chạy với quyền của người quản trị hệ thống do chươngtrình phải có quyền ghi vào hộp thư của người sử dụng. Vì Sendmail nhậntrực tiếp các yêu cầu về mạng thư tín bên ngoài nên nó trở thành nguồncung cấp những lỗ hổng bảo mật để truy cập hệ thống. Rlogin cho phépngười sử dụng từ một máy trên mạng truy cập từ xa vào một máy khác sửdụng tài nguyên của máy này. Trong quá trình nhập tên và mật khẩu củangười sử dụng, rlogin không kiểm tra độ dài dòng nhập nên ta có thể đưavào một xâu lệnh đã được tính toán trước để ghi đè lên mã chương trìnhcủa Rlogin, từ đó chiếm quyền truy cập. Nghe trộm:Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có íchnhư tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc9nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyềntruy nhập hệ thống, thông qua các chương trình cho phép đưa card giao tiếpmạng (Network Interface Card-NIC) vào chế độ nhận toàn bộ các thông tin lưutruyền trên mạng. Những thông tin này cũng có thể dễ dàng lấy được trênInternet. Giả mạo địa chỉ:Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khảnăng dẫn đường trực tiếp (source-routing). Với cách tấn công này, kẻ tấn cônggửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thườnglà địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bêntrong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi. Vô hiệu các chức năng của hệ thống:Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiệnchức năng mà nó thiết kế. Kiểu tấn công này không thể ngăn chặn được,do những phương tiện được tổ chức tấn công cũng chính là các phươngtiện để làm việc và truy nhập thông tin trên mạng. Ví dụ sử dụng lệnhping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độtính toán và khả năng của mạng để trả lời các lệnh này, không còn các tàinguyên để thực hiện những công việc có ích khác. Sử dụng lỗi của người quản trị hệ thống:Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuynhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng chophép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ. Tấn công vào yếu tố con người:Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làmmột người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truynhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hìnhcủa hệ thống để thực hiện các phương pháp tấn công khác. Với kiểu tấncông này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, vàchỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầubảo mật để đề cao cảnh giác với những hiện tượng đáng nghi. Nói chungyếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào,và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng đểcó thể nâng cao được độ an toàn của hệ thống bảo vệ.101.3.Mục tiêu của báo cáoVới sự phát triển mạnh mẽ của mạng máy tính hiện nay, nhu cầu sử dụngmạng cho việc trao đổi và chia sẻ thông tin là rất lớn. Tuy nhiên, đi song songvới việc đó thì an ninh mạng luôn là một nỗi lo khi các hình thức tấn công mạngngày một nhiều và ngày càng trở nên tinh vi hơn. Do vậy việc nghiên cứu về cácphương pháp tấn công mạng và cách phòng chống là điều tất yếu.Bài báo cáo “NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CÔNGMẠNG VÀ CÁCH PHÒNG CHỐNG” được thực hiện nhằm tìm hiểu về cáckiểu tấn công phổ biến trên mạng. Cụ thể, bài báo cáo sẽ đi sâu vào nghiên cứuphương pháp tấn công sniffing và cách phòng chống.Mục tiêu đề ra là: Tìm hiểu một số kiểu tấn công phổ biến trên mạng. Tìm hiểu phương pháp tấn công sniffing. Cách phòng chống tấn công sniffing.11CHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCHPHÒNG CHỐNG2.1. Giới thiệu2.1.1.Khái niệm sniffingSniffing là một hình thức nghe lén trên hệ thống mạng dựa trên những đặcđiểm của cơ chế TCP/IP. Người nghe lén để thiết bị lắng nghe giữa mạng mangthông tin như hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet. Nghelén được sử dụng như công cụ để các nhà quản trị mạng theo dõi, bảo trì hệthống mạng và có thể kiểm tra các dữ liệu ra vào mạng. Về mặt tiêu cực, nóđược sử dụng với mục đích nghe lén các thông tin trên mạng để lấy các thông tinquan trọng.2.1.2.Cơ chế hoạt động của sniffingNhững giao dịch giữa các hệ thống mạng máy tính thường là những dữliệu ở dạng nhị phân. Bởi vậy để hiểu được những dữ liệu này, các chương trìnhnghe lén phải có tính năng phân tích các nghi thức, cũng như tính năng giải mãcác dữ liệu ở dạng nhị phân để hiểu được chúng.Hình 2.1: Cơ chế hoạt động của sniffingTrong môi trường Hub: Một khung gói tin khi chuyển từ máy A sang máyB thì đồng thời nó gửi đến tất cả các máy khác đang kết nối cùng Hub theo cơchế loan tin (broadcast). Các máy khác nhận được gói tin này sẽ tiến hành sosánh yêu cầu về địa chỉ MAC của frame gói tin với địa chỉ đích. Nếu trùng lậpthì sẽ nhận, còn không thì cho qua. Do gói tin từ A được gửi đến B nên khi so12sánh thì chỉ có B mới giống địa chỉ đích đến nên chỉ có B mới thực hiện tiếpnhận.Dựa vào nguyên tắc đó, máy được cài đặt chương trình nghe trộm sẽ “tựnhận” bất cứ gói tin được lưu chuyển trong mạng qua Hub, kể cả khi đích đếngói tin có đích đến không phải là nó, do sniffer chuyển card mạng của máy sangchế độ hỗn tạp (promiscuous mode). Promiscuous mode là chế độ đặc biệt. Khicard mạng được đặt dưới chế độ này, nó có thể nhận tất cả các gói tin mà khôngbị ràng buộc kiểm tra địa chỉ đích đến.Trong môi trường Switch: Khác với Hub, Switch chỉ chuyển tải các gói tinđến những địa chỉ cổng xác định trong bảng chuyển mạch nên nghe trộm kiểu“tự nhận” như ở Hub không thực hiện được. Tuy nhiên, kẻ tấn công có thể dùngcác cơ chế khác để tấn công trong môi trường Switch như ARP spoofing, MACspoofing, MAC duplicating, DNS spoofing, v.v…2.1.3.Phân loại sniffing Passive sniffing: Chủ yếu hoạt động trong môi trường không có các thiếtbị chuyển mạch gói, phổ biến hiện nay là các dạng mạng sử dụng Hub. Dokhông có các thiết bị chuyển mạch gói nên các gói tin được broadcast đitrong mạng. Chính vì vậy, việc thực hiện sniffing là khá đơn giản. Kẻ tấncông không cần gửi ra gói tin giả mạo nào, chỉ cần bắt các gói tin từ Portvề (dù host nhận gói tin không phải là nơi đến của gói tin đó). Hình thứcsniffing này rất khó phát hiện do các máy tự broadcast các gói tin. Ngàynay hình thức này thường ít được sử dụng do Hub không còn được ưachuộng nhiều, thay vào đó là Switch. Active sniffing: Chủ yếu hoạt động trong môi trường có các thiết bịchuyển mạch gói, phổ biến hiện nay là các dạng mạch sử dụng Switch. Kẻtấn công thực hiện sniffing dựa trên cơ chế ARP và RARP (2 cơ chếchuyển đổi từ IP sang MAC và từ MAC sang IP) bằng cách phát đi cácgói tin đầu độc, mà cụ thể ở đây là phát đi các gói thông báo cho máy gửigói tin là “tôi là người nhận” mặc không phải là “người nhận”. Ngoài ra,các sniffer còn có thể dùng phương pháp giả địa chỉ MAC, thay đổi MACcủa bản thân thành MAC của một máy hợp lệ và qua được chức năng lọcMAC của thiết bị, qua đó ép dòng dữ liệu đi qua card mạng của mình. Tuynhiên, do gói tin phải gửi đi nên sẽ chiếm băng thông. Nếu thực hiện13sniffing quá nhiều máy trong mạng thì lượng gói tin gửi đi sẽ rất lớn (doliên tục gửi đi các gói tin giả mạo) có thể dẫn đến nghẽn mạng.2.1.4.Các hình thức tấn côngSniffing là hình thức nghe lén thông tin trên mạng nhằm khai thác hiệuquả hơn tài nguyên mạng, theo dõi thông tin bất hợp pháp. Tuy nhiên, sau nàycác hacker dùng sniffing để lấy các thông tin nhạy cảm, do đó cũng có thể coi đólà 1 hình thức hack. Có khá nhiều các phương pháp để thực hiện sniffing, dù làtấn công chủ động hay bị động. Bài báo cáo sẽ nói cụ thể về 6 phương pháp tấncông sniffing:1) Lắng nghe thông tin qua Hub2) Tấn công MAC3) Tấn công DHCP4) Chặn bắt thông tin dùng ARP – poisoning5) Chặn bắt thông tin dùng DNS – spoofing6) VLAN Hopping2.2. Lắng nghe thông tin qua Hub2.2.1.Phương pháp tấn côngSniffing trên mạng môi trường Hub là 1 giấc mơ đối với bất kỳ ai, bởi góitin được gửi đi qua thiết bị Hub thì sẽ đi qua tất cả các cổng kết nối với Hub đó.Một khung gói tin khi chuyển từ máy A sang máy B thì đồng thời nó gửi đến tấtcả các máy khác đang kết nối cùng Hub theo cơ chế loan tin (broadcast).14Hình 2.2.1: Lắng nghe thông tin qua HubĐể phân tích lưu lượng đi qua 1 máy tính kết nối với 1 thiết bị Hub thì chỉcần kết nối một packet sniffer tới 1 cổng còn trống trên Hub. Tuy nhiên, nhữnggiao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhịphân. Vì thế các chương trình nghe lén phải có chức năng giải mã dữ liệu ở dạngnhị phân để hiểu được chúng. Ngoài ra, kẻ tấn công sẽ chuyển card mạng sangchế độ Promiscuous. Chế độ Promiscuous cho phép card mạng nhìn thấy tất cảcác gói tin đi qua hệ thống dây mạng. Khi card mạng được đặt dưới chế độ này,nó có thể nhận tất cả các gói tin mà không bị ràng buộc kiểm tra địa chỉ đíchđến. Từ đó, kẻ tấn công có thể thấy được tất cả truyền thông đến và đi từ máytính đó, cũng như truyền thông giữa các thiết bị khác kết nối với thiết bị Hub.Tuy nhiên, ngày nay mạng Hub không còn được ưa chuộng bởi vì chỉ có 1thiết bị duy nhất có thể truyền thông tại một thời điểm, 1 thiết bị kết nối qua 1Hub phải cạnh tranh băng thông với các thiết bị khác cũng đang cố gắng truyềnthông qua thiết bị Hub đó. Khi hai hay nhiều thiết bị truyền thông ngay tại cùngmột thời điểm, sẽ dễ xảy ra xung đột.15Hình 2.2.2: Xung đột khi nhiều thiết bị cùng truyền thông tại một thờiđiểmKết quả gây ra sẽ là mất mát gói tin, và các thiết bị sẽ phải truyền lại cácgói tin đó, khiến cho mạng càng trở nên tắc nghẽn. Khi đến 1 mức xung đột nàođó, thiết bị sẽ phải truyền lại một gói tin đến tận 3,4 lần và sẽ làm giảm hiệunăng của mạng. Ngoài ra, hình thức tấn công qua Hub rất khó bị phát hiện docác máy tự broadcast các gói tin. Vì thế nên dù Hub có tiện lợi, dễ sử dụngnhưng ngày nay, hầu hết các mạng đều sử dụng Switch thay cho Hub.2.2.2.Các biện pháp phòng chốngPhương pháp lắng nghe thông tin qua Hub khó phát hiện và phòng chống,vì kẻ tấn công chỉ tiến hành lắng nghe trên đường truyền và bắt giữ lại nhữnggói tin mà không có sự tác động đáng kể nào vào hệ thống. Vì thế một trongnhững cách đơn giản nhất là làm cách nào để các gói tin không còn broadcastnữa, bằng cách sử dụng Switch thay cho Hub. Ngoài ra có thể dùng phươngpháp “lấy độc trị độc” là sử dụng chính các công cụ nghe lén để phát hiện mìnhcó bị nghe lén hay không. Các công cụ này ngoài việc thực hiện tác vụ nghe lén,còn có khả năng dò tìm trên mạng nội bộ có máy nào đang nghe lén hay không.2.3. Tấn công MAC2.3.1.Khái niệm địa chỉ MAC16Địa chỉ MAC (Media Access Control) là kiểu địa chỉ vật lí, đặc trưng chomột thiết bị hoặc một nhóm các thiết bị trong LAN. Địa chỉ này được dùng đểnhận diện các thiết bị giúp cho các gói tin lớp 2 có thể đến đúng đích.Địa chỉ MAC gồm một bộ sáu cặp hai ký tự, cách nhau bằng dấu haichấm. Ví dụ 00:1B:44:11:3A:B7 là một địa chỉ MAC.2.3.2.Phương pháp tấn côngTấn công MAC là kỹ thuật khá phổ biến trong mạng LAN. Mục đích củakỹ thuật này là làm ngập lụt switch với một số lượng lớn yêu cầu. Thoạt nhìn thìthấy đây chỉ là mục đích phá hoại nhưng đối tượng tấn công có thể đi xa hơn khitận dụng để nghe lén các gói tin của người khác.Kẻ tấn công phải nằm trong chính mạng LAN đó và sử dụng một ứngdụng phần mềm để tạo thật nhiều frame với địa chỉ MAC giả mạo (MACspoofing) rồi gửi đến switch. Khi nhận được frame này, switch không phân biệtđược đâu là giả đâu là thật và sẽ xem nó như một frame bình thường. Lúc này,switch sẽ cập nhật các địa chỉ MAC mới vào bảng CAM.Bảng CAM (Content Addressable Memory), cũng có thể gọi là bảngMAC, là nơi lưu trữ các địa chỉ MAC của các port và các tham số VLAN trongswitch. Nhờ vào bảng CAM, switch có thể biết được một thiết bị có địa chỉMAC X đang nằm ở port vật lý nào để còn đẩy frame trả lời về port đó. Kẻ tấncông sẽ đầu độc switch liên tục toàn các địa chỉ MAC giả mạo. Bảng CAM củaswitch thì có kích thước giới hạn, nên đến một thời điểm nào đó bảng CAM sẽbị đầy.Hình 2.3.1: Kẻ tấn công đầu độc switch bằng địa chỉ MAC giả mạo khiếnbảng CAM trong switch bị đầy17Khi máy A gửi gói tin đến máy B, nó sẽ tìm trong bảng địa chỉ MAC củanó, coi thử có địa chỉ MAC của máy B hay không, nếu không có máy A sẽ gửigói tin ARP request đến switch để hỏi địa chỉ MAC của máy B. Máy B lúc nàynhận được gói tin sẽ gửi phản hồi lại cho máy A sau đó các gói tin được lưuchuyển từ A đến B mà không chuyển sang các máy khác. Tuy nhiên, lúc nàybảng CAM đã bị đầy tràn, các lưu lượng ARP request sẽ làm ngập lụt mỗi cổngcủa switch. Switch đã bị lụt với các gói tin của các địa chỉ MAC khác nhau và sẽbroadcast lưu lượng mà ko cần thông qua bảng CAM nữa. Đến lúc này thìswitch hoạt động không khác gì hub. Kẻ tấn công sẽ sử dụng 1 công cụ PacketSniffer để thâu tóm các dữ liệu mong muốn.Hình 2.3.2: Kẻ tấn công đã khiến switch hoạt động như một hub và lắngnghe được thông tin trong mạng2.3.3.Các biện pháp phòng chốngNguyên lí chung của các phương pháp phòng chống là không để các góitin có địa chỉ MAC lạ đi qua switch. Phương pháp phòng chống hiệu quả nhất làcấu hình port security trên switch. Đây là một đặc trưng cấu hình cho phép điềukhiển việc truy cập vào cổng switch thông qua địa chỉ MAC của thiết bị gắnvào. Khi switch nhận được một gói tin chuyển đến, nó sẽ kiểm tra địa chỉ MACnguồn của gói tin với danh sách các địa chỉ đã được cấu hình trước đó. Nếu haiđịa chỉ này khác nhau thì tuỳ theo sự cấu hình của người quản trị mà switch sẽxử lí gói tin đến với các mức độ khác nhau.Các lệnh cấu hình port security:- Switch(config-if)# switchport mode access- Switch(config-if)# switchport port-security: cho phép cổng được hoạtđộng trong chế độ port-security.18- Mặc định thì cổng chỉ cho phép một địa chỉ MAC (một thiết bị) được gánvào và số địa chỉ có thể nằm trong khoảng từ 1 đến 1024.- Switch(config-if)#sw port-security violation shutdown: Nếu vi phạm sẽtắt cổng, kẻ tấn công sẽ không thể làm tràn bảng CAM2.4. Tấn công DHCP2.4.1.Khái niệm DHCP và quá trình cấp phát IP độngDHCP (Dynamic Host Configuration Protocol - giao thức cấu hình hostđộng) là một giao thức cho phép cấp phát địa chỉ IP một cách tự động cùng vớicác cấu hình liên quan khác như subnet mark và gateway mặc định.Quá trình truyền thông giữa một máy tính trạm được cấu hình sử dụng IPđộng (DHCP Client) với một máy đảm nhận chức năng cấp phát IP động (DHCPServer) diễn ra như sau: Đầu tiên, một DHCP Client muốn nhận mới một địa chỉ IP sẽ gửi lên toànmạng (broadcast) một thông điệp “DHCP Discover” có chứa địa chỉ MACcủa nó để tìm kiếm sự hiện diện của DHCP server. Sau đó, nếu có DHCP Server thuộc cùng subnet với DHCP Client trênserver này sẽ phản hồi lại cho client bằng một thông điệp “DHCPOffer” có chứa một địa chỉ IP như là một lời đề nghị cho “thuê” (lease)địa chỉ. Tiếp theo, khi nhận được gói “DHCP Offer” đến đầu tiên, client sẽ trả lờilại cho server một thông điệp “DHCP Request” như là sự chấp thuận lờiđề nghị. Cuối cùng, server gửi lại cho client thông điệp “DHCPAcknowledgment” để xác nhận lần cuối với client. Và từ đây client có thểsử dụng địa chỉ IP vừa “thuê” được để truyền thông với các máy khác trênmạng.19HìnhQuá2.4.1:trình cấp phát IP từ máy chủ DHCPTuy có nhiều ưu điểm, nhưng giao thức DHCP lại hoạt động khá đơngiản, suốt quá trình trao đổi thông điệp giữa DHCP Server và DHCP Clientkhông có sự xác thực hay kiểm soát truy cập nên dễ phát sinh một số điểm yếuvề an toàn. DHCP Server không thể biết được rằng mình đang liên lạc với mộtDHCP Client bất hợp pháp hay không, ngược lại DHCP Client cũng không thểbiết DHCP Server đang liên lạc có hợp pháp không. Trong mạng có khả năngxuất hiện các DHCP Client giả và DHCP Server giả.2.4.2.DHCP Client giảTrong trường hợp này, DHCP Client là một máy trạm bất hợp pháp.Attacker có thể thoả hiệp thành công với một client hợp pháp nào đó trongmạng, sau đó thực hiện các chương trình cài đặt. Các chương trình thực thi trênclient này thực hiện “vét cạn”, liên tục gửi tới DHCP Server các gói tin yêu cầuxin cấp IP với các địa chỉ MAC không có thực, cho tới khi dải IP có sẵn trênDHCP Server cạn kiệt vì bị thuê hết. Điều này dẫn tới việc DHCP Server khôngcòn địa chỉ IP nào để cho các DHCP Client hợp pháp thuê, khiến dịch vụ bịngưng trệ, các máy trạm khác không thể truy nhập vào hệ thống mạng để truyềnthông với các máy tính trong mạng.20Hình 2.4.2: Attacker thực hiện “vét cạn” khiến giải địa chỉ IP có trênDHCP Server bị cạn kiệt2.4.3.DHCP Server giảKẻ tấn công sẽ tạo ra môt server giả mạo vào trong mạng. Server này cókhả năng phản hồi DHCP discovery request từ phía client. Vậy nên cả server giảmạo và server thực đều có khả năng phản hồi các yêu cầu của client và servernào đáp ứng trước sẽ kiểm soát được client đó. DHCP server giả mạo có thể gánđịa chỉ IP của mình thành default gateway cho client. Như vậy, tất cả các thôngtin từ client sẽ được gửi tới địa chỉ của kẻ tấn công. Kẻ tấn công sau khi thu thậptất cả những thông tin này, rồi chuyển đến default gateway đúng của mạng. Vìthế client vẫn truyền bình thường với các máy ngoài mạng mà không hề biết họđã để lộ thông tin cho kẻ tấn công. Loại tấn công này rất khó bị phải hiện bởiclient trong một thời gian dài.21Hình 2.4.3: Hoạt động của DHCP Server giả mạoNguy hiểm hơn, nếu kẻ tấn công phá vỡ được các hàng rào bảo vệ mạngvà đoạt được quyền kiểm soát DHCP Server thì có thể tạo ra những thay đổitrong cấu hình của DHCP Server theo ý muốn. Khi đó, kẻ tấn công có thể thiếtlập lại dải IP, subnet mask,… của hệ thống để các máy trạm hợp pháp không thểđăng nhập vào hệ thống mạng được, tạo ra tình trạng từ chối dịch vụ trong mạnghay làm những việc gây ảnh hưởng xấu đến toàn hệ thống mạng.2.4.4.Các biện pháp phòng chốngKẻ tấn công đã dùng phương pháp “vét cạn”, liên tục gửi tới DHCPServer các gói tin yêu cầu xin cấp IP với các địa chỉ MAC không có thực, chotới khi dải IP có sẵn trên DHCP Server cạn kiệt vì bị thuê hết. Vì thế cần phải cóbiện pháp ngăn chặn việc này như:- Xây dựng một bảng chứa thông tin liên quan giữa: địa chỉ MAC máyclient-địa chỉ IP - VLAN - số hiệu cổng. Bảng này dùng để giám sát việcxin cấp phát địa chỉ IP của các máy client, tránh việc 1 máy client xin cấpphát nhiều địa chỉ IP.- Quy định số lượng gói tin DHCP đến 1 cổng/đơn vị thời gian.Ngoài ra có thể sử dụng một số giải pháp của các hãng công nghệ. HãngCisco đã đưa công nghệ DHCP snooping (giám sát DHCP) vào thiết bị switch.Ý tưởng chính của công nghệ này là:- Cấu hình các cổng trên switch thành 2 kiểu: cổng trust và cổng untrust.- Cổng trust là cổng có thể cho phép gửi đi tất cả các loại các bản tin, đượcnối với máy chủ DHCP.- Cổng untrust là cổng chỉ có thể gửi đi bản tin xin cấp phát địa chỉ IP.Cổng untrust thường là cổng nối với các thiết bị đầu cuối người dùng. Dovậy máy tính của kẻ tấn công mặc dù là một máy chủ DHCP, nhưngkhông thể gửi các bản tin DHCP cấp phát địa chỉ IP giả mạo.2.5. Chặn bắt thông tin dùng ARP – Poisoning2.5.1.Khái niệm và nguyên tắc làm việc của ARP trong mạng LANTầng Network của mô hình OSI sử dụng các loại địa chỉ mang tính chấtquy ước như IP, IPX… Trên thực tế, các card mạng (NIC) chỉ có thể kết nối vớinhau theo địa chỉ MAC, địa chỉ cố định và duy nhất của phần cứng. Chính vì22vậy, giao thức phân giải địa chỉ: Address Resolution Protocol (ARP) được sửdụng để chuyển đổi các dạng địa chỉ này qua lại với nhau.Khi một thiết bị mạng muốn biết địa chỉ MAC của một thiết bị mạng nàođó mà nó đã biết địa chỉ ở tầng network (IP, IPX…) nó sẽ gửi một ARP requestbao gồm địa chỉ MAC address của nó và địa chỉ IP của thiết bị mà nó cần biếtMAC address trên toàn bộ một miền broadcast. Mỗi một thiết bị nhận đượcrequest này sẽ so sánh địa chỉ IP trong request với địa chỉ tầng network củamình. Nếu trùng địa chỉ thì thiết bị đó phải gửi ngược lại một ARP reply chothiết bị gửi ARP request (trong đó có chứa địa chỉ MAC của mình).Lấy ví dụ trong một hệ thống mạng đơn giản, khi PC A muốn gửi gói tinđến PC B và nó chỉ biết được địa chỉ IP của PC B. Khi đó PC A sẽ phải gửi mộtARP request broadcast cho toàn mạng để hỏi xem "địa chỉ MAC của PC có địachỉ IP này là gì?". Khi PC B nhận được broadcast này, nó sẽ so sánh địa chỉ IPtrong gói tin này với địa chỉ IP của nó. Nhận thấy đó là địa chỉ IP của mình, PCB sẽ gửi lại một gói tin ARP reply cho PC A, trong đó có chứa địa chỉ MAC củaB. Sau đó PC A mới bắt đầu truyền gói tin cho B.Hình 2.5.1: Cách thức hoạt động của ARPARP là một giao thức phi trạng thái. Máy chủ mạng sẽ tự động lưu trữ bấtkỳ ARP reply nào mà chúng nhận được, bất kể máy khác có yêu cầu hay không.23Ngay cả các mục ARP chưa hết hạn sẽ bị ghi đè khi nhận được gói tin ARP replymới. Không có phương pháp nào trong giao thức ARP mà giúp một máy có thểxác nhận máy mà từ đó gói tin bắt nguồn. Hành vi này là lỗ hổng cho phép ARPspoofing xảy ra.2.5.2.Cách thức hoạt động của ARP poisoningGiao thức ARP vốn được thiết kế ra nhằm mục đích tạo tính thuận tiện đểtrao đổi địa chỉ giữa lớp thứ 2 và lớp thứ 3 của mô hình OSI. Lớp thứ hai, haycòn gọi với cái tên khác là tầng data-link, sử dụng địa chỉ MAC để các thiết bịphần cứng thể giao tiếp với nhau một cách trực tiếp trong một diện nhỏ. Còn vớilớp thứ 3, tên khác là tầng network, thì lại sử dụng địa chỉ IP để tạo ra một mạngvới diện rộng hơn để có thể giao tiếp trên toàn cầu.Tổ chức của giao thức ARP vốn xoay quanh hai gói tin chính, đó là ARPrequest và ARP reply. Mục đích chính của gói tin request và reply là để định vịđược địa chỉ MAC của thiết bị phần cứng tương ứng với địa chỉ IP mà nó đượcgán cho. Từ đó, các luồng dữ liệu mới có thể được truyền đi tới đích trong mộtmạng mà không bị thất lạc hay nhầm lẫn máy tính khác không yêu cầu gói tinđó.Để hiểu được tính chất request và reply, ta hình dung đơn giản như sau.Gói request sẽ được gửi đi cho từng thiết bị trong mạng và phát đi thông điệp“Xin chào, địa chỉ IP của tôi là X.X.X.X, và địa chỉ MAC của tôi làX:X:X:X:X:X. Tôi cần gửi một thứ đến một máy có địa chỉ IP là Y.Y.Y.Y, nhưngtiếc thay tôi không có địa chỉ MAC của anh ấy. Vậy ai có địa chỉ IP như tôi vừanói thì vui lòng phản hồi kèm theo địa chỉ MAC của anh để tôi trao gói tin này.”Lúc này, máy cần phản hồi sẽ đưa ra gói ARP reply với thông điệp “Tôi làngười anh cần tìm đây. Tôi có địa chỉ IP là Y.Y.Y.Y và MAC của tôi làY:Y:Y:Y:Y:Y”. Khi quá trình truyền giao gói tin hoàn tất, thiết bị phát sẽ cậpnhật bảng ARP cache của nó và hai thiết bị này có thể truyền thông với nhau.Việc đầu độc gói tin ARP này chính là đánh vào yếu tố bất lợi và khôngbảo mật của giao thức ARP ban đầu. Rõ ràng qua đoạn trên cũng có thể thấyđược tính bất cập của gói ARP request và reply. Bất kỳ một máy tính nào đókhông phải mang địa chỉ Y.Y.Y.Y nhưng hắn cũng có thể lấn quyền máy thật vàgiả mạo rằng mình mang IP đó, và sau đó đem địa chỉ MAC của mình ra cungcấp. Bên request không có cơ chế kiểm soát chặt chẽ người đứng ra nhận, màchỉ căn cứ vào mỗi địa chỉ IP rồi chấp nhận chuyển đi.24Hình 2.5.2: Chặn bắt thông tin dùng ARP PoisoningĐặc biệt, giao thức ARP không giống như DNS chỉ có thể được cấu hìnhđể chấp nhận các nâng cấp động (dynamic updates), các thiết bị sử dụng giaothức ARP sẽ chấp nhận cập nhật bất cứ lúc nào. Điều này có nghĩa rằng bất cứthiết bị nào có thể gửi gói ARP reply đến một máy tính khác và máy tính này sẽcập nhật vào bảng ARP cache của nó ngay giá trị mới này. Việc gửi một gói ARPreply khi không có request nào được tạo ra gọi là việc gửi ARP “cho không”.Khi các ARP reply cho không này đến được các máy tính đã gửi request, máytính request này sẽ nghĩ rằng đó chính là người mình đang tìm kiếm để truyềntin, tuy nhiên thực chất họ lại đang bắt đầu thiết lập kết nối với một kẻ xấu giảdanh để thực hiện cho việc tấn công MITM.2.5.3.Các biện pháp phòng chốngNgày nay với sự phát triển của các phần mềm bảo mật cũng như sự ra đờicủa giao thức HTTPS, ARP - Poisoning đã không còn hiệu quả như lúc trước.Có thể kể đến một vài biện pháp để phòng chống như: Bảo mật LANGiả mạo ARP Cache là một kỹ thuật tấn công mà nó chỉ sống sótkhi cố gắng chặn lưu lượng giữa hai thiết bị trên cùng một LAN. Chỉ cómột lý do đáng lo ngại về vấn đề này là liệu thiết bị nội bộ trên mạng của25

Tài liệu liên quan

Tìm hiểu về phương pháp dạy học trực quan kết hợp với phương pháp vấn đáp trong dạy Địa lí ở khối lớp 7
- 11
- 1
- 6
Tìm hiểu về phương pháp giảng dạy e learning và ưu, nhược điểm của nó vận dụng phương pháp e learning vào giảng dạy đại học
- 26
- 926
- 1
Tài liệu Các kiểu tấn công firewall và cách phòng chống part 2 pptx
- 15
- 941
- 5
Tìm hiểu về kỹ thuật tấn công Sniffin
- 14
- 2
- 23
LUẬN VĂN: Tìm hiểu về phương pháp trích và sắp xếp các đặc trưng sản phẩm trong tài liệu chứa quan điểm docx
- 40
- 531
- 0
TÌM HIỂU VỀ PHƯƠNG PHÁP LẬP TRÌNH TRÊN ANDROID VIẾT CHƯƠNG TRÌNH MÔ PHỎNG ĐÀN PIANO
- 38
- 979
- 2
Tìm hiểu về phương pháp cắt Warner
- 62
- 748
- 1
Các kiểu tấn công firewall và cách phòng chống pot
- 33
- 847
- 2
Giáo trình hướng dẫn tìm hiểu về phương pháp thí nghiệm của Pease và Pearson trong thí nghiệm về chùm tia sáng phần 10 doc
- 5
- 573
- 0
Giáo trình hướng dẫn tìm hiểu về phương pháp thí nghiệm của Pease và Pearson trong thí nghiệm về chùm tia sáng phần 9 doc
- 5
- 445
- 0