thực tập.docx

Đề tài thực tập tốt nghiệp: Nghiên cứu và ứng dụng Sniffer

1

M C LỤ CỤDANH MỤC CÁC HÌNH ẢNH..............................................................................3

LỜI CẢM ƠN...........................................................................................................4

1. Đặt vấn đề nghiên cứu.....................................................................................5

2. Mục tiêu nghiên cứu của đề tài.......................................................................5

3. Đối tượng và phạm vi nghiên cứu...................................................................6

3.1. Đối tượng nghiên cứu................................................................................6

3.2. Phạm vi nghiên cứu...................................................................................6

4. Phương pháp nghiên cứu.................................................................................6

B. NỘI DUNG NGHIÊN CỨU................................................................................7

CHƯƠNG 1: CÁC KHÁI NIỆM CĂN BẢN VỀ SNIFFER................................7

1.1 Một số vấn đề cơ bản...............................................................................7

1.1.1 Các thuật ngữ thông dụng có liên quan..................................................7

1.1.2 Địa chỉ Ethernet MAC.............................................................................8

1.1.3 Bảng ARP...............................................................................................10

1.2 Đôi nét về Sniffer :........................................................................................11

1.3 Mục đích sử dụng Sniffer............................................................................12

1.4 Phân loại Sniffing.........................................................................................13

1.4.1 Passive Sniffing......................................................................................13

1.4.2 Active Sniffing........................................................................................13

CHƯƠNG 2: CÁC PHƯƠNG PHÁP PHÁT HIỆN...........................................15

SNIFFER TRÊN MẠNG.......................................................................................15

2.1 Phương pháp dùng Ping..............................................................................15

2.2 Phương pháp sử dụng ARP.........................................................................16

2.3 Phương pháp sử dụng DNS.........................................................................16

2.4 Phương pháp Source-Route........................................................................16

2.5 Phương pháp giăng bẫy (Decoy).................................................................17

SVTH: Nguyễn Tuấn Anh – K7 ĐH Tin


2

2.6 Phương pháp kiểm tra sự chậm trễ của gói tin (Latency)........................18

CHƯƠNG 3: PHƯƠNG PHÁP NGĂN CHẶN SNIFFER TRÊN MẠNG LAN

..................................................................................................................................19

3.1 Các hệ thống mạng có nguy cơ Sniffer.......................................................19

3.2 Các giao thức có nguy cơ Sniffer................................................................19

3.3 Phương pháp ngăn chặn Sniffer dữ liệu....................................................19

3.4 Phương pháp ngăn chặn Sniffer Password................................................21

3.5 Phương pháp ngăn chặn Sniffer trên thiết bị phần cứng.........................21

CHƯƠNG 4: THỬ NGHIỆM TẤN CÔNG VÀ PHÒNG CHỐNG SNIFFER

TRÊN MẠNG LAN...............................................................................................23

4.1 Sniffer bằng Cain And Able........................................................................23

4.2 Phòng chống bằng XARP............................................................................31

C. KẾT LUẬN CHUNG........................................................................................35

1. Kết quả đạt được............................................................................................35

1.1. Ưu điểm....................................................................................................35

1.2. Nhược điểm..............................................................................................35

1.3. Hướng phát triển......................................................................................35

2. Tổng kết..........................................................................................................35

D. TÀI LIỆU THAM KHẢO................................................................................37



3

DANH MỤC CÁC HÌNH ẢNH

Hình 4.1 Giao diện chính của chương trình Cain And Able..............................23

Hình 4.2 Chọn card mạng.....................................................................................24

Hình 4.3 Tiến hành Sniffer, Add các địa chỉ MAC.............................................25

Hình 4.4 Giao diện quét địa chỉ MAC..................................................................26

Hình 4.5 Giao diện lựa chọn quét địa chỉ MAC..................................................26

Hình 4.6 Kiểm tra tên máy victim........................................................................27

Hình 4.7 Giao diện thẻ ARP..................................................................................28

Hình 4.8 Thêm các địa chỉ MAC để Sniff............................................................29

Hình 4.9 Giả lập ARP............................................................................................30

Hình 4.10 Kết quả sau khi Sniffer........................................................................31

Hình 4.11 Giao diện chương trình........................................................................32

Hình 4.12 Giao diện cảnh báo các cuộc tấn công................................................33

Hình 4.13 Các cuộc tấn công đã bị phát hiện và ngăn chặn...............................34



4

LỜI CẢM ƠN

Trong suốt thời gian thực tập, em xin chân thành cảm ơn sự giúp đỡ của thầy

cô giáo phòng Đào Tạo – trường Đại Học Hùng Vương đã cung cấp đầy đủ những

thông tin cần thiết để em hoàn thiện đề tài “Nghiên cứu và ứng dụng Sniffer”.

Em xin chân thành cảm ơn các thầy cô giáo trường Đại Học Hùng Vương đã

truyền đạt những kiến thức quý báu cho em trong suốt quá trình học tập tại trường.

Đặc biệt em xin gửi lời cảm ơn sâu sắc tới thầy giáo: Th.S. Phạm Đức Thọ - giảng

viên khoa Toán – Công nghệ - trường Đại học Hùng Vương đã quan tâm, giúp đỡ,

nhiệt tình hướng dẫn em trong quá trình thực tập để em hoàn thiện đề tài thực tập

này.

Xin cám ơn gia đình và bạn bè đã luôn bên cạnh ủng hộ và giúp đỡ em trong

quá trình học tập và nghiên cứu.

Em xin chân thành cảm ơn !

Sinh Viên: Nguyễn Tuấn Anh



5

A. MỞ ĐẦU

1. Đặt vấn đề nghiên cứu

Ngày nay, khi Internet được phổ biến rộng rãi, các tổ chức, các nhân đều có

nhu cầu giới thiệu thông tin của mình trên xa lộ thông tin cũng như thực hiện các

phiên giao dịch trực tuyến. Vẫn đề nảy sinh là khi phạm vi ứng dụng của các ứng

dụng Web ngày cảng mở rộng thì khả năng xuất hiện lỗi và bị tấn công ngày càng

cao, trở thành đối tượng cho nhiều người tấn công với các mục đích khác nhau.

Mục đích của các cuộc tấn công này có thể xảy ra theo cả 2 hướng tích cực và tiêu

cực.

Cùng với sự phát triển không ngừng của Internet và các dịch vụ trên Internet,

số lượng các vụ tấn công trên Internet cũng tăng theo. Trong khi các phương tiện

thông tin đại chúng ngày càng nhắc nhiều đến những khả năng truy nhập thông tin

của Internet, thì các tài liệu chuyên môn bắt đầu đề cập nhiều đến vấn đề bảo đảm

và an toàn dữ liệu cho các máy tính được kết nối vào mạng Intenet.

Tuy các công cụ bảo vệ dữ liệu ngày càng hoàn hảo hơn nhưng chỉ bảo vệ

được các dữ liệu đã được lưu trữ trên thiết bị phần cứng còn trong quá trình truyền

thông tin, một lượng thông tin hay một khối dữ liệu đi từ người gửi đến người nhận

thường phải qua nhiều nút, không có ai có thể đảm bảo rằng thông tin không bị sao

chép, đánh cắp hay xuyên tạc. Mạng LAN là nơi truyền tải các thông tin nhạy cảm

nên nguy cơ bị tấn công là rất cao. Do đó, việc xây dựng và hoạch định ra một

chính sách, triển khai xây dựng hệ thống mạng một cách an toàn nhằm tạo ra một

môi trường mạng LAN “trong sạch” đang là một vấn đề được rất nhiều tổ chức,

doanh nghiệp, quốc gia quan tâm.

2. Mục tiêu nghiên cứu của đề tài.

Báo cáo “Nghiên cứu và ứng dụng Sniffer” được thực hiện nhằm mục tiêu đưa

ra khái niệm về tấn công mạng LAN và đưa ra được các kiểu tấn công phổ biến



6

trên mạng. Tìm hiểu công nghệ Sniffer và các phương pháp tấn công. Quan trọng

hơn là cách phát hiện và phòng chống những cuộc tấn công trên mạng LAN.

3. Đối tượng và phạm vi nghiên cứu.

3.1. Đối tượng nghiên cứu

Đối tượng nghiên cứu là các mạng nội bộ (LAN) dùng chung cho nhiều

người.các mạng LAN này cần có nhu cầu trao đổi thông tin với nhau và với bên

ngoài.

3.2. Phạm vi nghiên cứu

Về không gian : các cơ quan, doanh nghiệp, trường học v.v.. hay các cá

nhân sử dụng mạng LAN cần cho các hoạt động trao đổi thông tin. Bởi đa số các cơ

quan, doanh nghiệp hiện nay chưa có cơ chế bảo mật dành cho mạng LAN.

Về thời gian : Đề tài có thời gian nghiên cứu và hoàn thành trong 3 tháng.

4. Phương pháp nghiên cứu.

Phương pháp nghiên cứu tự luận: Đọc các tài liệu, giáo trình có liên quan để

có hiểu biết về Sniffer và có thể tiến hành Sniffing cũng như phòng chống Sniff.

Phương pháp lấy ý kiến chuyên gia: Lấy ý kiến giảng viên trực tiếp hướng

dẫn, các giảng viên trong và ngoài bộ môn tin để hoàn thiện về mặt nội dung và

hình thức của báo cáo và phần mềm.



7

B. NỘI DUNG NGHIÊN CỨU

CHƯƠNG 1: CÁC KHÁI NIỆM CĂN BẢN VỀ SNIFFER.

1.1 Một số vấn đề cơ bản

1.1.1 Các thuật ngữ thông dụng có liên quan

-Ethernet : Một công nghệ nối mạng có năng lực mạnh được sử dụng trong

hầu hết các mạng LAN.

-Wireless : Các công nghệ nối mạng không dây.

-Serial Direct Cable Connection : Công nghệ kết nối máy tính bằng Cable

truyền nhận dữ liệu.

- PPP (Point-to-Point Protocol) : Một giao thức kết nối Internet tin cậy

thông qua Modem.

- IP (Internet Protocol) : Giao thức được dùng để xử lý cơ chế truyền dữ

liệu thực tế. Là cơ sở cho việc định hướng và vận chuyển dữ liệu trên

Internet.

- ICMP (Internet Control Message Protocol) : Giao thức xử lý các thông

báo trạng thái cho IP, ví dụ như báo lỗi và các thay đổi mạng có thể ảnh

hưởng đến việc định tuyến.

- ARP (Address Resolution Protocol) : Giao thức chuyển các địa chỉ mạng

sang địa chỉ phần cứng vật lý tương dùng các thông điệp Broadcast. Dùng để

xác định địa chỉ mạng.

- RARP (Reverse Address Resolution Protocol) : Làm công việc ngược lại

ARP, chuyển địa chỉ phần cứng từ một máy sang địa chỉ IP.

- TCP (Transmission Control Protocol) : Một giao thức, dịch vụ dựa trên

kết nối, cho phép các máy nhận và gửi dữ liệu có thể truyền thông với nhau.



8

- UDP (User Datagram Protocol) : Một giao thức, một dịch vụ không kết

nối, hai máy gửi và nhận sẽ không truyền thông với nhau thông qua một kết

nối liên tục.

- Telnet : Giao thức cho phép đăng nhập từ xa đê người dùng trên máy này

có thể kết nối với máy kia và sẽ hoạt động như là ngồi ở máy đó vậy.

- FTP (File Transfer Protocol) : Giao thức truyền dữ liệu từ máy này sang

máy khác dùng giao thức TCP.

- SMTP (Simple Mail Transfer Protocol) : Giao thức dùng để truyền nhận

thư điện tử giữa các máy.

- DNS (Domain Name Service) : Xác định các địa chỉ máy tính từ tên chữ

sang số.

1.1.2 Địa chỉ Ethernet MAC

- Địa chỉ Ethernet MAC

Khi nhiều máy tính trên mạng có thể cùng chia sẻ một đường truyền Thì bản

thân mỗi máy đó phải có một thông tin nhận dạng khác nhau. Khi gửi dữ liệu từ

bên ngoài hệ thống mạng Ethernet cần phải biết dữ liệu cần gửi đến địa chỉ nào ?

máy nào ?

MAC là một dãy 12 số Hex cho mỗi phần cứng Ethernet để thực hiện nhiệm

vụ này. Sự truyền thông trên hệ thống mạng Ethernet được xử lý bởi các thiết bị

phần cứng Ethernet (Card mạng).

- Cách lấy địa chỉ MAC

Khi dùng hệ điều hành Windows có thể kiểm tra địa chỉ MAC của máy tính

đang sử dụng bằng câu lệnh « ipconfig /all » :

Ví dụ:

Windows NT IP Configuration



9

Host Name . . . . . . . . . : sample.robertgraham.com

DNS Servers . . . . . . . . : 192.0.2.254

Node Type . . . . . . . . . : Hybrid

NetBIOS Scope ID. . . . . . :

IP Routing Enabled. . . . . : No

WINS Proxy Enabled. . . . . : No

NetBIOS Resolution Uses DNS : No

Ethernet adapter SC12001:

Description . . . . . . . . : DEC DC21140 PCI Fast

Ethernet Adapter

Physical Address. . . . . . : 00-40-05-A5-4F-9D

DHCP Enabled. . . . . . . . : No

IP Address. . . . . . . . . : 192.0.2.160

Subnet Mask . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . : 192.0.2.1

Primary WINS Server . . . . : 192.0.2.253

Địa chỉ MAC trong ví dụ này sẽ là 00-40-05-A5-4F-9D

Trong Linux/Unix sẽ sử dụng câu lệnh “ifconfig”

eth0 Link encap:Ethernet HWaddr 08:00:17:0A:36:3E

inet addr:192.0.2.161 Bcast:192.0.2.255 Mask:255.255.255.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:1137249 errors:0 dropped:0 overruns:0



10

TX packets:994976 errors:0 dropped:0 overruns:0

Interrupt:5 Base address:0x300

1.1.3 Bảng ARP

ARP là phương thức phân giải địa chỉ động giữa địa chỉ lớp network và địa chỉ lớp

datalink. Quá trình thực hiện bằng cách: một thiết bị IP trong mạng gửi một gói tin

broadcast đến toàn mạng yêu cầu thiết bị khác gửi trả lại địa chỉ phần cứng ( địa chỉ

lớp datalink ) của mình.

Ban đầu ARP chỉ được sử dụng trong mạng Ethernet để phân giải địa chỉ IP

và địa chỉ MAC. Nhưng ngày nay ARP đã được ứng dụng rộng rãi và dùng trong

các công nghệ khác dựa trên lớp hai. Về cơ bản đây là một quá trình 2 chiều

request/response giữa các thiết bị trong cùng mạng LAN. Thiết bị nguồn request

bằng cách gửi một bản tin broadcast trên toàn mạng. Thiết bị đích response bằng

một bản tin unicast đến thiết bị nguồn

1.1.3.1 Các loại bản tin ARP:

Có hai dạng bản tin trong ARP : một được gửi từ nguồn đến đích, và một được gửi từ đích tới nguồn.

Request : Khởi tạo quá trình, gói tin được gửi từ thiết bị nguồn tới thiết bị đích.

Reply : Là quá trình đáp trả gói tin ARP request, được gửi từ máy đích đến máy nguồn.

1.1.3.2 Các loại địa chỉ trong một bản tin ARP :

1. Sender Hardware Address : địa chỉ lớp hai của thiết bị gửi bản tin.

2. Sender Protocol Address : Địa chỉ lớp ba ( hay địa chỉ logic ) của thiết bị gửi bản tin.

3. Target Hardware Address : Địa chỉ lớp hai ( địa chỉ phần cứng ) của thiết bị đích của bản tin.

4. Target Protocol Address : Địa chỉ lớp ba ( hay địa chỉ logic ) của thiết bị đích của bản tin.

1.1.3.3 Các bước hoạt động của ARP :



11

Bước 1: Source Device Checks Cache : Trong bước này, thiết bị sẽ kiểm tra cache ( bộ đệm ) của mình. Nếu đã có địa chỉ IP đích tương ứng với MAC nào đó rồi thì lập tức chuyển lên bước 9

Bước 2: Source Device Generates ARP Request Message : Bắt đầu khởi tạo gói tin ARP Request với các trường địa chỉ như trên

Bước 3: Source Device Broadcasts ARP Request Message : Thiết bị nguồn quảng bá gói tin ARP Request trên toàn mạng

Bước 4: Local Devices Process ARP Request Message : Các thiết bị trong mạng đều nhận được gói tin ARP Request. Gói tin được xử lý bằng cách các thiết bị đều nhìn vào trường địa chỉ Target Protocol Address. Nếu trùng với địa chỉ của mình thì tiếp tục xử lý, nếu không thì hủy gói tin

Bước 5: Destination Device Generates ARP Reply Message : Thiết bị với IP trùng với IP trong trường Target Protocol Address sẽ bắt đầu quá trình khởi tạo gói tin ARP Reply bằng cách lấy các trường Sender Hardware Address và Sender Protocol Address trong gói tin ARP nhận được đưa vào làm Target trong gói tin gửi đi. Đồng thời thiết bị sẽ lấy địa chỉ datalink của mình để đưa vào trường Sender Hardware Address

Bước 6: Destination Device Updates ARP Cache : Thiết bị đích ( thiết bị khởi tạo gói tin ARP Reply ) đồng thời cập nhật bảng ánh xạ địa chỉ IP và MAC của thiết bị nguồn vào bảng ARP cache của mình để giảm bớt thời gian xử lý cho các lần sau

Bước 7: Destination Device Sends ARP Reply Message : Thiết bị đích bắt đầu gửi gói tin Reply đã được khởi tạo đến thiết bị nguồn. Gói tin reply là gói tin gửi unicast

Bước 8: Source Device Processes ARP Reply Message : Thiết bị nguồn nhận được gói tin reply và xử lý bằng cách lưu trường Sender Hardware Address trong gói reply như địa chỉ phần cứng của thiết bị đích

Bước 9: Source Device Updates ARP Cache : Thiết bị nguồn update vào

ARP cache của mình giá trị tương ứng giữa địa chỉ network và địa chỉ

datalink của thiết bị đích. Lần sau sẽ không còn cần tới request

1.2 Đôi nét về Sniffer :

-Khởi đầu Sniffer là tên một sản phẩm của Network Associates có tên là

Sniffer Network Analyzer.



12

- Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng

các lưu lượng thông tin trên hệ thống mạng

- Sniffer được sử dụng như một công cụ để nhà quản trị mạng theo dõi và

bảo trì hệ thống mạng. Về mặt tiêu cực, Sniffer được sử dụng như một công

cụ với mục đích nghe lén các thông tin trên mạng để lấy các thông tin quan

trọng

- Sniffer dựa vào phương thức tấn công ARP để bắt các gói tin được truyền

qua mạng.

- Những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu

ở dạng nhị phân (Binary). Bởi vậy để nghe lén và hiểu được những dữ liệu ở

dạng nhị phân này, các chương trình Sniffer phải có tính năng được biết như

là sự phân tích các nghi thức (Protocol Analysis), cũng như tính năng giải mã

(Decode) các dữ liệu ở dạng nhị phân để hiểu được chúng.

-Trong một hệ thống mạng sử dụng những giao thức kết nối chung và đồng

bộ. Có thể sử dụng Sniffer ở bất cứ Host nào trong hệ thống mạng hiện tại.

Chế độ này được gọi là chế độ hỗn tạp (promiscuous mode).

-Một số các ứng dụng của Sniffer được sử dụng như DSNiff, Snort, Cain,

ettercap, sniffer pro……

1.3 Mục đích sử dụng Sniffer

Sniffer thường được sử dụng vào 2 mục đích :

- Một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng

của mình (hack để bảo mật hơn). Quản trị viên có thể theo dõi các thông tin dữ liệu

trên đường truyền. Họ có thể đọc và hiểu được ý nghĩa của những dữ liệu đó, họ có

thể phân tích những lỗi đang mắc phải trên hệ thống lưu thông của mạng. Các

Sniffer giúp ghi lại thông tin về các gói dữ liệu, các phiên truyền để phục vụ cho

công việc phân tích, khắc phục các sự cố trên hệ thống mạng.



13

- Một chương trình được cài vào một hệ thống mạng máy tính với mục đích

đánh hơi, nghe lén các thông tin trên đoạn mạng này, các Hacker sử dụng để bắt tên

người sử dụng (Username) và mật khẩu không được mã hoá (Clear Text Password)

trong hệ thống mạng.

1.4 Phân loại Sniffing

- Sniffing được chia làm 2 loại là: Passive Sniffing (tấn công thụ động) và

Active Sniffing (tấn công chủ động).

1.4.1 Passive Sniffing

- Gọi là Passive Sniffing bời vì các attacker thụ động nằm trên mạng Lan chờ

đợi các gói dữ liệu được gửi đi và bắt lấy chúng. Điều đó sẽ hiệu quả trong

việc âm thầm thu nhập các dữ liệu từ mạng Lan.

- Môi trường: Hoạt động chủ yếu trong môi trường không có các thiết bị

chuyển mạch gói. Phổ biến hiện nay là các dạng mạch sủ dụng HUB hay các

mạch không dây( Wireless).

- Cơ chế hoạt động: Do không có các thiết bị chuyển mạch gói nên các host

phải broadcast các gói tin đi trong mạng từ đó có thể bắt gói tin lại để xem

dù Host nhận gói tin không phải là nơi đến của gói tin đó.

- Đặc điểm: do các máy tự truyền đi các gói nên hình thức sniff này rất khó

phát hiện.

- Passive Sniffing thực hiện sniffing thông qua Hub.

1.4.2 Active Sniffing

- Môi trường: Chủ yếu hoạt động trong môi trường có các thiết bị chuyển

mạch gói. Phổ biến hiện nay là các dạng mạng sủ dụng Switch

- Cơ chế hoạt động: chủ yểu hiện nay thường sử dụng cơ chế ARP và RARP

(Cơ chế chuyển đổi IP sang MAC và từ MAC sang IP) bằng cách phát đi các



14

gói tin đầu độc, mà cụ thể ở đây là phát đi các gói thông báo cho máy gởi gói

tin là: “Tôi là người nhận” mặc dù không phải người nhận.

- Đặc điểm: do phải gởi gói tin nên có thể chiếm băng thông mạng. Nên nếu

sniffing quá nhiều trong mạng thì lượng gói gởi đi sẽ rất lớn (do liên tục gởi

các gói tin giả mạo) có thể dẫn đến nghẽn mạng hay gây quá tải trên chính

NIC của máy đang dùng sniffing .

- Ngoài ra các sniffer còn dùng 1 số kỹ thuật để ép dòng dữ liệu đi qua NIC

của mình như:

- MAC flooding: làm tràn bộ nhớ switch từ đó switch sẽ chạy chế độ

forwarding mà không chuyển mạch gói

- Giả MAC: các sniffer sẽ thay đổi MAC của mình thành các MAC của một

máy hợp lệ và qua được chức năng lọc của MAC của thiết bị.

- Đầu độc DHCP để thay dổi gateway của client.



15

CHƯƠNG 2: CÁC PHƯƠNG PHÁP PHÁT HIỆN

SNIFFER TRÊN MẠNG LAN

2.1 Phương pháp dùng Ping

Hầu hết các chương trình Sniffer được cài đặt trên các máy tính trong mạng

sử dụng TCP/IP Stack. Bởi vậy khi gửi yêu cầu đến những máy tính này, chúng sẽ

phản hồi lại kết quả. Hãy gửi một yêu cầu phản hồi tới địa chỉ IP của máy tính nào

đó trong mạng (máy cần kiểm tra xem có bị cài đặt Sniffer hay không), nhưng

không thông qua Adapter Ethernet của nó.

- Lấy ví dụ cụ thể :

Bước 1: Khi đang ở trong cùng một hệ thống mạng Ethernet mà thấy nghi ngờ máy

tính có địa chỉ IP là 10.0.0.1, có địa chỉ MAC là 00-40-05-A4-79-32 đã bị Sniffer.

Bước 2: Thay đổi địa chỉ MAC của mình thành 00-40-05-A4-79-33.

Bước 3: Ping đến địa chỉ IP và địa chỉ MAC mới.

Bước 4: Trên nguyên tắc Adapter Ethernet chỉ chấp nhận những địa chỉ MAC hợp

lệ của chính nó.

Bước 5: Nếu thấy sự trả lời từ địa chỉ nghi ngờ không phải trên địa chỉ lọc của

MAC (MAC Address Filter) trên Ethernet Card thì máy tính có địa chỉ IP 10.0.0.1

đã bị Sniffer.

Bằng các kỹ thuật của mình các Hacker vẫn có thể né tránh được phương

pháp nêu trên. Các Hacker sẽ sử dụng những địa chỉ MAC ảo. Rất nhiều hệ thống

máy tính trong đó có Windows có tích hợp khả năng MAC Filtering. Windows chỉ

kiểm tra những byte đầu tiên. Nếu một địa chỉ MAC có dạng FF-00-00-00-00-00,

thì đơn giản Windows sẽ coi nó là FF-FF-FF-FF-FF-FF. Đây là sơ hở cho phép các

Hacker có thể khai thác đánh lừa hệ thống máy tính. Kỹ thuật phát hiện Sniffer đơn

giản này thường được sử dụng trên các hệ thống Ethernet dựa trên Switch và

Bridge.



16

2.2 Phương pháp sử dụng ARP

Phương pháp phát hiện Sniffer này tương tự như phương pháp dùng Ping.

Khác biệt chỗ chúng ta sẽ sử dụng những Packet ARP. Đơn giản chỉ cần gửi một

Packet ARP đến một địa chỉ nào đó trong mạng (không phải Broadcast). Nếu máy

tính đó trả lời lại Packet ARP bằng địa chỉ của chính nó. Thì máy tính đó đang cài

đặt Sniffer ở chế độ hỗn tạp (Promiscuous Mode).

Mỗi Packet ARP đều chứa đầy đủ thông tin về người gửi và người nhận. Khi

Hacker gửi một Packet ARP đến địa chỉ loan truyền tin (Broadcast Address), nó

bao gồm thông tin về địa chỉ IP của bạn và địa chỉ MAC được phân giải bởi

Ethernet. Ít phút sau mọi máy tính trong hệ thống mạng Ethernet đều nhớ thông tin

này. Bởi vậy khi Hacker gửi các Packet ARP không đi qua Broadcast Address.

Tiếp đó sẽ ping đến Broadcast Address. Lúc này bất cứ máy tính nào trả lời

lại mà không bằng ARPing, anh ta có thể chụp được các thông tin về địa chỉ MAC

của máy tính này bằng cách sử dụng Sniffer để chụp các khung ARP (ARP Frame).

2.3 Phương pháp sử dụng DNS

Rất nhiều chương trình Sniffer có tính năng phân giải ngược các địa IP thành

DNS mà chúng nhìn thấy (như dsniff). Bởi vậy khi quan sát lưu lượng truyền thông

của DNS có thể phát hiện được Sniffer ở chế độ hỗn tạp (Promiscuous Mode).

Để thực hiện phương pháp này, cần theo dõi quá trình phân giải ngược trên

DNS Server của bạn. Khi phát hiện được những hành động Ping liên tục với mục

đích thăm dò đến những địa chỉ IP không tồn tại trên hệ thống mạng. Tiếp đó là

những hành động cố gắng phân giải ngược những địa chỉ IP được biết từ những

Packet ARP. Khẳng định đây là những hành động của một chương trình Sniffer.

2.4 Phương pháp Source-Route

- Phương pháp này sử dụng những thông tin như địa chỉ nguồn và địa chỉ

đích trong mỗi Header của IP để phát hiện hành động Sniffer trên từng đoạn mạng.



17

- Tiến hành ping từ một máy tính này đến một máy tính khác. Nhưng tính

năng Routing trên máy tính nguồn phải được vô hiệu hoá. Hiểu đơn giản là làm thế

nào để gói tin này không thể đi đến đích. Nếu như bạn thấy sự trả lời, thì đơn giản

hệ thống mạng của bạn đã bị cài đặt Sniffer.

- Để sử dụng phương pháp này bạn cần sử dụng vào một vài tuỳ chọn trong

Header IP. Để Router sẽ bỏ qua những địa chỉ IP đến và tiếp tục chuyển tiếp đến

những địa chỉ IP trong tuỳ chọn Source-Route của Router.

- Một ví dụ cụ thể :

A và B cùng nằm trên một đoạn mạng. Khi có một người khác trên cùng đoạn

mạng gửi cho A vài Packet IP và nói chuyển chúng đến cho B. A không phải là một

Router, cho nên sẽ Drop tất cả Packet IP mà người kia muốn chuyển tới B (vì A

không thể làm việc này). Một Packet IP không được gửi đến B nhưng B vẫn có thể

trả lời lại được. Điều này là hoàn toàn vô lý, vậy B đã sử dụng các chương trình

Sniffer.

2.5 Phương pháp giăng bẫy (Decoy)

Tương tự như phương pháp sử dụng ARP nhưng nó được sử dụng trong

những phạm vi mạng rộng lớn hơn (gần như là khắp nơi). Rất nhiều giao thức sử

dụng các Password không được mã hoá trên đường truyền, các Hacker rất coi trọng

những Password này, phương pháp giăng bẫy này sẽ thoả mãn điều đó. Đơn giản

chỉ cần giả lập những Client sử dụng Service mà Password không được mã hoá

như: POP, FTP, Telnet, IMAP...Có thể cấu hình những User không có quyền hạn,

hay thậm chí những User không tồn tại. Khi Sniffer được những thông tin này các

Hacker sẽ tìm cách kiểm tra, sử dụng và khai thác chúng.



18

2.6 Phương pháp kiểm tra sự chậm trễ của gói tin (Latency)

Phương pháp này sẽ làm giảm thiểu sự lưu thông trên hệ thống mạng. Bằng

cách gửi một lượng thông tin lớn đến máy tính bị nghi ngờ là đã bị cài đặt Sniffer.

Sẽ không có hiệu ứng gì đáng kể nếu máy tính đó hoàn toàn không có gì. Hãy ping

đến máy tính bị nghi ngờ đã bị cài đặt Sniffer trước thời gian chịu tải và trong thời

gian chị tải. Để quan sát sự khác nhau của 2 thời điểm này.

Tuy nhiên phương pháp này tỏ ra không mấy hiệu quả. Bản thân những Packet

IP được gửi đi trên đường truyền cũng gây ra sự trậm trễ và thất lạc. Cũng như

những Sniffer chạy ở chế độ “User Mode” được xử lý độc lập bởi CPU cũng cho ra

những kết quả không chính xác.



19

CHƯƠNG 3: PHƯƠNG PHÁP NGĂN CHẶN SNIFFER TRÊN

MẠNG LAN

3.1 Các hệ thống mạng có nguy cơ Sniffer

Một số hệ thống mạng hiện nay có nguy cơ bị Sniffer đó là:

- Cable Modem

- DSL

- ADSL

- Switched Network

- Wireless like IEEE 802.11 a.k.a. AirPort (hệ thống mạng không dây)

3.2 Các giao thức có nguy cơ Sniffer

Một số giao thức mạng hiện nay có nguy cơ Sniffer đó là:

- Telnet, Rlogin: Tổ hợp bàn phím bao gồm User và password.

- SNMP: Mật khẩu và dữ liệu được gửi trong văn bản.

- NNTP: Mật khẩu và dữ liệu được gửi trong văn bản.

- POP, IMAP, SMTP: Mật khẩu và dữ liệu được gửi trong văn bản.

- FTP: Mật khẩu và dữ liệu được gửi trong văn bản.

- HTTP: Dữ liệu được gửi trong văn bản.

3.3 Phương pháp ngăn chặn Sniffer dữ liệu

Có lẽ cách đơn giản nhất để ngăn chặn những kẻ muốn Sniffer dữ liệu là sử

dụng các giao thức mã hoá chuẩn cho dữ liệu trên đường truyền. Khi mã hoá dữ



20

liệu, những kẻ tấn công ác ý có thể Sniffer được dữ liệu, nhưng chúng lại không thể

đọc được nó.

- SSL (Secure Socket Layer) : Một giao thức mã hoá được phát triển cho hầu

hết các Webserver, cũng như các Web Browser thông dụng. SSL được sử dụng để

mã hoá những thông tin nhạy cảm để gửi qua đường truyền như : Số thẻ tin dụng

của khách hàng, các password và thông tin quan trọng.

- PGP và S/MIME: E-mail cũng có khả năng bị những kẻ tấn công ác ý

Sniffer. Khi Sniffer một E-mail không được mã hoá, chúng không chỉ biết được nội

dung của mail, mà chúng còn có thể biết được các thông tin như địa chỉ của người

gửi, địa chỉ của người nhận…Chính vì vậy để đảm bảo an toàn và tính riêng tư cho

E-mail cũng cần phải mã hoá chúng… S/MIME được tích hợp trong hầu hết các

chương trình gửi.

- Nhận Mail hiện nay như Netscape Messenger, Outlock Express…PGP cũng

là một giao thức được sủ dụng để mã hoá E-mail. Nó có khả năng hỗ trợ mã hoá

bằng DSA, RSA lên đến 2048 bit dữ liệu.

- OpenSSH: Khi bạn sử dụng Telnet, FTP…2 giao thức chuẩn này không

cung cấp khả năng mã hoá dữ liệu trên đường truyền. Đặc biệt nguy hiểm là không

mã hoá Password, chúng chỉ gửi Password qua đường truyền dưới dạng Clear Text.

Điều gì sẽ xảy ra nếu những dữ liệu nhạy cảm này bị Sniffer. OpenSSH là một bộ

giao thức được ra đời để khắc phục nhược điểm này: SSH (sử dụng thay thế

Telnet), SFTP (sử dụng thay thế FTP)…

- VPNs (Virtual Private Networks): Được sử dụng để mã hoá dữ liệu khi

truyền thông trên Internet. Tuy nhiên nếu một Hacker có thể tấn công và thoả hiệp

được những Node của của kết nối VPN đó, thì chúng vẫn có thể tiến hành Sniffer

được.

Giả sử là một người dùng Internet khi lướt Web đã sơ ý để nhiễm RAT

(Remoto Access Trojan), thường thì trong loại Trojan này thường có chứa sẵn



21

Plugin Sniffer. Cho đến khi người dùng bất cẩn này thiết lập một kết nối VPN. Lúc

này Plugin Sniffer trong Trojan sẽ hoạt động và nó có khả năng đọc được những dữ

liệu chưa được mã hoá trước khi đưa vào VPN. Để phòng chống các cuộc tấn công

kiểu này cần nâng cao ý thức cảnh giác cho những người sử dụng trong hệ thống

mạng VPN, đồng thời sử dụng các chương trình quét Virus để phát hiện và ngăn

chặn không để hệ thống bị nhiễm Trojan.

3.4 Phương pháp ngăn chặn Sniffer Password

Để ngăn chăn những kẻ tấn công muốn Sniffer Password. đồng thời sử dụng

các giao thức, phương pháp để mã hoá password cũng như sử dụng một giải pháp

chứng thực an toàn (Authentication):

- SMB/CIFS: Trong môi trường Windows/SAMBA cần kích hoạt tính năng

LANmanager Authencation.

- Keberos: Một giải pháp chứng thực dữ liệu an toàn được sử dụng trên Unix

cũng như Windows.

- Stanford SRP (Secure Remote Password): Khắc phục được nhược điểm

không mã hoá Password khi truyền thong của 2 giao thức FTP và Telnet trên Unix:

3.5 Phương pháp ngăn chặn Sniffer trên thiết bị phần cứng

Việc thay thế Hub bằng những Switch, nó có thể cung cấp một sự phòng chống

hiệu quả hơn. Switch sẽ tạo ra một “Broadcast Domain” nó có tác dụng gửi đến

những kẻ tấn công những gói ARP không hợp lệ (Spoof ARP Packet).

Tuy nhiên các Hacker vẫn có những cách thức khéo léo để vượt qua sự phòng

thủ này. Các yêu cầu truy vấn ARP chứa đựng những thông tin chính xác từ IP cho

đến MAC của người gửi. Thông thường để giảm bớt lưu lượng ARP trên đường

truyền, đa số các máy tính sẽ đọc và sử dụng các thông tin từ bộ đệm (Cache) mà

chúng truy vấn được từ Broadcast.

Bởi vậy một Hacker có thể Redirect những máy tính gần mình để vượt qua sự

phòng thủ này bằng cách gửi những gói ARP chứa đựng những thông tin về địa chỉ



22

IP của Router đến chính địa chỉ MAC của mình. Tất cả những máy tính trong hệ

thống mạng cục bộ này sẽ nhầm tưởng đó là Router và sẽ thiết lập phiên truyền

thông đi qua máy tính của anh ta.

Một cuộc tấn công DOS tương tự trên một hệ thống mạng cục bộ, khi thành

công sẽ đá văng mục tiêu mà họ muốn tấn công ra khỏi mạng. rồi bắt đầu sử dụng

chính địa chỉ IP của máy tính vừa bị tấn công này. Những kẻ tấn công sẽ khéo léo

thừa kể và sử dụng những kết nối này. Bản thân Windows khi phát hiện được hành

động này, nó không hành động gì cả mà lại tử tế đóng Stack TCP/IP của chính

mình và cho phép kết nối này tiếp tục. Để phòng chống lại các cuộc tấn công dạng

bạn chỉ cần sử dụng các công cụ IDS (Intrusion Detecte Service). Các IDS như

BlackICE IDS, Snort sẽ tự động phát hiện và cảnh báo về các cuộc tấn công dạng

này.

Hầu hết các Adapter Ethernet đều cho phép cấu hình địa chỉ MAC bằng tay.

Hacker có thể tạo ra các địa chỉ Spoof MAC bằng cách hướng vào các địa chỉ trên

Adapter. Để khắc phục điều này, hầu hết các Switch đều không cho phép tự ý cấu

hình lại các địa chỉ MAC.



23

CHƯƠNG 4: THỬ NGHIỆM TẤN CÔNG VÀ PHÒNG CHỐNG

SNIFFER TRÊN MẠNG LAN

4.1 Sniffer bằng Cain And Able

4.1.1. Tải chương trình

Cain And Able dành cho Windows NT,Windows 2000, Windows XP,

Windows 7.

http://www.windows7download.com/win7-cain-abel/download-llfpwggr.html

4.1.2. Cài đặt

Như các phần mềm thông thường, sau khi tải về chạy file ca_setup.exe .

Trong các hộp thoại hiện ra Click Next và Finish.

Lưu ý: với file cài đặt trên sẽ cài thêm WinPcap 4.1.3.

4.1.3. Thực nghiệm bằng hình ảnh

Bước 1: chọn vào thẻ configure (cấu hình)

Hình 4.1 Giao diện chính của chương trình Cain And Able


http://www.windows7download.com/win7-cain-abel/download-llfpwggr.html


24

Bước 2: chọn Card mạng

Hình 4.2 Chọn card mạng

Bước 3: bắt đầu Sniffer



25

Bước 4: chọn thẻ Sniffer

Hình 4.3 Tiến hành Sniffer, Add các địa chỉ MAC

Bước 5: Quét địa chỉ MAC

Sau khi chọn Vào Dấu + thì chuột phải chọn Scan MAC Addresses



26

Hình 4.4 Giao diện quét địa chỉ MAC

Chọn tiếp Ok trong hộp thoại hiện ra

Hình 4.5 Giao diện lựa chọn quét địa chỉ MAC



27

Bước 6: kiểm tra tên máy vừa quét được:

Hình 4.6 Kiểm tra tên máy victim



28

Bước 7: chọn thẻ ARP

Bước 8: chọn Add to list

Hình 4.7 Giao diện thẻ ARP



29

Bước 9: Add các địa chỉ MAC để Sniff

Hình 4.8 Thêm các địa chỉ MAC để Sniff



30

Bước 10: Bắt đầu giả lập ARP

Hình 4.9 Giả lập ARP



31

Bước 11: chọn sang thẻ Passwords

Bước 12: chọn thẻ HTTP

Hình 4.10 Kết quả sau khi Sniffer

4.2 Phòng chống Sniffer bằng XARP

1. Tải chương trình

http://www.chrismc.de/development/xarp/xarp-2.2.2-win.exe

hoặc:

http://www.chrismc.de/development/xarp/

2. Cài đặt

Cũng như các phần mềm thông thường, sau khi tải về chạy file ca_setup.exe.

Trong các hộp thoại hiện ra Click Next và Finish.

3.Thực nghiệm bằng hình ảnh

Bước 1: khởi động Xarp


http://www.chrismc.de/development/xarp/

http://www.chrismc.de/development/xarp/xarp-2.2.2-win.exe


32

Hình 4.11 Giao diện chương trình



33

Hình 4.12 Giao diện cảnh báo các cuộc tấn công



34

Hình 4.13 Các cuộc tấn công đã bị phát hiện và ngăn chặn



35

C. KẾT LUẬN CHUNG

1. Kết quả đạt được

1.1. Ưu điểm

- Chương trình có giao diện thân thiện, thuận tiện cho người sử dụng. Chương

trình hướng đến đối tượng người sử dụng mạng trong môi trường LAN.

- Đề tài rõ ràng, trực quan từ đó người đọc dễ dàng hiểu và thực hành dễ dàng.

1.2. Nhược điểm

- Chương trình có tính chuyên nghiệp chưa cao.

- Chưa giải quyết triệt để các vấn đề nảy sinh.

- Tốc độ xử lý chậm khi băng thông mạng không tốt.

- Chương trình chưa có tính thẩm mỹ cao.

1.3. Hướng phát triển

- Đề tài cần được phổ biến rộng rãi tới các cơ quan, doanh nghiệp hay các cá

nhân sử dụng mạng LAN chung với nhiều người.

- Phải trau dồi cho người dùng máy tính có nhu cầu sử dụng mạng các kiến

thức về an ning mạng.

- Phối hợp với các hacker để cập nhật phương pháp và cách thức tấn công mới

nhất nhằm che đậy các lỗ hổng.

- Từ những hướng phát triển trên sẽ tiến hành nhân rộng tính hữu ích của đề

tài.

2. Tổng kết

Đề tài “ Ngiên Cứu Và Ứng dụng Sniffer là một đề tài hữu ích, giúp cho

người sử dụng máy tính trong mạng Lan có thể yên tâm trao đổi thông tin qua

mạng mà không sợ bị đánh cắp,sao chép hay xuyên tạc thông tin.



36

Qua đây, em xin được gửi lời cảm ơn chân thành nhất tới thầy giáo Phạm Đức

Thọ đã rất tận tình giúp đỡ, hướng dẫn, tạo điều kiện cho em để hoàn thành đề tài

này. Tuy nhiên do trình độ và kiến thức còn hạn hẹp nên không tránh khỏi những

thiếu sót, em rất mong nhận được sự góp ý và bổ sung của các thầy cô giáo và các

bạn để đề tài thực tập tốt nghiệp sau bốn năm học tập ở trường đại học hùng vương

được hoàn thiện và ứng dụng thực tế hơn.

Em xin chân thành cảm ơn!



37

D. TÀI LIỆU THAM KHẢO

[1]. Giang Quốc Minh , Hồ Phạm Thái Vinh “bắt gói tin cho việc phân tích

thông tin mạng phục vụ quản lí”, đại học khoa học tự nhiên.

[2]. Giáo trình CEH full v7 – bản dịch tiếng việt

http://www.itbinhdinh.com/showthread.php?9662-Bo-giao-trinh-CEH-Full-

v7-Tieng-Viet

[3]. TaiLieu-Athena-Seminar-an-ninh-web

http://www.4shared.com/rar/gCm4PmYw/tailieu-athena-seminar-an-ninh.htm

[4]. Website: http://en.wikipedia.org/wiki/Sniffer

[5]. Website: http://tailieu.vn/tag/tai-lieu/Sniffers.html

[6]. Forum HVAonline: http://www.hvaonline.net/hvaonline/forums/list.hva

[7]. Diễn đàn tinh tế: http://www.tinhte.vn/


http://www.tinhte.vn/

http://www.hvaonline.net/hvaonline/forums/list.hva

http://tailieu.vn/tag/tai-lieu/Sniffers.html

http://en.wikipedia.org/wiki/Sniffer

http://www.4shared.com/rar/gCm4PmYw/tailieu-athena-seminar-an-ninh.htm

thực tập.docx

Documents