92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
1 Giáo viên hướng dẫn : Võ Đỗ Thắng
Nhóm thực hiện :
0512253 Bùi Xuân Phong
0512213 Phan Bảo Lộc
0512211 Hứa Thắnng Lộc
0512205 Nguyễn Kinh Luân
0512187 Quách Minh Khánh

92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
2

Contents
I. Các khái niệm căn bản về Sniffer. 3

I. Các khái niệm căn bản về Sniffer.

1.1 Đôi nét về Sniffer :
 Khởi đầu Sniffer là tên một sản phẩm của Network Associates có tên là
Sniffer Network Analyzer.
 Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng
các lưu lượng thông tin trên môi trường mạng máy tính.
 Những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu
ở dạng nhị phân (Binary). Bởi vậy để nghe lén và hiểu được những dữ liệu
ở dạng nhị phân này, các chương trình Sniffer phải có tính năng được biết
như là sự phân tích các nghi thức (Protocol Analysis), cũng như tính năng
giải mã (Decode) các dữ liệu ở dạng nhị phân để hiểu được chúng.
 Trong một hệ thống mạng sử dụng những giao thức kết nối chung và đồng
bộ. Bạn có thể sử dụng Sniffer ở bất cứ Host nào trong hệ thống mạng của
bạn. Chế độ này được gọi là chế độ hỗn tạp (promiscuous mode).

1.2 Sniffer được sử dụng như thế nào ?
 Sniffer thường được sử dụng vào 2 mục đích :
o Một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống
mạng của mình.
o Một chương trình được cài vào một hệ thống mạng máy tính với
mục đích đánh hơi, nghe lén các thông tin trên đoạn mạng này
 Một số tính năng của Sniffer :

92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
5

1.4 Địa chỉ Ethernet MAC là gì ?
1.4.1 Giới thiệu :
Khi nhiều máy tính trên mạng có thể cùng chia sẻ một đường truyền.
Thì bản thân mỗi máy đó phải có một thông tin nhận dạng khác nhau. Khi
bạn gửi dữ liệu từ bên ngoài hệ thống mạng Ethernet bạn phải biết rõ địa
chỉ nơi bạn cần gửi dữ liệu đến. Thông tin dùng để nhận dạng từng máy
tính trên mạng là địa chỉ Ethernet MAC.

1.4.2 Chi tiết về đỉa chị Ethernet MAC :
 MAC là một dãy 12 số Hex.
 Địa chỉ MAC là một dãy số 48 bits.
o 48 bits này tiếp tục được chia đôi.
o 24 bit đầu tiên xác định tên hãng sản xuất Ethernet Card của
bạn.
o 24 bit còn lại là số hiệu Serial được gán bởi nhà sản xuất.
Đảm bảo trên nguyên tắc không có 2 Ethernet Card có trùng
một địa chỉ MAC. 24 bit thứ 2 còn được gọi là OUI
(Organizationally Unique Identifier).
o Tuy nhiên OUI có độ dài thực sự chỉ là 22 bit, 2 bit còn dư lại
sẽ được sử dụng cho những mục đích khác. 1 bit được chỉ
định nếu nó là địa chỉ Broadcast/Multicast (địa chỉ loan báo
tin chung trên một hệ thống mạng). 1 bit còn lại được sử dụng
nếu cần thiết lập lại địa chỉ cục bộ cho một Adapter.


3. Bạn thay đổi địa chỉ MAC của bạn thành là 00-40-05-A4-79-33.

4. Bạn Ping đến địa chỉ IP và địa chỉ MAC mới.

5. Trên nguyên tắc không một máy tính nào có thể nhìn thấy có thể
nhìn thấy được Packet này. Bởi Adapter Ethernet chỉ chấp nhận
những địa chỉ MAC hợp lệ của chính nó.

6. Nếu bạn thấy sự trả lời từ địa chỉ mà bạn nghi ngờ không phải trên
địa chỉ lọc của MAC (MAC Address Filter) trên Ethernet
Card…Máy tính có địa chỉ IP 10.0.0.1 đã bị cài đặt Sniffer.

 Bằng các kỹ thuật của mình các Hacker vẫn có thể né tránh được
phương pháp nêu trên. Các Hacker sẽ sử dụng những MAC Address

92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
7

ảo. Rất nhiều hệ thống máy tính trong đó có Windows có tích hợp
khả năng MAC Filtering. Windows chỉ kiểm tra những byte đầu tiên.
Nếu một địa chỉ MAC có dạng FF-00-00-00-00-00, thì đơn giản
Windows sẽ coi nó là FF-FF-FF-FF-FF-FF. Đây là sơ hở cho phép
các Hacker có thể khai thác đánh lừa hệ thống máy tính của bạn. Kỹ
thuật phát hiện Sniffer đơn giản này thường được sử dụng trên các
hệ thống Ethernet dựa trên Switch và Bridge.

2.2 Phương pháp sử dụng ARP:

ngược trên DNS Server của bạn. Khi bạn phát hiện được những hành
động Ping liên tục với mục đích thăm dò đến những địa chỉ IP không
tồn tại trên hệ thống mạng của bạn. Tiếp đó là những hành động cố
gắng phân giải ngược những địa chỉ IP được biết từ những Packet
ARP. Không gì khác đây là những hành động của một chương trình
Sniffer.

2.4 Phương pháp Source-Route :
 Phương pháp này sử dụng những thông tin như địa chỉ nguồn và địa
chỉ đích trong mỗi Header của IP để phát hiện hành động Sniffer trên
từng đoạn mạng.
 Tiến hành ping từ một máy tính này đến một máy tính khác. Nhưng
tính năng Routing trên máy tính nguồn phải được vô hiệu hoá. Hiểu
đơn giản là làm thế nào để gói tin này không thể đi đến đích. Nếu
như bạn thấy sự trả lời, thì đơn giản hệ thống mạng của bạn đã bị cài
đặt Sniffer.
 Để sử dụng phương pháp này bạn cần sử dụng vào một vài tuỳ chọn
trong Header IP. Để Router sẽ bỏ qua những địa chỉ IP đến và tiếp
tục chuyển tiếp đến những địa chỉ IP trong tuỳ chọn Source-Route
của Router.
 Lấy một ví dụ cụ thể :
o Bob và Anna cùng nằm trên một đoạn mạng. Khi có một
người khác trên cùng đoạn mạng gửi cho cô ta vài Packet IP
và nói chuyển chúng đến cho Bob. Anna không phải là một
Router, cho nên cô ta sẽ Drop tất cả Packet IP mà người kia
muốn chuyển tới Bob (bởi cô ta không thể làm việc này). Một
Packet IP không được gửi đến Bob, mà anh ta vẫn có thể trả

92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477

III Phương pháp ngăn chặn Sniffer trên hệ thống mạng :
3.1 Các hệ thống mạng có nguy cơ Sniffer : 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
10

 Cable Modem
 DSL
 ADSL
 Switched Network
 Wireless like IEEE 802.11 a.k.a. AirPort (hệ thống mạng không dây)

3.2 Các giao thức có nguy cơ Sniffer:

 Telnet, Rlogin
 SNMP
 NNTP
 POP, IMAP, SMTP
 FTP

3.3 Phương pháp ngăn chặn Sniffer dữ liệu ?

Có lẽ cách đơn giản nhất để ngăn chặn những kẻ muốn Sniffer dữ liệu là sử dụng
các giao thức mã hoá chuẩn cho dữ liệu trên đường truyền. Khi mã hoá dữ liệu,
những kẻ tấn công ác ý có thể Sniffer được dữ liệu, nhưng chúng lại không thể đọc
được nó
sdfds

Một ví dụ đơn giản,là một người dùng Internet khi lướt Web đã sơ ý để
nhiễm RAT (Remoto Access Trojan), thường thì trong loại Trojan này
thường có chứa sẵn Plugin Sniffer. Cho đến khi người dùng bất cẩn này
thiết lập một kết nối VPN. Lúc này Plugin Sniffer trong Trojan sẽ hoạt
động và nó có khả năng đọc được những dữ liệu chưa được mã hoá trước
khi đưa vào VPN. Để phòng chống các cuộc tấn công kiểu này: bạn cần
nâng cao ý thức cảnh giác cho những người sử dụng trong hệ thống mạng
VPN của bạn, đồng thời sử dụng các chương trình quét Virus để phát hiện

92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
12

và ngăn chặn không để hệ thống bị nhiễm Trojan.

3.4 Phương pháp ngăn chặn Sniffer Password :
Để ngăn chăn những kẻ tấn công muốn Sniffer Password. Bạn đồng thời sử dụng
các giao thức, phương pháp để mã hoá password cũng như sử dụng một giải pháp
chứng thực an toàn (Authentication):
 SMB/CIFS: Trong môi trường Windows/SAMBA bạn cần kích hoạt tính
năng LANmanager Authencation.
 Keberos: Một giải pháp chứng thực dữ liệu an toàn được sử dụng trên Unix
cũng như Windows
 Stanford SRP (Secure Remote Password): Khắc phục được nhược điểm
không mã hoá Password khi truyền thong của 2 giao thức FTP và Telnet
trên Unix:
 Df



 Hầu hết các Adapter Ethernet đều cho phép cấu hình địa chỉ MAC bằng tay.
Hacker có thể tạo ra các địa chỉ Spoof MAC bằng cách hướng vào các địa
chỉ trên Adapter. Để khắc phục điều này, hầu hết các Switch đều không cho
phép tự ý cấu hình lại các địa chỉ MAC.

3.6 Một số thuật ngữ :
 Ethernet : Một công nghệ nối mạng có năng lực mạnh được sử dụng trong
hầu hết các mạng LAN.
 Wireless : Các công nghệ nối mạng không dây.
 Serial Direct Cable Connection : Công nghệ kết nối máy tính bằng Cable
truyền nhận dữ liệu.
 PPP (Point-to-Point Protocol) : Một giao thức kết nối Internet tin cậy thông
qua Modem.

92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
14

 IP (Internet Protocol) : Giao thức được dùng để xử lý cơ chế truyền dữ
liệu thực tế. Là cơ sở cho việc định hướng và vận chuyển dữ liệu trên
Internet.
 ICMP (Internet Control Message Protocol) : Giao thức xử lý các thông báo
trạng thái cho IP, ví dụ như báo lỗi và các thay đổi mạng có thể ảnh hưởng
đến việc định tuyến.
 ARP (Address Resolution Protocol) : Giao thức chuyển các địa chỉ mạng
sang địa chỉ phần cứng vật lý tương dùng các thông điệp Broadcast. Dùng
để xác định địa chỉ mạng.
 RARP (Reverse Address Resolution Protocol) : Làm công việc ngược lại
ARP, chuyển địa chỉ phần cứng từ một máy sang địa chỉ IP.

4.2 Giao diện chương trình :
 Normal View :

 Advance View :

92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
16
4.3 Các mức bảo mật trong XARP :
 Minimal : là mức security thấp nhất,ở mức này XARP sẽ không thực hiện
việc discovery mà chỉ thực hiện việc detect 1 cách bị động.Các module
giám sát có trong XARP sẽ phát hiện ra những phương thức tấn công cơ
bản.
 Basic : phương thức này thao tác với 1 chiến lược phát hiện ra những tấn
công mặc định mà từ đó sẽ phát hiện các phương thức tấn công chuẩn.Đây
là mức bảo mật được đề nghị cho mọi môi trường.
 High : high security level thêm vào phương thức discovery network,tốc độ
phát hiện của nó cao hơn các phương thức trên,tuy nhiên nó phải gửi thêm
nhiều gói tin discovery vào trong mạng.Trong 1 vài môi trường,dùng mức
độ này có thể cho ra những cảnh báo sai.
 Aggressive : aggressive security level sẽ enable tất cả các module giám sát
tất cả các gói tin ARP và gửi những gói tin discovery với tần suất cao

92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
 Sau đó,trong mục host gốc dưới màn hình ta scan địa chỉ mac address của
tất cả các host trong mạng sẽ được hình sau : 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
20
 Tiếp theo nhấn nút start/stop arp,sau đó add địa chỉ ip của những máy mà
chúng ta muốn giám sát : 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
21

 Trong máy có ip 192.168.1.100 ta mở chương trình XARP đã cài đặt,sử
dụng mức bảo mật basic,ta phát hiện được việc tấn công ARP Poisoning