TRƯỜNG CĐ CNTT HỮU NGHỊ VIỆT HÀN
KHOA KHOA HỌC MÁY TÍNH

BÁO CÁO ĐỒ ÁN MÔN HỌC
AN NINH MẠNG

Đề tài : Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
Giáo viên: Thạc sĩ Lê Tự Thanh
Lớp : MM03A – Nhóm 5
Sinh viên thực hiện : Lê Long Bảo
Đà Nẵng, tháng 2 năm 2012
Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
LỜI CẢM ƠN
Để hoàn thành đồ án chuyên đề này, lời đầu tiên em xin chân thành cảm ơn các
thầy giáo, cô giáo Khoa Khoa học máy tính, những người đã dạy dỗ, trang bị cho em
những kiến thức bổ ích trong năm học vừa qua.
Em xin bày tỏ lòng biết ơn sâu sắc nhất tới thầy Lê Tự Thanh, người đã tận tình
hướng dẫn em trong suốt quá trình làm đồ án
Một lần nữa em xin chân thành cảm ơn sự giúp đỡ của các thầy cô
Đà nẵng, ngày 10 tháng 3 năm 2012
Nhóm 5 – Lê Long Bảo Trang
2
Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
MỤC LỤC
DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT
Ký hiệu Ý nghĩa
Sniffing Nghe lén
DHCP Dynamic Host Configuration Protocol
DNS Domain Name System
ARP Address Resolution Protocol
MAC Media Access Control

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG
1.1. TẦM QUAN TRỌNG CỦA AN NINH MẠNG
1.1.1.Bản tin về bảo mật
Hacker Trung Quốc tấn công các trang web của Mỹ bao gồm cả Google. Một báo
cáo mới đây của tờ NEW YORK TIMES đã chỉ ra rằng, với sự hỗ trợ của chính quyền
Trung Quốc hacker đã tiến hành hack máy tính rộng rãi trên các cơ quan chính phủ Mỹ và
cả các công ty, bao gồm cả mạng lưới máy tính của Google.
Theo một cuộc kiểm tra 250.000 điện tín ngoại giao được công bố bởi
WikiLeaks.org của báo chí Mỹ cho thấy rằng các cuộc tấn công bởi tin tặc nhắm vào các
bộ cơ quan cấp cao, nhằm mục đích lấy một lượng lớn các thông tin quân sự của chính
phủ Mỹ. Một cuộc tấn công không được công bố trước đó của hacker Trung Quốc được
sự chỉ đạo của Đảng Cộng Sản trong năm 2008 đã đánh cắp hơn 50 triệu email, tên người
dùng và mật khẩu từ một cơ quan chính phủ Mỹ.
Một dấu hiệu cho thấy an ninh mạng cần được nâng cao nhanh chóng, hai công ty,
McDonal Corp và Walgreen Co, cho biết họ đã bị tấn công trong tuần qua, cùng với công
ty truyền thông Hoa Kỳ. Sau báo cáo MasterCard và Visa, bị tấn công tuần trước bởi một
nhóm hacker Pro – WikiLeaks, được biết đến với tên là “vô danh”, McDonal cho biết hệ
thống của mình đã bị tấn công và các thông tin khách hàng bao gồm email, thông tin liên
lạc, ngày sinh và thông tin chi tiết khác đã bị đánh cắp.
Các cuộc tấn công chống lại Visa và MasterCard đã làm tê liệt trang web của công
ty họ trong nhiều giờ, nhưng sau đó mặc dù các cuộc tấn công trên đã được ngăn chặn và
phát hiện nhưng các trang web bán lẻ sử dụng phương pháp tương tự, nó đã không có tác
Nhóm 5 – Lê Long Bảo Trang
6
Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
dụng, các dữ liệu bất hợp pháp tràn lan đã được chặn bởi mạng lưới toàn cầu của Akamai
Technologies.
Tin tặc đã đột nhập vào trang web của NewYork Tour Company và khoảng
110.000 số thẻ ngân hàng bị đánh cắp, họ đã phá vỡ bằng cách sử dụng một cuộc tấn công
SQL Injection trên trang này. Trong cuộc tấn công SQL Injection, tin tặc tìm cách để chèn

mỗi tháng có 187 website bị tấn công.
Năm 2011 là năm của các cuộc tấn công mạng, liên tiếp xảy ra các cuộc tấn công
với các hình thức khác nhau vào hệ thống của các tổ chức, doanh nghiệp tại Việt Nam. Có
những cuộc tấn công xâm nhập trái phép phá hoại cơ sở dữ liệu hoặc deface các website.
Cũng có những cuộc tấn công DDOS làm tê liệt hệ thống trong thời gian dài. Tấn công
cướp tên miền của doanh nghiệp cũng đã diễn ra liên tiếp. Nguy hiểm hơn, cũng đã xuất
hiện nhiều cuộc tấn công âm thầm, cài đặt virus gián điệp đánh cắp tài liệu của các cơ
quan quan trọng
1.1.3. Nhu cầu về an ninh mạng
Tại TP.HCM, số lượng các trường đào tạo về ngành An ninh mạng chưa nhiều,
nên số lượng nhân lực nhìn chung không đáp ứng đủ nhu cầu. Nhân lực ngành An Ninh
Mạng hiện nay lại vừa thiếu về số lượng vừa không mạnh mẽ về chuyên môn.
Căn cứ trên số liệu của Trung tâm Dự báo nhu cầu nhân lực và Thông tin thị
trường lao động TP.HCM trong giai đoạn 2011-2015, mỗi năm thành phố cần từ 8.000
-10.000 nhân lực ngành CNTT. Trong đó, ngành Hệ thống thông tin – An ninh mạng cần
khoảng 1.000 người, 50% số này cần có trình độ chuyên môn giỏi. Nhu cầu tuyển dụng
ngành CNTT năm 2011 vừa qua tăng 21,21% so với năm 2010 và tiếp tục có xu hướng
tăng trong những năm tới.
Đa số các Doanh nghiệp Việt Nam hiện nay đã ý thức được tầm quan trọng của
việc bảo đảm an toàn các thông tin trên hệ thống mạng vì đó chính là tài sản của Doanh
nghiệp. Đặc biệt là trong thời buổi mà hoạt động kinh doanh đang phát triển theo hướng
số hóa. Thất thoát thông tin cũng đồng nghĩa với việc túi tiền của Doanh nghiệp bị hao
hụt.
Các giao dịch ở VN và trên thế giới hiện tại và tương lai đa số diễn ra trên mạng.
Việc bảo mật thông tin thật sự vô cùng quan trọng. Trong năm 2008, có nhiều sự kiện lớn
đối với ngành an ninh mạng tại VN. Sự cố bảo mật của nhà cung cấp tên miền PA Việt
Nam hay vụ website ngân hàng Techcombank bị đột nhập là những ví dụ nổi bật. Nó cho
Nhóm 5 – Lê Long Bảo Trang
8
Tìm hiểu về an ninh mạng và kỹ thuật Sniffer

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
Hình 1.1. Báo cáo về tội phạm Internet
Hình 1.2. Báo
cáo điều tra vi
phạm dữ
liệu
Nhóm 5 – Lê Long Bảo Trang
10
Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
Hình 1.3. Số lượng dữ liệu bị đánh cắp
1.3. HACKER VÀ ẢNH HƯỞNG CỦA VIỆC HACK
1.3.1. Hacker họ là ai
Là một người thông minh với kỹ năng máy tính xuất sắc, có khả năng tạo ra hay
khám phá các phần mềm và phần cứng của máy tính. Đối với một số hacker, hack là một
sở thích để chứng tỏ họ có thể tấn công rất nhiều máy tính hoặc mạng.
Mục đích của họ có thể là tìm hiểu kiến thức hoặc phá hoại bất hợp pháp. Một số
mục đích xấu của hacker như đánh cắp dữ liệu kinh doanh, thông tin thẻ tín dụng, sổ bảo
hiểm xã hội, mật khẩu, email…
1.3.2. Các loại hacker
Black Hats: là người có kỹ năng tính toán xuất sắc, sử dụng thành thạo các công cụ
và máy tính, có các hoạt động phá hoại, ví dụ như crackers.
White Hats: người biết nhiều kỹ năng của hacker, và sử dụng chúng cho mục đích
phòng thủ, ví dụ như là chuyên gia phân tích an ninh mạng.
Gray Hats: là người làm cả 2 việc, tấn công và phòng thủ ở những thời điểm khác
nhau.
Suicide Hackers: người tấn công các cơ sở hạ tầng quan trọng mà không quan tâm
đến phải chịu 30 năm tù vì các hành vi của mình.
1.3.3. Ảnh hưởng của việc hack
Nhóm 5 – Lê Long Bảo Trang
11

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
CHƯƠNG 2: TỔNG QUAN VỀ SNIFFER VÀ CÁC PHƯƠNG
THỨC TẤN CÔNG
2.1. GIỚI THIỆU VỀ SNIFFING
2.1.1. Sniffing là gì
Nghe lén (Sniffing) được hiểu đơn giản là một chương trình cố gắng nghe ngóng
các lưu lượng thông tin trên một hệ thống mạng. Là một tiến trình cho phép giám sát cuộc
gọi và hội thoại internet bởi thành phần thứ ba.
Người nghe lén để thiết bị lắng nghe giữa mạng mang thông tin như hai thiết bị
điện thoại hoặc hai thiết bị đầu cuối trên internet. Nghe lén được sử dụng như công cụ để
các nhà quản trị mạng theo dõi và bảo trì hệ thống mạng. Về mặt tiêu cực, nó được sử
dụng như một công cụ với mục đích nghe lén các thông tin trên mạng để lấy các thông tin
quan trọng.
Nghe lén dựa vào phương thức tấn công ARP để bắt các gói thông tin được truyền
qua mạng. Tuy nhiên những giao dịch giữa các hệ thống mạng máy tính thường là những
dữ liệu ở dạng nhị phân. Bởi vậy để hiểu được những dữ liệu ở dạng nhị phân này, các
chương trình nghe lén phải có tính năng phân tích các nghi thức, cũng như tính năng giải
mã các dữ liệu ở dạng nhị phân để hiểu được chúng.
2.1.2. Sniffing thường xảy ra ở đâu
Nhóm 5 – Lê Long Bảo Trang
13
Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
Nghe lén chủ yếu xảy ra ở mặt vật lý. Nghĩa là kẻ tấn công phải tiếp cận và có thể
điều khiển một thành phần của hệ thống mạng, chẳng hạn như một máy tính nào đó. Ví dụ
kẻ tấn công có thể dùng laptop hoặc PC trong các dịch vụ internet, các quán cafe Wifi,
trong hệ thống mạng nội bộ doanh nghiệp.
Trường hợp hệ thống máy tính nghe trộm và kẻ tấn công ở cách xa nhau, kẻ tấn
công tìm cách điều khiển một máy tính nào đó trong hệ thống mạng rồi cài đặt trình nghe
lén vào máy đó để thực hiện nghe trộm từ xa.
2.1.3. Các mối đe dọa về nghe lén

Promiscuous mode là chế độ đặc biệt. Khi card mạng được đặt dưới chế độ này, nó có thể
nhận tất cả các gói tin mà không bị ràng buộc kiểm tra địa chỉ đích đến.
Trong môi trường Switch: Khác với Hub, Switch chỉ chuyển tải các gói tin đến
những địa chỉ cổng xác định trong bảng chuyển mạch nên nghe trộm kiểu “tự nhận” như
ở Hub không thực hiện được. Tuy nhiên, kẻ tấn công có thể dùng các cơ chế khác để tấn
công trong môi trường Switch như ARP spoofing, MAC spoofing, MAC duplicating,
DNS spoofing, v.v…
Hình 2.2. Các lỗ hổng của giao thức để Sniffing
Nhóm 5 – Lê Long Bảo Trang
15
Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
2.2. CÁC PHƯƠNG THỨC TẤN CÔNG
2.2.1.Tấn công MAC
Switch thì có bộ nhớ giới hạn cho việc ánh xạ địa chỉ MAC và port vật lý trên
switch. Tấn công MAC là tấn công làm ngập lụt switch với một số lượng lớn yêu cầu, lúc
này switch hoạt động như hub và lúc này các gói tin sẽ được gửi ra tất cả các máy trên
cùng miền mạng và kẻ tấn công có thể dễ dàng nghe lén. Ngập lụt MAC làm cho bộ nhớ
giới hạn của switch đầy lên bằng cách giả mạo nhiều địa chỉ MAC khác nhau và gửi đến
switch.
Bảng CAM của switch thì có kích thước giới hạn. Nó chỉ lưu trữ thông tin như địa
chỉ MAC gắn với cổng tương ứng trên switch cùng với các tham số miền mạng vlan.
Nhóm 5 – Lê Long Bảo Trang
16
Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
Hình 2.3. Mô tả hoạt động của bảng CAM
Khi máy A gửi gói tin đến máy B, nó sẽ tìm trong bảng địa chỉ MAC của nó, coi
thử có địa chỉ MAC của máy B hay không, nếu không có máy A sẽ gửi gói tin ARP đến
switch để hỏi địa chỉ MAC của máy B. Máy B lúc này nhận được gói tin gửi phản hồi lại
cho máy A sau đó các gói tin được lưu chuyển từ A đến B mà không chuyển sang các
máy khác.

mục đích xấu) hay không và ngược lại client cũng không thể biết được là nó có đang liên
lạc với một legitimate server hay không.
Khả năng trong mạng xuất hiện các rogue DHCP client và rogue DHCP server
(rogue tạm dịch là máy “DHCP giả”, tức là một máy giả tạo, bị điều khiển để thực hiện
các hành vi xấu) tạo ra nhiều vấn đề đáng quan tâm.
Nhóm 5 – Lê Long Bảo Trang
18
Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
Một rogue server có thể cung cấp cho các legitimate client các thông số cấu hình
TCP/IP giả và trái phép như: địa chỉ IP không hợp lệ, sai subnet mask, hoặc sai địa chỉ
của default gateway, DNS server nhằm ngăn chặn client truy cập tài nguyên, dịch vụ
trong mạng nội bộ hoặc Internet (đây là hình thức của tấn công DoS).
Hình 2.5. Minh họa DHCP Rouge
Việc thiết lập một rogue server như vậy có thể thực hiện được bằng cách sử dụng
các kỹ thuật “social engineering” để có được khả năng tiếp cận vật lý rồi kết nối rouge
server vào mạng.
Attacker có thể thoả hiệp thành công với một legitimate client nào đó trong mạng
và thực hiện cài đặt rồi thực thi trên client này một chương trình có chức năng liên tục gửi
tới DHCP server các gói tin yêu cầu xin cấp IP với các địa chỉ MAC nguồn không có thực
cho tới khi toàn bộ dải IP trong scope của DHCP server này bị nó “thuê” hết. Điều này
dẫn tới server không còn IP nào để có thể cấp phát cho các legitimate client khác. Hậu
quả là các client này không thể truy cập vào mạng.
Nhóm 5 – Lê Long Bảo Trang
19
Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
Hình 2.6. Minh họa việc chuyển hướng người dùng
Một rủi ro nữa có thể xảy ra nếu như attacker phá vỡ được các hàng rào bảo vệ
mạng và đoạt được quyền kiểm soát DHCP server. Lúc này, attacker có thể sẽ tạo ra
những sự thay đổi trong cấu hình của DHCP server theo ý muốn như:
- thiết lập lại dải IP, subnet mask của scope để tạo ra tình trạng DoS trong

ARP sẽ quảng bá miền mạng của máy để tìm địa chỉ vật lý. Khi một máy cần giao tiếp với
máy khác, và nó tìm trong bảng ARP của mình, nếu địa chỉ MAC không được tìm thấy
trong bảng, giao thức ARP sẽ quảng bá ra toàn miền mạng. Tất cả các máy trong miền
mạng sẽ so sánh địa chỉ IP đến địa chỉ MAC của chúng. Nếu một trong những máy đó,
xác định được đó chính là địa chỉ của mình, nó sẽ gửi gói ARP hồi đáp và địa chỉ này sẽ
được lưu trong bảng ARP và quá trình giao tiếp diễn ra.
Tấn công đầu độc ARP là hình thức tấn công mà gói tin ARP có thể bị giả mạo để
gửi dữ liệu đến
máy của kẻ tấn
công. Kẻ tấn
công làm
ngập lụt bộ nhớ
cache chứa địa
chỉ ARP của máy
mục tiêu
Nhóm 5 – Lê Long Bảo Trang
22
Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
bằng các địa chỉ ARP giả mạo, phương thức này còn được gọi là đầu độc. Giả mạo ARP
liên quan đến việc xây dựng một số lượng lớn ARP Request giả mạo và gói ARP Reply
liên tục được phản hồi dẫn đến tình trạng quá tải switch. Cuối cùng sau khi bảng ARP bị
đầy thì switch sẽ hoạt động ở chế độ forwarding, lúc này thì kẻ tấn công có thể dễ dàng
nghe lén mọi hoạt động trong mạng.
Hình 2.8. Minh hoạt cách thức giả mạo ARP
Giả mạo ARP giúp kẻ tấn công có thể chuyển hướng tất cả giao tiếp giữa hai máy,
khi đó tất cả lưu lượng được gửi thông qua máy của kẻ tấn công. Các mối de dọa về tấn
công ARP như: tấn công từ chối dịch vụ, Ăn cắp thông tin dữ liệu, Nghe lén cuộc gọi, Ăn
cắp password, Thao tác dữ liệu
2.2.4. Tấn công giả mạo
Tấn công giả mạo địa chỉ MAC bằng cách chạy chương trình nghe lén địa chỉ

nghĩa rằng nếu một máy tính đang tấn công của chúng ta có thể chặn một truy vấn DNS
nào đó được gửi đi từ một thiết bị cụ thể, thì tất cả những gì chúng ta cần thực hiện là tạo
một gói giả mạo có chứa số nhận dạng đó để gói dữ liệu đó được chấp nhận bởi mục tiêu.
Chúng ta sẽ hoàn tất quá trình này bằng cách thực hiện hai bước với một công cụ đơn
giản. Đầu tiên, chúng ta cần giả mạo ARP cache thiết bị mục tiêu để định tuyến lại lưu
lượng của nó qua host đang tấn công của mình, từ đó có thể chặn yêu cầu DNS và gửi đi
gói dữ liệu giả mạo. Mục đích của kịch bản này là lừa người dùng trong mạng mục tiêu
truy cập vào website độc thay vì website mà họ đang cố gắng truy cập.
2.3. BIỆN PHÁP NGĂN CHẶN SNIFFING
Hạn chế thực thi các phương tiện mạng vật lý, để đảm bảo gói tin không thể nghe
lén được.
Mã hóa để bảo vệ thông tin chứng thực
Thêm địa chỉ MAC của gateway với bảng cache ARP
Dùng địa chỉ IP và MAC tĩnh để ngăn chặn kẻ tấn công có thể giả mạo
Chặn gói tin broadcast, nếu có thể hạn chế chứng thực user để bảo vệ miền mạng
không bị khám phá bởi công cụ sniffing
Dùng địa chỉ Ipv6 thay Ipv4
Dùng phiên mã hóa như SSH thay vì telnet, FTP, SSL cho kết nối mail
Nhóm 5 – Lê Long Bảo Trang
25