TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
------------------------------

ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
Đề tài : “NGHIÊN CỨU KỸ THUẬT ĐỌC LÉN DỮ LIỆU
TRONG MẠNG LAN DÙNG PHƯƠNG PHÁP ARP
POISONING VÀ XÂY DỰNG CÔNG CỤ PHÁT HIỆN MÁY
ĐỌC LÉN”

Người hướng dẫn
Hệ

:

THS. LÊ PHÚC

:

ĐẠI HỌC CHÍNH QUY

TP. HỒ CHÍ MINH, NĂM 2012


TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
------------------------------


Em xin bày tỏ lòng biết ơn sâu sắc nhất tới thầy Lê Phúc người đã hướng dẫn tận
tình, chỉ bảo em trong suốt thời gian thực tập và làm đồ án.
Mặc dù đã cố gắng trong nghiên cứu và thực hiện đồ án, nhưng vì thời gian và
trình độ còn hạn chế nên chắc chắn bài báo cáo sẽ không tránh khỏi nhiều thiếu sót.
Em rất mong nhận được sự đóng góp và giúp đỡ của các thầy cô giáo, các bạn sinh
viên để em có thể phát triển hơn nữa những nghiên cứu và chương trình của mình.
Một lần nữa em xin chân thành cảm ơn tất cả mọi người đã giúp đỡ em hoàn thành
đồ án tốt nghiệp này một cách tốt nhất.
Em xin chân thành cảm ơn!

Trang i


Đồ án tốt nghiệp Đại học

Mục lục

MỤC LỤC
Trang
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT............................................................iv
DANH MỤC CÁC BẢNG VẼ..................................................................................................v
DANH MỤC CÁC HÌNH VẼ.................................................................................................vi
MỞ ĐẦU....................................................................................................................................1
CHƯƠNG 1: CÁC PHƯƠNG PHÁP ĐỌC LÉN DỮ LIỆU TRÊN MẠNG LAN.............2
1.1. Đọc lén dữ liệu trên mạng – sniffing.

2

1.2. Tác hại của sniffing.


10

2.2.1. Cơ chế hoạt động của ARP trong mạng LAN........................................................................................11
2.2.2. Cơ chế hoạt động của ARP trong môi trường hệ thống mạng.............................................................12

2.3. ARP Cache.

13

2.4. Tấn công giả mạo ARP cahe (ARP poisoning).

14

2.4.1. Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning)..........................................................................14
2.4.2. Thực hiện tấn công ARP poisoning.......................................................................................................19

2.5. Các biện pháp phòng chống.

24

2.5.1. Bảo mật mạng LAN...............................................................................................................................24
2.5.2. Cấu hình lại bảng ARP Cache................................................................................................................25

CHƯƠNG 3: XÂY DỰNG CÔNG CỤ PHÁT HIỆN ĐỌC LÉN TRÊN MẠNG LAN....26
3.1. Ý tưởng cơ bản của việc phát hiện ARP poisoning.

26

3.2. Bộ lọc phần cứng.


dựng.
38
KẾT LUẬN..............................................................................................................................43
TÀI LIỆU THAM KHẢO......................................................................................................44

Trang iii


Đồ án tốt nghiệp Đại học

Danh mục các ký hiệu và chữ viết tắt

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT
Từ viết tắt

Từ đầy đủ

Nghĩa của từ

ARP

Address Resolution Protocol

Giao thức phân giải địa chỉ

CAM

Content addressable memory

Bộ nhớ nội dung địa chỉ


Công nghệ bảo mật mở rộng cho hệ
thống tên miền.

FTP

File Tranfer Protocol

Giao thức truyền tập tin

HTTP

HyperText Tranfer Protocol

Giao thức truyền tải siêu văn bản

IMAP

Internet Message Access
Protocol

Giao thức truy cập thư tín trên internet

IP

Internet Protocol

Giao thức Internet

LAN


Post Office Protocol

Giao thức lấy thư tín

Promisc

Promiscuous

Hỗn tạp/Hỗn loạn

SMTP

Simple Mail Tranfer Protocol

Giao thức truyền tải thư đơn giản

SQL

Structured Query Language

Ngôn ngữ truy vấn có cấu trúc

TCP

Tranmission Control Protocol

Giao thức điều khiển truyễn dẫn

TTL


Mở đầu

DANH MỤC CÁC HÌNH VẼ
Trang
Hình 1.1. Mạng Shared Ethernet.............................................................................................3
Hình 1.2. Mạng Switched Ethernet.........................................................................................4
Hình 1.3. Hoạt động của bảng CAM.......................................................................................5
Hình 1.4. Hoạt động của DHCP...............................................................................................6
Hình 1.5. Tấn công MAC spoofing..........................................................................................8
Hình 2.1. Mô hình OSI............................................................................................................10
Hình 2.2. Cơ chế hoạt động của quá trình truyền thông ARP............................................13
Hình 2.3. Cập nhật bảng ARP Cache....................................................................................14
Hình 2.4. Mô hình tấn công giả mạo ARP Cache.................................................................18
Hình 2.5. Địa chỉ IP và MAC thật của Gateway trên ARP Cache của thiết bị phát ARP
Request.....................................................................................................................................18
Hình 2.6. Địa chỉ MAC thật của Gateway đã bị máy tấn công thay thế bằng MAC của
máy tấn công............................................................................................................................19
Hình 2.7. Sơ đồ mạng sử dụng thực hiện tấn công ARP poisoning....................................20
Hình 2.8. Chọn card NIC để thực hiện tấn công..................................................................20
Hình 2.9. Scan địa chỉ MAC của các host trên cùng mạng LAN........................................21
Hình 2.10. Chọn mục tiêu tấn công ARP poisoning.............................................................21
Hình 2.11. Bắt đầu tấn công ARP poisoning........................................................................22
Hình 2.12. ARP cache máy nạn nhân sau khi bị tấn công ARP poisoning........................22
Hình 2.13. Địa chỉ MAC của máy tấn công..........................................................................23
Hình 2.14. Nạn nhân đăng nhập trên website yahoo...........................................................23
Hình 2.15. Thông tin tài khoản và mật khẩu của nạn nhân bị lấy cắp..............................24
Hình 3.1. Bộ lọc phần cứng....................................................................................................27
Hình 3.2. Cách phát hiện node promiscuous cơ bản............................................................28
Hình 3.3. Lưu đồ giải thuật phát hiện ARP poisoning cơ bản............................................31

cách rộng rãi với những phần mềm công nghệ được tạo ra để cung cấp cho người
dùng. Sự phát triển mạnh mẽ của mạng Internet đã mang lại những lợi ích về mặt
thông tin cho mỗi cá nhân, gia đình, tổ chức công ty.
Sự phát triển mạnh mẽ của mạng máy tính và truyền thông bên cạnh đó cũng
mang lại rất nhiều khó khăn trong việc thiết kế, bảo dưỡng và an ninh mạng. Đặc biệt
là trong lĩnh vực bảo đảm an toàn cho thông tin người dùng. Đây là một vấn đề rất khó
khăn vì dữ liệu, thông tin người dùng là vô cùng quan trọng đối với mỗi cá nhân, tổ
chức. Trên mạng nội bộ LAN khi các dữ liệu luân chuyển trên mạng có thể dễ dàng bị
đọc lén bởi các hacker, điều này vô cùng nguy hiểm gây hại nghiêm trọng đến cá nhân
người dùng và các tổ chức nhất là khi hacker có thể đọc lén được các thông tin nhạy
cảm.
Hiện nay việc đọc lén mạng lại được thực hiễn dễ dàng bởi rất nhiều các công
cụ giúp thực hiện như Cain&Abel, Ettercap, Dsniff, Wireshark, TCPdump, ..., việc
nghe lén này tuy nguy hiểm nhưng người sử dụng lại khó có thể phát hiện là dữ liệu
của họ đang bị đọc lén. Do đó việc có một công cụ có thể phát hiện được việc đọc lén
đang diễn ra trên mạng này là vô cùng quan trong. Đó chính là lý do để em chọn đề tài
“Nghiên cứu kỹ thuật đọc lén dữ liệu trong mạng LAN dùng phương pháp ARP
poisoning và xây dựng công cụ phát hiện đọc lén”.
Với mục đích tạo ra một công cụ giúp ích cho việc phát hiện đọc lén nhằm phần
nào đó có thể đưa ra những cảnh báo về hiện trạng mạng có bị đọc lén hay không, qua
đó người dùng có thể có những giải pháp để hạn chế việc dữ liệu nhạy cảm bị đọc lén.
Thông qua đề tài, em có thể nắm bắt những giải pháp, kỹ thuật cơ chế đọc lén dữ liệu,
từ đó có thể tạo ra công cụ của riêng mình. Những kiến thức thu được qua đề tài sẽ
giúp em rất nhiều trong tương lai sau này.
Nội dung của đề tài này gồm có:
 Chương 1: Các phương pháp đọc lén dữ liệu trên mạng LAN.
 Chương 2: Cơ chế đọc lén dùng phương pháp ARP poisoning.
 Chương 3: Xây dựng công cụ phát hiện đọc lén trên mạng LAN.
 Phần kết luận và các tài liệu tham khảo.


cảm như mật khẩu email, website, telnet, ftp, sql, …, dữ liệu trong email, các tập tin
được lưu chuyển trên mạng.

1.3. Hoạt động của sniffing.
Khi một máy tính kết nối vào một mạng nội bộ - LAN (Local Area Network) sẽ
có 2 địa chỉ. Một là địa chỉ MAC (Media Access Control), đây là địa chỉ riêng biệt
được gán cho mỗi card mạng – NIC (Network Interface Controller). Địa chỉ MAC
được sử dụng bởi giao thức Ethernet khi tạo ra các khung truyền – frames để lưu
chuyển dữ liệu trong mạng. Một địa chỉ khác là địa chỉ IP (Internet Protocol). Lớp
Data Link - Data Link Layer dùng Ethernet header với địa chỉ MAC làm đại chỉ nguồn
– source address và địa chỉ đích – destination address. Lớp Network – Network Layer
có nhiệm vụ lập ra bảng ánh xạ một địa chỉ IP với một địa chỉ MAC theo yêu cầu của
Data Link Protocol. Nó sẽ tra cứu địa chỉ MAC của máy đích trong ARP (Address
Resolution Protocol) cache. Nếu không có entry nào được tìm thấy cho địa chỉ MAC
tương ứng với địa chỉ IP, gói tin ARP request sẽ được gửi broadcast đến tất cả các máy
Trang 2


Đồ án tốt nghiệp Đại học

Chương 1: Các phương pháp đọc lén dữ liệu trên mạng LAN

tính trong mạng. Máy tính với địa chỉ IP đó sẽ gửi gói tin ARP reply với địa chỉ MAC
của nó. Địa chỉ MAC này sẽ được thêm vào trong ARP cache của máy yêu cầu.
Các hacker sẽ sử dụng các gói tin đọc lén (hoặc giả mạo) lan truyền vào trong mạng
thông qua hub hoặc switch.
Attacker có thể bắt và phân tích tất cả các traffic của người dùng trong mạng.
Để thực hiện attacker – sniffer sẽ chuyển card mạng – NIC (Network Interface
Controller) của máy tính sang chế độ hỗn tạp – Promiscuous mode để có thể lắng nghe
tất cả dữ liệu đang lưu chuyển trong mạng. Sau đó sniffer có thể đọc được toàn bộ nội

động. Để sniff trên switch sniffer sẽ gửi các gói tin giả mạo nhằm mục đích thu thập
dữ liệu trên mạng. Các phương thức tấn công trên switch MAC flooding, DNS
(Domain Name System) flooding, ARP poisoning, DHCP (Dynamic Host
Configuration Protocol) attacks, Password sniffing, Spoofing attack.

Hình 1.2. Mạng Switched Ethernet.
Các giao thức dễ bị tấn công sniffing
 Telnet & Rlogin: Thăm dò Username và Password.
 HTTP (Hypertext Tranfer Protocol): Dữ liệu gửi dưới dạng clear text.
 SMTP (Simple Mail Tranfer Protocol): Password và dữ liệu gửi dưới dạng clear
text.
 NNTP (Network News Tranfer Protocol): Password và dữ liệu gửi dưới dạng
clear text.
 POP (Post Office Protocol): Password và dữ liệu gửi dưới dạng clear text.
 FTP (Files Tranfer Protocol): Password và dữ liệu gửi dưới dạng clear text.
Trang 4


Đồ án tốt nghiệp Đại học

Chương 1: Các phương pháp đọc lén dữ liệu trên mạng LAN

 IMAP (Internet Message Access Protocol): Password và dữ liệu gửi dưới dạng
clear text.


1.6. Các phương pháp sniffing trên mạng LAN.
1.6.1. MAC attack.
Bảng CAM dùng để lưu trữ các địa chỉ MAC đang hoạt động trên Port
cùng thông số VLAN tương ứng.

Hoạt động của DHCP:
DHCP server cấp phát, quản lý thông tin cấu hình TCP/IP của các client
như địa chỉ IP, default gateway, dns server, và khoảng thời gian được cấp phát.

Hình 1.4. Hoạt động của DHCP.
 DHCP client gửi broadcast gói DHCP Discover ra toàn mạng để
tìm DHCP server.
 DHCP server sẽ trả lời client bằng gói DHCP Offer hỏi những
tham số client muôn nhận.
 DHCP client gửi gói DHCP request với các tham số yêu cầu.
 DHCP server gửi gói DHCP ACK cho client với các tham số cấu
hình cần thiết.
Gói tin

Tác dụng

DHCP Discover

Client broadcast để xác định DHCP server.

DHCP Offer

Server trả lời gói DHCP Discover bằng gói Offer hỏi những
tham số client muốn nhận.

DHCP Request

Client có thể gửi về server: các tham số cần xin cấp, xác nhận
lại việc sử dụng địa chỉ trước đó, gia hạn thêm thời gian sử dụng


Attacker broadcast gói tin DHCP request cho toàn bộ dải IP và cố
lấy tất cả các IP có thể cấp về mình.
Đây là phương thức tấn công từ chối dịch vụ - DoS (Denial of
Service) dựa trên gói tin DHCP.
Giả mạo DHCP Server – Rogue DHCP Server Attack:
Attacker giả mạo DHCP Server cấp thông tin cấu hình TCP/IP
cho client. Khi Client gửi broadcast gói tin DHCP Discover ra toàn
mạng, attacker nhận được gói tin này sẽ gửi gói DHCP offer để mạo
nhận rằng mình là DHCP server, sau đó Client sẽ gửi gói DHCP request
để yêu cầu thông tin cấu hình, và attacker gửi trả về client gói tin DHCP
ACK với các thông tin cấu hình sai lệch như: attacker làm gatewat, dns
server, …
Phòng thủ DHCP Starvation và Rogue DHCP Server Attack:
Sử dụng Port security ngăn chặn DHCP Starvation Attack.
Sử dụng tính năng DHCP snooping ngăn chặn Rogue DHCP
Server Attack. DHCP snooping cho phép cấu hình port dưới 2 dạng
trusted và untrusted. Untrusted port sẽ loại bỏ bản tin DHCP reply đi vào
nó. Trusted port sẽ chấp nhận DHCP reply vào.
1.6.3. Spoofing Attack.
MAC spoofing/duplicating
Hiện tượng nhân bản của một địa chỉ MAC dựa vào các công cụ
sniff hệ thống mạng nhằm lấy địa chỉ MAC hợp pháp của Client khi
tham gia vào mạng. Bằng cách lắng nghe trên mạng, một user giả mạo
có thể sử dụng địa chỉ MAC của user hợp lệ để thu thập các gói tin gửi
cho user hợp lệ này.

Trang 7


Đồ án tốt nghiệp Đại học

 Block các DNS request tới External DNS server.
 Triển khai DNSSEC (Domain Name System Security
Extensions).
 Cấu hình cho người dùng một port ngẫu nhiên làm source port
(nằm trong khoảng định sẵn) cho mỗi gói query gửi đi.
 Cấu hình Firewall loại bỏ các gói tin DNS đi ra External DNS
server.
Trang 8


Đồ án tốt nghiệp Đại học

Chương 1: Các phương pháp đọc lén dữ liệu trên mạng LAN

 Hạn chế sử dụng dịch vụ DNS, bằng cách phân quyền cho user.
 Sử dụng hạn chế tần suất DNS Non-Existent Domain
(NXDOMAIN).

Trang 9


Đồ án tốt nghiệp Đại học

Chương 2: Cơ chế đọc lén dùng phương pháp ARP poisoning

CHƯƠNG 2: CƠ CHẾ ĐỌC LÉN DÙNG PHƯƠNG PHÁP ARP
POISONING.
2.1. Giao thức ARP (Address Resolution Protocol).
Địa chỉ MAC là một địa chỉ vật lý được gán cho mỗi thiết bị mạng và đó là địa
chỉ duy nhất. Các thiết bị trong cùng một mạng dùng địa chỉ MAC này để liên lạc với

thiết bị nguồn.
Mục đích của Request và Reply là tìm ra địa chỉ MAC phần cứng có liên quan
tới địa chỉ IP đã gửi để lưu lượng có thể đến được đích của nó trong mạng.
Khi thực hiện một quá trình ARP, trước hết thiết bị phát phải xác định xem địa
chỉ IP đích của gói tin có phải nằm cùng trong mạng nội bộ của mình hay không.Nếu
đúng vậy thì thiết bị sẽ gửi trực tiếp gói tin đến thiết bị đích. Nếu địa chỉ IP đích nằm
trên mạng khác, thì thiết bị sẽ gửi gói tin đến một trong các router nằm cùng trên mạng
nội bộ để router này làm nhiệm vụ forward (chuyển tiếp) gói tin.
2.2.1. Cơ chế hoạt động của ARP trong mạng LAN.
Nhằm giúp dễ hiểu hơn cho cơ chế hoạt động của ARP trong mạng LAN,
nhóm đưa ra một ví dụ sau:
 Thiết bị A khi muốn truyền tin sẽ thực hiện chuyển các gói tin dạng Packets
(tại tầng Network) xuống tầng Datalink để đóng gói gói tin vào Frames
(trong đó có địa chỉ MAC).
 Khi A muốn gửi gói tin này đến một thiết bị khác (ví dụ như X). Nhưng
hiện tại, thiết bị A chỉ biết địa chỉ IP của X, mà không biết địa chỉ MAC của
X là gì, khi đó thiết bị A phải thực hiện dò tìm. (Ghi chú: Trước khi dò tìm,
A chưa biết X là thiết bị nào).
 Để thực hiện dò tìm, A sẽ gửi một ARP Request (bao gồm địa chỉ MAC
của A và địa chỉ IP của X)lên toàn bộ một miền broadcast, tức là gửi cho
nhiều thiết bị khác trong cùng mạng LAN để hỏi rằng: "Địa chỉ MAC của
thiết bị có địa chỉ IP này là gì ?".
 Sau khi nhận được ARP Request, mỗi một thiết bị trong miền broadcast sẽ
tiến hành so sánh địa chỉ IP nhận được với địa chỉ IP của mình.
• Nếu không trùng khớp, các thiết bị này sẽ loại bỏ thông tin của ARP
Request này.
• Nếu trùng khớp và đúng là IP của nó (thiết bị X), thì X sẽ gửi trả lại cho A
một ARP Reply (có chứa thông tin địa chỉ MAC của mình). (Ghi chú:
ARP Reply này thuộc dạng unicast, tức chỉ gửi cho một thiết bị cụ thể là
thiết bị phát).

địa chỉ MAC của máy B.
 Nhận thấy địa chỉ IP được gửi là của mình, máy B sẽ trả lời (ARP Reply) cho
Router biết địa chỉ MAC của mình. Sau khi nhận được địa chỉ MAC của máy
B, Router C gửi gói tin của A đến cho B.
Trong cả hai trường hợp trên (cùng mạng LAN hay liên mạng), các thiết bị đều
phải gửi gói tin IP đến một thiết bị có IP khác trên cùng mạng nội bộ để tìm địa
chỉ MAC. Việc gửi gói tin trong cùng mạng thông qua Switch là dựa vào địa chỉ
MAC hay địa chỉ phần cứng của thiết bị. Sau khi gói tin được đóng gói thì mới bắt
đầu được chuyển qua quá trình phân giải địa chỉ ARP và được chuyển đi.

Trang 12


Đồ án tốt nghiệp Đại học

Chương 2: Cơ chế đọc lén dùng phương pháp ARP poisoning

Hình 2.2. Cơ chế hoạt động của quá trình truyền thông ARP.
2.3. ARP Cache.
ARP là một giao thức phân giải địa chỉ động. Quá trình gửi gói tin Request và
Reply sẽ tiêu tốn băng thông mạng. Chính vì vậy, càng hạn chế tối đa việc gửi gói tin
Request và Reply sẽ càng góp phần làm tăng khả năng hoạt động của mạng.Từ đó sinh
ra nhu cầu của ARP Caching, nghĩa là lưu lại thông tin của các gói tin vào bộ nhớ
đệm ARP Cache.
ARP Cache tĩnh và động (Static and Dynamic ARP Cache Entries)
ARP cache có thể coi như một bảng có chứa một tập tương ứng giữa các
phần cứng và địa chỉ IP. Mỗi một thiết bị trên một mạng đều có ARP cache của
riêng mình. Có hai cách lưu giữ các entry trong Cache để phân giải địa chỉ diễn
ra nhanh. Đó là:
 ARP Cache tĩnh (Static ARP Cache Entries): Ở đây, sự phân giải địa

Việc giả mạo bảng ARP Cache chính là lợi dụng bản tính không an toàn
của giao thức ARP. Không giống như các giao thức khác, chẳng hạn như DNS
(có thể được cấu hình để chỉ chấp nhận các nâng cấp động khá an toàn), các
Trang 14


Đồ án tốt nghiệp Đại học

Chương 2: Cơ chế đọc lén dùng phương pháp ARP poisoning

thiết bị sử dụng giao thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ
lúc nào.
Điều này có nghĩa là bất cứ thiết bị nào cũng có thể gửi gói ARP Reply
đến một máy tính khác và máy tính này sẽ cập nhật vào bảng ARP Cache của
nó ngay giá trị mới này. Việc gửi một gói ARP Reply khi không có bất cứ một
Request nào được tạo ra có thể được gọi nôm na là việc gửi ARP "vu vơ". Khi
các ARP Reply vu vơ này đến được các máy tính đã gửi Request, máy tính
Request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để truyền
thông, và nó sẽ thực hiện update bảng ARP Cache của mình mà không hề biết
là nó đang truyền thông với một kẻ tấn công.
 Cơ chế tấn công giả mạo ARP Cache.
Cơ chế tấn công giả mạo ARP Cache cụ thể sẽ như sau:
Giả sử trong một mạng LAN có 4 thiết bị (máy tính) như sau:
•

Victim A: là máy phát ARP Request, và cũng là một trong hai nạn nhân
trong cuộc tấn công ARP Cache.
ARP Cache của Victim A
IP
10.0.0.09

Btrao đổi đều bị chụp lại để xem trộm. Khi đó, cuộc tấn công sẽ xảy ra
như sau:
• Đầu tiên, Victim A muốn gửi dữ liệu cho Victim B, Victim A cần phải biết
địa chỉ MAC của Victim B để liên lạc. Khi đó, Victim A sẽ gửi broadcast
ARP Request tới tất cả các máy trong cùng mạng LAN để hỏi xem địa chỉ
IP 10.0.0.10 (IP của Victim B) có địa chỉ MAC là bao nhiêu.Thông tin có
chứa trong ARP Request do A gửi sẽ là:

Nội dung gói ARP Request của A
IP Victim B
10.0.0.10
MAC A
ff-ff-ff-ff-00-09
• Lúc này, Victim B và Attacker đều nhận được gói tin ARP Request
doVictim A gửi đến. Tuy nhiên, chỉ có Victim B gửi lại gói tin ARP Reply
(bao gồm các thông tin về IP của Victim B, MAC của Victim B và MAC
của Victim A) lại cho Victim A, bởi vì chỉ có B là có IP giống với IP trong
gói ARP Request của A.

Nội dung gói ARP Reply của B
IP Victim B
10.0.0.10
MAC Victim B
ff-ff-ff-ff-00-10
MAC A
ff-ff-ff-ff-00-09
• Sau khi nhận được gói tin ARP Reply từ Victim B, Victim A sẽ biết được
địa chỉ MAC của Victim B, và thực hiện lưu địa chỉ MAC này vào Cache
của mình (tức ARP Cache máy A). Sau đó, Victim A bắt đầu thực hiện liên
lạc, truyền dữ liệu tới Victim B dựa trên thông tin địa chỉ MAC vừa lưu. Khi