TRƯỜNG CĐ CNTT HỮU NGHỊ VIỆT HÀN

KHOA KHOA HỌC MÁY TÍNH



BÁO CÁO ĐỒ ÁN MÔN HỌC

AN NINH MẠNG

Đề tài Tìm hiểu an ninh mạng và thuật

: về kỹ
Sniffer

Giáo viên: Thạc sĩ Lê Tự Thanh

Lớp : MM03A – Nhóm 5
Sinh viên thực hiện : Lê Long Bảo
Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
Đà Nẵng, tháng 2 năm 2012

LỜI CẢM ƠN

Để hoàn thành đồ án chuyên đề này, lời đầu tiên em xin chân thành cảm ơn các
thầy giáo, cô giáo Khoa Khoa học máy tính, những người đã dạy dỗ, trang bị cho em
những kiến thức bổ ích trong năm học vừa qua.
Em xin bày tỏ lòng biết ơn sâu sắc nhất tới thầy Lê Tự Thanh, người đã tận tình
hướng dẫn em trong suốt quá trình làm đồ án
Một lần nữa em xin chân thành cảm ơn sự giúp đỡ của các thầy cô

Đà nẵng, ngày 10 tháng 3 năm 2012

Nhóm 5 – Lê Long Tra 2

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer

MỤC LỤC

Nhóm 5 – Lê Long Tra 3

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer

DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT

Ký hiệu Ý nghĩa
Sniffing Nghe lén
DHCP Dynamic Host Configuration Protocol
DNS Domain Name System
ARP Address Resolution Protocol
MAC Media Access Control
Rouge Giả mạo
Fake Lừa đảo
CAM Content Addressable Memory

Nhóm 5 – Lê Long Tra 4

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer

DANH MỤC HÌNH VẼ

LỜI MỞ ĐẦU

Trong thời đại “phẳng” như ngày nay, vai trò của Công Nghệ Thông Tin và

Internet vô cùng quan trọng. Điều này kéo theo nhiều ngành kinh tế phụ thuộc vào cái
máy tính. Chính vì vậy, nhiều ý đồ phá hoại đã nhắm vào hệ thống máy tính.
Nhiều website của các doanh nghiệp, công ty bảo mật hàng đầu trên thế giới đều
bị hacker tấn công, gây tổn thất lớn về nguồn tài chính cho doanh nghiệp. Tình hình an
ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo động đỏ” của an ninh
mạng Việt Nam và thế giới khi có nhiều lỗ hổng an ninh mạng nghiêm trọng được phát
hiện, hình thức tấn công thay đổi và có rất nhiều cuộc tấn công của giới tội phạm công
nghệ cao vào các hệ thống công nghệ thông tin của doanh nghiệp và chính phủ.
Với mục đích nghiên cứu và tìm hiểu nguyên lý, cơ chế của các cuộc tấn công
của hacker nói chung, và từng kỹ thuật tấn công nói riêng, em chọn đề tài tìm hiểu về kỹ
thuật tấn công Sniffing, đề tài gồm 3 chương:
Chương 1: Tổng quan về an ninh mạng.
Chương 2: Tổng quan về Sniffer và các phương thức tấn công
Chương 3: Demo tấn công bằng kỹ thuật Sniffing

Nhóm 5 – Lê Long Tra 5

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
Cuối cùng là phần kết luận và tài liệu tham khảo

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG

1.1. TẦM QUAN TRỌNG CỦA AN NINH MẠNG

1.1.1. Bản tin về bảo mật
Hacker Trung Quốc tấn công các trang web của Mỹ bao gồm cả Google. Một báo
cáo mới đây của tờ NEW YORK TIMES đã chỉ ra rằng, với sự hỗ trợ của chính quyền
Trung Quốc hacker đã tiến hành hack máy tính rộng rãi trên các cơ quan chính phủ Mỹ và
cả các công ty, bao gồm cả mạng lưới máy tính của Google.
Theo một cuộc kiểm tra 250.000 điện tín ngoại giao được công bố bởi
WikiLeaks.org của báo chí Mỹ cho thấy rằng các cuộc tấn công bởi tin tặc nhắm vào các
bộ cơ quan cấp cao, nhằm mục đích lấy một lượng lớn các thông tin quân sự của chính
phủ Mỹ. Một cuộc tấn công không được công bố trước đó của hacker Trung Quốc được
sự chỉ đạo của Đảng Cộng Sản trong năm 2008 đã đánh cắp hơn 50 triệu email, tên
người dùng và mật khẩu từ một cơ quan chính phủ Mỹ.
Một dấu hiệu cho thấy an ninh mạng cần được nâng cao nhanh chóng, hai công
ty, McDonal Corp và Walgreen Co, cho biết họ đã bị tấn công trong tuần qua, cùng với
công ty truyền thông Hoa Kỳ. Sau báo cáo MasterCard và Visa, bị tấn công tuần trước

Nhóm 5 – Lê Long Tra 6

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
bởi một nhóm hacker Pro – WikiLeaks, được biết đến với tên là “vô danh”, McDonal
cho biết hệ thống của mình đã bị tấn công và các thông tin khách hàng bao gồm email,
thông tin liên lạc, ngày sinh và thông tin chi tiết khác đã bị đánh cắp.
Các cuộc tấn công chống lại Visa và MasterCard đã làm tê liệt trang web của công
ty họ trong nhiều giờ, nhưng sau đó mặc dù các cuộc tấn công trên đã được ngăn chặn
và phát hiện nhưng các trang web bán lẻ sử dụng phương pháp tương tự, nó đã không
có tác dụng, các dữ liệu bất hợp pháp tràn lan đã được chặn bởi mạng lưới toàn cầu
của Akamai Technologies.
Tin tặc đã đột nhập vào trang web của NewYork Tour Company và khoảng
110.000 số thẻ ngân hàng bị đánh cắp, họ đã phá vỡ bằng cách sử dụng một cuộc tấn
công SQL Injection trên trang này. Trong cuộc tấn công SQL Injection, tin tặc tìm cách để
chèn lệnh cơ sở dữ liệu thực sự vào máy chủ bằng cách sử dụng Web, họ làm điều này
bằng cách thêm vào văn bản thiết kế đặt biệt vào các hình thức webbase hoặc các hộp
tìm kiếm được sử dụng để truy vấn cơ sở dữ liệu.
1.1.2. Các website và hệ thống Server liên tục bị tấn công
Hiệp hội an toàn thông tin Việt Nam cho biết: “Việt Nam là 1 trong 5 nước có
nguy cơ mất an toàn thông tin cao nhất”.
Hiện số thuê bao Internet chiếm gần 32% dân số Việt Nam. Đa số các doanh
nghiệp và các tổ chức có hệ thống mạng và website giới thiệu, quảng bá thương hiệu,
với gần 200.000 tên miền .vn, và hàng triệu tên miền thương mại. Có rất nhiều doanh
nghiệp đã ứng dụng thanh toán trưc tuyến vào công việc kinh doanh và giao dịch.
Thế nhưng, mạng Internet Việt Nam còn rất nhiều tiềm ẩn, nguy cơ về an ninh
an toàn thông tin. Năm 2010 được đánh giá là năm thực sự nóng bỏng của an ninh an
toàn thông tin trên thế giới chung và an ninh mạng Việt Nam nói riêng. Hàng loạt website
lớn bị tấn công với mức độ phức tạp ngày càng gia tăng. Ở nước ta, theo đánh giá của
một số chuyên gia về an ninh mạng, các tên miền .vn đang đứng hàng thứ 3 trong bảng
xếp hạng các tên miền có nguy cơ bị tấn công. Cách đây chưa lâu, cuộc tấn công quy mô
lớn, liên tục và kéo dài đã phá hủy hầu như gần hết cơ sở dữ liệu đã lưu trữ 10 năm
của báo Vietnamnet.

Nhóm 5 – Lê Long Tra 7

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
Các cuộc tấn công trên mạng chủ yếu có mục tiêu vụ lợi, có tổ chức và mang tính
quốc tế đang nở rộ với quy mô lớn. Thủ phạm các cuộc tấn công nhằm vào các website
có trình độ cao, hình thức tấn công tinh vi, chuyên nghiệp và rất khó chống đỡ. Mục tiêu
của hacker không chỉ là các tổ chức, doanh nghiệp tài chính, ngân hàng mà là tất cả hệ
thống. Các cuộc tấn công trên là một lời cảnh báo về an toàn thông tin đối với các báo
điện tử và những website quan trọng của Việt Nam.
Năm 2011, đã có 38.961 dòng virus xuất hiện mới, lây lan nhiều nhất là virus
W32.Sality.PE. Virus này đã lây nhiễm trên 4.2 triệu lượt máy tính. Cũng trong 2011, đã
có 2,245 website của các cơ quan, doanh nghiệp tại Việt Nam bị tấn công, tính trung bình
mỗi tháng có 187 website bị tấn công.
Năm 2011 là năm của các cuộc tấn công mạng, liên tiếp xảy ra các cuộc tấn công
với các hình thức khác nhau vào hệ thống của các tổ chức, doanh nghiệp tại Việt Nam.
Có những cuộc tấn công xâm nhập trái phép phá hoại cơ sở dữ liệu hoặc deface các
website. Cũng có những cuộc tấn công DDOS làm tê liệt hệ thống trong thời gian dài.
Tấn công cướp tên miền của doanh nghiệp cũng đã diễn ra liên tiếp. Nguy hiểm hơn,
cũng đã xuất hiện nhiều cuộc tấn công âm thầm, cài đặt virus gián điệp đánh cắp tài
liệu của các cơ quan quan trọng
1.1.3. Nhu cầu về an ninh mạng
Tại TP.HCM, số lượng các trường đào tạo về ngành An ninh mạng chưa nhiều,
nên số lượng nhân lực nhìn chung không đáp ứng đủ nhu cầu. Nhân lực ngành An Ninh
Mạng hiện nay lại vừa thiếu về số lượng vừa không mạnh mẽ về chuyên môn.
Căn cứ trên số liệu của Trung tâm Dự báo nhu cầu nhân lực và Thông tin thị
trường lao động TP.HCM trong giai đoạn 2011-2015, mỗi năm thành phố cần từ 8.000
-10.000 nhân lực ngành CNTT. Trong đó, ngành Hệ thống thông tin – An ninh mạng cần
khoảng 1.000 người, 50% số này cần có trình độ chuyên môn giỏi. Nhu cầu tuyển dụng
ngành CNTT năm 2011 vừa qua tăng 21,21% so với năm 2010 và tiếp tục có xu hướng
tăng trong những năm tới.
Đa số các Doanh nghiệp Việt Nam hiện nay đã ý thức được tầm quan trọng của
việc bảo đảm an toàn các thông tin trên hệ thống mạng vì đó chính là tài sản của Doanh
nghiệp. Đặc biệt là trong thời buổi mà hoạt động kinh doanh đang phát triển theo hướng

Nhóm 5 – Lê Long Tra 8

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
số hóa. Thất thoát thông tin cũng đồng nghĩa với việc túi tiền của Doanh nghiệp bị hao
hụt.
Các giao dịch ở VN và trên thế giới hiện tại và tương lai đa số diễn ra trên
mạng. Việc bảo mật thông tin thật sự vô cùng quan trọng. Trong năm 2008, có nhiều sự
kiện lớn đối với ngành an ninh mạng tại VN. Sự cố bảo mật của nhà cung cấp tên miền
PA Việt Nam hay vụ website ngân hàng Techcombank bị đột nhập là những ví dụ nổi
bật. Nó cho thấy an ninh mạng đang là vấn đề nóng sốt với nhiều doanh nghiệp ứng
dụng CNTT tại VN hiện nay. Nguyên nhân chính là do nguồn nhân lực chuyên gia an
ninh mạng hiện vừa thiếu về số lượng lại vừa yếu chuyên môn.
Chỉ tính riêng thống kê của Hiệp hội Ngân hàng và chứng khoán VN, số lượng chi
nhánh ngân hàng và các công ty chứng khoán ở VN đã trên mức hàng ngàn. Hoạt động
của các công ty chứng khoán và ngân hàng đều dựa trên hệ thống CNTT. Giao dịch giữa
các ngân hàng với nhau, giữa ngân hàng với khách hàng… đều thông qua mạng Internet.
Ông Võ Đỗ Thắng, giám đốc một trung tâm đào tạo quản trị và an ninh mạng, cho
biết: “Lực lượng nhân sự an ninh mạng chuyên trách chống các hacker xâm nhập hệ
thống ở các ngân hàng, công ty chứng khoán rất mỏng. Nhiều chi nhánh ngân hàng chỉ có
bộ phận giao dịch mà không có nhân viên an ninh mạng. Việc này sẽ rất nguy hiểm vì
hacker có thể xâm nhập hệ thống của các chi nhánh này, rồi từ chi nhánh này sẽ xâm
nhập toàn bộ hệ thống CNTT của chính ngân hàng đó”.
Không chỉ thiếu về số lượng, trình độ chuyên môn chung của đội ngũ chuyên gia
an ninh mạng hiện cũng rất thấp. Theo ông Nguyễn Thanh Tú, giám đốc điều hành một
công ty chuyên cung cấp các giải pháp an ninh mạng, có nhiều nguyên nhân: chất lượng
đào tạo chuyên sâu về công nghệ bảo mật chưa đạt yêu cầu; môi trường ứng dụng giải
pháp bảo mật tại các doanh nghiệp còn hạn chế. Cũng theo ông, vấn đề an ninh mạng
của doanh nghiệp hiện nay là thiếu nhân lực chuyên môn chứ không chỉ là giải pháp.
Giám đốc một doanh nghiệp thương mại điện tử chia sẻ: “Nhân lực cho vấn đề này rất
khó, bởi mặt bằng năng lực của đội ngũ này hiện còn rất thấp”.
Nếu tính một phép tính đơn giản, VN có hàng ngàn chi nhánh ngân hàng, hàng
ngàn cơ
quan chính phủ trải đều khắp 64 tỉnh thành trong cả nước, và trên 200.000
doanh nghiệp tư nhân có ứng dụng CNTT trong hoạt động kinh doanh, quản lý và sản

Nhóm 5 – Lê Long Tra 9

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
xuất; mỗi đơn vị cần bình quân một nhân viên phục vụ việc quản trị và an ninh mạng thì
số lượng nhân sự an ninh mạng cần đáp ứng ngay cho thị trường lao động VN phải tính
trên chục ngàn. Số lượng này là một thách thức rất lớn cho ngành đào tạo CNTT VN
thời gian tới.
1.2. CÁC YẾU TỐ VỀ AN NINH MẠNG

Hình 1.1. Báo cáo về tội phạm Internet

Hình 1.2. Báo cáo điều tra vi phạm dữ liệu

Nhóm 5 – Lê Long Tra 1

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer

Hình 1.3. Số lượng dữ liệu bị đánh cắp

1.3. HACKER VÀ ẢNH HƯỞNG CỦA VIỆC HACK
1.3.1. Hacker họ là ai
Là một người thông minh với kỹ năng máy tính xuất sắc, có khả năng tạo ra hay
khám phá các phần mềm và phần cứng của máy tính. Đối với một số hacker, hack là
một sở thích để chứng tỏ họ có thể tấn công rất nhiều máy tính hoặc mạng.
Mục đích của họ có thể là tìm hiểu kiến thức hoặc phá hoại bất hợp pháp. Một
số mục đích xấu của hacker như đánh cắp dữ liệu kinh doanh, thông tin thẻ tín dụng, sổ
bảo hiểm xã hội, mật khẩu, email…
1.3.2. Các loại hacker
Black Hats: là người có kỹ năng tính toán xuất sắc, sử dụng thành thạo các công
cụ và máy tính, có các hoạt động phá hoại, ví dụ như crackers.
White Hats: người biết nhiều kỹ năng của hacker, và sử dụng chúng cho mục đích
phòng thủ, ví dụ như là chuyên gia phân tích an ninh mạng.
Gray Hats: là người làm cả 2 việc, tấn công và phòng thủ ở những thời điểm khác
nhau.

Nhóm 5 – Lê Long Tra 1

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
Suicide Hackers: người tấn công các cơ sở hạ tầng quan trọng mà không quan tâm
đến phải chịu 30 năm tù vì các hành vi của mình.
1.3.3. Ảnh hưởng của việc hack
Theo công ty nghiên cứu an ninh quốc gia Symantec, các cuộc tấn công của hacker
gây thiệt hại cho các doanh nghiệp lớn khoảng 2,2 triệu $ mỗi năm. Hành vi trộm cắp
thông tin cá nhân của khách hàng có thể làm giảm danh tiếng của doanh nghiệp dẫn tới
các vụ kiện. Hack có thể làm 1 công ty bị phá sản. Botnet có thể được sử dụng để khởi
động các loại Dos và các cuộc tấn công dựa trên web khác dẫn đến các doanh nghiệp bị
giảm doanh thu. Kẻ tấn công có thể ăn cắp bí mật công ty, thông tin tài chính, hợp đồng
quan trọng và bán chúng cho các đối thủ cạnh tranh.
1.4. CÁC LOẠI TẤN CÔNG MẠNG
1.4.1. Tấn công hệ điều hành
Những kẻ tấn công tìm kiếm các lỗ hổng hệ thống và khai thác chúng để được
truy cập vào một hệ thống mạng. Một số lỗi hệ điều hành như
- Tràn bộ đệm
- Lỗi trong hệ điều hành
- Hệ thống chưa được vá hệ điều hành
1.4.2. Tấn công cấu hình sai
Các thông tin cấu hình của hệ thống bị chỉnh sửa, cấu hình sai bởi người quản trị
hoặc bị nhiễm virus, giúp hacker tận dụng những lỗ hổng này để khai thác và xâm nhập
vào hệ thống như chỉnh sửa sai DNS, thông tin cấu hình ip…
1.4.3. Tấn công các cấp độ ứng dụng
Phần mềm ứng dụng đi kèm với nhiều chức năng và cả tính năng, nhưng chưa
kiểm tra lỗi kỹ dẫn đến lỗ hổng để hacker khai thác, bao gồm các cuộc tấn công như:
- Tràn bộ đệm
- XSS
- Tấn công từ chối dịch vụ
- Lừa đảo
- Chiếm quyền điều khiển
- Man-in-Middle attack

Nhóm 5 – Lê Long Tra 1

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer

CHƯƠNG 2: TỔNG QUAN VỀ SNIFFER VÀ CÁC PHƯƠNG

THỨC TẤN CÔNG

2.1. GIỚI THIỆU VỀ SNIFFING

2.1.1. Sniffing là gì
Nghe lén (Sniffing) được hiểu đơn giản là một chương trình cố gắng nghe ngóng
các lưu lượng thông tin trên một hệ thống mạng. Là một tiến trình cho phép giám sát
cuộc gọi và hội thoại internet bởi thành phần thứ ba.
Người nghe lén để thiết bị lắng nghe giữa mạng mang thông tin như hai thiết bị
điện thoại hoặc hai thiết bị đầu cuối trên internet. Nghe lén được sử dụng như công cụ
để các nhà quản trị mạng theo dõi và bảo trì hệ thống mạng. Về mặt tiêu cực, nó được
sử dụng như một công cụ với mục đích nghe lén các thông tin trên mạng để lấy các
thông tin quan trọng.
Nghe lén dựa vào phương thức tấn công ARP để bắt các gói thông tin được
truyền qua mạng. Tuy nhiên những giao dịch giữa các hệ thống mạng máy tính thường
là những dữ liệu ở dạng nhị phân. Bởi vậy để hiểu được những dữ liệu ở dạng nhị

Nhóm 5 – Lê Long Tra 1

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
phân này, các chương trình nghe lén phải có tính năng phân tích các nghi thức, cũng như
tính năng giải mã các dữ liệu ở dạng nhị phân để hiểu được chúng.
2.1.2. Sniffing thường xảy ra ở đâu
Nghe lén chủ yếu xảy ra ở mặt vật lý. Nghĩa là kẻ tấn công phải tiếp cận và có
thể điều khiển một thành phần của hệ thống mạng, chẳng hạn như một máy tính nào
đó. Ví dụ kẻ tấn công có thể dùng laptop hoặc PC trong các dịch vụ internet, các quán
cafe Wifi, trong hệ thống mạng nội bộ doanh nghiệp.
Trường hợp hệ thống máy tính nghe trộm và kẻ tấn công ở cách xa nhau, kẻ tấn
công tìm cách điều khiển một máy tính nào đó trong hệ thống mạng rồi cài đặt trình
nghe lén vào máy đó để thực hiện nghe trộm từ xa.
2.1.3. Các mối đe dọa về nghe lén
Bằng cách đặt gói tin trên mạng ở chế độ đa mode, kẻ tấn công có thể bắt và
phân tích tất cả lưu lượng, thông tin mạng. Các gói tin nghe lén có thể chỉ bắt những
thông tin trên cùng 1 miền mạng. Nhưng thông thường thì laptop có thể tham gia vào
mạng và thực thi. Hơn thế nữa, trên switch có nhiều port được mở nên nguy cơ về
nghe lén là rất cao.
Hiện nay, nghe trộm mạng được thực hiện rất dễ dàng, bởi có quá nhiều công cụ
giúp thực hiện như Cain&Able, Ettercap, Ethereal, Dsniff, TCPDump, Sniffit,…Các công
cụ này ngày càng được tối ưu hóa, để dễ sử dụng và tránh bị phát hiện khi được thực
thi. So với các kiểu tấn công khác, tấn công dạng Sniffing cực kỳ nguy hiểm, bởi nó có
thể ghi lại toàn bộ thông tin được truyền dẫn trên mạng, và người sử dụng không biết
là đang bị nghe lén lúc nào do máy tính của họ vẫn hoạt động bình thường, không có dấu
hiệu bị xâm hại. Điều này dẫn đến việc phát hiện và phòng chống nghe trộm rất khó, và
hầu như chỉ có thể phòng chống trong thế bị động (Passive) – nghĩa là chỉ phát hiện
được bị nghe trộm khi đang ở tình trạng bị nghe trộm.
2.1.4. Cơ chế hoạt động chung của Sniffing

Nhóm 5 – L ê Long Bảo 14

Trang
Tìm hiểu về an ninh mạng và kỹ thuật Sniffer

Hình 2.1. Cơ chế hoạt động Sniffing

Để hiểu cơ chế hoạt động thì cần hiểu được nguyên tắc chuyển tải các khung
(frame) của lớp Datalink từ các gói tin ở lớp Network trong mô hình OSI. Cụ thể là qua
hai loại thiết bị tập trung các node mạng sử dụng phổ biến hiện nay là Hub và Switch.
Ở môi trường Hub: Một khung gói tin khi chuyển từ máy A sang máy B thì đồng
thời nó gửi đến tất cả
các máy khác đang kết nối cùng Hub theo chế loan tin
cơ
(broadcast). Các máy khác nhận được gói tin này sẽ tiến hành so sánh yêu cầu về địa chỉ
MAC của frame gói tin với địa chỉ đích. Nếu trùng lập thì sẽ nhận, còn không thì cho
qua. Do gói tin từ A được gửi đến B nên khi so sánh thì chỉ có B mới giống địa chỉ đích
đến nên chỉ có B mới thực hiện tiếp nhận.
Dựa vào nguyên tắc đó, máy được cài đặt chương trình nghe trộm sẽ tự “nhận”
bất cứ gói tin được lưu chuyển trong mạng qua Hub, kể cả khi đích đến gói tin có đích
đến không phải là nó, nhờ card mạng được đặt ở chế độ hỗn tạp (promiscuous mode).
Promiscuous mode là chế độ đặc biệt. Khi card mạng được đặt dưới chế độ này, nó có
thể nhận tất cả các gói tin mà không bị ràng buộc kiểm tra địa chỉ đích đến.
Trong môi trường Switch: Khác với Hub, Switch chỉ chuyển tải các gói tin đến
những địa chỉ cổng xác định trong bảng chuyển mạch nên nghe trộm kiểu “tự nhận” như
ở Hub không thực hiện được. Tuy nhiên, kẻ tấn công có thể dùng các cơ chế khác để
tấn công trong môi trường Switch như ARP spoofing, MAC spoofing, MAC duplicating,
DNS spoofing, v.v…

Nhóm 15

5 – Lê Long Bảo Trang

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
Hình 2.2. Các lỗ hổng của giao thức để Sniffing
2.2. CÁC PHƯƠNG THỨC TẤN CÔNG
2.2.1. Tấn công MAC
Switch thì có bộ nhớ giới hạn cho việc ánh xạ địa chỉ MAC và port vật lý trên
switch. Tấn công MAC là tấn công làm ngập lụt switch với một số lượng lớn yêu cầu,
lúc này switch hoạt động như hub và lúc này các gói tin sẽ được gửi ra tất cả các máy
trên cùng miền mạng và kẻ tấn công có thể dễ dàng nghe lén. Ngập lụt MAC làm cho
bộ nhớ giới hạn của switch đầy lên bằng cách giả mạo nhiều địa chỉ MAC khác nhau và
gửi đến switch.
Bảng CAM của switch thì có kích thước giới hạn. Nó chỉ lưu trữ thông tin như
địa chỉ MAC gắn với cổng tương ứng trên switch cùng với các tham số miền mạng
vlan.

Nhóm 5 – Lê Long Tra 1

 Tìm hiểu về an ninh mạng và kỹ thuật Sniffer

Hình 2.3. Mô tả hoạt động của bảng CAM

Khi máy A gửi gói tin đến máy B, nó sẽ tìm trong bảng địa chỉ MAC của nó, coi
thử có địa chỉ MAC của máy B hay không, nếu không có máy A sẽ gửi gói tin ARP đến
switch để hỏi địa chỉ MAC của máy B. Máy B lúc này nhận được gói tin gửi phản hồi
lại cho máy A sau đó các gói tin được lưu chuyển từ A đến B mà không chuyển sang các
máy khác.
Một khi bảng CAM trên switch đầy thì các lưu lượng ARP request sẽ làm ngập
lụt mỗi cổng của switch. Lúc này switch hoạt động cơ bản như hub, và tấn công lúc này
sẽ làm đầy bảng CAM của switch.
2.2.2. Tấn công DHCP
Để hiểu được cách tấn công dịch vụ DHCP đầu tiên ta cần nắm được cách thức
cấp phát và nhận ip từ máy trạm đến máy chủ.
Đầu tiên, một DHCP client muốn nhận mới một địa chỉ IP (chứ không phải muốn
phục hồi lại thời gian “thuê” của một địa chỉ IP mà nó đang sử dụng) sẽ gửi lên toàn
mạng (broadcast) một thông điệp DHCP Discover có chứa địa chỉ MAC của nó để tìm
kiếm sự hiện diện của DHCP server.
Nếu tồn tại sự hoạt động của (các) DHCP server thuộc cùng subnet với DHCP
client trên thì (các) server này sẽ phản hồi lại cho client bằng một thông điệp DHCP
Offer có chứa một địa chỉ IP (và các thiết lập TCP/IP khác) như là một lời đề nghị cho
“thuê” (lease) địa chỉ.
Ngay khi nhận được gói DHCP Offer đến đầu tiên, client sẽ trả lời lại cho server
(dĩ nhiên là gửi cho server nào mà nó nhận được gói DHCP Offer đến đầu tiên trong
trường hợp có nhiều DHCP server nằm cùng subnet với nó) một thông điệp DHCP
Request như là sự chấp thuận lời đề nghị cho “thuê” trên.

Nhóm 5 – Lê Long Tra 1

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
Cuối cùng, server gửi lại cho client thông điệp DHCP Acknowledgment để xác
nhận lần cuối “hợp đồng cho thuê địa chỉ” với client. Và từ đây client có thể sử dụng địa
chỉ IP vừa “thuê” được để truyền thông với các máy khác trên mạng.

Hình 2.4. Quá trình cấp phát ip từ máy chủ DHCP

Như vậy, nhìn chung DHCP làm việc khá đơn giản nhưng điểm mấu chốt ở đây
là xuyên suốt quá trình trao đổi thông điệp giữa server và client không hề có sự xác thực
hay kiểm soát truy cập nào.
Server không có cách nào biết được rằng nó có đang liên lạc với một legitimate
client (tạm dịch là máy hợp pháp, tức là một máy không bị điều khiển để thực hiện các
mục đích xấu) hay không và ngược lại client cũng không thể biết được là nó có đang
liên lạc với một legitimate server hay không.
Khả năng trong mạng xuất hiện các rogue DHCP client và rogue DHCP server
(rogue tạm dịch là máy “DHCP giả”, tức là một máy giả tạo, bị điều khiển để thực hiện
các hành vi xấu) tạo ra nhiều vấn đề đáng quan tâm.

Nhóm 5 – Lê Long Tra 1

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
Một rogue server có thể cung cấp cho các legitimate client các thông số cấu hình
TCP/IP giả và trái phép như: địa chỉ IP không hợp lệ, sai subnet mask, hoặc sai địa chỉ
của default gateway, DNS server nhằm ngăn chặn client truy cập tài nguyên, dịch vụ
trong mạng nội bộ hoặc Internet (đây là hình thức của tấn công DoS).

Hình 2.5. Minh họa DHCP Rouge

Việc thiết lập một rogue server như vậy có thể thực hiện được bằng cách sử
dụng các kỹ thuật “social engineering” để có được khả năng tiếp cận vật lý rồi kết nối
rouge server vào mạng.
Attacker có thể thoả hiệp thành công với một legitimate client nào đó trong mạng
và thực hiện cài đặt rồi thực thi trên client này một chương trình có chức năng liên tục
gửi tới DHCP server các gói tin yêu cầu xin cấp IP với các địa chỉ MAC nguồn không có
thực cho tới khi toàn bộ dải IP trong scope của DHCP server này bị nó “thuê” hết. Điều
này dẫn tới server không còn IP nào để có thể cấp phát cho các legitimate client khác.
Hậu quả là các client này không thể truy cập vào mạng.

Nhóm 5 – Lê Long Tra 1

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer

Hình 2.6. Minh họa việc chuyển hướng người dùng

Một rủi ro nữa có thể xảy ra nếu như attacker phá vỡ được các hàng rào bảo vệ
mạng và đoạt được quyền kiểm soát DHCP server. Lúc này, attacker có thể sẽ tạo ra
những sự thay đổi trong cấu hình của DHCP server theo ý muốn như:
- thiết lập lại dải IP, subnet mask của scope để tạo ra tình trạng DoS trong
mạng.
- đổi thiết lập DNS để chuyển hướng yêu cầu phân giải tên miền của client
tới rogue DNS (do attacker dựng lên), kết quả là client có thể sẽ bị dẫn dụ
tới các website giả mạo được xây dựng nhằm mục đích đánh cắp thông tin
tài khoản của client hoặc website có chứa mã độc mà sẽ được tải về máy
client.
- thay đổi default gateway trỏ về máy của attacker để toàn bộ thông tin mà
client gửi ra ngoài mạng sẽ được chuyển tới máy của attacker (thay vì đi tới
default gateway thực sự), sau đó attacker sẽ chụp lại các thông tin này trước
khi chuyển tiếp chúng tới gateway thực sự của mạng và client vẫn truyền

Nhóm 5 – Lê Long Tra 2

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
thông bình thường với các máy ngoài mạng nhưng người dùng lại không hề
nhận biết được rằng họ đã để lộ thông tin cho attacker (đây là một dạng của
tấn công Man-in-the-Middle).
- chưa hết, nếu bạn đang chạy dịch vụ DHCP server đã bị tấn công trên cùng
một máy với Domain Controller thì hậu quả sẽ còn nghiêm trọng hơn nữa
khi attacker sẽ có khả năng nắm được cơ sở dữ liệu Active Directory và gây
thêm nhiều rắc rối khác cho hệ thống của bạn.

Nhóm 5 – Lê Long Tra 2

 Tìm hiểu về an ninh mạng và kỹ thuật Sniffer

Hình 2.7. Minh họa việc cấp phát ip giả

Như vậy, có khá nhiều nguy cơ đe dọa tới tính bí mật, toàn vẹn và độ sẵn sàng
của hạ tầng DHCP và từ đó tạo ra những rủi ro khác nhau cho toàn bộ hệ thống mạng
của tổ chức. Trong phần 2 của bài viết, chúng ta này sẽ cùng thảo luận về những giải
pháp cụ thể và những công cụ hữu ích để đảm bảo an toàn cho DHCP server trên cả hai
nền tảng là Linux và Windows.

2.2.3. Tấn công đầu độc ARP

ARP là giao thức ánh xạ địa chỉ IP đến địa chỉ vật lý được nhận diện. Giao thức
ARP sẽ quảng bá miền mạng của máy để tìm địa chỉ vật lý. Khi một máy cần giao tiếp
với máy khác, và nó tìm trong bảng ARP của mình, nếu địa chỉ MAC không được tìm
thấy trong bảng, giao thức ARP sẽ quảng bá ra toàn miền mạng. Tất cả các máy trong
miền mạng sẽ so sánh địa chỉ IP đến địa chỉ MAC của chúng. Nếu một trong những máy
đó, xác định được đó chính là địa chỉ của mình, nó sẽ gửi gói ARP hồi đáp và địa chỉ này
sẽ được lưu trong bảng ARP và quá trình giao tiếp diễn ra.
Tấn
đầu độc hình công m
công ARPlà thức tấn gói
thể để
đến

tin bị
gửi
giả mạo
dữ liệu

máy của

Nhóm 5 – L
ê Long Bảo ang 22

Tr
 Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
kẻ tấn công. Kẻ tấn công làm ngập lụt bộ nhớ cache chứa địa chỉ ARP của máy mục
tiêu bằng các địa chỉ ARP giả mạo, phương thức này còn được gọi là đầu độc. Giả
mạo ARP liên quan đến việc xây dựng một số lượng lớn ARP Request giả mạo và gói
ARP Reply liên tục được phản hồi dẫn đến tình trạng quá tải switch. Cuối cùng sau khi
bảng ARP bị đầy thì switch sẽ hoạt động ở chế độ forwarding, lúc này thì kẻ tấn công
có thể dễ dàng nghe lén mọi hoạt động trong mạng.

Hình 2.8. Minh hoạt cách thức giả mạo ARP

Giả mạo ARP giúp kẻ tấn công có thể chuyển hướng tất cả giao tiếp giữa hai
máy, khi đó tất cả lưu lượng được gửi thông qua máy của kẻ tấn công. Các mối de
dọa về tấn công ARP như: tấn công từ chối dịch vụ, Ăn cắp thông tin dữ liệu, Nghe
lén cuộc gọi, Ăn cắp password, Thao tác dữ liệu
2.2.4. Tấn công giả mạo
Tấn công giả mạo địa chỉ MAC bằng cách chạy chương trình nghe lén địa chỉ
MAC của máy trạm, máy được liên kết với switch và dùng địa chỉ MAC để truy cập
mạng. Bằng cách lắng nghe lưu lượng đi qua trong mạng, kẻ tấn công có thể ăn cắp và
dùng địa chỉ MAC hợp pháp của nạn nhân để nhận tất cả lưu lượng đi từ máy nạn nhân
đến đích.

Hình 2.9. Minh họa quá trình giả mạo MAC

Với tấn công giả mạo MAC: Nếu MAC được dùng để thực thi trong mạng, kẻ
tấn công có thể có quyền thực thi trong mạng đó. Kẻ tấn công có thể tiến hành nhận
dạng một ai đó trên mạng.

Nhóm 5 – Lê Long Tra 2

 Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
Với tấn công giả mạo IP: các mối đe dọa với hình thức này là ping of death, gói
tin ICMP không thể truy cập, ngập lụt cờ SYN, IP thật có thể bị giả mạo
2.2.5. Tấn công DNS
Giả mạo DNS là một kỹ thuật MITM được sử dụng nhằm cung cấp thông tin
DNS sai cho một host để
khi người dùng duyệt đến một địa nào đó, ví
chỉ
dụ,
có IP XXX.XX.XX.XX, thì cố gắng này sẽ được gửi đến
một địa chỉ
giả mạo cư trú ở địa chỉ IP YYY.YY.YY.YY, đây
là địa chỉ mà kẻ tấn công đã tạo trước để đánh cắp các thông tin tài khoản ngân hàng
trực tuyến từ người dùng, tấn công này có thể thực hiện khá dễ dàng.
Trong kỹ thuật tấn công giả mạo DNS . Hacker tiến hành giảo mạo Arp Poison
tiến hành Sniffer các gói tin của người dùng. Chúng ta thấy trong quá trình sniffer hacker
đã tiến hành tạo các bản ghi DNS giả cập nhật cho nạn nhân. Nhằm chuyển hướng nạn
nhân sang hệ thống khác. Ở đây chính là máy tính của Attacker.

Nhóm 5 – Lê Long Tra 2

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer

Hình 2.10. Minh họa Fake DNS

Mỗi truy vấn DNS được gửi qua mạng đều có chứa một số nhận dạng duy nhất,
mục đích của số nhận dạng này là để phân biệt các truy vấn và đáp trả chúng. Điều này
có nghĩa rằng nếu một máy tính đang tấn công của chúng ta có thể chặn một truy vấn
DNS nào đó được gửi đi từ một thiết bị cụ thể, thì tất cả những gì chúng ta cần thực
hiện là tạo một gói giả mạo có chứa số nhận dạng đó để gói dữ liệu đó được chấp

nhận bởi mục

Chúng ta sẽ hoàn tất quá trình này bằng cách thực hiện hai bước với một công cụ đơn
giản. Đầu tiên, chúng ta cần giả mạo ARP cache thiết bị mục tiêu để định tuyến lại lưu
lượng của nó qua host đang tấn công của mình, từ đó có thể chặn yêu cầu DNS và gửi
đi gói dữ liệu giả mạo. Mục đích của kịch bản này là lừa người dùng trong mạng mục
tiêu truy cập vào website độc thay vì website mà họ đang cố gắng truy cập.

2.3. BIỆN PHÁP NGĂN CHẶN SNIFFING

Hạn chế thực thi các phương tiện mạng vật lý, để đảm bảo gói tin không thể
nghe lén được.
Mã hóa để bảo vệ thông tin chứng thực
Thêm địa chỉ MAC của gateway với bảng cache ARP
Dùng địa chỉ IP và MAC tĩnh để ngăn chặn kẻ tấn công có thể giả mạo
Chặn gói tin broadcast, nếu có thể hạn chế chứng thực user để bảo vệ miền
mạng không bị khám phá bởi công cụ sniffing
Dùng địa chỉ Ipv6 thay Ipv4

Nhóm 5 – Lê Long Tra 2

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
Dùng phiên mã hóa như SSH thay vì telnet, FTP, SSL cho kết nối mail

CHƯƠNG 3: DEMO TẤN CÔNG BẰNG KỸ THUẬT

SNIFFER
3.1. TẤN CÔNG DHCP

Hình 3.1. IP của nạn nhân khi cấp phát bằng máy DHCP Server thật

Nhóm 5 – Lê Long Tra 2

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer

Hình 3.2. IP khi cấp phát bằng DHCP Server giả của hacker

3.2. TẤN CÔNG ĐẦU ĐỘC ARP

Hình 3.3. Nạn nhân tiến hành telnet đến Server

Hình 3.4. Hacker đã đánh cắp được mật khẩu telnet bằng sniffer
3.3. TẤN CÔNG GIẢ MẠO DNS

Nhóm 5 – Lê Long Tra 2

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer

Hình 3.5. Hacker hướng trang web nạn nhân truy cập sang trang khác

KẾT LUẬN

Vấn đề an toàn bảo mật ngày nay đang được các cơ quan, nhà bảo mật và đặt
biệt là các doanh nghiệp quan tâm hàng đầu, an toàn dữ liệu, thông tin người dùng, và tài
chính của công ty, mọi vấn đề đều cần được quan tâm. Đối với doanh nghiệp, thì quan
trọng nhất là thông tin cá nhân, tài khoản của người dùng, ví dụ như ngân hàng chẳng
hạn, các thông tin này phải được bảo mật tuyệt đối, vì thế vấn đề bảo mật đang là một
thách thức lớn cho các nhà doanh nghiệp.

Nhóm 5 – Lê Long Tra 2

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
Thông qua kỹ thuật tấn công Sniffer, chúng ta có thể hiểu được phần nào, nguyên
lý, cơ chế tấn công của hacker khi muốn ăn cắp thông tin tài khoản của người dùng, với
các kỹ thuật như tấn công đầu độc DNS, ARP hoặc DHCP sẽ giúp cho kẻ tấn công có
thể dễ dàng lấy được thông tin của người dùng khi họ không để ý, hoặc không cẩn thận
khi trao đổi dữ liệu trong môi trường mạng công cộng. Hơn thế nữa, nếu thông tin cá
nhân của người dùng hoặc công ty bị hacker ăn cắp thì nguy cơ mất dữ liệu hoặc dữ
liệu bị truyền ra ngoài sẽ gây một thất thoát lớn cho công ty, và sẽ làm tổn hại nguồn tài
chính của công ty hoặc doanh nghiệp.
Để khắc phục và ngăn chặn kịp thời các trường hợp bị tấn công hoặc ăn cắp dữ
liệu bởi hacker, thì các doanh nghiệp cần quan tâm và chú trọng hơn nữa về vấn đề bảo
mật. Dùng Firewall cứng hoặc mềm để ngăn chặn, giảm bớt sự tấn công từ bên ngoài,
hoặc cấu hình bảo mật port cho switch để ngăn chặn sniffer, cấu hình các dịch vụ phát
hiện và chống xâm nhập trên Server để kịp thời phát hiện các sự cố khi bị hacker tấn
công. Ngoài ra, các doanh nghiệp cần backup dữ liệu của khách hàng để đề phòng
trường hợp bị mất dữ liệu.

TÀI LIỆU THAM KHẢO

[1]. Slide An Ninh Mạng – Trường CNTT Hữu Nghị Việt
Hàn [2]. Bộ Slide CEHv7 – Certified Ethical Hacker
[3]. Advisory to Exploit Using Metasploit - Bannedit
[4]. Forum.itlab.com.vn
[5]. Hvaonline.net

Nhóm 5 – Lê Long Tra 2

Tìm hiểu về an ninh mạng và kỹ thuật Sniffer

Nhóm 5 – Lê Long Tra 3