92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 Giáo viên hướng dẫn : Võ Đỗ Thắng Nhóm thực : 0512253 Bùi Xuân Phong 0512213 Phan Bảo Lộc 0512211 Hứa Thắnng Lộc 0512205 Nguyễn Kinh Luân 0512187 Quách Minh Khánh Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 Contents I Các khái niệm Sniffer 1.2 Sniffer sử dụng ? 1.3 Quá trình Sniffer diễn ? 1.4 Địa Ethernet MAC ? 1.4.1 Giới thiệu : 1.4.2 Chi tiết đỉa chị Ethernet MAC : II Các phương pháp phát Sniffer hệ thống mạng : 2.1 Phương pháp dùng Ping: 2.2 Phương pháp sử dụng ARP: 2.3 Phương pháp sử dụng DNS : 2.4 Phương pháp Source-Route : 2.5 Phương pháp giăng bẫy (Decoy) : 2.6 Phương pháp kiểm tra chậm trễ gói tin (Latency) : III Phương pháp ngăn chặn Sniffer hệ thống mạng : 3.1 Các hệ thống mạng có nguy Sniffer : 3.2 Các giao thức có nguy Sniffer: 10 3.3 Phương pháp ngăn chặn Sniffer liệu ? 10 3.4 Phương pháp ngăn chặn Sniffer Password : 12 3.5 Phương pháp ngăn chặn Sniffer thiết bị phần cứng : 12 3.6 Một số thuật ngữ : 13 IV Chương trình XARP : 15 4.1 Giới thiệu : 15 4.2 Giao diện chương trình : 15 4.3 Các mức bảo mật XARP : 16 4.4 Demo phát công ARP Poisoning : 17 Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 I Các khái niệm Sniffer 1.1 Đôi nét Sniffer :  Khởi đầu Sniffer tên sản phẩm Network Associates có tên Sniffer Network Analyzer  Sniffer hiểu đơn giản chương trình cố gắng nghe ngóng lưu lượng thơng tin mơi trường mạng máy tính  Những giao dịch hệ thống mạng máy tính thường liệu dạng nhị phân (Binary) Bởi để nghe hiểu liệu dạng nhị phân này, chương trình Sniffer phải có tính biết phân tích nghi thức (Protocol Analysis), tính giải mã (Decode) liệu dạng nhị phân để hiểu chúng  Trong hệ thống mạng sử dụng giao thức kết nối chung đồng Bạn sử dụng Sniffer Host hệ thống mạng bạn Chế độ gọi chế độ hỗn tạp (promiscuous mode) 1.2 Sniffer sử dụng ?  Sniffer thường sử dụng vào mục đích : o Một cơng cụ giúp cho quản trị mạng theo dõi bảo trì hệ thống mạng o Một chương trình cài vào hệ thống mạng máy tính với mục đích đánh hơi, nghe thơng tin đoạn mạng  Một số tính Sniffer : Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 o Các Hacker sử dụng để bắt tên người sử dụng (Username) mật khơng mã hố (Clear Text Password) hệ thống mạng bạn o Giúp nhà quản trị theo dõi thông tin liệu đường truyền Họ đọc hiểu ý nghĩa liệu o Giúp nhà quản trị giám sát lưu lượng hệ thống qua quản trị viên phân tích lỗi mắc phải hệ thống lưu lượng mạng  Ví dụ : Tại gói tin từ máy A gửi sang máy B etc o Một số cơng cụ Sniffer cịn tự động phát cảnh báo công thực vào hệ thống mạng mà hoạt động (Intrusion Detecte Service) Các Sniffer giúp ghi lại thơng tin gói liệu, phiên truyền… Phục vụ cho cơng việc phân tích, khắc phục cố hệ thống mạng 1.3 Quá trình Sniffer diễn ?  Công nghệ Ethernet xây dựng nguyên lý chia sẻ Theo khái niệm tất máy tính hệ thống mạng cục chia sẻ đường truyền hệ thống mạng Hiểu cách khác tất máy tính có khả nhìn thấy lưu lượng liệu truyền đường truyền chung Như phần cứng Ethernet xây dựng với tính lọc bỏ qua tất liệu không thuộc đường truyền chung với  Q trình lọc thực dự nguyên lý bỏ qua tất Frame có địa MAC khơng hợp lệ Sniffer tắt tính lọc sử dụng chế độ hỗn tạp (promiscuous mode) nhìn thấy tất lưu lượng thơng tin hệ thống mạng Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 1.4 Địa Ethernet MAC ? 1.4.1 Giới thiệu : Khi nhiều máy tính mạng chia sẻ đường truyền Thì thân máy phải có thơng tin nhận dạng khác Khi bạn gửi liệu từ bên hệ thống mạng Ethernet bạn phải biết rõ địa nơi bạn cần gửi liệu đến Thông tin dùng để nhận dạng máy tính mạng địa Ethernet MAC 1.4.2 Chi tiết đỉa chị Ethernet MAC :  MAC dãy 12 số Hex  Địa MAC dãy số 48 bits o 48 bits tiếp tục chia đôi o 24 bit xác định tên hãng sản xuất Ethernet Card bạn o 24 bit lại số hiệu Serial gán nhà sản xuất Đảm bảo nguyên tắc khơng có Ethernet Card có trùng địa MAC 24 bit thứ gọi OUI (Organizationally Unique Identifier) o Tuy nhiên OUI có độ dài thực 22 bit, bit dư lại sử dụng cho mục đích khác bit định địa Broadcast/Multicast (địa loan báo tin chung hệ thống mạng) bit lại sử dụng cần thiết lập lại địa cục cho Adapter II Các phương pháp phát Sniffer hệ thống mạng : Về mặt lý thuyết khó phát diện chương trình Sniffer hệ thống Bởi chúng bắt cố gắng đọc gói tin, chúng khơng gây xáo trộn hay mát Packet nghiêm trọng đường truyền Tuy nhiên thực tế lại có nhiều cách để phát diện Sniffer Khi đứng đơn lẻ máy tính khơng có truyền thơng khơng có dấu hiệu Tuy nhiên cài đặt máy tính khơng đơn lẻ có truyền thông, thân Sniffer phát sinh lưu lượng thơng tin Bạn Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 truy vấn ngược DNS để tìm thơng tin liên quan đến địa IP Sau số phương pháp để phát Sniffer 2.1 Phương pháp dùng Ping: Hầu hết chương trình Sniffer cài đặt máy tính mạng sử dụng TCP/IP Stack Bởi bạn gửi yêu cầu đến máy tính này, chúng phản hồi lại cho bạn kết Bạn gửi yêu cầu phản hồi tới địa IP máy tính mạng (máy mà bạn cần kiểm tra xem có bị cài đặt Sniffer hay không), không thông qua Adapter Ethernet  Lấy ví dụ cụ thể : Bạn nghi ngờ máy tính có địa IP 10.0.0.1, có địa MAC 00-40-05-A4-79-32 Đã bị cài đặt Sniffer Bạn hệ thống mạng Ethernet mà bạn nghi ngờ có kẻ tiến hành Sniffer Bạn thay đổi địa MAC bạn thành 00-40-05-A4-79-33 Bạn Ping đến địa IP địa MAC Trên ngun tắc khơng máy tính nhìn thấy nhìn thấy Packet Bởi Adapter Ethernet chấp nhận địa MAC hợp lệ Nếu bạn thấy trả lời từ địa mà bạn nghi ngờ địa lọc MAC (MAC Address Filter) Ethernet Card…Máy tính có địa IP 10.0.0.1 bị cài đặt Sniffer  Bằng kỹ thuật Hacker né tránh phương pháp nêu Các Hacker sử dụng MAC Address Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 ảo Rất nhiều hệ thống máy tính có Windows có tích hợp khả MAC Filtering Windows kiểm tra byte Nếu địa MAC có dạng FF-00-00-00-00-00, đơn giản Windows coi FF-FF-FF-FF-FF-FF Đây sơ hở cho phép Hacker khai thác đánh lừa hệ thống máy tính bạn Kỹ thuật phát Sniffer đơn giản thường sử dụng hệ thống Ethernet dựa Switch Bridge 2.2 Phương pháp sử dụng ARP:  Phương pháp phát Sniffer tương tự phương pháp dùng Ping Khác biệt chỗ sử dụng Packet ARP Để thực trình bạn cần gửi Packet ARP đến địa mạng (khơng phải Broadcast) Nếu máy tính trả lời lại Packet ARP địa Thì máy tính cài đặt Sniffer chế độ hỗn tạp (Promiscuous Mode)  Mỗi Packet ARP chứa đầy đủ thông tin người gửi người nhận Khi Hacker gửi Packet ARP đến địa loan truyền tin (Broadcast Address), bao gồm thơng tin địa IP bạn địa MAC phân giải Ethernet Ít phút sau máy tính hệ thống mạng Ethernet nhớ thông tin Bởi Hacker gửi Packet ARP không qua Broadcast Address Tiếp ping đến Broadcast Address Lúc máy tính trả lời lại mà không ARPing, chụp thơng tin địa MAC máy tính cách sử dụng Sniffer để chụp khung ARP (ARP Frame) 2.3 Phương pháp sử dụng DNS :  Rất nhiều chương trình Sniffer có tính phân giải ngược địa IP thành DNS mà chúng nhìn thấy (như dsniff) Bởi quan sát Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 lưu lượng truyền thơng DNS bạn phát Sniffer chế độ hỗn tạp (Promiscuous Mode)  Để thực phương pháp này, bạn cần theo dõi trình phân giải ngược DNS Server bạn Khi bạn phát hành động Ping liên tục với mục đích thăm dị đến địa IP không tồn hệ thống mạng bạn Tiếp hành động cố gắng phân giải ngược địa IP biết từ Packet ARP Khơng khác hành động chương trình Sniffer 2.4 Phương pháp Source-Route :  Phương pháp sử dụng thông tin địa nguồn địa đích Header IP để phát hành động Sniffer đoạn mạng  Tiến hành ping từ máy tính đến máy tính khác Nhưng tính Routing máy tính nguồn phải vơ hiệu hố Hiểu đơn giản làm để gói tin khơng thể đến đích Nếu bạn thấy trả lời, đơn giản hệ thống mạng bạn bị cài đặt Sniffer  Để sử dụng phương pháp bạn cần sử dụng vào vài tuỳ chọn Header IP Để Router bỏ qua địa IP đến tiếp tục chuyển tiếp đến địa IP tuỳ chọn Source-Route Router  Lấy ví dụ cụ thể : o Bob Anna nằm đoạn mạng Khi có người khác đoạn mạng gửi cho cô ta vài Packet IP nói chuyển chúng đến cho Bob Anna Router, cô ta Drop tất Packet IP mà người muốn chuyển tới Bob (bởi cô ta làm việc này) Một Packet IP không gửi đến Bob, mà trả Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 lời lại Điều vô lý, sử dụng chương trình Sniffer 2.5 Phương pháp giăng bẫy (Decoy) :  Tương tự phương pháp sử dụng ARP sử dụng phạm vi mạng rộng lớn (gần khắp nơi) Rất nhiều giao thức sử dụng Password khơng mã hố đường truyền, Hacker coi trọng Password này, phương pháp giăng bẫy thoả mãn điều Đơn giản bạn cần giả lập Client sử dụng Service mà Password không mã hoá : POP, FTP, Telnet, IMAP Bạn cấu hình User khơng có quyền hạn, hay chí User khơng tồn Khi Sniffer thơng tin coi «q giá» Hacker tìm cách kiểm tra, sử dụng khai thác chúng Bạn làm gí ??? 2.6 Phương pháp kiểm tra chậm trễ gói tin (Latency) :  Phương pháp làm giảm thiểu lưu thông hệ thống mạng bạn Bằng cách gửi lượng thông tin lớn đến máy tính mà bạn nghi bị cài đặt Sniffer Sẽ khơng có hiệu ứng gí đáng kể máy tính hồn tồn khơng có Bạn ping đến máy tính mà bạn nghi ngờ bị cài đặt Sniffer trước thời gian chịu tải thời gian chị tải Để quan sát khác thời điểm  Tuy nhiên phương pháp tỏ không hiệu Bản thân Packet IP gửi đường truyền gây trậm trễ thất lạc Cũng Sniffer chạy chế độ “User Mode” xử lý độc lập CPU cho kết khơng xác III Phương pháp ngăn chặn Sniffer hệ thống mạng : 3.1 Các hệ thống mạng có nguy Sniffer : Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477  Cable Modem  DSL  ADSL  Switched Network  Wireless like IEEE 802.11 a.k.a AirPort (hệ thống mạng không dây) 3.2 Các giao thức có nguy Sniffer:  Telnet, Rlogin  SNMP  NNTP  POP, IMAP, SMTP  FTP 3.3 Phương pháp ngăn chặn Sniffer liệu ? Có lẽ cách đơn giản để ngăn chặn kẻ muốn Sniffer liệu sử dụng giao thức mã hoá chuẩn cho liệu đường truyền Khi mã hố liệu, kẻ cơng ác ý Sniffer liệu, chúng lại khơng thể đọc sdfds  SSL (Secure Socket Layer) : Một giao thức mã hoá phát triển cho hầu hết Webserver, Web Browser thông dụng SSL sử Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 10 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 dụng để mã hố thơng tin nhạy cảm để gửi qua đường truyền : Số thẻ tin dụng khách hàng, password thông tin quan trọng  PGP S/MIME: E-mail có khả bị kẻ công ác ý Sniffer Khi Sniffer E-mail khơng mã hố, chúng khơng biết nội dung mail, mà chúng cịn biết thông tin địa người gửi, địa người nhận…Chính để đảm bảo an tồn tính riêng tư cho E-mail bạn cần phải mã hố chúng… S/MIME tích hợp hầu hết chương trình gửi nhận Mail Netscape Messenger, Outlock Express…PGP giao thức sủ dụng để mã hố E-mail Nó có khả hỗ trợ mã hố DSA, RSA lên đến 2048 bit liệu  OpenSSH: Khi bạn sử dụng Telnet, FTP…2 giao thức chuẩn không cung cấp khả mã hoá liệu đường truyền Đặc biệt nguy hiểm khơng mã hố Password, chúng gửi Password qua đường truyền dạng Clear Text Điều xảy liệu nhạy cảm bị Sniffer OpenSSH giao thức đời để khắc phục nhược điểm này: SSH (sử dụng thay Telnet), SFTP (sử dụng thay FTP)…  VPNs (Virtual Private Networks): Được sử dụng để mã hố liệu truyền thơng Internet Tuy nhiên Hacker cơng thoả hiệp Node của kết nối VPN đó, chúng tiến hành Sniffer Một ví dụ đơn giản,là người dùng Internet lướt Web sơ ý để nhiễm RAT (Remoto Access Trojan), thường loại Trojan thường có chứa sẵn Plugin Sniffer Cho đến người dùng bất cẩn thiết lập kết nối VPN Lúc Plugin Sniffer Trojan hoạt động có khả đọc liệu chưa mã hoá trước đưa vào VPN Để phòng chống công kiểu này: bạn cần nâng cao ý thức cảnh giác cho người sử dụng hệ thống mạng VPN bạn, đồng thời sử dụng chương trình quét Virus để phát Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 11 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 ngăn chặn không để hệ thống bị nhiễm Trojan 3.4 Phương pháp ngăn chặn Sniffer Password : Để ngăn chăn kẻ công muốn Sniffer Password Bạn đồng thời sử dụng giao thức, phương pháp để mã hoá password sử dụng giải pháp chứng thực an tồn (Authentication):  SMB/CIFS: Trong mơi trường Windows/SAMBA bạn cần kích hoạt tính LANmanager Authencation  Keberos: Một giải pháp chứng thực liệu an toàn sử dụng Unix Windows  Stanford SRP (Secure Remote Password): Khắc phục nhược điểm không mã hoá Password truyền thong giao thức FTP Telnet Unix:  Df  3.5 Phương pháp ngăn chặn Sniffer thiết bị phần cứng :  Việc thay Hub bạn Switch, cung cấp phịng chống hiệu Switch tạo “Broadcast Domain” có tác dụng gửi đến kẻ cơng gói ARP khơng hợp lệ (Spoof ARP Packet)  Tuy nhiên Hacker có cách thức khéo léo để vượt qua phòng thủ Các yêu cầu truy vấn ARP chứa đựng thơng tin xác từ IP MAC người gửi Thông thường để giảm bớt lưu lượng ARP đường truyền, đa số máy tính đọc sử dụng thông tin từ đệm (Cache) mà chúng truy vấn từ Broadcast Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 12 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477  Bởi Hacker Redirect máy tính gần để vượt qua phịng thủ cách gửi gói ARP chứa đựng thơng tin địa IP Router đến địa MAC Tất máy tính hệ thống mạng cục nhầm tưởng Router thiết lập phiên truyền thông qua máy tính  Một công DOS tương tự hệ thống mạng cục bộ, thành công đá văng mục tiêu mà họ muốn công khỏi mạng bắt đầu sử dụng địa IP máy tính vừa bị công Những kẻ công khéo léo thừa kể sử dụng kết nối Bản than Windows phát hành động này, khơng hành động mà lại tử tế đóng Stack TCP/IP cho phép kết nối tiếp tục Để phòng chống lại công dạng bạn cần sử dụng công cụ IDS (Intrusion Detecte Service) Các IDS BlackICE IDS, Snort tự động phát cảnh báo công dạng  Hầu hết Adapter Ethernet cho phép cấu hình địa MAC tay Hacker tạo địa Spoof MAC cách hướng vào địa Adapter Để khắc phục điều này, hầu hết Switch khơng cho phép tự ý cấu hình lại địa MAC 3.6 Một số thuật ngữ :  Ethernet : Một cơng nghệ nối mạng có lực mạnh sử dụng hầu hết mạng LAN  Wireless : Các công nghệ nối mạng không dây  Serial Direct Cable Connection : Công nghệ kết nối máy tính Cable truyền nhận liệu  PPP (Point-to-Point Protocol) : Một giao thức kết nối Internet tin cậy thông qua Modem Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 13 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477  IP (Internet Protocol) : Giao thức dùng để xử lý chế truyền liệu thực tế Là sở cho việc định hướng vận chuyển liệu Internet  ICMP (Internet Control Message Protocol) : Giao thức xử lý thông báo trạng thái cho IP, ví dụ báo lỗi thay đổi mạng ảnh hưởng đến việc định tuyến  ARP (Address Resolution Protocol) : Giao thức chuyển địa mạng sang địa phần cứng vật lý tương dùng thông điệp Broadcast Dùng để xác định địa mạng  RARP (Reverse Address Resolution Protocol) : Làm công việc ngược lại ARP, chuyển địa phần cứng từ máy sang địa IP  TCP (Transmission Control Protocol) : Một giao thức, dịch vụ dựa kết nối, điều cho phép máy nhận gửi liệu truyền thơng với vào lúc, nơi  UDP (User Datagram Protocol) : Một giao thức, dịch vụ không kết nối, hai máy gửi nhận không truyền thông với thông qua kết nối liên tục  Telnet : Giao thức cho phép đăng nhập từ xa đê người ding máy kết nối với máy hoạt động ngồi máy  FTP (File Transfer Protocol) : Giao thức truyền liệu từ máy sang máy khác ding giao thức TCP  SMTP (Simple Mail Transfer Protocol) : Giao thức dùng để truyền nhận thư điện tử máy  DNS (Domain Name Service) : Xác định địa máy tính từ tên chữ sang số Còn nhiều giao thức dịch vụ khác tầng Nhưng khuôn khổ viết lên nêu số giao thức dịch vụ Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 14 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 IV Chương trình XARP : 4.1 Giới thiệu :  XARP công cụ giao diện đồ họa dùng để giám sát ARP Cache máy tính.Nó gửi request định kỳ đến bảng ARP cache máy tính báo cáo thay đổi việc ánh xạ địa IP địa MAC ARP cache.Do sử dụng để phát kiểu công ARP Poisoning mạng LAN  XARP chương trình miễn phí.Nó chạy hệ điều hành windows 2000 windows xp 4.2 Giao diện chương trình :  Normal View :  Advance View : Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 15 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 4.3 Các mức bảo mật XARP :  Minimal : mức security thấp nhất,ở mức XARP không thực việc discovery mà thực việc detect cách bị động.Các module giám sát có XARP phát phương thức công  Basic : phương thức thao tác với chiến lược phát cơng mặc định mà từ phát phương thức công chuẩn.Đây mức bảo mật đề nghị cho môi trường  High : high security level thêm vào phương thức discovery network,tốc độ phát cao phương thức trên,tuy nhiên phải gửi thêm nhiều gói tin discovery vào mạng.Trong vài môi trường,dùng mức độ cho cảnh báo sai  Aggressive : aggressive security level enable tất module giám sát tất gói tin ARP gửi gói tin discovery với tần suất cao Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 16 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 hơn.Sử dụng mức bảo mật cho cảnh báo công sai 4.4 Demo phát công ARP Poisoning :  Đầu tiên từ máy mạng LAN mở chương trình Cain lên bắt đầu thực việc sniffer công dạng ARP Poisoning :  Tiếp theo chương trình Cain ta tiến hành chọn interface để tiến hành việc sniffer LAN : Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 17 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477  Sau chọn card mạng ta thực sniffer cách click vào button Start/Stop Sniffer hình : Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 18 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477  Sau đó,trong mục host gốc hình ta scan địa mac address tất host mạng hình sau : Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 19 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477  Tiếp theo nhấn nút start/stop arp,sau add địa ip máy mà muốn giám sát : Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 20 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477  Trong máy có ip 192.168.1.100 ta mở chương trình XARP cài đặt,sử dụng mức bảo mật basic,ta phát việc công ARP Poisoning thơng qua cảnh báo chương trình : Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 21 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477  Và thống kê chương trình tất cảnh báo (hàng màu đỏ cảnh báo việc thay đổi địa mac address): Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 22 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 Sử dụng XARP cách chống lại việc công ARP Poisoning mạng LAN hiệu Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 23 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... thực tế lại có nhiều cách để phát diện Sniffer Khi đứng đơn lẻ máy tính khơng có truyền thơng khơng có dấu hiệu Tuy nhiên cài đặt máy tính khơng đơn lẻ có truyền thơng, thân Sniffer phát sinh lưu... Phương pháp ngăn chặn Sniffer hệ thống mạng : 3.1 Các hệ thống mạng có nguy Sniffer : 3.2 Các giao thức có nguy Sniffer: 10 3.3 Phương pháp ngăn chặn Sniffer liệu ? ... lập CPU cho kết khơng xác III Phương pháp ngăn chặn Sniffer hệ thống mạng : 3.1 Các hệ thống mạng có nguy Sniffer : Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn LUAN VAN CHAT LUONG download