Sniffing là một quá trình theo dõi và nắm bắt tất cả các gói dữ liệu đi qua một mạng nhất định bằng các công cụ nghe trộm. Hiện nay, nhiều cổng Switch của các doanh nghiệp, tổ chức được mở, do đó bất kỳ ai ở một vị trí xác định cũng có thể truy cập vào mạng bằng cáp Ethernet. Từ đó kẻ tấn công có thể thu được các thông tin nhạy cảm bằng cách khai thác các lỗ hổng trong cấu hình router hay chặn bắt lưu lượng email được gửi qua lại trong doanh nghiệp đó.Trong bài báo cáo này chúng ta sẽ tìm hiểu việc nghe trộm. Nghe trộm giúp chúng ta quan sát tất cả các loại giao thông mạng, dù mạng được bảo vệ hay không. Những thông tin nghe trộm được có thể hữu ích cho tấn công và tạo trở ngại cho nạn nhân. Bên cạnh đó, chúng ta sẽ tìm hiểu nhiều loại tấn công như Media Access Control (MAC), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP) Poisoning, MAC Spoofing, DNS Poisoning.
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA AN TỒN THƠNG TIN BÁO CÁO TIỂU LUẬN TÌM HIỂU VỀ SNIFFING Giảng viên hướng dẫn: TS Đinh Trường Duy Môn học: Kiểm thử xâm nhập Nhóm: D1902G10 Thành viên nhóm: Châu Phan Hoài Linh Nguyễn Lê Đức Anh Trương Như Đạt Nguyễn Gia Huy HÀ NỘI, THÁNG 3/2023 MỤC LỤC I, TỔNG QUAN * Tìm hiểu Sniffing II, PHÁT HIỆN LỖ HỔNG 1, Cách Sniffer làm việc 2, MAC Attacks .4 3, DHCP Attacks 4, DNS Poisoning III, ĐÁNH GIÁ MỨC ĐỘ NGHIÊM TRỌNG 1, MAC Attacks .9 2, DNS Poisning 10 3, ARP Poisning 11 4, DHCP Attacks 11 IV, GIẢI PHÁP KHẮC PHỤC 12 V, KẾT LUẬN 14 TÀI LIỆU THAM KHẢO 15 BẢNG PHÂN CÔNG NHIỆM VỤ: STT Họ tên Châu Phan Hồi Linh (nhóm trưởng) Nguyễn Gia Huy Nguyễn Lê Đức Anh Trương Như Đạt Nhiệm vụ + Tìm hiểu tổng quan phát lỗ hổng + Thuyết trình + Đánh giá mức độ nghiêm trọng lỗ hổng + Viết báo cáo tiểu luận + Giải pháp khắc phục + Thiết kế slide PP + Tóm tắt kết luận + Thực demo Đánh giá I, TỔNG QUAN * Tìm hiểu Sniffing Sniffing trình theo dõi nắm bắt tất gói liệu qua mạng định công cụ nghe trộm Hiện nay, nhiều cổng Switch doanh nghiệp, tổ chức mở, vị trí xác định truy cập vào mạng cáp Ethernet Từ kẻ cơng thu thơng tin nhạy cảm cách khai thác lỗ hổng cấu hình router hay chặn bắt lưu lượng email gửi qua lại doanh nghiệp Trong báo cáo tìm hiểu việc nghe trộm Nghe trộm giúp quan sát tất loại giao thông mạng, dù mạng bảo vệ hay không Những thơng tin nghe trộm hữu ích cho công tạo trở ngại cho nạn nhân Bên cạnh đó, tìm hiểu nhiều loại công Media Access Control (MAC), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP) Poisoning, MAC Spoofing, DNS Poisoning II, PHÁT HIỆN LỖ HỔNG 1, Cách Sniffer làm việc - Sniffer chuyển NIC hệ thống sang chế độ hỗn tạp để lắng nghe tất liệu truyền phân đoạn Sniffer liên tục theo dõi tất lưu lượng mạng đến máy tính thơng qua NIC cách giải mã thơng tin gói gọn gói liệu - Passive Sniffer (Sniffer thụ động) Đây loại nghe trộm khơng cần gửi thêm gói tin can thiệp vào thiết bị hub để nhận gói tin Như biết, hub truyền gói tin đến port Kẻ cơng lợi dụng điểm để dễ dàng quan sát giao thông truyền qua mạng Do Passive Sniffer khó bị phát - Active Sniffer (Sniffer chủ động) Đây loại nghe trộm mà kẻ cơng cần gửi thêm gói tin đến thiết bị kết nối switch để nhận gói tin Như nói, switch truyền gói tin unicast đến port định Kẻ công sử dụng số kĩ thuật MAC Flooding, DHCP Attacks, DNS poisoning, Switch Port Stealing, ARP Poisoning, Spoofing để quan sát giao thông truyền qua switch Sniffer chủ động liên quan đến việc tiêm gói phân giải địa vào mạng để làm tràn ngập bảng Bộ nhớ định địa nội dung (CAM) chuyển mạch, bảng CAM có nhiệm vụ theo dõi máy chủ kết nối với port Các lỗ hổng giao thức dễ bị nghe trộm - HTTP, POP, IMAP, SMTP, FTP, NNTP: Dữ liệu mật gửi dạng văn rõ ràng Telnet and Rlogin: keylogger (trình theo dõi thao tác bàn phím) bao gồm tên người dùng mật 2, MAC Attacks - Tấn công địa MAC (MAC Attacks) bảng CAM (CAM Table) + Media Access Control Address (địa kiểm soát truy cập phương tiện) hay địa MAC địa vật lí thiết bị Địa MAC số định danh 48bits đặt cho thiết bị hệ thống để giao tiếp tầng liên kết liệu Địa MAC bao gồm Object Unique Identifier (QUI) 24-bits Network Interface Controller (NIC) 24-bits Nếu có nhiều NIC thiết bị có nhiều địa MAC khác + Bảng địa MAC hay bảng CAM (Content-Addressable Memory) sử dụng switch Ethernet để ghi lại địa MAC thông tin liên quan để chuyển tiếp gói tin Bảng CAM bảng ghi lại thông tin địa MAC VLAN liên quan, kiểu học thông số port Các thông số giúp chuyển tiếp gói tin tầng liên kết liệu - Cách hoạt động bảng CAM: Một kịch đơn giản để hiểu nguyên lý hoạt động bảng CAM sau: Máy A máy gửi tin, mạng gồm switch máy B,C kết nối với switch Bảng CAM lưu địa MAC cổng port máy A C Giả sử máy A gửi gói tin ARP đến cho máy B mạng Khi gói tin đến Switch, xem xét ghi địa MAC port máy B bảng CAM Nếu khơng có ghi đó, switch broadcast ARP đến tất máy mạng B C Các máy tính B C kiểm tra xem đại đích có phải địa hay khơng? Máy B xác định địa đích gửi lại địa MAC cho Switch Switch cập nhật địa MAC port B vào bảng CAM đồng thời gửi gói tin từ máy A đến cho máy B Tấn công bảng địa MAC 3, DHCP Attacks DHCP là trình phân chia động địa MAC cho địa định tự động tái sử dụng host không cần chúng Thời gian Round Trip (RTT) đo khoảng thời gian từ phát DHCP server đến nhận địa IP thuê Máy chủ DHCP trì thơng tin cấu hình TCP/IP sở liệu, chẳng hạn tham số cấu hình TCP/IP hợp lệ, địa IP hợp lệ thời hạn thuê máy chủ cung cấp Nó cung cấp cấu hình địa cho máy khách hỗ trợ DHCP dạng ưu đãi cho thuê a) Hoạt động DHCP - Máy khách broadcast yêu cầu DHCPDISCOVER/SOLICIT để u cầu thơng báo cấu hình DHCP Agent chuyển tiếp DHCP nắm bắt yêu cầu máy khách unicast (gửi đơn mục tiêu) đến máy chủ DHCP có sẵn mạng Máy chủ DHCP unicast DHCPOFFER/ADVERTISE, chứa địa MAC máy khách máy chủ Agent chuyển tiếp quảng bá DHCPOFFER/ADVERTISE mạng máy khách Client gửi DHCPREQUEST/REQUEST yêu cầu DHCP server cung cấp thơng tin cấu hình DHCP - Máy chủ DHCP gửi tin DHCPACK/REPLY unicast đến khách hàng với cấu hình thơng tin IP Cách thức hoạt động của Replay agent và DHCPv6 server tương tự IPv4 Relay agent và DHCPv4 Server DHCP server nhận yêu cầu định địa IP, DNS, thời gian thuê thông tin khác cho client replay server chuyển tiếp tin nhắn DHCP Tấn công DHCP b) Tấn công DHCP Starvation - Đây công từ chối dịch vụ trên DHCP Server Trong công này, kẻ công gửi yêu cầu ảo với địa MAC giả để truyền đến DHCP Server, từ thuê tất địa IP trữ IP Sau tất địa IP phân phát, user không nhận địa IP hay gia hạn hợp đồng th Tấn cơng DHCP Starvation có thể thực công cụ “Dhcpstarv” hay “Yersinia’ + Dhcpstarv: dhcpstarv thực cơng bỏ đói DHCP Nó u cầu th DHCP giao diện định, lưu chúng gia hạn thường xuyên + Yersinia: Yersinia framework để thực cơng layer Nó thiết kế để tận dụng lợi số điểm yếu giao thức mạng khác Nó giả vờ khn khổ vững để phân tích thử nghiệm mạng hệ thống triển khai c) Tấn công Rogue DHCP Server Tấn công thực cách triển khai rogue DHCP Server hệ thống với công starvation Khi server DHCP thống bị cơng từ chối dịch vụ, DHCP client nhận địa IP Những gói tin DHCP Discovery (IPv4) Solicit (IPv6) phản hồi DHCP server giả với thông số thiết lập hướng giao thông mạng phía - Chống lại cơng DHCP Starvation Rogue Server: + DHCP Snooping: Một người dễ dàng đem server DHCP vào môi trường hệ thống, dù vơ tình hay hữu ý DHCP Snooping kĩ thuật phịng tránh việc Để giảm thiểu cơng, tính DHCP snooping kích hoạt thiết bị hệ thống để nhận diện port đáng tin cậy từ giao thơng DHCP thống Những port khác phản hồi yêu cầu DHCP bị bỏ qua Đây tính bảo mật cách lọc tin nhắn DHCP không đáng tin cách xây dựng bảng gắn kết DHCP snooping DHCP snooping có khả phân biệt giao diện không đáng tin (kết nối với user/host cuối) giao diện đáng tin (kết nối với DHCP server thống thiết bị đáng tin cậy) + Bảo mật port: Kích hoạt bảo mật port giúp giảm thiểu công cách giới hạn số lượng địa MAC port học, thiết lập hoạt động vi phạm, thời gian lão hóa, … d) ARP Poisoning (Giao thức phân giải địa ARP) ARP giao thức không quốc tịch sử dụng miền truyền tin để đảm bảo truyền thông cách phân giải địa IP thành ánh xạ địa máy MAC Nó hỗ trợ ánh xạ địa L2 L3 ARP bảo đảm kết nối địa MAC địa IP Bằng cách truyền ARP yêu cầu với địa IP, switch biết thông tin địa MAC kết nối từ phản hồi host Trong trường hợp khơng có khơng tìm ánh xạ, nguồn gửi tin đến tất nodes Chỉ có node với địa MAC kết hợp với IP phản hồi yêu cầu, chuyển tiếp gói tin chứa ánh xạ địa MAC Switch ghi nhớ địa MAC thông tin port kết nối vào bảng CAM cố định độ dài Nguồn tạo ARP yêu cầu cách gửi gói tin ARP Một node có địa MAC nhận yêu cầu phản hồi lại gói tin Frame tràn tất port (trừ port nhận frame) đầu vào bảng CAM tải Điều xảy địa MAC đích frame địa truyền tin Kĩ thuật MAC flooding dùng để chuyển switch thành hub, switch bắt đầu truyền gói tin Trong trường hợp này, user lấy gói tin khơng dành cho Tấn cơng ARP 4, DNS Poisoning DNS Poisoning kỹ thuật đánh lừa máy chủ DNS tin nhận thơng tin xác thực thực tế khơng Nó dẫn đến việc thay địa IP giả cấp DNS nơi địa web chuyển đổi thành địa IP số DNS Poisoning cho phép kẻ công thay mục nhập địa IP cho trang đích máy chủ DNS định địa IP máy chủ mà kẻ kiểm sốt Kẻ cơng tạo mục DNS giả mạo cho máy chủ (chứa nội dung độc hại) có tên với tên máy chủ mục tiêu a) Giả mạo DNS mạng nội (Intranet DNS Spoofing) Intranet DNS Spoofing thường thực mạng LAN với Switced Network Với hỗ trợ kĩ thuật ARP poisoning, kẻ công triển khai Intranet DNS Spoofing Kẻ cơng nghe trộm gói tin, trích rút ID yêu cầu DNS phản hồi dịch IP sai để hướng giao thơng đến Kẻ cơng phải hành động nhanh chóng trước DNS server thống giải lệnh hỏi b) Internet DNS Spoofing Internet DNS Spoofing thực cách thay thiết lập DNS máy mục tiêu Tất lệnh hỏi DNS hướng đến DNS server ác ý mà kẻ công điều khiển Internet DNS Spoofing thường thực nhờ triển khai Trojan hay sửa đổi thiết lập DNS để chuyển hướng giao thông mạng c) Proxy Server DNS Poisoning Giống Internet DNS Spoofing, Proxy Server DNS poisoning triển khai cách thay thiết lập DNS từ trình duyệt web mục tiêu Tất lệnh hỏi hướng đến server ác ý để hướng giao thông mạng đến thiết bị kẻ công d) DNS Cache Poisoning Như biết, người dùng Internet sử dụng DNS nhà cung cấp dịch vụ internet (ISP) Trong hệ thống, tổ chức sử dụng DNS Server để cải thiện hoạt động cách ghi nhớ đệm thường xuyên DNS Cache poisoning thực nhờ khai thác sai sót phần mềm DNS Kẻ cơng thêm hay chỉnh sửa đầu vào nhớ đệm DNS, từ hướng giao thơng mạng đến site ác ý Khi Internal DNS server khơng thể xác nhận tính hợp lệ phản hồi DNS từ DNS server có thẩm quyền, cập nhật đầu vào cục để giải yêu cầu user III, ĐÁNH GIÁ MỨC ĐỘ NGHIÊM TRỌNG 1, MAC Attacks Khi bảng CAM switch đầy, lưu lượng truy cập yêu cầu ARP tràn ngập cổng switch Điều thay đổi hành vi Switch để đặt lại thành chế độ học tập, phát cổng tương tự Hub Cuộc công lấp đầy bảng CAM switch liền kề MAC Flooding liên quan đến việc làm ngập bảng CAM với địa MAC giả mạo cặp IP đầy Sau đó, Switch hoạt động hub cách phát gói đến tất máy mạng kẻ cơng đánh lưu lượng cách dễ dàng MAC Flooding kỹ thuật cơng mạng phổ biến, gây hậu nghiêm trọng cho hệ thống mạng Dưới đánh giá mức độ nghiêm trọng MAC Flooding: - Độ ảnh hưởng: MAC Flooding gây ảnh hưởng nghiêm trọng đến hệ thống mạng, bao gồm: + Gián đoạn hoạt động hệ thống mạng + Làm chậm tốc độ truyền liệu mạng + Gây cố bảo mật an ninh mạng - Độ khả khai thác: Kỹ thuật MAC Flooding sử dụng rộng rãi hacker công đơn giản để thực Người công sử dụng cơng cụ miễn phí Cain and Abel, Ettercap THC-IPV6 để thực cơng Vì vậy, độ khả khai thác MAC Flooding cao - Độ phổ biến: MAC Flooding kỹ thuật công phổ biến sử dụng nhiều công mạng Đặc biệt, thường sử dụng để cơng hệ thống mạng có kiến trúc cũ khơng cập nhật đầy đủ vá bảo mật Do đó, độ phổ biến MAC Flooding cao => MAC Flooding kỹ thuật cơng nguy hiểm, gây ảnh hưởng nghiêm trọng cho hệ thống mạng Nó dễ dàng để thực phổ biến, việc bảo vệ mạng khỏi công quan trọng 2, DNS Poisning DNS Poisoning kỹ thuật cơng mạng đáng sợ, gây hậu nghiêm trọng cho hệ thống mạng Dưới đánh giá mức độ nghiêm trọng DNS Poisoning: - Độ ảnh hưởng: DNS Poisoning gây ảnh hưởng nghiêm trọng đến hệ thống mạng, bao gồm: + Đưa người dùng đến trang web giả mạo độc hại, dẫn đến thông tin cá nhân tài khoản ngân hàng + Gây gián đoạn hoạt động hệ thống mạng + Làm chậm tốc độ truyền liệu mạng + Gây cố bảo mật an ninh mạng - Độ khả khai thác: DNS Poisoning kỹ thuật cơng mạng phức tạp khó khăn để thực Tuy nhiên, sử dụng thành cơng nhiều cơng mạng thực cách sử dụng công cụ kỹ thuật cơng miễn phí Metasploit Framework, Cain and Abel DNS Spoofing Tool Vì vậy, độ khả khai thác DNS Poisoning cao - Độ phổ biến: DNS Poisoning kỹ thuật công mạng phổ biến sử dụng nhiều cơng mạng Nó thường sử dụng để cơng hệ thống 10 mạng có kiến trúc cũ không cập nhật đầy đủ vá bảo mật Do đó, độ phổ biến DNS Poisoning cao => DNS Poisoning kỹ thuật công mạng nguy hiểm, gây ảnh hưởng nghiêm trọng cho hệ thống mạng Nó khó khăn để thực phổ biến, việc bảo vệ mạng khỏi công quan trọng 3, ARP Poisning - ARP Poisoning kỹ thuật công mạng phổ biến, kẻ cơng sử dụng gói tin giả mạo ARP để lừa đảo thiết bị mạng khác chiếm đoạt thông tin truyền qua mạng Đây công mạng nghiêm trọng nhất, gây hậu nghiêm trọng cho tổ chức cá nhân - Độ ảnh hưởng ARP Poisoning nghiêm trọng, bao gồm liệu, gián đoạn dịch vụ, chí lây nhiễm mã độc Nếu kẻ cơng chiếm quyền kiểm sốt mạng, họ thực công khác thiết bị mạng, lấy cắp thông tin nhạy cảm thay đổi thông tin quan trọng - Độ khả khai thác ARP Poisoning cao, kỹ thuật công mạng đơn giản dễ dàng thực Kẻ cơng cần có phần mềm độc hại thiết bị đơn giản để thực cơng này, khơng cần có kỹ cao lập trình - ARP Poisoning loại công mạng phổ biến nhất, sử dụng để công tổ chức, doanh nghiệp, người dùng cá nhân Nó sử dụng để công loại thiết bị mạng, bao gồm thiết bị di động máy tính cá nhân => ARP Poisoning cơng mạng nghiêm trọng, gây nhiều hậu nghiêm trọng cho tổ chức cá nhân Nó có độ khả khai thác cao loại công phổ biến Do đó, việc bảo vệ mạng khỏi công quan trọng cần thực đầy đủ để đảm bảo an toàn cho hệ thống mạng 4, DHCP Attacks DHCP Attacks loại cơng mạng nhằm mục đích cơng xâm nhập vào hệ thống DHCP (Dynamic Host Configuration Protocol) để lấy thơng tin địa IP cấu hình liên quan Mức độ nghiêm trọng DHCP Attacks phụ thuộc vào số yếu tố sau: 11 - Độ ảnh hưởng: DHCP Attacks gây nhiều ảnh hưởng tiêu cực cho hệ thống mạng Các máy tính thiết bị khác khơng thể kết nối đến mạng kết nối bị chiếm giữ địa IP kẻ cơng Ngồi ra, kẻ cơng thực công khác giả mạo địa MAC, công man-in-the-middle tiết lộ thông tin nhạy cảm - Độ khả khai thác: DHCP Attacks khai thác dễ dàng cách sử dụng công cụ cơng mạng có sẵn chí cách sử dụng kỹ thuật công đơn giản ARP Spoofing Việc khai thác thành cơng DHCP Attacks cho phép kẻ công truy cập vào tài nguyên liệu quan trọng hệ thống mạng - Độ phổ biến: DHCP Attacks loại công phổ biến cơng mạng Kẻ cơng sử dụng nhiều kỹ thuật khác để thực cơng Bên cạnh đó, DHCP Attacks khơng tác động đến doanh nghiệp lớn mà tác động đến tổ chức nhỏ người dùng cá nhân => DHCP Attacks loại công mạng nghiêm trọng gây nhiều hậu tiêu cực khai thác dễ dàng kẻ công IV, GIẢI PHÁP KHẮC PHỤC Thay đổi mật khẩu: Nếu bạn cho tài khoản bị lộ thơng tin đăng nhập, thay đổi Sử dụng phần mềm diệt virus: Sử dụng phần mềm virus để quét loại bỏ phần mềm độc hại virus khỏi máy tính Tắt chế độ Promiscuous Mode Sử dụng cơng cụ để xác định xem có NIC chạy chế độ Promiscuous mode(là chế độ mạng công nghệ thông tin cho phép thiết bị mạng (chẳng hạn network interface card - NIC) nhận phân tích tất gói tin truyền qua mạng, thay nhận gói tin định tuyến đến Khi chế độ promiscuous, NIC nhận gói tin mà khơng phải đích đến nó) Nếu biết kẻ cơng sử dụng cơng cụ sniffing để theo dõi lưu lượng mạng bạn, tắt chế độ promiscuous mode để ngăn chặn họ khỏi thu thập thông tin Kiểm tra lại mạng thiết bị kết nối Kiểm tra thiết bị kết nối mạng, router, switch thiết bị khác để xem liệu có bị thay đổi cấu hình, hay bị lây nhiễm phần mềm độc hại Sử dụng giao thức bảo mật 12 Sử dụng giao thức bảo mật để mã hóa liệu ngăn chặn kẻ công sniffing: + Sử dụng HTTPS thay http để bảo vệ tài khoản mật + Sử dụng switch thay hub switch gửi liệu đến người nhận dự định + Sử dụng SFTP, thay FTP để truyền tệp an toàn + Sử dụng PGP S/MIPE, VPN, IPSec, SSL/TLS, Secure shell(SSH) mật dùng lần - SSL (Secure Socket Layer) Một giao thức mã hoá phát triển cho hầu hết Webserver, Web Browser thông dụng SSL sử dụng để mã hố thơng tin nhạy cảm để gửi qua đường truyền : Số thẻ tin dụng khách hàng, password thông tin quan - PGP S/MIME E-mail có khả bị kẻ công ác ý Sniffer Khi Sniffer E-mail không mã hố, chúng khơng biết nội dung mail, mà chúng cịn biết thơng tin địa người gửi, địa người nhận…Chính để đảm bảo an tồn tính riêng tư cho E-mail bạn cần phải mã hố chúng…S/MIME tích hợp hầu hết chương trình gửi nhận Mail Netscape Messenger, Outlock Express…PGP giao thức sủ dụng để mã hố E- mail Nó có khả hỗ trợ mã hoá DSA, RSA lên đến 2048 bit liệu - OpenSSH Khi bạn sử dụng Telnet, FTP…2 giao thức chuẩn khơng cung cấp khả mã hố liệu đường truyền Đặc biệt nguy hiểm khơng mã hố Password, chúng gửi Password qua đường truyền dạng Clear Text Điều xảy liệu nhạy cảm bị Sniffer OpenSSH giao thức đời để khắc phục nhược điểm này: ssh (sử dụng thay Telnet), sftp (sử dụng thay FTP)… - VPNs (Virtual Private Network) Được sử dụng để mã hoá liệu truyền thong Internet Tuy nhiên Hacker công thoả hiệp Node của kết nối VPN đó, chúng tiến hành Sniffer Một ví dụ đơn giản,là người dung Internet lướt Web sơ ý để nhiễm RAT (Remoto Access Trojan), thường loại Trojan thường có chứa sẵn Plugin Sniffer Cho đến người dùng bất cẩn thiết lập kết nối VPN Lúc Plugin Sniffer Trojan hoạt động có khả đọc liệu chưa mã hoá trước đưa vào VPN Để phịng chống cơng kiểu này: bạn cần 13 nâng cao ý thức cảnh giác cho người sử dụng hệ thống mạng VPN bạn, đồng thời sử dụng chương trình quét Virus để phát ngăn chặn không để hệ thống bị nhiễm Trojan + Ln mã hóa lưu lượng khơng dây giao thức mã hóa mạnh WPA WPA2 + Lấy MAC trực tiếp từ NIC thay OS, điều ngăn chặn Giả mạo địa MAC + Sử dụng cơng cụ để xác định xem có NIC chạy chế độ Promiscuous mode (là chế độ mạng công nghệ thông tin cho phép thiết bị mạng (chẳng hạn network interface card - NIC) nhận phân tích tất gói tin truyền qua mạng, thay nhận gói tin định tuyến đến Khi chế độ promiscuous, NIC nhận gói tin mà khơng phải đích đến nó) Cài đặt tường lửa: Cài đặt tường lửa để ngăn chặn kết nối không mong muốn giảm thiểu nguy V, KẾT LUẬN Trong báo cáo tiểu luận, nhóm sử dụng cơng MAC, công DHCP, công đầu độc ARP, công giả mạo kỹ thuật đầu độc DNS để đánh lưu lượng mạng Việc nghe lưu lượng mạng vấn đề nghiêm trọng bảo mật thơng tin Kẻ cơng sử dụng công MAC, DHCP, ARP, giả mạo đầu độc DNS để đánh thông tin nhạy cảm Để đối phó với vấn đề này, biện pháp bảo vệ cần áp dụng sử dụng địa IP tĩnh bảng ARP tĩnh, phiên mã hóa SSH, chép bảo mật (SCP), SSL để truyền liệu Việc áp dụng biện pháp bảo vệ giúp tăng cường độ an toàn bảo mật cho mạng thông tin 14 TÀI LIỆU THAM KHẢO 1, Nguyễn Ngọc Điệp, Bài giảng Kiểm thử xâm nhập, Học viện Cơng nghệ Bưu Viễn thơng, 2021 2, Tài liệu hướng dẫn tìm hiểu đề tài giảng viên TS Đinh Trường Duy 15