Đang tải... (xem toàn văn)
tấn công máy trong mạng langt ngăn ngừa phát hiện sửa chữa kịp thời các gian lận và sai sót thông qua thiết kế và thực hiện một cách thýờng xuyên liên tục và có hiệu lực ics trong đõn vịgt ngăn ngừa phát hiện sửa chữa kịp thời các gian lận và sai sót thông qua thiết kế và thực hiện một cách thường xuyên liên tục và có hiệu lực ics trong đơn vịlà dạng tấn công khó có thể phát hiện bởi tấn công này được sinh ra từ nhiều địa chỉ ip trên internetcách làm hiển thị thanh công cụ trong word 2010cách phát hiện phần mềm gián điệp trong máy tínhcách làm hiển thị thanh công cụ trong excel 2007thuật toán sử dụng để phát hiện ra tấn công ddosví dụ về hids hoạt động phát hiện các tấn công tới máy chủcách phát hiện có lượng chất dư và hướng giải quyết tấn công máy trong mạng langt ngăn ngừa phát hiện sửa chữa kịp thời các gian lận và sai sót thông qua thiết kế và thực hiện một cách thýờng xuyên liên tục và có hiệu lực ics trong đõn vịgt ngăn ngừa phát hiện sửa chữa kịp thời các gian lận và sai sót thông qua thiết kế và thực hiện một cách thường xuyên liên tục và có hiệu lực ics trong đơn vịlà dạng tấn công khó có thể phát hiện bởi tấn công này được sinh ra từ nhiều địa chỉ ip trên internetcách làm hiển thị thanh công cụ trong word 2010cách phát hiện phần mềm gián điệp trong máy tínhcách làm hiển thị thanh công cụ trong excel 2007thuật toán sử dụng để phát hiện ra tấn công ddosví dụ về hids hoạt động phát hiện các tấn công tới máy chủcách phát hiện có lượng chất dư và hướng giải quyết Các khái niệm căn bản về Sniffer. 1.1 Đôi nét về Sniffer : Khởi đầu Sniffer là tên một sản phẩm của Network Associates có tên là Sniffer Network Analyzer. Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng các lưu lượng thông tin trên môi trường mạng máy tính. Những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân (Binary). Bởi vậy để nghe lén và hiểu được những dữ liệu ở dạng nhị phân này, các chương trình Sniffer phải có tính năng được biết như là sự phân tích các nghi thức (Protocol Analysis), cũng như tính năng giải mã (Decode) các dữ liệu ở dạng nhị phân để hiểu được chúng. Trong một hệ thống mạng sử dụng những giao thức kết nối chung và đồng bộ. Bạn có thể sử dụng Sniffer ở bất cứ Host nào trong hệ thống mạng của bạn. Chế độ này được gọi là chế độ hỗn tạp (promiscuous mode). 1.2 Sniffer được sử dụng như thế nào ? Sniffer thường được sử dụng vào 2 mục đích : o Một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình. o Một chương trình được cài vào một hệ thống mạng máy tính với mục đích đánh hơi, nghe lén các thông tin trên đoạn mạng này... Một số tính năng của Sniffer : o Các Hacker sử dụng để bắt tên người sử dụng (Username) và mật khẩu không được mã hoá (Clear Text Password) trong hệ thống mạng của bạn.
Giáo viên hướng dẫn : Võ Đỗ Thắng Nhóm thực : 0512253 Bùi Xuân Phong 0512213 Phan Bảo Lộc 0512211 Hứa Thắnng Lộc 0512205 Nguyễn Kinh Luân 0512187 Quách Minh Khánh Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn Contents I Các khái niệm Sniffer 1.2 Sniffer sử dụng ? 1.3 Quá trình Sniffer diễn ? 1.4 Địa Ethernet MAC ? 1.4.1 Giới thiệu : 1.4.2 Chi tiết đỉa chị Ethernet MAC : II Các phương pháp phát Sniffer hệ thống mạng : 2.1 Phương pháp dùng Ping: 2.2 Phương pháp sử dụng ARP: 2.3 Phương pháp sử dụng DNS : 2.4 Phương pháp Source-Route : 2.5 Phương pháp giăng bẫy (Decoy) : 2.6 Phương pháp kiểm tra chậm trễ gói tin (Latency) : III Phương pháp ngăn chặn Sniffer hệ thống mạng : 3.1 Các hệ thống mạng có nguy Sniffer : 3.2 Các giao thức có nguy Sniffer: 3.3 Phương pháp ngăn chặn Sniffer liệu ? 10 3.4 Phương pháp ngăn chặn Sniffer Password : 11 3.5 Phương pháp ngăn chặn Sniffer thiết bị phần cứng : 11 3.6 Một số thuật ngữ : 12 IV Chương trình XARP : 14 4.1 Giới thiệu : 14 4.2 Giao diện chương trình : 14 4.3 Các mức bảo mật XARP : 15 4.4 Demo phát công ARP Poisoning : 16 Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn I Các khái niệm Sniffer 1.1 Đôi nét Sniffer : Khởi đầu Sniffer tên sản phẩm Network Associates có tên Sniffer Network Analyzer Sniffer hiểu đơn giản chương trình cố gắng nghe ngóng lưu lượng thơng tin mơi trường mạng máy tính Những giao dịch hệ thống mạng máy tính thường liệu dạng nhị phân (Binary) Bởi để nghe hiểu liệu dạng nhị phân này, chương trình Sniffer phải có tính biết phân tích nghi thức (Protocol Analysis), tính giải mã (Decode) liệu dạng nhị phân để hiểu chúng Trong hệ thống mạng sử dụng giao thức kết nối chung đồng Bạn sử dụng Sniffer Host hệ thống mạng bạn Chế độ gọi chế độ hỗn tạp (promiscuous mode) 1.2 Sniffer sử dụng ? Sniffer thường sử dụng vào mục đích : o Một cơng cụ giúp cho quản trị mạng theo dõi bảo trì hệ thống mạng o Một chương trình cài vào hệ thống mạng máy tính với mục đích đánh hơi, nghe thơng tin đoạn mạng Một số tính Sniffer : o Các Hacker sử dụng để bắt tên người sử dụng (Username) mật không mã hoá (Clear Text Password) hệ thống mạng bạn Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn o Giúp nhà quản trị theo dõi thông tin liệu đường truyền Họ đọc hiểu ý nghĩa liệu o Giúp nhà quản trị giám sát lưu lượng hệ thống qua quản trị viên phân tích lỗi mắc phải hệ thống lưu lượng mạng Ví dụ : Tại gói tin từ máy A khơng thể gửi sang máy B etc o Một số công cụ Sniffer tự động phát cảnh báo công thực vào hệ thống mạng mà hoạt động (Intrusion Detecte Service) Các Sniffer giúp ghi lại thông tin gói liệu, phiên truyền… Phục vụ cho cơng việc phân tích, khắc phục cố hệ thống mạng 1.3 Quá trình Sniffer diễn ? Công nghệ Ethernet xây dựng nguyên lý chia sẻ Theo khái niệm tất máy tính hệ thống mạng cục chia sẻ đường truyền hệ thống mạng Hiểu cách khác tất máy tính có khả nhìn thấy lưu lượng liệu truyền đường truyền chung Như phần cứng Ethernet xây dựng với tính lọc bỏ qua tất liệu khơng thuộc đường truyền chung với Quá trình lọc thực dự nguyên lý bỏ qua tất Frame có địa MAC khơng hợp lệ Sniffer tắt tính lọc sử dụng chế độ hỗn tạp (promiscuous mode) nhìn thấy tất lưu lượng thông tin hệ thống mạng 1.4 Địa Ethernet MAC ? 1.4.1 Giới thiệu : Khi nhiều máy tính mạng chia sẻ đường truyền Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn Thì thân máy phải có thơng tin nhận dạng khác Khi bạn gửi liệu từ bên hệ thống mạng Ethernet bạn phải biết rõ địa nơi bạn cần gửi liệu đến Thông tin dùng để nhận dạng máy tính mạng địa Ethernet MAC 1.4.2 Chi tiết đỉa chị Ethernet MAC : MAC dãy 12 số Hex Địa MAC dãy số 48 bits o 48 bits tiếp tục chia đôi o 24 bit xác định tên hãng sản xuất Ethernet Card bạn o 24 bit lại số hiệu Serial gán nhà sản xuất Đảm bảo nguyên tắc khơng có Ethernet Card có trùng địa MAC 24 bit thứ gọi OUI (Organizationally Unique Identifier) o Tuy nhiên OUI có độ dài thực 22 bit, bit dư lại sử dụng cho mục đích khác bit định địa Broadcast/Multicast (địa loan báo tin chung hệ thống mạng) bit lại sử dụng cần thiết lập lại địa cục cho Adapter II Các phương pháp phát Sniffer hệ thống mạng : Về mặt lý thuyết khó phát diện chương trình Sniffer hệ thống Bởi chúng bắt cố gắng đọc gói tin, chúng khơng gây xáo trộn hay mát Packet nghiêm trọng đường truyền Tuy nhiên thực tế lại có nhiều cách để phát diện Sniffer Khi đứng đơn lẻ máy tính khơng có truyền thơng khơng có dấu hiệu Tuy nhiên cài đặt máy tính khơng đơn lẻ có truyền thông, thân Sniffer phát sinh lưu lượng thơng tin Bạn truy vấn ngược DNS để tìm thơng tin liên quan đến địa IP Sau số phương pháp để phát Sniffer 2.1 Phương pháp dùng Ping: Hầu hết chương trình Sniffer cài đặt máy tính mạng sử dụng TCP/IP Stack Bởi bạn gửi yêu cầu đến máy tính này, chúng Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn phản hồi lại cho bạn kết Bạn gửi yêu cầu phản hồi tới địa IP máy tính mạng (máy mà bạn cần kiểm tra xem có bị cài đặt Sniffer hay khơng), khơng thơng qua Adapter Ethernet Lấy ví dụ cụ thể : Bạn nghi ngờ máy tính có địa IP 10.0.0.1, có địa MAC 00-40-05-A4-79-32 Đã bị cài đặt Sniffer Bạn hệ thống mạng Ethernet mà bạn nghi ngờ có kẻ tiến hành Sniffer Bạn thay đổi địa MAC bạn thành 00-40-05-A4-79-33 Bạn Ping đến địa IP địa MAC Trên ngun tắc khơng máy tính nhìn thấy nhìn thấy Packet Bởi Adapter Ethernet chấp nhận địa MAC hợp lệ Nếu bạn thấy trả lời từ địa mà bạn nghi ngờ địa lọc MAC (MAC Address Filter) Ethernet Card…Máy tính có địa IP 10.0.0.1 bị cài đặt Sniffer Bằng kỹ thuật Hacker né tránh phương pháp nêu Các Hacker sử dụng MAC Address ảo Rất nhiều hệ thống máy tính có Windows có tích hợp khả MAC Filtering Windows kiểm tra byte Nếu địa MAC có dạng FF-00-00-00-00-00, đơn giản Windows coi FF-FF-FF-FF-FF-FF Đây sơ hở cho phép Hacker khai thác đánh lừa hệ thống máy tính bạn Kỹ thuật phát Sniffer đơn giản thường sử dụng hệ thống Ethernet dựa Switch Bridge Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 2.2 Phương pháp sử dụng ARP: Phương pháp phát Sniffer tương tự phương pháp dùng Ping Khác biệt chỗ sử dụng Packet ARP Để thực trình bạn cần gửi Packet ARP đến địa mạng (khơng phải Broadcast) Nếu máy tính trả lời lại Packet ARP địa Thì máy tính cài đặt Sniffer chế độ hỗn tạp (Promiscuous Mode) Mỗi Packet ARP chứa đầy đủ thông tin người gửi người nhận Khi Hacker gửi Packet ARP đến địa loan truyền tin (Broadcast Address), bao gồm thơng tin địa IP bạn địa MAC phân giải Ethernet Ít phút sau máy tính hệ thống mạng Ethernet nhớ thông tin Bởi Hacker gửi Packet ARP không qua Broadcast Address Tiếp ping đến Broadcast Address Lúc máy tính trả lời lại mà khơng ARPing, chụp thông tin địa MAC máy tính cách sử dụng Sniffer để chụp khung ARP (ARP Frame) 2.3 Phương pháp sử dụng DNS : Rất nhiều chương trình Sniffer có tính phân giải ngược địa IP thành DNS mà chúng nhìn thấy (như dsniff) Bởi quan sát lưu lượng truyền thơng DNS bạn phát Sniffer chế độ hỗn tạp (Promiscuous Mode) Để thực phương pháp này, bạn cần theo dõi trình phân giải ngược DNS Server bạn Khi bạn phát hành động Ping liên tục với mục đích thăm dò đến địa IP không tồn hệ thống mạng bạn Tiếp hành động cố gắng phân giải ngược địa IP biết từ Packet ARP Khơng khác hành động chương trình Sniffer Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 2.4 Phương pháp Source-Route : Phương pháp sử dụng thông tin địa nguồn địa đích Header IP để phát hành động Sniffer đoạn mạng Tiến hành ping từ máy tính đến máy tính khác Nhưng tính Routing máy tính nguồn phải vơ hiệu hố Hiểu đơn giản làm để gói tin khơng thể đến đích Nếu bạn thấy trả lời, đơn giản hệ thống mạng bạn bị cài đặt Sniffer Để sử dụng phương pháp bạn cần sử dụng vào vài tuỳ chọn Header IP Để Router bỏ qua địa IP đến tiếp tục chuyển tiếp đến địa IP tuỳ chọn Source-Route Router Lấy ví dụ cụ thể : o Bob Anna nằm đoạn mạng Khi có người khác đoạn mạng gửi cho cô ta vài Packet IP nói chuyển chúng đến cho Bob Anna Router, cô ta Drop tất Packet IP mà người muốn chuyển tới Bob (bởi cô ta làm việc này) Một Packet IP không gửi đến Bob, mà trả lời lại Điều vô lý, sử dụng chương trình Sniffer 2.5 Phương pháp giăng bẫy (Decoy) : Tương tự phương pháp sử dụng ARP sử dụng phạm vi mạng rộng lớn (gần khắp nơi) Rất nhiều giao thức sử dụng Password khơng mã hố đường truyền, Hacker coi trọng Password này, phương pháp giăng bẫy thoả mãn điều Đơn giản bạn cần giả lập Client sử dụng Service mà Password khơng mã hố : POP, FTP, Telnet, IMAP Bạn cấu hình User khơng có quyền hạn, hay chí User không tồn Khi Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn Sniffer thông tin coi «q giá» Hacker tìm cách kiểm tra, sử dụng khai thác chúng Bạn làm gí ??? 2.6 Phương pháp kiểm tra chậm trễ gói tin (Latency) : Phương pháp làm giảm thiểu lưu thông hệ thống mạng bạn Bằng cách gửi lượng thơng tin lớn đến máy tính mà bạn nghi bị cài đặt Sniffer Sẽ khơng có hiệu ứng gí đáng kể máy tính hồn tồn khơng có Bạn ping đến máy tính mà bạn nghi ngờ bị cài đặt Sniffer trước thời gian chịu tải thời gian chị tải Để quan sát khác thời điểm Tuy nhiên phương pháp tỏ không hiệu Bản thân Packet IP gửi đường truyền gây trậm trễ thất lạc Cũng Sniffer chạy chế độ “User Mode” xử lý độc lập CPU cho kết khơng xác III Phương pháp ngăn chặn Sniffer hệ thống mạng : 3.1 Các hệ thống mạng có nguy Sniffer : Cable Modem DSL ADSL Switched Network Wireless like IEEE 802.11 a.k.a AirPort (hệ thống mạng không dây) 3.2 Các giao thức có nguy Sniffer: Telnet, Rlogin Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn SNMP NNTP POP, IMAP, SMTP FTP 3.3 Phương pháp ngăn chặn Sniffer liệu ? Có lẽ cách đơn giản để ngăn chặn kẻ muốn Sniffer liệu sử dụng giao thức mã hoá chuẩn cho liệu đường truyền Khi mã hố liệu, kẻ cơng ác ý Sniffer liệu, chúng lại khơng thể đọc sdfds SSL (Secure Socket Layer) : Một giao thức mã hoá phát triển cho hầu hết Webserver, Web Browser thơng dụng SSL sử dụng để mã hố thông tin nhạy cảm để gửi qua đường truyền : Số thẻ tin dụng khách hàng, password thông tin quan trọng PGP S/MIME: E-mail có khả bị kẻ cơng ác ý Sniffer Khi Sniffer E-mail khơng mã hố, chúng nội dung mail, mà chúng biết thơng tin địa người gửi, địa người nhận…Chính để đảm bảo an tồn tính riêng tư cho E-mail bạn cần phải mã hoá chúng… S/MIME tích hợp hầu hết chương trình gửi nhận Mail Netscape Messenger, Outlock Express…PGP giao thức sủ dụng để mã hố E-mail Nó có khả hỗ trợ mã hố DSA, RSA lên đến 2048 bit liệu OpenSSH: Khi bạn sử dụng Telnet, FTP…2 giao thức chuẩn khơng cung cấp khả mã hố liệu đường truyền Đặc biệt nguy hiểm không mã hoá Password, chúng gửi Password qua đường truyền dạng Clear Text Điều xảy liệu nhạy cảm bị Sniffer OpenSSH giao thức đời để khắc phục nhược điểm này: SSH (sử dụng thay Telnet), SFTP (sử dụng thay FTP)… Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 10 VPNs (Virtual Private Networks): Được sử dụng để mã hố liệu truyền thơng Internet Tuy nhiên Hacker công thoả hiệp Node của kết nối VPN đó, chúng tiến hành Sniffer Một ví dụ đơn giản,là người dùng Internet lướt Web sơ ý để nhiễm RAT (Remoto Access Trojan), thường loại Trojan thường có chứa sẵn Plugin Sniffer Cho đến người dùng bất cẩn thiết lập kết nối VPN Lúc Plugin Sniffer Trojan hoạt động có khả đọc liệu chưa mã hố trước đưa vào VPN Để phòng chống công kiểu này: bạn cần nâng cao ý thức cảnh giác cho người sử dụng hệ thống mạng VPN bạn, đồng thời sử dụng chương trình quét Virus để phát ngăn chặn không để hệ thống bị nhiễm Trojan 3.4 Phương pháp ngăn chặn Sniffer Password : Để ngăn chăn kẻ công muốn Sniffer Password Bạn đồng thời sử dụng giao thức, phương pháp để mã hoá password sử dụng giải pháp chứng thực an tồn (Authentication): SMB/CIFS: Trong mơi trường Windows/SAMBA bạn cần kích hoạt tính LANmanager Authencation Keberos: Một giải pháp chứng thực liệu an toàn sử dụng Unix Windows Stanford SRP (Secure Remote Password): Khắc phục nhược điểm khơng mã hố Password truyền thong giao thức FTP Telnet Unix: Df 3.5 Phương pháp ngăn chặn Sniffer thiết bị phần cứng : Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 11 Việc thay Hub bạn Switch, cung cấp phòng chống hiệu Switch tạo “Broadcast Domain” có tác dụng gửi đến kẻ cơng gói ARP khơng hợp lệ (Spoof ARP Packet) Tuy nhiên Hacker có cách thức khéo léo để vượt qua phòng thủ Các yêu cầu truy vấn ARP chứa đựng thơng tin xác từ IP MAC người gửi Thông thường để giảm bớt lưu lượng ARP đường truyền, đa số máy tính đọc sử dụng thơng tin từ đệm (Cache) mà chúng truy vấn từ Broadcast Bởi Hacker Redirect máy tính gần để vượt qua phòng thủ cách gửi gói ARP chứa đựng thơng tin địa IP Router đến địa MAC Tất máy tính hệ thống mạng cục nhầm tưởng Router thiết lập phiên truyền thơng qua máy tính Một công DOS tương tự hệ thống mạng cục bộ, thành công đá văng mục tiêu mà họ muốn công khỏi mạng bắt đầu sử dụng địa IP máy tính vừa bị cơng Những kẻ cơng khéo léo thừa kể sử dụng kết nối Bản than Windows phát hành động này, khơng hành động mà lại tử tế đóng Stack TCP/IP cho phép kết nối tiếp tục Để phòng chống lại công dạng bạn cần sử dụng công cụ IDS (Intrusion Detecte Service) Các IDS BlackICE IDS, Snort tự động phát cảnh báo công dạng Hầu hết Adapter Ethernet cho phép cấu hình địa MAC tay Hacker tạo địa Spoof MAC cách hướng vào địa Adapter Để khắc phục điều này, hầu hết Switch khơng cho phép tự ý cấu hình lại địa MAC 3.6 Một số thuật ngữ : Ethernet : Một cơng nghệ nối mạng có lực mạnh sử dụng hầu hết mạng LAN Wireless : Các công nghệ nối mạng không dây Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 12 Serial Direct Cable Connection : Công nghệ kết nối máy tính Cable truyền nhận liệu PPP (Point-to-Point Protocol) : Một giao thức kết nối Internet tin cậy thông qua Modem IP (Internet Protocol) : Giao thức dùng để xử lý chế truyền liệu thực tế Là sở cho việc định hướng vận chuyển liệu Internet ICMP (Internet Control Message Protocol) : Giao thức xử lý thơng báo trạng thái cho IP, ví dụ báo lỗi thay đổi mạng ảnh hưởng đến việc định tuyến ARP (Address Resolution Protocol) : Giao thức chuyển địa mạng sang địa phần cứng vật lý tương dùng thông điệp Broadcast Dùng để xác định địa mạng RARP (Reverse Address Resolution Protocol) : Làm công việc ngược lại ARP, chuyển địa phần cứng từ máy sang địa IP TCP (Transmission Control Protocol) : Một giao thức, dịch vụ dựa kết nối, điều cho phép máy nhận gửi liệu truyền thông với vào lúc, nơi UDP (User Datagram Protocol) : Một giao thức, dịch vụ không kết nối, hai máy gửi nhận không truyền thông với thông qua kết nối liên tục Telnet : Giao thức cho phép đăng nhập từ xa đê người ding máy kết nối với máy hoạt động ngồi máy FTP (File Transfer Protocol) : Giao thức truyền liệu từ máy sang máy khác ding giao thức TCP SMTP (Simple Mail Transfer Protocol) : Giao thức dùng để truyền nhận thư điện tử máy Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 13 DNS (Domain Name Service) : Xác định địa máy tính từ tên chữ sang số Còn nhiều giao thức dịch vụ khác tầng Nhưng khuôn khổ viết lên nêu số giao thức dịch vụ IV Chương trình XARP : 4.1 Giới thiệu : XARP công cụ giao diện đồ họa dùng để giám sát ARP Cache máy tính.Nó gửi request định kỳ đến bảng ARP cache máy tính báo cáo thay đổi việc ánh xạ địa IP địa MAC ARP cache.Do sử dụng để phát kiểu công ARP Poisoning mạng LAN XARP chương trình miễn phí.Nó chạy hệ điều hành windows 2000 windows xp 4.2 Giao diện chương trình : Normal View : Advance View : Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 14 4.3 Các mức bảo mật XARP : Minimal : mức security thấp nhất,ở mức XARP không thực việc discovery mà thực việc detect cách bị động.Các module giám sát có XARP phát phương thức công Basic : phương thức thao tác với chiến lược phát công mặc định mà từ phát phương thức công chuẩn.Đây mức bảo mật đề nghị cho môi trường High : high security level thêm vào phương thức discovery network,tốc độ phát cao phương thức trên,tuy nhiên phải gửi thêm nhiều gói tin discovery vào mạng.Trong vài mơi trường,dùng mức độ cho cảnh báo sai Aggressive : aggressive security level enable tất module giám sát tất gói tin ARP gửi gói tin discovery với tần suất cao hơn.Sử dụng mức bảo mật cho cảnh báo cơng sai Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 15 4.4 Demo phát công ARP Poisoning : Đầu tiên từ máy mạng LAN mở chương trình Cain lên bắt đầu thực việc sniffer công dạng ARP Poisoning : Tiếp theo chương trình Cain ta tiến hành chọn interface để tiến hành việc sniffer LAN : Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 16 Sau chọn card mạng ta thực sniffer cách click vào button Start/Stop Sniffer hình : Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 17 Sau đó,trong mục host gốc hình ta scan địa mac address tất host mạng hình sau : Tiếp theo nhấn nút start/stop arp,sau add địa ip máy mà muốn giám sát : Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 18 Trong máy có ip 192.168.1.100 ta mở chương trình XARP cài đặt,sử dụng mức bảo mật basic,ta phát việc công ARP Poisoning thông qua cảnh báo chương trình : Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 19 Và thống kê chương trình tất cảnh báo (hàng màu đỏ cảnh báo việc thay đổi địa mac address): Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 20 Sử dụng XARP cách chống lại việc công ARP Poisoning mạng LAN hiệu Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 21