Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 45 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
45
Dung lượng
5,21 MB
Nội dung
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN - BÁO CÁO Mơn: An Tồn Mạng Đề tài: Tìm hiểu Wireshark công cụ hỗ trợ bảo mật mạng Họ tên : Tơ Thiên Long Mã SV : B18DCAT148 Nhóm môn học: 02 Giảng viên : TS.Đặng Minh Tuấn Hà Nội,12/2021 MỤC LỤC MỤC LỤC LỜI CẢM ƠN DANH MỤC CÁC TỪ VIẾT TẮT LỜI MỞ ĐẦU I.CÁC CÁCH THỨC NGHE GÓI TIN TRÊN MẠNG 1.1 Living Promiscuously (chế độ bắt tất gói tin qua) 1.2 “Nghe” mạng có Hub 1.3 “Nghe” mạng Switched 1.4 Nghe mạng sử dụng Router II.GIỚI THIỆU VỀ WIRESHARK 2.1 Mục đích sử dụng 10 2.2 Một số tính nâng cao Wireshark 10 III.CÀI ĐẶT VÀ HƯỚNG DẪN SỬ DỤNG WIRESHARK 14 3.1.Cài đặt 14 3.1.1 Cài đặt Window 14 3.1.2 Cài đặt Kali linux 26 3.1.2 Cài đặt Ubuntu 26 3.2.Hướng dẫn sử dụng 28 IV.CÁC BÀI LAB DEMO 31 4.1 Bắt phân tích gói tin 31 4.2 Session Hijacking sử dụng Wireshark 36 4.3 Sniffing attack 40 V ĐÁNH GIÁ, KẾT LUẬN 43 5.1 Đánh giá 43 5.2 Kết luận 43 VI TÀI LIỆU THAM KHẢO 44 LỜI CẢM ƠN Lời em xin gửi lời cảm ơn tới thầy TS Đặng Minh Tuấn đồng hành giảng dạy cho em suốt mơn An Tồn Mạng khơng chun mơn mà thầy chia sẻ câu chuyện thú vị ngành kinh nghiệm đóng góp thầy cho CNTT nước nhà.Dưới báo cáo kết thúc mơn học An Tồn Mạng với đề tài “Tìm hiểu WireShark cơng cụ hỗ trợ bảo mật mạng ” Bài báo cáo khơng tránh sai sót mong nhận góp ý thầy để em hồn thiện báo cáo sau Em xin chân thành cảm ơn! DANH MỤC CÁC TỪ VIẾT TẮT CPU Central Processing Unit (Bộ xử lý trung tâm ) ARP Address Resolution Protocol hay ARP(Giao thức phân giải địa chỉ) MAC Media Access Control( Điều khiển truy nhập môi trường) IP Internet Protocol(Giao thức Internet) ACK Acknowledgement( Xác nhận) TCP Transmission Control Protocol( giao thức điều khiển truyền nhận) DNS Domain Name System(Hệ thống tên miền ) ICMP Internet Control Message Protocol(Giao thức Thơng báo Kiểm sốt Internet) NIC Network Interface Card(Card giao tiếp mạng ) DHCP Dynamic Host Configuration Protocol(Giao thức cấu hình động máy chủ ) LỜI MỞ ĐẦU Hằng ngày, có hàng triệu vấn đề lỗi mạng máy tính, từ việc đơn giản nhiễm Spyware việc phức tạp lỗi cấu hình router, vấn đề xử lý tất Tốt hi vọng thực cơng việc cách chuẩn bị đầy đủ kiến thức công cụ tương ứng với vấn đề Tất vấn đề mạng xuất phát mức gói, nơi mà khơng có che dấu chúng ta, nơi mà khơng có thứ bị ẩn bới cấu trúc menum hình ảnh bắt mắt nhân viên không đáng tin cậy Không có bí mật ,và điều khiển mạng giải vấn đề Đây giới phân tích gói tin Phân tích gói tin, thơng thường quy vào việc nghe gói tin phân tích giao thức, mơ tả trình bắt phiên dịch liệu sống luồng lưu chuyển mạng với mục tiêu hiểu rõ điều diễn mang Phân tíc gói tin thường thực packet sniffer, công cụ sử dụng để bắt liệu thô lưu chuyển đường dây Phân tích gói tin giúp hiểu cấu tạo mạng, mạng, xác định sử dụng băng thông, thời điểm mà việc sử dụng mạng đạt cao điểm, khả công hành vi phá hoại, tìm ứng dụng khơng bảo mật Có vài kiểu chương trình nghe gói tin, bao gồm miễn phó sản phẩm thương mại Mỗi chương trình thiết kế với mục tiêu khác Một vài chương trình nghe gói tin phổ biến Tcpdump (a command-line program), OmniPeek, Wireshark (cả hai chương trình có giao diện đồ họa) Khi lựa chọn chương trình nghe gói tin, ta cần phải quan tâm đến số vấn đề: giao thức mà chương trình hỗ trợ, tính dễ sử dụng, chi phí, hỗ trợ kỹ thuật chương trình hỗ trợ cho hệ điều hành nào, Wireshark phần mềm đáp ứng mong muốn Vì em nghiên cứu tìm hiểu phần mềm Wireshark, với mong muốn giới thiệu chương trình điển hình với nhiều tính mạnh hỗ trợ việc bắt phân tích gói tin cho tất người I.CÁC CÁCH THỨC NGHE GÓI TIN TRÊN MẠNG Các bước để nghe gói tin: Q trình nghe gói tin chia làm bước: thu thập liệu, chuyển đổi liệu phân tích Thu thập liệu: bước đầu tiên, chương trình nghe gói tin chuyển giao diện mạng lựa chọn sang chế độ Promiscuous Chế độ cho phép card mạng nghe tất gói tin lưu chuyển phân mạng Chương trình nghe gói sử dụng chế độ với việc truy nhập mức thấp để bắt liệu nhị phân đường truyền Chuyển đổi liệu: bước này, gói tin nhị phân chuyển đổi thành khn dạng đọc Phân tích: phân tích gói tin chuyển đổi Để thực việc bắt gói tin mạng, ta phải vị trí tương ứng để đặt “máy nghe” vào hệ thống đường truyền mạng Quá trình đơn giản đặt “máy nghe” vào vị trí vật lý mạng máy tính Việc nghe gói tin không đơn giản cắm máy xách tay vào mạng bắt gói Thực tế, nhiều việc đặt máy nghe vào mạng khó việc phân tích gói tin Thách thức việc chỗ có số lượng lớn thiết bị mạng phần cứng sử dụng để kết nối thiết bị với Lý loại thiết bị (hub, switch, router) có ngun lý hoạt động khác Và điều đòi hỏi ta phải nắm rõ cấu trúc vật lý mạng mà ta phân tích Chúng ta nghiên cứu số mạng thực tế để cách tốt để bắt gói tin mơi trường mạng sử dụng Hub, Switch Router 1.1 Living Promiscuously (chế độ bắt tất gói tin qua) Trước nghe gói tin mạng, ta cần card mạng có hỗ trợ chế độ Promiscuous Chế độ Promiscuous cho phép card mạng nhìn thấy thất gói tin qua hệ thống dây mạng Khi card mạng khơng chế độ này, nhìn thấy số lượng lớn gói tin mạng khơng gửi cho nó, huỷ (drop) gói tin Khi chế độ Promiscuous, bắt tất gói tin gửi tồn tới CPU 1.2“Nghe” mạng có Hub Việc nghe mạng có hub điều kiện mơ cho việc phân tích gói tin Cơ chế hoạt động Hub cho phép gói tin gửi tất cổng hub Hơn nữa, để phân tích máy tinh hub, tất công việc mà bạn cần làm cắm máy nghe vào cổng cịn trống hub Bạn nhìn thấy tất thông tin truyền nhận từ tất máy kết nối với hub đó, sổ tầm nhìn bạn khơng bị hạn chế mà máy nghe bạn kết nối với mạng hub 1.3“Nghe” mạng Switched Một môi trường switched kiểu mạng phổ biến mà bạn làm việc Switch cung cấp phương thức hiệu để vận chuyển liệu thông qua broadcast, unicast, multicast Switch cho phép kết nối song cổng (full-duplex), có nghĩa máy trạm truyền nhận liệu đồng thời từ switch Khi bạn cắm máy nghe vào cổng switch, bạn nhìn thấy broadcast traffic gói tin gửi nhận máy tính mà bạn sử dụng Có cách để bắt gói tin từ thiết bị mục tiêu mạng switch: port mirroring, ARP cache poisoning hubbing out Port Mirroring Port mirroring hay cịn gọi port spanning cách đơn giản để bắt lưu lượng từ thiết bị mục tiêu mạng switch Với cách này, bạn phải truy cập giao diện dòng lệnh switch mà máy mục tiêu cắm vào Tất nhiên switch phải hỗ trợ tính port mirroring có port trống để bạn cắm máy nghe vào Khi ánh xạ cổng, bạn copy toàn lưu lượng qua cổng sang cổng khác Hubbing Out Một cách đơn giản khác để bắt lưu lượng thiết bị mục tiêu mạng switch hubbing out Hubbing out kỹ thuật mà bạn đặt thiết bị mục tiêu máy nghe vào phân mạng cách đặt chúng trực tiếp vào hub Rất nhiều người nghĩ hubbing out lừa dối, thật giải pháp hồn hảo tình mà bạn khơng thể thực port mirroring có khả truy cập vật lý tới switch mà thiết bị mục tiêu cắm vào Trong hầu hết tình huống, hubbing out giảm tính song cơng thiết bị mục tiêu (full to haft) Trong phương thức cách để nghe, thường bạn sử dụng lựa chọn mà switch không hỗ trợ port mirroring Khi hubbing out, chắn bạn sử dụng hub switch bị gắn nhầm nhãn Khi mà bạn sử dụng hub, kiểm tra để chắn hub cách cắm máy tính vào nhìn xem máy nhìn thấy lưu lượng cịn lại khơng ARP Cache Poisoning Địa tầng (địa MAC) sử dụng chung với hệ thống hệ thống địa tầng Tất thiết bị mạng liên lạc với thông qua địa IP Do switch làm việc tầng 2, phải có khả phiên dịch địa tầng (MAC) sang địa tầng (IP) ngược lại để chuyển tiếp gói tin tới thiết bị tương ứng Q trình phiên dịch thực thông qua giao thức tầng ARP (Address Resolution Protocol) Khi máy tính cần gửi liệu cho máy khác, gửi yêu cầu ARP tới switch mà kết nối Switch gửi gói ARP broadcast tới tất máy kết nối với để hỏi Khi mà máy đích nhận gói tin này, thông báo cho switch cách gửi địa MAC Sau nhận gói tin phản hồi, Switch định tuyến kết nối tới máy đích Thông tin nhận được lưu trữ ARP cache switch switch không cần phải gửi thơng điệp ARP broadcast lần cần gửi liệu tới máy nhận ARP cache poisoning kỹ thuật nâng cao việc nghe đường truyền mạng switch Nó sử dụng phổ biến hacker để gửi gói tin địa sai tới máy nhận với mục tiêu để nghe trộm đường truyền công từ chối dịch vụ, ARP cache poisoning phục vụ cách hợp pháp để bắt gói tin máy mục tiêu mạng switch ARP cache poisoning q trình gửi thơng điệp ARP với địa MAC giả mạo tới switch router nhằm mục đích nghe lưu lượng thiết bị mục tiêu Có thể sử dụng chương trinh Cain & Abel để thực việc (http://www.oxid.it) 1.4 Nghe mạng sử dụng Router Tất kỹ thuật nghe mạng switch sử dụng mạng router Chỉ có việc cần quan tâm mà thực với mạng router quan trọng việc đặt máy nghe mà thực xử lý vấn đề liên quan đến nhiều phân mạng Broadcast domain thiết bị mở rộng gặp router Khi đó, lưu lượng chuyển giao sang dòng liệu router bạn liên lạc với gói tin bạn nhận ACK máy nhận trả Trong tình này, liệu lưu chuyển qua nhiều router, quan trọng để thực phân tích tất lưu lượng giao diện router (Ví dụ, liên quan đến vấn đề liên kết, bạn gặp phải mạng với số phân mạng kết nối với thơng qua router Trong mạng đó, phân mạng liên kết với phân mạng với mục đích lưu trữ tham chiếu liệu Vấn đề mà cố gắng giải phân mạng D kết nối với thiết bị phân mạng A.Khi mà bạn nghe lưu lượng thiết bị phân mạng D Khi đó, bạn nhìn tháy rõ ràng lưu lượng truyền tới phân mạng A, khơng có biên nhận (ACK) gửi lại Khi bạnnghe luồng lưu lượng phân mạng cấp để tìm nguyên nhân vấn đề, bạn tìm lưu lượng bị huỷ router phân mạng B Cuối dẫn đến việc bạn kiểm tra cấu hình router, đúng, giải vấn đề bạn Đó ví dụ điển hình lý cần nghe lưu lượng nhiều thiết bị nhiều phân mạng với mục tiêu xác định xác vấn đề.) Network Maps Để định việc đặt máy nghe đâu, cách tốt bạn phải biết cách rõ ràng mạng mà bạn định phân tích Nhiều việc xác định vấn đề chiếm nửa khối lượng công việc việc xử lý cố II.GIỚI THIỆU VỀ WIRESHARK WireShark có bề dầy lịch sử Gerald Combs người phát triển phần mềm Phiên gọi Ethereal phát hành năm 1998 Tám năm sau kể từ phiên đời, Combs từ bỏ công việc để theo đuổi hội nghề nghiệp khác Thật không may, thời điểm đó, ơng khơng thể đạt thoả thuận với công ty thuê ông việc quyền thương hiệu Ethereal Thay vào đó, Combs phần lại đội phát triển xây dựng thương hiệu cho sản phẩm “Ethereal” vào năm 2006, dự án tên WireShark WireShark phát triển mạnh mẽ đến nay, nhóm phát triển lên tới 500 cộng tác viên Sản phẩm tồn tên Ethereal không phát triển thêm Wireshark công cụ dùng để phân tích giao thức mạng Wireshark cho phép bạn xem chi tiết giao thức mạng có, bắt gói tin phân tích offline chúng, phân tích VoIP.Wireshark sử dụng thiết bị giám sát truyền đường dây mạng - tức hoạt động giống Vôn kế đường dây điện Trước đây, công cụ đắt tiền độc quyền Wireshark lại phần mềm mã nguồn mở phân tích gói tin tốt Phiên Wireshark tải từ https://www.wireshark.org/#download Dữ liệu bắt thông qua giao diện đồ hoạ qua TTY-mode tiện ích TShark Wireshark đọc/ghi nhiều dạng file tcpdump (libpcap), Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer®, … Dữ liệu nén dạng gzip bắt giải nén lập tức, Wireshark cung cấp nhiều phương thức giải nén cho nhiều phương thức khác IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, … Wireshark có hỗ trợ nhiều quy tắc tô màu cho phương thức khác nhau, giúp bạn phân tích chúng trực quan hơn.Wireshark làm việc với nhiều loại kết nối mạng, bao gồm Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, … Lợi ích Wireshark đem lại giúp cho trở nên phổ biến Nó đáp ứng nhu cầu nhà phân tích chun nghiệp nghiệp dư đưa nhiều tính để thu hút đối tượng khác 3- Thanh cơng cụ (Main Toolbar) Thanh cơng cụ có nút lệnh giúp người sử dụng nhanh chóng lệnh cần thiết.Lối tắt để sử dụng chức thường dùng thanhmenu 4- Thanh lọc (Filter toolbar): Truy cập nhanh đến chức filter.Thanh công cụ lọc cung cấp thao tác trực tiếp lọc hiển thị sử dụng 5- Ơ liệt kê gói tin (Packet list pane) Ô liệt kê gói tin hiển thị tóm tắt gói tin bắt Mỗi dịng danh sách ứng với gói tin file liệu thu thập Nếu chọn dịng này, Packet Details Packet Bytes hiển thị thông tin chi tiết gói tin tương ứng Khi phân tích gói tin, Wireshark lấy thơng tin từ phân tích giao thức đặt vào cột Vì thơng tin giao thức tầng cao ghi đè lên thông tin giao thức tầng thấp nên bạn nhìn thấy thơng tin giao thức tầng cao Ví dụ, giả sử gói tin TCP nằm bên gói tin IP, gói tin IP lại nằm bên frame Ethernet Bộ phân tích Ethernet ghi liệu (chẳng hạn địa card mạng), sau phân tích IP ghi đè liệu IP (ví dụ địa IP), cuối phân tích TCP ghi đè lên thơng tin IP Có nhiều cột thơng tin khác chọn hiển thị cột cách thiết lập tùy chọn (Preference settings) 6- Ô chi tiết gói tin (Packet details pane) Giao thức Ơ chi tiết gói tin hiển thị chi tiết gói tin chọn liệt kê gói tin Và trường gói tin biểu diễn dạng cây, dễ dàng mở rộng thu gọn lại 7- Ơ mã nhị phân gói tin (Packet bytes pane) 30 Ô mã nhị phân hiển thị liệu biểu diễn dạng số 16 gói tin chọn (là gói tin chọn gói tin chi tiết) Cột bên trái ghi vị trí tương đối (offset) liệu gói tin, cột liệu biểu diễn dạng số 16 cột bên phải kí tự ASCII tương ứng (hoặc dấu chấm (‘.’) kí tự khơng hiển thị được) 8- Thanh trạng thái (Status bar) Thanh trạng thái biểu diễn số thông tin thêm trạng thái chương trình liệu thu thập Thông thường phần bên trái hiển thị thơng tin liên quan đến ngữ cảnh (tên, kích thước file liệu thu thập, thời gian thực thu thập), phần bên phải hiển thị số lượng gói tin thu thập Các thích: - PACKETS: số gói tin bắt - DISPLAYED: số gói tin hiển thị - DROPPED: số gói tin đánh dấu IV.CÁC BÀI LAB DEMO 4.1 Bắt phân tích gói tin Kịch bản: Sử dụng Wireshark để bắt phân tích gói tin thơng qua mang Wifi Lưu lượng gói tin qua Wi-Fi hiển thị sau : 31 ta thấy cơng cụ có nút màu đỏ, nút sử dụng capture gói tin bắt Sau kích vào đó, wireshark dừng cập nhật gói tin ta lưu lại gói tin kích vào File sau chọn Save để lưu dạng file pcap Mở file có sẵn Lệnh sử dụng để chụp lại 100 gói tin qua giao diện mạng lưu vào file sau : tcpdump -i -c 100 -w .pcap 32 Để mở file pcap capture trước đó, ta cần kích vào File -> Open chọn file có pcap để xem Sử dụng Filter wireshark Ta sử dụng filter để loại bỏ gói mà ta khơng quan tâm Filter sử dụng bắt gói tin realtime sử dụng gói tin mở từ file pcap Chỉ bắt gói có IP trùng khớp Chỉ xem gói tin có IP đích trùng khớp với IP 192.168.1.54 Tương tự ta xem gói tin có IP nguồn khớp với IP 192.168.1.54 33 Chỉ xem gói có IP nguồn 192.168.1.54 IP đích 54.189.246.18 ta loại trừ gói với IP nguồn đích định Khơng bắt gói có IP nguồn 192.168.1.54 Chỉ bắt gói có port giao thức trùng khớp Chỉ xem gói có TCP port 80 34 Xem gói có TCP port 80 TCP port 443 Chỉ xem gói khơng sử dụng cổng 443 Chỉ bắt gói sử dụng dịch vụ http Bắt gói sử dụng giao thức UDP ICMP 35 4.2 Session Hijacking sử dụng Wireshark Kịch bản: Công cụ gồm: +Phần mềm Wireshark, tiện íc Editthiscookies google + Máy ảo (Win7) nạn nhân + Máy thật( Win 10) người cơng Mục đích: lấy gói tin có chứa thơng tin cookie lúc máy nạn nhân đăng nhập thành công vào trang web Tiếp theo, lấy giá trị cookie nạn nhân tiến hành đăng nhập vào trang web nạn nhân vào seesion khác Demo: Cài đặt tiện ích google 36 Chọn card mạng máy nạn nhân sử dụng, tìm địa IP (ở địa IP nạn nhân 192.168.237.130) Gõ http.cookie && ip.src == 192.168.237.130 Hiện máy nạn nhân chưa truy cập vào trang web Giả sử nạn nhân truy cập vào trang web ( forum.tnut edu.vn) 37 Nạn nhân tiến hành đăng nhập bình thường Trở lại máy cơng tìm gói tin có thơng tin POST/HTTP/1.1(application/x…) Đọc gói tin phần có chưa cookie để lấy giá trị 38 Mở trình duyệt máy công truy cập vào trang web mà nạn nhân truy cập -sử dụng Editthiscookie để chỉnh sửa cookie 39 Reload lại trang đăng nhập thành công 4.3 Sniffing attack Kịch bản: Bạn ngồi quán café sử dụng wifi miễn phí, bạn đăng nhập vào website mà sử dụng HTTP cho việc xác thực thông tin Cách mà hacker thực hiện: Bước 1: Cài đặt Wireshark lên máy tính hacker Bước 2: Mở Wireshark chọn giao diện mạng cần để phân tích Bước 3: Giả sử bạn đăng nhập hacker thu thập gói tin bạn thơng qua Wireshark (trong trường hợp thu thập tất cẩ gói tin gửi mạng wifi mà bạn dùng).Và hacker dùng vài lọc có sẵn wireshark để xác định thứ mà họ cần Bước 4: Ở phần Filter, hacker nhập lọc http.request.method== “POST” 40 Với cú pháp lọc này.Wireshark liệt kê tất gói tin mà theo yêu cầu POST từ máy tính tới sever Demo: Khởi động Wireshark chọn card mạng mà nạn nhân sử dụng Trên máy nạn nhân đăng nhập vào trang web (ở forum.tnut edu.vn ) 41 Trở lại máy kẻ cơng filter Wireshark gõ http.request.method== “POST” Tìm gói tin POST/login/login HTTP/1.1 (application/x…) Đọc gói tin phần HTML form user password mà nạn nhân đăng nhập vào trang web 42 V ĐÁNH GIÁ, KẾT LUẬN 5.1 Đánh giá Sau tìm hiểu thực nghiệm em rút số đánh giá sau Ưu điểm: • Phần mềm miễn phí • Có sẵn cho nhiều tảng Windows & UNIX • Có thể xem thơng tin chi tiết gói mạng • Khơng độc quyền sử dụng nhiều nhà cung cấp không giống Cisco Prime Nhược điểm: • Thơng báo khơng hiển thị có xâm nhập vào mạng • Chỉ thu thập thơng tin từ mạng, khơng thể gửi 5.2 Kết luận Giao diện Wireshark giao diện phần mềm phân tích gói dễ dùng Wireshark ứng dụng đồ hoạ với hệ thống menu rât rõ ràng bố trí dễ hiểu Không số sản phẩm sử dụng dòng lệnh phức tạp TCPdump, giao diện đồ hoạ Wireshark thật tuyệt vời cho nghiên cứu giới phân tích giao thức Wireshark hỗ trợ hầu hết loại hệ điều hành Ngoài ra, Wireshark sản phẩm miễn phí GPL Bạn tải sử dụng Wireshark cho mục đích nào, kể với mục đích thương mại Do hiểu biết cịn thiếu sót, thời gian cịn hạn chế nên cịn nhiều điều chưa tìm hiểu cặn kẽ nhầm lẫn, Em mong thầy góp ý để hồn thiện tốt 43 VI TÀI LIỆU THAM KHẢO [1] Chris Sanders, PRACTICAL PACKET ANALYSIS, Using Wireshark to Solve Real-World Network Problems- No Startch Press, 2007 [2] Angela Orebaugh,Gilbert Ramirez,Josh Burke,Larry Pesce,Joshua Wright,Greg Morris, Wireshark & Ethereal Network Protocol Analyzer Toolkit- Syngress Publishing,2007 [3] Angela Orebaugh, Ethereal Packet Sniffing - Syngress Publishing, 2004 44 ... 1.4 Nghe mạng sử dụng Router Tất kỹ thuật nghe mạng switch sử dụng mạng router Chỉ có việc cần quan tâm mà thực với mạng router quan trọng việc đặt máy nghe mà thực xử lý vấn đề liên quan đến nhiều... tin mạng, ta cần card mạng có hỗ trợ chế độ Promiscuous Chế độ Promiscuous cho phép card mạng nhìn thấy thất gói tin qua hệ thống dây mạng Khi card mạng khơng chế độ này, nhìn thấy số lượng lớn. .. router, quan trọng để thực phân tích tất lưu lượng giao diện router (Ví dụ, liên quan đến vấn đề liên kết, bạn gặp phải mạng với số phân mạng kết nối với thông qua router Trong mạng đó, phân mạng