REVISION HISTORY
Date Version Description Author
23/10/2013 1.0 Generation for release Trịnh Thị Mỹ Nương
DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT
Ký hiệu Ý nghĩa
Sniffing Nghe lén
MAC Media Access Control
DNS Domain Name System
ARP Address Resolution Protocol
DHCP Dynamic Host Configuration Protocol
CAM Content Address Memory
OUI Organizationally Unique Identifier
DAI Dynamic ARP Inspection
INTERNIC Internet Network Information Center
I
MỤC LỤC
DANH MỤC HÌNH II
DANH MỤC BẢNG III
TÀI LIỆU THAM KHẢO 10
DANH MỤC HÌNH
II
DANH MỤC BẢNG
III
LỜI MỞ ĐẦU
Trong thời đại phát triển như ngày nay, rõ ràng vai trò của Công Nghệ Thông Tin và
Internet đóng một vai trò vô cùng quan trọng cho nền kinh tế tri thức của tương lai nhân loại.
Với mạng toàn cầu Internet, nước ta được bình đẳng hơn với các nước phát triển khác về
nguồn thông tin, tạo cho chúng ta cơ hội sản xuất và gia công phần mềm cho nước ngoài,
phát triển và ứng dụng CNTT trong quản lý sản xuất, nâng cao chất lượng sản phẩm và sức
cạnh tranh của hàng hóa Việt Nam.
Bên canh những lợi thế mà Internet mang lại, chúng ta cũng phải chuẩn bị cho mình

khả năng đối phó với những thử thách mới, đó là làm sao hội nhập được với thế giới mà vẫn
bảo vệ được mình, nhiều ý đồ phá hoại đã nhắm vào hệ thống máy tính như nhiều website
của các doanh nghiệp, công ty bảo mật hàng đầu trên thế giới đều bị hacker tấn công, gây tổn
thất lớn về nguồn tài chính cho doanh nghiệp. Tình hình an ninh mạng vẫn trên đà bất ổn và
tiếp tục được coi là năm “báo động đỏ” của an ninh mạng Việt Nam và thế giới khi có nhiều
lỗ hổng an ninh mạng nghiêm trọng được phát hiện, hình thức tấn công thay đổi và có rất
nhiều cuộc tấn công của giới tội phạm công nghệ cao vào các hệ thống công nghệ thông tin
của doanh nghiệp và chính phủ.
Với mục đích nghiên cứu và tìm hiểu nguyên lý, cơ chế của các cuộc tấn công của
hacker nói chung, và từng kỹ thuật tấn công nói riêng, nhóm em chọn đề tài: “Tìm hiểu về kỹ
thuật tấn công Sniffing” là đồ án môn học.
Nhóm em xin chân thành cảm ơn!
1
1. MAC
2. DHCP
3. ARP
3.1 Tấn công ARP bằng Cain & Abel và Wireshark
(Đánh cắp tài khoản và cookie đăng nhập)
Công cụ sử dụng:
- Cain & Abel (Tấn công ARP)
- Wireshark (Bắt và phân tích gói tin)
Mô hình sử dụng:
- Attacker: (Windows XP Pro SP3)
 MAC: 00-0C-29-4D-80-18
 IP: 192.168.220.10
 Subnet mask: 255.255.255.0
 Gateway: 192.168.220.2
- Victim: (Windows XP Pro SP3)
 MAC: 00-0C-29-4D-08-0B
 IP: 192.168.220.11

 Subnet mask: 255.255.255.0
 Gateway: 192.168.220.2
- Gateway: (VMWare NAT)
 MAC: 00-50-56-FE-7E-09
 IP: 192.168.220.2
 Subnet mask: 255.255.255.0
Thực hiện tấn công:
1. Tấn công ARP
2. Đánh cắp tài khoản đăng nhập trang: qlht.ued.edu.vn
3. Đánh cắp cookie đăng nhập trang: mp3.zing.vn
Tấn công ARP bằng Cain & Abel
Trên máy Attacker mở Cain & Abel, thực hiện các bước sau:
- Chọn card mạng để tấn công:
 Click vào nút Configure trên thanh menu để mở hộp thoại cấu hình
(Configuration Dialog)
2
Hình 3.1 Chọn card mạng để tấn công (1)
 Hộp thoại Cấu hình xuất hiện:
+ Chọn thẻ Sniffer
+ Click chọn card mạng cần tấn công trong danh sách các card mạng
+ Click nút OK để chọn card mạng và đóng hộp thoại
Hình 3.2 Chọn card mạng để tấn công (2)
- Kích hoạt chế độ Sniffer
 Click chọn nút Start/Stop Sniffer , sau khi được chọn, nút Start/Stop
Sniffer sẽ có có trạng thái được ấn giữ như hình bên là chế độ Sniffer
đã được kích hoạt
- Chọn thẻ Sniffer của Cain & Abel (thẻ Sniffer chứa các chức năng dùng để tấn công
ARP)
Hình 3.3 Chọn thẻ Sniffer
Trong thẻ Sniffer có chứa các thẻ con, trong đó có 2 thẻ qua trọng ta cần chú ý là thẻ

con Host và thẻ con ARP
- Tìm và thêm các host đang hoạt động trên mạng
 Click chọn thẻ con Host của thẻ con Sniffer
Hình 3.4 Chọn thẻ con Host của thẻ Sniffer
3
 Click nút để mở hộp thoại tìm và thêm host (MAC Address Scanner)
 Hộp thoại tìm kiếm host xuất hiện, chọn All hosts in my subnet
Hình 3.5 Hộp thoại tìm kiếm host
 Nhấn nút OK để đóng hộp thoại và bắt đầu quá trình tìm và thêm các host đang
tham gia vào mạng
 Sau khi tìm kiếm các host xong, danh sách các host tìm kiếm được sẽ hiển thị trên
danh sách
Hình 3.6 Danh sách các host
- Chọn thêm các host vào danh sách tấn công ARP
 Click chọn thẻ con ARP của thẻ Sniffer
Hình 3.7 Chọn thẻ con ARP của thẻ Sniffer
 Thẻ con ARP có 2 danh sách hiển thị. Danh sách trên sẽ hiển thị các host được
chọn để tấn công. Danh sách dưới sẽ hiển thị trạng thái và các thông số tấn công
đối với các host khi cuộc tấn công ARP bắt đầu.
 Để thêm host vào danh sách tấn công, click nút để mở hộp thoại định tuyến
tấn công ARP (New ARP Poison Routing)
Chú ý: Nếu nút đang ở trạng thái Disable (như hình bên ) thì click vào
Danh sách trên trước để kích hoạt nút.
 Chọn host thứ nhất trong danh sách bên trái và host thứ hai trong danh sách bên
phải, có thể chọn nhanh nhiều host 1 lần trong danh sách bên phải (nhấn giữ phím
Shift hoặc Control rồi click chọn các host). Cain & Abel sẽ thực hiện tấn công
ARP giữa host thứ nhất và host thứ 2 được chọn để đánh cắp các gói tin
Ví dụ: Muốn tấn công ARP để đánh cắp các gói tin giữa host 192.168.220.11 và
192.168.220.2, ta sẽ click chọn host 192.168.220.11 ở danh sách bên trái. Sau khi
click chọn, danh sách các host còn lại sẽ hiển thị ở danh sách bên phải, click chọn

4
host 192.168.220.2 sau đó nhấn nút OK để thêm.
Hình 3.8 Chọn host tấn công
 Sau khi chọn xong host, click nút OK để thêm vào danh sách tấn công và đóng
hộp thoại. Host vừa thêm vào sẽ được hiển thị trong Danh sách trên
Hình 3.9 Danh sách host tấn công đã được thêm vào
- Thực hiện tấn công ARP
 Click chọn nút Start/Stop ARP , sau khi được chọn, nút Start/Stop ARP sẽ
có có trạng thái được ấn giữ như hình bên là cuộc tấn công ARP
đã được bắt đầu
 Trong thẻ con ARP, trạng thái của các host bị tấn công ở 2 danh sách sẽ hiển thị
như hình bên dưới
Danh sách trên
Danh sách dưới
Hình 3.9 Trạng thái của các host bị tấn công
- Dừng tấn công ARP
 Click bỏ chọn nút Start/Stop ARP
5
Đánh cắp tài khoản đăng nhập với Wireshark
Mục tiêu tấn công: Đánh cắp tài khoản đăng nhập trang qlht.ued.edu.vn của Victim
Wireshark là một công cụ mạnh mẽ cho phép bắt và phân tích các gói tin. Nhược điểm của
chương trình này là chỉ bắt được các gói tin trên máy đang chạy nó, do vậy để tấn công đánh
cắp tài khoản đăng nhập trong trường hợp này, ta cần chạy Wireshark kết hợp với một cuộc
tấn công ARP vào máy victim. Mục đích của tấn công ARP là chuyển luồng dữ liệu của máy
victim đi qua máy trung gian là máy của attacker, khi đó mặc dù chạy Wireshark ở máy
attacker, ta vẫn có thể bắt và phân tích được các gói tin của máy victim.
Mục tiêu của cuộc tấn công này là bắt gói tin của máy victim khi victim đăng nhập vào trang
qlht.ued.edu.vn, từ đó phân tích gói tin và lấy ra được tài khoản đăng nhập.
Thực hiện tấn công
- Thực hiện tấn công ARP bằng Cain & Abel vào 2 host

 Victim: 192.168.220.11
 Gateway: 192.168.220.2
Lý do thực hiện tấn công ARP vào 2 host victim và gateway:
 Tấc cả các gói tin muốn đi ra mạng internet để được gửi đến gateway để chuyển
tiếp
 Khi victim đăng nhập vào trang qlht.ued.edu.vn qua internet thì gói tin chứa
thông đăng nhập sẽ được gửi từ máy victim vào gateway và gateway sẽ chuyển
tiếp gói tin đi.
 Do vậy, tấn công ARP vào host victim và gateway sẽ đánh cắp được gói tin chứa
thông đăng nhập.
Lưu ý: Cuộc tấn công cần diễn ra trước và duy trì cho đến khi victim thực hiện đăng nhập
hoàn tất thì ta mới bắt được gói tin chứa thông tin đăng nhập khi nó được máy victim gửi
đi.
- Mở Wireshark, thực hiện các bước sau để bắt và phân tích các gói tin:
 Chọn card mạng để tấn công
+ Click chọn nút Interface List để mở hộp thoại chọn card mạng
Hình 3.10 Chọn card mạng để tấn công
+ Hộp thoại chọn card mạng xuất hiện, chọn card mạng cần bắt gói tin và
click nút Start để bắt đầu bắt gói tin.
6
Hình 3.11 Chọn card mạng cần bắt gói tin
 Nhập “http && http.host contains qlht” để lọc các gói tin HTTP (http - các gói
tin thao tác với web là các gói tin dạng HTTP) có đích đến (http.host) chứa
(contains) từ “qlht” chính là các gói tin khi máy victim thao tác với trang web
qlht.ued.edu.vn
Hình 3.12
 Khi victim thao tác với trang qlht.ued.edu.vn, danh sách các gói tin bắt được sẽ
hiển thị trên cửa sổ gói tin của Wireshark
Hình 3.13
 Ta cần quan sát để nhận biết đâu là gói tin chứa thông tin đăng nhập. Ở đây gói tin

chứa thông tin đăng nhập là gói tin HTTP dạng POST đích đến là
/UE_HethongServlet như trong hình,
 Khi đã tìm được gói tin chứa thông tin đăng nhập, click vào dòng của gói tin,
thông tin chi tiết sẻ hiển thị trong cửa sổ thông tin chi tiết
7
Hình 3.14
Ta cần chú ý mục Line-based text data, đây chính là dữ liệu được gửi lên web-
server trong gói tin HTTP khi victim đăng nhập, có chưa tên và mật khẩu đăng
nhập trang qlht.ued.edu.vn của victim
 Đăng nhập:
+ Trong hình trên, tên đăng nhập chính là 312011101133 và mật khẩu đăng
nhập mà 01695266588
+ Ta có thể sử dụng tài khoản này để đăng nhập và qlht.ued.edu.vn
Đánh cắp cookie đăng nhập với Wireshark
Mục tiêu tấn công: Đánh cắp cookie đăng nhập trang mp3.zing.vn của Victim
Trong phần trên ta đã tìm hiểu cách đánh cắp tài khoản đăng nhập. Tuy nhiên việc đánh cắp
tài khoản đăng nhập trên thực tế gặp nhiều khó để thực hiện do tính chất của cách tấn công
này là cuộc tấn công ARP phải được thực hiện xuyên suốt trong quá trình victim thực hiện
đăng nhập, trong khi đó ta lại không thể biết chắc victim sẽ thực hiện đăng nhập lúc nào để
có để tấn công đánh cắp gói tin hiệu quả.
Một cách đơn giản hơn để chiếm quyền đăng nhập của victim vào trang web là khai thác cơ
chế cookie của giao thức HTTP. Giao thức HTTP sử dụng một cơ chế có tên là cookie để
nhận biết thông tin từ người dùng. Thông thường khi người dùng đăng nhập một trang web
thành công thì web-server sẽ gửi gói tin phản hồi kèm theo một cookie để lưu thông tin đăng
nhập. Cookie này sau đó sẽ được trình duyệt web gửi kèm theo lên web-server khi thực hiện
duyệt web. Web-server dựa trên cookie để nhận biết thông tin đăng nhập của người dùng mà
8
không quan tâm cookie này được gửi từ đâu. Nói các khác, nếu ta lấy được cookie của
victim và gửi lên web-server thì ta cũng có thể đăng nhập một cách bình thường.
Điều kiện của cách tấn công này là victim đã đăng nhập và đang duyệt web. Khi đó ta có thể

áp dụng tấn công ARP vào victim để bắt gói tin HTTP có chứa cookie đăng nhập của victim.
Trong phần này, ta sẽ tìm hiểu cách tấn công đánh cắp cookie đăng nhập vào trang
mp3.zing.vn của victim
Thực hiện tấn công
- Thực hiện tấn công ARP vào victim và gateway (tương tự phần trên)
- Mở Wireshark, tiến hành các bước sau
 Chọn card mạng và bắt đầu bắt gói tin (tương tự như phần trên)
 Nhập “http && http.host contains zing.vn && http.cookie” để lọc các gói tin
HTTP (http) có chứa cookie (http.cookie) và có đích đến (http.host) chứa
(contains) từ “zing.vn” chính là các gói tin khi máy victim thao tác với trang web
mp3.zing.vn
 Khác với cách tấn công ở trên là ta cần tìm ra chính xác gói tin chứa thông tin
đăng nhập của victim, với cách tấn công này, một khi victim đã đăng nhập thì mọi
gói tin máy victim gửi lên web-server để chứa cookie đăng nhập, ta chỉ cần chọn
một gói tin bất kỳ và phân tích.
 Trong cửa sổ chi tiết của gói tin, trong mục Hypertext Transfer Protocol có trường
cookie, đây chính là trường chứa giá trị cookie đăng nhập ta cần lấy.
 Đăng nhập:
+ Copy giá trị cookie (click chuột phải

chọn Copy

chọn Value).
+ Sử dụng các tiện tích thay đổi cookie của trình duyệt (có thể dùng tiện ích
Wireshark Cookie Dump cho trình duyệt Firefox hoặc các tiện tích cho các
9
trình duyệt khác có chức năng hỗ trợ sửa đổi cookie) để thay đổi cookie
trình duyệt về các giá trị cookie lấy được.
+ Sau khi đã thay đổi xong cookie, lúc này khi vào trang mp3.zing.vn ta sẽ
thấy được đăng nhập bằng tài khoản của victim, mà không cần biết tên

đăng nhập và mật khẩu của victim là gì.
3.2
4. DNS
TÀI LIỆU THAM KHẢO
1. Tài liệu hướng dẫn của thầy Nguyễn Đỗ Công Pháp
2. />10
3. />4.
dns-cache-la-gi
5.
6.
7.
ky-thuat-tan-cong-ky-thuat-sniffer-2878/
8.
tan-cong-va-phong-chong/
9.
11