Tải bản đầy đủ (.docx) (16 trang)

Tìm hiểu lỗ hổng và các phương thức tấn công Sniffing

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (531.49 KB, 16 trang )

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA AN TỒN THƠNG TIN

BÁO CÁO TIỂU LUẬN

TÌM HIỂU VỀ SNIFFING

Giảng viên hướng dẫn: TS. Đinh Trường Duy
Mơn học:

Kiểm thử xâm nhập

Nhóm:

D1902G10

Thành viên nhóm:

Châu Phan Hồi Linh
Nguyễn Lê Đức Anh
Trương Như Đạt
Nguyễn Gia Huy

HÀ NỘI, THÁNG 3/2023


MỤC LỤC
I, TỔNG QUAN................................................................................................................3
* Tìm hiểu về Sniffing....................................................................................................3
II, PHÁT HIỆN LỖ HỔNG.............................................................................................3
1, Cách Sniffer làm việc..................................................................................................3


2, MAC Attacks...............................................................................................................4
3, DHCP Attacks.............................................................................................................5
4, DNS Poisoning...........................................................................................................8
III, ĐÁNH GIÁ MỨC ĐỘ NGHIÊM TRỌNG..............................................................9
1, MAC Attacks...............................................................................................................9
2, DNS Poisning...........................................................................................................10
3, ARP Poisning............................................................................................................11
4, DHCP Attacks...........................................................................................................11
IV, GIẢI PHÁP KHẮC PHỤC......................................................................................12
V, KẾT LUẬN................................................................................................................14
TÀI LIỆU THAM KHẢO................................................................................................15

1


BẢNG PHÂN CƠNG NHIỆM VỤ:
STT

Họ và tên

1

Châu Phan Hồi Linh
(nhóm trưởng)

2

Nguyễn Gia Huy

3


Nguyễn Lê Đức Anh

4

Trương Như Đạt

Nhiệm vụ
+ Tìm hiểu tổng quan và phát hiện
lỗ hổng.
+ Thuyết trình.
+ Đánh giá mức độ nghiêm trọng
của lỗ hổng.
+ Viết báo cáo tiểu luận.
+ Giải pháp khắc phục.
+ Thiết kế slide PP.
+ Tóm tắt và kết luận.
+ Thực hiện demo.

2

Đánh giá


I, TỔNG QUAN
* Tìm hiểu về Sniffing
Sniffing là một quá trình theo dõi và nắm bắt tất cả các gói dữ liệu đi qua một
mạng nhất định bằng các công cụ nghe trộm. Hiện nay, nhiều cổng Switch của các doanh
nghiệp, tổ chức được mở, do đó bất kỳ ai ở một vị trí xác định cũng có thể truy cập vào
mạng bằng cáp Ethernet. Từ đó kẻ tấn cơng có thể thu được các thơng tin nhạy cảm bằng

cách khai thác các lỗ hổng trong cấu hình router hay chặn bắt lưu lượng email được gửi
qua lại trong doanh nghiệp đó.
Trong bài báo cáo này chúng ta sẽ tìm hiểu việc nghe trộm. Nghe trộm giúp chúng
ta quan sát tất cả các loại giao thông mạng, dù mạng được bảo vệ hay khơng. Những
thơng tin nghe trộm được có thể hữu ích cho tấn cơng và tạo trở ngại cho nạn nhân. Bên
cạnh đó, chúng ta sẽ tìm hiểu nhiều loại tấn công như Media Access Control (MAC),
Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP)
Poisoning, MAC Spoofing, DNS Poisoning.

II, PHÁT HIỆN LỖ HỔNG
1, Cách Sniffer làm việc
- Sniffer chuyển NIC của một hệ thống sang chế độ hỗn tạp để nó lắng nghe tất cả dữ liệu
được truyền trên phân đoạn của nó. Sniffer có thể liên tục theo dõi tất cả lưu lượng mạng
đến máy tính thơng qua NIC bằng cách giải mã thơng tin được gói gọn trong gói dữ liệu.
- Passive Sniffer (Sniffer thụ động)
Đây là loại nghe trộm khơng cần gửi thêm gói tin hoặc can thiệp vào các thiết bị
như hub để nhận gói tin. Như chúng ta đã biết, hub truyền gói tin đến port của nó.
Kẻ tấn cơng có thể lợi dụng điểm này để dễ dàng quan sát giao thông truyền qua
mạng. Do đó Passive Sniffer rất khó bị phát hiện.
- Active Sniffer (Sniffer chủ động)
Đây là loại nghe trộm mà kẻ tấn cơng cần gửi thêm gói tin đến thiết bị đã kết nối
như switch để nhận gói tin. Như đã nói, switch chỉ truyền gói tin unicast đến một
port nhất định. Kẻ tấn công sử dụng một số kĩ thuật như MAC Flooding, DHCP
Attacks, DNS poisoning, Switch Port Stealing, ARP Poisoning, và Spoofing để
quan sát giao thông truyền qua switch.
Sniffer chủ động liên quan đến việc tiêm các gói phân giải địa chỉ vào mạng để
làm tràn ngập bảng Bộ nhớ có thể định địa chỉ nội dung (CAM) của bộ chuyển
mạch, bảng CAM có nhiệm vụ theo dõi máy chủ nào được kết nối với port nào.
3



Các lỗ hổng trong các giao thức dễ bị nghe trộm
-

HTTP, POP, IMAP, SMTP, FTP, NNTP: Dữ liệu và mật khẩu được gửi ở dạng
văn bản rõ ràng.
Telnet and Rlogin: keylogger (trình theo dõi thao tác bàn phím) bao gồm cả tên
người dùng và mật khẩu.

2, MAC Attacks
- Tấn công địa chỉ MAC (MAC Attacks) và bảng CAM (CAM Table)
+ Media Access Control Address (địa chỉ kiểm soát truy cập phương tiện) hay địa
chỉ MAC là địa chỉ vật lí của một thiết bị. Địa chỉ MAC là một số định danh 48bits duy nhất đặt cho thiết bị hệ thống để giao tiếp ở tầng liên kết dữ liệu. Địa chỉ
MAC bao gồm Object Unique Identifier (QUI) 24-bits và Network Interface
Controller (NIC) 24-bits. Nếu có nhiều NIC thì thiết bị sẽ có nhiều địa chỉ MAC
khác nhau.
+ Bảng địa chỉ MAC hay bảng CAM (Content-Addressable Memory) được sử
dụng trong switch Ethernet để ghi lại địa chỉ MAC cũng như những thơng tin liên
quan để chuyển tiếp gói tin. Bảng CAM là bảng ghi lại thông tin của địa chỉ MAC
như VLAN liên quan, kiểu học và các thông số port. Các thơng số này giúp
chuyển tiếp gói tin ở tầng liên kết dữ liệu.
- Cách hoạt động của bảng CAM: Một kịch bản đơn giản để hiểu nguyên lý hoạt động
của bảng CAM như sau:
Máy A là máy gửi tin, một mạng gồm một switch và 2 máy B,C được kết nối với
switch. Bảng CAM chỉ lưu địa chỉ MAC và cổng port của 2 máy A và C.
Giả sử máy A gửi một gói tin ARP đến cho máy B trong mạng. Khi gói tin đi đến
Switch, nó sẽ xem xét bản ghi địa chỉ MAC và port của máy B trong bảng CAM. Nếu
khơng có bản ghi đó, switch sẽ broadcast ARP đến tất cả các máy trong mạng là B và C.
Các máy tính B và C sẽ kiểm tra xem đại chỉ đích có phải là địa chỉ của mình hay
khơng? Máy B xác định địa chỉ đích là của mình và gửi lại địa chỉ MAC của mình cho

Switch. Switch sẽ cập nhật địa chỉ MAC và port của B vào bảng CAM đồng thời gửi gói
tin từ máy A đến cho máy B.

4


Tấn cơng bảng địa chỉ MAC
3, DHCP Attacks
DHCP là q trình phân chia động địa chỉ MAC sao cho các địa chỉ này được chỉ
định tự động và tái sử dụng khi host không cần chúng. Thời gian Round Trip (RTT) đo
khoảng thời gian từ khi phát hiện DHCP server đến khi nhận được địa chỉ IP đã thuê.
Máy chủ DHCP duy trì thơng tin cấu hình TCP/IP trong cơ sở dữ liệu, chẳng hạn
như các tham số cấu hình TCP/IP hợp lệ, địa chỉ IP hợp lệ và thời hạn thuê do máy chủ
cung cấp. Nó cung cấp các cấu hình địa chỉ cho các máy khách hỗ trợ DHCP dưới dạng
ưu đãi cho thuê
a) Hoạt động của DHCP
-

Máy khách broadcast yêu cầu DHCPDISCOVER/SOLICIT để u cầu thơng
báo cấu hình DHCP
Agent chuyển tiếp DHCP nắm bắt yêu cầu của máy khách và unicast (gửi đơn
mục tiêu) nó đến các máy chủ DHCP có sẵn trong mạng.
Máy chủ DHCP unicast DHCPOFFER/ADVERTISE, chứa địa chỉ MAC của
máy khách và máy chủ
Agent chuyển tiếp quảng bá DHCPOFFER/ADVERTISE trong mạng con của
máy khách.
Client gửi DHCPREQUEST/REQUEST yêu cầu DHCP server cung cấp thơng
tin cấu hình DHCP

5



-

Máy chủ DHCP gửi bản tin DHCPACK/REPLY unicast đến khách hàng với
cấu hình và thơng tin IP.

Cách thức hoạt động của Replay agent và DHCPv6 server tương tự như IPv4
Relay agent và DHCPv4 Server. DHCP server nhận yêu cầu và chỉ định địa chỉ IP,
DNS, thời gian thuê và các thông tin khác cho client trong khi replay server
chuyển tiếp tin nhắn DHCP.

Tấn công DHCP
b) Tấn công DHCP Starvation
-

Đây là tấn công từ chối dịch vụ trên DHCP Server. Trong tấn công này, kẻ tấn
công gửi yêu cầu ảo với địa chỉ MAC giả để truyền đến DHCP Server, từ đó
thuê tất cả địa chỉ IP trong bộ trữ IP. Sau khi tất cả địa chỉ IP được phân  phát,
những user tiếp theo sẽ không nhận được địa chỉ IP hay gia hạn hợp đồng thuê.
Tấn công DHCP Starvation có thể được thực hiện bởi các cơng cụ như
“Dhcpstarv” hay “Yersinia’.
+ Dhcpstarv: dhcpstarv thực hiện tấn cơng bỏ đói DHCP. Nó yêu cầu thuê
DHCP trên giao diện được chỉ định, lưu chúng và gia hạn thường xuyên.
+ Yersinia: Yersinia là một framework để thực hiện các cuộc tấn công layer
2. Nó được thiết kế để tận dụng lợi thế của một số điểm yếu trong các giao
thức mạng khác nhau. Nó giả vờ là một khn khổ vững chắc để phân tích
và thử nghiệm các mạng và hệ thống được triển khai.

c) Tấn công Rogue DHCP Server

6


Tấn công này được thực hiện bằng cách triển khai rogue DHCP Server trong
hệ thống cùng với tấn công starvation. Khi server DHCP chính thống đang bị tấn
cơng từ chối dịch vụ, DHCP client không thể nhận được địa chỉ IP. Những gói tin
DHCP Discovery (IPv4) hoặc Solicit (IPv6) tiếp theo được phản hồi bởi DHCP
server giả với những thông số thiết lập hướng giao thơng mạng về phía nó.
- Chống lại tấn công DHCP Starvation và Rogue Server:
+ DHCP Snooping: Một người có thể dễ dàng đem một server DHCP vào
mơi trường hệ thống, dù vơ tình hay hữu ý. DHCP Snooping là kĩ thuật
phịng tránh việc đó. Để giảm thiểu tấn cơng, tính năng DHCP snooping
được kích hoạt trên thiết bị hệ thống để nhận diện những port đáng tin cậy
từ những giao thơng DHCP chính thống.
Những port khác phản hồi yêu cầu DHCP sẽ bị bỏ qua. Đây là tính năng
bảo mật bằng cách lọc tin nhắn DHCP không đáng tin bằng cách xây dựng
bảng gắn kết DHCP snooping. DHCP snooping có khả năng phân biệt giữa
giao diện không đáng tin (kết nối với user/host cuối) và giao diện đáng tin
(kết nối với DHCP server chính thống hoặc thiết bị đáng tin cậy).
+ Bảo mật port: Kích hoạt bảo mật port cũng giúp giảm thiểu những tấn
công này bằng cách giới hạn số lượng địa chỉ MAC trên port có thể học, thiết
lập hoạt động vi phạm, thời gian lão hóa, ….
d) ARP Poisoning (Giao thức phân giải địa chỉ ARP)
ARP là một giao thức không quốc tịch sử dụng trong miền truyền tin để đảm
bảo truyền thông bằng cách phân giải địa chỉ IP thành ánh xạ địa chỉ máy MAC.
Nó hỗ trợ ánh xạ địa chỉ L2 và L3.
ARP bảo đảm kết nối giữa địa chỉ MAC và địa chỉ IP. Bằng cách truyền đi
ARP yêu cầu cùng với địa chỉ IP, switch sẽ biết được thông tin về địa chỉ MAC
kết nối từ phản hồi của host. Trong trường hợp khơng có hoặc khơng tìm được ánh
xạ, nguồn sẽ gửi bản tin đến tất cả các nodes. Chỉ có node với địa chỉ MAC kết

hợp với IP đó phản hồi yêu cầu, chuyển tiếp gói tin chứa ánh xạ địa chỉ MAC.
Switch sẽ ghi nhớ địa chỉ MAC và thông tin về port kết nối vào bảng CAM cố
định độ dài.
Nguồn tạo ra ARP yêu cầu bằng cách gửi một gói tin ARP. Một node có địa
chỉ MAC nhận được yêu cầu sẽ phản hồi lại gói tin. Frame sẽ tràn ra tất cả các port
(trừ port nhận frame) nếu đầu vào bảng CAM quá tải. Điều này cũng xảy ra khi
địa chỉ MAC đích trong frame là địa chỉ truyền tin.
7


Kĩ thuật MAC flooding được dùng để chuyển switch thành một hub, trong đó
switch bắt đầu truyền gói tin. Trong trường hợp này, user có thể lấy gói tin khơng
dành cho mình.

Tấn cơng ARP
4, DNS Poisoning
DNS Poisoning là một kỹ thuật đánh lừa máy chủ DNS tin rằng nó đã nhận được
thơng tin xác thực trong khi thực tế thì khơng. Nó dẫn đến việc thay thế địa chỉ IP giả ở
cấp DNS nơi địa chỉ web được chuyển đổi thành địa chỉ IP số. DNS Poisoning cho phép
kẻ tấn công thay thế các mục nhập địa chỉ IP cho một trang đích trên một máy chủ DNS
nhất định bằng địa chỉ IP của máy chủ mà kẻ đó kiểm sốt. Kẻ tấn cơng có thể tạo các
mục DNS giả mạo cho máy chủ (chứa nội dung độc hại) có cùng tên với tên của máy chủ
mục tiêu.
a) Giả mạo DNS mạng nội bộ (Intranet DNS Spoofing)
Intranet DNS Spoofing thường được thực hiện trong mạng LAN với Switced
Network. Với sự hỗ trợ của kĩ thuật ARP poisoning, kẻ tấn công sẽ triển khai
Intranet DNS Spoofing. Kẻ tấn công nghe trộm gói tin, trích rút ID của u cầu
DNS và phản hồi bằng bản dịch IP sai để hướng giao thông đến mình. Kẻ tấn cơng
phải hành động nhanh chóng trước khi DNS server chính thống giải quyết lệnh
hỏi.

b) Internet DNS Spoofing
8


Internet DNS Spoofing được thực hiện bằng cách thay thế thiết lập DNS trên
máy mục tiêu. Tất cả lệnh hỏi DNS được hướng đến DNS server ác ý mà kẻ tấn
công điều khiển. Internet DNS Spoofing thường được thực hiện nhờ triển khai
Trojan hay sửa đổi thiết lập DNS để chuyển hướng giao thông mạng.
c) Proxy Server DNS Poisoning
Giống như Internet DNS Spoofing, Proxy Server DNS poisoning được triển
khai bằng cách thay thế thiết lập DNS từ trình duyệt web của mục tiêu. Tất cả lệnh
hỏi sẽ được hướng đến server ác ý để hướng giao thông mạng đến thiết bị của kẻ
tấn công.
d) DNS Cache Poisoning
Như chúng ta biết, người dùng Internet sử dụng DNS của nhà cung cấp dịch
vụ internet (ISP). Trong hệ thống, những tổ chức sử dụng DNS Server của mình
để cải thiện hoạt động bằng cách ghi bộ nhớ đệm thường xuyên. DNS Cache
poisoning được thực hiện nhờ khai thác sai sót trong phần mềm DNS. Kẻ tấn công
thêm hay chỉnh sửa đầu vào bộ nhớ đệm DNS, từ đó hướng giao thơng mạng đến
site ác ý. Khi Internal DNS server không thể xác nhận tính hợp lệ của phản hồi
DNS từ DNS server có thẩm quyền, nó cập nhật đầu vào cục bộ để giải quyết yêu
cầu của user.
III, ĐÁNH GIÁ MỨC ĐỘ NGHIÊM TRỌNG
1, MAC Attacks
Khi bảng CAM trên switch đã đầy, lưu lượng truy cập yêu cầu ARP sẽ tràn ngập
trên mọi cổng của switch. Điều này sẽ thay đổi hành vi của Switch để đặt lại thành chế
độ học tập, phát trên mọi cổng tương tự như một Hub.
Cuộc tấn công này cũng sẽ lấp đầy bảng CAM của các switch liền kề. MAC
Flooding liên quan đến việc làm ngập bảng CAM với địa chỉ MAC giả mạo và các cặp IP
cho đến khi nó đầy. Sau đó, Switch hoạt động như một hub bằng cách phát các gói đến tất

cả các máy trên mạng và những kẻ tấn cơng có thể đánh hơi lưu lượng một cách dễ dàng.
MAC Flooding là một kỹ thuật tấn cơng mạng phổ biến, có thể gây ra những hậu
quả nghiêm trọng cho hệ thống mạng. Dưới đây là đánh giá mức độ nghiêm trọng của
MAC Flooding:
- Độ ảnh hưởng: MAC Flooding có thể gây ra những ảnh hưởng nghiêm trọng đến hệ
thống mạng, trong đó bao gồm:
+ Gián đoạn hoạt động của hệ thống mạng.
9


+ Làm chậm tốc độ truyền dữ liệu trên mạng.
+ Gây ra sự cố về bảo mật và an ninh mạng.
- Độ khả năng khai thác: Kỹ thuật MAC Flooding được sử dụng rộng rãi bởi các hacker
và tấn công này khá đơn giản để thực hiện. Người tấn công có thể sử dụng các cơng cụ
miễn phí như Cain and Abel, Ettercap hoặc THC-IPV6 để thực hiện tấn công này. Vì vậy,
độ khả năng khai thác của MAC Flooding là rất cao.
- Độ phổ biến: MAC Flooding là một kỹ thuật tấn công phổ biến và đã được sử dụng
trong nhiều cuộc tấn cơng mạng. Đặc biệt, nó thường được sử dụng để tấn cơng các hệ
thống mạng có kiến trúc cũ hoặc không được cập nhật đầy đủ các bản vá bảo mật mới
nhất. Do đó, độ phổ biến của MAC Flooding là khá cao.
=> MAC Flooding là một kỹ thuật tấn cơng nguy hiểm, có thể gây ra những ảnh hưởng
nghiêm trọng cho hệ thống mạng. Nó dễ dàng để thực hiện và phổ biến, vì vậy việc bảo
vệ mạng khỏi tấn công này là rất quan trọng.
2, DNS Poisning
DNS Poisoning là một kỹ thuật tấn công mạng đáng sợ, có thể gây ra những hậu quả
nghiêm trọng cho hệ thống mạng. Dưới đây là đánh giá mức độ nghiêm trọng của DNS
Poisoning:
- Độ ảnh hưởng: DNS Poisoning có thể gây ra những ảnh hưởng nghiêm trọng đến hệ
thống mạng, trong đó bao gồm:
+ Đưa người dùng đến các trang web giả mạo hoặc độc hại, dẫn đến mất thông tin cá

nhân và tài khoản ngân hàng.
+ Gây gián đoạn hoạt động của hệ thống mạng.
+ Làm chậm tốc độ truyền dữ liệu trên mạng.
+ Gây ra sự cố về bảo mật và an ninh mạng.
- Độ khả năng khai thác: DNS Poisoning là một kỹ thuật tấn cơng mạng phức tạp và khó
khăn để thực hiện. Tuy nhiên, nó đã được sử dụng thành cơng trong nhiều cuộc tấn cơng
mạng và có thể được thực hiện bằng cách sử dụng các công cụ và kỹ thuật tấn cơng miễn
phí như Metasploit Framework, Cain and Abel hoặc DNS Spoofing Tool. Vì vậy, độ khả
năng khai thác của DNS Poisoning là khá cao.
- Độ phổ biến: DNS Poisoning là một kỹ thuật tấn công mạng phổ biến và đã được sử
dụng trong nhiều cuộc tấn cơng mạng. Nó thường được sử dụng để tấn công các hệ thống
10


mạng có kiến trúc cũ hoặc khơng được cập nhật đầy đủ các bản vá bảo mật mới nhất. Do
đó, độ phổ biến của DNS Poisoning là khá cao.
=> DNS Poisoning là một kỹ thuật tấn công mạng nguy hiểm, có thể gây ra những ảnh
hưởng nghiêm trọng cho hệ thống mạng. Nó khó khăn để thực hiện nhưng phổ biến, vì
vậy việc bảo vệ mạng khỏi tấn cơng này là rất quan trọng.
3, ARP Poisning
- ARP Poisoning là một kỹ thuật tấn cơng mạng phổ biến, trong đó kẻ tấn cơng sử dụng
các gói tin giả mạo ARP để lừa đảo thiết bị mạng khác và chiếm đoạt thông tin truyền qua
mạng. Đây là một trong những cuộc tấn cơng mạng nghiêm trọng nhất, có thể gây ra các
hậu quả nghiêm trọng cho các tổ chức và cá nhân.
- Độ ảnh hưởng của ARP Poisoning có thể rất nghiêm trọng, bao gồm mất dữ liệu, gián
đoạn dịch vụ, và thậm chí là sự lây nhiễm mã độc. Nếu kẻ tấn cơng chiếm được quyền
kiểm sốt mạng, họ có thể thực hiện các cuộc tấn công khác nhau trên các thiết bị trong
mạng, như lấy cắp thông tin nhạy cảm hoặc thay đổi các thông tin quan trọng.
- Độ khả năng khai thác của ARP Poisoning là rất cao, bởi vì nó là một trong những kỹ
thuật tấn cơng mạng đơn giản nhất và dễ dàng thực hiện. Kẻ tấn cơng chỉ cần có một

phần mềm độc hại hoặc một thiết bị đơn giản để thực hiện tấn công này, và khơng cần có
kỹ năng cao về lập trình.
- ARP Poisoning cũng là một trong những loại tấn công mạng phổ biến nhất, được sử
dụng để tấn công các tổ chức, doanh nghiệp, và người dùng cá nhân. Nó có thể được sử
dụng để tấn công bất kỳ loại thiết bị nào trong mạng, bao gồm cả các thiết bị di động và
máy tính cá nhân.
=> ARP Poisoning là một cuộc tấn cơng mạng nghiêm trọng, có thể gây ra nhiều hậu quả
nghiêm trọng cho các tổ chức và cá nhân. Nó có độ khả năng khai thác cao và là một
trong những loại tấn công phổ biến nhất. Do đó, việc bảo vệ mạng khỏi cuộc tấn cơng
này là rất quan trọng và cần được thực hiện đầy đủ để đảm bảo an toàn cho hệ thống
mạng.
4, DHCP Attacks
DHCP Attacks là loại tấn cơng mạng nhằm mục đích tấn công và xâm nhập vào hệ thống
DHCP (Dynamic Host Configuration Protocol) để lấy thông tin địa chỉ IP và các cấu hình
liên quan. Mức độ nghiêm trọng của DHCP Attacks phụ thuộc vào một số yếu tố như sau:

11


- Độ ảnh hưởng: DHCP Attacks có thể gây ra nhiều ảnh hưởng tiêu cực cho hệ thống
mạng. Các máy tính và thiết bị khác có thể khơng thể kết nối đến mạng hoặc mất kết nối
do bị chiếm giữ địa chỉ IP bởi kẻ tấn cơng. Ngồi ra, kẻ tấn cơng cũng có thể thực hiện
các cuộc tấn cơng khác như giả mạo địa chỉ MAC, tấn công man-in-the-middle và tiết lộ
thông tin nhạy cảm.
- Độ khả năng khai thác: DHCP Attacks có thể được khai thác dễ dàng bằng cách sử dụng
các cơng cụ tấn cơng mạng có sẵn hoặc thậm chí bằng cách sử dụng kỹ thuật tấn công
đơn giản như ARP Spoofing. Việc khai thác thành cơng DHCP Attacks có thể cho phép
kẻ tấn cơng truy cập vào các tài nguyên và dữ liệu quan trọng của hệ thống mạng.
- Độ phổ biến: DHCP Attacks là một trong những loại tấn công phổ biến nhất trong các
cuộc tấn cơng mạng. Kẻ tấn cơng có thể sử dụng nhiều kỹ thuật khác nhau để thực hiện

các cuộc tấn cơng này. Bên cạnh đó, DHCP Attacks khơng chỉ tác động đến các doanh
nghiệp lớn mà còn tác động đến các tổ chức nhỏ hơn và người dùng cá nhân.
=> DHCP Attacks là một loại tấn công mạng nghiêm trọng có thể gây ra nhiều hậu quả
tiêu cực và có thể được khai thác dễ dàng bởi các kẻ tấn công.

IV, GIẢI PHÁP KHẮC PHỤC
1. Thay đổi mật khẩu: Nếu bạn cho rằng tài khoản của mình đã bị lộ thông tin đăng nhập,
hãy thay đổi mất khẩu ngay lập tức.
2. Sử dụng phần mềm diệt virus: Sử dụng phần mềm virus để quét và loại bỏ các phần
mềm độc hại hoặc virus khỏi máy tính.
3. Tắt chế độ Promiscuous Mode
Sử dụng các công cụ để xác định xem có bất kỳ NIC nào đang chạy trong chế độ
Promiscuous mode(là một chế độ mạng trong công nghệ thông tin cho phép một thiết bị
mạng (chẳng hạn như một network interface card - NIC) nhận và phân tích tất cả các gói
tin truyền qua mạng, thay vì chỉ nhận các gói tin định tuyến đến chính nó. Khi ở chế độ
promiscuous, một NIC có thể nhận được các gói tin mà khơng phải là đích đến của nó).
Nếu biết kẻ tấn công đang sử dụng công cụ sniffing để theo dõi lưu lượng mạng của bạn,
có thể tắt chế độ promiscuous mode để ngăn chặn họ khỏi thu thập thông tin.
4. Kiểm tra lại mạng và các thiết bị kết nối
Kiểm tra các thiết bị kết nối mạng, router, switch hoặc các thiết bị khác để xem
liệu có bị thay đổi cấu hình, hay bị lây nhiễm bởi phần mềm độc hại
5. Sử dụng các giao thức bảo mật
12


Sử dụng các giao thức bảo mật để mã hóa dữ liệu và ngăn chặn kẻ tấn công sniffing:
+ Sử dụng HTTPS thay vì http để bảo vệ tài khoản và mật khẩu.
+ Sử dụng switch thay vì hub vì switch chỉ gửi dữ liệu đến người nhận dự định.
+ Sử dụng SFTP, thay vì FTP để truyền tệp an toàn.
+ Sử dụng PGP và S/MIPE, VPN, IPSec, SSL/TLS, Secure shell(SSH) và mật khẩu dùng

một lần.
-

SSL (Secure Socket Layer)

Một giao thức mã hoá được phát triển cho hầu hết các Webserver, cũng như các Web
Browser thông dụng. SSL được sử dụng để mã hố những thơng tin nhạy cảm để gửi qua
đường truyền như : Số thẻ tin dụng của khách hàng, các password và thông tin quan
-

PGP và S/MIME

E-mail cũng có khả năng bị những kẻ tấn cơng ác ý Sniffer. Khi Sniffer một E-mail
khơng được mã hố, chúng không chỉ biết được nội dung của mail, mà chúng cịn có thể
biết được các thơng tin như địa chỉ của người gửi, địa chỉ của người nhận…Chính vì vậy
để đảm bảo an tồn và tính riêng tư cho E-mail bạn cũng cần phải mã hố
chúng…S/MIME được tích hợp trong hầu hết các chương trình gửi nhận Mail hiện nay
như Netscape Messenger, Outlock Express…PGP cũng là một giao thức được sủ dụng để
mã hố E- mail. Nó có khả năng hỗ trợ mã hoá bằng DSA, RSA lên đến 2048 bit dữ liệu.
-

OpenSSH

Khi bạn sử dụng Telnet, FTP…2 giao thức chuẩn này khơng cung cấp khả năng mã
hố dữ liệu trên đường truyền. Đặc biệt nguy hiểm là không mã hoá Password, chúng chỉ
gửi Password qua đường truyền dưới dạng Clear Text. Điều gì sẽ xảy ra nếu những dữ
liệu nhạy cảm này bị Sniffer. OpenSSH là một bộ giao thức được ra đời để khắc phục
nhược điểm này: ssh (sử dụng thay thế Telnet), sftp (sử dụng thay thế FTP)…
-


VPNs (Virtual Private Network)

Được sử dụng để mã hoá dữ liệu khi truyền thong trên Internet. Tuy nhiên nếu một
Hacker có thể tấn cơng và thoả hiệp được những Node của của kết nối VPN đó, thì chúng
vẫn có thể tiến hành Sniffer được.
Một ví dụ đơn giản,là một người dung Internet khi lướt Web đã sơ ý để nhiễm RAT
(Remoto Access Trojan), thường thì trong loại Trojan này thường có chứa sẵn Plugin
Sniffer. Cho đến khi người dùng bất cẩn này thiết lập một kết nối VPN. Lúc này Plugin
Sniffer trong Trojan sẽ hoạt động và nó có khả năng đọc được những dữ liệu chưa được
mã hoá trước khi đưa vào VPN. Để phòng chống các cuộc tấn công kiểu này: bạn cần
13


nâng cao ý thức cảnh giác cho những người sử dụng trong hệ thống mạng VPN của bạn,
đồng thời sử dụng các chương trình quét Virus để phát hiện và ngăn chặn không để hệ
thống bị nhiễm Trojan.
+ Luôn mã hóa lưu lượng khơng dây bằng giao thức mã hóa mạnh như WPA và WPA2
+ Lấy MAC trực tiếp từ NIC thay vì OS, điều này ngăn chặn Giả mạo địa chỉ MAC
+ Sử dụng các công cụ để xác định xem có bất kỳ NIC nào đang chạy trong chế độ
Promiscuous mode (là một chế độ mạng trong công nghệ thông tin cho phép một thiết bị
mạng (chẳng hạn như một network interface card - NIC) nhận và phân tích tất cả các gói
tin truyền qua mạng, thay vì chỉ nhận các gói tin định tuyến đến chính nó. Khi ở chế độ
promiscuous, một NIC có thể nhận được các gói tin mà khơng phải là đích đến của nó)
6. Cài đặt tường lửa: Cài đặt tường lửa để ngăn chặn các kết nối không mong muốn và
giảm thiểu nguy cơ.

V, KẾT LUẬN
Trong bài báo cáo tiểu luận, nhóm sử dụng các cuộc tấn công MAC, tấn công
DHCP, tấn công đầu độc ARP, tấn công giả mạo và kỹ thuật đầu độc DNS để đánh hơi
lưu lượng mạng. Việc nghe lén lưu lượng mạng là một vấn đề nghiêm trọng trong bảo

mật thơng tin. Kẻ tấn cơng có thể sử dụng các cuộc tấn công MAC, DHCP, ARP, giả mạo
và đầu độc DNS để đánh hơi thông tin nhạy cảm. Để đối phó với vấn đề này, các biện
pháp bảo vệ cần được áp dụng như sử dụng địa chỉ IP tĩnh và bảng ARP tĩnh, phiên mã
hóa như SSH, sao chép bảo mật (SCP), SSL để truyền dữ liệu. Việc áp dụng các biện
pháp bảo vệ này sẽ giúp tăng cường độ an toàn và bảo mật cho mạng thông tin.

14


TÀI LIỆU THAM KHẢO
1, Nguyễn Ngọc Điệp, Bài giảng Kiểm thử xâm nhập, Học viện Cơng nghệ Bưu chính
Viễn thơng, 2021
2, Tài liệu hướng dẫn tìm hiểu đề tài của giảng viên TS. Đinh Trường Duy

15



×