ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC KINH TẾ - LUẬT
KHOA TIN HỌC QUẢN LÝ

BÁO CÁO MÔN HỌC
AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN
Đề tài
TÌM HIỂU VỀ TẤN CÔNG GIẢ MẠO
ARP CACHE POISONING, DNS CACHE
POISONING VÀ CÁCH PHÒNG CHỐNG
Thành phố Hồ Chí Minh - 2013
Giảng viên: Trương Hoài Phan
Nhóm thực hiện: Nhóm 21
Danh sách nhóm:
1. Lâm Ngọc Phượng K094061176
2. Đỗ Thị Huyền Linh K094061149
3. Mai Thị Thế Nghĩa K094061164
4. Hoàng Mai Hùng K094061139
MỤC LỤC
Trang
[2]
CHƯƠNG 1 - TỔNG QUAN VỀ TẤN CÔNG MAN-
IN-THE-MIDDLE
I. TẤN CÔNG MAN-IN-THE-MIDDLE LÀ GÌ?
Man-in-the-Middle (MITM) là hình thức tấn công màkẻ tấn công (attacker) nằm
vùng trên đường kết nối (mạng LAN) với vai trò là máy trung gian trong việc trao đổi
thông tin giữa hai máy tính, hai thiết bị, hay giữa một máy tính và server, nhằm nghe
trộm, thông dịch dữ liệu nhạy cảm, đánh cắp thông tin hoặc thay đổi luồng dữ liệu trao
đổi giữa các nạn nhân.
Hình 1 – Mô hình minh họa cho Man-in-the-Middle
II. CÁC KIỂU TẤN CÔNG MITM

Hiện nay có các hình thức tấn công MITM phổ biến như:
 Tấn công giả mạo ARP cache (ARP Cache Poisoning).
[3]
 Tấn công giả mạo DNS (DNS Spoofing hay DNS Cache Poisoning).
 Chiếm quyền điều khiển Session (Session Hijacking).
 Chiếm quyền điều khiển SSL.
 …
Trong các phần sau, nhóm sẽ tìm hiểu và trình bày về haikiểu tấn công giả mạo ARP
Cache Poisoing và tấn công giả mạo DNS Cache Poisoning.
[4]
CHƯƠNG 2 - TẤN CÔNG GIẢ MẠO ARP CACHE
(ARP CACHE POISONING)
Đây là một hình thức tấn công MITM hiện đại có xuất sứ lâu đời nhất (đôi khi còn được
biết đến với cái tên ARP Poison Routing hay ARP Spoofing).Hình thức tấn công này
cho phép kẻ tấn công (nằm trên cùng một subnet với các nạn nhân của nó) có thể nghe
trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân.Đây là một trong những hình
thức tấn công đơn giản nhất nhưng lại là một hình thức hiệu quả nhất khi được thực hiện
bởi kẻ tấn công.
I. GIAO THỨC ARP VÀ CƠ CHẾ HOẠT ĐỘNG CỦA NÓ
1. Giao thức ARP
 Sơ lược về địa chỉ MAC
Mỗi thiết bị mạng đều có một địa chỉ vật lý – địa chỉ MAC (Medium Access Control
address) và địa chỉ đó là duy nhất.Các thiết bị trong cùng một mạng thường dùng địa chỉ
MAC để liên lạc với nhau tại tầng Data Linkcủa mô hình OSI.
Hình 2 - Mô hình OSI
[5]
• Để biết được địa chỉ MAC của một máy tính cá nhân, ta có thể thực hiện như sau:
Cách 1: Vào Start > Run > Gõ cmd > Gõ ipconfig /all > Nhấn Enter. Sau đó, ta có
thể xem thông tin về MAC tại dòng Physical Address, như hình sau:
Hình 3 – Giao diện xem thông tin địa chỉ MAC theo cách dùng ipconfig /all

Cách 2: Vào Start > Run > Gõ cmd > Gõ getmac > Nhấn Enter. Khi đó, ta có thể xem
thông tin về MAC như hình sau:
[6]
Hình 4 – Giao diện xem thông tin địa chỉ MAC theo cách dùng getmac
Trên thực tế, các card mạng (NIC - Network Interface Card) chỉ có thể kết nối với
nhau theo địa chỉ MAC, địa chỉ cố định và duy nhất của phần cứng. Do vậy cần phải có
một cơ chế để chuyển đổi các dạng địa chỉ này qua lại với nhau. Với lý do đó đã xuất
hiện giao thức phân giải địa chỉ ARP (Address Resolution Protocol).
 Giao thức ARP
Giao thức ARP (Address Resolution Protocol) được thiết kế để phục vụ cho nhu
cầu thông dịch các địa chỉ giữa lớp thứ hai (Data Link) và thứ ba (Network) trong mô
hình OSI.
 Lớp thứ hai (Data Link) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể
truyền thông với nhau một cách trực tiếp.
 Lớp thứ ba (Network) sử dụng địa chỉ IP để tạo các mạng có khả năng mở rộng trên
toàn cầu.
Mỗi lớp có một cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để
có thể tạo nên một mạng truyền thông.Và, giao thức ARP đã đáp ứng được điều đó.
2. Cơ chế hoạt động củaARP
Quá trình ARP (Address Resolution Protocol) được thực hiện theo cơ chế: Một thiết
bị IP trong mạng gửi một gói tin broadcast đến toàn mạng để yêu cầu các thiết bị khác
gửi trả lại địa chỉ phần cứng (địa chỉ MAC) của mình nhằm thực hiện truyền tin cho nhau
giữa thiết bị phát và thiết bị nhận.
ARP về cơ bản là một quá trình 2 chiều Request/Response giữa các thiết bị trong
cùng mạng nội bộ. Thiết bị nguồn yêu cầu(request) bằng cách gửi một bản tin broadcast
trên toàn mạng. Thiết bị đích sẽ trả lời (response) bằng một bản tin unicast đến thiết bị
nguồn.
[7]
Mục đích của Request và Response là tìm ra địa chỉ MAC phần cứng có liên quan
tới địa chỉ IP đã gửi để lưu lượng có thể đến được đích của nó trong mạng.

Khi thực hiện một quá trình ARP, trước hết thiết bị phát phải xác định xem địa chỉ
IP đích của gói tin có phải nằm cùng trong mạng nội bộ của mình hay không.Nếu đúng
vậy thì thiết bị sẽ gửi trực tiếp gói tin đến thiết bị đích. Nếu địa chỉ IP đích nằm trên
mạng khác, thì thiết bị sẽ gửi gói tin đến một trong các router nằm cùng trên mạng nội bộ
để router này làm nhiệm vụ forward (chuyển tiếp) gói tin.
 Cơ chế hoạt động của ARP trong mạng LAN
Nhằm giúp dễ hiểu hơn cho cơ chế hoạt động của ARP trong mạng LAN, nhóm đưa ra
một ví dụ sau:
 Thiết bị A khi muốn truyền tin sẽ thực hiện chuyển các gói tin dạng Packets (tại tầng
Network) xuống tầng Datalink để đóng gói gói tin vào Frames (trong đó có địa chỉ
MAC).
 Khi A muốn gửi gói tin này đến một thiết bị khác (ví dụ như X). Nhưng hiện tại,
thiết bị A chỉ biết địa chỉ IP của X, mà không biết địa chỉ MAC của X là gì, khi đó
thiết bị A phải thực hiện dò tìm. (Ghi chú: Trước khi dò tìm, A chưa biết X là thiết bị
nào).
 Để thực hiện dò tìm, A sẽ gửi một ARP Request (bao gồm địa chỉ MAC của A và
địa chỉ IP của X)lên toàn bộ một miền broadcast, tức là gửi cho nhiều thiết bị khác
trong cùng mạng LAN để hỏi rằng: "Địa chỉ MAC của thiết bị có địa chỉ IP này là gì
?".
 Sau khi nhận được ARP Request, mỗi một thiết bị trong miền broadcastsẽ tiến hàng
so sánh địa chỉ IP nhận được với địa chỉ IP của mình.
o Nếu không trùng khớp, các thiết bị này sẽ loại bỏ thông tin của ARP Request
này.
o Nếu trùng khớp và đúng là IP của nó (thiết bị X), thì X sẽ gửi trả lại cho A
một ARP Response (có chứa thông tin địa chỉ MAC của mình). (Ghi chú:
ARP Response này thuộc dạng unicast, tức chỉ gửi cho một thiết bị cụ thể là
thiết bị phát).
[8]
 Sau khi nhận được địa chỉ MAC của X, thiết bị phát(tức là A)sẽ cập nhật bảng
ARP cache của nó và khi đó, hai thiết bị này đã có thể truyền thông được với

nhau, A đã có thể gửi gói tin của mình cho X.
 Cơ chế hoạt động của ARP trong môi trường hệ thống mạng
 Đối với hoạt động của ARP trong một môi trường phức tạp hơn đó là hai hệ thống
mạng gắn với nhau thông qua một Router C, Victim A thuộc mạng A muốn gửi gói
tin đến máy B thuộc mạng B, thì do các broadcast không thể truyền qua Router
nên khi đó Victim A sẽ xem Router C như một cầu nối hay một trung gian (Agent)
để truyền dữ liệu. Trước đó, Victim A sẽ biết được địa chỉ IP của Router C (địa chỉ
Gateway) và biết được rằng để truyền gói tin tới B phải đi qua C. Tất cả các thông
tin như vậy sẽ được chứa trong một bảng gọi là bảng định tuyến (Routing Table).
Bảng định tuyến theo cơ chế này được lưu giữ trong mỗi máy. Bảng định tuyến
chứa thông tin về các Gateway để truy cập vào một hệ thống mạng nào đó. Ví dụ
trong trường hợp trên trong bảng sẽ chỉ ra rằng để đi tới LAN B phải qua port X
của Router C. Bảng định tuyến sẽ có chứa địa chỉ IP của port X. Quá trình truyền
dữ liệu theo từng bước sau :
o Victim A gửi một ARP Request (broadcast) để tìm địa chỉ MAC của port X.
o Router C trả lời (ARP Responce), cung cấp cho Victim A địa chỉ MAC của
port X.
o Sau khi biết được địa chỉ MAC của port X, Victim A truyền gói tin đến port X
của Router.
o Router nhận được gói tin từVictim A và chuyển gói tin ra port Y của Router.
Trong gói tin có chứa địa chỉ IP của máy B. Router sẽ gửi ARP Request để tìm
địa chỉ MAC của máy B.
o Nhận thấy địa chỉ IP được gửi là của mình, máy B sẽ trả lời (ARP Responce)
cho Router biết địa chỉ MAC của mình. Sau khi nhận được địa chỉ MAC của
máy B, Router C gửi gói tin của A đến cho B.
[9]
 Trong cả hai trường hợp trên (cùng mạng LAN hay liên mạng), các thiết bị đều phải
gửi gói tin IP đến một thiết bị có IP khác trên cùng mạng nội bộ để tìm địa chỉ MAC.
Việc gửi gói tin trong cùng mạng thông qua Switch là dựa vào địa chỉ MAC hay địa
chỉ phần cứng của thiết bị. Sau khi gói tin được đóng gói thì mới bắt đầu được

chuyển qua quá trình phân giải địa chỉ ARP và được chuyển đi.
Hình 5 – Cơ chế hoạt động của quá trình truyền thông ARP
3. ARP Cache
ARP là một giao thức phân giải địa chỉ động. Quá trình gửi gói tin Request và Responce
sẽ tiêu tốn băng thông mạng. Chính vì vậy, càng hạn chế tối đa việc gửi gói tin Request
và Response sẽ càng góp phần làm tăng khả năng hoạt động của mạng.Từ đó sinh ra nhu
cầu của ARP Caching, nghĩa là lưu lại thông tin của các gói tin vào bộ nhớ đệm ARP
Cache.
 ARP Cache tĩnh và động (Static and Dynamic ARP Cache Entries)
[10]
ARP cache có thể coi như một bảng có chứa một tập tương ứng giữa các phần cứng và
địa chỉ IP. Mỗi một thiết bị trên một mạng đều có ARP cache của riêng mình. Có hai cách
lưu giữ các entry trong Cache để phân giải địa chỉ diễn ra nhanh. Đó là:
 ARP Cache tĩnh (Static ARP Cache Entries):Ở đây, sự phân giải địa chỉ phải được
cập nhật một cách thủ công vào bảng cache và được duy trì lâu dài bởi người quản trị.
Để thực hiện cấu hình ARP tĩnh cho máy tính hệ điều hành Windows, ta vào:
Start > Run > cmd >Gõ arp –a.Và Enter. Khi đó, bảng danh sách ARP sẽ được
liệt kê. Để cấu hình lại ARP tĩnh ta thực hiện gõ tiếp lệnh: arp-s
[ip_cua_computer] [dia_chi_mac]. Như hình sau:
Hình 6 – Cập nhật bảng ARP Cache
 ARP Cache động(Dynamic ARP Cache Entries): Ở đây, các địa chỉ IP và địa chỉ
phần cứng được giữ trong cache bởi phần mềm sau khi nhận được kết quả của việc
hoàn thành quá trình phân giải trước đó. Các địa chỉ được giữ tạm thời và sau đó được
gỡ bỏ.
[11]
Dynamic Cache được sử dụng rộng rãi hơn vì tất cả các quá trình diễn ra tự động và
không cần đến sự tương tác của người quản trị. Ngoài hạn chế của việc phải nhập
bằng tay, Static Cache còn thêm hạn chế nữa là khi địa chỉ IP của các thiết bị trong
mạng thay đổi thì sẽ dẫn đến việc phải thay đổi ARP cache.
II. TẤN CÔNG GIẢ MẠO ARP CACHE (ARP CACHE POISONING)

1. Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning)
Tấn công giả mạo ARP Cache chỉ thực hiện được trong môi trường mạng LAN,
mà không thực hiện được trên WAN.
Việc giả mạo bảng ARP Cache chính là lợi dụng bản tính không an toàn của giao
thức ARP. Không giống như các giao thức khác, chẳng hạn như DNS (có thể được cấu
hình để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị sử dụng giao thức
phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào.
Điều này có nghĩa là bất cứ thiết bị nào cũng có thể gửi gói ARP Responce đến
một máy tính khác và máy tính này sẽ cập nhật vào bảng ARP Cache của nó ngay giá trị
mới này. Việc gửi một gói ARP Response khi không có bất cứ một Request nào được tạo
ra có thể được gọi nôm na là việc gửi ARP "vu vơ". Khi các ARP Responce vu vơ này
đến được các máy tính đã gửi Request, máy tính Request này sẽ nghĩ rằng đó chính là đối
tượng mình đang tìm kiếm để truyền thông, và nó sẽ thực hiện update bảng ARP Cache
của mình mà không hề biết là nó đang truyền thông với một kẻ tấn công.
 Cơ chế tấn công giả mạo ARP Cache
Cơ chế tấn công giả mạo ARP Cache cụ thể sẽ như sau:
Giả sử trong một mạng LAN có 4 thiết bị (máy tính) như sau:
 Victim A: là máy phát ARP Request, và cũng là một trong hai nạn nhân trong cuộc
tấn công ARP Cache.
ARP Cache của Victim A
IP 10.0.0.09
MAC ff-ff-ff-ff-00-09
[12]
 Victim B: là máy nhận thông tin từ VictimA, và cũng là một trong hai nạn nhân
trong cuộc tấn công ARP Cache. Máy Victim B có:
ARP Cache của Victim B
IP 10.0.0.10
MAC ff-ff-ff-ff-00-10
 Attacker: là máy tính thực hiện tấn công ARP Cache, có:
ARP Cache của Attacker

IP 10.0.0.11
MAC ff-ff-ff-ff-00-11
Attacker(kẻ tấn công) muốn thực hiện tấn công ARP đối với máy VictimA và B.
Attacker muốn rằng mọi gói tin mà Victim Avà Victim Btrao đổi đều bị chụp lại để xem
trộm. Khi đó, cuộc tấn công sẽ xảy ra như sau:
 Đầu tiên, Victim A muốn gửi dữ liệu cho Victim B, Victim A cần phải biết địa chỉ
MAC của Victim B để liên lạc. Khi đó, Victim A sẽ gửi broadcast ARP Request
tới tất cả các máy trong cùng mạng LAN để hỏi xem địa chỉ IP 10.0.0.10 (IP của
Victim B) có địa chỉ MAC là bao nhiêu.Thông tin có chứa trong ARP Request
do A gửi sẽ là:
Nội dung gói ARP Request của A
IP Victim B 10.0.0.10
MAC A ff-ff-ff-ff-00-09
 Lúc này, Victim B và Attacker đều nhận được gói tin ARP Request doVictim A
gửi đến. Tuy nhiên, chỉ có Victim B gửi lại gói tin ARP Response (bao gồm các
thông tin về IP của Victim B, MAC của Victim B và MAC của Victim A) lại cho
Victim A, bởi vì chỉ có B là có IP giống với IP trong gói ARP Request của A.
[13]
Nội dung gói ARP Response của B
IP Victim B 10.0.0.10
MAC Victim B ff-ff-ff-ff-00-10
MAC A ff-ff-ff-ff-00-09
 Sau khi nhận được gói tin ARP Response từ Victim B, Victim A sẽ biết được địa
chỉ MAC của Victim B, và thực hiện lưu địa chỉ MAC này vào Cache của mình
(tức ARP Cache máy A). Sau đó, Victim A bắt đầu thực hiện liên lạc, truyền dữ
liệu tới Victim B dựa trên thông tin địa chỉ MAC vừa lưu. Khi này, Attacker không
thể xem nội dung dữ liệu được truyền giữa 2 máy Victim A và Victim B.
 Lúc này mọi việc vẫn đang xảy ra bình thường thì Attacker tiến hành tấn công
ARP bằng cách thực hiện gửi liên tục các ARP Response chứa thông tin về IP
Victim B, MAC của Attacker và MAC Victim A, nghĩa là trong gói ARP

Response, Attacker đã thực hiện thay đổi MAC Victim B thành MAC của chính
Attacker, có thể nói gói ARP Response lúc này đã chứa mã độc do Attacker tạo
ra.
Nội dung gói ARP Response của Attacker
IP Victim B 10.0.0.10
MAC của Attacker ff-ff-ff-ff-00-11
MAC A ff-ff-ff-ff-00-09
 Khi nhận được gói ARP Response chứa mã độc, Victim A sẽ nhầm tưởng rằng
mình đã tìm ra được địa chỉ MAC ứng với IP Victim B 10.0.0.10 là ff-ff-ff-ff-00-
11 (MAC của Attacker). Victim A sẽ tiến hành lưu thông tin chứa mã độc này vào
bảng ARP Cache của mình và thực hiện trao đổi, truyền tin với địa chỉ MAC nhận
được. Victim B qua đó cũng trao đổi thông tin với Victim A (thông qua Attacker)
và cũng cập nhật thông tin chứa mã độc này vào bảng ARP Cache của mình.
 Khi đó, mọi thông tin, dữ liệu mà Victim A và B trao đổi với nhau, Attacker đều có
thể nhận thấy và xem toàn bộ nội dung của nó thông qua cuộc tấn công ARP này.
[14]
Sau khi bị tấn công ARP attack, sẽ rất nguy hiểm cho người dùng vì mọi thông tin
trao đổi của họ đều bị lộ, nhất là những thông tin đó là quan trọng, cần phải giữ bí
mật.
 Nếu sau một khoảng thời gian không có liên lạc nào giữa Victim A và B, các thông
tin mã độc (có chứa Mac của Attacker) trong ARP Cache của hai Victim sẽ bị xóa,
vì thế, Attacker phải thường xuyên gửi các gói tin ARP Response chứa mã độc của
mình cho các nạn nhân (Victim) để duy trì cuộc tấn công ARP.
Hình 7 – Mô hình tấn công giả mạo ARP Cache
 Ví dụ trong trường hợp thiết bị đích (thiết bị nhận tin) là một Gateway
• Trước khi thực hiện cuộc tấn công ARP poisoning, thông tin về địa chỉ IP thật và địa
chỉ MAC thật của Gateway lưu trong ARP Cache của thiết bị phát ARP Request như
sau:
[15]
Hình 8 – Địa chỉ IP và MAC thật của Gateway trên ARP Cache của thiết bị phát

ARP Request
• Khi cuộc tấn công ARP poisoning được thực thi, kẻ tấn công sẽ thay đổi địa chỉ
MAC thật của Gateway thành địa chỉ MAC của máy chứa mã độc, đồng thời chèn
thêm một entry mới chứa địa chỉ IP và MAC của máy chứa mã độc vào ARP Cache
của thiết bị phát (tức là thiết bị truyền tin),như hình sau:
Hình 9 – Địa chỉ MAC thật của Gateway đã bị máy tấn công thay thế bằng MAC
của máy tấn công
***Ta nhận thấy rằng: Sau khi thực hiện tấn công, trong bảng ARP Cache của máy phát
ARP Request (tức là nạn nhân), 2 địa chỉ IP (một IP thật của Gateway và một IP của máy
tấn công) đều sẽ có địa chỉ MAC giống nhau, và 2 địa chỉ MAC này đều là của máy tấn
công.
[16]
Khi máy phát tiến hành trao đổi, truyền tin cho Gateway (để Gateway chuyển tiếp gói tin
cho mấy nhận), mọi thông tin đều sẽ đi theo địa chỉ MAC đã bị đầu độc để đến được máy
tấn công. Lúc này kẻ tấn công sẽ xem được mọi thông tin cơ mật của cuộc trao đổi.
2. Thực hiện tấn công giả mạo ARP Cache
Hiện nay để thực hiện tấn công giả mạo ARP Cache, ta có thể nhờ sự hỗ trợ của
nhiều công cụ…Ở đây, nhóm sẽ sử dụng công cụ là Cain & Abel (gọi tắt là Cain) để áp
dụng và demo thử nghiệm.
Ta sẽ đóng vai trò là kẻ tấn công.
Trước khi thực hiện tấn công
Ta khởi động công cụ Cain và tiến hành cấu hình lại công cụ này như sau:
(1) Mở công cụ Cain, chọn địa chỉ IP (của máy ta) mà ta dùng để thực hiện tấn công:
(2) Chọn tab Sniffer và tiến hành Start chức năng Sniffer:
[17]
(3) Thực hiện quét (Scan) các địa chỉ MAC của tất cả các máy trên cùng vùng mạng
của mình:
Nếu muốn biết được tên của các máy (Host name), ta click phải chuột chọn
Resolve Host name:
[18]

 Thực hiện tấn công
(1) Thực hiện chọn mục tiêu (nạn nhân) tấn công:
- Trên khung bên trái, chọn mục tiêu muốn tấn công (tức là máy thực hiện gửi ARP
request).
- Trên khung bên phải, chọn đối tượng mà nạn nhân thực hiện trao đổi thông tin (ta có
thể chọn tất cả, nhưng ở đây, nhóm chỉ chọn 1 đối tượng).
[19]
(2) Sau khi chọn mục tiêu tấn công, ta tiến hành đầu độc (Start ARP Poison) vào ARP
Cache của nạn nhân, như sau:
-Lúc này, trên máy nạn nhân sẽ cập nhật động (dynamic) bảng ARP Cache, và trên bảng
ARP Cache này sẽ xuất hiện các địa chỉ MAC hoàn toàn giống nhau:
 Địa chỉ MAC này chính là địa chỉ MAC của máy tấn công (tức là máy của ta):
[20]
(3) Sau khi bị đầu độc, nếu nạn nhân truy cập và đăng nhập tài khoản vào một website
nào đó, ta sẽ có thể lấy cắp được thông tin tài khoản này của nạn nhân:
- Ví dụ, nạn nhân đăng nhập tài khoản vào forum />[21]
- Khi đó, mọi thông tin tài khoản, mật khẩu của nạn nhân sẽ bị công cụ Cain của ta lấy
cắp được:
 Vậy là ta đã thực hiện tấn công ARP Cache Poisoning thành công. Như ta đã thấy, loại
tấn công này là vô cùng nguy hiểm, vì vậy ta cần thực hiện các biện pháp để có thể
phòng tránh được những đáng tiếc có thể xảy ra.
III. CÁC BIỆN PHÁP PHÒNG CHỐNG
[22]
Giả mạo ARP Cache là dạng tấn công dễ thực hiện nhưng lại rất khó phát hiện.Hiện nay
không có một giải pháp cụ thể nào hỗ trợ, nhưng ta có thể thực hiện một số biện pháp sau
để phòng chống tấn công giả mạo ARP cache trong mạng của mình.
1. Bảo mật mạng LAN
Giả mạo ARP Cache chỉ là một kỹ thuật tấn công mà nó chỉ sống sót khi cố gắng chặn
lưu lượng giữa hai thiết bị trên cùng một LAN. Chỉ có một lý do khiến cho bạn lo sợ về
vấn đề này là liệu thiết bị nội bộ trên mạng của bạn có bị thỏa hiệp, người dùng có ý định

hiểm độc hay không hoặc liệu có ai đó có thể cắm một thiết bị không tin cậy vào mạng.
Mặc dù chúng ta thường tập trung toàn bộ những cố gắng bảo mật của mình lên phạm vi
mạng nhưng việc phòng chống lại những mối đe dọa ngay từ bên trong và việc có một
thái độ bảo mật bên trong tốt sẽ có thể giúp bạn loại trừ được những nguy cơ bị tấn công
được đề cập ở đây.
2. Cấu hình lại bảng ARP Cache
Một cách có thể bảo vệ chống lại vấn đề không an toàn vốn có trong các ARP request và
ARP reply là thực hiện cập nhật, bổ sung các entry tĩnh vào ARP cache.
 So sánh địa chỉ MAC trước khi truyền tin: Trước khi tiến hành truyển tin, ta nên
xem xét lại địa chỉ MAC của máy đích có nằm trong ARP Cache của máy mình hay
không. Nếu không thì ta nên cập nhật tĩnh (cập nhật thủ công) địa chỉ MAC máy đích
vào.
Như đã trình bày ở trên, ta có thể xem ARP cache của máy tính Windows bằng cách
mở nhắc lệnh và gõ vào đó lệnh arp –a. Và để xem địa chỉ MAC,ta dùng lệnh:
ipconfig /all hay getmac.Tuy nhiên, biện pháp phòng chống này khá là thủ công.
 Xóa thông tin trong ARP Cache: Thực hiện xóa toàn bộ thông tin trong bảng ARP
Cache (dùng lệnh: netsh interface ip delete arpcache). Khi đó, địa chỉ MAC của kẻ
tấn công cũng sẽđược xóa, máy tính sẽ bắt đầu cập nhật lại. Tuy nhiên, biện pháp này
[23]
sẽ không hiệu quả nếu như kẻ tấn công cứ tiếp tục gửi những ARP Response chứa mã
độc vào ARP Cache của ta.
 Dùng lệnh arp – s để gắn cố định địa chỉ IP đích vào MAC thật của nó: Khi đó, kẻ
tấn công sẽ không đầu độc IP này nữa. Tuy nhiên, việc này không khả thi đối với mạng
lớn có nhiều máy tính, và có sự thay đổi IP.
 Thêm các entry tĩnh vào ARP Cache: Trong các trường hợp nơi cấu hình mạng của
bạn không mấy khi thay đổi, bạn hoàn toàn có thể tạo một danh sách các entry ARP
tĩnh và sử dụng chúng cho các client thông qua một kịch bản tự động. Điều này sẽ bảo
đảm được các thiết bị sẽ luôn dựa vào ARP cache nội bộ của chúng thay vì dùng các
ARP request và ARP response để cập nhật động những entry không đáng tin cậy.
Ta có thể thêm các entry tĩnh vào danh sách ARP Cache bằng cách sử dụng lệnh:

arp –s <IP ADDRESS><MAC ADDRESS>
3. Sử dụng phần mềm
Hiện có nhiều loại phần mềm bảo vệ máy tính khỏi tấn công ARP Cache Poisoning, trong
đó có hai loại phần mềm có thể thực hiện tương đối hiệu quả việc này, đó là phần mềm
AntiARP và Comodo Internet Security Pro.
Sơ lược về Anti ARP
AntiARP là một trong những phần mềm hàng đầu trong công tác an ninh (bảo vệ ARP),
góp phần vô hiệu hóa các cuộc tấn công trên mạng LAN của các phần mềm: NETCUT,
Netrobocop, P2POver Những nguyên nhân gây ra hiện tượng bị đứt, ngắt kết nối mạng
Internet mà một số phần mềm như Anti NETCUT không thể làm được.
AntiARP có thể thực hiện các chức năng như:
[24]
- Chặn các tấn công ARP: Chặn các gói tin ARP giả mạo trong hệ điều hành.
- Chặn các cuộc tấn công ARP từ máy ra ngoài: Chặn các gói tin ARP giả mạo trong
hệ điều hành để hạn chế các tấn công từ máy do bị ảnh hưởng của các chương trình
có chứa mã độc.
- Chặn các tranh chấp IP: Chặn các gói tin tranh chấp IP trong hệ điều hành để bảo vệ
các cuộc tấn công tranh chấp địa chỉ.
- Chủ động phòng thủ: Chủ động giữ liên lạc với gateway và gơửi địa chỉ đúng đến
gateway tạo mối liên lạc thông suốt và an toàn.
Ngoài các đặc tính nêu trên, AntiARP còn có các tính chất phụ trợ như:
- Phòng thủ thông minh: Có thể dò ra và phản ứng nhanh khi chỉ mình gateway bị
đánh lừa ARP.
- Có thể xác định vị trí virus khi máy có các cuộc tấn công ARP từ trong ra.
- Ngăn chặn tấn công Dos: Chặn các gói tin dữ liệu dos giả mạo gửi đi, ghi chú vị trí
của chương trình gửi các gói tin độc, bảo đảm liên lạc Internet thông suốt.
- Chế độ an toàn: Không trả lời các yêu cầu ARP từ các máy khác trừ gateway để có
hiệu ứng che dấu và giảm thiểu các tấn công ARP.
- Phân tích tất cả các gói tin mà localhost nhận được.
- Theo dõi và sửa chữa bảng cache ARP một cách tự động. Nếu phát hiện địa chỉ MAC

của gateway bị chương trình mã độc thay đổi,sẽ phát báo động và tự động sửa chữa
lại địa chỉ bị thay đổi.
- Xác định kẻ tấn công: Khi dò ra bị tấn công,phần mềm sẽ nhanh chóng xác định địa
chỉ IP của kẻ tấn công.
- Bảo vệ đồng hồ hệ thống: Không cho thay đổi giờ hệ thống bởi các chương trình độc.
- Bảo vệ trang chủ IE: Không cho các chương trình thay đổi trang chủ IE.
- Bảo vệ bảng cache ARP: Không cho các chương trình độc thay đổi bảng cache.
- Tự bảo vệ: Tự nó không cho phép các chương trình mã độc tắt.
- Dò ra các phần mềm quản lý mạng trong mạng của mình chẳng hạn như chương
trình netcut dùng để phá các quán net.
Sơ lược về Comodo Internet Security Pro
[25]