Institute of Network Security – www.istudy.vn
KỸ THUẬT TẤN CÔNG VÀ PHÒNG
THỦ TRÊN KHÔNG GIAN MẠNG
Institute of Network Security – www.istudy.vn
NỘI DUNG
• Module 01: Tổng quan An ninh mạng
• Module 02: Kỹ thuật tấn công
• Module 03: Kỹ thuật mã hóa
• Module 04: Bảo mật hệ điều hành
• Module 05: Bảo mật ứng dụng
• Module 06: Virus và mã độc
• Module 07: Các công cụ phân tích an ninh mạng
• Module 08: Chính sách bảo mật và phục hồi thảm họa dữ liệu
• Ôn tập
• Báo cáo đồ án
• Thi cuối khóa

Module 02: Kỹ thuật tấn công

Institute of Network Security – www.istudy.vn
Module 02: KỸ THUẬT TẤN CÔNG
• Lesson 01: Footprinting và Reconnaissance
• Lesson 02: Google Hacking
• Lesson 03: Scanning Networks
• Lesson 04: Enumeration
• Lesson 05: System Hacking
• Lesson 06: Sniffer
• Lesson 07: Social Engineering
• Lesson 08: Denial of Service
• Lesson 09: Session Hijacking
• Lesson 10: SQL Injection

• Lesson 11: Hacking Wireless Networks
• Lesson 12: Buffer Overflow


Institute of Network Security – www.istudy.vn
SNIFFER
Institute of Network Security – www.istudy.vn
Nội dung
• Khái niệm và ảnh hưởng của Sniifing trong không gian
mạng
• Hoạt động của Sniffing
• Phân loại Sniffing
• Các hình thức tấn công dựa trên Sniffing

Institute of Network Security – www.istudy.vn
Khái niệm Sniffing
• Sniffer là phương pháp nghe lén các gói tin trong mạng
nội bộ (Kẻ tấn công và nạn nhân có chung Subnet IP).
• Thông tin người dùng có thể bị truy xuất và sử dụng bất
hợp pháp khi hệ thống bị Sniffing.
Institute of Network Security – www.istudy.vn
Tác hại của Sniffing
Telnet
Password
Email
Traffic
Web
Traffic
Chat
Sessions

FTP
Password
DNS Traffic
Syslog
Traffic
Router
Configuration
Institute of Network Security – www.istudy.vn
Hoạt động của Sniffer
• Hacker sử dụng các gói tin nghe lén (hoặc giả mạo) lan
truyền vào trong mạng thông qua Switch hoặc Hub.
• Người tấn công có thể bắt và phân tích tất cả các Traffic
của người dùng trong cùng Subnet.

Attacker
Capture
Institute of Network Security – www.istudy.vn
Các nguy cơ dẫn tới Sniffing
• Hệ thống doanh nghiệp sử dụng nhiều Switch, trong đó
mở ra những Port không cần thiết.
• Hacker có thể gắn các Laptop vào Port và tiến hành
Sniffing.
• Không tiến hành phân chia Subnet cho hệ thống.
• Cơ chế bảo mật lỏng lẻo.
• Nhân viên không được phổ biến về các mối nguy hại.

Institute of Network Security – www.istudy.vn
Sniffer hoạt động như thế nào?
• Sniffer chuyển NIC của máy tính sang chế độ Promiscous có thể
lắng nghe tất cả dữ liệu đang vận chuyện qua Segment mà nó kết

nối.
• Sniffer có thể đọc được toàn bộ nội dung dựa và cách phân giải gói
tin bắt được (Decapsulation).
Sniffer
Pomiscucous
Mode
Switch
Institute of Network Security – www.istudy.vn
Phương thức tấn công Switch
MAC Flooding
DNS Poisoning
DHCP Attacks
Password Sniffing
Spoofing Attack
ARP Poisoning
Switch
Institute of Network Security – www.istudy.vn
Phân loại Sniffing
• Passive Sniffing
• Active Sniffing



Institute of Network Security – www.istudy.vn
Phân loại Sniffing: Passive Sniffing
Thực hiện Sniffing thông qua một Hub. Trên Hub, dữ
liệu sẽ được đẩy ra tất cả các Port.
Không cần gửi ra gói tin giả mạo nào, chỉ cần bắt các
gói tin từ Port về.
Thường ít sử dụng do ngày nay Hub không còn được

ưa chuộng nhiều, thay vào đó là Switch.
Institute of Network Security – www.istudy.vn
Phân loại Sniffing: Active Sniffing
• Được thực hiện trên
Switch.
• Sniffer gửi ra những gói
tin giả mạo nhằm mục
đích thu thập dữ liệu
trên mạng.
DHCP
Starvation
Institute of Network Security – www.istudy.vn
Các giao thức dễ bị tấn công Sniffing
Telnet &
Rlogin
HTTP SMTP NNTP POP FTP IMAP
Thăm dò Username
và Password
Dữ liệu gửi dưới
dạng clear text
Password và dữ
liệu gửi dưới dạng
clear text
Password và dữ
liệu gửi dưới dạng
clear text
Password và dữ
liệu gửi dưới dạng
clear text
Password và dữ

liệu gửi dưới dạng
clear text
Password và dữ
liệu gửi dưới dạng
clear text
Institute of Network Security – www.istudy.vn
Ảnh hưởng của Sniffing trong
mô hình OSI
Application
Presentation
Session
Transport
Network
Data Link
Physical
7
6
5
4
3
2
1
Application
Presentation
Session
Transport
Network
Data Link
Physical
7

6
5
4
3
2
1
Physical Links
Tổn thương
IP Address
Application Stream
T ổ n t h ư ơ n g
Protocols/Ports
POP3, IMAP
IM, SSL, SSH
Institute of Network Security – www.istudy.vn
Sniffing
Tool
DNS
Poisoning
Spoofing
Attack
ARP
Poisoning
DHCP
Attack
MAC
Attack
Các loại tấn công dạng Sniffing
Institute of Network Security – www.istudy.vn
Sniffing

Tool
DNS
Poisoning
Spoofing
Attack
ARP
Poisoning
DHCP
Attack
MAC
Attack
MAC Attack
Institute of Network Security – www.istudy.vn
MAC Address/CAM Table
• Bảng CAM (Content Address Memory) có dung lượng
hữu hạn.
• Bảng CAM lưu trữ các địa chỉ MAC đang hoạt động trên
Port cùng thông số VLAN tương ứng.


002A.BFFA.8C3E
002A.BF FA.8C3E
48 Bit Hexadecimal
24 Bit đầu = Mã qui định
nhà sản xuất cấp bởi IEEE
24 Bit sau = Nhà sản xuất
định nghĩa cho Interface
FFFF.FFFF.FFFF
Địa chỉ MAC Broadcast
Institute of Network Security – www.istudy.vn

Hoạt động của bảng CAM
Institute of Network Security – www.istudy.vn
Tràn bảng CAM
• Khi bảng CAM tràn, các gói tin ARP Request sẽ được đẩy
ra tất cả các Port của Switch (Flooding).
• Việc này sau đó làm Switch chuyển mạch như Hub.
• Quá trình tấn công tràn bảng MAC sẽ lây lan sang các
Switch lân cận.
Traffic A B
Traffic A B
Traffic A B
MAC

Port

Y 3
Z 3
C 3
Port 1
MAC A
MAC B
MAC C
C có thể thấ Traffic của A và B
Institute of Network Security – www.istudy.vn
MAC Flooding
• MAC Flooding tấn công làm tràn bảng CAM của Switch
bằng cách phát ra vô số các gói tin với MAC giả mạo,
không có thật.

MAC Address

Flood
Attacker
Switch
User1
User2
Institute of Network Security – www.istudy.vn
MAC Flooding
• Lúc đó Switch hành động như Hub, đẩy các Frame thông
tin ra tất cả các Port trừ Port nhận vào.
• Attacker có thể bắt gói dễ dàng.

MAC Address
Flood
Attacker
Switch
User1
User2
Institute of Network Security – www.istudy.vn
MAC A
MAC C
MAC D
…
Phòng thủ MAC Attack
• Port Security: Gán tĩnh địa chỉ MAC trên Port được chỉ
định. Chỉ cho phép dữ liệu xuất phát từ MAC này đi vào
Port.
SwitchX(config)#interface FastEthernet 0/1
SwitchX(config-if)#switchport mode access
SwitchX(config-if)#switchport port-security
SwitchX(config-if)#switchport port-security maximum 1

SwitchX(config-if)#switchport port-security mac-address {MAC Adress |
sticky}
SwitchX(config-if)#switchport port-security violation {shutdown |
restrict | protect}
Switch
Fa0/1
FA0/2
MAC A
MAC B
Institute of Network Security – www.istudy.vn
Sniffing
Tool
DNS
Poisoning
Spoofing
Attack
ARP
Poisoning
DHCP
Attack
MAC
Attack
DHCP Attack