Đề tài Nghiên cứu và chứng minh cách phát hiện có tấn công sniffer trong mạng LAN (Window)

92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
1 
 Giáo viên hướng dẫn : Võ Đỗ Thắng 
 Nhóm thực hiện : 
 0512253 Bùi Xuân Phong 
 0512213 Phan Bảo Lộc 
 0512211 Hứa Thắnng Lộc 
 0512205 Nguyễn Kinh Luân 
 0512187 Quách Minh Khánh 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
2 
Contents 
I. Các khái niệm căn bản về Sniffer. ................................................................................... 3 
1.2 Sniffer được sử dụng như thế nào ? ........................................................................... 3 
1.3 Quá trình Sniffer được diễn ra như thế nào ? ............................................................. 4 
1.4 Địa chỉ Ethernet MAC là gì ? ..................................................................................... 5 
1.4.1 Giới thiệu : ........................................................................................................... 5 
1.4.2 Chi tiết về đỉa chị Ethernet MAC : ...................................................................... 5 
II Các phương pháp phát hiện Sniffer trên hệ thống mạng : ............................................... 5 
2.1 Phương pháp dùng Ping: ............................................................................................ 6 
2.2 Phương pháp sử dụng ARP: ....................................................................................... 7 
2.3 Phương pháp sử dụng DNS : ...................................................................................... 7 
2.4 Phương pháp Source-Route : ..................................................................................... 8 
2.5 Phương pháp giăng bẫy (Decoy) :.............................................................................. 9 
2.6 Phương pháp kiểm tra sự chậm trễ của gói tin (Latency) : ........................................ 9 
III Phương pháp ngăn chặn Sniffer trên hệ thống mạng : ................................................... 9 
3.1 Các hệ thống mạng có nguy cơ Sniffer : .................................................................... 9 
3.2 Các giao thức có nguy cơ Sniffer: ............................................................................ 10 
3.3 Phương pháp ngăn chặn Sniffer dữ liệu ? ................................................................ 10 
3.4 Phương pháp ngăn chặn Sniffer Password : ............................................................ 12 
3.5 Phương pháp ngăn chặn Sniffer trên thiết bị phần cứng : ........................................ 12 
3.6 Một số thuật ngữ : .................................................................................................... 13 
IV Chương trình XARP : ................................................................................................... 15 
4.1 Giới thiệu : ............................................................................................................... 15 
4.2 Giao diện chương trình : .......................................................................................... 15 
4.3 Các mức bảo mật trong XARP : .............................................................................. 16 
4.4 Demo phát hiện tấn công ARP Poisoning : .............................................................. 17 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
3 
I. Các khái niệm căn bản về Sniffer. 
 1.1 Đôi nét về Sniffer : 
 Khởi đầu Sniffer là tên một sản phẩm của Network Associates có tên là 
Sniffer Network Analyzer. 
 Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng 
các lưu lượng thông tin trên môi trường mạng máy tính. 
 Những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu 
ở dạng nhị phân (Binary). Bởi vậy để nghe lén và hiểu được những dữ liệu 
ở dạng nhị phân này, các chương trình Sniffer phải có tính năng được biết 
như là sự phân tích các nghi thức (Protocol Analysis), cũng như tính năng 
giải mã (Decode) các dữ liệu ở dạng nhị phân để hiểu được chúng. 
 Trong một hệ thống mạng sử dụng những giao thức kết nối chung và đồng 
bộ. Bạn có thể sử dụng Sniffer ở bất cứ Host nào trong hệ thống mạng của 
bạn. Chế độ này được gọi là chế độ hỗn tạp (promiscuous mode). 
1.2 Sniffer được sử dụng như thế nào ? 
 Sniffer thường được sử dụng vào 2 mục đích : 
o Một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống 
mạng của mình. 
o Một chương trình được cài vào một hệ thống mạng máy tính với 
mục đích đánh hơi, nghe lén các thông tin trên đoạn mạng này... 
 Một số tính năng của Sniffer : 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
4 
o Các Hacker sử dụng để bắt tên người sử dụng (Username) và mật 
khẩu không được mã hoá (Clear Text Password) trong hệ thống 
mạng của bạn. 
o Giúp các nhà quản trị theo dõi các thông tin dữ liệu trên đường 
truyền. Họ có thể đọc và hiểu được ý nghĩa của những dữ liệu đó. 
o Giúp các nhà quản trị giám sát lưu lượng của hệ thống qua đó các 
quản trị viên có thể phân tích những lỗi đang mắc phải trên hệ thống 
lưu lượng của mạng. 
 Ví dụ như : Tại sao gói tin từ máy A không thể gửi được sang 
máy B... etc 
o Một số công cụ Sniffer còn có thể tự động phát hiện và cảnh báo các 
cuộc tấn công đang được thực hiện vào hệ thống mạng mà nó đang 
hoạt động (Intrusion Detecte Service). 
Các Sniffer giúp ghi lại thông tin về các gói dữ liệu, các phiên 
truyền Phục vụ cho công việc phân tích, khắc phục các sự cố trên 
hệ thống mạng. 
1.3 Quá trình Sniffer được diễn ra như thế nào ? 
 Công nghệ Ethernet được xây dựng trên một nguyên lý chia sẻ. Theo khái 
niệm này thì tất cả các máy tính trên một hệ thống mạng cục bộ đều có thể 
chia sẻ đường truyền của hệ thống mạng đó. Hiểu một cách khác tất cả các 
máy tính đó đều có khả năng nhìn thấy lưu lượng dữ liệu được truyền trên 
đường truyền chung đó. Như vậy phần cứng Ethernet được xây dựng với 
tính năng lọc và bỏ qua tất cả những dữ liệu không thuộc đường truyền 
chung với nó. 
 Quá trình lọc được thực hiện dự trên nguyên lý bỏ qua tất cả những Frame 
có địa chỉ MAC không hợp lệ đối với nó. Sniffer tắt tính năng lọc này và sử 
dụng chế độ hỗn tạp (promiscuous mode) thì có thể nhìn thấy tất cả lưu 
lượng thông tin trên hệ thống mạng. 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
5 
1.4 Địa chỉ Ethernet MAC là gì ? 
 1.4.1 Giới thiệu : 
 Khi nhiều máy tính trên mạng có thể cùng chia sẻ một đường truyền. 
 Thì bản thân mỗi máy đó phải có một thông tin nhận dạng khác nhau. Khi 
 bạn gửi dữ liệu từ bên ngoài hệ thống mạng Ethernet bạn phải biết rõ địa 
 chỉ nơi bạn cần gửi dữ liệu đến. Thông tin dùng để nhận dạng từng máy 
 tính trên mạng là địa chỉ Ethernet MAC. 
 1.4.2 Chi tiết về đỉa chị Ethernet MAC : 
 MAC là một dãy 12 số Hex. 
 Địa chỉ MAC là một dãy số 48 bits. 
o 48 bits này tiếp tục được chia đôi. 
o 24 bit đầu tiên xác định tên hãng sản xuất Ethernet Card của 
bạn. 
o 24 bit còn lại là số hiệu Serial được gán bởi nhà sản xuất. 
Đảm bảo trên nguyên tắc không có 2 Ethernet Card có trùng 
một địa chỉ MAC. 24 bit thứ 2 còn được gọi là OUI 
(Organizationally Unique Identifier). 
o Tuy nhiên OUI có độ dài thực sự chỉ là 22 bit, 2 bit còn dư lại 
sẽ được sử dụng cho những mục đích khác. 1 bit được chỉ 
định nếu nó là địa chỉ Broadcast/Multicast (địa chỉ loan báo 
tin chung trên một hệ thống mạng). 1 bit còn lại được sử dụng 
nếu cần thiết lập lại địa chỉ cục bộ cho một Adapter. 
II Các phương pháp phát hiện Sniffer trên hệ thống mạng : 
Về mặt lý thuyết thì rất khó có thể phát hiện được sự hiện diện của các chương 
trình Sniffer trên hệ thống. Bởi chúng bắt và cố gắng đọc các gói tin, chúng không 
gây ra sự xáo trộn hay mất mát Packet nghiêm trọng nào trên đường truyền cả. 
Tuy nhiên trên thực tế lại có nhiều cách để phát hiện ra sự hiện diện của các 
Sniffer. Khi đứng đơn lẻ trên một máy tính không có sự truyền thông thì sẽ không 
có dấu hiệu gì. Tuy nhiên nếu được cài đặt trên một máy tính không đơn lẻ và có 
sự truyền thông, bản thân Sniffer sẽ phát sinh ra lưu lượng thông tin. Bạn có thể 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
6 
truy vấn ngược DNS để tìm thông tin liên quan đến những địa chỉ IP. Sau đây là 
một số phương pháp để phát hiện Sniffer. 
2.1 Phương pháp dùng Ping: 
Hầu hết các chương trình Sniffer được cài đặt trên các máy tính trong mạng sử 
dụng TCP/IP Stack. Bởi vậy khi bạn gửi yêu cầu đến những máy tính này, chúng 
sẽ phản hồi lại cho bạn kết quả. Bạn hãy gửi một yêu cầu phản hồi tới địa chỉ IP 
của máy tính nào đó trong mạng (máy mà bạn cần kiểm tra xem có bị cài đặt 
Sniffer hay không), nhưng không thông qua Adapter Ethernet của nó. 
 Lấy ví dụ cụ thể : 
1. Bạn nghi ngờ máy tính có địa chỉ IP là 10.0.0.1, có địa chỉ MAC 
là 00-40-05-A4-79-32. Đã bị cài đặt Sniffer. 
2. Bạn đang ở trong cùng một hệ thống mạng Ethernet mà bạn nghi 
ngờ có kẻ đã tiến hành Sniffer. 
3. Bạn thay đổi địa chỉ MAC của bạn thành là 00-40-05-A4-79-33. 
4. Bạn Ping đến địa chỉ IP và địa chỉ MAC mới. 
5. Trên nguyên tắc không một máy tính nào có thể nhìn thấy có thể 
nhìn thấy được Packet này. Bởi Adapter Ethernet chỉ chấp nhận 
những địa chỉ MAC hợp lệ của chính nó. 
6. Nếu bạn thấy sự trả lời từ địa chỉ mà bạn nghi ngờ không phải trên 
địa chỉ lọc của MAC (MAC Address Filter) trên Ethernet 
CardMáy tính có địa chỉ IP 10.0.0.1 đã bị cài đặt Sniffer. 
 Bằng các kỹ thuật của mình các Hacker vẫn có thể né tránh được 
phương pháp nêu trên. Các Hacker sẽ sử dụng những MAC Address 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
7 
ảo. Rất nhiều hệ thống máy tính trong đó có Windows có tích hợp 
khả năng MAC Filtering. Windows chỉ kiểm tra những byte đầu tiên. 
Nếu một địa chỉ MAC có dạng FF-00-00-00-00-00, thì đơn giản 
Windows sẽ coi nó là FF-FF-FF-FF-FF-FF. Đây là sơ hở cho phép 
các Hacker có thể khai thác đánh lừa hệ thống máy tính của bạn. Kỹ 
thuật phát hiện Sniffer đơn giản này thường được sử dụng trên các 
hệ thống Ethernet dựa trên Switch và Bridge. 
2.2 Phương pháp sử dụng ARP: 
 Phương pháp phát hiện Sniffer này tương tự như phương pháp dùng 
Ping. Khác biệt chỗ chúng ta sẽ sử dụng những Packet ARP. Để thực 
hiện quá trình bạn cần gửi một Packet ARP đến một địa chỉ nào đó 
trong mạng (không phải ... tline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
11 
dụng để mã hoá những thông tin nhạy cảm để gửi qua đường truyền như : 
Số thẻ tin dụng của khách hàng, các password và thông tin quan trọng. 
 PGP và S/MIME: E-mail cũng có khả năng bị những kẻ tấn công ác ý 
Sniffer. Khi Sniffer một E-mail không được mã hoá, chúng không chỉ biết 
được nội dung của mail, mà chúng còn có thể biết được các thông tin như 
địa chỉ của người gửi, địa chỉ của người nhậnChính vì vậy để đảm bảo an 
toàn và tính riêng tư cho E-mail bạn cũng cần phải mã hoá chúng 
S/MIME được tích hợp trong hầu hết các chương trình gửi nhận Mail hiện 
nay như Netscape Messenger, Outlock ExpressPGP cũng là một giao 
thức được sủ dụng để mã hoá E-mail. Nó có khả năng hỗ trợ mã hoá bằng 
DSA, RSA lên đến 2048 bit dữ liệu. 
 OpenSSH: Khi bạn sử dụng Telnet, FTP2 giao thức chuẩn này không 
cung cấp khả năng mã hoá dữ liệu trên đường truyền. Đặc biệt nguy hiểm là 
không mã hoá Password, chúng chỉ gửi Password qua đường truyền dưới 
dạng Clear Text. Điều gì sẽ xảy ra nếu những dữ liệu nhạy cảm này bị 
Sniffer. OpenSSH là một bộ giao thức được ra đời để khắc phục nhược 
điểm này: SSH (sử dụng thay thế Telnet), SFTP (sử dụng thay thế FTP) 
 VPNs (Virtual Private Networks): Được sử dụng để mã hoá dữ liệu khi 
truyền thông trên Internet. Tuy nhiên nếu một Hacker có thể tấn công và 
thoả hiệp được những Node của của kết nối VPN đó, thì chúng vẫn có thể 
tiến hành Sniffer được. 
Một ví dụ đơn giản,là một người dùng Internet khi lướt Web đã sơ ý để 
nhiễm RAT (Remoto Access Trojan), thường thì trong loại Trojan này 
thường có chứa sẵn Plugin Sniffer. Cho đến khi người dùng bất cẩn này 
thiết lập một kết nối VPN. Lúc này Plugin Sniffer trong Trojan sẽ hoạt 
động và nó có khả năng đọc được những dữ liệu chưa được mã hoá trước 
khi đưa vào VPN. Để phòng chống các cuộc tấn công kiểu này: bạn cần 
nâng cao ý thức cảnh giác cho những người sử dụng trong hệ thống mạng 
VPN của bạn, đồng thời sử dụng các chương trình quét Virus để phát hiện 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
12 
và ngăn chặn không để hệ thống bị nhiễm Trojan. 
3.4 Phương pháp ngăn chặn Sniffer Password : 
Để ngăn chăn những kẻ tấn công muốn Sniffer Password. Bạn đồng thời sử dụng 
các giao thức, phương pháp để mã hoá password cũng như sử dụng một giải pháp 
chứng thực an toàn (Authentication): 
 SMB/CIFS: Trong môi trường Windows/SAMBA bạn cần kích hoạt tính 
năng LANmanager Authencation. 
 Keberos: Một giải pháp chứng thực dữ liệu an toàn được sử dụng trên Unix 
cũng như Windows 
 Stanford SRP (Secure Remote Password): Khắc phục được nhược điểm 
không mã hoá Password khi truyền thong của 2 giao thức FTP và Telnet 
trên Unix: 
 Df 
3.5 Phương pháp ngăn chặn Sniffer trên thiết bị phần cứng : 
 Việc thay thế Hub của bạn bằng những Switch, nó có thể cung cấp một sự 
phòng chống hiệu quả hơn. Switch sẽ tạo ra một “Broadcast Domain” nó có 
tác dụng gửi đến những kẻ tấn công những gói ARP không hợp lệ (Spoof 
ARP Packet). 
 Tuy nhiên các Hacker vẫn có những cách thức khéo léo để vượt qua sự 
phòng thủ này. Các yêu cầu truy vấn ARP chứa đựng những thông tin chính 
xác từ IP cho đến MAC của người gửi. Thông thường để giảm bớt lưu 
lượng ARP trên đường truyền, đa số các máy tính sẽ đọc và sử dụng các 
thông tin từ bộ đệm (Cache) mà chúng truy vấn được từ Broadcast. 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
13 
 Bởi vậy một Hacker có thể Redirect những máy tính gần mình để vượt qua 
sự phòng thủ này bằng cách gửi những gói ARP chứa đựng những thông tin 
về địa chỉ IP của Router đến chính địa chỉ MAC của anh ta. Tất cả những 
máy tính trong hệ thống mạng cục bộ này sẽ nhầm tưởng anh ta là Router 
và sẽ thiết lập phiên truyền thông đi qua máy tính của anh ta. 
 Một cuộc tấn công DOS tương tự trên một hệ thống mạng cục bộ, khi thành 
công sẽ đá văng mục tiêu mà họ muốn tấn công ra khỏi mạng. rồi bắt đầu 
sử dụng chính địa chỉ IP của máy tính vừa bị tấn công này. Những kẻ tấn 
công sẽ khéo léo thừa kể và sử dụng những kết nối này. Bản than Windows 
khi phát hiện được hành động này, nó không hành động gì cả mà lại tử tế 
đóng Stack TCP/IP của chính mình và cho phép kết nối này tiếp tục. 
Để phòng chống lại các cuộc tấn công dạng bạn chỉ cần sử dụng các công 
cụ IDS (Intrusion Detecte Service). Các IDS như BlackICE IDS, Snort sẽ 
tự động phát hiện và cảnh báo về các cuộc tấn công dạng này. 
 Hầu hết các Adapter Ethernet đều cho phép cấu hình địa chỉ MAC bằng tay. 
Hacker có thể tạo ra các địa chỉ Spoof MAC bằng cách hướng vào các địa 
chỉ trên Adapter. Để khắc phục điều này, hầu hết các Switch đều không cho 
phép tự ý cấu hình lại các địa chỉ MAC. 
3.6 Một số thuật ngữ : 
 Ethernet : Một công nghệ nối mạng có năng lực mạnh được sử dụng trong 
hầu hết các mạng LAN. 
 Wireless : Các công nghệ nối mạng không dây. 
 Serial Direct Cable Connection : Công nghệ kết nối máy tính bằng Cable 
truyền nhận dữ liệu. 
 PPP (Point-to-Point Protocol) : Một giao thức kết nối Internet tin cậy thông 
qua Modem. 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
14 
 IP (Internet Protocol) : Giao thức được dùng để xử lý cơ chế truyền dữ 
liệu thực tế. Là cơ sở cho việc định hướng và vận chuyển dữ liệu trên 
Internet. 
 ICMP (Internet Control Message Protocol) : Giao thức xử lý các thông báo 
trạng thái cho IP, ví dụ như báo lỗi và các thay đổi mạng có thể ảnh hưởng 
đến việc định tuyến. 
 ARP (Address Resolution Protocol) : Giao thức chuyển các địa chỉ mạng 
sang địa chỉ phần cứng vật lý tương dùng các thông điệp Broadcast. Dùng 
để xác định địa chỉ mạng. 
 RARP (Reverse Address Resolution Protocol) : Làm công việc ngược lại 
ARP, chuyển địa chỉ phần cứng từ một máy sang địa chỉ IP. 
 TCP (Transmission Control Protocol) : Một giao thức, dịch vụ dựa trên 
kết nối, điều này cho phép các máy nhận và gửi dữ liệu có thể truyền thông 
với nhau vào mọi lúc, mọi nơi. 
 UDP (User Datagram Protocol) : Một giao thức, một dịch vụ không kết 
nối, hai máy gửi và nhận sẽ không truyền thông với nhau thông qua một kết 
nối liên tục. 
 Telnet : Giao thức cho phép đăng nhập từ xa đê người ding trên máy này 
có thể kết nối với máy kia và sẽ hoạt động như là ngồi ở máy đó vậy. 
 FTP (File Transfer Protocol) : Giao thức truyền dữ liệu từ máy này sang 
máy khác ding giao thức TCP. 
 SMTP (Simple Mail Transfer Protocol) : Giao thức dùng để truyền nhận 
thư điện tử giữa các máy. 
 DNS (Domain Name Service) : Xác định các địa chỉ máy tính từ tên chữ 
sang số. Còn rất nhiều giao thức dịch vụ khác ở tầng 7. Nhưng do khuôn 
khổ bài viết lên tôi chỉ nêu một số giao thức dịch vụ cơ bản. 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
15 
IV Chương trình XARP : 
4.1 Giới thiệu : 
 XARP là một công cụ giao diện đồ họa dùng để giám sát ARP Cache của 
máy tính.Nó gửi request định kỳ đến bảng ARP cache của máy tính và báo 
cáo những thay đổi về việc ánh xạ giữa địa chỉ IP và địa chỉ MAC trong 
ARP cache.Do vậy nó có thể được sử dụng để phát hiện ra kiểu tấn công 
ARP Poisoning trong mạng LAN. 
 XARP là 1 chương trình miễn phí.Nó có thể chạy trên hệ điều hành 
windows 2000 hoặc windows xp. 
4.2 Giao diện chương trình : 
 Normal View : 
 Advance View : 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
16 
4.3 Các mức bảo mật trong XARP : 
 Minimal : là mức security thấp nhất,ở mức này XARP sẽ không thực hiện 
việc discovery mà chỉ thực hiện việc detect 1 cách bị động.Các module 
giám sát có trong XARP sẽ phát hiện ra những phương thức tấn công cơ 
bản. 
 Basic : phương thức này thao tác với 1 chiến lược phát hiện ra những tấn 
công mặc định mà từ đó sẽ phát hiện các phương thức tấn công chuẩn.Đây 
là mức bảo mật được đề nghị cho mọi môi trường. 
 High : high security level thêm vào phương thức discovery network,tốc độ 
phát hiện của nó cao hơn các phương thức trên,tuy nhiên nó phải gửi thêm 
nhiều gói tin discovery vào trong mạng.Trong 1 vài môi trường,dùng mức 
độ này có thể cho ra những cảnh báo sai. 
 Aggressive : aggressive security level sẽ enable tất cả các module giám sát 
tất cả các gói tin ARP và gửi những gói tin discovery với tần suất cao 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
17 
hơn.Sử dụng mức bảo mật này cũng có thể cho ra những cảnh báo tấn công 
sai. 
4.4 Demo phát hiện tấn công ARP Poisoning : 
 Đầu tiên từ 1 máy trong mạng LAN chúng ta mở chương trình Cain lên bắt 
đầu thực hiện việc sniffer và tấn công dạng ARP Poisoning : 
 Tiếp theo trong chương trình Cain ta tiến hành chọn interface để tiến hành 
việc sniffer trong LAN : 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
18 
 Sau khi chọn card mạng ta thực hiện sniffer bằng cách click vào button 
Start/Stop Sniffer trên hình : 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
19 
 Sau đó,trong mục host gốc dưới màn hình ta scan địa chỉ mac address của 
tất cả các host trong mạng sẽ được hình sau : 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
20 
 Tiếp theo nhấn nút start/stop arp,sau đó add địa chỉ ip của những máy mà 
chúng ta muốn giám sát : 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
21 
 Trong máy có ip 192.168.1.100 ta mở chương trình XARP đã cài đặt,sử 
dụng mức bảo mật basic,ta phát hiện được việc tấn công ARP Poisoning 
thông qua cảnh báo của chương trình : 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
22 
 Và đây là thống kê của chương trình về tất cả cảnh báo (hàng màu đỏ chính 
là cảnh báo về việc thay đổi địa chỉ mac address): 
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM 
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 
23 
Sử dụng XARP là 1 cách chống lại việc tấn công ARP Poisoning trong mạng LAN 
hiệu quả.