Khởi đầu Sniffer là tên một sản phẩm của Network Associates có tên là
Sniffer Network Analyzer.
Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng
các lưu lượng thông tin trên môi trường mạng máy tính.
Những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu
ở dạng nhị phân (Binary). Bởi vậy để nghe lén và hiểu được những dữ liệu
ở dạng nhị phân này, các chương trình Sniffer phải có tính năng được biết
như là sự phân tích các nghi thức (Protocol Analysis), cũng như tính năng
giải mã (Decode) các dữ liệu ở dạng nhị phân để hiểu được chúng.
Trong một hệ thống mạng sử dụng những giao thức kết nối chung và đồng
bộ. Bạn có thể sử dụng Sniffer ở bất cứ Host nào trong hệ thống mạng của
bạn. Chế độ này được gọi là chế độ hỗn tạp (promiscuous mode).
23 trang |
Chia sẻ: oanh_nt | Lượt xem: 2664 | Lượt tải: 5
Bạn đang xem trước 20 trang tài liệu Đồ án Nghiên cứu và chứng minh cách phát hiện có tấn công sniffer trong mạng Lan (Window), để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Giáo viên hướng dẫn : Võ Đỗ Thắng
Nhóm thực hiện :
0512253 Bùi Xuân Phong
0512213 Phan Bảo Lộc
0512211 Hứa Thắnng Lộc
0512205 Nguyễn Kinh Luân
0512187 Quách Minh Khánh
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
1
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Contents
I. Các khái niệm căn bản về Sniffer. ................................................................................... 3
1.2 Sniffer được sử dụng như thế nào ? ........................................................................... 3
1.3 Quá trình Sniffer được diễn ra như thế nào ? ............................................................. 4
1.4 Địa chỉ Ethernet MAC là gì ? ..................................................................................... 5
1.4.1 Giới thiệu : ........................................................................................................... 5
1.4.2 Chi tiết về đỉa chị Ethernet MAC : ...................................................................... 5
II Các phương pháp phát hiện Sniffer trên hệ thống mạng : ............................................... 5
2.1 Phương pháp dùng Ping: ............................................................................................ 6
2.2 Phương pháp sử dụng ARP: ....................................................................................... 7
2.3 Phương pháp sử dụng DNS : ...................................................................................... 7
2.4 Phương pháp Source-Route : ..................................................................................... 8
2.5 Phương pháp giăng bẫy (Decoy) :.............................................................................. 9
2.6 Phương pháp kiểm tra sự chậm trễ của gói tin (Latency) : ........................................ 9
III Phương pháp ngăn chặn Sniffer trên hệ thống mạng : ................................................... 9
3.1 Các hệ thống mạng có nguy cơ Sniffer : .................................................................... 9
3.2 Các giao thức có nguy cơ Sniffer: ............................................................................ 10
3.3 Phương pháp ngăn chặn Sniffer dữ liệu ? ................................................................ 10
3.4 Phương pháp ngăn chặn Sniffer Password : ............................................................ 12
3.5 Phương pháp ngăn chặn Sniffer trên thiết bị phần cứng : ........................................ 12
3.6 Một số thuật ngữ : .................................................................................................... 13
IV Chương trình XARP : ................................................................................................... 15
4.1 Giới thiệu : ............................................................................................................... 15
4.2 Giao diện chương trình : .......................................................................................... 15
4.3 Các mức bảo mật trong XARP : .............................................................................. 16
4.4 Demo phát hiện tấn công ARP Poisoning : .............................................................. 17
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
2
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
I. Các khái niệm căn bản về Sniffer.
1.1 Đôi nét về Sniffer :
Khởi đầu Sniffer là tên một sản phẩm của Network Associates có tên là
Sniffer Network Analyzer.
Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng
các lưu lượng thông tin trên môi trường mạng máy tính.
Những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu
ở dạng nhị phân (Binary). Bởi vậy để nghe lén và hiểu được những dữ liệu
ở dạng nhị phân này, các chương trình Sniffer phải có tính năng được biết
như là sự phân tích các nghi thức (Protocol Analysis), cũng như tính năng
giải mã (Decode) các dữ liệu ở dạng nhị phân để hiểu được chúng.
Trong một hệ thống mạng sử dụng những giao thức kết nối chung và đồng
bộ. Bạn có thể sử dụng Sniffer ở bất cứ Host nào trong hệ thống mạng của
bạn. Chế độ này được gọi là chế độ hỗn tạp (promiscuous mode).
1.2 Sniffer được sử dụng như thế nào ?
Sniffer thường được sử dụng vào 2 mục đích :
o Một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống
mạng của mình.
o Một chương trình được cài vào một hệ thống mạng máy tính với
mục đích đánh hơi, nghe lén các thông tin trên đoạn mạng này...
Một số tính năng của Sniffer :
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
3
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
o Các Hacker sử dụng để bắt tên người sử dụng (Username) và mật
khẩu không được mã hoá (Clear Text Password) trong hệ thống
mạng của bạn.
o Giúp các nhà quản trị theo dõi các thông tin dữ liệu trên đường
truyền. Họ có thể đọc và hiểu được ý nghĩa của những dữ liệu đó.
o Giúp các nhà quản trị giám sát lưu lượng của hệ thống qua đó các
quản trị viên có thể phân tích những lỗi đang mắc phải trên hệ thống
lưu lượng của mạng.
Ví dụ như : Tại sao gói tin từ máy A không thể gửi được sang
máy B... etc
o Một số công cụ Sniffer còn có thể tự động phát hiện và cảnh báo các
cuộc tấn công đang được thực hiện vào hệ thống mạng mà nó đang
hoạt động (Intrusion Detecte Service).
Các Sniffer giúp ghi lại thông tin về các gói dữ liệu, các phiên
truyền… Phục vụ cho công việc phân tích, khắc phục các sự cố trên
hệ thống mạng.
1.3 Quá trình Sniffer được diễn ra như thế nào ?
Công nghệ Ethernet được xây dựng trên một nguyên lý chia sẻ. Theo khái
niệm này thì tất cả các máy tính trên một hệ thống mạng cục bộ đều có thể
chia sẻ đường truyền của hệ thống mạng đó. Hiểu một cách khác tất cả các
máy tính đó đều có khả năng nhìn thấy lưu lượng dữ liệu được truyền trên
đường truyền chung đó. Như vậy phần cứng Ethernet được xây dựng với
tính năng lọc và bỏ qua tất cả những dữ liệu không thuộc đường truyền
chung với nó.
Quá trình lọc được thực hiện dự trên nguyên lý bỏ qua tất cả những Frame
có địa chỉ MAC không hợp lệ đối với nó. Sniffer tắt tính năng lọc này và sử
dụng chế độ hỗn tạp (promiscuous mode) thì có thể nhìn thấy tất cả lưu
lượng thông tin trên hệ thống mạng.
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
4
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
1.4 Địa chỉ Ethernet MAC là gì ?
1.4.1 Giới thiệu :
Khi nhiều máy tính trên mạng có thể cùng chia sẻ một đường truyền.
Thì bản thân mỗi máy đó phải có một thông tin nhận dạng khác nhau. Khi
bạn gửi dữ liệu từ bên ngoài hệ thống mạng Ethernet bạn phải biết rõ địa
chỉ nơi bạn cần gửi dữ liệu đến. Thông tin dùng để nhận dạng từng máy
tính trên mạng là địa chỉ Ethernet MAC.
1.4.2 Chi tiết về đỉa chị Ethernet MAC :
MAC là một dãy 12 số Hex.
Địa chỉ MAC là một dãy số 48 bits.
o 48 bits này tiếp tục được chia đôi.
o 24 bit đầu tiên xác định tên hãng sản xuất Ethernet Card của
bạn.
o 24 bit còn lại là số hiệu Serial được gán bởi nhà sản xuất.
Đảm bảo trên nguyên tắc không có 2 Ethernet Card có trùng
một địa chỉ MAC. 24 bit thứ 2 còn được gọi là OUI
(Organizationally Unique Identifier).
o Tuy nhiên OUI có độ dài thực sự chỉ là 22 bit, 2 bit còn dư lại
sẽ được sử dụng cho những mục đích khác. 1 bit được chỉ
định nếu nó là địa chỉ Broadcast/Multicast (địa chỉ loan báo
tin chung trên một hệ thống mạng). 1 bit còn lại được sử dụng
nếu cần thiết lập lại địa chỉ cục bộ cho một Adapter.
II Các phương pháp phát hiện Sniffer trên hệ thống mạng :
Về mặt lý thuyết thì rất khó có thể phát hiện được sự hiện diện của các chương
trình Sniffer trên hệ thống. Bởi chúng bắt và cố gắng đọc các gói tin, chúng không
gây ra sự xáo trộn hay mất mát Packet nghiêm trọng nào trên đường truyền cả.
Tuy nhiên trên thực tế lại có nhiều cách để phát hiện ra sự hiện diện của các
Sniffer. Khi đứng đơn lẻ trên một máy tính không có sự truyền thông thì sẽ không
có dấu hiệu gì. Tuy nhiên nếu được cài đặt trên một máy tính không đơn lẻ và có
sự truyền thông, bản thân Sniffer sẽ phát sinh ra lưu lượng thông tin. Bạn có thể
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
5
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
truy vấn ngược DNS để tìm thông tin liên quan đến những địa chỉ IP. Sau đây là
một số phương pháp để phát hiện Sniffer.
2.1 Phương pháp dùng Ping:
Hầu hết các chương trình Sniffer được cài đặt trên các máy tính trong mạng sử
dụng TCP/IP Stack. Bởi vậy khi bạn gửi yêu cầu đến những máy tính này, chúng
sẽ phản hồi lại cho bạn kết quả. Bạn hãy gửi một yêu cầu phản hồi tới địa chỉ IP
của máy tính nào đó trong mạng (máy mà bạn cần kiểm tra xem có bị cài đặt
Sniffer hay không), nhưng không thông qua Adapter Ethernet của nó.
Lấy ví dụ cụ thể :
1. Bạn nghi ngờ máy tính có địa chỉ IP là 10.0.0.1, có địa chỉ MAC
là 00-40-05-A4-79-32. Đã bị cài đặt Sniffer.
2. Bạn đang ở trong cùng một hệ thống mạng Ethernet mà bạn nghi
ngờ có kẻ đã tiến hành Sniffer.
3. Bạn thay đổi địa chỉ MAC của bạn thành là 00-40-05-A4-79-33.
4. Bạn Ping đến địa chỉ IP và địa chỉ MAC mới.
5. Trên nguyên tắc không một máy tính nào có thể nhìn thấy có thể
nhìn thấy được Packet này. Bởi Adapter Ethernet chỉ chấp nhận
những địa chỉ MAC hợp lệ của chính nó.
6. Nếu bạn thấy sự trả lời từ địa chỉ mà bạn nghi ngờ không phải trên
địa chỉ lọc của MAC (MAC Address Filter) trên Ethernet
Card…Máy tính có địa chỉ IP 10.0.0.1 đã bị cài đặt Sniffer.
Bằng các kỹ thuật của mình các Hacker vẫn có thể né tránh được
phương pháp nêu trên. Các Hacker sẽ sử dụng những MAC Address
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
6
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
ảo. Rất nhiều hệ thống máy tính trong đó có Windows có tích hợp
khả năng MAC Filtering. Windows chỉ kiểm tra những byte đầu tiên.
Nếu một địa chỉ MAC có dạng FF-00-00-00-00-00, thì đơn giản
Windows sẽ coi nó là FF-FF-FF-FF-FF-FF. Đây là sơ hở cho phép
các Hacker có thể khai thác đánh lừa hệ thống máy tính của bạn. Kỹ
thuật phát hiện Sniffer đơn giản này thường được sử dụng trên các
hệ thống Ethernet dựa trên Switch và Bridge.
2.2 Phương pháp sử dụng ARP:
Phương pháp phát hiện Sniffer này tương tự như phương pháp dùng
Ping. Khác biệt chỗ chúng ta sẽ sử dụng những Packet ARP. Để thực
hiện quá trình bạn cần gửi một Packet ARP đến một địa chỉ nào đó
trong mạng (không phải Broadcast). Nếu máy tính đó trả lời lại
Packet ARP bằng địa chỉ của chính nó. Thì máy tính đó đang cài đặt
Sniffer ở chế độ hỗn tạp
(Promiscuous Mode).
Mỗi Packet ARP đều chứa đầy đủ thông tin về người gửi và người
nhận. Khi Hacker gửi một Packet ARP đến địa chỉ loan truyền tin
(Broadcast Address), nó bao gồm thông tin về địa chỉ IP của bạn và
địa chỉ MAC được phân giải bởi Ethernet. Ít phút sau mọi máy tính
trong hệ thống mạng Ethernet đều nhớ thông tin này. Bởi vậy khi
Hacker gửi các Packet ARP không đi qua Broadcast Address. Tiếp
đó anh ta sẽ ping đến Broadcast Address. Lúc này bất cứ máy tính
nào trả lời lại anh ta mà không bằng ARPing, anh ta có thể chụp
được các thông tin về địa chỉ MAC của máy tính này bằng cách sử
dụng Sniffer để chụp các khung ARP (ARP Frame).
2.3 Phương pháp sử dụng DNS :
Rất nhiều chương trình Sniffer có tính năng phân giải ngược các địa
IP thành DNS mà chúng nhìn thấy (như dsniff). Bởi vậy khi quan sát
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
7
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
lưu lượng truyền thông của DNS bạn có thể phát hiện được Sniffer ở
chế độ hỗn tạp (Promiscuous Mode).
Để thực hiện phương pháp này, bạn cần theo dõi quá trình phân giải
ngược trên DNS Server của bạn. Khi bạn phát hiện được những hành
động Ping liên tục với mục đích thăm dò đến những địa chỉ IP không
tồn tại trên hệ thống mạng của bạn. Tiếp đó là những hành động cố
gắng phân giải ngược những địa chỉ IP được biết từ những Packet
ARP. Không gì khác đây là những hành động của một chương trình
Sniffer.
2.4 Phương pháp Source-Route :
Phương pháp này sử dụng những thông tin như địa chỉ nguồn và địa
chỉ đích trong mỗi Header của IP để phát hiện hành động Sniffer trên
từng đoạn mạng.
Tiến hành ping từ một máy tính này đến một máy tính khác. Nhưng
tính năng Routing trên máy tính nguồn phải được vô hiệu hoá. Hiểu
đơn giản là làm thế nào để gói tin này không thể đi đến đích. Nếu
như bạn thấy sự trả lời, thì đơn giản hệ thống mạng của bạn đã bị cài
đặt Sniffer.
Để sử dụng phương pháp này bạn cần sử dụng vào một vài tuỳ chọn
trong Header IP. Để Router sẽ bỏ qua những địa chỉ IP đến và tiếp
tục chuyển tiếp đến những địa chỉ IP trong tuỳ chọn Source-Route
của Router.
Lấy một ví dụ cụ thể :
o Bob và Anna cùng nằm trên một đoạn mạng. Khi có một
người khác trên cùng đoạn mạng gửi cho cô ta vài Packet IP
và nói chuyển chúng đến cho Bob. Anna không phải là một
Router, cho nên cô ta sẽ Drop tất cả Packet IP mà người kia
muốn chuyển tới Bob (bởi cô ta không thể làm việc này). Một
Packet IP không được gửi đến Bob, mà anh ta vẫn có thể trả
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
8
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
lời lại được. Điều này vô lý, vậy anh ta đã sử dụng các
chương trình Sniffer.
2.5 Phương pháp giăng bẫy (Decoy) :
Tương tự như phương pháp sử dụng ARP nhưng nó được sử dụng
trong những phạm vi mạng rộng lớn hơn (gần như là khắp nơi). Rất
nhiều giao thức sử dụng các Password không được mã hoá trên
đường truyền, các Hacker rất coi trọng những Password này, phương
pháp giăng bẫy này sẽ thoả mãn điều đó. Đơn giản bạn chỉ cần giả
lập những Client sử dụng Service mà Password không được mã hoá
như : POP, FTP, Telnet, IMAP...Bạn có thể cấu hình những User
không có quyền hạn, hay thậm chí những User không tồn tại. Khi
Sniffer được những thông tin được coi là «quý giá» này các Hacker
sẽ tìm cách kiểm tra, sử dụng và khai thác chúng...Bạn sẽ làm gí kế
tiếp ???
2.6 Phương pháp kiểm tra sự chậm trễ của gói tin (Latency) :
Phương pháp này sẽ làm giảm thiểu sự lưu thông trên hệ thống mạng
của bạn. Bằng cách gửi một lượng thông tin lớn đến máy tính mà
bạn nghi là đã bị cài đặt Sniffer. Sẽ không có hiệu ứng gí đáng kể
nếu máy tính đó hoàn toàn không có gì. Bạn ping đến máy tính mà
bạn nghi ngờ đã bị cài đặt Sniffer trước thời gian chịu tải và trong
thời gian chị tải. Để quan sát sự khác nhau của 2 thời điểm này.
Tuy nhiên phương pháp này tỏ ra không mấy hiệu quả. Bản thân
những Packet IP được gửi đi trên đường truyền cũng gây ra sự trậm
trễ và thất lạc. Cũng như những Sniffer chạy ở chế độ “User Mode”
được xử lý độc lập bởi CPU cũng cho ra những kết quả không chính
xác.
III Phương pháp ngăn chặn Sniffer trên hệ thống mạng :
3.1 Các hệ thống mạng có nguy cơ Sniffer :
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
9
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
Cable Modem
DSL
ADSL
Switched Network
Wireless like IEEE 802.11 a.k.a. AirPort (hệ thống mạng không dây)
3.2 Các giao thức có nguy cơ Sniffer:
Telnet, Rlogin
SNMP
NNTP
POP, IMAP, SMTP
FTP
3.3 Phương pháp ngăn chặn Sniffer dữ liệu ?
Có lẽ cách đơn giản nhất để ngăn chặn những kẻ muốn Sniffer dữ liệu là sử dụng
các giao thức mã hoá chuẩn cho dữ liệu trên đường truyền. Khi mã hoá dữ liệu,
những kẻ tấn công ác ý có thể Sniffer được dữ liệu, nhưng chúng lại không thể đọc
được nó...
sdfds
SSL (Secure Socket Layer) : Một giao thức mã hoá được phát triển cho hầu
hết các Webserver, cũng như các Web Browser thông dụng. SSL được sử
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
10
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
dụng để mã hoá những thông tin nhạy cảm để gửi qua đường truyền như :
Số thẻ tin dụng của khách hàng, các password và thông tin quan trọng.
PGP và S/MIME: E-mail cũng có khả năng bị những kẻ tấn công ác ý
Sniffer. Khi Sniffer một E-mail không được mã hoá, chúng không chỉ biết
được nội dung của mail, mà chúng còn có thể biết được các thông tin như
địa chỉ của người gửi, địa chỉ của người nhận…Chính vì vậy để đảm bảo an
toàn và tính riêng tư cho E-mail bạn cũng cần phải mã hoá chúng…
S/MIME được tích hợp trong hầu hết các chương trình gửi nhận Mail hiện
nay như Netscape Messenger, Outlock Express…PGP cũng là một giao
thức được sủ dụng để mã hoá E-mail. Nó có khả năng hỗ trợ mã hoá bằng
DSA, RSA lên đến 2048 bit dữ liệu.
OpenSSH: Khi bạn sử dụng Telnet, FTP…2 giao thức chuẩn này không
cung cấp khả năng mã hoá dữ liệu trên đường truyền. Đặc biệt nguy hiểm là
không mã hoá Password, chúng chỉ gửi Password qua đường truyền dưới
dạng Clear Text. Điều gì sẽ xảy ra nếu những dữ liệu nhạy cảm này bị
Sniffer. OpenSSH là một bộ giao thức được ra đời để khắc phục nhược
điểm này: SSH (sử dụng thay thế Telnet), SFTP (sử dụng thay thế FTP)…
VPNs (Virtual Private Networks): Được sử dụng để mã hoá dữ liệu khi
truyền thông trên Internet. Tuy nhiên nếu một Hacker có thể tấn công và
thoả hiệp được những Node của của kết nối VPN đó, thì chúng vẫn có thể
tiến hành Sniffer được.
Một ví dụ đơn giản,là một người dùng Internet khi lướt Web đã sơ ý để
nhiễm RAT (Remoto Access Trojan), thường thì trong loại Trojan này
thường có chứa sẵn Plugin Sniffer. Cho đến khi người dùng bất cẩn này
thiết lập một kết nối VPN. Lúc này Plugin Sniffer trong Trojan sẽ hoạt
động và nó có khả năng đọc được những dữ liệu chưa được mã hoá trước
khi đưa vào VPN. Để phòng chống các cuộc tấn công kiểu này: bạn cần
nâng cao ý thức cảnh giác cho những người sử dụng trong hệ thống mạng
VPN của bạn, đồng thời sử dụng các chương trình quét Virus để phát hiện
Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn
11
92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM
www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477
và ngăn chặn không để hệ thống bị nhiễm Trojan.
3.4 Phương pháp ngăn chặn Sniffer Password :
Để ngăn chăn những kẻ tấn công muốn Sniffer Password. Bạn đồng thời sử dụng
các giao thức, phương pháp để mã hoá password cũng như sử dụng một giải pháp
chứng thực an toàn (Authentication):
SMB/CIFS: Trong môi trường Windows/SAMBA bạn cần kích hoạt tính
năng LANmanager Authencation.
Keberos: Một giải pháp chứng thực dữ liệu an toàn được sử dụng trên Unix
cũng như Windows
Stanford SRP (Secure Remote Password): Khắc phục được nhược điểm
không mã hoá Password khi truyền thong của 2 giao thức FTP và Telnet
trên Unix:
Df
3.5 Phương pháp ngăn chặn Sniffer trên thiết bị phần cứng :
Việc thay thế Hub của bạn bằng những Switch, nó có thể cung cấp một sự
phòng chống hiệu quả hơn. Switch sẽ tạo ra một “Broadcast Domain” nó có
tác dụng gửi đến những kẻ tấn công những gói ARP không hợp lệ (Spoof
ARP Packet).
Tuy nhiên các Hacker vẫn có những cách thức khéo léo để vượt qua sự
phòng thủ nà