Trong bài báonày, tôi đề xuất hệthốngsửdụngANNmộtmôhìnhhọcsâunhằmpháthiệncuộctấncông ARPSpoofing trong kiến trúc SDN. Bài báo đãmôtảchitiết quátrình xâydựngvàápdụngmôhìnhANNvào hệ thốngSDN,trongđóđềxuấttínhtoánmộtsốđặctrưngcơbảncủatấncôngARPSpoofingtừcơsởdữliệu thu thập đượctừOpenFlowSwitch.Cáckếtquảmôphỏngchohệthốngnàythuđượcđộchínhxácxấpxỉ 97%vàhoàntoàncókhảnăngứngdụngtrongmôitrườngthựctế.
Trang 1Khoa Điện tử - Viễn thông
Tiểu luận môn học: Các Vấn Đề Hiện Đại Của Kỹ Thuật Máy Tính
ÁP DỤNG THUẬT TOÁN HỌC SÂU PHÁT HIỆN
TẤN CÔNG ARP SPOOFING TRONG KIẾN TRÚC SDN
Ngày 4 tháng 12 năm 2023
Nguyễn Văn Long 20020683
Trang 2Tóm tắt nội dung
Trong bài báo này, tôi đề xuất hệ thống sử dụng ANN - một mô hình học sâu nhằm phát hiện cuộc tấn công ARP Spoofing trong kiến trúc SDN Bài báo đã mô tả chi tiết quá trình xây dựng và áp dụng mô hình ANN vào
hệ thống SDN, trong đó đề xuất tính toán một số đặc trưng cơ bản của tấn công ARP Spoofing từ cơ sở dữ liệu thu thập được từ OpenFlow Switch Các kết quả mô phỏng cho hệ thống này thu được độ chính xác xấp xỉ 97% và hoàn toàn có khả năng ứng dụng trong môi trường thực tế
1 Giới thiệu
1.1 Kiến thức chung
Mạng định nghĩa mềm, còn được gọi là SDN (Software-defined network), là một phương pháp kết nối mạng
giúp tách mặt phẳng điều khiển (control plane) khỏi mặt phẳng dữ liệu (data plane), cho phép người quản trị
viên có thể lập trình và quản lý mô hình mạng dễ dàng và linh hoạt hơn Ba thành phần chính [1] trong kiến
trúc SDN được mô tả trong Hình 1, bao gồm bao gồm 3 lớp: lớp ứng dụng application plane, lớp điều khiển -control plane và lớp cơ sở hạ tầng - data plane Trong đó, lớp ứng dụng chứa các ứng dụng mạng hoặc chức năng điển hình mà các tổ chức sử dụng như hệ thống phát hiện xâm nhập (Intrusion Detection System), cân bằng tải (Load Balancing) hay tường lửa (Firewall) Lớp điều khiển đại diện cho phần mềm điều khiển SDN theo cơ chế tập trung, hoạt động như một bộ não của SDN Lớp cơ sở hạ tầng được tạo từ các switch vật lý trong mạng
Cơ chế quản lý tập trung của SDN khiến kiến trúc này gặp phải nhiều vấn đề bảo mật khiến quá trình triển
Hình 1: Kiến trúc SDN
khai bị chậm lại Man in the Middle (MitM) được coi là một trong những kiểu tấn công đáng chú ý trong môi
trường SDN Cuộc tấn công MitM xảy ra khi kẻ tấn công tự đặt mình vào cuộc trò chuyện giữa hai người dùng
để nghe lén hoặc mạo danh ít nhất một trong hai bên Hình minh họa chi tiết về một cuộc tấn công có thể
Trang 3xảy ra được hiển thị trong Hình 2 Có nhiều loại tấn công MitM khác nhau, chẳng hạn như: ARP Spoofing, IP Spoofing, DNS Spoofing, v.v Trong bài viết này, tôi tiến hành nghiên cứu về ARP Spoofing
Giao thức phân giải địa chỉ (Address Resolution Protocol - ARP) là một giao thức mạng được sử dụng để ánh
Hình 2: Ví dụ về tấn công MitM
xạ địa chỉ IP của một thiết bị trên mạng vào địa chỉ MAC tương ứng của thiết bị đó [2] ARP Spoofing là hình
thức tấn công phổ biến nhất trong mạng cục bộ (LAN) Quá trình diễn ra loại tấn công này sẽ được mô tả cụ
thể trong Phần III - Thực nghiệm và kết quả.
Để phát hiện các cuộc tấn công MitM trong các hệ thống lớn với lượng dữ liệu khổng lồ, các thuật toán machine learning và deep learning được áp dụng Trong bài báo này, tôi lựa chọn ANN - mô hình học sâu (deep learning) là một trong những kỹ thuật được sử dụng rộng rãi để phân loại hai trạng thái, thông thường
và độc hại, của các lưu lượng mạng trong môi trường SDN [3].
1.2 Các nghiên cứu liên quan
Mặc dù cuộc tấn công MitM đã được biết đến từ lâu nhưng nó vẫn được coi là một mối đe dọa lớn do tính
chất dễ thực hiện và khó phát hiện của nó [4] Trong mô hình mạng truyền thống, các cơ chế bảo vệ khỏi tấn
công ARP Spoofing đã tồn tại trong nhiều năm và các phương pháp bảo vệ có thể được chia thành hai loại:
Sửa đổi thiết bị chuyển mạch và Cải thiện giao thức ARP Với Sửa đổi thiết bị chuyển mạch, có một số phương
pháp đã được sử dụng rộng rãi, đó là: Quản lý thủ công địa chỉ MAC của từng thiết bị mạng bằng cách nâng
cấp switch bằng công nghệ Kiểm tra ARP động (DAI) của Cisco [5], sử dụng Antidote[6] để tránh xung đột
MAC Đối với các phương pháp Cải thiện giao thức ARP: S-ARP [7] và Ticket-based ARP (TARP) [8] là các giải
pháp mã hóa cho giao thức ARP, MR-ARP [9] và phiên bản cải tiến của nó [10] sửa đổi giao thức ARP và đề
xuất cơ chế bảo vệ chống giả mạo ARP dựa trên cơ chế bỏ phiếu công bằng Tóm lại, điều đáng chú ý là các cơ chế này có thể duy trì khả năng tương thích của máy chủ, nhưng chúng không đủ linh hoạt do chi phí cấu hình thủ công cao và khó sử dụng
Như đã đề cập ở trên, tấn công ARP Spoofing chủ yếu được thấy trong các mạng LAN và vẫn phải đối mặt với
Trang 4nhiều thách thức trong kiến trúc truyền thống Tuy nhiên, SDN ra đời đã cung cấp giải pháp để giải quyết
vấn đề này mà không cần thực hiện bất kỳ thay đổi nào trong mạng Crenshaw [11] triển khai cơ chế chống
ARP Spoofing rất đơn giản trong bộ điều khiển POX, cơ chế này yêu cầu bộ điều khiển kiểm tra xem mỗi gói tin ARP Reply mà nó nhận được có gây ra các mục IP trùng lặp trong ARP cache hay không Chương trình
này tương tự như Antidote nhưng có tỷ lệ cảnh báo sai cao Trong bài viết [12], các tác giả phát hiện cuộc
tấn công của bộ điều khiển bằng cách đảm bảo tính hợp pháp của các gói tin Packet-In AbdelSalam và các
đồng nghiệp trong [13] phát hiện các cuộc tấn công ARP Poison bằng cách so sánh địa chỉ MAC nguồn trong
Ethernet frame với ARP header và nếu chúng khác nhau, nó sẽ đưa ra cảnh báo mạng đang bị tấn công Các thuật toán học máy (machine learning) và học sâu (deep learning) cũng dần được đưa vào để phát hiện
các cuộc tấn công MitM Một số nghiên cứu có thể kể đến như: [14], [15], [16] Trong [14], các tác giả sử dụng
mô hình CBNA-RF, giúp thiết lập các chính sách bảo mật phù hợp và tự động hóa các hoạt động phòng chống tấn công trên môi trường SDN quy mô lớn Mặc dù có tỷ lệ chính xác cao, xấp xỉ 97% nhưng phương pháp
được đề xuất trong [14] vẫn còn một số hạn chế: Thứ nhất, các thử nghiệm và phần triển khai được thực hiện
trên môi trường được kiểm soát, hạn chế số lượng thử nghiệm; Thứ hai, phương pháp này chỉ cho phép ngăn
chặn các cuộc tấn công MitM và không hiệu quả trước các loại tấn công khác Bài viết [15] sử dụng bộ dataset
có sẵn - Kitsune (ARP MitM Ettercap) với sự kết hợp của các phương pháp Deep Learning là CNN-MLP và CNN-LSTM Mô hình của họ cho tỷ lệ chính xác cao, khoảng 97%, tuy nhiên phương pháp thu thập dữ liệu của họ không phù hợp với môi trường mạng SDN Các tác giả trong bài viết này cũng thu thập tất cả các đặc trưng có trong mạng, điều này có thể tiêu tốn nhiều thời gian và tài nguyên hơn một cách không cần thiết
Ngoài ra, [16] chọn phản hồi và phản hồi năng lượng của hệ thống làm đặc điểm để đánh giá cơ chế phát hiện
dựa trên một số mô hình phân loại cơ sở tuyến tính, bao gồm: KNN, Cây quyết định (Decision tree), Hồi quy Logistic (Logistic Regression), Rừng cây (Random Forest)
tôi đã lựa chọn mô hình học sâu ANN cho hệ thống của mình sau khi xem xét ưu và nhược điểm của nhiều nguồn tham khảo đã được phân tích ở trên Do khả năng xử lý khối lượng dữ liệu lớn và phức tạp của mô hình, thời gian phản ứng nhanh đối với các dự đoán phân loại và trong trường hợp của tôi là phân loại lưu lượng truy cập bình thường và độc hại, nên kỹ thuật này rất lý tưởng để sử dụng.Trong đó, tôi cũng đã nghiên cứu và
đề xuất tính toán một số các đặc trưng của dữ liệu lưu lượng trong hệ thống SDN để đưa vào mô hình học sâu
Bài viết này được tổ chức như sau: Phần II cung cấp mô tả chi tiết về Mô hình hệ thống, bao gồm Tổng quan và
Mô hình ANN Phần III Thực nghiệm và kết quả trình bày quá trình và kết quả thực nghiệm mô hình Cuối
cùng, Kết luận và định hướng phát triển - phần IV sẽ tóm tắt những gì đã đạt được trong quá trình nghiên
cứu, đưa ra kết luận và đưa ra định hướng nghiên cứu trong tương lai nhằm cải thiện hệ thống này
2 Mô hình hệ thống
Trong tiểu mục này, quy trình làm việc của hệ thống đề xuất được giới thiệu và các bước thực thi sẽ được giải thích theo từng giai đoạn
Lưu đồ của phương pháp được hiển thị trong Hình 3 Hệ thống bắt đầu bằng việc khởi chạy chương trình L2 learning switch và thiết lập sự kiện handler_PacketIn (sự kiện này sẽ xảy ra khi switch nhận được một gói tin) Khi một gói tin đi vào bộ điều khiển, bộ điều khiển sẽ duy trì bảng MAC_to_IP Bảng này ánh xạ địa chỉ MAC tới địa chỉ IP của máy chủ trong mạng Nếu nhận thấy gói tin ARP có địa chỉ MAC nguồn và địa chỉ IP nguồn không khớp với bất kỳ cặp nào thuộc danh sách trong bảng MAC_to_IP, thì giá trị mismatch sẽ tăng thêm 1 đơn vị Đồng thời, bộ điều khiển cũng phân tích định dạng của gói tin để xác định chính xác các loại gói tin ARP đã đi vào bộ điều khiển Sau đó hệ thống sẽ phân loại để thu thập các gói tin ARP broastcast và lưu trữ chúng cho quá trình tính toán các đặc trưng Nếu gói tin không phải dạng broadcast, chúng sẽ được thu thập vào tệp dành cho các gói tin ARP Cuối cùng, dữ liệu lấy từ 3 nguồn gồm: tệp tin Mis-match, tệp tin ARP packet, tệp tin ARP Broadcast đều sẽ được xử lý nhằm trích xuất các đặc trưng quan trọng phục vụ cho mô
Trang 5Hình 3: Quy trình làm việc của hệ thống
Trang 6hình học máy bao gồm: số lượng gói tin ARP, số lượng gói tin ARP request và ARP reply, số lượng IP-MAC sai khác Từ các tham số này, tôi đề xuất 4 đặc trưng quan trọng như sau:
1 Số lượng gói tin ARP mỗi giây:
Trong (1), ARP là số lượng gói tin ARP trong khoảng thời gian time_interval và APS là số lượng gói ARP mỗi giây Ở đây giá trị time_interval được đặt mặc định là 3 giây.
2 Số lượng gói tin ARP broadcast mỗi giây:
AB P S = ARP_br oad c ast
Trong (2), ARP_broadcast là số lượng gói tin ARP broadcast trong khoảng thời gian time_interval và ABPS có nghĩa là số lượng gói ARP broadcast mỗi giây Ở đây giá trị time_interval được đặt mặc định là 3 giây.
3 Hiệu giữa số lượng bản tin ARP Reply và ARP Request:
Trong (3), ARP_Reply là số lượng gói ARP_Reply, ARP_Request là số lượng gói ARP_Request và subARP là hiệu của gói ARP Reply và gói ARP request Ở mô hình này, tôi cập nhật giá trị subARP sau mỗi 3 giây.
4 Giá trị IP-MAC sai khác: mis-match.
Giá trị này được cập nhật từ bảng MAC_to_IP Nếu xảy ra hiện tượng sai khác thì mis-match sẽ là 1 và ngược
lại là 0
Sở dĩ những đặc trưng này được lựa chọn là do khi cuộc tấn công xảy ra, kẻ tấn công đứng giữa phải gửi các gói tin ARP giả cho cả hai nạn nhân nên số lượng gói ARP trong một khoảng thời gian sẽ tăng lên nhanh chóng Ngoài ra, kẻ tấn công gửi rất nhiều gói ARP Reply giả ngay cả khi không có yêu cầu ARP nào để buộc máy nạn nhân cập nhật lại bảng IP-MAC Tấn công ARP Spoofing về cơ bản là giả mạo địa chỉ MAC, dẫn đến các cặp IP-MAC sai khác so với các cặp đã được lưu trữ trong bảng MAC_to_IP Đặc trưng này có thể khai thác được do trong khu vực mạng cục bộ, mỗi máy chủ đều có duy nhất một cặp IP-MAC Do đó, khi số lượng sai khác, tức là số IP-MAC giả mạo, khác 0, điều đó có nghĩa là hệ thống đang bị tấn công
Dựa vào 4 đặc trưng trên, 4830 mẫu được thu thập để tạo thành tập dữ liệu, sau đó đưa vào mô hình ANN để thực hiện các giai đoạn xây dựng mô hình (chi tiết hơn ở phần tiếp theo)
Nhìn chung, cấu trúc bên trong của mạng nơ ron nhân tạo (ANN) có thể thay đổi tùy thuộc vào thông tin truyền qua nó Nó đạt được hiệu quả cao bằng cách điều chỉnh trọng số của mỗi kết nối Trọng số là một số
liệu kiểm soát sự kết nối giữa hai nơ ron Mô hình đề xuất bao gồm 4 phần chính: Tiền xử lý dữ liệu, Xây dựng
mô hình, Huấn luyện mô hình và Đánh giá mô hình.
Tại phần Tiền xử lý dữ liệu - Data Preprocessing, sau khi đưa vào tập dữ liệu với 4830 mẫu, tập dữ liệu này
được thành 2 phần: tập huấn luyện - training set và tập kiểm tra - test set với tỷ lệ lần lượt là 80% và 20% Training set được sử dụng để học các tính chất của mạng và từ đó đưa ra các dự đoán phân loại, test set được
sử dụng để xác định độ chính xác của các dự đoán đó Mô hình này sử dụng random_state, đây là một tham số
cho phép tạo ra các tập training set và test set tương tự nhau trong mỗi lần chạy Cuối cùng, phương pháp StandardScaler được sử dụng để chuẩn hóa dữ liệu, đây là bước bắt buộc trong mạng thần kinh để cải thiện
độ chính xác
Trong phần Xây dựng mô hình ANN, hệ thống này được xây dựng mô hình đơn giản gồm 4 lớp gồm: lớp đầu
vào - input layer, 2 lớp ẩn - hidden layer, lớp đầu ra - output layer Ban đầu trọng số của mạng được khởi tạo ngẫu nhiên Khi dữ liệu từ tập dữ liệu được cung cấp cho lớp đầu vào, các giá trị đó sẽ được lan truyền xuôi về
Trang 7Hình 4: Quy trình huấn luyện tại mô hình ANN
phía trước và đi qua các lớp ẩn, các lớp này nhận được dữ liệu kết hợp với các trọng số Quá trình này tiếp tục cho đến khi dữ liệu ra tới lớp cuối cùng - lớp đầu ra và đưa ra kết quả Sau đó, kết quả dự đoán sẽ được so sánh với giá trị thực tế và thuật toán lan truyền ngược được áp dụng để điều chỉnh trọng số của các kết nối, từ đó cho ra kết quả tốt hơn Các nơ-ron trong các lớp chịu trách nhiệm cho việc học tập riêng lẻ Chúng bao gồm
các hàm kích hoạt ( activate function), tín hiệu đi qua hay không tùy thuộc vào hàm kích hoạt nào đang được
sử dụng và đầu ra của lớp trước [17] Các hàm kích hoạt này thực sự quan trọng đối với mạng thần kinh nhân
tạo để tìm hiểu và hiểu được điều gì đó thực sự phức tạp và ánh xạ chức năng phức tạp phi tuyến tính giữa
đầu vào và biến phản hồi Cụ thể trong ANN, tôi tính tổng các tích của inputs (X) và Weights (W) tương ứng của chúng và áp dụng hàm kích hoạt f(x) cho nó để có được kết quả đầu ra đó lớp và cung cấp nó làm đầu vào
cho lớp tiếp theo Theo [17], các loại hàm kích hoạt phổ biến nhất là: Sigmoid hoặc Logistic, Tanh - Hyperbolic
tang, ReLu Rectified đơn vị tuyến tính Trong trường hợp này, tôi chọn ReLu do yêu cầu ở các lớp ẩn của mạng cần phải được kết nối đầy đủ Tuy nhiên, ở lớp đầu ra, hàm kích hoạt Sigmoid sẽ được sử dụng để thu được
kết quả không chỉ là dự đoán cuối cùng (bình thường hay độc hại - 0 hay 1) mà còn đưa ra xác suất mà kết quả
có thể là 1 Điều đó có nghĩa là chúng ta không chỉ có thể nhận được dự đoán liệu lưu lượng truy cập là bình thường hay độc hại mà còn biết, đối với mỗi mẫu, xác suất mà cuộc tấn công có thể xảy ra là bao nhiêu phần
trăm [18].
Sau đó, phương pháp fit được sử dụng để Huấn luyện mô hình ANN Quá trình huấn luyện được bắt đầu bằng
việc khởi tạo ngẫu nhiên tham số trọng số tương ứng với từng đầu vào sao cho chúng tiệm cận 0 nhưng vẫn đảm bảo khác 0 Sau đó, các đặc trưng sẽ được đưa vào mô hình, mỗi đặc trưng là một nút đầu vào Ở giai
đoạn Lan truyền xuôi (Forward - Propagation) , từ trái sang phải, các nơ-ron sẽ được kích hoạt tùy theo giá trị
trọng số, sau đó chuyển dần qua mô hình và đưa ra giá trị đầu ra dự đoán Đầu ra đó sẽ được so sánh với giá
trị đầu ra được cung cấp trong tập dữ liệu để cho ra được sự chênh lệnh, từ đó tính toán hàm chi phí (cost
funtion) được trình bày trong Hình 4 Mục tiêu là làm cho giá trị của hàm chi phí này càng gần 0 càng tốt Để
làm được điều đó, mô hình triển khai cơ chế Lan truyền ngược (Back - Propagation) nhằm cập nhật trọng số,
trong đó các giá trị trọng số có ảnh hưởng lớn đến kết quả của hàm chi phí sẽ được điều chỉnh Các bước trên
được lặp lại nhiều lần theo cơ chế Batch learning với giá trị batch_size mặc định là 32 Số lần lặp lại của toàn
bộ quá trình sẽ được biểu thị bằng tham số epoch, trong bài viết này giá trị epoch được đặt bằng 100
Cuối cùng, kết quả của tập kiểm tra và Ma trận nhầm lẫn (Confusion matrix) được đưa ra gồm 4 thông số:
TP, FP, TN, FN để đánh giá mô hình [19] Trong trường hợp này, True Positive có nghĩa là các cuộc tấn công
thực sự xảy ra và được mô hình phát hiện thành công, True Negative cho biết số lần hệ thống ở trạng thái bình thường và mô hình ANN cho kết quả tương tự False Negative và False Positive là những con số thể hiện số
trường hợp mô hình dự đoán sai trạng thái của hệ thống The entropy value in Figure ?? as the sixth feature of
the SVM is similarly modulated as in the entropy-based statistical models, which is notably decreased during the attack stage
Trang 83 Mô phỏng và kết quả
Quá trình triển khai mô phỏng được thực thi trên máy tính xách tay LENOVO, với CPU Intel(R) Core(TM) i7-7600U @ 2,80GHz 2,90 GHz, với RAM 16,0 GB Hệ điều hành được sử dụng là Ubuntu 20.04 Để sử dụng cho
mục đích mô phỏng, Mininet được lựa chọn [20] làm trình mô phỏng mạng với bộ điều khiển POX POX là
phiên bản cải tiến của NOX, sử dụng ngôn ngữ Python Việc sử dụng bộ điều khiển POX đơn giản và hiệu quả hơn khi thiết lập thử nghiệm các thuật toán phát hiện tấn công sử dụng học sâu Bằng cách sử dụng Mininet, một cuộc tấn công trên các máy chủ ảo khác nhau có thể được tạo ra và kết quả của thuật toán phát hiện cuộc tấn công ARP Spoofing sẽ được phân tích Mô hình mạng SDN trong hệ thống này được hiển thị trong Hình 5 bao gồm 16 máy chủ và 5 vSwitches, bao gồm 1 bộ chuyển mạch lõi - core switch và 4 bộ chuyển mạch truy cập - access switch, mỗi bộ chuyển mạch được kết nối với 4 máy chủ Trong mô hình này, một bộ điều khiển POX kết nối và điều khiển 5 vSwitch được thiết lập
Để làm cho các thiết bị phù hợp với mô hình đề xuất, tôi đề xuất một giải thuật tích hợp trong tệp L2_learning,
Hình 5: Cấu trúc mạng
được trình bày trong Hình 6 Cụ thể, tôi tiến hành phân tích gói tin và trích xuất bốn trường thông tin: arp
_spa, arp_tpa, dl_src, dl_dst, lần lượt là địa chỉ IP của máy nguồn và máy đích, và địa chỉ MAC của máy nguồn
và máy đích Việc thực hiện thuật toán khá đơn giản: nếu dl_dst không có trong bảng IPMAC, thực hiện thêm thông tin cặp IPMAC vào từ bảng, ngược lại, so sánh dl_src với arp_spa để kiểm tra xem đó có phải là một cặp trong từ bảng hay không, nếu không, tăng giá trị mis_match thêm 1 Phần bổ sung này được thiết kế để sử dụng đặc trưng mis_match đã được đề cập trong tiểu mục II.A Tổng quan.
3.1 Giai đoạn 1: Hệ thống ở trạng thái bình thường
Thư viện Scapy [21] được sử dụng để tạo các gói tin và gửi chúng vào môi trường ảo nhằm tạo ra môi trường
mạng thực tế nhất Với cổng nguồn 2 và cổng đích 80, tốc độ truyền gói là 0,1 giây mỗi gói Tổng cộng 500 tin nhắn, tương ứng 10 window trên mỗi máy chủ sẽ được gửi sau mỗi lần chạy Khi mininet được khởi động, các máy chủ trong hệ thống sẽ đồng thời gửi các gói tin cho nhau Khi đó, giá trị mis_match sẽ luôn là 0 vì hệ thống chưa phát hiện thấy điểm bất thường Máy chủ ảo phải cập nhật bảng MAC hai phút một lần, do đó số lượng ARP broadcast cứ sau hai phút sẽ tăng lên, trong các tình huống còn lại, nó sẽ duy trì ở mức 0 trong phần lớn thời gian
Trang 9Hình 6: Thuật toán bổ sung cho đặc trưng mis_match
Trang 103.2 Giai đoạn 2: Hệ thống đang bị tấn công
Trong trạng thái tấn công, công cụ Ettercap[22] được sử dụng để tạo ra cuộc tấn công nhắm vào hai mục tiêu.
Để tăng tính ngẫu nhiên của tập dữ liệu, các cuộc tấn công khác nhau trên các máy chủ khác nhau được tiến hành, từ máy chủ 1 đến máy chủ 16 trong mô hình mạng Hình 5 Công cụ Ettercap sẽ thực hiện việc quét để
tìm các máy chủ rồi thêm chúng vào một danh sách, gọi là danh sách máy chủ, sau đó xác định cặp IP-MAC
chính xác của hai nạn nhân rồi tiến hành cuộc tấn công Cứ sau 2 phút, bảng MAC của các máy chủ ảo sẽ được cập nhật, do đó kẻ tấn công sẽ phải gửi một lượng lớn gói ARP cho 2 nạn nhân cứ sau 2 phút để duy trì kết nối, khiến nạn nhân không có cơ hội liên lạc với nhau Quá trình tương tự cũng được tiến hành ở các máy chủ khác trong mô hình mạng
Hình 7: Tổng quát về sự biến đổi của bốn đặc trưng
Hình 7 thể hiện sự thay đổi của 4 đặc trưng trong 5 chu kỳ, mỗi chu kỳ kéo dài 80 giây Trong 5 chu kỳ này, cuộc tấn công được thực hiện ba lần vào các thời điểm: giây thứ 125 (chu kỳ thứ 2), giây thứ 292 (chu kỳ thứ 4), giây thứ 380 (chu kỳ thứ 5) Nếu chỉ nhìn vào Hình 7, chúng ta có thể thấy sự thay đổi của các đặc trưng này
là không rõ ràng tại thời điểm tấn công Vì vậy, tôi cung cấp hình ảnh được phóng to để thể hiện rõ hơn những thay đổi (Hình 8 - 11) Có thể thấy, trong những hình ảnh này hệ thống đang ở trạng thái tấn công, số lượng bản tin ARP và ARP broadcast tăng lên rõ ràng do kẻ tấn công cần gửi nhiều gói tin ARP để cập nhật thông tin của MAC trong hệ thống (Hình 8, 9), sau khi tìm thấy MAC của hai nạn nhân, nó sẽ gửi nhiều bản tin ARP reply để buộc chúng cập nhật bảng MAC của mình Đồng thời, bộ điều khiển thông qua phân tích gói ARP cũng phát hiện sự bất thường khi so sánh địa chỉ MAC và IP nên tham số mis_match đã chuyển sang giá trị 1 (Hình 11)
Sau khi cuộc tấn công xảy ra, mô hình đề xuất thực hiện phát hiện với thời gian phản hồi khoảng 2 giây Kết quả của Ma trận nhầm lẫn được thể hiện trong Hình 12 Kết quả chỉ ra rằng chỉ ra rằng, trong 966 mẫu,
