Upload
luckystardanavn
View
467
Download
5
Embed Size (px)
Citation preview
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
MUC LUC
I. Giới thiệu về giao thức phân giải địa chỉ ( ARP )...........................................21. Tổng quan vê giao thức phân giải địa chỉ:.......................................................22. Cấu trúc gói tin ARP........................................................................................23. Cơ chế hoat động của ARP..............................................................................44. Nguyên tắc lam việc của ARP trên mang Lan...............................................105. Nguyên tắc lam việc của ARP trên hệ thống mang.......................................106. Proxy ARP.....................................................................................................117. Bộ nhớ đệm....................................................................................................12
II. Nguyên lý sử dụng ARP để tấn công mạng:..................................................141. Nguyên lý “Man in middle”:.........................................................................142. Nguyên lý “Denial of service”:......................................................................143. Nguyên lý “Mac Flooding”:..........................................................................15
III. Cách phòng chống tấn công kiểu ARP – Poisoning :...................................151. Đối với mang nhỏ :........................................................................................152. Đối với mang lớn:..........................................................................................15
IV. Ví dụ minh họa về cách truyền tải ARP :..................................................16V. Kết luận:........................................................................................................25
1. Ưu điêm:........................................................................................................252. Nhươc điêm:..................................................................................................25
Nhóm 12 Trang 1
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
I. Giới thiệu về giao thức phân giải địa chỉ ( ARP )
1. Tổng quan vê giao thức phân giải địa chỉ:
Tai tầng Network của mô hình OSI , chúng ta thường sử dụng cac loai địa chỉ
mang tính chất quy ước như IP, IPX… Cac địa chỉ nay đươc phân thanh hai phần
riêng biệt la phần địa chỉ mang (NetID) va phần địa chỉ may ( HostID) . Cach đanh
số địa chỉ như vậy nhằm giúp cho việc tìm ra cac đường kết nối từ hệ thống mang
nay sang hệ thống mang khac đươc dễ dang hơn. Cac địa chỉ nay có thê đươc thay
đổi theo tùy ý người sử dụng. Trên thực tế, cac card mang (NIC) chỉ có thê kết nối
với nhau theo địa chỉ MAC, địa chỉ cố định va duy nhất của phần cứng. Do vậy ta
phải có một cơ chế đê chuyên đổi cac dang địa chỉ nay qua lai với nhau. Có hai
phương phap phân giải địa chỉ la : map trực tiếp va phân giải động. Việc map trực
tiếp găp nhiêu khó khăn do địa chỉ MAC (lớp datalink) la địa chỉ 48 bit trong khi
địa chỉ IP la 32 bit. Bên canh đó cac nha phat triên muốn tao ra một cơ chế linh hoat
trong sử dụng, từ đó giao thức ARP ( Address Resolution Protocol ) ra đời.
ARP la phương thức phân giải địa chỉ động giữa địa chỉ lớp network va địa chỉ
lớp datalink. Qua trình thực hiện bằng cach: một thiết bị IP trong mang gửi một gói
tin broadcast đến toan mang yêu cầu thiết bị khac gửi trả lai địa chỉ phần cứng ( địa
chỉ lớp datalink ) của mình. Ban đầu ARP chỉ đươc sử dụng trong mang Ethernet đê
phân giải địa chỉ IP va địa chỉ MAC. Nhưng ngay nay ARP đã đươc ứng dụng rộng
rãi va dùng trong cac công nghệ khac dựa trên lớp hai.
2. Cấu trúc gói tin ARP
Cac Địa chỉ Giao thức quyết định sử dụng một định dang thông điệp đơn giản có
chứa một trong những yêu cầu phân giải địa chỉ hoăc phản ứng. Kích thước của tin
nhắn ARP phụ thuộc vao cac lớp trên va kích thước lớp địa chỉ thấp hơn, đươc đưa
ra bởi cac loai hình giao thức mang (thường la IPv4) trong sử dụng va loai phần
cứng hoăc cac lớp liên kết ảo rằng cac giao thức lớp trên la chay trên. Cac tiêu đê
tin nhắn xac định cac loai, cũng như kích thước của cac địa chỉ của mỗi. Cac tiêu đê
tin đươc hoan thanh với mã hoat động cho yêu cầu (1) va trả lời (2). Cac tải trọng
của gói bao gồm bốn địa chỉ, phần cứng va địa chỉ giao thức của người gửi va người
nhận host. Cấu trúc gói dữ liệu chủ yếu của cac gói tin ARP đươc hiên thị trong
bảng sau đó minh hoa trường hơp của mang IPv4 đang chay trên Ethernet. Trong
Nhóm 12 Trang 2
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
kịch bản nay, gói có 48-bit cho cac lĩnh vực phần cứng địa chỉ người gửi (SHA) va
địa chỉ phần cứng mục tiêu (THA), va 32-bit, cac lĩnh vực cho người gửi va địa chỉ
giao thức tương ứng với mục tiêu (SPA va TPA). Như vậy, kích thước gói ARP
trong trường hơp nay la 28 byte.
Trong đó:phần cứng kiêu (HTYPE) Trường nay xac định loai giao thức Link
Layer. Ví dụ: Ethernet la 1. Nghị định thư kiêu (PTYPE) Trường nay xac định giao
thức lớp trên ma cac yêu cầu ARP la dự định. Ví dụ, Internet Protocol (IPv4) đươc
mã hóa như la 0x0800. Phần cứng chiêu dai (HLEN) Chiêu dai (trong octet) của
một địa chỉ phần cứng. Ethernet địa chỉ kích thước la 6. Nghị định thư dai (PLEN)
Chiêu dai (trong octet) của một địa chỉ hơp lý của giao thức đươc chỉ định (x.
PTYPE). Kích thước địa chỉ IPv4 la 4. Hoat động Xac định cac hoat động ma người
gửi la thực hiện: 1 cho yêu cầu, 2 đê trả lời.Tên người gửi địa chỉ phần cứng (SHA)
Phần cứng (MAC) địa chỉ của người gửi. Tên người gửi địa chỉ giao thức (SPA)
Thương tầng giao thức địa chỉ của người gửi. Nhắm mục tiêu địa chỉ phần cứng
(THA) Phần cứng, địa chỉ của người nhận định. Trường nay bị bỏ qua trong yêu
Nhóm 12 Trang 3
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
cầu. Nhằm mục tiêu địa chỉ giao thức (TPA) Thương tầng giao thức địa chỉ của
người nhận định. Giao thức ARP gia trị tham số đã đươc chuẩn hóa va đươc duy trì
bởi IANA [3].
3. Cơ chế hoat động của ARP
Qua trình thực hiện ARP đươc bắt đầu khi một thiết bị nguồn trong một mang IP
có nhu cầu gửi một gói tin IP. Trước hết thiết bị đó phải xac định xem địa chỉ IP
đích của gói tin có phải nằm cùng trong mang nội bộ của mình hay không. Nếu
đúng vậy thì thiết bị sẽ gửi trực tiếp gói tin đến thiết bị đích. Nếu địa chỉ IP đích
nằm trên mang khac, thì thiết bị sẽ gửi gói tin đến một trong cac router nằm cùng
trên mang nội bộ đê router nay lam nhiệm vụ forward gói tin. Cả hai trường hơp ta
đêu thấy đươc la thiết bị phải gói tin IP đến một thiết bị IP khac trên cùng mang nội
bộ. Ta biết rằng việc gửi gói tin trong cùng mang thông qua Switch la dựa vao địa
chỉ MAC hay địa chỉ phần cứng của thiết bị. Sau khi gói tin đựoc đóng gói thì mới
bắt đầu đươc chuyên qua qua trình phân giải địa chỉ ARP va đươc chuyên đi
ARP vê cơ bản la một qua trình 2 chiêu request/response giữa cac thiết bị trong
cùng mang nội bộ. Thiết bị nguồn request bằng cach gửi một bản tin broadcast trên
toan mang. Thiết bị đích response bằng một bản tin unicast đến thiết bị nguồn
Cac loai bản tin ARP
Có hai dang bản tin trong ARP : một đươc gửi từ nguồn đến đích, va một đươc
gửi từ đích đến nguồn.
Request : Khởi tao qua trình, gói tin đươc gửi từ thiết bị nguồn tới thiết bị đích
Reply : La qua trình đap trả gói tin ARP request, đươc gửi từ may đích đến may
nguồn
Có 4 loai địa chỉ trong một bản tin ARP :
Sender Hardware Address : địa chỉ lớp hai của thiết bị gửi bản tin.
Sender Protocol Address : Địa chỉ lớp ba ( hay địa chỉ logic ) của thiết bị gửi bản
tin
Target Hardware Address : Địa chỉ lớp hai ( địa chỉ phần cứng ) của thiết bị đích
của bản tin
Target Protocol Address : Địa chỉ lớp ba ( hay địa chỉ logic ) của thiết bị đích của
bản tin.
Nhóm 12 Trang 4
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
Cac bước hoat động của Arp
Bước 1: Source Device Checks Cache : Trong bước nay, thiết bị sẽ kiêm tra
cache ( bộ đệm ) của mình. Nếu đã có địa chỉ IP đích tương ứng với MAC nao đó
rồi thì lập tức chuyên lên bước 9
Bước 2: . Source Device Generates ARP Request Message : Bắt đầu khởi tao gói
tin ARP Request với cac trường địa chỉ như trên
Bước 3: Source Device Broadcasts ARP Request Message : Thiết bị nguồn
quảng ba gói tin ARP Request trên toan mang
Bước 4: Local Devices Process ARP Request Message: Cac thiết bị trong mang
đêu nhận đươc gói tin ARP Request. Gói tin đươc xử lý bằng cach cac thiết bị đêu
nhìn vao trường địa chỉ Target Protocol Address. Nếu trùng với địa chỉ của mình thì
tiếp tục xử lý, nếu không thì hủy gói tin
Bước 5: Destination Device Generates ARP Reply Message : Thiết bị với IP
trùng với IP trong trường Target Protocol Address sẽ bắt đầu qua trình khởi tao gói
tin ARP Reply bằng cach lấy cac trường Sender Hardware Address va Sender
Protocol Address trong gói tin ARP nhận đươc đưa vao lam Target trong gói tin gửi
đi. Đồng thời thiết bị sẽ lấy địa chỉ datalink của mình đê đưa vao trường Sender
Hardware Address.
Bước 6 : Destination Device Updates ARP Cache : Thiết bị đích ( thiết bị khởi
tao gói tin ARP Reply ) đồng thời cập nhật bảng anh xa địa chỉ IP va MAC của thiết
bị nguồn vao bảng ARP cache của mình đê giảm bớt thời gian xử lý cho cac lần sau
Bước 7: Destination Device Sends ARP Reply Message : Thiết bị đích bắt đầu
gửi gói tin Reply đã đươc khởi tao đến thiết bị nguồn. Gói tin reply la gói tin gửi
unicast.
Bước 8: Source Device Processes ARP Reply Message : Thiết bị nguồn nhận
đươc gói tin reply va xử lý bằng cach lưu trường Sender Hardware Address trong
gói reply như địa chỉ phần cứng của thiết bị đích
Bước 9: Source Device Updates ARP Cache : Thiết bị nguồn update vao ARP
cache của mình gia trị tương ứng giữa địa chỉ network va địa chỉ datalink của thiết
bị đích.
Nhóm 12 Trang 5
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
Mô tả quá trình hoạt động:
ARP: Address Resolution Protocol
Cơ chế RARP: Cơ chế phân giải địa chỉ MAC tìm địa chỉ IP
Nhóm 12 Trang 6
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
ARP table in host
Cơ chế hoat động của ARP table
Nhóm 12 Trang 7
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
ARP request
Kiêm tra va so sanh địa chỉ IP
ARP Reply
Nhóm 12 Trang 8
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
Cập nhật địa chỉ MAC vao ARP table
ARP: Local Destination
Nhóm 12 Trang 9
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
4. Nguyên tắc lam việc của ARP trên mang Lan
Khi một thiết bị mang muốn biết địa chỉ MAC của một thiết bị mang nao đó ma
nó đã biết địa chỉ ở tầng network (IP, IPX…) nó sẽ gửi một ARP request bao gồm
địa chỉ MAC address của nó va địa chỉ IP của thiết bị ma nó cần biết MAC address
trên toan bộ một miên broadcast. Mỗi một thiết bị nhận đươc request nay sẽ so sanh
địa chỉ IP trong request với địa chỉ tầng network của mình. Nếu trùng địa chỉ thì
thiết bị đó phải gửi ngươc lai cho thiết bị gửi ARP request một gói tin (trong đó có
chứa địa chỉ MAC của mình). Trong một hệ thống mang đơn giản, ví dụ như PC A
muốn gửi gói tin đến PC B va nó chỉ biết đươc địa chỉ IP của PC B. Khi đó PC A sẽ
phải gửi một ARP broadcast cho toan mang đê hỏi xem "địa chỉ MAC của PC có
địa chỉ IP nay la gì ?" Khi PC B nhận đươc broadcast nay, nó sẽ so sanh địa chỉ IP
trong gói tin nay với địa chỉ IP của nó. Nhận thấy địa chỉ đó la địa chỉ của mình, PC
B sẽ gửi lai một gói tin cho PC A trong đó có chứa địa chỉ MAC của B. Sau đó PC
A mới bắt đầu truyên gói tin cho B.
5. Nguyên tắc lam việc của ARP trên hệ thống mang
Hoat động của ARP trong một môi trường phức tap hơn đó la hai hệ thống mang
gắn với nhau thông qua một Router C. May A thuộc mang A muốn gửi gói tin đến
may B thuộc mang B. Do cac broadcast không thê truyên qua Router nên khi đó
may A sẽ xem Router C như một cầu nối hay một trung gian (Agent) đê truyên dữ
liệu. Trước đó, may A sẽ biết đươc địa chỉ IP của Router C (địa chỉ Gateway) va
biết đươc rằng đê truyên gói tin tới B phải đi qua C. Tất cả cac thông tin như vậy sẽ
đươc chứa trong một bảng gọi la bảng định tuyến (routing table). Bảng định tuyến
theo cơ chế nay đươc lưu giữ trong mỗi may. Bảng định tuyến chứa thông tin vê cac
Gateway đê truy cập vao một hệ thống mang nao đó. Ví dụ trong trường hơp trên
trong bảng sẽ chỉ ra rằng đê đi tới LAN B phải qua port X của Router C. Bảng định
tuyến sẽ có chứa địa chỉ IP của port X.Qua trình truyên dữ liệu theo từng bước sau :
* May A gửi một ARP request (broadcast) đê tìm địa chỉ MAC của port X.
* Router C trả lời, cung cấp cho may A địa chỉ MAC của port X.
* May A truyên gói tin đến port X của Router.
Nhóm 12 Trang 10
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
* Router nhận đươc gói tin từ may A, chuyên gói tin ra port Y của Router. Trong
gói tin có chứa địa chỉ IP của may B. Router sẽ gửi ARP request đê tìm địa chỉ
MAC của may B.
* May B sẽ trả lời cho Router biết địa chỉ MAC của mình. Sau khi nhận đươc địa
chỉ MAC của may B, Router C gửi gói tin của A đến B.
Trên thực tế ngoai dang bảng định tuyến nay người ta còn dùng phương phap
proxyARP, trong đó có một thiết bị đảm nhận nhiệm vụ phân giải địa chỉ cho tất cả
cac thiết bị khac.Theo đó cac may tram không cần giữ bảng định tuyến nữa Router
C sẽ có nhiệm vụ thực hiện, trả lời tất cả cac ARP request của tất cả cac may .
6. Proxy ARP
Proxy ARP giúp cac may tính từ 1 subnet chuyên packet đến cac subnet khac ma
không cần cấu hình routing hay default gateway
- Cach thức lam việc của ARP
Host A muốn send packet đến host D (2 subnet khac nhau). Ví dụ, ta có host A
có 16 subnet mask, nghĩa la host A nghĩ rằng nó trực tiếp nối với cac net 172.16.0.0,
khi host A cần liên lac với những thiết bị nao ma nó tin rằng la nó đang kết nối trực
tiếp tới, nó gửi 1 ARP request. Vì thế host A nghĩ rằng host D nối trực tiếp với nó,
nó gửi 1 ARP request tới host D.
Host A broadcast 1 ARP request trên subnet A: Gói tin ARP yêu cầu sau đó
đươc đóng gói trong 1 khung Ethernet với MAC của host A la source address ( địa
chỉ nguồn), va 1 broadcast FFFF.FFFF.FFFF như la destination address ( đai chỉ
đích). Vì ARP yêu cầu la broadcast, nó đi tới tất cả cac nodes khac, kê cả interface
e0 của router, nhưng không đến đươc D (vì default thì routers ko forward cac
broadcasts). Vì router biết địa chỉ đích 172.16.20.200 la trên subnet khac va có thê
tới host D, nó trả lời cho host A địa chỉ MAC của riêng nó. Đây la 1 trả lời “proxy
ARP” ma router gửi cho host A. Proxy ARP reply packet đươc đóng gói trong 1
Ethernet frame với MAC của router la source address va MAC của A la dest.
AddressHost A update ARP table của nó:
Từ giờ, host A chuyên cac packet nó muốn gửi tới host D đến MAC address của
router, vì router biết đường đến host D, nó sẽ forward packet đến host D giùm. Nói
rộng ra, ARP cache trên cac hosts trong subnet A đươc gan MAC của router khi
Nhóm 12 Trang 11
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
muốn đến cac hosts trong subnet B ARP cache của host A:Khi nhiêu IP addresses
đươc anh xa tới 1 single MAC address (MAC của router), sẽ cho ta biết la proxy
ARP đang đươc sử dụng Interface của Cisco đươc cấu hình sử dụng proxy ARP
theo măc định. Đối với interface nối với ISP, thì không đươc dùng proxy ARP
(dùng lệnh “no ip proxy-arp”). Proxy ARP có thê đươc disabled trên mỗi interface:
Đê dùng proxy ARP trên 1 interface thì dùng lệnh “ip proxy-arp”
Ưu điêm của proxy ARP:
- Có thê đươc thêm vao 1 single router trên 1 mang ma ko lam ảnh hưởng
routing tables của cac routers khac trên mang
- Proxy ARP phải đươc dùng trên mang ma cac IP hosts ko đươc cấu hình
default gateway hoăc ko có bất cứ hiêu biết nao vê routing
Nhươc điêm của proxy ARP:
- Gia tăng lương giao thông ARP
- Hosts cần bảng ARP lớn hơn đê handle IP-to-MAC address mappings
- Ko hoat động với cac mang ma ko sử dụng ARP đê phân giải địa chỉ
- Ko tổng quat hóa cho cac mô hình mang. Ví dụ như hơn 1 router kết nối 2
mang vật lí (như vậy biết chọn router nao?)
- Security sẽ bị lam yếu. Một may có thê giả mao la may khac đê lấy packets
(gọi la spoofing)
7. Bộ nhớ đệm
ARP la một giao thức phân giải địa chỉ động. Qua trình gửi gói tin Request va
Reply sẽ tiêu tốn băng thông mang. Chính vì vậy cang han chế tối đa việc gửi gói
tin Request va Reply sẽ cang góp phần lam tăng khả năng họat động của mang.Từ
đó sinh ra nhu cầu của ARP CachingStatic and Dynamic ARP Cache EntriesARP
Cache có dang giống như một bảng tương ứng giữa địa chỉ hardware va
địa chỉ IP. Có hai cach đưa cac thanh phần tương ứng vao bảng ARP :
· Static ARP Cache Entries: Đây la cach ma cac thanh phần tương ứng trong
bảng ARP đươc đưa vao lần lươt bởi người quản trị. Công việc đươc tiến hanh một
cach thủ công
· Dynamic ARP Cache Entries: Đây la qua trình ma cac thanh phần địa chỉ
hardware/IP đươc đưa vao ARP cache một cach hoan toan tự động bằng phần mêm
Nhóm 12 Trang 12
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
sau khi đã hoan tất qua trình phân giải địa chỉ. Chúng đươc lưu trong cache trong
một khoảng thời gian va sau đó sẽ đươc xóa đi.
Dynamic Cache đươc sử dụng rộng rãi hơn vì tất cả cac qua trình diễn ra tự
động va không cần đến sự tương tac của người quản trị. Tuy nhiên static cache vẫn
có pham vi ứng dụng nhất định của nó. Đó la trường hơp ma cac workstation nên có
static ARP entry đến router va file server nằm trong mang. Điêu nay sẽ han chế
việc gửi cac gói tin đê thực hiện qua trình phân giải địa chỉ.Tuy nhiên ngoai han chế
của việc phải nhập bằng tay, static cache còn thêm han chế nữa la khi địa chỉ IP của
cac thiết bị trong mang thay đổi thì sẽ dẫn đến việc phải thay đổi ARP cache. Qua
trình xóa thông tin trong cache, ta xét trường hơp bảng cache của một thiết bị A,
trong đó có chứa thông tin vê thiết bị B trong mang. Nếu cac thông tin trong cache
đươc lưu mãi mãi, sẽ có một số vấn đê như sau xảy ra :
· Địa chỉ phần cứng thiết vị đươc thay đổi : Đây la trường hơp khi thiết bị B
đươc thay đổi card mang hay thiết bị giao tiếp, lam thay đổi địa chỉ MAC của thiết
bị. Điêu nay lam cho cac thông tin trong cache của A không còn đúng nữa · Địa
chỉ IP của thiết bị đươc thay đổi : Người quản trị hay nha cung cấp thay đổi địa chỉ
IP của B, cũng lam cho thông tin trong cache của A bị sai lệch
· Thiết bị đươc rút ra khỏi mang : Khi B đươc rút ra khỏi mang nhưng A không
đươc biết, va gây lãng phí vê tai nguyên của A đê lưu thông tin không cần thiết va
tốn thời gian đê tìm kiếm. Đê tranh đươc những vấn đê nay, cac thông tin trong
dynamic cache sẽ đươc tự động xóa sau một khoảng thời gian nhất định. Qua trình
nay đươc thực hiện một cach hoan toan tự động khi sử dụng ARP với khoảng thời
gian thường xuyên la 10 hoăc 20 phút. Sau một khoảng thời gian nhất định đươc lưu
trong cache, thông tin sẽ đươc xóa đi. Lần sử dụng sau, thông tin sẽ đươc update trở
lai.
Nhóm 12 Trang 13
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
II. Nguyên lý sử dụng ARP để tấn công mạng:
Giao thức ARP la rất cần thiết va quan trọng trong hệ thống mang của chúng ta,
tuy nhiên nó lai không đê cập đến vấn đê xac thực nao cả. Khi một host nhận đươc
gói tin ARP Reply, nó hoan toan tin tưởng va măc nhiên sử dụng thông tin đó đê sử
dụng sau nay ma không cần biết thông tin đó có phải trả lời từ một host ma mình
mong muốn hay không. ARP không có cơ chế nao đê kiêm tra việc đó cả va trên
thực tế một host có thê chấp nhận gói ARP Reply ma trước đó không cần phải gửi
gói tin ARP Request. Lơi dụng điêu nay, hacker có thê triên khai cac phương thức
tấn công như: Man In The Middle, Denial of Service, MAC Flooding.
1. Nguyên lý “Man in middle”:
Giả sử hacker muốn theo dõi host A gởi thông tin gì cho host B. Đầu tiên,
hacker sẽ gởi gói ARP Reply đến host A với nội dung la địa chỉ MAC của hacker va
địa chỉ IP của hostB. Tiếp theo, hacker sẽ gửi gói ARP Reply tới host B với nội
dung la MAC của may hacker va IP của host A. Như vậy, cả hai host A va host B
đêu tiếp nhận gói ARP Reply đó va lưu vao trong ARP table của mình. Đến lúc nay,
khi host A muốn gửi thông tin đến host B, nó liên tra vao ARP table thấy đã có sẵn
thông tin vê địa chỉ MAC của host B nên sẽ lấy thông tin đó ra sử dụng, nhưng thực
chất địa chỉ MAC đó la của hacker. Đồng thời may tính của hacker sẽ mở chức
năng gọi la IP Forwading giúp chuyên tải nội dung ma host A gửi qua host B. Host
A va host B giao tiếp bình thường va không có cảm giac bị qua may trung gian la
may của hacker.Trong trường hơp khac, hacker sẽ nghe lén thông tin từ may ban
đến Gateway. Như vậy mọi hanh động ra Internet của ban đêu bị hacker ghi lai hết,
dẫn đến việc mất mat cac thông tin nhay cảm.
2. Nguyên lý “Denial of service”:
Cũng vận dụng kỹ thuật trên, hacker tiến hanh tấn công bằng cach gởi gói ARP
Reply đến toan bộ cac host trong mang với nội dung mang theo la địa chỉ IP của
Gateway va địa chỉ MAC không hê tồn tai. Như vậy cac host trong mang tin tưởng
rằng mình đã biết đươc MAC của Gateway va khi gửi thông tin đến Gateway, kết
quả la gửi đến một nơi hoan toan không tồn tai. Đó la điêu hacker mong muốn, toan
bộ cac host trong mang đêu không thê đi ra Internet đươc.
Nhóm 12 Trang 14
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
3. Nguyên lý “Mac Flooding”:
Cach tấn công nay cũng dùng kỹ thuật ARP Poisoning ma đối tương nhắm đến
la Switch. Hacker sẽ gửi những gói ARP Reply giả tao với số lương khổng lồ nhằm
lam Switch xử lý không kịp va trở nên qua tải. Khi đó, Switch sẽ không đủ sức thê
hiện bản chất Layer2 của mình nữa ma broadcast gói tin ra toan bộ cac port của
mình. Hacker dễ dang bắt đươc toan bộ thông tin trong mang của ban.
III. Cách phòng chống tấn công kiểu ARP – Poisoning :
ARP Poisoning la một kiêu tấn công dang local, nghĩa la hacker thực hiện tấn
công từ bên trong mang của ban. Hậu quả của cach tấn công nay la rất lớn, những
người quản trị mang cần nắm bắt rõ vê kỹ thuật tấn công nay. Sau đây la một số kỹ
thuật giúp phòng chống tấn công kiêu ARP Poisoning.
1. Đối với mang nhỏ :
Ta có thê sử dụng địa chỉ IP tĩnh va ARP table tĩnh, khi đó, ban sẽ liệt kê bằng
tay IP nao đi với MAC nao. Trong Windows có thê sử dụng câu lệnh ipconfig /all
đê xem IP va MAC, dùng câu lệnh arp -s đê thêm vao ARP table. Khi ma ép tĩnh
như vậy sẽ ngăn chăn hacker gởi cac gói ARP Reply giả tao đến may của mình vì
khi sử dụng ARP table tĩnh thì nó luôn luôn không thay đổi. Chú ý rằng cach thức
nay chỉ ap dụng đươc trong môi trường mang với quy mô nhỏ, nếu mang lớn hơn la
không thê vì chúng ta phải thêm vao ARP table bằng tay với số lương qua nhiêu.
2. Đối với mang lớn:
Khi quản trị trong một mang quy mô lớn, ta có thê sử dụng chức năng Port
security. Khi mở chức năng Port security lên cac port của Switch, ta có thê quy định
port đó chỉ chấp nhận một địa chỉ MAC. Như vậy sẽ ngăn chăn việc thay đổi địa chỉ
MAC trên may hacker.Ngoai ra cũng có thê sử dụng cac công cụ, ví dụ như
ArpWatch. Nó sẽ phat hiện va bao cao cho ban cac thông tin liên quan đến ARP
đang diễn ra trong mang. Nhờ đó, nếu có hiện tương tấn công bằng ARP Poisoning
thì ban có thê giải quyết kịp thời.
Nhóm 12 Trang 15
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
IV. Ví dụ minh họa về cách truyền tải ARP :
- Tầng ứng: Tầng mạng, có thể thiết lập đường kết nối đáng tin cậy đến máy
tính có IP: 192.168.3.2 được không?
- Tầng chuyển vận: Tôi sẽ sử dụng TCP
- Tầng chuyển vận: TCP ! Hãy thiết lập một phiên làm việc với máy có IP:
192.168.3.2.
- TCP: IP hãy gửi TCP SYN này đến 192.168.3.2.
+ Tầng 3 = 192.168.3.1
+ Tầng 2 = 0800:0222:2222
- IP: Tầng 2 hãy gửi gói tin này đến 192.168.3.2
Nhóm 12 Trang 16
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
Nhóm 12 Trang 17
-Tầng 2: ARP, hãy tao 1 anh xa cho 192.168.3.2,- ARP: 192.168.3.2 có trong bảng ARP không ? Không, tầng 2 sẽ đăt gói tin trong phần cố định cho đến khi xong 1 ARP.
-Đầu tiên la một ARP yêu cầu.Tôi la 192.168.3.1 với MAC la 0800:0222:2222. Ban có phải la 192.168.3.2 ?-ARP: Tầng 2 gửi MAC sử dụng nay như la SRC MAC va yêu cầu phat ra như la DST MAC.
Tầng 2: Gói tin đã đươc gửi
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
- Tầng 2: Tôi vừa nhận được1 khung truyền tải MAC, do vậy, tôi sẽ xử lí nó.
1 giao thức ID xác định là nó theo ARP. Hãy tháo phần tiêu đề và gửi nó tới
ARP.
- Tầng 2: ARP! Đây là những thông tin dành cho bạn
Nhóm 12 Trang 18
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
- ARP: ARP phản hồi sẽ nói tôi là 192.168.3.2 với MAC là 0800:0222:1111
- ARP: Tầng 2, gửi MAC đang sử dụng như là 1 SRC MAC và
0800:0222:2222 như là 1 DST MAC
Nhóm 12 Trang 19
ARP: Tôi vừa nhận1 yêu cầu ARP từ 192.168.3.1 . Hãy đê tôi thêm IP va MAC của nó vao bảng ARP của tôi. Bây giờ có thê trả lời.
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
- Tầng 2 : Gói tin đã được gửi
- Tầng 2 xác nhận đã có 1 khung chứa MAC, và sẽ xử lí nó. 1 giao thức ID
xác định rằng nó theo ARP. Phần đầu của tầng 2 sẽ bị tháo ra và gửi tới ARP.
Nhóm 12 Trang 20
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
Nhóm 12 Trang 21
Tầng 2: ARP! Đây la những thông tin danh cho ban.
ARP: Tôi cừa nhận đươc gói tin phản hồi tự 192.168.3.2. Hãy đê tôi thêm IP va MAC của nó vao bảng ARP.ARP: Tầng 2! Tôi có 192.168.3.2 đươc anh xa đến 0900:0222:2222
Tầng 2: Tôi có thể gửi đi rằng 1 gói tin chưa xử lí
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
Nhóm 12 Trang 22
TCP: Tôi cần gửi 1 SYN ACK tới TCP SYN cai ma tôi đã nhận đươc
TCP: Hãy gửi thông tin nay
TCP: Lấy ACK
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
Nhóm 12 Trang 23
TCP: Tôi cần đê cho phần kết thúc khac biết la tôi đã lấy SYN ACK đê hoan thanh sự thiết lập phiên
-Tầng 4: Thông bao với tầng ứng dụng la phiên lam việc của ban đã đươc thiết lập..- Tầng ứng dụng: Đươc, tôi sẽ gửi 1 vai gói tin
- Tầng ứng dụng: Đây la gói tin của ban
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
Nhóm 12 Trang 24
- TCP:Tầng ứng dụng! Đây la gói tin của ban
Tôi cần gửi ACK đến gói tin ma ban nhận đươc
Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh
V. Kết luận:
1. Ưu điêm:
Giao thức ARP la rất cần thiết va quan trọng trong hệ thống mang của chúng
ta. Ban đầu ARP chỉ đươc sử dụng trong mang Ethernet đê phân giải địa chỉ IP
va địa chỉ MAC. Nhưng ngay nay ARP đã đươc ứng dụng rộng rãi va dùng
trong cac công nghệ khac dựa trên lớp hai.
2. Nhươc điêm:
Khi một host nhận đươc gói tin ARP Reply, nó hoan toan tin tưởng va măc
nhiên sử dụng thông tin đó đê sử dụng sau nay ma không cần biết thông tin đó
có phải trả lời từ một host ma mình mong muốn hay không. ARP không có cơ
chế nao đê kiêm tra việc đó cả va trên thực tế một host có thê chấp nhận gói
ARP Reply ma trước đó không cần phải gửi gói tin ARP Request. Lơi dụng điêu
nay, hacker có thê triên khai cac phương thức tấn công như: Man In The Middle,
Denial of Service, MAC Flooding.
Nhóm 12 Trang 25
-Được, tôi sẽ gửi 1 vài gói tin đến 192.168.3.2- Nó xác nhận địa chỉ đó không có trong bảng ARP không thể sử dụng nó trên 1 mạng khác.- Theo đó, có thể dữ liệu đã được gửi đến 1 cổng nối mặc định và để nó tiếp theo đó.
TCP: Lấy ACK