Giao thức ARP

Bao cao Mang va truyên thông GVHD: Đăng Trung Thanh

MUC LUC

I. Giới thiệu về giao thức phân giải địa chỉ ( ARP )...........................................21. Tổng quan vê giao thức phân giải địa chỉ:.......................................................22. Cấu trúc gói tin ARP........................................................................................23. Cơ chế hoat động của ARP..............................................................................44. Nguyên tắc lam việc của ARP trên mang Lan...............................................105. Nguyên tắc lam việc của ARP trên hệ thống mang.......................................106. Proxy ARP.....................................................................................................117. Bộ nhớ đệm....................................................................................................12

II. Nguyên lý sử dụng ARP để tấn công mạng:..................................................141. Nguyên lý “Man in middle”:.........................................................................142. Nguyên lý “Denial of service”:......................................................................143. Nguyên lý “Mac Flooding”:..........................................................................15

III. Cách phòng chống tấn công kiểu ARP – Poisoning :...................................151. Đối với mang nhỏ :........................................................................................152. Đối với mang lớn:..........................................................................................15

IV. Ví dụ minh họa về cách truyền tải ARP :..................................................16V. Kết luận:........................................................................................................25

1. Ưu điêm:........................................................................................................252. Nhươc điêm:..................................................................................................25

Nhóm 12 Trang 1


I. Giới thiệu về giao thức phân giải địa chỉ ( ARP )

1. Tổng quan vê giao thức phân giải địa chỉ:

Tai tầng Network của mô hình OSI , chúng ta thường sử dụng cac loai địa chỉ

mang tính chất quy ước như IP, IPX… Cac địa chỉ nay đươc phân thanh hai phần

riêng biệt la phần địa chỉ mang (NetID) va phần địa chỉ may ( HostID) . Cach đanh

số địa chỉ như vậy nhằm giúp cho việc tìm ra cac đường kết nối từ hệ thống mang

nay sang hệ thống mang khac đươc dễ dang hơn. Cac địa chỉ nay có thê đươc thay

đổi theo tùy ý người sử dụng. Trên thực tế, cac card mang (NIC) chỉ có thê kết nối

với nhau theo địa chỉ MAC, địa chỉ cố định va duy nhất của phần cứng. Do vậy ta

phải có một cơ chế đê chuyên đổi cac dang địa chỉ nay qua lai với nhau. Có hai

phương phap phân giải địa chỉ la : map trực tiếp va phân giải động. Việc map trực

tiếp găp nhiêu khó khăn do địa chỉ MAC (lớp datalink) la địa chỉ 48 bit trong khi

địa chỉ IP la 32 bit. Bên canh đó cac nha phat triên muốn tao ra một cơ chế linh hoat

trong sử dụng, từ đó giao thức ARP ( Address Resolution Protocol ) ra đời.

ARP la phương thức phân giải địa chỉ động giữa địa chỉ lớp network va địa chỉ

lớp datalink. Qua trình thực hiện bằng cach: một thiết bị IP trong mang gửi một gói

tin broadcast đến toan mang yêu cầu thiết bị khac gửi trả lai địa chỉ phần cứng ( địa

chỉ lớp datalink ) của mình. Ban đầu ARP chỉ đươc sử dụng trong mang Ethernet đê

phân giải địa chỉ IP va địa chỉ MAC. Nhưng ngay nay ARP đã đươc ứng dụng rộng

rãi va dùng trong cac công nghệ khac dựa trên lớp hai.

2. Cấu trúc gói tin ARP

Cac Địa chỉ Giao thức quyết định sử dụng một định dang thông điệp đơn giản có

chứa một trong những yêu cầu phân giải địa chỉ hoăc phản ứng. Kích thước của tin

nhắn ARP phụ thuộc vao cac lớp trên va kích thước lớp địa chỉ thấp hơn, đươc đưa

ra bởi cac loai hình giao thức mang (thường la IPv4) trong sử dụng va loai phần

cứng hoăc cac lớp liên kết ảo rằng cac giao thức lớp trên la chay trên. Cac tiêu đê

tin nhắn xac định cac loai, cũng như kích thước của cac địa chỉ của mỗi. Cac tiêu đê

tin đươc hoan thanh với mã hoat động cho yêu cầu (1) va trả lời (2). Cac tải trọng

của gói bao gồm bốn địa chỉ, phần cứng va địa chỉ giao thức của người gửi va người

nhận host. Cấu trúc gói dữ liệu chủ yếu của cac gói tin ARP đươc hiên thị trong

bảng sau đó minh hoa trường hơp của mang IPv4 đang chay trên Ethernet. Trong

Nhóm 12 Trang 2


kịch bản nay, gói có 48-bit cho cac lĩnh vực phần cứng địa chỉ người gửi (SHA) va

địa chỉ phần cứng mục tiêu (THA), va 32-bit, cac lĩnh vực cho người gửi va địa chỉ

giao thức tương ứng với mục tiêu (SPA va TPA). Như vậy, kích thước gói ARP

trong trường hơp nay la 28 byte.

Trong đó:phần cứng kiêu (HTYPE) Trường nay xac định loai giao thức Link

Layer. Ví dụ: Ethernet la 1. Nghị định thư kiêu (PTYPE) Trường nay xac định giao

thức lớp trên ma cac yêu cầu ARP la dự định. Ví dụ, Internet Protocol (IPv4) đươc

mã hóa như la 0x0800. Phần cứng chiêu dai (HLEN) Chiêu dai (trong octet) của

một địa chỉ phần cứng. Ethernet địa chỉ kích thước la 6. Nghị định thư dai (PLEN)

Chiêu dai (trong octet) của một địa chỉ hơp lý của giao thức đươc chỉ định (x.

PTYPE). Kích thước địa chỉ IPv4 la 4. Hoat động Xac định cac hoat động ma người

gửi la thực hiện: 1 cho yêu cầu, 2 đê trả lời.Tên người gửi địa chỉ phần cứng (SHA)

Phần cứng (MAC) địa chỉ của người gửi. Tên người gửi địa chỉ giao thức (SPA)

Thương tầng giao thức địa chỉ của người gửi. Nhắm mục tiêu địa chỉ phần cứng

(THA) Phần cứng, địa chỉ của người nhận định. Trường nay bị bỏ qua trong yêu

Nhóm 12 Trang 3


cầu. Nhằm mục tiêu địa chỉ giao thức (TPA) Thương tầng giao thức địa chỉ của

người nhận định. Giao thức ARP gia trị tham số đã đươc chuẩn hóa va đươc duy trì

bởi IANA [3].

3. Cơ chế hoat động của ARP

Qua trình thực hiện ARP đươc bắt đầu khi một thiết bị nguồn trong một mang IP

có nhu cầu gửi một gói tin IP. Trước hết thiết bị đó phải xac định xem địa chỉ IP

đích của gói tin có phải nằm cùng trong mang nội bộ của mình hay không. Nếu

đúng vậy thì thiết bị sẽ gửi trực tiếp gói tin đến thiết bị đích. Nếu địa chỉ IP đích

nằm trên mang khac, thì thiết bị sẽ gửi gói tin đến một trong cac router nằm cùng

trên mang nội bộ đê router nay lam nhiệm vụ forward gói tin. Cả hai trường hơp ta

đêu thấy đươc la thiết bị phải gói tin IP đến một thiết bị IP khac trên cùng mang nội

bộ. Ta biết rằng việc gửi gói tin trong cùng mang thông qua Switch la dựa vao địa

chỉ MAC hay địa chỉ phần cứng của thiết bị. Sau khi gói tin đựoc đóng gói thì mới

bắt đầu đươc chuyên qua qua trình phân giải địa chỉ ARP va đươc chuyên đi

ARP vê cơ bản la một qua trình 2 chiêu request/response giữa cac thiết bị trong

cùng mang nội bộ. Thiết bị nguồn request bằng cach gửi một bản tin broadcast trên

toan mang. Thiết bị đích response bằng một bản tin unicast đến thiết bị nguồn

Cac loai bản tin ARP

Có hai dang bản tin trong ARP : một đươc gửi từ nguồn đến đích, va một đươc

gửi từ đích đến nguồn.

Request : Khởi tao qua trình, gói tin đươc gửi từ thiết bị nguồn tới thiết bị đích

Reply : La qua trình đap trả gói tin ARP request, đươc gửi từ may đích đến may

nguồn

Có 4 loai địa chỉ trong một bản tin ARP :

Sender Hardware Address : địa chỉ lớp hai của thiết bị gửi bản tin.

Sender Protocol Address : Địa chỉ lớp ba ( hay địa chỉ logic ) của thiết bị gửi bản

tin

Target Hardware Address : Địa chỉ lớp hai ( địa chỉ phần cứng ) của thiết bị đích

của bản tin

Target Protocol Address : Địa chỉ lớp ba ( hay địa chỉ logic ) của thiết bị đích của

bản tin.

Nhóm 12 Trang 4


Cac bước hoat động của Arp

Bước 1: Source Device Checks Cache : Trong bước nay, thiết bị sẽ kiêm tra

cache ( bộ đệm ) của mình. Nếu đã có địa chỉ IP đích tương ứng với MAC nao đó

rồi thì lập tức chuyên lên bước 9

Bước 2: . Source Device Generates ARP Request Message : Bắt đầu khởi tao gói

tin ARP Request với cac trường địa chỉ như trên

Bước 3: Source Device Broadcasts ARP Request Message : Thiết bị nguồn

quảng ba gói tin ARP Request trên toan mang

Bước 4: Local Devices Process ARP Request Message: Cac thiết bị trong mang

đêu nhận đươc gói tin ARP Request. Gói tin đươc xử lý bằng cach cac thiết bị đêu

nhìn vao trường địa chỉ Target Protocol Address. Nếu trùng với địa chỉ của mình thì

tiếp tục xử lý, nếu không thì hủy gói tin

Bước 5: Destination Device Generates ARP Reply Message : Thiết bị với IP

trùng với IP trong trường Target Protocol Address sẽ bắt đầu qua trình khởi tao gói

tin ARP Reply bằng cach lấy cac trường Sender Hardware Address va Sender

Protocol Address trong gói tin ARP nhận đươc đưa vao lam Target trong gói tin gửi

đi. Đồng thời thiết bị sẽ lấy địa chỉ datalink của mình đê đưa vao trường Sender

Hardware Address.

Bước 6 : Destination Device Updates ARP Cache : Thiết bị đích ( thiết bị khởi

tao gói tin ARP Reply ) đồng thời cập nhật bảng anh xa địa chỉ IP va MAC của thiết

bị nguồn vao bảng ARP cache của mình đê giảm bớt thời gian xử lý cho cac lần sau

Bước 7: Destination Device Sends ARP Reply Message : Thiết bị đích bắt đầu

gửi gói tin Reply đã đươc khởi tao đến thiết bị nguồn. Gói tin reply la gói tin gửi

unicast.

Bước 8: Source Device Processes ARP Reply Message : Thiết bị nguồn nhận

đươc gói tin reply va xử lý bằng cach lưu trường Sender Hardware Address trong

gói reply như địa chỉ phần cứng của thiết bị đích

Bước 9: Source Device Updates ARP Cache : Thiết bị nguồn update vao ARP

cache của mình gia trị tương ứng giữa địa chỉ network va địa chỉ datalink của thiết

bị đích.

Nhóm 12 Trang 5


Mô tả quá trình hoạt động:

ARP: Address Resolution Protocol

Cơ chế RARP: Cơ chế phân giải địa chỉ MAC tìm địa chỉ IP

Nhóm 12 Trang 6


ARP table in host

Cơ chế hoat động của ARP table

Nhóm 12 Trang 7


ARP request

Kiêm tra va so sanh địa chỉ IP

ARP Reply

Nhóm 12 Trang 8


Cập nhật địa chỉ MAC vao ARP table

ARP: Local Destination

Nhóm 12 Trang 9


4. Nguyên tắc lam việc của ARP trên mang Lan

Khi một thiết bị mang muốn biết địa chỉ MAC của một thiết bị mang nao đó ma

nó đã biết địa chỉ ở tầng network (IP, IPX…) nó sẽ gửi một ARP request bao gồm

địa chỉ MAC address của nó va địa chỉ IP của thiết bị ma nó cần biết MAC address

trên toan bộ một miên broadcast. Mỗi một thiết bị nhận đươc request nay sẽ so sanh

địa chỉ IP trong request với địa chỉ tầng network của mình. Nếu trùng địa chỉ thì

thiết bị đó phải gửi ngươc lai cho thiết bị gửi ARP request một gói tin (trong đó có

chứa địa chỉ MAC của mình). Trong một hệ thống mang đơn giản, ví dụ như PC A

muốn gửi gói tin đến PC B va nó chỉ biết đươc địa chỉ IP của PC B. Khi đó PC A sẽ

phải gửi một ARP broadcast cho toan mang đê hỏi xem "địa chỉ MAC của PC có

địa chỉ IP nay la gì ?" Khi PC B nhận đươc broadcast nay, nó sẽ so sanh địa chỉ IP

trong gói tin nay với địa chỉ IP của nó. Nhận thấy địa chỉ đó la địa chỉ của mình, PC

B sẽ gửi lai một gói tin cho PC A trong đó có chứa địa chỉ MAC của B. Sau đó PC

A mới bắt đầu truyên gói tin cho B.

5. Nguyên tắc lam việc của ARP trên hệ thống mang

Hoat động của ARP trong một môi trường phức tap hơn đó la hai hệ thống mang

gắn với nhau thông qua một Router C. May A thuộc mang A muốn gửi gói tin đến

may B thuộc mang B. Do cac broadcast không thê truyên qua Router nên khi đó

may A sẽ xem Router C như một cầu nối hay một trung gian (Agent) đê truyên dữ

liệu. Trước đó, may A sẽ biết đươc địa chỉ IP của Router C (địa chỉ Gateway) va

biết đươc rằng đê truyên gói tin tới B phải đi qua C. Tất cả cac thông tin như vậy sẽ

đươc chứa trong một bảng gọi la bảng định tuyến (routing table). Bảng định tuyến

theo cơ chế nay đươc lưu giữ trong mỗi may. Bảng định tuyến chứa thông tin vê cac

Gateway đê truy cập vao một hệ thống mang nao đó. Ví dụ trong trường hơp trên

trong bảng sẽ chỉ ra rằng đê đi tới LAN B phải qua port X của Router C. Bảng định

tuyến sẽ có chứa địa chỉ IP của port X.Qua trình truyên dữ liệu theo từng bước sau :

* May A gửi một ARP request (broadcast) đê tìm địa chỉ MAC của port X.

* Router C trả lời, cung cấp cho may A địa chỉ MAC của port X.

* May A truyên gói tin đến port X của Router.

Nhóm 12 Trang 10


* Router nhận đươc gói tin từ may A, chuyên gói tin ra port Y của Router. Trong

gói tin có chứa địa chỉ IP của may B. Router sẽ gửi ARP request đê tìm địa chỉ

MAC của may B.

* May B sẽ trả lời cho Router biết địa chỉ MAC của mình. Sau khi nhận đươc địa

chỉ MAC của may B, Router C gửi gói tin của A đến B.

Trên thực tế ngoai dang bảng định tuyến nay người ta còn dùng phương phap

proxyARP, trong đó có một thiết bị đảm nhận nhiệm vụ phân giải địa chỉ cho tất cả

cac thiết bị khac.Theo đó cac may tram không cần giữ bảng định tuyến nữa Router

C sẽ có nhiệm vụ thực hiện, trả lời tất cả cac ARP request của tất cả cac may .

6. Proxy ARP

Proxy ARP giúp cac may tính từ 1 subnet chuyên packet đến cac subnet khac ma

không cần cấu hình routing hay default gateway

- Cach thức lam việc của ARP

Host A muốn send packet đến host D (2 subnet khac nhau). Ví dụ, ta có host A

có 16 subnet mask, nghĩa la host A nghĩ rằng nó trực tiếp nối với cac net 172.16.0.0,

khi host A cần liên lac với những thiết bị nao ma nó tin rằng la nó đang kết nối trực

tiếp tới, nó gửi 1 ARP request. Vì thế host A nghĩ rằng host D nối trực tiếp với nó,

nó gửi 1 ARP request tới host D.

Host A broadcast 1 ARP request trên subnet A: Gói tin ARP yêu cầu sau đó

đươc đóng gói trong 1 khung Ethernet với MAC của host A la source address ( địa

chỉ nguồn), va 1 broadcast FFFF.FFFF.FFFF như la destination address ( đai chỉ

đích). Vì ARP yêu cầu la broadcast, nó đi tới tất cả cac nodes khac, kê cả interface

e0 của router, nhưng không đến đươc D (vì default thì routers ko forward cac

broadcasts). Vì router biết địa chỉ đích 172.16.20.200 la trên subnet khac va có thê

tới host D, nó trả lời cho host A địa chỉ MAC của riêng nó. Đây la 1 trả lời “proxy

ARP” ma router gửi cho host A. Proxy ARP reply packet đươc đóng gói trong 1

Ethernet frame với MAC của router la source address va MAC của A la dest.

AddressHost A update ARP table của nó:

Từ giờ, host A chuyên cac packet nó muốn gửi tới host D đến MAC address của

router, vì router biết đường đến host D, nó sẽ forward packet đến host D giùm. Nói

rộng ra, ARP cache trên cac hosts trong subnet A đươc gan MAC của router khi

Nhóm 12 Trang 11


muốn đến cac hosts trong subnet B ARP cache của host A:Khi nhiêu IP addresses

đươc anh xa tới 1 single MAC address (MAC của router), sẽ cho ta biết la proxy

ARP đang đươc sử dụng Interface của Cisco đươc cấu hình sử dụng proxy ARP

theo măc định. Đối với interface nối với ISP, thì không đươc dùng proxy ARP

(dùng lệnh “no ip proxy-arp”). Proxy ARP có thê đươc disabled trên mỗi interface:

Đê dùng proxy ARP trên 1 interface thì dùng lệnh “ip proxy-arp”

Ưu điêm của proxy ARP:

- Có thê đươc thêm vao 1 single router trên 1 mang ma ko lam ảnh hưởng

routing tables của cac routers khac trên mang

- Proxy ARP phải đươc dùng trên mang ma cac IP hosts ko đươc cấu hình

default gateway hoăc ko có bất cứ hiêu biết nao vê routing

Nhươc điêm của proxy ARP:

- Gia tăng lương giao thông ARP

- Hosts cần bảng ARP lớn hơn đê handle IP-to-MAC address mappings

- Ko hoat động với cac mang ma ko sử dụng ARP đê phân giải địa chỉ

- Ko tổng quat hóa cho cac mô hình mang. Ví dụ như hơn 1 router kết nối 2

mang vật lí (như vậy biết chọn router nao?)

- Security sẽ bị lam yếu. Một may có thê giả mao la may khac đê lấy packets

(gọi la spoofing)

7. Bộ nhớ đệm

ARP la một giao thức phân giải địa chỉ động. Qua trình gửi gói tin Request va

Reply sẽ tiêu tốn băng thông mang. Chính vì vậy cang han chế tối đa việc gửi gói

tin Request va Reply sẽ cang góp phần lam tăng khả năng họat động của mang.Từ

đó sinh ra nhu cầu của ARP CachingStatic and Dynamic ARP Cache EntriesARP

Cache có dang giống như một bảng tương ứng giữa địa chỉ hardware va

địa chỉ IP. Có hai cach đưa cac thanh phần tương ứng vao bảng ARP :

· Static ARP Cache Entries: Đây la cach ma cac thanh phần tương ứng trong

bảng ARP đươc đưa vao lần lươt bởi người quản trị. Công việc đươc tiến hanh một

cach thủ công

· Dynamic ARP Cache Entries: Đây la qua trình ma cac thanh phần địa chỉ

hardware/IP đươc đưa vao ARP cache một cach hoan toan tự động bằng phần mêm

Nhóm 12 Trang 12


sau khi đã hoan tất qua trình phân giải địa chỉ. Chúng đươc lưu trong cache trong

một khoảng thời gian va sau đó sẽ đươc xóa đi.

Dynamic Cache đươc sử dụng rộng rãi hơn vì tất cả cac qua trình diễn ra tự

động va không cần đến sự tương tac của người quản trị. Tuy nhiên static cache vẫn

có pham vi ứng dụng nhất định của nó. Đó la trường hơp ma cac workstation nên có

static ARP entry đến router va file server nằm trong mang. Điêu nay sẽ han chế

việc gửi cac gói tin đê thực hiện qua trình phân giải địa chỉ.Tuy nhiên ngoai han chế

của việc phải nhập bằng tay, static cache còn thêm han chế nữa la khi địa chỉ IP của

cac thiết bị trong mang thay đổi thì sẽ dẫn đến việc phải thay đổi ARP cache. Qua

trình xóa thông tin trong cache, ta xét trường hơp bảng cache của một thiết bị A,

trong đó có chứa thông tin vê thiết bị B trong mang. Nếu cac thông tin trong cache

đươc lưu mãi mãi, sẽ có một số vấn đê như sau xảy ra :

· Địa chỉ phần cứng thiết vị đươc thay đổi : Đây la trường hơp khi thiết bị B

đươc thay đổi card mang hay thiết bị giao tiếp, lam thay đổi địa chỉ MAC của thiết

bị. Điêu nay lam cho cac thông tin trong cache của A không còn đúng nữa · Địa

chỉ IP của thiết bị đươc thay đổi : Người quản trị hay nha cung cấp thay đổi địa chỉ

IP của B, cũng lam cho thông tin trong cache của A bị sai lệch

· Thiết bị đươc rút ra khỏi mang : Khi B đươc rút ra khỏi mang nhưng A không

đươc biết, va gây lãng phí vê tai nguyên của A đê lưu thông tin không cần thiết va

tốn thời gian đê tìm kiếm. Đê tranh đươc những vấn đê nay, cac thông tin trong

dynamic cache sẽ đươc tự động xóa sau một khoảng thời gian nhất định. Qua trình

nay đươc thực hiện một cach hoan toan tự động khi sử dụng ARP với khoảng thời

gian thường xuyên la 10 hoăc 20 phút. Sau một khoảng thời gian nhất định đươc lưu

trong cache, thông tin sẽ đươc xóa đi. Lần sử dụng sau, thông tin sẽ đươc update trở

lai.

Nhóm 12 Trang 13


II. Nguyên lý sử dụng ARP để tấn công mạng:

Giao thức ARP la rất cần thiết va quan trọng trong hệ thống mang của chúng ta,

tuy nhiên nó lai không đê cập đến vấn đê xac thực nao cả. Khi một host nhận đươc

gói tin ARP Reply, nó hoan toan tin tưởng va măc nhiên sử dụng thông tin đó đê sử

dụng sau nay ma không cần biết thông tin đó có phải trả lời từ một host ma mình

mong muốn hay không. ARP không có cơ chế nao đê kiêm tra việc đó cả va trên

thực tế một host có thê chấp nhận gói ARP Reply ma trước đó không cần phải gửi

gói tin ARP Request. Lơi dụng điêu nay, hacker có thê triên khai cac phương thức

tấn công như: Man In The Middle, Denial of Service, MAC Flooding.

1. Nguyên lý “Man in middle”:

Giả sử hacker muốn theo dõi host A gởi thông tin gì cho host B. Đầu tiên,

hacker sẽ gởi gói ARP Reply đến host A với nội dung la địa chỉ MAC của hacker va

địa chỉ IP của hostB. Tiếp theo, hacker sẽ gửi gói ARP Reply tới host B với nội

dung la MAC của may hacker va IP của host A. Như vậy, cả hai host A va host B

đêu tiếp nhận gói ARP Reply đó va lưu vao trong ARP table của mình. Đến lúc nay,

khi host A muốn gửi thông tin đến host B, nó liên tra vao ARP table thấy đã có sẵn

thông tin vê địa chỉ MAC của host B nên sẽ lấy thông tin đó ra sử dụng, nhưng thực

chất địa chỉ MAC đó la của hacker. Đồng thời may tính của hacker sẽ mở chức

năng gọi la IP Forwading giúp chuyên tải nội dung ma host A gửi qua host B. Host

A va host B giao tiếp bình thường va không có cảm giac bị qua may trung gian la

may của hacker.Trong trường hơp khac, hacker sẽ nghe lén thông tin từ may ban

đến Gateway. Như vậy mọi hanh động ra Internet của ban đêu bị hacker ghi lai hết,

dẫn đến việc mất mat cac thông tin nhay cảm.

2. Nguyên lý “Denial of service”:

Cũng vận dụng kỹ thuật trên, hacker tiến hanh tấn công bằng cach gởi gói ARP

Reply đến toan bộ cac host trong mang với nội dung mang theo la địa chỉ IP của

Gateway va địa chỉ MAC không hê tồn tai. Như vậy cac host trong mang tin tưởng

rằng mình đã biết đươc MAC của Gateway va khi gửi thông tin đến Gateway, kết

quả la gửi đến một nơi hoan toan không tồn tai. Đó la điêu hacker mong muốn, toan

bộ cac host trong mang đêu không thê đi ra Internet đươc.

Nhóm 12 Trang 14


3. Nguyên lý “Mac Flooding”:

Cach tấn công nay cũng dùng kỹ thuật ARP Poisoning ma đối tương nhắm đến

la Switch. Hacker sẽ gửi những gói ARP Reply giả tao với số lương khổng lồ nhằm

lam Switch xử lý không kịp va trở nên qua tải. Khi đó, Switch sẽ không đủ sức thê

hiện bản chất Layer2 của mình nữa ma broadcast gói tin ra toan bộ cac port của

mình. Hacker dễ dang bắt đươc toan bộ thông tin trong mang của ban.

III. Cách phòng chống tấn công kiểu ARP – Poisoning :

ARP Poisoning la một kiêu tấn công dang local, nghĩa la hacker thực hiện tấn

công từ bên trong mang của ban. Hậu quả của cach tấn công nay la rất lớn, những

người quản trị mang cần nắm bắt rõ vê kỹ thuật tấn công nay. Sau đây la một số kỹ

thuật giúp phòng chống tấn công kiêu ARP Poisoning.

1. Đối với mang nhỏ :

Ta có thê sử dụng địa chỉ IP tĩnh va ARP table tĩnh, khi đó, ban sẽ liệt kê bằng

tay IP nao đi với MAC nao. Trong Windows có thê sử dụng câu lệnh ipconfig /all

đê xem IP va MAC, dùng câu lệnh arp -s đê thêm vao ARP table. Khi ma ép tĩnh

như vậy sẽ ngăn chăn hacker gởi cac gói ARP Reply giả tao đến may của mình vì

khi sử dụng ARP table tĩnh thì nó luôn luôn không thay đổi. Chú ý rằng cach thức

nay chỉ ap dụng đươc trong môi trường mang với quy mô nhỏ, nếu mang lớn hơn la

không thê vì chúng ta phải thêm vao ARP table bằng tay với số lương qua nhiêu.

2. Đối với mang lớn:

Khi quản trị trong một mang quy mô lớn, ta có thê sử dụng chức năng Port

security. Khi mở chức năng Port security lên cac port của Switch, ta có thê quy định

port đó chỉ chấp nhận một địa chỉ MAC. Như vậy sẽ ngăn chăn việc thay đổi địa chỉ

MAC trên may hacker.Ngoai ra cũng có thê sử dụng cac công cụ, ví dụ như

ArpWatch. Nó sẽ phat hiện va bao cao cho ban cac thông tin liên quan đến ARP

đang diễn ra trong mang. Nhờ đó, nếu có hiện tương tấn công bằng ARP Poisoning

thì ban có thê giải quyết kịp thời.

Nhóm 12 Trang 15


IV. Ví dụ minh họa về cách truyền tải ARP :

- Tầng ứng: Tầng mạng, có thể thiết lập đường kết nối đáng tin cậy đến máy

tính có IP: 192.168.3.2 được không?

- Tầng chuyển vận: Tôi sẽ sử dụng TCP

- Tầng chuyển vận: TCP ! Hãy thiết lập một phiên làm việc với máy có IP:

192.168.3.2.

- TCP: IP hãy gửi TCP SYN này đến 192.168.3.2.

+ Tầng 3 = 192.168.3.1

+ Tầng 2 = 0800:0222:2222

- IP: Tầng 2 hãy gửi gói tin này đến 192.168.3.2

Nhóm 12 Trang 16


Nhóm 12 Trang 17

-Tầng 2: ARP, hãy tao 1 anh xa cho 192.168.3.2,- ARP: 192.168.3.2 có trong bảng ARP không ? Không, tầng 2 sẽ đăt gói tin trong phần cố định cho đến khi xong 1 ARP.

-Đầu tiên la một ARP yêu cầu.Tôi la 192.168.3.1 với MAC la 0800:0222:2222. Ban có phải la 192.168.3.2 ?-ARP: Tầng 2 gửi MAC sử dụng nay như la SRC MAC va yêu cầu phat ra như la DST MAC.

Tầng 2: Gói tin đã đươc gửi


- Tầng 2: Tôi vừa nhận được1 khung truyền tải MAC, do vậy, tôi sẽ xử lí nó.

1 giao thức ID xác định là nó theo ARP. Hãy tháo phần tiêu đề và gửi nó tới

ARP.

- Tầng 2: ARP! Đây là những thông tin dành cho bạn

Nhóm 12 Trang 18


- ARP: ARP phản hồi sẽ nói tôi là 192.168.3.2 với MAC là 0800:0222:1111

- ARP: Tầng 2, gửi MAC đang sử dụng như là 1 SRC MAC và

0800:0222:2222 như là 1 DST MAC

Nhóm 12 Trang 19

ARP: Tôi vừa nhận1 yêu cầu ARP từ 192.168.3.1 . Hãy đê tôi thêm IP va MAC của nó vao bảng ARP của tôi. Bây giờ có thê trả lời.


- Tầng 2 : Gói tin đã được gửi

- Tầng 2 xác nhận đã có 1 khung chứa MAC, và sẽ xử lí nó. 1 giao thức ID

xác định rằng nó theo ARP. Phần đầu của tầng 2 sẽ bị tháo ra và gửi tới ARP.

Nhóm 12 Trang 20


Nhóm 12 Trang 21

Tầng 2: ARP! Đây la những thông tin danh cho ban.

ARP: Tôi cừa nhận đươc gói tin phản hồi tự 192.168.3.2. Hãy đê tôi thêm IP va MAC của nó vao bảng ARP.ARP: Tầng 2! Tôi có 192.168.3.2 đươc anh xa đến 0900:0222:2222

Tầng 2: Tôi có thể gửi đi rằng 1 gói tin chưa xử lí


Nhóm 12 Trang 22

TCP: Tôi cần gửi 1 SYN ACK tới TCP SYN cai ma tôi đã nhận đươc

TCP: Hãy gửi thông tin nay

TCP: Lấy ACK


Nhóm 12 Trang 23

TCP: Tôi cần đê cho phần kết thúc khac biết la tôi đã lấy SYN ACK đê hoan thanh sự thiết lập phiên

-Tầng 4: Thông bao với tầng ứng dụng la phiên lam việc của ban đã đươc thiết lập..- Tầng ứng dụng: Đươc, tôi sẽ gửi 1 vai gói tin

- Tầng ứng dụng: Đây la gói tin của ban


Nhóm 12 Trang 24

- TCP:Tầng ứng dụng! Đây la gói tin của ban

Tôi cần gửi ACK đến gói tin ma ban nhận đươc


V. Kết luận:

1. Ưu điêm:

Giao thức ARP la rất cần thiết va quan trọng trong hệ thống mang của chúng

ta. Ban đầu ARP chỉ đươc sử dụng trong mang Ethernet đê phân giải địa chỉ IP

va địa chỉ MAC. Nhưng ngay nay ARP đã đươc ứng dụng rộng rãi va dùng

trong cac công nghệ khac dựa trên lớp hai.

2. Nhươc điêm:

Khi một host nhận đươc gói tin ARP Reply, nó hoan toan tin tưởng va măc

nhiên sử dụng thông tin đó đê sử dụng sau nay ma không cần biết thông tin đó

có phải trả lời từ một host ma mình mong muốn hay không. ARP không có cơ

chế nao đê kiêm tra việc đó cả va trên thực tế một host có thê chấp nhận gói

ARP Reply ma trước đó không cần phải gửi gói tin ARP Request. Lơi dụng điêu

nay, hacker có thê triên khai cac phương thức tấn công như: Man In The Middle,

Denial of Service, MAC Flooding.

Nhóm 12 Trang 25

-Được, tôi sẽ gửi 1 vài gói tin đến 192.168.3.2- Nó xác nhận địa chỉ đó không có trong bảng ARP không thể sử dụng nó trên 1 mạng khác.- Theo đó, có thể dữ liệu đã được gửi đến 1 cổng nối mặc định và để nó tiếp theo đó.

TCP: Lấy ACK

Documents

Giao thức ARP