You are on page 1of 3

Dynamic ARP Inspection!

Một switch có thể dùng tính năng DAI để ngăn ngừa vài kiểu tấn công sử dụng các thông điệp ARP IP. Để đánh giá các kiểu tấn công này hoạt động như thế nào, bạn cần phải nhớ vài chi tiết về nội dung của các thông điệp ARP. Hình dưới đây mô tả một ví dụ đơn giản với cách dùng phù hợp của thông điệp ARP, trong đó PC-A tìm địa chỉ MAC của PC-B.

Theo hình trên, đầu tiên PC-A gửi ra thông điệp ARP request theo kiểu broadcast để tìm kiếm địa chỉ MAC của IP-B (tức là tìm kiếm địa chỉ MAC đích). Sau đó, PC-B gửi ra thông điệp ARP Reply theo kiểu Unicast. Cũng theo hình trên, các thông điệp ARP không bao gồm một IP Header. Tuy nhiên, nó bao gồm bốn trường quan trọng dùng để chứa các thông tin: địa chỉ MAC và địa chỉ IP nguồn của máy gửi, địa chỉ MAC và địa chỉ IP của máy đích. Đối với một gói tin (thông điệp) dạng ARP request, địa chỉ đích IP là địa chỉ IP mà nó cần tìm ra MAC, địa chỉ MAC đích sẽ được để trống, vì đây là thông tin còn thiếu. Ngược lại, thông điệp ARP Reply (là một dạng unicast LAN) dùng địa chỉ MAC nguồn là địa chỉ máy trả lời. Địa chỉ IP nguồn của thông điệp ARP Reply là địa chỉ IP của chính máy trả lời. Một kẻ tấn công có thể hình thành nên kiểu tấn công man-in-the-middle trong môi trường LAN bằng cách dùng gratuitous ARPs. Một gratuitous xảy ra khi một máy gửi một thông điệp ARP Reply mà không thấy một ARP request và gửi về địa chỉ đích Ethernet broadcast. Các thông điệp ARP Reply trong hình 21-4 mô tả ARP reply như là dạng unicast, nghĩa là chỉ có những máy gửi ra yêu cầu sẽ học được ARP entry. Bằng cách broadcast ra các thông điệp gratious ARP, tất cả các máy trên LAN sẽ học ARP entry. Khi gratuitous ARP có thể được dùng để có hiệu quả tốt, nó cũng có thể được dùng bởi một kẻ tấn công. Kẻ tấn công có thể gửi ra một gratuitous ARP, thông báo địa chỉ của một máy hợp lệ. Tất cả các máy trong mạng (bao gồm router và switch) cập nhận bảng ARP của nó, chỉ đến địa chỉ MAC của máy tấn cống vào sau đó gửi các frame đến máy tấn công thay vì địa chỉ máy thật. Hình dưới đây mô tả tiến

Các bước mô tả trên hình trên có thể giải thích như sau: máy tấn công phát tán các gratuitous ARP chứa IP-B nhưng với MAC-C là địa chỉ nguồn IP và MAC nguồn. PC-A cập nhật bảng ARP liệt kê địa chỉ IP-B kết hợp với MAC-C. PC-A gửi một frame đến IP-B nhưng với địa chỉ MAC-C. SW1 truyền frame đến MAC-C, là địa chỉ của máy tấn công. Kết quả tấn công nằm ở máy khác, giống như PC-A, gửi frame dự kiến đến IP-B nhưng lại về địa chỉ MAC của MAC-C, là địa chỉ MAC của máy tấn công. Kẻ tấn công sau đó đơn giản gửi ra một bản sao của từng frame về PC-B, trờ thành kiểu tấn công man-in the middle. Kết quả là, người dùng có thể tiếp tục làm việc và kẻ tấn công có thể nhận được rất nhiều dữ liệu. Switch dùng DAI để ngăn ngừa kiểu tấn công ARP attack bằng cách kiểm tra các thông điệp ARP và sau đó lọc bỏ các thông điệp không phù hợp. DAI xem xét từng cổng của switch là không tin cậy (mặc định) hay tin cậy, thực hiện các thông điệp DAI chỉ trên những port không tin cậy. DAI kiểm tra từng thông điệp ARP request hay reply trên những port không tin cậy để quyết định xem thông điệp có phù hợp hay không. Nếu không phù hợp, switch sẽ lọc các thông điệp ARP này. DAI sẽ xác định một thông điệp ARP có hợp lệ hay không bằng cách dùng thuật toán sau: 1.Nếu một thông điệp ARP Reply liệt kê một địa chỉ nguồn IP mà không phải do DHCP cấp đến một thiết bị trên cổng đó, DAI sẽ lọc gói tin ARP Reply. 2.DAI dùng thêm các thuật toán tương tự bước 1 nhưng dùng một danh sách của các địa chỉ IP/MAC được cấu hình tĩnh. 3. Đối với một thông điệp ARP Reply, DAI so sánh địa chỉ nguồn MAC trong Ethernet header vớI địa chỉ nguồn MAC trong thông điệp ARP. Các giá trị MAC này phải giống nhau trong

thông điệp ARP bình thường. NẾu các giá trị này không giống nhau, DAI sẽ lọc gói tin. 4. Giống như bước 3, nhưng DAI sẽ so sánh địa chỉ MAC đích và địa chỉ MAC liệt kê trong thông thông điệp ARP. DAI kiểm tra các địa chỉ IP không mong đợi được liệt kê trong thông điệp ARP chẳng hạn như 0.0.0.0, 255.255.255.255, multicasts v.v.v. Bảng 21-5 liệt kê các lệnh chủ chốt của Cat3550 được dùng để cấu hình DAI. DAI phải được bật ở chế độ toàn cục trước. Ở thời điểm này, tất cả các cổng được DAI xem như là không tin cậy. Một vài cổng, đặc biệt là những cổng kết nối vào những vùng an toàn (là những cổng kết nối vào máy chủ hoặc vào switch khác) cần phải được cấu hình tường minh như là cổng tin cậy. Sau đó, ta cần phải thêm vào các cấu hình khác để bật các tính năng khác nhau. Ví dụ, DHCP snooping cần phải được bật trước khi DAI có thể dùng cơ sở dữ liệu DHCP snooping để thực hiện thuật toán ở bước 1 trong danh sách trên. Bạn cũng có thể cấu hình địa chỉ IP tĩnh hay thực hiện một vài phép kiểm tra tính hợp lệ bằng cách dùng câu lệnh ip arp inspection.