- Trường TTL: 8 bit, xác định giới hạn bao nhiêu chặng (hop) mà một gói tin
Nguy cơ liên quan đến ARP
Tổng quan về ARP
Việc phân giải địa chỉ giữa lớp datalink và lớp network nhằm giúp cho việc truyền dữ liệu được liên tục qua mạng. Có hai phương pháp phân giải địa chỉ là: map trực tiếp và phân giải động. Việc map trực tiếp gặp nhiều khó khăn do địa chỉ MAC (lớp datalink) là địa chỉ 48 bit trong khi địa chỉ IP là 32 bit. Bên cạnh đó các nhà phát triển muốn tạo ra một cơ chế linh hoạt trong sử dụng. Chính vì vậy họ phát triển ARP (Address Resolution Protocol).
ARP Spoofing
Vì bản thân ARP request đã chứa địa chỉ vật lý của phía gửi trong bản tin Ethernet nên phía nhận khi nhận được ARP request này hoàn toàn có thể trả lời cho phía gửi mà không cần phải tạo một ARP request nữa. Tuy nhiên, điểm yếu lớn nhất của giao thức ARP là ở chỗ sẽ chấp nhận các ARP reply mà trước đó không có ARP request. Nếu một kẻ nào đó muốn lấy cắp thông tin từ một trạm khác, attacker sẽ gửi các ARP reply giả mạo phù hợp một địa chỉ IP nào đó đã chọn trước với địa chỉ MAC của chúng.
Trạm nhận được các ARP reply giả mạo này không thể phân biệt được nó là ARP reply hợp lệ hay không, và bắt đầu gửi dữ liệu tới địa chỉ MAC của attacker. Một điểm yếu nữa của giao thức ARP đó là bảng thông tin ARP được lưu trữ cục bộ tại mỗi trạm trong một mạng. Một kẻ tấn công muốn tiếp tục giả mạo một địa chỉ IP nào đó, nó cần phải Flood trạm đó với các ARP reply ghi đè lên các ARP hợp lệ từ trạm nguồn.
Kiểu tấn công này thường được biết đến với cái tên ARP cache poisoning.
Để giảm nguy cơ liên quan đến cách thức tấn công này thì cần thực hiện 1 số biện pháp sau:
Giới hạn địa chỉ Mac trên từng cổng của Switch U-PE (sử dụng bảo mật cổng)
Mã hóa thông tin quan trọng trước khi gửi đi
LOGO