II. Mơ tả tấn cơng ARP
1.4 Phòng thủ tấn cơng ARP bằng DAI (Dynamic ARP Inspection)
1.4a. Mơ tả DAI
DAI xác định tính hợp lệ của mợt gói tin ARP dựa trên địa chỉ MAC-address-to-IP-address cam kết ràng buợc hợp lệ được lưu trữ trong mợt cơ sở dữ liệu DHCP snooping. Ngoài ra DAI có thể xác nhận gói tin ARP dựa trên cấu hình ACL người xử dụng.
Đề tài: tìm hiểu cách phòng chống các cuốc tấn cơng layer2 trên switch/ cisco 46
Bảng mơ tả DAI 1.4b. Tính năng của DAI
DAI có thể ngăn chặn tấn cơng ARP, DAI làm việc tương tự với DHCP Snooping, tất cả các cởng sẽ phân loại thành tin cậy và khơng tin cậy. Switch sẽ thực hiên phân tích hợp lệ của ARP Request và Reply trên cởng khơng tin cậy nơi mà cơ sỏ dữ liệu của DHCP Snooping đã xây dựng trước đó, nếu nợi dung của gói ARP request hay Reply bao gờm MAC và IP mà khác so với cơ sở dữ liệu được xây dựng trước đó sẽ bị gạt bỏ. Cởng tin cậy sẽ khơng thực hiện kiểm tra gói ARP Request và Reply. Hành đợng này ngăn chặn sự khơng hợp lệ hay gói ARP giả mạo được gửi.
Đề tài: tìm hiểu cách phòng chống các cuốc tấn cơng layer2 trên switch/ cisco 47
Để ngăn chặn ARP giả mạo hoặc “ngợ đợc”, mợt chuyển đởi phải đảm bảo rằng chỉ có giá trị và đáp ứng yêu cầu ARP được chuyển tiếp. DAI ngăn chặn các cuợc tấn cơng bằng cách chặn và xác nhận tất cả các ARP yêu cầu và câu trả lời. Mỡi lần trả lời ARP chặn được xác nhận cam kết ràng buợc MAC-address-to-IP-address cho hợp lệ trước khi nó được chuyển tiếp đến mợt máy tính có thể truy cập bợ nhớ cache ARP. ARP trả lời đến từ các thiết bị khơng hợp lệ bỏ rơi.
DAI xác định tính hợp lệ của gói tin ARP dựa trên địa chỉ MAC-to- IP-address hợp lệ cơ sở dữ liệu ràng buợc được xây dựng bởi DHCp snooping. Ngoài ra, để xử lý các máy chủ xử dụng địa chỉ IP tĩnh cấu hình ACL ARP.
Để đảm bảo rằng chỉ có giá trị yêu cầu ARP và các phả ứng chuyển tiếp, DAI có những hành đợng sau:
Trước tiên ARP gói tin nhận được trên mợt giao diện đáng tin cậy mà khơng có bất kỳ kiểm tra.
Ngăn chặn tất cả các gói tin ARP vào cởng khơng tin cậy.
Xác nhận rằng mỗi gói tin chặn có địa chỉ IP-MAC hợp lệ ràng buợc trước khi chuyển tiếp các gói tin có thể cập nhập bợ nhớ cache ARP địa phương.