Phòng thủ tấn cơng ARP bằng DAI (Dynamic ARP In- 123docz.net

II. Mơ tả tấn cơng ARP

1.4Phòng thủ tấn cơng ARP bằng DAI (Dynamic ARP Inspection)

1.4a. Mơ tả DAI

 DAI xác định tính hợp lệ của mợt gói tin ARP dựa trên địa chỉ MAC-address-to-IP-address cam kết ràng buợc hợp lệ được lưu trữ trong mợt cơ sở dữ liệu DHCP snooping. Ngoài ra DAI có thể xác nhận gói tin ARP dựa trên cấu hình ACL người xử dụng.

Đề tài: tìm hiểu cách phòng chống các cuốc tấn cơng layer2 trên switch/ cisco 46

Bảng mơ tả DAI 1.4b. Tính năng của DAI

 DAI có thể ngăn chặn tấn cơng ARP, DAI làm việc tương tự với DHCP Snooping, tất cả các cởng sẽ phân loại thành tin cậy và khơng tin cậy. Switch sẽ thực hiên phân tích hợp lệ của ARP Request và Reply trên cởng khơng tin cậy nơi mà cơ sỏ dữ liệu của DHCP Snooping đã xây dựng trước đó, nếu nợi dung của gói ARP request hay Reply bao gờm MAC và IP mà khác so với cơ sở dữ liệu được xây dựng trước đó sẽ bị gạt bỏ. Cởng tin cậy sẽ khơng thực hiện kiểm tra gói ARP Request và Reply. Hành đợng này ngăn chặn sự khơng hợp lệ hay gói ARP giả mạo được gửi.

Đề tài: tìm hiểu cách phòng chống các cuốc tấn cơng layer2 trên switch/ cisco 47

 Để ngăn chặn ARP giả mạo hoặc “ngợ đợc”, mợt chuyển đởi phải đảm bảo rằng chỉ có giá trị và đáp ứng yêu cầu ARP được chuyển tiếp. DAI ngăn chặn các cuợc tấn cơng bằng cách chặn và xác nhận tất cả các ARP yêu cầu và câu trả lời. Mỡi lần trả lời ARP chặn được xác nhận cam kết ràng buợc MAC-address-to-IP-address cho hợp lệ trước khi nó được chuyển tiếp đến mợt máy tính có thể truy cập bợ nhớ cache ARP. ARP trả lời đến từ các thiết bị khơng hợp lệ bỏ rơi.

 DAI xác định tính hợp lệ của gói tin ARP dựa trên địa chỉ MAC-to- IP-address hợp lệ cơ sở dữ liệu ràng buợc được xây dựng bởi DHCp snooping. Ngoài ra, để xử lý các máy chủ xử dụng địa chỉ IP tĩnh cấu hình ACL ARP.

 Để đảm bảo rằng chỉ có giá trị yêu cầu ARP và các phả ứng chuyển tiếp, DAI có những hành đợng sau:

 Trước tiên ARP gói tin nhận được trên mợt giao diện đáng tin cậy mà khơng có bất kỳ kiểm tra.

 Ngăn chặn tất cả các gói tin ARP vào cởng khơng tin cậy.

 Xác nhận rằng mỗi gói tin chặn có địa chỉ IP-MAC hợp lệ ràng buợc trước khi chuyển tiếp các gói tin có thể cập nhập bợ nhớ cache ARP địa phương.

Phòng thủ tấn cơng ARP bằng DAI (Dynamic ARP Inspection)

cấu hình DHCP snooping