tại giao diện của GATE nhập:
enable với password : cisco để vào chế độ Privilege.
Tiếp tục nhập confgure terminal để vào chế độ cấu hình.
Hình 3.21 : Giải pháp đối với tấn cơng DoS
Nhập access-list 101 permit tcp any host 1.1.1.251 eq 80
khởi tạo ACL 101 cho phép các gĩi tin TCP đủ điều kiện đi qua cổng 80 đến địa chỉ 1.1.1.251.
Nhập ip tcp intercept list 101
Bật tính năng TCP intercept với access-list vừa tạo Nhập ip tcp intercept mode intercept
Chuyển sang chế độ intercept mode
Nhập ip tcp intercept drop-mode random
Bật chế độ drop mode random
Xác định khoảng thời gian chờ là 20 trước khi gửi kết nối mới tới máy chủ
Nhập ip tcp intercept fnrst-timeout 20
Thay đổi thời gian giữa nhận, kết thúc, gửi lại và thay đổi hoặc hủy kết nối là 20 giây
Nhập ip tcp intercept connection-timeout 180
Khởi tạo thời gian chờ kết nối là 180s
Nhập ip tcp intercept max-incomplete low 400 high 500
Thiết lập ngưỡng kết nối thấp nhất là 400 và cao nhất là 500 nếu vượt quá 500 kết nối sẽ tự động hủy để đạt cịn 400 kết nối.
Nhập ip tcp intercept one-minute low 200 high 300
Đặt ngưỡng cho số lượng yêu cầu kết nối nhận được trong một phút cuối cùng.
Nhập End để kết thúc quá trình cấu hình. Nhập Write để lưu lại cấu hình.
Hình 3.22 : Giải pháp đối với tấn cơng DoS
Ý tưởng của giải pháp này là Router sẽ đứng ra thực hiện quá trình bắt tay 3 bước với Kali bao giờ kết nối đĩ hợp lệ thì sẽ chuyển yêu cầu kết nối đĩ tới server, tránh việc Server phải chịu các kết nối khơng thành cơng một cách liên tục.
4.2 MAC-Overflow
4.2.1 Định nghĩa về địa chỉ MAC
Địa chỉ MAC - Media Access Control: Là kiểu địa chỉ vật lí, đặc trưng cho một thiết bị hoặc một nhĩm các thiết bị trong LAN. Địa chỉ này được dùng để nhận diện các thiết bị giúp cho các gĩi tin lớp 2 cĩ thể đến đúng đích.
4.2.2 Cấu trúc địa chỉ IP, MAC
Một địa chỉ MAC bao gồm 6 byte và thường được viết dưới dạng hexa, mỗi thiết bị (card mạng, modem, router...) được nhà sản xuất (NSX) chỉ định và được gán sẵn một địa chỉ nhất định , thường là 2 dạng : MM:MM:MM:SS:SS:SS (cách nhau bởi dấu :) hay MM-MM-MM-SS-SS-SS (cách nhau bởi dấu -). Địa chỉ MAC là một số 48 bit được biểu diễn bằng 12 số hexa (hệ số thập lục phân), trong đĩ 24bit đầu (MM:MM:MM) là mã số của NSX (Linksys, 3COM...) và 24 bit sau (SS:SS:SS) là số seri của từng card mạng được NSX gán. Như vậy sẽ khơng xảy ra trường hợp hai thiết bị trùng nhau địa chỉ vật lý vì số nhận dạng ID này đã được lưu trong chip ROM trên mỗi thiết bị trong quá trình sản xuất, người dùng khơng thể thay đổi được. Nĩi một cách đơn giản, địa chỉ MAC là địa chỉ vật lý hay cịn gọi là số nhận dạng (Identification number) của thiết bị.
Địa chỉ MAC được phân làm 3 loại:
Unicast: đây là loại địa chỉ dùng để đại diện cho một thiết bị duy nhất.
Multicast: đây là loại địa chỉ đại diện cho một nhĩm các thiết bị trong LAN. Địa chỉ được dùng trong trường hợp một ứng dụng cĩ thể muốn trao đổi với một nhĩm các thiết bị. Bằng cách gửi đi một bản tin cĩ địa chỉ multicast; tất cả các thiết bị trong nhĩm đều nhận và xử lí gĩi tin trong khi các thiết bị cịn lại trong mạng sẽ bỏ qua. Giao thức IP cũng hỗ trợ truyền multicast. Khi một gĩi tin IP multicast được truyền qua một LAN, địa chỉ MAC multicast tương ứng với địa chỉ IP sẽ là 0100.5exxx.xxxx.
Broadcast: địa chỉ này đại diện cho tất cả các thiết bị trong cùng một LAN. Điều đĩ cũng cĩ nghĩa là nếu một gĩi tin cĩ địa chỉ MAC là FFFF.FFFF.FFFF được gửi đi thì tất cả các thiết bị trong LAN đều phải thu nhận và xử lí.
4.2.3 Tấn cơng làm tràn bảng CAM
Nguyên lý tấn cơng:
Kiểu tấn cơng làm tràn bảng CAM dựa vào điểm yếu của thiết bị chuyển mạch: bảng CAM chỉ chứa được một số hữu hạn các ánh xạ (ví dụ như switch Catalysh 6000 cĩ thể chứa được tối đa 128000 ánh xạ) và các ánh xạ này khơng phải tồn tại mãi mãi trong bảng CAM [4]. Sau một khoảng thời gian nào đĩ, thường là 300 s; nếu địa chỉ này khơng được dùng trong việc trao đổi thơng tin thì nĩ sẽ bị gỡ bỏ khỏi bảng.Khi bảng CAM được điền đầy, tất cả thơng tin đến sẽ được gửi đến tất cả các cổng của nĩ trừ cổng nĩ nhận được. Lúc này chức năng của switch khơng khác gì chức năng của một hub.
Trong hình dưới, host C của kẻ tấn cơng gửi đi liên tục hàng loạt các bản tin cĩ địa chỉ MAC nguồn là địa chỉ giả mạo (host X và host Y). Switch sẽ cập nhật địa chỉ của các host giả mạo này vào bảng CAM. Kết quả là khi host A gửi tin đến cho host B; địa chỉ của B khơng tồn tại trong bảng nên gĩi tin được switch gửi ra các cổng của nĩ và bản tin A chỉ gửi riêng cho B cũng sẽ được chuyển đến C.