5. Giới thiệu
7.3.3.2 Kiểu tấn công Man-in-the-middle (MITM)
Theo cách tấn công này, kẻ tấn công sẽ dùng bản tin ARP reply giả mạo gửi đến cả hai máy nạn nhân. Ví dụ:
Hình 7.11Sơ đồ tấn công Man-in-the-middle
Giả sử có hai máy A và B cần trao đổi thông tin với nhau. Máy X gửi bản tin ARP reply cho máy A với địa chỉ IP nguồn là địa chỉ của B còn địa chỉ MAC nguồn là địa chỉ của X. Ngược lại, X cũng gửi tới B bản tin giả mạo với địa chỉ IP nguồn là địa chỉ IP của A và địa chỉ MAC nguồn là địa chỉ MAC của X.
Kết quả là khi A và B trao đổi thông tin với nhau, toàn bộ thông tin này sẽ được trung chuyển qua X mà hai host này không hề hay biết. Kẻ tấn công có thể thay đổi hoặc đánh cắp thông tin tuỳ theo ý định tấn công. Tuy nhiên, để thực hiện thành công kiểu tấn công này, trên máy của kẻ tấn công phải sử dụng phần mềm chuyển gói tin thời gian thực: gói tin đến từ A hoặc B phải được gửi đi ngay tức khắc và mọi gói tin đều phải giữ nguyên thông số TTL (time to live).
SVTH: TRẦN THỊ CA- 49THM Page 161
Cách phòng chống
DAI (Dynamic ARP Inspection) là một tính năng được sử dụng để phòng chống ARP spoofing. DAI đặt từng cổng của switch ở trạng thái là không tin cậy (mặc định) hay tin cậy, thực hiện các thông điệp DAI chỉ trên những port không tin cậy. DAI kiểm tra từng thông điệp ARP request hay reply trên những port không tin cậy để quyết định xem thông điệp có phù hợp hay không.Nếu không phù hợp, switch sẽ lọc các thông điệp ARP này. DAI sẽ xác định một thông điệp ARP có hợp lệ hay không bằng cách dùng thuật toán sau:
Nếu một thông điệp ARP Reply liệt kê một địa chỉ nguồn IP mà không phải do DHCP cấp đến một thiết bị trên cổng đó, DAI sẽ lọc gói tin ARP Reply.
DAI dùng thêm các thuật toán tương tự bước 1 nhưng dùng một danh sách của các địa chỉ IP/MAC được cấu hình tĩnh.
Đối với một thông điệp ARP Reply, DAI so sánh địa chỉ nguồn MAC trong Ethernet header với địa chỉ nguồn MAC trong thông điệp ARP. Các giá trị MAC này phải giống nhau trong thông điệp ARP bình thường. Nếu các giá trị này không giống nhau, DAI sẽ lọc gói tin.
Giống như bước 3, nhưng DAI sẽ so sánh địa chỉ MAC đích và địa chỉ MAC liệt kê trong thông thông điệp ARP.
DAI kiểm tra các địa chỉ IP không mong đợi được liệt kê trong thông điệp ARP chẳng hạn như 0.0.0.0, 255.255.255.255, multicasts …
SVTH: TRẦN THỊ CA- 49THM Page 162
Câu lệnh cấu hình DAI:
Câu lệnh Tác dụng
SW(config)#ip arp inspection vlan
vlan_id[,vlan_id]
Kích hoạt tính năng DAI trên một hay nhiều vlan
SW(config-if)#ip arp inspection trust Kích hoạt tính năng DAI trên một cổng giao tiếp và thiết đặt cổng đó là một cổng đáng tin cậy (trusted interface)
SW(config-if)#ip arp inspection validate {[src-mac] [dst-mac] [ip]}
Cấu hình DAI sẽ loại bỏ gói tin khi mà địa chỉ IP không tồn tại
SVTH: TRẦN THỊ CA- 49THM Page 163
KẾT LUẬN
Sau một thời gian nghiên cứu, đồ án của em đã giải quyết được một số vấn đề sau:
- Tìm hiểu chung về mạng campus: chỉ ra mạng campus cũ và mạng campus mới, mô hình và các kỹ thuật chuyển mạch trong mạng campus. - Tìm hiểu cách triển khai VLAN (virtual local area network) và STP (
spanning-tree Protocol) trong mạng campus: cách tạo, cấu hình và lợi ích của các giao thức sử dụng trong mạng.
- Tìm hiểu Inter-VLAN và multilayer swicth: sử dụng và cấu hình định tuyến của giao thức trong mạng.
- Tìm hiểu thêm những tính năng nâng cao: HSRP, VRRP, GLBP, mục đích và cách cấu hình sử dụng giao thức trong mạng.
- Triển khai một số ứng dụng thực tế: mô tả cuộc gọi thoại ( IP telephone), và ứng dụng trong Wireless LAN.
- Tìm hiểu và cấu hình bảo mật trong mạng doanh nghiệp.
Tuy nhiên, do sự hạn chế về kiến thức và thời gian nên đồ án của em vẫn còn nhiều thiếu sót: việc triển khai được bảo mật trên mạng chưa đầy đủ và chưa chỉ rõ được các ứng dụng thực tế sử dụng mạng chuyển mạch đa lớp. Trong thời gian tới em sẽ tiếp tục hoàn thiện đề tài hơn để áp dụng vào thực tế.
Qua đây em cũng xin cảm ơn sự gúp đỡ tận tình của của các thầy cô trong bộ môn mạng truyền thông, các thầy cô trong khoa công nghệ thông tin đặc biệt là thầy Phạm Văn Nam – thầy hướng dẫn thực tập em trong suốt ba tháng qua đã tận tình giúp đỡ và tạo điều kiện cho em và các bạn hoàn thành được đồ án này. Em xin chân thành cảm ơn!
Nha Trang ngày 10 tháng 6 năm 2011
3. http://cabrillo.edu/~rgraziani/courses/cis187.html
4. http://cisco.com
5. Building Cisco Mutilayer Switched Networks 5.0 LAB 6. Và những thông tin trên internet.