Tweet
Chặn Tấn Công ARP Spoofing và DHCP Spoofing trên Mạng Cisco – Phòng Tuyến Lớp 2 Không Thể Thiếu Cho Kỹ Sư An Ninh Mạng
❗ Bối cảnh mối đe dọa
Trên các mạng LAN doanh nghiệp sử dụng switch lớp 2, có hai kỹ thuật tấn công cực kỳ phổ biến nhưng nguy hiểm mà hacker nội bộ hoặc kẻ xâm nhập mạng có thể khai thác:
Tất cả đều xảy ra trong im lặng, không cần xâm nhập từ xa – chỉ cần truy cập vật lý hoặc logic vào mạng LAN.
🛡️ Giải pháp: DHCP Snooping + Dynamic ARP Inspection (DAI)
Cisco cung cấp 2 tính năng cực kỳ hiệu quả để bảo vệ lớp truy cập:
✅ DHCP Snooping – Lọc DHCP ở lớp 2
Ví dụ thực tế:
✅ Dynamic ARP Inspection (DAI) – Phòng chống ARP Spoofing
Ví dụ thực tế:
🔒 Mô hình triển khai thực tế
⚙️ Một số lệnh cấu hình cơ bản
! Bật DHCP Snooping và DAI trên VLAN 10
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# ip arp inspection vlan 10 ! Cấu hình cổng access là untrusted
Switch(config-if)# interface fa0/10
Switch(config-if)# switchport mode access
Switch(config-if)# ip dhcp snooping limit rate 10
Switch(config-if)# ip dhcp snooping trust ! nếu là cổng đi đến server
Switch(config-if)# no ip dhcp snooping trust ! nếu là cổng người dùng
Switch(config-if)# no ip arp inspection trust ! cổng người dùng ! Cấu hình cổng trunk là trusted
Switch(config-if)# interface gig0/1
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip arp inspection trust
🧠 Ghi nhớ dành cho kỹ sư mạng
📌 CHỐT LẠI
Sự phối hợp giữa DHCP Snooping và Dynamic ARP Inspection là tuyến phòng thủ đầu tiên – và cực kỳ cần thiết – cho bất kỳ hệ thống mạng nội bộ nào. Nếu không bật, bạn đang để cửa ngỏ cho các tấn công nội bộ đơn giản nhưng phá hoại khôn lường.
Kỹ sư mạng hiện đại phải hiểu rõ các cơ chế bảo mật Layer 2 này, không chỉ để thi CCNA/CCNP mà còn để sống sót trong thực chiến!
❗ Bối cảnh mối đe dọa
Trên các mạng LAN doanh nghiệp sử dụng switch lớp 2, có hai kỹ thuật tấn công cực kỳ phổ biến nhưng nguy hiểm mà hacker nội bộ hoặc kẻ xâm nhập mạng có thể khai thác:
- DHCP Spoofing Attack – Kẻ tấn công giả mạo làm máy chủ DHCP nhằm phát IP sai lệch cho client, từ đó chèn default gateway giả, DNS giả, mở đường cho Man-in-the-Middle (MitM) hoặc DoS.
- ARP Spoofing (ARP Poisoning) – Kẻ tấn công gửi các bản tin ARP giả mạo, lừa các thiết bị trong mạng tin rằng địa chỉ MAC của hắn chính là gateway (hoặc một host cụ thể), từ đó chặn hoặc chỉnh sửa lưu lượng dữ liệu.
Tất cả đều xảy ra trong im lặng, không cần xâm nhập từ xa – chỉ cần truy cập vật lý hoặc logic vào mạng LAN.
🛡️ Giải pháp: DHCP Snooping + Dynamic ARP Inspection (DAI)
Cisco cung cấp 2 tính năng cực kỳ hiệu quả để bảo vệ lớp truy cập:
✅ DHCP Snooping – Lọc DHCP ở lớp 2
- Mục tiêu: Chặn DHCP server giả mạo và ghi lại các thiết bị được cấp phát IP một cách hợp lệ.
- Nguyên lý hoạt động:
- Gắn nhãn cổng trusted hoặc untrusted:
- Chỉ cổng trusted (nơi DHCP server hợp lệ kết nối) được phép trả lời DHCP Offer/Ack.
- Các cổng untrusted (thường là cổng access của người dùng) chỉ được gửi DHCP request – nếu thiết bị gửi DHCP Offer từ cổng untrusted → bị switch drop.
- Tạo DHCP Binding Table: Tự động ghi lại MAC–IP–VLAN–Port của thiết bị đã cấp phát IP thành công, làm cơ sở xác minh sau này.
- Gắn nhãn cổng trusted hoặc untrusted:
Ví dụ thực tế:
- Giả sử PC A kết nối vào cổng FastEthernet0/10 → switch đánh dấu cổng này là untrusted.
- Khi PC A gửi DHCP request, switch sẽ học binding MAC/IP.
- Nếu một attacker cắm thiết bị khác vào cổng này và cố gắng trả lời DHCP Offer → switch chặn ngay tại lớp 2.
✅ Dynamic ARP Inspection (DAI) – Phòng chống ARP Spoofing
- Mục tiêu: Chặn các bản tin ARP giả mạo từ kẻ tấn công.
- Nguyên lý hoạt động:
- DAI dựa vào DHCP Binding Table để xác minh ARP reply:
- Nếu một thiết bị gửi bản tin ARP cho rằng MAC A sở hữu IP B, nhưng thông tin này không khớp với bảng DHCP binding, bản tin đó sẽ bị drop.
- Chỉ các bản tin ARP hợp lệ mới được chuyển tiếp.
- DAI dựa vào DHCP Binding Table để xác minh ARP reply:
Ví dụ thực tế:
- Hacker gửi ARP reply nói rằng “Tôi (MAC FA:KE:12:34:56:78) là IP 192.168.1.1” (default gateway).
- Switch so sánh với DHCP binding:
- IP 192.168.1.1 không được gán cho MAC đó → block bản tin ARP.
🔒 Mô hình triển khai thực tế
- Các cổng access (đi đến người dùng):
- Gắn nhãn DHCP Snooping: untrusted
- Bật Port Security giới hạn số MAC → chặn DHCP Starvation
- Bật DAI để xác minh ARP
- Các cổng trunk hoặc uplink (đi đến router/DHCP server):
- Gắn nhãn DHCP Snooping: trusted
- Gắn nhãn DAI: trusted
⚙️ Một số lệnh cấu hình cơ bản
! Bật DHCP Snooping và DAI trên VLAN 10
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# ip arp inspection vlan 10 ! Cấu hình cổng access là untrusted
Switch(config-if)# interface fa0/10
Switch(config-if)# switchport mode access
Switch(config-if)# ip dhcp snooping limit rate 10
Switch(config-if)# ip dhcp snooping trust ! nếu là cổng đi đến server
Switch(config-if)# no ip dhcp snooping trust ! nếu là cổng người dùng
Switch(config-if)# no ip arp inspection trust ! cổng người dùng ! Cấu hình cổng trunk là trusted
Switch(config-if)# interface gig0/1
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip arp inspection trust
🧠 Ghi nhớ dành cho kỹ sư mạng
- Luôn luôn bật DHCP Snooping trước khi bật ARP Inspection, vì DAI phụ thuộc vào bảng DHCP binding.
- Nếu bạn có địa chỉ IP được cấu hình tĩnh, hãy dùng ARP ACLs để DAI vẫn có thể hoạt động mà không drop.
- DHCP Snooping không chỉ chống DHCP spoof mà còn chống được DHCP starvation – một kỹ thuật khiến server cạn IP pool.
📌 CHỐT LẠI
Sự phối hợp giữa DHCP Snooping và Dynamic ARP Inspection là tuyến phòng thủ đầu tiên – và cực kỳ cần thiết – cho bất kỳ hệ thống mạng nội bộ nào. Nếu không bật, bạn đang để cửa ngỏ cho các tấn công nội bộ đơn giản nhưng phá hoại khôn lường.
Kỹ sư mạng hiện đại phải hiểu rõ các cơ chế bảo mật Layer 2 này, không chỉ để thi CCNA/CCNP mà còn để sống sót trong thực chiến!
Attached Files