Tweet
Dynamic ARP Inspection
Giao thức ARP (Address Resolution Protocol) – giao thức phân giải từ địa chỉ IP sang MAC, được client dùng để tìm địa chỉ MAC khi đã biết địa chỉ IP.
Hình
: Dynamic ARP Inspection
Trong hình 36, A muốn tìm địa chỉ MAC của C sẽ làm như sau:
A gởi ARP request để tìm địa chỉ MAC của C có IP 10.1.1.1
C trả lời ARP reply với địa chỉ MAC tương ứng là C.C.C.C
Và như vây A biết được rằng địa chỉ MAC của C là C.C.C.C
Tuy nhiên nếu B là kẻ tấn công thì quá trình sẽ như sau:
A gởi ARP request tìm địa chỉ MAC của C có IP 10.1.1.1
C trả lời ARP reply với địa chỉ MAC tương ứng là C.C.C.C
B liên tục gởi ARP reply đến A với nội dung: IP 10.1.1.1 có địa chỉ MAC là B.B.B.B
A tin địa chỉ IP 10.1.1.1 (địa chỉ IP của C) có MAC là B.B.B.B (địa chỉ MAC của B)
Như vậy gói tin gởi từ A đến C sẽ được đóng gói ở lớp 2 với địa chỉ MAC đích (destination MAC) là B.B.B.B lúc này B sẽ nhận được, ăn cắp thông tin và tiếp tục gởi đến cho C
Chiều gói tin đi từ C đến A cũng tương tự như vậy, đi qua B
A và C không hề hay biết là B đang nghe lén nội dung nói chuyện giữa A và C
Cisco Catalyst Switch cung cấp tính năng Dynamic ARP Inspection (DAI) để ngăn chặn trường hợp này. Cũng giống với DHCP Snooping, DAI khi được cấu hình sẽ phân chia thành 2 loại port: untrusted và trusted. Nếu là port trusted DAI không kiểm tra ARP reply vào port này, nếu là port untrusted DAI sẽ dùng cơ sở dữ liệu của DHCP Snooping kiểm tra ARP reply nhận được từ port có hợp lệ không, hợp lệ ở đây nghĩa là địa chỉ IP và MAC trong ARP reply có trùng với IP và MAC có trong cơ sở dữ liệu của DHCP Snooping không, nếu có ARP reply được phép đi qua, nếu không ARP reply sẽ bị đánh rớt khi đi vào port này.
Trong ví dụ trên nếu có cấu hình DAI trên Switch, ARP reply từ B
10.1.1.1 -> B.B.B.B
10.1.1.2 -> B.B.B.B
Sẽ bị đánh rớt vì địa chỉ IP của B là 10.1.1.3 và MAC của B là B.B.B.B
Giao thức ARP (Address Resolution Protocol) – giao thức phân giải từ địa chỉ IP sang MAC, được client dùng để tìm địa chỉ MAC khi đã biết địa chỉ IP.
Hình
Trong hình 36, A muốn tìm địa chỉ MAC của C sẽ làm như sau:
A gởi ARP request để tìm địa chỉ MAC của C có IP 10.1.1.1
C trả lời ARP reply với địa chỉ MAC tương ứng là C.C.C.C
Và như vây A biết được rằng địa chỉ MAC của C là C.C.C.C
Tuy nhiên nếu B là kẻ tấn công thì quá trình sẽ như sau:
A gởi ARP request tìm địa chỉ MAC của C có IP 10.1.1.1
C trả lời ARP reply với địa chỉ MAC tương ứng là C.C.C.C
B liên tục gởi ARP reply đến A với nội dung: IP 10.1.1.1 có địa chỉ MAC là B.B.B.B
A tin địa chỉ IP 10.1.1.1 (địa chỉ IP của C) có MAC là B.B.B.B (địa chỉ MAC của B)
Như vậy gói tin gởi từ A đến C sẽ được đóng gói ở lớp 2 với địa chỉ MAC đích (destination MAC) là B.B.B.B lúc này B sẽ nhận được, ăn cắp thông tin và tiếp tục gởi đến cho C
Chiều gói tin đi từ C đến A cũng tương tự như vậy, đi qua B
A và C không hề hay biết là B đang nghe lén nội dung nói chuyện giữa A và C
Cisco Catalyst Switch cung cấp tính năng Dynamic ARP Inspection (DAI) để ngăn chặn trường hợp này. Cũng giống với DHCP Snooping, DAI khi được cấu hình sẽ phân chia thành 2 loại port: untrusted và trusted. Nếu là port trusted DAI không kiểm tra ARP reply vào port này, nếu là port untrusted DAI sẽ dùng cơ sở dữ liệu của DHCP Snooping kiểm tra ARP reply nhận được từ port có hợp lệ không, hợp lệ ở đây nghĩa là địa chỉ IP và MAC trong ARP reply có trùng với IP và MAC có trong cơ sở dữ liệu của DHCP Snooping không, nếu có ARP reply được phép đi qua, nếu không ARP reply sẽ bị đánh rớt khi đi vào port này.
Trong ví dụ trên nếu có cấu hình DAI trên Switch, ARP reply từ B
10.1.1.1 -> B.B.B.B
10.1.1.2 -> B.B.B.B
Sẽ bị đánh rớt vì địa chỉ IP của B là 10.1.1.3 và MAC của B là B.B.B.B