An toan mang Document

1. ARP Spoof:
4. Giới hạn và điểm yếu của kiểu tấn công ARP Spoof:
 Chỉ có những máy nằm trong cùng đường mạng với máy Attacker mới bị tấn
công. Các máy nằm khác mạng sẽ không thể bị tấn công bằng hình thức này vì
 Trong cùng một đường mạng LAN, các máy sẽ thực hiện trao đổi dữ liệu với
nhau dựa vào địa chỉ MAC . HostA muốn trao đổi dữ liệu với HostB. HostA sẽ dò
tìm trong bảng ARP cache xem IP của HostB sẽ có địa chỉ MAC tương ứng là gì.
HostA đóng gói dữ liệu cần truyền với MAC nguồn là MAC HostA, MAC đích là
MAC HostB. Sau đó HostA sẽ truyền dữ liệu tới HostB dựa vào MAC đích của
gói tin
 Trong trường hợp HostA, HostB khác đường mạng muốn liên lạc với nhau, ta
phải dựa vào địa chỉ IP để truyền dữ liệu và phải thông qua một thiết bị định
tuyến, đó là router. HostA sẽ đóng gói dữ liệu cần truyền với MAC nguồn là
HostA, MAC đích là router. Gói tin đó sẽ được truyền đến router, router sẽ dựa
vào địa chỉ IP đích (IP HostB)và dò tìm trong bảng định tuyến nhằm xác định con
đường đi đến HostB. Router có khả năng ngăn chặn các gói tin broadcast
 Hình thức tấn công này không thể thực hiện được trong mạng WAN, trên
Internet mà chỉ thực hiện được trên cùng mạng LAN
5. Cách phát hiện và phòng chống:
Dùng lệnh:
 ipconfig /all xem MAC của mình
 arp -a xem bảng ARP trên máy mình, kiểm tra MAC của B có phải đúng
là MAC B hay không.
 arp -d * xóa toàn bộ ARP table trên máy mình, như vậy các địa chỉ MAC
bị tấn công cũng mất, và máy tính sẽ bắt đầu học lại. Nhưng nếu máy tấn
công vẫn tiếp tục bơm các gói tin ARP đầu độc thì việc xóa ARP table này
cũng vô ích
 arp -s gắn cố định IP đích vào MAC thật của nó, như vậy kẻ tấn công
không đầu độc được IP này nữa. Nhưng việc này không khả thi cho mạng
lớn, nhiều máy tính, và có sự thay đổi IP (ví dụ dùng DHCP).
Dùng phần mềm :

2.  Chúng ta có thể cài đặt phần mềm Anti ARP để tránh việc nhận ARP
Reply giả mạo
Dùng thiết bị:
 Dynamic ARP Inspection : Switch sẽ dựa vào bảng DHCP Snooping
Binding để kiểm tra gói tin ARP Reply được gửi ra xem có hợp lệ hay
không, nếu không hợp lệ sẽ DROP ngay

3. STP attacks
Khi bật STP thì các switch gởi tất cả các gói BPDU(là đơn vị thông tin, là loại
gói tin được sử dụng trong giao thức STP) ra các cổng của nó.
BPDU: Bridge ID (8 byte) trong đó priority (độ ưu tiên) (2 byte) và MAC (6
byte).
Đầu tiên mỗi con switch đều tự xem nó là root switch. Sau khi trao đổi thông
tin thì switch nào có Bridge ID nhỏ nhất sẽ được bầu làm root switch. Giá trị
bridge ID nhỏ nhất được tính như sau:
-So sánh switch nào có priority nhỏ nhất ngay lập tức sẽ đc làm root switch.
-Nếu như các switch có priority bằng nhau thì mới sử dụng địa chỉ MAC để so
sánh. switch nào có địa chỉ MAC nhỏ nhất sẽ đc bầu làm root switch.
Lưu ý:
+ Priority (2 byte) có giá trị từ 0-65535 và mặc định là 32768.
+ Địa chỉ MAC được so sánh nhỏ nhất tính từ trái qua phải.
Sau khi bầu chọn root switch xong thì chỉ có switch này gửi gói BPDU(2s/lần)
ra toàn mạng. các switch còn lại chỉ forward
-Giải thích tại sao các giải pháp trên có thể hạn chế được
tấn công STP:
BPDU Guard: Các cổng có BPDU Gaurd được cài đặt sẽ
không cho phép các host phía sau nó gửi BPDU -> Tính năng BPDUGuard
được khuyến cáo sử dụng ở cổng có tính năng portfast. Tính năng portfast

4. cho phép cổng của switch có thể vào trạng thái Forwarding ngay lập tức khi
link kết nối với cổng đó up lên. Tính năng portfast được sử dụng khi kết nối
với PC tại access-layer. Portfast được bật lên chỉ khi ta chắc chắn rằng trên
cổng đó không thể xảy ra lặp vòng. Ta bật portfast lên không có nghĩa là đã
tắt STP trên cổng đó. Nếu có một switch mới bị cắm nhầm vào cổng có tính
năng portfast thì loop có thể xảy ra vì portfast cho phép chuyển cổng sang
trạng thái forwarding ngay lập tức. Trong khi đó để phát hiện ra vòng lặp thì
phải trải qua một khoảng thời gian và các trạng thái khác nhau thì cổng mới
đưa vào sử dụng bình thường được. BPDUGuard sẽ cấm không cho switch
lạ trao đổi BPDU với mạng. Khi switch nhận được BPDU trên portfast với tính
năng BPDUGuard thì cổng sẽ bị đưa vào trạng thái errdisable. Muốn sử dụng
lại cổng này thì phải cho phép cổng một cách thủ công hoặc đợi khoảng thời gian
errdisable hết hạn.
Root Guard: Các cổng có cấu hình Root Guard không thể
trở thành Root Ports -> Vị trí của RootSwitch trong STP topology rất quan
trọng. Nó quyết định đường đi của các switch nhánh dưới lên Rootswitch là
có tối ưu hay không. Do đặc điểm bầu chọn Root là dựa vào các BPDUs nên
khi có một switch mới được thêm vào trong sơ đồ mạng STP thì sơ đồ mạng
STP lúc này thay đổi. Các switch cần phải tính toán và bầu chọn lại
RootSwitch cũng như đường đi mới đến RootSwitch. Trong BPDUs có chứa
BridgeID, trong BridgeID lại chứa độ ưu tiên của switch. Switch nào có priority
nhỏ nhất sẽ trở thành Root switch. Tuy nhiên, nếu có một switch lạ đã được
cấu hình với priority thấp hơn cả priority của RootSwitch hiện tại, switch này
gắn vào mạng và sẽ trở thành RootSwitch.
Tính năng Root guard ra đời cho phép admin luôn giữ được vị trí Root switch
theo ý đã chọn mà không sợ bị bất kì một switch lạ nào gắn thêm vào làm
thay đổi STP topology. Với tính năng này, nếu có một switch lạ quảng bá một
Superior BPDU cho root switch, Rootswitch sẽ không cho phép switch lạ này
trở thành New Root Switch. Nó sẽ đưa cổng nhận superior BPDU trước đó
trở về trạng thái Root-inconsistent. Data sẽ không được gửi nhận ở trạng thái
này. Khi superior BPDUs không còn nhận được trên cổng này, cổng này sẽ
trải qua các trạng thái của STP để đưa về sử dụng bình thường.
Ta chỉ cấu hình root guard trên Root switch hoặc các switch nào mà ta không
muốn nhận BPD
Nếu áp đặt tính năng RootGuard lên cổng thì cho dù Switch mới có Bridge ID
ưu tiên hơn (về trị số sẽ là thấp hơn) thì vẫn không ảnh hưởng gì đến mạng.
Tính năng này rất mạnh, nó cấm hoàn toàn Switch lạ vào mạng không thực
hiện được telnet, ping …Khi kiểm tra láng giềng trên Switch mới này, bạn sẽ
không thấy được Switch trong mạng.

5. Tại sao Switch A chấp nhận tagged frame từ attacker trên một port
(ví dụ port 1 trên hình) không nối trunk ở vị trí đầu tiên?
Kẻ tấn công sẽ gắn thêm một tag VLAN 2 vào trong frame Ethernet gửi đến
switch 1. Swich1 nhận thấy frame này thuộc VLAN 1 nên nó loại bỏ tag VLAN
1 và gửi frame lên đường trunk mà KHÔNG gắn tag cho frame này bởi vì
frame này thuộc native VLAN. Như vậy nghiễm nhiên frame này bây giờ thuộc
VLAN 2. Khi switch 2 nhận được frame VLAN 2, nó sẽ forward đến server
nằm ở VLAN 2. Như vậy kẻ tấn công đã truy cập được vào server nằm ở
VLAN 2 mặc dù máy của hắn ở VLAN 1.
Tại sao Switch A không bổ sung tag vào frame khi gửi ra trunk?
- Native VLAN là một VLAN có các port được cấu hình trunk (mặc định
là VLAN1).
- Tất cả các frame thuộc VLAN khi đi qua đường trunk sẽ được gắn thẻ
“tag” giao thức IEEE 802.1Q và ISL, ngoại trừ các đối tuợng thuộc
VLAN 1.
- Những frame thuộc Native VLAN sẽ không cần gắn “tag” khi đi trên
đường trunk.
- Như vậy, theo mặc định các đối tuợng của VLAN 1 khi đi qua đường

6. trunk sẽ không được gắn thẻ. VLAN1