Các giao thức ở lớp liên kết dữ liệu của mạng WAN mô tả về cách thức mà cácgói dữ liệu được vận chuyển giữa các hệ thống trên một đường truyền dữ liệu.. Điều này đơn giản có nghĩa là mạn
Trang 1MỤC LỤC
Lời mở đầu 3
CHƯƠNG I: CƠ SỞ LÝ THUYẾT 8
1.1 Tổng quan về mạng diện rộng (Wide Area Network ) 8
1.1.1 Giới thiệu về WAN 8
1.1.2 Giới thiệu về router trong mạng WAN 10
1.1.3 Router LAN và WAN 12
1.1.4 Vai trò của router trong mạng WAN 14
1.1.5 Các công nghệ trong WAN 16
1.2 Mô hình OSI (Open System Interconnect) 17
1.2.1 các giao thức trong mô hình OSI 17
1.2.2Các chức năng chủ yếu của các tầng trong mô hình OSI 18
1.3 Kiến trúc địa chỉ IP và địa chỉ MAC 19
1.3.1 kiến trúc địa chỉ IP 19
1.3.2 Địa chỉ MAC 22
1.3.2.1 Địa chỉ MAC 22
1.3.2.2 Chức năng chuyển mạch của switch 23
1.4 Một số kiểu tấn công cơ bản 26
1.4.1 Phương thức tấn công 26
1.4.2 Cách phòng chống 28
1.4.3 Giới thiệu chung về giao thức ARP 29
1.4.4 Quá trình gửi bản tin ARP 30
1.4.5 Quá trình nhận bản tin ARP 31
1.4.6 Các đặc điểm của giao thức ARP 32
1.4.7 Các phương thức tấn công 33
1.4.8 Giả mạo ARP (ARP spoofing) 33
1.4.9 Cách phòng chống 34
Chương II: TẤN CÔNG VLAN 35
Trang 22.1 Giới thiệu chung về VLAN 35
2.2 Đóng gói VLAN 36
2.3 Quá trình xử lí bản tin đóng gói VLAN 38
2.3.1 Xử lí gói tin đầu vào 38
2.3.2 Quá trình lọc bản tin 39
2.3.3 Quá trình gửi bản tin 41
2.4 Giao thức trunking động DTP (Dynamic Trunking Protocol) 42
2.5 Giao thức VTP (VLAN Trunking Protocol) 42
2.5.1 Chế độ VTP (VTP mode) 43
2.5.2 Bản tin VTP 43
2.6 Các kiểu tấn công trong VLAN và cách phòng chống 47
2.6.1 Giả mạo DTP 47
2.6.2 Đóng gói giả mạo VLAN 48
Chương III: CHƯƠNG TRÌNH MÔ PHỎNG VLAN 50
3.1 Chương trình giả mạo địa chỉ MAC 50
3.2 Tấn công đóng gói giả mạo VLAN 52
3.2.1 Tấn công đóng gói giả mạo VLAN: 52
3.2.2 Tấn công giả mạo VTP 57
3.2.3 Nhận xét 62
Kết luận63 Hướng phát triển của đề tài 64
Tài liệu tham khảo 65
Trang 3Lời mở đầu
Trong thời đại công nghệ thông tin toàn cầu ngày nay, an ninh mạng là mộttrong những vấn đề nổi cộm và được nhiều người nói đến Khi nói đến an ninhmạng người ta thường nói đến các kiểu tấn công, các phương pháp đột nhập; lấytrộm thông tin… Để đảm bảo mạng của mình có thể chống lại các cuộc tấn côngtrên, các công ty thường sử dụng các công cụ như bức tường lửa hay sử dụng các
hệ thống phát hiện xâm nhập IDS…
Tuy nhiên các nhà quản trị mạng lại quên mất một điều rằng các nguy cơtấn công không chỉ đến từ các mạng bên ngoài mà còn tiềm ẩn ngay trong mạngnội bộ của công ty mình Các cuộc tấn công này có thể diễn ra dễ dàng và nguyhiểm hơn một phần chính là do sự chủ quan của các nhà quản trị mạng Bởi vì nếunhư các công cụ kể trên làm việc rất tốt với lớp trên của mô hình OSI (từ lớp 3 trởlên) thì lại hoàn toàn không có tác dụng gì với các gói tin lớp 2
Như ta đã biết, mô hình OSI là một mô hình tham chiếu bao gồm 7 lớp cócác chức năng độc lập với nhau và chỉ tương tác qua lại lẫn nhau tại phần giaodiện của hai lớp Điều này cho phép các lớp có thể phát triển mở rộng một cách rấtlinh động mà không làm ảnh hưởng đến các lớp khác cũng như không làm ảnhhưởng đến giao diện chuẩn của nó với các lớp khác
Tuy nhiên điều này cũng đem lại một điểm hạn chế lớn: nếu như một lớp bịtấn công thì việc liên lạc trao đổi thông tin sẽ bị làm tổn hại mà các lớp khác lạikhông hề biết gì
Trang 4Như trong sơ đồ trên, an toàn của cả hệ thống sẽ tương đương với mức độ
an toàn của kết nối yếu nhất trong đó Lớp 2 cũng dễ bị ảnh hưởng của các cuộctấn công như các lớp khác, tuy nhiên khả năng bị tấn công của lớp này có thể caohơn gấp bội nếu như người quản trị hệ thống không coi trọng việc đảm bảo antoàn cho lớp này
Có lẽ là tính độc lập Sự độc lập của lớp này cho phép nó có khả nǎng liêntác (interoperability) và khả nǎng kết nối (interconnectivity) rất mạnh Tuy nhiên,xét về phương diện an ninh, điều này lại tạo ra những thách thức không nhỏ do"bị"thoả hiệp ngay lập tức Hệ thống an ninh của mạng chỉ mạnh khi lớp 2, tuyếnphòng về yếu nhất này, cũng phải đủ mạnh
Đặc điểm nào của lớp 2 (lớp Liên kết dữ liệu) là đáng chú ý nhất Có lẽ làtính độc lập Sự độc lập của lớp này cho phép nó có khả nǎng liên tác(interoperability) và khả nǎng kết nối (interconnectivity) rất mạnh Tuy nhiên, xét
về phương diện an ninh, điều này lại tạo ra những thách thức không nhỏ do"bị"thoả hiệp ngay lập tức Hệ thống an ninh của mạng chỉ mạnh khi lớp 2, tuyếnphòng về yếu nhất này, cũng phải đủ mạnh
Ai quan tâm đến lớp 2?
Trang 5Thông thường, các hoạt động của mạng thường theo một lịch trình Một bộ phận
sẽ thực hiện các tác vụ về vận hành mạng - các nhân viên quản trị mạng (networkadministrator) và một bộ phận thực hiện các tác vụ về an ninh mạng - các nhânviên an ninh mạng (security administrator) Tuy nhiên, các hoạt động này thườngkết thúc ở các lớp trên lớp 2
Các nhân viên quản trị mạng thường sử dụng các mạng LAN ảo (VirtualLAN) Rất nhiều tuyến kết nối của VLAN đều vào/ra trên cùng một thiết bịchuyển mạch (LAN switch) Khi các nhân viên an ninh mạng yêu cầu có một phânđoạn mạng mới, các nhân viên quản trị mạng sẽ tạo ra một mạng VLAN và cungcấp cho bộ phận an ninh một vùng địa chỉ Bên an ninh không biết là họ đang sửdụng VLAN và họ cũng không quan tâm bên vận hành mạng làm gì với switch
Bộ phận an ninh mạng thậm chí còn thường xuyên không quan tâm đến lớp 2 mà
họ chỉ tập trung vào lớp 3 và các lớp cao hơn
Sự khác biệt về quan điểm còn thể hiện ở chính các thiết bị trên mạng CácFirewall thường được thiết lập với cấu hình bảo mật cao nhất khi chúng lần đầuđược cài đặt Theo mặc định, cho đến khi chúng được điều chỉnh thì chúng khôngcho phép trao đổi thông tin Các thiết bị chuyển mạch và các thiết bị định tuyến lạihoàn toàn trái ngược Chúng được thiết kế theo xu hướng "khuyến khích truyềnthông" Khi thực hiện chức nǎng của mình - mở các kết nối - chúng có thể tạo racác lỗ hổng bảo mật kế thừa vì thế các switch và router thường tích hợp sẵn cáctính nǎng bảo mật bên trong Tuy nhiên, những tính nǎng và khả nǎng này củachúng không được kích hoạt trừ khi các nhân viên quản trị mạng bật các tính nǎng
đó lên Thông thường thì các tính nǎng này không được sử dụng, hoặc được sửdụng không đúng cách
Một cuộc khảo sát an ninh và tội phạm máy tính nǎm 2002 do Viện nghiêncứu an ninh máy tính và Cục điều tra liên bang Mỹ tiến hành cho thấy sự gia tǎngđáng kể các kiểu tấn công trên mạng (http://gocsi.com) Nǎm 1996, phần lớn các
vụ tấn công đến từ các hệ thống bên trong Phần còn lại đến từ khu vực dial-up vàquét cổng Internet Đến cuối nǎm 2002, số lượng và chủng loại các vụ tấn công đã
Trang 6thay đổi Hơn 70% các vụ tấn công được thực hiện theo kiểu quét cổng từ bênngoài và 30% xuất phát từ hệ thống bên trong Tuy nhiên, số lượng các vụ tấncông từ bên trong vẫn còn rất lớn và thiệt hại mà kiểu tấn công này gây ra còn lớnhơn rất nhiều so với các vụ tấn công từ bên ngoài.
Theo các cuộc thăm dò mới đây cho thấy có rất nhiều người quản trị đãkhông quan tâm đến vấn đề an ninh này Với các câu hỏi như :
Bạn đang sử dụng biện pháp an ninh nào ở lớp 2?
Bạn có thường xuyên sử dụng mạng LAN ảo (VLAN) không?
Bạn có bao giờ đặt các mức an ninh khác nhau lên cùng một switch
sử dụng VLAN không?
Quá trình cấp phát địa chỉ cho từng phân đoạn mạng là gì?
Thì hầu hết các câu trả lời với hầu hết các nhà quản trị mạng là:
Có các vấn đề về an ninh xảy ra với lớp 2 à?
Tôi sử dụng mạng LAN ảo thường xuyên
Nếu một người làm công tác bảo mật yêu cầu tôi cấp cho anh ta mộtphân đoạn mạng mới, tôi sẽ tạo một VLAN và gán địa chỉ cho anhta
Câu trả lời với hầu hết các nhà an ninh mạng là:
Tôi chỉ quản lí các vấn đề về an ninh từ lớp 3 trở lên
Tôi chẳng có ý kiến gì nếu chúng tôi đang sử dụng VLAN
Tại sao tôi lại phải quan tâm đến những việc mà một ai đó đang làmvới một mạng chuyển mạch
Tôi yêu cầu người quản trị mạng một phân đoạn mạng và họ cấp chotôi port và địa chỉ
Vấn đề đặt ra ở đây là ta phải nắm được các kiểu tấn công mà một hacker
có thể tiến hành nhằm làm tổn hại đến hệ thống đồng thời phải đưa ra các cáchphòng ngừa hiệu quả nhất làm giảm thiểu hậu quả mà các cuộc tấn công gây ra Trong đề tài này, em xin được đề cập đến các kiểu tấn công chủ yếu vào lớp 2 baogồm Ba chương chính:
Trang 7Chương I: Cơ sở lý thuyết
+ Tổng quan về WAN+ Mô hình OSI, bộ giao thức TCP/IP+ Khái niệm về địa chỉ IP và địa chỉ MAC+ Giới thiệu về các kiểu tấn công
Chương II: Kiểu tấn công của VLAN
Chương III: Chương trình mô phỏng VLAN
Các chương bao gồm phần lí thuyết chung về các giao thức, điểm yếu củacác giao thức mà kẻ tấn công có thể lợi dụng, các kiểu tấn công cũng như cácphương pháp phòng chống
Em xin bày tỏ lòng cảm ơn sâu sắc tới Ban chủ nhiệm khoa, các thầy côgiáo đã tận tình giảng dậy, trang bị cho chúng em những vốn kiến thức, và kinhnghiệm quý báu, cung cấp cho chúng em những điều kiện và môi trường học tập
tốt nhất Để hoàn thành được đề tài này em xin cảm ơn chân thành tới Thầy Lê Tuấn Anh Thầy đã tận tình hướng dẫn và chỉ bảo để em có thể hoàn thành đề tài
một cách tốt nhất
Thái Nguyên 10/03/2011
Trang 8CHƯƠNG I: CƠ SỞ LÝ THUYẾT
1.1 Tổng quan về mạng diện rộng (Wide Area Network )
1.1.1 Giới thiệu về WAN
WAN là mạng truyền dữ liệu qua những vùng địa lý rất rộng lớn như cácbang, tỉnh, quốc gia… Các phương tiện truyền dữ liệu trên WAN được cung cấpbởi các nhà cung cấp dịch vụ, ví dụ như các công ty điện thoại
Mạng WAN có một số đặc điểm sau:
- WAN dùng để kết nối các thiết bị ở cách xa nhau bởi những vùng địa lýlớn
- Wan sử dụng dịch vụ của các công ty cung cấp dịch vụ, ví dụ như:Regional Bell Operating Companies (RBOCs), Sprint, MCI, VPM internetservies, Inc, Altantes.net…
- WAN sử dụng nhiều loại liên kết nối tiếp khác nhau
- WAN có một số điểm khác với LAN Ví dụ như: LAN được sử dụng để kếtnối các máy tính đơn lẻ, các thiết bị ngoại vi, các thiết bị đầu cuối và nhiềuthiết bị khác trong cùng một toà nhà hay trong một phạm vi địa lý nhỏ.Trong khi đó WAN được sử dụng để kết nối các mạng qua những vùng địa
lý lớn Các công ty thường sử dụng WAN để kết nối các chi nhánh củamình, nhờ đó mà thông tin được trao đổi dễ dàng giữa các trung tâm
Mạng WAN hoạt động chủ yếu ở lớp vật lý và lớp liên kết dữ liệu của mô hìnhOSI WAN kết nối các mạng LAN lại với nhau Do đó, WAN có thực hiện chuyểnđổi các gói dữ liệu giữa router, switch và các mạng LAN mà nó kết nối
Sau đây là các thiết bị được sử dụng trong WAN:
- Router: cung cấp nhiều dịch vụ khác nhau, bao gồm Internet và các giaotiếp WAN
Trang 9- Loại switch được sử dụng trong WAN cung cấp kết nối cho hoạt độngthông tin liên lạc bằng thoại, video và dữ liệu.
- Modem: bao gồm: giao tiếp với dịch vụ truyền thoại; CSU/DSU (Channelservice units/Digital service units) để giao tiếp với dịch vụ T1/E1; TA/NT1( Terminal Adapters/ Network Termination 1) để giao tiếp với dịch vụISDN ( Integrated Services Digital Network)
- Server thông tin liên lạc: tập trung xử lý cuộc gọi của người dùng
Các giao thức ở lớp liên kết dữ liệu của mạng WAN mô tả về cách thức mà cácgói dữ liệu được vận chuyển giữa các hệ thống trên một đường truyền dữ liệu Cácgiao thức này được thiết kế cho các dịch vụ chuyển mạch điểm-đến-điểm, đađiểm, đa truy cập, ví dụ như: FrameRelay
Các tiêu chuẩn của mạng WAN được định nghĩa và quản lý bởi các tổ chức quốc
- Tổ chức quốc tế về tiêu chuẩn – ISO ( International Organization forStandardization)
- Tổ chức đặc trách về kỹ thuật Internet – IETF ( Internet Engineering TákForce)
Hình 1.1: Các thiết bị WAN
Trang 10Liên hiệp công nghiệp điện tử - EIA ( Electronic Industries Association).
1.1.2 Giới thiệu về router trong mạng WAN
Router là một loại máy tính đặc biệt Nó cũng có các thành phần cơ bảngiống như máy tính: CPU, bộ nhớ, system bus và các cổng giao tiếp Tuy nhiênrouter được thiết kế là để thực hiện một số chức năng đặc biệt Ví dụ: router kếtnối hai hệ thống mạng với nhau và cho phép hai hệ thống này có thể liên lạc vớinhau, ngoài ra router còn thực hiện việc chọn lựa đường đi tốt nhất cho dữ liệu.Cũng giống như máy tính cần phải có hệ điều hành để chạy các chương trình ứngdụng thì router cũng cần phải có hệ điều hành để chạy các tập tin cấu hình Tập tincấu hình chứa các câu lệnh và các thông số để điều khiển luồng dữ liệu ra/ vào trênrouter Đặc biệt là router còn sử dụng các giao thức định tuyến để quyết định chọnđường đi tốt nhất cho các gói dữ liệu Do đó, tập tin cấu hình cũng chứa các thôngtin để cài đặt và chạy các giao thức định tuyến trên router
Các thành phần chính bên trong router bao gồm: bộ nhớ RAM, NVRAM, bộ nhớflash, ROM và các cổng giao tiếp
RAM, hay còn gọi là RAM động ( DRAM – Dynamic RAM) có các đặc điểm vàchức năng như sau:
Lưu bảng định tuyến
- Lưu bảng ARP
- Có vùng bộ nhớ chuyển mạch nhanh
Hình 1.2
Trang 11- Cung cấp vùng nhớ đệm cho các gói dữ liệu.
- Duy trì hàng đợi cho các gói dữ liệu
- Cung cấp bộ nhớ tạm thời cho tập tin cấu hình của router khi router danghoạt động
- Thông tin trên RAM sẽ bị xoá mất khi router khởi động lại hoặc bị tắt điện.Đặc điểm và chức năng của NVRAM:
- Lưu giữ tập tin cấu hình khởi động của router
- Nội dung của NVRAM vẫn được lưu giữ khi router khởi động lại hoặc bịtắt điện
Đặc điểm và chức năng của bộ nhớ Flash:
- Lưu hệ điều hành IOS
- Có thể cập nhật phần mềm lưu trong Flash mà không cần thay đổi chip trên
bộ xử lý
- Nội dung của Flash vẫn được lưu giữ khi router khởi động lại hoặc khi tắtđiện
- Ta có thể lưu nhiều phiên bản khác nhau của phần mềm IOS trong Flash
- Flash là loại ROM xoá và lập trình được (EPROM)
Đặc điểm và chức năng của ROM:
- Lưu giữ các câu lệnh của chương trình tự kiểm tra khi khởi động – POST( Power-on Self Test)
- Lưu chương trình bootstrap và hệ điều hành cơ bản
- Bạn phải thay thế chip trên mainboard nếu bạn muốn nâng cấp phần mềmtrong ROM
Đặc điểm và chức năng của các cổng giao tiếp:
- Kết nối router vào hệ thống mạng để nhận và chuyển gói dữ liệu
- Các cổng có thể gắn trực tiếp trên mainboard hoặc là dưới dạng card rời
Trang 121.1.3 Router LAN và WAN
Router vừa được sử dụng để phân đoạn mạng LAN vừa là thiết bị chính trongmạng WAN Do đó, trên router có cả cổng giao tiếp LAN và WAN Thực chất làcác kỹ thuật WAN được sử dụng để kết nối các router, router này giao tiếp vớirouter khác qua đường liên kết WAN Router là thiết bị xương sống của mạngIntranet lớn và mạng Internet Router hoạt động ở lớp 3 và thực hiện chuyển gói
dữ liệu dựa trên địa chỉ mạng Router có hai chức năng chính là: chọn đường đi tốtnhất và chuyển mạch gói dữ liệu Để thực hiện hai chức năng này, mỗi router phảixây dựng một bảng định tuyến và thực hiện trao đổi thông tin định tuyến với nhau
Hình.1.3.a: Các phân đoạn mạng LAN và với router
Trang 13Người quản trị mạng có thể duy trì bảng định tuyến bằng cách cấu hình định tuyếntĩnh, nhưng thông thường thì bảng định tuyến được lưu giữ động nhờ các giao thứcđịnh tuyến thực hiện trao đổi thông tin mạng giữa các router.
Hình 1.3b: Kết nối router bằng các công nghệ WAN
Hình 1.3c
Trang 14Ví dụ: Nếu máy tính X muốn thông tin liên lạc với máy tính Y ở một châu lụckhác và với máy tính Z ở một vị trí khác nữa trên thế giới, khi đó cần phải có địnhtuyến để có thể truyền dữ liệu và đồng thời cũng cần phải có các đường dự phòng,thay thế để đảm bảo độ tin cậy Rất nhiều thiết kế mạng và công nghệ được đưa ra
để cho các máy tính như X, Y, Z có thể thông tin liên lạc với nhau
Một hệ thống mạng được cấu hình đúng phải có các đặc điểm sau:
Có hệ thống địa chỉ nhất quán từ đầu cuối đến đầu cuối
Cấu trúc địa chỉ phải thể hiện được cấu trúc mạng
Chọn được đường đi tốt nhất
Định tuyến động và tĩnh
Thực hiện chuyển mạch
1.1.4 Vai trò của router trong mạng WAN
Mạng WAN hoạt động chủ yếu ở lớp vật lý liên kết dữ liệu
Điều này không có nghĩa là năm lớp còn lại của mô hình OSI không có trongmạng WAN Điều này đơn giản có nghĩa là mạng WAN chỉ khác với mạng LAN ởlớp vật lý và liên kết dữ liệu.Hay nói cách khác là các tiêu chuẩn và giao thức sửdụng trong mạng WAN ở lớp 1 và lớp 2 là khác với mạng LAN
Hình 1.4a Vai trò của Router trong WAN
Trang 15Lớp vật lý trong mạng WAN mô tả các giao tiếp thiết bị dữ liệu đầu cuối DTE(Data Terminal Equipment) và thiết bị đầu cuối mạch dữ liệu DCE (Data Circuit –termination Equipment).Thông thường,DCE là thiết bị ở phía nhà cung cấp dịch
vụ và DTE là thiết bị kết nối vào DCE Theo mô hình này thì DCE có thể làmodem hoặc CSU/DSU
Chức năng chủ yếu của Router là định tuyến.Hoạt động định tuyến diễn ra ởlớp ba - lớp mạng trong khi WAN hoạt động ở lớp một và hai Vậy Router là thiết
bị LAN hay WAN? Câu trả lời là cả hai Router có thể là thiết bị LAN vàhoặcWAN hoặc thiết bị trung gian giữa LAN và WAN hoặc có thể là LAN vàWAN cùng một lúc
Một trong những nhiệm vụ của Router trong mạng WAN là định tuyến gói
dữ liệu ở lớp ba, đây cũng là nhiệm vụ của Router trong mạng LAN Tuy nhiên,định tuyến không phải là nhiệm vụ chủ yếu của Router trong mạng WAN KhiRouter sử dụng các chuẩn và giao thức của lớp vật lí và lớp liên kết dữ liệu để kếtnối các mạng WAN thì lúc này nhiệm vụ chính của Router trong mạng WANkhông phải là định tuyến nữa mà là cung cấp kết nối giữa các mạng WAN với cácchuẩn vật lý và liên kết dữ liệu khác nhau
1.4.b Chức năng chủ yếu của Router trong WAN
Trang 161.1.5 Các công nghệ trong WAN
1.1.5.1 Kênh tryền số (dial up)
Modem và đường điện thoại quay số dùng tin hiệu tương tự cung cấp kếtnối chuyển mạch, dung lượng thấp, phù hợp cho nhu cầu truyền dữ liệu tốc độthấp rẻ tiền Điện thoại truyền thống sử dụng cáp đồng kết nối từ máy điện thoạicủa thuê bao đến tổng đài mạng điện thoại chuyển mạch công cộng Tín hiệutruyền đi trên đường truyền này là tín hiệu tương tự biến đổi liên tục để truyềntiếng nói Do đó,đường truyền này không phù hợp với tín hiệu số nhị phân củamáy tính Modem tại đầu phát phải thực hiện điều chế tín nhị phân sang tín hiệutương tự rồi mới đưa tin hiệu sang đường truyền Modem tại đầu thu giải điều chếtín hiệu tương tự thành tín hiệu nhị phân như ban đầu
Đặc điểm vật lý của đường truyền và kết nối PSTN ( Public switchedtelephone network) khiến tốc độ của tin hiệu bị hạn chế Giới hạn trên là khoảng33kb/s Tốc độ này có thể tăng lên khoảng 56kb/s nếu tín hiệu được truyền trựctiếp qua một kết nối số
Đối với những doanh nghiệp nhỏ thì đường truyền này phù hợp vì họ chỉ cần traođổi các thông tin về bảng lương, giá cả, các báo cáo thông thường và email Hơnnữa, họ có thể sử dụng cách quay số tự động vào ban đêm hoặc ngày nghỉ cuốituần để truyền tải dữ liệu có dung lượng lớn và dữ liệu dự phòng, vì trong nhữngkhoảng thời gian này mức giá cước thấp hơn bình thường Tổng chi phí cước phụthuộc vào khoảng cách các điểm kết nối, thời gian thực hiện cuộc gọi
Ưu điểm của modem và đường truyền tương tự là thực hiện đơn giản ở mọi nơi,chi phí thấp
Nhược điểm là tốc đọ thấp, thới gian thực hiện kết nối lâu, có thời gian trễ vànghẽn mạch, việc truyền thoại và video không tốt với tốc độ thấp như vậy
Hình 1.5 Mô hình kết nối dùng một đường điện thoại
Trang 171.2 Mô hình OSI (Open System Interconnect)
Ở thời kỳ đầu của công nghệ nối mạng, việc gửi và nhận dữ liệu ngang qua mạng thường gây nhầm lẫn do các công ty lớn tự đề ra các tiêu chuẩn riêng cho hoạt động kết nối máy tính
Năm 1984, tổ chức tiêu chuẩn hóa quốc tế - OSI (International Standard Ỏganization) chính thức đưa ra mô hình OSI (Open Systems Interconnection) là tập hợp các đặc điểm kỹ thuật mô tả kiến trúc mạng giành cho việc kết nối các thiết bị không cùng chủng loại
Mô hình OSI được chia làm bảy tầng, mỗi tầng bao gồm những hoạt động thiết bị và giao thức mạng khác nhau
Mô hình OSI bảy tầng
1.2.1 các giao thức trong mô hình OSI
Trong mô hình OSI có hai loại giao thức chính được áp dụng: Giao thức có liên kết và giao thức không có liên kết:
- Giao thức có liên kết: trước khi truyền dữ liệu, hai tầng đồng mức cần thiết lập một liên kết logic và các gói tin được trao đổi thông qua liên kết này Việc có liên kết logic sẽ nâng cao độ an toàm trong truyền dữ liệu
- Giao thức không liên kết: Trước khi truyền dữ liệu không thiết lập liên kết logic và mỗi gói tin được truyền độc lập với gói tin hoặc sau nó
Như vậy Với giao thức co liên kết, quá trình truyền thông phải gồm ba giai đoạn phân biệt:
Trang 18- Thiết lập liên kết (logic): Hai thực thể đồng mức ở hai hệ thống thương lượng với nhau về tập các tham só sẽ sử dụng trong giai đoạn sau (truyền
dữ liệu)
- Truyền dữ liệu: Dữ liệu được truyền với các cơ chế kiểm soát và quản lý kèm theo (như kiểm soát lỗi, kiểm soát luồng dữ liệu…) để tăng cường độ tin cậy và hiệu quả của việc truyền dữ liệu
- Hủy bỏ liên kết (logic): Giải phóng tài nguyên hệ thống đã được cấp phát cho liên kết để dùng cho liên kết khác Đối với giao thức không liên kết thì chỉ có duy nhất một giai đoạn truyền dữ liệu mà thôi
1.2.2 Các chức năng chủ yếu của các tầng trong mô hình OSI
* Tầng vật lý (Physical): là tầng cuối cùng của mô hình OSI Nó mô tả các đặc
trưng vật lý của mạng: các loại cáp được dùng để nối các thiết bị, các loại đầu nối được dùng…mặt khác tầng vật lý cung cấp các đặc trưng điện của các tín hiệu, được dùng để khi chuyển dữ liệu trên cáp từ một máy tính này đến một máy tính khác
* Tầng liên kết dữ liệu (datalink): Là tầng mà ở đó ý nghĩa được gán cho các bít
được truyền trên mạng, tầng liên kết dữ liệu phải được quy định được các kích thước, địa chỉ máy gửi và nhận của mỗi gói tin được gửi đi Tầng liên kết dữ liệu
có hai phương thức liên kết dựa trên cách kết nối các máy tính, đó là phương thức
“điểm -điểm” và phương thức “Điểm – nhiều điểm” với phương thức “Điểm- điểm”các đường truyền riêng biệt được thiết lập để nối các cặp máy tính lại với nhau Phương thức điểm- nhiều điểm” tất cả các máy phân chia chung một đường truyền vật lý
* Tầng mạng(networt): nhắm đến việc kết nối các mạng với nhau bằng cách tìm
đường (routing) cho các gói tin từ một mạng này đến một mạng khác Tầng mạng
là quan trọng nhất khi liên kết hai loại mạng khác nhau như mạng Etherrnet với mạng Token Ring Khi đó phải tìm một bộ tìm đường để chuyển các gói tin từ mạng này sang mạng khác và ngược lại
Trang 19* Tầng vận chuyển (Transport): là tầng cung cấp các chức năng cần thiết giữa
tầng mạng và các tầng trên Nó là tầng cao nhất có liên quan đến các giao thức traođổi dữ liệu giữa các hệ thống mở Nó cũng là tầng dưới cung cấp cho người sử dụng các phục vụ vận chuyển
Tầng vận chuyển còn là tầng cơ sở mà ở đó một máy tính của mạng chia sẻ thông tin với một máy khác, thông thường tầng vân chuyển đánh số các gói tin và đảm bảo chúng chuyển theo đúng thứ tự
* Tầng giao dịch (session): Thiết lập “các giao dịch” giữa các trạm trên mạng Ở
một thời điểm chỉ có một người sử dụng có quyền đặc biệt được gọi các dịch vụ nhất định của tầng giao dịch Tầng giao dịch có các hàm cơ bản sau:
- Give Token cho phép người sử dụng chuyển một token cho một người
sử dụng khác của một liên kết giao dịch
- Please Token cho phép người sử dụng chưa có token có thể yêu cầu token đó
- Give control dùng để chuyển tất các token từ một người sử dụng sang một người sử dụng khác
* Tầng thể hiện (Presentation): Tầng thể hiện chịu trách nhiệm chuyển đổi dữ
liệu gửi đi trên mạng từ một loại biểu diễn nay sang một loại biểu diễn khác Tầng này cũng có thể được dùng kĩ thuật mã hóa để xáo trộn các dữ liệu trước khi truyền đi và giải mã ở đầu đến để bảo mật Ngoài ra tầng thể hiện cũng có thể dùng các kỹ thuật nén sao cho chỉ cần một ít byte dữ liệu để thể hiện thông tin khi
nó được truyền ở trên mạng
* Tầng ứng Dụng (Application): Là tầng cao nhất của mô hình OSI Nó xác định
giao diện giữa người sử dụng và môi trường OSI và giải quyết các kỹ thuật mà cácchương trình ứng dụng dùng để giao tiếp với mạng
1.3 Kiến trúc địa chỉ IP và địa chỉ MAC
1.3.1 kiến trúc địa chỉ IP
Giao thức liên mạng IP là một trong những giao thức quan trọng nhất của
bộ giao thức TCP/IP Mục đích của giao thức liên mạng IP là cung cấp khả năng
Trang 20kết nối các mạng con thành liên mạng để truyền dữ liệu IP là giao thức cung cấp dịch vụ phân phát datagram theo kiểu không liên kết và thông tin tin cậy, nghĩa là không cần có giai đoạn thiết lập liên kết trước khi truyền dữ liệu, không đảm bảo rằng datagram sẽ tới đích và không duy trì bất cứ thông tin nào về những datagram
Lớp A (0) cho phép định danh tới 126 mạng với tối đa 16 triệu trạm trên mỗi mạng Lớp này thường được dùng cho các mạng có số trạm cực lớn và rất khóđược cấp
Lớp B (10) cho phép định danh tới 16384 mạng với tối đa 65534 trạm trên mỗi mạng lớp địa chỉ này phù hợp với nhiều yêu cầ nên được cấp phát nhiều nên hiện nay đã trở nên khan hiếm
Lớp C (110) cho phép định danh tới hai triệu mạng với tối đa 254 trạm trên mỗi mạng lớp này được dùng cho các, mạng có ít trạm
Lớp D (1110) dùng để gửi gói tin IP đến một nhóm các trạm trên mạngLớp E (11110) dùng để dự phòng
Dưới đây là bảng các địa chỉ Internet:
Trang 21* Địa chỉ mạng con: Đối với địa chỉ lớp A,B số trạm trong một mạng là quá lớn
và trong thực tế thường không có một số lượng trạm lớn như vậy kết nối vào một mạng đơn lẻ Địa chỉ mạng con cho phép chỉ một mạng lớn thành các mạng con nhỏ hơn Người quản trị mạng có thể dùng một số bít đầu tiên của từng số hostid trong địa chỉ IP để đặt địa chỉ mạng con Chẳng hạn đối với một địa chỉ thuộc lớp
A, việc chia địa chỉ mạng có thể được thực hiện như sau:
Việc chia địa chỉ mạng con là hoàn toàn trong suất đối với các router nằm bên ngoài mạng, nhưng nó là không trong suất đối với các router nằm bên trong mạng
*Mặt nạ địa chỉ mạng con: Bên cạnh địa chỉ IP, một trạm cũng cần được biết
việc định dạng địa chỉ mạng con: bao nhiêu bít trong trường hostid được dùng cho phần địa chỉ mạng con Thông tin này được chỉ ra trong trong mặt lạ địa chỉ mạng con (subnet mask) Subnet mask cũng là một số 32 bit với các bít tương ứng với phần netid và subnetid được đặt bằng 1 còn các bít còn lại được đặt băng 0
Như vậy địa chỉ thực của một trạm sẽ là hợp của địa chỉ IP và subnet mask
Ví dụ như địa chỉ lớp C: 203.162.7.92, trong đó:
203.162.7 : địa chỉ mạng
92: địa chỉ Ip của mạng
* Phân mảnh và hợp nhất các gói IP
Phân mảnh dữ liêu là một trong những chức năng quan trọng của giao thức
IP Khi tầng IP nhận được IP datagram để gửi đi, IP sẽ so sánh kích thước của
Trang 22datagram để gửi đi, IP sẽ so sánh kích thước của datagram với kích thước cực đại cho phép MTU (Maximum Transfer Unit) vì tầng dữ liệu qui định kích thước lớn nhất của frame có thể truyền tải được, và sẽ phân mảnh nếu lớn hơn Một IP datagram bị phân mảnh sẽ được ghép lại bởi tầng IP của trạm nhận với các thông tin từ phần header như indentification,flag và fragment offset Tuy nhiên nếu một phần của datagram bị mất trên đường truyền thì toàn bộ datagram phải được truyền lại.
1.3.2 Địa chỉ MAC
Phần này, em xin trình bày qua về địa chỉ MAC; chức năng chuyển mạch của một switch (lấy switch của Cisco làm ví dụ) dựa vào bảng CAM (Content Address Memory) và việc lợi dụng bảng CAM để tấn công switch
1.3.2.1 Địa chỉ MAC
Địa chỉ MAC (Media Access Control) : là kiểu địa chỉ vật lí, đặc trưng chomột thiết bị hoặc một nhóm các thiết bị trong mạng LAN Địa chỉ này được dùng
để nhận diện các thiết bị giúp cho các gói tin lớp 2 có thể đến đúng đích
Một địa chỉ MAC bao gồm 6 byte và thường được viết dưới dạng hexa, với cácthiết bị của Cisco, địa chỉ này được viết dưới dạng 4 số hecxa ,ví dụ:0000.0C12.FFFF là một địa chỉ MAC hợp lệ Để đảm bảo địa chỉ MAC của mộtthiết bị là duy nhất, các nhà sản xuất cần phải ghi địa chỉ đó lên ROM của thiết bịphần cứng và định danh của nhà sản xuất sẽ được xác định bởi 3 byte đầu OUI(Organizationally Unique Identifier)
Địa chỉ MAC được phân làm 3 loại
Unicast: đây là loại địa chỉ dùng để đại diện cho một thiết bị duy nhất.
Multicast: đây là loại địa chỉ đại diện cho một nhóm các thiết bị trong
mạng LAN Địa chỉ được dùng trong trường hợp một ứng dụng có thểmuốn trao đổi với một nhóm các thiết bị Bằng cách gửi đi một bản tin cóđịa chỉ multicast; tất cả các thiết bị trong nhóm đều nhận và xử lí gói tintrong khi các thiết bị còn lại trong mạng sẽ bỏ qua Giao thức IP cũng hỗtrợ truyền multicast Khi một gói tin IP multicast được truyền qua một
Trang 23mạng LAN, địa chỉ MAC multicast tương ứng với địa chỉ IP sẽ là0100.5exxx.xxxx
Broadcast: địa chỉ này đại diện cho tất cả các thiết bị trong cùng một mạng
LAN Điều đó cũng có nghĩa là nếu một gói tin có địa chỉ MAC làFFFF.FFFF.FFFF được gửi đi thì tất cả các thiết bị trong mạng LAN đềuphải thu nhận và xử lí
1.3.2.2 Chức năng chuyển mạch của switch
Việc đưa thiết bị chuyển mạch vào một mạng LAN có nhiều mục đíchnhưng mục đích quan trong nhất là để chia một mạng LAN ra thành nhiều vùngkhác nhau nhằm giảm thiểu việc xung đột gói tin khi có quá nhiều thiết bị đượcnối vào cùng một môi trường truyền dẫn Các vùng được phân chia này được gọi
là các collision domain.Chức năng chính của switch là vận chuyển các frame lớp 2qua lại giữa các collision domain này Các collision domain này còn được gọi làcác đoạn mạng LAN (LAN segment)
Để có thể vận chuyển chính xác được gói tin đến đích, switch cần phải cómột sơ đồ ánh xạ giữa địa chỉ MAC của các thiết bị vật lí gắn tương ứng với cổngnào của nó Sơ đồ này được lưu lại trong switch và được gọi là bảng CAM(Content Address Memory)
Quá trình vận chuyển gói tin qua switch có thể được mô tả như sau:
Nếu địa chỉ MAC nguồn của gói tin chưa có trong bảng CAM; switch sẽcập nhật với cổng tương ứng Nếu địa chỉ MAC nguồn đã tồn tại trong bảngnhưng với một cổng khác, switch sẽ báo lỗi “MAC flapping” và huỷ gói tin
Nếu địa chỉ đích của gói tin là địa chỉ multicast hoặc địa chỉ broadcast hoặc
là địa chỉ unicast nhưng ánh xạ của địa chỉ này không tồn tại trong bảngCAM trước đó thì gói tin sẽ được gửi ra tất cả các cổng của switch trừ cổng
mà nó nhận được gói tin
Nếu địa chỉ đích của gói tin là địa chỉ unicast và ánh xạ của địa chỉ tồn tạitrong bảng CAM đồng thời cổng mà nó nhận được gói tin khác với cổng
Trang 24mà gói tin cần được chuyển đi thì nó sẽ gửi gói tin đến chính xác cổng cótrong bảng CAM.
Các trường hợp còn lại, gói tin sẽ bị huỷ
Ví dụ:
Hình 1.6: Chức năng chuyển mạch của switchTrong ví dụ trên, khi host A gửi bản tin đến host B Do switch chưa có địachỉ MAC của B trong bảng CAM của mình nên switch sẽ gửi broadcast ra mọicổng còn lại đồng thời sẽ lưu lại địa chỉ MAC của A vào bảng CAM Sau khi host
B nhận được bản tin từ A; B gửi lại tin cho A Khi đó, switch đã có địa chỉ của Anên sẽ gửi unicast tới port 1 đồng thời cập nhật địa chỉ MAC của B vào bảngCAM
Các thao tác đối với bảng CAM của một switch [1]:
Để xem nội dung bảng CAM của switch, dùng lệnh:
Trang 25Switch# show mac address-table dynamic [address mac-address interface type mod/num |vlan vlan-id]
Lệnh này sẽ liệt kê tất cả các địa chỉ MAC mà switch học được Nếu muốn cụ thể
hơn, có thể tìm được vị trí của host đã gắn vào switch bằng cách chỉ
ra địa chỉ của nó hoặc có thể tìm được những địa chỉ MAC đã được học từ mộtgiao diện nào đó
Ví dụ: Host có địa chỉ MAC 0050.8b11.54da đã được gắn vào cổng
Fastethernet 0/1 của switch:
Hình 1.2: Nội dung bảng CAM của switch.
Xem kích thước bảng CAM của switch, dùng lệnh:
Switch# show mac address-table count
Xoá các ánh xạ trong bảng CAM, dùng lệnh:
Switch# clear adress-table dynamic [address mac-address | interface type mod/num |vlan vlan-id]
Trang 261.4 Một số kiểu tấn công cơ bản
a, Kiểu tấn công làm tràn bảng CAM (MAC flooding)
1.4.1 Phương thức tấn công
Kiểu tấn công làm tràn bảng CAM dựa vào điểm yếu của thiết bị chuyểnmạch: bảng CAM chỉ chứa được một số hữu hạn các ánh xạ (ví dụ như switchCatalysh 6000 có thể chứa được tối đa 128000 ánh xạ) và các ánh xạ này khôngphải tồn tại mãi mãi trong bảng CAM [4] Sau một khoảng thời gian nào đó,thường là 300 s; nếu địa chỉ này không được dùng trong việc trao đổi thông tin thì
nó sẽ bị gỡ bỏ khỏi bảng
Khi bảng CAM được điền đầy, tất cả thông tin đến sẽ được gửi đến tất cả các cổngcủa nó trừ cổng nó nhận được Lúc này chức năng của switch không khác gì chứcnăng của một hub
Trang 281.4.2 Cách phòng chống
Nguyên lí chung của các phương pháp phòng chống là không để các gói tin
có địa chỉ MAC lạ đi qua switch Phương pháp phòng chống hiệu quả nhất là cấu
hình port security trên switch [1] Đây là một đặc trưng cấu hình cho phép điều
khiển việc truy cập vào cổng switch thông qua địa chỉ MAC của thiết bị gắn vào.Khi switch nhận được một gói tin chuyển đến, nó sẽ kiểm tra địa chỉ MAC nguồncủa gói tin với danh sách các địa chỉ đã được cấu hình trước đó Nếu hai địa chỉnày khác nhau thì tuỳ theo sự cấu hình của người quản trị mà switch sẽ xử lí góitin đến với các mức độ khác nhau
Các lệnh cấu hình port security:
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security: cho phép cổng được hoạt
động trong chế độ port-security
Switch(config-if)# switchport port-security maximum value (tuỳ chọn):
câu lệnh cho phép cấu hình số địa chỉ MAC tối đa mà cổng có thể học tựđộng và cho phép các thiết bị này truyền dữ liệu qua Mặc định thì cổng chỉcho phép một địa chỉ MAC (một thiết bị) được gán vào và số địa chỉ có thểnằm trong khoảng từ 1 đến 1024
Switch(config-if)# switchport port-security mac-address mac_address
(tuỳ chọn) : bên cạnh cách cấu hình cho phép switch học tự động địa chỉMAC, có thể gán tĩnh một số địa chỉ MAC có thể truy cập vào một port.Nếu số lượng địa chỉ gán tĩnh mà nhỏ hơn số địa chỉ MAC switch có thểhọc tự động thì số địa chỉ MAC còn lại sẽ được học tự động
Switch(config-if)# switchport port-security violation {protect | restrict | shutdown} (tuỳ chọn) : Đây là các biện pháp mà người quản trị có thể tiến
hành khi một gói tin đến không phù hợp với yêu cầu của port-security (khi
có nhiều hơn số địa chỉ MAC tối đa được học hoặc khi gói tin đến có địa
Trang 29chỉ MAC khác so với các địa chỉ MAC đã được cấu hình tĩnh) Các biệnpháp xử lí có thể là :
1 shutdown: cổng sẽ bị ngừng hoạt động; không nhận và chuyển gói
tin
2 restrict: cổng chỉ cho phép các gói tin có địa chỉ MAC hợp lệ đi
qua; các gói tin vi phạm sẽ bị huỷ Đồng thời số lượng các bản tin viphạm sẽ được thống kê và báo cho người quản trị biết
3 protect: cũng giống như trong trường hợp restrict, tuy nhiên việc vi
phạm sẽ không được ghi lại
Phương pháp này tuy có yêu cầu công việc của người quản trị tăng lên đôi chút tuy nhiên
nó là phương pháp rất hiệu quả để khoá các gói tin không rõ nguồn gốc có ý định tấncông vào switch
b, Tấn công ARP
Phần này sẽ giới thiệu qua giao thức ARP; việc lợi dụng điểm yếu của giaothức là ARP luôn xử lí các gói tin phúc đáp cho dù không có yêu cầu để tấn côngtheo kiểu giả mạo đồng thời đề ra một số cách phòng chống
1.4.3 Giới thiệu chung về giao thức ARP
ARP (Address Resolution Protocol) [15]: Đây là giao thức dùng để chuyển đổigiữa địa chỉ lớp 3 thành địa chỉ vật lí lớp 2 Sở dĩ cần phải có giao thức chuyển đổinhư vậy là do có nhiều giao thức lớp 3 như IP; IPX,… mỗi giao thức lại có quiước về địa chỉ logic riêng Khi được đóng gói vào một frame tại lớp thì tất cả cácđịa chỉ này cần phải được qui đổi thành một kiểu địa chỉ thống nhất (địa chỉ MAC)nhằm giúp cho mọi thiết bị có thể trao đổi với các thiết bị khác khi chúng nằmtrong cùng một môi trường truyền dẫn vật lí
Mặc dù ARP là giao thức lớp 3, tuy nhiên nó lại được coi là giao thức IP cấp thấpbởi vì gói tin ARP không được đóng gói với header của các giao thức lớp 3 màđược đóng gói bởi frame lớp 2 ARP không chỉ được sử dụng trong mạng LANethernet mà còn có thể sử dụng cho các mạng LAN dạng token ring hoặc FDDI
Trang 30Tuy nhiên do việc sử dụng mạng LAN ethernet ngày nay là quá phổ biến nêntrong báo cáo này, em chỉ đề cập tới ARP chạy trong mạng LAN ethernet
Cấu trúc một bản tin ARP bao gồm các trường:
Opcode: cho biết bản tin ARP là yêu cầu (=1) hoặc phúc đáp (=2)
HW addr length: độ dài của địa chỉ vật lí
Protocol addr length: độ dài của địa chỉ logic
4 trường còn lại là địa chỉ vật lí và địa chỉ logic nguồn và đích
1.4.4 Quá trình gửi bản tin ARP
Khi một gói tin được gửi từ lớp mạng xuống, module Address Resolution ởlớp dưới cần phải chuyển đổi <kiểu protocol, kiểu địa chỉ logic đích> thành địa chỉvật lí 48 bit
Khi đó module này sẽ kiểm tra trong bảng ánh xạ của nó gọi là ARP cache
để tìm xem có một cặp ánh xạ giữa địa chỉ logic đích với một địa chỉ vật lí nào đóhay không
Nếu tìm được một ánh xạ như vậy, module sẽ trả về địa chỉ vật lí và địa chỉnày sẽ được dùng để chuyển đến đúng đích Nếu không có ánh xạ như vậy, nó sẽgửi đi bản tin ARP có địa chỉ vật lí đích là địa chỉ broadcast và Opcode=1 Bản tinnày sẽ được gửi đến tất cả các thiết bị có trong mạng
Trang 31Ví dụ: một máy có địa chỉ IP là 192.168.1.1 muốn gửi đi bản tin ARP để tìm địachỉ vật lí của máy có địa chỉ IP 192.168.1.2 thì bản tin ARP request sẽ có cấu trúc:
1.4.5 Quá trình nhận bản tin ARP
Khi một host trên mạng nhận được bản tin yêu cầu ARP, nó sẽ xử lí như sau:
Kiểm tra xem có cùng HW type, Protocol type không Nếu có, nó sẽ kiểmtra xem <protocol type, kiểu địa chỉ logic người gửi> có tồn tại trong bảngARP cache của nó hay không Nếu có thì cập nhật lại địa chỉ MAC tươngứng nếu thấy có thay đổi và đặt cờ Merge-flag = true
Kiểm tra xem địa chỉ logic của nó có trùng với địa chỉ logic đích mà gói tingửi đến hay không Nếu có và cờ Merge là false, nó sẽ cập nhật <protocoltype, kiểu địa chỉ logic và vật lí của người gửi> vào bảng ARP cache củamình Nếu không, gói tin ARP request sẽ bị hủy
Kiểm tra opcode: nếu opcode là request thì gửi lại bản tin ARP theo dạngunicast thông báo cho máy yêu cầu biết được địa chỉ MAC của mình
Thiết bị yêu cầu, sau khi nhận được bản tin ARP reply, sẽ cập nhật lại bảngARP cache của mình và chuyển frame đến đích theo địa chỉ MAC nhậnđược Trong trường hợp không có một bản tin reply nào đến có nghĩa làthiết bị mà nó muốn trao đổi không nằm cùng mạng LAN với nó, nếu trongmạng có cấu hình proxy ARP (thiết bị dùng để trả lời các ARP request) thìproxy ARP này sẽ có nhiệm vụ gửi bản tin ARP phúc đáp với địa chỉ MACcủa nó như thể là phúc đáp của máy đích Khi đó gói tin lớp 2 sẽ được đónggói với địa chỉ MAC là địa chỉ MAC của proxy ARP và mọi thông tin sẽ
Trang 32được gửi đến proxy ARP này Nếu không tồn tại proxy ARP trong mạng;gói tin sẽ bị huỷ và thông báo lỗi lên lớp trên.
1.4.6 Các đặc điểm của giao thức ARP
Mỗi ánh xạ IP-MAC trong ARP cache đều chỉ tồn tại trong một khoảngthời gian cố định (trừ các ánh xạ đã được đặt tĩnh) Việc đề ra khoảng thời giannày là cần thiết khi một host nào đó:
1 Di dời khỏi mạng hoặc kết nối của host vào mạng bị hỏng
2 Địa chỉ logic của host được gán lại cho một địa chỉ vật lí mớiKhi đóbảng ARP cache của host có thể bị xoá trắng, tuy nhiên ánh xạ địa chỉMAC-địa chỉ logic của nó vẫn còn tồn tại trong các bảng ARP cachecủa các máy khác Điều này có thể dẫn đến trường hợp gói tin vẫntruyền đi được nhưng không đến được đích
Biện pháp khắc phục trong trường hợp thứ nhất có thể là:
Khi thiết lập kết nối bị hỏng, module Address Resolution cần phải đượcthông báo để loại bỏ ánh xạ ra khỏi bảng ARP cache của nó hoặc đặt mộtkhoảng thời gian timeout cho mỗi kết nối giữa hai máy Mỗi khi một máynhận được bất kì một gói tin nào đó từ máy kia, nó sẽ gia hạn thời giantimout cho ánh xạ và sau khoảng thời gian timeout mà nó vẫn không nhậnđược bản tin nào từ máy kia, ánh xạ giữa địa chỉ MAC-địa chỉ logic củamáy kia sẽ bị loại bỏ khỏi bảng ARP cache của nó
Sử dụng một module xử lí thời gian timeout Sau một khoảng thời gian nào
đó, module này sẽ thực hiện việc loại bỏ ánh xạ ra khỏi bảng ARP cache.Tuy nhiên, trước khi tiến hành việc loại bỏ, module sẽ gửi đi một bản tinARP request đến host cần phải loại bỏ Nếu sau một khoảng thời gian rấtngắn mà nó không nhận được bản tin ARP reply từ host đó, nó sẽ tiến hànhloại bỏ ánh xạ ra khỏi bảng
Biện pháp khắc phục trong trường hợp thứ hai: khi nhận được một bản tin ARP,host sẽ kiểm tra xem địa chỉ vật lí nguồn đã tồn tại trong bảng ARP cache của nóchưa, nếu đã tồn tại rồi thì nó sẽ ghi đè địa chỉ mới này lên
