Dynamic ARP Inspection

Như mọi người đều biết để thực hiện quá trình gửi package từ một điểm A tới điểm B luôn cần phải sử dụng đến sự hỗ trợ của ARP trong việc thu thập MAC của node kế tiếp mà gói tin sẽ đến. Để thực hiện Arp thì PC gởi broadcast ARP Request mà chứa địa chỉ IP của PC cần tìm địac chỉ MAC. Nếu có bất kỳ PC nào trong mạng dùng địa chỉ IP đó, nó sẽ trả lời địa chỉ MAC tương ứng. Tuy nhiên một ARP Reply có thể được tạo ra mà không nhất thiết cần ARP Request hay còn gọi là (gratuituos ARP), để cho những PC khác trong mạng có thể cập nhật bảng ARP khi có sự thay đổu xảy ra. Lợi dụng điều này kẻ tân cống thực hiện gởi gratuituos ARP với thông tin giả, nó sẽ thay thể địa chỉ MAC của nó với địa chỉ của IP gateway thay vì địa chỉ MAC của gateway, điều này sẽ buộc máy nạn nhân thay đổi lại bảng ARP với thông tin sai lệch, đây là dạng tấn công “ARP spoofing” có tên là man-in-the-middle, gói dữ liệu sẽ đến gateway giả trước khi được chuyến tiếp đến đích.

clip_image001

DAI (Dynamic ARP Inspection) đặt từng cổng của switch ở trạng thái là  không tin cậy (mặc định) hay tin cậy, thực hiện các thông điệp DAI chỉ trên những port không tin cậy. DAI kiểm tra từng thông điệp ARP requesthay reply trên những port không tin cậy để quyết định xem thông điệp có phù hợp hay không.Nếu không phù hợp, switch sẽ lọc các thông điệp ARP này. DAI sẽ xác định một thông điệp ARP có hợp lệ hay không bằng cách dùng thuật toán sau:

  1. Nếu một thông điệp ARP Reply liệt kê một địa chỉ nguồn IP mà không phải do DHCP cấpđến một thiết bị trên cổng đó, DAI sẽ lọc gói tin ARP Reply.
  2. DAI dùng thêm các thuật toán tương tự bước 1 nhưng dùng một danh sách của các địa chỉ IP/MAC được cấu hình tĩnh.
  3. Đối với một thông điệp ARP Reply, DAI so sánh địa chỉ nguồn MAC trong Ethernet header với địa chỉ nguồn MAC trong thông điệp ARP. Các giá trị MAC này phải giống nhau trongthông điệp ARP bình thường. NẾu các giá trị này không giống nhau, DAI sẽ lọc gói tin.
  4. Giống như bước 3, nhưng DAI sẽ so sánh địa chỉ MAC đích và địa chỉ MAC liệt kê trongthông thông điệp ARP.

DAI kiểm tra các địa chỉ IP không mong đợi được liệt kê trong thông điệp ARP chẳng hạnnhư 0.0.0.0, 255.255.255.255, multicasts v.v.v

Tham khảo thêm thông tin về DAI: như thông số mặc định, các trường hợp cấu hình có hay không có DHCP…

1. Cấu hình

Trạng thái bảng ARP trên PC2

clip_image002

Thực hiện ARP spoofingvới ứng dụng Switchsnarf trên PC1
Xác định cổng mà gói ARP giả mạo sẽ được gởi

clip_image003

Chọn Scan Network để tìm PC trên mạng
Chọn PC mà có phần DescriptionSniffable, chọn Start Spoofing

clip_image004

Thực hiện Telnet từ PC2

clip_image005

Bảng ARP trên PC2 bị thay đổi

clip_image006

Dùng Wireshark để thực hiện phân tích nội dung gói

clip_image007

Gói Telnet gởi đến PC1 trước khi đến Router

clip_image008

Trong trường hợp nếu DHCP Snooping đã được cấu hình trước đó, bạn chỉ cần xác định VLAN sử dụng tính năng DAI

SW(config)#ip arp inspection vlan 1

Xác định cổng tin cậy (tất cả các cổng còn lại là không tin cậy)

SW(config)#interface fa0/24

SW(config-if)#ip arp inspection trust

2. Kiểm tra
Chạy lại ứng dụng Switchsnarf trên PC1, thông tin log cho biết gói ARP Reply không hợp lệ bị loại bỏ

00:54:51: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, vlan 1.([001b.fc36.ecdd/192.168.1.3/0007.0e9a.0dc0/192.168.1.1/00:54:51 UTC Mon Mar 1 1993])
00:54:51: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, vlan 1.([001b.fc36.ecdd/192.168.1.1/001b.fc36.ece4/192.168.1.3/00:54:51 UTC Mon Mar 1 1993])
Trong trường hợp nếu như PC2 khai báo địa chỉ tĩnh, Switch sẽ không có thông tin để kiểm tra, bạn có thể xây dựng thông tin tĩnh để kiểm tra sự giả mạo

SW(config)#arp access-list ARPINSPECT
SW(config-arp-nacl)#permit ip host 192.168.1.3 mac host 001B.FC36.ECE4

SW(config)#ip arp inspection filter ARPINSPECT vlan 1

clip_image009

Mặc định DAI chỉ kiểm sự vi phạm dựa vào nội dung của gói ARP, mà không kiểm tra giá trị của header của gói ARP. Thực hiện câu lệnh sau khi cần kiểm tra thêm giá trị header của gói ARP

SW(config)#ip arp inspection validate ?
dst-mac Validate destination MAC address
ip Validate IP addresses
src-mac Validate source MAC address

clip_image010

· Src-mac: Kiểm tra đại chỉ MAC nguồn trong header Ethernet với địa chỉ MAC của nguời gởi trong gói ARP Reply

· Det-mac: Kiểm tra địa chỉ MAC đích trong Ethernet header với địa chỉ MAC đích trong gói ARP Reply

· IP: Kiểm tra địa chỉ IP của người gởi trong tất cả các gói ARP Request, kiểm tra địa chỉ IP của thiết bị gởi với địa chỉ IP đích trong tất cả gói ARP Reply

Tổng hợp từ VnPro + internet

Posted on 16/02/2011, in Cisco, Security and tagged , , , , . Bookmark the permalink. 1 Phản hồi.

  1. mình lỡ thay đổi arp ,bi giờ honk biết làm sao để trở về mặc định ,lúc trước mình phát wifi ,mọi người đều bắt được và lên mạng được, nhưng bây giờ thì mọi người bắt được nhưng không lên mạng được ,mình ko biết tại sao ,mình ping tới máy bắt wifi thì thấy ,nhưng máy bắt wifi ping lại mình thì ko thấy .,xin mọi người giúp dùm ,mình cảm ơn nhiều ,mail :quangnghiabmt@gmail.com

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

%d bloggers like this: