BÁO CÁO THỰC TẬP TỐT NGHIỆP

Đề tài:

BÁO CÁO
THỰC TẬP TỐT NGHIỆP

Sinh viên: Nguyễn Ngọc Hải Nam
MSSV: 1811547232
Khóa: 2018

Đơn vị TT:
Cơng ty Cổ Phần Đầu Tư Công Nghệ HACOM
GVHD: Nguyễn Thị Phong Dung


NỘI DUNG

Giới Thiệu Đơn Vị Thực Tập

Công Việc Thực Hiện Tại Công Ty

Đề Tài Báo Cáo Thực Tập

Kết Luận

2


Giới Thiệu Đơn Vị Thực Tập

Tên Đơn Vị Thực Tập:
Công ty Cổ Phần Đầu Tư Công Nghệ HACOM (HACOM)
Sơ Lượt Về Công ty:
Công ty Cổ phần Đầu tư Công nghệ HACOM (viết tắt là “HACOM”) được
thành lập vào tháng 9/2001, hoạt động chủ yếu trong lĩnh vực bán lẻ các sản phẩm
máy tính và thiết bị văn phịng. Trải qua chặng đường hơn 20 năm phát triển, đến nay
HACOM (sở hữu thương hiệu HANOICOMPUTER) đã trở thành một trong những
thương hiệu hàng đầu trong lĩnh vực kinh doanh các sản phẩm Công nghệ thông tin
tại Việt Nam với hệ thống các showroom quy mô và hiện đại trải dài từ Bắc vào Nam.

3


Giới Thiệu Đơn Vị Thực Tập
Lĩnh Vực Hoạt Động Kinh Doanh:
Thiết kế giải pháp tổng thể (thiết kế hệ thống, xây dựng mạng LAN, WAN,..)
Cung cấp các thiết bị tin học (Máy chủ, máy tính PC, máy tính NOTEBOOKS, các thiết bị ngoại vi, các ứng dụng)
Cung cấp phần mềm của các hãng trên thế giới, các phần mềm quản lý, truyền thơng…
Các dịch vụ bảo hành, bảo trì…

-4-


Giới Thiệu Đơn Vị Thực Tập

5


Cơng Việc Thực Hiện Tại Cơng Ty
Học hỏi tìm hiểu về những sản phẩm đang được kinh doanh tại công ty như: Máy Chủ, PC, chủng loại Switch, Thiết bị cân bằng tải…

Được đi trải nghiệm khảo sát thực tế lắp đặt các thiết bị như: Camera, máy chấm công, PC, máy in và đi dây mạng.
Hỗ trợ trực tiếp khách hàng tại cửa hang và đến tận nên khách hàng yêu cầu.
Học hỏi được nhiều kinh nghiệm nhờ sự chỉ dạy và giúp đỡ tận tình của những người đồng nghiệp.
Rèn luyện được cách giao tiếp ứng xử với mọi người và đặc biệt là khách hàng.

6


Đề Tài Báo Cáo Thực Tập

1.

SƠ LƯỢC VỀ ĐỀ TÀI BÁO CÁO
Đề tài báo cáo: THỰC NGHIỆM CÁC KỸ THUẬT TẤN CƠNG MẠNG LAYER-2 VÀ THỰC THI CÁC PHƯƠNG PHÁP
PHỊNG CHỐNG.
Layer-2 là gì?
Là tầng liên kết dữ liệu(Data-Link Layer) cung cấp các phương tiện có tính chức năng và quy trình để truyền dữ liệu giữa các
thực thể mạng (truy cập đường truyền, đưa dữ liệu vào mạng), phát hiện và có thể sửa chữa các lỗi trong tầng vật lý nếu có.
Tầng liên kết dữ liệu chính là nơi các thiết bị chuyển mạch hoạt động. Kết nối chỉ được cung cấp giữa các nút mạng được nối
với nhau trong nội bộ mạng.

7


Đề Tài Báo Cáo Thực Tập
Công nghệ chuyển mạch
Switch là gì?
Switch (hay bộ chuyển mạch) là bộ phận tối quan trọng trong mạng.
Nó là thiết bị được dùng vào việc định tuyến hay nói rõ hơn, thiết bị này sẽ dựa vào các thuật toán đã cài đặt sẵn, các thông số cho trong giao thức cụ thể và các tham số trong nguồn dữ liệu để xác
định, tạo ra một đường nối tạm với một thiết bị khác rồi trung chuyển dữ liệu đi.


Tầm quan trọng của Switch là gì?
Switch quyết định chuyển frame dựa trên địa chỉ MAC, do đó nó được xếp vào thiết bị Lớp 2. Chính nhờ Switch có khả năng lựa chọn đường dẫn để quyết định chuyển frame nên mạng LAN có thể
hoạt động hiệu quả hơn.
Switch chỉ thiết lập một mạch ảo giữa hai cổng tương ứng mà không làm ảnh hưởng đến lưu thơng trên các cổng khác. Do đó, mạng LAN có hiệu suất hoạt động cao thường sử dụng chuyển mạch tồn
bộ.
Nếu có hai máy trạm được thiết lập phiên kết nối thì chúng sẽ sử dụng một lượng băng thông đáng kể và hoạt động của các thiết bị còn lại kết nối vào Hub sẽ bị giảm xuống.
Để giải quyết tình trạng trên, Switch xử lý mỗi cổng là một đoạn mạng (segment) riêng biệt. Khi các máy ở các cổng khác nhau cần liên lạc với nhau, Switch sẽ chuyển frame từ cổng này sang cổng kia
và đảm bảo cung cấp chọn băng thông cho mỗi phiên kết nối.

-8-


Đề Tài Báo Cáo Thực Tập
Giao thức ARP trong mạng Ethernet
ARP (viết tắt của cụm từ Address Resolution Protocol) là giao thức mạng được dùng để tìm ra địa chỉ phần cứng (địa chỉ MAC) của thiết bị từ một địa chỉ IP nguồn. Nó được sử dụng khi một thiết bị
giao tiếp với các thiết bị khác dựa trên nền tảng local network. Ví dụ như trên mạng Ethernet mà hệ thống yêu cầu địa chỉ vật lý trước khi thực hiện gửi packets.
Thiết bị gửi sử dụng ARP để có thể dịch địa chỉ IP sang địa chỉ MAC. Thiết bị sẽ gửi một request ARP đã chứa địa chỉ IP của thiết bị nhận. Tất cả thiết bị trên đoạn local network sẽ nhìn thấy thơng
điệp này. Tuy nhiên, chỉ thiết bị có địa chỉ IP chứa trong request mới có thể phản hồi lại với thơng điệp mà chứa địa chỉ MAC của nó. Thiết bị gửi khi đó sẽ có đầy đủ các thơng tin để gửi packet tới thiết bị
nhận.

-9-


Đề Tài Báo Cáo Thực Tập
Công nghệ VLAN
VLAN (Virtual Local Area Network) là một mạng tùy chỉnh, được tạo từ một hay nhiều mạng cục bộ khác (LAN). Mạng VLAN cho phép một nhóm thiết bị khả dụng trong nhiều mạng được kết hợp
với nhau thành một mạng logic. Từ đó tạo ra một mạng LAN ảo (Virtual LAN), được quản lý giống như một mạng LAN vật lý.
Nếu không có mạng Virtual LAN, một broadcast được gửi từ host có thể dễ dàng đi đến mọi thiết bị mạng. Khi đó, tất cả thiết bị đều sẽ xử lý những frame đã nhận broadcast đó. Việc này sẽ làm tăng
đáng kể chi phí cho CPU trên mỗi thiết bị, đồng thời làm giảm khả năng bảo mật của hệ thống.

Nếu ta đặt các interface trên các switch ở những VLAN riêng biệt, một broadcast từ host A chỉ có thể đi đến các thiết bị khả dụng ở trong cùng một Virtual LAN. Các host của Virtual LAN sẽ không hề
biết về cách thức giao tiếp.

- 10 -


Đề Tài Báo Cáo Thực Tập
2. KỸ THUẬT PHÒNG CHỐNG TẤN CÔNG MẠNG LAYER-2 VÀ THỰC NGHIỆM TẤN CÔNG-BẢO MẬT
Tấn cơng mạng trên Layer-2

•

VLAN Hopping Attacks: Attackers sử dụng một máy tính có cài phần mềm giả lập biến máy tính này thành một Switch và bật tính năng Trunking trên Switch giả này. Nếu port kết nối với máy tính này
trên Switch thật có bặt tính năng Auto trunking thì Switch giả trên sẽ trở thành một thành viên của tất cả các VLAN. Khi đó máy tính của Attacker có thể liên lạc được với mọi VLAN trong hệ thống.

•

STP Storm Attack : Làm cho hạ tầng mạng Layer-2 bị tắc nghẽn. Là 1 dạng tấn công từ chối dịch vụ.
Kỹ thuật Storm STP: Dùng công cụ: liên tục broadcast các gói BPDU khác nhau, tất cả các Switch ln rơi vào q trình “bầu chon Root”, trong thời gian bầu chọn topology sẽ khơng có Root, khơng

có blocked port. Sự cố Switching loop sẽ xảy ra

- 11 -


Đề Tài Báo Cáo Thực Tập
•
•
•


DHCP Starvation Attack: Làm cho DHCP Server khơng cịn IP address để cấp phát cho các Client. Thời điểm đó, Attacker sẽ cho Rogue DHCP Server của mình vào chạy.
DHCP Flooding Attack: Làm cho DHCP Server tràn ngập các tiến trình cần xử lý => ngừng dịch vụ (DoS).
Giả mạo DHCP Server: Mục đích: cấp phát cho các Clients thông số IP theo ý của Attacker.

- 12 -


Đề Tài Báo Cáo Thực Tập
3. THỰC NGHIỆM TẤN CÔNG-BẢO MẬT

•

Tấn cơng vào VLAN(VLAN HOPPING) và bảo mật:
Mơ hình hệ thống Mạng nội bộ của doanh nghiệp ABC được triển khai 2 VLAN: VLAN 10 cho máy tính và Server Phịng Kế tốn. VLAN 20 cho máy tính và Server Phòng Kinh doanh.

- 13 -


Đề Tài Báo Cáo Thực Tập
Lúc đầu thì máy Attacker mặc dù đã đổi địa chỉ ip cũng lớp mạng nhưng vẫn không thể ping được KT-SVR.

- 14 -


Phương án tấn công:
Attacker mang vào 1 Switch riêng (Atk-SW):
Lấy cáp mạng máy tính của anh ta đấu nối vào switch Atk-SW (ví dụ port 24).
Máy tính của Attack đấu vào Atk-SW

- 15 -



Đề Tài Báo Cáo Thực Tập
•
•

Trên Atk-SW chọn port 24 cho lên chế độ trunk bằng lệnh: Switchport mode trunk
Tạo mới VLAN 10 trên Atk-SW vào them port 10 kết nối đến máy Attacker gắn vào VLAN mới tạo.

- 16 -


Đề Tài Báo Cáo Thực Tập
Phương pháp phòng chống:
Trên SW0: cấu hình cho tất cả các port kết nối máy tính hoạt động chế độ Access.

Như vậy với một câu lệnh đơn giản thì chúng ta đã có thể phịng chống VLAN HOPPING

- 17 -


Đề Tài Báo Cáo Thực Tập
•

Tấn cơng giả mạo ARP và phịng chống

Mơ hình mạng:

- 18 -



Đề Tài Báo Cáo Thực Tập
Phương pháp tấn công:
1. Search, Download và Setup phần mềm Netcut
2. Chạy công cụ Netcut.
3. Chọn máy nạn nhân và tiến hành “Net cut = ON”.

- 19 -


Đề Tài Báo Cáo Thực Tập
Máy nạn nhân (trước khi bị Net cut)

Máy nạn nhân (sau khi bị Net cut)

- 20 -


Đề Tài Báo Cáo Thực Tập
Phương pháp phịng chống:
Cấu hình DHCP Snooping cho DAI lấy dữ liệu ARP từ DHCP Server tin cậy
Cấu hình kích hoạt chức năng chống DHCP snooping của Switch:

Cấu hình cho port kết nối DHCP Server tin tưởng:

Kích hoạt DAI cho các port thuộc VLAN 1:

- 21 -



Đề Tài Báo Cáo Thực Tập
Cấu hình trusted cho cổng kết nối DHCP Server tin cậy (ví dụ: f0/0). Tất cả các cổng còn lại mặc định là untrusted:

Kết Luận:
Dynamic ARP Inspection (DAI) là phương pháp đánh giá độ tin cậy của các gói ARP trên những switch-port được áp đặt là Untrusted port (port không tin cậy).
Độ tin cậy của các gói ARP (ARP Request và ARP Reply) được DAI đánh giá tin cậy dựa trên Trusted Database. Những gói ARP có IP address và MAC address khơng thuộc Trusted Database sẽ bị
hủy.

- 22 -


Kết Luận
Qua q trình làm đề tài em có thể đưa ra kết luận: điểm yếu lớn nhất của các giao thức lớp 2 là thiếu sự chứng thực. Điều này có thể hiểu được là do nhiều người quan niệm rằng các giao thức lớp hai
chỉ hoạt động trong mạng cục bộ nên việc chứng thực cho chúng là khơng cần thiết. Tuy nhiên qua các thí nghiệm ở trên, ta có thể thấy rằng chính nhờ sự chủ quan đó mà các cuộc tấn cơng có thể diễn ra một
cách dễ dàng hơn. Các biện pháp phòng chống với các kiểu tấn cơng này khơng có gì q khó khăn, tuy nhiên vấn đề ở đây là các nhà quản trị mạng phải ý thức được những nguy hiểm mà kẻ tấn cơng có thể
gây ra trong chính mạng cục bộ của mình.
Về phần đề tài, em thấy phần lí thuyết đã được em trình bày khá kĩ tuy rằng vẫn cịn nhiều lỗi thiếu sót. Về phần thí nghiệm, em mới chỉ thực hiện được thí nghiệm đơn giản chưa có phần kali-linux.
Một phần là do yếu tố chủ quan bởi vì em nghĩ là các thí nghiệm này có thể tiến hành trên bất cứ thiết bị lớp hai của bất cứ nhà sản xuất nào.

- 23 -


Cảm ơn mọi người đã lắng nghe

TP.HCM, tháng 09, 2022