Tải bản đầy đủ (.doc) (65 trang)
  1. Trang chủ
    2. >>
  2. Giáo Dục - Đào Tạo
    3. >>
  3. Cao đẳng - Đại học

BÁO CÁO THỰC TẬP-MỘT SỐ PHƯƠNG THỨC TẤN CÔNG LAYER 2

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (751.96 KB, 65 trang )

MỤC LỤC
1.1. Tổng quan về mạng diện rộng (Wide Area Network ) 7
1.1.3 Router LAN và WAN 11
1.1.4 Vai trò của router trong mạng WAN 13
1
Lời mở đầu
Trong thời đại công nghệ thông tin toàn cầu ngày nay, an ninh mạng là một
trong những vấn đề nổi cộm và được nhiều người nói đến. Khi nói đến an ninh
mạng người ta thường nói đến các kiểu tấn công, các phương pháp đột nhập; lấy
trộm thông tin…. Để đảm bảo mạng của mình có thể chống lại các cuộc tấn công
trên, các công ty thường sử dụng các công cụ như bức tường lửa hay sử dụng các
hệ thống phát hiện xâm nhập IDS….
Tuy nhiên các nhà quản trị mạng lại quên mất một điều rằng các nguy cơ
tấn công không chỉ đến từ các mạng bên ngoài mà còn tiềm ẩn ngay trong mạng
nội bộ của công ty mình. Các cuộc tấn công này có thể diễn ra dễ dàng và nguy
hiểm hơn một phần chính là do sự chủ quan của các nhà quản trị mạng. Bởi vì nếu
như các công cụ kể trên làm việc rất tốt với lớp trên của mô hình OSI (từ lớp 3 trở
lên) thì lại hoàn toàn không có tác dụng gì với các gói tin lớp 2.
Như ta đã biết, mô hình OSI là một mô hình tham chiếu bao gồm 7 lớp có
các chức năng độc lập với nhau và chỉ tương tác qua lại lẫn nhau tại phần giao
diện của hai lớp. Điều này cho phép các lớp có thể phát triển mở rộng một cách rất
linh động mà không làm ảnh hưởng đến các lớp khác cũng như không làm ảnh
hưởng đến giao diện chuẩn của nó với các lớp khác.
Tuy nhiên điều này cũng đem lại một điểm hạn chế lớn: nếu như một lớp bị
tấn công thì việc liên lạc trao đổi thông tin sẽ bị làm tổn hại mà các lớp khác lại
không hề biết gì.
2
Như trong sơ đồ trên, an toàn của cả hệ thống sẽ tương đương với mức độ
an toàn của kết nối yếu nhất trong đó. Lớp 2 cũng dễ bị ảnh hưởng của các cuộc
tấn công như các lớp khác, tuy nhiên khả năng bị tấn công của lớp này có thể cao
hơn gấp bội nếu như người quản trị hệ thống không coi trọng việc đảm bảo an


toàn cho lớp này.
Có lẽ là tính độc lập. Sự độc lập của lớp này cho phép nó có khả nǎng liên
tác (interoperability) và khả nǎng kết nối (interconnectivity) rất mạnh. Tuy nhiên,
xét về phương diện an ninh, điều này lại tạo ra những thách thức không nhỏ do"bị"
thoả hiệp ngay lập tức. Hệ thống an ninh của mạng chỉ mạnh khi lớp 2, tuyến
phòng về yếu nhất này, cũng phải đủ mạnh.
Đặc điểm nào của lớp 2 (lớp Liên kết dữ liệu) là đáng chú ý nhất. Có lẽ là
tính độc lập. Sự độc lập của lớp này cho phép nó có khả nǎng liên tác
(interoperability) và khả nǎng kết nối (interconnectivity) rất mạnh. Tuy nhiên, xét
về phương diện an ninh, điều này lại tạo ra những thách thức không nhỏ do"bị"
thoả hiệp ngay lập tức. Hệ thống an ninh của mạng chỉ mạnh khi lớp 2, tuyến
phòng về yếu nhất này, cũng phải đủ mạnh.
Ai quan tâm đến lớp 2?
3
Thông thường, các hoạt động của mạng thường theo một lịch trình. Một bộ phận
sẽ thực hiện các tác vụ về vận hành mạng - các nhân viên quản trị mạng (network
administrator) và một bộ phận thực hiện các tác vụ về an ninh mạng - các nhân
viên an ninh mạng (security administrator). Tuy nhiên, các hoạt động này thường
kết thúc ở các lớp trên lớp 2.
Các nhân viên quản trị mạng thường sử dụng các mạng LAN ảo (Virtual
LAN). Rất nhiều tuyến kết nối của VLAN đều vào/ra trên cùng một thiết bị
chuyển mạch (LAN switch). Khi các nhân viên an ninh mạng yêu cầu có một phân
đoạn mạng mới, các nhân viên quản trị mạng sẽ tạo ra một mạng VLAN và cung
cấp cho bộ phận an ninh một vùng địa chỉ. Bên an ninh không biết là họ đang sử
dụng VLAN và họ cũng không quan tâm bên vận hành mạng làm gì với switch.
Bộ phận an ninh mạng thậm chí còn thường xuyên không quan tâm đến lớp 2 mà
họ chỉ tập trung vào lớp 3 và các lớp cao hơn.
Sự khác biệt về quan điểm còn thể hiện ở chính các thiết bị trên mạng. Các
Firewall thường được thiết lập với cấu hình bảo mật cao nhất khi chúng lần đầu
được cài đặt. Theo mặc định, cho đến khi chúng được điều chỉnh thì chúng không

cho phép trao đổi thông tin. Các thiết bị chuyển mạch và các thiết bị định tuyến lại
hoàn toàn trái ngược. Chúng được thiết kế theo xu hướng "khuyến khích truyền
thông". Khi thực hiện chức nǎng của mình - mở các kết nối - chúng có thể tạo ra
các lỗ hổng bảo mật kế thừa vì thế các switch và router thường tích hợp sẵn các
tính nǎng bảo mật bên trong. Tuy nhiên, những tính nǎng và khả nǎng này của
chúng không được kích hoạt trừ khi các nhân viên quản trị mạng bật các tính nǎng
đó lên. Thông thường thì các tính nǎng này không được sử dụng, hoặc được sử
dụng không đúng cách.
Một cuộc khảo sát an ninh và tội phạm máy tính nǎm 2002 do Viện nghiên
cứu an ninh máy tính và Cục điều tra liên bang Mỹ tiến hành cho thấy sự gia tǎng
đáng kể các kiểu tấn công trên mạng (). Nǎm 1996, phần lớn các
vụ tấn công đến từ các hệ thống bên trong. Phần còn lại đến từ khu vực dial-up và
quét cổng Internet. Đến cuối nǎm 2002, số lượng và chủng loại các vụ tấn công đã
4
thay đổi. Hơn 70% các vụ tấn công được thực hiện theo kiểu quét cổng từ bên
ngoài và 30% xuất phát từ hệ thống bên trong. Tuy nhiên, số lượng các vụ tấn
công từ bên trong vẫn còn rất lớn và thiệt hại mà kiểu tấn công này gây ra còn lớn
hơn rất nhiều so với các vụ tấn công từ bên ngoài.
Theo các cuộc thăm dò mới đây cho thấy có rất nhiều người quản trị đã
không quan tâm đến vấn đề an ninh này. Với các câu hỏi như :
 Bạn đang sử dụng biện pháp an ninh nào ở lớp 2?
 Bạn có thường xuyên sử dụng mạng LAN ảo (VLAN) không?
 Bạn có bao giờ đặt các mức an ninh khác nhau lên cùng một switch
sử dụng VLAN không?
 Quá trình cấp phát địa chỉ cho từng phân đoạn mạng là gì?
Thì hầu hết các câu trả lời với hầu hết các nhà quản trị mạng là:
 Có các vấn đề về an ninh xảy ra với lớp 2 à?
 Tôi sử dụng mạng LAN ảo thường xuyên.
 Nếu một người làm công tác bảo mật yêu cầu tôi cấp cho anh ta một
phân đoạn mạng mới, tôi sẽ tạo một VLAN và gán địa chỉ cho anh

ta.
Câu trả lời với hầu hết các nhà an ninh mạng là:
 Tôi chỉ quản lí các vấn đề về an ninh từ lớp 3 trở lên.
 Tôi chẳng có ý kiến gì nếu chúng tôi đang sử dụng VLAN.
 Tại sao tôi lại phải quan tâm đến những việc mà một ai đó đang làm
với một mạng chuyển mạch.
 Tôi yêu cầu người quản trị mạng một phân đoạn mạng và họ cấp cho
tôi port và địa chỉ.
Vấn đề đặt ra ở đây là ta phải nắm được các kiểu tấn công mà một hacker
có thể tiến hành nhằm làm tổn hại đến hệ thống đồng thời phải đưa ra các cách
phòng ngừa hiệu quả nhất làm giảm thiểu hậu quả mà các cuộc tấn công gây ra.
Trong đề tài này, em xin được đề cập đến các kiểu tấn công chủ yếu vào lớp 2 bao
gồm Ba chương chính:
5
Chương I: Cơ sở lý thuyết
+ Tổng quan về WAN
+ Mô hình OSI, bộ giao thức TCP/IP
+ Khái niệm về địa chỉ IP và địa chỉ MAC
+ Giới thiệu về các kiểu tấn công
Chương II: Kiểu tấn công của VLAN
Chương III: Chương trình mô phỏng VLAN
Các chương bao gồm phần lí thuyết chung về các giao thức, điểm yếu của
các giao thức mà kẻ tấn công có thể lợi dụng, các kiểu tấn công cũng như các
phương pháp phòng chống.
Em xin bày tỏ lòng cảm ơn sâu sắc tới Ban chủ nhiệm khoa, các thầy cô
giáo đã tận tình giảng dậy, trang bị cho chúng em những vốn kiến thức, và kinh
nghiệm quý báu, cung cấp cho chúng em những điều kiện và môi trường học tập
tốt nhất. Để hoàn thành được đề tài này em xin cảm ơn chân thành tới Thầy Lê
Tuấn Anh. Thầy đã tận tình hướng dẫn và chỉ bảo để em có thể hoàn thành đề tài
một cách tốt nhất.

Thái Nguyên 10/03/2011
6
CHƯƠNG I: CƠ SỞ LÝ THUYẾT
1.1. Tổng quan về mạng diện rộng (Wide Area Network )
1.1.1. Giới thiệu về WAN
WAN là mạng truyền dữ liệu qua những vùng địa lý rất rộng lớn như các
bang, tỉnh, quốc gia… Các phương tiện truyền dữ liệu trên WAN được cung cấp
bởi các nhà cung cấp dịch vụ, ví dụ như các công ty điện thoại.
Mạng WAN có một số đặc điểm sau:
- WAN dùng để kết nối các thiết bị ở cách xa nhau bởi những vùng địa lý
lớn.
- Wan sử dụng dịch vụ của các công ty cung cấp dịch vụ, ví dụ như:
Regional Bell Operating Companies (RBOCs), Sprint, MCI, VPM internet
servies, Inc, Altantes.net….
- WAN sử dụng nhiều loại liên kết nối tiếp khác nhau.
- WAN có một số điểm khác với LAN. Ví dụ như: LAN được sử dụng để kết
nối các máy tính đơn lẻ, các thiết bị ngoại vi, các thiết bị đầu cuối và nhiều
thiết bị khác trong cùng một toà nhà hay trong một phạm vi địa lý nhỏ.
Trong khi đó WAN được sử dụng để kết nối các mạng qua những vùng địa
lý lớn. Các công ty thường sử dụng WAN để kết nối các chi nhánh của
mình, nhờ đó mà thông tin được trao đổi dễ dàng giữa các trung tâm.
Mạng WAN hoạt động chủ yếu ở lớp vật lý và lớp liên kết dữ liệu của mô hình
OSI. WAN kết nối các mạng LAN lại với nhau. Do đó, WAN có thực hiện chuyển
đổi các gói dữ liệu giữa router, switch và các mạng LAN mà nó kết nối.
Sau đây là các thiết bị được sử dụng trong WAN:
- Router: cung cấp nhiều dịch vụ khác nhau, bao gồm Internet và các giao
tiếp WAN.
7
- Loại switch được sử dụng trong WAN cung cấp kết nối cho hoạt động
thông tin liên lạc bằng thoại, video và dữ liệu.

- Modem: bao gồm: giao tiếp với dịch vụ truyền thoại; CSU/DSU (Channel
service units/Digital service units) để giao tiếp với dịch vụ T1/E1; TA/NT1
( Terminal Adapters/ Network Termination 1) để giao tiếp với dịch vụ
ISDN ( Integrated Services Digital Network).
- Server thông tin liên lạc: tập trung xử lý cuộc gọi của người dùng.
Các giao thức ở lớp liên kết dữ liệu của mạng WAN mô tả về cách thức mà các
gói dữ liệu được vận chuyển giữa các hệ thống trên một đường truyền dữ liệu. Các
giao thức này được thiết kế cho các dịch vụ chuyển mạch điểm-đến-điểm, đa
điểm, đa truy cập, ví dụ như: FrameRelay.
Các tiêu chuẩn của mạng WAN được định nghĩa và quản lý bởi các tổ chức quốc
tế sau:
- Liên hiệp viễn thông quốc tế - lĩnh vực tiêu chuẩn viễn thông- ITU-T
( International TelecommunicationUnion-Telecommunication
- Standardization Sector), trước đây là Uỷ ban cố vấn điện thoại và điện tín
quốc tế - CCITT ( Consultative Committee for International Telegraph and
Telephone).
- Tổ chức quốc tế về tiêu chuẩn – ISO ( International Organization for
Standardization).
- Tổ chức đặc trách về kỹ thuật Internet – IETF ( Internet Engineering Ták
Force).
8
Hình 1.1: Các thiết bị WAN
Liên hiệp công nghiệp điện tử - EIA ( Electronic Industries Association).
1.1.2 Giới thiệu về router trong mạng WAN
Router là một loại máy tính đặc biệt. Nó cũng có các thành phần cơ bản
giống như máy tính: CPU, bộ nhớ, system bus và các cổng giao tiếp. Tuy nhiên
router được thiết kế là để thực hiện một số chức năng đặc biệt. Ví dụ: router kết
nối hai hệ thống mạng với nhau và cho phép hai hệ thống này có thể liên lạc với
nhau, ngoài ra router còn thực hiện việc chọn lựa đường đi tốt nhất cho dữ liệu.
Cũng giống như máy tính cần phải có hệ điều hành để chạy các chương trình ứng

dụng thì router cũng cần phải có hệ điều hành để chạy các tập tin cấu hình. Tập tin
cấu hình chứa các câu lệnh và các thông số để điều khiển luồng dữ liệu ra/ vào
trên router. Đặc biệt là router còn sử dụng các giao thức định tuyến để quyết định
chọn đường đi tốt nhất cho các gói dữ liệu. Do đó, tập tin cấu hình cũng chứa các
thông tin để cài đặt và chạy các giao thức định tuyến trên router.
Các thành phần chính bên trong router bao gồm: bộ nhớ RAM, NVRAM, bộ nhớ
flash, ROM và các cổng giao tiếp.
RAM, hay còn gọi là RAM động ( DRAM – Dynamic RAM) có các đặc điểm và
chức năng như sau:
Lưu bảng định tuyến.
- Lưu bảng ARP.
- Có vùng bộ nhớ chuyển mạch nhanh.
9
Hình 1.2
- Cung cấp vùng nhớ đệm cho các gói dữ liệu.
- Duy trì hàng đợi cho các gói dữ liệu.
- Cung cấp bộ nhớ tạm thời cho tập tin cấu hình của router khi router dang
hoạt động
- Thông tin trên RAM sẽ bị xoá mất khi router khởi động lại hoặc bị tắt điện.
Đặc điểm và chức năng của NVRAM:
- Lưu giữ tập tin cấu hình khởi động của router.
- Nội dung của NVRAM vẫn được lưu giữ khi router khởi động lại hoặc bị
tắt điện.
Đặc điểm và chức năng của bộ nhớ Flash:
- Lưu hệ điều hành IOS.
- Có thể cập nhật phần mềm lưu trong Flash mà không cần thay đổi chip trên
bộ xử lý.
- Nội dung của Flash vẫn được lưu giữ khi router khởi động lại hoặc khi tắt
điện.
- Ta có thể lưu nhiều phiên bản khác nhau của phần mềm IOS trong Flash.

- Flash là loại ROM xoá và lập trình được (EPROM).
Đặc điểm và chức năng của ROM:
- Lưu giữ các câu lệnh của chương trình tự kiểm tra khi khởi động – POST
( Power-on Self Test).
- Lưu chương trình bootstrap và hệ điều hành cơ bản.
- Bạn phải thay thế chip trên mainboard nếu bạn muốn nâng cấp phần mềm
trong ROM.
Đặc điểm và chức năng của các cổng giao tiếp:
- Kết nối router vào hệ thống mạng để nhận và chuyển gói dữ liệu.
- Các cổng có thể gắn trực tiếp trên mainboard hoặc là dưới dạng card rời
10
1.1.3 Router LAN và WAN
Router vừa được sử dụng để phân đoạn mạng LAN vừa là thiết bị chính trong
mạng WAN. Do đó, trên router có cả cổng giao tiếp LAN và WAN. Thực chất là
các kỹ thuật WAN được sử dụng để kết nối các router, router này giao tiếp với
router khác qua đường liên kết WAN. Router là thiết bị xương sống của mạng
Intranet lớn và mạng Internet. Router hoạt động ở lớp 3 và thực hiện chuyển gói
dữ liệu dựa trên địa chỉ mạng. Router có hai chức năng chính là: chọn đường đi tốt
nhất và chuyển mạch gói dữ liệu. Để thực hiện hai chức năng này, mỗi router phải
xây dựng một bảng định tuyến và thực hiện trao đổi thông tin định tuyến với nhau.
11
Hình.1.3.a: Các phân đoạn mạng LAN và với router
Người quản trị mạng có thể duy trì bảng định tuyến bằng cách cấu hình định tuyến
tĩnh, nhưng thông thường thì bảng định tuyến được lưu giữ động nhờ các giao
thức định tuyến thực hiện trao đổi thông tin mạng giữa các router.
12
Hình 1.3b: Kết nối router bằng các công nghệ WAN
Hình 1.3c
Ví dụ: Nếu máy tính X muốn thông tin liên lạc với máy tính Y ở một châu lục
khác và với máy tính Z ở một vị trí khác nữa trên thế giới, khi đó cần phải có định

tuyến để có thể truyền dữ liệu và đồng thời cũng cần phải có các đường dự phòng,
thay thế để đảm bảo độ tin cậy. Rất nhiều thiết kế mạng và công nghệ được đưa ra
để cho các máy tính như X, Y, Z có thể thông tin liên lạc với nhau.
Một hệ thống mạng được cấu hình đúng phải có các đặc điểm sau:
• Có hệ thống địa chỉ nhất quán từ đầu cuối đến đầu cuối.
• Cấu trúc địa chỉ phải thể hiện được cấu trúc mạng.
• Chọn được đường đi tốt nhất
• .Định tuyến động và tĩnh.
• Thực hiện chuyển mạch.
1.1.4 Vai trò của router trong mạng WAN
Mạng WAN hoạt động chủ yếu ở lớp vật lý liên kết dữ liệu.
Điều này không có nghĩa là năm lớp còn lại của mô hình OSI không có trong
mạng WAN. Điều này đơn giản có nghĩa là mạng WAN chỉ khác với mạng LAN ở
lớp vật lý và liên kết dữ liệu.Hay nói cách khác là các tiêu chuẩn và giao thức sử
dụng trong mạng WAN ở lớp 1 và lớp 2 là khác với mạng LAN.
13
Hình 1.4a . Vai trò của Router trong WAN
Lớp vật lý trong mạng WAN mô tả các giao tiếp thiết bị dữ liệu đầu cuối DTE
(Data Terminal Equipment) và thiết bị đầu cuối mạch dữ liệu DCE (Data Circuit –
termination Equipment).Thông thường,DCE là thiết bị ở phía nhà cung cấp dịch
vụ và DTE là thiết bị kết nối vào DCE. Theo mô hình này thì DCE có thể là
modem hoặc CSU/DSU.
Chức năng chủ yếu của Router là định tuyến.Hoạt động định tuyến diễn ra ở
lớp ba - lớp mạng trong khi WAN hoạt động ở lớp một và hai. Vậy Router là thiết
bị LAN hay WAN? Câu trả lời là cả hai. Router có thể là thiết bị LAN và
hoặcWAN hoặc thiết bị trung gian giữa LAN và WAN hoặc có thể là LAN và
WAN cùng một lúc.
Một trong những nhiệm vụ của Router trong mạng WAN là định tuyến gói
dữ liệu ở lớp ba, đây cũng là nhiệm vụ của Router trong mạng LAN. Tuy nhiên,
định tuyến không phải là nhiệm vụ chủ yếu của Router trong mạng WAN. Khi

Router sử dụng các chuẩn và giao thức của lớp vật lí và lớp liên kết dữ liệu để kết
nối các mạng WAN thì lúc này nhiệm vụ chính của Router trong mạng WAN
không phải là định tuyến nữa mà là cung cấp kết nối giữa các mạng WAN với các
chuẩn vật lý và liên kết dữ liệu khác nhau.
14
1.4.b Chức năng chủ yếu của Router trong WAN
1.1.5. Các công nghệ trong WAN.
1.1.5.1. Kênh tryền số (dial up)
Modem và đường điện thoại quay số dùng tin hiệu tương tự cung cấp kết
nối chuyển mạch, dung lượng thấp, phù hợp cho nhu cầu truyền dữ liệu tốc độ
thấp rẻ tiền. Điện thoại truyền thống sử dụng cáp đồng kết nối từ máy điện thoại
của thuê bao đến tổng đài mạng điện thoại chuyển mạch công cộng. Tín hiệu
truyền đi trên đường truyền này là tín hiệu tương tự biến đổi liên tục để truyền
tiếng nói. Do đó,đường truyền này không phù hợp với tín hiệu số nhị phân của
máy tính. Modem tại đầu phát phải thực hiện điều chế tín nhị phân sang tín hiệu
tương tự rồi mới đưa tin hiệu sang đường truyền. Modem tại đầu thu giải điều chế
tín hiệu tương tự thành tín hiệu nhị phân như ban đầu.
Đặc điểm vật lý của đường truyền và kết nối PSTN ( Public switched
telephone network) khiến tốc độ của tin hiệu bị hạn chế. Giới hạn trên là khoảng
33kb/s. Tốc độ này có thể tăng lên khoảng 56kb/s nếu tín hiệu được truyền trực
tiếp qua một kết nối số.
Đối với những doanh nghiệp nhỏ thì đường truyền này phù hợp vì họ chỉ cần trao
đổi các thông tin về bảng lương, giá cả, các báo cáo thông thường và email. Hơn
nữa, họ có thể sử dụng cách quay số tự động vào ban đêm hoặc ngày nghỉ cuối
tuần để truyền tải dữ liệu có dung lượng lớn và dữ liệu dự phòng, vì trong những
khoảng thời gian này mức giá cước thấp hơn bình thường. Tổng chi phí cước phụ
thuộc vào khoảng cách các điểm kết nối, thời gian thực hiện cuộc gọi.
Ưu điểm của modem và đường truyền tương tự là thực hiện đơn giản ở mọi nơi,
chi phí thấp.
Nhược điểm là tốc đọ thấp, thới gian thực hiện kết nối lâu, có thời gian trễ và

nghẽn mạch, việc truyền thoại và video không tốt với tốc độ thấp như vậy.
15
Hình 1.5 Mô hình kết nối dùng một đường điện thoại
1.2 Mô hình OSI (Open System Interconnect)
Ở thời kỳ đầu của công nghệ nối mạng, việc gửi và nhận dữ liệu ngang qua
mạng thường gây nhầm lẫn do các công ty lớn tự đề ra các tiêu chuẩn riêng cho
hoạt động kết nối máy tính.
Năm 1984, tổ chức tiêu chuẩn hóa quốc tế - OSI (International Standard
Ỏganization) chính thức đưa ra mô hình OSI (Open Systems Interconnection) là
tập hợp các đặc điểm kỹ thuật mô tả kiến trúc mạng giành cho việc kết nối các
thiết bị không cùng chủng loại.
Mô hình OSI được chia làm bảy tầng, mỗi tầng bao gồm những hoạt động
thiết bị và giao thức mạng khác nhau.
Mô hình OSI bảy tầng
1.2.1 các giao thức trong mô hình OSI
Trong mô hình OSI có hai loại giao thức chính được áp dụng: Giao thức có
liên kết và giao thức không có liên kết:
- Giao thức có liên kết: trước khi truyền dữ liệu, hai tầng đồng mức cần thiết
lập một liên kết logic và các gói tin được trao đổi thông qua liên kết này.
Việc có liên kết logic sẽ nâng cao độ an toàm trong truyền dữ liệu.
- Giao thức không liên kết: Trước khi truyền dữ liệu không thiết lập liên kết
logic và mỗi gói tin được truyền độc lập với gói tin hoặc sau nó.
Như vậy Với giao thức co liên kết, quá trình truyền thông phải gồm ba giai
đoạn phân biệt:
16
- Thiết lập liên kết (logic): Hai thực thể đồng mức ở hai hệ thống thương
lượng với nhau về tập các tham só sẽ sử dụng trong giai đoạn sau (truyền
dữ liệu).
- Truyền dữ liệu: Dữ liệu được truyền với các cơ chế kiểm soát và quản lý
kèm theo (như kiểm soát lỗi, kiểm soát luồng dữ liệu…) để tăng cường độ

tin cậy và hiệu quả của việc truyền dữ liệu.
- Hủy bỏ liên kết (logic): Giải phóng tài nguyên hệ thống đã được cấp phát
cho liên kết để dùng cho liên kết khác. Đối với giao thức không liên kết thì
chỉ có duy nhất một giai đoạn truyền dữ liệu mà thôi.
1.2.2 Các chức năng chủ yếu của các tầng trong mô hình OSI
* Tầng vật lý (Physical): là tầng cuối cùng của mô hình OSI. Nó mô tả các đặc
trưng vật lý của mạng: các loại cáp được dùng để nối các thiết bị, các loại đầu nối
được dùng…mặt khác tầng vật lý cung cấp các đặc trưng điện của các tín hiệu,
được dùng để khi chuyển dữ liệu trên cáp từ một máy tính này đến một máy tính
khác.
* Tầng liên kết dữ liệu (datalink): Là tầng mà ở đó ý nghĩa được gán cho các bít
được truyền trên mạng, tầng liên kết dữ liệu phải được quy định được các kích
thước, địa chỉ máy gửi và nhận của mỗi gói tin được gửi đi. Tầng liên kết dữ liệu
có hai phương thức liên kết dựa trên cách kết nối các máy tính, đó là phương thức
“điểm -điểm” và phương thức “Điểm – nhiều điểm”. với phương thức “Điểm-
điểm”các đường truyền riêng biệt được thiết lập để nối các cặp máy tính lại với
nhau. Phương thức điểm- nhiều điểm” tất cả các máy phân chia chung một đường
truyền vật lý.
* Tầng mạng(networt): nhắm đến việc kết nối các mạng với nhau bằng cách tìm
đường (routing) cho các gói tin từ một mạng này đến một mạng khác. Tầng mạng
là quan trọng nhất khi liên kết hai loại mạng khác nhau như mạng Etherrnet với
mạng Token Ring. Khi đó phải tìm một bộ tìm đường để chuyển các gói tin từ
mạng này sang mạng khác và ngược lại.
17
* Tầng vận chuyển (Transport): là tầng cung cấp các chức năng cần thiết giữa
tầng mạng và các tầng trên. Nó là tầng cao nhất có liên quan đến các giao thức
trao đổi dữ liệu giữa các hệ thống mở. Nó cũng là tầng dưới cung cấp cho người
sử dụng các phục vụ vận chuyển.
Tầng vận chuyển còn là tầng cơ sở mà ở đó một máy tính của mạng chia sẻ thông
tin với một máy khác, thông thường tầng vân chuyển đánh số các gói tin và đảm

bảo chúng chuyển theo đúng thứ tự.
* Tầng giao dịch (session): Thiết lập “các giao dịch” giữa các trạm trên mạng. Ở
một thời điểm chỉ có một người sử dụng có quyền đặc biệt được gọi các dịch vụ
nhất định của tầng giao dịch. Tầng giao dịch có các hàm cơ bản sau:
- Give Token cho phép người sử dụng chuyển một token cho một người
sử dụng khác của một liên kết giao dịch.
- Please Token cho phép người sử dụng chưa có token có thể yêu cầu
token đó.
- Give control dùng để chuyển tất các token từ một người sử dụng sang
một người sử dụng khác.
* Tầng thể hiện (Presentation): Tầng thể hiện chịu trách nhiệm chuyển đổi dữ
liệu gửi đi trên mạng từ một loại biểu diễn nay sang một loại biểu diễn khác. Tầng
này cũng có thể được dùng kĩ thuật mã hóa để xáo trộn các dữ liệu trước khi
truyền đi và giải mã ở đầu đến để bảo mật. Ngoài ra tầng thể hiện cũng có thể
dùng các kỹ thuật nén sao cho chỉ cần một ít byte dữ liệu để thể hiện thông tin khi
nó được truyền ở trên mạng.
* Tầng ứng Dụng (Application): Là tầng cao nhất của mô hình OSI. Nó xác định
giao diện giữa người sử dụng và môi trường OSI và giải quyết các kỹ thuật mà các
chương trình ứng dụng dùng để giao tiếp với mạng.
1.3 Kiến trúc địa chỉ IP và địa chỉ MAC
1.3.1 kiến trúc địa chỉ IP
Giao thức liên mạng IP là một trong những giao thức quan trọng nhất của
bộ giao thức TCP/IP. Mục đích của giao thức liên mạng IP là cung cấp khả năng
18
kết nối các mạng con thành liên mạng để truyền dữ liệu. IP là giao thức cung cấp
dịch vụ phân phát datagram theo kiểu không liên kết và thông tin tin cậy, nghĩa là
không cần có giai đoạn thiết lập liên kết trước khi truyền dữ liệu, không đảm bảo
rằng datagram sẽ tới đích và không duy trì bất cứ thông tin nào về những datagram
đã gửi đi.
Địa chỉ IP (IPv4): Địa chỉ Ip (IPv4) có độ dài 32 bit và được tách thành 4

vùng, mỗi vùng (mỗi vùng một byte) thường được biểu diễn dưới dạng thập phân
và được cách nhau bởi dấu chấm (.).
VD: 203.162.7.92.
Địa chỉ IPv4 được chia thành 5 lớp A, B, C, D, E, trong đó ba lớp A, B ,C
được dùng để cấp phát. Các lớp này được dùng để phân biệt bởi các bít đầu tiên
trong địa chỉ.
Lớp A (0) cho phép định danh tới 126 mạng với tối đa 16 triệu trạm trên
mỗi mạng. Lớp này thường được dùng cho các mạng có số trạm cực lớn và rất khó
được cấp.
Lớp B (10) cho phép định danh tới 16384 mạng với tối đa 65534 trạm trên
mỗi mạng. lớp địa chỉ này phù hợp với nhiều yêu cầ nên được cấp phát nhiều nên
hiện nay đã trở nên khan hiếm.
Lớp C (110) cho phép định danh tới hai triệu mạng với tối đa 254 trạm trên
mỗi mạng. lớp này được dùng cho các, mạng có ít trạm.
Lớp D (1110) dùng để gửi gói tin IP đến một nhóm các trạm trên mạng
Lớp E (11110) dùng để dự phòng.
Dưới đây là bảng các địa chỉ Internet:
19
Lớp Khoảng Cách địa chỉ
A
B
C
D
E
0.0.0.0 đến 127.255.255.255
128.0.0.0 đến 191.255.255.255
192.0.0.0 đến 223.255.255.255
224.0.0.0 đến 239.255.255.255
240.0.0.0 đến 247.255.255.255
* Địa chỉ mạng con: Đối với địa chỉ lớp A,B số trạm trong một mạng là quá lớn

và trong thực tế thường không có một số lượng trạm lớn như vậy kết nối vào một
mạng đơn lẻ. Địa chỉ mạng con cho phép chỉ một mạng lớn thành các mạng con
nhỏ hơn. Người quản trị mạng có thể dùng một số bít đầu tiên của từng số hostid
trong địa chỉ IP để đặt địa chỉ mạng con. Chẳng hạn đối với một địa chỉ thuộc lớp
A, việc chia địa chỉ mạng có thể được thực hiện như sau:
Việc chia địa chỉ mạng con là hoàn toàn trong suất đối với các router nằm
bên ngoài mạng, nhưng nó là không trong suất đối với các router nằm bên trong
mạng.
*Mặt nạ địa chỉ mạng con: Bên cạnh địa chỉ IP, một trạm cũng cần được biết
việc định dạng địa chỉ mạng con: bao nhiêu bít trong trường hostid được dùng cho
phần địa chỉ mạng con. Thông tin này được chỉ ra trong trong mặt lạ địa chỉ mạng
con (subnet mask). Subnet mask cũng là một số 32 bit với các bít tương ứng với
phần netid và subnetid được đặt bằng 1 còn các bít còn lại được đặt băng 0.
Như vậy địa chỉ thực của một trạm sẽ là hợp của địa chỉ IP và subnet mask.
Ví dụ như địa chỉ lớp C: 203.162.7.92, trong đó:
203.162.7 : địa chỉ mạng
92: địa chỉ Ip của mạng
* Phân mảnh và hợp nhất các gói IP
Phân mảnh dữ liêu là một trong những chức năng quan trọng của giao thức
IP. Khi tầng IP nhận được IP datagram để gửi đi, IP sẽ so sánh kích thước của
20
datagram để gửi đi, IP sẽ so sánh kích thước của datagram với kích thước cực đại
cho phép MTU (Maximum Transfer Unit) vì tầng dữ liệu qui định kích thước lớn
nhất của frame có thể truyền tải được, và sẽ phân mảnh nếu lớn hơn. Một IP
datagram bị phân mảnh sẽ được ghép lại bởi tầng IP của trạm nhận với các thông
tin từ phần header như indentification,flag và fragment offset. Tuy nhiên nếu một
phần của datagram bị mất trên đường truyền thì toàn bộ datagram phải được
truyền lại.
1.3.2 Địa chỉ MAC
Phần này, em xin trình bày qua về địa chỉ MAC; chức năng chuyển mạch

của một switch (lấy switch của Cisco làm ví dụ) dựa vào bảng CAM (Content
Address Memory) và việc lợi dụng bảng CAM để tấn công switch.
1.3.2.1. Địa chỉ MAC
Địa chỉ MAC (Media Access Control) : là kiểu địa chỉ vật lí, đặc trưng cho
một thiết bị hoặc một nhóm các thiết bị trong mạng LAN. Địa chỉ này được dùng
để nhận diện các thiết bị giúp cho các gói tin lớp 2 có thể đến đúng đích.
Một địa chỉ MAC bao gồm 6 byte và thường được viết dưới dạng hexa, với các
thiết bị của Cisco, địa chỉ này được viết dưới dạng 4 số hecxa ,ví dụ:
0000.0C12.FFFF là một địa chỉ MAC hợp lệ. Để đảm bảo địa chỉ MAC của một
thiết bị là duy nhất, các nhà sản xuất cần phải ghi địa chỉ đó lên ROM của thiết bị
phần cứng và định danh của nhà sản xuất sẽ được xác định bởi 3 byte đầu OUI
(Organizationally Unique Identifier).
Địa chỉ MAC được phân làm 3 loại
 Unicast: đây là loại địa chỉ dùng để đại diện cho một thiết bị duy nhất.
 Multicast: đây là loại địa chỉ đại diện cho một nhóm các thiết bị trong
mạng LAN. Địa chỉ được dùng trong trường hợp một ứng dụng có thể
muốn trao đổi với một nhóm các thiết bị. Bằng cách gửi đi một bản tin có
địa chỉ multicast; tất cả các thiết bị trong nhóm đều nhận và xử lí gói tin
trong khi các thiết bị còn lại trong mạng sẽ bỏ qua. Giao thức IP cũng hỗ
trợ truyền multicast. Khi một gói tin IP multicast được truyền qua một
21
mạng LAN, địa chỉ MAC multicast tương ứng với địa chỉ IP sẽ là
0100.5exxx.xxxx.
 Broadcast: địa chỉ này đại diện cho tất cả các thiết bị trong cùng một mạng
LAN. Điều đó cũng có nghĩa là nếu một gói tin có địa chỉ MAC là
FFFF.FFFF.FFFF được gửi đi thì tất cả các thiết bị trong mạng LAN đều
phải thu nhận và xử lí.
1.3.2.2. Chức năng chuyển mạch của switch
Việc đưa thiết bị chuyển mạch vào một mạng LAN có nhiều mục đích
nhưng mục đích quan trong nhất là để chia một mạng LAN ra thành nhiều vùng

khác nhau nhằm giảm thiểu việc xung đột gói tin khi có quá nhiều thiết bị được
nối vào cùng một môi trường truyền dẫn. Các vùng được phân chia này được gọi
là các collision domain.Chức năng chính của switch là vận chuyển các frame lớp 2
qua lại giữa các collision domain này. Các collision domain này còn được gọi là
các đoạn mạng LAN (LAN segment).
Để có thể vận chuyển chính xác được gói tin đến đích, switch cần phải có
một sơ đồ ánh xạ giữa địa chỉ MAC của các thiết bị vật lí gắn tương ứng với cổng
nào của nó. Sơ đồ này được lưu lại trong switch và được gọi là bảng CAM
(Content Address Memory).
Quá trình vận chuyển gói tin qua switch có thể được mô tả như sau:
• Nếu địa chỉ MAC nguồn của gói tin chưa có trong bảng CAM; switch sẽ
cập nhật với cổng tương ứng. Nếu địa chỉ MAC nguồn đã tồn tại trong bảng
nhưng với một cổng khác, switch sẽ báo lỗi “MAC flapping” và huỷ gói tin.
• Nếu địa chỉ đích của gói tin là địa chỉ multicast hoặc địa chỉ broadcast hoặc
là địa chỉ unicast nhưng ánh xạ của địa chỉ này không tồn tại trong bảng
CAM trước đó thì gói tin sẽ được gửi ra tất cả các cổng của switch trừ cổng
mà nó nhận được gói tin.
• Nếu địa chỉ đích của gói tin là địa chỉ unicast và ánh xạ của địa chỉ tồn tại
trong bảng CAM đồng thời cổng mà nó nhận được gói tin khác với cổng
22
mà gói tin cần được chuyển đi thì nó sẽ gửi gói tin đến chính xác cổng có
trong bảng CAM.
• Các trường hợp còn lại, gói tin sẽ bị huỷ.
Ví dụ:
Hình 1.6: Chức năng chuyển mạch của switch
Trong ví dụ trên, khi host A gửi bản tin đến host B. Do switch chưa có địa
chỉ MAC của B trong bảng CAM của mình nên switch sẽ gửi broadcast ra mọi
cổng còn lại đồng thời sẽ lưu lại địa chỉ MAC của A vào bảng CAM. Sau khi host
B nhận được bản tin từ A; B gửi lại tin cho A. Khi đó, switch đã có địa chỉ của A
nên sẽ gửi unicast tới port 1 đồng thời cập nhật địa chỉ MAC của B vào bảng

CAM.
Các thao tác đối với bảng CAM của một switch [1]:
 Để xem nội dung bảng CAM của switch, dùng lệnh:
23
Switch# show mac address-table dynamic [address mac-address
interface type mod/num |vlan vlan-id]
Lệnh này sẽ liệt kê tất cả các địa chỉ MAC mà switch học được. Nếu muốn cụ thể
hơn, có thể tìm được vị trí của host đã gắn vào switch bằng cách chỉ
ra địa chỉ của nó hoặc có thể tìm được những địa chỉ MAC đã được học từ một
giao diện nào đó.
Ví dụ: Host có địa chỉ MAC 0050.8b11.54da đã được gắn vào cổng
Fastethernet 0/1 của switch:
Hình 1.2: Nội dung bảng CAM của switch.
 Xem kích thước bảng CAM của switch, dùng lệnh:
Switch# show mac address-table count
 Xoá các ánh xạ trong bảng CAM, dùng lệnh:
Switch# clear adress-table dynamic [address mac-address |
interface type mod/num |vlan vlan-id]
24
1.4 Một số kiểu tấn công cơ bản
a, Kiểu tấn công làm tràn bảng CAM (MAC flooding)
1.4.1. Phương thức tấn công
Kiểu tấn công làm tràn bảng CAM dựa vào điểm yếu của thiết bị chuyển
mạch: bảng CAM chỉ chứa được một số hữu hạn các ánh xạ (ví dụ như switch
Catalysh 6000 có thể chứa được tối đa 128000 ánh xạ) và các ánh xạ này không
phải tồn tại mãi mãi trong bảng CAM [4]. Sau một khoảng thời gian nào đó,
thường là 300 s; nếu địa chỉ này không được dùng trong việc trao đổi thông tin thì
nó sẽ bị gỡ bỏ khỏi bảng.
Khi bảng CAM được điền đầy, tất cả thông tin đến sẽ được gửi đến tất cả các cổng
của nó trừ cổng nó nhận được. Lúc này chức năng của switch không khác gì chức

năng của một hub.
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×