Đồ án: Tìm hiểu về giao thức DHCPv6
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.46 MB, 75 trang )
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA VIỄN THÔNG I
----------
ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
Đề tài:
TÌM HIỂU VỀ GIAO THỨC CẤU HÌNH ĐỊA CHỈ
TỰ ĐỘNG CHO IPv6
Người hướng dẫn
:
ThS. NGUYỄN ANH ĐỨC
Sinh viên thực hiện :
NGUYỄN HỮU QUÝ
Lớp
:
D11VT7
Khoá
:
2011 - 2016
Hệ
:
ĐẠI HỌC CHÍNH QUY
Hà Nội – 2015
Đồ án tốt nghiệp Đại học
Lời cảm ơn
LỜI CẢM ƠN
Em xin chân thành cảm ơn Viện Khoa Học Kỹ Thuật Bưu Điện, Học Viện Công
Nghệ Bưu Chính Viễn Thông đã tạo điều kiện tốt nhất cho em có thể hoàn thành đồ án
tốt nghiệp này.
Em xin chân thành cảm ơn thầy giáo Nguyễn Anh Đức hiện đang công tác tại Viện
Khoa Học Kỹ Thuật Bưu Điện đã tận tình hướng dẫn và chỉ bảo cho em những kiến thức
quý báu trong quá trình thực hiện đồ án tốt nghiệp đai học.
Em xin chân thành cảm ơn quý thầy cô trong khoa Viễn Thông 1 đã tận tình giảng
dạy, trang bị cho em những kiến thức quý báu trong thời gian học tập tại Học Viện Công
Nghệ Bưu Chính Viễn Thông.
Em xin chân thành cảm ơn gia đình, anh chị, bạn bè đã ủng hộ, giúp đỡ và động
viên em trong suốt thời gian học tập và nghiên cứu tại Học Viện Bưu Chính Viễn Thông.
Em đã cố gắng hết sức mình để hoàn thành đồ án tốt nghiệp trong phạm vi và khả
năng cho phép nhưng chắc chắn sẽ không thể tránh khỏi những sai sót trong quá trình
thực hiện đồ án tốt nghiệp, rất mong quý thầy cô và các bạn thông cảm.
Em mong rằng sẽ nhận được những ý kiến đóng góp quý báu của quý thầy cô và các
bạn.
Em xin chân thành cảm ơn!
Sinh viên thực hiện
Nguyễn Hữu Quý
SVTH: NGUYỄN HỮU QUÝ – D11VT7
i
Đồ án tốt nghiệp Đại học
Mục lục
MỤC LỤC
LỜI CẢM ƠN ................................................................................................. i
MỤC LỤC ...................................................................................................... ii
DANH MỤC BẢNG BIỂU, HÌNH VẼ ........................................................ v
DANH MỤC THUẬT NGỮ VIẾT TẮT ................................................... vii
LỜI MỞ ĐẦU ................................................................................................ 1
CHƯƠNG I: TỔNG QUAN VỀ GIAO THỨC DHCP ............................. 2
1.1.
DHCP là gì? ...................................................................................... 3
1.2.
Lịch sử ra đời và phát triển ................................................................ 3
1.3.
Ý nghĩa của việc sử dụng DHCP ........................................................ 4
1.4.
Một số thuật ngữ thường dùng trong DHCP ........................................ 5
1.5.
Hoạt động của DHCP ........................................................................ 5
1.6.
DHCP Relay Agent ........................................................................... 8
1.7.
Một số cơ chế của DHCP ................................................................... 9
1.8.
Bảo mật trong DHCP ....................................................................... 10
1.8.1.
Bảo mật cơ bản cho DHCP Server ............................................... 10
1.8.2.
Một số kiểu tấn công và cách phòng tránh .................................... 10
1.9.
Kết luận chương .............................................................................. 14
CHƯƠNG 2: GIỚI THIỆU VỀ IPV6 ....................................................... 15
2.1.
Một số vấn đề của IPv4.................................................................... 15
2.1.1.
Thiếu địa chỉ IP ........................................................................... 15
2.1.2.
Cấu trúc định tuyến không hiệu quả ............................................. 16
2.1.3.
Yêu cầu về an ninh thông tin ở lớp mạng ..................................... 16
2.1.4.
Nhu cầu về chất lượng dịch vụ QoS ............................................. 16
2.2.
Sự ra đời và các tính năng của IPv6 .................................................. 17
2.2.1.
Sự ra đời của IPv6 ....................................................................... 17
2.2.2.
Các tính năng của IPv6 ................................................................ 17
2.3.
Cấu trúc, phân bổ và cách viết địa chỉ IPv6 ....................................... 19
SVTH: NGUYỄN HỮU QUÝ – D11VT7
ii
Đồ án tốt nghiệp Đại học
Mục lục
2.3.1.
Cấu trúc gói tin IPv6 trong mạng LAN......................................... 19
2.3.2.
Phân bổ địa chỉ IPv6 ................................................................... 19
2.3.3.
Cấp phát địa chỉ IPv6 .................................................................. 21
2.3.4.
Cách viết địa chỉ IPv6 ................................................................. 23
2.4.
Các loại địa chỉ IPv6........................................................................ 24
2.4.1.
Địa chỉ unicast ............................................................................ 24
2.4.2.
Địa chỉ anycast............................................................................ 29
2.4.3.
Địa chỉ Multicast ......................................................................... 31
2.4.4.
Các dạng địa chỉ IPv6 khác .......................................................... 33
2.4.5.
Phương thức gán địa chỉ Ipv6 ...................................................... 35
2.4.6.
So sánh giữa Ipv4 và Ipv6 về địa chỉ ............................................ 36
2.5.
Tự cấu hình địa chỉ trong IPv6 ......................................................... 36
2.6.
Kết luận chương .............................................................................. 39
CHƯƠNG 3: GIAO THỨC DHCPv6 ....................................................... 40
3.1
Giới thiệu về giao thức DHCPv6 ...................................................... 40
3.2
Các thành phần mạng sử dụng DHCPv6 ........................................... 41
3.3
Cấu trúc gói tin trong DHCPv6 ........................................................ 42
3.3.1. Cấu trúc gói tin DHCPv6 trao đổi giữa client và server .................. 42
3.3.2. Cấu trúc gói tin DHCPv6 trao đổi giữa Relay Agent và Server ....... 43
3.4
Các dạng gói tin trong DHCPv6 ....................................................... 44
3.4.1. Các dạng gói tin DHCPv6 ............................................................ 44
3.4.2. Các gói tin tương ứng của DHCPv6 trong DHCPv4 ....................... 47
3.5
Hoạt động của giao thức DHCPv6 .................................................... 48
3.5.1. Các thông số hoạt động của DHCPv6 ............................................ 48
3.5.2. Xác định Client trong DHCPv6 ..................................................... 48
3.5.3. Hoạt động của Router trong DHCPv6 ........................................... 50
3.5.4. Nguyên lý hoạt động của DHCPv6................................................ 51
3.6
Kết luận chương .............................................................................. 57
CHƯƠNG 4: MÔ PHỎNG HỆ THỐNG .................................................. 58
SVTH: NGUYỄN HỮU QUÝ – D11VT7
iii
Đồ án tốt nghiệp Đại học
Mục lục
4.1.
Giới thiệu mô phỏng ........................................................................ 58
4.2.
Quá trình mô phỏng ......................................................................... 58
4.2.1. Máy ảo server .............................................................................. 58
4.2.2. Máy ảo client ............................................................................... 60
4.3.
Kết luận chương .............................................................................. 64
KẾT LUẬN .................................................................................................. 65
TÀI LIỆU THAM KHẢO .......................................................................... 66
SVTH: NGUYỄN HỮU QUÝ – D11VT7
iv
Đồ án tốt nghiệp Đại học
Danh mục bảng biểu, hình vẽ
DANH MỤC BẢNG BIỂU, HÌNH VẼ
BẢNG BIỂU
Bảng 2.1: Bảng phân bổ các loại địa chỉ IPv6...............................................................20
Bảng 2.2: Các giá trị của trường phạm vi......................................................................32
Bảng 2.3: So sánh địa chỉ Ipv4 và Ipv6 .........................................................................36
Bảng 3.1: Các thông số mặc định của các gói tin DHCPv6……………………...45
Bảng 3. 2: Các gói tin tương ứng của DHCPv6 trong DHCPv4 ........................ 47
Bảng 3.3: Mô tả trạng thái cờ “M” và cờ “O” .................................................... 50
HÌNH VẼ
Hình 1.1: Mô hình mạng sử dụng giao thức DHCP.............................................. 6
Hình 1.2: Client gửi bản tin DHCP Discover ....................................................... 7
Hình 1.3: DHCP Server gửi bản tin DHCP Offer về Client ................................. 7
Hình 1.4: Client gửi bản tin Request đến DHCP Server....................................... 8
Hình 1.5: DHCP Server gửi bản tin DHCP Ack về Client ................................... 8
Hình 1.6: DHCP Relay Agent tham gia vào quá trình cấp địa chỉ IP ................... 9
Hình 1.7: Tấn công vét cạn IP ............................................................................. 10
Hình 1.8: Tấn công Man-in-th-middle bằng cách giả mạo DHCP Server .......... 12
Hình 1.9: Kẻ tấn công xem trộm thông tin bằng Default gateway giả mạo ....... 12
Hình 1.10: Tấn công Man-in-the-middle bằng cách giả mạo DNS Server......... 13
Hình 1.11: Kẻ tấn công lấy cắp thông tin bằng DNS Server giả mạo ................ 13
Hình 2.1: Cấu trúc khung của Ipv6 tại lớp 2 trong mạng LAN…………………..19
Hình 2.2: Cấu trúc khung truyền dẫn Ipv6 trong mạng Ethernet II .................... 19
Hình 2.3: Cấu trúc địa chỉ IPv6 dang Global Unicast......................................... 22
Hình 2.4: Cấu trúc dạng địa chỉ Unicast ............................................................. 25
Hình 2.5: Ba phần của chia chỉ Unicast .............................................................. 26
Hình 2.6: Cấu trúc của địa chỉ Link-local như sau ............................................. 27
Hình 2.7: Hai máy trạm kết nối dùng địa chỉ Link Local ................................... 28
Hình 2.8: Cấu trúc địa chỉ Site-local ................................................................... 28
Hình 2.9: Các loại địa chỉ cần gán đối với một Site vào mạng IPv6 .................. 29
Hình 2.10: Cấu trúc địa chỉ IPX theo Ipv6 ......................................................... 29
Hình 2.11: Cấu trúc địa chỉ anycast .................................................................... 30
SVTH: NGUYỄN HỮU QUÝ – D11VT7
v
Đồ án tốt nghiệp Đại học
Danh mục bảng biểu, hình vẽ
Hình 2.12: Cấu trúc của địa chỉ multicast ........................................................... 31
Hình 2.13: Cấu trúc địa chỉ Multicast được phân bố lại ..................................... 33
Hình 2.14: Dùng Stateless để cấu hình Prefix và Interface ID ........................... 37
Hình 2.15: Tự cấu hình địa chỉ Link-Local......................................................... 38
Hình 2.16: Quá trình tự cấu hình địa chỉ Stateless.............................................. 38
Hình 3.1: Mô hình mạng sử dụng DHCPv6……………………………………..41
Hình 3.2: Cấu trúc gói tin DHCPv6 trao đổi giữa client và server ..................... 42
Hình 3.3: Cấu trúc cơ bản của trường Option ..................................................... 42
Hình 3.4: Cấu trúc gói tin DHCPv6 trao đổi giữa Relay Agent và Server ......... 43
Hình 3.5: Client và Server thuộc cùng dải mạng ................................................ 51
Hình 3.6: Quá trình trao đổi bản tin DHCPv6 của client và server .................... 52
Hình 3.7: Quá trình trao đổi bản tin DHCPv6 giữa client-server trong chế độ Rapid
commit ................................................................................................................. 53
Hình 3.8: Quá trình client gia hạn thời gian sử dụng dịch vụ DHCPv6 ............. 54
Hình 3.9: Client và Server nằm khác dải mạng .................................................. 55
Hình 3.10: Quá trình trao đổi bản tin giữa client - Relay Agent - Server........... 55
Hình 3. 11: Quá trình trao đổi client - server ở chế độ Stateless ........................ 56
Hình 4.1: Mô hình mạng LAN mô phỏng hệ thống.………………………….....58
Hình 4.2: Thông tin địa chỉ mô phỏng của server............................................... 59
Hình 4.3: Thông số cấu hình dịch vụ DHCPv6 trên server ................................ 60
Hình 4.4: Cài đặt card mạng sử dụng IPv6 cho client ........................................ 60
Hình 4.5: Bắt gói tin trong quá trình cấp DHCPv6 bằng Wireshark .................. 61
Hình 4.6: Gói tin Solicit ...................................................................................... 61
Hình 4.7: Gói tin Advertise ................................................................................. 62
Hình 4.8: Gói tin Request .................................................................................... 62
Hình 4.9: Gói tin Reply ....................................................................................... 63
Hình 4.10: Thông tin địa chỉ của client ............................................................... 63
Hình 4. 11: Quá trình gia hạn thời gian sử dụng dịch vụ DHCPv6 .................... 64
SVTH: NGUYỄN HỮU QUÝ – D11VT7
vi
Đồ án tốt nghiệp Đại học
Danh mục thuật ngữ viết tắt
DANH MỤC THUẬT NGỮ VIẾT TẮT
Từ viết
tắt
Tiếng Anh
Tiếng Việt
AH
Authentication Header
Mào đầu bảo mật
APIPA
Automatic Private IP Addressing
Địa chỉ mạng riêng tự động
ARP
Address Resolution Protocol
Giao thức phân giải địa chỉ
BOOTP
Bootstrap Protocol
Giao thức tải và khởi động
DAD
Duplicate Address Detection
Phát hiện trùng lặp địa chỉ
DES
Data Encryption Standard
Tiêu chuẩn mã hóa khối
DHCP
Dynamic Host Configuration Protocol
Giao thức cấu hình máy chủ
động
DHCPv6 Dynamic Host Configuration Protocol Giao thức cấu hình máy chủ
Version 6
động phiên bản 6
DNS
Domain Name System
Hệ thống tên miền
DUID
DHCP Unique Identifier
Định danh duy nhất DHCP
ESP
Encapsulation Security Payload
Tải trọng đóng gói bảo mật
IAID
Identity Association Identifier
Hiệp hội định danh nhận dạng
IANA
Internet Assigned Numbers Authority
Tổ chức cấp phát số hiệu mạng
ICMP
Internet Control Message Protocol
Giao thức điều khiển gói mạng
ICMPv6
Internet Control
Version 6
IETF
Internet Engineering Task Force
Lực lượng quản ký kỹ thuật
IGMP
Internet Group Management Protocol
Giao thức quản lý nhóm
IP
Internet Protocol
Giao thức mạng
IPSEC
Internet Protocol Security
Bảo mật giao thức mạng
IPv6
Internet Protocol Version 6
Giao thức mạng phiên bản 6
IPX
Internetwork Packet Exchange
Trao đổi gói tin mạng
ISP
Internet Service Provider
Nhà cung cấp dịch vụ mạng
Message
SVTH: NGUYỄN HỮU QUÝ – D11VT7
Protocol Giao thức điều khiển gói mạng
phiên bản 6
vii
Đồ án tốt nghiệp Đại học
Danh mục thuật ngữ viết tắt
LAN
Local Area Network
Mạng cục bộ
MAC
Media Access Control
Điều khiển truy nhập đa
phương tiện
NA
Neighbor Advertisement
Quảng bá láng giềng
NAT
Network Address Translation
Biên dịch địa chỉ mạng
NLA
Next Level Aggregation
Tập hợp cấp độ tiếp theo
NS
Neighbor Solicitation
Phát hiện láng giềng
NSAP
Network Service Access Point
Điểm truy nhập dịch vụ mạng
QoS
Quanlity of Service
Chất lượng của dịch vụ
RA
Router Advertisement
Quảng bá bộ định tuyến
RARP
Reverse Address Resolution Protocol
Giao thức phân giải địa chỉ
ngược
RFC
Request For Comment
Đề nghị duyệt thảo và bình
luận
RIR
Regional Internet Registry
Khu vực đăng kiểm mạng
RS
Router Solicition
Phát hiện bộ địch tuyến
SLA
Service Level Aggregation
Tập hợp cấp độ dịch vụ
TCP
Transmission Control Protocol
Giao thức điều khiển truyền
vận
TLA
Top Level Aggregation
Tập hợp cấp độ hàng đầu
UDP
User Datagram Protocol
Giao thức sử dụng gói dữ liệu
VPN
Virtual Private Network
Mạng riêng ảo
WLAN
Wireless Local Area Network
Mạng cục bộ không dây
SVTH: NGUYỄN HỮU QUÝ – D11VT7
viii
Đồ án tốt nghiệp Đại học
Lời mở đầu
LỜI MỞ ĐẦU
Mạng Internet và các mạng dùng công nghệ IP đã trở nên rất quan trọng trong cuộc
sống xã hội hiện đại ngày nay. Với việc mạng Internet toàn cầu đang phát triển một cách
nhanh chóng, sự phát triển này cùng với sự tích hợp dịch vụ, triển khai những dịch vụ
mới, kết nối nhiều mạng khác nhau, như mạng di động với mạng Internet đã đặt ra vấn
đề thiếu tài nguyên chung. Việc sử dụng hệ thống địa chỉ hiện tại cho mạng Internet
IPv4 đã không đáp ứng nổi sự phát triển của mạng Internet toàn cầu. Do đó, nghiên cứu
ứng dụng một hệ thống địa chỉ mới (IPv6) để đáp ứng được nhu cầu của con người là
điều tất yếu. Thật vậy, nhiều nước trên thế giới đã bắt đầu chuyển đổi địa chỉ sang địa
chỉ IPv6 và Việt Nam cũng không phải ngoại lệ. Các tập đoàn viễn thông lớn ở Việt
Nam như VNPT, Viettel,.. đang trong quá trình thử nghiệm và sẽ bắt đầu cung cấp dịch
vụ IPv6 vào đầu năm 2016.
Giao thức DHCP là giao thức phổ biến cho mạng Internet ngày này cho phép tự
động cấp phát, quản lý địa chỉ IP, giúp các nhà cung cấp mạng tiết kiệm số lượng địa
chỉ IP thật, tiết kiệm và giảm thiểu chi phí quản trị cho hệ thống mạng,.. Ngoài ra, giao
thức DHCPv6 còn khả năng cung cấp các thông số cấu hình khác (ví dụ như DNS,…).
Nhờ những tính năng ấy, DHCP trở nên phổ biến và đã đóng vai trò vô cùng quan trọng
trong mạng Internet.
Giao thức DHCP danh cho địa chỉ IPv6 đã có sự khác biệt về phương thức hoạt
động cùng với sự phát triển riêng biệt để có thể thích ứng với những đặc tính mới của
dạng địa chỉ IPv6. Vì vậy, đồ án này sẽ nghiên cứu về nguyên lý hoạt động, các tính
năng và đánh giá về khả năng sử dụng dịch vụ DHCP cho IPv6.
Nội dung của đồ án sẽ gồm 4 chương sau:
Chương I: Tổng quan về giao thức DHCP sẽ giới thiệu tổng quan về phương thức
hoạt động và các đặc tính của giao thức DHCP cho phiên bản IPv4.
Chương II: Giới thiệu về IPv6 đưa ra các quy định về địa chỉ trong IPv6 cùng với
đó là sự phát triển của IPv6 so với IPv4.
Chương III: Giao thức DHCPv6 tìm hiểu về phương thức hoạt động cùng với các
đặc tính, tình năng mới của giao thức DHCP mà phiên bản dành cho IPv4 không có.
Chương IV: Mô phỏng hệ thống sẽ trình bày mô hình, mô phỏng hoạt động của
giao thức DHCPv6, đưa ra kết quả và phân tích dựa trên các phần mềm mô phỏng.
SVTH: NGUYỄN HỮU QUÝ – D11VT7
1
Đồ án tốt nghiệp Đại học
Chương I: Tổng quan về DHCP
CHƯƠNG I: TỔNG QUAN VỀ GIAO THỨC DHCP
Ngày nay, sự phát triển công nghệ thông tin đang diễn ra mạnh mẽ, các máy tính
càng cần thiết phải kết nối với nhau để thực hiện các công việc nội bộ, cũng như liên kết
các cơ quan, xí nghiệp, cộng đồng con người lại với nhau, phục vụ đời sống của con
người hiệu quả cao. Mà hiện nay bộ giao thức TCP/IP là một bộ các giao thức truyền
thông cài đặt chồng giao thức mà Internet và hầu hết các mạng máy tính thương mại
đang chạy trên đó. Các máy tính trong mạng nhận ra nhau nhờ vào địa chỉ IP mà trước
đó người quản trị mạng phải gán cho từng máy tính một. Mỗi thiết bị trên mạng cơ sở
TCP/IP phải có một địa chỉ IP duy nhất để truy cập mạng và sử dụng các tài nguyên.
DHCP tập trung việc quản lý địa chỉ IP ở các máy tính trung tâm chạy chương trình
DHCP. Mặc dù có thể gán địa chỉ IP vĩnh viễn cho bất cứ máy tính nào trên mạng,
DHCP cho phép gán tự động. Để máy khách có thể nhận địa chỉ IP từ máy chủ DHCP,
ta khai báo cấu hình để máy khách "nhận địa chỉ tự động từ một máy chủ". Tùy chọn
này xuất hiện trong vùng khai báo cấu hình TCP/IP của đa số hệ điều hành. Một khi tùy
chọn này được thiết lập, máy khách có thể "thuê" một địa chỉ IP từ máy chủ DHCP bất
cứ lúc nào. Phải có ít nhất một máy chủ DHCP trên mạng. Sau khi cài đặt DHCP, ta tạo
một phạm vi DHCP (scope), là vùng chứa các địa chỉ IP trên máy chủ, và máy chủ cung
cấp địa chỉ IP trong vùng này.
DHCP là một thuận lợi rất lớn đối với người điều hành mạng. Nó làm yên tâm về
các vấn đề cố hữu phát sinh khi phải khai báo cấu hình thủ công. Hãy xem sự so sánh
dưới đây để biết DHCP làm nhẹ bớt công việc như thế nào:
Không có DHCP: Khi cấu hình thủ công, ta phải gán địa chỉ cho mọi máy trạm trên
mạng. Người dùng phải gọi đến ta để biết địa chỉ IP vì ta không muốn phụ thuộc vào họ
để cấu hình địa chỉ IP. Cấu hình nhiều địa chỉ IP có khả năng dẫn đến lỗi, rất khó theo
dõi và sẽ dẫn đến lỗi truyền thông trên mạng. Cuối cùng ta sẽ hết địa chỉ IP đối với mạng
con nào đó hoặc đối với toàn mạng nếu ta không quản lý cẩn thận các địa chỉ IP đã cấp
phát. Ta phải thay đổi địa chỉ IP ở máy trạm nếu nó chuyển sang mạng con khác. Người
dùng di động đi từ nơi này đến nơi khác, có nhu cầu thay đổi địa chỉ IP nếu họ nối với
mạng con khác trên mạng.
Có DHCP: Máy chủ DHCP tự động cho người dùng thuê địa chỉ IP khi họ vào
mạng. Ta chỉ cần đặc tả phạm vi các địa chỉ có thể cho thuê tại máy chủ DHCP. Ta sẽ
không bị ai quấy rầy về nhu cầu biết địa chỉ IP.
DHCP tự động quản lý các địa chỉ IP và loại bỏ được các lỗi có thể làm mất liên
lạc. Nó tự động gán lại các địa chỉ chưa được sử dụng. DHCP cho thuê địa chỉ trong
một khoảng thời gian, có nghĩa là những địa chỉ này sẽ còn dùng được cho các hệ thống
khác. Ta hiếm khi bị hết địa chỉ. DHCP tự động gán địa chỉ IP thích hợp với mạng con
chứa máy trạm này. Cũng vậy, DHCP tự động gán địa chỉ cho người dùng di động tại
mạng con họ kết nối.
SVTH: NGUYỄN HỮU QUÝ – D11VT7
2
Đồ án tốt nghiệp Đại học
Chương I: Tổng quan về DHCP
Trình tự thuê Địa chỉ IP DHCP là một giao thức Internet có nguồn gốc ở BOOTP
(Bootstrap Protocol), được dùng để cấu hình các trạm không đĩa. DHCP khai thác ưu
điểm của giao thức truyền tin và các kỹ thuật khai báo cấu hình được định nghĩa trong
BOOTP, trong đó có khả năng gán địa chỉ. Sự tương tự này cũng cho phép các bộ định
tuyến hiện nay chuyển tiếp các thông điệp BOOTP giữa các mạng con cũng có thể
chuyển tiếp các thông điệp DHCP. Vì thế, máy chủ DHCP có thể đánh địa chỉ IP cho
nhiều mạng con.
Với sự cần thiết như trên, DHCP là giao thức không thể thiếu cho mạng Internet
ngày nay.
1.1.
DHCP là gì?
DHCP (viết tắt là Dynamic Host Configuration Protocol) là giao thức cấu hình Host
động, được thiết kế nhằm làm giảm thời gian cài đặt cấu hình cho mạng TCP/IP bằng
cách tự động gán địa chỉ IP cho các máy khách (client) khi tham gia vào mạng.
DHCP cung cấp thông số cấu hình đến host mạng. DHCP gồm 2 thành phần: một
giao thức để cung cấp thông số cấu hình từ một máy chủ DHCP (DHCP server) đến một
host và một cơ chế cho việc phân bổ địa chỉ mạng đến các host
DHCP được xây dựng dựa trên mô hình client-server. Server là nơi phân bổ các địa
chỉ mạng và cung cấp thông số cấu hình một cách tự động đến các host. Trong khi đó,
client để chỉ các host có yêu cầu khởi tạo thông số từ DHCP server.
DHCP được tổ chức IETF (Internet Engineering Task Force) đưa ra trong RFC
1531.
1.2. Lịch sử ra đời và phát triển
Bộ giao thức TCP/IP đã có mặt từ rât lâu, và vấn đề làm thế nào tự động hóa việc
cấu hình các thông số cho các máy sử dụng địa chỉ IP đã có từ lâu. Vào đầu thập niên
1980, các mạng điện toán còn nhỏ cà tương đối đơn giản. Việc cấu hình tự động TCP/IP
không được coi là quan trọng lắm mặc dù có sự khó khăn trong cấu hình các thông số
bằng tay. Nó quan trọng ở chỗ không có cách nào khác để cấu hình các máy trạm không
có ổ đĩa cứng.
Nếu một thiết bị không thể lưu giữ dữ liệu bên trong máy, thì thiết bị phải nhờ đến
một thiết bị bên ngoài để nói cho nó biết “nó là ai” (địa chỉ của nó) và phải vận hành
như thế nào mỗi lần mở máy. Khi một thiết bị như thế được bật lên, nó phải liên lạc với
một thiết bị khác để nhờ thiết bị này cung cấp thông tin cho nó biết làm sao liên lạc được
với nhau bằng cách sử dụng IP. Tiến trình này gọi là bootstrapping.
Giao thức RARP (Reverse Address Resolution Protocol) là giao thức đầu tiên được
tạo ra để giải quyết “vấn đề bootstrap”. RARP ra đời năm 1984, là một biến thể trực
tiếp từ giao thức ARP (Address Resolution Protocol), một giao thức phân giải địa chỉ
liên kết giữa địa chỉ IP thuộc lớp Network và địa chỉ MAC thuộc lớp Liên kết dữ liệu
(Datalink). RARP có khả năng cấp địa chỉ IP cho thiết bị không có ổ đĩa cứng, bằng
cách dùng sự trao đổi đơn giản theo mô hình client/server.
SVTH: NGUYỄN HỮU QUÝ – D11VT7
3
Đồ án tốt nghiệp Đại học
Chương I: Tổng quan về DHCP
RARP có rất nhiều hạn chế: Nó hoạt động ở lớp Data-link nên nó đòi hỏi phải có sự
điều chỉnh phù hợp với từng nhà sản xuất, RARP đòi hỏi phải có 1 server RARP nằm
trên cùng một mạng con với thiết bị yêu cầu, RARP yêu cầu người quản trị cấu hình IP
bằng tay để lưu thông tin trên server, và hạn chế lớn nhất là RARP chỉ cấp địa chỉ IP mà
không cho thêm một thông tin nào khác. RARP rõ ràng không đủ sức cung cấp thông
tin cấu hình TCP/IP cho các máy tính. Để hỗ trợ vừa cho các máy tính không đĩa cứng
vừa cho việc cấu hình TCP/IP tự động, vì thế mà BOOTP (Boostrap) được tạo ra.
BOOTP ra đời vào tháng 9 năm 1985 và được chuẩn hóa trong RFC 951. Giao thức này
được phát triển để giải quyết các hạn chế của RARP.
- Nó vẫn dựa vào quan hệ client/server nhưng được triển khai ở tần cao hơn, dùng
giao thức UDP cho việc vận chuyển. Nó không còn phụ thuộc vào địa chỉ MAC
của nhà sản xuất như RARP.
- Hỗ trợ thêm gửi thông tin tới máy client ngoài địa chỉ IP. Thông tin thêm này
được gửi trong một thông điệp duy nhất.
- Có thể sử dụng trên nhiều mạng con khác nhau. Điều này cho phép quản lý địa
chỉ IP tập trung ở một server.
BOOTP là giao thức cấu hình TCP/IP được lựa chọn hàng đầu từ giữa thập niên
1980 cho đến cuối thập niên 1990. Phần mở rộng cho nhà sản xuất đưa vào trong RFC
1084 đã trở nên phổ biến, sau khi trải qua nhiều năm có nhiều phần mở rộng do các nhà
sản xuất chỉ định., RFC 1048 được thay thế bằng RFC 1084, 1395 và 1497. Dẫn đến
việc sự lẫn lộn phát sinh khi trai qua nhiều năm trong việc giải thích một vài phần trong
RFC 951 và làm sao một vài tính năng của BOOTP có thể thực hiện được.
Trong hoàn cảnh như vậy, RFC 1542 ra đời năm 1993 để giải quyết những vấn đề
mơ hồ, lẫn lộn của các RFC có trước và cũng đưa thêm vào một vài thay đổi nhỏ cho
hoạt động của giao thức BOOTP.
Trong lúc BOOTP rất thành công một cách hiển nhiên nhưng nó cũng có một vài
nhược điểm của riêng nó. Một trong thiết sót quan trọng là không cấp được địa chỉ IP
cập nhật tự động. Nhu cầu cấp địa chỉ IP động trở thành rõ rệt hơn bao giờ hết khi
Internet thực sự khởi đầu cất cánh vào cuối thập niên 1990. Chính điều này đã trực tiếp
dẫn tới sự phát triển của giao thức DHCP (Dynamic Host Configuration Protocol).
DHCP thay thế BOOTP làm giao thức cấu hình TCP/IP, thật là sai lầm khi cho rằng
BOOTP hoàn toàn ra đi. Ngày nay nó vẫn còn được sử dụng trong nhiều mạng khác
nhau. Hơn nữa, DHCP lấy BOOTP làm nền tảng và chúng có nhiều thuộc tính chung,
kể cả định dạng các thông điệp cũng giống nhau. Những phần mở rộng cho các nhà sản
xuất phần cứng trong BOOTP trở thành phần Options của DHCP, chúng hoạt động cùng
một cách nhưng DHCP có nhiều khả năng hơn.
1.3.
Ý nghĩa của việc sử dụng DHCP
Tự động cấp phát địa chỉ IP phù hợp cho máy trạm khi vào mạng, tự dộng quản lý
SVTH: NGUYỄN HỮU QUÝ – D11VT7
4
Đồ án tốt nghiệp Đại học
Chương I: Tổng quan về DHCP
các địa chỉ IP và loại bỏ được các lỗi làm mất liên lạc như tình trạng nhầm lẫn hay
trùng lặp địa chỉ IP, đồng thời giảm thiểu chi phí quản trị cho hệ thống mạng.
Phù hợp cho các máy tính thường xuyên di chuyển qua lại giữa các mạng.
Giúp cho các nhà cung cấp dịch vụ (ISP) tiết kiệm được số lượng địa chỉ IP thật
(Public IP).
Kết hợp với hệ thống mạng không dây (Wireless) cung cấp các điểm Hotspot như:
nhà ga, sân bay, trường học...
1.4. Một số thuật ngữ thường dùng trong DHCP
DHCP Client - Máy khách DHCP: là một thiết bị nối vào mạng và sử dụng giao
thức DHCP để lấy các thông tin cấu hình như là địa chỉ mạng, địa chỉ máy chủ DNS.
DHCP Server - Máy chủ DHCP: là một thiết bị nối vào mạng có chức năng trả về
các thông tin cần thiết cho máy trạm DHCP khi có yêu cầu.
DHCP Replay Agent: là một máy tính hoặc một Router được cấu hình để lắng nghe
và chuyển tiếp các gói tin giữa DHCP Client và DHCP Server từ subnet này sang
subnet khác.
DHCP Scope: là một khoảng IP hợp lệ mà ta đã xác định trên DHCP Server, dùng
để cung cấp cho các client có yêu cầu thuê địa chỉ.
Scope Options: là các tùy chọn để cấu hình cho scope mà DHCP Server có thể bổ
sung thêm vào thông tin đi cùng với địa chỉ IP cho thuê. Chẳng hạn, chúng ta có thể
cấu hình một scope để cung cấp làm Default gateway.
Client Reservations: là các IP đặt trước mà DHCP Server thường xuyên cung cấp
đến một máy cụ thể nào đó. Ví dụ như, chúng ta có thể giữ lại một IP address cho
một máy và máy này cần có một địa chỉ IP cố định (như là DNS Server hoặc là Print
Server chẳng hạn, lúc này các máy khác sẽ cấu hình để kết nối tới DNS server bằng
địa chỉ của DNS server này).
1.5. Hoạt động của DHCP
DHCP là một giao thức có nguồn gốc từ BOOTP (Bootstrap Protocol), được dùng
để cấu hình cho các máy trạm khởi động mà không cần đĩa cứng. BOOTP thi hành các
công việc sau:
Tìm kiếm địa chỉ IP cho chính nó.
Tìm IP của BOOTP server.
Nạp một file khởi động từ server vào bộ nhớ.
Bắt đầu khởi động.
DHCP khai thác ưu điểm của giao thức truyền tin và các kỹ thuật khai báo cấu hình
được định nghĩa trong BOOTP, trong đó có khả năng tìm kiếm và gán địa chỉ IP cho
nhiều mạng con.
SVTH: NGUYỄN HỮU QUÝ – D11VT7
5
Đồ án tốt nghiệp Đại học
Chương I: Tổng quan về DHCP
Hình 1.1: Mô hình mạng sử dụng giao thức DHCP
DHCP là giao thức được sử dụng phổ biển trong mạng Internet. Giao thức này được
sử dụng ở khắp các tần của mạng, nó có thể dược sử dụng trong mạng ISP, mạng nội
của một công ty, doanh nghiệp,..hay đơn giản là mạng trong gia đình. Giao thức DHCP
làm việc theo mô hình client/server. Theo đó, quá trình tương tác giữa DHCP client và
server diễn ra thông qua các gói tin:
DHCP Discover.
DHCP Offer.
DHCP Request.
DHCP Acknowledgement.
Ta có thể nói ngắn gọn cơ chế hoạt động của DHCP là: Khi một DHCP client khởi
động sẽ gửi cho server 1 thông điệp, DHCP server sẽ tìm 1 IP còn rỗi trong dãy IP để
cấp cho client, sau đó đưa ra 1 thông điệp thông báo trên toàn mạng về địa chỉ IP của
client đó.
Quá trình diễn ra như sau:
Bước 1: Đầu tiên, client (máy khách) sẽ gửi đi 1 gói tin quảng bá tên là DHCP Discover,
nhằm yêu cầu cho việc lấy các thông tin cấu hình như IP Address, Subnet Mask, Default
Gateway, DNS,… Lúc này, vì client chưa có địa chỉ IP nên nó sẽ dùng một địa chỉ nguồn
là 0.0.0.0, đồng thời nó cũng không biết địa chỉ của DHCP server (máy chủ DHCP) nên
client sẽ gửi đến một địa chỉ broadcast là 255.255.255.255 và sau đó gói tin DHCP
SVTH: NGUYỄN HỮU QUÝ – D11VT7
6
Đồ án tốt nghiệp Đại học
Chương I: Tổng quan về DHCP
Discover sẽ được quảng bá đi toàn mạng. Gói tin này chứa một địa chỉ MAC (là địa chỉ
vật lý được nhà sản xuất cấp cho và là số để phân biệt các thiết bị với nhau). Ngoài ra,
nó còn chứa tên của client để server có thể biết được client nào đã gửi yêu cầu đến.
Hình 1.2: Client gửi bản tin DHCP Discover
Bước 2: Sau khi nhận được gói tin DHCP Discover của client, nếu có một DHCP server
hợp lệ (nghĩa là nó có khả năng cung cấp địa chỉ IP cho client) thì nó sẽ trả lời bằng một
gói tin DHCP Offer, gói tin này có nguồn IP và MAC là địa chỉ IP và MAC của DHCP
Server, đích là địa chỉ Mac của client, kèm theo một địa chỉ IP đề nghị cho thuê trong
một khoảng thời gian nhất định. Lúc này, server sẽ không cấp phát địa chỉ IP vừa đề
nghị cho một client nào khác.
Hình 1.3: DHCP Server gửi bản tin DHCP Offer về Client
Bước 3: Client sau khi nhận được các bản tin DHCP Offer (trường hợp có nhiều hơn 1
DHCP server trên mạng) sẽ tiến hành chọn lọc một gói tin phù hợp, chấp nhận địa chỉ
mà server đề nghị và sau đó phản hồi lại DHCP Server bằng một gói tin DHCP Request
với thông tin yêu cầu DHCP cấp cho client địa chỉ đã đề nghị.
SVTH: NGUYỄN HỮU QUÝ – D11VT7
7
Đồ án tốt nghiệp Đại học
Chương I: Tổng quan về DHCP
Hình 1.4: Client gửi bản tin Request đến DHCP Server
Bước 4: Khi DHCP Server nhận được gói tin DHCP Request, nó sẽ gửi trả lời lại DHCP
client bằng một gói tin là DHCP Acknowledgement nhằm mục đích thông báo là đã
chấp nhận cho client sử dụng địa chỉ IP đề nghị. Gói tin này bao gồm địa chỉ IP và các
thông tin khác như DNS Server, WIN Server,.. Cuối cùng, khi client nhận được gói tin
DHCP Ack thì cũng có nghĩa là kết thúc quá trình thuê và cấp phát địa chỉ IP. Và địa
chỉ IP này chính thức được client sử dụng.
Hình 1.5: DHCP Server gửi bản tin DHCP Ack về Client
1.6.
DHCP Relay Agent
DHCP Relay Agent là một máy tính hoặc một router được cấu hình để lắng nghe và
chuyển tiếp các gói tin giữa DHCP Client và DHCP Server từ subnet này sang subnet
khác.
DHCP Relay Agent là bộ trung chuyển DHCP Discovery (hoặc DHCP Request) đến
DHCP Server. DHCP Relay Agent cho phép forward các truy vấn của DHCP Client đến
DHCP Server và trả lại cho Clients (làm nhiệm vụ như Proxy).
SVTH: NGUYỄN HỮU QUÝ – D11VT7
8
Đồ án tốt nghiệp Đại học
Chương I: Tổng quan về DHCP
Hình 1.6: DHCP Relay Agent tham gia vào quá trình cấp địa chỉ IP
Trong trường hợp DHCP Client và DHCP Server không nằm cũng subnet và được
kết nối qua bộ định tuyến (router) thì cần phải có giải pháp cho phép truy vấn từ DHCP
Client vượt qua router để đến DHCP Server. DHCP Relay Agent (tác nhân chuyển tiếp
DHCP) được dùng cho mục đích này, DHCP Relay Agent là một thực thể trung gian
cho phép chuyển tiếp (relay) các DHCP Discover (hoặc DHCP Request), mà thường bị
chặn ở ngay router, từ DHCP Client đến DHCP Server.
1.7.
Một số cơ chế của DHCP
Bây giờ ta coi như là DHCP client đã đăng ký thành công được một địa chỉ IP từ
DHCP Server. Theo mặc định của DHCP Server thì mỗi IP sẽ cho thuê trong một khoảng
thời gian. Nếu theo mặc định thì một DHCP client sau một khoảng thời gian nó sẽ tự
động xin lại địa chỉ IP với DHCP Server mà nó đã xin ban đầu. DHCP client lúc này sẽ
gửi một bản tin DHCP Request trực tiếp đến DHCP Server.
Nếu DHCP Server vẫn còn hoạt động, nó sẽ trả lời bằng một gói DHCP Ack để cho
thuê lại (renew) tới DHCP client, gói này bao gồm thông số cấu hình mới cập nhật của
DHCP Server. Nếu DHCP Server này đã không còn hoạt động, client này sẽ tiếp tục sử
dụng cấu hình hiện thời của nó.
Và nếu sau khoảng thời gian là 87.5% thời gian cho thuê, nó sẽ gửi quảng bá một
vản tin DHCP Discover để cập nhật địa chỉ IP của nó. Vào lúc này, nó không kiếm tới
DHCP Server ban đầu cho thuê nữa mà nó sẽ chấp nhận bất cứ một DHCP Server nào
khác.
Nếu thời gian thuê IP đã hết thì client sẽ ngay lập tức dừng lại việc sử dụng địa chỉ
IP đã đăng ký đó. Lúc này, nếu muốn tiếp tục sử dụng địa chỉ IP để truyền thông trong
mạng, client sẽ bắt đầu lại tiến trình thuê một địa chỉ IP như lúc đầu.
Khi một client muốn ngừng sử dụng dịch vụ DHCP từ server, nó sẽ gửi đến server
bản tin DHCP Release để yêu cầu ngừng sử dụng dịch vụ. Server sẽ gửi lại bản tin
SVTH: NGUYỄN HỮU QUÝ – D11VT7
9
Đồ án tốt nghiệp Đại học
Chương I: Tổng quan về DHCP
DHCP Ack để thông báo chấp nhận ngừng cấp địa chỉ IP cho client.
Chú ý: Khi chúng ta khởi động lại (restart) DHCP client thì nó sẽ tự động sử dụng
lại địa chỉ IP mà trước khi nó tắt máy.
1.8. Bảo mật trong DHCP
1.8.1. Bảo mật cơ bản cho DHCP Server
Bảo mật về mặt vật lý cho các DHCP Server.
Nên sử dụng hệ thống file NTFS để lưu trữ dữ liệu hệ thống.
Triển khai và ứng dụng các giải pháp anti-virus mạng cho hệ thống.
Thường xuyên cập nhật các bản vá lỗi cho các phần mềm và Windows.
Các dịch vụ hay các phần mềm không sử dụng thì nên xóa hoặc gỡ bỏ.
Thực hiện việc quản lý DHCP Server với user có quyền hạn tối thiểu nhất.
DHCP Server phải được đặt phía sau Firewall.
Đóng tất cả các port không dùng đến.
Sử dụng bộ lọc địa chỉ MAC.
Giám sát hoạt động của DHCP bằng cách xem các thông tin thống kê của hệ
thống trên DHCP Server
1.8.2. Một số kiểu tấn công và cách phòng tránh
Như chúng ta đã biết, hầu hết dịch vụ DNS và DHCP mặc định không được bảo
mật. Lợi dụng điều này, các kẻ tấn công có thể tiến hành tấn công các máy chủ chạy
dịch vụ DNS và DHCP. Đối với dịch vụ DHCP thì một kiểu tấn công mà kẻ tấn công có
thể thực hiện được đó là:
a. Tấn công từ chối dịch vụ bằng cách “vét cạn” tất cả các giá trị mà DHCP Server
có thể cấp cho client
Khi DHCP Server nhận được một DHCP Request, DHCP Server sẽ cung cấp cho
client đó một địa chỉ IP nằm trong dãy IP mà nó được phép cấp. Vì không có cơ chế
chứng thực trong quá trình này, các kẻ tấn công có thể dễ dàng tấn công làm ngưng dịch
vụ này trên DHCP Server.
Hình 1.7: Tấn công vét cạn IP
SVTH: NGUYỄN HỮU QUÝ – D11VT7
10
Đồ án tốt nghiệp Đại học
Chương I: Tổng quan về DHCP
Kẻ tấn công có thể thực hiện được việc này bằng cách gửi một lượng lớn DHCP
Request với các giá trị MAC address thay đổi liên tục đến DHCP Server. Khi DHCP
Server nhận được các Request với các MAC address khác nhau, DHCP sẽ cấp một giá
trị IP ứng với mỗi Request đó. Vì số lượng địa chỉ IP có giới hạn nên chỉ cần một lượng
Request tương đối là kẻ tấn công có thể đăng ký hết số lượng IP này trên DHCP. Kết
quả là các Request hợp lệ của client sẽ không được DHCP Server cung cấp IP vì lúc này
dịch vụ DHCP sẽ không còn phục vụ cho người đến sau. Đây là kiểu tấn công từ chối
dịch vụ DHCP dễ dàng nhất mà kẻ tấn công có thể thực hiện. Điều đáng nói ở đây là kẻ
tấn công chỉ cần rất ít thời gian và băng thông là có thể thực hiện được việc tấn công
này.
Tuy nhiên, kiểu tấn công này có thể khắc phục được bằng cách sử dụng các switch
có tính năng bảo mật của Cisco. Các switch này sẽ giới hạn số lượng MAC address có
thể sử dụng trên một cổng (port). Mục đích là để ngăn chặn việc trong một khoảng thời
gian giới hạn, một cổng của nó có quá nhiều MAC address được phép sử dụng. Nếu
vượt qua quy định này, cổng đó sẽ shutdown ngay lập tức. Thời gian để cổng này có thể
hoạt động lại phụ thuộc vào giá trị mặc định hoặc do người quản trị mạng thiết lập. Bằng
cách này, thiết bị này có thể ngưng kiểu tấn công “vét cạn” đối với dịch vụ DHCP.
b. Tấn công theo kiểu Man-in-the-middle bằng việc sử dụng DHCP Server giả mạo
Như chúng ta đã biết, DHCP không yêu cầu chứng thực trong quá trình cấp phát IP
cho client và DHCP client không biết địa chỉ IP của DHCP Server trong quá trình xin
cấp IP. Lợi dụng việc này, kẻ tấn công có thể xây dựng một DHCP Server giả mạo
(Rogue DHCP Server), mục đích là cung cấp địa chỉ Default Gateway giả mạo (địa chỉ
IP này là của kẻ tấn công hoặc của một máy tính nào đó được đặt dưới sự kiểm soát của
kẻ tấn công) cho DHCP client. Việc này cho phép kẻ tấn công có thể xem trộm được
nội dung gói tin. Các bước tiến hành như sau:
Bước 1: Đầu tiên, kẻ tấn công xây dựng một DHCP giả mạo với đầy đủ các thông số
để cấp cho client
Bước 2: Khi một DHCP Client gửi gói tin DHCP Discovery ở dạng broadcast, cả hai
DHCP Server hợp lệ và giả mạo cùng gửi gói tin DHCP Offer đến client.
Bước 3: Client tiếp nhận gói tin nào đến trước, nếu gói tin của DHCP Server hợp lệ
đến trước thì quá trình tấn công theo dạng này sẽ thất bại. Do đó, để chắc chắn client sẽ
nhận được gói tin do DHCP Server giả mạo cấp, kẻ tấn công thường tiến hành tấn công
từ chối dịch vụ theo kiểu “vét can” đối với DHCP Server thật.
Client gửi đi bản tin DHCP Request đến DHCP Server giả mạo để xin cấp địa chỉ IP.
Bước 4: DHCP Server giả mạo gửi DHCP Ack về client. Trong gói tin gửi về đến
client, địa chỉ Default Gateway lại chỉ về địa chỉ của máy tính do kẻ tấn công kiểm soát.
Bước 5: Sau đó, khi nào client gửi gói tin cho mạng bên ngoài (thường là Internet).
Gói tin này sẽ được chuyển tiếp đến cho máy tính có địa chỉ Default Gateway giả mạo
và nội dung bên trong bị xem trộm.
SVTH: NGUYỄN HỮU QUÝ – D11VT7
11
Đồ án tốt nghiệp Đại học
Chương I: Tổng quan về DHCP
Hình 1.8: Tấn công Man-in-th-middle bằng cách giả mạo DHCP Server
Sau khi xem trộm nội dung, gói tin sẽ được forward đến Default Gateway thật. Nhưng
khuyết điểm của kiểu tấn công này là kẻ tấn công chỉ có thể xem trộm gói tin theo chiều
từ client gửi đi mà thôi, chiều ngược lại từ bên ngoài gửi đến client thì kẻ tấn công hoàn
toàn không biết.
Hình 1.9: Kẻ tấn công xem trộm thông tin bằng Default gateway giả mạo
Để khắc phục kiểu tấn công này, các thiết bị switch của Cisco cung cấp tính năng bảo
mật dành cho DHCP. Tính năng này được gọi là DHCP snooping, bằng cách chỉ cho kết
nối đến DHCP Server trên một hoặc một số cổng nhất định mà thôi. Các cổng này được
gọi là trusted port, chỉ có những cổng này mới cho phép gói tin DHCP hoạt động. Cổng
SVTH: NGUYỄN HỮU QUÝ – D11VT7
12
Đồ án tốt nghiệp Đại học
Chương I: Tổng quan về DHCP
này được người quản trị mạng kết nối đến DHCP Server thật trong mạng. Mục đích là
ngăn chặn không cho DHCP giả mạo hoạt động trên những cổng còn lại.
c. Tấn công theo kiểu DNS redirect bằng cách sử dụng DHCP Server giả mạo
Hình 1.10: Tấn công Man-in-the-middle bằng cách giả mạo DNS Server
Đây là kiểu tấn công rất thông dụng của phương pháp man-in-the-middle. Thay vì
giả mạo địa chỉ Default Gateway, DHCP Server giả mạo sẽ cung cấp địa chỉ IP của DNS
Server giả. Trên DNS Server này chứa thông tin phân giải tên đã nằm trong sự kiểm soát
của kẻ tấn công. Khi người dùng muốn phân giải tên địa chỉ trang web trên mạng
Internet, DNS Server giả sẽ dẫn client đến địa chỉ IP giả mạo của nó, là website giả được
kẻ tấn công dựng lên.
Hình 1.11: Kẻ tấn công lấy cắp thông tin bằng DNS Server giả mạo
SVTH: NGUYỄN HỮU QUÝ – D11VT7
13
Đồ án tốt nghiệp Đại học
Chương I: Tổng quan về DHCP
Bằng cách giả mạo trang chủ giống website thật. Kẻ tấn công có thể capture các
thông tin nhạy cảm của người dùng như user ID, mật khẩu,.. Sau khi nhận được thông
tin này, website giả mạo sẽ thông báo đăng nhập sai, sau đó sẽ redirect đến website thật.
1.9. Kết luận chương
Với số lượng địa chỉ IPv4 có hạn, đòi hỏi khả năng cung cấp địa chỉ và giới hạn số
địa chỉ được cấp, giao thức DHCP đã trở thành giao thức không thể thiếu trong mạng
Internet từ quy mô nhỏ đến lớn.
Chương này đã giới thiệu một cách cơ bản nhất về giao thức DHCP trong IPv4.
Giao thức DHCP được phát triển dựa trên giao thức bootstrap để giúp các client lấy địa
chỉ IP khi tham gia vào mạng. Nguyên lý hoạt động của giao thức với các gói tin trao
đổi giữa client và server khi client yêu cầu dịch vụ. Cùng với cơ chế hoạt động và bảo
mật của DHCP để từ đó có thể hiểu được rõ hơn về giao thức DHCP.
SVTH: NGUYỄN HỮU QUÝ – D11VT7
14
Đồ án tốt nghiệp Đại học
Chương II: Giới thiệu về IPv6
CHƯƠNG 2: GIỚI THIỆU VỀ IPV6
Mạng Internet và các mạng dùng công nghệ IP đã trở lên rất quan trọng trong cuộc
sống của xã hội hiện đại ngày nay. Mạng Internet đã tạo ra một môi trường hoạt động
toàn cầu cho tất cả mọi người tham gia, gần như xóa đi biên giới giữa các quốc gia, thu
ngắn khoảng cách địa lý.
Một trong những vấn đề quan trọng mà kỹ thuật mạng trên thế giới đang phải giải
quyết là sự phát triển với tốc độ quá nhanh của mạng Internet toàn cầu. Sự phát triển
này cùng với sự tích hợp dịch vụ, triển khai những dịch vụ mới, kết nối nhiều mạng khác
nhau, như mạng di động với mạng Internet đã đặt ra vấn đề thiếu tài nguyên dùng chung.
Việc sử dụng hệ thống địa chỉ hiện tại cho mạng Internet IPv4 sẽ không đáp ứng nổi sự
phát triển của mạng Internet toàn cầu trong một thời gian ngắn sắp tới. Do đó nghiên
cứu triển khai ứng dụng một phương thức đánh địa chỉ mới nhằm khắc phục hạn chế
này là một yêu cầu tất yếu cần được làm ngay. Đây là lúc IPv6 ra đời.
Xuất phát điểm của Ipv6 có tên gọi là Ipng (Internet Protocol Next Generation) là
một phiên bản mới của IP, được thiết kế để thay thế cho giao thức cũ Ipv4. Ipng được
gán với phiên bản là 6 và lấy tên chính thức là Ipv6. Quan điểm chính khi thiết kế Ipv6
là từng bước thay thế Ipv4, không tạo ra sự biến động lớn đối với hoạt động của mạng
Internet nói chung và của từng dịch vụ trên Internet nói riêng, đảm bảo tính tương thích
tuyệt đối với mạng Internet dùng Ipv4 hiện tại. Những chức năng đã được kiểm nghiệm
thành công trong Ipv4 sẽ vẫn duy trì trong Ipv6. Những chức năng không được sử dụng
trong Ipv4 sẽ bị loại bỏ, và đồng thời triển khai một số chức năng mới liên quan đến địa
chỉ, bảo mật, và triển khai các dịch vụ mới.
Ipv4 có 32 bit địa chỉ với khả năng lý thuyết có thể cung cấp một không gian địa chỉ
2 = 4 294 967 296 địa chỉ. Còn Ipv6 có 128 bit địa chỉ với khả năng cung cấp địa chỉ
về mặt lý thuyết 2128 = 340 282 366 920 938 463 374 607 431 768 211 456 địa chỉ, nhiều
hơn không gian địa chỉ của Ipv4 là khoảng 8 tỷ tỷ tỷ lần vì 232 lấy tròn là 4x109 còn 2128
lấy tròn là 3,4x1038. Đây là một không gian địa chỉ cực lớn với mục đích không chỉ cho
internet mà còn cho tất cả các mạng máy tính, hệ thống viễn thông, hệ thống điều khiển
và từng vật dụng trong gia đình v.v.
32
2.1.
Một số vấn đề của IPv4
2.1.1. Thiếu địa chỉ IP
Sự tăng quá nhanh của các host trên mạng Internet dẫn đến trạng thái thiếu địa chỉ
IP gán cho các node. Do đó nhiều mạng đã phải sử dụng địa chỉ IP của mạng dùng chung
cùng với kỹ thuật chuyển đổi địa chỉ mạng NAT (Network Address Translation) để có
thể mở rộng không gian địa chỉ IP trên mạng. Với phương thức này nhiều địa chỉ IPv4
mạng riêng được chuyển đổi thành một hoặc một vài địa chỉ IPv4 công cộng để kết nối
với các node khác trên mạng, đồng thời tạo ra khả năng sẻ dụng lại các dải địa chỉ IP
mạng riêng tại nhiều nơi khác nhau. Tuy nhiên việc sử dụng kỹ thuật NAT làm mất đi
SVTH: NGUYỄN HỮU QUÝ – D11VT7
15
Đồ án tốt nghiệp Đại học
Chương II: Giới thiệu về IPv6
tính an ninh chuẩn ở lớp mạng cũng như không có khả năng ánh xạ hợp lệ của các ứng
dụng ở mức trên khi kết nối các node này với các mạng khác. Do đó một số ứng dụng ở
lớp trên có thể không thực hiện được thông qua NAT.
2.1.2. Cấu trúc định tuyến không hiệu quả
Địa chỉ IPv4 có cấu trúc định tuyến vừa phân cấp, vừa không phân cấp. Mỗi router
phải duy trì bảng thông tin định tuyến lớn, đòi hỏi router phải có dung lượng bộ nhớ lớn.
IPv4 cũng yêu cầu router phải can thiệp xử lý nhiều đối với gói tin IPv4.
Để giảm nhu cầu tiêu dùng địa chỉ, hoạt động mạng IPv4 sử dụng phổ biến công
nghệ biên dịch NAT (Network Address Translator). Trong đó, máy chủ biên dịch địa
chỉ (NAT) can thiệp vào gói tin truyền tải và thay thế trường địa chỉ để các máy tính gắn
địa chỉ Private có thể kết nối vào mạng Internet.
Mô hình sử dụng NAT của địa chỉ IPv4 có nhiều nhược điểm:
Không có kết nối điểm – điểm và gây trễ: Làm khó khăn và ảnh hưởng tới nhiều
dạng dịch vụ (VPN, dịch vụ thời gian thực). Thậm chí đối với nhiều dạng dịch
vụ cần xác thực port nguồn/ đích, sử dụng NAT là không thể được. Trong khi
đó, các ứng dụng mới hiện nay, đặc biệt các ứng dụng client-server ngày càng
đòi hỏi kết nối trực tiếp end-to-end.
Việc gói tin không được giữ nguyên tình trạng từ nguồn tới đích, có những điểm
trên đường truyền tải tại đó gói tin bị can thiệp, như vậy tồn tại những lỗ hổng
về bảo mật.
2.1.3. Yêu cầu về an ninh thông tin ở lớp mạng
Với Ipv4 hiện tại đã có nhiều giải pháp an ninh thông tin trên mạng nhằm đảm bảo
thông tin được truyền trên mạng không bị lấy cắp. Giải pháp này có thể là IPSec, DES,
3DES, … nhưng các giải pháp này đều phải thực hiện cài đặt thêm và có nhiều phương
thức khác nhau đối với mỗi loại sản phẩm.
2.1.4. Nhu cầu về chất lượng dịch vụ QoS
Chất lượng dịch vụ trong Ipv4 cũng được xác định trong trường TOS và phần nhận
dạng tải trọng của gói tin IP ( đó là các cổng giao thức của TCP/ UDP). Tuy nhiên trường
TOS này có ít tính năng và đặc biệt khi phần tải trọng của gói tin Ipv4 được mã hoá thì
phần nhân dạng cổng giao thức TCP/ UDP không còn tác dụng nữa.
Nhằm giải quyết vấn đề trên một nhóm trong tổ chức IETF đã đưa ra một giao thức
liên mạng mới (Internet Potocol) gọi là IP version 6 hay Ipv6. Giao thức này được đưa
ra cùng với hàng loạt các khuyến nghị trong việc chuyển đổi sang đần dần từ Ipv4 sang
SVTH: NGUYỄN HỮU QUÝ – D11VT7
16
