Tìm hiểu và minh họa một số kỹ thuật sniffer
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.6 MB, 79 trang )
MỤC LỤC
LỜI CẢM ƠN ............................................................................................................ 3
PHẦN I: GIỚI THIỆU ĐỀ TÀI ................................................................................. 4
PHẦN II: NỘI DUNG................................................................................................ 5
CHƯƠNG I: CÁC GIAO THỨC LIÊN QUAN ........................................................ 5
1.1
GIAO THỨC PHÂN GIẢI ĐỊA CHỈ-ARP (ADDRESS RESOLUTION
PROTOCOL) .......................................................................................................... 5
1.2
GIAO THỨC CẤU HÌNH HOST ĐỘNG-DHCP (DYNAMIC HOST
CONFIGURATION PROTOCOL) ...................................................................... 10
1.3
SPANNING TREE PROTOCOL (STP)..................................................... 13
1.4
MẠNG LANS ẢO-VLAN (VIRTUAL LOCAL AREA NETWORK) ..... 17
1.5
HỆ THỐNG PHÂN GIẢI TÊN MIỀN-DNS (DOMAIN NAME SYSTEM)
…………………………………………………………………………….22
1.6
ĐỊA CHỈ MAC (MEDIA ACCESS CONTROL)....................................... 25
CHƯƠNG II: TỔNG QUAN VỀ SNIFFER ............................................................ 28
2.1
ĐỊNH NGHĨA SNIFFER............................................................................ 28
2.2
PHÂN LOẠI SNIFFER .............................................................................. 28
2.3
MỘT SỐ PHƯƠNG PHÁP PHÁT HIỆN SNIFFER ................................. 29
2.4
CÁC PHƯƠNG PHÁP PHÒNG CHỐNG SNIFFER ................................ 33
CHƯƠNG III: CÁC LOẠI SNIFFER VÀ CÁCH PHÒNG CHỐNG ..................... 35
3.1
MAC FLOODING ...................................................................................... 35
3.2
DHCP STARVATION ............................................................................... 39
3.3
ROGUE DHCP SERVER ........................................................................... 45
3.4
ARP POISONING ...................................................................................... 49
3.5
DNS POISONING ...................................................................................... 55
3.6
MAC SPOOFING ....................................................................................... 63
3.7
VLAN HOPPING ....................................................................................... 65
TÌM HIỂU VÀ MINH HỌA SNIFFER
1
3.8
SPANNING TREE PROTOCOL ATTACK .............................................. 71
PHẦN III: TỔNG KẾT VÀ ĐÁNH GIÁ................................................................. 77
1. KẾT QUẢ ĐẠT ĐƯỢC................................................................................. 78
2. HƯỚNG PHÁT TRIỂN ................................................................................. 78
PHẦN IV: TÀI LIỆU THAM KHẢO...................................................................... 79
TÌM HIỂU VÀ MINH HỌA SNIFFER
2
TÌM HIỂU VÀ MINH HỌA SNIFFER
3
PHẦN I: GIỚI THIỆU ĐỀ TÀI
Hiện nay, khi công nghệ thông tin đang phát triển một cách mạnh mẽ, mạng
máy tính là một thành phần khơng thể thiếu đối với các hệ thống thông tin của
mọi tổ chức. Hơn nữa, hầu hết các giao dịch, dịch vụ của xã hội đều được triển
khai trên mạng. Nhưng liệu khi tham gia vào hoạt động trên mạng thơng tin của
chúng ta có thực sự an tồn, đó là câu hỏi mà nhiều người thường xuyên đặt ra và
đi tìm lời giải đáp. Nếu chúng ta không khắc phục những điểm yếu này thì mơi
trường mạng sẽ trở thành một mảnh đất màu mỡ cho những hacker xâm nhập,
gây ra sự thất thoát thơng tin, tiền bạc. Do đó bảo mật trong mạng đang là một
vấn đề quan trọng hàng đầu.
Hiểu được các vấn đề đó, nhóm đã quyết định chọn đề tài “Tìm hiểu và
minh họa một số kỹ thuật Sniffer”. Đề tài này sẽ tập trung mô phỏng các
phương thức tấn cơng tổng qt trên mạng thơng qua các chương trình Sniffer và
tìm hiểu các cách phát hiện cũng như phịng chống Sniffer sao cho hiệu quả nhất.
Nội dung đề tài gồm 4 phần: phần giới thiệu đề tài, phần nội dung, phần tổng
kết và phần tài liệu tham khảo.
Phần nội dung của bài tiểu luận được chia thành 4 chương: chương đầu tiên
giới thiệu các giao thức liên quan đến Sniffer. Chương tiếp theo sẽ giới thiệu tổng
quan về Sniffer, phân loại các loại Sniffer, các giao thức dễ bị Sniffer và phương
pháp phát hiện cũng như phòng chống Sniffer hiệu quả. Chương cuối cùng là
trình bày các loại Sniffer và các minh họa cụ thể.
TÌM HIỂU VÀ MINH HỌA SNIFFER
4
PHẦN II: NỘI DUNG
CHƯƠNG I: CÁC GIAO THỨC LIÊN QUAN
1.1 Giao thức phân giải địa chỉ-ARP (Address Resolution Protocol)
1.1.1 Khái niệm
ARP là phương thức phân giải địa chỉ động giữa địa chỉ lớp network và địa
chỉ lớp data-link. Sở dĩ cần phải có giao thức chuyển đổi như vậy là do có nhiều
giao thức lớp 3 như IP, IPX, Appletalk… mỗi giao thức lại có qui ước về địa chỉ
logic riêng. Khi được đóng gói vào một frame tại lớp thì tất cả các địa chỉ này
cần phải được qui đổi thành một kiểu địa chỉ thống nhất (địa chỉ MAC) nhằm
giúp cho mọi thiết bị có thể trao đổi với các thiết bị khác khi chúng nằm trong
cùng một môi trường truyền dẫn vật lý.
Ban đầu ARP chỉ được sử dụng trong mạng Ethernet để phân giải địa chỉ IP
và địa chỉ MAC. Nhưng ngày nay ARP đã được ứng dụng rộng rãi và dùng trong
các công nghệ khác dựa trên lớp hai.
Hình 1.1. Vị trí của ARP
1.1.2 Cấu trúc bảng tin ARP
-
Hardware type: xác định kiểu mạng phần cứng: Ethernet, Token ring.
-
Protocol: xác định kiểu của giao thức lớp network.
-
HLEN: độ dài địa chỉ MAC: 48 bits (Ethernet), 32 bits (Token ring).
-
PLEN: độ dài địa chỉ IP.
TÌM HIỂU VÀ MINH HỌA SNIFFER
5
Hình 1.2. Cấu trúc bản tin ARP
-
Operation: xác định kiểu thông điệp ARP (Request/Respone)
-
Sender HA/ Target HA: địa chỉ MAC máy gửi/máy nhận.
-
Sender IP/ Target IP: địa chỉ IP máy gửi/máy nhận.
1.1.3 Cơ chế hoạt động
Quá trình thực hiện ARP được bắt đầu khi một thiết bị nguồn trong một
mạng IP có nhu cầu gửi một gói tin IP. Trước hết thiết bị đó phải xác định xem
địa chỉ IP đích của gói tin có phải nằm cùng trong mạng nội bộ của mình hay
khơng. Nếu đúng vậy thì thiết bị sẽ gửi trực tiếp gói tin đến thiết bị đích. Nếu địa
chỉ IP đích nằm trên mạng khác, thì thiết bị sẽ gửi gói tin đến một trong các
Router nằm cùng trên mạng nội bộ để Router này làm nhiệm vụ forward gói tin.
Cả hai trường hợp ta đều thấy được là thiết bị phải gói tin IP đến một thiết bị IP
khác trên cùng mạng nội bộ. Ta biết rằng việc gửi gói tin trong cùng mạng thơng
qua Switch là dựa vào địa chỉ MAC hay địa chỉ phần cứng của thiết bị. Sau khi
gói tin được đóng gói thì mới bắt đầu được chuyển qua q trình phân giải địa chỉ
ARP và được chuyển đi.
ARP về cơ bản là một quá trình 2 chiều request/response giữa các thiết bị
trong cùng mạng nội bộ. Thiết bị nguồn request bằng cách gửi một bản tin
broadcast trên toàn mạng. Thiết bị đích response bằng một bản tin unicast đến
thiết bị nguồn.
TÌM HIỂU VÀ MINH HỌA SNIFFER
6
Các bước hoạt động của ARP
-
B1. Source Device Checks Cache: Trong bước này, thiết bị sẽ kiểm tra
cache (bộ đệm) của mình. Nếu đã có địa chỉ IP đích tương ứng với MAC
nào đó rồi thì lập tức chuyển lên bước 9.
-
B2. Source Device Generates ARP Request Message: Bắt đầu khởi tạo
gói tin ARP Request với các trường địa chỉ như trên.
-
B3. Source Device Broadcasts ARP Request Message: Thiết bị nguồn
quảng bá gói tin ARP Request trên tồn mạng.
-
B4. Local Devices Process ARP Request Message: Các thiết bị trong
mạng đều nhận được gói tin ARP Request. Gói tin được xử lý bằng cách
các thiết bị đều nhìn vào trường địa chỉ Target Protocol Address. Nếu
trùng với địa chỉ của mình thì tiếp tục xử lý, nếu khơng thì hủy gói tin.
-
B5. Destination Device Generates ARP Reply Message: Thiết bị với IP
trùng với IP trong trường Target Protocol Address sẽ bắt đầu q trình
khởi tạo gói tin ARP Reply bằng cách lấy các trường Sender Hardware
Address và Sender Protocol Address trong gói tin ARP nhận được đưa
vào làm Target trong gói tin gửi đi. Đồng thời thiết bị sẽ lấy địa chỉ
datalink của mình để đưa vào trường Sender Hardware Address.
-
B6. Destination Device Updates ARP Cache: Thiết bị đích (thiết bị khởi
tạo gói tin ARP Reply) đồng thời cập nhật bảng ánh xạ địa chỉ IP và
MAC của thiết bị nguồn vào bảng ARP cache của mình để giảm bớt thời
gian xử lý cho các lần sau.
-
B7. Destination Device Sends ARP Reply Message: Thiết bị đích bắt đầu
gửi gói tin Reply đã được khởi tạo đến thiết bị nguồn. Gói tin reply là gói
tin gửi unicast.
-
B8. Source Device Processes ARP Reply Message: Thiết bị nguồn nhận
được gói tin reply và xử lý bằng cách lưu trường Sender Hardware
Address trong gói reply như địa chỉ phần cứng của thiết bị đích.
TÌM HIỂU VÀ MINH HỌA SNIFFER
7
-
B9. Source Device Updates ARP Cache: Thiết bị nguồn update vào ARP
cache của mình giá trị tương ứng giữa địa chỉ network và địa chỉ
datalink của thiết bị đích. Lần sau sẽ khơng cịn cần tới request.
Hình 1.3. Q trình gửi/nhận bản tin ARP
1.1.4 ARP Caching
ARP là một giao thức phân giải địa chỉ động. Q trình gửi gói tin Request
và Reply sẽ tiêu tốn băng thơng mạng. Chính vì vậy càng hạn chế tối đa việc gửi
gói tin Request và Reply sẽ càng góp phần làm tăng khả năng họat động của
mạng. Từ đó sinh ra nhu cầu của ARP Caching.
ARP Cache có dạng giống như một bảng tương ứng giữa địa chỉ hardware và
địa chỉ IP. Có hai cách đưa các thành phần tương ứng vào bảng ARP:
-
Static RP Cache Entries: Đây là cách mà các thành phần tương ứng
trong bảng ARP được đưa vào lần lượt bởi người quản trị. Công việc
được tiến hành một cách thủ cơng.
-
Dynamic ARP Cache Entries: Đây là q trình mà các thành phần địa
chỉ hardware/IP được đưa vào ARP cache một cách hoàn toàn tự động
bằng phần mềm sau khi đã hồn tất q trình phân giải địa chỉ. Chúng
được lưu trong cache trong một khoảng thời gian và sau đó sẽ được xóa.
TÌM HIỂU VÀ MINH HỌA SNIFFER
8
Dynamic Cache được sử dụng rộng rãi hơn vì tất cả các q trình diễn ra tự
động và khơng cần đến sự tương tác của người quản trị. Tuy nhiên static cache
vẫn có phạm vi ứng dụng nhất định của nó. Đó là trường hợp mà các workstation
nên có static ARP entry đến router và file server nằm trong mạng. Điều này sẽ
hạn chế việc gửi các gói tin để thực hiện q trình phân giải địa chỉ.
Tuy nhiên ngồi hạn chế của việc phải nhập bằng tay, static cache còn thêm
hạn chế nữa là khi địa chỉ IP của các thiết bị trong mạng thay đổi thì sẽ dẫn đến
việc phải thay đổi ARP cache.
Q trình xóa thơng tin trong Cache
Ta xét trường hợp bảng cache của một thiết bị A, trong đó có chứa thơng tin
về thiết bị B trong mạng. Nếu các thông tin trong cache được lưu mãi mãi, sẽ có
một số vấn đề như sau xảy ra:
-
Địa chỉ phần cứng thiết vị được thay đổi: Đây là trường hợp khi thiết bị
B được thay đổi card mạng hay thiết bị giao tiếp, làm thay đổi địa chỉ
MAC của thiết bị. Điều này làm cho các thơng tin trong cache của A
khơng cịn đúng nữa.
-
Địa chỉ IP của thiết bị được thay đổi: Người quản trị hay nhà cung cấp
thay đổi địa chỉ IP của B, cũng làm cho thông tin trong cache của A bị sai
lệch.
-
Thiết bị được rút ra khỏi mạng: Khi B được rút ra khỏi mạng nhưng A
không được biết, và gây lãng phí về tài ngun của A để lưu thơng tin
khơng cần thiết và tốn thời gian để tìm kiếm.
Để tránh được những vấn đề này, các thông tin trong dynamic cache sẽ được
tự động xóa sau một khoảng thời gian nhất định. Quá trình này được thực hiện
một cách hoàn toàn tự động khi sử dụng ARP với khoảng thời gian thường là 10
hoặc 20 phút. Sau một khoảng thời gian nhất định được lưu trong cache , thông
tin sẽ được xóa đi. Lần sử dụng sau, thơng tin sẽ được update trở lại.
TÌM HIỂU VÀ MINH HỌA SNIFFER
9
1.1.5 Giao thức phân giải địa chỉ ngược RARP (Reverse ARP)
RARP là giao thức phân giải địa chỉ ngược. Quá trình này ngược lại với quá
trình ARP ở trên, nghĩa là cho trước địa chỉ mức liên kết, tìm địa chỉ IP tương
ứng. Như vậy RARP được sử dụng để phát hiện địa chỉ IP, khi biết địa chỉ vật lý
MAC.
Khn dạng gói tin RARP tương tự như khn dạng gói ARP đã trình bày,
chỉ khác là trường Operation có giá trị 0×0003 cho mã lệnh yêu cầu (RARP
Request) và có giá trị 0×0004 cho mã lệnh trả lời (RARP Reply).
Nguyên tắc hoạt động của RARP ngược với ARP, nghĩa là máy đã biết trước
địa chỉ vật lý MAC tìm địa chỉ IP tương ứng của nó.
1.2 Giao thức cấu hình Host động-DHCP (Dynamic Host Configuration
Protocol)
1.2.1 Khái niệm.
Giao thức cấu hình host động (DHCP) làm việc theo cơ chế Client-Server.
DHCP cho phép các DHCP Client trong một mạng nhận cấu hình IP của mình từ
một DHCP Server. Khi sử dụng DHCP thì cơng việc quản lý IP của người quản
trị sẽ ít hơn vì phần lớn IP của Client được lấy về từ Server.
Server chạy DHCP thực hiện tiến trình xác định địa chỉ IP cấp cho Client.
Client sử dụng địa chỉ được cấp từ Server trong một khoảng thời gian nhất định
do người quản trị mạng quy định. Khi thời này hết hạn thì Client phải yêu cầu
cấp lại địa chỉ mới mặc dù thông thường Client sẽ vẫn được cấp lại địa chỉ cũ.
DHCP sử dụng giao thức UDP (User Datagram Protocol) làm giao thức vận
chuyển của nó. Client gửi thông điệp cho server trên port 67. Server gửi thông
điệp cho Client trên port 68.
Ưu điểm của DHCP:
-
Quản lý TCP/IP tập trung.
-
Giảm gánh nặng cho các nhà quản trị hệ thống.
-
Giúp hệ thống mạng ln được duy trì ổn định và linh hoạt.
TÌM HIỂU VÀ MINH HỌA SNIFFER
10
1.2.2 Cơ chế hoạt động của DHCP.
Giao thức DHCP làm việc theo mơ hình Client/Server. Theo đó, q trình
tương tác giữa DHCP Client và Server diễn ra theo 4 bước sau đây
IP Lease Request:
Đầu tiên, client sẽ broadcast một message tên là DHCPDISCOVER, vì
Client lúc này chưa có địa chỉ IP cho nên nó sẽ dùng một địa chỉ source (nguồn)
là 0.0.0.0 và cũng vì Client khơng biết địa chỉ của DHCP Server nên nó sẽ gửi
đến một địa chỉ broadcast là 255.255.255.255. Lúc này gói tin DHCPDISCOVER
này sẽ broadcast lên tồn mạng. Gói tin này cũng chứa một địa chỉ MAC (Media
Access Control - là địa chỉ mà mỗi một network adapter (card mạng) sẽ được nhà
sản xuất cấp cho và là mã số để phân biệt các card mạng với nhau) và đồng thời
nó cũng chứa computer name của máy Client để DHCP Server có thể biết được
Client nào đã gởi yêu cầu đến.
IP Lease Offer:
Nếu có một DHCP hợp lệ (nghĩa là nó có thể cấp địa chỉ IP cho một Client)
nhận được gói tin DHCPDISCOVER của Client thì nó sẽ trả lời lại bằng một gói
tin DHCPOFFER, gói tin này đi kèm theo những thơng tin sau:
-
MAC address của Client.
-
Một IP address cấp cho (offer IP address).
-
Một subnetmask.
-
Thời gian thuê.
-
Địa chỉ IP của DHCP cấp IP cho Client này.
Lúc này DHCP Server sẽ được giữ lại một IP đã offer (cấp) cho Client để nó
khơng cấp cho DHCP Client nào khác. DHCP Client chờ một vài giây cho một
offer, nếu nó khơng nhận một offer nó sẽ rebroadcast (broadcast gói
DHCPDISCOVER) trong khoảng thời gian là 2, 4, 8 và 16 giây, bao gồm một
khoảng thời gian ngẫu nhiên từ 0 - 1000 mili giây.
Nếu DHCP Client khơng nhận một offer sau 4 lần u cầu, nó sử dụng một
địa chỉ IP trong khoảng 169.254.0.1 đến 169.254.255.254 với subnetmask là
TÌM HIỂU VÀ MINH HỌA SNIFFER
11
255.255.0.0. Nó sẽ sử dụng trong một số trong khoảng IP đó và việc đó sẽ giúp
các DHCP Client trong một mạng khơng có DHCP Server thấy nhau. DHCP
Client tiếp tục cố gắng tìm kiếm một DHCP Server sau mỗi 5 phút.
IP Lease Selection:
DHCP client đã nhận được gói tin DHCPOFFER thì nó sẽ phản hồi
broadcast lại một gói DHCPREQUEST để chấp nhận cái offer đó.
DHCPREQUEST bao gồm thơng tin về DHCP Server cấp địa chỉ cho nó. Sau đó,
tấc cả DHCP Server khác sẽ rút lại các offer (trường hợp này là trong mạng có
nhiều hơn 1 DHCP Server) và sẽ giữ lại IP address cho các yêu cầu xin IP
address khác.
IP Lease Acknowledgement:
DHCP server nhận được DHCPREQUEST sẽ gởi trả lại DHCP Client một
DHCPACK để cho biết là đã chấp nhận cho DHCP Client đó thuê IP address đó.
Gói tin này bao gồm địa chỉ IP và các thơng tin cấu hình khác (DNS Server,
WINS Server... ). Khi DHCP Client nhận được DHCPACK thì cũng có nghĩa là
kết thúc quá trình tìm kiếm của mình.
Cơ chế tự động refresh lại thời gian đăng ký (lease time).
Bây giờ ta coi như là DHCP Client đã đăng ký được một IP address rồi. Theo
mặc định của DHCP Server thì mỗi IP lease chỉ được có 8 ngày. Nếu theo như
mặc định (8 ngày) thì một DHCP Client sau một khoảng thời gian là 50% (tức là
4 ngày) nó sẽ tự động xin lại IP address với DHCP mà nó đã xin ban đầu. DHCP
Client lúc này sẽ gởi một sẽ gởi một DHCPREQUEST trực tiếp (unicast) đến
DHCP Server mà nó đã xin ban đầu.
Nếu mà DHCP Server đó "cịn sống", nó sẽ trả lời bằng một gói DHCPACK
để renew (cho thuê mới lại) tới DHCP Client, gói này bao gồm thơng các thơng
số cấu hình mới cập nhật nhất trên DHCP Server. Nếu DHCP Server "đã chết",
thì DHCP Client này sẽ tiếp tục sử dụng cấu hình hiện thời của nó.
TÌM HIỂU VÀ MINH HỌA SNIFFER
12
Hình 1.4. Thứ tự các gói tin trong DHCP
Nếu sau 87.5% (7 ngày) của thời gian thuê hiện thời của nó, nó sẽ broadcast
một DHCPDISCOVER để update địa chỉ IP của nó. Vào lúc này, nó khơng kiếm
tới DHCP Server ban đầu cho nó thuê nữa mà nó là sẽ chấp nhận bất cứ một
DHCP Server nào khác.
Nếu thời gian đăng ký đã hết thì Client sẽ ngay lập tức dừng lại việc sử dụng
IP address đã đăng ký đó. Và DHCP Client sau đó sẽ bắt đầu tiến trình thuê một
địa chỉ như ban đầu.
1.3 Spanning Tree Protocol (STP)
1.3.1 Khái niệm
Trong hệ thống mạng, người quản trị luôn thiết kế hệ thống có tính sẵn sàng
cao (HA-High Availability). Vì thế, người quản trị luôn thiết kế hệ thống luôn có
đường dự phịng để phịng những trường hợp những đường chính bị mất kết nối.
Nhưng như thế sẽ dễ dẫn tới hiện tượng lặp (loop) trong mạng, vì thế ta cần có
giao thức STP.
STP là một giao thức ngăn chặn sự lặp vịng, cho phép các Switch truyền
thơng với nhau để phát hiện vòng lặp vật lý trong mạng. Sau đó giao thức này sẽ
định rõ một thuật tốn mà Switch có thể tạo ra một topology luận lý chứa loopfree. Nói cách khác STP sẽ tạo một cấu trúc cây của free-loop gồm các lá và các
TÌM HIỂU VÀ MINH HỌA SNIFFER
13
nhánh nối tồn bộ mạng lớp 2.Các ngun nhân chính dẫn đến sự chậm trễ hoặc
thậm chí sự đụng độ củaqSwitch:
Hình 1.5. Mơ hình STP
Bão Broadcast
Bão Broadcast là hiện tượng rất nhiều frame chạy liên tục trong môi trường
các Switch đấu vòng. Làm cho tốc độ hệ thống mạng chậm và có thể làm treo các
Switch tốc tộ thấp.
Instability MAC-address Table
Đây là hiện tượng bảng CAM không ổn định. Bảng CAM trong Switch sẽ
cập nhật liên tục mỗi khi có một gói tin được gởi đi trong mạng.
Multiple Frame Copies
Đây là hiện tượng thiết bị đầu cuối nhận rất nhiều frame do các frame này
chạy vòng trong hệ thống. Hiện tượng này sẽ làm cho thiết bị đích sẽ chạy chậm
vì tốc độ xử lý của card mạng khơng đáp ứng một lúc rất nhiều frame.
1.3.2 Cơ chế hoạt động.
STP là một giao thức hoạt động ở lớp 2, nó sử dụng một giải thuật để tìm ra
các vịng lặp trong mạng và tác động của một mạng không bị loop. Giải thuật
chống Loop trong STP được thực hiện lần lượt qua 3 bước:
Bước 1: lựa chọn một Switch gốc (root bridge) trong số các Switch trên
mạng.
TÌM HIỂU VÀ MINH HỌA SNIFFER
14
Bước 2: Lựa chon một root port (là một cổng duy nhất trên mà Switch sử
dụng để đi tới gốc) trên các Switch khác (trừ gốc).
Bước 3: Lựa chọn một designated port (là một cổng duy nhất mà một
colision domain sử dụng để đi tới gốc.
Việc tính tốn Spanning Tree dựa trên hai khái niệm khi tạo ra vòng lặp logic
trong cấu trúc mạng đó là BridgeID và Cost.
BridgeID (BID): là một trường gồm 8 byte, gồm 2 trường con:
-
Địa chỉ MAC: có 6 byte được gán cho Switch, sử dụng dưới dạng
Hexa.
-
Bridge Priority: là độ ưu tiên có chiều dài là 2 byte tạo thành 216 giá trị
từ 0 đến 65535, có giá trị mặc định là 32768
Hình 1.6. Bridge ID
Cost: là chi phí đi tới Root Bridge có giá trị thấp nhất, chi phí được tính
bằng tổng cost trên các đoạn đường đi tới đích.
Hình 1.7. Cost
TÌM HIỂU VÀ MINH HỌA SNIFFER
15
1.3.3 Hoạt động của Spanning Tree
Thuật toán Spanning Tree sẽ được thực hiện trình tự theo các bước sau:
-
Bước 1: Sau khi Switch được khởi động, nó gửi gói tin BPDU (Bridge
Protocol Data Units), gói tin này gồm Switch Bridge ID và Root ID 2
giây/lần.
-
Bước 2: Trong pha khởi tạo ban đầu mỗi thì Switch đều coi nó là Root
Bridge.
-
Bước 3: Nếu Switch nhận được Root ID trong bản tin BPDU của Switch
neighbour mà nhỏ hơn Root ID của nó thì nó sẽ coi Switch neighbour là
Root Bridge (Switch có Root ID nhỏ hơn thì sẽ được bầu làm Root Bridge).
-
Bước 4: Switch sau đó sẽ forward bản tin BPDU với Root ID nhỏ hơn này
tới các Switch kế cận nó.
-
Bước 5: Switch với Root ID nhỏ nhất được coi là Root Bridge trong topo
Spanning-Tree.
-
Bước 6: Trong trường hợp 2 Switch có Root ID bằng nhau, chúng sẽ tiến
hàng quá trình bầu chọn thơng qua địa chỉ MAC address. Switch nào có địa
chỉ MAC address nhỏ hơn thì được coi là Root Bridge.
-
Bước 7: Sau khi xác định được Root Bridge, trên các Non-Root Bridge sẽ
tìm ra các Port mà có Cost đến Root Bridge nhỏ nhất để được bầu làm Root
Port. Cost đến Root Bridge được tính bằng tổng Cost trên các Segment từ nó
tới đích. Cost bằng 10^8/BW.
o Bước 7.1: Nếu Cost trên các cổng của Switch đến Root Bridge là giống
nhau thì nó sẽ chọn Port nào có kết nối tới Switch có Bridge ID nhỏ hơn
thì port đó được gọi là Root port.
o Bước 7.2: Giả sử các cổng cùng nối đến một Switch, điều đó có nghĩa là
Bridge ID mà các port dựa vào để đưa ra chọn lựa là 1, là giống nhau, thì
nó sẽ dựa vào Port ID trên các Switch mà nó kết nối tới. Port nào mà kết
nối tới Port ID có Port Priority nhỏ hơn thì được chọn là Root Port.
TÌM HIỂU VÀ MINH HỌA SNIFFER
16
Hình 1.8. Quá trình hoạt động của STP
-
Bước 8: Sau khi xác định Root Port, trên mỗi Segment các cặp Switch sẽ
tiến hành bầu chọn Designated Port. Nhiệm vụ của Designated Port là: Gửi
các bản tin PBDU và Replay BPDU của Root gửi tới. Quá trình bầu chọn
Designated Port tương tự quá trình bầu chọn Root Port ( 1.Dựa vào cost;
2.Dựa vào Switch – Priority ; 3.Dựa vào Port ID của Switch )
-
Bước 9: Các port còn lại được xác định là Block Port.
1.4 Mạng LANs ảo-VLAN (Virtual Local Area Network)
1.4.1 Khái niệm
VLAN là một mạng LAN ảo. Mỗi VLAN được xem như một mạng con riêng
(có IP được chia như một mạng con) và được tạo ra bằng cách cấu hình trên thiết
bị chuyển mạch lớp 2. Một VLAN tập trung một nhóm thiết bị mạng (điện thoại
IP, PC, Server, máy in…) và được thiết kế dựa trên các yêu cầu đặt ra từ các
doanh nghiệp. Ví dụ, thiết bị mạng trong một phịng ban sẽ được cấu hình trong
một VLAN.
Mỗi VLAN sẽ được quản lý dựa trên số VLAN ID (số xác định khi cấu hình
VLAN) với một tên VLAN tương ứng (tên VLAN này đặt tùy ý). VLAN ID có
thể đặt theo quy định từ 0 đến 4095.
TÌM HIỂU VÀ MINH HỌA SNIFFER
17
Hình 1.9. VLAN ID
1.4.2 Chức năng của VLAN
Việc cấu hình VLAN trong doanh nghiệp có rất nhiều ý nghĩa. Mục đích ra
đời của VLAN là giúp giảm chi phí hạ tầng, nâng cao được tính bảo mật, ngồi ra
VLAN cịn có rất nhiều chức năng như:
-
VLAN giúp cho hệ thống mạng được linh hoạt: Hệ thống mạng sẽ được
linh hoạt nếu như cấu hình VLAN vì khi muốn thêm hay bớt các thiết bị
mạng vào VLAN rất đơn giản, chỉ cần cấu hình hay hủy cấu hình trên cổng
của Switch cho thiết bị đó với VLAN tương ứng. Mặc khác, việc cấu hình
VLAN làm cho việc di chuyển các thiết bị mạng một cách dễ dàng bằng cách
người quản trị chỉ cần cấu hình lại các cổng Switch rồi đặt các thiết bị đó vào
các VLAN theo yêu cầu.
-
Tăng khả năng bảo mật: Đối với hệ thống mạng không cấu hình VLAN thì
người dùng với các thiết bị mạng đều có thể truy cập vào nhau, khi bị tấn
cơng tất cả các thiết bị đều ảnh hưởng . Đối với các hệ thống đã cấu hình
VLAN thì các thiết bị ở các VLAN khác nhau không thể truy cập vào nhau,
khi bị tấn cơng chỉ có các thiết bị mạng thuộc VLAN tương ứng bị ảnh
hưởng.
TÌM HIỂU VÀ MINH HỌA SNIFFER
18
-
Giảm miền quảng bá (broadcast domain): Hệ thống không cấu hình
VLAN là một miền broadcast, mỗi gói broadcast sẽ gởi đến tất cả các thiết bị
trong mạng. Khi đã cấu hình VLAN thì mạng LAN sẽ được chia nhỏ làm
nhiều segment (đoạn mạng), nếu khi có gói tin broadcast thì nó chỉ được
truyền duy nhất trong VLAN đó.
-
Tiết kiệm băng thông mạng: Khi hệ thống mạng mở rộng, số lượng người
dùng tăng lên và nhu cầu sử dụng băng thông cũng tăng lên và do đó băng
thơng và khả năng thực thi của hệ thống mạng sẽ giảm. Khi cấu hình VLAN
thì nó sẽ làm giảm broadcast domain và gói tin broadcast chỉ được truyền đi
trong VLAN tương ứng và giúp tiết kệm băng thông của hệ thống.
-
Hỗ trợ cho cân bằng tài và dự phòng: VLAN giúp cho việc truyền dữ liệu
có thể đi theo nhiều đường khác nhau nhờ cơ chế ngăn chặn sự lặp vịng của
gói tin.
1.4.3 Các kiểu VLAN
Khi VLAN được cung cấp hay tạo ra ở thiết bị Switch thì các thiết bị mạng
đầu cuối phải được gán vào VLAN tương ứng theo sự thiết kế. Dựa trên tính
năng VLAN có thể được cấu hình tĩnh hay động mà người quản trị mạng có thể
dùng một trong 2 phương pháp sau để thiết lập thành viên cho VLAN (gán thiết
bị vào VLAN tương ứng).
TÌM HIỂU VÀ MINH HỌA SNIFFER
19
Static VLAN (Port based VLAN):
Hình 1.10. Static VLAN
Đây là cách cấu hình VLAN tĩnh, tức là việc gán các thiết bị mạng vào làm
thành viên của VLAN dựa vào các cổng vật lý trên Switch, nói cách khác thì các
cổng của Switch được gán với các VLAN riêng biệt. Khi thiết bị mạng kết nối
vật lý đến đến một cổng trên Switch thì thiết bị này sẽ được tự động gán vào
VLAN đã được cấu hình từ trước. Trong kiểu cấu hình VLAN này thì người quản
trị mạng sẽ cấu hình các cổng trên Switch gán cho các VLAN bằng tay. Một hay
nhiều cổng trên Switch sẽ được cấu hình vào một VLAN với một VLAN ID. Mặc
dù hai thiết bị mạng được kết nối vào cùng một Switch nhưng lưu lượng mạng
giữa hai thiết bị không thể trao đổi với nhau vì hai VLAN này khơng cùng một
VLAN ID.
Dynamic VLAN (MAC address base VLAN):
Đây là cách cấu hình VLAN động, việc cấu hình sẽ dựa trên địa chỉ MAC
của thiết bị thành viên VLAN. Khi một thiết bị mạng kết nối đến một cổng của
Switch thì thiết bị mạng này sẽ không được tự động được gán vào VLAN như
Static VLAN. Mà khi một thiết bị mạng kết nối đến một cổng của Switch, Switch
phải truy vấn đến một cơ sở dữ liệu để gán thiết bị mạng vào làm thành viên của
VLAN. Cơ sở dữ liệu này được gọi là VMPS (VLAN Membership Policy
Server) database. Người quản trị phải thực hiện gán địa chỉ MAC của các thiết bị
thành viên VLAN tương ứng trong VMPS database trên TFTP (Trivial File
TÌM HIỂU VÀ MINH HỌA SNIFFER
20
Transfer Protocol) Server. Khi đổi thiết bị sang Switch khác, Switch sẽ dựa vào
VMPS database thực hiện chỉ định VLAN cho thiết bị đó.
Q trình thực hiện Dynamic VLAN:
-
Thiết bị mạng (Client) thực hiện kết nối vào một cổng trên Switch.
-
Switch đóng vai trị VMPS Client nhận được địa chỉ MAC của thiết bị
mạng.
Hình 1.11. Dynamic VLAN (MAC address base VLAN)
-
Switch VMPS Client tiến hành kiểm tra địa chỉ MAC này bằng cách gửi
gói request đến Switch đóng vai trị là VMPS Server.
-
Thông tin VMPS database (địa chỉ MAC tương ứng với VLAN) từ TFTP
Server sẽ được tải vào VMPS Server để kiểm chứng địa chỉ MAC request
từ VMPS Client.
-
Nếu thơng tin được kiểm chứng là đúng thì VMPS Server sẽ gửi về VLAN
ID cho VMPS Client.
-
VMPS Client sẽ cấu hình cổng cho thiết bị mạng vào đúng VLAN dựa trên
những thông tin nhận từ VMPS Server.
Các cổng trên Switch chỉ thuộc 1 VLAN. Lưu lượng sẽ không lưu thông qua
các cổng này cho đến khi Switch VMPS server chỉ định VLAN cho cổng này.
Nhiều thiết bị mạng có thể hoạt động trên cùng 1 cổng của Switch khi chúng
cùng chung VLAN. Các cổng trên Switch mà thiết bị được gán vào làm thành
viên của VLAN theo Dynamic VLAN được gọi là cổng động (Dynamic port).
TÌM HIỂU VÀ MINH HỌA SNIFFER
21
Dynamic VLAN (Protocol base VLAN):
Đây cũng là cách cấu hình VLAN động. Cách cấu hình này gần giống như
MAC address base VLAN, nhưng sử dụng một địa chỉ logic hay địa chỉ IP thay
thế cho địa chỉ MAC. Cách cấu hình khơng cịn thơng dụng nhờ sử dụng giao
thức DHCP.
1.5 Hệ thống phân giải tên miền-DNS (Domain Name System)
1.5.1 Khái niệm
Mỗi máy tính trong mạng muốn liên lạc hay trao đổi thông tin, dữ liệu cho
nhau cần phải biết rõ địa chỉ IP của nhau. Nếu số lượng máy tính trong mạng
nhiều thì việc nhớ những IP này là rất khó khăn. Mỗi máy tính ngồi địa chỉ IP ra
cịn có tên máy (host name). Đối với con người thì việc nhớ tên máy bao giờ
cũng dễ nhớ hơn địa chỉ IP vì chúng có tính trực quang và gợi nhớ hơn. Do đó
người ta tìm cách ánh xạ địa chỉ IP thành tên máy.
Dịch vụ DNS hoạt động theo mơ hình Client-Server:
Server: có chức năng là phân giải tên thành địa chỉ IP và ngược lại địa chỉ IP
thành tên, được gọi là Name Server, lưu trữ cơ sở dữ liệu của DNS.
Hình 1.12. Sơ đồ tổ chức DNS
Client: truy vấn phân giải tên đến DNS server được gọi là Resolver, chứa
các hàm thư viện dùng để tạo các truy vấn (query) đến Name Server.DNS
được thi hành như 1 giao thức của tầng Application trong mơ hình mạng
TÌM HIỂU VÀ MINH HỌA SNIFFER
22
TCP/IP.Một hostname trong domain là sự kết hợp giữa những từ phân cách
nhau bởi dấu chấm (.).
Ví dụ: Tên máy là srv1 gọi là hostname. Tên đầy đủ trong domain theo mơ
hình trên thì là srv1.csc.hcmuns.edu.vn gọi là FQDN (Fully Qualified
Domain Name).
1.5.2 Cơ chế phân giải tên
Phân giải tên thành địa chỉ IP
Root Name Server là máy chủ quản lý các name server ở mức top-level
domain. Khi có query về 1 tên domain nào đó thì Root Name Server sẽ cung cấp
tên và địa chỉ IP của name server quản lý top-level domain đó (thực tế thì hầu hết
các root server cũng chính là máy chủ quản lý top-level domain) và đến lược các
name server của top-level domain cung cấp danh sách các name server có quyền
trên các secon-level domain mà domain này thuộc vào. Cứ như thế đến khi nào
tìm được máy chủ quản lý tên domain cần truy vấn.
Qua q trình trên cho thấy vai trị rất quan trọng của Root Name Server
trong quá trình phân giải tên domain. Nếu mọi Root Name Server trên mạng
Internet không liên lạc được với nhau thì mọi yêu cầu phân giải tên đều sẽ khơng
được thực hiện.
Ví dụ : Client cần truy cập trang web Yahoo thì Client sẽ yêu cầu phân giải
địa chỉ IP của Web Server nào có chứa website Yahoo này. Đầu tiên Client sẽ tìm
trong cache của nó, nếu cache của nó khơng có thì nó sẽ gửi request querry đến
DNS local (nếu trong mạng nội bộ có DNS Server). Sau đó DNS local cũng sẽ
tìm trong cache của nó, nếu có nó sẽ gửi địa chỉ IP cần truy vấn đến cho Client,
nếu cache khơng có thì lúc này DNS local sẽ gửi request query này đến 1 Root
Name Server nào đó gần nó nhất mà nó biết được. Sau đó Root Name Server này
sẽ trã lời địa chỉ IP của Name Server quản lý miền .com cho DNS local. DNS
local lại hỏi tiếp name server quản lý domain .com miền yahoo.com địa chỉ IP là
bao nhiêu. Cuối cùng DNS local truy vấn máy chủ quản lý domain Yahoo và
nhận được câu trả lời.Truy vấn có thể ở 2 loại:
TÌM HIỂU VÀ MINH HỌA SNIFFER
23
-
Truy vấn đệ quy (recursive query) : khi name server nhận được truy vấn
dạng này, nó bắt buộc phải trả về kết quả tìm được hoặc thơng báo lỗi nếu
như truy vấn này không phân giải được. Name Server không thể tham
chiếu đến 1 Name Server khác. Name Server có thể gửi truy vấn dạng
recursive hoặc interative đến Name Server khác nhưng phải thực hiện cho
đến khi nào có kết quả mới thơi.
Hình 1.13. Truy vấn đệ quy
-
Truy vấn tương tác (Iteractive query): khi name server nhận được truy
vấn dạng này, nó trả lời cho Resolver với thơng tin tốt nhất mà nó có được
vào thời điểm lúc đó. Bản thân name server không thực hiện bất cứ một
truy vấn nào thêm. Thơng tin trả về lúc đó có thể lấy từ dữ liệu cục bộ (kể
cả cache). Trong trường hợp Name Server khơng tìm thấy thơng tin trong
dữ liệu cục bộ nó sẽ trả về tên miền và địa chỉ IP của Name Server nào
gần nhất mà nó biết.
Phân giải địa chỉ IP thành tên host
Để có thể phân giải tên máy tính của 1 địa chỉ IP, trong không gian tên miền
người ta bổ xung thêm 1 nhánh tên miền mà được lập chỉ mục theo địa chỉ IP.
Phần khơng gian này có tên miền là in-addr.arpa. Mỗi node trong miền inaddr.arpa có 1 tên nhãn là chỉ số thập phân của địa chỉ IP.
TÌM HIỂU VÀ MINH HỌA SNIFFER
24
Hình 1.14. Truy vấn tương tác
Ví dụ: Miền in-addr.arpa có thể có 256 subdomain tương ứng với 256 giá trị
từ 0 đến 255 của byte đầu tiên trong địa chỉ IP. Trong mỗi subdomain lại có 256
subdomain con nữa ứng với byte thứ 2. Cứ như thế và đến byte thứ 4 có các bản
ghi cho biết tên miền đầy đủ của các máy tính hoặc các mạng có địa chỉ IP tương
ứng.
1.6 Địa chỉ MAC (Media Access Control)
1.6.1 Khái niệm
Năm 1976, khi nhu cầu kết nối các máy tính lại với nhau trở nên cấp thiết, 3
công ty lớn là Xerox, Intel và Digital Equipment Corp (DEC) đã cùng nhau
nghiên cứu và đưa ra bản thảo cho chuẩn DIX Ethernet, chuẩn cho phép các máy
tính kết nối với nhau thành mạng LAN. Đến năm 1980, tổ chức IEEE (Institute of
Electrical and Electronics Engineers) dựa vào bản thảo DIX Ethernet nói trên đã
xây dựng chuẩn Etherner đầu tiên, trong đó gồm 2 phần: IEEE 802.3 quy định về
lớp điều khiển truy cập môi trường, viết tắt là MAC và IEEE 802.2 quy định về
lớp điều khiển kết nối logic, viết tắt là LLC (Logical Link Control).
Trong mơ hình tham chiếu OSI (Open Systems Interconnection) hay mơ hình
tham chiếu kết nối các hệ thống mở thì địa chỉ MAC nằm ở lớp 2 (data-link). Nói
một cách đơn giản, địa chỉ MAC là địa chỉ vật lý hay còn gọi là số nhận dạng của
TÌM HIỂU VÀ MINH HỌA SNIFFER
25
