DAI DYNAMIC ARP INSPECTION
I. Giao thức ARP
Giao thức ARP được sử dụng để phân giải địa chỉ động lớp network (địa chỉ IP) thành một địa chỉ lớp DataLink (Mac address) để phục vụ cho việc đóng gói một gói tin IP vào Frame Ethernet
Một host khi muốn biết địa chỉ Mac address của địa chỉ ip nào đó, thì nó sẽ gửi ra một gói tin broadcast ARP Request để truy vấn với IP này thì ứng với Mac address nào ?
Vì gói tin ARP request được phát broadcast nên tất cả các host sẽ nhận được gói ARP request này, tất cả các host kiểm tra xem có đúng địa chỉ IP của mình không,nếu không trùng thì bỏ qua, chỉ có thiết bị nào có địa chỉ IP trùng với địa chỉ ip có trong ARP request thì mới trả lời lại bằng gói tin ARP Reply(dạng Unicast). Rồi host này sẽ lưa vào bảng ARP cache của nó
Khi một host nhận được gói tin ARP Reply, nó hoàn toàn tin tưởng và mặc nhiên sử dụng thông tin đó để sử dụng sau này mà không cần biết thông tin đó có phải trả lời từ một host mà mình mong muốn hay không. Hacker sẽ dựa vào gói tin ARP reply này để tấn công. Hacker sẽ dựa vào đặc điểm này tấn công vào hệ thống Switch
II. Tính năng DAI - Dynamic ARP Inspection
Tính năng DAI sẽ ngăn chặn tấn công giả mạo ARP trên từng Vlan và sẽ dựa vào bảng DHCPSnooping Bingding của tính năng DHCP Snooping
Khi bật tính năng DAI trên Switch, thì Switch sẽ chia các cổng thuộc Vlan thành Trusted port và Untrusted port
Mọi gói tin ARP Reply do các host kết nối trên các untrusted port gửi vào Switch sẽ được kiểm tra. Nếu kết quả phân giải IP - MAC trên các gói tin này không khớp với thông tin IP-MAC tương ứng trong bảng DHCP Snooping binding thì các gói tin ARP Reply này sẽ bị loại bỏ không được chuyển tiếp -> chặn mọi tấn công ARP giả mạo từ end-user
Mặc định tất cả các cổng thuộc Vlan bật DAI sẽ để ở chế độ Untrusted. Nếu trong hệ thống mạng có các cổng kết nối các thiết bị tin cậy cao (server hay cổng Uplink) thì ta nên chuyển cổng về chế độ Trusted. Lúc này các gói tin không bị kiểm tra khi đi vào Switch
III. Bài lab về tính năng DAI
Sơ đồ:
FLEX LINKS (10.06.2019)