Tiện mình cũng có thắc mắc , tại sao trong wireless thì có thể biết được PC nào giả MAC ,còn trong LAN thì thua luôn , ko thể xác định được ?

Nghe nói , khi có 2 MAC cùng giống nhau (ví dụ PC này dùng tool để tạo ra MAC giả giống 1 PC khác trong Lan) , thì switch & router sẽ bị tình trạng chập chờn , ko phân biệt được ... có giải pháp nào khắc phục vấn đề này chăng ? nếu có ACL dựa trên MAC thì ACL này còn hoạt động đúng trong trường hợp này chăng ?

Thanks all !

Sao ban ko dua qua phan wireless ma hoi??Cau hoi nay neu tra loi day du cung kha nhieu.De luc nao cai may xong toi se co gang tra loi ban

Sorry hiểu nhầm ý bạn.Trong wireless thì tôi còn phân biệt được MAC giả,trong wired thì chịu.Thường để xác định 1 node trên mạng thì người ta thông thường chỉ dùng MAC và IP để định vị(hình như có vài cách nữa nhưng ko phổ biến) thì khá dễ dàng qua mặt các ACḶ(tôi đã thử với ISA).Vấn đề chập chờn thì theo tôi nếu switch or router ko đột qụy khi phát hiện có 2 port có cùng MAC thì nó bắt đầu tìm cách học theo kiểu khi E1 send data với MAC A thì nó học E1-MAC A và tương tự như thế sau đó E0-MAC A khi E0 send data với MAC A và khi có data gửi ngược về cho E1 trong khi switch vẫn nghĩ là MAC A là E0 th̀ì nó sẽ forward direct tới E0 thì E1 sẽ ko nhận được data.Do đó mạng bị chập chờn.Tôi nghĩ vậy nhưng chưa chắc đúng nếu ai có ̣điều kiện thì test thử cho chắc chắn.Hoặc A.Minh có thể support cho vụ này.Thân

bài viết của anh Minh mất hình rồi, tiếc quá, lại vào trễ. hixx.

Địa chỉ MAC giúp các máy trong một mạng Ethernet định vị ra nhau. Một cách tổng quát, MAC là địa chỉ lớp 2 của một máy.



Các địa chỉ MAC có chiều dài 6bytes, thường bao gồm 3 loại:
Unicast: Bit I/G là bit có trọng số lớn nhất trong octet có trọng số lớn nhất được gán bằng 0.
Broadcast: Là một địa chỉ tượng trưng cho tất cả các thiết bị trong mạng LAN segment ở một thờI điểm. Địa chỉ này có dạng 0xFFFF.FFFF.FFFF.
Multicast: Bit I/G được gán bằng 1.

Các tài liệu IEEE chỉ ra các địa chỉ Ethernet với các bit có trọng số lớn nhất bên trái. Tuy nhiên bên trong mỗi octet, bit nằm bên trái nhất lại là bit có trọng số thấp nhất; bit nằm bên phải nhất thì được gọi là bit có trọng số lớn nhất. Nhiều tài liệu gọi dạng địa chỉ này là non-canonical. Bất chấp thuật ngữ nào được dùng, thứ tự bit bên trong mỗi octet là quan trọng để có thể hiểu được ý nghĩa của hai bit có trọng số lớn nhất trong một địa chỉ Ethernet:

The Individual/Group (I/G) bit: Nếu địa chỉ là unicast, I/G=0, nếu là multicast hay broadcast, I/G=1.
The Universal/Local (U/L) bit: nếu bit này = 0, địa chỉ vendor được gán. Nếu bit U/L=1: địa chỉ này đã được người quản trị dùng và ghi đè lên giá trị do nhà sản xuất gán.

Bit I/G sẽ chỉ ra khi nào địa chỉ MAC là tượng trưng 1 một thiết bị đơn lẻ hay một nhóm các thiết bị. Bit U/L sẽ chỉ ra các địa chỉ được cấu hình cục bộ. Ví dụ, địa chỉ multicast được dùng bởi IP Multicast luôn được bắt đầu bằng 0x01005E. Giá trị hex 01 chuyển sang dạng nhị phân là 00000001, với giá trị bit most significant bằng 1, xác nhận việc sử dụng bit I/G.

Như vậy, địa chỉ MAC cho cả ba trường hợp multicast/unicast/broadcast được quyết định dựa trên ý nghĩa của vị trí một số bit trong các octet địa chỉ.

Ở cấp độ ccna, có thể bạn cần nắm thông tin là địa chỉ mac chia thành hai phần, một phần do nhà sản xuất qui định, một phần gọi là OUI, do IEEE qui định dành cho các vendor.

Dynamic ARP Inspection

Một switch có thể dùng tính năng DAI để ngăn ngừa vài kiểu tấn công sử dụng các thông điệp ARP IP. Để đánh giá các kiểu tấn công này hoạt động như thế nào, bạn cần phải nhớ vài chi tiết về nội dung của các thông điệp ARP. Hình dưới đây mô tả một ví dụ đơn giản với cách dùng phù hợp của thông điệp ARP, trong đó PC-A tìm địa chỉ MAC của PC-B.



Theo hình trên, đầu tiên PC-A gửi ra thông điệp ARP request theo kiểu broadcast để tìm kiếm địa chỉ MAC của IP-B (tức là tìm kiếm địa chỉ MAC đích). Sau đó, PC-B gửi ra thông điệp ARP Reply theo kiểu Unicast.

Cũng theo hình trên, các thông điệp ARP không bao gồm một IP Header. Tuy nhiên, nó bao gồm bốn trường quan trọng dùng để chứa các thông tin: địa chỉ MAC và địa chỉ IP nguồn của máy gửi, địa chỉ MAC và địa chỉ IP của máy đích.

Đối với một gói tin (thông điệp) dạng ARP request, địa chỉ đích IP là địa chỉ IP mà nó cần tìm ra MAC, địa chỉ MAC đích sẽ được để trống, vì đây là thông tin còn thiếu. Ngược lại, thông điệp ARP Reply (là một dạng unicast LAN) dùng địa chỉ MAC nguồn là địa chỉ máy trả lời. Địa chỉ IP nguồn của thông điệp ARP Reply là địa chỉ IP của chính máy trả lời.

Một kẻ tấn công có thể hình thành nên kiểu tấn công man-in-the-middle trong môi trường LAN bằng cách dùng gratuitous ARPs. Một gratuitous xảy ra khi một máy gửi một thông điệp ARP Reply mà không thấy một ARP request và gửi về địa chỉ đích Ethernet broadcast. Các thông điệp ARP Reply trong hình 21-4 mô tả ARP reply như là dạng unicast, nghĩa là chỉ có những máy gửi ra yêu cầu sẽ học được ARP entry. Bằng cách broadcast ra các thông điệp gratious ARP, tất cả các máy trên LAN sẽ học ARP entry.

Khi gratuitous ARP có thể được dùng để có hiệu quả tốt, nó cũng có thể được dùng bởi một kẻ tấn công. Kẻ tấn công có thể gửi ra một gratuitous ARP, thông báo địa chỉ của một máy hợp lệ. Tất cả các máy trong mạng (bao gồm router và switch) cập nhận bảng ARP của nó, chỉ đến địa chỉ MAC của máy tấn cống vào sau đó gửi các frame đến máy tấn công thay vì địa chỉ máy thật. Hình dưới đây mô tả tiến trình này.



Các bước mô tả trên hình trên có thể giải thích như sau:
Máy tấn công phát tán các gratuitous ARP chứa IP-B nhưng với MAC-C là địa chỉ nguồn IP và MAC nguồn.
PC-A cập nhật bảng ARP liệt kê địa chỉ IP-B kết hợp với MAC-C.
PC-A gửi một frame đến IP-B nhưng với địa chỉ MAC-C.
SW1 truyền frame đến MAC-C, là địa chỉ của máy tấn công.

Kết quả tấn công nằm ở máy khác, giống như PC-A, gửi frame dự kiến đến IP-B nhưng lại về địa chỉ MAC của MAC-C, là địa chỉ MAC của máy tấn công. Kẻ tấn công sau đó đơn giản gửi ra một bản sao của từng frame về PC-B, trờ thành kiểu tấn công man-in the middle.

Kết quả là, người dùng có thể tiếp tục làm việc và kẻ tấn công có thể nhận được rất nhiều dữ liệu. Switch dùng DAI để ngăn ngừa kiểu tấn công ARP attack bằng cách kiểm tra các thông điệp ARP và sau đó lọc bỏ các thông điệp không phù hợp.

DAI xem xét từng cổng của switch là không tin cậy (mặc định) hay tin cậy, thực hiện các thông điệp DAI chỉ trên những port không tin cậy. DAI kiểm tra từng thông điệp ARP request hay reply trên những port không tin cậy để quyết định xem thông điệp có phù hợp hay không. Nếu không phù hợp, switch sẽ lọc các thông điệp ARP này. DAI sẽ xác định một thông điệp ARP có hợp lệ hay không bằng cách dùng thuật toán sau:

1.Nếu một thông điệp ARP Reply liệt kê một địa chỉ nguồn IP mà không phải do DHCP cấp đến một thiết bị trên cổng đó, DAI sẽ lọc gói tin ARP Reply.

2.DAI dùng thêm các thuật toán tương tự bước 1 nhưng dùng một danh sách của các địa chỉ IP/MAC được cấu hình tĩnh.
3. Đối với một thông điệp ARP Reply, DAI so sánh địa chỉ nguồn MAC trong Ethernet header vớI địa chỉ nguồn MAC trong thông điệp ARP. Các giá trị MAC này phải giống nhau trong thông điệp ARP bình thường. NẾu các giá trị này không giống nhau, DAI sẽ lọc gói tin.
4. Giống như bước 3, nhưng DAI sẽ so sánh địa chỉ MAC đích và địa chỉ MAC liệt kê trong thông thông điệp ARP.

DAI kiểm tra các địa chỉ IP không mong đợi được liệt kê trong thông điệp ARP chẳng hạn như 0.0.0.0, 255.255.255.255, multicasts v.v.v.

Bảng 21-5 liệt kê các lệnh chủ chốt của Cat3550 được dùng để cấu hình DAI. DAI phải được bật ở chế độ toàn cục trước. Ở thời điểm này, tất cả các cổng được DAI xem như là không tin cậy. Một vài cổng, đặc biệt là những cổng kết nối vào những vùng an toàn (là những cổng kết nối vào máy chủ hoặc vào switch khác) cần phải được cấu hình tường minh như là cổng tin cậy. Sau đó, ta cần phải thêm vào các cấu hình khác để bật các tính năng khác nhau.

Ví dụ, DHCP snooping cần phải được bật trước khi DAI có thể dùng cơ sở dữ liệu DHCP snooping để thực hiện thuật toán ở bước 1 trong danh sách trên. Bạn cũng có thể cấu hình địa chỉ IP tĩnh hay thực hiện một vài phép kiểm tra tính hợp lệ bằng cách dùng câu lệnh ip arp inspection.

tiếc là mình ko vào dđ này sớm hơn, mình đang đau đầu vì virus giả lập gateway giống như vd trên (man inthe midle): PC nhiễm virus giả lập gán MAC của nó vào IP gateway (bị trong VLAN2), kết quả là mỗi khi 1PC bị dính virus này, ko máy nào trong VLAN ra được internet. Mô hình mạng cty mình như sau:



vậy mọi người cho mình hỏi là:
- nếu enable DAI trên sw3750 (cho cả 3 vlan) có khắc phục được fake arp trên cả 3 vlan ko (vì vlan 2 & 3 còn đi qua mấy sw2960 nữa) ?
- nếu đc, xin trình bày lệnh cụ thể (sry vì mình chưa từng dùng đến DAI, vừa biết qua thread này)

vấn đề này làm mình rất khổ sở vì virus lây qua mạng & usb rất dễ bị nhiễm lại, xin mọi người giúp đỡ. xin cảm ơn trước !! :)

Xin chào các sư huynh!
em mới bắt đầu học về CCNA.
em chưa hiểu rõ chức năng của địa chỉ Mac và trong trường hợp nào thì dùng địa chỉ Mac.Mong các sư huynh chỉ giáo.
thank you
chúc các sư huynh gặp nhiều may mắn.

ui da !!! ko ai trả lởi mình làm liều terminal vào sw3750, gõ lệnh ip arp inspection vlan 2, kết quả là vlan 2 die ngay lập tức ặc ặc, cổng ga1/01 (link cáp quang đến sw2960 tắt đèn luôn). sợ quá restart lại.
chán thiệt !!!!

ai đó cho mình chút ý kiến về sử dụng DAI đi... !!!