Thanks anh Minh nhiều lắm , phải công nhận kiến thức của anh thiệt đáng nể...
Announcement
Collapse
No announcement yet.
chức năng của MAC address
Collapse
X
-
Originally posted by net_sh View PostTiện mình cũng có thắc mắc , tại sao trong wireless thì có thể biết được PC nào giả MAC ,còn trong LAN thì thua luôn , ko thể xác định được ?
Nghe nói , khi có 2 MAC cùng giống nhau (ví dụ PC này dùng tool để tạo ra MAC giả giống 1 PC khác trong Lan) , thì switch & router sẽ bị tình trạng chập chờn , ko phân biệt được ... có giải pháp nào khắc phục vấn đề này chăng ? nếu có ACL dựa trên MAC thì ACL này còn hoạt động đúng trong trường hợp này chăng ?
Thanks all !Cố gắng "copy",cố gắng áp dụng
Comment
-
Originally posted by tamii View PostSao ban ko dua qua phan wireless ma hoi??Cau hoi nay neu tra loi day du cung kha nhieu.De luc nao cai may xong toi se co gang tra loi ban
Comment
-
Sorry hiểu nhầm ý bạn.Trong wireless thì tôi còn phân biệt được MAC giả,trong wired thì chịu.Thường để xác định 1 node trên mạng thì người ta thông thường chỉ dùng MAC và IP để định vị(hình như có vài cách nữa nhưng ko phổ biến) thì khá dễ dàng qua mặt các ACḶ(tôi đã thử với ISA).Vấn đề chập chờn thì theo tôi nếu switch or router ko đột qụy khi phát hiện có 2 port có cùng MAC thì nó bắt đầu tìm cách học theo kiểu khi E1 send data với MAC A thì nó học E1-MAC A và tương tự như thế sau đó E0-MAC A khi E0 send data với MAC A và khi có data gửi ngược về cho E1 trong khi switch vẫn nghĩ là MAC A là E0 th̀ì nó sẽ forward direct tới E0 thì E1 sẽ ko nhận được data.Do đó mạng bị chập chờn.Tôi nghĩ vậy nhưng chưa chắc đúng nếu ai có ̣điều kiện thì test thử cho chắc chắn.Hoặc A.Minh có thể support cho vụ này.ThânCố gắng "copy",cố gắng áp dụng
Comment
-
Originally posted by tamii View PostSorry hiểu nhầm ý bạn.Trong wireless thì tôi còn phân biệt được MAC giả,trong wired thì chịu.Thường để xác định 1 node trên mạng thì người ta thông thường chỉ dùng MAC và IP để định vị(hình như có vài cách nữa nhưng ko phổ biến) thì khá dễ dàng qua mặt các ACḶ(tôi đã thử với ISA).Vấn đề chập chờn thì theo tôi nếu switch or router ko đột qụy khi phát hiện có 2 port có cùng MAC thì nó bắt đầu tìm cách học theo kiểu khi E1 send data với MAC A thì nó học E1-MAC A và tương tự như thế sau đó E0-MAC A khi E0 send data với MAC A và khi có data gửi ngược về cho E1 trong khi switch vẫn nghĩ là MAC A là E0 th̀ì nó sẽ forward direct tới E0 thì E1 sẽ ko nhận được data.Do đó mạng bị chập chờn.Tôi nghĩ vậy nhưng chưa chắc đúng nếu ai có ̣điều kiện thì test thử cho chắc chắn.Hoặc A.Minh có thể support cho vụ này.Thân
Không cái gì phân biện được MAC giả cả.
Wireless cũng không phân biẹt được MAC giả. Có điều, wireless có một cơ chế kiểm tra MAC. Ví dụ, trình điều khiển Access Point có thể giới hạn khả năng kết nối: chỉ MAC cho phép mới được kết nối, hay khi kết nối phải có pass.
Để thực hiện được những yếu cầu này, ngay trong Physical Layer của các máy tính dùng wireless thì thành một cơ chế như Session Layer, tạm gọi là Wireless Session. Để kết nối, các thiết bị phải đi qua việc thành lập Wireless Session, bao gồm thành lập mã ngẫu nhiên (bắt buộc), kết hợp mã người dùng (nếu cần)... Quá trình này được gọi là attach (kết nối).
Hai thiết bị chưa qua quá trình đó vẫn ở trạng thái chưa kết nối, mặc dù vẫn giử được dữ liệu cho nhau. Những dự liệu chưa được kết nối này không được chuyển qua Data link layer của máy tính.
Sau khi thành lập Wireless Session, dữ liệu được mã hóa theo mã đã được lập. Đến đích, dữ liệu lại được giải mã. Khi Wireless Session vô hiệu, khóa mã ngẫu nhiên tạm thời hủy bỏ thì kết nối cũng bị hủy bỏ. Chỉ những dữ liệu truyền trong Wireless Session sau khi giải mã mới được công nhận và chuyển lên data link layer của máy tính.
Tất cả quá trình mã và giải mã Wireless đó, tạm gọi là Wireless Session nằm trong Physical Layer của máy tính, hệ thống mạng máy tính không biết và không quan tâm. Các thao tác này do driver NIC và Access Piont thực hiện.
Như vậy, thực chất Wireless không phân biệt được MAC giả. CHỉ có những cơ chế sinh MAC giả yếu đuối không vượt qua được Wireless Session bị bật ra. Người quản lý mạng cũng dễ dàng hơn, tuy rằng tất cả mọi người đều bắt được sóng Wireless nhưng hoàn toàn không thể thâm nhập mạng nếu như đặt chế độ chỉ nhứng MAC nào mới được vào mạng.
Chính vì vậy mà Wireless an toàn hơn rất nhiều. Wireless cũng mất an toàn hơn nhiều nếu người quản lý không biết điểm đó.Last edited by huyphuc1981_nb; 19-09-2007, 07:56 PM.Long say thiếu rượu.
Comment
-
Mr.Minh quá pro !!!!Trịnh Anh Luân
- Email : trinhanhluan@vnpro.org
- Search my site
- Search VNPRO.ORG
Trung Tâm Tin Học VnPro
Địa chỉ: 149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel: (08) 35124257 (5 lines)
Fax: (08) 35124314
Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org
Network channel: http://www.dancisco.com- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng
Blog: http://www.vnpro.org/blog
Wifi forum: http://www.wifipro.org
Comment
-
Originally posted by tindecken View Postbài viết của anh Minh mất hình rồi, tiếc quá, lại vào trễ. hixx.
Hình nào trong bài viết của thầy Minh bị mất vậy, mình thấy vẫn good mà . Post lại 2 bài viết ấy để bạn dễ hình dung nha
Originally posted by dangquangminh View PostĐịa chỉ MAC giúp các máy trong một mạng Ethernet định vị ra nhau. Một cách tổng quát, MAC là địa chỉ lớp 2 của một máy.
Các địa chỉ MAC có chiều dài 6bytes, thường bao gồm 3 loại:
Unicast: Bit I/G là bit có trọng số lớn nhất trong octet có trọng số lớn nhất được gán bằng 0.
Broadcast: Là một địa chỉ tượng trưng cho tất cả các thiết bị trong mạng LAN segment ở một thờI điểm. Địa chỉ này có dạng 0xFFFF.FFFF.FFFF.
Multicast: Bit I/G được gán bằng 1.
Các tài liệu IEEE chỉ ra các địa chỉ Ethernet với các bit có trọng số lớn nhất bên trái. Tuy nhiên bên trong mỗi octet, bit nằm bên trái nhất lại là bit có trọng số thấp nhất; bit nằm bên phải nhất thì được gọi là bit có trọng số lớn nhất. Nhiều tài liệu gọi dạng địa chỉ này là non-canonical. Bất chấp thuật ngữ nào được dùng, thứ tự bit bên trong mỗi octet là quan trọng để có thể hiểu được ý nghĩa của hai bit có trọng số lớn nhất trong một địa chỉ Ethernet:
The Individual/Group (I/G) bit: Nếu địa chỉ là unicast, I/G=0, nếu là multicast hay broadcast, I/G=1.
The Universal/Local (U/L) bit: nếu bit này = 0, địa chỉ vendor được gán. Nếu bit U/L=1: địa chỉ này đã được người quản trị dùng và ghi đè lên giá trị do nhà sản xuất gán.
Bit I/G sẽ chỉ ra khi nào địa chỉ MAC là tượng trưng 1 một thiết bị đơn lẻ hay một nhóm các thiết bị. Bit U/L sẽ chỉ ra các địa chỉ được cấu hình cục bộ. Ví dụ, địa chỉ multicast được dùng bởi IP Multicast luôn được bắt đầu bằng 0x01005E. Giá trị hex 01 chuyển sang dạng nhị phân là 00000001, với giá trị bit most significant bằng 1, xác nhận việc sử dụng bit I/G.
Như vậy, địa chỉ MAC cho cả ba trường hợp multicast/unicast/broadcast được quyết định dựa trên ý nghĩa của vị trí một số bit trong các octet địa chỉ.
Ở cấp độ ccna, có thể bạn cần nắm thông tin là địa chỉ mac chia thành hai phần, một phần do nhà sản xuất qui định, một phần gọi là OUI, do IEEE qui định dành cho các vendor.Originally posted by dangquangminh View PostDynamic ARP Inspection
Một switch có thể dùng tính năng DAI để ngăn ngừa vài kiểu tấn công sử dụng các thông điệp ARP IP. Để đánh giá các kiểu tấn công này hoạt động như thế nào, bạn cần phải nhớ vài chi tiết về nội dung của các thông điệp ARP. Hình dưới đây mô tả một ví dụ đơn giản với cách dùng phù hợp của thông điệp ARP, trong đó PC-A tìm địa chỉ MAC của PC-B.
Theo hình trên, đầu tiên PC-A gửi ra thông điệp ARP request theo kiểu broadcast để tìm kiếm địa chỉ MAC của IP-B (tức là tìm kiếm địa chỉ MAC đích). Sau đó, PC-B gửi ra thông điệp ARP Reply theo kiểu Unicast.
Cũng theo hình trên, các thông điệp ARP không bao gồm một IP Header. Tuy nhiên, nó bao gồm bốn trường quan trọng dùng để chứa các thông tin: địa chỉ MAC và địa chỉ IP nguồn của máy gửi, địa chỉ MAC và địa chỉ IP của máy đích.
Đối với một gói tin (thông điệp) dạng ARP request, địa chỉ đích IP là địa chỉ IP mà nó cần tìm ra MAC, địa chỉ MAC đích sẽ được để trống, vì đây là thông tin còn thiếu. Ngược lại, thông điệp ARP Reply (là một dạng unicast LAN) dùng địa chỉ MAC nguồn là địa chỉ máy trả lời. Địa chỉ IP nguồn của thông điệp ARP Reply là địa chỉ IP của chính máy trả lời.
Một kẻ tấn công có thể hình thành nên kiểu tấn công man-in-the-middle trong môi trường LAN bằng cách dùng gratuitous ARPs. Một gratuitous xảy ra khi một máy gửi một thông điệp ARP Reply mà không thấy một ARP request và gửi về địa chỉ đích Ethernet broadcast. Các thông điệp ARP Reply trong hình 21-4 mô tả ARP reply như là dạng unicast, nghĩa là chỉ có những máy gửi ra yêu cầu sẽ học được ARP entry. Bằng cách broadcast ra các thông điệp gratious ARP, tất cả các máy trên LAN sẽ học ARP entry.
Khi gratuitous ARP có thể được dùng để có hiệu quả tốt, nó cũng có thể được dùng bởi một kẻ tấn công. Kẻ tấn công có thể gửi ra một gratuitous ARP, thông báo địa chỉ của một máy hợp lệ. Tất cả các máy trong mạng (bao gồm router và switch) cập nhận bảng ARP của nó, chỉ đến địa chỉ MAC của máy tấn cống vào sau đó gửi các frame đến máy tấn công thay vì địa chỉ máy thật. Hình dưới đây mô tả tiến trình này.
Các bước mô tả trên hình trên có thể giải thích như sau:
Máy tấn công phát tán các gratuitous ARP chứa IP-B nhưng với MAC-C là địa chỉ nguồn IP và MAC nguồn.
PC-A cập nhật bảng ARP liệt kê địa chỉ IP-B kết hợp với MAC-C.
PC-A gửi một frame đến IP-B nhưng với địa chỉ MAC-C.
SW1 truyền frame đến MAC-C, là địa chỉ của máy tấn công.
Kết quả tấn công nằm ở máy khác, giống như PC-A, gửi frame dự kiến đến IP-B nhưng lại về địa chỉ MAC của MAC-C, là địa chỉ MAC của máy tấn công. Kẻ tấn công sau đó đơn giản gửi ra một bản sao của từng frame về PC-B, trờ thành kiểu tấn công man-in the middle.
Kết quả là, người dùng có thể tiếp tục làm việc và kẻ tấn công có thể nhận được rất nhiều dữ liệu. Switch dùng DAI để ngăn ngừa kiểu tấn công ARP attack bằng cách kiểm tra các thông điệp ARP và sau đó lọc bỏ các thông điệp không phù hợp.
DAI xem xét từng cổng của switch là không tin cậy (mặc định) hay tin cậy, thực hiện các thông điệp DAI chỉ trên những port không tin cậy. DAI kiểm tra từng thông điệp ARP request hay reply trên những port không tin cậy để quyết định xem thông điệp có phù hợp hay không. Nếu không phù hợp, switch sẽ lọc các thông điệp ARP này. DAI sẽ xác định một thông điệp ARP có hợp lệ hay không bằng cách dùng thuật toán sau:
1.Nếu một thông điệp ARP Reply liệt kê một địa chỉ nguồn IP mà không phải do DHCP cấp đến một thiết bị trên cổng đó, DAI sẽ lọc gói tin ARP Reply.
2.DAI dùng thêm các thuật toán tương tự bước 1 nhưng dùng một danh sách của các địa chỉ IP/MAC được cấu hình tĩnh.
3. Đối với một thông điệp ARP Reply, DAI so sánh địa chỉ nguồn MAC trong Ethernet header vớI địa chỉ nguồn MAC trong thông điệp ARP. Các giá trị MAC này phải giống nhau trong thông điệp ARP bình thường. NẾu các giá trị này không giống nhau, DAI sẽ lọc gói tin.
4. Giống như bước 3, nhưng DAI sẽ so sánh địa chỉ MAC đích và địa chỉ MAC liệt kê trong thông thông điệp ARP.
DAI kiểm tra các địa chỉ IP không mong đợi được liệt kê trong thông điệp ARP chẳng hạn như 0.0.0.0, 255.255.255.255, multicasts v.v.v.
Bảng 21-5 liệt kê các lệnh chủ chốt của Cat3550 được dùng để cấu hình DAI. DAI phải được bật ở chế độ toàn cục trước. Ở thời điểm này, tất cả các cổng được DAI xem như là không tin cậy. Một vài cổng, đặc biệt là những cổng kết nối vào những vùng an toàn (là những cổng kết nối vào máy chủ hoặc vào switch khác) cần phải được cấu hình tường minh như là cổng tin cậy. Sau đó, ta cần phải thêm vào các cấu hình khác để bật các tính năng khác nhau.
Ví dụ, DHCP snooping cần phải được bật trước khi DAI có thể dùng cơ sở dữ liệu DHCP snooping để thực hiện thuật toán ở bước 1 trong danh sách trên. Bạn cũng có thể cấu hình địa chỉ IP tĩnh hay thực hiện một vài phép kiểm tra tính hợp lệ bằng cách dùng câu lệnh ip arp inspection.
Chúc bạn vui !!!Trần Mỹ Phúctranmyphuc@hotmail.com
Hãy add nick để có thông tin đề thi mới nhất :tranmyphuc (Hỗ trợ tối đa cho các bạn tự học)
Cisco Certs : CCNP (Passed TSHOOT 1000/1000)
Juniper Certs : JNCIP-ENT & JNCIP-SEC
INSTRUCTORS (No Fee) : CISCO (Professional) , JUNIPER (Professional) , Microsoft ...
[version 4.0] Ôn tập CCNA
Comment
-
tiếc là mình ko vào dđ này sớm hơn, mình đang đau đầu vì virus giả lập gateway giống như vd trên (man inthe midle): PC nhiễm virus giả lập gán MAC của nó vào IP gateway (bị trong VLAN2), kết quả là mỗi khi 1PC bị dính virus này, ko máy nào trong VLAN ra được internet. Mô hình mạng cty mình như sau:
01 asa firewall 5510
01 sw3750-48: chia làm 3 VLAN
- VLAN1 (port 1-16): các port nối đến pc;
- VLAN 2 (port 17-32): 1số port nối đến pc, 2 port GBit nối vào 2 sw2960
- VLAN 3 (port 33-48): 1số port nối đến pc, 2 port GBit nối vào 2 sw2960
toàn bộ pc dùng IP tĩnh.
- nếu enable DAI trên sw3750 (cho cả 3 vlan) có khắc phục được fake arp trên cả 3 vlan ko (vì vlan 2 & 3 còn đi qua mấy sw2960 nữa) ?
- nếu đc, xin trình bày lệnh cụ thể (sry vì mình chưa từng dùng đến DAI, vừa biết qua thread này)
vấn đề này làm mình rất khổ sở vì virus lây qua mạng & usb rất dễ bị nhiễm lại, xin mọi người giúp đỡ. xin cảm ơn trước !! :)Last edited by Guest; 12-05-2008, 09:09 PM.
Comment
-
Originally posted by C0mmand0 View Posttiếc là mình ko vào dđ này sớm hơn, mình đang đau đầu vì virus giả lập gateway giống như vd trên (man inthe midle): PC nhiễm virus giả lập gán MAC của nó vào IP gateway (bị trong VLAN2), kết quả là mỗi khi 1PC bị dính virus này, ko máy nào trong VLAN ra được internet. Mô hình mạng cty mình như sau:
vậy mọi người cho mình hỏi là:
- nếu enable DAI trên sw3750 (cho cả 3 vlan) có khắc phục được fake arp trên cả 3 vlan ko (vì vlan 2 & 3 còn đi qua mấy sw2960 nữa) ?
- nếu đc, xin trình bày lệnh cụ thể (sry vì mình chưa từng dùng đến DAI, vừa biết qua thread này)
vấn đề này làm mình rất khổ sở vì virus lây qua mạng & usb rất dễ bị nhiễm lại, xin mọi người giúp đỡ. xin cảm ơn trước !! :)
Cách khắc khục là cách ly máy bị nhiễm virus và tiêu diệt nó trên máy đó. Cách phát hiện máy bị: mở toàn bộ hệ thống, thực hiện lệnh Ping đến Gateway của mạng (trường hợp đang bị nhiễm virus sẽ thì tham số "time" sẽ >1ms rất nhiều) sau đó tắt dần từng máy trạm, tắt xong máy nào thì xem thử tham số "time" đó có cải thiện nhiều không? (<1ms là hoạt động tốt, ko bị nhiễm virus), thường thì khi tắt đúng máy bị nhiễm virus mạng sẽ bị rớt (time out) --> qua đó phát hiện được máy nhiễm. --> diệt virus trên máy đó.trying....
Comment
-
ui da !!! ko ai trả lởi mình làm liều terminal vào sw3750, gõ lệnh ip arp inspection vlan 2, kết quả là vlan 2 die ngay lập tức ặc ặc, cổng ga1/01 (link cáp quang đến sw2960 tắt đèn luôn). sợ quá restart lại.
chán thiệt !!!!
ai đó cho mình chút ý kiến về sử dụng DAI đi... !!!
Comment
-
Originally posted by umbala_lenguyen View PostXin chào các sư huynh!
em mới bắt đầu học về CCNA.
em chưa hiểu rõ chức năng của địa chỉ Mac và trong trường hợp nào thì dùng địa chỉ Mac.Mong các sư huynh chỉ giáo.
thank you
chúc các sư huynh gặp nhiều may mắn.
thi du nhu truong minh dang hoc moi khi hoc sinh co laptop moi can phai dang ky MAC add voi truong, neu ko thi du co co connect duoc vao mang cung ko connect duoc vao Internet! :(
xin loi ca nha vi ko post tieng viet duoc!********************************
Truong Thanh Thuy
University of Southern California
Computer Engineering & Computer Science
Email: thuyusc@gmail.com
Phone: 08.44585659
********************************
Comment
-
Originally posted by C0mmand0 View Postui da !!! ko ai trả lởi mình làm liều terminal vào sw3750, gõ lệnh ip arp inspection vlan 2, kết quả là vlan 2 die ngay lập tức ặc ặc, cổng ga1/01 (link cáp quang đến sw2960 tắt đèn luôn). sợ quá restart lại.
chán thiệt !!!!
ai đó cho mình chút ý kiến về sử dụng DAI đi... !!!
ví dụ:
config t
!enable DHCP Snooping
ip dhcp snooping
ip dhcp snooping vlan 2
no ip dhcp snooping information option
!enable DAI
ip arp inspection vlan 2
!
interface f0/24
description "connecto to DHCP Server"
ip dhcp snooping trust
ip arp inspection trust
!
interface f0/10
description "connect to uplink switch"
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust
ip arp inspection trust
!
end
wr
link:
DHCP Snooping:http://www.cisco.com/en/US/docs/swit...html#wp1078853
DAI:http://www.cisco.com/en/US/docs/swit.../swdynarp.html
Comment
-
E đang nghiên cứu về địa chỉ MAC hay nói cách khác là nghiên cứu về các phương pháp điều khiển truy nhập lớp vật lý trong mạng LAN...các anh chị và các thầy nếu có tài liệu liên quan thì cho e xin it về nghiên cứu...tài liệu tiếng việt hay tiếng anh cũng đc (cả 2 thì càng tốt)...em xin cám ơn nhìu
Comment
-
MAC Address
Địa chỉ MAC thật sự hữu dụng cho các trạm làm việc trong môi trường Hệ điều hành mạng Macintosh, Novell Netware.
Thông tin chi tiết về địa chỉ MAC bạn vào Site này:
Bạn phải biết Tiếng Anh để đọc hiểu tại trang này.
Chúc bạn thành công!Last edited by latronghoi; 17-10-2008, 11:25 AM.
Comment
Comment