Hoạt động của Switch
Nhiệm vụ chính của Switch là hoạt động chuyển mạch. Khi frame đi vào một cổng của Switch, nó sẽ chuyển tiếp ra khỏi một cổng thích hợp để đi đến thiết bị nhận. Khi thực hiện chuyển mạch Switch sẽ dựa vào một bảng thông tin gọi là bảng MAC(Mac Address Table) hay còn gọi là bảng CAM(Content Addressable Memory).
Bảng CAM là nơi lưu thông tin của những địa chỉ Mac mà Switch học được
Khi Switch nhận được một frame nó sẽ kiểm tra source Mac có trong frame đã lưu trong bảng CAM hay chưa, nếu trong bảng CAM chưa có Mac address này thì Switch sẽ học địa chỉ Mac address này tương ứng với cổng nhận vào và ghi vào bảng CAM
Tiếp theo Switch sẽ chuyển tiếp frame ra các cổng thích hợp khi dựa vào destination MAC của frame, có 2 trường hợp
Trường hợp 1: nếu destination Mac của frame là địa chỉ unicast Mac có sẵn trong bảng CAM, Switch chỉ cần chuyển frame ra cổng tương ứng với Mac address có trong bảng CAM
Trường hợp 2: Nếu destination Mac là frame của địa chỉ unicast MAC chưa có trong bảng MAC hoặc là địa chỉ broastcast, Switch sẽ thực hiện nhân bản (flood) frame này ra tất cả các cổng trừ cổng nhận vào. Đến một lúc nào đó thì Switch đã học được hết tất cả các địa chỉ Mac trong mạng
Số lượng các entry trong bảng CAM có giới hạn, nếu có một frame khi đi vào cổng chưa có trong bảng CAM thì Switch luôn học địa chỉ này tương ứng với port nhận vào nếu không có cơ chế xác thực nào được áp dụng nên đến một thời điểm nào đó bảng CAM của Switch sẽ bị đầy. Lúc này thì Switch sẽ trong tình trạng quá tải khi đó thiết bị Switch sẽ hoạt động như Hub
Các Hacker sẽ dựa vào đặc điểm này để tấn công vào hệ thống Switch. Hacker sẽ tạo ra một loạt địa chỉ Mac address rồi gửi liên tục lên thiết bị Switch để Switch học một cách không kiểm soát rồi đến một lúc nào đó thì bảng CAM sẽ bị đầy và không còn khả năng học nữa.
Bảng CAM bị đầy
Bây giờ Switch sẽ xử lý như Hub nên những frame từ những địa chỉ đã biết rồi thì cũng bị flood ra tất cả các cổng trong đó có cổng của hacker, mọi dữ liệu, mọi thông tin điều bị hacker nghe lén
Chiều gói tin đi từ B sang C : Mũi tên đỏ
Chiều gói tin đi từ C sang B : Mũi tên xanh
Cách ngăn chặn
Ta cần bảo vệ hệ thống mạng khỏi cách tấn công này bằng phương pháp sử dụng tính năng port security:
Port security là tính năng giúp bảo mật lớp 2 trên switch với nhiệm vụ chính là giới hạn địa chỉ MAC được học trên một cổng. switch chỉ chuyển tiếp dữ liệu đến những thiết bị sử dụng MAC hợp lệ, bất kì gói tin nào đến từ những thiết bị có địa chỉ MAC không hợp lệ sẽ ngay lập tức bị loại bỏ
Nhiệm vụ chính của Switch là hoạt động chuyển mạch. Khi frame đi vào một cổng của Switch, nó sẽ chuyển tiếp ra khỏi một cổng thích hợp để đi đến thiết bị nhận. Khi thực hiện chuyển mạch Switch sẽ dựa vào một bảng thông tin gọi là bảng MAC(Mac Address Table) hay còn gọi là bảng CAM(Content Addressable Memory).
Bảng CAM là nơi lưu thông tin của những địa chỉ Mac mà Switch học được
Khi Switch nhận được một frame nó sẽ kiểm tra source Mac có trong frame đã lưu trong bảng CAM hay chưa, nếu trong bảng CAM chưa có Mac address này thì Switch sẽ học địa chỉ Mac address này tương ứng với cổng nhận vào và ghi vào bảng CAM
Tiếp theo Switch sẽ chuyển tiếp frame ra các cổng thích hợp khi dựa vào destination MAC của frame, có 2 trường hợp
Trường hợp 1: nếu destination Mac của frame là địa chỉ unicast Mac có sẵn trong bảng CAM, Switch chỉ cần chuyển frame ra cổng tương ứng với Mac address có trong bảng CAM
Trường hợp 2: Nếu destination Mac là frame của địa chỉ unicast MAC chưa có trong bảng MAC hoặc là địa chỉ broastcast, Switch sẽ thực hiện nhân bản (flood) frame này ra tất cả các cổng trừ cổng nhận vào. Đến một lúc nào đó thì Switch đã học được hết tất cả các địa chỉ Mac trong mạng
Bảng CAM hoạt động bình thường
Tấn công bảng CAMSố lượng các entry trong bảng CAM có giới hạn, nếu có một frame khi đi vào cổng chưa có trong bảng CAM thì Switch luôn học địa chỉ này tương ứng với port nhận vào nếu không có cơ chế xác thực nào được áp dụng nên đến một thời điểm nào đó bảng CAM của Switch sẽ bị đầy. Lúc này thì Switch sẽ trong tình trạng quá tải khi đó thiết bị Switch sẽ hoạt động như Hub
Các Hacker sẽ dựa vào đặc điểm này để tấn công vào hệ thống Switch. Hacker sẽ tạo ra một loạt địa chỉ Mac address rồi gửi liên tục lên thiết bị Switch để Switch học một cách không kiểm soát rồi đến một lúc nào đó thì bảng CAM sẽ bị đầy và không còn khả năng học nữa.
Bảng CAM bị đầy
Bây giờ Switch sẽ xử lý như Hub nên những frame từ những địa chỉ đã biết rồi thì cũng bị flood ra tất cả các cổng trong đó có cổng của hacker, mọi dữ liệu, mọi thông tin điều bị hacker nghe lén
Chiều gói tin đi từ B sang C : Mũi tên đỏ
Chiều gói tin đi từ C sang B : Mũi tên xanh
Cách ngăn chặn
Ta cần bảo vệ hệ thống mạng khỏi cách tấn công này bằng phương pháp sử dụng tính năng port security:
Port security là tính năng giúp bảo mật lớp 2 trên switch với nhiệm vụ chính là giới hạn địa chỉ MAC được học trên một cổng. switch chỉ chuyển tiếp dữ liệu đến những thiết bị sử dụng MAC hợp lệ, bất kì gói tin nào đến từ những thiết bị có địa chỉ MAC không hợp lệ sẽ ngay lập tức bị loại bỏ