Nội dung:
#1. Định nghĩa & cơ chế hoạt động của ARP
#2. Các dạng ARP
#3. ARP spoofing:
- Sniff
- Man-in-the-middle
- Netcut
#4. Anti-spoofing
—————
#1.
ARP là gì?- Định nghĩa & cơ chế hoạt động của ARP
[Định nghĩa gốc có tại RFC 826, ở đây mình chỉ tổng hợp từ một số nguồn trên internet]
ARP là gì?
- ARP là phương thức phân giải địa chỉ động giữa địa chỉ MAC và địa chỉ IP. Quá trình thực hiện bằng cách: một thiết bị IP trong mạng gửi một gói tin broadcast đến toàn mạng yêu cầu thiết bị khác gửi trả lại địa chỉ MAC của mình.
- Các thiết bị thường dùng cơ chế ARP (Address Resolution Protocol) và RARP (Reverse Address Resolution Protocol) để biết được các địa chỉ MAC, IP của các thiết bị khác.
Hoạt động
- HostA và HostB truyền tin cho nhau, các packet sẽ được đưa xuống tầng Datalink để đóng gói, các Host sẽ phải đóng gói MAC nguồn, MAC đích vào frame. Như vậy trước khi quá trình truyền dữ liệu xảy ra, 2 máy sẽ phải làm động tác hỏi MAC của nhau.
1. Source Device Checks Cache: Trong bước này, thiết bị sẽ kiểm tra cache (bộ đệm) của mình. Nếu đã có địa chỉ IP đích tương ứng với MAC nào đó rồi thì lập tức chuyển lên bước 9.
2. Source Device Generates ARP Request Message: Bắt đầu khởi tạo gói tin ARP Request với các trường địa chỉ như trên.
3. Source Device Broadcasts ARP Request Message: Thiết bị nguồn gửi broadcast gói tin ARP Request trên toàn mạng.
4. Local Devices Process ARP Request Message: Các thiết bị trong mạng đều nhận được gói tin ARP Request. Gói tin được xử lý bằng cách các thiết bị đều nhìn vào trường địa chỉ Target Protocol Address. Nếu trùng với địa chỉ của mình thì tiếp tục xử lý, nếu không thì hủy gói tin.
5. Destination Device Generates ARP Reply Message: Thiết bị với IP trùng với IP trong trường Target Protocol Address sẽ bắt đầu quá trình khởi tạo gói tin ARP Reply bằng cách lấy các trường Sender Hardware Address và Sender Protocol Address trong gói tin ARP nhận được đưa vào làm Target trong gói tin gửi đi. Đồng thời thiết bị sẽ lấy địa chỉ datalink của mình để đưa vào trường Sender Hardware Address
6. Destination Device Updates ARP Cache: Thiết bị đích (thiết bị khởi tạo gói tin ARP Reply) đồng thời cập nhật bảng ánh xạ địa chỉ IP và MAC của thiết bị nguồn vào bảng ARP cache của mình để giảm bớt thời gian xử lý cho các lần sau.
7. Destination Device Sends ARP Reply Message: Thiết bị đích bắt đầu gửi gói tin Reply đã được khởi tạo đến thiết bị nguồn. Gói tin reply là gói tin gửi unicast.
8. Source Device Processes ARP Reply Message: Thiết bị nguồn nhận được gói tin reply và xử lý bằng cách lưu trường Sender Hardware Address trong gói reply như địa chỉ phần cứng của thiết bị đích.
9. Source Device Updates ARP Cache: Thiết bị nguồn update vào ARP cache của mình giá trị tương ứng giữa địa chỉ network và địa chỉ datalink của thiết bị đích. Lần sau sẽ không còn cần tới request.
—————–
Tiếp theo: #2. Các dạng ARP
