Như chúng ta đã biết, để thực hiện một quá trình gửi một gói dữ liệu từ điểm A đến điểm B luôn phải sử dụng ARP để thu thập MAC của nút tiếp theo mà gói dữ liệu sẽ đến. để thực hiện Arp, PC sẽ gửi một địa chỉ IP có chứa yêu cầu ARP quảng bá PC để tìm địa chỉ MAC. Nếu bất kỳ PC nào trong mạng sử dụng địa chỉ IP đó, nó sẽ trả lời bằng địa chỉ MAC tương ứng. Tuy nhiên, ARP Reply có thể được tạo thay vì ARP Request (gratuituos ARP), để các PC khác trên mạng có thể cập nhật bảng ARP khi có thay đổi. Khai thác điều này, kẻ tấn công gửi một ARP miễn phí với thông tin sai, thay thế địa chỉ MAC của nó bằng địa chỉ IP của cổng thay vì địa chỉ MAC của cổng, điều này sẽ buộc máy nạn nhân thay đổi bảng ARP bằng sai information , là một hình thức tấn công “giả mạo ARP” được gọi là man-in-the-middle, trong đó các gói sẽ đến một cổng giả trước khi được chuyển tiếp đến đích của chúng.

DAI (Kiểm tra ARP động) Đặt từng cổng của công tắc ở trạng thái không đáng tin cậy (mặc định) hoặc đáng tin cậy, chỉ thực thi thông báo DAI trên các cổng không đáng tin cậy. DAI kiểm tra mọi yêu cầu ARP hoặc tin nhắn trả lời trên một cổng không đáng tin cậy để xem tin nhắn có khớp hay không. Nếu không khớp, switch sẽ lọc các thông báo ARP này. DAI sẽ sử dụng thuật toán sau để xác định xem một thông báo ARP có hợp lệ hay không:

DAI kiểm tra các địa chỉ IP không mong muốn được liệt kê trong các thông báo ARP, chẳng hạn như 0.0.0.0, 255.255.255.255, multicast, v.v.

Thông tin thêm về DAI: như tham số mặc định, sơ đồ cấu hình có hoặc không có DHCP…

1. Cấu hình

Trạng thái của bảng ARP trên PC2

Sử dụng ứng dụng Switchsnarf trên PC1 để thực hiện giả mạo ARP nhằm xác định cổng mà các gói ARP giả mạo sẽ được gửi tới

Chọn quét mạng để tìm PC trên mạng Chọn PC Mô tả là Có thể đánh hơi được, chọn Bắt đầu giả mạo

Telnet từ PC2

Bảng ARP đã thay đổi trên PC2

Sử dụng Wireshark để phân tích gói tin

Gói Telnet được gửi tới PC1 trước khi tới bộ định tuyến

Nếu bạn đã cấu hình DHCP Snooping trước đó thì thôi cần xác định Vlan để sử dụng chức năng DAI

SW(config)#ip arp inspection vlan 1

Xác định các cổng đáng tin cậy (tất cả các cổng khác đều không đáng tin cậy)

SW (config)#interface fa0/24

SW(config-if)#ip arp inspection trust

2. Kiểm tra trên PC1 Chạy lại ứng dụng Switchsnarf, thông tin nhật ký cho thấy rằng các gói trả lời ARP không hợp lệ đã bị loại bỏ

00:54:51 : %SW_DAI-4 -DHCP_SNOOPING_DENY: 1 ARP (Res) không hợp lệ trên Fa0/1, vlan 1. ([001b.fc36.ecdd/192.168.1.3/0007.0e9a.0dc0/192.168.1.1/ 00:54:51 UTC Thứ hai ngày 1 tháng 3 năm 1993])00:54:51: % SW_DAI-4-DHCP_SNOOPING_DENY: 1 ARP (Res) không hợp lệ trên Fa01, vlan 1.([001b.fc36.ecdd /192.168.1.1/001b.fc36.ece4/192.168.1.3/00:54: 51 UTC Mon 1 Mar 1993]) Nếu PC2 chỉ khai báo địa chỉ tĩnh thì Switch sẽ không có thông tin để kiểm tra, bạn có thể xây dựng thông tin tĩnh để kiểm tra giả mạo

SW(config)#arp danh sách truy cập ARPINSPECT SW(config-arp-nacl)#permit ip host 192.168.1.3 mac host 001B.FC36.ECE4

SW(config)#ip arp check filter ARPINSPECT vlan 1

Theo mặc định, DAI chỉ dựa trên nội dung của gói ARP Kiểm tra vi phạm mà không kiểm tra giá trị của tiêu đề ARP. Thực hiện lệnh sau khi bạn cần kiểm tra giá trị tiêu đề gói ARP

SW(config)#ip arp inspection verify ? dst-mac để xác minh địa chỉ MAC đích ip để xác minh địa chỉ IP src-mac tới xác minh địa chỉ MAC nguồn

· Src-mac: Kiểm tra địa chỉ MAC nguồn trong tiêu đề Ethernet và địa chỉ MAC người gửi trong gói trả lời ARP p>

· Det-mac: Kiểm tra địa chỉ MAC đích trong tiêu đề Ethernet và địa chỉ MAC đích trong gói phản hồi ARP

· IP