ADDRESS

RESOLUTION PROTOCOL
Presentor: Mai Phuong Nam
01 Overview
Địa chỉ MAC

● MAC (Machine Access Control) giống như một loại số sê-ri được gán
cho mọi thành phần của bộ điều hợp mạng, Không có hai bộ điều hợp
mạng nào sở hữu cùng một địa chỉ MAC.
● Địa chỉ MAC trong mạng máy tính còn được gọi là địa chỉ vật lý hoặc địa
chỉ phần cứng vì nó xác định theo nghĩa đen một mục của phần cứng.
Địa chỉ IP

● Địa chỉ IP là một địa chỉ duy nhất được sử dụng để xác định các thiết bị
trong internet hoặc trên mạng cục bộ, IP là từ viết tắt của Internet
Protocol, là một tập hợp các quy tắc quản lý dữ liệu được truyền trong
truyền thông mạng.
● Địa chỉ IP trong mạng máy tính là một chuỗi số được tạo bởi, các chữ
số được phân tách bằng dấu chấm.
Giao thức ARP

● Giao thức phân giải địa chỉ (ARP) là

một trong những giao thức chính của
bộ giao thức TCP / IP.
● Mục đích của Giao thức phân giải địa
chỉ (ARP) là phân giải địa chỉ IPv4
(Địa chỉ logic 32 bit) thành địa chỉ vật
lý tương ứng (Địa chỉ MAC 48 bit).
ARP Packet Format 02
ARP Packet Format

Chỉ định loại

giao thức Chỉ định giao thức
liên kết mạng kết nối internet
dành cho
yêu cầu ARP

Độ dài
(tính bằng octet) của Độ dài
địa chỉ phần cứng (tính bằng octet) của
địa chỉ kết nối internet
ARP Packet Format

❖ Chỉ định hoạt động mà người gửi

đang thực hiện: 1 cho request và 2
để reply.
ARP Packet Format

Địa chỉ phương tiện của người

gửi. Trong ARP request, trường
này được sử dụng để chỉ ra địa chỉ
của máy chủ gửi yêu cầu. Trong
ARP reply, trường này được sử
dụng để chỉ ra địa chỉ của máy chủ
mà yêu cầu đang tìm kiếm.
ARP Packet Format

Địa chỉ phương tiện của người

nhận dự định. Trong ARP request,
trường này bị bỏ qua. Trong ARP
reply, trường này được sử dụng để
chỉ ra địa chỉ của máy chủ lưu trữ
đã khởi tạo yêu cầu ARP.
ARP Packet Format

Địa chỉ kết nối Internet của người gửi.

Địa chỉ kết nối Internet của người nhận dự định.

Types of
message ARP 03
ARP Request
❖ ARP request là tải trọng ARP được mang trong khung L2 thích hợp cho
phương tiện đang sử dụng.
❖ Tiêu đề Ethernet sẽ bao gồm ba trường: địa chỉ MAC đích, địa chỉ MAC
nguồn và EtherType.
▪ Đích của lớp 2 là ffff.ffff.ffff, đây là địa chỉ MAC dành riêng đặc biệt chỉ ra
một khung quảng bá.
▪ Địa chỉ MAC nguồn là địa chỉ MAC của người gửi.
▪ Type chứa giá trị hex , là Type dành riêng cho các gói phân giải địa chỉ
ARP Request
Phần tải trọng ARP

• Các trường Hardware type và Protocol type cho

biết loại địa chỉ nào đang được ánh xạ với nhau.
• Hardware size và Protocol size đề cập đến số
lượng byte trong mỗi loại địa chỉ nói trên: địa chỉ
MAC là 6 byte (hoặc 48 bit) và địa chỉ IPv4 là 4 byte
(hoặc 32 bit).
• Opcode cho biết đây là loại gói ARP nào.
• Sender MAC address và Sender IP address là
MAC và địa chỉ IP của người khởi tạo ARP request.
• Target MAC address và Target IP address đề cập
đến mục tiêu dự định của ARP request.
ARP Response

❖ ARP response có cấu trúc tương tự ARP request

❖ Tiêu đề Ethernet giống tiêu đề Ethernet ARP request bao gồm ba trường:
địa chỉ MAC đích, địa chỉ MAC nguồn và Type.
ARP Response
Phần tải trọng ARP

Có cấu trúc và chứa

thông tin tương tự như
ARP request chỉ khác
phần Opcode có thông tin
bản tin reply (Giá trị 2)
 So sánh ARP request và ARP response

ARP Request ARP Reply

Là gói tin mà máy nhận sau khi nhận

Là gói tin mà máy gửi gửi broadcast được ARP request sẽ đóng gói lại
để tìm địa chỉ MAC của máy nhận. MAC của mình và gửi gói tin reply về
cho máy gửi.

Là gói tin Broadcast Là gói tin Unicast

Nội dung : tìm địa chỉ MAC của một Nội dung : thông tin địa chỉ MAC của
địa chỉ IP địa chỉ IP tương ứng
ARP Cache

ARP Cache: Sau khi phân giải địa chỉ MAC, ARP sẽ
gửi nó đến nguồn nơi nó được lưu trữ trong một bảng
để tham khảo trong tương lai. Các giao tiếp tiếp theo có
thể sử dụng địa chỉ MAC từ bảng
ARP Cache Timeout: Nó cho biết thời gian mà địa chỉ
MAC trong ARP cache có thể tồn tại.
04 ARP process
Types of ARP 05
Proxy ARP

Proxy ARP là một phương pháp mà qua đó

thiết bị Lớp 3 có thể phản hồi các yêu cầu
ARP cho một mục tiêu nằm trong một mạng
khác với người gửi. Bộ định tuyến được cấu
hình Proxy ARP phản hồi lại ARP và ánh xạ
địa chỉ MAC của bộ định tuyến với địa chỉ IP
mục tiêu và đánh lừa người gửi rằng nó đã
đến được đích. Tại phần phụ trợ, bộ định
tuyến proxy sẽ gửi các gói của nó đến đích
thích hợp vì các gói chứa thông tin cần thiết.
Gratuitous ARP

Gratuitous ARP là một phản hồi giao thức

phân giải địa chỉ không cần thiết. Một gói
Gratuitous ARP có các đặc điểm sau.
• Địa chỉ IP nguồn và đích đều được đặt
thành IP của máy gửi gói Gratuitous ARP.
• Địa chỉ MAC đích là địa chỉ MAC quảng
bá ff: ff: ff: ff: ff: ff.
Các gói Gratuitous ARP được tạo ra bởi các
thiết bị mạng vì một số lý do được liệt kê
dưới đây.
• Để phát hiện các địa chỉ IPv4 trùng lặp.
Khi nhận được phản hồi cho một
gratuitous ARP request, các máy tính có
thể phát hiện xung đột địa chỉ IPv4 trong
mạng.
• Để cập nhật bảng ARP sau khi thay đổi
địa chỉ IPv4 hoặc địa chỉ MAC .
Reverse ARP

Giao thức RARP cho phép một trạm biết

địa chỉ IP của nó từ một bảng tương ứng
giữa địa chỉ MAC (địa chỉ vật lý) và các địa
chỉ IP được lưu trữ bởi một cổng nằm trên
cùng một mạng cục bộ (LAN).
Inverse ARP

• Inverse ARP là ngược lại với ARP. Thay vì sử

dụng địa chỉ IP lớp 3 để tìm địa chỉ MAC lớp 2,
Inverse ARP sử dụng địa chỉ MAC lớp 2 để tìm
địa chỉ IP lớp 3.
• Inverse ARP chủ yếu được sử dụng bởi Frame
relay và ATM Networks để ánh xạ DLCI thành
Địa chỉ IP. Vì vậy, bộ định tuyến yêu cầu Địa
chỉ IP của đích hoặc các đầu khác của PVC
bằng cách liệt kê DLCI cho bộ định tuyến đó.
 06

ARP Spoofing Attack

ARP spoofing

❖ ARP spoofing còn được gọi là ARP poison routing hoặc ARP cache poisoning
là một kiểu tấn công độc hại trong đó tội phạm mạng gửi các thông điệp ARP
giả mạo đến mạng LAN mục tiêu với mục đích liên kết địa chỉ MAC của chúng
với địa chỉ IP của một thiết bị hoặc máy chủ hợp pháp trong mạng. Liên kết cho
phép dữ liệu từ máy tính của nạn nhân được gửi đến máy tính của kẻ tấn công
thay vì đích ban đầu.
❖ Các kiểu tấn công:
• Man-in-the-middle (MTM)
• Denial-of-Service
Man-in-the-middle (MTM)
Tấn công man-in-the-middle (MTM) là một kiểu nghe trộm trong đó kẻ tấn công
mạng chặn, chuyển tiếp và thay đổi thông điệp giữa hai bên — những người
không biết rằng có bên thứ ba tham gia — để lấy cắp thông tin.
Denial-of-Service

❖ Tấn công từ chối dịch vụ (DoS) là một

cuộc tấn công trong đó kẻ tấn công mạng
cố gắng áp đảo các hệ thống, máy chủ và
mạng có lưu lượng truy cập để ngăn
người dùng truy cập chúng.
❖ Kiểu tấn công này khai thác các lỗ hổng
đã biết trong các giao thức mạng. Khi một
số lượng lớn các gói được truyền đến một
mạng dễ bị tấn công, dịch vụ có thể dễ
dàng bị quá tải và sau đó không khả
dụng.
MAC flooding

❖ Quá trình làm quá tải CAM table của

switch bằng cách gửi một số lượng lớn
ARP reply đến nó được gọi là MAC
table. Khi công tắc bị quá tải, nó sẽ
chuyển sang hub mode. Trong hub mode,
switch chuyển tiếp lưu lượng đến tất cả
các máy tính được kết nối trên mạng. Do
đó, kẻ tấn công có thể nắm bắt tất cả lưu
lượng truy cập bằng cách sử dụng phần
mềm thăm dò.
Defenses

Các mục ARP tĩnh

Hình thức chứng nhận đơn giản nhất là sử dụng các mục nhập tĩnh, chỉ đọc
cho các dịch vụ quan trọng trong bộ nhớ cache ARP của máy chủ lưu trữ. Ánh
xạ địa chỉ IP đến địa chỉ MAC trong bộ đệm ARP cục bộ có thể được nhập
tĩnh. Máy chủ lưu trữ không cần phải truyền yêu cầu ARP khi các mục nhập
như vậy tồn tại.
Phần mềm phát hiện và ngăn chặn
Phần mềm phát hiện giả mạo ARP thường dựa vào một số hình thức chứng
nhận hoặc kiểm tra chéo các phản hồi ARP. Các phản hồi ARP chưa được
chứng nhận sau đó sẽ bị chặn.
Bảo mật hệ điều hành
Hệ điều hành phản ứng khác nhau. Linux bỏ qua các phản hồi không được yêu
cầu, nhưng mặt khác, sử dụng các phản hồi cho các yêu cầu từ các máy khác
để cập nhật bộ nhớ cache của nó. Solaris chỉ chấp nhận cập nhật các mục
nhập sau khi hết thời gian chờ. Trong Microsoft Windows, hoạt động của bộ
đệm ARP có thể được định cấu hình thông qua một số mục đăng ký
Thank for listening!