Data Link Layer (Tầng Liên Kết Dữ Liệu): Chức năng, nhiệm vụ, hình thức tấn công, rủi ro và cách phòng tránh

Chức năng:

• Đảm bảo dữ liệu được truyền từ thiết bị này sang thiết bị khác qua một liên kết vật lý mà không bị lỗi.
• Chia dữ liệu thành các khung (frames) và kiểm soát lỗi bằng các cơ chế như kiểm tra tuần tự (CRC).
• Quản lý việc truy cập vào phương tiện truyền dẫn, giải quyết các vấn đề về tranh chấp tín hiệu (collision) qua các phương pháp như CSMA/CD (Carrier Sense Multiple Access with Collision Detection).

Nhiệm vụ:

• Đóng khung (Framing): Chia dữ liệu thành các khung để truyền tải và đảm bảo dữ liệu không bị lỗi.
• Kiểm soát lỗi (Error Detection and Correction): Sử dụng các cơ chế như CRC để phát hiện và sửa lỗi.
• Kiểm soát truy cập phương tiện (MAC): Quản lý việc truy cập vào phương tiện truyền dẫn và giải quyết tranh chấp tín hiệu.

Hình thức tấn công:

1. ARP Spoofing (Address Resolution Protocol Spoofing)

Kỹ thuật tấn công:

• Kẻ tấn công gửi các thông điệp ARP giả mạo để liên kết địa chỉ MAC của họ với địa chỉ IP của một thiết bị hợp pháp trên mạng.

Rủi ro:

• Nghe lén dữ liệu
• Tấn công Man-in-the-Middle
• Tấn công từ chối dịch vụ (DoS)
• Trộm cắp dữ liệu
• Tiền đề cho các tấn công khác như chiếm đoạt phiên làm việc và tiêm nhiễm phần mềm độc hại

Cách phòng tránh:

• Sử dụng ARP Spoofing detection tools
• Cấu hình tĩnh ARP entries trên các thiết bị mạng quan trọng
• Triển khai các giải pháp mạng có chức năng kiểm tra tính hợp lệ của các thông điệp ARP.

2. MAC Flooding

Kỹ thuật tấn công:

• Kẻ tấn công làm tràn ngập bảng địa chỉ MAC của switch với các địa chỉ MAC giả mạo, làm cho switch chuyển sang chế độ hoạt động như một hub, gửi dữ liệu tới tất cả các cổng.

Rủi ro:

• Tắc nghẽn mạng
• Mất quyền riêng tư
• Tiếp xúc tiềm năng của dữ liệu nhạy cảm
• Tấn công ARP spoofing hoặc từ chối dịch vụ (DoS)

Cách phòng tránh:

• Cấu hình Port Security trên các switch để giới hạn số lượng địa chỉ MAC hợp lệ trên một cổng
• Sử dụng các switch hỗ trợ tính năng bảo vệ MAC table

3. VLAN Hopping

Kỹ thuật tấn công:

• Kẻ tấn công lợi dụng các VLAN được cấu hình sai để truy cập trái phép vào lưu lượng trên các VLAN khác bằng cách gắn thẻ khung với VLAN ID của VLAN mục tiêu.

Rủi ro:

• Truy cập trái phép vào dữ liệu nhạy cảm
• Gián đoạn hoạt động mạng
• Trộm cắp dữ liệu
• Khởi động các tấn công khác trong mạng

Cách phòng tránh:

• Cấu hình đúng các VLAN và gắn thẻ cổng
• Sử dụng VLAN Access Control Lists (VACLs)
• Vô hiệu hóa giao diện trunk không cần thiết

4. DHCP Spoofing

Kỹ thuật tấn công:

• Kẻ tấn công giả mạo máy chủ DHCP hợp pháp và cung cấp địa chỉ IP giả cho các client, cho phép họ chuyển hướng và phân phối lưu lượng hoặc phần mềm độc hại.

Rủi ro:

• Tấn công Man-in-the-Middle
• Tấn công từ chối dịch vụ (DoS)
• Phân phối phần mềm độc hại
• Gián đoạn hoạt động mạng
• Khó khăn trong truy cập tài nguyên hợp pháp

Cách phòng tránh:

• Triển khai DHCP snooping trên các switch
• Sử dụng các biện pháp xác thực máy chủ DHCP
• Cấu hình tĩnh IP cho các thiết bị quan trọng

5. STP (Spanning Tree Protocol) Manipulation

Kỹ thuật tấn công:

• Kẻ tấn công khai thác lỗ hổng trong giao thức STP để thao tác topology mạng và giành quyền truy cập trái phép.

Rủi ro:

• Chuyển hướng lưu lượng mạng
• Tạo vòng lặp mạng gây gián đoạn nghiêm trọng
• Khởi động các tấn công khác trong hệ thống

Cách phòng tránh:

• Sử dụng BPDU Guard để bảo vệ các giao diện khỏi các BPDU không mong muốn
• Cấu hình Root Guard để ngăn chặn các switch không đáng tin cậy trở thành root bridge
• Giám sát và kiểm tra cấu hình STP thường xuyên