Lesson 02 — Tấn công & Phòng thủ Mạng

Bốn module tương tác: mô phỏng SYN flood (có/không SYN cookies), ARP spoofing (có/không DAI), so sánh lưu lượng bình thường vs DDoS với rate limit, và bộ phân loại tấn công theo CIA.

1. SYN Flood — Mô phỏng SYN backlog

Mỗi lần nhấn Gửi SYN flood, kẻ tấn công gửi 80 SYN giả (IP ngẫu nhiên). Server cố phản hồi SYN-ACK nhưng không nhận ACK nào. Theo dõi SYN backlog có đầy hay không.

SYN cookies: TẮT
SYN backlog
0 / 1024
Kết nối hợp lệ
0
Từ chối (DROP)
0
SYN backlog
0%
Attacker (IP giả) SYN flood Người dùng hợp lệ Server Port 80 Backlog: 0/1024 SYN Cookies ACTIVE
Nhấn nút để bắt đầu mô phỏng...
SYN cookies hoạt động như thế nào? Khi bật, server mã hóa thông tin kết nối vào ISN (Initial Sequence Number) của SYN-ACK: ISN = hash(src_ip, src_port, dst_ip, dst_port, timestamp, secret). Không cấp phát entry half-open → backlog không tăng → SYN flood vô hiệu. Khi nhận ACK hợp lệ (ACK = ISN+1), server tái tạo trạng thái kết nối từ cookie.

2. ARP Spoofing — Kẻ giả gateway

Mô phỏng LAN 3 máy: Host A, Gateway thật (10.0.0.1), và Attacker (10.0.0.99). Bật tấn công để xem ARP poisoning, bật DAI (Dynamic ARP Inspection) để chặn.

ARP Attack: TẮT
DAI (DHCP Snooping): TẮT
Switch L2 DAI: OFF Host A 10.0.0.10 GW MAC: aa:bb:cc Gateway 10.0.0.1 aa:bb:cc:dd:ee:ff Attacker 10.0.0.99 11:22:33:44:55:66 Traffic → Gateway thật Traffic → Attacker (MITM!) ARP: 10.0.0.1 → 11:22:33 DAI: BLOCK
Bật "ARP Attack" để xem tấn công...
DHCP Snooping + DAI hoạt động thế nào?
Switch xây binding table: {port → (IP, MAC)} từ quá trình DHCP. Khi nhận ARP reply, switch kiểm tra: "IP này có được cấp cho MAC này không?" Nếu không khớp → DROP ngay tại switch. Attacker không thể đầu độc ARP cache của Host A dù gửi bao nhiêu ARP reply.

3. Lưu lượng bình thường vs DDoS — Rate Limiting

Đồ thị thời gian thực: so sánh lưu lượng bình thường (xanh), lưu lượng tấn công (đỏ), và lưu lượng sau rate limiting (cam). Điều chỉnh cường độ tấn công và ngưỡng rate limit.

Lưu lượng bình thường
50 req/s
Tổng tấn công
500 req/s
Sau rate limit
200 req/s
Server nhận
250 req/s
Điều chỉnh slider để thay đổi kịch bản.

4. Phân loại tấn công theo CIA

Nhấn vào mỗi kịch bản tấn công để xem mục tiêu CIA bị tổn hại và biện pháp phòng thủ tương ứng.

Chọn một kịch bản để xem phân tích...