Lesson 02 — Tấn công & Phòng thủ Mạng
Bốn module tương tác: mô phỏng SYN flood (có/không SYN cookies), ARP spoofing (có/không DAI), so sánh lưu lượng bình thường vs DDoS với rate limit, và bộ phân loại tấn công theo CIA.
1. SYN Flood — Mô phỏng SYN backlog
Mỗi lần nhấn Gửi SYN flood, kẻ tấn công gửi 80 SYN giả (IP ngẫu nhiên). Server cố phản hồi SYN-ACK nhưng không nhận ACK nào. Theo dõi SYN backlog có đầy hay không.
ISN = hash(src_ip, src_port, dst_ip, dst_port, timestamp, secret).
Không cấp phát entry half-open → backlog không tăng → SYN flood vô hiệu. Khi nhận ACK hợp lệ (ACK = ISN+1), server tái tạo trạng thái kết nối từ cookie.
2. ARP Spoofing — Kẻ giả gateway
Mô phỏng LAN 3 máy: Host A, Gateway thật (10.0.0.1), và Attacker (10.0.0.99). Bật tấn công để xem ARP poisoning, bật DAI (Dynamic ARP Inspection) để chặn.
Switch xây binding table:
{port → (IP, MAC)} từ quá trình DHCP. Khi nhận ARP reply, switch kiểm tra: "IP này có được cấp cho MAC này không?" Nếu không khớp → DROP ngay tại switch. Attacker không thể đầu độc ARP cache của Host A dù gửi bao nhiêu ARP reply.
3. Lưu lượng bình thường vs DDoS — Rate Limiting
Đồ thị thời gian thực: so sánh lưu lượng bình thường (xanh), lưu lượng tấn công (đỏ), và lưu lượng sau rate limiting (cam). Điều chỉnh cường độ tấn công và ngưỡng rate limit.
4. Phân loại tấn công theo CIA
Nhấn vào mỗi kịch bản tấn công để xem mục tiêu CIA bị tổn hại và biện pháp phòng thủ tương ứng.