48_ĐCCT_Tấn-công-và-phòng-thủ-mạng-lớp-2_CĐCS_AT19 (1).docx

I. MỞ ĐẦU
1. Lý do chọn đề tài
Trong mô hình mạng máy tính, lớp 2 (Data Link Layer) đóng vai trò trung gian
truyền dữ liệu giữa các thiết bị trong cùng một mạng LAN. Tuy nhiên, lớp này thường bị
xem nhẹ về mặt bảo mật do giả định rằng các thiết bị cùng LAN là "đáng tin cậy". Thực tế,
các kỹ thuật tấn công như VLAN Hopping, MAC Spoofing, ARP Spoofing, DHCP
Spoofing có thể dễ dàng thực hiện ở lớp 2 nếu không có biện pháp phòng vệ phù hợp, gây
ảnh hưởng nghiêm trọng đến tính toàn vẹn và bảo mật của hệ thống.
Việc lựa chọn đề tài "Tấn công và phòng thủ trong mạng lớp 2" xuất phát từ nhu
cầu cấp thiết trong việc hiểu rõ cách thức các cuộc tấn công được thực hiện và đề xuất
các biện pháp bảo vệ phù hợp trong môi trường mạng nội bộ – vốn là nền tảng của mọi hệ
thống lớn hơn. Bên cạnh đó, các kỹ thuật tấn công lớp 2 tuy cũ nhưng vẫn hiệu quả và xuất
hiện phổ biến trong các cuộc thi CTF, các khóa pentest, kiểm thử xâm nhập nội bộ.
2. Mục tiêu nghiên cứu của đề tài
Đề tài tập trung vào việc nghiên cứu tổng quan về các mối đe dọa trong mạng lớp
2, đặc biệt tập trung vào bốn kỹ thuật tấn công phổ biến gồm VLAN Hopping, MAC
Spoofing, ARP Spoofing và DHCP Spoofing. Qua đó, bài viết phân tích chi tiết cơ chế
hoạt động của từng kỹ thuật, cách kẻ tấn công lợi dụng điểm yếu trong thiết kế mạng để
xâm nhập hoặc kiểm soát luồng dữ liệu nội bộ.
Bên cạnh đó, đề tài cũng hướng đến việc khảo sát các biện pháp phòng thủ hiện nay,
đồng thời tiến hành mô phỏng các cuộc tấn công trên môi trường mạng ảo để kiểm tra hiệu
quả của từng phương án bảo vệ. Từ kết quả thực nghiệm, người viết đưa ra đánh giá, so
sánh, và đề xuất giải pháp phù hợp nhằm nâng cao mức độ an toàn cho các hệ thống mạng
nội bộ trong thực tế.
3. Đối tượng và phạm vi nghiên cứu
●Đối tượng nghiên cứu: của đề tài là các kỹ thuật tấn công phổ biến trên mạng lớp 2,
bao gồm VLAN Hopping, MAC Spoofing, ARP Spoofing và DHCP Spoofing; cùng
với các giải pháp phòng thủ tương ứng nhằm đảm bảo an toàn cho hệ thống mạng nội
bộ.
1

●Phạm vi nghiên cứu giới hạn trong môi trường mạng LAN sử dụng switch Ethernet,
giả lập bằng các công cụ mô phỏng như GNS3, Cisco Packet Tracer hoặc môi trường
ảo hóa như VMware/VirtualBox. Các nội dung nghiên cứu sẽ không mở rộng đến các
lớp mạng cao hơn (như lớp 3 trở lên), hoặc các kỹ thuật nâng cao như IDS/IPS
chuyên sâu.
4. Các nhiệm vụ chính cần thực hiện
Để đạt được mục tiêu đề ra, đề tài sẽ thực hiện các nhiệm vụ sau:
●Nắm vững lý thuyết và cơ chế hoạt động của các hình thức tấn công VLAN Hopping,
MAC Spoofing, ARP Spoofing và DHCP Spoofing.
●Tìm hiểu các kỹ thuật và cấu hình phòng thủ có thể áp dụng để ngăn chặn hoặc giảm
thiểu rủi ro từ các cuộc tấn công lớp 2.
●Xây dựng mô hình thực nghiệm trong môi trường ảo nhằm mô phỏng tấn công và
kiểm chứng hiệu quả của các biện pháp phòng vệ.
●Rút ra đánh giá và kinh nghiệm thực tiễn để áp dụng vào các tình huống bảo mật
mạng LAN trong thực tế.
5. Kết quả dự kiến
• Lý thuyết:
-Hệ thống hóa được kiến thức về các hình thức tấn công phổ biến ở lớp 2 như VLAN
Hopping, MAC Spoofing, ARP Spoofing và DHCP Spoofing.
-Phân tích rõ ràng cơ chế hoạt động, điều kiện xảy ra tấn công và hậu quả tiềm ẩn của
từng kỹ thuật.
-Tổng hợp và đánh giá các biện pháp phòng thủ hiện có, từ cấu hình thiết bị mạng cho
đến các chính sách bảo mật phù hợp trong mạng LAN.
• Thực nghiệm:
-Xây dựng thành công mô hình mạng ảo để mô phỏng lại các cuộc tấn công lớp 2 điển
hình.
-Thực hiện các kịch bản tấn công cụ thể tương ứng với từng kỹ thuật đã nêu.
-Áp dụng và kiểm thử các giải pháp phòng vệ trong từng tình huống tấn công, ghi
nhận kết quả và đánh giá hiệu quả.
-Đưa ra bảng so sánh, phân tích ưu – nhược điểm giữa các phương án phòng thủ đã
thử nghiệm.
2

II. BỐ CỤC DỰ KIẾN CỦA ĐỀ TÀI
MỤC LỤC
LỜI CẢM ƠN
LỜI NÓI ĐẦU
DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT
DANH MỤC HÌNH VẼ
CHƯƠNG I: TỔNG QUAN VỀ TẤN CÔNG VÀ PHÒNG THỦ
TRONG MẠNG LỚP 2
1.1. Giới thiệu về mạng lớp 2
1.1.1. Khái niệm và vai trò của mạng lớp 2 trong mô hình OSI
1.1.2. Các thành phần cơ bản của mạng lớp 2
1.1.3. Nguyên lý hoạt động của mạng lớp 2
1.2. Tổng quan về an toàn thông tin trong mạng lớp 2
1.2.1. Các yêu cầu về an toàn thông tin trong mạng lớp 2
1.2.2. Các mối đe dọa phổ biến đối với mạng lớp 2
1.2.3. Tác động của các lỗ hổng bảo mật trong mạng lớp 2
1.3. Tính cấp thiết của việc nghiên cứu về tấn công và phòng thủ trong mạng lớp 2
1.3.1. Thực trạng bảo mật trong mạng lớp 2
1.3.2. Các vụ tấn công tiêu biểu trong thực tế
1.3.3. Xu hướng phát triển của các kỹ thuật tấn công và phòng thủ
CHƯƠNG II: CÁC KỸ THUẬT TẤN CÔNG VÀ PHÒNG THỦ
ĐIỂN HÌNH TRONG MẠNG LỚP 2
2.1. Tổng quan về các kỹ thuật tấn công trong mạng lớp 2
2.1.1. Phân loại các kỹ thuật tấn công
2.1.2. Đặc điểm chung của các kỹ thuật tấn công
3

2.1.3. Công cụ và phương tiện sử dụng trong tấn công mạng lớp 2
2.2. VLAN Hopping
2.2.1. Giới thiệu về VLAN và nguyên lý hoạt động
2.2.2. Cơ chế tấn công VLAN Hopping
2.2.3. Các giải pháp phòng thủ VLAN Hopping
2.3. MAC Spoofing
2.3.1. Giới thiệu về địa chỉ MAC và vai trò trong mạng lớp 2
2.3.2. Cơ chế tấn công MAC Spoofing
2.3.3. Các giải pháp phòng thủ MAC Spoofing
2.4. ARP Spoofing
2.4.1. Giới thiệu về giao thức ARP và nguyên lý hoạt động
2.4.2. Cơ chế tấn công ARP Spoofing
2.4.3. Các giải pháp phòng thủ ARP Spoofing
2.5. DHCP Spoofing
2.5.1. Giới thiệu về giao thức DHCP và nguyên lý hoạt động
2.5.2. Cơ chế tấn công DHCP Spoofing
2.5.3. Các giải pháp phòng thủ DHCP Spoofing
CHƯƠNG III: TRIỂN KHAI THỰC NGHIỆM MÔ PHỎNG
CÁC KỸ THUẬT TẤN CÔNG VÀ PHÒNG THỦ
3.1. Xây dựng mô hình thực nghiệm
3.2. Thực nghiệm kỹ thuật tấn công VLAN Hopping
3.3. Thực nghiệm kỹ thuật tấn công MAC Spoofing
3.4. Thực nghiệm kỹ thuật tấn công ARP Spoofing
4

3.5. Thực nghiệm kỹ thuật tấn công DHCP Spoofing
3.6. Đánh giá tổng thể và đề xuất giải pháp
KẾT LUẬN
TÀI LIỆU THAM KHẢO
IV. TÀI LIỆU THAM KHẢO
1.Sean Convery (2015), "Network Security Architectures", Cisco Press
2.James F. Kurose, Keith W. Ross (2021), "Computer Networking: A Top-Down
Approach", Pearson
3.Eric Vyncke, Christopher Paggen (2018), "LAN Switch Security: What
Hackers Know About Your Switches", Cisco Press
4.Michael Gregg (2019), "The Network Security Test Lab: A Step-by-Step
Guide", Wiley
5.William Stallings (2020), "Network Security Essentials: Applications and
Standards", Pearson
6.The Honeynet Project (2018), "Know Your Enemy: Learning about Security
Threats"
7.CERT Advisory CA-2019-01, "Vulnerability in Cisco VLAN Implementation"
8.SANS Institute (2023), "Understanding Layer 2 Attacks"
9.RFC 826, "An Ethernet Address Resolution Protocol"
10.RFC 2131, "Dynamic Host Configuration Protocol"
5

V. KẾ HOẠCH THỰC HIỆN
ST
T
Thời gian Nội dung
thực hiện
Kết quả dự kiến
1
01/4/2025-23/4/2025 Nghiên cứu thêm về đề tài, tìm
kiếm các tài liệu tham khảo liên
quan
2
24/4/2025-8/5/2025Chương
1
Trình bày tổng quan về mạng lớp
2, vai trò của nó trong mô hình
OSI, các thành phần và nguyên lý
hoạt động cơ bản và các mối đe
dọa thường gặp và lý do tại sao
việc nghiên cứu tấn công – phòng
thủ ở lớp 2 là cần thiết trong bối
cảnh thực tế hiện nay.
3
9/5/2025-30/5/2025Chương
2
Tìm hiểu sâu vào các kỹ thuật tấn
công phổ biến trong mạng lớp 2
như VLAN Hopping, MAC
Spoofing, ARP Spoofing và DHCP
Spoofing. Mỗi kỹ thuật sẽ được
phân tích cơ chế hoạt động, công
cụ thường dùng và cách phòng thủ
tương ứng.
4
31/5/2025-15/6/2025Chương 3 xây dựng mô hình thực nghiệm
để mô phỏng các kỹ thuật tấn công
và áp dụng các giải pháp phòng
thủ. Qua đó, đánh giá hiệu quả của
từng biện pháp bảo vệ, rút ra bài
học và đề xuất giải pháp phù hợp
nhằm nâng cao khả năng phòng
chống tấn công trong mạng lớp 2
5
16/6/2025-21/6/2025 Hoàn thiện báo cáo.
6