DHCP spoofing attack how to prevent from that
DHCP
هنگام استفاده از DHCP ، یک سرور اطمینان می دهد که مشتری های مختلف تاییدیه های خود را دریافت می کنند. برای این اتفاق ، مشتری ابتدا باید درخواستی را از طریق Broadcastبه شبکه ارسال کند. با انجام این کار ، کاربر شبکه می خواهد تعیین کند که سرورهای DHCP در دسترس هستند و قادر به پاسخگویی هستند. همه سرورهای DHCP موجود به این درخواست پاسخ می دهند. اگر چندین سرور فعال در شبکه وجود داشته باشد ، مشتری کسی را انتخاب می کند که جواب آنها ابتدا به آنها برسد. با استفاده از این سرور DHCP ، مشتری سپس انتساب آدرس را دریافت می کند. این نقطه ای است که ما معمولاً با نقطه ضعف سیستم روبرو می شویم ، جایی که برای مجرمان این نقطه ضعف در دسترس خواهد بود.
Attacks
می توان سرورهای دیگر (به اصطلاح سرورهای DHCP rogue) را وارد شبکه کرد. اگر یکی از اینها بتواند ابتدا با یک پاسخ ، به مشتری برسد ، کاربر شبکه اطلاعات تاییدیه را از طریق سرور مخرب دریافت می کند. سپس سرور Rogue DHCP داده های اشتباه یا دستکاری شده را ارسال می کند. در نتیجه ، مشتری به طور نادرست در شبکه راه اندازی می شود. این امر باعث می شود مشتری را به سمت یک دروازه اشتباه مسیری هدایت کنید - در این صورت به عنوان کلاهبرداری DHCP شناخته می شود در واقع داریم سر کاربر کلاه می گذاریم.
مجرمان می توانند برای بدست آوردن اطلاعات حساس ، انتقال داده را از طریق Gatewayضبط کنند. همچنین به این حمله "Man-In-The-middel" نیز گفته می شود.
انتساب آدرسهای نادرست می تواند منجر به حمله جبران ناپذیری شود و در نتیجه فلج کل شبکه به وجود آید.اینجاست که Snooping DHCP وارد میدان می شود و از ایجاد سرورهای مخرب جلوگیری می کند.
DHCP Snooping
DHCP Snooping یک فناوری امنیتی لایه 2 است که در سیستم عامل یک سوئیچ شبکه توانمند وجود دارد که باعث می شود تاییده های سروسر های مشکوک یا مخرب DHCP های دیگر را تشخیص دهد
DHCP Snooping از سرورهای DHCP غیر مجاز (Rogue) ارائه آدرس IP به مشتریان DHCPجلوگیری می کند. ویژگی DHCP Snooping:
· پیام های DHCP را از منابع غیر قابل اعتماد تأیید کرده و پیام های نامعتبر را فیلتر می کند.
· از دیتا بیس خود برای شناسایی حملات بعدی سرور های مخرب دیگر استفاده می کند.
· پایگاه داده اتصال DHCP Snooping ، که شامل اطلاعات مربوط به میزبان غیر قابل اعتماد با آدرس های IPاجاره شده است ، ایجاد و نگهداری می کند.
برای فهمیدن چگونگی عملکردDHCP Snooping ، باید مکانیزم کارDHCP را بدانیم. با فعال کردن DHCP ، یک دستگاه شبکه بدون آدرس IP از طریق 4 مرحله با سرور DHCP "تعامل" می کند.
همانند شکل پایین:
DHCP Snooping به طور کلی واسطهای روی سوئیچ را به دو دسته طبقه بندی می کند: پورت های قابل اعتماد و غیر قابل اعتماد همانطور که در شکل 2 نشان داده شده است. یک درگاه غیر قابل اعتماد پورت است که از آن به پیام های سرور DHCPاعتماد نمی کنید. اگر DHCP Snoopingآغاز شود ، پیام پیشنهاد DHCPفقط از طریق درگاه قابل اعتماد ارسال می شود. در غیر این صورت رها می شود.
در مرحله تأیید ، یک جدول اتصال DHCP با توجه به پیام ACK DHCP ایجاد می شود. آدرس MAC میزبان ، آدرس IP اجاره ای ، زمان اجاره نامه ، نوع اتصال ، و شماره VLAN و اطلاعات رابط مربوط به میزبان را می نویسد ، همانطور که در شکل 3 نشان داده شده است.اگر اطلاعات میزبان مطابق با اطلاعات جدول نباشد ، اجازه تاییدیه صادر نمی شود.