با ما همراه باشید

منتشر شده

در

DHCP Spoofing چیست؟
5 (100%) 4

DHCP Spoofing چیست؟

در اين مقاله قصد آشنا کردن شما با DHCP Spoofing و راهای مقابله با آن را داريم.
به طور کلی از کار انداختن سرويس DHCP در شبکه را DHCP Spoofing می نامند.

فرض کنيد شما در شبکه يک کامپيوتر روميزی داريد که طبيعتا يک Client است. برای برقراری ارتباط ميان اين کامپيوتر با ديگر اجزای شبکه و همچنین شبکه های ديگر به يک IP نياز داريد.
شما می توانيد اين IP را از طريق DHCP (تخصيص IP به صورت خودکار) دريافت کنيد. به هر سيستمی که پروتکل DHCP بر روي آن راه اندازی شده باشد، DHCP سرور می گويند.
اين Client براي دريافت IP ابتدا يک درخواست به سمت DHCP Server برای گرفتن IP ارسال می کند؛ سپس DHCP Server يک Packet که حاوی يک IP خاص، DNS ،Subnet شبکه و default gateway مي باشد را به Client به مورد نظر ارسال می کند. و آن Client می تواند به اين صورت با ديگر اجزای شبکه ارتباط برقرار کند.

اما در اين ميان افرادي سودجو هستند که مي خواهند اطلاعات مربوط به آن شبکه يا آن Client را به دست آورده و يا شبکه ی مورد نظر را دچار اختلال کنند.
آنها با قرار دادن DHCP سرور های تقلبي می توانند به Client ها دسترسی داشته باشند. زمانی که Client ها از سرورهای اصلی درخواست‌ IP می کنند، ممکن است در واقع به DHCP Server تقلبي اين درخواست را ارسال کرده باشند؛ بنابراين Server تقلبی يک IP به Client می دهد که با دستکاری هایی که بر روی اين IP می کند، قصد اختلال و از کار انداختن شبکه را دارد.

اما يک فرد مهاجم با DHCP سرور هاي تقلبی مشکلاتی را می تواند برای شبکه به وجود آورد که عبارتند از:

1- تغیير دادن IP :

فرض کنید شما يک Client هستيد و يک درخواست برای گرفتن IP از DHCP Server می دهید. در اينجا DHCP server تقلبی وارد عمل می شود و با دادن يک IP تقلبی به جاي IP اصلی آن Client را دچار مشکل می کند؛ به عنوان مثال به جای دادن آدرس 192.168.1.0/24 به شما آدرس 172.168.16.0/30 را می دهد و باعث تداخل آن Client شده و در واقع آن Client را در شبکه از کار می اندازند.

2- تغیير default gateway :

در اينجا فرد مهاجم IP خود را به عنوان default gateway به Client می دهد. بنابراين هر بسته ای که از طرف آن Client بخواهد به خارج از شبکه برود، ابتدا به سمت سيستم تقلبی ارسال مي شود و شخص مهاجم اطلاعات مورد نياز خود را بدست می اورد. سپس آن بسته را به سمت مقصد اصلی خود ارسال می کند؛ بدون آن که کسی در بين از اين اتفاقات با خبر شود.

3- از بين بردن DHCP Server اصلی :

در اينجا فرد حمله کننده قلب سرويس DHCP را مورد حمله قرار می دهد؛ به اين صورت که فرد مهاجم درخواست هايی را به صورت متوالی با Mac Adress های تصادفی که توليد می کند، به Server اصلی می فرستد.

در اين زمان هم DHCP به تمام آن ها پاسخ داده و به هر کدام يک IP بخصوص می دهد. تا اينجا کار به نظر مشکلی وجود ندارد؛ اما زمانی شبکه دچار مشکل می شود که پايگاه داده IP های DHCP Server اصلی خالی شده و ديگر IP برای تخصيص به Client ها وجود ندارد.

از اينجا به بعد هر Client که در شبکه درخواستی براي گرفتن IP می کند در واقع تمامی آن ها را به Server تقلبی ارسال می کند و بنابراين آدرس هایی که به آن ها داده می شود دستخوش تغیيراتی است که در مراحل قبل درباره آن ها صحبت کرديم.

4- تغیير در DNS :

يکی ديگر از اطلاعاتی که به همراه IP و … به يک Client داده می شود، آدرس DNS Server آن شبکه است تا شخص بتواند به سايت های مختلف دسترسی داشته باشد.
در اينجا فرد مهاجم ابتدا با طراحی سايتی تقلبی، به عنوان مثال پرداخت آنلاين يک بانک، اولين قدم خود را بر می دارد سپس در مرحله دوم اقدام به ساخت يک DNS Server تقلبی می کند.
بدين صورت فرد آدرس IP خود را به جاي آدرس IP سايت واقعی مانند GOOGLE و يا …. بر می گرداند و وبسايت خود را به کاربر انتقال می دهد. با اين روش می توان تمامی اطلاعات مهم يک فرد را بدست آورد.

 

اما چگونه مي توان جلوی اين حملات در شبکه را گرفت؟

1- Port Security:

از این روش می توان برای رفع حملاتی که برای از کار انداختن DHCP Server صورت می گیرد، استفاده کرد.
با استفاده از این روش، Mac Address های مشخصی در یک پورت خاص در شبکه اجازه دسترسی دارند. در این صورت دیگر فرد مهاجم قادر به ارسال بسته های حاوی در خواست IP با چند Mac Address را نخواهد بود.

2- DHCP Snooping

به طور خلاصه می توان DHCP Snooping را به این گونه شرح داد که مانند فایروالی میان DHCP Sever و Host های نا معتبر و غیرقابل اطمینان است و روش کار آن به این گونه است که :

1- DHCP Snooping پیام های که از طرف Host های نامعتبر و دستگاهای نا معتبر (دستگاهای که به عنوان مثال در یک سازمان وجود ندارند و بیرون از سازمان قرار دارند) به DHCP Server ارسال می شود را فیلتر می کند.

2- کار DHCP Snooping ساخت یک جدول و یا یک پایگاه داده است که اطلاعات این جدول شامل IP ها، DNS ها و… تخصیص داده شده به Host ها است.

3- استفاده از همان جدول به منظور شناسایی پیام های بعدی که از سمت Host های نامعتبر در دفعات بعدی می رسد.

Trust – Untrust

حالت Trust به حالتی می گویند که Host های معتبر اجازه دسترسی و ارسال بسته به DHCP Server را دارند؛ در واقع به پورت هایی که به DHCP Server اجازه دسترسی دارند را پورت Trust و به پورت ها و Host هایی که اجازه دسترسی به DHCP Server را ندارند Untrust می گویند.

Limit Rate

این روش به این گونه است که در بازه زمانی مشخصی تنها می توان تعداد خاصی درخواست به DHCP Serve ارسال کرد. و به این ترتیب از حمله به DHCP Server و خالی کردن لیست IP آن جلوگیری کرد.
قابلیت DHCP Snooping در سوئیچ های لایه 2 موجود می باشد که می توان آن را فعال کرد.

برای افزودن دیدگاه کلیک کنید

یک پاسخ بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *