Типовые атаки на DHCP | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Авторы: ,

Научный руководитель:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №51 (498) декабрь 2023 г.

Дата публикации: 22.12.2023

Статья просмотрена: 667 раз

Библиографическое описание:

Конева, Ю. Л. Типовые атаки на DHCP / Ю. Л. Конева, Н. В. Дворцов. — Текст : непосредственный // Молодой ученый. — 2023. — № 51 (498). — С. 7-8. — URL: https://moluch.ru/archive/498/109461/ (дата обращения: 16.12.2024).



В статье авторы рассматривают типовые атаки на DHCP и рассказывают о методах обеспечения сетевой безопасности, необходимых для эффективной защиты от угроз. В данной статье меры безопасности моделируются с использованием Cisco Packet Tracer.

Ключевые слова: DHCP, сеть, порт, конфиденциальная информация, сетевой трафик.

Атака Rogue DHCP Server представляет собой метод манипуляции в сети, где злоумышленник устанавливает поддельный DHCP-сервер для выдачи ложных IP-адресов и других сетевых параметров.

Рассмотрим ход атаки:

  1. Подмена DHCP-сервера: Злоумышленник внедряет свой DHCP-сервер в сеть, подменяя официальный DHCP-сервер. Это может быть осуществлено путем физического доступа к сети или путем взлома устройства, уже находящегося внутри сети.
  2. Выдача ложных параметров: DHCP-сервер злоумышленника начинает выдавать ложные IP-адреса, шлюзы по умолчанию, серверы DNS и другие сетевые параметры устройствам в сети. Клиентские устройства, подключенные к сети, автоматически получают эти ложные параметры.
  3. Манипуляция сетевым трафиком: Злоумышленник получает возможность перехватывать, изменять или просматривать весь сетевой трафик, проходящий через его DHCP-сервер. Это может включать в себя захват паролей, данных о сеансах и другой конфиденциальной информации.

В результате атаки хакер может нанести инфраструктуре существенный урон:

  1. Отказ в доступе к ресурсам: Ложные параметры могут привести к тому, что устройства в сети не смогут получить доступ к нужным ресурсам, таким как сервисы или интернет.
  2. Утечка конфиденциальной информации: Злоумышленник может перехватывать конфиденциальные данные.
  3. Снижение производительности: Лишний трафик, создаваемый атакой, может снизить общую производительность сети.

Методы защиты:

Защита от атак класса Rogue DHCP Server обеспечивается включением на всех коммутаторах функции DHCP Snooping. Для этого необходимо задать два типа портов:

  1. Доверенные порты: порты, к которым подключаются DHCP-серверы или другие легитимные коммутаторы. На этих портах разрешено распространение DHCP-запросов и других сетевых сообщений.
  2. Недоверенные порты: предназначены для клиентских подключений, и на них не предполагается наличие DHCP-серверов. Запросы DHCP на таких портах блокируются, чтобы предотвратить нелегитимное распространение DHCP-трафика по сети.

Внедрение DHCP Snooping необходимо для того, чтобы уведомить коммутатор о необходимости отслеживания проходящих через него пакетов DHCP offer и ack. Это позволяет коммутатору блокировать прохождение таких пакетов через недоверенные порты.

Для активации DHCP Snooping необходимо перейти в режим конфигурирования и выполнить следующие команды:

SW(config)# ip dhcp snooping — включение функции.

SW(config)# ip dhcp snooping vlan — указание, для каких VLAN требуется отслеживание пакетов DHCP

SW(config-if)# ip dhcp snooping trust — команда для указания доверенных портов на коммутаторе.

Атака DHCP (Dynamic Host Configuration Protocol) starvation представляет собой форму атаки на сетевые устройства, использующие DHCP для получения IP-адресов.

В атаке DHCP starvation злоумышленник отправляет большое количество ложных DHCP-запросов в сеть, заполняя все доступные IP-адреса в DHCP-пуле. Это приводит к тому, что легитимные устройства в сети не могут получить доступ к DHCP-серверу для получения своих конфигураций.

Процесс атаки DHCP starvation включает следующие шаги:

  1. Отправка ложных DHCP-запросов: Злоумышленник отправляет DHCP-запросы с поддельными MAC-адресами и идентификаторами устройств в сеть. Эти запросы обращаются к DHCP-серверу с просьбой о выделении IP-адреса для указанных устройств.
  2. Насыщение DHCP-пула: DHCP-сервер начинает выделять IP-адреса ложным устройствам, и по мере того, как количество ложных запросов увеличивается, все доступные адреса в DHCP-пуле заканчиваются.
  3. Отказ легитимным устройствам: Легитимные устройства, пытающиеся получить IP-адрес через DHCP, не могут получить доступ к свободным адресам, так как все они уже выделены ложным устройствам.
  4. Отказ в доступе к сети: Устройства, не получившие IP-адрес, не могут правильно сконфигурироваться для работы в сети, что приводит к их отказу в доступе к сетевым ресурсам.

Последствия атаки:

  1. Отказ в обслуживании ( DoS ). Отказ в обслуживании происходит, когда сервер DHCP исчерпывает свои IP-адреса, что приводит к невозможности новым устройствам получить доступ к сети. Это означает, что взаимодействие этих устройств со сетью становится невозможным.
  2. Подмена DHCP . Комбинация атак DHCP starvation и Rogue DHCP Server усугубляет ситуацию. Поскольку основной DHCP-сервер не имеет свободных адресов, он выключается, и вся корпоративная клиентская база автоматически переходит под контроль вражеского DHCP-сервера. Это позволяет злоумышленнику манипулировать сетевыми параметрами и потенциально вмешиваться в важные коммуникации внутри сети.

Методы защиты:

Самый простой способ защиты — ограничить число MAC-адресов на порте коммутатора. Реализуется данная мера при помощи активации port-security.

SW(config-if)# switchport mode access — переводим порт в режим access.

SW(config-if)# switchport port-security — включаем port-security на интерфейсе

SW(config-if)# switchport port-security maximum — ограничиваем число MAC-адресов

SW(config-if)# switchport port-security mac-address

Также нелишним будет задать тип реагирования на превышение числа разрешенных MAC-адресов. Есть 3 типа реагирования на запрещенный адрес:

  1. protect — после переполнения все пакеты, отправленные с других MAC-адресов, отбрасываются;
  2. restrict — то же самое, что и в предыдущем случае, но с внесением записи в журнал;
  3. shutdown — порт выключается до ручного включения: SW(config-if) #switchport port-security violation

Заключение

В статье были рассмотрены различные виды атак, направленных на DHCP и предложены методы обеспечения сетевой безопасности для их предотвращения.

Обеспечение безопасности сетевой инфраструктуры является ключевым аспектом обеспечения целостности и конфиденциальности данных. Реализация соответствующих мер безопасности помогает предотвратить атаки, минимизировать уязвимости и обеспечивать стабильную и защищенную работу сети.

Основные термины (генерируются автоматически): DHCP, сеть, устройство, конфиденциальная информация, порт, сетевой трафик, DNS, VLAN, метод защиты, сетевая безопасность.


Похожие статьи

Принципы построения безопасности Bluetooth

В статье авторы исследуют механизмы обеспечения безопасности технологии Bluetooth, а также основные ландшафты проведения атак.

Защита корпоративных сетей от внутренних атак

В данной статье исследуется разработка корпоративной сети на базе технологии Multiprotocol Label Switching (MPLS) и стратегии защиты от атак типа Address Resolution Protocol (ARP) spoofing и троянских программ [1]. Основой стратегии безопасности служ...

Обзор криптографических алгоритмов в сетях интернета вещей

Анализируя современные вызовы и потенциал безопасности в сфере интернета вещей (IoT), данная статья обсуждает роль криптографических алгоритмов в защите данных в таких сетях. Она рассматривает как симметричные, так и асимметричные алгоритмы, их преим...

Инструменты и способы снижения уязвимости безопасности смарт-контрактов

В данной статье авторы исследуют возможные инструменты и способы повышения уровеня безопасности блокчейн-сетей с технологией смарт-контрактов.

Исследование влияния замещения протокола IPv4 протоколом IPv6 на формирование таблицы маршрутизации протоколом OSPF в ядре сети провайдер

Данная статья является частью исследования на тему «Методики внедрения сетевого протокола IPv6 в сетях провайдеров».

Обеспечение анонимности при использовании программного обеспечения Tor

В настоящей статье представлены современные технологии обеспечения анонимности пользователя сети Tor с использованием дополнительного программного обеспечения. Рассмотрены некоторые уязвимости данной сети и способы их ликвидации.

Конфиденциальность данных в современных сетях

Статья рассматривает важные аспекты обеспечения безопасности и конфиденциальности данных в современных сетевых средах. В статье обсуждаются основные угрозы для конфиденциальности данных, такие как кибератаки и утечки информации, а также представлены ...

Разработка программного модуля аутентификации внешних пользователей компьютерной системы

Данная работа направлена на программную реализацию по защите компьютерных данных семейства операционных систем Windows, она подразумевает разработку модуля аутентификации локальных пользователей, что является важной задачей в области обеспечения инфо...

Анализ архитектуры SDN

В данной статье представлен анализ архитектуры SDN, рассмотрены ее возможности в виртуализации серверов и систем хранения данных.

Исследование уязвимостей протокола OAuth

В статье авторы пытаются определить основные уязвимости в открытом протоколе авторизации — OAuth. Рассматривают критичные уязвимости, найденные в популярных сервисах.

Похожие статьи

Принципы построения безопасности Bluetooth

В статье авторы исследуют механизмы обеспечения безопасности технологии Bluetooth, а также основные ландшафты проведения атак.

Защита корпоративных сетей от внутренних атак

В данной статье исследуется разработка корпоративной сети на базе технологии Multiprotocol Label Switching (MPLS) и стратегии защиты от атак типа Address Resolution Protocol (ARP) spoofing и троянских программ [1]. Основой стратегии безопасности служ...

Обзор криптографических алгоритмов в сетях интернета вещей

Анализируя современные вызовы и потенциал безопасности в сфере интернета вещей (IoT), данная статья обсуждает роль криптографических алгоритмов в защите данных в таких сетях. Она рассматривает как симметричные, так и асимметричные алгоритмы, их преим...

Инструменты и способы снижения уязвимости безопасности смарт-контрактов

В данной статье авторы исследуют возможные инструменты и способы повышения уровеня безопасности блокчейн-сетей с технологией смарт-контрактов.

Исследование влияния замещения протокола IPv4 протоколом IPv6 на формирование таблицы маршрутизации протоколом OSPF в ядре сети провайдер

Данная статья является частью исследования на тему «Методики внедрения сетевого протокола IPv6 в сетях провайдеров».

Обеспечение анонимности при использовании программного обеспечения Tor

В настоящей статье представлены современные технологии обеспечения анонимности пользователя сети Tor с использованием дополнительного программного обеспечения. Рассмотрены некоторые уязвимости данной сети и способы их ликвидации.

Конфиденциальность данных в современных сетях

Статья рассматривает важные аспекты обеспечения безопасности и конфиденциальности данных в современных сетевых средах. В статье обсуждаются основные угрозы для конфиденциальности данных, такие как кибератаки и утечки информации, а также представлены ...

Разработка программного модуля аутентификации внешних пользователей компьютерной системы

Данная работа направлена на программную реализацию по защите компьютерных данных семейства операционных систем Windows, она подразумевает разработку модуля аутентификации локальных пользователей, что является важной задачей в области обеспечения инфо...

Анализ архитектуры SDN

В данной статье представлен анализ архитектуры SDN, рассмотрены ее возможности в виртуализации серверов и систем хранения данных.

Исследование уязвимостей протокола OAuth

В статье авторы пытаются определить основные уязвимости в открытом протоколе авторизации — OAuth. Рассматривают критичные уязвимости, найденные в популярных сервисах.

Задать вопрос