Отправьте статью сегодня! Журнал выйдет 19 июля, печатный экземпляр отправим 23 июля
Опубликовать статью

Молодой учёный

Типовые атаки на DHCP

Научный руководитель
Информационные технологии
22.12.2023
903
Поделиться
Библиографическое описание
Конева, Ю. Л. Типовые атаки на DHCP / Ю. Л. Конева, Н. В. Дворцов. — Текст : непосредственный // Молодой ученый. — 2023. — № 51 (498). — С. 7-8. — URL: https://moluch.ru/archive/498/109461/.


В статье авторы рассматривают типовые атаки на DHCP и рассказывают о методах обеспечения сетевой безопасности, необходимых для эффективной защиты от угроз. В данной статье меры безопасности моделируются с использованием Cisco Packet Tracer.

Ключевые слова: DHCP, сеть, порт, конфиденциальная информация, сетевой трафик.

Атака Rogue DHCP Server представляет собой метод манипуляции в сети, где злоумышленник устанавливает поддельный DHCP-сервер для выдачи ложных IP-адресов и других сетевых параметров.

Рассмотрим ход атаки:

  1. Подмена DHCP-сервера: Злоумышленник внедряет свой DHCP-сервер в сеть, подменяя официальный DHCP-сервер. Это может быть осуществлено путем физического доступа к сети или путем взлома устройства, уже находящегося внутри сети.
  2. Выдача ложных параметров: DHCP-сервер злоумышленника начинает выдавать ложные IP-адреса, шлюзы по умолчанию, серверы DNS и другие сетевые параметры устройствам в сети. Клиентские устройства, подключенные к сети, автоматически получают эти ложные параметры.
  3. Манипуляция сетевым трафиком: Злоумышленник получает возможность перехватывать, изменять или просматривать весь сетевой трафик, проходящий через его DHCP-сервер. Это может включать в себя захват паролей, данных о сеансах и другой конфиденциальной информации.

В результате атаки хакер может нанести инфраструктуре существенный урон:

  1. Отказ в доступе к ресурсам: Ложные параметры могут привести к тому, что устройства в сети не смогут получить доступ к нужным ресурсам, таким как сервисы или интернет.
  2. Утечка конфиденциальной информации: Злоумышленник может перехватывать конфиденциальные данные.
  3. Снижение производительности: Лишний трафик, создаваемый атакой, может снизить общую производительность сети.

Методы защиты:

Защита от атак класса Rogue DHCP Server обеспечивается включением на всех коммутаторах функции DHCP Snooping. Для этого необходимо задать два типа портов:

  1. Доверенные порты: порты, к которым подключаются DHCP-серверы или другие легитимные коммутаторы. На этих портах разрешено распространение DHCP-запросов и других сетевых сообщений.
  2. Недоверенные порты: предназначены для клиентских подключений, и на них не предполагается наличие DHCP-серверов. Запросы DHCP на таких портах блокируются, чтобы предотвратить нелегитимное распространение DHCP-трафика по сети.

Внедрение DHCP Snooping необходимо для того, чтобы уведомить коммутатор о необходимости отслеживания проходящих через него пакетов DHCP offer и ack. Это позволяет коммутатору блокировать прохождение таких пакетов через недоверенные порты.

Для активации DHCP Snooping необходимо перейти в режим конфигурирования и выполнить следующие команды:

SW(config)# ip dhcp snooping — включение функции.

SW(config)# ip dhcp snooping vlan — указание, для каких VLAN требуется отслеживание пакетов DHCP

SW(config-if)# ip dhcp snooping trust — команда для указания доверенных портов на коммутаторе.

Атака DHCP (Dynamic Host Configuration Protocol) starvation представляет собой форму атаки на сетевые устройства, использующие DHCP для получения IP-адресов.

В атаке DHCP starvation злоумышленник отправляет большое количество ложных DHCP-запросов в сеть, заполняя все доступные IP-адреса в DHCP-пуле. Это приводит к тому, что легитимные устройства в сети не могут получить доступ к DHCP-серверу для получения своих конфигураций.

Процесс атаки DHCP starvation включает следующие шаги:

  1. Отправка ложных DHCP-запросов: Злоумышленник отправляет DHCP-запросы с поддельными MAC-адресами и идентификаторами устройств в сеть. Эти запросы обращаются к DHCP-серверу с просьбой о выделении IP-адреса для указанных устройств.
  2. Насыщение DHCP-пула: DHCP-сервер начинает выделять IP-адреса ложным устройствам, и по мере того, как количество ложных запросов увеличивается, все доступные адреса в DHCP-пуле заканчиваются.
  3. Отказ легитимным устройствам: Легитимные устройства, пытающиеся получить IP-адрес через DHCP, не могут получить доступ к свободным адресам, так как все они уже выделены ложным устройствам.
  4. Отказ в доступе к сети: Устройства, не получившие IP-адрес, не могут правильно сконфигурироваться для работы в сети, что приводит к их отказу в доступе к сетевым ресурсам.

Последствия атаки:

  1. Отказ в обслуживании ( DoS ). Отказ в обслуживании происходит, когда сервер DHCP исчерпывает свои IP-адреса, что приводит к невозможности новым устройствам получить доступ к сети. Это означает, что взаимодействие этих устройств со сетью становится невозможным.
  2. Подмена DHCP . Комбинация атак DHCP starvation и Rogue DHCP Server усугубляет ситуацию. Поскольку основной DHCP-сервер не имеет свободных адресов, он выключается, и вся корпоративная клиентская база автоматически переходит под контроль вражеского DHCP-сервера. Это позволяет злоумышленнику манипулировать сетевыми параметрами и потенциально вмешиваться в важные коммуникации внутри сети.

Методы защиты:

Самый простой способ защиты — ограничить число MAC-адресов на порте коммутатора. Реализуется данная мера при помощи активации port-security.

SW(config-if)# switchport mode access — переводим порт в режим access.

SW(config-if)# switchport port-security — включаем port-security на интерфейсе

SW(config-if)# switchport port-security maximum — ограничиваем число MAC-адресов

SW(config-if)# switchport port-security mac-address

Также нелишним будет задать тип реагирования на превышение числа разрешенных MAC-адресов. Есть 3 типа реагирования на запрещенный адрес:

  1. protect — после переполнения все пакеты, отправленные с других MAC-адресов, отбрасываются;
  2. restrict — то же самое, что и в предыдущем случае, но с внесением записи в журнал;
  3. shutdown — порт выключается до ручного включения: SW(config-if) #switchport port-security violation

Заключение

В статье были рассмотрены различные виды атак, направленных на DHCP и предложены методы обеспечения сетевой безопасности для их предотвращения.

Обеспечение безопасности сетевой инфраструктуры является ключевым аспектом обеспечения целостности и конфиденциальности данных. Реализация соответствующих мер безопасности помогает предотвратить атаки, минимизировать уязвимости и обеспечивать стабильную и защищенную работу сети.

Можно быстро и просто опубликовать свою научную статью в журнале «Молодой Ученый». Сразу предоставляем препринт и справку о публикации.
Опубликовать статью
Ключевые слова
DHCP
сеть
порт
конфиденциальная информация
сетевой трафик
Молодой учёный №51 (498) декабрь 2023 г.
Скачать часть журнала с этой статьей(стр. 7-8):
Часть 1 (стр. 1-57)
Расположение в файле:
стр. 1стр. 7-8стр. 57

Молодой учёный