Атака на DHCP.

Петухов Олег, юрист в области международного права и защиты персональных данных, специалист в области информационной безопасности, защиты информации и персональных данных.
Телеграм-канал: https://t.me/zashchitainformacii Группа в Телеграм: https://t.me/zashchitainformacii1 Сайт: https://legascom.ru Электронная почта: online@legascom.ru #защитаинформации #информационнаябезопасность
Атаковать DHCP-сервер можно несколькими различными способами.
1. Злоумышленник может сформировать и послать DHCP-серверу огромное количество DHCP-запросов с разными МАС-адресами. Сервер будет выделять IP-адреса из пула, и рано или поздно весь DHCP-пул закончится, после чего сервер не сможет обслуживать новых клиентов. По сути, это DoS-атака, так как нарушается работоспособность сети. Метод борьбы с подобными атаками называется DHCP Snooping. Данный метод заключается в следующем. Когда коммутатор получает пакет, то он сравнивает МАС-адрес, указанный в DHCP-запросе, с МАС-адресом, который был прописан на порту коммутатора. Если адреса совпадают, то коммутатор отправляет пакет дальше; если не совпадают, то пакет отбрасывается.
2. Злоумышленник может также развернуть свой DHCP-сервер и выдавать свои настройки пользователям сети (может указать любой DNS, Gateway и т. д.) и воспользоваться уже по своему усмотрению, начиная от прослушивания трафика до подделки DNS-ответов и т. д.
Для того чтобы на DHCP-запросы отвечал именно сервер злоумышленника, ему необходимо предварительно вывести из строя легальный DHCP-сервер с помощью способа, описанного в пункте 1.
Практические действия для реализации данной атаки аналогичны представленным в разделе, посвященном переполнениям САМ-таблицы. При смене МАС-адреса и перезапуске сетевого интерфейса производится запрос к DHCP-серверу для получения нового IP-адреса.
В технологии DHCP Snooping есть понятие доверительных (trusted) и недоверительных (untrusted) портов. Для первых разрешено получение DHCP-ответов DHCPOFFER, для вторых получение ответов запрещено.
Настроим DHCP Snooping для VLAN 10 на интерфейсе f0/1.
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# int f0/1
Switch(config-if)# ip dhcp snooping trust
В данном примере интерфейс подключен непосредственно к DHCP-серверу, поэтому на нем мы включили режим trust.
Также можно включить или выключить опцию 82 DHCP, которая отвечает за информацию relay, то есть через какие коммутаторы прошел данный пакет.
Switch(config)# ip dhcp snooping information option
Еще одно средство - это ограничение числа DHCP-запросов в секунду. Установим ограничение на 100 запросов.
Switch(config)# int f0/1
Switch(config-if)# ip dhcp snooping limit rate 100
Однако к настройке ограничений нужно относиться с осторожностью, так как в случае превышения заданного значения запросы будут отклонены. В начале рабочего дня, когда множество пользователей одновременно включают свои компьютеры и получают IP-адреса по DHCP, это ограничение может привести к задержкам и проблемам при входе в сеть.