DHCP-Angriff.

Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit Die Gruppe im Telegramm: https://t.me/datenschutzmit1 Website: https://legascom.ru E-Mail: online@legascom.ru #informationssicherheit #informationssicherheit
Es gibt verschiedene Möglichkeiten, einen DHCP-Server anzugreifen.
1. Ein Angreifer kann eine große Anzahl von DHCP-Anfragen mit unterschiedlichen MAC-Adressen generieren und an den DHCP-Server senden. Der Server wird IP-Adressen aus dem Pool zuweisen, und früher oder später wird der gesamte DHCP-Pool beendet, sodass der Server keine neuen Clients bedienen kann. Im Wesentlichen handelt es sich um einen DoS-Angriff, da die Funktionsfähigkeit des Netzwerks beeinträchtigt ist. Die Methode zur Bekämpfung solcher Angriffe wird DHCP Snooping genannt. Diese Methode ist wie folgt. Wenn der Switch ein Paket empfängt, vergleicht er die in der DHCP-Anforderung angegebene MAC-Adresse mit der am Switch-Port festgelegten MAC-Adresse. Wenn die Adressen übereinstimmen, sendet der Switch das Paket weiter; Wenn sie nicht übereinstimmen, wird das Paket verworfen.
2. Ein Angreifer kann auch seinen DHCP-Server bereitstellen und seine Einstellungen an Netzwerkbenutzer weitergeben (er kann beliebige DNS-, Gateway-usw. angeben) und sie nach eigenem Ermessen nutzen, von der Überwachung des Datenverkehrs bis zur Fälschung von DNS-Antworten usw.
Damit der Server des Angreifers auf DHCP-Anfragen reagiert, muss er den legitimen DHCP-Server mithilfe der in Absatz 1 beschriebenen Methode zunächst außer Betrieb setzen.
Die praktischen Schritte zur Implementierung dieses Angriffs ähneln denen, die im Abschnitt "Überläufe der Tabelle SELBST" beschrieben sind. Wenn Sie die MAC-Adresse ändern und die Netzwerkschnittstelle neu starten, werden Sie vom DHCP-Server aufgefordert, eine neue IP-Adresse zu erhalten.
Die DHCP-Snooping-Technologie hat den Begriff von vertrauenswürdigen und ungläubigen Ports. Bei ersteren ist der Empfang von DHCPOFFER-DHCP-Antworten zulässig, bei zweiteren ist der Empfang von Antworten verboten.
Konfigurieren Sie DHCP Snooping für VLAN 10 auf der Schnittstelle f0/1.
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# int f0/1
Switch(config-if)# ip dhcp snooping trust
In diesem Beispiel ist die Schnittstelle direkt mit dem DHCP-Server verbunden, daher haben wir den Trust-Modus aktiviert.
Sie können auch die DHCP-Option 82 aktivieren oder deaktivieren, die für die relay-Informationen verantwortlich ist, d. H. Welche Switches dieses Paket durchlaufen hat.
Switch(config)# ip dhcp snooping information option
Eine weitere Möglichkeit besteht darin, die Anzahl der DHCP–Anforderungen pro Sekunde zu begrenzen. Wir setzen ein Limit für 100 Anfragen.
Switch(config)# int f0/1
Switch(config-if)# ip dhcp snooping limit rate 100
Beachten Sie jedoch, dass Sie bei der Einstellung von Einschränkungen mit Vorsicht vorgehen müssen, da Anforderungen abgelehnt werden, wenn der angegebene Wert überschritten wird. Zu Beginn des Arbeitstages, wenn viele Benutzer gleichzeitig ihre Computer einschalten und IP-Adressen über DHCP erhalten, kann diese Einschränkung zu Verzögerungen und Problemen bei der Anmeldung am Netzwerk führen.