در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

حمله DHCP Spoofing یا جعل DHCP چیست و روش مقابله با آن در سیسکو

DHCP Spoofing حمله ای است که عملکرد سرویس DHCP (اختصاص IP به صورت اتومات) را مختل می کند.
حمله DHCP Spoofing و نحوی مقابله با آن در سوئیچ های سیسکو (DHCP Snooping)


این حمله به دو صورت می تواند به وجود اید:
  1. DHCP Server Spoofing : در حالت اول مهاجم به بسته های DHCP Request گوش می کند و بلافاصله به آنها جواب می دهد و IP Address و مشخصات مورد نظر خود را برای قربانی ارسال می کند به این نوع حملات man in the middle گفته می شود. به طور مثال IP خود را به عنوان Gateway به قربانی اعلام می کند در نتیجه قربانی بسته هایی که مقصد آنها خارج از شبکه هستند را به مهاجم تحویل می دهد و مهاجم اطلاعات مورد نظر خود را از این بسته استخراج می کند و سپس بسته را به سوی مقصد واقعی ارسال می کند و قربانی از این اتفاق بی خبر است.
  2. DHCP Starvation : حالت دوم جهت از کار انداختن سرویس DHCP مورد استفاده قرار می گیرد به این صورت که مهاجم تعداد زیادی DHCP Request جعلی ایجاد می کند و باعث می شود که کل محدود IP تعیین شده برای DHCP سرور پر شود یا تعداد این DHCP Request انقدر زیاد می شود که سرور توان پاسخگویی به ان را نداشته باشد.
  • نکته : در صورتی که DHCP سرور روی سوئیچ فعال باشد حمله حالت اول رخ نخواهد داد.

برای جلوگیری از این حملات از DHCP Snooping استفاده می کنیم و به صورت زیر عمل می کند :
برای جلوگیری از حالت اول پورتی که متصل به DHCP سرور ماست را به عنوان Trust معرفی می کنیم در نتیجه تنها این پورت اجازه دارد به بسته های DHCP Request پاسخ دهد.
برای جلوگیری از حالت دوم برای پورت ها مشخص می کنیم که در هر ثانیه اجازه دارد چندتا DHCP Request دریافت کند و یا استفاده از قابلیت Port Security .


نحوی تنظیم DHCP Snooping در سوئیچ های سیسکو :
در ابتدا DHCP Snooping را فعال می کنیم.
Switch(config)#ip dhcp snooping
سپس VLAN مربوطه را مشخص می کنیم.
Switch(config)#ip dhcp snooping vlan 1
وارد اینترفیس متصل به DHCP سرور می شویم و آنرا به عنوان trust معرفی می کنیم.
Switch(config)#interface fasthernet 0/24
Switch(config-if)# ip dhcp snooping trust

حالا باید مشخص کنیم که باقی پورت ها در هر ثانیه اجازه ارسال چند DHCP Request را دارند.
Switch(config)#interface range fastethernet 0/1-23
Switch(config-if)#ip dhcp snooping limit rate 3


نویسنده : جعفر قنبری شوهانی
منبع : جزیره سیسکو وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
#جلوگیری_از_حمله_dhcp_spoofing #راه_اندازی_dhcp_snooping_در_سیسکو
15 نظر
محمد هادی

ممنون مهندس

عالی بود

saadatyar

محشرررررررررررررررررررررررررررررررررررررررررررررررررررررررررررررررررر بود

Mosioano

من چندتا سوال برام پیش اومده.

این دستوراتو باید روی سوئیچ Core بزنیم؟

من چند تا سوئیچ سیسکو دارم که بصورت سلسه مراتبی بهم متصل هستند و در نهایت به سوئیچ Core اتاق سرور وصل میشن. با توجه به توضیحات شما دستور Trust ای که روی اینترفیس زده میشه فقط اون اینترفیس اجازه ارسال و دریافت DHCP را داره آیا سایر سوئیچ ها و پورتهای سایر سوئیچ ها که به سوئیچ Core متصل هستن Untrust میشن؟

مهسا مصلح

ممنون از راهنماییتون

ولی یه سوال پیش اومد

فرمودین اگه DHCP سرور روی سوئیچ فعال باشه حالت اول یعنی spoofing رخ نمیده ، پس چرا snooping رو روی سوئیچ فعال کردیم وقتی این تهدید رو به دنبال نداره؟

جعفر قنبری شوهانی

این مکانیزم رو راه اندازی کردیم به فرض اینکه DHCP سرور در جایی غیر از سوئیچ قرار داره

همچنین در خیلی جاها هست که تعداد سوئیچ ها از یکی بیشتر درنتیجه بازم به این مکانیزم نیاز پیدا می کنیم

و همینطور که گفت اگه DHCP روی سوئیچ راه اندازی شده باشه خطر حمله دوم وجود داره

در کل بهتره که این مکانیزم پیاده سازی بشه

سید محمد حسینی

مرسی عالی بود

mr_E

درحمله DHCP Server Spoofing اگر کلاینت از طریق وایرلس به dhcp server متصل بود چگونه از حمله جلوگیری میشه؟

دوم اینکه منظور از حمله dhcp client dos همین spoofing هست؟

جعفر قنبری شوهانی

منظورتون اینکه DHCP Server و کلاینت هر دو از طریق وایرلس به شبکه متصل میشن؟

mr_E

بله

Mosioano

من روی همه سوئیچها همین دستورات را وارد کردم بدون مشکل کار میکنه ولی به یه سوئیچی رسیدم که هیچ فرقی با بقیه نداره منتاها نمیدونم دقیقا مشکاز کجاست وقتی در آخرین مرحله دستور IP DHCP Snooping رو تو قسمت Config وارد میکنم ارتباط سیستمها قطع میشه.

جعفر قنبری شوهانی

ارتباط DHCP سرور از طریق وایرلس برقرار بشه کار جالبی نیست و بهتره که ارتباط این سرور از طریق کابل برقرار بشه یا این سرویس DHCP رو روی خود اکسس پوینت راه اندازی کنید

اما در رابطه با راه اندازی این مکانیزم امنیتی توی این سناریو شما باید روی خود اکسس پوینت بتونید این کنترل رو داشته باشید که این برمی گرده به امکانات اکسس پوینت شما و اینکه اینکار توسط اون قابل انجام هست یا خیر باید بررسی کنید

جعفر قنبری شوهانی

باید شما توپولوژی شبکه و همینطور تنظمیات سوئیچ تون رو بررسی کنید که ببینید مشکل از کجاست و چه چیزی می تونه باعث باث این مشکل بشه

tempter11

سلام و خسته نباشید ..

جسارتاً ip dhcp snooping limit rate تعداد dhcp packet هستش که پورت دریافت می کند نه ارسال .

number of DHCP packets per second (pps) that an interface can receive

جعفر قنبری شوهانی

در متن توضیحات همین مورد ذکر شده و عنوان شده که پورت اجازه داره چندتا بسته دریافت کنه

اما منظور از ارسال که توی قسمت توضیح دستور عنوان شده همون بسته های هست که توسط کلاینت ارسال میشه

ali-apple

سلام استاد این لینک را نگاه کنید و راهنمایی فرمایید

با تشکر

سوال در مورد dhcp snooping

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....