DHCP Spoofing چیست و راه های مقابله با آن کدامند ؟

معرفی DHCP Spoofing :

در این مقاله قصد آشنا کردن شما با DHCP Spoofing و راهای مقابله با آن را داریم.

به طور کلی از کار انداختن سرویس DHCP در شبکه را DHCP Spoofing می نامند.

مقاله مرتبط : DNS Spoofing چیست و راه های مقابله با آن کدامند ؟

فرض کنید شما در شبکه یک کامپیوتر رومیزی دارید که طبیعتا یک Client است. برای برقراری ارتباط میان این کامپیوتر با دیگر اجزای شبکه و همچنین شبکه های دیگر به یک IP نیاز دارید. شما می توانید این IP را از طریق DHCP (تخصیص IP به صورت خودکار) دریافت کنید. به هر سیستمی که پروتکل DHCP بر روی آن راه اندازی شده باشد، DHCP سرور می گویند. این Client برای دریافت IP ابتدا یک درخواست به سمت DHCP Server برای گرفتن IP ارسال می کند؛ سپس DHCP Server یک Packet که حاوی یک IP خاص، DNS ،Subnet شبکه و default gateway می باشد را به Client به مورد نظر ارسال می کند و آن Client می تواند به این صورت با دیگر اجزای شبکه ارتباط برقرار کند.

اما در این میان افرادی سودجو هستند که می خواهند اطلاعات مربوط به آن شبکه یا آن Client را به دست آورده و یا شبکه ی مورد نظر را دچار اختلال کنند. آنها با قرار دادن DHCP سرور های تقلبی می توانند به Client ها دسترسی داشته باشند. زمانی که Client ها از سرورهای اصلی درخواست‌ IP می کنند، ممکن است در واقع به DHCP Server تقلبی این درخواست را ارسال کرده باشند؛ بنابراین Server تقلبی یک IP به Client می دهد که با دستکاری هایی که بر روی این IP می کند، قصد اختلال و از کار انداختن شبکه را دارد.

اما یک فرد مهاجم با DHCP سرور های تقلبی مشکلاتی را می تواند برای شبکه به وجود آورد که عبارتند از:

1- تغییر دادن IP :

فرض کنید شما یک Client هستید و یک درخواست برای گرفتن IP از DHCP Server می دهید. در اینجا DHCP server تقلبی وارد عمل می شود و با دادن یک IP تقلبی به جای IP اصلی آن Client را دچار مشکل می کند؛ به عنوان مثال به جای دادن آدرس 192.168.1.0/24 به شما آدرس 172.168.16.0/30 را می دهد و باعث تداخل آن Client شده و در واقع آن Client را در شبکه از کار می اندازند.

2- تغییر default gateway :

در اینجا فرد مهاجم IP خود را به عنوان default gateway به Client می دهد. بنابراین هر بسته ای که از طرف آن Client بخواهد به خارج از شبکه برود، ابتدا به سمت سیستم تقلبی ارسال می شود و شخص مهاجم اطلاعات مورد نیاز خود را بدست می اورد. سپس آن بسته را به سمت مقصد اصلی خود ارسال می کند؛ بدون آن که کسی در بین از این اتفاقات با خبر شود.

3- از بین بردن DHCP Server اصلی :

در اینجا فرد حمله کننده قلب سرویس DHCP را مورد حمله قرار می دهد؛ به این صورت که فرد مهاجم درخواست هایی را به صورت متوالی با Mac Address های تصادفی که تولید می کند، به Server اصلی می فرستد. در این زمان هم DHCP به تمام آن ها پاسخ داده و به هر کدام یک IP بخصوص می دهد. تا اینجا کار به نظر مشکلی وجود ندارد؛ اما زمانی شبکه دچار مشکل می شود که پایگاه داده IP های DHCP Server اصلی خالی شده و دیگر IP برای تخصیص به Client ها وجود ندارد.

از اینجا به بعد هر Client که در شبکه درخواستی برای گرفتن IP می کند در واقع تمامی آن ها را به Server تقلبی ارسال می کند و بنابراین آدرس هایی که به آن ها داده می شود دستخوش تغییراتی است که در مراحل قبل درباره آن ها صحبت کردیم.

4- تغییر در DNS :

یکی دیگر از اطلاعاتی که به همراه IP و … به یک Client داده می شود، آدرس DNS Server آن شبکه است تا شخص بتواند به سایت های مختلف دسترسی داشته باشد.

در اینجا فرد مهاجم ابتدا با طراحی سایتی تقلبی، به عنوان مثال پرداخت آنلاین یک بانک، اولین قدم خود را بر می دارد سپس در مرحله دوم اقدام به ساخت یک DNS Server تقلبی می کند. بدین صورت فرد آدرس IP خود را به جای آدرس IP سایت واقعی مانند GOOGLE و یا …. بر می گرداند و وبسایت خود را به کاربر انتقال می دهد. با این روش می توان تمامی اطلاعات مهم یک فرد را بدست آورد.

آموزش جلوگیری از حملات DHCP Spoofing :

اما چگونه می توان جلوی DHCP Spoofing در شبکه را گرفت؟

1- Port Security:

از این روش می توان برای رفع حملاتی که برای از کار انداختن DHCP Server صورت می گیرد، استفاده کرد.

با استفاده از این روش، Mac Address های مشخصی در یک پورت خاص در شبکه اجازه دسترسی دارند. در این صورت دیگر فرد مهاجم قادر به ارسال بسته های حاوی در خواست IP با چند Mac Address را نخواهد بود.

2- DHCP Snooping :

به طور خلاصه می توان DHCP Snooping را به این گونه شرح داد که مانند فایروالی میان DHCP Sever و Host های نا معتبر و غیرقابل اطمینان است و روش کار آن به این گونه است که :

1- DHCP Snooping پیام های که از طرف Host های نامعتبر و دستگاهای نا معتبر (دستگاهای که به عنوان مثال در یک سازمان وجود ندارند و بیرون از سازمان قرار دارند) به DHCP Server ارسال می شود را فیلتر می کند.

2- کار DHCP Snooping ساخت یک جدول و یا یک پایگاه داده است که اطلاعات این جدول شامل IP ها، DNS ها و… تخصیص داده شده به Host ها است.

3- استفاده از همان جدول به منظور شناسایی پیام های بعدی که از سمت Host های نامعتبر در دفعات بعدی می رسد.

Trust – Untrust

حالت Trust به حالتی می گویند که Host های معتبر اجازه دسترسی و ارسال بسته به DHCP Server را دارند؛ در واقع به پورت هایی که به DHCP Server اجازه دسترسی دارند را پورت Trust و به پورت ها و Host هایی که اجازه دسترسی به DHCP Server را ندارند Untrust می گویند.

Limit Rate

این روش به این گونه است که در بازه زمانی مشخصی تنها می توان تعداد خاصی درخواست به DHCP Server ارسال کرد و به این ترتیب از حمله به DHCP Server و خالی کردن لیست IP آن جلوگیری کرد.

قابلیت DHCP Snooping در سوئیچ های لایه 2 موجود می باشد که می توان آن را فعال کرد.