Attaque sur DHCP. 1
Petukhov Oleg, avocat en droit international et protection des renseignements personnels, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Canal Telegram: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
Courriel : online@legascom.ru
#sécuritéinformations #informationsécurité
Vous pouvez attaquer un serveur DHCP de différentes manières.
1. Un attaquant peut générer et envoyer au serveur DHCP un grand nombre de demandes DHCP avec des adresses MAC différentes. Le serveur allouera les adresses IP du pool et, tôt ou tard, l'ensemble du pool DHCP se terminera, après quoi le serveur ne pourra pas servir de nouveaux clients. Essentiellement, c'est une attaque par déni de service, car l'intégrité du réseau est perturbée. La méthode de lutte contre de telles attaques est appelée DHCP Snooping. Cette méthode est la suivante. Lorsqu'un commutateur reçoit un paquet, il compare l'adresse MAC spécifiée dans la requête DHCP à l'adresse MAC enregistrée sur le port du commutateur. Si les adresses correspondent, le commutateur envoie le paquet plus loin; si elles ne correspondent pas, le paquet est rejeté.
2. Un attaquant peut également déployer son serveur DHCP et donner ses paramètres aux utilisateurs du réseau (peut spécifier n'importe quel DNS, passerelle, etc.) et en profiter à sa guise, allant de l'écoute du trafic à la falsification des réponses DNS, etc.
Pour que le serveur de l'attaquant réponde aux requêtes DHCP, il doit d'abord désactiver le serveur DHCP légitime en utilisant la méthode décrite au point 1.
Les étapes pratiques pour la mise en œuvre de cette attaque sont semblables à celles décrites dans la section sur les débordements de la table ELLE-même. Lorsque vous modifiez l'adresse MAC et redémarrez l'interface réseau, vous êtes invité à demander au serveur DHCP d'obtenir la nouvelle adresse IP.
La technologie DHCP Snooping a la notion de ports de confiance (trusted) et de confiance (Untrusted). Les réponses DHCP DHCPOFFER sont permises pour les premières, et les réponses DHCP ne sont pas permises pour les secondes.
Configurez DHCP Snooping pour VLAN 10 sur l'interface f0/1.
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# int f0/1
Switch(config-if)# ip dhcp snooping trust
Dans cet exemple, l'interface est connectée directement au serveur DHCP, nous avons donc activé le mode de confiance sur celui-ci.
Vous pouvez également activer ou désactiver l'option 82 DHCP, qui est responsable des informations de relais, c'est-à-dire des commutateurs traversés par ce paquet.
Switch(config)# ip dhcp snooping information option
Un autre moyen est de limiter le nombre de demandes DHCP par seconde. On fixe une limite de 100 demandes.
Switch(config)# int f0/1
Switch(config-if)# ip dhcp snooping limit rate 100
Toutefois, la configuration des restrictions doit être prudente, car les demandes seront rejetées si la valeur spécifiée est dépassée. Au début de la journée de travail, lorsque de nombreux utilisateurs activent simultanément leurs ordinateurs et obtiennent des adresses IP via DHCP, cette limitation peut entraîner des retards et des problèmes de connexion au réseau.
