Ataque ao DHCP.
Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.
Canal do Telegram: https://t.me/protecaodaInformacao
Grupo em Telegram: https://t.me/protecaodaInformacao1
Site: https://legascom.ru
Correio eletrónico: online@legascom.ru
#segurançadaInformação #Segurançadainformação
Você pode atacar um servidor DHCP de várias maneiras diferentes.
1. Um invasor pode gerar e enviar um grande número de solicitações DHCP para um servidor DHCP com diferentes endereços MAC. O servidor alocará endereços IP do pool e, mais cedo ou mais tarde, todo o pool de DHCP terminará, após o que o servidor não poderá atender a novos clientes. Na verdade, este é um ataque DoS, pois a integridade da rede é interrompida. Esse tipo de ataque é chamado de DHCP Snooping. Este método é o seguinte. Quando um switch recebe um pacote, ele compara o endereço MAC especificado na solicitação DHCP com o endereço MAC que foi escrito na porta do switch. Se os endereços corresponderem, o switch enviará o pacote; se não corresponderem, o pacote será descartado.
2. Um invasor também pode implantar seu servidor DHCP e fornecer suas configurações aos usuários da rede (pode especificar qualquer DNS, Gateway, etc.) e usá-lo como quiser, desde ouvir o tráfego até falsificar respostas DNS, etc.
Para que o servidor malicioso responda às solicitações DHCP, ele deve primeiro desativar o servidor DHCP legítimo usando o método descrito na Cláusula 1.
As ações práticas para implementar esse ataque são semelhantes às descritas na seção sobre estouros da tabela em si. Quando o endereço MAC é alterado e a interface de rede é reiniciada, o servidor DHCP é solicitado a obter um novo endereço IP.
A tecnologia DHCP Snooping inclui portas confiáveis e não confiáveis. O primeiro tem permissão para receber respostas DHCP do DHCPOFFER, o segundo não tem permissão para receber respostas.
Configure o snooping DHCP para VLAN 10 na interface f0/1.
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# int f0/1
Switch(config-if)# ip dhcp snooping trust
Neste exemplo, a interface está conectada diretamente ao servidor DHCP, por isso ativamos o modo trust.
Você também pode ativar ou desativar a opção 82 DHCP, que é responsável pelas informações do relay, ou seja, por quais Switches o pacote passou.
Switch(config)# ip dhcp snooping information option
Outra ferramenta é limitar o número de solicitações DHCP por segundo. Limite para 100 pedidos.
Switch(config)# int f0/1
Switch(config-if)# ip dhcp snooping limit rate 100
No entanto, você deve ter cuidado ao definir restrições, pois as solicitações serão rejeitadas se o valor especificado for excedido. No início do dia, quando vários usuários ligam seus computadores ao mesmo tempo e recebem endereços IP por DHCP, essa restrição pode causar atrasos e problemas ao fazer login na rede.
