Um ataque ao DHCP.
Oleg Petukhov, advogado na área de Direito Internacional e proteção de dados pessoais, especialista em segurança da informação segurança, proteção de informações e dados pessoais.
Canal Telegram: https://t.me/protecaodaInformacao
Grupo Telegram: https://t.me/protecaodaInformacao1
Site: https://legascom.ru
E-mail: online@legascom.ru
#proteçãodaInformação #Segurançadainformação
Existem várias maneiras diferentes de atacar um servidor DHCP.
1. Um invasor pode gerar e enviar para o servidor DHCP um grande número de solicitações DHCP com diferentes endereços MAC. O servidor alocará endereços IP do pool e, mais cedo ou mais tarde, todo o pool DHCP se esgotará, após o que o servidor não poderá atender a novos clientes. Na verdade, trata-se de um ataque DoS, pois o desempenho da rede é interrompido. O método de lidar com esses ataques é chamado de DHCP Snooping. Este método é o seguinte. Quando o switch recebe um pacote, ele compara o endereço MAC especificado na solicitação DHCP com o endereço MAC que foi registrado na porta do switch. Se os endereços combinam, o interruptor envia o pacote sobre; se não combinam, o pacote está rejeitado.
2. Um invasor também pode implantar seu servidor DHCP e emitir suas configurações para os usuários da rede (ele pode especificar qualquer DNS, Gateway, etc.) e usá-lo a seu critério, desde ouvir o tráfego até falsificar respostas de DNS, etc
. Para que o servidor do invasor responda às solicitações DHCP, ele precisa pré-desabilitar o servidor DHCP legal usando o método descrito no parágrafo 1.
As etapas práticas para implementar esse ataque são semelhantes às apresentadas na seção sobre estouros de auto-tabela. Quando o endereço MAC é alterado e a interface de rede é reiniciada, é feita uma solicitação ao servidor DHCP para obter um novo endereço IP.
Na tecnologia DHCP Snooping, existe um conceito de portas confiáveis e não confiáveis. Para o primeiro, receber respostas DHCPOFFER DHCP é permitido, para o segundo, receber respostas é proibido.
Vamos configurar o DHCP Snooping para VLAN 10 na interface f0/1.
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# int f0/1
Switch(config-if)# ip dhcp snooping trust
Neste exemplo, a relação é conectada diretamente ao servidor DHCP, assim que nós permitimos o modo da confiança nele.
Você também pode ativar ou desativar a opção 82 do DHCP, que é responsável pelas informações de retransmissão, ou seja, que alterna esse pacote passado.
Switch(config)# ip dhcp snooping information option
Outro meio é limitar o número de solicitações DHCP por segundo. Vamos definir um limite de 100 solicitações.
Switch(config)# int f0/1
Switch(config-if)# ip dhcp snooping limit rate 100
No entanto, você precisa ter cuidado ao definir limites, pois as solicitações serão rejeitadas se o valor definido for excedido. No início da jornada de trabalho, quando muitos usuários ligam seus computadores ao mesmo tempo e recebem endereços IP via DHCP, essa restrição pode levar a atrasos e problemas ao fazer logon na rede.
