امنیت شبکه

DHCP Spoofing چیست؟ چگونه با این حملات مقابله کنیم؟

DHCP Spoofing چیست؟ چگونه با این حملات مقابله کنیم؟
23 فروردین

دی اچ سی پی اسپوفینگ یا DHCP Spoofing یکی از انواع حملات Spoofing است که در آن هکر ها برای جایگزینی آدرس IP های Default Gateway و DNS استفاده می کنند و از این طریق ترافیک را به سمت سرور های مخرب منحرف می کنند. با ادامه این مقاله همراه داتیس نتورک باشید.

DHCP Spoofing چیست؟ چگونه با این حملات مقابله کنیم؟

DHCP Spoofing چیست؟

حمله ای است که در آن هکرها سرور DHCP را نصب می کنند و از آن برای ارسال پاسخ های جعلی DHCP به دستگاه های یک شبکه استفاده می کنند.

هکرها اغلب از این حمله برای جایگزینی آدرس های IP سرورهای Default Gateway و DNS استفاده می کنند و از این طریق ترافیک را به سمت سرورهای مخرب منحرف می کنند.

فرض کنید شما در شبکه یک کامپیوتر رومیزی دارید که طبیعتا یک Client است.

برای برقراری ارتباط میان این کامپیوتر با دیگر اجزای شبکه و همچنین شبکه های دیگر به یک IP نیاز دارید.

شما می توانید این IP را از طریق DHCP (تخصیص IP به صورت خودکار) دریافت کنید.

به هر سیستمی که پروتکل DHCP بر روی آن راه اندازی شده باشد، DHCP سرور می گویند.

این Client برای دریافت IP ابتدا یک درخواست به سمت DHCP Server برای گرفتن IP ارسال می کند؛ سپس DHCP Server یک Packet که حاوی یک IP خاص، DNS ،Subnet شبکه و default gateway می باشد را به Client به مورد نظر ارسال می کند و آن Client می تواند به این صورت با دیگر اجزای شبکه ارتباط برقرار کند.

DHCP Spoofing چیست؟ چگونه با این حملات مقابله کنیم؟

اما در این میان افرادی سودجو هستند که می خواهند اطلاعات مربوط به آن شبکه یا آن Client را به دست آورده و یا شبکه ی مورد نظر را دچار اختلال کنند.

آنها با قرار دادن DHCP سرور های تقلبی می توانند به Client ها دسترسی داشته باشند.

زمانی که Client ها از سرورهای اصلی درخواست‌ IP می کنند، ممکن است در واقع به DHCP Server تقلبی این درخواست را ارسال کرده باشند؛ بنابراین Server تقلبی یک IP به Client می دهد که با دستکاری هایی که بر روی این IP می کند، قصد اختلال و از کار انداختن شبکه را دارد.

روش های جلوگیری از حملات DHCP Spoofing

اما چگونه می توان جلوی DHCP Spoofing در شبکه را گرفت؟

1- Port Security

از این روش می توان برای رفع حملاتی که برای از کار انداختن DHCP Server صورت می گیرد، استفاده کرد.

با استفاده از این روش، Mac Address های مشخصی در یک پورت خاص در شبکه اجازه دسترسی دارند. در این صورت دیگر فرد مهاجم قادر به ارسال بسته های حاوی در خواست IP با چند Mac Address را نخواهد بود.

2- DHCP Snooping

به طور خلاصه می توان DHCP Snooping را به این گونه شرح داد که مانند فایروالی میان DHCP Sever و Host های نا معتبر و غیرقابل اطمینان است و روش کار آن به این گونه است که :

  • 1- DHCP Snooping پیام های که از طرف Host های نامعتبر و دستگاهای نا معتبر (دستگاهای که به عنوان مثال در یک سازمان وجود ندارند و بیرون از سازمان قرار دارند) به DHCP Server ارسال می شود را فیلتر می کند.
  • 2- کار DHCP Snooping ساخت یک جدول و یا یک پایگاه داده است که اطلاعات این جدول شامل IP ها، DNS ها و… تخصیص داده شده به Host ها است.
  • 3- استفاده از همان جدول به منظور شناسایی پیام های بعدی که از سمت Host های نامعتبر در دفعات بعدی می رسد.

3- Trust – Untrust

حالت Trust به حالتی می گویند که Host های معتبر اجازه دسترسی و ارسال بسته به DHCP Server را دارند.

در واقع به پورت هایی که به DHCP Server اجازه دسترسی دارند را پورت Trust و به پورت ها و Host هایی که اجازه دسترسی به DHCP Server را ندارند Untrust می گویند.

4- Limit Rate

این روش به این گونه است که در بازه زمانی مشخصی تنها می توان تعداد خاصی درخواست به DHCP Server ارسال کرد و به این ترتیب از حمله به DHCP Server و خالی کردن لیست IP آن جلوگیری کرد.

قابلیت DHCP Snooping در سوئیچ های لایه 2 موجود می باشد که می توان آن را فعال کرد.

مشکلات DHCP اسپوفینگ برای شبکه

1- تغییر دادن IP :

فرض کنید شما یک Client هستید و یک درخواست برای گرفتن IP از DHCP Server می دهید.

در اینجا DHCP server تقلبی وارد عمل می شود و با دادن یک IP تقلبی به جای IP اصلی آن Client را دچار مشکل می کند؛ به عنوان مثال به جای دادن آدرس 192.168.1.0/24 به شما آدرس 172.168.16.0/30 را می دهد و باعث تداخل آن Client شده و در واقع آن Client را در شبکه از کار می اندازند.

2- تغییر default gateway :

در اینجا فرد مهاجم IP خود را به عنوان default gateway به Client می دهد.

بنابراین هر بسته ای که از طرف آن Client بخواهد به خارج از شبکه برود، ابتدا به سمت سیستم تقلبی ارسال می شود و شخص مهاجم اطلاعات مورد نیاز خود را بدست می اورد.

سپس آن بسته را به سمت مقصد اصلی خود ارسال می کند؛ بدون آن که کسی در بین از این اتفاقات با خبر شود.

3- تغییر در DNS :

یکی دیگر از اطلاعاتی که به همراه IP و … به یک Client داده می شود، آدرس DNS Server آن شبکه است تا شخص بتواند به سایت های مختلف دسترسی داشته باشد.

در اینجا فرد مهاجم ابتدا با طراحی سایتی تقلبی، به عنوان مثال پرداخت آنلاین یک بانک، اولین قدم خود را بر می دارد سپس در مرحله دوم اقدام به ساخت یک DNS Server تقلبی می کند.

بدین صورت فرد آدرس IP خود را به جای آدرس IP سایت واقعی مانند GOOGLE و یا …. بر می گرداند و وبسایت خود را به کاربر انتقال می دهد. با این روش می توان تمامی اطلاعات مهم یک فرد را بدست آورد.

4- از بین بردن DHCP Server اصلی :

در اینجا فرد حمله کننده قلب سرویس DHCP را مورد حمله قرار می دهد.

به این صورت که فرد مهاجم درخواست هایی را به صورت متوالی با Mac Address های تصادفی که تولید می کند، به Server اصلی می فرستد.

در این زمان هم DHCP به تمام آن ها پاسخ داده و به هر کدام یک IP بخصوص می دهد.

تا اینجا کار به نظر مشکلی وجود ندارد؛ اما زمانی شبکه دچار مشکل می شود که پایگاه داده IP های DHCP Server اصلی خالی شده و دیگر IP برای تخصیص به Client ها وجود ندارد.

از اینجا به بعد هر Client که در شبکه درخواستی برای گرفتن IP می کند در واقع تمامی آن ها را به Server تقلبی ارسال می کند و بنابراین آدرس هایی که به آن ها داده می شود دستخوش تغییراتی است که در مراحل قبل درباره آن ها صحبت کردیم.

امیدواریم مقاله DHCP Spoofing برای شما مفید بوده باشد، داتیس نتورک را در شبکه های اجتماعی دنبال کنید.

جدیدتر آموزش تنظیم مودم تندا – راهنمای کانفیگ مودم ADSL برند Tenda
بازگشت به لیست
قدیمی تر DNS Spoofing چیست؟ بررسی راه های مقابله با آن

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *