برای اینکه یک کلاینت اطلاعات آدرس IP خود را به طور خودکار دریافت کند بهمحض وصلشدن به شبکه، درخواستی به نام DHCP Request به کل شبکه ارسال میکند.
حمله DHCP چیست؟
برای اینکه یک کلاینت اطلاعات آدرس IP خود را به طور خودکار دریافت کند بهمحض وصلشدن به شبکه، درخواستی به نام DHCP Request به کل شبکه ارسال میکند.
سرور DHCP موجود در شبکه نیز به این درخواست، پاسخ میدهد و اطلاعات آدرس IP را در اختیار کلاینت قرار میدهد. حال فرض کنید هکری در یک شبکه، سرور DHCP جعلی راهاندازی کند. در این صورت این سرور DHCP میتواند به درخواستهای کلاینتها پاسخ دهد و اطلاعات جعلی به آنها بدهد.
Default Gateway که این سرور جعلی به کلاینت ها می دهد در واقع آدرس IP خود کامپیوتر هکر می باشد. بدین شکل تمامی بسته های کلاینت های هدف از کامپیوتر هکر عبور کرده و هکر نقش Man in the Middle را بازی می کند و می تواند تمامی بسته های کلاینت ها را بررسی کند.
حال شاید بگویید خب ما از پروتکلهای امن برای رمزگذاری بستههایمان استفاده میکنیم (HTTPS) و هیچکس قادر به شنود آنها نخواهد بود و این حمله با شکست مواجه خواهد شد.
شاید حق با شما باشد، اما باید این را نیز بدانید که آدرس DNS نیز توسط این سرور جعلی به کلاینتها داده میشود! پس هکر میتواند آدرس DNS جعلی را به کلاینتها بدهد.
برای مثال فرض کنید شما میخواهید از طریق اینترنت خرید آنلاین انجام دهید. به صفحه پرداخت آنلاین مثل Shaparak.ir منتقل خواهید شد. برای متصلشدن به سایت شاپرک، ابتدا آدرسهاست این سایت توسطDNS Server به آدرس IP آن ترجمه میشود. DNS Server جعلی، آدرس IP جعلی را به شما برمیگرداند و شما خوشحال و خندان خرید خود را انجام میدهید و از امن بودن آن اطمینان دارید؛ چون در آن از پروتکل HTTPS استفاده شده است. غافل از اینکه تمامی اطلاعات وارد شده شما در کامپیوتر هکر بازگشایی خواهند شد. زیرا Certificate آدرس جعلی نیز در دست هکر است. به همین سادگی، تمامی اطلاعات بانکی شما در دست هکر قرار میگیرد
حمله DHCP Spoofing چیست؟
ترفند DHCP Snooping برای جلوگیری از حملات DHCP Spoofing
قابلیتی به نام DHCP Snooping در برخی سوئیچها مانند سوئیچهای شرکت Cisco و Jupiter وجود دارد که باعث کاهش این دست حملات میشود.
عملکرد آن بدین صورت است که پورتهای سوئیچ در دو حالت Trusted و Untrusted قرار میگیرند. پورتهای Trusted میتوانند درخواستهای DHCP را دریافت کنند و به آنها پاسخ دهند؛ ولیپورت ها ی Untrusted حق پاسخ به درخواستهای DHCP را ندارند، پس اگر هکری DHCP Server جعلی خود را در یکی از پورتهای Untrusted راهاندازی کند، بهمحض اینکه بسته پاسخ DHCP را به کلاینت درخواستکننده DHCP بفرستد، از شبکه بیرون رانده خواهد شد و آن پورت بسته میشود.
به طور پیشفرض تمامی پورتهای سوئیچها در حالت Untrusted قرار دارند؛ لذا برای استفاده از ترفند DHCP Snooping، باید پورتهای trustedT را در سوئیچ خودتنظیم کنید.
برای تنظیم DHCP Snooping بهصورت Global باید از دستور زیر در محیط command سوئیچ استفاده کنید:
Switch(config)#ip dhcp snooping
اگر میخواهید تنها برخی از Vlanهای شبکه شما از این ویژگی استفاده کنند میتوانید دستور زیر را وارد کنید:
Switch(config)#ip dhcp snooping vlan 1,60,150-175
فعالسازی DHCP Snooping بهتنهایی برای جلوگیری از حمله DHCP Spoofing کافی نیست. شما باید پورتهای Trusted را نیز بهصورت زیر تنظیم کنید:
Switch(config)#interface gigabitethernet 0/3
Switch(config-if)#ip dhcp snooping trust