حمله DHCP چیست؟

برای اینکه یک کلاینت اطلاعات آدرس IP خود را به طور خودکار دریافت کند به‌محض وصل‌شدن به شبکه، درخواستی به نام DHCP Request به کل شبکه ارسال می‌کند.

حمله DHCP چیست؟

برای اینکه یک کلاینت اطلاعات آدرس IP خود را به طور خودکار دریافت کند به‌محض وصل‌شدن به شبکه، درخواستی به نام DHCP Request به کل شبکه ارسال می‌کند.

سرور DHCP موجود در شبکه نیز به این درخواست، پاسخ می‌دهد و اطلاعات آدرس IP را در اختیار کلاینت قرار می‌دهد. حال فرض کنید هکری در یک شبکه، سرور DHCP جعلی راه‌اندازی کند. در این صورت این سرور DHCP می‌تواند به درخواست‌های کلاینت‌ها پاسخ دهد و اطلاعات جعلی به آن‌ها بدهد.

Default Gateway که این سرور جعلی به کلاینت ها می دهد در واقع آدرس IP خود کامپیوتر هکر می باشد. بدین شکل تمامی بسته های کلاینت های هدف از کامپیوتر هکر عبور کرده و هکر نقش Man in the Middle را بازی می کند و می تواند تمامی بسته های کلاینت ها را بررسی کند.

حال شاید بگویید خب ما از پروتکل‌های امن برای رمزگذاری بسته‌هایمان استفاده می‌کنیم (HTTPS) و هیچ‌کس قادر به شنود آن‌ها نخواهد بود و این حمله با شکست مواجه خواهد شد.

شاید حق با شما باشد، اما باید این را نیز بدانید که آدرس DNS نیز توسط این سرور جعلی به کلاینت‌ها داده می‌شود! پس هکر می‌تواند آدرس DNS جعلی را به کلاینت‌ها بدهد.

برای مثال فرض کنید شما می‌خواهید از طریق اینترنت خرید آنلاین انجام دهید. به صفحه پرداخت آنلاین مثل Shaparak.ir منتقل خواهید شد. برای متصل‌شدن به سایت شاپرک، ابتدا آدرس‌هاست این سایت توسطDNS Server به آدرس IP آن ترجمه می‌شود. DNS Server جعلی، آدرس IP جعلی را به شما برمی‌گرداند و شما خوشحال و خندان خرید خود را انجام می‌دهید و از امن بودن آن اطمینان دارید؛ چون در آن از پروتکل HTTPS استفاده شده است. غافل از اینکه تمامی اطلاعات وارد شده شما در کامپیوتر هکر بازگشایی خواهند شد. زیرا Certificate آدرس جعلی نیز در دست هکر است. به همین سادگی، تمامی اطلاعات بانکی شما در دست هکر قرار می‌گیرد

حمله DHCP Spoofing چیست؟

ترفند DHCP Snooping برای جلوگیری از حملات DHCP Spoofing

قابلیتی به نام DHCP Snooping در برخی سوئیچ‌ها مانند سوئیچ‌های شرکت Cisco و Jupiter وجود دارد که باعث کاهش این دست حملات می‌شود.

عملکرد آن بدین صورت است که پورت‌های سوئیچ در دو حالت Trusted و Untrusted قرار می‌گیرند. پورت‌های Trusted می‌توانند درخواست‌های DHCP را دریافت کنند و به آن‌ها پاسخ دهند؛ ولی‌پورت ها ی Untrusted حق پاسخ به درخواست‌های DHCP را ندارند، پس اگر هکری DHCP Server جعلی خود را در یکی از پورت‌های Untrusted راه‌اندازی کند، به‌محض اینکه بسته پاسخ DHCP را به کلاینت درخواست‌کننده DHCP بفرستد، از شبکه بیرون رانده خواهد شد و آن پورت بسته می‌شود.

به طور پیش‌فرض تمامی پورت‌های سوئیچ‌ها در حالت Untrusted قرار دارند؛ لذا برای استفاده از ترفند DHCP Snooping، باید پورت‌های trustedT را در سوئیچ خودتنظیم کنید.

برای تنظیم DHCP Snooping به‌صورت Global باید از دستور زیر در محیط command سوئیچ استفاده کنید:

Switch(config)#ip dhcp snooping

اگر می‌خواهید تنها برخی از Vlanهای شبکه شما از این ویژگی استفاده کنند می‌توانید دستور زیر را وارد کنید:

Switch(config)#ip dhcp snooping vlan 1,60,150-175

فعال‌سازی DHCP Snooping به‌تنهایی برای جلوگیری از حمله DHCP Spoofing کافی نیست. شما باید پورت‌های Trusted را نیز به‌صورت زیر تنظیم کنید:

Switch(config)#interface gigabitethernet 0/3

Switch(config-if)#ip dhcp snooping trust