DHCP snooping چیست و چگونه آن را فعال کنیم؟

DHCP Snooping یک روش امنیتی برای مقابله با حملات مربوط به DHCP است.
متداول‌ترین حملات مربوط به DHCP عبارتند از DHCP starvation و DHCP spoofing.

DHCP starvation

در این حمله مهاجم با ارسال (broadcast) تعداد زیادی بسته‌های درخواست آدرس IP یا DHCP REQUEST با آدرس‌های MAC جعلی سعی می‌کند که Pool آدرس‌های سرور DHCP را در زمان کوتاهی خالی کند به گونه‌ای که این سرور قادر به اختصاص آدرس IP به کلاینت‌ها نباشد. این حمله مقدمه‌ی حمله‌ی DHCP spoofing است.

DHCP spoofing

در این حمله، که بعد از حمله DHCP starvation انجام می‌شود، مهاجم یک سرور DHCP جعلی با پیکربندی متفاوت از سرور اصلی راه‌اندازی می‌کند. این پیکربندی متفاوت شامل گیت‌وی و DNS متفاوت است. به عنوان مثال گیت‌وی جدید می‌تواند سیستم خود مهاجم باشد. در این حالت ترافیک‌ کاربران سمت سیستم مهاجم ارسال می‌شود و او می‌تواند حمله man-in-the-middle را انجام دهد. در این حمله مهاجم می‌تواند یک سرور DNS جعلی راه‌اندازی کند و کاربران را سمت یک وب سایت جعلی هدایت کرده و حمله فیشینگ را نیز انجام دهد.

DHCP Snooping

برای مقابله با حملات مذکور DHCP Snooping باید پیاده‌سازی شود. در این روش ابتدا پورت مربوط به سرور DHCP شناسایی و در حالت Trusted قرار می‌گیرد و بقیه پورت‌ها در حالت Untrusted قرار می‌گیرند. سوئیچ در صورتی که بسته‌های مربوط به سرور DHCP را از پورت Untrust دریافت کند آن را drop می‌کند.

DHCP Snooping

در این روش سوئیچ با چک کردن بسته‌های سرور DHCP جدولی به نام Binding Table می‌سازد که حاوی Mac Address، آدرس IP، شماره ویلن و شماره پورت است. در صورتی که سوئیچ بسته‌هایی از آی‌پی و MAC اشتباه دریافت کند، آن‌ها را drop می‌کند.

به اشتراک بگذارید.