Come prevenire l'attacco di Starvation DHCP?

3

Durante tutto questo tempo, ho presupposto che la sicurezza del centralino fosse sufficiente per impedire l'attacco DHCP del DOS. Se lo imposto al massimo 1, non ci possono essere più pacchetti di indirizzi mac.

Ma un amico mi ha detto che usando lo strumento, DHCPStarv, possiamo ignorarlo?

Voglio sapere come funziona?

Ho immaginato un modo per prevenirlo con DHCP Snooping, ma come aggira la sicurezza del centralino? Non vedo alcuna risposta logica. Per favore aiutami a capire questo. Grazie.

    
posta Rajesh K 04.03.2014 - 11:48
fonte

1 risposta

4

Se si consente solo UN MAC attraverso una porta, non riesco a vedere come funzionerà DHCPstarv (a meno che non si tratti di una sorta di attacco DHCPStarv distribuito).

DHCPStarv funziona inviando molte petizioni DHCP in modo che il server non abbia nuovi IP da fornire ai nuovi client. Ma se puoi chiedere una sola volta non è probabile che l'attacco abbia successo.

Dopo il commento @RajesK ( ha trovato il link che risponde al suo propria domanda ) Aggiungo quanto segue:

Although one might think that countermeasures such as as Port Security would be more than enough to prevent such attacks, that is not true with tools like Yersinia or dhcpstarv. This is because Port Security only considers the MAC source of the frame to create filters and then set accordingly what MAC addresses are allowed on a specific port (useful against MAC flooding attacks). The problem here is that these tools do not change this MAC (as eg macof does), but randomize the field Client Hardware Address (CHADDR) inside the DHCP payload. This field, along with the client identifier, is of great importance as it will be used (see RFC 2131) by the server to distinguish between the various requests of different customers. Without that, it would be difficult to distinguish between the various users when using a DHCP Relay Agent.

Ciò significa che il problema è che il protocollo DHCP stesso non si basa sul MAC del client che richiede il nuovo IP ma per il campo CHADDR all'interno del protocollo DHCP, quindi, proprio dallo stesso MAC, si può chiedere per migliaia di petizioni semplicemente cambiando il campo CHADDR.

La soluzione è nello stesso link:

Fortunately, DHCP Snooping is clever enough to read the payload of the DHCP protocol and verify that the source MAC address and CHADDR are the same (optional command ip dhcp snooping verify mac-address). It is also possible to set a “maximum threshold“, or number of packets per second that the switch can receive in a given port so, if the number of DHCP packets reaches this threshold, the port enters the shutdown mode (blocking) and it would generate a warning about the DoS.

Ora stai confrontando l'indirizzo MAC reale con quello all'interno del protocollo DHCP in modo che quando ne trovi uno diverso, scarti semplicemente il pacchetto.

Dicendo questo dovresti continuare a tenere a mente i commenti di @polynomial.

    
risposta data 04.03.2014 - 12:56
fonte

Leggi altre domande sui tag