| هجمات DHCP Starvation و DHCP Spoofing |
| الكاتب أيمن النعيمي |
| الجمعة, 23 يوليو 2010 00:02 |
|
سوف نتحدث اليوم عن جميع أنواع الهجمات التى تستهدف سيرفر DHCP والتى تهدف إلى تخريبه ومنع المستخدمين من الدخول إلى الشبكة بالأضافة إلى أنها تضمن للمخترق تنفيذ هجوم فعال على الشبكة من خلال الـ DHCP Spoofing والذي يحول جهاز المخترق إلى جسر تعبر من خلاله كل الترافيك الذي يحدث على الشبكة أو كما نسميه أحيانا هجوم Man In The Middle.
ماهو هجوم DHCP Starvation ؟يشكل هذا النوع من الهجوم خطرا كبيرا على الشبكة لانه يقوم ببساطة بحجز كل الأيبيات الموجودة في سيرفر الـ DHCP وفيها يقوم المهاجم بأرسال عدد غير محدود من الرسائل إلى سيرفر الـ DHCP يطلب فيها تزويده يأيبي للجهاز الخاص فيه وعندما يتم أستلام الأعدادت من السيرفر وحجز الأيبي له يقوم بأرسال طلب جديد إلى السيرفر لكن هذه المرة بماك أدريس مختلف وهكذا حتى يقوم المهاجم بحجز كل الأيبيات المتاحة على السيرفر وحتى لو كانت 10000 أيبي لان هذه العملية تتم بسرعة كبيرة والتى قد لاتستغرق بضع دقائق وبالتالي أي محاولة من أي جهاز آخر موجود على الشبكة للحصول على أيبي من السيرفر سوف تباء بالفشل ولتنفيذ مصل هذه الأنواع من الهجمات تستطيع أستخدام برنامج Yarsinia الذي تم التطرق له من قبل على الرابط التالي Yersinia لاختبار أمان البروتوكولات في الشبكة طريقة الحماية من هذا النوع من الهجومطريقة الحماية تم التطرق لها من قبل وهي تتم من خلال أستخدام حاصية البورت سكيورتي وذلك بتحديد عدد معين من الماك ادريس المسموح لها بالدخول من خلال هذا المنفاذ المتصلة مع اجهزة المستخدمين وهي تتم من خلال كتابة الاوامر التالية: Switch# conf tSwitch(config)# interface fastethernet 0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security وكما ذكرت سابقا في شرح حماية الشبكة من هجوم MAC Flooding أن تطبيق هذه الأعدادت سوف تسمح لماك أدريس واحد للدخول وردة الفعل التى سوف بقوم بها السويتش هي أغلاق البورت بشكل كامل في حال تخطي هذا العدد وتستطيع أن تقوم بتحديد العدد وردة الفعل كما تريد وطريقة الأعداد موضحة في الموضوع السابق ماهو هجوم الـ DHCP Spoofing ؟ وكيف يتميعد هذا الهجوم احد الهجمات الخطيرة على الشبكة والحماية منه أمر مهم جدا على الشبكة وفكرته بسيطة جدا وتنفيذها أسهل وهي ببساطة تقوم من خلال قيام المخترق بتشغيل سيرفر DHCP على جهازه يملك نفس المعلومات التى يقوم السيرفر الرئيسي بتزويدها للأجهزة لكن مع أختلاف بسيط جدا وهو الـ Gateway للشبكة فهو يقوم بتغييره بحيث يكون هو جهازه نفسه ومن خلال أحد البرامج مثل الـ ettercap يقوم بتحويل الترافيك المار عبر جهازه إلى الـ Gateway الحقيقي للشبكة وبهكذا كل مايتم أرساله من خلال الأجهزة الموجودة على الشبكة سوف يعبر من خلال جهاز المخترق ومن خلال أحد برامج تحليل البيانات مثل الـ Wireshark سوف يشاهد كل تفاصيل الترافيك وطبعا هذه تعد كارثة كبيرة للشبكة وخصوصا أي هجمة تندرج تحت هجمات الـ MITM ولو أراد المهاجم أن يكون الهجوم كاملا فهو سوف يقوم أولا بتنفيذ هجوم الـ DHCP Starvation على السيرفر الرئيسي ويقوم بحجز كل الأيبيات الموجودة عنده وعندها سوف يضمن بأن كل الأجهزة الموجودة على الشبكة وعلى سويتشات آخرى بأنه سوف تلجأ إليه للحصول على المعلومات اللأزمة للأتصال بالشبكة مما يزيد من كمية المعلومات الماره عبر جهاز المخترق وبالتالي دمار أكبر للشبكة وكما ذكرت من قبل تستطيع تنفيذ هذا النوع من الهجمات من خلال برنامج ettercap وهو بسيط جدا ولايحتاج إلى أي شرح كيفية الحماية من هذا النوع من الهجمات ؟الحل الذي قدمته سيسكو كان عبارة عن خاصية تدعى DHCP Snooping هذه الخاصية ببساطة تعرف السويتش ماهي البورتات الموثوقة وماهي البورتات الغير موثوقة وبكلام آخر تعرف السويتش ماهي المنافذ التى يسمح لها بتوزيع طلبات الـ DHCP فنحن نعلم أن عملية طلب المعلومات من الـ DHCP تمر بعدة خطوات تبدأ بقيام جهاز العميل بأرسال برودكاست إلى الشبكة يسأل فيه عن سيرفر الـDHCP وبعدها يرد عليه السيرفر بعنوان الأيبي الخاص فيه وعندها تأتي خطوة الطلب من العميل إلى السيرفر (طلب الأعدادات) وبعد وصول الطلب إلى السيرفر يقوم بأرسال المعلومات اللأزمة له من أيبي وماسك ودي ان اس وطبعا الـ Gateway وهذه صورة توضيحية لسير العملية
من خلال فهمك لهذه العملية سوف تستنج معي بأن هذه الخاصية تقوم بأخبار السويتش من هو المنفذ الموثوق والذي يسمح له بالرد على طلبات الـ DHCP التى تتم من خلال المستخدمين الموجودين على الشبكة ومن هنا أتت كلمة Snooping والتى تعني تفتيش أي تفتيش الطلبات ومن أين وصلت والخ.....(لهذه الخاصية إستخدامات جيدة جدا سوف نتعرف عليها تباعا في المواضيع القادمة إن شاء الله ) طريقة الأعداد (سيسكو)سوف أقوم بكتاية كل الأوامر اللأزمة وبعدها سوف أقوم بتفسير كل أمر على حدى وسوف أستعين أيضا بهذه الصورة التوضيحية
Switch(config)#ip dhcp snooping vlan 10 32 104 Switch(config)#interface range gigabitethernet 0/0/1 – 0/0/3 Switch(config-if)#ip ghcp snooping limit rate 3 Switch(config-if)#interface gigabitethernet 0/0/8 Switch(config-if)# ip dhcp snooping trust أول امر أعتقد بأنه واضح للجميع وهو من اجل تفعيل الـ DHCP Snooping على السويتش وقبل ان نكمل يجب أن نتفق على شيء مهم جدا وهو مجرد تفعيلك لهذه الخاصية على السويتش يقوم هو بشكل أوتماتيكي بوضع كل البورتات على شكل Untrusted أي غير موثوقة أما في الأمر الثاني فنحن نقوم بتحديد الفي لان التى نريد أن نقوم بتفتيشها وهذا شيء مهم أيضا وأساسي ومن خلا هذا الأمر نستطيع ان نكتب كل الفي لان التى نريدها وقد قمت في هذا المثال بأضافة 3 في لان 10,32,104 الأمر الثالث من أجل تحديد مجموعة من البورتات وقد أخترت 3 منافذ التى تشكل اجهزة العملاء لدي في الشبكة وبعدها أقوم بتحديد عدد الطلبات التى يسمح له بطلبها وهي تحسب بعدد الباكيت كل ثانية PPS ويمكنك زياد هذا الرقم كما تشاء لكن لاينصح بهذا كثيرا وآخيرا أدخل على المنفذ المرتبط مع سيرفر الـDHCP وأخبر السويتش بان هذا المنفذ موثوق به Trusted والسبب أوضحته من قبل Switch# show ip dhcp snooping binding
طريقة الأعداد (جونيبر)أحب أن اوضح بأن هذه الأوامر لم أقم بتجربتها بشكل شخصي وهي مأخوذة من موقع جونيبر وعلى نفس المثال السابق وهي كالآتي: [edit ethernet-switching-options secure-access-port]set interface ge-0/0/8 dhcp-trusted set vlan users-vlan examine-dhcp في الأمر الاول أخبرت السويتش بأن البورت 8/0/0 بأنه آمن كما فعلنا نفس الشيء مع سيسكو وبعدها أخبرته أن الفي لان التى أسمها users يجب تفتيشها وعلى فكرة هذه الفي لان تجمع الثلاث بورتات السابقة لذلك لايوجد أي سبب لكتابتها مرة ثانية (ياسلام ياجونيبر)
عن الكاتب:
التعليقات (5)
  أرسلت بواسطة: kamel في July 24, 2010
موضوع رائع جزاك الله كل خير
نتمني ان نري الكثير من هذه المواضيع
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
والله درس روعة وراح يفيدني كثير مشكور واصل إبداعك