Giải pháp phát hiện và ngăn chặn tấn công DHCP spoofing

KyPham

New Member
12/01/2021
0
2 bài viết
Giải pháp phát hiện và ngăn chặn tấn công DHCP spoofing
Em chào mọi người.
Hiện tại em đang là sinh viên và đang được giao tìm hiểu đề tài về tấn công DHCP spoofing với các yêu cầu:
- Thiết kế phương án phát hiện tấn công.
- Thiết kế phương án chống tấn công:
+ triển khai DHCP snooping
+ cấu hình máy chủ DHCP để giới hạn việc xin cấp phát IP từ máy trạm.
- Giải pháp phát hiện Rouge DHCP trong mạng LAN.
Em cũng có tìm hiểu trên Google nhưng thật sự vẫn chưa biết cách triển khai phương án.
Vậy em lập topic này mong muốn nhận được ý kiến đóng góp, tài liệu liên quan từ tất cả mọi người.
Em xin cảm ơn mọi người vì đã quan tâm và đọc topic này!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
- Thiết kế phương án phát hiện tấn công.
- Thiết kế phương án chống tấn công:
+ triển khai DHCP snooping
+ cấu hình máy chủ DHCP để giới hạn việc xin cấp phát IP từ máy trạm.
- Giải pháp phát hiện Rouge DHCP trong mạng LAN.
Về kịch bản tấn công bạn có thể áp dụng phương án này:
B1. Máy tính của kẻ tấn công sẽ vét cạn toàn bộ Pool IP của máy DHCP Server bằng liên tục gửi các yêu cầu xin cấp phát IP (DHCP Discover) tới máy DHCP Server. Mỗi yêu cầu DHCP Discover này đều chứa địa chỉ MAC giả mạo nhằm đánh lừa DHCP Server rằng đó là lời yêu cầu từ các máy tính khác nhau. Vì Pool địa chỉ IP cấp phát trên DHCP Server là hữu hạn nên sau khi đã cấp phát hết IP, DHCP Server không thể phục vụ các yêu cầu xin IP từ máy Client.
B2. Kẻ tấn công cài đặt phần mềm DHCP Server trên máy của mình và cấp phát thông số IP giả mạo, điều hướng truy cập nạn nhân đến các máy chủ do hắn kiểm soát nhằm đánh lừa và đánh cắp thông tin.
Cách phòng chống:
Ta hiểu rằng, cách thức của kẻ tấn công là gửi liên tục các yêu cầu xin cấp phát địa chỉ IP giả mạo đến máy chủ DHCP cho đến khi pool IP máy chủ DHCP cạn kiệt. Vì thế giải pháp ngăn chặn sẽ là:
- Xây dựng một bảng chứa thông tin liên quan giữa: địa chỉ MAC máy client--địa chỉ IP-- VLAN-- số hiệu cổng. Bảng này dùng để giám sát việc xin cấp phát địa chỉ IP của các máy client, tránh việc 1 máy client xin cấp phát nhiều địa chỉ IP.
- Quy định số lượng gói tin DHCP đến 1 cổng/đơn vị thời gian.
Một số hãng công nghệ đã đưa ra giải pháp để phòng chống kiểu tấn công này. Ví dụ như hãng Cisco đã đưa công nghệ DHCP snooping (giám sát DHCP) vào thiết bị switch - trong cơ chế kĩ thuật của DHCP-snooping Cisco có phần cấu hình limitation giới hạn số lần gửi gói tin Discovery. Ý tưởng chính của công nghệ này là:
- Cấu hình các cổng trên switch thành 2 kiểu: cổng trust và cổng untrust.
- Cổng trust là cổng có thể cho phép gửi đi tất cả các loại các bản tin DHCP. Trên hình vẽ, cổng nối với máy chủ DHCP được cấu hình là trust.
- Cổng untrust là cổng chỉ có thể gửi đi bản tin xin cấp phát địa chỉ IP. Cổng untrust thường là cổng nối với các thiết bị đầu cuối người dùng. Do vậy máy tính của kẻ tấn công mặc dù là một máy chủ DHCP, nhưng không thể gửi các bản tin DHCP cấp phát địa chỉ IP giả mạo. Như vậy bước 2 của kẻ tấn công đã bị ngăn chặn.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: KyPham
Comment
Về kịch bản tấn công bạn có thể áp dụng phương án này:
B1. Máy tính của kẻ tấn công sẽ vét cạn toàn bộ Pool IP của máy DHCP Server bằng liên tục gửi các yêu cầu xin cấp phát IP (DHCP Discover) tới máy DHCP Server. Mỗi yêu cầu DHCP Discover này đều chứa địa chỉ MAC giả mạo nhằm đánh lừa DHCP Server rằng đó là lời yêu cầu từ các máy tính khác nhau. Vì Pool địa chỉ IP cấp phát trên DHCP Server là hữu hạn nên sau khi đã cấp phát hết IP, DHCP Server không thể phục vụ các yêu cầu xin IP từ máy Client.
B2. Kẻ tấn công cài đặt phần mềm DHCP Server trên máy của mình và cấp phát thông số IP giả mạo, điều hướng truy cập nạn nhân đến các máy chủ do hắn kiểm soát nhằm đánh lừa và đánh cắp thông tin.
Cách phòng chống:
Ta hiểu rằng, cách thức của kẻ tấn công là gửi liên tục các yêu cầu xin cấp phát địa chỉ IP giả mạo đến máy chủ DHCP cho đến khi pool IP máy chủ DHCP cạn kiệt. Vì thế giải pháp ngăn chặn sẽ là:
- Xây dựng một bảng chứa thông tin liên quan giữa: địa chỉ MAC máy client--địa chỉ IP-- VLAN-- số hiệu cổng. Bảng này dùng để giám sát việc xin cấp phát địa chỉ IP của các máy client, tránh việc 1 máy client xin cấp phát nhiều địa chỉ IP.
- Quy định số lượng gói tin DHCP đến 1 cổng/đơn vị thời gian.
Một số hãng công nghệ đã đưa ra giải pháp để phòng chống kiểu tấn công này. Ví dụ như hãng Cisco đã đưa công nghệ DHCP snooping (giám sát DHCP) vào thiết bị switch - trong cơ chế kĩ thuật của DHCP-snooping Cisco có phần cấu hình limitation giới hạn số lần gửi gói tin Discovery. Ý tưởng chính của công nghệ này là:
- Cấu hình các cổng trên switch thành 2 kiểu: cổng trust và cổng untrust.
- Cổng trust là cổng có thể cho phép gửi đi tất cả các loại các bản tin DHCP. Trên hình vẽ, cổng nối với máy chủ DHCP được cấu hình là trust.
- Cổng untrust là cổng chỉ có thể gửi đi bản tin xin cấp phát địa chỉ IP. Cổng untrust thường là cổng nối với các thiết bị đầu cuối người dùng. Do vậy máy tính của kẻ tấn công mặc dù là một máy chủ DHCP, nhưng không thể gửi các bản tin DHCP cấp phát địa chỉ IP giả mạo. Như vậy bước 2 của kẻ tấn công đã bị ngăn chặn.
Em cảm ơn anh ạ, nhưng anh có thể cho em hỏi thêm : "Xây dựng một bảng chứa thông tin liên quan giữa: địa chỉ MAC máy client--địa chỉ IP-- VLAN-- số hiệu cổng. Bảng này dùng để giám sát việc xin cấp phát địa chỉ IP của các máy client, tránh việc 1 máy client xin cấp phát nhiều địa chỉ IP" em không hiểu lắm việc xây dựng bảng và trong trường hợp này thì có thể sử dụng được Snort không ạ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
em không hiểu lắm việc xây dựng bảng và trong trường hợp này thì có thể sử dụng được Snort không ạ?
Xây dựng bảng chỉ để hỗ trợ việc giám sát việc xin cấp phát địa chỉ IP cho các máy Client thôi, giải pháp Snort hoàn toàn ok nếu bạn cấu hình luật đầy đủ.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: KyPham
Comment
Bên trên