1 Eylül 2011

Dhcp starvation ve dhcp rogue server saldırıları

Posted by: Fırat Celal Erdik 1 Eylül 2011
Dhcp sunucularına yapılan dhcp starvation saldırısı ve sahte bir dhcp server ile tüm network trafiğinin kontrolünün ele geçirildiği dhcp rogue server saldırıları hakkında bilgi verip nasıl önlem alınması gerektiğine değineceğim.

Dhcp starvation attack; Bir çeşit denial of service saldırısıdır.Gerçek Dhcp server ile aynı ağda bulunan saldırganın,dhcp serverin tüm kullanılabilir addreslerini

kiralayabilmek için,sahte MAC adresleri ile ortama broadcast olarak dhcp discover mesajlarını göndermesi ile gerçekleştirilir.Normalde tek kullanıcı olan saldırgan bir çok kullanıcı için IP talebinde bulunup Dhcp scope'daki tüm IP'leri kiralar.Bu tür saldırılarda yersinia ve gobbler araçları sık kullanılır.Switchler üzerinde port security aktif edilerek(bir porta yalnızca bir MAC adresi ile gelinmesi sağlanarak) bu tür saldırılardan korunabilir.

Wireless ağlarda dhcp starvation saldırılarından korunmak için ise dhcp proxy özelliği olan AP'ler üzerinden bu özellik enable edilebilir.Veya mac filtering özelliği ile yalnızca belirlenenen mac adreslerine sahip cihazların IP alması sağlanmalıdır.

Dhcp rogue server attack; IP dağıtımı yapan Dhcp server gibi davranıp gerçek dhcp serverdan önce kullanıcılara yanıt dönen bir sistem kurulması ile gerçekleştirilen saldırı türüdür.Saldırgan kullanıcılardan gelen broadcast dhcp discover mesajlarına, unicast olarak kendisi dhcp offer mesajları gönderir ve kullanıcı kandırılır.Artık kullanıcı sahte bir dhcp serverın dağıttığı IP'leri kullanıyor olacaktır.Bilindiği üzere bu teklif edilen paket içerisinde sistemin kullanacağı IP adresinin yanı sıra default gateway ve DNS IP adresleri de bulunmaktadır.Dhcp rogue server saldırıları,bu yönüyle aslında bir MITM(man in the middle) saldırısıdır.Kullanıcının tüm trafiği gateway vasıtası ile saldırganların kontrol ettiği bir sunucu üzerinden akar.Bundan sonrası saldırganın hayal gücüne kalmış.Bu tür saldırılara karşı önlem olarak switch üzerinde dhcp snooping aktif edilmelidir.Dhcp snooping aktif edildiğinde, yalnızca dhcp serverin gönderebileceği dhcp offer ve dhcp ack mesajları kontrol altına alınır.Eğer switch'in untrust bölgesinde(kullanıcıların bölgesi) yani saldırgan bilgisayarlardan dhcp offer ve dhcp ack mesajları gönderiliyorsa bunlar switch tarafından bloklanacaktır.
Makalelerin kötüye kullanım kullanıcının sorumluluğundadır. | networkpentest.net. Blogger tarafından desteklenmektedir.