Phòng chống tấn công thiết bị mạng - DHCP Spoofing

[nktung]

[FONT=verdana, sans-serif][FONT=verdana, sans-serif]DHCP spoofing là kỹ thuật giả mạo DHCP Server trong mạng LAN. Kẻ tấn công có thể cài đặt một phần mềm DHCP Server trên máy tính của mình và cấp phát địa chỉ IP cho máy nạn nhân với các thông số giả mạo như default gateway, DNS. Từ đó, máy tính của nạn nhân sẽ bị chuyển hướng truy cập theo ý đồ của kẻ tấn công. [/FONT]
[FONT=verdana, sans-serif]Trong hình dưới, máy nạn nhân sau khi nhận thông tin về địa chỉ IP từ DHCP Server giả mạo, khi truy cập một website, ví dụ của ngân hàng, facebook, v.v có thể sẽ bị chuyển hướng truy cập tới máy chủ do kẻ tấn công kiểm soát. Trên máy chủ này kẻ tấn công có thể tạo những website giả mạo có giao diện giống y hệt website thật, nhằm đánh lừa nạn nhân nhập tài khoản, mật khẩu, từ đó đánh cắp những thông tin này.[/FONT]

​

[/FONT][FONT=verdana, sans-serif]

Kịch bản của việc tấn công thường diễn ra như sau:
B1. Máy tính của kẻ tấn công sẽ vét cạn toàn bộ Pool IP của máy DHCP Server bằng liên tục gửi các yêu cầu xin cấp phát IP (DHCP Discover) tới máy DHCP Server. Mỗi yêu cầu DHCP Discover này đều chứa địa chỉ MAC giả mạo nhằm đánh lừa DHCP Server rằng đó là lời yêu cầu từ các máy tính khác nhau. Vì Pool địa chỉ IP cấp phát trên DHCP Server là hữu hạn nên sau khi đã cấp phát hết IP, DHCP Server không thể phục vụ các yêu cầu xin IP từ máy Client.
B2. Kẻ tấn công cài đặt phần mềm DHCP Server trên máy của mình và cấp phát thông số IP giả mạo, điều hướng truy cập nạn nhân đến các máy chủ do hắn kiểm soát nhằm đánh lừa và đánh cắp thông tin.


Nếu bạn là người quản trị mạng, chúng ta sẽ phòng chống việc tấn công này này như thế nào?
[/FONT]

 

Re: Phòng chống tấn công thiết bị mạng - DHCP Spoofing

Mình sẽ phải kiểm tra xem trên mạng có máy chủ DHCP nào mới được đưa vào.

 

Re: Phòng chống tấn công thiết bị mạng - DHCP Spoofing

theo mình thì quét port của DHCP trên toàn mạng rồi đưa ra cảnh báo

 

Re: Phòng chống tấn công thiết bị mạng - DHCP Spoofing

Hình vẽ. Minh họa kiểu tấn công DHCP Spoofing

​

Một số hãng công nghệ đã đưa ra giải pháp để phòng chống kiểu tấn công này. Ví dụ như hãng Cisco đã đưa công nghệ DHCP snooping (giám sát DHCP) vào thiết bị switch. Ý tưởng chính của công nghệ này là:
- Cấu hình các cổng trên switch thành 2 kiểu: cổng trust và cổng untrust.
- Cổng trust là cổng có thể cho phép gửi đi tất cả các loại các bản tin DHCP. Trên hình vẽ, cổng nối với máy chủ DHCP được cấu hình là trust.
- Cổng untrust là cổng chỉ có thể gửi đi bản tin xin cấp phát địa chỉ IP. Cổng untrust thường là cổng nối với các thiết bị đầu cuối người dùng. Do vậy máy tính của kẻ tấn công mặc dù là một máy chủ DHCP, nhưng không thể gửi các bản tin DHCP cấp phát địa chỉ IP giả mạo. Như vậy bước 2 của kẻ tấn công đã bị ngăn chặn.


Vấn đề còn lại là làm thế nào để ngăn chặn bước 1 của kẻ tấn công (vét cạn toàn bộ pool IP) của máy chủ DHCP?

 

Re: Phòng chống tấn công thiết bị mạng - DHCP Spoofing

Trong cơ chế kĩ thuật của DHCP-snooping Cisco có phần cấu hình limitation giới hạn số lần gửi gói tin Discovery.

 

Re: Phòng chống tấn công thiết bị mạng - DHCP Spoofing

Ta hiểu rằng, cách thức của kẻ tấn công là gửi liên tục các yêu cầu xin cấp phát địa chỉ IP giả mạo đến máy chủ DHCP cho đến khi pool IP máy chủ DHCP cạn kiệt. Vì thế giải pháp ngăn chặn sẽ là:
- Xây dựng một bảng chứa thông tin liên quan giữa: địa chỉ MAC máy client--địa chỉ IP-- VLAN-- số hiệu cổng. Bảng này dùng để giám sát việc xin cấp phát địa chỉ IP của các máy client, tránh việc 1 máy client xin cấp phát nhiều địa chỉ IP.
- Quy định số lượng gói tin DHCP đến 1 cổng/đơn vị thời gian.