هجوم الـ DHCP Spoofing وكيفية الحماية منه.

السلام عليكم ورحمة الله.

إستكمالا للموضوع الذي بدأته في مقالة سابقة حول مختلف الهجمات التي تصيب الشبكات حسب طبقات الـ OSI Model . اليوم نستكمل اليوم حديثنا في نفس السياق حول هجوم  الـDHCP Spoofing والذي يمكن المهاجم من التنصت على كل الترافيك الذي يعبر من خلال الشبكة وبكلام آخر هجوم الـ  Man In The Middle

ماهو هجوم الـ DHCP Spoofing ؟ وكيف يتم ؟

يعد هذا الهجوم احد الهجمات الخطيرة على الشبكة والحماية منه أمر مهم جدا على الشبكة وفكرته بسيطة جدا وتنفيذها أسهل وهي ببساطة تقوم من خلال قيام المخترق بتشغيل سيرفر DHCP على جهازه يملك نفس المعلومات التى يقوم السيرفر الرئيسي بتزويدها للأجهزة لكن مع أختلاف بسيط جدا وهو الـ Gateway للشبكة فهو يقوم بتغييره بحيث يكون هو جهازه نفسه ومن خلال أحد البرامج مثل الـ ettercap يقوم بتحويل الترافيك المار عبر جهازه إلى الـ Gateway الحقيقي للشبكة وبهكذا كل مايتم أرساله من خلال الأجهزة الموجودة على الشبكة سوف يعبر من خلال جهاز المخترق ومن خلال أحد برامج تحليل البيانات مثل الـ Wire Shark سوف يشاهد كل تفاصيل الترافيك وطبعا هذه تعد كارثة كبيرة للشبكة وخصوصا أي هجمة تندرج تحت هجمات الـ MITM ولو أراد المهاجم أن يكون الهجوم كاملا فهو سوف يقوم أولا بتنفيذ هجوم الـ DHCP Starvation على السيرفر الرئيسي ويقوم بحجز كل الأيبيات الموجودة عنده وعندها سوف يضمن بأن كل الأجهزة الموجودة على الشبكة وعلى سويتشات آخرى بأنه سوف تلجأ إليه للحصول على المعلومات اللأزمة للأتصال بالشبكة مما يزيد من كمية المعلومات المارة عبر جهاز المخترق وبالتالي دمار أكبر للشبكة.

كيفية الحماية من هذا النوع من الهجمات ؟

الحل الذي قدمته سيسكو كان عبارة عن خاصية تدعى DHCP Snooping هذه الخاصية ببساطة تعرف السويتش ماهي البورتات الموثوقة وماهي البورتات الغير موثوقة وبكلام آخر تعرف السويتش ماهي المنافذ التى يسمح لها بتوزيع طلبات الـ DHCP فنحن نعلم أن عملية طلب المعلومات من الـ DHCP تمر بعدة خطوات تبدأ بقيام جهاز العميل بأرسال برودكاست إلى الشبكة يسأل فيه عن سيرفر الـDHCP وبعدها يرد عليه السيرفر بعنوان الأيبي الخاص فيه وعندها تأتي خطوة الطلب من العميل إلى السيرفر (طلب الأعدادات) وبعد وصول الطلب إلى السيرفر يقوم بأرسال المعلومات اللأزمة له من أيبي وماسك ودي ان اس وطبعا الـ Gateway .وهذه صورة توضيحية لسير العملية

من خلال فهمك لهذه العملية سوف تستنج معي بأن هذه الخاصية تقوم بأخبار السويتش من هو المنفذ الموثوق والذي يسمح له بالرد على طلبات الـ DHCP التى تتم من خلال المستخدمين الموجودين على الشبكة ومن هنا أتت كلمة Snooping والتى تعني تفتيش أي تفتيش الطلبات ومن أين وصلت والخ…..(لهذه الخاصية إستخدامات جيدة جدا سوف نتعرف عليها تباعا في المواضيع القادمة إن شاء الله)

  الأعدادات :

سوف أقوم بكتاية كل الأوامر اللأزمة وبعدها سوف أقوم بتفسير كل أمر على حدى وسوف أستعين أيضا بهذه الصورة التوضيحية

Switch(config)#ip dhcp snooping

Switch(config)#ip dhcp snooping vlan 10,32,104

Switch(config)#interface range gigabitethernet 0/0/1 – 0/0/3

Switch(config-if)#ip dhcp snooping limit rate 3

Switch(config-if)#interface gigabitethernet 0/0/8

Switch(config-if)# ip dhcp snooping trust

الآن شرح الأوامر :

الأمر الأول : هو لتغعيل الخاصية.
الأمر الثاني : نحدد الـ VLAN التي تريد فحصها, لان هذه الخاصية تضغ كا البورتات في وضع Untrusted .
الأمر الثالت : لتحديد بورتات أحهزة العملاء أو المتستخدمين لديك.
الأمر الرابع : لتحديد عدد الطلبات في الثانية الواحدة .
الأمر الخامس : تحديد المنفد المرتبط بسرفر الـ DHCP.
وأخيرا نضغ المنغد على أنه موثوق.

أتمنى أن تكونوا قد استفدتم من المقالة و الى مقالة مقبلة ان شاء الله . أستودعكم الله و الى اللقاء.

Posted in: الحماية, الشبكات و النظم