ditsoft

เข้าสู่ระบบจัดการข้อมุล



DHCP Spoofing เพื่อโจมตีไคลเอนต์แบบ DoS

 เป็นการโจมตีเพื่อทำให้ไคลเอนต์ไม่สามารถใช้งานอินเตอร์เน็ตได้ สามารถทำได้หลากหลายวิธิ อีกวิธีหนึ่งที่ใช้บ่อยคือใช้ Rogue DHCP Server 

 
· แจกจ่ายค่า Gateway ที่ไม่มีอยู่จริง เมื่อไคลเอนต์ที่ตกเป็นเหยื่อได้รับ IP Address จาก Rouge DHCP Server และได้รับค่า Gateway ซึ่งไม่มีอยู่จริงก็จะไม่สามารถสื่อสารกับโอสต์ที่อยู่บนเน็ตเวิร์กอื่นได้ (รวมทั้งอินเตอร์เน็ต) เนื่องจากไม่สามารถส่งแพ็คเก็ตไปยัง Gateway ตัวจริงได้ ทำให้แฟ็ตเก็ตไม่สามารถเดินทางไปถึงปลายทางได้
 
· แจกจ่ายค่า DNS ที่ไม่มีอยู่จริง เมื่อไคลเอนต์ที่ตกเป็นเหยื่อ ได้รับ IP Address จาก Rogue DHCP Server และได้รับค่า DNS ซึ่งไม่มีอยู่จริงจะไม่สามารถสื่อสารกับโฮสต์บนอินเตอร์เน็ต โดยการอ้างอิงถึงโดเมนเนมได้ (เช่น อ้างอิง http://www.csc.ku.ac.th) เนื่องจากกระบวนการแปลงจากโดเมนเนมให้เป็น IP Address จะไม่สามารถทำได้สำเร็จ แต่อย่างไรก็ตามหากอ้างผ่าน IP Address ยังสามารถใช้งานได้อยู่ ( เช่น อ้างถึง http://158.108.104.12) เพราะไม่ต้องอาศัยกระบวนการ resolve hostname ในกรณีที่แฮกเกอร์แจกค่า WINS ที่ไม่มีอยู่จริง ก็จะทำให้เหยื่อไม่สามารถสื่อสารกับโฮสต์อื่นๆบนเน็ตเวิร์กเดียวกันได้ (ผ่านทางการอ้างชื่อ) เพราะการติดต่อกับคอมพิวเตอร์ที่อยู่บน LAN และอยู่บนเน็ตเวิร์กเดียวกัน เช่น การอ้างถึงไฟล์ที่แชร์บนคอมพิวเตอร์อื่นผ่านทางชื่อเครื่อง เช่น \\target_computer จะใช้ WINS ในการแปลงจากชื่อคอมพิวเตอร์ให้เป็นไอพีแอดเดรส แต่อย่างไรก็ตามการอ้างอิงถึงไอพีแอดเดรสโดยตรงก็ยังสามารถทำได้
 
· แจกจ่ายค่า IP Address ที่ไม่มีอยู่จริง เมื่อไคลเอนต์ที่ตกเป็นเหยื่อได้รับ IP Address จาก Rogue DHCP Server แค่เป็นค่าไอพีแอดเดรสที่ไม่สามารถใช้งานได้ เช่น ไฟล์วอลล์ เปิดให้ไคลเอนต์ที่มีไอพีแอดเดรสในช่วง 192.168.100-200 เท่านั้น ที่สามารถรับส่งข้อมูลกับอินเตอร์เน็ตได้หากแฮกเกอร์กำหนดให้ Rogue DHCP Server แจกไอพีนอกช่วง เช่น 192.168.201-254 ไปให้เหยื่อติดต่อกับอินเทอร์เน็ตไม่ได้ หรือหากแฮกเกอร์แจกไอพีนอกช่วง เช่น 192.168.2.1-254. mask = 255.255.0.0 และแจกจ่าย Gateway และ DNS ที่ถูกต้อง หากค่า mask เดิมที่ใช้งานได้ปกติเป็น 255.255.255.0 ไคลเอนต์ก็จะไม่สามารถติดต่อกับเน็ตเวิร์กอื่นได้เช่นกัน เพราะถึงแม้แพ็กเก็ตขาออกจะวิ่งผ่าน Gateway ที่ถูกต้องและได้รับการ route ไปถึงปลายทางจริง แต่แพ็กเก็ตขาเข้าเมื่อวิ่งกลับมาถึง Gateway ตัว Gateway จะสามารถส่งกลับมายังต้นทาง (เครื่องของเหยื่อ) ได้
 
การป้องกัน Rogue DHCP โดยใช้ DHCP Snooping บน Cisco Switch
DHCP Snooping เป็นฟังก์ชั่นบน Cisco Switch ที่ออกแบบมาเพื่อป้องกันการทำงานของ Rogue DHCP Server และสามารถใช้ร่วมกับฟังก์ชั่น Dynamic ARP Inspection เพื่อป้องกัน ARP Spoof/Poision เช่น การทำงานของโปรแกรม Switch Sniffer ได้ สามารถป้องกัน ARP DoS Attack เช่นการทำงานของเน็ตคัต (Netcut) ได้ เกี่ยวกับ DHCP Snooping จำป็นต้องไปกำหนดที่ Switch ว่าจะให้ Port (ช่องเสียบ) ใดเป็น Trust และให้ Port ใดเป็น Untrust จากนั้น Switch จะสร้าง DHCP Snooping Table ซึ่งเป็นตารางที่ใช้ตรวจสอบการจับคู่ที่ถูกต้องของ IP Address กับ MAC Address ฟังก์ชั่น DHCP Snooping จะตรวจสอบ DHCP OFFER ว่ามาจาก port ที่เรากำหนดว่าเป็น Trust หรือไม่ ถ้ามาจาก port ที่กำหนดไว้ว่าให้เป็น Trust มันจะอนุญาตแพ็กเก็ตนั้น แต่หากมาจาก port ที่เป็น Untrust มันจะดรอปแพ็กเก็ตทิ้ง หรือเราจะปรับค่าคอนฟิกเพื่อให้ Switch สั่งชัตดาวน์หรือ Disable Port นั้นก็ได้ ซึ่งก็จะเกิดความยุ่งยากจะต้องไป  no shutdown port