Атаки DHCP Starvation Rogue DHCP или DHCP Spoofing

Атаки DHCP Starvation Rogue DHCP или DHCP Spoofing

Мы уже рассказывали про истощение и подмену DHCP-сервера. В сегодняшней статье продолжим тему DHCP и рассмотрим две техники атак на DHCP:

  • DHCP Starvation
  • Rogue DHCP или DHCP Spoofing

Еще по теме: Атака на протоколы HSRP и VRRP

Атаки DHCP Starvation Rogue DHCP или DHCP Spoofing

В качестве стенда будет использоваться:

  • мар­шру­тиза­тор Cisco 2821;
  • ком­мутатор Cisco Catalyst 2960;
  • кли­ент­ский ПК с Kali Linux.

Стенд для атаки DHCP

На мар­шру­тиза­торе запус­тил DHCP с выдачей адре­сов из пула 192.168.1.2–254. Ком­мутатор с пус­той кон­фигура­цией, как «из короб­ки».

Атака DHCP Starvation

Пе­ред про­веде­нием ата­ки DHCP Starvation хочет­ся сде­лать неболь­шое ревью. Мы зна­ем, что DHCP-сер­вер ведет таб­лицу соот­ветс­твий выдан­ных кли­ентам IP-адре­сов и их MAC-адре­сов и что уже выдан­ный IP-адрес не может быть пред­ложен дру­гому кли­енту пов­торно.

Суть ата­ки DHCP Starvation — «исто­щить» сер­вер DHCP, отправ­ляя лож­ные пакеты типа DHCPDISCOVER с ран­домны­ми MAC-адре­сами источни­ка. На эти пакет сер­вер будет реаги­ровать и резер­вировать сво­бод­ные IP-адре­са из пула, в резуль­тате чего некото­рое вре­мя (пока ата­ка в активной фазе) не смо­жет выдавать IP-адре­са обыч­ным поль­зовате­лям.

В качес­тве инс­тру­мен­та ата­ки будем юзать Yersinia (тул­за наз­вана в честь бак­терии). Кро­ме DHCP, она уме­ет ата­ковать и нес­коль­ко дру­гих про­токо­лов каналь­ного уров­ня.

Вы­берем про­токол DHCP, ука­жем опцию sending DISCOVER packet и запус­тим отправ­ку лож­ных пакетов DHCPDISCOVER.

DHCP Starvation

Атака DHCP Starvation

По­ка идет флуд пакета­ми, пос­мотрим на пул адре­сов DHCP.

DHCP Starvation атака

Аб­солют­но все адре­са из диапа­зона 192.168.1.2–254 были зарезер­вирова­ны DHCP-сер­вером, и, пока флу­динг про­дол­жает­ся, сер­вер не смо­жет выдать адре­са из сво­его пула новым кли­ентам. Сер­вер исто­щен.

Кста­ти, такой флуд впол­не может выз­вать отказ в обслу­жива­нии сер­вера DHCP. Пос­мотрим наг­рузку на мар­шру­тиза­торе:

DHCP Starvation attack

Про­цес­сор заг­ружен наполо­вину. И это толь­ко от пакетов DHCPDISCOVER (ну лад­но, еще STP с CDP каж­дые пару секунд).

Атака Rogue DHCP или DHCP Spoofing

Вто­рой век­тор атак на DHCP тре­бует раз­вернуть мошен­ничес­кий DHCP-сер­вер. Нуж­но это, что­бы выдавать кли­ентам под­дель­ные сетевые парамет­ры (в час­тнос­ти — адрес шлю­за по умол­чанию) и про­вес­ти MitM. С точ­ки зре­ния ата­кующе­го, для это­го луч­ше все­го пер­вым делом «положить» легитим­ный DHCP-сер­вер, что мы, собс­твен­но, и сде­лали выше.

В Yersinia есть фун­кция раз­верты­вания такого DHCP-сер­вера — creating DHCP rogue server. В качес­тве парамет­ров ука­жем адрес под­дель­ного сер­вера, от име­ни которо­го будут выдавать­ся сетевые парамет­ры, диапа­зон адре­сов, вре­мя их арен­ды (чем доль­ше, тем луч­ше), мас­ку под­сети и самое глав­ное — адрес шлю­за по умол­чанию — ПК, который будет сни­фать тра­фик поль­зовате­лей.

Rogue DHCP

Ос­талось лишь перевес­ти сетевой интерфейс прос­лушива­юще­го ПК в режим фор­вардин­га, а даль­ше — дело тех­ники: кли­ент­ские устрой­ства, нас­тро­енные на авто­мати­чес­кое получе­ние IP-адре­сов, будут отправ­лять широко­веща­тель­ные сооб­щения DHCPDISCOVER и в ответ получат сетевые парамет­ры от под­дель­ного DHCP-сер­вера.

Атака Rogue DHCP

А вот так выг­лядит дамп ICMP-тра­фика на ата­кующей машине и схе­ма MitM-ата­ки в нашей лабора­тор­ной сети.

Атака DHCP Spoofing

Защита от атак на DHCP

Чтобы не повторяться, вот ссылка на отдельную статью «Защита DHCP от атак»

Заключение

Мо­жет показать­ся, что ата­ки DHCP сегод­ня не так акту­аль­ны. По моему мне­нию, любая ата­ка будет акту­аль­на при отсутс­твии дол­жно­го вни­мания к защите сети, а тем более если сетевое обо­рудо­вание работа­ет с нас­трой­ками по умол­чанию.

РЕКОМЕНДУЕМ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз.

Добавить комментарий