(T) Teoria protokołu DHCP**

Wiadomości DHCP

Wiadomości DHCP

  • Discover (255.255.255.255 Broadcast source MAC address) – Wiadomość wysyłana przez klienta protokołu DHCP w celu zlokalizowania serwera DHCP.
  • Offer (255.255.255.255 Unicast MAC source address) – Wiadomość wysyłana przez serwer DHCP w odpowiedzi na zapytanie klienta (Discover). Zawiera propozycję adresu IP.
  • Request (Przy pierwszym pobraniu adresu IP, 255.255.255.255; w przypadku odnowy dzierżawy unicast) – Wiadomość wysyłana przez klienta protokołu DHCP w celu potwierdzenia przyjęcia propozycji adresaci (Offer).
  • Acknowledgment (Przeważnie 255.255.255.255) – Wiadomość wysyłana przez serwer DHCP, w celu potwierdzenia rejestracji adresu. Ponadto zawiera dodatkowe informacje takie jak n. adres IP serwera DNS czy nazwę domenową.

Wiadomości DHCP – Adresacja IP

  • Adres 0.0.0.0 Jest wykorzystywany przez klienta protokołu DHCP w wiadomości „Discover”, ponieważ nie posiada on innego adresu IPv4. Adres źródłowy MAC jest adresem klienta, natomiast docelowy stanowi adres rozgłoszeni-wy.
  • Adres 255.255.255.255 (Unicast MAC address) jest wykorzystywany zarówno przez hosta (ponieważ nie zna on adresu IP serwera), jak i sam serwer dzięki czemu odpowiedź protokołu DHCP jest w stanie dotrzeć z powrotem do klienta, który nie posiada jeszcze swojego własnego adresu IP. Ponadto wiadomość „Request” jest rozgłaszana poprzez adres rozgłoszeniowy, aby inne urządzenia sieciowe, mogły uniknąć zdublowanej adresacji IP.
Wymiana wiadomości protokołu DHCP pomiędzy klientem a serwerem DHCP

Zagadnienia związane z protokołem DHCP

  • Metoda Dynamic Allocation – Tymczasowo przypisuje adres IP do urządzenia końcowego, wraz z ustalonym okresem dzierżawy.
  • Metoda Automatic Allocation – Przypisuje adres IP do urządzenia końcowego na nieskończony okres czasu „Infinity”.
  • Metoda Static Allocation – Przypisuje adres IP do urządzenia końcowego względem jego adresu MAC, dzięki czemu wskazane przez administratora urządzenie zawsze będzie dostawało ten sam adres IP od serwera DHCP.

DHCP Spoofing and Starvation

Mechanizm działania i obrony przed atakiem „DHCP Spoofing”

  • Atak DHCP Spoofing polega na podszywaniu się przez osobę atakującą, pod serwer DHCP. Dzięki czemu jest ona w stanie propagować własną adresację IP. Atak ten może stanowić część bardziej złożonego ataku „Man-in-the-middle”, w którym atakujący host rozgłasza za pomocą fałszywego serwera DHCP, swój adres IP jako adres bramy domyślnej. Tym samym komunikacja ofiary w drodze poza sieć lokalną, zaczyna przechodzić przez podstawionego hosta.
  • Aby zabezpieczyć przełącznik przed podłączeniem do niego niechcianego serwera DHCP, należy pogrupować interfejsy przełącznika na zaufane oraz nie zaufane. Wszystkie interfejsy podłączone do użytkowników końcowych powinny znajdować się w stanie nie zaufanym natomiast te znajdujące się pod kontrolą administratora sieci, takie jak połączenia trunkowe czy interfejsy do który podłączone są znane urządzenia, powinny być zaufane.
  • Interfejsy zaufane nie blokują żadnych pakietów protokołu DHCP, natomiast nie zaufane blokują pakiety domyślnie wysyłane przez serwer DHCP w komunikacji DORA, a są to zapytania  „Offer” oraz „Acknowledgment”.
  • Dodatkową metodę ochrony przed atakami DHCP Spoofing, stanowi tablica DHCP binding. Zbudowana na podstawie przechwyconych przez przełącznik wiadomości protokołu DHCP, nadchodzących z zaufanych interfejsów urządzenia. Na ich podstawie następuje przypisanie adresu IP do interfejsu jak i opcjonalne adresu MAC. Dzięki czemu wszelkie pakiety wysłane z adresem IP innym niż pozyskanym za pomocą protokołu DHCP, zostaną zablokowane.

Mechanizm działania i obrony przed atakiem „DHCP Starvation”

  • Serwer DHCP odpowiada na każde, wysłane przez użytkownika zapytanie „Discover”, w odpowiedzi oferując adres IP przy pomocy wiadomości „Offer”. Taka zależność niesie ze sobą zagrożenie, w którym atakujący sieć host będzie wysyłał wiele zapytań DHCP pod różnymi adresami MAC, a tym samym sztucznie zapełniał dostępną pulę adresów IP.
  • Aby zapobiec takiemu scenariuszowi administrator może zastosować prostą metodę ograniczającą ilość wysyłanych przez urządzenie końcowe, zapytań DHCP „Discover”, w ciągu jednej sekundy.

Pozostałe tematy związane protokołem DHCP

DHCPv6

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz