DHCP Snooping چیست و چگونه کار می کند ؟، آیا تا به حال تردیدی در مورد واقعی بودن IP آدرس خود حتی زمانی که از DHCP مجاز آن آدرس را دریافت نموده اید داشته اید؟ در این مقاله مفهوم DHCP Snooping را بررسی می نماییم و به مکانیزیم های جلوگیری از آدرس های IP غیر قانونی می پردازیم.
DHCP Snooping چیست و چگونه کار می کند
فهرست مطالب
- DHCP Snooping چیست و چگونه کار می کند
- DHCP Snooping چیست
- Snooping چگونه کار می کند
- مکانیزم جلوگیری از حملات
- پیاده سازی
DHCP Snooping چیست؟
DHCP Snooping یک فناوری امنیتی لایه 2 می باشد که در سیستم عامل سوئیچ هایی که این قابلیت را دارند، گنجانده شده تا ترافیک DHCP های غیر مجاز را Drop نماید. DHCP Snooping از فعالیت سرور های DHCP غیر مجاز که قصد دارند به کاربرای آدرس IP بدهند جلوگیری می نماید. ویژگی DHCP Snooping شامل فعالیت های زیر می گردد :
- پیام های DHCP از منابع غیر مجاز را شناسایی و پیام های نا معتبر را فیلتر می کند.
- پایگاه داده DHCP Snooping را ایجاد و نگهداری می نماید، که این پایگاه داده حاوی اطلاعاتی در مورد میزبان های غیرقابل اعتماد ( Untrusted ) با آدرس های IP تخصیص داده شده است.
- از پایگاه داده برای اعتبارسنجی درخواست های بعدی از میزبان های غیرقابل اعتماد استفاده می نماید.
Snooping چگونه کار می کند ؟
برای اینکه بفهمیم DHCP Snooping چگونه کار می کند، باید مکانیسم کار DHCP را بررسی نماییم.
وقتی که یک دستگاه بدون آدرس IP آدرس وارد شبکه می شود درخواست آدرس IP خود را در شبکه ارسال می نماید که این فرایند شامل 4 مرحله می باشد:
- Discovery : در اولین مرحله Client درخواست خود را به صورت همه پخشی ( Broadcast ) ارسال می نماید تا بلکه یک سرور پاسخگوی این درخواست باشد.
- Offer : در این مرحله DHCP سرور با یک پیام Offer به درخواست Client پاسخ می دهد.
- Request : در مرحله سوم Client درخواست خود را با یک پیام Request به سمت سرور ارسال می نماید
- ACK : در مرحله آخر DHCP سرور با پیام Ack به Client پاسخ می دهد و فرایند تخصیص آدرس IP به کلاینت به پایان می رسد.
همچنین برای مطالب بیشتر در خصوص فراید DHCP می توانید مقاله ” پروتکل پیکربندی میزبان پویا – DHCP ” مطالعه نمایید.
DHCP Snooping به طور کلی پورت های ( Interface ) روی سوئیچ ها را به دو دسته تقسیم می کند. پورت های قابل اعتماد ( Trusted ) و غیر قابل اعتماد ( Untrusted ). پورت قابل اعتماد پورتی است که به DHCP Server مجاز ما در شبکه متصل گردیده و پیام های DHCP آن قابل اعتماد است. پورت غیر قابل اعتماد پورتی است که ممکن است یک DHCP غیر مجاز در آینده روی آن قرار گیرد و امنیت شبکه ما را به خطر اندازد. اگر روی سوئیچ قابلیت DHCP Snooping پیاده سازی شده باشد، تنها DHCP Offer از پورت های Trust و قابل اعتماد به سمتClient ها عبور خواهد نمود، در غیر این صورت Drop خواهد شد.
در مرحله ACK یک جدول DHCP Binding مطابق با پیام DHCP ACK ایجاد می گردد. در این جدول آدرس MAC میزبان، آدرس تخصیص یافته، مدت زمان تخصیص، نوع Bind شدن در جدول، شماره VLAN و همچنین پورت ( Interface ) که به میزبان متصل می باشد نوشته خواهد شد. اگر بسته DHCP دریافتی بعدی از میزبان های نامعتبر با اطلاعات مطابقت نداشته باشد، Drop می گردد.
DHCP Snooping از چه حملاتی جلوگیری می نماید؟
- حمله جعل DHCP یا DHCP Spoofing : این حمله زمانی اتفاق می افتد که یک مهاجم سعی می نماید به در خواست های DHCP در شبکه پاسخ دهد و خود را به عنوان Gateway و یا DNS Server به کلاینت ها معرفی نماید و می تواند حمله Man in the Middle را انجام دهد. با این ترتیب، این امکان فراهم می شود که مهاجمان بتوانند ترافیک کاربران را قبل از ارسال به Gateway واقعی مشاهده نمایند و یا با حمله DoS به DHCP سرور واقعی و ارسال درخواست های بسیار زیاد به آن منابع آن را اشغال نمایند و از فعالیت آن در شبکه جلوگیری نمایند.
- حمله DHCP Starvation : Starvation DHCP معمولاً Server DHCP شبکه را هدف قرار می دهد تا Server DHCP مجاز را با پیام های DHCP REQUEST با استفاده از آدرس های MAC مبدا جعلی پر نماید. بنابراین DHCP سرور به همه Request ها بدون آن که از حمله DHCP Starvation باخبر باشد پاسخ می دهد و در نتیجه منجر به خالی شدن DHCP Pool خواهد گردید.
این قابلیت برای کاربرانی که به واسطه کابل متصل شده اند امکان پذیر می باشد. به عنوان یک قابلیت امنیتی لایه 2، بیشتر در سوئیچ های Access پیشنهاد می شود که این ویژگی فعال گردد . هنگام پیاده سازی قبل از فعال سازی DHCP Snooping می بایست پورت های قابل اعتماد ( Trusted ) را مشخص نماییم.
نتیجه گیری
اگرچه DHCP آدرس دهی IP را در شبکه ساده می نماید اما در عین حال باعث بروز حفره های امنیتی نیز می گردد و مخاطرات امنیتی ایجاد می کند. جهت رفع این نگرانی ها، DHCP Snooping یک مکانیزم امنیتی است که می تواند از آدرس های نامعتبری که توسط DHCP Server های جعلی تخصیص می یابند جلوگیری نماید و شبکه را از حملات و خطرات احتمالی آن در امان دارد.
پیاده سازی DHCP Snooping روی سوئیچ های سیسکو :
جهت فعال سازی DHCP Snooping باید دستور زیر را اجرا نماییم :
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 1
Switch(config)# interface gig 0/0
Switch(config-if)# ip dhcp snooping trust
در دستورات بالا دقت داشته باشید که باید اینترفیسی را انتخاب نماییم که به DHCP Server متصل می باشد و همچنین شماره VLAN که DHCP Server در آن قرار دارد.
برای مشاهده و تایید وضعیت DHCP Snooping و تنظیمات انجام شده از دستورهای زیر استفاده می نماییم :
Switch# show ip dhcp snooping
Switch# show ip dhcp snooping binding