• Nhìn vào bức ảnh thấy rằng có một DHCP Server ở trên
cùng được nối vào một Switch Layer 3, ở dưới là các người
dùng đang nóng lòng nhận được IP từ DHCP cấp. Có một
số câu hỏi ở đây: liệu rằng có thêm một DHCP Server được
cài đặt ở bất kỳ một máy tính nào, hay một router được lạ
được cắm vào mạng và cấp DHCP cho người dùng thì nó
có gây nguy hại gì tới hệ thống?
• Trong một hệ thống mạng lớn hơn sẽ luôn tìm thấy một
DHCP Server tại một lớp mạng, một kẻ tấn công với một
DHCP Server nhỏ gọn được gắn vào một lớp mạng con ở
bất kỳ switch nào sẽ nhanh chóng cấp DHCP cho lớp
mạng đó. Như vậy kẻ tấn công sẽ có thể thay đổi gateway
của người dùng bằng một IP gateway khác để điều hướng
tất cả các dữ liệu người dùng về một điểm hắn muốn
(Main-in-the-midle), cũng có thể thay đổi DNS người dùng
từ đó kẻ tấn công dựng lên một DNS Server và giả mạo
các trang Web.
• Nếu không thể giả mạo DHCP Server kẻ tấn công cũng có
thể DoS để làm DHCP Server không còn hoạt động được
hoặc đã cấp hết địa chỉ IP bằng cách gửi nhiều yêu cầu
cấp IP giả mạo đến.
7 trang |
Chia sẻ: thanhle95 | Lượt xem: 511 | Lượt tải: 1
Bạn đang xem nội dung tài liệu Bài giảng DHCP Snooping, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
▪ Là một kỹ thuật dùng cấu hình ở vào port của switch nhằm lắng nghe
gói tin DHCP và chặn những gói tin DHCP gây nguy hiểm cho hệ
thống mạng & dữ liệu của người dùng.
▪ Để hiểu rõ hơn về vấn đề này sẽ được thể hiện thông qua bức tranh
tổng thể sau:
9/28/2019innotel 1
9/28/2019innotel 2
• Nhìn vào bức ảnh thấy rằng có một DHCP Server ở trên
cùng được nối vào một Switch Layer 3, ở dưới là các người
dùng đang nóng lòng nhận được IP từ DHCP cấp. Có một
số câu hỏi ở đây: liệu rằng có thêm một DHCP Server được
cài đặt ở bất kỳ một máy tính nào, hay một router được lạ
được cắm vào mạng và cấp DHCP cho người dùng thì nó
có gây nguy hại gì tới hệ thống?
• Trong một hệ thống mạng lớn hơn sẽ luôn tìm thấy một
DHCP Server tại một lớp mạng, một kẻ tấn công với một
DHCP Server nhỏ gọn được gắn vào một lớp mạng con ở
bất kỳ switch nào sẽ nhanh chóng cấp DHCP cho lớp
mạng đó. Như vậy kẻ tấn công sẽ có thể thay đổi gateway
của người dùng bằng một IP gateway khác để điều hướng
tất cả các dữ liệu người dùng về một điểm hắn muốn
(Main-in-the-midle), cũng có thể thay đổi DNS người dùng
từ đó kẻ tấn công dựng lên một DNS Server và giả mạo
các trang Web.
• Nếu không thể giả mạo DHCP Server kẻ tấn công cũng có
thể DoS để làm DHCP Server không còn hoạt động được
hoặc đã cấp hết địa chỉ IP bằng cách gửi nhiều yêu cầu
cấp IP giả mạo đến.
9/28/2019innotel 3
Các cổng của máy người dùng sẽ được chỉ định không
bao giờ được phép gửi gói in Offer bằng cách xác định
cổng đó không đáng tin cậy (untrust), chỉ có một cổng
được chỉnh định có thể gửi gói tin Offer thêm nữa
chúng ta sẽ giới hạn số lượng gói tin Discover trên
cổng Untrust để hạn chế kẻ tấn công chủ đích muốn
làm đầy IP của DHCP Server.
9/28/2019innotel 4
• Port g0/1 & g0/0 – SW1 untrust
• Port g0/1 – SW2 trust
▪ SW2(config)#ip dhcp snooping
▪ SW2(config)#no ip dhcp snooping information option
Mặc định switch sẽ thêm vào option 82 sau đó gửi tới DHCP Server một số Server kiểm tra nếu không giống như đã
cấu hình trên DHCP Server sẽ drop gói tin và không cấp DHCP nên nếu người dùng bạn không nhận được IP hãy NO
nó.
▪ SW2(config)#ip dhcp snooping vlan 1
Chọn vlan 1 kiểm tra gói tin DHCP.
▪ SW2(config)#interface range g0/0-1
▪ SW2(config-if)#ip dhcp snooping trust
▪ SW2(config-if)#ip dhcp snooping limit rate 10
▪ SW2(config-if)# end
9/28/2019innotel 5
9/28/2019innotel 6
• SW 1 cấu hình tương tự như SW 2 tuy
nhiên g0/0 là untrust.
• Sau khi cấu hình xong tiến hành show để
kiểm tra các thông tin như đã cấu hình
nếu sai sót hãy kiểm tra thật kỹ.
• Sau khi người dùng nhận được IP hợp lệ
switch sẽ lập bảng trạng thái để ghi lại,
đối với gói tin Offer của DHCP Server giả
mạo sẽ bị loại bỏ, cũng như gói tin chỉ
giới hạn 10 gói trên giây.
▪ Sau bài này tôi hy vọng rằng bạn sẽ hiểu rõ hơn về DHCP Snooping.
▪ Đây là thông tin của tôi nếu có thắc mắc hãy liên lạc khi có thể:
Nguyễn Quốc Bin - Zalo
0966 253 105
Skype: quocbinbin_1
9/28/2019innotel 7