عرض مشاركة واحدة
قديم 01-24-2012, 02:14 AM   #1
مستر وحيد
:: سيسكو جديد ::
 
تاريخ التسجيل: Oct 2011
المشاركات: 29
شكراً: 0
تم شكره 2 مرة في مشاركة واحدة
مستر وحيد will become famous soon enough
Post هجوم الـ DHCP Spoofing وطريقة التصدي له


هجوم الـ dhcp spoofing وطريقة التصدي له

549 days مضت بواسطة Ayman Alnaimi أيمن النعيمي 4

هجوم DHCP Spoofing وطريقة التصدي

إستكمالا للموضوع الذي بدأته من قبل حول أنواع الهجمات التى تستهدف الـDHCP وأثره الضار على الشبكة نستكمل اليوم حديثنا حول موضوع أخطر من هذا وهو الـDHCP spoofing والذي يمكن المهاجم من التنصت على كل الترافيك الذي يعبر من خلال الشبكة وبكلام آخر هجوم الـ Man In The Middle



ماهو هجوم الـ dhcp spoofing ؟ وكيف يتم ؟

يعد هذا الهجوم احد الهجمات الخطيرة على الشبكة والحماية منه أمر مهم جدا على الشبكة وفكرته بسيطة جدا وتنفيذها أسهل وهي ببساطة تقوم من خلال قيام المخترق بتشغيل سيرفر dhcp على جهازه يملك نفس المعلومات التى يقوم السيرفر الرئيسي بتزويدها للأجهزة لكن مع أختلاف بسيط جدا وهو الـ Gateway للشبكة فهو يقوم بتغييره بحيث يكون هو جهازه نفسه ومن خلال أحد البرامج مثل الـ ettercap يقوم بتحويل الترافيك المار عبر جهازه إلى الـ Gateway الحقيقي للشبكة وبهكذا كل مايتم أرساله من خلال الأجهزة الموجودة على الشبكة سوف يعبر من خلال جهاز المخترق ومن خلال أحد برامج تحليل البيانات مثل الـ Wire Shark سوف يشاهد كل تفاصيل الترافيك وطبعا هذه تعد كارثة كبيرة للشبكة وخصوصا أي هجمة تندرج تحت هجمات الـ MITM ولو أراد المهاجم أن يكون الهجوم كاملا فهو سوف يقوم أولا بتنفيذ هجوم الـ dhcp Starvation على السيرفر الرئيسي ويقوم بحجز كل الأيبيات الموجودة عنده وعندها سوف يضمن بأن كل الأجهزة الموجودة على الشبكة وعلى سويتشات آخرى بأنه سوف تلجأ إليه للحصول على المعلومات اللأزمة للأتصال بالشبكة مما يزيد من كمية المعلومات المارة عبر جهاز المخترق وبالتالي دمار أكبر للشبكة

كيفية الحماية من هذا النوع من الهجمات ؟

الحل الذي قدمته سيسكو كان عبارة عن خاصية تدعى dhcp Snooping هذه الخاصية ببساطة تعرف السويتش ماهي البورتات الموثوقة وماهي البورتات الغير موثوقة وبكلام آخر تعرف السويتش ماهي المنافذ التى يسمح لها بتوزيع طلبات الـ dhcp فنحن نعلم أن عملية طلب المعلومات من الـ dhcp تمر بعدة خطوات تبدأ بقيام جهاز العميل بأرسال برودكاست إلى الشبكة يسأل فيه عن سيرفر الـDHCP وبعدها يرد عليه السيرفر بعنوان الأيبي الخاص فيه وعندها تأتي خطوة الطلب من العميل إلى السيرفر (طلب الأعدادات) وبعد وصول الطلب إلى السيرفر يقوم بأرسال المعلومات اللأزمة له من أيبي وماسك ودي ان اس وطبعا الـ Gateway .وهذه صورة توضيحية لسير العملية

هجوم DHCP Spoofing وطريقة التصدي
من خلال فهمك لهذه العملية سوف تستنج معي بأن هذه الخاصية تقوم بأخبار السويتش من هو المنفذ الموثوق والذي يسمح له بالرد على طلبات الـ dhcp التى تتم من خلال المستخدمين الموجودين على الشبكة ومن هنا أتت كلمة Snooping والتى تعني تفتيش أي تفتيش الطلبات ومن أين وصلت والخ…..(لهذه الخاصية إستخدامات جيدة جدا سوف نتعرف عليها تباعا في المواضيع القادمة إن شاء الله)

طريقة الأعداد (سيسكو)

سوف أقوم بكتاية كل الأوامر اللأزمة وبعدها سوف أقوم بتفسير كل أمر على حدى وسوف أستعين أيضا بهذه الصورة التوضيحية

هجوم DHCP Spoofing وطريقة التصدي

Cisco's IOS
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 10,32,104
Switch(config)#interface range gigabitethernet 0/0/1 – 0/0/3
Switch(config-if)#ip dhcp snooping limit rate 3
Switch(config-if)#interface gigabitethernet 0/0/8
Switch(config-if)# ip dhcp snooping trust



أول امر أعتقد بأنه واضح للجميع وهو من اجل تفعيل الـ dhcp Snooping على السويتش وقبل ان نكمل يجب أن نتفق على شيء مهم جدا وهو مجرد تفعيلك لهذه الخاصية على السويتش يقوم هو بشكل أوتماتيكي بوضع كل البورتات على شكل Untrusted أي غير موثوقة أما في الأمر الثاني فنحن نقوم بتحديد الفي لان التى نريد أن نقوم بتفتيشها وهذا شيء مهم أيضا وأساسي ومن خلا هذا الأمر نستطيع ان نكتب كل الفي لان التى نريدها وقد قمت في هذا المثال بأضافة 3 في لان 10,32,104 الأمر الثالث من أجل تحديد مجموعة من البورتات وقد أخترت 3 منافذ التى تشكل اجهزة العملاء لدي في الشبكة وبعدها أقوم بتحديد عدد الطلبات التى يسمح له بطلبها وهي تحسب بعدد الباكيت كل ثانية PPS ويمكنك زياد هذا الرقم كما تشاء لكن لاينصح بهذا كثيرا وآخيرا أدخل على المنفذ المرتبط مع سيرفر الـDHCP وأخبر السويتش بان هذا المنفذ موثوق به Trusted والسبب أوضحته من قبل
الموضوع الأصلى من هنا: منتديات سيسكو التعليمية | كن بين الخبراء ! http://www.ciscovb.com/vb/t4474.html#post25975

وآخيرا لمشاهدة تفاصيل عن حالة الـ dhcp Snooping نستخدم الأوامر التالي


Cisco's IOS
Switch#show ip dhcp snooping
Switch# show ip dhcp snooping binding




منقووووول





i[,l hgJ DHCP Spoofing ,'vdrm hgjw]d gi dhcp spoofing i[,l

__________________


Cisco System :: CCNA - CCNA VOICE - CCNP R&S
CCNP R&S Soon
مستر وحيد غير متواجد حالياً   رد مع اقتباس
2 أعضاء قالوا شكراً لـ مستر وحيد على المشاركة المفيدة:
جليليو (05-05-2012), medo_hemaa (01-24-2012)
 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36