DHCP sunucularını hedefleyen başka bir ağ saldırısı türü, Another type of network attack targeting DHCP servers is known as a DHCP Starvation Attack olarak bilinir. Bir DHCP açlık saldırısında, bir saldırgan sahte kaynak MAC adresleri olan çok sayıda DHCP REQUEST iletisi yayınlar. Ağdaki meşru DHCP Sunucusu tüm bu sahte DHCP TALEP iletilerine yanıt vermeye başlarsa, DHCP sunucusu kapsamındaki kullanılabilir IP Adresleri çok kısa bir süre içinde tükenecektir. Bu saldırı DHCP sunucusunu servis dışı bırakmaya yönelik bir Servis atağıdır.
Bir DHCP açlık saldırısından ve sahte bir DHCP sunucusu kurduktan sonra saldırgan IP adreslerini ve diğer TCP / IP yapılandırma ayarlarını ağ DHCP istemcilerine dağıtmaya başlayabilir. TCP / IP yapılandırma ayarları Varsayılan Ağ Geçidi ve DNS Sunucusu IP 47 adreslerini içerir. Ağ saldırganları artık orijinal meşru Varsayılan Ağ Geçidi IP Adresini ve DNS Sunucusu IP Adresini kendi IP Adresleriyle değiştirebilir.
DHCP sunucusu dinamik olarak IP adreslerini bir ağdaki ana bilgisayarlara atar. Yöneticiye atamak için uygun adres havuzu oluşturur, kira süresini adreslerle ilişkilendirir. Bir DHCP açlığı (starvation) saldırısı DHCP isteklerini sahte MAC adresleriyle yayınlayarak çalışır. Bu senaryo DHCP kapsamının tamamına bakan ve bu içerdiği DHCP adreslerini kiralamaya çalışan belli başlı toollar ile saldırı gerçekleşir. Saldırgan daha sonra sahte bir DHCP sunucusu kurabilir ve ağdaki istemcilerden gelen yeni DHCP isteklerine yanıt verebilir. Bu ortadaki adam saldırısına sebep olabilir.
Bu tür bir saldırı aynı zamanda ağda yinelenen adreslemenin meydana geldiği DoS durumlarına neden olarak bu adreslere bağlı kaynaklara erişilememesine neden olabilir veya trafiğin önce bir saldırgana ve ardından orijinal hedefe gönderildiği ortadaki adam saldırılarının yürütülmesine izin verebilir. Bu saldırılar, statik adreslemeyi zorlayarak veya fiziksel anahtarlarda DHCP gözetlemenin yanı sıra Active Directory ortamlarında DHCP sunucu yetkilendirmesi kullanarak azaltılabilir.
Bu saldırıları azaltmak için DHCP snooping kullanılır. DHCP snooping'de, güvenilen bağlantı noktalarının DHCP teklifleri ve DHCP ACK mesajları göndermesine izin verilir. Güvenilmeyen bağlantı noktası için DHCP mesaj isteğinin doğrulanması gerekir. Güvenilmeyen portların DHCP teklifi gibi mesajlar göndermesine izin verilmez. DHCP snooping tablosu, güvenilmeyen veya filtrelenen bağlantı noktası mesajlarını tanımlamak için kullanılır. Güvenilmeyen bir bağlantı noktasından gelen tüm istekler anahtar tarafından engellenir ve güvenilmeyen bağlantı noktalarının tüm yanıtları atılır.
DHCP araya girmeyi bir VLAN üzerinde aktive etmek için “ip dhcp snooping vlan” komutu kullanılır. Pasif hale getirmek için ise “no ip dhcp snooping” komutu kullanılabilir. “ ip dhcp snooping trust” komutu girilen arayüzdeki portta DHCP araya girmeyi aktif hale getirmek için kullanılır. In a DHCP starvation attack, an attacker broadcasts a large number of DHCP REQUEST messages with forged source MAC addresses. If the legitimate DHCP Server in the network starts responding to all these fake DHCP REQUEST messages, the available IP Addresses within the DHCP server scope will be exhausted in a very short time. This attack is a Service attack to take the DHCP server out of service.
After a DHCP starvation attack and setting up a fake DHCP server, the attacker can start distributing IP addresses and other TCP/IP configuration settings to network DHCP clients. TCP/IP configuration settings include Default Gateway and DNS Server IP 47 addresses. Network attackers can now replace the original legitimate Default Gateway IP Address and DNS Server IP Address with their own IP Addresses.
The DHCP server dynamically assigns IP addresses to hosts on a network. It creates a pool of addresses available for assignment to the administrator, associating the lease term with the addresses. A DHCP starvation attack works by broadcasting DHCP requests with spoofed MAC addresses. In this scenario, the attack takes place with certain tools that look at the entire DHCP scope and try to lease the DHCP addresses it contains. The attacker can then set up a fake DHCP server and respond to new DHCP requests from clients on the network. This can cause a man-in-the-middle attack.
This type of attack can also cause DoS situations where duplicate addressing occurs in the network, making resources bound to those addresses inaccessible, or it can allow the execution of man-in-the-middle attacks where traffic is first sent to an attacker and then to the original destination. These attacks can be mitigated by enforcing static addressing or using DHCP snooping on physical switches as well as DHCP server authorization in Active Directory environments.
DHCP snooping is used to mitigate these attacks. In DHCP snooping, trusted ports are allowed to send DHCP offers and DHCP ACK messages. For the untrusted port, the DHCP message request must be verified. Untrusted ports are not allowed to send messages such as DHCP offers. The DHCP snooping table is used to identify untrusted or filtered port messages. All requests from an untrusted port are blocked by the switch and all responses from untrusted ports are discarded.
The command "ip dhcp snooping vlan" is used to activate DHCP interception on a VLAN. To disable it, the "no ip dhcp snooping" command can be used. The "ip dhcp snooping trust" command is used to activate DHCP interception on the port on the interface entered.
ip dhcp snooping vlan 444
...