SecHard

10.2.2.1.7. DHCP Starvation Attack / Starvation Attack

Owned by Göktuğ Cihan
Last updated: Oct 05, 2023
2 min read

DHCP sunucularını hedefleyen başka bir ağ saldırısı türü, DHCP Starvation Attack olarak bilinir. Bir DHCP açlık saldırısında, bir saldırgan sahte kaynak MAC adresleri olan çok sayıda DHCP REQUEST iletisi yayınlar. Ağdaki meşru DHCP Sunucusu tüm bu sahte DHCP TALEP iletilerine yanıt vermeye başlarsa, DHCP sunucusu kapsamındaki kullanılabilir IP Adresleri çok kısa bir süre içinde tükenecektir. Bu saldırı DHCP sunucusunu servis dışı bırakmaya yönelik bir Servis atağıdır.

 Bir DHCP açlık saldırısından ve sahte bir DHCP sunucusu kurduktan sonra saldırgan IP adreslerini ve diğer TCP / IP yapılandırma ayarlarını ağ DHCP istemcilerine dağıtmaya başlayabilir. TCP / IP yapılandırma ayarları Varsayılan Ağ Geçidi ve DNS Sunucusu IP 47 adreslerini içerir. Ağ saldırganları artık orijinal meşru Varsayılan Ağ Geçidi IP Adresini ve DNS Sunucusu IP Adresini kendi IP Adresleriyle değiştirebilir.

DHCP sunucusu dinamik olarak IP adreslerini bir ağdaki ana bilgisayarlara atar. Yöneticiye atamak için uygun adres havuzu oluşturur, kira süresini adreslerle ilişkilendirir. Bir DHCP açlığı (starvation) saldırısı DHCP isteklerini sahte MAC adresleriyle yayınlayarak çalışır. Bu senaryo DHCP kapsamının tamamına bakan ve bu içerdiği DHCP adreslerini kiralamaya çalışan belli başlı toollar ile saldırı gerçekleşir. Saldırgan daha sonra sahte bir DHCP sunucusu kurabilir ve ağdaki istemcilerden gelen yeni DHCP isteklerine yanıt verebilir. Bu ortadaki adam saldırısına sebep olabilir.

Bu tür bir saldırı aynı zamanda ağda yinelenen adreslemenin meydana geldiği DoS durumlarına neden olarak bu adreslere bağlı kaynaklara erişilememesine neden olabilir veya trafiğin önce bir saldırgana ve ardından orijinal hedefe gönderildiği ortadaki adam saldırılarının yürütülmesine izin verebilir. Bu saldırılar, statik adreslemeyi zorlayarak veya fiziksel anahtarlarda DHCP gözetlemenin yanı sıra Active Directory ortamlarında DHCP sunucu yetkilendirmesi kullanarak azaltılabilir.

Bu saldırıları azaltmak için DHCP snooping kullanılır. DHCP snooping'de, güvenilen bağlantı noktalarının DHCP teklifleri ve DHCP ACK mesajları göndermesine izin verilir. Güvenilmeyen bağlantı noktası için DHCP mesaj isteğinin doğrulanması gerekir. Güvenilmeyen portların DHCP teklifi gibi mesajlar göndermesine izin verilmez. DHCP snooping tablosu, güvenilmeyen veya filtrelenen bağlantı noktası mesajlarını tanımlamak için kullanılır. Güvenilmeyen bir bağlantı noktasından gelen tüm istekler anahtar tarafından engellenir ve güvenilmeyen bağlantı noktalarının tüm yanıtları atılır.

DHCP araya girmeyi bir VLAN üzerinde aktive etmek için “ip dhcp snooping vlan” komutu kullanılır. Pasif hale getirmek için ise “no ip dhcp snooping” komutu kullanılabilir. “ ip dhcp snooping trust” komutu girilen arayüzdeki portta DHCP araya girmeyi aktif hale getirmek için kullanılır. 

ip dhcp snooping vlan 444

ip dhcp snooping trust / ip dhcp snooping limit rate 2

 

SecHard