آنچه در این مقاله میخوانید [پنهانسازی]
پروتکل پیکربندی میزبان پویا (DHCP) یک پروتکل حیاتی در شبکههای مدرن است که وظیفه توزیع خودکار و سریع آدرسهای IP و تنظیمات TCP/IP را به کلاینتها بر عهده دارد. این پروتکل، زندگی مدیران شبکه را بسیار ساده کرده است، اما متأسفانه، به دلیل ماهیت عملیاتی خود، فاقد مکانیسمهای احراز هویت داخلی است و به همین دلیل در برابر حملات جعل یا فریب آسیبپذیر است.
حمله DHCP Spoofing نوعی حمله سایبری است که در آن یک مهاجم با راهاندازی یک سرور DHCP جعلی، تنظیمات شبکه مخربی را به قربانیان توزیع میکند. هدف نهایی این حمله، قرار گرفتن مهاجم در موقعیت مهاجم در میانه (Adversary-in-the-Middle یا AiTM) برای رهگیری یا دستکاری ترافیک شبکه است.
پروتکل DHCP بر اساس مدل کلاینت-سرور عمل میکند و دو کارکرد اصلی دارد: تأمین تنظیمات شبکه و تخصیص آدرسهای شبکه به کلاینتها. فرآیند تعامل استاندارد بین سرور و کلاینت معمولاً با دنباله DORA (Discover, Offer, Request, ACK) شناخته میشود.
در این فرآیند، کلاینت با ارسال یک پیام DISCOVER بهصورت برودکست (Broadcast) شروع میکند و سرور با پیام OFFER که شامل یک آدرس IP موجود است، پاسخ میدهد. در نهایت، پس از تأیید آدرس توسط کلاینت با پیام REQUEST، سرور با پیام ACK (تأییدیه) پاسخ میدهد و پارامترهای پیکربندی شبکه مانند آدرس DNS و زمان اجاره (Lease Time) را ارائه میکند.
از آنجایی که این پروتکل به طور پیشفرض هیچگونه احراز هویتی ندارد و پیامها بهصورت برودکست ارسال میشوند، هر دستگاهی در شبکه میتواند ترافیک DHCP را دریافت کرده و احتمالاً در آن دستکاری کند.
DHCP Spoofing یک تکنیک است که در آن مهاجمان با جعل ترافیک پروتکل DHCP، به عنوان یک سرور DHCP مخرب (Rogue DHCP server) در شبکه عمل میکنند. هدف اصلی این حمله، رهگیری و کنترل ارتباطات شبکه بین دستگاههای قربانی و سرور DHCP قانونی است. با توزیع پیکربندیهای شبکه مخرب، مهاجم میتواند به موقعیت AiTM دست یابد و ترافیک کلاینت را از طریق سیستمهای تحت کنترل خود هدایت کند.
این زیرتکنیک (T1557.003) که بخشی از تاکتیکهای دسترسی به اعتبارنامه (Credential Access) و جمعآوری اطلاعات (Collection) محسوب میشود، میتواند امکان رفتارهای بعدی مانند استراق سمع شبکه (Network Sniffing) یا دستکاری دادههای ارسالی را فراهم کند. این حمله یکی از تهدیدات قابل توجه در امنیت شبکه است زیرا نقص احراز هویت در پروتکل DHCP را مورد سوءاستفاده قرار میدهد.
حمله DHCP Spoofing اغلب شامل ترکیب دو حمله مجزا است:
مهاجم با ارسال پیامهای DHCPDISCOVER بسیار زیاد و با آدرسهای MAC جعلی، استخر آدرسهای IP موجود در سرور DHCP قانونی را به سرعت تخلیه میکند. این کار باعث میشود که سرور قانونی دیگر قادر به پاسخگویی به درخواستهای جدید کلاینتها نباشد و فضا برای ورود سرور مهاجم فراهم شود.
پس از گرسنگی دادن به سرور قانونی، مهاجم سرور DHCP جعلی خود را راهاندازی میکند و برای هر پیام DHCPDISCOVER از سوی قربانی، یک پاسخ DHCPOFFER مخرب ارسال میکند. این پاسخ شامل تنظیمات جعلی مانند آدرس IP، سرور DNS مهاجم و دروازه پیشفرض (Default Gateway) مهاجم است.
دستگاه قربانی، پیشنهاد مخرب مهاجم را میپذیرد و ترافیک خود را از طریق دستگاه مهاجم (که اکنون به عنوان دروازه پیشفرض عمل میکند) هدایت میکند. در این مرحله، مهاجم قادر است ترافیک عبوری را رهگیری، تجزیه و تحلیل و احتمالاً دستکاری کند.
مهاجمان میتوانند برای انتخاب هدفمندتر ترافیک، از مکانیزم WPAD (Web Proxy Auto Discover) استفاده کنند. WPAD قابلیتی است که به کلاینت اجازه میدهد به صورت خودکار یک سرور پراکسی را در شبکه پیدا و به آن اختصاص دهد.
در این سناریو، مهاجم به جای اینکه خود را به عنوان دروازه پیشفرض (Gateway) برای همه ترافیکها معرفی کند، از طریق گزینه کد 252 در پیکربندی DHCP، آدرس یک فایل پیکربندی WPAD (مانند wpad.dat) را توزیع میکند. این فایل پیکربندی، آدرس پراکسی سرور مهاجم را به مرورگر قربانی میدهد. مزیت استفاده از WPAD برای مهاجم این است که میتواند ترافیک شبکه را به صورت شفافتر فیلتر کند و دقیقاً مشخص کند که کدام ترافیک (مانند ترافیک HTTP) را میخواهد رهگیری کند.
حمله جعل DHCP میتواند منجر به آسیبهای جدی به امنیت و عملکرد شبکه شود.
با قرار گرفتن مهاجم به عنوان دروازه پیشفرض یا سرور DNS، او میتواند تمامی ترافیک شبکه از جمله ارتباطاتی که از طریق پروتکلهای ناامن و رمزگذاری نشده ارسال میشوند را نظارت و رهگیری کند. این امر حریم خصوصی و محرمانگی دادهها را به شدت نقض میکند.
مهاجم میتواند با هدایت درخواستهای DNS به سمت سرور خود، سناریوی احراز هویت اجباری (Forced Authentication) را اجرا کند. در این سناریو، مهاجم با استفاده از پاسخهای HTTP 401، کلاینت را مجبور به شروع فرآیند احراز هویت میکند و در نهایت میتواند هشهای حساس NetNTLM کلاینت را به دست آورد.
حملات گرسنگی DHCP منجر به تخلیه استخر آدرسهای IP میشوند، که این امر مانع از اتصال دستگاههای قانونی به شبکه شده و اختلالات قابل توجهی را ایجاد میکند؛ این نوع حمله میتواند منجر به نوعی حمله DoS (محرومسازی از سرویس) شود. علاوه بر این، توزیع پیکربندیهای نادرست شبکه میتواند دسترسی دستگاهها به منابع شبکه را قطع کند.
اگر میخواهید حملات لایه 2 مثل DHCP Spoofing، Starvation، Rogue DHCP و روشهای دفاعی مانند DHCP Snooping، Port Security و IP Source Guard را عمیق و عملی یاد بگیرید، مسیر آموزش حرفهای شبکه دقیقاً از همینجا شروع میشود. در دورههای آموزش CCNA، آموزش CCNP و آموزش نتورک پلاس و دوره امنیت شبکه، این مفاهیم را با سناریوهای واقعی و لابراتوارهای عملی بهصورت کامل آموزش میدهم. اگر قصد دارید در امنیت شبکه و مهندسی شبکه به یک متخصص قابل اعتماد تبدیل شوید، این دورهها بهترین مسیر برای شما هستند
برای محافظت در برابر DHCP Spoofing، ترکیبی از اقدامات امنیتی پیشگیرانه ضروری است، زیرا یک راهکار ساده و واحد برای جلوگیری کامل از این حمله وجود ندارد.
این مهمترین ویژگی امنیتی است که باید بر روی سوییچهای لایه 2 پیکربندی شود؛ DHCP Snooping ترافیک DHCP را نظارت کرده و تعیین میکند که فقط پورتهای “قابل اعتماد” (Trusted Ports) مجاز به ارسال پیامهای DHCPOFFER هستند. این کار از فعالیت سرورهای DHCP مخرب جلوگیری میکند و همچنین در برابر حملات گرسنگی نیز محافظت ایجاد میکند.
پیادهسازی تقسیمبندی شبکه (Network Segmentation) با ایزولهسازی سرویسهای DHCP در VLANهای مختلف به کاهش تأثیر حملات احتمالی کمک میکند. این روش مانع از آن میشود که یک مهاجم بتواند به سادگی کل شبکه را تحت تأثیر قرار دهد و کنترل محکمتری بر دسترسی به خدمات DHCP فراهم میآورد.
برای مقابله با حملات گرسنگی DHCP (Starvation)، میتوان محدودیت نرخی (Rate-Limit) برای تعداد درخواستهای DHCP که در هر ثانیه از یک پورت ارسال میشود، بر روی سوییچها تنظیم کرد. همچنین، امنیت پورت میتواند با محدود کردن تعداد آدرسهای MAC مجاز در یک پورت، از اتصال دستگاههای غیرمجاز جلوگیری کند.
فیلتر کردن ترافیک DHCP در پورتهای 67 و 68 از/به سرورهای DHCP ناشناخته یا غیرقابل اعتماد توصیه میشود. همچنین، استفاده از IP Source Guard در کنار DHCP Snooping میتواند ترافیک را بر اساس نگاشت آدرسهای IP و MAC فیلتر کرده و از جعل آدرس IP جلوگیری کند.
سیستمهای IDS/IPS باید برای شناسایی الگوهای ترافیکی که نشاندهنده فعالیتهای AiTM هستند، مورد استفاده قرار گیرند. همچنین، انجام تستهای نفوذ منظم و خودکار، تنها راه مطمئن برای آزمایش آسیبپذیری شبکه در برابر حملات DHCP Spoofing است.
حمله DHCP Spoofing یک تهدید جدی و معمول است که به دلیل ماهیت پروتکل DHCP (عدم احراز هویت)، امکان رهگیری اطلاعات، سرقت اعتبارنامه و ایجاد اختلال گسترده در شبکه را فراهم میآورد. با توجه به پیامدهای خطرناک این حمله، مدیران شبکه باید رویکردی چندلایه را برای دفاع اتخاذ کنند.
پیادهسازی DHCP Snooping بر روی سوییچها به همراه تقسیمبندی قوی شبکه (VLANs)، ستونهای اصلی دفاع در برابر این نوع تهدید محسوب میشوند و این اقدامات تضمین میکنند که فقط سرورهای قانونی مجاز به توزیع پیکربندیهای شبکه هستند. با بهکارگیری این راهکارها، سازمانها میتوانند به طور قابل توجهی انعطافپذیری شبکه خود را در برابر حملات جعل DHCP افزایش دهند.
DHCP Spoofing زیرتکنیک T1557.003 از تکنیک کلی Adversary-in-the-Middle (AiTM) است و به تاکتیکهای دسترسی به اعتبارنامه (Credential Access) و جمعآوری اطلاعات (Collection) مرتبط است.
پروتکل DHCP به طور پیشفرض هیچگونه احراز هویت داخلی ندارد و ارتباطات آن بهصورت برودکست (Broadcast) ارسال میشوند، بنابراین هر دستگاهی در شبکه میتواند پیامهای DHCP را دریافت کرده و به آنها پاسخ دهد.
در حمله گرسنگی DHCP، مهاجم با پر کردن استخر آدرسهای IP سرور قانونی، آن را از پاسخگویی به درخواستهای جدید کلاینتها ناتوان میکند. این کار صحنه را برای ورود سرور DHCP مخرب مهاجم فراهم میسازد.
معمولاً سرور جعلی، آدرس خود را به عنوان سرور DNS و/یا دروازه پیشفرض (Default Gateway) برای قربانی تعیین میکند. این تنظیمات امکان هدایت تمامی ترافیک یا درخواستهای DNS از طریق دستگاه مهاجم را فراهم میکند.
DHCP Snooping با پیکربندی پورتهای قابل اعتماد (Trusted Ports) در سوییچها، تضمین میکند که فقط سرور DHCP قانونی متصل به آن پورتها مجاز به ارسال پیامهای DHCPOFFER باشد و هر گونه پیشنهاد DHCP از پورتهای غیرقابل اعتماد مسدود میشود.
