برای اینکه یک سیستم اطلاعات آدرس IP خود را به طور خودکار ، به محض متصل شدن به شبکه دریافت نماید ، درخواستی به نام DHCP Request به کل شبکه ارسال می کند.
سرور DHCP موجود در شبکه نیز به این درخواست، پاسخ می دهد و اطلاعات آدرس IP را در اختیار کلاینت قرار می دهد. حال فرض کنید هکری در یک شبکه، سرور DHCP جعلی راه اندازی کند. در این صورت این سرور DHCP می تواند به درخواست های کلاینت ها پاسخ دهد و اطلاعات جعلی به آن ها بدهد.
Default Gateway که این سرور جعلی به کلاینت ها می دهد در واقع آدرس IP خود کامپیوتر هکر می باشد. بدین شکل تمامی بسته های کلاینت های هدف از کامپیوتر هکر عبور کرده و هکر نقش Man in the Middle را بازی می کند و می تواند تمامی بسته های کلاینت ها را بررسی کند.
ما از پروتکل های امن برای رمزگذاری بسته هایمان استفاده می کنیم (HTTPS) و هیچکس قادر به شنود آن ها نخواهد بود و این حمله با شکست مواجه می شود.
شاید حق با شما باشد، اما باید این را نیز بدانید که آدرس DNS نیز توسط این سرور جعلی به کلاینت ها داده می شود! پس هکر می تواند آدرس DNS جعلی را به کلاینت ها بدهد.
برای مثال فرض کنید شما می خواهید از طریق اینترنت خرید آنلاین انجام دهید. به صفحه پرداخت آنلاین مثل Shaparak.ir منتقل خواهید شد. برای متصل شدن به سایت شاپرک، ابتدا آدرس هاست این سایت توسط DNS Server به آدرس IP آن ترجمه می شود. DNS Server جعلی، آدرس IP جعلی را به شما برمی گرداند و شما خوشحال و خندان خرید خود را انجام می دهید و از امن بودن آن اطمینان دارید چون در آن از پروتکل HTTPS استفاده شده است. غافل از اینکه تمامی اطلاعات وارد شده شما در کامپیوتر هکر بازگشایی خواهند شد. زیرا Certificate آدرس جعلی نیز در دست هکر است. به همین سادگی، تمامی اطلاعات بانکی شما در دست هکر قرار می گیرد.
در برخی سوئیچ ها مانند سوئیچ های شرکت Cisco و Jupiter قابلیتی به نام DHCP Snooping وجود دارد که باعث کاهش این دست نوع حملات خواهد شد.
عملکرد آن بدین صورت است که پورت های سوئیچ در دو حالت Trusted و Untrusted قرار می گیرند. پورت های Trusted می توانند درخواست های DHCP را دریافت کنند و به آن ها پاسخ دهند ولی پورت های Untrusted حق پاسخ به درخواست های DHCP را ندارند، پس اگر هکری DHCP Server جعلی خود را در یکی از پورت های Untrusted راه اندازی کند، به محض اینکه بسته پاسخ DHCP را به کلاینت درخواست کننده ی DHCP بفرستد، از شبکه بیرون رانده خواهد شد و آن پورت بسته می شود.
به طور پیش فرض تمامی پورت های سوئیچ ها در حالت Untrusted قرار دارند. برای استفاده از ترفند DHCP Snooping، باید پورت های trusted را در سوئیچ های خودمان تنظیم نماییم.
برای تنظیم DHCP Snooping به صورت Global باید از دستور زیر در محیط command سوئیچ استفاده کنید :
Switch(config)#ip dhcp snooping
اگر تنها برخی از Vlan های شبکه شما از این ویژگی استفاده می کنند ، می توانید از دستور زیر استفاده نمایید :
Switch(config)#ip dhcp snooping vlan 1,60,150-175
فعالسازی DHCP Snooping به تنهایی برای جلوگیری از حمله DHCP Spoofing کافی نخواهد بود و باید پورت های Trusted را نیز به صورت زیر تنظیم نماییم :
Switch(config)#interface gigabitethernet 0/3
Switch(config-if)#ip dhcp snooping trust
در وبینار های آموزش ما رایگان ثبت نام کنید
