Может ли подделка MAC заставить DHCP исчерпать IP-адреса?

1081
codeaviator

Я читал эту страницу, когда наткнулся на это предупреждение:

ВНИМАНИЕ !: При резервировании DHCP обычно используется MAC-адрес для резервирования определенного IP-адреса. Если вы рандомизируете свой MAC-адрес, вы прекратите бронирование

Предположим, что у нас есть DHCP- сервер для распределения IP-адресов в сети. Представьте, что мы намеренно подключаем мошенническое устройство, которое настроено на непрерывную подмену своего MAC-адреса, а затем повторно подключаемся к сети (запрашивая новый IP-адрес для DHCP). Насколько я понимаю, DHCP зарезервирует IP-адрес для каждого MAC-адреса, поэтому, если этот процесс будет выполнен достаточно быстро, DHCP-сервер исчерпает IP-адреса, предотвращая подключение новых законных устройств до истечения времени аренды.

Хотя это кажется теоретически возможным, я не уверен, сработает ли это на практике.

  • Может ли подделка MAC заставить DHCP исчерпать IP-адреса?

  • Есть ли название для такой атаки?

  • Существуют ли защитные механизмы для предотвращения такого рода атак?

0
Это была бы атака DOS. Контрмеры включают, например, фильтры уровня 2 и / или аутентификацию. Seth 6 лет назад 2
Существуют два вида «резервирования», основанные на аренде (временные) и основанные на административно настроенных правилах (постоянные). Для резервирования на основе аренды сервер перестанет отвечать на новые запросы DHCP, когда его пул адресов исчерпан, но освободит пространство, как только истечет срок аренды. Вы не можете исчерпать эти резервирования, не исчерпав адреса, что, вероятно, является более серьезной проблемой. Для постоянных резервирований они не создаются автоматически, поэтому администратору придется вводить больше связей, чем поддерживает сервер. Frank Thomas 6 лет назад 1

2 ответа на вопрос

1
Spiff

Да, мошенническое устройство в вашей локальной сети Ethernet или Wi-Fi может получить все ваши аренды DHCP и даже использовать ARP, чтобы все IP-адреса в сети (даже те, которые находятся вне пула DHCP) казались занятыми. Это только верхушка айсберга. Плохие парни могут делать все, что угодно, чтобы создавать проблемы для владельцев локальной сети и других пользователей.

Предпосылка локальной сети Ethernet или Wi-Fi заключается в том, что это безопасное место. Только доверенные устройства должны быть разрешены для подключения. Попытка запустить ЛВС без этой предпосылки чревата проблемами, как только появляется полуосведомленный, полу злонамеренный пользователь (или часть вредоносного ПО). Требовать аутентификацию 802.1X в вашей локальной сети и разрешать подключение только доверенным лицам / устройствам.

Если вам нужно разрешить неаутентифицированные / ненадежные устройства, но вы хотите ограничить ущерб, который могут нанести мошенники, не пускайте их в общую локальную сеть. Автоматически помещайте на карантин устройства, не прошедшие проверку подлинности, каждое в свою собственную VLAN для одного устройства и применяйте тщательную выходную фильтрацию для каждой такой VLAN, чтобы они не создавали проблем для других. Может быть больше проблем, чем стоит, но, вероятно, есть продукты корпоративного класса, которые облегчают эту задачу.

0
AFH

Вы неправильно понимаете предупреждение. Термин « резервирование адреса» - это способ назначать один и тот же фиксированный IP-адрес каждый раз, когда устройство запрашивает соединение с DHCP-сервера.

Это основано на распознавании MAC-адреса и выделении предварительно определенного адреса из его таблицы. Все предупреждение говорит о том, что если вы подделаете другой MAC-адрес, DHCP-сервер не увидит ваш фактический адрес, поэтому он не сможет сопоставить запись в своей таблице, и вы получите случайный адрес из пула.

Вы путаете адрес резервирования с распределением адресов . В последнем случае адрес недоступен для других подключающихся устройств до тех пор, пока устройство с выделенным адресом не отключится, когда адрес освобождается в пул DHCP и снова становится доступным для других устройств.

Перед освобождением выделенного адреса применяется время ожидания (время аренды), поэтому временные проблемы в сети не приводят к постоянному изменению IP-адресов.

Похожие вопросы