جلوگیری از حملات DHCP Starvation در میکروتیک

جلوگیری از حملات DHCP Starvation در میکروتیک، همانطور که می دانیم DHCP Server درون خود یک IP Pool دارد که در آن همه آدرس های IP ای که می توانند در شبکه تخصیص داده شوند، وجود دارد. در مقاله ( پیاده سازی DHCP Server ) در مراحل DHCP Setup یک قسمت وجود داشت که در آن می بایست یک رنج IP را مشخص برای Pool در نظر می گرفتیم که همه آن آدرس ها بعدا می توانند به کلاینت ها در شبکه تخصیص یابند.

هر گاه یک کلاینت درخواست IP را به سمت سرور ارسال می کند یکی از این آدرس های موجود در Pool به کلاینت اختصاص می یابد. اگر نیاز به اطلاعات تکمیلی در خصوص پروتکل DHCP دارید می توانید مقاله ( پروتکل پیکربندی میزبان پویا ) را مطالعه فرمایید. در این مقاله قصد داریم جلوگیری از حملات DHCP Starvation در روتربرد های میکروتیک مورد بررسی قرار دهیم.

جلوگیری از حملات DHCP Starvation در میکروتیک

فهرست مطالب

1. جلوگیری از حملات DHCP Starvation
2. جدول DHCP lease
3. DHCP Starvation چیست
4. راهکار جلوگیری از DHCP Starvation

ابتدا نرم افزار Winbox را اجرا می کنیم و برای مشاهده Pool آدرس های IP در روتربرد خود می توانیم وارد منوی IP شده و روی زیر منوی Pool کلیک نماییم.

در پنجره باز شده رنج آدرس های قابل تخصیص به کلاینت ها را نمایش خواهد داد که همانطور که در تصویر مشاهده می نمایید از آدرس 192.168.1.11 تا 192.168.1.254 می باشد.

همچنین برای مشاهد Pool می توان از دستور زیر در محیط Terminal میکروتیک نیز استفاده نمود:

ip pool print

جدول DHCP lease

درون DHCP Server یک جدول به نام Lease وجود دارد که نشان می دهد یک آدرس IP به چه آدرس MAC ( کلاینت ) اختصاص داده شده و چه مدت زمانی از این تخصیص سپری شده است. برای مشاهده این جدول از منوی IP زیر منوی DHCP Server را انتخاب نموده و روی تب Leases کلیک می نماییم. برای مثال در تصویر زیر می توانیم مشاهده کنیم یک سیستم با اسم PC1 و یک روتر با نام Router با MAC های مشخص چه IP هایی دریافت نموده اند.

همچنین برای مشاهد جدول Leases می توان از دستور زیر در محیط Terminal استفاده نمود:

ip dhcp-server lease print

DHCP Starvation چیست

یک مدل حمله با نام DHCP Starvation وجود دارد که یکی از حملات رایج در شبکه محسوب می گردد. Starvation در لغت به معنای قحطی می باشد و در این جا به تمام شدن و خالی شدن Pool آدرس های IP اشاره دارد. به واسطه حملات DHCP Starvation به راحتی می توان یک شبکه را مختل نمود. این حمله به این صورت شکل می گیرد که مهاجم در عرض چند ثانیه تعداد زیادی آدرس MAC جعلی ایجاد و سپس با استفاده از این آدرس های MAC جعلی به سمت DHCP Server درخواست ارسال می نماید.

در مقابل DHCP Server بدون اطلاع از حمله انجام شده به ازای هر درخواست یک آدرس IP به آن اختصاص می دهد. بنابراین در مدت زمان کوتاهی تمام آدرس های موجود در Pool به آدرس های MAC جعلی اختصاص داده می شود و Pool به کلی خالی می شود و دیگر آدرسی برای تخصیص به دستگاه های واقعی و مجاز در شبکه وجود نخواهد داشت. حالا دستگاه های مجاز در شبکه امکان دریافت آدرس IP را نخواهند داشت و ارتباط تمام تجهیزات و کامپیوتر ها در شبکه با یکدیگر قطع خواهد شد.

راهکار جلوگیری از DHCP Starvation

برای مقابله با این حمله راهکاری در میکروتیک وجود دارد که با تنظیمات مربوطه می توان از وقوع چنین حملاتی جلوگیری نمود. جهت پیشگیری از این حملات می بایست ابتدا کلاینت های مجاز در شبکه آدرس IP را دریافت نمایند. برای مثال ما قصد داریم PC1 و Router در شبکه ما حتما آدرس IP داشته باشند. پس از این که دستگاه های مد نظر ما در شبکه آدرس های خود را دریافت نمودند ما از طریق تب Leases می توانیم مشاهده کنیم که هر دستگاه با چه آدرس MAC چه آدرس IP دریافت کرده اند. حال ما با کلیک بر روی IP تخصیص یافته به دستگاه مورد نظر خود گزینه Make Static را انتخاب می نماییم.

بعد از اینکه دستگاه های مد نظر خود را در حالت Make Static قرار دادیم روی تب DHCP کلیک نموده و روی DHCP ساخته شد خود دوبار کلیک می کنیم. در پنجره باز شده یک قسمت با نام Address Pool وجود دارد این قسمت را روی Static-only قرار می دهیم و بر روی OK کلیک می نماییم .

با انجام این کار به غیر از دستگاه ها و تجهیزاتی که Make Static شده اند، هیچ دستگاه دیگری قادر به ارسال درخواست به DHCP Server و دریافت آدرس IP نخواهد بود و نکته قابل ذکر این است که دستگاه هایی که IP دریافت نموده اند و در حالت Make Static قرار گرفته اند برای همیشه همان آدرس را دریافت خواهند کرد و آدرس IP آن ها دیگر تغییر نخواهد نمود.