| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari:dhcp_protokol_i_napadi [2023/01/05 16:06]
ke51151 [Uvod] |
racfor_wiki:seminari:dhcp_protokol_i_napadi [2023/06/19 18:17] (trenutno)
|
| ===== Uvod ===== | ===== Uvod ===== |
| |
| DHCP protokol jedan je od protokola čija uporaba je široko rasprostranjena i postao je de facto standardni način dinamičkog dodjeljivanja mrežnih obilježja. S druge strane, mrežni sustavi su izloženi učestalim napadima pa je vrlo važna obrada mrežnih protokola iz perspektive računalne forenzike da bi se ti napadi otkrili i prevenirali. | DHCP protokol jedan je od protokola čija je uporaba široko rasprostranjena te je postao de facto standardni način dinamičkog dodjeljivanja mrežnih obilježja. S druge strane, mrežni sustavi su izloženi učestalim napadima pa je vrlo važna obrada mrežnih protokola iz perspektive računalne forenzike da bi se ti napadi otkrili i prevenirali. |
| U nastavku rada opisati će se DHCP mrežni protokol, njegovi nedostaci, mogući napadi, prikupljanje tragova sa stanovišta mrežne foreznike i mogućnosti otklanjanja napada. | U nastavku rada opisati će se DHCP mrežni protokol, njegovi nedostaci, mogući napadi, prikupljanje tragova sa stanovišta mrežne foreznike i mogućnosti otklanjanja napada. |
| |
| ===== Opis DHCP protokola ===== | ===== Opis DHCP protokola ===== |
| |
| DHCP (engl. Dynamic Host Configuration Protocol) je mrežni protocol koji omoogućava automatsku konfiguraciju mrežnih obilježja (IP adresa računala, subnet maska, IP adrese DNS servera, pretpostavljeni usmjerivač itd.). | DHCP (engl. Dynamic Host Configuration Protocol) je mrežni protokol koji omogućava automatsku konfiguraciju mrežnih obilježja (IP adresa računala, subnet maska, IP adrese DNS servera, pretpostavljeni usmjerivač itd.). |
| DHCP server šalje mrežna obilježja računalu koje ih zatraži preko DHCP protokola. | DHCP poslužitelj šalje mrežna obilježja računalu koje ih zatraži preko DHCP protokola. |
| Protokol je definiran i opisan RFC-om 2131. | Protokol je definiran i opisan RFC-om 2131. |
| Postupak dodjele IP adresa i ostalih mrežnih obilježja je prikazan na slici 1. | Postupak dodjele IP adresa i ostalih mrežnih obilježja je prikazan na slici 1. |
| **Slika 1:** Dodjela mrežnih obilježja preko DHCP protokola [[https://www.netmanias.com/en/post/techdocs/5998/dhcp-network-protocol/understanding-the-basic-operations-of-dhcp|izvor]] | **Slika 1:** Dodjela mrežnih obilježja preko DHCP protokola [[https://www.netmanias.com/en/post/techdocs/5998/dhcp-network-protocol/understanding-the-basic-operations-of-dhcp|izvor]] |
| |
| Postupak dodjele mrežnih obilježja započinje slanjem poruke **DHCP Discover** kojom klijentsko računalo pokušava otkriti postoji li DHCP server na mreži. Poruka je u upućena svim računalima na mreži (broadcast, DA=FF:FF:FF:FF:FF:FF). | Postupak dodjele mrežnih obilježja započinje slanjem poruke **DHCP Discover** kojom klijentsko računalo pokušava otkriti postoji li DHCP poslužitelj na mreži. Poruka je u upućena svim računalima na mreži (broadcast, DA=FF:FF:FF:FF:FF:FF). |
| DHCP server koji primi ovu poruku odgovara sa porukom **DHCP Offer** kojom šalje predložena mrežna obilježja klijentskom računalu (u konkretnom slučaju to su IP adresa, Subnet maska, IP adresa routera i IP adrese DNS poslužitelja). | DHCP poslužitelj koji primi ovu poruku odgovara sa porukom **DHCP Offer** kojom šalje predložena mrežna obilježja klijentskom računalu (u konkretnom slučaju to su IP adresa, Subnet maska, IP adresa routera i IP adrese DNS poslužitelja). |
| Klijentsko računalo prihvaća ponuđena mrežna obilježja sa **DHCP Request** porukom koju nakon toga DHCP poslužitelj potvrđuje na **DHCP Ack** porukom. Za svaku poruku su prikazane i korištene klijentske i poslužiteljske MAC i IP adrese. | Klijentsko računalo prihvaća ponuđena mrežna obilježja sa **DHCP Request** porukom koju nakon toga DHCP poslužitelj potvrđuje sa **DHCP Ack** porukom. Za svaku poruku su prikazane i korištene klijentske i poslužiteljske MAC i IP adrese. |
| |
| |
| ==== DHCP napad izgladnjivanjem ==== | ==== DHCP napad izgladnjivanjem ==== |
| |
| DHCP izgladnjivanje (engl. DHCP starvation) je vrsta napada gdje maliciozno računalo šalje veliku količinu lažnih DHCP zahtjeva za IP adresom prema DHCP poslužitelju. Savka poruka ima različitu izvorišnu MAC adresu pa DHCP poslužitelj na svaki zahtjev odgovara aa novo dodjeljenom IP adresom. Ako je broj lažnih zahtjeva dovoljno velik, DHCP oslužitelj će iscrpiti sve adrese koje može dodjeliti klijentu. Na taj način se onemogućuje spajanje ostalih računala na mrežu budući pa ovaj napad spada i u DOS (Denial of Service) napade. Na ovaj način je onemogućena komunikacija i dostupnost sustava. Napad je prikazan na slici 2. | DHCP izgladnjivanje (engl. DHCP starvation) je vrsta napada gdje maliciozno računalo šalje veliku količinu lažnih DHCP zahtjeva za IP adresom prema DHCP poslužitelju. Svaka poruka ima različitu izvorišnu MAC adresu pa DHCP poslužitelj na svaki zahtjev odgovara novo dodjeljenom IP adresom. Ako je broj lažnih zahtjeva dovoljno velik, DHCP poslužitelj će iscrpiti sve adrese koje može dodjeliti klijentu. Na taj način se onemogućuje spajanje ostalih računala na mrežu budući pa ovaj napad spada i u DOS (Denial of Service) napade. Na ovaj način je onemogućena komunikacija i dostupnost sustava. Napad je prikazan na slici 2. |
| |
| {{ slika2_0036511510.jpg }} | {{ slika2_0036511510.jpg }} |
| **Slika 2:** DHCP napad izgladnjivanjem [[https://www.sciencedirect.com/science/article/abs/pii/S0045790612001140|izvor]] | **Slika 2:** DHCP napad izgladnjivanjem [[https://www.sciencedirect.com/science/article/abs/pii/S0045790612001140|izvor]] |
| |
| Za otkrivanje napada sa stanovništa forenzike mogu se koristi logovi sa DHCP servera koji pokazuju da DHCP server nema više slobodnih IP adresa. Također, neki korisnici će prijaviti da ne mogu komunicirati sa ostalima na mreži. Provjerom logova na tim računalima može se otkriti da nisu dobili pravu IP adresu od DHCP poslužitelja. Od koristi može biti i CAM tablica na preklopniku koja pokazuje mapiranje puno MAC adresa na port na preklopniku na koji je spojeno maliciozno računalo. Korisno može biti i preusmjeriti promet sa tog porta na računalo koje ima instaliran Wireshark alat za analizu DHCP poruka. | Za otkrivanje napada sa stanovništa forenzike mogu se koristi logovi sa DHCP poslužitelja koji pokazuju da DHCP poslužitelj nema više slobodnih IP adresa. Također, neki korisnici će prijaviti da ne mogu komunicirati sa ostalima na mreži. Provjerom logova na tim računalima može se otkriti da nisu dobili pravu IP adresu od DHCP poslužitelja. Od koristi može biti i CAM tablica na preklopniku koja pokazuje mapiranje puno MAC adresa na port na preklopniku na koji je spojeno maliciozno računalo. Korisno može biti i preusmjeriti promet sa tog porta na računalo koje ima instaliran Wireshark alat za analizu DHCP poruka. |
| Napad izgladnjivanjem se može izbjeći konfiguriranjem tzv. port-security mogućnosti na preklopnicima. Ta mogućnost omogućava specificiranje maksimalnog broja mac addresa koje preklopnik može mapirati na određeni port. Ovo je primjer komande na Cisco IOS preklopniku gdje je N maksimalni broj mac-adresa koje preklopnik može mapirati na odgovarajući port (komanda se primjenjuje na svaki željeni port na preklopniku). | Napad izgladnjivanjem se može izbjeći konfiguriranjem tzv. port-security mogućnosti na preklopnicima. Ta mogućnost omogućava specificiranje maksimalnog broja mac addresa koje preklopnik može mapirati na određeni port. Ovo je primjer komande na Cisco IOS preklopniku gdje je N maksimalni broj mac-adresa koje preklopnik može mapirati na odgovarajući port (komanda se primjenjuje na svaki željeni port na preklopniku). |
| |
| |
| | |
| Ako netko priključi svoj maliciozan DHCP poslužitelj na mrežu (na slici taj poslužitelj je označen sa Rogue DHCP server) i ako je njegova DHCP Offer poruka stigla prije na klijentsko računalo koje je poslalo zahtjeva za DHCP adresom , klijentsko računalo će prihvatiti dodjeljena mreža obilježja što je prikazano na slici 4. | Ako netko priključi svoj maliciozan DHCP poslužitelj na mrežu (na slici taj poslužitelj je označen sa Rogue DHCP server) i ako je njegova DHCP Offer poruka stigla prije na klijentsko računalo koje je poslalo zahtjev za DHCP adresom , klijentsko računalo će prihvatiti dodjeljena mreža obilježja što je prikazano na slici 4. |
| |
| |
| {{ slika4_0036511510.jpg }} | {{ slika4_0036511510.jpg }} |
| | |
| |
| **Slika 4:** Wireshark prikaz DHCP poruka kod DNS spoofing napada [[https://www.packetorbit.net/post/dhcp-vulnerabilities|izvor]] | **Slika 4:** Wireshark prikaz DHCP poruka kod DNS spoofing napada [[https://www.packetorbit.net/post/dhcp-vulnerabilities|izvor]] |
| |
| |
| Na taj način napadač može preusmjeriti sav korisnički promet preko svoga servera bez znanja korisnika (slika 5). | Na taj način napadač može preusmjeriti sav korisnički promet preko svog servera bez znanja korisnika (slika 5). |
| Napad je moguće otkriti wireshrak analizom DHCP poruka gdje se vidi da sva DHCP poslužitelja odgovaraju na istu DHCP Discover poruku a po IP adresama poslužitelja se može zakljućiti koji nije legitimni poslužitelj. | Napad je moguće otkriti wireshrak analizom DHCP poruka gdje se vidi da dva DHCP poslužitelja odgovaraju na istu DHCP Discover poruku a po IP adresama poslužitelja se može zakljućiti koji nije legitimni poslužitelj. |
| |
| |
| |
| |
| Napad se onemogućava konfiguriranjem tzv. dhcp-spoofing mogućnosti na preklopnicima. Ona omogućuje da se portovi gdje se nalaze legitimni DHCP poslužitelji označe kao trusted, dok su svi ostali portovi untrusted. Preklopnik analizira sav DHCP promet koji prolazi kroz njega i onemogućva sve DHCP odgovore koji nisu došli sa trusted porta. DHCP spoofing je prikazan na slici 6. | Napad se onemogućava konfiguriranjem tzv. dhcp snooping mogućnosti na preklopnicima. Ona omogućuje da se portovi gdje se nalaze legitimni DHCP poslužitelji označe kao "trusted", dok su svi ostali portovi "untrusted". Preklopnik analizira sav DHCP promet koji prolazi kroz njega i onemogućava sve DHCP odgovore koji nisu došli sa "trusted" porta. DHCP spoofing je prikazan na slici 6. |
| |
| {{ slika6_0036511510.jpg }} | {{ slika6_0036511510.jpg }} |
| Cilj ovog seminara je opisati kako funkcionira DHCP protokol i koji su njegovi nedostaci koji omogućuju napade. Opisani su DHCP napad izgladnjivanjem i DHCP snooping napad, kako ih detektirati i prikupiti forenzičke tragove analizom logova i Wireshark alatom, te mogućnosti kako se ti napadi mogu otkloniti konfiguriranjem preklopnika. | Cilj ovog seminara je opisati kako funkcionira DHCP protokol i koji su njegovi nedostaci koji omogućuju napade. Opisani su DHCP napad izgladnjivanjem i DHCP snooping napad, kako ih detektirati i prikupiti forenzičke tragove analizom logova i Wireshark alatom, te mogućnosti kako se ti napadi mogu otkloniti konfiguriranjem preklopnika. |
| |
| | Poveznica na video prezentaciju: |
| | |
| | https://ferhr-my.sharepoint.com/:v:/g/personal/ke51151_fer_hr/EXcVw5LdODVHjekDSp9TtVUBpCKJfGLeSFJcrktRovXcwA |
| | |
| | Poveznica na dvominutnu PowerPoint prezentaciju: |
| | |
| | https://ferhr-my.sharepoint.com/:p:/g/personal/ke51151_fer_hr/EYTOyTdVpPZOvXqTCoRxHkUBxz64BrXlxb4wM9omjMPheg?e=tFxH1g |
| ===== Literatura ===== | ===== Literatura ===== |
| |
