Я читал эту страницу, когда наткнулся на это предупреждение:

ВНИМАНИЕ !: При резервировании DHCP обычно используется MAC-адрес для резервирования определенного IP-адреса. Если вы рандомизируете свой MAC-адрес, вы прекратите бронирование

Предположим, что у нас есть DHCP- сервер для распределения IP-адресов в сети. Представьте, что мы намеренно подключаем мошенническое устройство, которое настроено на непрерывную подмену своего MAC-адреса, а затем повторно подключаемся к сети (запрашивая новый IP-адрес для DHCP). Насколько я понимаю, DHCP зарезервирует IP-адрес для каждого MAC-адреса, поэтому, если этот процесс будет выполнен достаточно быстро, DHCP-сервер исчерпает IP-адреса, предотвращая подключение новых законных устройств до истечения времени аренды.

Хотя это кажется теоретически возможным, я не уверен, сработает ли это на практике.

  • Может ли подделка MAC заставить DHCP исчерпать IP-адреса?

  • Есть ли название для такой атаки?

  • Существуют ли защитные механизмы для предотвращения такого рода атак?

|источник

2 ответа2

1

Да, мошенническое устройство в вашей локальной сети Ethernet или Wi-Fi может получить все ваши аренды DHCP и даже использовать ARP, чтобы все IP-адреса в сети (даже те, которые находятся вне пула DHCP) казались занятыми. Это только верхушка айсберга. Плохие парни могут делать все, что угодно, чтобы создавать проблемы для владельцев локальной сети и других пользователей.

Предпосылка локальной сети Ethernet или Wi-Fi заключается в том, что это безопасное место. Только доверенные устройства должны быть разрешены для подключения. Попытка запустить ЛВС без этой предпосылки чревата проблемами, как только появляется полуосведомленный, полу злонамеренный пользователь (или часть вредоносного ПО). Требовать аутентификацию 802.1X в вашей локальной сети и разрешать подключение только доверенным лицам / устройствам.

Если вам нужно разрешить неаутентифицированные / ненадежные устройства, но вы хотите ограничить ущерб, который могут нанести мошенники, не допускайте их в общую локальную сеть. Автоматически помещайте на карантин устройства, не прошедшие проверку подлинности, каждое в свою собственную VLAN для одного устройства и применяйте тщательную выходную фильтрацию для каждой такой VLAN, чтобы они не создавали проблем для других. Может быть больше проблем, чем стоит, но, вероятно, есть продукты корпоративного класса, которые облегчают эту задачу.

|источник
0

Вы неправильно понимаете предупреждение. Термин « резервирование адреса» - это способ назначать один и тот же фиксированный IP-адрес каждый раз, когда устройство запрашивает соединение с DHCP-сервера.

Это основано на распознавании MAC-адреса и выделении предварительно определенного адреса из его таблицы. Все предупреждение говорит о том, что если вы подделаете другой MAC-адрес, DHCP-сервер не увидит ваш фактический адрес, поэтому он не сможет сопоставить запись в своей таблице, и вы получите случайный адрес из пула.

Вы путаете резервирование адресов с распределением адресов. В последнем случае адрес недоступен для других подключающихся устройств до тех пор, пока устройство с выделенным адресом не отключится, когда адрес освобождается в пул DHCP и снова становится доступным для других устройств.

Применяется тайм-аут (время аренды) до освобождения выделенного адреса, поэтому временные проблемы в сети не приводят к постоянно меняющимся IP-адресам.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .