Kann das MAC-Spoofing dazu führen, dass DHCP keine IP-Adressen mehr hat?

1247
codeaviator

Ich habe diese Seite gelesen, als ich auf diese Warnung gestoßen bin:

ACHTUNG !: DHCP-Reservierungen verlassen sich im Allgemeinen auf eine MAC-Adresse, um eine bestimmte IP-Adresszuweisung zu reservieren. Wenn Sie Ihre MAC-Adresse randomisieren, wird Ihre Reservierung abgebrochen.

Angenommen, wir haben einen DHCP- Server, um IP-Adressen in einem Netzwerk zuzuweisen . Stellen Sie sich vor, wir verbinden absichtlich ein Rogue-Gerät, das so eingestellt ist, dass es seine MAC-Adresse kontinuierlich spoof und dann wieder eine Verbindung zum Netzwerk herstellt (eine neue IP- Adresse an das DHCP anfordert). Soweit ich es verstehe, reserviert das DHCP für jede MAC-Adresse eine IP-Adresse. Wenn dieser Vorgang schnell genug durchgeführt wird, werden dem DHCP die IP-Adressen ausgehen, sodass neue legitime Geräte keine Verbindung herstellen können, bis die Lease-Zeit abgelaufen ist.

Obwohl dies theoretisch möglich erscheint, bin ich mir nicht sicher, ob es in der Praxis funktionieren würde.

  • Kann das MAC-Spoofing dazu führen, dass DHCP keine IP-Adressen mehr hat?

  • Gibt es einen Namen für einen solchen Angriff?

  • Gibt es Abwehrmechanismen, um diese Art von Angriff zu verhindern?

0
Es wäre ein DOS-Angriff. Gegenmaßnahmen umfassen zum Beispiel Filter der Stufe 2 und / oder Authentifizierung. Seth vor 7 Jahren 2
Es gibt zwei Arten von "Reservierungen", die auf Lease (temporär) und auf administrativ konfigurierten Regeln (permanent) basieren. Bei Lease-basierten Reservierungen reagiert der Server nicht mehr auf neue DHCP-Anforderungen, wenn der Adresspool erschöpft ist, er gibt jedoch Speicherplatz frei, sobald eine Lease abläuft. Diese Reservierungen können nicht ausgehen, ohne dass auch die Adressen ausgehen, was wahrscheinlich die größte Sorge ist. Für permanente Reservierungen werden sie nicht automatisch erstellt, sodass ein Administrator mehr Verknüpfungen eingeben muss, als der Server unterstützt. Frank Thomas vor 7 Jahren 1

2 Antworten auf die Frage

1
Spiff

Ja, ein Rogue-Gerät in Ihrem Ethernet- oder Wi-Fi-LAN kann alle Ihre DHCP-Leases in Anspruch nehmen und sogar ARP verwenden, um alle IP-Adressen im Netzwerk (auch außerhalb des DHCP-Pools) als belegt anzusehen. Das ist nur die Spitze des Eisbergs. Bösewichte können alle möglichen Dinge tun, um LAN-Besitzer und andere Benutzer zu Problemen zu bringen.

Die Voraussetzung eines Ethernet- oder Wi-Fi-LAN ist, dass es sich um einen sicheren Ort handelt. Nur vertrauenswürdige Geräte dürfen eine Verbindung herstellen. Der Versuch, ein LAN ohne diese Prämisse zu betreiben, ist mit Problemen verbunden, sobald ein halb kenntnisreicher, halb böswilliger Benutzer (oder ein Teil der Malware) auftaucht. Erfordern die 802.1X-Authentifizierung in Ihrem LAN und lassen Sie nur vertrauenswürdige Personen / Geräte eine Verbindung herstellen.

Wenn Sie nicht authentifizierte / nicht vertrauenswürdige Geräte zulassen müssen, aber den Schaden begrenzen möchten, den Schurken verursachen können, dürfen Sie diese nicht in einem gemeinsam genutzten LAN zulassen. Isolieren Sie nicht authentifizierte Geräte automatisch in ihrem eigenen VLAN für ein einzelnes Gerät und führen Sie eine sorgfältige Ausgangsfilterung für jedes solche VLAN durch, damit andere keine Probleme haben können. Könnte mehr Ärger sein, als es wert ist, aber es gibt wahrscheinlich Produkte der Enterprise-Klasse, die es einfach machen.

0
AFH

Sie verstehen die Warnung falsch. Der Begriff Adressreservierung ist eine Möglichkeit, dieselbe feste IP-Adresse jedes Mal zuzuweisen, wenn ein Gerät eine Verbindung vom DHCP-Server anfordert.

Dies basiert auf dem Erkennen der MAC-Adresse und dem Zuweisen der vordefinierten Adresse aus ihrer Tabelle. Die Warnung besagt lediglich, dass der DHCP-Server bei einer Fälschung einer anderen MAC-Adresse Ihre tatsächliche Adresse nicht sehen kann. Er kann also nicht mit dem Eintrag in seiner Tabelle übereinstimmen und erhält eine zufällige Adresse aus dem Pool.

Sie verwechseln die Adressreservierung mit der Adressvergabe . Im letzteren Fall ist die Adresse für andere Verbindungsgeräte nicht verfügbar, bis das Gerät mit der zugewiesenen Adresse getrennt wird, wenn die Adresse an den DHCP-Pool freigegeben wird und für andere Geräte wieder verfügbar ist.

Es wird ein Timeout angewendet (die Lease-Zeit), bevor eine zugewiesene Adresse freigegeben wird, sodass temporäre Netzwerkprobleme nicht zu ständig wechselnden IP-Adressen führen.