Регистрация Войти
Рейтинг:0
Igor Adamenko avatar Server

Как предотвратить атаку IP голодания DHCP на беспроводном интерфейсе?

флаг tn
Igor Adamenko

Вероятно, можно пойти в любой ресторан/кафе/автобус с общедоступной точкой доступа Wi-Fi и залить ее пакетами DHCP DISCOVER / REQUEST. Если эта сеть создана маршрутизатором, который работает как DHCP-сервер, то такая атака должна привести к голоданию IP, верно?

Есть ли способ предотвратить такие атаки?

Я говорю только о беспроводных сетях. Место, где каждый клиент использует один и тот же общий носитель и невозможно, скажем, «заблокировать порт, который генерирует слишком много запросов DCHP» или что-то в этом роде.

(я нашел аналогичный вопрос который был задан 11 лет назад. Может быть, есть что-то новое в этой области.)

402
1 + 4
Michael Hampton avatar
флаг cz
Michael Hampton
В последний раз, когда я видел что-то подобное несколько недель назад, DHCP-сервер просто продолжал предлагать один и тот же IP-адрес снова и снова, хотя клиент отклонял его. Интересно, стоит ли беспокоиться об этой проблеме?
2
Ответить
флаг us
Tero Kilkanen
Если злоумышленник изменит свой MAC-адрес и идентификатор DHCP-клиента, DHCP-сервер не сможет идентифицировать злоумышленника.
2
Ответить
Igor Adamenko avatar
флаг tn
Igor Adamenko
@NiKiZe, на самом деле нет. Я думаю, что атаку не стоит делать, потому что, если цель состоит в том, чтобы отключить сеть, вероятно, проще создать много шума в среде или что-то в этом роде. Мой вопрос скорее теоретический, чем практический.
0
Ответить
флаг cn
Greg Askew
Не ходите к Денни и не ожидайте надежного Wi-Fi.
1
Ответить
Рейтинг:2
avatar Server
флаг in
NiKiZe

Чтобы попытаться ответить на вопрос «как». (взято из моего комментария)

Случайные MAC-адреса теоретически могут исчерпать адресное пространство. Как упоминалось в вопросе, невозможно однозначно идентифицировать такого злоумышленника, если есть несколько точек доступа на разных портах, которые можно использовать для его сужения. Но не без проблем для других клиентов, и злоумышленник может просто переключить точку доступа.

  • Убедитесь, что общедоступная подсеть используется только для общедоступных клиентов.
  • Используйте большое адресное пространство, таким образом злоумышленнику потребуется больше времени, чтобы исчерпать диапазон
    • или, что еще лучше, используйте несколько меньших диапазонов, чтобы любому злоумышленнику было сложнее оценить, сколько ресурсов необходимо для достижения блокировки.
  • Используйте короткое время для аренды, таким образом, любая атака будет ограничена по времени, а вместе с большой дальностью сделать непрактичным достижение

Есть ли на самом деле сценарий, в котором такая атака стоила бы? (Плохая воля для кофейни?)

0 + 1
anx avatar
флаг fr
anx
*Стоит делать?* Конечно, если то, чем вы занимаетесь, является промышленным шпионажем. Трудно поддающиеся диагностике сетевые проблемы оказывают необходимое давление как на ИТ-специалистов, так и на отдельных лиц, чтобы они начали работать в соответствии с передовыми практиками и установленными процедурами обеспечения безопасности.
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.