Get best of the week

ما هو DHCP Snooping وكيف يعمل؟

"لماذا لا يمكنني الاتصال بالشبكة ، حتى لو تلقى الكمبيوتر المحمول عنوان IP ديناميكيًا؟" هل واجهت هذه المشكلة في الحياة اليومية؟ هل شككت في صحة عناوين IP؟ هل تم استلامها من خادم DHCP معتمد؟ إذا لم يكن كذلك ، كيف يمكن منع ذلك؟ سيتم تقديم مصطلح DHCP Snooping في هذه المقالة لمساعدة المستخدمين على تجنب استخدام عناوين IP غير القانونية.

ما هو التطفل DHCP؟


DHCP Snooping هي تقنية أمان من الطبقة الثانية مضمنة في نظام التشغيل لمحول شبكة سليم يتجاهل حركة مرور DHCP التي تعتبر غير مناسبة. يمنع التطفل من DHCP خوادم DHCP (المخادعة) غير المصرح بها التي تقدم عناوين IP لعملاء DHCP. تقوم وظيفة التطفل DHCP بالإجراءات التالية:

  • التحقق من رسائل DHCP من مصادر غير موثوق بها وتصفية الرسائل غير الصالحة.
  • ينشئ ويحافظ على قاعدة بيانات ربط DHCP Snooping التي تحتوي على معلومات حول المضيفين غير الموثوق بهم مع عناوين IP المؤجرة.
  • يستخدم قاعدة بيانات تجسس DHCP للتحقق من الطلبات اللاحقة من المضيفين غير الموثوق بهم.

كيف يعمل التطفل DHCP؟


لمعرفة كيفية عمل DHCP Snooping ، نحتاج إلى التقاط آلية DHCP العاملة ، والتي تعني بروتوكول التكوين الديناميكي للمضيف. عند تمكين DHCP ، "سيتفاعل" جهاز شبكة بدون عنوان IP مع خادم DHCP من خلال 4 مراحل على النحو التالي.

DHCP Principle.jpg

يصنف DHCP Snooping الواجهات الموجودة على المحول إلى فئتين: المنافذ غير الموثوقة الموثوقة ، كما هو موضح في الشكل 2. المنفذ الموثوق هو منفذ أو مصدر موثوق به رسائل خادم DHCP. المنفذ غير الموثوق هو المنفذ الذي لا تثق منه رسائل خادم DHCP. إذا تم تشغيل تجسس DHCP ، فلا يمكن إرسال رسالة عرض DHCP إلا من خلال المنفذ الموثوق به. خلاف ذلك ، سيتم تجاهلها.

DHCP Snooping app.jpg

في مرحلة التأكيد ، سيتم إنشاء جدول ربط DHCP وفقًا لرسالة DHCP ACK. يسجل عنوان MAC المضيف وعنوان IP المستأجر ووقت التأجير ونوع الربط ، بالإضافة إلى رقم VLAN ومعلومات الواجهة المرتبطة بالمضيف ، كما هو موضح في الشكل 3. إذا لم تتطابق حزمة DHCP اللاحقة الواردة من المضيف غير الموثوق به المعلومات ، سيتم حذفها.
عنوان ماكعنوان IPإيجار (ثانية)نوعVLANواجهه المستخدم
الإدخال 1e4-54-e8-9d-ab-4210.32.96.192673التطفل DHCP10Eth 1/23
الإدخال 2
الدخول 3
...

أنواع الهجمات الأساسية التي يمنعها التطفل DHCP


هجوم خداع DHCP


يحدث انتحال DHCP عندما يحاول مهاجم الاستجابة لطلبات DHCP ويحاول تحديد نفسه (محاكاة ساخرة) كبوابة افتراضية أو خادم DNS ، وبالتالي ، يبدأ هجومًا من خلال وسيط. في الوقت نفسه ، من الممكن أن يتمكنوا من اعتراض حركة المرور من المستخدمين قبل إعادة التوجيه إلى بوابة حقيقية أو تنفيذ DoS ، وملء خادم DHCP الحقيقي بطلبات انسداد موارد عنوان IP.

تجويع DHCP (استنفاد DHCP)


يستنفد استنفاد موارد DHCP عادةً خوادم DHCP للشبكة لملء خادم DHCP معتمد برسائل طلب DHCP باستخدام عناوين MAC المصدر المزيفة. سيرد خادم DHCP على جميع الطلبات ، دون معرفة أنه هجوم استنفاد DHCP من خلال تعيين عناوين IP المتاحة ، مما سيؤدي إلى استنفاد مجموعة DHCP.

كيفية تمكين التطفل DHCP؟


DHCP Snooping قابل للتطبيق فقط للمستخدمين السلكيين. كميزة أمان على مستوى الوصول ، يتم تمكينه بشكل أساسي على أي محول يحتوي على منافذ وصول VLAN التي يخدمها DHCP. عند نشر DHCP Snooping ، يجب عليك تكوين المنافذ الموثوقة (المنافذ التي ستمر بها رسائل خادم DHCP الصالحة) قبل تمكين DHCP Snooping في VLAN التي تريد حمايتها. يمكن تنفيذ ذلك في واجهة CLI وفي واجهة الويب.

استنتاج


على الرغم من أن بروتوكول DHCP يبسط عنونة IP ، إلا أنه يتسبب أيضًا في مشكلات أمنية. لإصلاح المشكلات ، يمكن لـ DHCP Snooping ، إحدى آليات الحماية ، منع استخدام عناوين DHCP غير الموثوق بها من خادم DHCP الاحتيالي ويمكن أن تمنع هجوم استنفاد الموارد الذي يحاول استخدام جميع عناوين DHCP الموجودة.

More articles:


All Articles