<|||>
 

Эффективный метод автоматического обнаружения и нейтрализации вредоносного DHCP-сервера

Глобальные компьютерные сети и интернет

Вредоносный DHCP-серверВ современную эпоху цифровизации безопасность становится одной из главных забот пользователей интернета,

системных администраторов и специалистов по безопасности крупных ЦОД (Центров Обработки Данных). Примером может служить протокол DHCP (RFC 2131), широко используемый, но не имеющий механизма аутентификации по умолчанию. Отсутствие такой защиты сделало этот протокол очень восприимчивым к критическим атакам для системы, таким как DHCP-истощение и мошеннический DHCP-сервер. Как правило, вредоносный DHCP-сервер представляет собой последовательную атаку после атаки с отключением DHCP. Атака DHCP-истощения не позволяет пользователям получить IP-адрес с легитимного сервера и вынуждает их принимать вредоносный IP-адрес, предлагаемый мошенническим DHCP-сервером. Мошеннический DHCP-сервер предоставляет свои данные в качестве адреса шлюза сети, так что все данные жертвы направляются через злоумышленника, а не через фактический шлюз. Таким образом, злоумышленник инициирует атаку через «посредника» (MITM) и перехватывает данные, которыми обмениваются пользователи-жертвы.

Несанкционированная DHCP-атака является опасным действием, со стороны кибер-злоумышленников, которая предоставляет вредоносный IP-адрес и другие связанные с ним конфигурации DHCP-клиентам и запускает процесс внедрения через пользователей. Хотя в большинстве случаев предлагается всё-таки аутентификация DHCP-сервера на основе цифрового сертификата, защита закрытого ключа DHCP-сервера становится очень сложной и рискованной задачей. Опять же, существующий метод предотвращения, основанный на отслеживании DHCP, неэффективен в том случае, когда злоумышленнику удалось получить доступ к коммутатору на физическом уровне. Более того, обнаружение IP-адреса сервера DCHP на основе белого списка может быть легко обойдено атакой подмены IP-адреса. Кроме того, этим методам не хватает техники для нейтрализации вредоносного DHCP-сервера.

Таким образом, цель разработчиков состоит в том, чтобы предложить эффективный метод обнаружения и автоматической нейтрализации вредоносного DHCP-сервера с использованием механизма обнаружения на базе python, который отличает вредоносный DHCP-сервер от законного, путём сравнения их IP-адресов из белого списка и связанных с ними MAC-адресов. Наконец, эффективность и валидация предложенных методов были продемонстрированы с использованием программного обеспечения для эмуляции многопользовательской сети (EVE-NG).

Аутентификация DHCP-сервера на основе цифровых сертификатов относительно эффективна, но безопасность закрытого ключа DHCP-сервера должна быть основной задачей этого метода обнаружения. Если закрытый ключ станет скомпрометирован, то DHCP-сервер ожидает та же участь. Отслеживание может быть организованно в качестве возможного решения для защиты от подставного DHCP-сервера. Однако, если злоумышленник имеет физический доступ к коммутатору, настроенному для отслеживания, то замена доверенного порта на коммутаторе законного DHCP-сервера на легитимный обходит этот метод обнаружения. Возможно обнаружение, путём внесения IP-адреса в белый список законного DHCP-сервера. Чтобы найти вредоносный сервер, предлагаемый метод обнаружения проверяет IP-адрес в сообщении DHCPOFFER с данными из белого списка. Однако, подделав IP-адрес законного DHCP-сервера, этого обнаружения можно легко избежать.

Но существует механизм обнаружения с использованием языка python и библиотеки scapy. Механизм обнаружения транслирует сообщения DHCPDIS-COVER и анализирует поток данных DHCPOFFER с DHCP-серверов. Он сравнивает IP и MAC-адреса входящих сообщений DHCPOFFER с теми, которые занесены в белый список, хранящимися в БД предварительной сборки. Механизм обнаружения определяет DHCP-сервер как легитимный, если IP- и MAC-адреса сообщения DHCPOFFER совпадают с адресами из белого списка. Если какой-либо из указанных явно адресов не совпадает, то механизм обнаружения идентифицирует его как вредоносный. Как только обнаруживается вредоносный DHCP-сервер, механизм обнаружения автоматически инициирует атаку с отключением протокола передачи DHCP на вредоносный сервер. Такой тип атаки влечёт за собой инициацию отказа в обслуживании, , поскольку она отправляет большое количество сообщений «DHCPDISCOVER», чтобы занять полностью пул вредоносными значениями с DHCP-сервера мошенника.

Вредоносный DHCP-сервер в основном используется для запуска атаки «человек посередине» (MITM), которая представляет собой тип кибератаки, при которой злоумышленник тайно перехватывает сообщение или данные, которыми обмениваются две системы. В локальной сети нет статического назначения IP-адресов, и оба DHCP поддерживают свой собственный список зарезервированных IP-адресов, что позволяет избежать конфликтов в локальной сети.

Вот какова предлагаемая технология автоматической нейтрализации несанкционированных DHCP-серверов при обнаружении их в сети. Метод нейтрализации не позволит мошенническому DHCP-серверу назначать клиентам вредоносный IP-адрес:

Во-первых, создаётся хранилище данных, содержащее IP-адрес и сопоставляемые им MAC-адреса на стороне авторизованного клиента. Во-вторых, предлагаемый механизм обнаружения построен на языке Python с использованием библиотеки scapy, поэтому через определённый интервал времени он автоматически передаёт сообщения DHCPDISCOVER на все свои интерфейсы. В-третьих, DHCP-сервер, подключённый к любому из интерфейсов механизма обнаружения, получает DHCPDISCOVER и отвечает DHCPOFFER, который содержит IP-адрес и MAC-адрес исходного DHCP-сервера. После получения DHCPOFER механизм обнаружения извлекает IP-адрес и MAC-адрес исходного DHCP-сервера. Затем механизм обнаружения ищет в хранилище данных IP-адрес и связанный с ним MAC-адрес авторизованного DHCP-сервера. Он сопоставляет извлечённые IP и MAC-адреса с адресами из белого списка соответственно. Если оба извлечённых адреса совпадают, то механизм обнаружения определяет исходный сервер на стороне клиента, как законный или авторизованный. Однако, если такого не происходит, то исходный DHCP-сервер считается несанкционированным.

Наконец, как только несанкционированный DHCP-сервер обнаружен, механизм обнаружения инициирует процесс нейтрализации несанкционированного DHCP, в ходе которого он запускает быструю и масштабную атаку с истощением DHCP (DoS) только на несанкционированный DHCP-сервер. Инициированная встречная атака будет использовать весь возможный интервал IP-адресов сервера злоумышленников и не сможет предоставить вредоносный шлюз для передачи ни одному клиенту.



Понравилась полезная статья? Подпишитесь на RSS и получайте больше нужной информации!


Рейтинг 5.0 из 5. Голосов: 1
Комментарии
Добавить новый RSS
Оставить комментарий
Имя:
Email:
 
Тема:
 
Пожалуйста, введите проверочный код, который Вы видите на картинке.

3.26 Copyright (C) 2008 Compojoom.com / Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved."

 
Яндекс.Метрика Все права защищены. Copyright 2008-2024 © Мой компьютер плюс