Professional Documents
Culture Documents
Napad I Zaštita Na Drugom Sloju OSI Modela
Napad I Zaštita Na Drugom Sloju OSI Modela
Први начин DHCP напада се одвија тако што нападач континуирано захтева од
DHCP сервера IP параметре све док не испразни комплетан адресни опсег за који је
дати DHCP сервер конфигурисан. Тај адресни опсег је најчешће једна Ц класа IP
адреса, која се састоји од 254 IP адресе које може да додели клијентима. Најчешће је Ц
класа, без обзира да ли се ради о малој фирми са неколико десетина рачунара или
1
Ирина Муравъева, "Новый взгляд на службу информационной безопасности компании"
великој корпорацији чију рачунарску мрежу сачињава неколико хиљада радних
станица и сервера. Јер у случају великог броја рачунара дате компаније, због повећања
перформанси смањењем броадцаст домена, мрежа ће најчешће бити сегментирана
неким Л3 уређајем као што је Л3 свич или рутер и на тај начин ниједан од сегмената
неће имати потребу за већим бројем IP адреса него што је једна Ц класа.
Дакле, напад се одвија тако што нападач „исцрпи“ DHCP сервер, мењајући своју
изворишну MAC адресу и сваки пут од DHCP сервера тражи IP параметре подмећући
му другу MAC адресу, а све док сервер не подели све расположиве адресе. Ово је
изводљиво без обира на то колико IP адреса DHCP сервер има на располагању, тј. без
обзира да ли се ради о А, Б, Ц класи или некој подкласи која се добија „субнет-овањем“
неке од поменутих. Један од алата за извођење оваквог напада се може наћи на:
http://packetstormsecurity.org/DoS/DHCP Gobbler.tag.gz.
DHCP DoS напад може да се изведе на два начина од којих је један старијег, а
други новијег датума и значајно софистициранији, те је и неопходно имплементирати и
додатни софистициранији механизам заштите. Да би објашњавање принципа напада и
механизма заштите било могуће добро објаснити, неопходна је следећа слика, која
приказује изглед DHCP пакета.