Напад и заштита на другом слоју оси модела

Најзначајнији и најчешће коришћени напади који, у потпуности или једним

својим делом, функционишу на другом слоју ОСИ референтног модела (или механизам
заштите који може да их спречи функционише на другом ОСИ слоју) су:
 DHCP Attack
 STP Attack
 ARP Cache Poisoning
 CAM Table Flooding
 VLAN Hopping

Због изузетно велике обимности материје, у овоме раду ће бити детаљно

презентовани само неки од поменутих напада и биће детаљно објашњен принцип
њиховог функционисања, као и неопходне мере заштите које морају да се примене да
би се исти напади спречили и на тај начин спречило цурење информација, омогућен
несметан рад запослених, сачувао углед компаније и сл. Ако би се поклонила пажња
свим нападима и мерама заштите од истих, онда би рад био исувише обиман или би се
само површно обратила пажња на сваки од њих.

10.2. DHCP напад

DHCP (engl. Dynamic Host Configuration Protocol) је протокол који се користи за

динамичку доделу IP параметара радним станицама у рачунарским мрежама. Ти
параметри су IP адреса, мрежна маска, подразумевајући рутер, име домена, DNS сервер
и др. Иако су већина тих параметара параметри трећег ОСИ слоја, сам DHCP напад се
одвија једним својим делом на другом слоју ОСИ модела, а механизми заштите који
могу да га спрече су такође механизми другог ОСИ слоја. ПринцIP функционисања
протокола приказан је на слици.
 DHCP процес (извор simlab.fon.bg.ac.rs )

DHCP протокол може бити злоупотребљен за примену две врсте напада на

корпорацијску рачунарску мрежу. Први облик напада је ускраћивање сервиса (енгл.
Denial of Service – DOS), а други се користи за прислушкивање саобраћаја
преусмеравањем истог преко нападачеве радне станице (енгл. Man in the Middle).

Такође, је честа и комбинација ова два напада – нападач прво испразни IP

адресни опсег предвиђен за доделу адреса корисницима, затим убацивањем лажног
DHCP сервера, клијентима додељује лажне параметре и на тај начин извршава Man in
the Middle Attack.1

Први начин DHCP напада се одвија тако што нападач континуирано захтева од
DHCP сервера IP параметре све док не испразни комплетан адресни опсег за који је
дати DHCP сервер конфигурисан. Тај адресни опсег је најчешће једна Ц класа IP
адреса, која се састоји од 254 IP адресе које може да додели клијентима. Најчешће је Ц
класа, без обзира да ли се ради о малој фирми са неколико десетина рачунара или

1
Ирина Муравъева, "Новый взгляд на службу информационной безопасности компании"
великој корпорацији чију рачунарску мрежу сачињава неколико хиљада радних
станица и сервера. Јер у случају великог броја рачунара дате компаније, због повећања
перформанси смањењем броадцаст домена, мрежа ће најчешће бити сегментирана
неким Л3 уређајем као што је Л3 свич или рутер и на тај начин ниједан од сегмената
неће имати потребу за већим бројем IP адреса него што је једна Ц класа.

Дакле, напад се одвија тако што нападач „исцрпи“ DHCP сервер, мењајући своју
изворишну MAC адресу и сваки пут од DHCP сервера тражи IP параметре подмећући
му другу MAC адресу, а све док сервер не подели све расположиве адресе. Ово је
изводљиво без обира на то колико IP адреса DHCP сервер има на располагању, тј. без
обзира да ли се ради о А, Б, Ц класи или некој подкласи која се добија „субнет-овањем“
неке од поменутих. Један од алата за извођење оваквог напада се може наћи на:
http://packetstormsecurity.org/DoS/DHCP Gobbler.tag.gz.

Алати који су коришћени у лабораторијским условима за израду овог рада су:

„Yersinia“ и „DHCPH Flooder“. Функцију DHCP сервера је имао Windows Server 2003
Standard Edition, а од мрежне опреме су коришћени Л2/Л3 свичеви „ Cisco Catalyst 2960
и 3550“. „DHCPH Flooder“ је приликом тестирања, сваке секунде узимао по једну IP
адресу из опсега, размењујући са сервером сва четири типа DHCP пакета неопходних за
комплетирање DHCP процеса (discover, offer, request, ack), док је „ Yersinia “ адресни
опсег од 200 IP адреса успела да испразни за 3 секунде, с тим да је приликом тог напада
вршена размена само прва два типа DHCP пакета (discover, offer).
На овај начин ће DHCP сервер остати без адреса и неће моћи да адресира
легитимне радне станице у локалној рачунарској мрежи, које због тога неће моћи да
обављају своју функцију.

Други начин напада коришћењем DHCP сервера је мало сложенији и може да се

користити за прислушкивање саобраћаја у мрежи. Нападач конфигурише и пушта у
продукцију DHCP сервер на својој радној станици или лап-топ рачунару. Тај DHCP
сервер се надмеће са легитимним DHCP сервером приликом доделе IP параметара
клијентима (или прво уради DoS напад на легитимни DHCP сервер(е),а затим он остаје
једини DHCP сервер у мрежи). Клијент ће да прихвати IP параметре од DHCP сервера
који му први одговори. Међутим параметри које додељује лажни DHCP сервер нису
исти као они које додељује легитимни. Нападач најчешће лажира поља DNS сервера и
подразумевајућег рутера (енгл. Default Gateway). Лажирањем ових параметара, нападач
поставља свој PC као подразумевајући рутер или DNS сервер и сав саобраћај који
нападнуте радне станице размењују са спољним светом или другим виртуелним
лановима – VLAN-овима се одвија преко нападачеве радне станице. Још је неопходно
да нападач покрене неки анализатор мрежног саобраћаја као што је Етхереал и да
прислушкује саобраћај ишчекујући неко корисничко име и лозинку послату преко
мреже у неенкриптованом облику, као што то раде небезбедни протоколи: Телнет, FTP,
HTTP, POP3 и др. У окружењу где се користи терминал сервер и web интерфејс за
приступ апликација, могуће је у лажном DNS-у лажирати адресу web интерфејса,
подесити га да уместо TCP порта 443 користи TCP порт 80 – ако би се овакав напад
темпирао у времену између 7:55 и 8:05 у току једног радног дана, нападач би могао да
прикупи неколико стотина корисничких имена и лозинки, јер је у том периоду највећа
фреквенција логовања корисника.

DHCP DoS напад може да се изведе на два начина од којих је један старијег, а
други новијег датума и значајно софистициранији, те је и неопходно имплементирати и
додатни софистициранији механизам заштите. Да би објашњавање принципа напада и
механизма заштите било могуће добро објаснити, неопходна је следећа слика, која
приказује изглед DHCP пакета.