DHCP SNOOPING

DHCP Snooping là tính năng chống giả mạo DHCP Server, chỉ những DHCP Server
được sự cho phép của admin mới có quyền cấp DHCP cho máy tính trong mạng.
Tính năng chống giả mạo IP hay chống giả mạo MAC Address (ARP Inspection) đều
hoạt động dựa trên DHCP-Snooping.
Chính vì vậy DHCP-Snooping là công cụ không thể thiếu khi muốn nâng cao tính bảo
mật cho mạng LAN bằng cách ngăn chặn những người dùng sử dụng những phần
mềm giả mạo MAC, IP với mục đích xấu.

Mô hình DHCP-Snooping
Khi DHCP Snooping được kích hoạt, port trên Switch sẽ phân loại thành Port tin cậy
(trusted) và không tin cậy (untrusted).
Port trusted cho phép nhận DHCP Reply hay Port được kết nối với Server DHCP. Nếu
DHCP Server giả mạo gắn vào Port untrusted và gửi DHCP Reply thì gói tin Reply sẽ bị
loại bỏ. Các Port nào vi phạm sẽ tự động shutdown chuyển sang trạng thái err-disable.
DHCP snooping cũng có một cơ sở dữ liệu có chứa địa chỉ MAC của client, địa chỉ IP
được cung cấp, thời gian cấp, thông tin Port…
Lý do cần DHCP Snooping
Ta cần DHCP Snooping để ngăn chặn các cuộc tấn công “main-in-the-middle”. Giả sử
có một hacker giả mạo DHCP server và trả lời cho gói tin DHCP Discover trước khi
DHCP thực trả lời, từ đó, DHCP giả mạo sẽ gửi thông tin cấu hình IP, trong đó có
Gateway giả mạo. Khi máy tính của người dùng gửi dữ liệu đến GW để ra mạng bên
ngoài, máy tính của hacker sẽ trở thành GW trong trường hợp này. Hacker có thể phân
tích nội dung của mỗi gói dữ liệu được gửi đến trước khi thực hiện chuyển tiếp thông
thường.

Trong ví dụ dưới đây, máy nạn nhân sau khi nhận thông tin về địa chỉ IP từ DHCP
Server giả mạo, khi truy cập một website, ví dụ của ngân hàng, facebook… có thể sẽ bị
chuyển hướng truy cập tới máy chủ do kẻ tấn công kiểm soát. Trên máy chủ này kẻ tấn
công có thể tạo những website giả mạo có giao diện giống y hệt website thật, nhằm
đánh lừa nạn nhân nhập tài khoản, mật khẩu, từ đó đánh cắp những thông tin này.
Kịch bản của việc tấn công thường diễn ra như sau:
Bước 1: Máy tính của hacker sẽ vét cạn toàn bộ Pool IP của máy DHCP Server bằng
cách liên tục gửi các yêu cầu xin cấp phát IP (DHCP Discover) tới DHCP Server. Mỗi
yêu cầu DHCP Discover này đều chứa địa chỉ MAC giả mạo nhằm đánh lừa DHCP
Server rằng đó là lời yêu cầu từ các máy tính khác nhau. Vì Pool địa chỉ IP cấp phát
trên DHCP Server là hữu hạn nên sau khi đã cấp phát hết IP, DHCP Server không thể
phục vụ các yêu cầu xin IP từ máy Client khác.
Bước 2: Hacker cài đặt phần mềm DHCP Server trên máy của mình và cấp phát thông
số IP giả mạo, điều hướng truy cập nạn nhân đến các máy chủ do hắn kiểm soát nhằm
đánh lừa và đánh cắp thông tin.
Như vậy, trong trường hợp này, chúng ta sẽ phòng chống việc tấn công này ra sao?
Một số hãng công nghệ đã đưa ra giải pháp phòng chống. Cụ thể là đưa DHCP
Snooping vào Switch:
- Cấu hình các Port trên Switch thành Port trust và untrust.
- Port trust là port có thể cho phép gửi đi tất cả các bản tin DHCP. Như ví dụ trên,
thì Port nối với DHCP Server được cấu hình trust.
- Port untrust là Port chỉ có thể gửi đi bản tin xin cấp phát địa chỉ IP (DHCP
Discover). Do vậy, PC của Hacker có cài phần mềm DHCP Server, nhưng không
thể gửi các bản tin DHCP cấp phát địa chỉ IP giả mạo. Như vậy, bước 2 trong ví
dụ trên đã được ngăn chặn.
- Để ngăn chặn bước 1 trong ví dụ trên, trước hết, cần hiểu cách thức attack của
Hacker là liên tục gửi các yêu cầu xin cấp phát địa chỉ IP giả mạo đến DHCP
Server, cho đến khi pool IP cạn kiệt. Giải pháp ngăn chặn sẽ là:
 Xây dựng một bảng chứa thông tin liên quan giữa: Địa chỉ MAC máy trạm
—Địa chỉ IP—Vlan—Số hiệu Port. Bảng này sẽ dùng để giám sát việc xin
cấp phát IP của các máy trạm. Tránh việc 1 máy xin cấp nhiều địa chỉ.
 Quy định số lượng gói tin DHCP đến 1 Port/đơn vị thời gian