DHCP snooping

Bild 3: DHCP snooping

DHCP tjänsten är en av grundstenen i vilket nätverk som helst och därför målet till hacker-attacker. Förenklat kan nämnas två möjliga risker för DHCP:

  • Rogue DHCP-server
  • Överbelastnings attack

Så här kan det gå:

  1. En hacker aktiverar en obehörig DHCP-server anslutet till någon switch på ett visst nätverk.
  2. Datorklienter skickar begär om att få låna en IP-adress och kompletterande IP-konfigurationer. Det görs via broadcast.
  3. Den obehöriga DHCP-server svarar och tilldelar arbiträra IP-adresser och anges vara default gateway.
  4. Datorklienter dirigerar om nätverkstrafiken till den obehöriga DHCP-servern.
  5. Den behöriga DHCP svarar för sent.

Ett sätt att undvika en sådan attack är DHCP snooping. Tekniken styr switchen så att den bygger upp en tabell med associationer mellan klienternas MAC-adresser, IP-adresser, VLAN, och port ID.

Nätverksadministratören kan konfigurera varje port på en switch som betrodd eller icke betrodd port (trusted eller untrusted).

  • En betrodd port vidarebefordrar DHCP begär och DHCP verifiering (Request och Acknowledgements).
  • En icke betrodd port vidarebefordrar endast DHCP begär (request).