הונאת DHCP
הונאת DHCP (באנגלית: DHCP spoofing) היא שיטת התקפה של מחשב ברשת מקומית על מחשב אחר באותה רשת שמטרתה לשלוט בהגדרות הרשת של המחשב הנתקף באמצעות התחזות לשרת DHCP הפועל באותה הרשת.
שיטת ההתקפה
ברשת אשר מותקן בה שרת DHCP פעיל, מחשבי העבודה יכולים לעלות ללא הגדרות רשת ולשלוח הודעת DHCP ב-Broadcast. במצב תקין שרת ה-DHCP מזהה את הפניה ועונה למחשב הפונה בהודעה המכילה את הגדרות הרשת הרצויות, שבדרך כלל מכילות את כתובת ה-IP שהוקצתה למחשב, כתובת ה-Default gateway וכן כתובת שרת ה-DNS. בהתקפת DHCP spoofing המחשב התוקף מאזין לרשת וממתין להודעות DHCP שנשלחות ב-Broadcast, כך שהוא יכול לקבל אותן גם כן. מרגע שהוא זיהה כזו הודעה - הוא שולח הודעת תגובה מזויפת המתחרה בתשובתו של השרת ואם המחשב הנתקף מקבל את הודעתו ראשונה - הוא יאמץ את הגדרות הרשת הקבועות בה. למעשה התוקף משטה במחשב הנתקף וגורם לו לחשוב שהוא שרת ה-DHCP ברשת המקומית, ומכאן בא שמה של ההתקפה.
שימושים
הפעולה המשמעותית העיקרית שניתן לבצע באמצעות הונאת DHCP היא קביעת כתובת ה-Default gateway של מחשב הנתקף כך שתכיל את כתובתו של המחשב התוקף. באמצעות שינוי הגדרה זו ניתן לגרום לכל החבילות שהמחשב הנתקף מוציא אל מחוץ לסגמנט שלו לעבור דרך המחשב התוקף. במידה והמחשב התוקף משמש כמתג ומעביר את החבילות המתקבלות מהמחשב הנתקף הלאה ל-Gateway האמיתי של הרשת, המחשב הנתקף יכול לנהל תקשורת רציפה ולא להיות מודע לכך שכל תעבורתו עוברת דרך המחשב התוקף. המחשב התוקף מצידו יכול באמצעות רחרחן לעקוב אחרי כל המידע שהמחשב הנתקף שלח ברשת.
פעולה נוספת שניתן לבצע היא החלפת כתובת שרת ה-DNS המוגדרת למשתמש כך שתופנה למחשב התוקף או למחשב אחר הנשלט על ידי התוקף ונגיש למחשב הנתקף מבחינה רשתית. באמצעות החלפה זו התוקף יכול לשלוט בכתובות ה-DNS שהמחשב הנתקף מקבל והשלכות התקפה כזו זהה להשלכות "הרעלה" והתחזות, חולשות לוגיות במערכת ה-DNS, אלא שכאן אין זה נובע מחולשה ב-DNS אלא בחולשה ב-DHCP.
אמצעי הגנה
ברמת המחשב הנתקף אמצעי ההגנה הטוב ביותר כנגד התקפת הונאת DHCP היא זיהוי של תשובות מרובות להודעת DHCP אחת, כך שבמידה ומתקבלת למעלה מהודעה אחת נשלחת אזהרה למשתמש במחשב הנתקף.
ברמת הרשת ניתן להתמודד עם ההתקפה על ידי הגדרת המתגים ברשת כך שיעקבו אחרי השימוש ב-DHCP בכל החבילות העוברות דרכן ויוודאו שרק שרתי ה-DHCP המורשים עונים על הודעות ה-DHCP שעוברות ברשת. מעקב זה נעשה כחלק ממערך אבטחה רחב יותר המונע התקפות אחרות ונקרא DHCP snooping.
ראו גם
- ARP spoofing, MAC flooding - שתי שיטות נוספות המאפשרות הסנפת תעבורה של מחשב אחר ברשת מקומית.
קישורים חיצוניים
- על התקפות Man in the middle (באנגלית)
18933341הונאת DHCP