· แจกจ่ายค่า Gateway ที่ไม่มีอยู่จริง
เมื่อไคลเอนต์ที่ตกเป็นเหยื่อได้รับ IP Address จาก Rouge DHCP Server
และได้รับค่า Gateway
ซึ่งไม่มีอยู่จริงก็จะไม่สามารถสื่อสารกับโอสต์ที่อยู่บนเน็ตเวิร์กอื่นได้
(รวมทั้งอินเตอร์เน็ต) เนื่องจากไม่สามารถส่งแพ็คเก็ตไปยัง Gateway
ตัวจริงได้ ทำให้แฟ็ตเก็ตไม่สามารถเดินทางไปถึงปลายทางได้
· แจกจ่ายค่า DNS ที่ไม่มีอยู่จริง
เมื่อไคลเอนต์ที่ตกเป็นเหยื่อ ได้รับ IP Address จาก Rogue DHCP Server
และได้รับค่า DNS
ซึ่งไม่มีอยู่จริงจะไม่สามารถสื่อสารกับโฮสต์บนอินเตอร์เน็ต
โดยการอ้างอิงถึงโดเมนเนมได้ (เช่น อ้างอิง http://www.csc.ku.ac.th)
เนื่องจากกระบวนการแปลงจากโดเมนเนมให้เป็น IP Address
จะไม่สามารถทำได้สำเร็จ แต่อย่างไรก็ตามหากอ้างผ่าน IP Address
ยังสามารถใช้งานได้อยู่ ( เช่น อ้างถึง http://158.108.104.12)
เพราะไม่ต้องอาศัยกระบวนการ resolve hostname ในกรณีที่แฮกเกอร์แจกค่า WINS
ที่ไม่มีอยู่จริง
ก็จะทำให้เหยื่อไม่สามารถสื่อสารกับโฮสต์อื่นๆบนเน็ตเวิร์กเดียวกันได้
(ผ่านทางการอ้างชื่อ) เพราะการติดต่อกับคอมพิวเตอร์ที่อยู่บน LAN
และอยู่บนเน็ตเวิร์กเดียวกัน เช่น
การอ้างถึงไฟล์ที่แชร์บนคอมพิวเตอร์อื่นผ่านทางชื่อเครื่อง เช่น
\\target_computer จะใช้ WINS
ในการแปลงจากชื่อคอมพิวเตอร์ให้เป็นไอพีแอดเดรส
แต่อย่างไรก็ตามการอ้างอิงถึงไอพีแอดเดรสโดยตรงก็ยังสามารถทำได้
· แจกจ่ายค่า IP Address ที่ไม่มีอยู่จริง
เมื่อไคลเอนต์ที่ตกเป็นเหยื่อได้รับ IP Address จาก Rogue DHCP Server
แค่เป็นค่าไอพีแอดเดรสที่ไม่สามารถใช้งานได้ เช่น ไฟล์วอลล์
เปิดให้ไคลเอนต์ที่มีไอพีแอดเดรสในช่วง 192.168.100-200 เท่านั้น
ที่สามารถรับส่งข้อมูลกับอินเตอร์เน็ตได้หากแฮกเกอร์กำหนดให้ Rogue DHCP
Server แจกไอพีนอกช่วง เช่น 192.168.201-254
ไปให้เหยื่อติดต่อกับอินเทอร์เน็ตไม่ได้ หรือหากแฮกเกอร์แจกไอพีนอกช่วง
เช่น 192.168.2.1-254. mask = 255.255.0.0 และแจกจ่าย Gateway และ DNS
ที่ถูกต้อง หากค่า mask เดิมที่ใช้งานได้ปกติเป็น 255.255.255.0
ไคลเอนต์ก็จะไม่สามารถติดต่อกับเน็ตเวิร์กอื่นได้เช่นกัน
เพราะถึงแม้แพ็กเก็ตขาออกจะวิ่งผ่าน Gateway ที่ถูกต้องและได้รับการ route
ไปถึงปลายทางจริง แต่แพ็กเก็ตขาเข้าเมื่อวิ่งกลับมาถึง Gateway ตัว Gateway
จะสามารถส่งกลับมายังต้นทาง (เครื่องของเหยื่อ) ได้
การป้องกัน Rogue DHCP โดยใช้ DHCP Snooping บน Cisco Switch
DHCP Snooping เป็นฟังก์ชั่นบน Cisco Switch
ที่ออกแบบมาเพื่อป้องกันการทำงานของ Rogue DHCP Server
และสามารถใช้ร่วมกับฟังก์ชั่น Dynamic ARP Inspection เพื่อป้องกัน ARP
Spoof/Poision เช่น การทำงานของโปรแกรม Switch Sniffer ได้ สามารถป้องกัน
ARP DoS Attack เช่นการทำงานของเน็ตคัต (Netcut) ได้ เกี่ยวกับ DHCP
Snooping จำป็นต้องไปกำหนดที่ Switch ว่าจะให้ Port (ช่องเสียบ) ใดเป็น
Trust และให้ Port ใดเป็น Untrust จากนั้น Switch จะสร้าง DHCP Snooping
Table ซึ่งเป็นตารางที่ใช้ตรวจสอบการจับคู่ที่ถูกต้องของ IP Address กับ
MAC Address ฟังก์ชั่น DHCP Snooping จะตรวจสอบ DHCP OFFER ว่ามาจาก port
ที่เรากำหนดว่าเป็น Trust หรือไม่ ถ้ามาจาก port ที่กำหนดไว้ว่าให้เป็น
Trust มันจะอนุญาตแพ็กเก็ตนั้น แต่หากมาจาก port ที่เป็น Untrust
มันจะดรอปแพ็กเก็ตทิ้ง หรือเราจะปรับค่าคอนฟิกเพื่อให้ Switch
สั่งชัตดาวน์หรือ Disable Port นั้นก็ได้ ซึ่งก็จะเกิดความยุ่งยากจะต้องไป
no shutdown port
ไม่มีความคิดเห็น:
แสดงความคิดเห็น