DHCP Spoofing - Vietnamese Professional - VnPro Forum

• Login or Sign Up
  • Logging in... Remember me Log in Forgot password or user name? or Sign Up
  • Log in with

• Forum
• CCNP ENTERPRISE®
• CCNP Advanced Routing

• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.

Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro. Announcement Collapse No announcement yet. DHCP Spoofing Collapse X Collapse

• Posts
• Latest Activity
• Photos

• Search
• Page of 2
• Filter

• Time All Time Today Last Week Last Month
• Show All Discussions only Photos only Videos only Links only Polls only Events only

Filtered by: Clear All new posts Previous 1 2 template Next

• x41006 Senior Member Senior Member
  • Join Date: Feb 2006
  • Posts: 125
  • Share
  • Tweet
  #1

  DHCP Spoofing

  04-06-2007, 03:27 AM Hi các bạn, Mình muốn cáu hình switch catalyst sao cho chỉ 1 port (nối với dhcp server) có quyền đưa ra mạng packet DHCP-offer, để tránh dhcp spoofing. Các bạn giúp mình nhé. Cheers, AAAAES IT GUY Tags: None
• dangquangminh Super Moderator Brainiac
  • Join Date: Oct 2005
  • Posts: 4732
  • Share
  • Tweet
  #2 19-06-2007, 06:50 PM bạn x41006 xem một bài lab về dhcp snoofing. Yêu cầu: 1: Đảm bảo xóa toàn bộ cấu hình và Vlan của SW1 2: R1, R2, Client1, Client2 đều thuộc Vlan 10. 3: Cấu hình R1, R2 là DHCP Server. Dãy địa chỉ IP mỗi Router sẽ cấp như sau: R1: IP: 192.168.1.0/24 Gateway: 192.168.1.253 R2: 192.168.1.0/24 Gateway: 192.168.1.254 4: Cấu hình Client 1 và Client 2 là DHCP Client 5: Cấu hình DHCP Snooping trên SW1, đảm bảo các Client sẽ chỉ xin địa chỉ IP từ R2 qua DHCP (kiểm tra default-gateway trên mỗi client phải là IP của R2 192.168.1.254) Hướng dẫn: 1: xóa toàn bộ cấu hình: SW1# erase startup-config SW1# delete flash:vlan.dat 2: Cấu hình SW1: SW1(config)# interface range f0/1 - 2 , f0/23 - 24 SW1(config-if-range)# switchport mode access SW1(config-if-range)# switchport access vlan 10 3: Đặt địa chỉ IP cho 2 client và 2 router: R1(config)# interface fastEthernet 0/0 R1(config-if)# ip address 192.168.1.253 255.255.255.0 R2(config)# interface fastEthernet 0/0 R2(config-if)# ip address 192.168.1.254 255.255.255.0 4: Bật DHCP Client trên Client1 và Client2. 5: Cấu hình DHCP Snooping trên SW1. R1 và R2 là 2 DHCP Server, để đảm bảo client chỉ xin địa chỉ IP từ R2, cấu hình f0/24 (SW1) trust dhcp: !Cấu hình DHCP Server cho R1 và R2: R1(config)# ip dhcp pool VLAN10 R1(dhcp-config)# network 192.168.1.0 /24 R1(dhcp-config)# default-router 192.168.1.253 R2(config)# ip dhcp pool VLAN10 R2(dhcp-config)# network 192.168.1.0 /24 R2(dhcp-config)# default-router 192.168.1.254 !Cấu hình DHCP Snooping trên SW1: SW1(config)# ip dhcp snooping SW1(config)# ip dhcp snooping vlan 10 SW1(config)# no ip dhcp information option SW1(config)# interface f0/24 SW1(config-if)# ip dhcp snooping trust SW1(config)# interface f0/23 SW1(config-if)# no ip dhcp snooping trust Cấu hình đầy đủ: !R1: ! configure terminal ! interface fastEthernet0/0 ip address 192.168.1.253 255.255.255.0 no shutdown ! ip dhcp pool VLAN10 network 192.168.1.0 /24 default-router 192.168.1.253 ! end !R2: ! configure terminal ! interface fastEthernet0/0 ip address 192.168.1.254 255.255.255.0 no shutdown ! ip dhcp pool VLAN10 network 192.168.1.0 /24 default-router 192.168.1.254 ! end !SW1: ! configure terminal ! interface range fastEthernet0/1 - 2 , fastEthernet0/23 - 24 switchport mode access switchport access vlan 10 ! ip dhcp snooping ! ip dhcp snooping vlan 10 ! no ip dhcp information option ! interface fastEthernet0/24 ip dhcp snooping trust ! interface fastEthernet0/23 no ip dhcp snooping trust ! end !Kiem tra: #show ip dhcp snooping !display only dynamic configured binding #show ip dhcp snooping binding !display the dhcp snooping binding database status and statistics #show ip dhcp snooping database !display the dynamic and static configured binding #show ip source binding Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417 Email : dangquangminh@vnpro.org https://www.facebook.com/groups/vietprofessional/

  Comment

  Post Cancel
• haytraloiem Member Member
  • Join Date: Mar 2007
  • Posts: 57
  • Share
  • Tweet
  #3 23-06-2007, 11:22 PM Anh Minh cho em hỏi ! Nếu trong hệ thống của em ngoài 1 switch Cisco có thêm 3 switch của hãng khác thì cấu hình trên có áp dụng được không? Tất nhiên DHCP Server là cắm vào switch Cisco. Thanks anh

  Comment

  Post Cancel
• dangquangminh Super Moderator Brainiac
  • Join Date: Oct 2005
  • Posts: 4732
  • Share
  • Tweet
  #4 25-06-2007, 08:14 PM DHCP Snooping DHCP snooping ngăn ngừa những tổn thất do vài kiểu tấn công dùng DHCP snooping gây ra. DHCP snooping làm cho một switch kiểm tra các thông điệp DHCP và lọc các thông điệp bị xem là không phù hợp. DHCP snooping cũng xây dựng một bảng của các địa chỉ và các cổng dựa trên những thông điệp DHCP hợp lệ gọi là DHCP snooping binding tables. Tính năng DHCP snooping sau đó sẽ dùng bởi tính năng DAI và bởi tính năng IP Source Guard. Hình dưới đây mô tả một kiểu tấn công man-in-the-middle trong đó dùng DHCP. DHCP hợp lệ nằm ở vùng khác, trong khi đó DHCP của máy tấn công nằm ở LAN cục bộ, hoạt động như DHCP server. Các bước dưới đây giải thích làm thế nào một máy tấn công có thể trở thành “man-in-the-middle”. PC-B yêu cầu một địa chỉ IP dùng DHCP. PC của kẻ tấn công trả lời, cấp cho một địa chỉ IP/mask nhưng dùng địa chỉ của chính nó là default gateway. Pc-B gửi các data frame nghĩ rằng máy tấn công là gateway mặc định. Máy tấn công trung chuyển các frame trên, trở thành man-in-the-middle. Chú ý PC-B sẽ dùng gói tin DHCP reply đầu tiên mà nó nhận được, vì vậy những gói tin DHCP hợp lệ phảI đi qua đường WAN sẽ chậm hơn những gói DHCP reply của máy tấn công. Tính năng DHCP snooping hạn chế kiểu tấn công đó cho những port mà nó xem là không tin cậy. DHCP snooping cho phép tất cả các thông điệp DHCP trên những port tin cậy, nhưng nó sẽ lọc bỏ những thông điệp DHCP trên những port không tin cậy. Cơ chế này hoạt động dựa trên giả thiết rằng các máy DHCP clients trên tồn tạI trên những cổng không tin cậy, và kết quả là switch sẽ lọc những thông điệp DHCP đi vào mà các thông điệp này được gửi bởI các server. Vì vậy từ quan điểm thiết kế, các cổng không dùng của switch và các cổng không được bảo vệ phải được cấu hình như là không tin cậy đốI vớI dịch vụ DHCP snooping. DHCP snooping cũng cần phải kiểm tra các thông điệp DHCP client trên những cổng không tin cậy, bởi vì những kiểu tấn công khác có thể dùng các thông điệp của DHCP client. DHCP server nhận dạng các máy client dựa trên địa chỉ phần cứng của do client khai báo trong thông điệp DHCP request. Một thiết bị đơn lẻ có thể hoạt động như nhiều thiết bị bằng cách gửi ra các thông điệp DHCP lặp lại, mỗI lần vớI một địa chỉ phần cứng khác nhau. Máy chủ DHCP server nghĩ rằng các yêu cầu là đến từ các máy khác nhau sẽ gán các địa chỉ cho từng yêu cầu. Máy chủ DHCP sẽ nhanh chóng gán hết những địa chỉ sẵn có trong dãy địa chỉ, làm cho những yêu cầu hợp lệ từ những ngườI dùng khác sẽ bị từ chối. Đối với những cổng không tin cậy, DHCP snooping dùng các nguyên tắc sau đây để lọc gói tin: 1. Nó lọc tất cả các thông điệp được gửi bởi DHCP server. 2. Switch sẽ kiểm tra các thông địep release và declient trong bảng DHCP snooping. Nếu một địa chỉ IP trong những thông điệp này không được liệt kê cùng với những cổng trong bảng snooping, thông điệp sẽ bị loại bỏ. 3. Ngoài ra, switch có thể so sánh địa chỉ phần cứng của các DHCP request vớI địa chỉ nguồn trong Ethernet frame. Trong ba hạng mục trên, hạng mục đầu tiên sẽ quản lý kiểu tấn công man-in-the-middle. Hạng mục thứ hai sẽ ngăn ngừa các máy tấn công gửi ra các gói DHCP và sau đó cố gắng yêu cầu một địa chỉ được gán bởi cùng một địa chỉ, thông qua đó chiếm luôn kết nối của máy ban đầu. Hạng mục cuối cùng ngăn ngừa kiểu tấn công DOS attack trong đó một máy cố gắng xin cấp hết tất cả những địa chỉ IP mà server có thể cấp trong mạng. Quay trở lại câu hòi của bạn, bạn có thể cấu hình cổng của switch gắn vào DHCP như là trust port (cổng tin cậy). Các cổng nối vào các switch non-cisco như là un-trust. Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417 Email : dangquangminh@vnpro.org https://www.facebook.com/groups/vietprofessional/

  Comment

  Post Cancel
• haytraloiem Member Member
  • Join Date: Mar 2007
  • Posts: 57
  • Share
  • Tweet
  #5 26-06-2007, 12:17 PM Originally posted by dangquangminh Chú ý PC-B sẽ dùng gói tin DHCP reply đầu tiên mà nó nhận được, vì vậy những gói tin DHCP hợp lệ phảI đi qua đường WAN sẽ chậm hơn những gói DHCP reply của máy tấn công. Dear anh Minh, Ngoài việc DHCP Server phải chạy qua đường WAN sẽ chậm hơn LAN thì em còn biết nếu 2 DHCP có khoảng cách và tốc độ như nhau thì client sẽ chọn DHCP nào có range IP lớn hơn. Ngoài ra anh có thể cho biết thêm Client nó sẽ chọn DHCP Server để thuê IP qua những yếu tố nào? Nếu như em có 1 Router ( Layer 2 +3 ) thì em có thể cấu hình dhcp snoofing ngay trên con Router này được không? Hiện tại em đang chia VLAn ngay trên con Router này Yêu cầu: 1: Đảm bảo xóa toàn bộ cấu hình và Vlan của SW1 2: R1, R2, Client1, Client2 đều thuộc Vlan 10. Tại sao phải xóa toàn bộ cách VLAN hiện tại? Cám ơn anh đã giúp đỡ.

  Comment

  Post Cancel
• binhhd CCIE #21256 Guru
  • Join Date: Feb 2006
  • Posts: 337
  • Share
  • Tweet
  #6 26-06-2007, 04:21 PM chào bạn haytraloiem! việc xóa cấu hình trước khi bắt đầu một bài lab bất kỳ là một việc làm cần thiết để đảm bảo cấu hình đúng, chính xác và có thể dễ dàng sửa lỗi sau này. đối với router thì việc xóa cấu hình chỉ cần dùng 1 lệnh: #erase startup-config nhưng đối với Switching thì phải xóa cả file vlan.dat (file này chứa thông tin VLAN, VTP) Switch#erase startup-config Switch#delete flash:vlan.dat

  Comment

  Post Cancel
• haytraloiem Member Member
  • Join Date: Mar 2007
  • Posts: 57
  • Share
  • Tweet
  #7 26-06-2007, 05:34 PM Originally posted by binhhd View Post chào bạn haytraloiem! việc xóa cấu hình trước khi bắt đầu một bài lab bất kỳ là một việc làm cần thiết để đảm bảo cấu hình đúng, chính xác và có thể dễ dàng sửa lỗi sau này. đối với router thì việc xóa cấu hình chỉ cần dùng 1 lệnh: #erase startup-config nhưng đối với Switching thì phải xóa cả file vlan.dat (file này chứa thông tin VLAN, VTP) Switch#erase startup-config Switch#delete flash:vlan.dat Thanks bạn đã reply. Nhưng vì chỗ mình đang làm là công ty nên mình không thể xóa mọi cấu hình đi được. Mình không phải làm lab.

  Comment

  Post Cancel
• binhhd CCIE #21256 Guru
  • Join Date: Feb 2006
  • Posts: 337
  • Share
  • Tweet
  #8 31-07-2007, 02:18 PM trong môi trường thực tế như vậy thì bạn không cần thiết phải xóa VLAN

  Comment

  Post Cancel
• Alpha5 Member Member
  • Join Date: Dec 2006
  • Posts: 70
  • Share
  • Tweet
  #9 08-08-2007, 10:35 PM Chào mọi người! Mạng cơ quan tôi gồm 1 switch 3550 làm core nối với các switch access 2950 phân phối tới các PC. VLAN được chia trên con 3550. Vậy nếu muốn trust 2 cổng trên cùng 1 switch 2950 thì cấu hình ip dhcp snooping sẽ thiết lập ở đâu? Trên con 2950 đó hay trên 3550 hay cả 2 và cả các switch 2950 khác? Và khi đó cổng nào trên 3550 sẽ được coi là trust hay ko khi nó không trực tiếp nối với DHCP server? Trong trường hợp này còn có ip helper-address trên các vlan, vậy có cần cấu hình gì thêm không?

  Comment

  Post Cancel
• Alpha5 Member Member
  • Join Date: Dec 2006
  • Posts: 70
  • Share
  • Tweet
  #10 31-08-2007, 09:06 PM Originally posted by Alpha5 View Post Chào mọi người! Mạng cơ quan tôi gồm 1 switch 3550 làm core nối với các switch access 2950 phân phối tới các PC. VLAN được chia trên con 3550. Vậy nếu muốn trust 2 cổng trên cùng 1 switch 2950 thì cấu hình ip dhcp snooping sẽ thiết lập ở đâu? Trên con 2950 đó hay trên 3550 hay cả 2 và cả các switch 2950 khác? Và khi đó cổng nào trên 3550 sẽ được coi là trust hay ko khi nó không trực tiếp nối với DHCP server? Trong trường hợp này còn có ip helper-address trên các vlan, vậy có cần cấu hình gì thêm không? Sao không ai chỉ giúp tôi vấn đề này vậy:106:?

  Comment

  Post Cancel
• dangquangminh Super Moderator Brainiac
  • Join Date: Oct 2005
  • Posts: 4732
  • Share
  • Tweet
  #11 01-09-2007, 08:47 PM hi Theo link hướng dẫn cấu hình bên dưới: Products, Solutions, and Services http://www.cisco.com/en/US/products/hw/switches/ps708/products_configuration_guide_chapter09186a0080435791.html Cisco offers a wide range of products and networking solutions designed for enterprises and small businesses across a variety of industries. Để cấu hình dhcp snooping, bạn phải cấu hình theo per-vlan. To enable DHCP snooping on VLANs, perform this task: Step 1 Router(config)# ip dhcp snooping vlan {{vlan_ID [vlan_ID]} | {vlan_range} Enables DHCP snooping on a VLAN or VLAN range. Step 2 Router(config)# do show ip dhcp snooping Verifies the configuration. Còn việc chỉ ra các cổng nào là trust thì cấu hình ở các port của switch 2950. Configuring the DHCP Trust State on Layer 2 LAN Interfaces To configure DHCP trust state on a Layer 2 LAN interface, perform this task: Step 1 Router(config)# interface {type1 slot/port | port-channel number} Selects the interface to configure. Step 2 Router(config-if)# ip dhcp snooping trust Configures the interface as trusted. Còn về vấn đề bạn đề cập đến, dùng ip helper-address thì quả thật hoạt động của đặc điểm dhcp snooping phức tạp hơn một chút. Bạn tham khảo cũng trong link trên. Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417 Email : dangquangminh@vnpro.org https://www.facebook.com/groups/vietprofessional/

  Comment

  Post Cancel
• kinono Junior Member Newbie
  • Join Date: Dec 2007
  • Posts: 1
  • Share
  • Tweet
  #12 28-12-2007, 09:45 AM cho em hỏi chút anh Minh và các bạn ơi: DHCP snooping được hỗ trợ từ dòng switch nào vậy, hay tất cả đều hỗ trợ, và switch chia được vlan là switch layer mấy vậy.

  Comment

  Post Cancel
• manhhien12
  • Share
  • Tweet
  #13 30-12-2007, 08:39 PM cho em hỏi, DHCP snooping chống được DHCP server giả vậy có chống được client giả không, tức là client này cấu hình các thông tin về IP bằng tay, khi biến cấu hình mạng của DHCP server, và nếu mình chỉ muốn cho client trong công ty vào mạng thông qua DHCP server này ko cho client lạ vào thì mình phải làm sao

  Comment

  Post Cancel
• dangquangminh Super Moderator Brainiac
  • Join Date: Oct 2005
  • Posts: 4732
  • Share
  • Tweet
  #14 30-12-2007, 09:31 PM bạn đọc thêm hai tính năng có thể đáp ứng yêu cầu của bạn. Đó là DAI (Dynamic ARP Inspection) và tính năng IP Source Guard. Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417 Email : dangquangminh@vnpro.org https://www.facebook.com/groups/vietprofessional/

  Comment

  Post Cancel
• tranmyphuc Member Brainiac
  • Join Date: Jan 2007
  • Posts: 3254
  • Share
  • Tweet
  #15 31-12-2007, 07:13 AM DAI (Dynamic ARP Inspection) và tính năng IP Source Guard. Hai tính năng này được nói rất chi tiết và hay trong module BCMSN Hãy tham khảo 2 cuốn sách student guide và seft-study (642-812) ở chương 15 và 16 Chúc bạn vui :) Trần Mỹ Phúc tranmyphuc@hotmail.com Hãy add nick để có thông tin đề thi mới nhất :tranmyphuc (Hỗ trợ tối đa cho các bạn tự học) Cisco Certs : CCNP (Passed TSHOOT 1000/1000) Juniper Certs : JNCIP-ENT & JNCIP-SEC INSTRUCTORS (No Fee) : CISCO (Professional) , JUNIPER (Professional) , Microsoft ... [version 4.0] Ôn tập CCNA

  Comment

  Post Cancel

Previous 1 2 template Next Powered by vBulletin® Version 5.7.5 Copyright © 2024 MH Sub I, LLC dba vBulletin. All rights reserved. All times are GMT+7. This page was generated at 1 minute ago. Working... Yes No OK OK Cancel X