Mientras tanto, asumí que la seguridad del switchport es suficiente para evitar el ataque DHCP dos. Si lo configuro como máximo 1, no puede haber más paquetes de direcciones mac.
Pero, un amigo me dijo que usando la herramienta DHCPStarv, ¿podemos evitar eso?
Quiero saber cómo funciona?
Pensé en una forma de evitarlo mediante la inspección DHCP, pero ¿cómo pasa por alto la seguridad del switchport? No veo ninguna respuesta lógica. Por favor ayúdame a entender esto. Gracias.
Si solo permites ONE MAC a través de un puerto, no puedo ver cómo va a funcionar DHCPstarv (a menos que sea algún tipo de ataque distribuido de DHCPStarv).
DHCPStarv funciona enviando muchas peticiones DHCP para que el servidor no tenga nuevas direcciones IP para proporcionar a los nuevos clientes. Pero si solo puede pedir una vez, no es probable que el ataque tenga éxito.
Después del comentario de @RajesK ( ha encontrado el enlace respondiendo a su propia pregunta ) agrego lo siguiente:
Aunque uno podría pensar que contramedidas como Port Security Sería más que suficiente para prevenir tales ataques, eso no es cierto con herramientas como Yersinia o dhcpstarv. Esto se debe a la seguridad portuaria. solo considera la fuente MAC del cuadro para crear filtros y luego establece en consecuencia qué direcciones MAC están permitidas en un puerto específico (útil contra ataques de inundación de MAC). El problema aquí es que estos Las herramientas no cambian este MAC (como, por ejemplo, macof), pero aleatorizan campo Dirección de hardware del cliente (CHADDR) dentro de la carga de DHCP. Esta campo, junto con el identificador del cliente, es de gran importancia ya que será utilizado (ver RFC 2131) por el servidor para distinguir entre el Varias peticiones de diferentes clientes. Sin eso, sería Difícil de distinguir entre los distintos usuarios cuando se utiliza un DHCP Agente de retransmisión.
Esto significa que el problema es que el protocolo DHCP en sí no depende del MAC del cliente que solicita la nueva IP, sino del campo CHADDR dentro del protocolo DHCP, por lo que, de hecho, desde el mismo MAC puede preguntar para miles de peticiones simplemente cambiando el campo CHADDR.
La solución está en el mismo enlace:
Afortunadamente, DHCP Snooping es lo suficientemente inteligente como para leer la carga útil de Protocolo DHCP y verifique que la dirección MAC de origen y CHADDR estén el mismo (comando opcional ip dhcp snooping verificar mac-address). Es También es posible establecer un "umbral máximo", o el número de paquetes por segundo que el conmutador puede recibir en un puerto dado, si el número de paquetes DHCP alcanza este umbral, el puerto entra en el cierre Modo (bloqueo) y generaría una advertencia sobre el DoS.
Ahora, está comparando la dirección MAC real con la que está dentro del protocolo DHCP, de modo que cuando encuentre una diferente, simplemente descarte el paquete.
Al decir esto, debes continuar teniendo en cuenta los comentarios de @polynomial.
Lea otras preguntas en las etiquetas denial-of-service ddos mac-address dhcp cisco