الرئيسية » Security » هجوم DHCP Starvation وطريقة التصدي له

هجوم DHCP Starvation وطريقة التصدي له

عودة مرة آخرى إلى مواضيع الأمن والحماية الخاصة بالشبكات وموضوعي اليوم عن هجوم يستهدق الـ DHCP Server ويعرف بي DHCP Starvation وهو يعد احد هجمات الـ DOS أو Denial of service
وخطورة هذا الهجوم تتمثل في تخريب الشبكة بشكل كامل على جميامستخدمين

ماهو هجوم  DHCP Starvation ؟

يشكل هذا النوع من الهجوم خطرا كبيرا على الشبكة لانه يقوم ببساطة بحجز كل الأيبيات الموجودة في سيرفر الـ DHCP وفيها يقوم المهاجم بأرسال عدد غير محدود من الرسائل إلى سيرفر الـ DHCP يطلب فيها تزويده يأيبي للجهاز الخاص فيه وعندما يتم أستلام الأعدادت من السيرفر وحجز الأيبي له يقوم بأرسال طلب جديد إلى السيرفر لكن هذه المرة بماك أدريس مختلف وهكذا حتى يقوم المهاجم بحجز كل الأيبيات المتاحة على السيرفر وحتى لو كانت 10000 أيبي لان هذه العملية تتم بسرعة كبيرة والتى قد لاتستغرق بضع دقائق وبالتالي أي محاولة من أي جهاز آخر موجود على الشبكة للحصول على أيبي من السيرفر سوف تباء بالفشل

طريق الحماية من هذا النوع من الهجوم

طريقة الحماية تم التطرق لها من قبل وهي تتم من خلال البورت سكيورتي وذلك بتحديد عدد معين من الماك ادريس المسموح لها بالدخول من خلال هذا المنفذ والأوامر طبعا سوف تطبق على السويتش بالشكل التالي

Cisco's IOS
Switch# conf t
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security

وكما ذكرت سابقا في موضوع الـ Port Security أعداده وأهميته في رد هجوم الـ MAC flooding أن تطبيق هذه الأعدادت سوف تسمح لماك أدريس واحد للدخول وردة الفعل التى سوف بقوم بها السويتش هي أغلاق البورت بشكل كامل في حال تخطي هذا العدد وتستطيع أن تقوم بتحديد العدد وردة الفعل كما تريد وطريقة الأعداد موضحة في الموضوع السابق

وبالنسة للأخ محمد الذي راسلني بشان تطبيق البورت سكيورتي على catalyst Switch  فالأمر بسيط  ويختلف بعض الشيء عن الطريقة السابقة مع وجود بعض الزيادات مثل أمر Age وهو لتحديد المدة الزمنية التى سوف يقوم فيها السويتش بحفظ الماك أدريس أو how long all addresses on that port will be secured

وتحدد بعدد الدقائق وهي تكتب بالشكل التالي

Cisco's CAT IOS
set port security 1/2 enable
set port security 1/2 port max 1
set port security 1/2 violation restrict
set port security 1/2 age 500

كلمة آخيرة هذا النوع من الهجوم قد لايكون الهدف منها حجز كل الأيبيات الموجودة على الشبكة لان المهاجم قد يكون هدفه من نوع آخر وهو القيام بي الـ DHCP Spoofing وهو الموضوع القادم إن شاء الله ودمتم بود

Print Friendly, PDF & Email

عن Ayman Alnaimi أيمن النعيمي

مهندس كمبيوتر سوري ومقيم حاليا في قطر , باحث ومطور للمحتوى العربي على الأنترنت, أهدف إلى رفع مستوى الأمة العربية ومساعدتها في النهضة العلمية, أغلب أهتماماتي في الشبكات وتحديدا الهاردوير منها وأقضى معظم وقتي في القراءة والدراسة والعمل وأؤمن بأن الثورة لو كانت لتكون فهي تبدأ بالقراءة ويليها الكتابة وبدون الآخيرة لن يكون هناك ثورة. للتواصل admin@networkset.net & networkset@hotmail.com

4 تعليقات

  1. جزاك الله خير استاذ ايمن

  2. جزاك الله خيراً يا بشمهندس ايمن معلومات قيمة ومفيدة جداً

    عندى مشاركة بسيطة كدة لو تسمح بيها

    ممكن احمى نفسى من هذا الهجوم ايضاً عن طريق تفعيل ال DHCP Snooping

    وتحديد ال rate limit at untrust port عن طريق هذا الأمر
    SW(config-if)# ip dhcp snooping limit rate

    وتحديد عدد معين من ال DHCP request
    وبكدة اكون حليت المشكلة

    يارب اكون قدرت اوصل المعلومة واضيف شئ مفيد

  3. شكرا يا بشمهندس على هذه السلسله الرائعه
    وفي امر اخر وهو
    S(config-if)#ip dhcp snooping limit rate 3
    وهذا عدد ال ip المرسل في ثانيه واحده من على interfacr معين
    ممكن يكون في الموضوع القادم
    بس انا بقرأ السلسله الممتعه كاملة من الاول الى النهايه ان شاء الله

    وفعلا
    حاجات كتير بفتكرها وحجات كتير بتوضح وحجات كتير بفهما
    والاجمل حاجات جديده بعرفها
    شكرا جدا

  4. نعم أخواني كلامكم صحيح ولكن يحتاج إلى تفعيل الـ DHCP Snooping وهي مفيدة أكثر في هجمات غير هذه الهجمة وهي التدوينة التى تأتي بعد هذه التدوينة
    شكرا على المشاركة الأيجابية واعتذر عن التأخر في الرد.

أضف رد على أيمن النعيمي إلغاء الرد

لن يتم نشر البريد الإلكتروني . الحقول المطلوبة مشار لها بـ *

*

x

‎قد يُعجبك أيضاً

أكثر الشهادات طلباً في مجال الأمن والحماية

نستكمل اليوم الحديث عن أفضل الشهادات العلمية واليوم سوف يكون حديثنا عن شهادات الأمن والحماية ...

Management Plane Protection خط الدفاع الأول على سيسكو

أذكر منذ فترة ان دخلت أحد الفنادق الكبيرة وكانت الأجهزة أغلبها من سيسكو والشخص المسؤول ...

VPNمجاني باستخدام برنامج الـ Team Viewer

أصبح برنامج team Viewer عصب عمل أغلب مهندسي الكمبيوتر وأصبح الاعتماد عليه كبير في عمليات ...