Irgendwo Geschrieben 11. Juni 2009 Geschrieben 11. Juni 2009 Hi! Ich suche Informationen über DHCP-Starvation. (für eine wissenschaftliche Arbeit) Es besteht generell die Frage, wie dieser Angriff abläuft und ob es für so etwas z.B. Programme gibt? (will nicht wissen welche) Was sind Schutzmaßnahmen, etc.? Habe dazu sehr wenig finden können. Zitieren
Crash2001 Geschrieben 11. Juni 2009 Geschrieben 11. Juni 2009 Hmmm.... naja, was braucht man da gross für Infos? Das ist einfach eine Attacke bei der ein Rechner immer wieder eine neue IP-Adresse vom DHCP-Server anfordert, bis der DHCP-Pool ausgelastet ist und der Server somit keine neuen mehr vergeben kann. Da normalerweise die IP-Adresse einer MAC-Adresse zugeordnet wird, müsste der Client also denke ich mal jedes mal seine MAC-Adresse ändern vor einer neuen Anfrage. Viel mehr gibts doch dazu gar nicht zu sagen, oder? Schutzmassnahme dagegen, dass er immer wieder per neuer MAC eine neue Adresse anfordert gibts auf dem DHCP-Server nicht, sondern höchstens auf dem Switch dazwischen. Und zwar, indem nur eine MAC-Adresse pro Port erlaubt wird und diese festgelegt wird z.B. (Port-Security ) Die MAC-Adress-Liste kann entweder auf dem Switch konfiguriert werden, oder aber per IEEE-802.1X-Authentifizierung an einem RADIUS-Server einer MAC-Adresse global Zugriff gegeben werden. Unbekannte MAC-Adressen werden dann z.B. geblockt. Das hilft dann einerseits gegen Zugriff von unbekannten Maschinen und anderseits auch dagegen, dass andere Maschinen an einem Port genutzt werden, an dem sie nichts zu suchen haben, sowie auch dass sie einfach ihre MAC-Adresse ändern. Sobald eine unbekannte bzw. auf dem Port nicht erlaubte MAC-Adresse gefunden wird, wird der Port abgeschaltet und auf error-disabled gesetzt. Such mal nach Port security mac, da solltest du einiges dazu finden. Obs fertige Programme dafür gibt, weiss ich nicht. Zitieren
Irgendwo Geschrieben 12. Juni 2009 Autor Geschrieben 12. Juni 2009 Und zwar, indem nur eine MAC-Adresse pro Port erlaubt wird und diese festgelegt wird z.B. (Port-Security ) Das würde dann aber bedeuten, dass alle Clients bereits bekannt sein müssten und niemand neues einfach ins Netz gehen könnte? Würde das denn überhaupt Sinn machen? Da kann man doch gleich allen eine feste IP zuweisen? Deshalb verstehe ich diese Sicherheitsmaßnahme nicht. Zitieren
Crash2001 Geschrieben 13. Juni 2009 Geschrieben 13. Juni 2009 Das würde dann aber bedeuten, dass alle Clients bereits bekannt sein müssten und niemand neues einfach ins Netz gehen könnte?[...]DAs war nur EIN Beispiel was möglich ist. Es gibt da mehrere Möglichkeiten. Entweder MAC-Adressen, die bereits bekannt sind in einer Liste konfigurieren als "darf zugreifen" und alles andere verbieten. Zweite Möglichkeit, festlegen, dass immer nur eine MAC-Adresse gleichzeitig auf einem Port zu sehen sein darf und diese beliebeig ist (timed dann nach eingestellter Zeit aus und macht Platz für eine neue), dritte Möglichkeit, dass die erste Adresse die auf dem Port erkannt wird als MAC-Adresse festgelegt wird, die auf dem Port Zugriff hat (mac address sticky), vierte Möglichkeit wäre eine Kombination aus mehreren der Möglichkeiten. (Also z.B. 1 feste MAC-Adresse + 1 beliebige die entweder erkannt und dann eingetragen wird in der Liste automatisch, oder die wieder austimed). Da lässt sich schon so einiges machen. Genauso kann der Port nach x Zeiteinheiten (ich glaub bei Cisco ists in Sekunden angegeben) wieder hochgeschaltet werden automatisch und falls dann der Konflikt nicht mehr besteht, läuft er wieder ganz normal, wenn der Konflikt noch immer besteht, schaltet er sich wieder auf error-disabled... Zitieren
Gnork Geschrieben 13. Juni 2009 Geschrieben 13. Juni 2009 Habe dazu sehr wenig finden können. Meiner Meinung nach findet Google doch relativ flink genug, um zumindest deine hier gestellten Fragen zu beantworten. z.B.: DHCP Starvation Attack ? Wikipedia Diskussion Wikipedia DHCP Starvation - Hakipedia Allied Telesis, Inc :: DHCP Starvation Attack DHCP Starvation Attack | NetworkDictionary http://www.juniper.net/techpubs/en_US/junos9.5/topics/example/port-security-protect-from-dhcp-starvation-attack.pdf Voice-over-IP-Systeme gegen Angriffe sichern - Network Computing Zitieren
Irgendwo Geschrieben 15. Juni 2009 Autor Geschrieben 15. Juni 2009 Eine Frage noch zur Port-Security: Wenn man nun beispielsweise einstellt: Nur 3 MAC-Adressen / Port, wo ist dann die Verhinderung des Angriffs? Wenn nun ein Angreifer wieder einen DHCP-Starvation - Angriff fährt, dann werden die Ports alle runtergefahren (weil sich mehr MAC-Adressen anmelden) und es hat wieder zum Erfolg geführt - System nicht verfügbar!? Zitieren
Crash2001 Geschrieben 16. Juni 2009 Geschrieben 16. Juni 2009 Nein, dann hat es nicht zum Erfolg geführt, da ja nur SEIN Port runtergefahren wird und er somit nicht die IPs vom DHCP-Server verbrauchen kann. Das ist ja portbezogen und nicht auf den ganzen Switch direkt... Port-Security muss natürlich schon auf Access-Ebene stattfinden. Erst später macht das nicht viel Sinn. Du stellst also z.B. auf Port FastEthernet0/24 ein, dass auf DIESEM Port 3 MAC-Adressen gleichzeitig sichtbar sein dürfen. Die anderen Ports beeinflusst das dann nicht. Zitieren
Irgendwo Geschrieben 16. Juni 2009 Autor Geschrieben 16. Juni 2009 Nein, dann hat es nicht zum Erfolg geführt, da ja nur SEIN Port runtergefahren wird und er somit nicht die IPs vom DHCP-Server verbrauchen kann. Das ist ja portbezogen und nicht auf den ganzen Switch direkt... Port-Security muss natürlich schon auf Access-Ebene stattfinden. Erst später macht das nicht viel Sinn. Du stellst also z.B. auf Port FastEthernet0/24 ein, dass auf DIESEM Port 3 MAC-Adressen gleichzeitig sichtbar sein dürfen. Die anderen Ports beeinflusst das dann nicht. OK, verstehe. Irgendwo hab ich da aber noch nen Denkfehler. Beispiel: Großes Firmennetz mit 100 Ports und jeweils 3 zugelassenen Mac-Adressen. Der Angreifer verschafft sich irgendwie Zugang zum Netzwerk und versucht einen DHCP-Starvation-Angriff vorzunehmen. Seine Mac-Adresse ist vollkommen unbekannt. Welchem Port würde der Angreifer dann zugewiesen werden? Und wenn er dann einen Port lahmgelegt hat und seine MAC wieder ändert, warum wird er dann nicht wieder (wie beim ersten Mal) einem neuen Port zugewiesen? Zitieren
Crash2001 Geschrieben 16. Juni 2009 Geschrieben 16. Juni 2009 (bearbeitet) Nur dass keine Verwechslungen des Begriffs "Port" auftritt... Es sind Hardwareports am Switch gemeint, nicht Softwareports, um Protokolle auf den höheren Schichten des OSI-Modells zu adressieren. Also Layer 1 (Hardwareschicht), nicht Layer 4 (TCP/UDP/...). Von daher hängt der Angreifer ja immer am gleichen Port, oder wenn er sich auf einen neuen Port hängt (falls der Switch leichtsinnigerweise frei zugänglich wäre) wird der neue Port halt dann auch gesperrt. Ist der Port einmal gesperrt, dann muss man ihn entweder manuell wieder aktivieren, oder aber in den Port-Security-Einstellungen ist ein Timer mit drin, der den Port dann nach einer bestimmten einstellbaren zeit wieder automatisch aktiviert. P.S.: Ein Firmennetz mit 100 Ports ist nicht gross, sondern eher sehr klein. Gross ists eher bei 10.000 Ports o.ä. ... Bearbeitet 16. Juni 2009 von Crash2001 Zitieren
Irgendwo Geschrieben 16. Juni 2009 Autor Geschrieben 16. Juni 2009 Nur dass keine Verwechslungen des Begriffs "Port" auftritt... Es sind Hardwareports am Switch gemeint, nicht Softwareports, um Protokolle auf den höheren Schichten des OSI-Modells zu adressieren. Also Layer 1 (Hardwareschicht), nicht Layer 4 (TCP/UDP/...). Von daher hängt der Angreifer ja immer am gleichen Port, oder wenn er sich auf einen neuen Port hängt (falls der Switch leichtsinnigerweise frei zugänglich wäre) wird der neue Port halt dann auch gesperrt. Ist der Port einmal gesperrt, dann muss man ihn entweder manuell wieder aktivieren, oder aber in den Port-Security-Einstellungen ist ein Timer mit drin, der den Port dann nach einer bestimmten einstellbaren zeit wieder automatisch aktiviert. P.S.: Ein Firmennetz mit 100 Ports ist nicht gross, sondern eher sehr klein. Gross ists eher bei 10.000 Ports o.ä. ... OK, verstehe, das war mein Fehler.... Also geht es wirklich um einen physikalischen Port... Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.