BÁO CÁO BÀI TẬP LỚN AN NINH VÀ BẢO MẬT DỮ LIỆU Đề tài Tìm hiểu các dạng tấn công trên DHCP và cách phòng chống (có mô phỏng tấn công)

Các thuật ngữ DHCPMột số thuật ngữ bạn cần biết khi tìm hiểu về DHCP:  DHCP Client Máy trạm DHCP: Là một thiết bị nối vào mạng và sử dụng DHCP để lấy các thông tin cấu hình như là địa c

ĐẠI HỌC MỞ HÀ NỘI

KHOA CÔNG NGHỆ THÔNG TIN

-BÁO CÁO BÀI TẬP LỚN

AN NINH VÀ BẢO MẬT DỮ LIỆU

Đề tài: Tìm hiểu các dạng tấn công trên DHCP và cách phòng chống

(có mô phỏng tấn công).

Giảng viên hướng dẫn: ThS.Thái Thanh Tùng

Sinh viên thực hiện: Nguyễn Du Tuấn Anh – 2010A03

Đặng Thái Thịnh – 2010A01 Lưu Đức Hoàng – 2010A01

Vương Quang Huy – 2010A01 Phạm Tuấn Phong – 2010A01

Hà Nội – Năm 2022

MỤC LỤC

1 DHCP là gì? 4

2 Các thuật ngữ DHCP 4

4 Cách thức hoạt động của DHCP Server 5

5 Ưu điểm và nhược điểm của DHCP là gì? 5

6 Các thông điệp giao tiếp DHCP Client và DHCP Server 7

7 Các cuộc tấn công có thể xảy ra với DHCP 8

8 Vậy các giải pháp bảo mật DHCP là gì? 13

9 Tài liệu tham khảo 14

Phân chia công việc

Nguyễn Du Tuấn Anh

1.DHCP là gì?

2.Các thuật ngữ DHCP

Phạm Tuấn Phong

3.Các thức hoạt động của DHPC

4 Các thức hoạt động của DHPC Server

Đặng Thái Thịnh

5.Ưu nhược điểm của DHCP là gì?

7 Các thông điệp giao tiếp DHCP Client và DHCP Server

Lưu Đức Hoàng 10. Các cuộc tấn công có thể xảy ra với DHCP

Vương Quang Huy 11. 12.Tổng hợp, trình bày Word Vậy các giải pháp bảo mật DHCP là gì?

1 DHCP là gì?

DHCP (Dynamic Host Configuration Protocol) hay DHCP còn gọi là giao thức cấu hình động máy chủ DHCP có bản chất là một máy chủ mạng Nó tự động cung cấp, gán địa chỉ IP, cổng mặc định và các thông số mạng khác cho các thiết bị client và các cấu hình liên quan khác như subnet mask và gateway mặc định

DHCP cung cấp một database trung tâm để theo dõi tất cả các máy tính trong hệ thống mạng với mục đích quan trọng là tránh xảy ra trường hợp hai máy tính khác nhau lại có cùng địa chỉ IP Một máy chủ DHCP tự động gửi các thông số mạng cần thiết đến khách hàng để có thể giao tiếp chính xác trên mạng

Nếu không có DHCP, các máy tính có thể cấu hình IP thủ công (cấu hình IP tĩnh) Ngoài việc cung cấp IP, thì DHCP còn cung cấp các thông tin cụ thể như DNS Hiện nay thì DHCP có 2 phiên bản là IPv4 và IPv6

2 Các thuật ngữ DHCP

Một số thuật ngữ bạn cần biết khi tìm hiểu về DHCP:

 DHCP Client (Máy trạm DHCP): Là một thiết bị nối vào mạng và sử dụng DHCP để lấy các thông tin cấu hình như là địa chỉ mạng, địa chỉ máy chủ DNS

 DHCP server (Máy chủ DHCP): Là một thiết bị nối vào mạng có chức năng trả về các thông tin cần thiết cho máy trạm DHCP khi có yêu cầu

 Binding (kết nối): Là tập hợp các thông tin cấu hình trong đó có ít nhất một địa chỉ IP, được sử dụng bởi một DHCP Client và các kết nối được quản lý bởi DHCP

 BOOTP relay agents (Thiết bị chuyển tiếp BOOTP): Là một máy trạm hoặc router có khả năng chuyển các thông điệp DHCP giữa DHCP server

và DHCP Client

 DHCP Lease: Là khoảng thời gian giữ nguyên địa chỉ IP trước khi nó thay đổi Mỗi địa chỉ IP sẽ có một vòng đời nhất định và khi hết thời hạn

nó sẽ được cấp một địa chỉ IP mới

3 Cách thức hoạt động của DHCP

Đối với cách thức hoạt động của DHCP thì khá dễ hiểu, khi một thiết bị truy cập mạng yêu cầu địa chỉ IP từ một router thì ngay sau đó router sẽ gán cho một địa chỉ IP khả dụng cho phép thiết bị có thể giao tiếp trên mạng dễ dàng

Trong đó, router hoạt động như một máy chủ DHCP đối với các mô hình nhỏ hay hộ gia đình Còn đối với các mạng lớn hơn thì router không thể quản lý được nên đóng vai trò là một máy chủ chuyên dụng để cấp địa chỉ IP

4 Cách thức hoạt động của DHCP Server

Cách thức hoạt động còn có thể hiểu theo một khía cạnh khác, khi một thiết bị muốn kết nối mạng thì nó sẽ gửi một yêu cầu đến máy chủ (gọi là DHCP

DISCOVER) Sau khi có yêu cầu đến máy chủ thì ngay tại đó máy chủ sẽ tìm một địa chỉ IP khả dụng với thiết bị đó và cung cấp địa chỉ IP và gói DHCP OFFER

Ngay sau khi nhận được địa chỉ IP, thiết bị đó sẽ phản hồi lại máy chủ với gói tin DHCP REQUEST Và đây là lúc chấp nhận yêu cầu thì máy chủ sẽ gửi tin báo nhận (ACK) để xác nhận rằng thiết bị đó đã có điạ chỉ IP và xác định được thời gian sử dụng địa chỉ IP vừa đucợ cấp đến khi có địa chỉ IP mới

5 Ưu điểm và nhược điểm của DHCP là gì?

 Ưu điểm của DHCP

Một số ưu điểm nổi bật của DHCP có thể được kể đến dưới đây:

- DHCP cho phép bạn cấu hình tự động giúp cho các thiết bị như máy tính, điện thoại và các thiết bị thông minh khác,… kết nối mạng một cách nhanh chóng và dễ dàng hơn,

- Cách thức hoạt động của DHCP là gán địa chỉ IP cho từng thiết bị, nên khó có thể trùng địa chỉ IP Với cách làm này giúp cho hệ thống hoạt động một cách ổn định và đơn giản

Với việc DHCP cho phép cài đặt mặc định và thiết lập tự động lấy IP giúp cho mọi thiết bị muốn kết nối đều nhận được địa chỉ IP và kết nối để giao tiếp với mạng

- Bên cạnh đó, DHCP có thể vừa quản lý địa chỉ IP và các tham số của TCP/IP trên một giao diện giúp cho việc quản lý và theo dõi dễ dàng

- Người quản lý có thể thay đổi cấu hình và các thông số giúp cho việc update hệ thống hiệu quả hơn

- Ưu điểm cuối cùng có thể nói đến ở đây là các thiết bị có thể di

chuyển tự do từ mạng này sang mạng khác và có thể nhận một địa chỉ

IP tự động khác (bởi vì các thiết bị có thể tự nhận địa chỉ IP)

Ngoài ra, các máy chủ DHCP cung cấp các giao diện quản lý và ghi nhật

ký Điều này giúp các quản trị viên có thể quản lý các địa chỉ IP vi phạm Máy chủ DHCP có thể cung cấp khả năng dự phòng và tính khả dụng cao Khi một máy chủ DHCP xảy ra lỗi, client sẽ được bảo toàn địa chỉ

IP hiện tại mà không gây ra gián đoạn cho các node cuối

Một số tổ chức muốn di chuyển DHCP cho IPv6 ra khỏi phạm vi các router/switch Đồng thời đặt chúng trên một cơ sở hạ tầng máy chủ

DHCP mạnh mẽ Việc này thường xảy ra ở các tổ chức đang bắt đầu triển khai IPv6 Mục đích của thay đổi này thường là để có DHCP hoạt động tương tự nhau cho cả hai giao thức Các tổ chức doanh nghiệp sẽ muốn tận dụng máy chủ DHCP giao thức kép tập trung để cung cấp địa chỉ IPv6 và IPv6 cho các thiết bị client

 Nhược điểm của DHCP

Ngoài những ưu điểm, thì DHCP cũng có nhược điểm và hạn chế của riêng nó:

- DHCP sử dụng IP động đôi khi không phù hợp với thiết bị cố định như máy in, server file

- Đối với các máy in hộ gia đinh hay văn phòng thì việc gán địa chỉ IP liên tục không mang lại hiệu suất cao Vì mỗi khi kết nối với một máy tính khác nhau thì máy in đó phải cập nhật cài đặt để có thể kết nối được với máy tính

6 Các thông điệp giao tiếp DHCP Client và DHCP Server

- DHCP Discover: Đây là một gói tin được gửi đến DHCP server khi có một thiết bị yêu cầu cung cấp địa chỉ IP để truy cập vào mạng

- DHCP Offer: Được máy chủ DHCP gửi phản hồi cho Client sau khi nhận DHCP Discover Đây là gói chứa địa chỉ IP, cấu hình TCP/IP bổ sung

- DHCP Request: Đây là gói tin được DHCP Client phản hồi với server về sự chấp nhận địa chỉ IP sau khi nhận DHCP Offer

- DHCP Acknowleadge: Đây là gói tin mà máy chủ DHCP phản hồi lại với Client nhằm xác minh rằng đã chấp nhận địa chỉ IP DHCP Request đồng thời định hướng các tham số tùy chọn để thực hiện việc cho phép Client truy cập mạng TCP/IP cũng như hoàn tất quá trình khởi động

- DHCP Nak: Nếu Client không còn sử dụng địa chỉ IP do nó đã hết hạn hoặc

đã chuyển sang một người dung mới Thì lúc này DHCP server sẽ gửi một gói tin DHCP Nak Yêu cầu client thực hiện lại quá trình thuê bao

- DHCP Decline: Trường hợp DHCP Client quyết định tham số thông tin được đề nghị nào không có giá trị nó sẽ gửi một gói DHCP Decline đến các server và client phải bắt đầu quá trình thuê bao lại

- DHCP Release: Đây là một gói tin được DHCP Client gửi đến một server để giải phóng địa chỉ IP và có thể xóa bất kỳ IP đang còn tồn tại

7 Các cuộc tấn công có thể xảy ra với DHCP

1 DHCP Spoofing

1.1 Giới thiệu về DHCP Spoofing

DHCP spoofing là kỹ thuật giả mạo DHCP Server trong mạng LAN Kẻ tấn công có thể cài đặt một phần mềm DHCP trên máy tính của mình và cấp phát địa chỉ IP cho máy nạn nhân với các thông số giả mạo như default gateway, DNS Từ đó, máy tính nạn nhân sẽ bị chuyển hướng truy cập theo ý đồ của

kẻ tấn công

Máy nạn nhân sau khi nhận thông tin về địa chỉ IP từ DHCP Server giả tạo, khi truy cập một website, ví dụ của ngân hàng, facebook,… có thể sẽ bị chuyển hướng truy cập tới Server do kẻ tấn công kiểm soát Trên Server này,

kẻ tấn công có thể tạo những website thật, nhằm đánh lừa nạn nhân nhập tài khoản, mật khẩu, từ đó đánh cắp những thông tin này

Cuộc tấn công này sử dụng kỹ thuật giả mạo ARP, cũng được gọi là ARP cache poisoning hoặc ARP poison routing (APR), đó là một kỹ thuật tấn công mạng LAN đơn giản APR giả mạo sẽ cho phép kẻ tấn công chặn các khung trên mạng LAN, sửa đổi lưu lượng truy cập, dừng lưu lượng truy cập hoặc chỉ đơn giản là nghe lén tất cả các thông tin đi qua đường truyền mạng Điều này là có thể bởi vì tất cả các thông tin liên lạc trong mạng LAN bây giờ có thể đi qua interface của kẻ tấn công, và các gói tin trong cuộc giao tiếp này rất dễ bị nghe lén

1.2 Cách thức tấn công

Kịch bản:

 Bước 1: Máy tính của kẻ tấn công sẽ vét cạn toàn bộ Pool IP của máy DHCP

Server bằng cách liên tục gửi các yêu cầu xin cấp phát IP (DHCP Discover) tới máy DHCP Server Mỗi yêu cầu DHCP Discover này đều chứa địa chỉ MAC giả mạo nhằm đánh lừa DHCP Server rằng đó là lời yêu cầu từ các máy tính khác nhau Vì Pool IP cấp phát trên DHCP Server là hữu hạn nên sau khi đã cấp phát hết IP, DHCP Server không thể phục vụ các yêu cầu xin

IP từ máy Client

 Bước 2: Kẻ tấn công cài đặt phần mềm DHCP Server trên máy của mình và

cấp phát thông số IP giả mạo, điều hướng truy cập nạn nhân đến các Server

do hắn kiểm soát nhằm đánh lừa và đánh cắp thông tin

Cách tấn công

 Client gửi yêu cầu DHCP đến DHCP Server để nhận cấu hình IP

PC Client đang gửi gói tin DHCP Discover tới tất cả các máy tính trong mạng Yêu cầu này là một gói tin quảng bá đến tất cả các host trên mạng LAN Nhưng chỉ có DHCP Server mới biết yêu cầu này có nghĩa là gì và trong tình huống bình thường thì máy DHCP Server REAL sẽ trả lời yêu cầu đó

DHCP Server sau đó sẽ trả lời Client với các gói tin DHCP Offer chứa địa chỉ IP, subnet mask và default gateway

Kẻ tấn công sẽ tạo ra một DHCP Server giả và sẽ trả lời lại cho Client gói DHCP Offer trước DHCP Server thật Với hành động này, hacker có thể lấy được các thông tin và định hướng đường đi cho các thông tin đó Sau đó, hacker sẽ chuyển thông tin đến đích mà Client muốn hoặc đích mà hacker muốn, mà Client không biết rằng thông tin liên lạc của mình là luôn luôn đi qua Attacker PC và bị nghe lén

 DHCP Spoofing – cấu hình sai địa chỉ IP của Client

Thiết bị giả mạo DHCP (kẻ tấn công) nằm trong mạng LAN Hacker có khả năng trả lời các yêu cầu của gói DHCP Discover của Client trước khi yêu cầu của họ có thể tiếp cận với DHCP Server thực Server hợp pháp cũng có thể trả lời, nhưng nếu thiết bị giả mạo nằm trên cùng một phân đoạn với Client, câu trả lời của Hacker sẽ đến trước DHCP Offer của hacker sẽ cung cấp địa chỉ IP, default gateway và DNS server

 DHCP Spoofing – Tất cả dữ liệu sẽ đi qua PC của hacker đến đích

Trong trường hợp này, PC của hacker đóng vai trò là một gateway Các thông tin từ Client được chuyển đi sẽ đi qua PC của hacker trước khi đến với đích mà nó mong muốn Việc này được gọi là một cuộc tấn công trung gian,

và nó có thể hoàn toàn không bị phát hiện khi hacker chặn luồng dữ liệu qua mạng nhưng không ngăn chặn lưu lượng mạng

2 DHCP Flooding

2.1.Giới thiệu về DHCP Flooding

Là kỹ thuật tấn công nhằm khiến DHCP Server bị ngập bởi các yêu cầu cấp phát địa chỉ từ các Client giả mạo Kẻ tấn công sử dụng DHCP Flooding để làm cho máy chủ thật quá tải trong việc xử lý các gói tin giả mà không thể đáp ứng đủ nhanh, hay hoàn toàn không còn khả năng đáp ứng yêu cầu từ máy người dùng Tại đây, kẻ tấn công có thể lựa chọn việc chiếm toàn bộ dải IP hay chỉ đưa ra số lượng gói tin yêu cầu cấp phát IP đủ nhiều để server trở nên chậm chạp hơn server giả

Sau khi đã thực hiện thành công quá trình Flooding và khiến nạn nhân kết nối đến máy chủ giả mà kẻ tấn công tạo ra, hắn có thể sử dụng nhiều công cụ khác nhau để bắt được gói tin từ nạn nhân và tiến hành phân tích chúng

2.2 Cách thức tấn công DHCP DoS attack sử dụng Yersinia trong Kali Linux

a.Giới thiệu về Yersinia

Yersinia là công cụ Network được sử dụng để tấn công, khai thác các lỗ hổng trên hệ thống mạng trên hệ điều hành Linux Nó lợi dụng 1 số điểm yếu trong các giao thức mạng khác nhau để tấn công và khai thác các lỗ hổng của các giao thức Layer 2

Yersinia thường được sử dụng để tấn công vào các thiết bị lớp 2 như Switch, DHCP server, Spanning Tree…

Hiện tại Yersinia hỗ trợ các tấn công vào các giao thức layer 2 sau:

 Dynamic Host Configuration Protocol (DHCP)

 Spanning Tree Protocol (STP)

 Cisco Discovery Protocol (CDP)

 Dynamic Trunking Protocol (DTP)

 Hot Standby Router Protocol (HSRP)

 IEEE 802.1Q

 IEEE 802.1X

 Inter-Switch Link Protocol (ISL)

 VLAN Trunking Protocol (VTP)

b.Cách thức tấn công

Có thể sử dụng Yersinia dưới dạng CLI hoặc GUI để thực hiện các cuộc tấn công vào layer 2

c.Mô hình

 Máy ảo Kali Linux

 Window Server 2012R2 thuộc subnet 10.123.10.0/24

 Máy Client

d.Mô tả

 Kẻ tấn công tham gia vào hệ thống mạng cùng VLAN với DHCP Server

 Kẻ tấn công liên tục gửi tới DHCP Server các gói tin yêu cầu xin cấp địa chỉ IP với các địa chỉ MAC nguồn không có thực (gói Discover) bằng việc thực hiện 1 chương trình

 Khi dải IP có sẵn trên DHCP Server cạn kiệt vì bị nó thuê hết, dẫn tới việc DHCP Server không còn địa chỉ IP nào để cấp cho các DHCP Client hợp pháp thuê, khiến dịch vụ bị ngưng trệ, các máy trạm khác

không thể truy nhập vào hệ thống mạng để truyền thông với các máy tính trong mạng

Trường hợp tấn công này chỉ làm cho các máy tính đăng nhập vào hệ thống mạng (sau khi bị tấn công) không thể sử dụng dịch vụ DHCP, dẫn đến

không vào được hệ thống mạng Còn các máy trạm khác đã đăng nhập trước

đó vẫn hoạt động bình thường

Đây là kiểu tấn công từ chối dịch vụ DHCP dễ dàng nhất mà kẻ tấn công có thể thực hiện Kẻ tấn công chỉ cần rất ít thời gian và băng thông là có thể thực hiện được cuộc tấn công này

8 Vậy các giải pháp bảo mật DHCP là gì?

Các giải pháp cũng tùy thuộc vào từng kiểu tấn công khác nhau mà có các cách bảo mật DHCP phù hợp Bạn có thể xem qua một số giải pháp bảo mật được liệt kê dưới đây

 Với kiểu tấn công DHCP Client bất hợp pháp

Giải pháp bảo mật cho kiểu tấn công này có thể dùng Switch vì nó có khả năng bảo mật cao Vì nó có thể giúp hạn chế số lượng địa chỉ MAC được dùng trên một cổng Cách này giúp hạn chế việc trong cùng một khoảng thời gian và cùng một cổng có quá nhiều địa chỉ MAC được sử dụng

Với giải pháp này, số lượng địa chỉ IP vượt quá mức quy định thì cổng sẽ bị đóng lại và ngừng phục vụ và chỉ hoạt động trở lại theo thời gian mà các quản trị viên đã được thiết lập

 Với kiểu tấn công DDoS

Với tình trạng này thì giải pháp của nó hiện nay sẽ dễ dàng hơn với các dịch

vụ chống DDoS sẽ giúp bạn can thiệp và bảo vệ hệ thống mạng, website của

bạn Kiểu tấn công này, hiện nay khá phổ biến và thường xuất hiện với các

hệ thống bởi các kẻ tấn công cố tình phá hoại

 Với kiểu tấn công Man-in-the-middle

Với kiểu tấn công này thì giải pháp có thể sử dụng các Switch có tính năng bảo mật DHCP Snooping cao Với cách này sẽ hạn chế kết nối DHCP đến các cổng không đáng tin, chỉ các cổng được cho phép thì mới được DHCP reponse hoạt động

 Một số giải pháp khác để bảo mật DHCP server

Bằng cách sử dụng hệ thống các file NTFS để lưu trữ dữ liệu

Liên tục cập nhật các phần mềm trên hệ điều hành

Quét virus thường xuyên

Xóa và tắt các ứng dụng, phần mềm không đáng tin cậy

Sử dụng firewall cho máy chủ DHCP

9 Tài liệu tham khảo

https://vietnix.vn/dhcp-la-gi/

https://wiki.matbao.net/dhcp-la-gi-tim-hieu-cach-tao-ip-dong-va-giai-phap-bao-mat-dhcp/

https://viblo.asia/p/mot-so-ky-thuat-tan-cong-vao-giao-thuc-dhcp-GrLZDQrVlk0