Absence DHCP, une solution simple?

L'utilisation de l'ensemble de l'espace d'adresses IP semble excessive. En supposant que vous parlez d'un environnement isolé (Disons, pour NAT), vous pouvez utiliser 10.0.0.0 \ 8 Sans aucun problème associé au routage. Si votre réseau actuel (C'est le nombre de vraies voitures) NEILLO, puis le problème global d'avoir un domaine de diffusion potentiellement énorme n'est pas aussi pertinent, et si vous définissez un temps de location relativement bas (Quelques minutes), Vous pouvez vous assurer qu'il était tout simplement peu pratique pour une attaque effective réellement votre gamme. Cependant, vous devez toujours vous battre de ce qui peut être une quantité relativement importante de trafic avec des millions de fausses requêtes, ce qui sera diffusé du trafic, rappelez-vous que tous les appareils réels de votre réseau le voient également. - Tant de faux bruit pour tous sur le réseau à partir desquels les interruptions doivent être traitées. Vos commutateurs commenceront également à suivre toutes ces [fausses] combinaisons MAC / Adresses IP, vous permettez donc à un attaquant d'augmenter le nombre de ressources consommées et ils sont également limités. Je crois que pour une attaque sérieuse, le code d'épuisement DHCP, Envoie probablement des demandes plus rapidement que de nombreux serveurs DHCP peuvent faire face si le volume est vraiment énorme - Ressources physiques (CPU et RAM requis pour traiter les réponses et suivre les locations actives) Le serveur DHCP peut éventuellement être facilement consommé si l'attaquant peut générer des demandes rapidement rapidement et le résultat final peut être pire pour vous. - Vous avez maintenant remplacé l'attaque de refus de maintenir les nouvelles connexions d'attaque, ce qui peut entraîner une défaillance de votre serveur et de votre commutateur DHCP. (et ils peuvent être utilisés).

S'il s'agit d'un problème grave et que vous ne pouvez pas accepter l'opportunité DoS contre les clients, vous devez utiliser des commutateurs contenant des mécanismes pour empêcher cette - Il y a certains mécanismes pour atténuer le jeûne DHCP, comme le DHCP Snooping, Mais simplement l'inclusion de contrôles pour limiter la substitution des adresses MAC en règle générale, cela aide à cela, ainsi que lors de la remplissage des tables. CAM. La meilleure approche consiste à activer l'authentification du port, mais il est difficile de mettre en œuvre dans un environnement important et ne pas utiliser dans un scénario non géré. (Par exemple, au point d'accès Wi-Fi). Je ne crois pas qu'il existe une solution finale d'usage général, c'est le cas d'équilibrer les risques de diverses options disponibles et de choisir le meilleur qui fonctionne mieux dans votre environnement.

Cette approche a beaucoup de problèmes.

Tout d'abord, si vous faites ce qu'ils ont exprimé, vous vous déconnectez-vous d'Internet, car cette gamme comprend (presque) Toutes les adresses possibles IPv4.

Deuxièmement, ce qui en fait, vous vous êtes configuré pour traiter avec

énorme

Domaine de diffusion. Travaux avancés typiques avec le réseau recommandé d'utiliser un petit sous-réseau (Par exemple, avoir des masques de réseau / 22 ou plus long), Limiter la taille de vos domaines de diffusion. Avec des sous-réseaux plus importants, votre appareil de routage et de commutation (En fonction de la fiabilité) Peut être surchargé de la nécessité de traiter un tel trafic de diffusion.

Basculer vers IPv6!

Surtout si vous utilisez simplement des mètres de voiture ICMP Sans serveur DHCP. :)

Pourquoi ne pas raccourcir le temps de location DHCP à une telle étendue pour que l'attaquant a perdu la bataille :)

Il n'y a pas de solution triviale, car c'est un problème non trivial.

En substance, DOS attaque sur le réseau sans fil Ethernet, Que quelque chose de "intellectuel", comme une attaque de l'épuisement de la région DHCP, Ou quelque chose de "cerveaux", par exemple, un émetteur remplissant le spectre utilisé par les stations de radio ne peut pas être arrêté car les stations de radio ne peuvent pas ignorer sélectivement les signaux de tout émetteur. Air - Environnement général, et c'est juste la physique.

En câblé Ethernet Vous pouvez désactiver le port à partir desquels les demandes excessives continuent. DHCP (Ou d'autres types d'attaques DOS). Sauf pour déconnecter le point d'accès à partir desquels les demandes redondantes viennent DHCP (et déconnectez chaque appareil mobile associé à ce point d'accès), Vous ne pouvez rien faire "trivial".

La meilleure façon de l'adoucir - Au niveau du commutateur - Vérifiez ici une explication détaillée des attaques et de l'adoucissement:
http://www.think-security.com/ ... irty/

Si vous faites cela, vous devrez configurer un grand nombre d'itinéraires, de niveaux de niveau. 3, Les agents de retransmission DHCP, les listes de contrôle d'accès, les règles de pare-feu, etc. Imaginent que mon serveur est sur 10.1.1.1, Ma porte d'entrée est sur 10.1.1.2, Et mon client DHCP - 167.10.1.250: Maintenant, j'ai besoin d'un moyen de rouler du trafic de mon client sur mon serveur et une passerelle, d'autres clients qui reçoivent des adresses IP sur un autre sous-réseau, etc. Cela rendrait le réseau presque inapproprié à utiliser. Gestion Un tel réseau serait presque impossible.