برچسب: DHCP Acknowledge

DHCP Snooping

برای درک بهتره DHCP Snooping بهتره اول یه کوچولو در مورد DHCP و نحوه کار کردنش بدونیم . پروسه IP گرفتن از DHCP چهارتا مرحله داره :

DORA :

  • DHCP Discover : کامپیوتر ، یه داد توی شبکه میزنه و میگه : آیا سروری وجود دارد که به من IP بده ؟
  • DHCP Offer : سرور به محض گرفتن پیام کمک از کامپیوتر ، یه عکس از یه IP تپل ، مپل با مخلفاتش مثه MASK ، GW برا کامپیوتر میفرسته و میگه دوسش داری؟
  • DHCP Request : کامپیوتر پیشنهاد سرور رو میگیره ، اندازه و براندازش میکنه ، سبک ، سنگینش میکنه و میگه من میخوامش .
  • DHCP Acknowledge : تو این مرحله ، سرور به کامپیوتر میگه باشه مال تو و از سبد محصولاتش اون IP رو حذف میکنه.

dhcp_principle

حالا فرض کنیم که یه نفر شیطونی کرده و توی شبکه یه سرور DHCP تقلبی راه انداخته و شروع کرده به توزیع IP های فیک(Fake) با ظاهری خوب ولی بدردنخور مثه ۱٫۱٫۱٫۱ و از اونجایی که کامپیوترها جو گیرن و به اولین پیشنهاد IP اوکی میدن توی بد دردسری میوفتن و ارتباطشون با کل شبکه  قطع میشه و البته اگه شیطونمون یکم حرفه ایی باشه ، به جای اینکه ارتباط کامپیوتر رو با شبکه قطع کنه میتونه ترافیک رو اول به سمت خودش برای آنالیز و بعد به سمت شبکه هدایت کنه . اینجوری ارتباط کامپیوتر با شبکه قطع نیست ، ولی اطلاعات اول میرن پیش شیطون ، یه بررسی میشن ، بعد به راهشون ادامه میدن. اطلاعاتم که میدونیم میتونه شامل  تمام یوزر پسوردها ، اطلاعات بانکی و خلاصه هر چیزی که شما در شبکه رد و بدل میکنید باشه.

DHCP snooping یه راه جلوگیری از کار کردن DHCP Server های تقلبی  با استفاده از فیلتر کردن DHCP Offer ها توی شبکمونه. به این صورت که وقتی شما DHCP Snooping رو روی یک سوئیچ فعال میکنید بصورت پیش فرض تمام DHCP Offer ها رو از هر پورتی که دریافت کنه فیلتر میکنه. این حرکت ، یه مشکل کوچیک ایجاد میکنه و اونم اینه که دیگه سرور DHCP خودتونم کار نمیکنه و پیشنهادتش (DHCP Offer) فیلتر میشه. برای رفع این مشکل باید تمام پورت هایی که به سرور DHCP اصلی میرسن رو برای DHCP Snooping معرفی کنیم یا به اصطلاح Trust کنیم. من خودم اول فکر میکردم ، که اگه فقط پورتی که به DHCP Server وصل هست رو Trust کنیم کافیه ولی باید حواسمون باشه که ممکنه کامپیوتر ما  قرار باشه از چندتا سوئیچ رد شه  بعد به DHCP Server برسه ، پس باید حتما Trust روی پورتهایی که بین سوئیچ ها هستند و روشون  Snooping  فعال هست هم زده بشه وگرنه DHCP Offer توی سوئیچ بعد فیلتر میشه.

برای فعال کردن DHCP Snooping توی سوئیچ های سیسکو ، کافیه توی محیط Global کامند ip dhcp snooping رو بزنیم و بعد توی پورت هایی که به سرور خودمون ختم میشن کامند ip dhcp snooping trust رو بزنیم

“امیدوارم از این به بعد توی طراحی و مشاورمون برای مشتری این امکان رو لحاظ کنیم و برای مشتریمون ارزش قائل شیم”

یه خاطره از DHCP Snooping

Telegram_logo.svg_