Bilgisayarlar bir ağa dahil olduğunda ilk yapacakları iş diğer cihazlarla haberleşmek için “IP, Alt Ağ Maskesi, Ağ geçidi, DNS” gibi bilgileri temin etmektir. Bu bilgileri “STATİK” olarak da alabilir. Ama genel olarak bu yöntem yerine “OTOMATİK” olarak “DHCP” sunucusu kullanılarak yapılmaktadır.
DHCP ile İstemci makine arasındaki haberleşme aşağıdaki mesaj tipleri kullanılarak gerçekleşmektedir.
- DHCPDISCOVER
- DHCPOFFER
- DHCPREQUEST
- DHCPACK
Daha önceki “DHCP” ile ilgili yazımda bu mesajların ne olduğundan ve nasıl çalıştığından bahsetmiştim. Bu konuya geçmeden önce ilgili yazımı okumanız konuyu anlamanız açısından daha yararlı olacaktır. İlgili yazı bağlantısı aşağıdadır.
Starvation Türkçeye açlık olarak çevrilmektedir. Bu saldırıyı “DHCP Açlık” saldırısı olarak da duyabiliriz.
DHCP sunucuları cihazlara IP adreslerini, sahip olduğu IP havuzundan dağıtmaktadır. IP havuzundaki adresler de sonsuz değildir. Bu yüzden bir şekilde buradaki IP adreslerinin tamamı dağıtılırsa DHCP sunucusu, ağa yeni dahil olan cihazlara yanıt veremeyecektir. Bu sürecin sonucunda da ağ haberleşmesi durma noktasına gelecektir.
DHCP Starvation Saldırısı da tam olarak bunu hedeflemektedir.
Saldırı ağa giren tehdit aktörünün, ağda bulunan DHCP sunucusuna sürekli olarak “DHCPREQUEST” isteğinde bulunması ve havuzdaki tüm IP adreslerini alıp sunucuyu kullanılmaz hale getirmesidir. Havuzunda dağıtabileceği IP adresi kalmayan DHCP, kendisine “DHCPDISCOVER” isteğinde bulunan cihazlara cevap veremez hale gelir. Tehdit aktörü gerçek DHCP sunucusunu devre dışı bıraktıktan sonra farklı saldırılarda gerçekleştirebilir. Örneğin ağda sahte bir DHCP sunucusu yaratır ve IP isteyen cihazlara ilgili bilgileri verir. Ama burada kritik olan “Default Gateway” ve “DNS” gibi kritik bilgileri değiştirip trafiği kendi üzerinden geçirebilir. Kısaca yapılan bu saldırıya “Ortadaki Adam ( MITM )” saldırısı denir. Tehdit aktörü kendini “Router” gibi gösterip trafiği dinleyebilir ya da “DNS” değişikliği yaparak kullanıcıları sahte sayfalara yönlendirip kritik olabilecek bilgilere erişebilir.
Saldırıdan etkilenmemek için “DHCP Snooping” özelliğini kullanabiliriz. Bu sayede DHCP sadece daha önceden tanımlanan veya bilinen portlara IP adreslerini verir. Diğer tanımlanmayan portlardan gelen isteklere ise yanıt vermez.
Daha fazla bilgisayar ağları ve siber güvenlik içeriği için takipte kalın…
Arkadaşlık kuvvetli bir bağdır. Paraya ihtiyaç olunca başvurulmazsa, ömür boyu sürer.
Mark Twain
Bir yanıt bırakın