DHCP Snooping چیست و چگونه امنیت شبکه را افزایش می‌دهد؟

DHCP Snooping ویژگی امنیتی ساده اما مهمی است که روی سوئیچ شبکه پیکربندی می‌شود و شبکه را در برابر هکرها محافظت می‌کند. این ویژگی با مسدود کردن ترافیک DHCP خاص در پورت‌های غیرمطمئن و محدود کردن نرخ درخواست‌های DHCP برای هر دستگاه، امنیت را افزایش می‌دهد. هدف اصلی DHCP Snooping مقابله با حملات DHCP Spoofing است.

در این مقاله می‌خوانیم که DHCP Snooping چیست، چگونه عمل می‌کند و چرا اهمیت دارد. همچنین با مزایا و محدودیت‌ها، ویژگی‌ها، انواع حمله به آن و تفاوتش با DHCP Spoofing آشنا می‌شویم. با فالنیک همراه باشید.

خدمات امنیت شبکه شامل راهکارهایی برای محافظت از داده‌ها، دستگاه‌ها و کاربران در برابر تهدیدات سایبری است. برای استفاده از این خدمات در فالنیک روی لینک بزنید.

خدمات امنیت شبکه توسط بهترین‌ها

متخصصان ما با اجرای بیش از 9 هزار پروژه موفق IT و به پشتوانه سه دهه تجربه در ارائه تجهیزات و خدمات شبکه، امنیت شبکه شما را به بهترین نحو تامین می‌کنند. همین حالا با ما تماس بگیرید و ضمن استفاده از مشاوره رایگان متخصصان ما، شبکه‌ی خود را به دژی غیر قابل نفوذ تبدیل کنید.

خدمات امنیت شبکهمشاوره فوری

Snooping چیست؟

DHCP Snooping چیست به زبان ساده تکنولوژی امنیتی لایه دو است که در سیستم‌عامل سوییچ‌های شبکه ادغام شده و ترافیک DHCP نامعتبر را مسدود می‌کند. این قابلیت از آرایه آدرس‌های  IPتوسط سرورهای DHCP غیرمجاز به کلاینت‌های DHCP جلوگیری می‌کند.

پس در پاسخ DHCP Snooping چیست می‌توان گفت؛ DHCP Snooping در لایه ۲ مدل OSI اجرا می‌شود تا از تبدیل شدنِ سایر دستگاه‌های شبکه به سرور DHCP جعلی جلوگیری کند.

چرا استفاده از DHCP Snooping اهمیت دارد؟

فرض کنید برای مطالعه به کتابخانه‌ای رفته‌اید. از آنجایی که اولین بار است به این مکان مراجعه می‌کنید، باید به شبکه مهمان این کتابخانه متصل شوید. برای فعالیت در این شبکه، لپ‌تاپ شما به یک آدرس IP جدید نیاز دارد.

بدون مشکل به شبکه متصل می‌شوید، اما متوجه می‌شوید که سرعت اتصال شما کمی کند است. در آن لحظه به آن توجه زیادی نمی‌کنید و به ورود به ایمیل و بررسی شبکه‌های اجتماعی ادامه می‌دهید. چند روز بعد متوجه می‌شوید که از حساب‌های شبکه‌های اجتماعی خود خارج شده‌اید و صندوق ورودی ایمیل شما پر از اعلان‌هایی درباره تغییر گذرواژه‌ها و سوالات امنیتی است.

ممکن است فردی در کتابخانه به همان شبکه وای‌فای که شما به آن متصل بودید، وصل شده باشد و از دستگاه خود به‌عنوان سرور DHCP استفاده کرده باشد. لپ‌تاپ شما به جای اتصال به سرور DHCP کتابخانه، به دستگاه آن فرد متصل شده که این کار به آن کاربر مخرب اجازه داده تمامی بسته‌های ارسالی و دریافتی لپ‌تاپ شما را در شبکه رهگیری کند، در حالی که شما تصور می‌کردید که به شبکه کتابخانه متصل هستید.

اگر ویژگی امنیتی DHCP Snooping توسط کتابخانه اجرا می‌شد، این مشکل به وجود نمی‌آمد. در این صورت، به راحتی سرور DHCP جعلی را شناسایی و مسدود می‌کرد، از رهگیری داده‌های حساس جلوگیری می‌شد و فقط اجازه تخصیص آدرس‌های IP توسط سرورهای معتبر DHCP را می‌داد.

DHCP Snooping در لایه ۲ مدل OSI اجرا می‌شود تا از تبدیل شدنِ سایر دستگاه‌های شبکه به سرور DHCP جعلی جلوگیری کند.

DHCP Snooping چگونه کار می‌کند؟

برای درک نحوه عملکرد DHCP Snooping، ابتدا باید مکانیزم کاری DHCP را که مخفف پروتکل پیکربندی پویای میزبان است بفهمیم. وقتی دستگاه شما به شبکه متصل می‌شود، فرآیند چهار مرحله‌ای را برای ارتباط با سرورDHCP  و دریافت آدرس IP آغاز می‌کند که در تصویر زیر می‌بینید. پیشنهاد می‌شود مقاله « DHCP چیست» را مطالعه کنید تا با این سرور و وظایف و عملکرد آن آشنا شوید.

1. کشف – Discover: ابتدا، دستگاه شما یک پیامDHCP Discover  ارسال می‌کند و می‌گوید «من تازه به شبکه وصل شده‌ام و اگر آدرس IP موجود باشد، آن را می‌خواهم.»
2. پیشنهاد – Offer: در پاسخ، سرور DHCP با ارسال یک پیام DHCP Offer به شبکه محلی اعلام می‌کند «این آدرس IP موجود است.» این پیام شامل آدرس MAC دستگاه درخواست‌کننده نیز خواهد بود.
3. درخواست – Request: دستگاه درخواست‌کننده پیامDHCP Offer  را دریافت کرده و با ارسالDHCP Request  به سرور DHCP پاسخ می‌دهد و اعلام می‌کند آدرس IP ارایه‌شده پذیرفته شده است.
4. تأیید – Acknowledge: در نهایت، سرور DHCP پیامDHCPACK  را ارسال می‌کند تا به دستگاه شما اطلاع دهد که اکنون می‌تواند از آن آدرس IP استفاده کند و تراکنش به پایان رسیده است.

در DHCP Snooping، اینترفیس‌های موجود در سوئیچ به دو دسته تقسیم می‌شوند:

• پورت‌های قابل اعتماد – Trusted: فقط پورت‌های قابل اعتماد مجاز به انتقال پیام‌های DHCP Offer هستند. فقط پورت‌های آپلینک که به سرور DHCP قانونی منتهی می‌شوند، به عنوان پورت‌های قابل اعتماد تعیین می‌شوند. همچنین می‌توانید محدودیت نرخ را روی اینترفیس‌ها اعمال کنید تا از ارسال نامحدود پیام‌های DHCP Discover جلوگیری شود. این روش از حملاتی که هدف آن‌ها تخلیه منابع DHCP Pool است، جلوگیری می‌کند.
• پورت‌های غیرقابل اعتماد – Untrusted: یعنی پورت‌هایی که پیام‌های سرور DHCP در آن قابل اعتماد نیستند. اینترفیس‌هایی که به کلاینت‌ها متصل می‌شوند، هرگز نباید مجاز به ارسال پیام DHCP Offer باشند. برای اجرای این محدودیت، می‌توانید آن‌ها را به‌عنوان اینترفیس‌های غیرقابل اعتماد تنظیم کنید. اینترفیس غیرقابل اعتماد پیام‌های DHCP Offer را مسدود می‌کند.

اگر DHCP Snooping فعال شود، پیام DHCP Offer فقط از طریق پورت قابل اعتماد ارسال می‌شود در غیر این صورت، پیام حذف خواهد شد.

DHCP Snooping در مرحله تأیید، بر اساس پیام DHCP ACK، جدول اتصال و تخصیص DHCP را با نام DHCP Binding Table ایجاد می‌کند. این جدول شامل آدرس MAC میزبان، آدرس IP تخصیص‌یافته، مدت زمان اجاره، نوع تخصیص، شماره VLAN و اطلاعات مربوط به اینترفیس متصل به میزبان است. همان‌طور که در تصویر زیر می‌بینید، اگر بسته DHCP بعدی که از میزبان‌های غیرقابل اعتماد دریافت می‌شود، با اطلاعات ثبت‌شده مطابقت نداشته باشد، این بسته حذف خواهد شد.

ویژگی‌های کلیدی DHCP Snooping چیست؟

ویژگی‌های کلیدی DHCP Snooping باعث می‌شود آدرس‌های غیرمجاز، تخصیص داده نشود و در نهایت با شناسایی و جلوگیری از فعالیت‌های مخرب در شبکه، امنیت شبکه افزایش پیدا کند. این ویژگی‌ها به شرح زیر است:

1. DHCP Snooping پیام‌های DHCP را از منابع نامعتبر اعتبارسنجی می‌کند و پیام‌های نامعتبر را فیلتر می‌کند.
2. با ایجاد و مدیریت پایگاه داده اتصال DHCP، اطلاعات میزبان‌های نامعتبر با آدرس‌های IP اجاره‌ای را ذخیره می‌کند.
3. از پایگاه داده اتصال DHCP برای اعتبارسنجی درخواست‌های بعدی از میزبان‌های نامعتبر استفاده می‌کند.

انواع حمله در DHCP Snooping و چگونگی مقابله با آن

خواندیم که DHCP Snoofing چیست و با نحوه تخصیص IP در سرور DHCP آشنا شدیم. حال می‌توانیم روش‌های احتمالی حمله DHCP را بررسی کنیم و نحوه مقابله آنها را درک کنیم.

حمله جعل DHCP – DHCP Snoofing

در DHCP Snoofing هکر با راه‌اندازی سرور DHCP جعلی در شبکه، حمله جعل DHCP را اجرا می‌کند. این سرور جعلی به درخواست‌های DHCP از کلاینت‌ها پاسخ داده و پیکربندی‌های نادرست IP مانند آدرس‌های اشتباه، دروازه‌های نامعتبر و سرورهای DNS نادرست ارائه می‌دهد. این رفتار می‌تواند منجر به رهگیری ترافیک، هدایت کاربران به وب‌سایت‌های مخرب یا حتی ایجاد اختلال کامل در شبکه شود.

DHCP Snooping با سرور DHCP رابطه امنی برقرار می‌کند تا امکان هک شدن را کم کند. در این مکانیزم حفاظتی، فقط پیام‌های DHCP Offer ارسال‌شده از پورت‌های قابل اعتماد قابل قبول هستند و تمام پیام‌های Offer از پورت‌های غیرقابل اعتماد مسدود می‌شود. DHCP Snooping با فیلتر کردن پاسخ‌های DHCP غیرمجاز باعث می‌شود کلاینت‌ها فقط از DHCP سرورهای معتبر شبکه، تنظیمات موردنیاز خود را دریافت کنند.

حمله DHCP Starvation

حمله DHCP Starvation سرورهای DHCP شبکه را هدف قرار می‌دهد و تلاش می‌کند این سرور معتبر را با پیام‌های DHCP Request که دارای آدرس‌های MAC جعلی هستند، بمباران کند. یعنی تعداد زیادی درخواستDHCP  را در مدت زمان کوتاهی ارسال می‌کند و سرور DHCP بدون آگاهی از این حمله، به تمامی درخواست‌ها پاسخ داده و آدرس‌های IP موجود را تخصیص می‌دهد. در نهایت تمامی آدرس‌های IP قابل تخصیص را مصرف می‌کند و منجر به اتمام ظرفیت DHCP Pool می‌شود. هکر با این کار می‌تواند دستگاه خود را به‌عنوان سرور DHCP واقعی به شبکه شما معرفی کند و خراب‌کاری و اختلال به وجود آورد.

DHCP Snooping برای مقابله با حملات DHCP Starvation، محدودیت نرخ را در اینترفیس‌های قابل اعتماد اعمال می‌کند و تعداد درخواست‌های DHCP که می‌توانند از یک منبع واحد تولید شوند را کنترل می‌کند. با اجرای این محدودیت‌ها، سرور DHCP از حجم بالای درخواست‌ها محافظت می‌شود تا دچار ازدحام بیش از حد نشود. DHCP Snooping همچنین با ردیابی آدرس‌های MAC تخصیص داده شده، هر فعالیت مشکوکی را شناسایی می‌کند.

حمله مرد میانی – Man-in-the-Middle

هیچ‌کدام از ارتباطات بین سرور DHCP و دستگاه درخواست‌کننده احراز هویت نمی‌شوند پس اگر یک دستگاه متخاصم (Rogue) در شبکه ادعا کند که سرور DHCP است، دستگاه درخواست‌کننده راهکار چندانی برای تایید صحت این ادعا ندارد.

هکر با پیگیری ارتباط بین کلاینت و سرور DHCP می‌تواند با استفاده از روش‌هایی مانند ARP Spoofing و DNS Spoofing اطلاعات حساس را به دست آورد، داده‌ها را دستکاری کند یا محتوای مخرب را در شبکه تزریق کند.

با انجام پیکربندی DHCP Snooping می‌توانید با حملات مرد میانی مقابله کنید، زیرا فقط سرورهای DHCP تایید‌شده مجاز به تخصیص پیکربندی IP هستند. پایگاه داده اتصال (Binding)، تخصیص‌های آدرس IP قانونی و آدرس‌های MAC متناظر آن‌ها را ردیابی می‌کند. اگر کلاینت از منبعی غیرقابل اعتماد پاسخی دریافت کند، DHCP Snooping این پاسخ را حذف می‌کند و راه هکرها برای ایجاد اختلال در شبکه بسته می‌شود.

DHCP Snooping را چگونه فعال کنیم؟

هنگام پیاده‌سازی DHCP Snooping ابتدا باید پورت‌های قابل اعتماد را که پیام‌های معتبر DHCP Server از طریق آن‌ها عبور می‌کنند، تنظیم کنید. سپس می‌توانید DHCP Snooping را برای VLAN موردنظر فعال کنید. این پیکربندی هم با رابط خط فرمان (CLI) و هم با رابط گرافیکی وب (Web GUI) قابل انجام است.

عیب یابی DHCP Snooping

یکی از رایج‌ترین مشکلاتی که هنگام اجرای DHCP Snooping ممکن است با آن مواجه شوید، عدم توانایی سرور DHCP در تخصیص آدرس‌های IP به دستگاه‌های درخواست‌کننده است. وقتی هیچ پورت قابل اعتمادی  برای سرور DHCP روی سوئیچ پیکربندی نشود، امکان تخصیص IP آدرس نیز وجود نخواهد داشت.

تمام پورت‌های سوئیچ به‌صورت پیش‌فرض دارای پیکربندی غیرقابل اعتماد هستند پس در پیکربندی DHCP Snooping باید مشخص شود کدام پورت سوئیچ به سرور DHCP وصل است. با استفاده از دستور show ip dhcp snooping می‌توانید جزئیات پیکربندی DHCP Snooping را مشاهده کنید. پیشنهاد می‌شود مقاله «مشکلات رایج سرور DHCP چیست» را مطالعه کنید.

مزایای استفاده از DHCP Snooping

DHCP Snooping مزایای متعددی دارد که در ادامه به برخی از آنها اشاره می‌کنیم:

افزایش امنیت شبکه: محیط امن‌تری فراهم می‌کند تا فقط دستگاه‌های مجاز بتوانند متصل شوند بنابراین حفاظت از داده‌ها و جلوگیری از دسترسی غیرمجاز اتفاق می‌افتد. همچنینبا اعتبارسنجی پیام‌های DHCP و فیلتر کردن پیشنهادهای احتمالی مخرب، شبکه را در برابر انواع حملات محافظت می‌کند.

کاهش زمان خرابی شبکه: با محدود کردن فعالیت سرورهای غیرمجاز و اجازه دادن به سرورهای DHCP معتبر برای تخصیص آدرس‌های IP، زمان خرابی شبکه را کاهش می‌دهد.

کاهش مصرف پهنای باند: با محدود کردن تعداد دستگاه‌هایی که می‌توانند از سرورهای DHCP مخرب آدرس IP دریافت کنند، میزان مصرف پهنای باند این دستگاه‌ها را کاهش می‌دهد. برای آشنایی با امنیت شبکه و انواع آن مقاله « امنیت شبکه چیست» را مطالعه کنید.

محدودیت های استفاده از DHCP Snooping

محدودیت‌های DHCP Snooping به صورت زیر است:

1. فقط در شبکه‌های سیمی قابل پیکربندی است و از شبکه‌های بی‌سیم پشتیبانی نمی‌کند.
2. چون تمام پورت‌های سوئیچ به صورت پیش‌فرض غیرقابل اعتماد تنظیم هستند، باید به صورت دستی پیکربندی آنها را تغییر داد.
3. فقط قابلیت مقابله با حملات DHCP را دارد.
4. بررسی و فیلتر کردن پیام‌های DHCP باعث مصرف منابع سوئیچ می‌شود.
5. پیکربندی آن در شبکه‌های بزرگ، پیچیده‌تر است.

تفاوت DHCP snooping و DHCP spoofing چیست؟

حال که دیدیم DHCP Snooping چیست و چگونه کار می‌کند، به تفاوت DHCP Snooping و DHCP Snoofing می‌پردازیم. DHCP Spoofing نوعی هک و حمله است ولی DHCP Snooping روش مقابله با آن است.

مرور نهایی بر DHCP Snooping

در پاسخ DHCP Snooping چیست گفتیم یک تکنیک امنیتی است که در آن سوئیچ شبکه را پیکربندی می‌کنیم تا بر ترافیک DHCP نظارت کند و هرگونه بسته DHCP مخرب را متوقف کند. با اینکه DHCP فرآیند تخصیص آدرس‌های IP را ساده‌تر می‌کند اما مسائل امنیتی را نیز به همراه دارد. وظیفه DHCP Snooping محافظت از شبکه شما و کاربران شما را در برابر حملات جعل DHCP است.

DHCP Snooping به‌عنوان یکی از مکانیزم‌های حفاظتی می‌تواند آدرس‌های نامعتبر DHCP را که از سرورهای جعلی ارسال می‌شوند، مسدود کند. این کار با نظارت و مسدودسازی ترافیک DHCP از طریق پورت‌های غیرقابل اعتماد انجام می‌شود. و همچنین با تنظیم محدودیت نرخ ارسال برای پیام‌های درخواست DHCP از حملات تخلیه منابع که قصد دارند تمام آدرس‌های DHCP موجود را مصرف کنند جلوگیری کند.

خدمات اکتیو شبکه شامل راهکارهایی برای مدیریت، پیکربندی و بهینه‌سازی تجهیزات شبکه مانند سوئیچ‌ها، روترها، فایروال‌ها و سرورها است. این خدمات به بهبود عملکرد شبکه، افزایش امنیت و اطمینان از دسترسی پایدار کاربران کمک می‌کنند. برای استفاده از این خدمات در فالنیک روی لینک بزنید.

سوالات متداول درباره DHCP Snooping

1. DHCP Snooping چیست و چه کاربردی دارد؟

DHCP Snooping ویژگی امنیتی شبکه است که با نظارت و فیلتر کردن ترافیک DHCP می‌تواند از حملات و هک شدن سرور DHCP جلوگیری کند.

• DHCP Snooping چگونه امنیت شبکه را افزایش می‌دهد؟

این ویژگی با بررسی درخواست‌های DHCP و مسدود کردن سرورهای غیرمجاز، از اختصاص نادرست آدرس‌های IP جلوگیری کرده و از جعل و حملات جلوگیری می‌کند.

• تفاوت DHCP Snooping با Dynamic ARP Inspection چیست؟

DHCPSnooping مانع از حملات جعل آدرس IP در جدول اتصال DHCP می‌شود ولی Dynamic ARP Inspection از حملات جعل آدرس MAC در جدول ARP جلوگیری می‌کند.

• چگونه در سوئیچ  DHCP Snoopingرا فعال کنیم؟

با فعال کردن DHCP Snooping در سطح VLAN و تنظیم پورت‌های قابل‌اعتماد برای سرور DHCP، می‌توانید این ویژگی را روی سوئیچ‌های مدیریتی فعال کنید.

• DHCP Snooping چه تاثیری بر عملکرد شبکه دارد؟

DHCP Snooping به‌طور مستقیم تاثیری روی سرعت شبکه ندارد اما بر عملکرد و کارایی آن تاثیر مستقیم دارد زیرا باعث افزایش امنیت و جلوگیری از هک می‌شود.

خدمات اکتیو شبکه را از متخصصان دریافت کنید

با دریافت خدمات اکتیو شبکه از متخصصان خبره شبکه، مطمئن خواهید بود که تمامی سرویس‌ها و نرم‌افزارها به درستی و بدون وقفه کار می‌کنند. روی لینک کلیک کنید و با شبکه‌ای پایدار به پتانسیل کامل خود در کسب و کارتان برسید.

خدمات اکتیو شبکهمشاوره فوری