Rogue server attack

Rogue server attack; IP dağıtımı yapan Dhcp server gibi davranıp gerçek dhcp serverdan önce kullanıcılara yanıt dönen bir sistem kurulması ile gerçekleştirilen saldırı türüdür.Saldırgan kullanıclardan gelen broadcast dhcp discover mesajlarına, unicast olarak kendisi dhcp offer mesajları gönderir ve kullanıcı kandırılır.Artık kullanıcı sahte bir dhcp serverın dağıttığı IP'leri kullanıyor olacaktır.Bilindiği üzere bu teklif edilen paket içerisinde sistemin kullanacağı IP adresinin yanı sıra default gateway ve DNS gibi sunucularında IP adresleri bulunmaktadır.Bu yönüyle aslında bir man in the middle saldırısıdır diyebiliriz.Kullanıcının tüm trafiği gateway vasıtası ile saldırganların kontrol ettiği bir sunucu üzerinden akar.Bundan sonrası saldırganın hayal gücüne kalmış.Bu tür saldırılara karşı önlem olarak switch üzerinde dhcp snooping aktif edilmelidir.Dhcp snooping aktif edildiğinde, yalnızca dhcp serverin gönderebileceği dhcp offer ve dhcp ack mesajları kontrol altına alınır.Eğer switch'in untrust bölgesinde(kullanıcıların bölgesi) yani saldırgan bilgisayarlardan dhcp offer ve dhcp ack mesajları gönderiliyorsa bunlar switch tarafından bloklanacaktır.