Dhcp Snooping

 Dhcp Snooping Man in the middle saldırılarından biridir. işleyişi ise;

Ağınızda mevcut olan dhcp servera ek olarak, sahte dhcp server kuran saldırgan dhcp'den ip isteğinde bulunan istemci bilgisayarlara kendi ip (Sahte DHCP'den) sini gateway olarak göstererek, trafiğin gitmesi gereken noktayı kendi üzerinden geçirerek ulaştırır. Böylece akan trafikteki bilgileri de istediği gibi toplayıp, izleyebilir. Ciddi bir saldırı türü olan Dhcp snooping saldırını engellemek için Manageble (Yönetilebilir) switchler üzerinde Dhcp snooping özelliğini aktif etmek gerekiyor.

Dhcp snooping özelliği switch üzerindeki portları Trusted (Güvenilir) ve Untrusted (güvenilmeyen) olarak kategorize edilebilir,Dhcp serverınız/serverlarınız hangi port/lar üzerinden yayın yapacaksa switche öğretilmiş olur. Trusted portundan gelen dhcp istekleri incelenerek geçirilir, untrusted portundan gelen istekler ise direk çöpe gönderilir ve atak yapılan port kapatılır, böylece Sahte Dhcp saldırısını Switch üzerinden engellemiş olursunuz.

Ayrıca Dhcp snooping özelliğinde Dhcp server ın tuttuğu bilgilerin aynısı switch üzerinde de tutulur, yani Hangi ip hangi mac ile ne kadar süre eşleştiği bilgisi switch üzerindede bulunur.

Dhcp Snooping özelliğini Layer2 ve Layer3 için yapılandırabilirsiniz. Layer 3 Dhcp Snooping için Dhcp paketlerinin işlenmesi relay agent kullanılması gerekmektedir, Layer2 de ise herhangi bir relay agent kullanmaya gerek yoktur. Her ikisini aynı anda da kullanabilirsiniz.

 

Dhcp snooping için switchler üzerinde Relay agent information Option (bazı kaynaklarda option-82 olarak geçer) özelliği default olarak gelir. özelliği aktif ettiğiniz zaman tüm portlar untrusted olarak işaretlenir. Gerçek Dhcp server ınızı switch e öğretmeniz gerekmektedir. Bunun içinde switchler üzerinde bu özellik option-82 dhcp server'a gönderilir cevabı alan Dhcp server (Dhcp Server'ın option-82 desteklemesi gerekmektedir) kendi bilgilerini Switch'e option-82 ile birlikte tekrar cevap olarak gönderir. Switch option-82 içindeki bilgileri kendisi ile karşılaştırarak Dhcp Server'ın bilgilerini alır ve belirlenen Port/ları Dhcp Server için Trusted modunda kategorize eder. Böylece gerçek Dhcp Server'ınız yayın yapmaya başlar.

Dhcp snooping özelliğini Switch-Level ve Vlan-Level olarak  2 modta aktif edebilirsiniz.

Cisco Switchlerde ip dhcp snooping olarak geçerken, alcatel switchlerde ip helper dhcp-snooping olarak geçmektedir.