Báo cáo bài tập lớn tìm hiểu về giao thức dhcp

Giới thiệu Giao thức cấu hình máy chủ động Dynamic Host Configuration Protocol - DHCP làmột giao thức mạng được sử dụng để tự động hóa quá trình gán địa chỉ IP và các tham sốcấu hình mạn

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA AN TOÀN THÔNG TIN

BÁO CÁO BÀI TẬP LỚN Tìm hiểu về giao thức DHCP

Sinh viên: Lê Anh Tuấn – B21DCAT205

Nguyễn Khắc Vương – B21DCAT226Phí Đức Tuân – B21DCAT202

Lê Xuân Vương – B21DCAT225Trần Việt Trung – B21DCAT195Môn học: An toàn mạng - Nhóm 10

Giảng viên hướng dẫn: TS Hoàng Xuân Dậu

~ Hà Nội, tháng 9/2024 ~

Mục lục

I Giới thiệu 2

II Nội dung 2

1 Kiến trúc DHCP 2

2 Cách hoạt động của DHCP 4

3 Các lỗ hổng bảo mật và các dạng tấn công vào giao thức DHCP 5

4 Các biện pháp phòng chống và tăng cường an toàn 10

III Demo 12

1 Tấn công bỏ đói DHCP (DHCP starvation) 12

2 Tấn công giả mạo DHCP (DHCP spoofing) 15

IV Kết luận 19

V Tài liệu tham khảo 19

I Giới thiệu

Giao thức cấu hình máy chủ động (Dynamic Host Configuration Protocol - DHCP) làmột giao thức mạng được sử dụng để tự động hóa quá trình gán địa chỉ IP và các tham sốcấu hình mạng khác cho các thiết bị (như máy tính, điện thoại thông minh, và máy in)trên mạng Thay vì phải cấu hình thủ công từng thiết bị với một địa chỉ IP, DHCP chophép các thiết bị kết nối vào mạng và tự động nhận tất cả thông tin mạng cần thiết, nhưđịa chỉ IP, mặt nạ mạng con (subnet mask), cổng mặc định (default gateway), và địa chỉmáy chủ DNS từ máy chủ DHCP

II Nội dung

Khi một thiết bị (như máy tính, điện thoại thông minh, hoặc thiết bị mạng khác) thamgia vào mạng hoặc cần một địa chỉ IP mới, nó gửi một yêu cầu đến DHCP server trong

mạng DHCP server sau đó phản hồi bằng cách cung cấp một địa chỉ IP cùng với cácthông số cấu hình mạng như địa chỉ gateway, máy chủ DNS, và thời gian thuê địa chỉ IP Một số đặc điểm quan trọng của DHCP server bao gồm:

 Quản lý Pool địa chỉ IP: DHCP server duy trì một pool các địa chỉ IP có thể cấpphát cho các thiết bị trong mạng Khi một thiết bị yêu cầu địa chỉ IP, DHCP serverchọn một địa chỉ từ pool để cấp phát

 Cấu hình Tự động: DHCP server tự động cấu hình các thông số mạng cần thiếtcho thiết bị, giúp giảm công việc cấu hình thủ công và giảm sai sót

 Thời gian Thuê địa chỉ IP: DHCP server cấp phát địa chỉ IP cho các thiết bị vớimột khoảng thời gian xác định, gọi là thời gian thuê Khi thời gian thuê hết hạn,thiết bị phải làm mới địa chỉ IP hoặc yêu cầu một địa chỉ mới

 Xử lý yêu cầu từ thiết bị mới: Khi một thiết bị mới gia nhập mạng hoặc yêu cầuđịa chỉ IP mới, DHCP server phải xử lý yêu cầu này và cung cấp thông tin cấuhình tương ứng

DHCP Client

DHCP Client là một thiết bị mạng (chẳng hạn như máy tính hoặc thiết bị điện tử) yêu cầu địa chỉ IP từ DHCP Server Nó gửi yêu cầu để nhận địa chỉ IP và cấu hình thông số mạng từ DHCP Server, và sử dụng chúng để kết nối và hoạt động trên mạng Sử dụng DHCP Client giúp tiết kiệm thời gian và công sức cho quản trị viên mạng vì không cần tựcấu hình địa chỉ IP cho mỗi thiết bị trong mạng

DHCP relay agents

DHCP Relay Agents là các thiết bị trung gian giữa DHCP Client và DHCP Server.Chúng giúp kết nối và chuyển tiếp thông tin giữa hai bên, thường xuất hiện trong cácmạng lớn với nhiều kết nối phức tạp Vai trò chính của DHCP Relay Agents là mở rộngphạm vi của DHCP Server Cũng như cho phép cấp phát địa chỉ IP và cấu hình mạng chocác thiết bị ở các mạng con khác nhau Điều này giúp tối ưu hóa việc quản lý mạng vàcung cấp dịch vụ hiệu quả trong mạng lớn với nhiều mạng con

DHCP Lease

DHCP Lease là khoảng thời gian mà một thiết bị được phép sử dụng một địa chỉ IPtrước khi cần phải gia hạn Mỗi địa chỉ IP cấp phát có thời gian sử dụng xác định Và khihết hạn, thiết bị có thể được cấp một địa chỉ IP mới

Trong thời gian thuê, Client sử dụng địa chỉ IP được cấp phát Khi thời gian thuê gầnhết, Client sẽ yêu cầu gia hạn lease từ DHCP Server để tiếp tục sử dụng địa chỉ IP hiện

cầu địa chỉ IP mới Thời gian thuê có thể được cấu hình theo các giá trị cố định hoặc linhhoạt Nhờ đó giúp quản lý và sử dụng tài nguyên IP một cách hợp lý, tránh lãng phí vàxung đột địa chỉ IP.

ổn định trong quản lý địa chỉ IP Nó cũng hữu ích trong việc giám sát và quản lý các thiết

 Cung Cấp (Offer): Các máy chủ DHCP nhận thông điệp Discover và phản hồibằng cách gửi một thông điệp DHCP Offer Thông điệp này chứa thông tin cấuhình mạng, bao gồm địa chỉ IP dự kiến cấp phát, địa chỉ của máy chủ DHCP, vàthời gian cho thuê địa chỉ IP.

 Yêu Cầu (Request): Thiết bị nhận được một hoặc nhiều thông điệp Offer từ cácmáy chủ DHCP và chọn một trong số đó Thiết bị gửi thông điệp DHCP Request

để yêu cầu sử dụng địa chỉ IP từ máy chủ DHCP mà nó chọn Thông điệp Requestcũng thông báo cho các máy chủ DHCP khác rằng địa chỉ IP đã được chọn vàkhông còn khả dụng

 Xác Nhận (Acknowledgment): Máy chủ DHCP nhận thông điệp Request và gửithông điệp DHCP Acknowledgment để xác nhận rằng địa chỉ IP đã được cấp phátcho thiết bị Thông điệp Acknowledgment cũng cung cấp thêm thông tin cấu hìnhmạng như cổng gateway, máy chủ DNS, v.v

 Sử Dụng (Lease): Thiết bị bắt đầu sử dụng địa chỉ IP được cấp phát và duy trìtrong một khoảng thời gian cho thuê Khi thời gian cho thuê gần hết, thiết bị có thểgửi yêu cầu gia hạn (Renew) để tiếp tục sử dụng địa chỉ IP hoặc yêu cầu mới nếucần

- Một số thông điệp của DHCP:

+ DHCPDISCOVER: Client tìm các server DHCP

+ DHCPOFFER: Server gửi đề nghị các tham số cấu hình

+ DHCPREQUEST: Client yêu cầu các tham số cấu hình từ server đã chọn

+ DHCPACK: Server xác nhận và cung cấp các tham số cấu hình

+ DHCPNAK: Server cho biết thông tin cấu hình không chính xác

+ DHCPDECLINE: Client thông báo địa chỉ mạng đã được sử dụng

+ DHCPRELEASE: Client từ bỏ địa chỉ mạng và hủy bỏ thời gian thuê

+ DHCPINFORM: Client yêu cầu các tham số cấu hình cục bộ trong khi đã có địa chỉmạng được cấu hình từ bên ngoài

3 Các lỗ hổng bảo mật và các dạng tấn công vào giao thức DHCP

a) Các lỗ hổng bảo mật

Thiếu cơ chế xác thực

Thiếu cơ chế xác thực trong DHCP là một điểm yếu lớn vì giao thức này không có cách

để xác minh tính hợp lệ của máy chủ (server) hoặc máy khách (client) Điều này tạo ra

nguy cơ bất kỳ thiết bị nào trong mạng đều có thể được thiết lập để hoạt động như mộtmáy chủ DHCP giả mạo (rogue DHCP server).

Điểm yếu: Không có xác thực giữa client và server Máy chủ DHCP hợp pháp khôngthể kiểm tra xem yêu cầu từ client có đến từ thiết bị hợp pháp hay không.Client không thểkiểm tra tính hợp lệ của máy chủ DHCP, nghĩa là nó có thể nhận địa chỉ IP và thông tinmạng (DNS, gateway) từ một máy chủ giả mạo

Rủi ro:

+ DHCP Spoofing: Kẻ tấn công lợi dụng điểm yếu này để phát tán thông tin cấu hìnhmạng sai lệch cho các client, như chỉ định DNS hoặc gateway giả mạo Điều này dẫn đếnviệc chuyển hướng lưu lượng mạng của client đến các máy chủ do kẻ tấn công kiểm soát Hậu quả: các client nhận thông tin mạng sai lệch, có thể dẫn đến tấn công chuyểnhướng lưu lượng (Redirect Traffic Attack) Ví dụ, DNS hoặc gateway giả mạo có thể đưaclient đến các trang web lừa đảo hoặc máy chủ tấn công Man-in-the-Middle (MITM): Kẻtấn công có thể theo dõi, thay đổi hoặc đánh cắp thông tin từ lưu lượng mạng giữa client

và các dịch vụ hợp pháp mà client kết nối

Không mã hóa dữ liệu

Không mã hóa dữ liệu là một điểm yếu nghiêm trọng trong giao thức DHCP vì tất cảthông tin được truyền dưới dạng văn bản thuần túy (plain text), không có lớp bảo mật nào

để mã hóa

Điểm yếu: Dữ liệu DHCP như địa chỉ IP, DNS, và gateway được truyền mà không qua

mã hóa, dễ bị chặn và đọc bởi bất kỳ thiết bị nào trong cùng mạng, đặc biệt là mạng côngcộng hoặc không an toàn

Nguy cơ tấn công:

+ Sniffing: Kẻ tấn công có thể sử dụng các công cụ như Wireshark để chặn bắt (sniff)

dữ liệu DHCP và phân tích các thông tin cấu hình mạng

+ Giả mạo địa chỉ IP: Với thông tin này, kẻ tấn công có thể giả mạo địa chỉ IP để chiếmđoạt quyền truy cập hoặc thực hiện các cuộc tấn công khác trong mạng

+ Thay đổi cấu hình mạng: Kẻ tấn công có thể lợi dụng thông tin đã chặn để thực hiệncác thay đổi cấu hình không mong muốn hoặc chuyển hướng lưu lượng mạng, gây rốiloạn hoặc mất an toàn

Hậu quả:

+ Rủi ro bảo mật cao: Kẻ tấn công có thể dễ dàng xâm nhập và chiếm quyền điều khiểncác phần của mạng hoặc chuyển hướng dữ liệu

+ Mất thông tin nhạy cảm: Các cuộc tấn công man-in-the-middle trở nên dễ thực hiệnhơn khi không có mã hóa dữ liệu.

b) Các dạng tấn công vào giao thức DHCP

DHCP Spoofing

DHCP Spoofing (Giả mạo máy chủ DHCP) là một trong những tấn công phổ biến vàogiao thức DHCP, trong đó kẻ tấn công triển khai một máy chủ DHCP giả mạo để cungcấp thông tin mạng sai lệch cho các máy khách Mục tiêu của cuộc tấn công là điều khiểncách các thiết bị trong mạng nhận được cấu hình IP, làm cho kẻ tấn công có thể can thiệpvào lưu lượng mạng hoặc chuyển hướng các máy khách đến các dịch vụ hoặc tài nguyênđộc hại

Cách thức tấn công DHCP Spoofing:

Hình 3: DHCP Spoofing

Bước 1: Yêu cầu DHCP:

Kẻ tấn công sẽ tạo ra một DHCP Server giả và sẽ trả lời lại cho Client gói DHCP Offertrước DHCP Server thật Với hành động này, hacker có thể lấy được các thông tin vàđịnh hướng đường đi cho các thông tin đó Sau đó, hacker sẽ chuyển thông tin đến đích

mà Client muốn hoặc đích mà hacker muốn, mà Client không biết rằng thông tin liên lạccủa mình là luôn luôn đi qua Attacker PC và bị nghe lén

Bước 2: Cấu hình địa chỉ IP của Client:

Thiết bị giả mạo DHCP (kẻ tấn công) nằm trong mạng LAN Hacker có khả năng trả lờicác yêu cầu của gói DHCP Discover của Client trước khi yêu cầu của họ có thể tiếp cậnvới DHCP Server thực Server hợp pháp cũng có thể trả lời, nhưng nếu thiết bị giả mạonằm trên cùng một phân đoạn với Client, câu trả lời của Hacker sẽ đến trước DHCPOffer của hacker sẽ cung cấp địa chỉ IP, default gateway và DNS server.

Bước 3: Tất cả dữ liệu sẽ đi qua PC của hacker đến đích

Trong trường hợp này, PC của hacker đóng vai trò là một gateway Các thông tin từClient được chuyển đi sẽ đi qua PC của hacker trước khi đến với đích mà nó mong muốn.Việc này được gọi là một cuộc tấn công trung gian, và nó có thể hoàn toàn không bị pháthiện khi hacker chặn luồng dữ liệu qua mạng nhưng không ngăn chặn lưu lượng mạng.Hậu quả của DHCP Spoofing:

 Kẻ tấn công có thể lợi dụng việc giả mạo máy chủ DHCP để:

 Chuyển hướng lưu lượng mạng: Đặt gateway hoặc DNS sai để chuyển hướng lưulượng mạng của các máy khách qua thiết bị của kẻ tấn công, thường dẫn đến cáccuộc tấn công Man-in-the-Middle (MitM)

 Nghe lén (Sniffing): Do tất cả các gói tin đi qua thiết bị của kẻ tấn công, họ có thểthu thập các thông tin nhạy cảm như tên đăng nhập, mật khẩu, dữ liệu cá nhân

 Phát tán phần mềm độc hại: Kẻ tấn công có thể điều hướng máy khách đến cáctrang web độc hại thông qua DNS giả mạo, từ đó phát tán phần mềm độc hại

 Gây ra tấn công từ chối dịch vụ (DoS): Bằng cách cấp phát cấu hình mạng sai, kẻtấn công có thể làm cho các máy khách không thể kết nối với mạng đúng cách,gây ra gián đoạn dịch vụ

*) Tấn công Man-in-the-Middle qua DHCP Spoofing

Một mục tiêu phổ biến của DHCP Spoofing là tấn công Man-in-the-Middle (MitM),trong đó kẻ tấn công đứng giữa máy khách và máy chủ thật để nghe lén hoặc thay đổi cácgói tin:

+ Bằng cách cấp phát một địa chỉ gateway giả (đó là thiết bị của kẻ tấn công), tất cả lưulượng từ máy khách sẽ đi qua kẻ tấn công trước khi chuyển tiếp đến đích thực sự

+ Kẻ tấn công có thể sửa đổi gói tin hoặc lấy thông tin nhạy cảm như dữ liệu đăngnhập

Hình 4: Man in the Middle Attack

DHCP Starvation Attack

Hình 5: DHCP Starvation attack

DHCP Starvation Attack (Tấn công làm cạn kiệt tài nguyên DHCP) là một dạng tấncông từ chối dịch vụ (DoS) nhằm làm cạn kiệt toàn bộ không gian địa chỉ IP của máy chủDHCP Kẻ tấn công gửi một lượng lớn yêu cầu DHCP giả mạo bằng cách sử dụng nhiềuđịa chỉ MAC ngẫu nhiên, nhằm chiếm hết các địa chỉ IP khả dụng Khi không còn địa chỉ

IP để cấp phát, các thiết bị hợp pháp trong mạng sẽ không thể nhận được địa chỉ IP, dẫnđến gián đoạn hoặc ngừng hoạt động kết nối mạng

Cách thức tấn công DHCP Starvation:

1 Giả mạo địa chỉ MAC: Kẻ tấn công sử dụng một công cụ hoặc script để gửi hàng loạtyêu cầu DHCP với các địa chỉ MAC ngẫu nhiên Vì DHCP dựa vào địa chỉ MAC để nhậndiện các máy khách khác nhau, máy chủ sẽ cho rằng các yêu cầu này đến từ các thiết bịkhác nhau

2 Làm cạn kiệt không gian địa chỉ IP: Máy chủ DHCP sẽ cấp phát địa chỉ IP cho mỗiyêu cầu giả mạo, làm cho không gian địa chỉ IP của máy chủ nhanh chóng bị cạn kiệt

3 Từ chối dịch vụ: Sau khi không còn địa chỉ IP khả dụng, các máy khách hợp pháptrong mạng sẽ không thể nhận được địa chỉ IP, dẫn đến gián đoạn kết nối hoặc không thểtruy cập mạng

Hậu quả của DHCP Starvation Attack:

 Từ chối dịch vụ (Denial of Service): Khi không còn địa chỉ IP để cấp phát, cácthiết bị hợp pháp trong mạng sẽ bị từ chối truy cập vào mạng, gây gián đoạn dịch

4 Các biện pháp phòng chống và tăng cường an toàn

Giao thức DHCP (Dynamic Host Configuration Protocol) có vai trò quan trọng trongviệc cấp phát địa chỉ IP và các thông tin cấu hình mạng cho các thiết bị trong một mạng.Tuy nhiên, DHCP cũng là mục tiêu của nhiều loại tấn công như DHCP Starvation, DHCPSpoofing, và các tấn công Man-in-the-Middle (MITM) Để tăng cường bảo mật và giảmthiểu rủi ro từ các cuộc tấn công này, các biện pháp phòng chống sau có thể được ápdụng:

a) DHCP Snooping

DHCP Snooping là một tính năng bảo mật được cấu hình trên các switch trong mạng đểtheo dõi và quản lý luồng dữ liệu DHCP Nó phân biệt giữa các cổng "tin cậy" và "khôngtin cậy" trên switch Các cổng tin cậy là các cổng kết nối đến các DHCP server, trong khicác cổng không tin cậy là các cổng kết nối đến người dùng hoặc thiết bị khách

 Ngăn chặn DHCP Spoofing: DHCP Snooping bảo vệ mạng khỏi các máy kháchgiả mạo DHCP server bằng cách chỉ cho phép các gói tin từ DHCP server thật điqua các cổng tin cậy.

 Theo dõi và ghi nhật ký các gói tin DHCP: Nó giúp giám sát lưu lượng DHCP vàtạo ra một cơ sở dữ liệu tin cậy về các địa chỉ IP và MAC của các thiết bị đã đượccấp IP

Hình 6: Cơ chế bảo vệ của DHCP snooping

b) Port Security

Port Security là một tính năng giúp kiểm soát số lượng địa chỉ MAC có thể kết nối quamột cổng switch Điều này giúp ngăn chặn các cuộc tấn công DHCP Starvation, nơi kẻtấn công giả mạo nhiều địa chỉ MAC để chiếm toàn bộ địa chỉ IP có sẵn từ DHCP server

 Cấu hình giới hạn địa chỉ MAC cho các cổng người dùng: Với Port Security, bạn

có thể giới hạn số lượng địa chỉ MAC hợp lệ được phép trên mỗi cổng (ví dụ: 1địa chỉ MAC cho mỗi cổng) Điều này ngăn cản các thiết bị lạ hoặc các kẻ tấncông có thể kết nối vào mạng thông qua cổng Ethernet và thiết lập một DHCPserver giả mạo

 Xác định địa chỉ MAC hợp lệ: Chỉ cho phép các thiết bị có địa chỉ MAC cụ thểđược truy cập qua cổng mạng Điều này đặc biệt hữu ích trong các mạng doanhnghiệp, nơi các thiết bị được đăng ký và quản lý từ trước

 Việc hạn chế số lượng địa chỉ MAC được phép trên mỗi cổng có thể kết hợp vớiDHCP Snooping để chỉ cho phép các gói tin DHCP từ các cổng được tin cậy,

Port Security có thể được cấu hình ở nhiều chế độ bảo mật khác nhau, tùy thuộc vào hành

vi của switch khi phát hiện một địa chỉ MAC không hợp lệ hoặc vượt quá số lượng chophép:

 Protect (Bảo vệ):

o Trong chế độ này, khi một địa chỉ MAC không hợp lệ được phát hiện trên cổng,switch sẽ chặn lưu lượng từ địa chỉ MAC đó nhưng vẫn giữ cổng ở trạng tháihoạt động

o Lưu lượng từ các địa chỉ MAC hợp lệ khác vẫn sẽ được chuyển tiếp bình thường

 Restrict (Giới hạn):

o Tương tự như chế độ Protect, nhưng thay vì chỉ chặn lưu lượng, switch sẽ ghi lại

và tạo bản ghi nhật ký về sự kiện bảo mật

o Chế độ này có thể gửi cảnh báo SNMP hoặc log về sự kiện MAC không hợp lệ

 Shutdown (Tắt):

o Đây là chế độ nghiêm ngặt nhất Khi phát hiện một địa chỉ MAC không hợp lệhoặc số lượng địa chỉ MAC vượt quá giới hạn, switch sẽ vô hiệu hóa cổng(shutdown)

o Cổng sẽ không hoạt động nữa cho đến khi được kích hoạt lại thủ công hoặc thôngqua một quy trình khởi động lại tự động (auto-recovery)

c) Một số phương pháp khác

Dynamic ARP Inspection (DAI) là một tính năng bảo mật hoạt động kết hợp với DHCP

Snooping để ngăn chặn các cuộc tấn công giả mạo ARP (ARP Spoofing), một trong những yếu tố chính của các cuộc tấn công MITM

 Kiểm tra ARP: DAI xác minh các gói ARP dựa trên cơ sở dữ liệu DHCP

Snooping, đảm bảo rằng các gói tin ARP có địa chỉ MAC và địa chỉ IP đúng với thông tin đã được cấp phát qua DHCP

 Ngăn chặn ARP Spoofing: Ngăn cản các thiết bị giả mạo địa chỉ MAC khác để

thực hiện các cuộc tấn công MITM

IP Source Guard (IPSG)  là tính năng bảo mật giúp đảm bảo rằng một cổng mạng chỉ

cho phép lưu lượng từ các địa chỉ IP hợp lệ, dựa trên thông tin DHCP đã được ghi lại bởi DHCP Snooping

 Xác thực IP động: IPSG giúp ngăn chặn kẻ tấn công sử dụng địa chỉ IP giả hoặc

cố gắng sử dụng một địa chỉ IP chưa được cấp phát hợp lệ bởi DHCP

 Chặn tấn công Man-in-the-Middle (MITM): Bằng cách xác minh rằng chỉ các thiết

bị với địa chỉ IP đúng mới được phép truyền dữ liệu trên mạng, IPSG bảo vệ mạngkhỏi việc tấn công MITM

III Demo