Chapitre 8 - DHCP Snooping and ARP Inspection Flashcards
A quoi sert le DHCP snooping ?
Filtrer les messages DHCP entrant sur un port d’un VLAN .
Sur quel couche agit le DHCP Snooping ?
Couche 2 donc sur les switch layer 2
DHCP (couche 3)
Comment sont traiter les DHCP message provenant d’un serveurs sur un port untrusted ?
D’un client DHCP ?
Automatiquement Discard
Filtré si il font partis d’un attaque
Comment fonctionnent une attaque DHCP ?
Le spurious server DHCP envois une config DHCP avec ca propre adresse en default gateway.
Le pc cible va donc utiliser cette default gateway et envoyer tout ses paquets au spurious server qui lui va les retransmettre au routeur.
Attaque de type man in the middle
Quels sont les deux autres message DHCP envoyé par des clients ?
Decline : Refuse le bail envoyé par le DHCP server
Release : N’a plus besoin d’utiliser le bail d’adresse envoyé par le DHCP
Sur quoi ce base quel attribut présent dans le format d’un paquet DHCP se base le DHCP Snooping ? Que représente t-il?
Lors de l’envoi d’une requete DHCP on retrouve dans la trame en mac source la mac de l’équipement et un champs chaddr basé sur cette même mac. Le serveur DHCP se base sur ce chaddr pour renvoyer sa requête. Un attaquant peut donc envoyé full requette en modifiant ce chaddr ce qui va avoir faire que le serveur dhcp verra chaque requete comme venant d’un device différent (car chaddr différent)
DHCP Snooping se base sur le chaddr (client hardware IP address)
Pour eviter ce genre d’attaque le dhcp snooping compare le chaddr des paquets Discover DHCP avec le mac adresse dans le paquet Ethernet , si ca match le paquet est forward sinon il est discard.
Comment fonctionne une DOS Discover DHCP attaque ?
Envoi de multiple paquet DHCP Discover avec de multiple adresse chadrr. Le serveur va lease des adresses pour chaque paquet reçue ce qui va saturer le service.
Comment fonctionne la DHCP snooping table ?
Création d’une table qui associe interface / vlan / ip / interface
Comment sont bloqué les release DHCP pirate ?
Check de la snooping table pour voir si l’interface sur laquelle arrive le release d’un IP correspondant a l’interface ou l’ip à été lease.8
Quel est le mode par défaut d’un port ou le DHCP Snooping est activé ?
Untrusted
A quel niveau et sur quel équipement s’active le DHCP snooping ?
S’active sur un switch au niveau d’un vlan
Comment configure t-on le dhcp snooping ?
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 12
Sur l’interface :
Switch(config-if)#ip dhcp snooping trust
Comment limité le flux de message DHCP pour évité une attaque DOS de ce service ?
Sur l’interface :
Switch(config-if)#ip dhcp snooping rate limit [number]
Quel commande pour voir des infos sur le DHCP snooping ?
Switch(config)#show ip dhcp snooping
Que ce passe t-il si la limite de message DHCP est dépassé au niveau de l’interface ?
Celle-ci pase en errdisabled ce qui implique un shutdown no shutdown pour la rédemarrer.
