Комментарии 9
Интересно!
+2
НЛО прилетело и опубликовало эту надпись здесь
1. Шелшок устарел, с этим никто не спорит, но протокол DHCP в первую очередь необходимо рассматривать как метод осуществления MITM.
2. Портсекурити тут вообще ни при делах, но про него стоило упомянуть. Для защиты от подобного рода скриптов — https://github.com/hatRiot/zarp/blob/master/src/modules/dos/dhcp_starvation.py
3. Мучать днсмаск на какой то мыльнице это сильно. Были проверки и на нормальном железе — результат тот же, время ответа на DHCPDISCOVER от легитимного клиента значительно увеличивается.
4. Опций всего 256: 0 — Pad… 255 — End. https://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml
5. Клиенты кладут болт на все опции которые не запрашивали. Согласен, но некоторые клиенты, например NetworkManager из состава CentOS 6.5 готов обработать любую опцию которую ему прислал сервер.
6. Релей агенты на свичах с опцией 82 + дхцп сервер который имеет только статические привязки мак-ип. Полностью согласен.
2. Портсекурити тут вообще ни при делах, но про него стоило упомянуть. Для защиты от подобного рода скриптов — https://github.com/hatRiot/zarp/blob/master/src/modules/dos/dhcp_starvation.py
3. Мучать днсмаск на какой то мыльнице это сильно. Были проверки и на нормальном железе — результат тот же, время ответа на DHCPDISCOVER от легитимного клиента значительно увеличивается.
4. Опций всего 256: 0 — Pad… 255 — End. https://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml
5. Клиенты кладут болт на все опции которые не запрашивали. Согласен, но некоторые клиенты, например NetworkManager из состава CentOS 6.5 готов обработать любую опцию которую ему прислал сервер.
6. Релей агенты на свичах с опцией 82 + дхцп сервер который имеет только статические привязки мак-ип. Полностью согласен.
+3
Спасибо за комментарий, критика это всегда хорошо.
+1
Пункты 1-8 заменяются на всего один: использовать статику.
-1
Не дурное объяснение работы протокола и его сессий, да ещё и с картинками. Прям распечатать, и в суппорт для объяснения и развития. Спасибо. :)
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Атакуем DHCP